信息安全知识库

VPN与红队攻防

Wed, 19 Nov 2025 15:00:12 +0000

《VPN与红队攻防》作者10余年红蓝对抗经验，系统披露国内主流VPN设备“大网扩线-漏洞利用-后渗透”完整攻击链：从未授权下载、默认口令、P12证书泄露到任意文件读取获取运维DB，绕过双向校验植入后门key，再借客户端日志、token与数据库构造字典，实现无爆破隐蔽登录。报告给出防护清单：默认配置清零、2FA、堡垒机运维、管理口白名单、集中日志审计，帮助企业堵住VPN这一高权限横向通道。

Fuzzing4LLM：撬动大语言模型的安全对齐机制

Wed, 19 Nov 2025 15:01:04 +0000

本文链接

《Fuzzing4LLM：撬动大语言模型的安全对齐机制》由科大讯飞梅瑞提出，发布进化式越狱框架 ForgeDAN：通过字符-词-句多级扰动、场景假设/角色扮演变异与语义适应度评估，自动生成高隐蔽性对抗提示，在 DeepSeek、Qwen 等模型上攻陷率最高达 98%；并构建双维度判别器，精准区分拒绝/顺从与安全/有害输出，显著降低假阳性。报告同步给出覆盖越狱、投毒、跨模态、智能体等 20 + 场景的 AI 安全评测体系，以及多层防护、人机协同、数据全生命周期治理的主动防御方案，为大模型安全对齐提供从攻击到评测再到治理的完整闭环。

攻击者视角下的业务智能体渗透

Wed, 26 Nov 2025 14:10:41 +0000

本文链接

《攻击者视角下的业务智能体渗透》由平安Hamber团队出品，聚焦大模型与智能体在金融科技场景中的新型攻击面。报告系统梳理提示词注入、工具滥用、身份伪装、MCP越权、知识库污染、XSS/SSRF/命令执行等10+实战手法，演示如何通过一次“查薪资”诱导智能体泄露他人工资、伪造token调用未公开接口、上传恶意MCP插件横向移动并获取内网shell。作者提出“智能体应用扫描-画像-决策”闭环渗透框架，结合CVE实例与平安众测数据，输出可落地的风险矩阵及加固方案，助力企业从设计、部署到运营全生命周期守护数字员工安全。

企业内部的渗透测试自动化探索

Wed, 26 Nov 2025 14:12:10 +0000

本文链接

《企业内部的渗透测试自动化探索》由平安科技廖汇铭分享，提出“API 资产中心 → 标准化用例 → AI 漏洞研判”三位一体自动化平台：通过流量镜像、语义打标、路径折叠去重，5 分钟完成 10 万级 API 分类（准确率 92-95%）；基于标签自动生成水平越权、SQL 注入、支付绕过等 200+ 标准化用例，分布式执行器 1 小时完成千接口测试；AI 研判智能体引入正向-反向双提示与证据链校验，越权误报降低 80%，整体自动化覆盖率 45.9%，漏洞发现占比 38.3%，实现渗透测试从“手工经验”到“可持续工程体系”的跃迁。

轻装上阵：Javassist聚焦代码审计关键点实践

Wed, 26 Nov 2025 14:13:30 +0000

本文链接

《轻装上阵：Javassist聚焦代码审计关键点实践》提出用字节码操作库Javassist突破传统正则与SAST瓶颈，精准提取Spring等框架的路由映射、方法参数与注解语义，自动识别Runtime.exec、ScriptEngine.eval等敏感sink；结合参数签名分析，复现JDBC任意文件写入等CVE，实现无源码、低成本的蓝军快速审计。工具已集成路由提取、sink定位、参数校验三大模块，可作为轻量级辅助手段，显著提升代码审计效率。

构筑智能化攻防格局：网络安全实验室的战略与未来蓝图

Wed, 26 Nov 2025 14:15:44 +0000

本文链接

《构筑智能化攻防格局》提出“三位一体”安全实验室战略：以渗透测试、威胁情报、安全研究为支柱，通过领域专家制、流程固化与知识标准化，打造可复制的安全底座；引入AI智能体，实现威胁情报秒级研判、漏洞自动收集-分析-复现、渗透测试Multi-Agent报告生成，已把Tomcat CVE-2025-53506从披露到POC验证压缩至小时级。报告给出AI工具化→平台化→自主化三阶段路线图，目标让攻防策略随威胁动态自进化，为企业构建持续演化的智能安全中枢。

SOAR落地实践分享

Sun, 18 Jan 2026 13:55:23 +0000

本文链接

《SOAR落地实践》介绍平安科技5年来将“安全编排、自动化与响应”平台化的经验：以“自动炒菜机”理念把钓鱼研判、IP封堵、离职终端策略加固、资产富化与电话告警5大高频场景压缩至分钟级闭环，实现无人值守T+5分钟处置。分享给出SOAR选型关键——APP生态、剧本丰富度、总拥有成本与同行业案例，并剖析剧本设计、白名单校验、审批节点与重拨机制等落地细节，为准备建设或优化SOAR的团队提供可直接复用的参考模板。

码力·智能开发与安全一体化平台

Fri, 20 Mar 2026 09:39:16 +0000

本文链接

《码力·智能开发与安全一体化平台》由长亭科技推出，以"AI+安全"双引擎破解企业AI编码困局：IDE智能辅助实现代码生成-审计-修复闭环，AI员工全自动完成需求到提交；内置SAST/SCA/AI审计三层防护，误报率<5%，支持DeepSeek等主流模型私有化部署。独创第四代自主规划Agent架构，1400倍上下文压缩、环境驱动执行与动态任务分解，让80万行代码审计从"被动扫描"升级为"主动探索"；配套安全/质量/合规/业务逻辑四维模板与Skill热插拔体系，已服务蔚来、贝壳等企业，AI代码占比超30%，实现"代码生而安全"的新型开发范式。

Careful adoption of agentic AI services

Wed, 06 May 2026 07:12:49 +0000

本文链接

本文档由澳大利亚、美国、加拿大、新西兰及英国等多国国家级网络安全机构联合发布，旨在为政府、关键基础设施及行业企业提供智能体AI（Agentic AI）安全采用的权威指南。智能体AI基于大语言模型，具备自主推理、规划与执行能力，但其高度的自主性与复杂的系统架构显著扩大了攻击面，引入了权限滥用、目标错位、行为不可预测、结构耦合及问责困难等新型安全风险。

指南系统梳理了智能体AI在设计、开发、部署与运营全生命周期中的安全挑战，并提出分层防御最佳实践。核心建议包括：严格遵循最小权限与零信任原则，强化细粒度身份管理；实施纵深防御与环境隔离；完善输入验证、第三方组件审查与持续监控机制；在高风险流程中强制保留“人在回路”监督；并通过威胁建模、红队演练与动态评估提升系统韧性。文档强调，组织应将AI安全深度融入现有网络安全框架，仅将其用于低风险任务，采取渐进式部署策略，优先保障系统的可观测性、可逆性与风险可控性，在安全可控的前提下推进技术落地。

SSAQ AI for security 20260422

Wed, 06 May 2026 08:50:32 +0000

本文链接

本报告《AI重塑网络安全：网络安全智能化产品与市场报告》由数说安全研究院于2026年4月发布，聚焦"AI for Security"领域，系统研究人工智能技术如何赋能网络安全防御、检测、响应与治理。报告明确区分"用AI保护系统"与"保护AI系统自身"的边界，围绕五大核心问题展开：AI如何重塑安全运营工作流、从Copilot到Agent的技术演进路径、产学研最新进展与差距、不同场景下AI能力边界、代表性厂商技术路线差异。报告基于66家国内厂商问卷、11场深度访谈及国际公开资料，提炼13项关键发现：全球市场规模年均增速19-24%、头部厂商加速分化、数据质量成最大阻碍、工程化壁垒崛起等。市场按威胁检测、安全运营、数据安全等10大场景簇切分，并按Chatbot/Copilot、Agent智能体、内嵌增强三类交付形态梳理能力演进。报告提供10大维度选型评估框架、30道RFI关键问题清单，并深度画像44家国内外代表厂商，为CISO、SecOps团队、产品负责人及投研机构提供可落地的战略参考与实践路径。