蚁景科技

摘要： GCG 把大模型越狱从人写 prompt推进到了算法优化 prompt的阶段。如果说 RAG 投毒讨论的是外部数据如何劫持上下文，那么 GCG 讨论的就是另一个更底层的问题：模型的安全边界，是否可以被算法自动搜索出来？ 阅读全文

摘要： 2026年5月7日，安全研究领域迎来了一次重大的震荡，安全研究员 Hyunwoo Kim 披露了一种名为“Dirty Frag” 的新型 Linux 内核本地权限提升（LPE）漏洞。该漏洞属于纯逻辑型缺陷，其破坏力极大，允许任何非特权本地用户在几乎所有主流 Linux 发行版上实现稳定、无需竞态条件的 Root 权限提升。 阅读全文

摘要： 近日，第 139 届广交会网络平台测试赛（第十一期《方班演武堂》）圆满落幕，蚁景科技在这场赛事对决中再度领跑，以团体总分 700 分的绝对断层优势斩获团体总分第一名，成功实现该赛事的“三连冠”。 阅读全文

摘要： Chainlit 在处理自定义元素（Custom Element）时，没有对用户传入的文件路径做任何验证，也没有对未认证用户进行有效拦截，导致任意人都可以让服务器读取其本地任意文件并通过接口返回给攻击者。 阅读全文

摘要： 2026年4月29日，国际安全研究团队Theori的研究员Taeyang Lee正式公开了代号为Copy Fail的Linux内核高危漏洞，官方编号CVE-2026-31431。这一漏洞在Linux内核中潜伏近9年，影响2017年至今几乎所有主流Linux发行版，攻击者可稳定获取系统最高root权限，甚至实现容器逃逸，直接突破Kubernetes集群的隔离边界。 阅读全文

摘要： 分支对抗简单来说就是利用了增大程序控制分支的复杂度来使得绕过检测引擎，那么我们还有其他的改变程序控制流的思路不？此处我用了两种方法混合在一起实现免杀。 阅读全文

摘要： 2026年3月31日，著名云安全平台 StepSecurity 监测到，在 JavaScript 生态系统中最受欢迎的 HTTP 客户端库 Axios（每周下载量超 3 亿次）遭遇了严重的供应链攻击。攻击者劫持了 Axios 核心维护者（jasonsaayman）的 npm 账户，并在 npm 官方仓库发布了两个被污染的恶意版本：[email protected] 和 [email protected]。 阅读全文

摘要： 看到标题，可能会误以为这是一条完整的攻击链——先绕过认证，再执行命令。但实际上两个漏洞没有任何依赖关系，放在一篇文章里面只是因为它们出自同一个项目。 阅读全文

摘要： 最近接了个医疗大模型的项目，在使用医疗数据构建RAG的时候，突然想到一个极具破坏性的盲点，如果外部导入的医学文献或第三方上传的医疗病例中，被悄悄藏入了隐蔽的提示词注入指令，模型在检索和生成时会不会也因此被攻击？ 阅读全文

摘要： 本文针对H2O-3反序列化漏洞（CVE-2025-6507&CVE-2025-6544）进行漏洞复现、漏洞分析及漏洞修复。 阅读全文