RSAC 2024创新沙盒|VulnCheck:漏洞优先级挑战的解决方案 5月6日RSA Conference 2024将正式启幕作为“安全圈的奥斯卡”RSAC 创新沙盒(Innovation Sandbox)四月 27, 2024
知识图谱使LLM能够真正理解 Knowledge Graphs enable LLMs to really understand | Mike Dillinger | Medium 摘要: 本文探讨了知识图谱如何增强LLM系统的理解能力,强调了通过将字符串基于概念和感觉-运动经验进行实体化来使它们能够更像人类一样“理解”。四月 26, 2024
技术实践|大模型内容安全蓝军的道与术 1、引子大语言模型(LLM)在2023年大放异彩,在许多领域展现出强大的能力,包括角色扮演,文本创作,逻辑推理等。然而,随着其应用范围的扩大,生成内容的安全问题也日益凸显。这包括但不限于生成虚假信息、有害内容、偏见或歧视性言论等。这些问题不仅可能影响用户体验,还可能对社会稳定造成威胁。四月 26, 2024
深度探索:LLaMa-3 网络安全能力全解析 4 月 19 日凌晨,Meta 开源了新一代 LLaMa-3 模型。作为当前最受瞩目的大语言模型之一,LLaMa-3 在网络安全领域的表现到底怎样?如何将 LLaMa-3 这样的新型大模型快速应用到网络安全问题解决中?四月 25, 2024
国内云端输入法漏洞使网络攻击者得以监看个人用户的输入内容 重要:我们建议所有用户立即更新所使用的输入法软件以及操作系统。并建议高风险用户停止使用任何输入法提供的云端建议功能,改为完全离线的输入法,以避免数据外泄。四月 24, 2024
网络安全类任务大模型微调个人推荐 大模型哲学:能prompt就prompt,能few shot就few shot,实在不行在微调。先看榜单,Open LLM 排行榜是 Hugging Face 设立的一个用于评测开放大语言模型的公开榜单。四月 22, 2024
华中科技大学 | 大模型中‘故障词元’的检测和分类 原文标题:Glitch Tokens in Large Language Models: Categorization Taxonomy and Effective Detection 原文作者:Yuxi Li*, Yi Liu*, Gelei Deng, Ying Zhang, Wenjia Song, [...]四月 22, 2024
再见!爱因斯坦计划,网安态势感知迎来转型 2023年 初,当美国国土安全部(DHS)下面的网络与基础设施安全局(CISA)发布2024财年预算申请计划的时候, 联合协作环境(Joint Collaborative Enviornment,简称JCE)和网络分析与数据系统(Cyber Analytics and Data [...]四月 22, 2024
NodeJS操作符空格漏洞 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,它使得 JavaScript 可以脱离浏览器在服务器端运行。Node.js 利用事件驱动、非阻塞 I/O [...]四月 22, 2024
钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶 受影响的平台:Microsoft Windows受影响的用户:Microsoft Windows影响:被盗信息可用于未来攻击 四月 15, 2024
Web3 安全入门避坑指南|钱包分类及风险 背景 随着加密市场越发火 热,Web3 项目与玩法以极快的速度更迭着,玩家们的情绪也处于越发高涨的状态,随之而来的是玩家在参与各类新项目的过程中不小心踩坑被盗或遭遇钓鱼。在这个背景下,同时结合我们在链上链下所收集到的信息,我们希望扩展出一系列与用户资产安全息息相关的实例科普,于是便有了 —— Web3 [...]四月 15, 2024
PPT分享 | 邬江兴院士:网络内生安全理论研究现状与尚需证明的问题 邬江兴院士表示:内生安全机理属于科学发现,内生安全构造属于发明,技术目标是寻求在有毒带菌的网络空间创建可控安全概率的信息或信息物理系统。四月 12, 2024
第90篇:美国APT的全球流量监听系统(Turmoil监听与Turbine涡轮)讲解与分析 Part1 前言 大家好,我是ABC_123 。根据国外泄露的资料显示,美国NSA在全球范围搭建了一整套流量监控系统,一旦发现有价值的目标,结合各种量子注入攻击手法, 可以劫持全世界任意地区上网用户的网页浏览流量 ,然后使用浏览器级别0day漏洞向目标用户的电脑植入后门程序。 [...]四月 12, 2024
窃密木马借"壁纸引擎"传播,Steam "再中招" 近期,火绒安全实验室收到用户反馈称《Wallpaper Engine:壁纸引擎》下载的壁纸打开之后造成 Steam 账号异常,火绒安全工程师第一时间为用户提供技术支持,提取样本并进行分析。分析过程中发现该程序为正常壁纸文件捆绑了恶意的 Steam [...]四月 11, 2024
新兴TOP2勒索软件!存在中国受害者的BianLian勒索软件解密原理剖析 近期,笔者在浏览网络中威胁情报信息的时候,发现美国halcyon.ai公司于2024年3月25日发布了一篇《Ransomware on the Move: LockBit, BianLian, Medusa, Hunters [...]四月 8, 2024
威胁狩猎:Latrodectus最新分析 Proofpoint 于 2023 年 11 月下旬首次观察到名为 Latrodectus 的新恶意软件出现在电子邮件威胁活动中。虽然 Latrodectus 的使用量在 2023 年 12 月至 2024 年 1 月期间有所下降,但 Latrodectus 的使用量在整个 2024 年 2 月和 3 [...]四月 8, 2024
软件安全评估之设计评审入门(上) 壹基础概念在软件开发生命周期(Software Development Life Cycle,简称SDLC)中,设计评审(Design Review)是一个关键的阶段,旨在确保软件设计满足项目需求和目标,并且能够高效、可靠地实现预期功能。四月 8, 2024
美国网络安全从业人员规模与收入成色几何 美国劳工部每年会对全国各职业(约830 种)进行就业和工资统计(OEWS ),该统计数据是职业就业统计(OES )的升级版。这项统计在许多州都是强制报告的,官方会从州上缴失业保险的人群中按照大城市/ 非大城市、行业等角度进行抽样选择被调查人。基于 2015 年到 2020 年的统计情况,美国劳工部从 [...]四月 7, 2024
Palantir告警和检测策略框架简介 Palantir的IR团队 开发了 ADS,分享了 使 用的流程框架以及在早期ADS开发中所遇到的陷阱, 并 在GitHub存储库上发布了示例ADS。四月 5, 2024
知识图谱和 LLM:多跳问答 检索增强生成(RAG)应用程序通过将外部来源的数据集成到 LLM 中,擅长回答简单的问题。但他们很难回答涉及将相关信息之间的点连接起来的多部分问题。这是因为 RAG 应用程序需要一个数据库,该数据库旨在存储数据,以便轻松找到回答这些类型问题所需的所有内容。四月 4, 2024
2023-2024年度美国网安局人工智能路线图 美国网络安全与基础设施安全局(Cybersecurity & Infrastructure Security Agency)于2023年11月发布了该机构2023-2024年度人工智能路线图(Roadmap for AI,下文简称“CISA路线图”)[1]以表明其在美国人工智能战略(National [...]四月 4, 2024
Pwnable.kr 解题笔记 #include <stdio.h> #include <stdlib.h> #include <string.h> char buf[32]; int main(int argc, char* argv[], char* envp[]){ [...]四月 4, 2024
现代安全检测逻辑科普【续】 本 文 补上一些 上篇未提到的内 容 ,希望大家能有更多启发 。 在现代操作系统中,系统调用是应用程序与内核之间进行交互的基础。通过监视这些调用,安全工具可以揭示应用程序的行为模式,从而检测潜在的恶意活动。四月 4, 2024
XZ压缩库供应链攻击事件深度刨析 XZ压缩库是基于LZMA算法的高效压缩工具,因其卓越的压缩比和速度平衡而广受欢迎,它在Linux发行版和开源社区中尤为流行,为软件分发和数据存储提供了一种可靠的压缩解决方案。四月 3, 2024
xz liblzma 供应链CVE-2024-3094分析 背景 3月29日,开发人员Andres Freund在oss-security上发布上游 xz/liblzma 中的后门导致 ssh 服务器受到攻击的发现,这是一套为开发人员提供无损压缩的软件。该软件包通常用于压缩发行版 tarball、软件包、内核映像和 initramfs [...]四月 2, 2024
LLM安全 | 大语言模型应用安全入门 一、背景 2023年以来,LLM 变成了相当炙手可热的话题,以 ChatGPT 为代表的 LLM 的出现,让人们看到了无限的可能性。ChatGPT能写作,能翻译,能创作诗歌和故事,甚至能一定程度上做一些高度专业化的工作,比如法律服务和医疗诊断咨询。然而,正如任何新技术一样,LLM 也带来了新的挑战和问题。 [...]四月 1, 2024
xz 供应链投毒你需要知道的一切 xz 是一种通用的数据压缩格式,几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。本质上,它有助于将大型文件格式压缩(然后解压缩)为更小、更易于管理的尺寸,以便通过文件传输进行共享。XZ是类Unix操作系统上的一种无损数据压缩格式,通常与gzibzip2 等其他常见数据压缩格式进行比较。XZ [...]三月 30, 2024
SAST-数据流分析方法-理论 在大家的日常开发及办公过程中,或多或少会遇到一些看似棘手的问题,如果纯手动操作可能非常繁琐效率极低。(当然,如果你是一名兼职脚本开发工程师,大概率也难不倒你)三月 30, 2024
大模型与模糊测试进行结合的研究论文汇总|技术进展 近期,人工智能领域兴起了大模型的研究热潮,一些研究开始将模糊测试(Fuzz)与大模型(LLM)进行结合,大模型赋能模糊测试又会碰撞出什么新的研究思路呢?小编将近两年Fuzz与LLM进行结合的论文统计出来以供大家查阅,还将此次分享的论文在研究方向上进行了分类,以供大家参考。论文及摘要情况如下:三月 29, 2024
TellYouThePass勒索病毒入侵手法揭秘 TellYouThePass勒索病毒家族最早于2019年3月出现,其热衷于高危漏洞被披露后的短时间内利用1Day漏洞修补的时间差,对暴露于网络上并存在有漏洞的机器发起攻击。三月 29, 2024
重估现实中的恶意大模型服务 arXiv:2401.03315v1 [cs.CR] 工作背景 人工智能的浪潮席卷世界,攻击者也开始利用 LLM (Large Language Model ,后简称大模型)来进行恶意活动。从生成复杂的恶意软件到生成以假乱真的钓鱼邮件,针对大模型的滥用对网络安全的影响是深远的。三月 27, 2024
Frida-Hook-Java层操作大全 1.使用 jadx 进行逆向工程的基础知识。 2.应具备理解 Java 代码的能力。 3.具备编写小型 JavaScript 代码片段的能力。三月 27, 2024
ReDoS漏洞的原理、示例与应对 日常开发过程中,开发人员经常需要从一大段复杂的字符串中快速匹配特殊规律的字符串,比如,在用户输入手机号、身份证号等字符后,提醒用户是否输入规范。通常,这些功能的实现需要依赖叫做“正则表达式”的方法,当在它在处理一些复杂的、嵌套的或者具有多个重复的模式字符串时就会造成程序卡死,即造成ReDoS。三月 25, 2024