ai安全

Resistance丶未来

管控用量，降本增效,MAI Gateway：助力企业搭建 Tokens 统一管理体系作为技术负责人，你一定有过这样的经历：2026 年，当 AI 从 "尝鲜" 变成 "刚需"，算力成本失控已经成为所有企业的头号难题。Gartner 最新数据显示：62% 的企业 AI 成本超支 175% 以上，头部企业单月账单突破 1.2 亿美元，甚至有 3 人小团队因为密钥泄露直接破产。

【学习笔记】「大模型安全：攻击面演化史」第 03 篇-数据投毒大模型的安全问题不是某一个漏洞，而是一条攻击面持续扩大的演化线——从输入层（Prompt Injection / Jailbreak）→ 训练层（数据投毒 / 模型窃取）→ 执行层（Agent安全）→ 评估与治理层（红队方法论 / 安全左移）。每一层的攻击都让上一层的防御变得不够用。

【学习笔记】「大模型安全：攻击面演化史」第 05 篇-Agent安全大模型的安全问题不是某一个漏洞，而是一条攻击面持续扩大的演化线——从输入层（Prompt Injection / Jailbreak）→ 训练层（数据投毒 / 模型窃取）→ 执行层（Agent安全）→ 评估与治理层（红队方法论 / 安全左移）。每一层的攻击都让上一层的防御变得不够用。

【学习笔记】「大模型安全：攻击面演化史」第 04 篇-模型窃取与供应链安全大模型的安全问题不是某一个漏洞，而是一条攻击面持续扩大的演化线——从输入层（Prompt Injection / Jailbreak）→ 训练层（数据投毒 / 模型窃取）→ 执行层（Agent安全）→ 评估与治理层（红队方法论 / 安全左移）。每一层的攻击都让上一层的防御变得不够用。

【学习笔记】「大模型安全：攻击面演化史」第 06 篇-红队方法论大模型的安全问题不是某一个漏洞，而是一条攻击面持续扩大的演化线——从输入层（Prompt Injection / Jailbreak）→ 训练层（数据投毒 / 模型窃取）→ 执行层（Agent安全）→ 评估与治理层（红队方法论 / 安全左移）。每一层的攻击都让上一层的防御变得不够用。

【学习笔记】提示词注入完全指南：五种变体，一套防御体系图1：提示词注入完全指南：五种变体，一套防御体系「Prompt Injection」这个词大家都听过，但大多数团队对它的理解停在第一层——「用户输入里加了『忽略上面的指令』」。

Langroid LLM 框架 CVSS 9.8 RCE + WP Maps Pro 在野利用：当 AI 代理成为攻击入口2026年6月1日，两个 CVSS 9.8 级别的严重漏洞同时登上安全头条，而且它们指向了同一个趋势：攻击入口正在从传统 Web 应用向 AI 代理层和低门槛运营工具迁移。

【学习笔记】大模型应用安全落地实践参考文献：1、大模型应用安全落地实践-完整PPT分享

OpenClaw实操指南42｜安全边界2：提示词注入与沙箱防护边界不是用来堵住所有坏东西的墙，而是用来划定“炸了也没事”的范围上一篇文章我们讨论了OpenClaw部署中“被忽略的安全基线”，从公开暴露检测、敏感文件审计到恶意插件扫描，搭建了一个基础的安全扫描框架。但安全基线只能帮你发现“哪里出问题了”，真正的防御，需要回答一个更本质的问题：当AI Agent被恶意指令劫持时，你的系统能扛住吗？

OpenClaw 实操指南 41｜安全边界 1：白名单、权限、凭据分离对于很多刚起步的初创团队来说，引入 OpenClaw 这样的 AI Agent 往往是为了提效：让机器人自动查文档、跑脚本、甚至直接操作数据库。但在兴奋于“自动化”带来的便利时，我们很容易忽略一个致命问题：如果这个 Agent 被恶意诱导，或者因为配置失误执行了危险指令，后果谁来承担？

这是谁的博客？

AI 领域精选新闻（2026-05-24）本周 AI 领域重点关注：Anthropic 收购 Stainless 开发工具公司引发行业震动、欧盟 AI 法规简化协议达成、AI Agent 安全漏洞问题凸显。共精选 8 条技术新闻，涵盖大模型、安全、监管、芯片等方向。

Claude+Trae大模型配置Chrome MCP联动Yakit自动化渗透测试Chrome MCP Server 是一个基于chrome插件的模型上下文协议 (MCP) 服务器，它将您的 Chrome 浏览器功能暴露给 Claude 等 AI 助手，实现复杂的浏览器自动化、内容分析和语义搜索等。与传统的浏览器自动化工具（如playwright）不同，Chrome MCP server直接使用您日常使用的chrome浏览器，基于现有的用户习惯和配置、登录态，让各种大模型或者各种chatbot都可以接管你的浏览器，真正成为你的日常助手

诺未科技_NovaTech

微软AI时代的再一次革新：AI Agent 安全治理与实践指南随着AI代理在企业中的大规模部署，传统安全治理模式面临根本性挑战。微软于2026年5月1日正式发布的Agent 365，被定义为“AI代理的统一控制平面”，通过整合Microsoft Entra、Purview和Defender三大安全套件，将成熟的“零信任”安全模型系统性扩展至AI代理领域。本文从身份与访问控制、数据安全保护和威胁防护三个维度深度解析Agent 365的安全架构，分析其核心安全机制与设计理念，为CIO、CISO及安全架构师提供系统性的治理参考。

带娃的IT创业者

Claude Code 源码泄露事件深度剖析：当 AI 编程工具不再“透明”2026年3月31日，一篇关于 Claude Code 源码泄露的分析文章在 Hacker News 上引发了超过1200票的热议。这不仅仅是一次简单的代码泄露事件——它揭示了当前 AI 编程助手在工程实践中的深层矛盾：我们以为自己在使用智能工具，实际上却在与一堆“假工具”、“挫败感正则表达式”和“隐身模式”斗智斗勇。

科技早报｜2026年5月15日：AI 安全开始补信任层一句话导读：今天最值得看的不是模型能力又涨了多少，而是 AI 产品和开发平台开始把账号安全、敏感对话、供应链防护和运行时权限当成默认能力来补。OpenAI、GitHub 和 Microsoft 都在同一方向上发力：AI 进入生产后，真正决定能不能放心用的，已经是信任层而不是演示效果。

2026十大LLM研究突破：扩散语言模型挑战自回归、Unicode隐形注入、AI操纵性评估 — 大模型从狂飙走向可控2026年5月，Hugging Face 论文热度榜上十篇高票 LLM 论文指向同一个方向：大模型的核心命题变了。

合天网安实验室

Prompt is Search：GCG 与大模型对抗后缀攻击在上一次的技术分享文章中，着重讨论了 RAG 时代的数据投毒问题，也就是当外部文档被检索、拼接并送入大模型上下文时，数据就不再只是被动的信息来源，它可能变成一段能够影响模型行为的代码，详细可以搜索《Data is Code：RAG 时代的数据投毒与大模型上下文劫持》

AI安全威胁全解析：四大攻击手法与纵深防御体系的构建之道随着大语言模型（LLM）和生成式AI技术的迅猛发展，AI系统已成为企业核心竞争力的关键组成部分。然而，AI模型的安全风险也日益凸显。2025年，OWASP发布了GenAI/LLM Top 10最新版，系统性地梳理了当前AI系统面临的最严重安全威胁，将焦点从“提示词技巧”转向了日常开发团队实际面对的RAG流水线、智能体工具以及使用成本等现实问题。在众多AI安全威胁中，闪避攻击（Evasion Attack）、药饵攻击（Poisoning Attack）、后门攻击（Backdoor Attack）和模型/数据

AI辅助生成靶场源码指南：大模型自动化生成靶场skills技巧详解目录一、渗透准备1、下载安装cursor2、明确需求3、修改skills文档二、AI生成web靶场1、index.php