我们与英国人工智能安全研究所（AISI）签署新的谅解备忘录，扩大合作，专注于基础安全研究，确保人工智能的安全发展。双方将共享模型和数据，开展联合研究，重点关注AI推理监控、社会情感影响和经济系统评估，以推动AI安全，减轻潜在风险。

Wepoc是一款为安全研究人员和渗透测试工程师设计的图形化漏洞扫描工具，基于Nuclei引擎，支持多操作系统和并行扫描，具备POC管理、任务监控和配置持久化功能。

SQLmap是一款开源的自动化SQL注入工具，广泛用于渗透测试和安全研究。自2006年推出以来，SQLmap不断更新，支持多种数据库和攻击技术，具备高效的检测和数据库控制能力。它能够绕过认证和防火墙，适应复杂网络环境，帮助安全从业者掌握攻防技巧。

企业级WAF在防御网络攻击中至关重要，但随着技术进步，绕过技术也在不断演变。本文梳理了WAF的工作原理、检测机制及主流产品，分析了绕过的核心原理和高级技术，为安全研究人员提供参考。

阿姆斯特丹自由大学的研究人员因发现L1TF重加载漏洞而获得15万美元奖金。该漏洞结合L1TF和半幽灵漏洞，能够绕过防护措施，泄露云服务虚拟机中的敏感数据。研究表明，即使在高噪声环境下，攻击依然有效，谷歌对此表示支持并给予奖励。

汉堡王因安全研究报告揭示其得来速系统漏洞，引用DMCA强制下架，引发争议。研究员BobDaHacker发现多重安全隐患并遵循负披露流程，却遭法律威胁。专家警告此举将损害安全研究透明度，企业应妥善处理漏洞披露。

本文介绍了CodeQL的基本使用方法，强调其在代码审计和安全研究中的重要性，详细说明了环境准备、数据库创建及QL语句编写的步骤，适合初学者参考。

随着AI威胁加剧，安全研究人员和道德黑客正在重塑AI安全与企业防护。黑帽大会将讨论攻击性AI对安全策略的影响，以及企业如何加速部署AI解决方案以应对复杂威胁。

本文介绍了通过导入表注入技术实现DLL注入的方法，强调其隐蔽性和免杀能力。该技术能够在不修改原始入口点的情况下，将自定义DLL静默植入PE文件，适合高级安全研究。实现过程中需解决空间管理、结构复杂性、地址转换和对齐要求等技术难题。

Cutter是一个由Rizin支持的免费开源逆向工程平台，提供易用的反汇编和分析工具，支持多种架构，具备图形界面、调试功能和插件扩展，适合安全研究人员和开发者使用。

安全研究员Matt Keeley展示了AI如何在漏洞代码发布前生成有效利用程序，改变漏洞研究格局。他利用GPT-4成功开发了针对Erlang/OTP SSH组件的高危漏洞攻击程序。AI能够快速定位漏洞、生成攻击代码并调试，显著提高研究效率，但也可能降低恶意攻击的门槛。组织需迅速升级受影响版本，以应对缩短的漏洞披露与攻击开发时间。

2024年，谷歌向660名安全研究人员支付近1200万美元的漏洞赏金，平均每人1.8万美元。自2010年启动漏洞赏金计划以来，谷歌累计支付6500万美元，并提高了2024年的赏金上限，以加强与安全社区的合作，提升产品安全。