小红花·文摘

AI编码代理可能通过明文URL、DNS查询、POST请求体和HTTP头部泄露密钥。大多数安全工具只能检测URL泄露，其他渠道防范较难。建议使用代理流量、审计权限、限制域名白名单，并关注非常规泄露通道。

你的AI代理正在偷你的密钥——四种你没想到的泄露通道

暗无天日 ·

那晚，我看着 Gemini 把我的 workspace 删空了

凡人小北 · 转角处 ·

每个大型语言模型应用面临的三大隐性风险（及其防范措施）

MachineLearningMastery.com ·

文章讨论了大型语言模型（LLM）爬虫对网站的影响，指出这些爬虫常常忽视robots.txt规则，导致网站流量激增和资源消耗，给小型网站带来困扰。文章还探讨了防范爬虫的技术手段。

无需JavaScript即可阻止大型语言模型网络爬虫的方法

程序师 ·

本文介绍了钓鱼邮件攻击实验，利用Measploit生成伪装成JDK的msi木马，诱导域用户下载安装，从而掌握钓鱼邮件的原理与防范措施。实验步骤包括生成木马、上传服务器、编写并发送钓鱼邮件、模拟用户下载安装，最终成功获取系统权限。

钓鱼邮件攻击

FreeBuf网络安全行业门户 ·

本文介绍了Redis未授权访问的风险及复现方法，强调Redis默认无密码配置易受攻击。详细讲解了Redis基本命令、环境搭建及三种攻击方式：WebShell、SSH公钥连接和计划任务，提供具体操作步骤和注意事项，旨在帮助新手理解和防范安全问题。

Redis未授权访问详解——新手友好

FreeBuf网络安全行业门户 ·

本文分析了fastjson反序列化漏洞的挖掘与利用，探讨了受影响的版本及反序列化链。通过逆向思维和DeepSeek工具，作者还原了漏洞链，展示了构造恶意JSON字符串以执行代码的方法，强调了漏洞的严重性及防范措施。

借助DeepSeek从漏洞挖掘的角度分析fastjson反序列化漏洞

FreeBuf网络安全行业门户 ·

Curity公司CTO Ideskog警告，企业在部署AI代理时缺乏必要的安全控制，导致数据泄露和未授权访问风险增加。尽管AI代理数量和能力迅速提升，但安全防护措施滞后，可能引发重大安全隐患。企业应加强身份管理和输入输出过滤等安全措施，以防范潜在攻击。

无人防备的AI安全危机：企业如何应对AI代理带来的新型威胁

FreeBuf网络安全行业门户 ·

近期出现一起利用电子发票的钓鱼案件，攻击者伪装发件人并隐藏链接，诱导用户下载恶意文件。该病毒具备反沙箱能力，难以被检测。企业需加强防范，更新钓鱼防护措施。

钓鱼预警：黑产钓鱼都都都反沙箱了

FreeBuf网络安全行业门户 ·

数据泄露已成为数字时代企业和个人的主要安全挑战，常见原因包括人为错误、社工攻击和技术漏洞。防范措施包括使用环境变量管理凭据、加强API认证和定期安全培训。企业需从技术、流程和文化三方面构建防御体系，以保障数据安全。

数据泄露：数字时代的威胁与防御策略

FreeBuf网络安全行业门户 ·

DNS重绑定攻击解析：请求来自内部网络！

The GitHub Blog ·

Rootkits是一种恶意软件，旨在隐蔽自身及其活动，控制受感染系统。它们通过修改操作系统行为来隐藏恶意进程、文件和网络连接，确保攻击者持续访问。Rootkits主要用于窃取信息、建立僵尸网络和进行间谍活动。防范措施包括定期更新系统、使用安全软件和保持警惕。

解析Rootkit技术原理、攻击手法与真实世界威胁

FreeBuf网络安全行业门户 ·

黑客利用Web应用程序的主要方式（及其防范措施）

freeCodeCamp.org ·

当服务器与陌生人对话：服务器端请求伪造（SSRF）

DEV Community ·

什么是拒绝服务（DoS）攻击？全面指南

DEV Community ·

理解网络攻击：类型、影响与防范策略

DEV Community ·

保护自己免受勒索软件攻击：提示、类型和恢复步骤

DEV Community ·

DDoS攻击的上升威胁：您需要了解的事项

DEV Community ·

本研究探讨生成性人工智能系统产生虚假引用的问题，建议学术期刊要求作者提交引用文献的完整文本，以防止引用无法提供的材料。这一方法能有效保护期刊免受虚假引用影响，同时不增加作者和编辑的负担。

防范人工智能“幻觉”引用：全文本参考存档的必要性

BriefGPT - AI 论文速递 ·

常见网络诈骗及其防范方法

DEV Community ·