- 综合排序
- 最热优先
- 最新优先
AI网络攻击与内存安全代码防御
目前尚不清楚AI驱动的漏洞发现最终对攻击者还是防御者更有利。但为了理解防御者如何提高胜算并可能占据优势,回顾早期一波自动化漏洞发现浪潮会有所帮助。 针对少数某国科技公司的政策并不是全面的防御。另一个诱人的修复方法是完全自动化防御方的工作——让AI自主识别、修补和部署修复,而无需等待过度劳累的志愿者维护者审查它们。 内存安全代码创造更强大的防御最容易的起点是采用内存安全语言。各机构只需更改其编码人员使用的编程语言,就能对其安全性产生巨大的积极影响。 对研究人员来说,瓶颈在于使这些基础变得实用——并使用生成式AI来加速迁移。但与其进行自动化的、临时的漏洞修补,不如让这种防御模式下的生成式AI帮助将遗留代码翻译成内存安全的替代品。 它还协助验证证明,并降低通向更安全、更少漏洞代码库的专业知识门槛。最新一波更智能的AI漏洞扫描器仍然可以用于网络防御——而不仅仅是另一个被过度炒作的AI威胁。但AI漏洞扫描器治疗的是症状,而非病因。
13710编辑于 2026-05-21- 来自专栏AI SPPECH
对抗AI黑客:大模型安全的终极防御
在这种背景下,了解大模型面临的对抗性攻击类型,掌握有效的防御策略,对于保障AI系统的安全运行至关重要。 本文将深入探讨大模型对抗性攻击的技术原理、主要类型、防御策略以及实战案例,为AI安全研究员和企业CIO提供一份全面的大模型安全防御指南。 代码演示:基于对抗训练的大模型防御系统 下面提供一个基于对抗训练的大模型防御系统示例代码,帮助AI安全研究员和企业CIO快速实现基本的大模型对抗防御功能。 多方安全计算的协同防御:多个组织或机构可以通过多方安全计算技术,协同进行大模型的安全防御,提高防御的规模和效果。 3. 对于AI安全研究员和企业CIO来说,关注大模型安全的最新研究成果和实践经验,构建完善的大模型安全防御体系,将成为保障AI系统安全运行的重要任务。
1.5K10编辑于 2025-11-13 - 来自专栏Vue源码 & 前端进阶体系
【安全】 XSS 防御
4、配合钓鱼网站进行攻击 那我们怎么针对上面的手法进行防御,两种方式 1、禁止客户端访问 cookie 2、内容检查 下面来逐个介绍一下 禁止访问Cookie XSS 不能会窃取用户的 cookie,来假冒用户的登录吗 杀敌一千,四损八百,而且并没有根本上解决 XSS,只是减少了 XSS 的发生 因为能走到这一步的,说明恶意脚本还是执行了 就算你不让他获取 cookie,他还是可以做其他事情的 所以我们就有了下一个根本的防御的方法 下面记录一个转么转义 html 特殊字符的 方法 */ 网上还有更加完善的方法,这里就是简单记录理解一下,大家在项目中使用时要使用更加完善的方法 2 输出检查 虽然我们已经做了输入检查,但是我们永远要做更多的防御措施 ,以免有漏网之鱼 并且这一步是防御 XSS 最关键的一步,因为往往就是在这一步,把 恶意脚本插入到文档中 而导致脚本执行,从而发生攻击,所以在我们必须把内容插入到 HTML 文档中时,需要检查 该内容是否
1.6K20发布于 2020-02-17 - 来自专栏HACK学习
Web安全与防御
xss攻击(跨站脚本) 是网站应用程序的安全泄露攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。 是发生于应用程序之数据库层的安全泄露。 防御方法 1. 、验证并转义用户输入 2、base64编码 3、绑定变量,使用预编语言 4、控制用户的权限,以及做好数据库本身的安全工作 文件上传漏洞 是指网络攻击者上传了一个可执行的文件到服务器并执行。 防御方法 1、拼宽带 2、流量清洗或者封 IP 3、CDN 服务 4、花钱买相应的防御服务
84720发布于 2019-08-07 - 来自专栏公共互联网反网络钓鱼(APCN)
企业 AI 代理安全治理与社会工程攻击防御研究
本文以该研究为核心依据,系统剖析 AI 代理的安全属性、典型攻击链路与防御缺口,构建包含权限最小化、提示词安全、执行网关、人工在环与全链路审计的多层治理框架,提供可工程化的防御代码示例。 调研显示,73% 的生产环境 AI 部署存在可利用的提示注入漏洞,仅 33% 的组织部署专用防御,影子 AI无序使用进一步扩大风险面。 本文以 KnowBe4 最新研究为基础,界定 AI 代理的安全属性与脆弱根源,拆解间接提示注入、回声泄露、上下文操纵等典型攻击,提出覆盖身份权限、输入净化、执行控制、人工核验、持续审计的完整防御体系,并提供可直接落地的代码实现 2 AI 代理的类人安全属性与脆弱性根源2.1 与人类员工一致的四大核心特征Martin Kraemer 将 AI 代理与人类员工对比,归纳出决定其安全风险的四大共性 traits,构成防御体系的认知基础 此类特性导致传统 MFA、VPN、终端检测等防御失效,攻击直接作用于 AI 代理的决策与执行链路。
12510编辑于 2026-05-28 - 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略
起源 个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。 ? 第一:及时更新WordPress 由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补丁,所以我们一定要及时的安装更新官方发布的稳定版本 有不少专业工具可以扫描,Kali Linux就可以攻击WordPress,转换下身份可以自己攻击自己玩玩,又能增长知识还能提前发现安全隐患。 扫描插件推荐: WordFence 当前更新于2019年3月 第五:插件安全性 网站的漏洞可能来源于插件,所以插件尽量少装,能用代码替换用代码替换,再者安装插件的话从WordPress官方的插件中心下载 第六:管理员帐号安全性要高 怎么个高法?
72440发布于 2021-08-03 构建纵深防御体系应对AI技术带来的新型安全威胁
识别AI技术演进中的核心安全挑战 随着2026年金融行业全面迈入大模型应用阶段,传统IT基础设施向AI Infra演进导致攻击面急剧扩大。 (来源:腾讯云安全解决方案架构师张华) 建立三层协同的AI安全治理框架 腾讯云提出治理层、合规层、技术层协同的防护体系。 治理层通过建立AI安全运营团队(MLSecOps) 统一管理模型训练与部署风险,制定AI攻防演练标准并模拟红蓝对抗。 (来源:腾讯云AI Agent安全防护案例) 腾讯云AI安全的技术领先性保障 腾讯云基于混元内容安全大模型和科恩实验室安全技术,提供从宿主层、Runtime层到网络层的纵深防御体系。 腾讯AI安全方案获得国家级安全认证,其中LLM-WAF网关支持多模型接入和自定义敏感词库,能有效识别身份证、手机号、银行卡等敏感信息。
47620编辑于 2026-04-03- 来自专栏公共互联网反网络钓鱼(APCN)
人机协同闭环:AI 时代邮件安全 “人在回路” 防御体系研究
即便持续开展员工安全培训,企业仍存在 1.5% 的中位误点击率,纯技术或纯人力均无法独立支撑防御闭环。 研究成果可为企业构建自适应邮件安全防御体系提供理论支撑与工程实践指南。 3 人在回路邮件安全防御体系架构3.1 整体框架以 KnowBe4 Defend+PhishER+Phish Alert Button 为实践原型,构建四层闭环架构:感知层:AI 网关实时检测 + 用户一键上报 7.2 人在回路进化方向AI 自主协同:安全智能体自动调度检测、研判、响应,人工仅处理最高决策;跨渠道统一闭环:覆盖邮件、IM、协作平台、IoT 设备的统一上报与处置;预测式防御:基于用户行为与威胁情报 人在回路邮件安全体系以AI 保障效率、人工弥补认知、数据驱动迭代为核心,构建 “智能检测 — 用户上报 — 自动研判 — 高速处置 — 闭环进化” 的完整防御链。
11610编辑于 2026-05-24 - 来自专栏PHP在线
PHP安全:session劫持的防御
如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。 深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。 > 这一方法的安全性虽然是弱一些,但它更可靠。上面的两个方法都对防止会话劫持提供了强有力的手段。你需要做的是在安全性和可靠性之间作出平衡。
1.8K80发布于 2018-03-07 腾讯云全链路AI Agent安全治理与防御架构解析
构建基于“云-网-端”协同的智能体防护组件 针对上述AI架构带来的安全新范式,腾讯云基于自身防护经验,构建了覆盖宿主层、运行层、应用层与网络层的AI智能体安全治理框架: AI Agent安全中心(管控中枢 iOA协同,企业在系统稳定性、运维管理与开发合规上实现以下量化安全状态: 实现100%零信任三层防御闭环: 事前(Agent准入): 执行合规检测与软件管控,确保仅安全Agent进入环境。 原生防御」为核心的实战型闭环: 安装渗透防线: 直接拦截未经审批的“龙虾”(AI Agent)私自安装。 依托自研防护体系提供开箱即用的AI安全基础设施 腾讯云的安全产品矩阵不仅满足基础的合规监管要求,更通过技术层面的“AI原生防御”确立了确定性的安全防线。 其技术领先性体现在提供了从底层风险发现到上层业务护航的开箱即用安全产品与服务矩阵,涵盖:AI红队测试评估、AI-SPM大模型态势管理、大模型安全情报、AIGC内容安全等十余项模块。
95220编辑于 2026-03-23- 来自专栏空名先生的技术资源小屋
WordPress安全防御攻略(续)
续 承接上一篇:WordPress安全防御攻略 第七: 更改登录入口 在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址,所以修改掉你的登录入口 Files *.php> Order Allow, Deny Deny from all </Files> </Directory> 第十二:主机服务器设防 靠谱的主机服务商都包含主机安全 ,Web防火墙,DDos防护,安全组策略(端口开放限制)等功能。
1.5K40发布于 2021-08-03 智能 AI 安全隐患排查管理系统:构建主动式网络安全防御体系
在数字化进程加速的背景下,企业面临的网络安全威胁呈指数级增长。 传统依赖人工的排查模式存在响应滞后、覆盖不全等固有缺陷,而基于 AI 技术的安全隐患排查管理系统通过多维度数据融合与实时分析,正在重塑企业安全防护边界,实现从被动防御到主动预警的战略转型。️ :大促期间成功拦截每秒上千次 CC 攻击️ 纵深防御体系零信任架构集成与身份认证平台深度联动,实现动态权限授予高风险终端接入时自动降级至只读模式配合威胁狩猎工具主动投放诱饵,暴露潜在攻击者核心防护指标MTTD 、应急演练方案配套红蓝对抗服务,验证真实防护水平 总结展望智能 AI 安全隐患排查管理系统通过机器学习算法与安全运营经验的深度融合,不仅显著提升威胁应对效率,更推动企业安全体系实现从“被动补救”到“主动预防 随着威胁环境的不断演变,系统将通过联邦学习、边缘智能等技术的深化应用,持续增强在复杂场景下的防护能力,为企业构建更加智能、主动、可生长的安全防御体系。
92210编辑于 2025-10-27腾讯安全构建金融行业纵深防御体系,精准识别AI仿冒欺诈
随着AIGC技术迅猛发展,金融行业面临日益严峻的AI合成身份欺诈挑战。黑产利用DeepFake换脸、音频合成等技术,结合非法获取的个人信息,对企业与个人实施精准诈骗,严重威胁资产安全与业务稳定。 金融行业面临AI仿冒欺诈的多维挑战 AI仿冒欺诈已形成完整黑产链条:从非法获取公民个人信息,到利用AI技术生成仿冒音视频,最终绕过身份核验机制实施诈骗。 金融业务的高安全性要求与监管合规压力,使得单一依赖生物特征认证(eKYC)已不足以应对复杂攻击。 腾讯防AI仿冒解决方案的四大核心模块 1. 腾讯安全的技术权威性与实践积累 腾讯安全基于长期黑产对抗经验,构建了覆盖设备、环境、行为、账号的多维风险识别体系。 方案获得金融第三方机构安全认证,并在实际业务场景中验证了其技术有效性与合规性,为金融客户提供兼具防护强度与隐私友好的AI反欺诈能力。
13010编辑于 2026-05-30开源AI模型与安全防御工具最新进展
每周,都会为大家带来最新的开源AI模型、工具和研究进展。人们正在创造很酷的东西,并希望与您分享。闲话少说,接下来是常驻技术专家对本周AI领域的直率见解。 他们将AI视为一个系统,而语言模型只是其中一个组件。其负责人在随版本发布的信中反复使用了“AI系统”这一表述。比起大多数人,他更理解软件并非存在于真空中。 酷炫工具某机构用于构建AI智能体的框架某机构开源了一个使用Llama 3.1创建AI智能体的工具包。 分解复杂任务使用内置和自定义工具可通过Llama Guard配置安全性该框架允许开发者创建能够处理多步骤问题并与外部工具交互的AI智能体。 包含用于安全性的Llama Guard为负责任的AI开发提供了一个起点。
18010编辑于 2026-02-08AI 安全防御亟须学会“拴疯狗”
如果你还以为安全漏洞只是“被人偷看了一点数据”,那么这场发生在我们眼皮底下的 Agent “裸奔”狂潮,绝对会彻底颠覆你对 AI 时代系统崩溃的认知。 这不是信息安全问题,这是系统控制权的物理级丧失。二、 极速上线的代价:被遗忘在公网的“上帝权限”为什么会出现如此规模的集体“裸奔”?原因很简单:在 AI 时代,开发速度彻底碾压了工程规范。 Agent 的非确定性(它会自己做决策)彻底打破了传统的防御体系。安全不再是“阻止未经授权的访问”,而是要深入到 Agent 的逻辑内部。 【笔者观点:不要修补城墙,要去“驯化野兽”】这个惨痛的教训告诉我们:面对 AI,传统的“筑墙防守”思维已经失效。优秀的 AI 开发者和安全专家,最高阶的能力将是作为“数字野兽的驯化师”。 当满大街都是“会写 Prompt”和“会调 API”的初级开发者时,这场 22 万实例的公网灾难,恰恰为未来的技术人才指明了最值钱的方向:“原生安全视角”的 Agent 架构师(Zero-Trust AI
71510编辑于 2026-03-07- 来自专栏数说工作室
更主动的安全防御
防御这个词好像天然是被动性的,别人来攻击,你来防守,要处处防着对方,小心被对方渗透进来。 因为攻击者在暗,防守方在明,只有攻击者出手的份,防守方对攻击者似乎做不了什么。 笔者从安全防御的 “主动性” 角度,总结了企业安全建设的三个层次,这三层不是演进替代的关系,而是叠加: 第一层是筑牢基本防线,建立运营流程 安全的基本防线构建大概分为三块: 1)安全套件 互联网边界上标准安全架构 3)安全制度和培训 必要的安全制度和审计机制; 在关键节点上嵌入安全培训。 第三层是强化溯源研判的软硬实力,部署威胁猎捕工具,协同外部执法力量对攻击者进行打击 前面2层还是“防御”层次,只是对攻击行为能够更主动的防御。而第三层,则开始对攻击源开始反制。 本文是从安全防御的 “主动性”角度梳理的企业安全建设的层次,主动性未必代表成熟度。作为企业安全人员,应该根据安全建设的目标、资源情况,综合进行考虑。
56420编辑于 2022-08-31 - 来自专栏乌鸦安全
通过攻击看透安全开发、安全运维、安全防御
就拿木马举例,各种形式的木马,变相产生了各种杀毒软件,web安全狗,360安全卫士,火绒,windowsdefander,卡巴斯基,各种病毒专杀工具。 0x01 攻防发展剖析 首先,先来剖析传统互联网的信息安全防御体系。 在目前大力推广云厂商上云部署及零信任环境下,信息安全中的系统安全问题就显得格外突出。在云厂商部署系统的条件下,本身就无法满足零信任环境。 云厂商平时云维护过程中必然会接触到你的数据和通过他网络节点的流量,再加上云厂商运维安全环境的严重不足,使得你的资产跟其他公司资产可以在云厂商云内网之间互相访问,这就导致网络安全风险的大批量增加。 每一个安全测试小环节组成一个大的安全生产体系建设。整个企业生产围绕安全进行,弃用不可信代码,反复测试上线代码bug及漏洞。这些都能从源头上缓解红队的内网攻击态势。
1.1K20编辑于 2022-08-11 - 来自专栏公共互联网反网络钓鱼(APCN)
生成式 AI 驱动下网络安全手册重构与防御体系研究
本文以 AI 重构安全手册为核心议题,系统分析生成式 AI 对钓鱼攻击、漏洞利用、渗透测试与社会工程学的赋能机理,揭示传统防御范式在实时对抗、动态伪装与机器速度攻击下的结构性缺陷。 瓦解传统检测逻辑,迫使安全行业重构防御手册与能力体系。 本文以 AI 对安全手册的颠覆性影响为主线,开展四方面工作:①解析 AI 驱动攻击的技术路径与典型场景;②论证传统安全手册失效的核心原因;③构建面向 AI 威胁的自适应防御框架;④提供可部署代码示例与运营规范 传统安全设备依赖静态规则与监督学习模型,在 AI 驱动的对抗性规避面前持续失效,迫使防御方从特征识别转向意图识别。 7 讨论:AI 时代网络安全的长期演进方向7.1 攻防进入 AI 对 AI 的持续博弈攻击与防御将形成实时自适应对抗:攻击方持续生成规避样本,防御方持续更新检测模型,安全能力进入快速迭代周期,手册必须从静态文档变为可执行
23110编辑于 2026-04-08 - 来自专栏网络安全技术点滴分享
AI如何塑造下一代网络安全防御体系
AI如何塑造下一代网络安全防御体系随着网络威胁日益复杂化,传统安全措施已难以应对。人工智能(AI)正通过创新解决方案重塑网络安全格局。本文将探讨AI如何推动网络安全革命,并分析实施过程中的关键挑战。 传统防御手段已无法应对快速演变的威胁,这正是AI发挥关键作用的领域。人工智能:新一代数字卫士AI能实时分析海量数据,在威胁发生时立即识别并缓解。 增强型威胁情报通过分析全球数据,AI能比人类分析师更快发现新型威胁。IBM数据显示,采用AI的企业在2020年平均节省381万美元安全成本。预测性分析基于历史数据的模式识别,AI可预测潜在攻击。 持续进化需求网络威胁日新月异,AI系统需要持续更新模型。组织需建立专业团队负责系统迭代维护。对抗性AI威胁攻击者同样开始利用AI技术。防御方需研发更强大的机制应对AI驱动的自动化攻击。 未来展望随着网络威胁持续升级,AI将成为数字防御体系的核心支柱。通过实时分析、预测防御和自动化响应等技术优势,结合人类专家的战略判断,我们将构建更具韧性的网络安全生态。
32400编辑于 2025-07-21 - 来自专栏Web大前端
前端安全:XSS攻击与防御策略
防御XSS攻击通常涉及以下几个策略: 1. 输入验证: 对用户提交的数据进行严格的验证,确保只有预期的字符和格式被接受。 使用正则表达式或预定义的白名单模式来过滤无效字符。 多层防御: 实施多层防御,即使某一层被绕过,还有其他防线可以防止攻击成功。 21. 日志和监控: 建立健全的日志记录和监控系统,记录所有API请求、用户活动和系统事件。 提供持续的安全培训,确保所有开发人员了解最新的安全威胁和防御技术。 24. 沙箱环境: 在开发和测试阶段使用沙箱环境,隔离生产数据,减少因测试代码导致的安全风险。 25. 模拟攻击演练: 定期组织红蓝对抗演习,模拟真实世界的攻击场景,检验防御措施的有效性,提高团队应对突发事件的能力。 28. 安全编码训练: 提供定期的安全编码训练,使开发人员了解最新的安全威胁和防御技术。 40.
1.3K10编辑于 2024-06-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号