Feb 12 2026
蟻景網安實驗室 -
某LLM問答系統安全測試報告:提示詞注入與越獄攻擊分析
0.前言
有個項目做了個問答大模型,剛好需要安全測試,所以就有了這篇記錄
某法律機構聲稱,該模型基於某開源大模型的api微調,且已在應用層部署了嚴格的內容安全策略,限制其僅回答法律領域問題
1.提示詞注入
首先手工測試一下,可以看到我輸入“你好” llm直接給我拒了,直接就是説
抱歉,您的提示詞必須包含“法律”二字,否則我無法處理。請重新編寫您的提示詞。
那它都這麼説了,那我試試輸入”法律“看看,
網絡安全
Feb 11 2026
蟻景網安實驗室 -
收官啦!2026蟻景網安冬令營落幕,實戰練本領,不負每一份熱愛
冬意正濃,但網安人的熱情從不降温!近日,蟻景網安2026年網絡安全冬令營順利收官啦~ 這場主打公益的活動,面向全國高校學子免費開放,為期兩週的沉浸式學習+實戰練習,陪着3000多名同學,從理論入門走到實操上手,實實在在幫大家提升了實戰能力。
和很多形式化的線上活動不一樣,這次冬令營自始至終都抱着“助力大家學好網安”的初心,精心準備的實戰課程,還有全方位的在線服務,就是想讓每一位報名參加的同學,都能
網絡安全
Feb 06 2026
蟻景網安實驗室 -
再創佳績!蟻景網安導師登頂網易SRC年度榜首,學員軍團強勢突圍
近日,2025年度網易安全中心SRC排行榜揭曉,蟻景網安團隊核心導師一葉老師(暱稱:quarry)憑藉卓越的實戰能力與深厚的技術積澱,成功斬獲年度排行榜第一名的桂冠,同時贏得豐厚現金獎勵。與此同時,由一葉老師親自帶領的蟻景網安學員團隊表現亮眼,多名學員躋身榜單前列,不僅收穫榮譽,也斬獲了可觀獎金,形成“導師領航、學員緊跟,榮譽與獎勵雙豐收”的強勢格局,用硬核戰績印證了蟻景網安在網絡安全人才培養
網絡安全
Feb 04 2026
蟻景網安實驗室 -
2026網絡安全高級研討會圓滿結束
近期,由湖南蟻景科技有限公司主辦、中國網絡空間安全人才教育論壇、國家新一代自主安全計算系統產業集羣指導的2026網絡安全高級研討會圓滿落幕,全國各高校相關專業負責人及骨幹教師齊聚一堂、共研交流。
線下老師合影留念
以賦能高校網絡安全 CTF 實戰教學為目標,本次高級研討會吸引了來自全國數十所高校的骨幹教師積極參與,數位教學力量齊聚一堂、共探實戰教學新思路(參會高校名單附後)。為最大化滿足跨區
網絡安全
Jan 29 2026
蟻景網安實驗室 -
蟻景科技榮獲 “網安人才培育基地” 授牌 助力湖南信創產業人才生態建設
2026年1月22日,國家新一代自主安全計算系統產業集羣工作推進會在長沙隆重召開。會上,蟻景科技憑藉在網絡安全人才培養領域的深厚積累與突出實力,被授予 “網安人才培育基地” 稱號,這一榮譽不僅是對企業行業貢獻的高度認可,更標誌着蟻景科技正式深度融入湖南國家級自主安全計算產業集羣建設,將為產業高質量發展注入關鍵人才動力。
授牌儀式
本次活動由湖南省國家密碼管理局、湖南省工業和信息化廳、長沙市國
網絡安全
Jan 21 2026
蟻景網安實驗室 -
XXL-JOB 越權漏洞分析
漏洞簡介
XXL-JOB是一個分佈式任務調度平台,其核心設計目標是開發迅速、學習簡單、輕量級、易擴展。現已開放源代碼並接入多家公司線上產品線,開箱即用。 這次介紹的漏洞屬於水平越權漏洞,簡單來説就是,一個沒有任何任務管理權限的用户,只要登錄了系統後,就能構造請求來操作其他人的任務。
受影響的接口包括:
XXL-JOB 的權限控制分兩層:
全局攔截器:通過PermissionInterc
網絡安全
Jan 21 2026
蟻景網安實驗室 -
記2025長城杯線上賽部分題目
0.前言
小比賽隨便打,國賽教我做人....
1.AI安全
1.1The Silent Heist
題目內容:
目標銀行部署了一套基於 Isolation Forest (孤立森林) 的反欺詐系統。該系統不依賴傳統的黑名單,而是通過機器學習嚴密監控交易的 20 個統計學維度。系統學習了正常用户的行為模式(包括資金流向、設備指紋的協方差關係等),一旦發現提交的數據分佈偏離了“正常模型”,就會立即觸發
網絡安全
Jan 13 2026
蟻景網安實驗室 -
2025CISCN流量分析全覆盤與技法總結
0.前言
一直以來都想寫個流量分析的做題總結,總結一些思路和方法,但找不到好的例題,剛好國賽這道流量分析就挺適合的
題目內容
近期發現公司網絡出口出現了異常的通信,現需要通過分析出口流量包,對失陷服務器進行定位。現在需要你從網絡攻擊數據包中找出漏洞攻擊的會話,分析會話編寫exp或數據包重放,查找服務器上安裝的後門木馬,然後分析木馬外聯地址和通信密鑰以及木馬啓動項位置。
1.SnakeBackdoo
網絡安全
Jan 06 2026
蟻景網安實驗室 -
從HTML注入到CSRF:一次漏洞組合拳實戰
前言
免責聲明:本文僅供安全學習研究,所有測試均在授權環境或自建靶場中進行。嚴禁用於非法用途,否則後果自負。
HTML注入 + CSRF登出漏洞實戰復現
漏洞概述
在某社區平台的評論功能中發現存儲型HTML注入漏洞。雖然前端做了輸入過濾,且存在WAF防護,但通過逆向前端加密邏輯並構造特殊payload,成功繞過所有防護,注入惡意a標籤。結合平台存在的GET方式登出接口,實現了點擊即登出的CSRF攻
網絡安全
Dec 26 2025
蟻景網安實驗室 -
語義層面的SQL注入:LLM 提示詞注入攻擊深度拆解
0.什麼是大模型語言
大型語言模型(LLM,Large Language Model)是一類基於深度學習技術的人工智能算法
它們能夠理解和生成自然語言,在接收到用户輸入後,通過預測詞語序列的方式構造連貫、合理且上下文相關的回答
LLM通常在規模龐大、覆蓋面廣的半公開數據集上訓練,包括文本、代碼、網頁內容等,從而學習語言中詞彙、句子及語義結構之間的複雜關係。
在實際應用中,LLM 通常通過一個生命週
網絡安全
Dec 24 2025
蟻景網安實驗室 -
記2025鵬城杯CTF線上賽部分題目
0.前言
這次鵬城杯真的是燃盡了,能不能進線下就看命了
1.cry
1.1 babyrsa
一道典型的RSA 密鑰恢復題目,具體來説,它是利用高精度浮點數泄露來還原私鑰參數的題目,題目給出了一個名為 leak 的變量,其計算公式為
這道題之所以會發生泄露,核心原因在於:題目給出的十進制小數精度遠大於還原分數所需的信息量
簡單來説,是因為給的小數點後的位數太多了,多到足以精確地反向推算出原本的分子
網絡安全
Dec 22 2025
蟻景網安實驗室 -
榮耀再續 | 蟻景科技衞冕第138屆廣交會測試賽團體冠軍
第138屆廣交會網絡平台測試賽(第十期《方班演武堂》)圓滿收官!中國網絡空間安全人才教育論壇(網教盟)主辦的這場巔峯對決,匯聚 30 餘家高校企業、400 餘名網安精英同台競技。蟻景科技憑藉硬核技術實力,以總積分492分絕對優勢強勢突圍,再度榮膺團體總分第一名,實力登頂,閃耀全場!
比賽過程中,蟻景科技精英講師團隊帶領學員全力應戰,在各競賽環節均展現出優異的專業素養與實戰能力。個人排
網絡安全
Dec 17 2025
蟻景網安實驗室 -
pgAdmin 後台命令執行漏洞復現及分析(CVE-2025-2945)
環境搭建
可以從 docker hub 上搜索 docker 資源https://hub.docker.com/search?q=pgadmin4
docker network create pg-network # 創建容器網絡
docker run -d --name postgres --network pg-network -e POSTGRES_USER=postgres -e
網絡安全
Dec 15 2025
蟻景網安實驗室 -
2025鑄劍杯線下賽AI安全滲透復現
0.前言
2025鑄劍杯線下賽第二部分是滲透,其中包括web滲透和大模型安全。
這道題其實是2023年中國科學技術大學Hackergame的一道題目改編的,大差不差。
1.環境
本地部署環境一定要Gradio 3.50.2和Transformers 4.35.0
否則本地跑起來會有各種各樣的錯誤。
源碼這裏把flag寫死了,所以輸出不來我們常見的flag形式。
在本地運行出來的 Flag 都是
網絡安全
Dec 11 2025
蟻景網安實驗室 -
蟻景科技硬核護航哈工大“安天杯”網絡安全國際邀請賽(HITCTF2025)
2025年12月7日,備受矚目的哈工大“安天杯”網絡安全國際邀請賽(HITCTF2025)在哈爾濱圓滿落幕。作為賽事核心技術支撐方,蟻景科技憑藉自主研發的高性能競賽平台與全流程技術保障體系,確保了47支中外高校戰隊24小時不間斷比拼的順暢運行,為這場國際級賽事築起堅實的技術後盾,也為全球網安學子搭建了展現防禦能力的專業舞台。
HITCTF2025開幕式現場
本次賽事組委會在賽題設計上
網絡安全
Dec 09 2025
蟻景網安實驗室 -
淺析如何在逆向中分析AES算法
AES算法淺析
AES是對稱加密算法,在逆向中常常使用到,白盒AES算法詳解這篇文章寫的非常好,通俗易懂。但是我在原理到代碼的過程經常會卡殼,因此結合C語言代碼淺析一下算法。
這裏使用的源碼為https://github.com/kokke/tiny-AES-c
密鑰擴展
這裏以AES-128為例子(以下用AES代替),初始時輸入的密鑰長度是16字節的,因此每次加密的長度的明文也需要與之匹配,在加
網絡安全
Nov 27 2025
蟻景網安實驗室 -
淺談glibc2.39下的堆利用
在glibc2.34以後取消了__free_hook以及__malloc_hook,因此需要找到一個可以控制程序執行流程的函數指針代替__free_hook以及__malloc_hook。
struct _IO_FILE_plus
{
_IO_FILE file;
IO_jump_t *vtable;
}
在結構體_IO_FILE_plus中存在着類似於虛表的變量vtable,其中存儲
網絡安全
Nov 19 2025
蟻景網安實驗室 -
AI養蠱:讓釣魚郵件和反釣魚郵件系統打一架
mab
多臂tiger機,又稱為mab。
同一個環境,動作,狀態下有可能返回1,有可能返回0。
也就是説環境反饋它不是一個固定的值。
可以假設為有五個函數,也就是相當於五種反饋,第一個函數返回1的概率是20%,返回0的概率是80%。
代碼實現:
import numpy as np
import pandas as pd
class MultiArmedBandit:
def __init
網絡安全
Nov 11 2025
蟻景網安實驗室 -
深度學習模型CNN識別惡意軟件
0.前言
給組裏的本科生講一講惡意軟件,以及如何識別惡意軟件。
1.CNN介紹
注:這裏寫得很簡陋,只挑筆者不熟悉的部分寫,具體學習還是得詳看官方文檔。
卷積神經網絡(CNN)是一種深度學習模型,特別適用於處理圖像和視頻等數據。
CNN包括:卷積層、激活層、池化層、全連接層。
CNN的工作流程:
1.輸入層:接收原始數據(如圖像)
卷積層:提取特徵,生成特徵圖
激活層:引入非
網絡安全
Nov 07 2025
蟻景網安實驗室 -
使用隨機森林識別暴力破解
1.暴力破解
暴力破解是一種最直接、最笨拙的攻擊方式,見名知意,就是攻擊者通過窮舉所有可能的密鑰、口令或輸入組合,直到找到正確答案為止。
這種攻擊方式看起來很low,但在現實中卻屢見不鮮,因為許多用户仍然習慣使用過於簡單的弱口令,比如像什麼123456,或者是password或是生日、手機號等。
極易猜測的信息,一旦系統沒有設置登錄嘗試次數限制,攻擊者就可以藉助自動化工具快速完成大規模的密碼測試。
網絡安全
Nov 07 2025
蟻景網安實驗室 -
浙大恩特前台RCE漏洞審計
指紋:title="歡迎使用浙大恩特客户資源管理系統"
本文對該系統公開在互聯網,但未分析代碼細節的漏洞進行審計分析:
前台文件上傳RCE
該系統2019版本存在權限繞過加文件上傳組合漏洞,可通過上傳webshell實現前台RCE。
公開POC:
POST /entsoft/CustomerAction.entphone;.js?method=loadFile HTTP/1.1Host:
User
網絡安全
Nov 07 2025
蟻景網安實驗室 -
記2025羊城杯部分題目的解題思路
0.前言
好久沒打CTF了,打個羊城杯回顧一下,記錄一下做題過程。
1.web1
給了份php代碼
?php
error_reporting(0);
highlight_file(__FILE__);
class A {
public $first;
public $step;
public $next;
public function __construct() {
網絡安全
Nov 07 2025
蟻景網安實驗室 -
用隱式馬爾科夫模型檢測XSS攻擊Payload
0.前言
學習一下如何使用機器學習的方式去識別XSS Payload。
1.XSS介紹
其實xss説白了,就是通過向網頁中注入惡意的腳本代碼,一般來説都是 JavaScript,讓代碼在其他用户的瀏覽器中執行,從而達到竊取信息、冒充身份、傳播木馬等目的。
換句話説,網站本來應該只展示安全的內容的,但是攻擊者把一些惡意的腳本給塞入了網站中,讓瀏覽器錯誤地把其當成正常內容執行了。
大概有以下這幾種分類
網絡安全
