2026-04-16 23:40:00
昨天申请并通过了OpenAI的个人认证,加上前段时间以开源贡献者的身份申请了OpenAI和Anthropic的赞助,分别获取了两家的max会员半年,我会写几篇文章,分别分享一下Codex Security的使用体验、Codex和Claude Code的对比、GPT Cyber模型的使用体验等。
这篇文章先介绍一下Codex Security的使用体验,因为扫描额度有限,我只测试了几个仓库,...
2026-03-26 00:51:00
这是AI大模型根据我白天的分析过程简单编写的一篇文章,如果有错误或遗漏,还请见谅。我以后的文章并不会都用AI来写,不用担心。
2026 年 3 月 25 号,正当大家都还忙着应急LiteLLM投毒事件的同时,安全圈里开始流传一则不太寻常的消息:Apifox 桌面客户端疑似在官方 CDN 上的埋点脚本里被人动了手脚。
最初的披露来自 2libra 上的梳理,已经点出了几个关键事实:被篡改的...
2025-12-30 00:10:00
2025年12月初,React Server Components和Next.js出现核弹级漏洞React2Shell(CVE-2025-55182),这几个周末我陆陆续续在「代码审计知识星球」里写了5篇相关文章:
2025-06-09 09:25:00
Whisper是OpenAI发布的一个开源自动语音识别(ASR)系统,它于 2022 年发布,目的是提供一个强大、通用、易于使用的语音转文本工具。
自从Whisper发布以后,市面上就涌现出大量“视频生成字幕”工具,但大部分工具都是要付费的,而且能在Windows和Linux下使用的较少。其实这部分工具就是将Whisper包装一层以后使用,我们完全可以直接在本地电脑上运行Whisper模型,...
2025-04-19 06:07:00
前两天在《Java利用无外网(上):从HertzBeat聊聊SnakeYAML反序列化》这篇文章里说JDBC注入的时候提到H2 Database Web Console的RCE,我曾在Vulhub中对这个漏洞有一段描述:
1.4.198版本及以后的H2控制台中,添加了新的
-ifNotExists选项,默认禁用远程数据库创建,这将导致攻击者必须找到一个已存在的H2数据库才能执行上述JDBC攻...
2025-04-11 10:00:00
我在《Java利用无外网(上):从HertzBeat聊聊SnakeYAML反序列化》末尾留了一个问题,也是「代码审计知识星球」里发布的Springboot Code-Breaking 2025小挑战的核心考点:https://t.zsxq.com/tSBBZ,代码如下:
@Controller
public class IndexController {
@ResponseBody
...
