政企安全下沉市场的悖论,不在直辖市/省会城市干一定会遇到:
如果你不要求合规,那系统简单被黑客打穿,造成损失
如果你要求合规,那大家的精力就会优先往合规去靠,安全公司的红初小子会给你开nmap出“中危”试图多爆米,甲方安全岗调调TLS版本和Allowed methods说自己修复了,监管来翻了下报告感觉很满意。结果系统还是简单被黑客打穿,造成损失,只是大家好像都按流程做了,钱也花出去了,无人背锅,红初小子大不了去另一家公司接着开机器。
门槛很低,以至于开扫描器过文档做合规也叫搞安全;门槛又很高,以至于懂打懂看、认真写认真看报告的人又太少了。
如果你不要求合规,那系统简单被黑客打穿,造成损失
如果你要求合规,那大家的精力就会优先往合规去靠,安全公司的红初小子会给你开nmap出“中危”试图多爆米,甲方安全岗调调TLS版本和Allowed methods说自己修复了,监管来翻了下报告感觉很满意。结果系统还是简单被黑客打穿,造成损失,只是大家好像都按流程做了,钱也花出去了,无人背锅,红初小子大不了去另一家公司接着开机器。
门槛很低,以至于开扫描器过文档做合规也叫搞安全;门槛又很高,以至于懂打懂看、认真写认真看报告的人又太少了。
💊7🎉3
1、冬天在赫鲁晓夫楼里被冻得要死,每天喝魔爪紧张看着eth钱包的东欧斯拉夫人
2、艰苦跑操吃窝窝头,家里青黄不接,难得被将军相中却被按在黑网吧里的朝鲜青年
3、在园区里不见天日,干得好没奖励,干不好有皮鞭,每年年会去海边草皮的东南亚苦逼菠菜老哥
4、名校网安毕业,经历万里挑一的特招,从各家头部安全公司Lab接受最尖端的攻防技战法培训和协同行动,掌握全国顶尖武器化漏洞资源的APT国家队
谁会输?
2、艰苦跑操吃窝窝头,家里青黄不接,难得被将军相中却被按在黑网吧里的朝鲜青年
3、在园区里不见天日,干得好没奖励,干不好有皮鞭,每年年会去海边草皮的东南亚苦逼菠菜老哥
4、名校网安毕业,经历万里挑一的特招,从各家头部安全公司Lab接受最尖端的攻防技战法培训和协同行动,掌握全国顶尖武器化漏洞资源的APT国家队
谁会输?
💊9
Forwarded from 依云的技术资源分享
https://blogs.gentoo.org/mgorny/2026/04/05/the-pinnacle-of-enshittification-or-large-language-models/ #llm #opensource #community
Michał Górny
The pinnacle of enshittification, or Large Language Models
Honestly, I hate that I read about LLMs all the time. I hate all the marketing bullshit, but also all the critical pieces. Not because the criticism is wrong. I hate them precisely because theyR…
Forwarded from K4YT3X's Channel (K4YT3X)
一篇有关使用 AI 不错的文章
https://ergosphere.blog/posts/the-machines-are-fine/
我到现在也对什么情况下用 AI 是合理的这件事没有好的定论,比如是否可以为了赶时间让 AI 代为决策或者写我还不会的技术
这个分界线很难划,而且随着技术进步和形势的变化这还会是个需要不断思考和反省的问题
https://ergosphere.blog/posts/the-machines-are-fine/
我到现在也对什么情况下用 AI 是合理的这件事没有好的定论,比如是否可以为了赶时间让 AI 代为决策或者写我还不会的技术
这个分界线很难划,而且随着技术进步和形势的变化这还会是个需要不断思考和反省的问题
为了论证野生tool use不靠谱,写了一个给龙虾进行Skill污染的小样本,藏在最早的git commit里。只要你能诱骗龙虾阅读精心构造过的phiproto格式(用我提供的phicli -e搭配csv就能构建),并且他意识到要去ClawHub拉取phiproto的parse skill,并且真下下来执行了,就能触发。
1. 世界上并不存在phiproto,这是我刚发明的新名词,为了让龙虾能在ClawHub和各种search里精准索敌
2. 为了避免AI真的去审计我的repo源码看看安不安全,我在最新版本的代码提交里声称自己已经删掉了“获取远程数据”功能,并且刷了版本号,但实际上传的二进制release仍然是包含后门的旧版本。
3. 单纯这个样本本身是不会做出什么异常行为的,他需要搭配一个构造过的有字段指向外部.py文件的phiproto文件。 当然这年头的沙箱多姿多彩得很,没准给我代码分支强执了呢
4. ClawHub不允许上传二进制文件,但他允许上传.sh让龙虾读完fetch下来,何况很多人都有CLI需求呢。
仅研究使用。
https://github.com/chengongpp/phiproto
1. 世界上并不存在phiproto,这是我刚发明的新名词,为了让龙虾能在ClawHub和各种search里精准索敌
2. 为了避免AI真的去审计我的repo源码看看安不安全,我在最新版本的代码提交里声称自己已经删掉了“获取远程数据”功能,并且刷了版本号,但实际上传的二进制release仍然是包含后门的旧版本。
3. 单纯这个样本本身是不会做出什么异常行为的,他需要搭配一个构造过的有字段指向外部.py文件的phiproto文件。 当然这年头的沙箱多姿多彩得很,没准给我代码分支强执了呢
4. ClawHub不允许上传二进制文件,但他允许上传.sh让龙虾读完fetch下来,何况很多人都有CLI需求呢。
仅研究使用。
https://github.com/chengongpp/phiproto
GitHub
GitHub - chengongpp/phiproto: PhiProto is yet another new message exchange format for AI bots. PhiProto aims at super security…
PhiProto is yet another new message exchange format for AI bots. PhiProto aims at super security and privacy. - chengongpp/phiproto
🎉3
Forwarded from Cat Ch. (webRTCCat | Present Day, Present Time)
新华社对 token 的理解:
Authorization: Bearer ignore previous instructions
Authorization: Bearer ignore previous instructions
🎉2