搞了一个免费的clash翻墙订阅，自动从网上爬取能用的clash代理，选取速度最快的发在Github上，每30分钟更新一次（

https://github.com/PuddinCat/BestClash

mysql的python客户端rce CVE-2025-21548

论为什么python里到处都是eval

https://mp.weixin.qq.com/s/h3qOUrzhANfDJ0PuAJyc6w

telegram 带有 .m3u 扩展名的消息可能会泄露您的 IP（Telegram 桌面版/Windows）。Telegram 对 .m3u8 发出警告（“打开此文件可能会暴露您的 IP 地址...”），但对 .m3u 则不发出警告。
注意：.m3u 是一种简单的基于文本的播放列表格式
#威胁情报 #好文推荐

跑了一天，代理质量还是不错的，就是我的电脑内存爆了

而且还发现python的一个bug,就是python的with语句会影响异步上下文的切换，然后就会让本来应该异步运行的函数卡住

vite还在发力

CVE-2025-31125(CVE-2025-30208的Bypass)

所以即使一点都不懂网安也可以办比赛，开课程，趁着比赛泡妹子

然后CISCN不是只有初赛是线上的吗，一个初赛能装什么B...

java是一个byte可以为负数的语言

byte a = -121;
System.out.println(a);

1. 污染训练数据+prompt欺骗生成恶意内容+在模型参数低位隐写数据+修改模型参数影响模型运行结果
2. 通过pickle反序列化等实现加载模型时RCE，使用eBPF监测修改模型文件等恶意行为
3. 用大模型检测日志
4. 总结了一下LLM相关的安全问题
5. 如何让大模型生成恶意内容
6. 总结了一些漏洞挖掘的知识

说有用吧好像又没用，说没用吧好像也有点用

前情提要，LLM理论上可以XSS攻击用户（

从CVE-2025-30208看任意文件读取利用 - AabyssZG's Blog
https://blog.zgsec.cn/archives/713.html

朝鲜黑客如何窃取数以十亿美元的加密货币

2025-04-03 23:31 by 加速世界12：红色徽章

过去十年，朝鲜黑客窃取了逾 60 亿美元的加密货币，没有其它国家能与之匹敌。调查人员说，朝鲜的黑客既耐心又毫无顾忌。为了入侵一家企业的网络，黑客会仔细查看该公司员工的 Facebook 和 Instagram 页面，编故事诱骗这些员工点击钓鱼链接。部分朝鲜黑客甚至成为了员工，欺骗美国公司聘请他们作为远程 IT 工作人员，从而获得网络访问权限。一旦窃取到加密货币，黑客会立即将其分散，然后保持低调，等待数个月甚至数年将窃取的加密货币兑换为传统货币。今年 2 月，朝鲜黑客从加密货币交易所 Bybit 窃取到了 15 亿美元，这是至今金额最高的加密货币盗窃案。

WSJ：e Billions in Crypto to Keep North Korea’s Regime Afloat

#安全