标签: AI

至知创新研究院发布开源IQuest-Coder-V1代码大模型

 2026年1月3日

中国量化私募领域再掀波澜,九坤投资旗下至知创新研究院推出的IQuest-Coder-V1代码生成模型系列引发全球开发者关注。这款覆盖7B、14B和40B参数规模的模型,在SWE-Bench Verified基准测试中取得81.4%的突破性成绩,超越外界推测参数达千亿级的Claude Opus-4.5和GPT-5.2,成为当前软件工程领域性能最强的开源模型。 模型架构创新成为核心竞争力。研究团队采用...

 栏目: 业界  Tagged: , , , , , , ,
在开展渗透测试工作中,有一些非常经典的渗透测试框架,它们提供了一套标准化的测试指导方针和推荐工具,帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架,但是在大多数情况下,如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法,企业的渗透测试工作可能很难取得成功。对于渗透测试工作来说,可重复性、可扩展性以及可持续性非常重要,特别是随着组织信息化应用和网络攻击面的增长,借助渗透测试框架能够最大程度消除渗透测试过程中的风险猜测和经验性决策,使测试人员能够专注于提升测试的质量和效果,同时进行安全风险的发现和研究。测试框架原理和步骤 渗透测试框架的工作原理是指导渗透测试人员使用正确的工具和方法进行渗透测试,具体取决于计划进行的渗透测试类型和测试范围。一旦渗透测试人员开始启动渗透测试和白帽黑客攻击活动,他们应该参照渗透测试框架,以评估他们在测试过程中需要使用的战术类别和效果。完成渗透测试后,渗透测试人员应继续使用框架来进一步评估和报告测试中的发现,特别是与主要战术类别相关的发现,将环境恢复到渗透测试之前的设置状态也很重要。不同的渗透测试框架工作方式略有不同,具体取决于使用者的主要测试需求,但大多数框架都遵循类似的测试步骤,帮助组织高效、全面地完成渗透测试流程,以下是渗透测试框架通常遵循的一些常见步骤:初始规划和准备:框架指导组织确定他们的渗透测试人员、将使用的渗透测试框架和方法、对测试和报告结果的期望、任何法律或合规要求,以及进行成功测试所需的任何工具或资源。 情报和信息收集:在渗透测试框架的开发和选择过程中,应尽早收集的信息包括资产所有权范围、网络目标、漏洞利用、任何涉及的第三方、网络端口、IP地址、相关员工姓名和财产位置。在某些情况下,此阶段也称为发现、测试、扫描或评估阶段。 攻击阶段:渗透测试人员开始攻击,并根据框架预定义的战术类别评估系统的性能。 攻击后阶段:渗透测试人员或网络安全专家团队确保测试环境的资产和功能恢复到原始状态。 报告结果:测试框架用于根据所使用的工具和战术类别性能阐述结果。 框架中的战术类别和方法 典型的渗透测试框架都会明确列出渗透测试人员应使用的战术类别,以便在渗透测试过程中从多个方面评估网络安全性能。不过每个框架会使用自己特定的术语和方法来定义战术类别,以下是一些在渗透测试框架中最常见的战术类别:信息收集 命令和控制 凭证/信息访问 防御规避能力和策略 风险发现和信息收集 模拟攻击执行 泄露/窃取 横向移动 实现持久化驻留 权限提升 一般来说,渗透测试框架主要用于使渗透测试工作更加全面和有效,但是也会有一些不同的使用案例。以下是渗透测试框架的一些最常见使用方式:漏洞评估和管理; 实现主动网络安全防护的道德黑客活动; 防御性网络安全风险评估; 发现、探测和侦察; 安全缺陷和风险枚举; 网络安全和合规审计。 7款主流的渗透测试框架 借助成熟的渗透测试方法和框架,不仅可以大大简化测试工作的难度,而且会取得更好的测试效果。以下收集了7款目前最流行的渗透测试框架和方法,可以为企业组织更有效开展渗透测试工作提供帮助。1、Cobalt Strike Cobalt Strike是一种帮助安全红队指挥测试和操作的框架,也是目前最受企业欢迎的渗透测试框架之一。该框架全面包括了攻击模拟、事件响应指导和社会工程能力等。用户可以选择借助Community Kit仓库,对Cobalt Strike进行定制修改,还可以与Fortra提供的渗透测试软件Core Impact整合,进一步扩展其测试功能。传送门:https://www.cobaltstrike.com/。2、Metasploit Metasploit是一款由Rapid7和开源社区协作设计的渗透测试框架。它的一些典型功能特性包括1500个漏洞利用工具、网络发现、处理网络分段测试和自动化测试的元模块,并提供了基准审计报告、手动利用漏洞以及凭据蛮力破解等选项。用户可以选择免费的开源版Metasploit或功能更丰富的付费专业版。传送门:https://www.metasploit.com/。3、NIST Cybersecurity Framework NIST的网络安全框架(CSF)是一种测试功能选项非常广泛的渗透测试框架,专注于验证各种网络安全风险的标准、最佳实践和指导方针。该框架主要有五大功能:识别、保护、检测、响应和恢复。由于这是一种来自美国商务部的标准化测试框架,因此被全球很多企业用户作为了网络安全测试和合规审计的指导方针之一。传送门:https://www.nist.gov/cyberframework。4、开源安全测试方法手册(OSSTMM) OSSTMM框架是由美国安全和开放方法研究所(ISECOME)开发,它目前并不仅限于基本的测试功能,已变成了可用于广泛安全测试和分析的一套完整方法论。在其详细指南中,全面涵盖了测试的流程、战术和方法,还向用户提供了如何定义安全测试并确定范围、演练规则、错误处理和结果披露等方面的信息。传送门:https://www.isecom.org/OSSTMM.3.pdf。5、渗透测试执行标准(PTES) 渗透测试执行标准(PTES)是另一个非常受欢迎的渗透测试框架,目前已经发展成为一种完整的渗透测试方法论。该框架全面涵盖了渗透测试的沟通和基本原理、情报收集、威胁建模、漏洞研究、利用和攻击后阶段以及测试报告提交。尽管在目前版本的PTES指南中,并没有涉及如何进行渗透测试相关的讨论,但该团队已经开发了一个技术指南文档来补充支持这个方面的工作。PTES的第二个更新版目前正在制定中。传送门:http://www.pentest-standard.org/index.php/Main_Page。6、开放Web应用程序安全项目(OWASP) OWASP(全球开放应用软件安全项目组织)也推出了一款持续渗透测试框架,目前还处于测试应用状态,不过OWASP已为对该框架的正式发布和应用功能感兴趣的用户提供了明确的时间路线图。与其他框架的不同在于,OWASP渗透测试框架侧重于面向信息安全和应用程序安全渗透测试的标准、指导方针和工具。传送门:https://owasp.org/www-project-continuous-penetration-testing-framework/。7、渗透测试者框架(PTF) TrustedSec公司推出的PenTesters Framework(PTF)渗透测试框架在很大程度上基于Penetration Testing Execution Standard标准来执行。它旨在使相关测试工具的安装和打包更加简洁,因此也被认为是高度可定制和可配置的一款测试框架。用户可以通过Linux命令下载使用,或直接通过Git来下载安装。传送门:https://www.trustedsec.com/tools/pentesters-framework/。参考链接:https://www.esecurityplanet.com/networks/pentest-framework/。

当 AI 成为安全 “守护者”:智能化如何破解数据安全困局?

 2025年11月19日

在数字经济纵深发展的今天,数据已成为驱动产业升级的核心生产要素,但数据价值的爆发式增长也伴随着安全风险的指数级扩散。从 Facebook 超 5 亿用户数据泄露、万豪集团 3.83 亿客诉信息遭窃取等重大安全事件,到企业日常面临的勒索攻击、内部数据滥用,传统数据安全体系正遭遇前所未有的挑战。静态规则防护滞后于威胁变异、人工响应难以应对海量数据风险、合规压力与业务发展矛盾加剧,数据安全已从 “技术问...

 栏目: 文摘  Tagged: , , ,

以AI防护AI:启明星辰MAF构建大模型智能安全防御体系

 2025年3月25日

让每一句人机对话都安全可信,让每一次智能交互都风险可控——这是属于AI时代的安全承诺。 —— 启明星辰 随着DeepSeek国运级大模型的开源和算力成本的持续下降,大语言模型技术正迅速从少数科技巨头的专利走向大众化应用,企业和个人现在都能以前所未有的低门槛部署和定制自己的大模型服务。然而,这种“大模型平民化”趋势也带来了前所未有的安全挑战:提示词注入、隐私泄露、恶意输出等针对模型的攻击手段层出不穷...

 栏目: 业界  Tagged: , , , , , ,
ollama本地部署DeepSeek不安全?那是你还不懂这些配置

ollama本地部署DeepSeek不安全?那是你还不懂这些配置

 2025年2月28日

今天多家安全机构都发表声明,提醒大家 Ollama 本地部署 DeepSeek 有安全隐患,然后不少朋友都跑来问荣姐到底是什么问题,是不是真的,还能不能本地部署了? 荣姐作为安全从业人员,首先在第一时间就进行了漏洞复现。 最大的问题在于 Ollama 没有进行鉴权方案,也就是如果运行ollama serve时确认环境变量 OLLAMA_HOST 为0.0.0.0,且是在公网运行的,那么代表任何一个...

 栏目: 安全  Tagged: , , , , , , ,

实测告诉你:DeepSeek-R1 7B、32B、671B差距有多大?

 2025年2月17日

近日,AI领域迎来了一波新的热潮——DeepSeek-R1模型的发布。从7B到32B再到671B,不同尺寸的模型究竟有何差异?它们的性能表现是否如宣传中所说般强大?今天,我们就通过一系列实测,为你揭开DeepSeek-R1不同版本的差距。 DeepSeek模型尺寸与性能的较量 首先,我们需要明确的是,DeepSeek-R1的7B、32B和671B版本在模型容量上有着显著的差距。7B版本的模型参数量...

 栏目: 应用  Tagged: , , , , ,
DeepSeek崛起下的AI安全隐忧

DeepSeek崛起下的AI安全隐忧

 2025年2月11日

近日,DeepSeek凭借其高性能、低成本的通用人工智能技术成为科技圈的“顶流”,不仅让更多大众群体了解了AI技术的潜力,也引发了人们对AI安全风险的广泛关注。人工智能技术虽然为各行各业带来了前所未有的便利与创新,但也衍生出一系列复杂且严峻的安全挑战。瑞星发布的《2024年中国网络安全报告》明确指出,AI技术的深度渗透正在重塑网络安全格局,其带来的风险横跨网络攻击、数据隐私、模型安全等多个关键维度...

 栏目: 文摘  Tagged: , , , ,
黑客在HuggingFace上传恶意AI模型,用“损坏”pickle规避监测

黑客在HuggingFace上传恶意AI模型,用“损坏”pickle规避监测

 2025年2月11日

2 月 10 日消息,据 The Hacker News 于 8 日报道,网络安全研究人员发现,在 HuggingFace 平台上,有两个恶意机器学习(ML)模型利用了一种非常规的“损坏”pickle 文件技术来规避安全检测。 ReversingLabs 研究员 Karlo Zanki 表示:“从这些 PyTorch 存档中提取的 pickle 文件,在文件开头揭示了恶意的 Python 内容。两...

 栏目: 业界  Tagged: , , , , ,
DeepSeek-R1的1.5b、7b、32b、671b等模型的区别与应用!

DeepSeek-R1的1.5b、7b、32b、671b等模型的区别与应用!

 2025年2月7日

DeepSeek-R1的不同参数规模(如1.5B、7B、8B、14B、32B、70B、671B)主要体现在模型能力、资源需求和应用场景上。以下是具体区别和选择建议: 参数规模与模型能力 参数规模(B = Billion/十亿)代表模型的复杂度和学习能力,参数越多,通常理解和生成能力越强。 1.5B - 14B:轻量级模型,适合基础任务(文本生成、简单问答)。 32B - 70B:中等规模,平衡性能...

 栏目: 应用  Tagged: , ,
韩国警察厅:朝鲜黑客组织入侵了 61 家韩国媒体

OpenAI、Meta、TikTok 破坏多种人工智能驱动的造谣活动

 2024年5月31日

OpenAI周四披露,它采取了措施切断了来自中国、伊朗、以色列和俄罗斯的五个秘密影响力行动(IO),这些行动试图滥用其人工智能(AI)工具来操纵在线公共话语或政治结果,同时掩盖它们的真实身份。 在过去三个月内检测到的这些活动,使用了其AI模型生成短评和长篇文章,用多种语言制作社交媒体账户的名称和个人资料,进行开源研究,调试简单代码,以及翻译和校对文本。 该AI研究机构表示,其中两个网络与俄罗斯的行...

 栏目: 业界  Tagged: ,
GPT-4化身黑客搞破坏,成功率87%!OpenAI要求保密提示词

“用魔法打败魔法” AI时代如何构建数据安全生态

 2024年4月30日

AI时代,数据安全治理需要做到全程管控。在一些专家看来,“如果靠过去一些成熟的技术去解决现在的问题是很难的,今天只能通过‘用AI对抗AI’的方式,才能解决内容安全的问题。” —————————— 美国一项新提出的法案,进一步引发了人们对大模型时代数据安全问题的关注。 近日,一名美国众议院议员提出了一项《生成式人工智能版权披露法案(GenerativeAICopyrightDisclosureAct...

 栏目: 文摘  Tagged: , ,
秒懂:帮你分清GPT、ChatGPT和Langchain

秒懂:帮你分清GPT、ChatGPT和Langchain

 2024年4月25日

GPT:Generative Pretrained Transformer (GPT) 是一个由 OpenAI 开发的大型语言模型(LLM)。它使用 Transformer 架构,通过预测给定上下文中的下一个词来进行训练。GPT 可以理解和生成连贯、有意义的文本,适用于各种自然语言处理任务,如文本分类、情感分析等。 ChatGPT:ChatGPT 是 GPT 的一个特化版本,专门用于处理对话。它的...

 栏目: 应用  Tagged: , , , , ,
GPT-4化身黑客搞破坏,成功率87%!OpenAI要求保密提示词

GPT-4化身黑客搞破坏,成功率87%!OpenAI要求保密提示词

 2024年4月22日

西风 明敏 发自 凹非寺 量子位 | 公众号 QbitAI 91行代码、1056个token,GPT-4化身黑客搞破坏! 测试成功率达87%,单次成本仅8.8美元(折合人民币约63元)。 这就是来自伊利诺伊大学香槟分校研究团队的最新研究。他们设计了一个黑客智能体框架,研究了包括GPT-4、GPT-3.5和众多开源模型在内的10个模型。 结果发现只有GPT-4能够在阅读CVE漏洞描述后,学会利用漏洞...

 栏目: 文摘  Tagged: , , , ,

CodeGeeX:智能编程助手,助你轻松编写代码

 2024年3月29日

CodeGeeX是一个代码生成预训练模型,支持20多种编程语言,具备代码生成、续写、翻译、注释、bug修复等能力,且目前已经有针对各种IDE的插件,实测体感真的不输Copilot。 在数字化时代,编程已经成为了一项至关重要的技能。然而,编写代码对于初学者来说往往是一项挑战。那么,有没有一款能够帮助人们轻松编写代码的工具呢?答案是肯定的,那就是CodeGeeX。 CodeGeeX是一款基于人工智能的...

 栏目: 程序  Tagged: , , , ,

快速在笔记本电脑中通过Ollama部署中文大模型

 2024年3月14日

有两个前置条件,在这里游侠不赘述,因为无论是在Windows电脑,还是在macOS电脑,安装这两个软件都几乎是“NEXT”一路点下去就可以了,下载地址游侠说一下: Ollama,一个简明易用的本地大模型运行框架,目标是帮助开发者在本地运行、创建和共享大型语言模型。Ollama 还提供了一个模型库,开发者可以在这里下载和使用各种开源模型。Ollama 还提供了一种名为 Modelfile 的文件格式...

 栏目: 应用, 文摘  Tagged: , , , , , , ,
美国高官:AI正助长网络犯罪,黑客攻击和诈骗洗钱门槛变低

美国高官:AI正助长网络犯罪,黑客攻击和诈骗洗钱门槛变低

 2024年1月12日

美国执法部门和情报部门的高级官员周二表示,人工智能(AI)的进步可能会降低实施黑客攻击、诈骗和洗钱所需的技术门槛,从而为此类犯罪提供便利。 美国国家安全局网络安全总监罗伯·乔伊斯在福特汉姆大学举行的国际网络安全会议上表示,那些本身可能不具备相关技术能力的人,如今也可能利用AI的指导来进行黑客行动,完成他们过往无法完成的那些入侵行动。 乔伊斯表示,这将使那些使用人工智能的犯罪分子变得更高效、更危险。...

 栏目: 业界  Tagged: , , ,