黑基网

发帖

扫码访问

高危 HTTP/2 炸弹漏洞突袭！5大主流服务器全中招，家用宽带就能打崩站点 ...

近日，网络安全研究人员发现了一个极具破坏力的远程拒绝服务（DoS）漏洞，波及范围涵盖NGINX、Apache HTTPD、微软IIS、Envoy以及Cloudflare Pingora等主流Web服务器。

网安动态半小时前 3

四款渗透测试AI工具对比

GitHub 34k StarsPentAGI（VXControl）发布：2026 年初，俄罗斯 VXControl，AGI 多 Agent 渗透定位：企业级自主红队 / 渗透，长期记忆 + 知识图谱开源：GitHub 4.4k Stars，Docker 微服务，支持 10+ LLMHexStrike AI

渗透测试半小时前 1

英伟达联合微软发布128GB统一内存的NVIDIA RTX Spark个人AI电脑 ...

目前距离RTX Spark相关产品还有一些时日，NVIDIA还需要与ISV、OEM等诸多厂商展开深入合作，让RTX Spark平台逐渐变成一款普世化产品。NVIDIA多次强调RTX Spark将PC从工具升级到了队友，其中一点就是OpenShell搭配Wind

AI动态 3 天前 220

乐鑫重磅开源 ESP-Claw：把 Agent 塞进了 ESP32

方式 1：浏览器一键刷固件方式 2：源码编译git clone https://github.com/espressif/esp-claw.gitcd esp-claw# 使用 ESP-IDF 编译idf.py buildidf.py flash配置控制连接 Wi-Fi 后，设备会提供一个 Web 配置页面在

AI动态 3 天前 247

Desk Tidy Sticky: 开源免费、Windows 和 Mac 都能用的全能桌面“贴纸” ...

Windows 和 Mac 都能用的全能桌面“贴纸” Desk Tidy Sticky是一款跨平台桌面便签和专注工具，专门解决打工人“记不住”和“坐不住”的烦恼。

软件精选 3 天前 245

LibreTranslate - 纯本地翻译神器，支持49国语言无需网络更高隐私支持Api ...

适合场景公司内部项目：文档翻译、知识库、研发资料隐私内容：合同、医疗资料、财务数据自建 AI 应用：本地大模型 + 本地翻译网页国际化工程：因为支持 HTML 翻译，做站点多语言非常方便自媒体：批量翻译文章、字幕

软件学院 3 天前 257

Python逆天改命，开源Hermes首次击败OpenAI Codex

GitHub地址：https://github.com/nousresearch/hermes-agentHermes的核心杀手锏，是一套闭环学习架构：每次完成复杂任务后，Agent会自动将解决方案提炼为可复用的Skill（技能）。更让人震撼的是，Hermes完全由Python

AI动态 3 天前 235

开源项目介绍：工具 Pentest Agent Suite 实现自动化漏洞挖掘

vibe coding 最后要生产上线/服务部署，特别是WEB应用，在进行安全/被攻击的隐患检查，PAS这个项目就是解决这个问题的，GitHub开源，笔记整理，一起学习～我用的TRAE是否支持待验证，有实际后我再发后文一、背景介绍

渗透测试 3 天前 219

Pentest-Swarm-AI：AI 渗透测试蜂群

简介Pentest Swarm AI 是 Armur AI 开源的 AI 渗透测试工具，核心不是“一个大模型按步骤跑完扫描”，而是让多个安全 Agent 通过共享黑板协同工作。

渗透测试 3 天前 227

安全工具丨大模型安全攻防：DeepTeam针对大模型的渗透测试工具

02 核心功能亮点2.1 50+开箱即用的漏洞测试DeepTeam提供了超过50种现成的漏洞测试用例，覆盖：数据隐私类PII泄露检测：测试模型是否会泄露个人敏感信息提示泄露检测：检查系统提示词和指令是否会被暴露负责任AI类偏

渗透测试 3 天前 239

【GitHub趋势】Anthropic-Cybersecurity-Skills：754 项安全技能

多平台兼容：宣称可与 Claude Code、GitHub Copilot、Cursor、Gemini CLI 等 20+ 主流 AI 开发/智能体平台直接配合，开箱即用。

安全学院 3 天前 69

渗透测试从业者的新工具：938 Star、号称漏洞利用成功率90%（鸾鸟LuaN1ao）

SHELL · 基础安装git clone https://github.com/SanMuzZzZz/LuaN1aoAgent.gitcd LuaN1aoAgentpip install -r requirements.txtcp .env.example .env# 编辑 .env 填写 LLM API Key知识...

渗透测试 3 天前 81

Xalgorix：开源届最强 AI 自主渗透测试平台

整体来看，Xalgorix 是目前开源社区里功能完整度最高的 AI 自主渗透测试 Agent之一，架构设计思路清晰，工程化程度超出了一般个人项目的水平。Xalgorix 在这几个维度上有明显优势：有完整 Web UI（其他大多只有命令

渗透测试 3 天前 70

专供黑客用的VPN，被18国联合端了

参考来源：First VPN Dismantled in Global Takedown Over Use by 25 Ransomware GroupsCybercriminal VPN used by ransomware actors dismantled in global crackdownOperation...

网安动态 2026-05-26 471

PentestAgent：AI 渗透测试工作台

它的基本结构可以拆成五层：层级作用仓库位置TUI / CLI负责交互、命令入口、会话管理pentestagent/interface/Agent处理任务、调用 LLM、调度工具pentestagent/agents/Tools终端、浏览器、笔记、Web 搜索、MCP 子 Age

渗透测试 2026-05-26 444

AI安全扫描神器Lonkero：重新定义渗透测试的智能与效率 ...

2.5. 上下文感知参数过滤：80%的速度提升Lonkero自动跳过无法测试的元素（框架状态、CSRF令牌、语言选择器），并优先处理高价值注入点：指标传统扫描器Lonkero测试参数数10020发送请求数2,800560扫描时间28秒6秒误报

渗透测试 2026-05-26 428

连夜打包！黑客松夺冠神作开源：含38个Agent、156项技能、千级安全测试

配好之后，每次使用只需要像往常一样打开 Claude Code——Agent 和技能已经自动加载了。协同工具：记忆与规划ECC 官方还推荐了两个搭配使用的插件：/plugin install claude-mem # 跨会话记忆/plugin install superpo

安全学院 2026-05-26 438

Anthropic开源网络安全技能库爆火，8.4k Stars

它叫 Anthropic-Cybersecurity-Skills，不是 Anthropic 官方的，但解决了 AI Agent 在网络安全领域的一个致命短板。

网安动态 2026-05-26 415

真相了太子集团陈志的幕后大哥竟然是黑客组织骑士攻击小组的头目985硕士胡小伟 .

香港高院一纸资产冻结令，原本针对太子集团陈志的涉案财产，没想到却意外牵出一个藏匿16年的关键人物——胡小伟。团伙的手法是，先对目标私服服务器发起DDoS流量攻击，待对方无法正常运营后，再以独家广告代理合同作

网安动态 2026-05-25 492

Mythos首月战绩：挖出1万个洞，比CVE还多！人类防线全面崩溃！

开源世界的定时炸弹Anthropic自己用Claude Mythos扫描了1千个开源项目。结果，Claude Mythos一口气找出了23019个漏洞！在ExploitGym中，要是计入非预期解，Claude Mythos总共捕获了226个flag。Claude Mythos是唯一一

网安动态 2026-05-25 498

OpenAnt：AI 驱动的漏洞发现神器，基于 LLM 的安全扫描工具！

✨ 核心功能🔍 多语言支持🟢 Go — 稳定支持🟢 Python — 稳定支持🟡 JavaScript/TypeScript — Beta🟡 C/C++ — Beta🟡 PHP — Beta🟡 Ruby — Beta🛠️ 完整的扫描流水线# 一键扫描（含验证）openant scan --verif

渗透测试 2026-05-25 473

我把150个黑客工具接进了AI编程助手

服务端（Linux）：# 1. 在服务器上克隆并安装git clone https://github.com/0x4m4/hexstrike-ai.gitcd hexstrike-aipython3 -m venv hexstrike-envsource hexstrike-env/bin/activatepip in...

安全学院 2026-05-25 651

Anthropic Mythos 扫了几百遍的代码，被一家创业公司花 1000 美元又挖出 12 个高危漏

F5 Networks 预计本周发布补丁Linux：发现了一个允许远程代码执行的严重漏洞，至今未修补Chrome：发现了两个高危漏洞，Google 已确认并完成修补Depthfirst CEOQasim Mithani对 Forbes 说：Depthfirst optimizes its

网安动态 2026-05-25 448

kali-claw 技能包使用指南：在 OpenCode 上运行

n发现：$ARGUMENTS, description: 验证安全发现（排除误报） } }}5.3 多提供商模型配置完整配置支持多个 AI 提供商，根据不同任务切换模型：{ provider: { anthropic: { options: { apiKey: {env:ANTHROPIC_API_KEY}

渗透测试 2026-05-25 237

Sn1per：自动化渗透扫描神器，一键搞定信息收集到漏洞利用

你只需要指定目标域名或 IP，剩下的事情交给 Sn1per：自动查询 Whois、DNS 信息自动收集子域名（通过多种数据源聚合）自动调用 NMap 进行全端口扫描自动识别 Web 服务并调用漏洞扫描模块自动尝试常见漏洞利用（如 S

渗透测试 2026-05-19 589

俄黑客组织入侵18000多台路由器，攻击超200家政企机构，意欲何为？ ...

DNS污染的主要攻击方式DNS污染，也称为DNS缓存投毒，是指攻击者向递归DNS服务器发送伪造的响应包，使其缓存错误的解析记录。然而，2026年Usenix安全会议上发表的一项研究表明，攻击者可以利用BIND9DNS服务器中伪随机

网安动态 2026-05-19 568

34家AI公司收入狂飙，OpenAI和Anthropic鲸吞89%份额

这 34 家调查公司如下：OpenAIAnthropicCursorCognitionElevenLabsAbridgeAmbience HealthcareClayCohereCrescendoDecagonEliseAIEvenUpGammaGensparkGlenHarnessHarveyHeyGenHiggsf...

AI动态 2026-05-19 531

新的 cPanel 漏洞可能允许文件访问和远程代码执行

CVE-2026-41940 是一个身份验证绕过漏洞，影响 11.40 及更高版本的 cPanel 和 WHM。cPanel发布了安全更新，修复了影响 cPanel 和 WHM 的三个漏洞，这些漏洞可能允许攻击者读取文件、执行代码或提升易受攻击系统的权

网安动态 2026-05-19 511

Shannon这个 AI 渗透测试工具一次跑出了 20+ 个真实漏洞

Shannon Pro 是商业版，在 Lite 的动态渗透测试基础上加了：• SAST：基于代码属性图（CPG）的数据流分析，追踪从用户输入到危险调用点的完整路径• SCA：依赖漏洞扫描，附可达性分析（判断漏洞函数是否真的被调用到

渗透测试 2026-05-19 545

多智能体协作的自主渗透测试框架Abyss

DeepAgent框架三类智能体通过协作机制协同分工明确，决策与执行分离，便于扩展新智能体五阶段渗透方法论信息收集/威胁建模/漏洞分析/渗透利用/后渗透系统化指导而非随意调用工具执行沙箱隔离Docker构建独立执行环境

渗透测试 2026-05-19 524

QClaw暴跌99.19%，从“AI革命”到“一地虾壳”，谁在裸泳？

从OpenClaw到QClaw，从Vibe Coding到Claude Code，厂商们争相推出新框架，自媒体们疯狂吹捧新概念，好像不跟上这波AI革命就会被时代淘汰——这种速成的逐利心态必须改变。更惊人的是，OpenClaw当月累计调用量达到10.

AI动态 2026-05-19 548

微软BitLocker加密不堪一击！一个U盘就能轻松破解

2. 把这个U盘插入被BitLocker加密的电脑，重启电脑，让它从U盘启动，进入Windows恢复环境（WinRE）；不需要复杂技术，不需要专业设备，只要一个普通U盘、复制几个特制文件，5分钟内就能绕过BitLocker加密，直接解锁

网安动态 2026-05-15 656

免费离线翻译神器 RTranslator：本地 AI 翻译，隐私安全无广告（安卓） ...

从 2.0.0 版本全面重构以来，这款工具持续优化体验，目前最新版本为2.1.4，功能稳定、语言丰富，支持文本翻译、对话翻译、对讲模式三大核心场景，覆盖日常交流、旅行沟通、商务对话、外语学习等多种需求。

APP下载 2026-05-15 637

Witr：免费开源的多平台进程管理神器支持Linux、macOS、Windows、FreeBSD ...

- 可疑进程、监听公网端口、静默跑了几个月的内存占用，全会主动标出来 - 内置交互式 TUI 仪表盘，不用死记命令参数 - 按进程名、PID、端口、文件路径都能查，结果用人话输出，不是一堆看不懂的技术流水支持 Linux

软件精选 2026-05-15 594

胖子IT工程师的福音礼来：替尔泊肽及orforglipron均可实现持久的减重维持效果 ...

从最大耐受剂量替尔泊肽转换至orforglipron后，受试者一年后平均回升5.0kg。其中，SURMOUNT-MAINTAIN研究评估了在接受60周最大耐受剂量替尔泊肽初始治疗后，继续最大耐受剂量治疗或下调至5mg替尔泊肽用于体重维持的

生活 2026-05-15 596

CLAUDE.md的12条规则，让编程错误率从41%降至3%

CLAUDE.md 的12条规则，让编程错误率从 41% 降至 3% 一、 Karpathy 的 4 条基础规则（针对代码编写）规则 1：编码前先思考 (Think Before Coding) 明确陈述假设；

AI编程 2026-05-15 610

爬虫工程师福音！隐身浏览器CloakBrowser可绕过所有检测

CloakBrowser完全兼容Playwright和Puppeteer的原生API，只需要改一行导入代码，原来的业务代码一行都不用动。它的补丁是编译进Chromium二进制文件里的，在浏览器内核层面就把指纹藏好了。这不是你写得不够好，是现在

软件精选 2026-05-15 578

潜伏18年高危漏洞爆发！NGINX远程代码执行漏洞CVE-2026-42945全面解析与处置方案 ...

同时运维人员需立即开展自查工作，核查服务器NGINX版本号，梳理rewrite模块配置规则，排查是否存在漏洞触发风险点，及时清理高危配置。当前全球大量云原生K8s集群Ingress网关、企业API接口、互联网网站均采用NGINX部

漏洞挖掘 2026-05-15 1074

经过几周测试国内模型后，我目前的编程排名是这样的

在过去几周测试国内模型后，我目前的编程排名是这样的： 1. Kimi K2.6 2. GLM-5.1 3. MiMo V2.5 Pro 4. MiniMax 2.7 5. DeepSeek V4 Pro 但它们各自都有独特的超能力。

AI编程 2026-05-15 408

美国知名网络教育平台Canvas遭攻击，黑客声称已获取全球近9000所学校、超过2.75亿人数

美国各地广泛使用的网络教育平台Canvas在7日遭遇网络攻击后服务一度中断，8日“已完全恢复在线并可正常使用”。7日，包括哈佛大学、密歇根大学在内的美国多所高校发布通告说，Canvas平台暂时无法使用，此时正值全美

网安动态 2026-05-11 715

CloakBrowser：30项反爬测试全通过！这个隐身浏览器让爬虫彻底告别被封 ...

Python和JavaScript的可直接替代Playwright/Puppeteer。同样的API，同样的代码——只需交换导入。3行代码，30秒解锁。

网络学院 2026-05-11 671

Edge浏览器被曝在内存中明文加载全部密码微软称“设计如此” ...

研究人员的测试还发现，此问题似乎是 Edge 特有的行为，在其他基于 Chromium 的浏览器（例如 Google Chrome 和 Brave）中，并未观察到同样的模式。

网安动态 2026-05-08 692

用Cloudflare实现免费工作邮箱

所以今天，我将向你展示一个快速指南，使用 Gmail + Cloudflare 设置像 [email protected] 这样的自定义邮箱，花费低至每年 2-10 美元——只是一个域名的价格。问题是，大多数人认为获取自定义邮箱意味着每月为 Go

网络学院 2026-05-08 987

最高法披露：两人非法获取个人信息9亿余条搭建“社工库”网站被判刑5-7年 ...

严惩“开盒”网暴行为，守护清朗网络空间——林某某、王某某侵犯公民个人信息、非法利用信息网络案【基本案情】2023年至2025年间，被告人林某某、王某某通过加密通讯工具等互联网渠道非法获取公民个人信息数据，后以

社会 2026-05-08 547

把照片变成3岁小孩画作火了：只需一句AI提示词

这也不是ChatGPT首次带火AI绘图风潮，此前的职场漫画风、吉卜力风都曾刷屏社交平台，只是这一次，大家彻底放弃了对精致的追求，把“拙劣感”变成了创作核心。，生成式AI还在卷更精致、更逼真的图像创作，海外社交平

AI应用 2026-05-08 698

NVIDIA拿下开源AI模型第一！击败Kimi、DeepSeek登顶

快科技5月6日消息，NVIDIA宣布旗下开源大模型Nemotron 3 Super登上EnterpriseOps-Gym排行榜开源类别首位，以平均27.3分的成绩击败Kimi-K2.5、DeepSeek v3.2、MiniMax m2.7及GPT-OSS-120B等众多竞争对手。

AI动态 2026-05-08 824

Tolaria：一款面向AI时代的知识管理工具

Tolaria 采用 TypeSript/JavaScript + Rust 语言开发，遵循 AGPL 3.0 开源协议，代码托管在 GitHub：https://github.com/refactoringhq/tolaria功能特性支持跨平台：Tolaria 桌面应用支持 macOS、Windows 以及 Linu.

AI学院 2026-05-08 680

FrankenPHP: 建立在Caddy Web 服务器之上的现代PHP应用程序服务器

FrankenPHP 凭借其令人惊叹的功能为你的 PHP 应用程序提供了超能力：早期提示、worker 模式、实时功能、自动 HTTPS、HTTP/2 和 HTTP/3 支持……FrankenPHP 可与任何 PHP 应用程序一起使用，并且由于提供了与 worker

PHP 2026-05-08 1408

TurbinePHP，一个内置服务器的下一代 PHP 运行时

传统 PHP 的请求流程是这样的：浏览器 → Nginx/Apache → PHP-FPM → 执行 PHP → 返回响应而 TurbinePHP 直接简化为：浏览器 → TurbinePHP 内置服务器 → 执行 PHP → 返回响应可以看到，TurbinePHP 省去了中间的

PHP 2026-05-08 6740

Claude Code之父最新预测：编程被解决后，下一个是什么？

Anthropic工程师Boris Cherny揭示：Claude Code已实现100%自动编码，人类角色从执行者转变为AI团队管理者。Boris 是 Claude Code 的创造者，也是整个 AI 编程领域最前沿的人之一。

AI动态 2026-05-08 713

安卓RCE漏洞深度解析：同一 WiFi 下，手机放着不动也会被入侵 ...

紧急预警：你的安卓手机可能正在 “裸奔”5 月 4 日，谷歌在 2026 年 5 月安全公告中披露了一个致命级安卓零点击 RCE 漏洞（CVE-2026-0073），该漏洞存在于安卓核心组件adbd（Android Debug Bridge daemon，安卓调试

网安动态 2026-05-06 790

GhostBits-WAF-Bypass-Toolkit——针对 Java 幽灵比特位漏洞的 WAF 绕过辅助脚本

✨ 功能特性 ● Bypass 生成：一键替换敏感字符（如 . / 等）为 Ghost Bits 替换体，生成绕过 payload ● 多格式输出：支持原始字符、URL 编码、curl 命令三种格式，直接适配 Burp/curl 场景 ● Ghost 字符查询：输

漏洞挖掘 2026-05-06 5468

100种漏洞、56个工具、4层验证，拆解一个AI渗透测试平台

技术栈：层级技术后端Python 3.10+ / FastAPI / SQLAlchemy（异步）前端React 18 / TypeScript / Tailwind CSS / ViteAIClaude / GPT / Gemini / Ollama / LMStudio / OpenRouter容器Docker /...

渗透测试 2026-05-06 4167