首页
学习
活动
专区
圈层
工具
发布
    • 综合排序
    • 最热优先
    • 最新优先
    时间不限
  • AI安全双向加固:腾讯云以AI驱动防御并保障AI自身安全

    AI时代安全格局剧变,攻防天平向攻击者倾斜 核心挑战:AI技术在降低攻击门槛的同时,引入了模型投毒、提示词注入、Agent过度授权、敏感数据泄漏等新型风险。 攻防节奏变革:攻防对抗从“人 vs 人”加速转向“AI vs AI”,传统防御规则已无法应对语义理解型的智能攻击。 客户实践:腾讯自身安全体系验证方案有效性 案例背景:腾讯集团面临严峻的内外部安全挑战,需提升代码安全性与AI应用可靠性。 实践成果:CodeBuddy Security在腾讯内部实现高效漏洞挖掘与自动化修复;AICC为内部AI业务提供数据可用不可见的可信推理环境,成为AI规模化落地的安全基石。 腾讯云AI安全的技术确定性源于三层纵深防御体系 技术领先性:构建“基础设施安全(AICC)、大模型安全AI安全护栏)、Agent安全安全中心)”三层纵深防御,覆盖AI全生命周期。

    20310编辑于 2026-06-22
  • AI网络攻击与内存安全代码防御

    随着每次仅需1美元的网络攻击日益增多,持久防御方能奏效编写内存安全代码比通过打补丁来保障安全更有效Evan Johnson 和 Justin Cappos2026年4月30日,6分钟阅读Evan Johnson 目前尚不清楚AI驱动的漏洞发现最终对攻击者还是防御者更有利。但为了理解防御者如何提高胜算并可能占据优势,回顾早期一波自动化漏洞发现浪潮会有所帮助。 内存安全代码创造更强大的防御最容易的起点是采用内存安全语言。各机构只需更改其编码人员使用的编程语言,就能对其安全性产生巨大的积极影响。 对研究人员来说,瓶颈在于使这些基础变得实用——并使用生成式AI来加速迁移。但与其进行自动化的、临时的漏洞修补,不如让这种防御模式下的生成式AI帮助将遗留代码翻译成内存安全的替代品。 它还协助验证证明,并降低通向更安全、更少漏洞代码库的专业知识门槛。最新一波更智能的AI漏洞扫描器仍然可以用于网络防御——而不仅仅是另一个被过度炒作的AI威胁。但AI漏洞扫描器治疗的是症状,而非病因。

    18410编辑于 2026-05-21
  • 来自专栏Vue源码 & 前端进阶体系

    安全】 XSS 防御

    4、配合钓鱼网站进行攻击 那我们怎么针对上面的手法进行防御,两种方式 1、禁止客户端访问 cookie 2、内容检查 下面来逐个介绍一下 禁止访问Cookie XSS 不能会窃取用户的 cookie,来假冒用户的登录吗 杀敌一千,四损八百,而且并没有根本上解决 XSS,只是减少了 XSS 的发生 因为能走到这一步的,说明恶意脚本还是执行了 就算你不让他获取 cookie,他还是可以做其他事情的 所以我们就有了下一个根本的防御的方法 下面记录一个转么转义 html 特殊字符的 方法 */ 网上还有更加完善的方法,这里就是简单记录理解一下,大家在项目中使用时要使用更加完善的方法 2 输出检查 虽然我们已经做了输入检查,但是我们永远要做更多的防御措施 ,以免有漏网之鱼 并且这一步是防御 XSS 最关键的一步,因为往往就是在这一步,把 恶意脚本插入到文档中 而导致脚本执行,从而发生攻击,所以在我们必须把内容插入到 HTML 文档中时,需要检查 该内容是否

    1.6K20发布于 2020-02-17
  • 来自专栏AI SPPECH

    对抗AI黑客:大模型安全的终极防御

    在这种背景下,了解大模型面临的对抗性攻击类型,掌握有效的防御策略,对于保障AI系统的安全运行至关重要。 本文将深入探讨大模型对抗性攻击的技术原理、主要类型、防御策略以及实战案例,为AI安全研究员和企业CIO提供一份全面的大模型安全防御指南。 代码演示:基于对抗训练的大模型防御系统 下面提供一个基于对抗训练的大模型防御系统示例代码,帮助AI安全研究员和企业CIO快速实现基本的大模型对抗防御功能。 多方安全计算的协同防御:多个组织或机构可以通过多方安全计算技术,协同进行大模型的安全防御,提高防御的规模和效果。 3. 对于AI安全研究员和企业CIO来说,关注大模型安全的最新研究成果和实践经验,构建完善的大模型安全防御体系,将成为保障AI系统安全运行的重要任务。

    1.7K10编辑于 2025-11-13
  • 来自专栏安恒信息

    邮箱安全服务第6期 | 邮箱自身系统安全防御部署实践

    前面几期我们介绍的是发现邮箱安全问题和分析问题,本期我们介绍一下邮箱系统安全防御及加固手段,可以重点解决邮箱系统通用应用漏洞缺陷防护和邮箱反入侵问题。 为解决邮箱系统代码程序设计安全隐患、邮箱系统0day漏洞、网站运维和管理人员安全意识漏洞以及黑客攻击问题。安恒信息将提供Web应用防火墙产品保护您的邮箱系统安全。 部署Webmail安全防御系统 1 邮箱系统通用安全风险 代码设计安全隐患 由于网站研发人员对WEB安全的认知能力有限或者网站开发时间有限,导致Web服务程序存在SQL注入、跨站脚本、源码泄露等漏洞,黑客利用网站 邮箱系统运维和管理人员安全意识薄弱 绝大多数网站运维和管理人员的安全意识相对薄弱,对于网站的管理后台使用默认的用户名和密码或者使用的简单的密码,黑客可以采用暴力破解的方式获取用户名和密码。 2 防御系统部署 邮箱防御系统WAF一共有七种部署模式:透明代理串接模式、反向代理-代理模式、反向代理-牵引模式、旁路监控模式、透明桥模式、透明代理下的HA主备模式、反向代理下的VRRP主备模式。

    1.2K60发布于 2018-04-10
  • 来自专栏AI SPPECH

    6:L防御对抗样本攻击:蓝队的模型安全加固

    作者: HOS(安全风信子) 日期: 2026-03-17 主要来源平台: GitHub 摘要: 作为数字世界的守护者,当基拉使用对抗样本攻击欺骗AI系统时,我构建了全面的防御体系。 当我第一次遇到对抗样本攻击时,我意识到这是AI安全领域的一个重大挑战。2026年,对抗样本攻击已经成为AI系统面临的主要安全威胁之一。 在工程实践中,对抗样本防御为蓝队带来了新的挑战和机遇。通过构建多层次的防御体系,我们能够有效防御对抗样本攻击,确保AI系统的安全可靠。 这样既可以防御对抗样本攻击,又能确保整个系统的安全性。 6. 未来趋势与前瞻预测 本节核心价值:展望对抗样本防御的未来发展趋势,以及可能的技术突破。 随着技术的不断发展,对抗样本防御将迎来新的变革。 作为防御者,我相信通过持续研究和应用对抗样本防御技术,我们能够构建更强大的防御体系,保护AI系统的安全。在与基拉的对抗中,我们将能够有效防御对抗样本攻击,确保AI系统的可靠性和安全性。

    31410编辑于 2026-03-26
  • 来自专栏HACK学习

    Web安全防御

    xss攻击(跨站脚本) 是网站应用程序的安全泄露攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。 是发生于应用程序之数据库层的安全泄露。 防御方法 1. 、验证并转义用户输入 2、base64编码 3、绑定变量,使用预编语言 4、控制用户的权限,以及做好数据库本身的安全工作 文件上传漏洞 是指网络攻击者上传了一个可执行的文件到服务器并执行。 防御方法 1、拼宽带 2、流量清洗或者封 IP 3、CDN 服务 4、花钱买相应的防御服务

    90220发布于 2019-08-07
  • 来自专栏公共互联网反网络钓鱼(APCN)

    企业 AI 代理安全治理与社会工程攻击防御研究

    本文以该研究为核心依据,系统剖析 AI 代理的安全属性、典型攻击链路与防御缺口,构建包含权限最小化、提示词安全、执行网关、人工在环与全链路审计的多层治理框架,提供可工程化的防御代码示例。 调研显示,73% 的生产环境 AI 部署存在可利用的提示注入漏洞,仅 33% 的组织部署专用防御,影子 AI无序使用进一步扩大风险面。 本文以 KnowBe4 最新研究为基础,界定 AI 代理的安全属性与脆弱根源,拆解间接提示注入、回声泄露、上下文操纵等典型攻击,提出覆盖身份权限、输入净化、执行控制、人工核验、持续审计的完整防御体系,并提供可直接落地的代码实现 2 AI 代理的类人安全属性与脆弱性根源2.1 与人类员工一致的四大核心特征Martin Kraemer 将 AI 代理与人类员工对比,归纳出决定其安全风险的四大共性 traits,构成防御体系的认知基础 6 治理效果评估与优化方向6.1 核心评估指标提示注入拦截率:高风险指令实时拦截比例;最小权限覆盖率:按任务授权代理占比;高风险动作人工核验率:敏感操作审批覆盖率;影子 AI 发现时效:未授权工具从部署到识别时长

    25410编辑于 2026-05-28
  • 来自专栏空名先生的技术资源小屋

    WordPress安全防御攻略

    起源 个人近期做了一个WordPress站点,目前处于内测阶段,虽然公网还没部署起来,但是先在这学习整理一下安全防护的问题。 ? 第一:及时更新WordPress 由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补丁,所以我们一定要及时的安装更新官方发布的稳定版本 有不少专业工具可以扫描,Kali Linux就可以攻击WordPress,转换下身份可以自己攻击自己玩玩,又能增长知识还能提前发现安全隐患。 第六:管理员帐号安全性要高 怎么个高法? 用户名和密码多种字符串联使用,比如:用户名D2e+@6~p;8[I 密码 k8/*W&^/j6>b.0 那些黑客会利用脚本自动化访问输入用户名密码来暴力破解。

    76240发布于 2021-08-03
  • 构建纵深防御体系应对AI技术带来的新型安全威胁

    识别AI技术演进中的核心安全挑战 随着2026年金融行业全面迈入大模型应用阶段,传统IT基础设施向AI Infra演进导致攻击面急剧扩大。 (来源:腾讯云安全解决方案架构师张华) 建立三层协同的AI安全治理框架 腾讯云提出治理层、合规层、技术层协同的防护体系。 治理层通过建立AI安全运营团队(MLSecOps) 统一管理模型训练与部署风险,制定AI攻防演练标准并模拟红蓝对抗。 (来源:腾讯云AI Agent安全防护案例) 腾讯云AI安全的技术领先性保障 腾讯云基于混元内容安全大模型和科恩实验室安全技术,提供从宿主层、Runtime层到网络层的纵深防御体系。 腾讯AI安全方案获得国家级安全认证,其中LLM-WAF网关支持多模型接入和自定义敏感词库,能有效识别身份证、手机号、银行卡等敏感信息。

    56020编辑于 2026-04-03
  • 来自专栏公共互联网反网络钓鱼(APCN)

    人机协同闭环:AI 时代邮件安全 “人在回路” 防御体系研究

    即便持续开展员工安全培训,企业仍存在 1.5% 的中位误点击率,纯技术或纯人力均无法独立支撑防御闭环。 研究成果可为企业构建自适应邮件安全防御体系提供理论支撑与工程实践指南。 6 效能评估与对比分析6.1 核心指标对比表格防护模式 威胁检出率 平均响应时间 误报率 零日防御纯规则过滤 65% 小时级 高 弱纯 AI 检测 7.2 人在回路进化方向AI 自主协同:安全智能体自动调度检测、研判、响应,人工仅处理最高决策;跨渠道统一闭环:覆盖邮件、IM、协作平台、IoT 设备的统一上报与处置;预测式防御:基于用户行为与威胁情报 人在回路邮件安全体系以AI 保障效率、人工弥补认知、数据驱动迭代为核心,构建 “智能检测 — 用户上报 — 自动研判 — 高速处置 — 闭环进化” 的完整防御链。

    21110编辑于 2026-05-24
  • 来自专栏PHP在线

    PHP安全:session劫持的防御

    如果你关心的是会话数据保存区本身的安全,你可以对会话数据进行加密,这样没有正确的密钥就无法读取它的内容。 深度防范原则可以用在会话上,当会话标识不幸被攻击者知道的情况下,一些不起眼的安全措施也会提供一些保护。作为一个关心安全的开发者,你的目标应该是使前述的伪装过程变得更复杂。 > 这一方法的安全性虽然是弱一些,但它更可靠。上面的两个方法都对防止会话劫持提供了强有力的手段。你需要做的是在安全性和可靠性之间作出平衡。

    1.9K80发布于 2018-03-07
  • 来自专栏空名先生的技术资源小屋

    WordPress安全防御攻略(续)

    续 承接上一篇:WordPress安全防御攻略 第七: 更改登录入口 在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址,所以修改掉你的登录入口 Files *.php> Order Allow, Deny Deny from all </Files> </Directory> 第十二:主机服务器设防 靠谱的主机服务商都包含主机安全 ,Web防火墙,DDos防护,安全组策略(端口开放限制)等功能。

    1.5K40发布于 2021-08-03
  • 腾讯安全构建金融行业纵深防御体系,精准识别AI仿冒欺诈

    随着AIGC技术迅猛发展,金融行业面临日益严峻的AI合成身份欺诈挑战。黑产利用DeepFake换脸、音频合成等技术,结合非法获取的个人信息,对企业与个人实施精准诈骗,严重威胁资产安全与业务稳定。 金融行业面临AI仿冒欺诈的多维挑战 AI仿冒欺诈已形成完整黑产链条:从非法获取公民个人信息,到利用AI技术生成仿冒音视频,最终绕过身份核验机制实施诈骗。 金融业务的高安全性要求与监管合规压力,使得单一依赖生物特征认证(eKYC)已不足以应对复杂攻击。 腾讯防AI仿冒解决方案的四大核心模块 1. 腾讯安全的技术权威性与实践积累 腾讯安全基于长期黑产对抗经验,构建了覆盖设备、环境、行为、账号的多维风险识别体系。 方案获得金融第三方机构安全认证,并在实际业务场景中验证了其技术有效性与合规性,为金融客户提供兼具防护强度与隐私友好的AI反欺诈能力。

    25410编辑于 2026-05-30
  • 智能 AI 安全隐患排查管理系统:构建主动式网络安全防御体系

    传统依赖人工的排查模式存在响应滞后、覆盖不全等固有缺陷,而基于 AI 技术的安全隐患排查管理系统通过多维度数据融合与实时分析,正在重塑企业安全防护边界,实现从被动防御到主动预警的战略转型。️ :大促期间成功拦截每秒上千次 CC 攻击️ 纵深防御体系零信任架构集成与身份认证平台深度联动,实现动态权限授予高风险终端接入时自动降级至只读模式配合威胁狩猎工具主动投放诱饵,暴露潜在攻击者核心防护指标MTTD 攻击业务连续性达到 99.99% 实施路径规划三阶段推进策略首期试点(1-2 个月):完成核心业务系统覆盖,验证基础防护能力中期扩展(3-4 个月):延伸至全部 IT 资产,建立统一管理平台后期深化(5-6 个月):纳入供应链上下游,构建生态安全体系质量保障措施每个阶段设置明确的交付物验收标准提供策略配置文件模板、应急演练方案配套红蓝对抗服务,验证真实防护水平 总结展望智能 AI 安全隐患排查管理系统通过机器学习算法与安全运营经验的深度融合 随着威胁环境的不断演变,系统将通过联邦学习、边缘智能等技术的深化应用,持续增强在复杂场景下的防护能力,为企业构建更加智能、主动、可生长的安全防御体系。

    1K10编辑于 2025-10-27
  • 腾讯云全链路AI Agent安全治理与防御架构解析

    构建基于“云-网-端”协同的智能体防护组件 针对上述AI架构带来的安全新范式,腾讯云基于自身防护经验,构建了覆盖宿主层、运行层、应用层与网络层的AI智能体安全治理框架: AI Agent安全中心(管控中枢 iOA协同,企业在系统稳定性、运维管理与开发合规上实现以下量化安全状态: 实现100%零信任三层防御闭环: 事前(Agent准入): 执行合规检测与软件管控,确保仅安全Agent进入环境。 原生防御」为核心的实战型闭环: 安装渗透防线: 直接拦截未经审批的“龙虾”(AI Agent)私自安装。 依托自研防护体系提供开箱即用的AI安全基础设施 腾讯云的安全产品矩阵不仅满足基础的合规监管要求,更通过技术层面的“AI原生防御”确立了确定性的安全防线。 其技术领先性体现在提供了从底层风险发现到上层业务护航的开箱即用安全产品与服务矩阵,涵盖:AI红队测试评估、AI-SPM大模型态势管理、大模型安全情报、AIGC内容安全等十余项模块。

    1.1K20编辑于 2026-03-23
  • 来自专栏公共互联网反网络钓鱼(APCN)

    AI 时代企业网络钓鱼安全培训重构与防御体系研究

    本文结合 AI 赋能网络钓鱼的全新特征,分析传统企业钓鱼安全培训存在的短板,提出以行为引导、场景化训练、心理识别为核心的安全培训重构思路,并构建 “技术防护 + 安全培训 + 运营管控” 三位一体的分层防御体系 同时,本文将安全培训与技术检测相结合,丰富 “人 + 技术” 协同防御网络钓鱼的理论体系,填补多渠道 AI 钓鱼场景下培训与技术联动防御的研究空白。 2.3 AI 钓鱼对传统培训体系的整体冲击总结AI 技术重构了网络钓鱼的攻击逻辑,也从根本上瓦解了传统安全培训的防御基础。 4 面向 AI 钓鱼的分层防御体系整体架构反网络钓鱼技术专家芦笛强调,无论安全培训体系多么完善,都无法保证 100% 的人工识别率。 6 防御体系落地应用与实施要点6.1 落地应用场景本文设计的 “技术检测 + 重构后安全培训 + 运营管控” 三位一体防御体系,可全面应用于各类大、中、小微企业,覆盖互联网、制造、金融、政务、服务业等全行业

    13610编辑于 2026-06-10
  • 来自专栏FreeBuf

    浅谈IPv6的风险防御

    因为毕竟是甲方,所以工作推进的很稳健,到交到我们手上的时候,我们只需要输出关于对ipv6的攻击与防御及优化方案。 另外,IPv4向IPv6过渡长期共存也引发新的安全挑战,如双栈机制过滤不严、利用隧道机制绕过安全设备等等。 综上所述,在设计验证方案时,按验证的方向分为三类:IPv4和IPv6共有安全、IPv6特有安全、IPv4/v6过渡长期共存的安全。 测试总结: 客户购买了大量的安全设备,最后只在2台设备上捕捉到了IPV6的攻击流量。感慨国内ipv6安全发展,任重道远。 ? ? 经过验证测试,发现IPv6网络的安全防护,存在以下问题: (1)部分安全设备,实际对IPv6的支持不足。如部分安全设备无法查询出IPv6攻击日志,甚至存在IPv6网络连通性的问题。

    2.5K40发布于 2019-06-13
  • 来自专栏数说工作室

    更主动的安全防御

    防御这个词好像天然是被动性的,别人来攻击,你来防守,要处处防着对方,小心被对方渗透进来。 因为攻击者在暗,防守方在明,只有攻击者出手的份,防守方对攻击者似乎做不了什么。 笔者从安全防御的 “主动性” 角度,总结了企业安全建设的三个层次,这三层不是演进替代的关系,而是叠加: 第一层是筑牢基本防线,建立运营流程 安全的基本防线构建大概分为三块: 1)安全套件 互联网边界上标准安全架构 3)安全制度和培训 必要的安全制度和审计机制; 在关键节点上嵌入安全培训。 第三层是强化溯源研判的软硬实力,部署威胁猎捕工具,协同外部执法力量对攻击者进行打击 前面2层还是“防御”层次,只是对攻击行为能够更主动的防御。而第三层,则开始对攻击源开始反制。 本文是从安全防御的 “主动性”角度梳理的企业安全建设的层次,主动性未必代表成熟度。作为企业安全人员,应该根据安全建设的目标、资源情况,综合进行考虑。

    61420编辑于 2022-08-31
  • AI 安全防御亟须学会“拴疯狗”

    如果你还以为安全漏洞只是“被人偷看了一点数据”,那么这场发生在我们眼皮底下的 Agent “裸奔”狂潮,绝对会彻底颠覆你对 AI 时代系统崩溃的认知。 这不是信息安全问题,这是系统控制权的物理级丧失。二、 极速上线的代价:被遗忘在公网的“上帝权限”为什么会出现如此规模的集体“裸奔”?原因很简单:在 AI 时代,开发速度彻底碾压了工程规范。 Agent 的非确定性(它会自己做决策)彻底打破了传统的防御体系。安全不再是“阻止未经授权的访问”,而是要深入到 Agent 的逻辑内部。 【笔者观点:不要修补城墙,要去“驯化野兽”】这个惨痛的教训告诉我们:面对 AI,传统的“筑墙防守”思维已经失效。优秀的 AI 开发者和安全专家,最高阶的能力将是作为“数字野兽的驯化师”。 当满大街都是“会写 Prompt”和“会调 API”的初级开发者时,这场 22 万实例的公网灾难,恰恰为未来的技术人才指明了最值钱的方向:“原生安全视角”的 Agent 架构师(Zero-Trust AI

    80710编辑于 2026-03-07
领券