- 综合排序
- 最热优先
- 最新优先
AI驱动黑盒漏洞挖掘:腾讯云XBOW平台精准检测实践
部署AI驱动方案:XBOW平台与场景感知架构 药:腾讯云推出AI驱动安全未来方案,以XBOW应用安全平台为核心,整合分布式Agent架构、场景感知黑盒挖掘、工具调用优化三大能力: 分布式Agent架构 量化应用效果:效率与精准度的双重提升 效:方案经腾讯云安全众测与XBOW平台实测,关键业务指标显著优化: 资产发现能力:初始页面探索发现24个新页面,后续多URL测试中,单目标发现页面数3-70个( 漏洞检出效能:单页面漏洞数1-5个(如http://10.2.35.0:31028发现5个漏洞),累计覆盖SQLI、XSS、LFI等8类漏洞,利用成功率通过CTF夺旗结果验证(据“覆盖多种CTF常见漏洞类型 客户实践案例:XBOW平台漏洞检测实证 托 某客户基于XBOW平台开展智能渗透测试,典型案例包括: LFI漏洞检测与利用:在XBOW首页(http://10.2.35.0:31002/index.php 数据来源:腾讯云安全众测实践、XBOW平台测试记录、CTF智能渗透挑战赛(Tencent Cloud Hackathon)解题数据。
24210编辑于 2026-04-05AI驱动场景感知黑盒漏洞挖掘:腾讯云XBOW平台赋能高效渗透测试
部署XBOW解决方案 腾讯云推出XBOW应用安全平台,以“AI驱动+场景感知”为核心,提供下一代黑盒渗透方案: 架构设计:采用分布式Agent架构,任务管理与执行解耦,支持多平台多节点Agent统一调度 核心能力:支持SQLI、XSS、LFI、CMD等8类漏洞检测,通过“页面探索→场景塑造→漏洞检测”三步流程,利用工具调用优化(XML格式、urllib底层库)、POC迁移与后利用、常态化题海战术提升效率 量化应用效果 XBOW平台在渗透测试中展现显著效能,关键业务指标基于腾讯云安全众测及挑战赛实践: 资产发现:单目标URL初始探索发现24个新页面,某次任务扩展至发现70个页面(来源:XBOW平台页面探索记录 案例2:XBOW平台LFI漏洞实战检测 目标:XBOW应用安全平台首页(http://10.2.35.0:31002/index.php,服务器:Apache/2.4.54 (Debian),PHP/7.4.33 过程:通过“页面探索”发现private.php页面,其file参数存在LFI漏洞;利用载荷/xbow-flag.txt读取敏感文件,成功获取Flag(来源:XBOW平台漏洞检测报告)。
28420编辑于 2026-04-06多智能体协同自主进化渗透测试系统:基于XBOW Benchmarks的量化评估与实践
量化应用效果与业务价值 系统经XBOW Benchmarks验证(104个环境,含简单45、中等51、困难8),关键指标如下: 漏洞利用成功率:经迭代从50%降至39.4%,最终提升至58.2%(来源 开源赋能:发布评估系统(GitHub: https://github.com/Neuro-Sploit/xbow-validation-benchmarks)、修复XBOW Benchmark上游遗留问题 github.com/Neuro-Sploit/tencent-cloud-hackathon-intelligent-pentest-competition-evaluation),开发本地API兼容比赛平台 ,实现零成本无限次演练,修复官方XBOW Benchmark遗留问题。 Benchmarks构建标准化反馈闭环,从漏洞利用成功率、耗时、成本多维度量化Agent性能,支持CTF比赛平台API/MCP接口开放(来源:AI驱动安全未来与XBOW共赴智能攻防之巅); 开源贡献
28220编辑于 2026-04-06腾讯云AI驱动场景感知黑盒漏洞挖掘方案:从盲打到精打的效率跃迁
技术组件:采用分布式Agent架构(材料:“分布式Agent架构”),解耦任务管理与执行,支持多平台多节点统一调度;推行常态化题海战术(材料:“常态化题海战术”)与POC迁移后利用,提升漏洞利用成功率; 第四章 XBOW平台LFI漏洞检测实战案例 客户案例:XBOW应用安全平台(AI驱动自主渗透测试平台)漏洞检测 目标环境:XBOW首页(http://10.2.35.0:31002/index.php ),服务器信息:Apache/2.4.54 (Debian)、PHP/7.4.33(材料:“aa643ae7-8fd6-4cfb-8e46-1a85c5baf535: XBOW首页 页面显示服务器信息: file=xbow-flag.txt,成功读取flag文件(材料:“成功利用的载荷: -xbow-flag.txt成功读取到flag文件内容”);进一步利用Apache HTTP Server 2.4.50 架构与评估驱动的价值实现——‘更准、更稳、更可用’”),融合LLM变异、强人工经验与场景感知检测(材料:“检测模式 人工经验 LLM变异 强人工经验 Prompt Fuzzer”),覆盖SQLI、XSS、LFI等8类漏洞
22810编辑于 2026-04-06多智能体协同自主进化渗透系统:基于XBOW基准的量化评估与实践
评估标准化:基于XBOW Validation Benchmarks数据集(含104个环境,分简单45、中等51、困难8)实现多维度评估(来源:材料“XBOW Validation Benchmarks 比赛应用:参与腾讯云黑富松智能渗透挑战赛,使用PentestSkills系统: 基于XBOW数据集评估,映射漏洞至OWASP TOP 10,涉及最多漏洞类型为注入型(59)、访问控制(29)、安全配置错误 )、**XBOW Validation Benchmarks数据集(修复上游遗留问题,地址:https://github.com/Neuro-Sploit/xbow-validation-benchmarks 数据与生态支撑:依托XBOW Validation Benchmarks数据集(104环境、多难度分级)建立评估基线,提供CTF平台API/MCP接口支持大模型参赛(来源:材料“修正评估基准 (XBOW 开源社区共建:推动评估标准完善、工具矩阵扩展,支持企业/高校接入真实SRC平台(高危操作需人工确认)(来源:材料“未来展望”部分)。
20010编辑于 2026-04-05多智能体协同渗透测试系统将漏洞挖掘成功率提升至58.2%
:提供经济性评估指标 系统支持随机抽取8个漏洞环境进行全自动模拟,实现环境部署、攻击检测与验证的完整闭环。 项目修复了上游官方XBOW Benchmark仓库的多个遗留问题,并开发了与比赛平台API完全兼容的本地接口。 腾讯云平台支撑智能攻防技术突破 腾讯云黑盲松竞赛平台提供: XBOW Benchmark数据集:104个漏洞环境,覆盖简单(45)、中等(51)、困难(8)三种难度 漏洞类型分布:XSS(23)、默认密码 (18)、越权漏洞(15)占比最高 实时数据支持:为队伍提供比赛数据分析与统计平台 团队基于腾讯云平台开发的开源项目已修正评估基准,建立了多维度、可扩展的自动化评估框架,为渗透测试智能化提供了完整解决方案 数据来源:NeuroSploit战队开源项目(GitHub)、XBOW Validation Benchmarks统计平台、腾讯云黑盲松智能渗透挑战赛官方数据
24820编辑于 2026-04-04多智能体协同自主进化渗透测试系统:提升漏洞挖掘效率与自优化能力
量化验证系统效能与业务价值 基于XBOW Validation Benchmarks数据集(来源:文中“XBOW Validation Benchmarks 数据集分析”)的实践显示: 数据集规模: 含104个环境(简单45、中等51、困难8),覆盖注入型、访问控制漏洞(XSS 23例、默认密码18例、越权15例占比最高),较少涉及密码学错误、SSRF(来源:“XBOW Benchmarks 包含 104 个包含数十种不同漏洞类型的环境”“官方将其分为简单(45)、中等(51)、困难(8)种不同难度”“其中 XSS (23)、默认密码 (18)、越权漏洞 (15) 占比最多”)。 开源贡献:修复上游XBOW Benchmark遗留问题,开发与比赛平台API兼容的本地API,实现零成本演练(来源:“修复了上游官方XBOW Benchmark仓库中的多个遗留问题(开源)”“开发了与主办方比赛平台 ”“开源地址:https://github.com/Neuro-Sploit/xbow-validation-benchmarks”)。
22720编辑于 2026-04-06场景感知AI渗透方案将漏洞误报率降低90%,实现业务逻辑深度检测
其中LFI漏洞检测成功率达100%,通过路径遍历成功读取系统文件(包括xbow-flag.txt等目标文件)。整体漏洞检出效率较传统工具提升3倍,误报率从60%降至低于6%。 XBOW平台验证实际攻防效果 在XBOW应用安全平台测试中,系统通过业务场景分析发现关键漏洞链:文件上传→LFI→SSTI的串联利用路径。 采用分布式Agent架构(最高管理520个并发节点),支持多平台统一调度,天然具备后渗透框架特性。关键技术获得S&P等国际顶级会议认可,并在2025年国家护网行动中得到实战验证(攻击队主力成员采用)。 数据来源:腾讯云黑盲松渗透挑战赛实测数据(2025)、XBOW平台测试报告、国家护网行动实战记录 胡宇睿(西安交通大学网络空间安全学院博士生)主导开发,研究领域涵盖开源漏洞治理、AI赋能安全及高级威胁狩猎
21110编辑于 2026-04-0496%漏洞发现率碾压商业工具!Shannon:全自主AI渗透测试Agent,34K Star
在清理版XBOW基准的白盒测试中,它以96.15%的漏洞利用成功率(100/104)拿到了目前公开的最高分之一。 三、XBOW基准96.15%的条件与细节Shannon在XBOW基准上取得了96.15%的漏洞利用成功率(100/104)。这是一个值得拆解的数字——不仅因为成绩本身,更因为理解它的适用条件很重要。 作为参考,同类AI安全工具在XBOW基准上的公开成绩包括:KinoSec 92.3%(黑盒模式)、Xfenser AI 88.5%、XBOW自身商业平台约85%(黑盒)。 Help Net Security的评测中提到中等规模应用约$8-10 API成本,可能对应更小规模或部分测试的场景。 96.15%的XBOW基准成绩(白盒清理版条件下),加上OWASP Juice Shop上20+个真实漏洞的发现,验证了这一方法论在已知漏洞场景中的有效性。在此基础上,有几点值得进一步思考。
99911编辑于 2026-04-10AI驱动安全自动化:双Agent协作架构在智能渗透挑战赛中的实践与效能
工具描述占用大量token限制LLM选择空间(MCP陷阱);二是单个LLM易陷入思维死循环,长对话引发幻觉风险,导致格式错误、工具误用;三是上下文过长(如分析competition_rules.pdf、XBOW 数据来源:TCH腾讯云黑客松Tencent Cloud Hackathon智能渗透挑战赛规则文档、XBOW Benchmark数据。 数据来源:云鼎实验室《AI驱动安全未来与XBOW共赴智能攻防之巅》项目文档。 量化双Agent架构的应用效果与客户价值 效:方案落地后实现三项关键ROI指标提升: 解题效率:从Day1上午6道+下午4道优化至后续版本上午7道+下午8道,解题数提升25%(数据来源:挑战赛Day1 Day4-Day5:架构重构(顾问切换MiniMax→DeepSeek、Prompt调整、微调参数),引入双Agent协作与动态重试,解题数提升至上午7道+下午8道。
25720编辑于 2026-04-05【能力比对】K8S数据平台VS数据平台
一、K8S数据平台VS数据平台能力对比 1.1 K8S数据平台(CloudEon)-功能描述 K8S数据平台基于开源项目CloudEon建设,简化Kubernetes上大数据集群的运维管理,一款基于Kubernetes K8S数据平台(CloudEon)将基于 Kubernetes 的资源安装部署开源大数据组件,实现开源大数据平台的容器化运行,可减少对于底层资源的运维关注。 二、功能对比总结三、 功能模块对比 3.1.1 K8S数据平台-功能定位 定位:K8S数据平台(CloudEon)作为数据基础设施核心引擎,通过容器编排将数据库、大数据及AI框架标准化为云原生资源,解决传统架构弹性 3.1.2 K8S数据平台-功能特点 01 云原生数据服务编排支持MySQL、PostgreSQL、Redis、Kafka、Spark、Flink等主流数据组件的K8s Operator封装,实现“声明式 四、 K8S数据平台VS数据平台-应用场景适配K8S数据平台(CloudEon)高实时性、弹性需求行业:互联网用户行为分析、金融反欺诈、AI模型推理等场景需支撑千万级QPS查询与GPU资源动态调度,其流批一体计算引擎
57210编辑于 2025-05-07- 来自专栏张善友的专栏
浏览器平台:Internet Explorer 8
IE8是浏览器的一个新时代的开始。从IE8上,我们可以看到很多改变。 IE8新增了非常多的特性来支持服务,IE8已经是一个在线服务的平台,IE8的插件或者说服务,都可以在线安装,插件也是Web化的。从本质上来说,IE8与前面版本或者说与所有其它的浏览器都是不同的。 从技术方面来说,IE8的目标是为了提高Web开发的效率,为Web开发者提供一个标准的,更适合Web应用的一个平台,特别是对于越来越复杂的页面,提供了更良好的底层支持。 在IE8,这种方式被扩展到各个角落。IE8真正实现了互联网服务的即时获取。而预览的方式提供了更直接的接入服务的入口。 所有这些改变都在表明,微软进军互联网的决心,微软想把IE打造成为一个优秀的浏览器平台,就像Windows一样,提供尽可能好的API,功能,开发套件,扩展接口,新的开发模式,新的技术,给用户更好的体验,给企业更好的业务平台
1.5K70发布于 2018-01-30 - 来自专栏测试开发干货
数据工厂平台-8:首页统计功能
想简单请直接跳转到第13章内容】 注意我们当前做的平台是数据构造平台,既然是数据,那么首页我们要弄成什么样呢? 最好就是 各种统计图 那种吧,看着还高大上~ 但是我们不能为了统计而统计,好看不如实用,所以我们还是要先思考下,我们首页的第一个统计图: 【各个工具的使用次数统计】 也就是说,我们的平台不止会有一个工具 当然,每个工具被使用的时候,我们都要在统计表中记录好它被使用的次数,这样才能更加刺激其他同学在平台上创造数据构造小工具。 设置管理模块,包括平台的各种设置,架构等等。 首页统计模块,方便使用者对当前整体有个概念 和力量展示。
76130编辑于 2022-05-19 - 来自专栏不二小段
来学学大模型最新「合金特工」骚操作,能力比肩多智能体,AI 黑客成功率飙升
让我们一起学习一下 XBOW 的骚操作。 缘起:AI 自主黑客的困境 要理解「模型合金」的精妙之处,首先要了解它诞生的背景。 XBOW 主营业务的是自主渗透测试。 XBOW 的 AI 负责人 Albert Ziegler 指出,这类任务的特殊之处在于,它不是一个「稳步前进」就能解决的问题。 为了评估和迭代他们的 Agent,XBOW 建立了一套 CTF 风格的基准测试集。 对于 XBOW 这种需要快速迭代、不断试错的搜索任务来说,效率太低。 2. vs. XBOW 认为,用这些额外的成本,他们宁愿多启动几个独立的 Agent 去碰运气。 3. vs.
9910编辑于 2026-04-09 - 来自专栏云云众生s
采用平台工程的8个现实理由
一个考虑这些需求的平台可能会获得更多好处。 译自 8 Real-World Reasons To Adopt Platform Engineering,作者 Steve Fenton。 平台工程 存在一个干净的学术版本。当我们发现随着规模的扩大,倦怠感增加,并将这种倦怠感追溯到软件交付和基础设施复杂性带来的认知负荷时——bingo!——是时候添加平台工程了。 采用平台工程的原因很少符合认知负荷类别,了解现实中采用平台工程的动机将有助于那些正在考虑采用平台工程的人。 这个主题正在积极研究中,我将概述我们迄今为止的发现。 谁推动平台采用? 内部开发者平台 (IDP) 可以满足许多业务部门的需求。您可能会找到简化治理、风险和合规要求 或帮助财务部门进行成本控制的方法。 无论原因如何,减少解决相同问题的工具数量 的需求通常是开发团队寻求平台工程时的诱因。 共享最佳实践 在最佳实践集上达成一致是构建内部开发者平台的另一个流行原因。
28510编辑于 2024-07-13 - 来自专栏Flink实战应用指南
Nvidia自动驾驶平台Drive Hyperion 8
Nvidia最新自驾车平台Drive Hyperion 8,不只被自驾出租车和汽车供应商采用,多家卡车运输服务厂商也将采用Nvidia自驾技术来增加运输量 Nvidia推出最新的自驾车平台Drive Hyperion 8,该公司在CES 2022中,揭露更多该平台的细节和合作对象。 最新一代的自驾车平台,拥有12个先进的环绕摄影镜头、12个超声波装置、9个雷达、3个内部感测摄像机,还有一个前置光达。 官方提到,Drive Hyperion 8的冗余架构设计提供足够安全性,当一台电脑或是感测器故障时,仍有另一个备用可以替补,确保自驾车辆能够安全地抵达目的地。 自驾出租车服务Cruise、Zoox和滴滴出行,以及Volvo、Navistar和Plus等卡车运输服务,也都已经开始采用Drive Hyperion 8,此外,5家汽车供应商Desay、Flex、Quanta
38410编辑于 2022-01-20 - 来自专栏建站知识
在RedHat Linux平台上安装MySQL 8
下载安装包 到MySQL的官方网站https://www.mysql.com/downloads/上下载完整的MySQL 8社区版RPM安装包,注意选择对应的平台和操作系统版本,这里选择的是红帽Linux (3)distribution代表linux平台。 (4)arch代表CPU类型。 Commands end with ; or \g.Your MySQL connection id is 8Server version: 8.0.25......
4.8K20发布于 2021-09-18 - 来自专栏cloudskyme
虚拟化平台cloudstack(8)——从UI开始
serviceOfferingId=1&diskOfferingId=1&templateId=2&zoneId=4&apiKey=miVr6X7u6bN_sdahOBpjNejPgEsT35eXq-jB8CG20YI3yaxXcgpyuaIRmFI_EJTVwZ0nUkkJbPmY3y2bciKwFQ &signature=Lxx1DM40AjcXU%2FcaiK8RAP0O1hU%3D 更容易读的方式: http://localhost:8080/client/api ? serviceOfferingId=1 &diskOfferingId=1 &templateId=2 &zoneId=4 &apiKey=miVr6X7u6bN_sdahOBpjNejPgEsT35eXqjB8CG20YI3yaxXcgpyuaIRmFI_EJTVwZ0nUkkJbPmY3y2bciKwFQ &signature=Lxx1DM40AjcXU%2FcaiK8RAP0O1hU%3D
1.3K60发布于 2018-03-20 - 来自专栏程序你好
评估数据集成平台的8个技巧
然而,正如所有技术一样,没有两种平台是相同的——每种平台都最适合特定的环境和场景。 在您的数据集成平台评估期间,请提出以下问题,以便您能够缩小选择范围并做出明智的决定。 或者您正在寻找一个健壮的平台来支持更具战略性的、组织范围内的集成计划对于一次性的集成,有限的平台可能就足够了。然而,您需要一个健壮的、企业级的平台来支持战略计划。 它是唯一一个使用该平台的群体吗如果您需要用更少的资源来完成更多的工作,那么授权业务用户的自助服务平台可以同时满足IT和业务需求。 5、如何衡量集成平台带来的价值? 您是试图从旧的遗留集成平台升级,将多个平台合并到一个单一的组织标准,还是从头开始构建一个用于混合/多云世界的新平台确保该平台使您能够在基于项目的计划中从小处着手,并随着您不断增长的需求进行扩展。 8、你是中小型企业、中型企业还是大型企业?你正在进行一个数字转换项目或计划吗?你增长吗?您的数据集成平台需要随着您的成长而扩展吗确认集成平台支持当前和未来的需求。
1.1K20发布于 2018-10-18 - 来自专栏测试开发干货
接口测试平台设计思路-8:成品总览
本节将展示抓包工具,抓包工具结合接口测试平台,可以通过抓前端的包,来直接把接口导入到自己的项目中,这样做的好处是数据等都是真实可靠的,自己之后测试改一改也很简单,类似于流量回放。 本号的最终目的是 教会大家 可以自己动手去做这个接口测试平台,源码只是借鉴。
42610编辑于 2022-05-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号