网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!0x01漏洞介绍LlamaIndex是LlamaIndex开源的一个 L...
悟空Agent实战:LLaMA-Factory高危0day漏洞挖掘与修复
作者:腾讯悟空团队 — 新一代 AI 代码安全捉“妖”行者(原腾讯AI安全-啄木鸟团队)在前文《0day漏洞量产?AI Agent“生产线”曝光!》中,我们揭示了悟空AI Agent的架构与自动化漏洞...
Llama-Factory vhead_file代码执行漏洞(CVE-2025-53002)
漏洞描述: LLaMA-Factory是一个针对大型语言模型的调优库,CVE-2025-53002中LLaMA-Factory训练过程时由于vhead_file参数在加载模型时没有增加weights_...
【AI风险通告】LLaMA-Factory存在远程代码执行漏洞(CVE-2025-53002)
漏洞概述漏洞名称LLaMA-Factory存在远程代码执行漏洞(CVE-2025-53002)安恒CERT评级2级CVSS3.1评分8.3CVE编号CVE-2025-53002CNVD编号未分配CNN...
AI安全,AI系统主要的安全威胁有哪些?
点击上方“蓝字”关注我们了解更多精彩近年来,人工智能(AI)技术飞速发展,大型语言模型、图像生成模型、自动驾驶AI等系统在各行业得到广泛应用。然而,与此同时,这些AI系统也暴露出诸多安全漏洞和技术挑战...
开源大模型推理软件的攻击面分析:云上LLM数据泄露风险研究系列(四)
一. 概述作为本系列的第四篇,本文聚焦大模型推理软件的安全风险。 随着大模型上云趋势加速,尽管推理框架通常被视为底层基础设施(负责模型运行的资源调度与计算优化),但经我们的研究发现,部分开源推理框架,...
【AI高危漏洞预警】llama_index DuckDBVectorStore SQL注入漏洞CVE-2025-1750
漏洞描述:llаmа_Indех是一个用于构建基于数据的LLM驱动代理的领先框架,该漏洞由于llаmа_Indех的DuсkDBVесtоrStоrе组件中的rеf_dос_id参数直接执行攻击者传递...
llama_index SQL注入漏洞(CVE-2025-1750)
此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担!01漏洞描述run-llama/llama_ind...
llama_Index SQL注入漏洞(CVE-2025-1750)POC及本地复现部署环境
免责声明:本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法...
【AI高危漏洞预警】LLama-Index CLI命令执行漏洞(CVE-2025-1753)
漏洞描述:LLаmа-Indех CLI版本v0.12.20包含一个OS命令注入漏洞,该漏洞源于对--filеѕ参数的不当处理,该参数直接传递给оѕ.ѕуѕtеm如果攻击者控制了此参数的内容,可以注入...
大模型提示词注入防护与安全评估(含代码)
写在前面:本文主要聚焦两部分内容,其一是通过代码实践来研究和验证基于llamafirewall在提示词注入防护的能力,通过学习此部分可以理解大模型自身防护中最关键的部分-提示词注入的防护方法;其二是了...
MCP开发实战-如何使用MCP真正加速UE项目开发
作者:hanzo用说人话的方式讲解MCP目前各种MCP的文章和实际例子以及开源工具层出不穷,本文试图用最简单的方式解释下MCP解决什么问题和MCP怎么写的问题。为啥要用MCPMCP是一项专为LLM工具...