蚁景科技

摘要： 2026年3月31日，著名云安全平台 StepSecurity 监测到，在 JavaScript 生态系统中最受欢迎的 HTTP 客户端库 Axios（每周下载量超 3 亿次）遭遇了严重的供应链攻击。攻击者劫持了 Axios 核心维护者（jasonsaayman）的 npm 账户，并在 npm 官方仓库发布了两个被污染的恶意版本：axios@1.14.1 和 axios@0.30.4。 阅读全文

摘要： 看到标题，可能会误以为这是一条完整的攻击链——先绕过认证，再执行命令。但实际上两个漏洞没有任何依赖关系，放在一篇文章里面只是因为它们出自同一个项目。 阅读全文

摘要： 最近接了个医疗大模型的项目，在使用医疗数据构建RAG的时候，突然想到一个极具破坏性的盲点，如果外部导入的医学文献或第三方上传的医疗病例中，被悄悄藏入了隐蔽的提示词注入指令，模型在检索和生成时会不会也因此被攻击？ 阅读全文

摘要： 本文针对H2O-3反序列化漏洞（CVE-2025-6507&CVE-2025-6544）进行漏洞复现、漏洞分析及漏洞修复。 阅读全文

摘要： 为什么选择混合开发APP？因为原生APP需要逆向、Hook等技术门槛较高，而混合APP内嵌H5页面，只需抓包分析即可发现漏洞，是APP渗透的最佳入门目标。这次实战目标就是从app提取的h5页面进行挖掘（更偏向Web渗透）。 阅读全文

摘要： 有个项目做了个问答大模型，刚好需要安全测试，所以就有了这篇记录。某法律机构声称，该模型基于某开源大模型的api微调，且已在应用层部署了严格的内容安全策略，限制其仅回答法律领域问题。 阅读全文

摘要： 近日，蚁景网安2026年网络安全冬令营顺利收官啦～ 这场主打公益的活动，面向全国高校学子免费开放，为期两周的沉浸式学习+实战练习，陪着3000多名同学，从理论入门走到实操上手，实实在在帮大家提升了实战能力。 阅读全文

摘要： 一次从发现到利用的安全漏洞分析之旅：在浏览安全资讯的时候，我偶然间看到了 CVE-2026-0755，这是一个关于 gemini-mcp-tool 的命令注入漏洞。 阅读全文

摘要： 近日，2025年度网易安全中心SRC排行榜揭晓，蚁景网安团队核心导师一叶老师（昵称：quarry）凭借卓越的实战能力与深厚的技术积淀，成功斩获年度排行榜第一名的桂冠，同时赢得丰厚现金奖励。 阅读全文

摘要： 近期，由湖南蚁景科技有限公司主办、中国网络空间安全人才教育论坛、国家新一代自主安全计算系统产业集群指导的2026网络安全高级研讨会圆满落幕，全国各高校相关专业负责人及骨干教师齐聚一堂、共研交流。 阅读全文