原创 《Learning Transferable Visual Models From Natural Language Supervision》論文學習
一、Abstract 最先進的計算機視覺系統被訓練用以預測一組預定的固定目標類別。這種受限的監督方式限制了它們的通用性和可用性,因爲需要額外的標記數據來指定任何新的視覺概念。因此,直接從關於圖像的原始描述文本中學習是一個有希望的替代方法,它
2023-12-21 13:25:36
原创 《CLIP:Connecting text and images》論文學習
一、Abstract 儘管深度學習已經徹底改革了計算機視覺領域,但當前的深度學習視覺方案方法存在幾個主要問題: 高質量的視覺數據集,製作過程耗時且成本高昂,同時只包含了有限範圍的視覺概念 標準的深度學習視覺模型(例如ImageNet、Re
2023-12-19 13:34:31
原创 雲原生服務攻防技術研究 - 前期偵查
一、雲原生服務攻防矩陣 近些年來,越來越多的IT產業正在向雲原生的開發和部署模式轉變,這些模式的轉變也帶來了一些全新的安全挑戰。 雲服務器安全:由於雲服務器中承載着用戶的業務以及數據,其安全性尤爲重要而云服務器的風險往往來自於兩方面:雲廠
2023-12-16 13:22:17
原创 《ChatBridge: Bridging Modalities with Large Language Model as a Language Catalyst》論文學習
一、Abstract 構建能夠感知現實世界多種模態信信號,並解決各種任務的通用模型,是人工智能領域一個吸引人的目標。 在本文中,我們介紹了ChatBridge,這是一個新穎的多模態語言模型,它利用語言的表達能力作爲催化劑,來彌合不同模態之間
2023-12-16 13:22:17
原创 《MiniGPT-4: Enhancing Vision-language Understanding with Advanced Large Language Models》論文學習
一、ABSTRACT 最新的GPT-4展示了非凡的多模態能力,例如直接從手寫文本生成網站和識別圖像中的幽默元素。這些特性在以往的視覺-語言模型中很少見。然而,GPT-4背後的技術細節仍然未公開。我們認爲,GPT-4增強的多模態生成能力源自於
2023-12-16 13:22:17
原创 雲原生服務攻防技術研究 - 信息收集
一、元數據 在阿里雲ECS常見下可以直接請求:http://100.100.100.200/latest/meta-data/ ,來獲取元數據 參考鏈接: https://cloudsec.huoxian.cn/docs/article
2023-12-16 13:22:17
原创 雲原生服務攻防技術研究 - 初始訪問
一、Bucket 公開訪問 0x1:Bucket權限配置錯誤-公開訪問 在創建Bucket桶時,默認是private的權限,存儲桶的私有權限表明,只有該存儲桶的創建者及有授權的賬號纔對該存儲桶中的對象有讀寫權限,其他任何人對該存儲桶中的對象
2023-12-16 13:22:17
原创 雲原生服務攻防技術研究 - 權限維持
一、在雲函數中添加後門 雲函數是是一種計算服務,可以爲企業和開發者們提供的無服務器執行環境。用戶只需使用平臺支持的語言編寫核心代碼並設置代碼運行的條件,即可彈性、安全地運行代碼,由平臺完成服務器和操作系統維護、容量配置和自動擴展、代碼監控和
2023-12-16 13:22:17
原创 雲原生服務攻防技術研究 - 權限提升
一、Bucket 策略可寫 如果Bucket不當配置了 PutBucketPolicy 權限,攻擊者可以通過上傳新的Bucket策略覆蓋舊策略,從而實現Bucket提權。 此時無法訪問資源,也無法列對象, 攻擊者可使用PUT方法,覆蓋B
2023-12-16 13:22:17
原创 雲原生服務攻防技術研究 - 影響
一、Bucket 爆破 當不知道 Bucket 名稱的時候,可以通過爆破獲得 Bucket 名稱,這有些類似於目錄爆破,只不過目錄爆破一般通過狀態碼判斷,而這個通過頁面的內容判斷。 當對於阿里雲OSS 不存在有兩種返回情況,分別是 Inv
2023-12-16 13:22:17
原创 LlamaIndex:a data framework for your LLM applications
一、LlamaIndex是什麼 LlamaIndex 是一個數據框架,用於基於大型語言模型(LLM)的應用程序來攝取、構建和訪問私有或特定領域的數據。 LlamaIndex由以下幾個主要能力模塊組成: 數據連接器(Data connec
2023-12-08 13:18:54
原创 增量預訓練網絡安全大模型的一次嘗試
一、背景 探索使用網絡安全知識,對開源基模型進行增強,評估是否能使基模型在網絡安全領域表現出更好地專業度。 項目基於雲起無垠SecGPT開源項目,在hugeface開源數據集的基礎上,增加了自有預訓練數據,進行增量預訓練。 參考鏈接: h
2023-12-07 13:22:06
1
原创 Awesome Security Prompts
一、網絡安全 Prompts 使用技巧 您可以用這些 Prompts 技巧來獲取有關網絡安全的建議、解決方案或信息: 問題描述清晰明確,確保您的 Prompt 描述了一個清晰明確的問題或場景,以便 GPT 能更好地理解您的需求並提供相應的
2023-12-07 13:21:36
原创 CodeQL初探
一、CodeQL的研發背景 最早期,安全人員會通過人工審計的方式來審計項目代碼,查找危險函數,並跟進危險函數的參數是否可控,如果可控,說明存在安全漏洞。 但是隨着項目數量的增加,以上的純靠人工的方式很難實現所有項目漏洞的覆蓋測試。所以出現了
2023-12-01 13:16:52
原创 Java模版引擎注入(SSTI)漏洞研究
一、FreeMarker模板注入安全風險 0x1:FreeMarker簡介 FreeMarker 是一款Java語言編寫的模板引擎,它是一種基於模板和程序動態生成的數據,動態生成輸出文本(HTML網頁,電子郵件,配置文件,源代碼等)的通用工
2023-11-23 13:19:03