Series: Web3 Security Zero se Advance 🛡️ | Article #18 By HackerMD | 30 min read Continue reading on Medium »

A comprehensive deep-dive for bug bounty hunters, penetration testers, and security researchers Continue reading on Medium »

看GitHub源码或英文文档时，还在用谷歌翻译来回切换？翻译不准、网络抽风、代码被转义？本文分享一款开源、可本地部署的翻译工具LibreTranslate，从安装、使用到与ArgosTranslate的对比选择，帮你搭建流畅阅读外文技术资料的翻译神器。  ( 1 min )

热点随笔： · 面试官问：你用 AI 编程半年了，那怎么保证 Claude Code 写出来的代码是对的？ (狂师) · 分享一些程序员很棘手但是却又简单的工具 (保持当下) · 我的第一个skill (第十昵称) · Hermes官方桌面版发布了 (程序员晓凡) · 短短三天，英伟达和微软同时宣告  ( 1 min )

前言 想做一个炫酷的 3D 中国地图，但觉得 Three.js 太难？WebGL 太复杂？GeoJSON 是什么鬼？ 这篇文章教你用 AI 写提示词，零基础也能快速生成一个可交互的 3D 区划地图。不需要手写一行代码，只需要说人话。 最终效果：可拖拽旋转、缩放、鼠标悬停高亮的 3D 中国省份地图。  ( 3 min )

上个月我们做了一个实验：把一个 180K 行的 Spring Boot 单体代码库接入 Claude Code，让它做一次全量架构分析。 结果 Claude 给出了一份比我们技术 lead 更细的依赖关系图，还发现了三处我们自己没注意到的循环依赖。 听起来很美好。但在那之前，我们踩了整整 6 周的坑  ( 4 min )

代码可以构建世界，但生活中的乐趣远不止于此。这里是我一周的精选。 周刊开源（Github：wmyskxz/weekly），欢迎提交 issue，投稿或推荐精彩内容。 题图 2026 年 2 月，一支由 16 名非洲和国际专家组成的科考队进入安哥拉东部偏远的 Lisima 高原，发现数十个科学界从未记  ( 4 min )

一、先看一个模式匹配的Case 该Case是一个使用模式匹配检测回文算法,只有一行代码 这是不是你见过最简洁的检测回文代码 但是这里面用到了不少模式匹配 有逻辑模式、列表模式、var模式和切片模式 模式匹配不仅仅是语法糖,在.net中有很高的地位 所以SourceGenerator非常有必要支持生成  ( 4 min )

上一篇:《一个目录一个 Agent，Vercel Eve 的这套 Agent 架构设计太舒服了！》 我们聊了 Eve 为什么值得关注：它不是再提供一种模型调用写法，而是把 Agent 运行所需的项目结构、持久执行、沙箱、审批、渠道和评测等能力，放进一套 filesystem-first 的工程框架里  ( 3 min )

本文深度剖析纯前端 JSON 工具的完整实现。基于 Web Worker 彻底解决大文件解析卡顿；自研智能语法修复引擎；并分享 esbuild 独立构建 Worker + manifest 映射的工程化最佳实践，附完整性能基准测试数据。  ( 11 min )

大家好，我是小富～ 这期给大家分享一个我开发的工具！ 最近做了一个开发者专属的 JSON 工具 easy-json！在线体验地址：easyjson.xiaofucode.com，不管是什么奇形怪状的 JSON 字符串，扔进去都能智能解析，先看效果是不是还挺能打的 现在网上这类工具确实不少，我也用过很  ( 2 min )

AI Native 的关键不是让模型替代一切，而是重新划定确定性逻辑、模型运行时与质量闸门的边界。 原文链接：AI 小老六 导语 AI Native 架构最容易被讲成一个很大的概念：模型会写代码、会调工具、会看页面、会自己规划任务，于是软件形态都要重来。这个判断方向没错，但如果直接从“未来应用长什么  ( 2 min )

飞书 CLI 实战：让 AI Agent 帮你操作飞书 一、事情是这样的 前阵子在排查公司内网一个 Java 服务的问题，日志刷了一屏幕。问题定位到了，方案也理清了，于是习惯性对 AI 说："帮我把分析结果整理一下，写成一个飞书文档。" AI 很快就生成了一段漂亮的文字分析。然后我说："写到飞书里。  ( 2 min )

`ChatHistoryMemoryProvider`利用我们提供的向量数据库，对每次调用产生的消息针对指定的Scope维度进行存储，并将当前消息作为查询文本，结合设定的Scope维度检索历史消息作为上下文的一部分来参与LLM的推理。除了这种需要我们们自己搭建和维护的基于向量数据库的解决方案之外，我...  ( 3 min )

强化学习通过人工打分排序调整模型行为，塑造出不同大模型性格。Claude变得保守严谨，遇到不确定问题倾向于说不清楚。ChatGPT变得健谈，愿意尝试回答各种问题。对齐人类偏好是第三阶段训练的核心，直接决定模型好不好用。  ( 1 min )

An international law enforcement operation dismantled SocGholish. Instead of reading about it, I rebuilt the entire attack chain. Continue reading on Medium »

Portswigger lab Reflected XSS into a JavaScript string with angle brackets HTML encoded Continue reading on Medium »

Artificial Intelligence (AI) agents are rapidly becoming part of modern applications, helping users automate tasks, analyze content, and… Continue reading on InfoSec Write-ups »

So this one started just out of curiosity. Continue reading on Medium »

by Muhammad Murtaza(Penetration Tester/Cybersecurity expert) Continue reading on Medium »

The Lie That Stops People Before They Start Continue reading on Medium »

🧠 Idea That Hit Me Today… Continue reading on Medium »

My name is Montaser Mohsen, a security researcher and bug bounty hunter focused on web application security, broken access control… Continue reading on Medium »

I wasn’t looking for anything groundbreaking. I just asked a question no one had bothered to ask before. Continue reading on Medium »

Series: Web3 Security Zero se Advance 🛡️ | Article #16 By HackerMD | 28 min read Continue reading on Medium »

I’ve been an avid bug bounty hunter for the past few years, and I’ve found my fair share of bugs from all classifications. One thing I’ve… Continue reading on Medium »

Certification: MCRTA (Multi-Cloud Red Team Analyst) Issued by: CyberWarFare Labs (CWL) Difficulty: Intermediate Format: Practical… Continue reading on Medium »

When you spend time learning web application security, you quickly realize that payloads are only one part of the story. Continue reading on Medium »

Continue reading on Medium »

Introduction : Continue reading on Medium »

https://tryhackme.com/room/weaponization Continue reading on Medium »

The WireHawk Security Blog is now live at blog.wirehawksecurity.com Continue reading on Medium »

1. Overview Continue reading on Medium »

1. 概述 如果你第一次打开 codex-main 这个源码目录，很容易被它的规模吓住：顶层有 npm 包、Rust workspace、SDK、app-server、MCP、插件、技能、沙箱、TUI、云任务、线程存储、模型提供商、登录认证等大量模块。它不像一个传统命令行工具，也不像一个简单的 Ch  ( 12 min )

全面讲解 Spring 事务原理与实战避坑，包含 ACID、事务管理器、@Transactional 注解详解、传播行为、隔离级别、MVCC，深度分析 AOP 代理底层逻辑，汇总 7 大事务失效场景，附带校招面试真题与 MySQL 日志拓展知识点。  ( 2 min )

拆解 Coding Agent 从 Prompt 到 Loop 的系统化改造：触发、隔离、验证、状态和人工闸门。 原文链接：AI 小老六 导语 过去一段时间，很多人使用 Coding Agent 的方式其实还停留在"远程结对"：把需求写清楚，补一段上下文，等它返回结果，再继续追问。这个办法有用，但杠  ( 2 min )

Fable 5 被关停前 72 小时，到底做出了哪些不像 AI 能做的应用？ 2026 年 6 月 9 日，Anthropic 放出了 Fable 5。 6 月 12 日，它被暂停访问。 中间只有 72 小时。 就这 72 小时，网上冒出一批很奇怪的东西。 比如只看游戏截图，通关了《Pokémon  ( 6 min )

从文件复制这个小场景深挖Java I/O设计哲学：字符缓冲流适合文本但会损坏二进制数据，字节缓冲流才是万能方案。对比两种流的本质差异、缓冲区大小对性能的影响，以及NIO零拷贝的延伸思考。附完整代码示例和实战选型原则。  ( 2 min )

一、变量查看与修改 在使用 GDB 调试程序时，除了控制程序的运行流程以外，最常见的操作就是查看变量的值、查看参数的值，以及在调试过程中临时修改某些变量的值。通过这些命令，可以观察程序运行时的数据变化，从而判断程序逻辑是否符合预期。 1.1 查看函数参数 使用info args(i args)命令可  ( 5 min )

本文从技术趋势深度解读视角，解析 MAF 1.0 的五层架构设计、核心理念演化、关键 API 差异、开放协议集成以及 BUILD 2026 最新动态，为 .NET 开发者和 AI 技术从业者提供一份完整的迁移认知地图  ( 5 min )

前言 在完成航班配载系统初次实验后，我自认为已经掌握面向对象程序设计的基础思路，然而数字电路逻辑仿真系统实验，让我对软件架构设计产生了全新、系统的认知。 本次实验区别于前次对现实物理载体的简单建模与数值计算，核心任务为解析结构化文本输入，在内存中构建完整电路拓扑模型。系统需要兼容多种基础逻辑门，包含  ( 2 min )

上一篇文章采用字符串匹配的方式来查找知识，这种方式比较呆板不够智能，接下来引入向量数据库，通过向量化实现更精细的知识检索。 一、文本嵌入Embedding模型 向量化一段文本的时候，经常用到all-MiniLM-L6-v2，它是一个轻量级的文本嵌入Embedding模型，专门把文字转成数字向量，给R  ( 1 min )

IRQLs → KDPC internals → WinDbg live analysis → vulnerable driver code → ROP-based exploitation → BYOVD → mitigations breakdown Continue reading on Medium »

AI red teaming will not stay a tool-only activity. CISOs will want qualified people to scope tests, validate findings, and own risk… Continue reading on Medium »

When learning offensive security, red teaming, and post-exploitation techniques, one concept that appears again and again is “Living off… Continue reading on Medium »

Author: Berend Watchus. Independent AI & Cybersecurity Researcher. Continue reading on System Weakness »

When I’d just started reading about Kerberos, my brain immediately went to that three-headed dog from Greek mythology. You know, the one… Continue reading on Medium »

Introduction Continue reading on Medium »

Category: Web Application Security Vulnerability Chain: SQL Injection → Database Access → Remote Code Execution Severity: Critical Status… Continue reading on Medium »

Everyone is automating recon in 2026. The tools are faster than ever. The pipelines run while hunters sleep. The results for most of them… Continue reading on Medium »

A Bug Bounty Writeup | HackerOne Report Continue reading on Medium »

How attacker-controlled artifact data flows into a privileged GitHub Actions context and exposes GEMINI_API_KEY — found via Google OSS VRP. Continue reading on Medium »

When I first started learning and looking into bug bounty, I encountered something that confused me and made every program look difficult… Continue reading on Medium »

The Objective of this lab was to show that authorization methods should never rely solely on user-controlled inputs. In this assessment, I… Continue reading on Medium »

Sometimes the universe just hands you a payout. Continue reading on Medium »

In Part 2a, we broke down the auth and authorization layer, JWT attacks, IDOR chains, and mass assignment. This post picks up at the input… Continue reading on OSINT Team »

How I Learned to Break JWT Authentication and Why You Should Test It Too Continue reading on OSINT Team »

Where Automated Scanning Meets Manual Skill Continue reading on OSINT Team »

I’m excited to share my new personal blog with you 🚀 Continue reading on Medium »

Khan Academy disclosed a bug submitted by farr: https://hackerone.com/reports/3723458

Khan Academy disclosed a bug submitted by farr: https://hackerone.com/reports/3723458

一、重要的桥接Python库 rpy2# pip install rpy2 我的R语言版本为 4.1.3 ，需要rpy2 3.5.X版本去对应 二、确保R环境 确保你电脑已安装 R，并在 R 里装好相关包：# install.packages(c("ggplot2", "ggstatsplot",  ( 3 min )

lil_tea c++ 2026 style guide 本文使用 yoga air + wsl + ubuntu 26.04 + vscode 编写. 把所有 debug 完成, 我保证, codin 是我一辈子的朝圣. 这是我在开发和算竞都使用的代码风格. 部分借鉴自 the cherno, 部  ( 5 min )

上个月帮朋友做了一次红蓝对抗，对方一个看似人畜无害的「图片裁剪」功能，差点让我们把整个阿里云账号的 AccessKey 都掏出来了。 这就是 SSRF（Server-Side Request Forgery，服务端请求伪造） 的威力——你以为是前端传了个URL，服务端老实巴交地去请求，结果那台服务器  ( 3 min )

2026 年 6 月 17 日，Vercel 发布了开源 Agent 框架 Eve。官方给它的定位很直接：像 Next.js 之于 Web 应用一样，Eve 想给 Agent 提供一套约定明确、可直接进入生产环境的框架。但它真正想解决的，并不是「怎么再写一个 Agent Loop」，而是 Agent  ( 3 min )

AI Agent 全日制30天速成｜Day5 教学笔记 今日总学习目标 区分短期记忆/长期记忆，掌握Agent分层记忆架构设计 实现滑动窗口、摘要压缩、向量记忆三种主流记忆方案 基于Day4规划Agent改造，接入持久化对话记忆（Redis存储会话） 解决超长多轮对话Token爆炸、历史遗忘、上下文  ( 4 min )

前言 集群部署在 VMware 创建的三台虚拟机上，每台虚拟机同时承担 Master 角色。因长期未做系统安全更新，近期执行了 dnf upgrade-minimal --security --allowerasing 升级内核与软件包。内核等更新需重启节点才能生效，而三台节点都运行着 etcd，重  ( 8 min )

一、GDB简介 GDB，全称为GNU Debugger，是GNU项目提供的一款命令行调试工具，主要用于调试C、C++ 等语言编写的程序。在Linux开发中，GDB是非常常用的调试工具，尤其适合分析程序运行过程中的崩溃、段错误、逻辑错误以及变量变化情况。 正常情况下，我们运行一个程序时，只能看到程序最  ( 1 min )

stock-sdk 历经 18 个 v1 版本、门面类膨胀至 105 个扁平 getXxx 后，于 v2 推倒重来：API 收拢为命名空间，subpath 支持按需 tree-shaking，数据契约与 SdkError 统一，normalizeSymbol 收敛符号格式，CLI/MCP/Playg...  ( 3 min )

本文主要介绍了结构化数据库与缓存中的 IndexedDB、Cache storage 和 Storage buckets，以及期间的区别，供参考。  ( 5 min )

众所周知,MCU的GPIO可复用为不同的功能.那么是否可以同时使能多个功能呢?可以(当然,部分架构可能不支持) 常见示例: 模拟IIC: GPIO在开漏输出的同时可以读IDR来获得输入 无LPUART的MCU实现低功耗唤醒: 把RXD同时复用为外部中断来唤醒,但会丢失首字节 UART自动波特率识别:  ( 2 min )

缘起 前阵子翻出一台老的便携 DVD 播放器，发现里面居然有游戏菜单。七个分类，80 多款游戏。查了一下发现这东西叫 Native32，凌阳科技的芯片方案，2005-2011 年间大量用在 DVD 播放器和车载显示器上。 游戏由 Potatoo Multimedia Studio 开发，格式是私有的  ( 4 min )

Python 打包成 EXE 并非易事，Nuitka 虽然性能卓越，但也隐藏着不少“暗雷”。本文基于 Meta Assistant 的开发实践，解决了 Nuitka `sys.executable` 未能检测是否已打包、CI 构建失败 `FATAL: Nuitka does not work in ...  ( 2 min )

HagiCode 中 AI 提交使用的提示词：设计思路与实现拆解 当你把一堆乱七八糟的改动丢给 AI 让它帮你提交时，背后到底发了一段什么样的提示词给模型？为什么提示词要写成那个样子？这篇文章把 HagiCode 里真正驱动"AI 提交"的提示词拆给你看。 背景 用 AI 辅助开发这事，其实也算是经  ( 3 min )

换电脑后如何无缝延续 AI 辅助开发？一份手把手的迁移手册，涵盖原理、方案与避坑细节。 目录 一、为什么要迁移会话？ 二、先搞懂 Claude Code 把数据存哪了 路径编码规则（非常重要） 三、两种迁移方案 方案 A：相同路径（最简单） 方案 B：路径不同（通用方案） 实战场景 迁移包结构 四、  ( 3 min )

一、引言 Loop Engineering 这个词最近又热起来了。 如果你从去年开始关注 AI 工程化领域的动态，大概已经习惯了这种概念迭代的节奏——Prompt Engineering 还没完全消化，Context Engineering 就登场了；Harness Engineering 的论文刚  ( 4 min )

最近在加班加点的做一个Token工厂, 模式类似与京东：有自营算力产生的模型，也外接第三方旗舰模型。 作为Token聚合分发平台，帮助文档是刚性需求。 Docsify是一个将Markdown文件转换为单页面静态网站(无需任何构建过程)的开源项目，实测下来3min就能构建并搭建一个 帮助文档站点。 1  ( 3 min )

Adaptive Boosting(自适应提升)基于Boosting思想实现的一种集成学习；算法核心思想是：通过逐步提高那些被前一步分类错误的样本的权重来训练一个强分类器。 本章会讲解Adaboost算法推导过程，并用一个数值实例带着读者计算，使读者能够完全理解这个训练弱分类器至强分类器构建的过程。  ( 2 min )

​前面的文章依次介绍了如何截断历史会话的对话记录，包括按照记录数量截断、按照Token长度截断，以及浓缩为摘要截断等等，其中摘要操作又分为三大类： 1、使用第三方的摘要库对文本摘要； 2、使用在线大模型对文本摘要； 3、使用离线大模型对文本摘要； 以上对会话记录的各种处理操作，统称为AI应用的上下文  ( 1 min )

一、前言 作为一名普通开发人员，我对 AI 工具的上手其实算比较晚。今年五月以前，基本还只是把 AI 当作聊天机器人使用。有时听同事提到一些关键词都听不懂，甚至不知道该如何提问，心里多少有些惭愧。直到最近因为一个契机，沉下心认真摸索了一段时间，才真正感受到 AI 工具的魅力和强大，也切身体会到它对生  ( 2 min )

LLM具有固化的知识，而且针对LLM的调用是完全无状态，永远只做一锤子买卖。但是交给Agent的任务基本上不可能一蹴而就，而且还希望Agent具有学习进化的能力。所以你会发现，很多的Harness手段的目的就是为了弥合两者之间的鸿沟。解决这个问题的基本的前提是：需要赋予Agent记忆。  ( 5 min )

AI创造是大规模模式重组:文本靠自回归预测，图像靠扩散从噪声还原，代码靠Code LLM学习千万仓库。DeepSeekV4编程成本1美元，Suno文字生成歌曲。AI不知何为美但见过足够美，所以能生成美。  ( 1 min )

Continue reading on Medium »

Uma breve história sobre busca ativa por vulnerabilidades e como isso chegou no domínio cibernético Continue reading on Medium »

Continue reading on Medium »

Swapping Guesswork for Process-Specific Precision Continue reading on Medium »

Understand the basics of LLM Prompt Injection attacks. Continue reading on Medium »

Learn how LLMs handle their output and the privacy risks behind it. Continue reading on Medium »

So our goal for this lab is to exploit a vulnerability in the application in a broadcast receiver that allows us to activate the master… Continue reading on Medium »

From hobbyist hackers earning beer money to elite researchers pocketing millions, here is why ethical hacking has become a billion-dollar… Continue reading on Medium »

One of the highest paying bugs, finally explained in plain words. Continue reading on Medium »

No hype. Just the spreadsheet. Continue reading on Medium »

Everyone tests the token. Nobody tests the after. Continue reading on Medium »

Continue reading on Medium »

Hi Everyone! Recently, while testing a SaaS platform (let’s call it ExampleCenter), I came across a very interesting access control issue… Continue reading on Medium »

Master authentication vulnerability exploitation and mitigation in Bug Bounty, featuring technical impact analysis and PoC examples. Continue reading on Medium »

AI Agent 全日制30天速成｜Day4 教学笔记 今日总学习目标 理解Agent规划、任务拆解核心思想，掌握ReAct、Plan-Solve标准推理框架 基于前3天代码，实现自主任务拆解Agent（复杂问题自动拆分多子任务） 实现多工具串行/并行调度、任务状态管理、失败子任务重试机制 整合RA  ( 4 min )

本文针对CUDA设备端跨线程块同步需求，在计算能力低于9.0（如RTX 4090 8.9、V100 7.0）无法使用集群同步的情况下，通过分析协作组grid.sync()源码，揭示了其基于屏障变量原子自增与符号位翻转的软件实现机制。借鉴该原理，设计并实现了一种自定义的跨块同步函数sync_ctas，...  ( 3 min )

\(\text{0x01}\). 问题定义 \(\text{Problem}\space \text{Definition}\). 最近公共祖先简称\(\text{LCA}\)。两个节点的最近公共祖先，就是这两个点的公共祖先里面，离根最远的那个。 为了方便，我们记某点集 \(S=\{v_1,v_2,  ( 4 min )

Windows 局域网文件共享实战：解决"账户被禁用"与"网络访问拒绝"问题 本文记录了一次 Windows 局域网文件共享的完整排错过程，从最基础的网络连通性检查，到本地安全策略配置，再到 NTFS 权限设置，最终实现两台电脑之间的文件传输。文中所有 IP 地址、用户名、主机名均为示例，实际操作时  ( 2 min )

TokenJuice 的解决方案也足够优雅——不引入额外的 LLM 调用，不牺牲确定性，不增加外部依赖，用静态规则 + 流水线处理，在 < 5ms 内完成 50%-95% 的压缩。Fail-open 的设计哲学、三层规则配置体系、NativeAOT 兼容性，都体现了对生产环境的深刻理解。  ( 4 min )

上一篇我们把现代大模型的五个核心模块拼回了 LLaMA 这个完整案例中，可以看到注意力机制仍然是计算最密集的部分。 而这个密集程度在序列变长时，会变得越来越恐怖： 标准自注意力的计算复杂度和空间复杂度都是 \(O(n^2)\)：序列长度翻倍，计算量翻四倍，内存占用也翻四倍。 而在之前，我们用 KV  ( 4 min )

Windows 下构建 liboqs-java，实现 PQC 算法的调用 liboqs-java 本身不是一个纯 Java 库，它底层依赖 liboqs 这个 C 语言实现的后量子密码学库。也就是说，我们最终虽然是在 Java / Spring Boot 项目里调用 PQC 算法，但真正执行算法逻辑  ( 5 min )

AI时代下，技术真的“平权”了吗？我们还要怎样“死磕”细节？ 前言 最近这两年，各种AI编码助手和代码大模型呈爆发式增长。只要能写清楚Prompt，无论是生成一个带有Tailwind CSS的高保真数据大屏，还是快速搭建一个包含基础频控逻辑的短信平台MVP，甚至是写一段复杂的复杂不规则框客流统计算法  ( 1 min )

漏洞核心原理一 CVE-2021-4034 (PwnKit) 的核心原理在于 pkexec 程序对命令行参数处理的一个越界读取（Out-of-bounds Read）漏洞，以及由此引发的环境变量写入。 参数处理越界 在 Linux 中，一个程序的 main 函数接收两个重要的参数：argc（参数数量  ( 4 min )

上周一，我们组的会议纪要还要靠小陈手工整理，开完一个小时的早会，她要再花 40 分钟敲完发出来。同一天，她旁边的同事开完会直接站起来去喝咖啡，3 分钟后纪要已经在群里了。 不是谁效率高低的问题，是用没用对工具的问题。 我在后端做了 10 年，最近两个季度把职场 AI 工具摸了个遍。今天把我们实际跑通  ( 2 min )

PHP 泛型之殇 泛型 RFC 提案被拒绝 PHP 开发者眼中的泛型现实 PHP 很可能不会迎来泛型。这并非什么新鲜事。一些核心开发者撰写了详尽的技术博客，阐述为什么运行时擦除式泛型不是个好主意，以及他们为何对当前的 RFC 投下反对票。 然而，PHP 社区中还有另一群人，他们非常支持这个 RFC，  ( 2 min )

Pi Agent 对接实现：消息解析、重试与取消 接一个 CLI 形态的 AI agent，绕不开三件事：怎么把它私有的事件流翻译成稳定消息、失败之后到底谁负责重试、用户点取消时进程怎么干净地停。其实这三件事说穿了，不过是"分清职责"罢了，只是真做起来，才知道水有多深。 背景 最近我在做一个 AI  ( 3 min )

DeepSeek能帮你解数学题、改合同、读文献，但它给出的答案里可能充斥着信誓旦旦但子虚乌有的事实和引用，这源于其推理能力的根本局限。  ( 1 min )

No content preview

No content preview

The Ultimate Account Takeover One-Two Punch Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

The Ultimate Account Takeover One-Two Punch Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

No content preview

If you have an Apple device running iOS 18 or iOS 26 and gone looking for the old Get Verification Code option under Settings → [user name] → Sign-In & Security, you’ve probably noticed it’s no longer there. A quick search turns up forum threads, support comments, and even GitHub issues all reaching the same […]  ( 6 min )

在 OCI 上创建测试主机时，明明给启动盘分配了 200G，但进入系统后执行 df -h，根目录却只有 30G 左右。这种情况并不是磁盘没有分配成功，而是分区和 LVM 还没有把剩余空间用起来。 01 | 先看 200G 到底在不在 笔者环境中，df -h 看到的是文件系统大小： /dev/mapp  ( 2 min )

AI Agent 全日制30天速成｜Day3 教学笔记 今日总学习目标 掌握向量嵌入（Embedding）原理、文本向量化、向量相似度计算 搭建简易本地向量库（内存版FAISS），实现文本入库、检索、删除 打通基础RAG检索链路：文档分片→向量化存储→用户提问召回片段→注入Prompt 结合Day2  ( 4 min )

OpenClaw.NET 的 Goal 机制代表了一种重要的工程思路：与其试图训练模型"不要偷懒"，不如在运行时层面为 Agent 装上"导航系统"。  ( 5 min )

本文以 Rockchip RK3576/3588 + stmmac + IgH 为例，重点解析 TSN 在 EtherCAT 主站中的应用。针对 EtherCAT 发送抖动受 OS调度制约的痛点，讲清如何用 TSN 的 EST 门控与 Launch Time 把每帧发送时刻下沉到网卡 PHC硬件，实...  ( 8 min )

【Agentic RL / 强化学习 / OPD】OpenClaw-RL 源码阅读笔记 (6) Rollout 目录【Agentic RL / 强化学习 / OPD】OpenClaw-RL 源码阅读笔记 (6) Rollout0x00 概要0x01 Rollout基础1.1 概念1.1.1 标准 R  ( 6 min )

本工作提出全新强化学习框架BeautyGRPO。实验证明，BeautyGRPO 在真实场景的肌肤纹理重建与整体审美对齐上，全面超越了现有的专精修图方法与通用编辑大模型。  ( 2 min )

在2.34移除了hook函数之后，堆利用就少了一个大的攻击方向了。而House of apple这个手法就给我们提供了新的攻击方向：IOFILE结构体。虽然在house of orange就有所利用，之后也有一些利用了相关结构体的手法，但都没有House of apple条件简单。 House of  ( 8 min )

Openai Codex 重大更新 已支持接入任意开源大模型 如果你还认为 Codex（OpenAI 推出的 AI 编程助手）只能搭配 GPT 系列模型使用，那你可能错过了近期最重要的一次更新。 Codex CLI 现在已经全面支持 OSS 模式（Open-Source Mode），任何兼容 Ope  ( 3 min )

目前各种强大的现代编辑工具可能已经让很多人忘了vi的用法，但笔者最近在配合调试客户环境的代码时，就遇到经常要直接在那黑乎乎的putty窗口下直接使用vi来操作，反复去删除指定多行代码的场景很是痛苦，加上远程网络时而还会不稳，连续的dd很不方便且容易误操作。所以就倒逼自己回来复习了下vi删除行的快捷操  ( 2 min )

本文由袋鼠云数栈 UED 团队分享。文章详细拆解了如何通过 Spec-First 工作流与 AGENTS.md 基础设施，让 AI 从“猜需求”转向“按方案精准编码”，教你用清晰的意图表达彻底释放 AI 的编程潜力。  ( 3 min )

IoC（控制反转）与DI（依赖注入） 开一个新的模块哈，在这个模块里面，我们主要讲一个东西如何使用，尽量不纠结概念，简单过过 之前老是被人说，是不是过于偏向于学院派了，所以从现在开始，我们将只关注能不能用 这个模块里面，我想讲的，大多数是在实际项目中常用的东西，例如一些NuGet 包，一个语法，或者  ( 8 min )

在数据迁移、跨云同步与对象存储备份等场景中，juicefs sync 常用于执行大规模数据同步任务。当数据规模达到 TB 到 PB 级、对象数量达到数百万甚至数十亿级时，单次任务执行周期通常会延长到数小时甚至数天。 在这个过程中，系统运行过程中通常会逐步暴露出以下几类问题： 任务在网络抖动、进程异常

这套工具链原本一直想藏着掖着作为个人的“私服”使用。 但转念一想，随着公司人员的流动，这些底层基建早晚也会流传出去。 与其等别人缝缝补补地发出来，不如自己做个彻底的整理和开源，也算是为国产化平台的快速发展做个贡献吧。 名词速查： loongarch64_OA：指代 Loongarch64 Ol  ( 2 min )

昨天有个客户反馈，在一台Win10电脑上运行 傲瑞通（OrayTalk），结果点击联系人时，右边的聊天窗口始终出不来。现象如下图所示： 一. 问题排查 于是，我们远程到客户的这台电脑上，发现这台电脑有装企业防水墙（驱动级自动文件加密），并且傲瑞通的日志内容有如下报错记录： System.Drawin  ( 1 min )

一、那个叫做"知识库"的数字坟场 先说一个你可能亲历过的场景—— 公司花了三个月搭了个知识库。Confluence 也好，飞书文档也好，SharePoint 也好。大家热血沸腾地上传制度文件、项目复盘、销售话术、产品 PRD。搜索框静静躺在页面顶部，仿佛只要它在，知识就在。半年后没人更新了。一年后搜  ( 2 min )

一转眼 5 年过去了。今天对我来说同样是具有里程碑意义的日子，一个大客户经过长达近 3 个月的评估，测试，终于签单了。过程十分辛苦，甚至一度让我有点想放弃。  ( 1 min )

上周服务治理系统的同事（注意不是客户）发现一个问题，他调用的 api 接口不稳定。有时候正常，有时候报错，关键是大部分时候都是报错。 更关键的是这个接口是我开发的。 好吧，理所当然的他来找我。第一时间“男人的第六感”告诉我是后端服务处理时间太长了，导致客户端在超时时间内未处理完成。要不把 timeo  ( 2 min )

本文主要介绍了「媒体补充增强信息（SEI）」的基础接入流程，并结合官方文档梳理了环境准备、核心 API 调用、媒体处理和结果验证等关键环节。  ( 3 min )

一、架构选型与规划 1.1 高可用主备架构方案 企业级GitLab高可用部署主要有以下几种主流方案： 方案一：DRBD + Pacemaker + Corosync（主备模式） 该架构为Active/Passive（主/备）模式，只有主节点运行GitLab服务并挂载存储，备节点通过DRBD实时同步数  ( 5 min )

Electron 应用如何上架微软商店：从 MSIX 打包到商店提交 其实 Electron 说到底，不过是个普普通通的 Win32 桌面应用罢了，可微软商店它只认 MSIX。这篇文章，就借着我们 HagiCode Desktop 实打实跑通的那套构建配置，把「注册开发者账号 → 打 MSIX 包  ( 3 min )

工具准备： 1、Burp Suite v2025+（版本若较低可查看扩展商店中是否支持下载MCP server这个插件） 2、Cherry Studio 3、一条能用的API key 这里咱使用的是Burp Suite v2026 API咱使用的是https://platform.deepseek.  ( 1 min )

gt-checksum v4.0.0 新功能解读（3）：反向回滚 SQL ✅ 一键开启 genRollSQL=ON，修复 SQL 自动生成反向回滚操作 ✅ DELETE→INSERT、INSERT→DELETE、TRUNCATE 三种映射策略，覆盖全场景 ✅ 回滚 SQL 只写文件不在线...  ( 4 min )

拆解 Hermes 如何把执行轨迹沉淀为技能、记忆和自修复闭环，让 Agent 真正积累经验。 原文链接：AI 小老六 导语 很多 Agent 产品有一个尴尬的问题：它们看起来每天都在工作，实际上每天都从零开始。 用户让它处理第 1 个复杂任务时，它会试错；第 20 次遇到类似任务时，它还在试错；到  ( 2 min )

MiniMax-M3 是 MiniMax 最新开源的原生多模态大模型，约428B 总参数/23B激活参数，原生支持1M上下文。本文基于 GPUStack 与VLLM，演示从镜像与权重准备、模型部署、对话实测到基准测试的完整流程，并实测了基于 EAGLE3 的投机解码加速。  ( 3 min )

NineData 社区版 V5.1.0 这次更新，核心还是围绕 AI 数据库运维能力继续升级。ChatDBA 新增支持类 PostgreSQL、Oracle 和 SQL Server 数据库的全链路性能诊断，SQL 智能优化继续扩到十多种数据库，SQL 执行与任务 Skill 及对应 OpenAPI...  ( 2 min )

在最近的微服务排障过程中，业务方反馈了一个诡异的问题：客户端发起请求时，明确携带了驼峰写法的请求头（如 appKey: asd），但请求经过反向代理和网关，到达后端具体的 Spring Boot 业务服务时，业务代码里取出来的请求头全变成了小写（appkey: asd）。 面对这种链路较长的问题，最  ( 3 min )

做软件测试的朋友都清楚，测试用例设计有多么重要。它直接决定了测试覆盖是否全面，也直接影响了后续整体测试流程的质量。 传统模式下，大家手动一条一条编写用例，不仅耗时费力，还经常因为考虑不周，漏掉异常场景、边界条件，给线上质量埋下隐患。 如今借助 AI + Agent Skill 能力，我们可以把用例设  ( 3 min )

前言 最近有一点时间了，于是便开始做以前自己想做但是没有完成的事情。之前我其实就一直想写一个通用一点的告警推送组件，把项目里的异常信息、慢请求、状态码异常、JVM 指标，甚至数据库慢 SQL 这些内容统一收集起来，然后直接推送到飞书、钉钉、企业微信这类 IM 工具里。 这样做有两个好处，一个是出了问  ( 5 min )

Skills针对Agent的重要性是不言而喻的。从本质上讲，Agent Skills就是随着用户与LLM对话的推进，动态加载被称为Skill作为提示词的一种机制。在大部分实现中，Skill的内容会被封装成角色为Tool的消息被添加到对话历史中，因为这样可以借助针对对话历史的压缩实现对老旧Skill的...  ( 10 min )

Agent 跑起来之后，大多数时候我们希望它一气呵成把活干完。但总有些场景不太一样——比如 Agent 要调用一个会删文件的工具，你总得让人确认一下再动手吧？LangGraph 的 interrupt 机制就是干这个的：在指定节点前或节点后暂停执行，等人给了信号再接着跑。 动画视频在《28. Age  ( 2 min )

当Transformer架构让AI能‘同时看到’整段文字，理解其中的讽刺与隐喻时，语言处理已不再只是识别，而是真正的语义理解。  ( 1 min )

Continue reading on Medium »

To complete the skills assessment, answer the questions below. You will need to apply a variety of skills learned in this module… Continue reading on Medium »

A practical walkthrough of encryption choices for red team implants — from XOR and AES-CTR to Rabin key encapsulation — with a… Continue reading on Medium »

OS Detection, NSE, Timing, Evasion, and How Experienced Practitioners Actually Think Continue reading on MeetCyber »

Ping (checking connection with the vulnerable machine) Continue reading on Medium »

Learn mobile application pentesting through static analysis, MobSF, and the OWASP Mobile Top 10. Continue reading on Medium »

Enumerate a running internal service, exploit a vulnerable web application, pivot through the system, and crack your way to root. Continue reading on Medium »

A field guide for the paranoid, the curious, and the slightly unhinged Continue reading on Medium »

A forgotten debug statement and a default password are all it takes. Continue reading on Medium »

Most bug bounty writeups treat Chrome DevTools like a passive utility — a way to inspect network requests, peek at console logs, and maybe… Continue reading on InfoSec Write-ups »

By: Kavin Jindal (@Klevr) Continue reading on InfoSec Write-ups »

Remote administration is an essential part of managing Linux systems, and SSH is one of the most widely used protocols for this purpose… Continue reading on Medium »

How to Find Every Subdomain, Asset, and Hidden Folder Your Target Forgot About Continue reading on InfoSec Write-ups »

Threat intelligence teams collect huge amounts of data every day — CVE feeds, malware reports, IOC feeds, vendor research, and incident… Continue reading on Medium »

Introduction Continue reading on Medium »

A bug bounty story about frontend trust, missing backend enforcement, and why attackers never use your UI. Continue reading on Cyber Security Write-ups »

Here is everything I know about HTML Injection, how I test for it, how people bypass filters, and what it actually scores on CVSS Continue reading on OSINT Team »

Node.js disclosed a bug submitted by pimterry: https://hackerone.com/reports/3658225

Node.js disclosed a bug submitted by suul: https://hackerone.com/reports/3692858

Shopify disclosed a bug submitted by saltymermaid: https://hackerone.com/reports/2509022 - Bounty: $1600

Node.js disclosed a bug submitted by pimterry: https://hackerone.com/reports/3658225

Node.js disclosed a bug submitted by suul: https://hackerone.com/reports/3692858

Shopify disclosed a bug submitted by saltymermaid: https://hackerone.com/reports/2509022 - Bounty: $1600

Elcomsoft Phone Breaker 11.2 adds the ability to download iCloud backups created on devices running iOS and iPadOS 26 and, by extension, iOS/iPadOS 27 beta. With this release, Elcomsoft Phone Breaker becomes the first and only third-party tool capable of pulling these backups from Apple’s cloud. That might read like a routine compatibility update. It isn’t. […]  ( 6 min )

No content preview

You don’t need to be a hacker in a hoodie. Just a missing IDOR, a leaky invite link, or a mass-assignable “role” field — and suddenly… Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

— How to Spoof, Brute-Force, and Mass-Assign Your Way Past Authentication Walls” Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

You don’t need to be a hacker in a hoodie. Just a missing IDOR, a leaky invite link, or a mass-assignable “role” field — and suddenly… Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

— How to Spoof, Brute-Force, and Mass-Assign Your Way Past Authentication Walls” Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

Why I Started Caring About 2FA Bugs Continue reading on OSINT Team »

CVE-2026–9189. Public on cve.org since 2026–05–29. CVSS 5.3 (CWE-345). Found and reported by me, Muni Nitish Kumar Yaddala, through… Continue reading on Medium »

We did it manually. Now let’s see what happens when you hand it to a tool. Last part of the SSTI series. Continue reading on System Weakness »

Target: gitlab.smce.nasa.gov Program: NASA VDP (Bugcrowd) Severity: P3 — Broken Access Control / IDOR Status: Resolved Continue reading on Medium »

The Ultimate Account Takeover One-Two Punch Continue reading on InfoSec Write-ups »

Jinja2 was Python. Twig is PHP. The vulnerability is the same — the path looks completely different. Part 3 of the SSTI series. Continue reading on System Weakness »

Stop trying to wake up early. Start hunting when you actually think. Continue reading on Medium »

Hello fellow bug bounty hunters, hope you guys are doing well and finding lots of bugs. Continue reading on Medium »

Descubre cómo explotar y mitigar vulnerabilidades de autenticación críticas en Bug Bounty con ejemplos técnicos y análisis de PoC. Continue reading on Medium »

在微积分的世界里，最深刻的思想往往隐藏在最短暂的瞬间。当时间趋近于零、距离无限缩小、分割不断细化时，一个充满连续性与变化性的数学宇宙逐渐显现。导数诞生于割线向切线逼近的瞬间，积分形成于无数微小面积不断累积的过程，而极限则是连接有限与无限、离散与连续的核心桥梁。然而，这些过程往往被压缩成静态公式，难以  ( 3 min )

接上一篇文章OpenClaw.NET 上线 MetaSkills ：软件工程第一性原理的工业级实践, 本篇文章是 MetaSkills 系统深度解析 —— 当 AI 不仅能执行任务，还能编排任务、创造任务，这意味着什么？ 一个让工程师崩溃的早晨 想象一下这个场景： 周一早上 9 点，你打开公司内部的  ( 6 min )

〇、前言 虽然在日常口语中我们常把浏览器中 Application -> Storage 模块中的多种类型统称为“浏览器缓存”，但在计算机科学与 Web 开发的专业定义中，实际上包含了“存储”与“缓存”两个截然不同但又紧密相关的概念体系。 其中本文将着重介绍的 Local storage 和 Ses  ( 4 min )

一、为什么需要高精度运算 普通的整数类型（int、long long）都有固定的取值范围，例如64位 long long 最大只能存储约 9×10¹⁸ 的数值。当我们需要处理几十位、上百位甚至更长的大整数时（比如大数阶乘、密码学计算、超长数值运算等场景），内置类型会发生溢出，无法正确存储和计算。高精  ( 4 min )

统计时间：2026 年 6 月 3 日下午 15 点至 19 点。 一、先说结论 推测： （1）在五小时计费周期内，最大可消耗 18 美元的额度和 4000 万 Token（使用 Sonnet 模型）。 （2）每周有 10 个五小时计费周期，最大可消耗 180 美元的额度和 4 亿 Token（使用  ( 2 min )

Electron 如何调用 Windows 原生 API 在 Electron 应用里调用 Windows 原生 API，就像想看海却只能看地图。不过折腾了一阵，总算摸索出几条路，写下这篇文章算是留个纪念，也给后来者指个方向。 背景 做 Electron 桌面应用的时候，难免要和操作系统打打交道。在  ( 3 min )

OpenStack 1.7.2 & Ceph 9.2.1 运维命令，加载认证文件，实例管理，服务状态检查，计算服务 (Nova)，网络服务 (Neutron)，存储服务 (Cinder)，集群整体资源概况，计算节点维护，RabbitMQ 连通性测试，Keystone 项目管理，RAID 检查，软件 ...  ( 6 min )

更换 Kingbase V9 License 踩坑记 本地测试环境使用KDTS迁移数据时候遇到连接用户过多错误，原因是初始化Kingbase实例时候指定的开发版license限制最大连接数10。 我用官网的更换 license 文件 - License管理 | KingbaseES方法更换失败： [  ( 2 min )

拆解 AI 产品输出从文本到工作台的协议分层：Markdown 写文档，HTML 承载页面，UI DSL 接住操作。 原文链接：AI 小老六 导语 最近不少 AI 产品开始把回答做得越来越"像页面"：有卡片、有筛选器、有图表，也有可点击操作。于是一个问题被反复拿出来讨论：​HTML 会不会替代 Ma  ( 2 min )

本文对比分析了嵌入式开发中静态库与动态库的核心差异，从内存/磁盘占用、编译更新灵活性、模块化加载及部署维护四个维度展开。静态库编译时完整嵌入可执行文件，导致资源冗余但部署简单；动态库通过共享机制节省内存，支持独立更新和按需加载，更适合资源受限且需频繁迭代的场景。文章结合TWS耳机等典型案例，提出混合...  ( 4 min )

什么是 C++ 智能指针 C++11 标准模板库（STL）引入了现代 C++ 中管理动态内存的核心工具——智能指针。它们位于<memory>头文件中。 智能指针旨在解决 C++ 裸指针带来的手动内存管理问题（如内存泄漏、悬垂指针、异常安全等）。智能指针的行为类似于普通指针，但能够自动释放所拥有的  ( 1 min )

你写的模板，浏览器不认识 用 Vue 写代码的时候，你一定写过这样的模板： <template> <div id="app"> <p>{{ message }}</p> <button @click="handleClick">点击</button> </div> </template> 看起来很直  ( 2 min )

前言 上一篇文章《C#实现控制台多区域输出》中，我们介绍了如何利用 Console 实现类似 Agent CLI 的多区域动态界面。 如果说多区域布局解决的是： 界面如何展示的问题 那么本文要讨论的则是另外一个问题： 用户如何与界面交互 相信体验过Claude Code、OpenCode、Herme  ( 3 min )

作为最核心的AIAgent，`ChatClientAgent`构建了一个管道与LLM交互。为了让管道的输出更符合我们的需求，有两个主要的途径：输入增强（Input Enhancement）和输出增强（Output Enhancement），前者通过通过改变输入让LLM返回更高质量的内容，后者则直接对...  ( 4 min )

世界杯进球被吹？背后是VAR+AI的精密协作：摄像机追踪29个身体点、球内传感器锁定传球瞬间、AI自动生成越位线与3D动画，再经VAR复核、主裁终裁。AI负责“测得准”，裁判负责“判得明”——技术让判罚更透明，却未消除规则语境下的争议。  ( 1 min )

Agent和具身智能，一个扎根在虚拟世界里替你跑任务，一个走进物理世界替你动手操作。这篇文章，我们来聊聊这两条AI执行能力进化的核心路径。  ( 1 min )

The third server is an MX and management server for the internal network. Continue reading on Medium »

This was another pretty nice lab I took on involving an exposed content provider that we’re supposed to brute-force for a pin. In the end… Continue reading on Medium »

HackerOne disclosed a bug submitted by brumbelow: https://hackerone.com/reports/3694007 - Bounty: $7000

curl disclosed a bug submitted by argareksapatii: https://hackerone.com/reports/3802645

HackerOne disclosed a bug submitted by brumbelow: https://hackerone.com/reports/3694007 - Bounty: $7000

curl disclosed a bug submitted by argareksapatii: https://hackerone.com/reports/3802645

当系统平稳运行时，你是发号施令的架构师，驾驭 LLM 和云原生框架在宏观上狂奔。但当服务器在深夜崩溃，当 AI 给出的解释全是指鹿为马的幻觉时，你必须有能力瞬间推开抽象的胡言乱语，化身成底层机器的同类——读十六进制内存快照，抓 TCP 报文头部，在无数死锁的线程栈里，徒手掐死那只 bug。 这，才...  ( 2 min )

C# .NET 周刊 ｜2026 年 4 月 4 期 2026-04-26 dotnet_week_26_4_4 国内文章 写 EF Core 查询，90% 的人第一步就错了：刚子教你避开所有坑 https://www.cnblogs.com/shenchuanchao/p/19889187/ef-  ( 3 min )

Electron 桌面应用如何接入 Microsoft Store 订阅与永久许可证 当你的 Electron 应用要进 Microsoft Store 卖订阅和永久授权，WinRT 那一套商业 API 到底怎么干净地接到业务里？这事儿说起来也算一桩旧梦，我们在 HagiCode Desktop 里  ( 4 min )

问题描述 在 Azure AI Search 中搜索 in brief 时，结果数量有时会比预期多很多。仔细查看返回结果文本，会发现有些文档和 brief 的关系很弱，反而只是命中了 in 这类高频词。 这不是数据问题，也不是 Azure AI Search 的 bug。关键在于一个很容易被忽略的地  ( 2 min )

摘要： Solon v4.0 正式发布，标志着这一 Java 轻量级框架进入新阶段。版本核心围绕"做减法"，清理历史弃用项以保持简洁，同时优化 AI 生态：将 skill 概念统一为 talent，新增沙盒隔离等能力，并升级协议支持。此外，推动第三方插件回归官方维护，提升生态可持续性。升级兼容性良好...  ( 2 min )

【Agentic RL / 强化学习框架】Miles 项目技术分析 （2） 关键技术 目录【Agentic RL / 强化学习框架】Miles 项目技术分析 （2） 关键技术0x00 概要0x01 agentic_tool_call1.1 问题1.2 解决方案1.3 框架自动化的主要流水线1.4 深  ( 17 min )

概览 第一篇我们解决了"怎么写"——一条 flink run 跑起完整的 Multi-Statement SQL 脚本。这一篇解决"怎么管"：让 Flink SQL 作业的研发流程具备和 Java 后端同样的工程能力——可检测、可追溯、可回滚、自动化。 本文将深入 Flink SQL Validat  ( 3 min )

走进AI编程 AI是如何理解和生成代码的？ token化：AI不像人一样一个字一个字的读代码，而是把文本切成一个个小块，叫做token。 例如，Hello World 会被切成 Hello 和 World 两个 Token。中文的 你好世界 可能被切成 你好 和 世界 两个 Token，也可能被切成  ( 4 min )

拆解 GEPA 如何用轨迹反馈、Pareto 前沿和模块合并，让 Prompt 优化更稳、更可审计。 原文链接：AI 小老六 Agent 系统里的 Prompt 很少是一次写对的。更常见的情况是，线上 case 出错以后，人去翻日志、看工具调用、读模型输出，再手工改一版 Prompt 或 Skill  ( 3 min )

16GB 内存又爆了，任务管理器又在关键时刻死活打不开？渲染、测试时总是担心 OOM 导致系统崩溃？Memory Checker 是一款专为 Windows 打造的极致轻量开源托盘控件。仅 15MB 安装包，通过实时变色的托盘图标，让你对内存占用“一眼定心”，告别死机焦虑。  ( 1 min )

上周三下午，一个做销售的朋友发消息问我："有没有办法让客户填完表单之后，自动把信息记到表格里，同时给我发个钉钉通知？现在是我一个个手动拷贝的，有时候忘了，客户那边还会投诉说没有跟进。" 我问他一天这类信息大概多少条。他说："少说也有二三十条，每条处理加确认大概要 2-3 分钟，算下来一天光这个就要花  ( 2 min )

ZP7 和 ZP8 这两个关键质量控制点（Zählpunkt）的核心区别。 结合汽车生产的实际流程，我们可以对您的总结做进一步的补充和深化： ZP7：总装工序的“内部自检” 您的定义：车辆已完成组装并刷写软件，但尚未通过下线测试（EOL）。 执行主体：通常由总装车间的现场生产人员执行。 核心目的：侧  ( 1 min )

还在为不同软件间的配置同步头疼吗？本文带你用一部安卓手机，通过 Termux 和一款轻量级神器 gowebdav ，零成本搭建私人 WebDAV 服务器。无需公网 IP，不用注册第三方服务，十分钟就能让 Tampermonkey、KOReader 等软件实现无缝同步。内含详细避坑指南和方案对比，让你...  ( 2 min )

〇、效果如本页的背景所示，黑客帝国的字幕 一、本功能需要开通博客园的JS权限 二、在博客设置 页脚HTML代码 贴入如下代码 <!--黑客帝国背景，移动端不加入--> <div><canvas id="matrixBG" ></canvas></div> <script src="https://f  ( 2 min )

原文链接：https://www.nocobase.com/cn/blog/future-of-software-programmers-revenue-doubled 前情 半年前，我们在 NocoBase 发布 2.0 的时候写过第二篇总结文章：《没有 AI，没有融资，一个开源项目的真实收入》，  ( 2 min )

在自动化报表生成与数据处理场景中，数值的展示方式直接影响文档的可读性与专业性。千分位分隔、货币符号、百分比显示、日期格式化等效果，均通过 Excel 的数字格式机制实现。本文将介绍如何通过 Python 代码精确控制 Excel 单元格的数字显示格式，示例基于 Free Spire.XLS for  ( 2 min )

前言 本文主要描述Event-Driven开发中的ReAct模式，并且使用一个demo，彻底搞懂怎么在实际工作中使用Event-Driven模式 话不多说，我们开始 代码结构 代码地址 . ├── agent.py # EventDrivenAgent 主逻辑，负责接收事件、调用 LLM、执行工具  ( 2 min )

一边，模型和开发者工具还在继续往真实工作流里走：Gemini 3.5 Live Translate 开始做近实时语音翻译，Kimi-K2.7-Code 开源，DiffusionGemma 探索更快的文本生成，Codex 和 Chrome DevTools 也在继续给 Agent 补浏览器能力。 另一...  ( 3 min )

TLDR：用 A/B 盲测和独立评估，让约束迭代可验证 问题 约束迭代最大的问题，是写了不代表有效。很多时候我们只是觉得 Agent 变好了，但缺少稳定的验证方法 做法 我的流程分为四步： 修改约束文档，形成改后版本 按官方最佳实践 review，先排除明显不合理的写法 派 Subagent 做 A  ( 1 min )

将YF3300-ESP32S3设备数据上传到叶帆物联网平台需要使用 YFLink 协议通过 MQTT 进行通信。本章以完整项目 YeFanIoTTest 为例，介绍从设备初始化到数据上传的完整实现。  ( 46 min )

热点随笔： · 折腾了一下午，终于让Codex用上了DeepSeek (程序员晓凡) · 小米开源编程助手 MIMO Code 简介和简单使用测试 (橙子家) · 独立开发者最容易低估的，不是开发成本，而是维护成本 (Solo社区) · C#实现控制台多区域输出 (yi念之间) · 做 AI 工具出  ( 1 min )

你有没有遇到过这种情况：跑去问AI一个问题，它回答得滔滔不绝，逻辑清晰，听起来像模像样，但你就是有一种"哪里不对劲"的感觉。要么数据过时，要么答案与你的实际情况毫不相干，要么语气信心满满，内容却一本正经地偏了题。 这种"AI大聪明"的尴尬，困扰过太多人。 其实问题的根源不在于AI笨，而在于技术架构本  ( 1 min )

This second server is a server that everyone on the internal network has access to. In our discussion with our client, we pointed out that… Continue reading on Medium »

Continue reading on Medium »

The dangerous ADCS vulnerability that turns misconfigured certificate templates into a Domain Admin takeover path. Continue reading on Medium »

As someone interested in cybersecurity and red teaming, I’ve spent a lot of time learning about web security, networking, and CTF… Continue reading on Medium »

Malleable Redirector is a project created to aid Red Teams in generating meaningful redirectors configs from a Malleable C2 profile. Continue reading on InTheCyber Posts »

Code signing is one of the most trusted trust signals in the Windows ecosystem. When a binary carries a valid Authenticode signature… Continue reading on Medium »

السلام عليكم ورحمة الله وبركاته Continue reading on Medium »

Introduction Continue reading on Medium »

Box: Fish Community Rating: Hard Continue reading on Medium »

💻 Wait… You Can Actually Get Paid to Hack? Continue reading on Medium »

While testing on a target platform, I hit that classic wall where everything seems like i’ve tested before. Continue reading on Medium »

So I’d already found a hidden vulnerability on [REDACTED] before (wrote about it here: Hidden Page with 2FA Bypass). After that success,I… Continue reading on Medium »

Hey Guys and Welcome Back! 👋 Continue reading on Medium »

Recon is a numbers game. Here is how to win it. Continue reading on Medium »

Avoid these and your acceptance rate jumps overnight. Continue reading on Medium »

During a recent incident response engagement, our team uncovered a multi-stage WordPress infection that goes beyond the usual file-based malware. The attacker combined a fake plugin, a remote command-and-control server, and two PHP web shells stored directly inside the WordPress database. The campaign is operated by a Turkish-speaking threat actor and is built around a classic SEO monetization scheme: hidden backlink injection for a Private Blog Network (PBN), most likely tied to the gambling and adult affiliate niche. Continue reading WordPress PBN Plugin Drops Dual Webshells via Database Injection at Sucuri Blog.  ( 7 min )

curl disclosed a bug submitted by newstuff321: https://hackerone.com/reports/3804525

Rocket.Chat disclosed a bug submitted by eldudareeno: https://hackerone.com/reports/3611837

Tor disclosed a bug submitted by aptupdate: https://hackerone.com/reports/3701692 - Bounty: $100

curl disclosed a bug submitted by newstuff321: https://hackerone.com/reports/3804525

Rocket.Chat disclosed a bug submitted by eldudareeno: https://hackerone.com/reports/3611837

Tor disclosed a bug submitted by aptupdate: https://hackerone.com/reports/3701692 - Bounty: $100

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

You found a password reset that leaks the magic token in the API response. Or worse — the devs left an endpoint that just gives you… Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

You found a password reset that leaks the magic token in the API response. Or worse — the devs left an endpoint that just gives you… Continue reading on InfoSec Write-ups »

No content preview

No content preview

Rocket.Chat disclosed a bug submitted by aikido_security: https://hackerone.com/reports/3687142

IBM disclosed a bug submitted by entrovyx: https://hackerone.com/reports/3664261

curl disclosed a bug submitted by unknowperson0212: https://hackerone.com/reports/3793495

curl disclosed a bug submitted by daviey: https://hackerone.com/reports/3803415

PortSwigger Web Security disclosed a bug submitted by hacker-kartel: https://hackerone.com/reports/3717354

Rocket.Chat disclosed a bug submitted by aikido_security: https://hackerone.com/reports/3687142

IBM disclosed a bug submitted by entrovyx: https://hackerone.com/reports/3664261

curl disclosed a bug submitted by unknowperson0212: https://hackerone.com/reports/3793495

curl disclosed a bug submitted by daviey: https://hackerone.com/reports/3803415

PortSwigger Web Security disclosed a bug submitted by hacker-kartel: https://hackerone.com/reports/3717354

We were commissioned by the company Inlanefreight Ltd to test three different servers in their internal network. The company uses many… Continue reading on Medium »

A Silver Ticket attack is a Kerberos abuse technique where an attacker forges a valid service ticket (TGS) to authenticate directly to a… Continue reading on Medium »

An attacker performing a Golden Ticket attack takes advantage of the trust model of Kerberos authentication, where the Key Distribution… Continue reading on Medium »

Part 3 of the Windows Privilege Escalation series Continue reading on Medium »

One of the Most Valuable Things I’ve Built in Cybersecurity Isn’t a Tool, It’s a Routine. Continue reading on Medium »

Cyber threats are becoming more sophisticated, making it increasingly difficult for organisations to identify and address security… Continue reading on Medium »

⛔Before you begin reading: This article is available as a Medium Member story. Continue reading on Medium »

Introduction Continue reading on Medium »

If you have been keeping up with the current state of Bug Bounties on X, you probably heard that some hunters are making small fortunes… Continue reading on InfoSec Write-ups »

Crypto exchanges spend fortunes on the front door. Hardware security modules for the hot wallets. Bug bounties on the matching engine… Continue reading on Medium »

परिवर्तनमेव विकासस्य मार्गः। Continue reading on Medium »

In application security, a common phrase is: “Security tools look for known patterns, but human testers look for logical mistakes.” Continue reading on Medium »

And How You Can Find These Bugs Too Continue reading on OSINT Team »

If you’re starting your journey in penetration testing or bug bounty hunting, you’ve probably heard about a tool called Nikto. It’s one of… Continue reading on OSINT Team »

— How to Spoof, Brute-Force, and Mass-Assign Your Way Past Authentication Walls” Continue reading on InfoSec Write-ups »

LinkedIn:- https://www.linkedin.com/in/vansh-rathore-cybersecurity?utm_source=share_via&utm_content=profile&utm_medium=member_android Continue reading on Medium »

Written by Kerolos Iskander | Jr. Penetration Tester Continue reading on Medium »

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

动手学深度学习第一章笔记:机器学习问题到底怎么分类 好家伙, 这次我把《动手学深度学习》第一章读完了。 先说一下,我为什么会突然翻这本书。 更直接的原因是,前面我在做一个从零学习 AI 的小项目。 写一个小项目去用,去学习ai(所谓干中学) 写到训练循环时,代码里开始出现这些东西: _, loss  ( 3 min )

问题描述 在 Azure AI Search 里，英文检索有时会卡在一个很小的词形差异上：文档里是 brief，搜索 briefs 却搜不到。 搜索 briefs，无法命中只包含 brief 的文档。类似地，audit 和 auditing 也可能因为一个复数形式导致结果不同。 文档明明在，关键词也  ( 2 min )

【Agentic RL / 强化学习框架】Miles 项目技术分析 （1） 总体 目录【Agentic RL / 强化学习框架】Miles 项目技术分析 （1） 总体0x00 概要0x01 基础1.1 Agentic RL 的需求与难点1.1.1 传统 RLHF vs Agentic RL 范式对比  ( 12 min )

大模型每次会话都是一次重启。AI 在几轮资料查阅与修复过后，就忘记了自己“原本的认知”。它无法分辨哪些是自己信手拈来的常识，哪些是经过百般尝试才纠正过来的偏见，因而失去了对“认知死角”的强调，进而产出一份又一份低质量的“手册”式的 SKILL。我们亟需先“拓印”AI 流动的认知，提供对比参照的依据，...  ( 1 min )

Flask概念 flask是一个轻量级别的python web程序，主要的特点就是简单灵活，能够快速的上手构建一个web应用，同时具备扩展到复杂项目的能力 Flask 是基于 Python 开发的微型 Web 框架，被称作微框架，核心原因是本身不绑定任何专用工具与依赖库，原生不内置数据库抽象层、表单  ( 2 min )

这次用 Codex 读 Typer，最重要的一点是：面对一个新项目，第一步先别急着让它写代码。比较稳妥的做法，是先让 Codex 读目录、找入口、解释核心文件，再沿着一个具体功能追下去，最后通过测试理解项目如何验证行为。  ( 3 min )

前两天刷知乎的时候，看到一个很有意思的帖子，标题叫：《面试官问：你用 AI 编程半年了，那怎么保证 Claude Code 写出来的代码是对的？》 翻完评论区，我没有找到特别满意的答案，反而越发有感触。 借着这个话题，今天来简单聊聊。 不知道正在看文章的你，还记不记得自己第一次体验 Vibe Cod  ( 2 min )

拆解 Workflow Runtime 如何用代码接管 Agent Loop，让长任务更稳定、可复盘、可复用。 原文链接：AI 小老六 导语 过去一两年，很多人都在想同一个问题：Agent 为什么一到长任务就开始飘？ 单轮问答里，模型很聪明。给它一个目标、几条约束、几个工具，它经常能给出不错的结果。  ( 3 min )

魔珐星云SDK实战测评：重构数字人交互的底层逻辑 2025年，AI Agent 彻底爆发。从 Cursor 重新定义编程，到通义灵码、Copilot 占据开发者心智，再到大模型（Qwen、DeepSeek、豆包）不断刷新能力边界——整个行业都在追逐一个目标：让机器响应像人一样自然、即时。 在数字人赛  ( 6 min )

目前正在学习嵌入式应用开发，非科班，非系统学习，半路出家型选手，但是有一定Linux基础，手头正好有一个嵌入式开发设备，硬件资源如下： 主要参数 配置 处理器 单核792MHz Cortex® A7处理器 内存 DDR3 512MB 存储 eMMC 4GB/8GB RS232 1路调试串口 RS48  ( 2 min )

一个能让后端开发效率翻倍的“自动构建工坊”长什么样？ 先说点掏心窝子的话做后端开发的朋友都知道，每个项目启动时，我们都在重复做同一件事： 建表 → 写实体类 → 写Repository → 写Service → 写Controller → 写Swagger注解 → 写数据库文档 → ... 一套流程  ( 1 min )

先前我们基于React实现了视图层的适配，以此实现React组件生态的复用，降低了开发成本。接下来我们需要讨论的是，编辑器的操作管理并且支持回溯，通常来说可以称之为Redo/Undo功能，而在协同编辑场景下，本地和远程变更同步的实现会更加复杂。 开源地址: https://github.com/Wi  ( 4 min )

三个月前，我把从各路博客扒来的 Skills 一股脑装进 ~/.claude/skills/，总共 34 个。 效果怎样？说实话，Claude Code 确实变聪明了一些——但也开始变慢，有时候明明只是问个代码问题，它会莫名其妙地触发一堆不相关的 Skill，token 飞速消耗。最夸张的一次，一个  ( 3 min )

大家好，我是小林。 如果你在准备 2026 的 AI 岗面试，先把这个网站收藏了： 小林面试笔记：https://xiaolinnote.com 专注 AI Agent 开发方向的面试题网站，图解 Agent + RAG + LLM 面试题，让一部分人先跑赢 AI Agent 开发面试。 为什  ( 3 min )

Spring、MyBatis如何在运行时动态创建对象和调用方法？答案就是Java反射。本文从实际困惑出发，用代码实战讲解反射核心API，揭秘框架底层原理，并分析反射的性能代价与使用建议。  ( 2 min )

一份现代知识系统的全景地图 PKM、RAG、Wiki、AI 记忆系统，以及如今实用的 AI 辅助工作流，常常被放在一起讨论，仿佛它们解决的是同一个问题。事实并非如此。它们都与知识有关，但运作在不同层面： PKM 帮助人类思考。 Wiki 帮助团队保存共享知识。 RAG 帮助机器检索外部知识。 记忆系  ( 3 min )

很多人第一次接触AI Agent，会有一种类似"读医学教材"的困惑：单词都认识，但读完不知道在讲什么。 "规划"、"记忆"、"工具调用"、"ReAct框架"……这些词经常一起出现，但彼此的关系说不清楚，看起来像是四套不同系统硬拼在一起。 这篇文章，我想把这四个东西的逻辑关系说透。它们不是并列的，更不  ( 2 min )

Modbus Studio (免费的Modbus主从机软件) 1. 软件用途 Modbus Studio 是一个用于 Modbus RTU / Modbus TCP 调试的桌面工具，主要用于： 作为 Client 连接真实设备并读取、写入点位。 作为 Server 模拟从站，供其他主站软件或设备读取  ( 5 min )

线程池这个问题，平时写业务时好像没什么存在感，很多代码里随手就是一个： ExecutorService executor = Executors.newFixedThreadPool(10); 看起来也能跑，任务也能异步执行，线上一开始也不一定会出问题。 但如果面试官问一句：你们项目里的线程池是怎么  ( 4 min )

当工具在执行过程借助注入对话历史的消息来描述当前的情况，以辅助LLM后续能够更加精准的推理，这是非常有价值的。比如工具在执行过程中发现验证的风控风险，可以注入一条`Assistant`消息模拟LLM的回复来提示用户风险的存在。  ( 3 min )

上周一个客户找到我，说他们收到云厂商的安全告警——某个存储桶在凌晨3点被大量下载，疑似数据泄露。客户很慌，问我："我们的桶设了权限的，怎么还会被拖？" 我笑着说："你设的权限，怕不是'公开可读'那种权限吧？" 一查，果不其然。一个存放日志归档的S3兼容桶，Bucket Policy配置成了Princ  ( 3 min )

有一阵没做游戏了，咱接着回来做中医游戏，这期咱们聊聊怎么给游戏NPC装个"智能大脑"，顺便看看开发过程中Hook这个老朋友的新玩法。项目代码在这里[tcm_odyssey]  ( 1 min )

本文记录作者第一次将 Vibe Coding 开发的 Next.js + NestJS 全栈项目部署到生产环境的完整过程。由于 Vercel 不适合托管 Node.js 后端，作者选择阿里云 Windows Server 作为服务器，使用 PM2 守护 NestJS 进程，配合 Caddy 反向代理...  ( 4 min )

AI语音助手，目前逐渐开始成为主流手机品牌的标准功能。你有没有想过：在你对手机说"帮我定个明天早上八点的闹钟"，手机是怎么听懂的？  ( 1 min )

After a number of Twitter discussions, and repeating myself a lot in these discussions, it is time to write a short note on the economics of advancing LLM capabilities through RL, about principles of propaganda and coining new words, and about my stubborn refusal to use the term "distillation" except in a specific narrow sense. How do models advance when human-curated data has run out? It's been a while since we ran out of human data to train LLMs on. We are training on copies of the internet, large piles of (originally pirated, then purchased-and-scanned-and-wholesale ingested) books, and whatever other data sources we can obtain. This leads to a certain performance plateau, as we haven't quite figured out how to make the models more data-efficient in training. The advancements we have …  ( 13 min )

Introduction to GPS GNSS stands for Global Navigation Satellite System, which is a satellite-based navigation system that provides geolocation for users in real-world situations. Different groups/countries invented different navigation systems such as GPS, GLONASS, etc. GNSS generally cannot fail, but if one fails, GNSS receivers can pick up signals from other systems. We are going […] The post From GNSS Fundamentals to Static GPS Spoofing appeared first on Payatu.  ( 65 min )

大家对 Hermes Agent 应该不陌生了。 Nous Research 开源的 AI 智能体项目，MIT 协议，GitHub 上 star 已经突破了 18 万。OpenRouter 应用排行榜上也是断层第一。 GitHub：https://github.com/NousResearch/he  ( 2 min )

从 Prompt 到 Loop：理清 AI Agent 工程的概念演进 前言 如果你最近关注 AI Agent 领域，一定被各种新术语轰炸过:Prompt Engineering、Context Engineering、Harness Engineering、Loop Engineering……这些  ( 12 min )

​上一篇文章末尾使用了在线大模型压缩文本生成摘要，但该方式会消耗Token，不便初学者长期使用，更好的办法是采用离线大模型来生成文本摘要。 一、离线大模型的种类 国内常用的离线大模型有阿里Qwen、智谱GLM、深度求索DeepSeek、百度文心等等，以千问的文本大模型为例，又有Qwen1.5-1.8  ( 1 min )

上周，一个朋友在群里发了一张截图：GitHub 上 anthropics/skills 仓库，24 小时涨了 900 颗星。 他的原话是：「一个文件夹项目，13.6 万星？这是认真的吗？」 我点开一看，确实——这个仓库的核心内容就是一堆 SKILL.md 文件，外加几个 Python 脚本。没有炫酷  ( 6 min )

2026 FIFA 世界杯开赛，周末一边看一边VIBE搭了一个纯静态、无后端的实时数据看板，开源在 GitHub。 在线体验： https://skyseraph.github.io/world-cup-2026/ 先看一下效果 它能做什么 3D 地球仪：48 支参赛队标注在地球上，按小组着色，点击  ( 2 min )

引言 在 .NET 开发中，生成 HTML 内容是一个常见的需求。无论是构建邮件模板、生成报表、还是创建动态网页内容，我们都需要一种简洁、安全且高效的方式来构建 HTML。今天，我想向大家介绍 Jasmine.Format —— 一个专为高性能场景设计的 .NET HTML 生成库。 为什么需要 J  ( 3 min )

Autor: Luis Daniel Martínez Sánchez, Karina Bautista Bautista Ámbito: Active Directory · Kerberos · Purple Team · SIEM Continue reading on Medium »

I had a Flipper Zero on my desk and decided to see if it could play file ferry. Short version: it can. Long version is a small Windows app… Continue reading on Medium »

In the previous article, we learned how to navigate the Linux file system. Continue reading on Medium »

After exploring path manipulation, we move into the core of web vulnerabilities: Business Logic Manipulation and Role Escalation. This is… Continue reading on Medium »

Lab 1. The first lab in my Information Disclosure series. And it teaches you something every hacker learns early: a website will tell you… Continue reading on Medium »

In web development, we often see the “Security by Obscurity” fallacy — the belief that hiding a URL or keeping it off the UI is sufficient… Continue reading on Medium »

The anatomy of billion dollar bridge hacks, the vulnerabilities attackers exploit, and what every security researcher must learn from them. Continue reading on Medium »

Three days. That’s how long it took me to get Burp Suite seeing traffic from a Flutter app during a security assessment. Continue reading on Medium »

Finding a phpinfo() file is just the beginning. The real value comes from analyzing its contents and using that data to advance your… Continue reading on Medium »

Hi Hackers, Continue reading on Medium »

Continue reading on Cyber Security Write-ups »

A Simple Framework to Stop Overthinking and Start Finding Vulnerabilities. Continue reading on Medium »

For decades, bug bounty hunting has been a manual, time-intensive process: researchers manually enumerate subdomains, run vulnerability… Continue reading on Medium »

The hidden gotcha with CGColor that every iOS developer should know Continue reading on Medium »

Stop chasing perfection. Start sending reports. Continue reading on Medium »

PortSwigger Web Security disclosed a bug submitted by kawakatz: https://hackerone.com/reports/3712279 - Bounty: $5000

PortSwigger Web Security disclosed a bug submitted by kawakatz: https://hackerone.com/reports/3712279 - Bounty: $5000

引言：那些年我们写过的“面条代码” 痛点场景： 你一定经历过这样的噩梦：系统最初用 MySQL 存储数据，后来为了性能要迁移到 MongoDB。结果你发现，业务代码里密密麻麻全是对 MySQL 驱动的直接调用。或者，老板突发奇想，要求把原本的 Web 页面功能，原封不动地搬到一个新的命令行工具（CL  ( 2 min )

很多独立开发者都有过类似经历：某个周末突然来了灵感，觉得一个小工具很值得做，于是连续几天高强度写代码、调页面、接接口、改交互，终于把第一个版本推上线。那一刻很有成就感，产品链接可以打开，核心功能能跑通，截图也能发出去，甚至还有朋友在评论区说“这个不错”“挺有用的”。 但一个月之后，情况往往会变得微妙  ( 1 min )

在开始主题之前，老周分享另一个知识，碰巧这知识点也是 EF Core 的，是前些天一位新手程序猿问的，他那是一个小项目，因为小，所以采用 Code First 的方案。不过程序有两个版本，一个是用 SQLite 数据库，一个用 SQL Server。然后有些实体他设定了 CHECK 约束。众所周知，  ( 7 min )

深入剖析了在 Huawei P30 (鸿蒙 4.0)上解决 Unity 原生库 RELRO 装载异常的完整排查路径，通过优化链接器标志、策略性使用静态库及规范符号导出，为鸿蒙系统下的底层兼容性问题提供了切实可行的解决方案。  ( 5 min )

Zenith.NET 最近做了一轮比较大的 RHI 重构。它不是一次普通的 API 改名，也不是单纯整理代码，而是把整个图形抽象层从早期“更容易上手的封装”，往更现代、更贴近 DirectX 12 / Vulkan / Metal 的底层模型推进。 这轮重构的重点，是新版引入了哪些能力、为什么要做  ( 3 min )

C# .NET 周刊 ｜2026 年 4 月 3 期 2026-04-19 dotnet_week_26_4_3 国内文章 C# 15 类型系统改进：Union Types https://www.cnblogs.com/hez2010/p/19891530/union-types-in-cshar  ( 5 min )

TIP: 本文代码可以通过Dev-C++ 5.11编译，不用安装外部库 Github仓库:https://github.com/LiQirui-git-hub/ASCIIPakour 介绍： 这是一个3D游戏，仅支持Windows(暂时，未来有概率改变) 同时，画面不是用新窗口渲染，是命令行内渲染  ( 7 min )

大家好，今天要解决一个痛点是关于 因式分解公式 的。 直接说问题： 用 Manim 展示 $ x2 + 5x + 6 = (x+2)(x+3) $ 的“十字相乘”面积模型，你需要先想好怎样把大矩形拆成四块$ (x^2)、(2x)、(3x)、(6) $，再手动计算每一块的边长和位置。 换成 $ x^2  ( 4 min )

Claude Code，或者说 AI 智能体编程，聊一下个人的一些感受与心得。 感受 ⛵ 与 AI 智能体协作编程，可以说像是在航海，一起驶向计划的目的港。 我虽是那个舵手，但能放手让 AI 来掌舵了。不过，难免偏航，不时需要人来纠正一下航向。 我并没有甩手全权交给 AI，想来是几个方面吧： 一是  ( 2 min )

Agent 通过 Checkpointer 记住对话上下文不是什么难事，但要是想让它存点“业务数据”——比如用户偏好、任务进度、历史操作记录这类东西——光靠 Checkpointer 就有点力不从心了。对话线程之间彼此隔离，换个线程就像失忆一样，之前积累的信息全用不上。Store 机制就是来解决这个  ( 2 min )

传统SOP依赖人工监督、人工核验，存在监管滞后、人工成本高、漏检误检等痛点。依托iNeuOS_Vision机器视觉技术，可实现SOP操作的自动化识别、实时监测、流程校验与异常告警，适配各类工业标准化作业场景，助力工业作业全流程可视化、智能化管控，提升生产标准化水平与作业效率。  ( 1 min )

​HarmonyOS 6.1.1 已于 2026 年 5 月下旬正式发布，该版本在 HarmonyOS 6.1 基础上增强了若干特性，让鸿蒙系统变得更流畅更好用，下面结合《鸿蒙HarmonyOS 6应用开发:从零基础到App上线》一书对 HarmonyOS 6.1.1 新特性中的常用部分逐一讲解。  ( 2 min )

Speed Tools：一套低侵入的 Android 插件化 + 动态换肤 + 字体切换框架 作者：一航 GitHub：jasonliyihang/speed_tools 博客首发于 CSDN，本文基于 2026 年最新代码重构整理。 一、前言 几年前我在 CSDN 写过一篇 [《android 插  ( 3 min )

从数据中寻找规律的机器学习，到模仿人脑思考的深度学习，再到让机器看懂世界的计算机视觉，这三项技术共同构建了人工智能最底层也最核心的逻辑框架。  ( 1 min )

Hello fellow bug bounty hunters, hope you guys are doing well and hunting lots of bugs. Continue reading on Medium »

Demonstrating Security Impact: Escalating Exposed Google API Keys to Access Sensitive Services Continue reading on Medium »

While working on a web application security internship focused on bug bounty hunting, I picked the GRW Trading FZE program on YesWeHack… Continue reading on Medium »

High Severity Vulnerability with $XXX Bounty Continue reading on Medium »

Link Continue reading on Medium »

From Simple Recon to a $4,000 Bug: My Nmap Discovery Story Continue reading on Medium »

This write-up is based on a training scenario from LetsDefend and is shared for educational purposes only. Continue reading on Medium »

A beginner’s deep dive into bug bounty hunting: mindset, methodology, and the moment everything clicked. Continue reading on Medium »

Like many security researchers, I occasionally spend time reviewing authentication flows on platforms that I personally use. Most of the… Continue reading on Medium »

Start off with a nmap scan of the target: Continue reading on Medium »

One evening, I was exploring the internet like a digital detective, using a Shodan to hunt for hidden clues. Suddenly, I found an open… Continue reading on Medium »

Master information disclosure vulnerabilities: identify attack vectors, exploit leaks, and mitigate web security risks. Continue reading on Medium »

Welcome to the first practical scenario of my Active Directory Cyber Range series built entirely on VMware ESXi. Continue reading on Product Coalition »

This write-up is based on a training scenario from LetsDefend and is shared for educational purposes only. Continue reading on Medium »

In the previous article, we built our cybersecurity lab. Continue reading on Medium »

curl disclosed a bug submitted by violet12331: https://hackerone.com/reports/3795615

curl disclosed a bug submitted by violet12331: https://hackerone.com/reports/3795615

Brie is a browser extension that helps developers and QA teams capture and report bugs with full context , automatically. Instead of… Continue reading on Medium »

You entered a name. The server treated it as code. Learning how to identify and fingerprint Server-Side Template Injection vulnerabilities. Continue reading on InfoSec Write-ups »

Yes believe me your first real bug is probably closer than you think. Continue reading on Medium »

Hi Hackers, Continue reading on Medium »

And the Patterns That Prevent Them Continue reading on Medium »

DDD 与 Ontology 对比分析：代码建模与语义建模的异同 探讨领域驱动设计（DDD）与本体论建模（Ontology）之间的本质差异，搞清其背后的理论体系和运行机制。 一、双维建模：逻辑深度与语义广度 复杂业务系统的建模方法与开发方式可以分为两条路线： DDD 范式：以应用代码开发为主，利用充  ( 4 min )

一句话认识这个工具 在做数据采集或调用第三方API时，经常需要从嵌套复杂的JSON中提取指定数据。今天给大家安利一个免费在线工具——JSON Path Finder，地址是 https://formatlist.com/json-path-finder。 先直接看效果：把JSON数据粘贴进去，它会自  ( 2 min )

它能做什么？ 简单说：让你的电脑自动帮你干活。 批量点击、填表、截图 → 告别重复劳动 定时执行任务 → 每天自动签到、自动导出报表 图像识别 + 自动化 → 找到屏幕上的按钮自动点 AI 一句话生成 → "在坐标500,300点击，输入hello按回车" 直接变成自动化流程 为什么值得关注？ 1.  ( 2 min )

实时操作系统内核的核心矛盾：它必须在"快"和"准"之间做出不可调和的抉择。快是吞吐量的追求，准是确定性的承诺。一个通用操作系统优化的是平均响应，一个RTOS优化的是最坏情况——这不仅是技术路线的分叉，更是工程哲学的根本对立。  ( 4 min )

背景 在日常Java开发工作中，迭代着迭代着本地就有一堆分支，批量删除的话有一行命令，如： git branch | grep 'release-' | xargs git branch -D 但我总记不住，也不想去住，每次操作都要翻小本本。 一直要开发一个插件，无奈不会啊。我之前是.NET专业户，  ( 1 min )

按照之前文章《氛围编程实战系列：先规划清楚学习路径》这个规划路径，我们今天来开发第二个功能：合并知识功能。 总结这篇文章的初期阶段，其实让笔者非常的困惑。因为经历了太多思想碰撞。最终认为如果要持续学习一件新事物，还必须要从现实出发，不要为了学习而学习，而要为了解决一个实际问题而学习，哪怕这个问题开始  ( 2 min )

很多独立开发者在产品刚做出来的时候，都会下意识想到 Product Hunt 或 Hacker News。 这并不奇怪。对一个没有用户、没有品牌、没有媒体资源的小团队来说，把产品发到一个已经聚集了大量产品爱好者和技术人群的平台上，听起来几乎是最合理的选择。那里有人愿意点开新产品，有人愿意评论，有人会  ( 2 min )

⚠️ 安全警告：混沌工程工具威力巨大。Toxiproxy 仅限于开发、测试（SIT/UAT）或特定的混沌工程演练环境中使用。严禁将其部署在生产环境的真实业务链路中，以免造成不可挽回的生产资损与事故。 在微服务架构和系统可观测性建设中，验证各链路的容错与兜底机制（Error-handling fail  ( 2 min )

还在为团队文档维护头疼吗？本文带你认识一个极简却强大的文档神器docsify，无需编译、一个页面搞定一切。从安装配置到避坑指南，手把手教你搭建一个高颜值、易维护的知识库网站，让你的技术文档管理体验瞬间起飞。  ( 2 min )

AI领域的角色正在随着行业发展而转变。了解进入这个领域需要什么。 引言 在过去十年中，AI领域经历了快速发展，尤其是在ChatGPT推出之后。如今，工程师们很少再讨论经典机器学习，整个对话都被大语言模型（LLM）所主导。而现在，焦点正在从LLM转向AI Agent。 Agent正在改变软件的运作方式  ( 1 min )

流式输出（Streaming）原理与踩坑经验 本人在日常开发中，遇到流式输出相关的问题，一般都需要靠大模型协助定位问题，归其根本是因为我对流式输出的原理认识不足。所以本篇文章记录我学习流式输出的原理，以及在实际开发中遇到的问题。 整体流程： 大模型生成 token ↓ 打包成 chunk（一个或多个  ( 5 min )

作者:张富春(ahfuzhang)，转载时请注明作者和引用链接，谢谢！ cnblogs博客 zhihu Github 公众号:一本正经的瞎扯 背景 最近在测试一个服务器的时候，遇到一个难题：我如何才能构造出多种请求，以便尽可能的覆盖到所有分支？ 写单元测试固然是个办法，但是服务器依赖 mysql 和  ( 2 min )

2026 年中大促正式开启。6 月 16 日至 6 月 30 日，凌霞软件旗下 Halo 建站系统与 1Panel 服务器管理面板全线产品一律 5 折优惠，新购、订阅续期、版本升级、版本变更四类订单均享折扣，无需输码、无需凑单。同期开放两轮大额满减券，可与半价折扣叠加使用，最高额外再省 ¥800。  ( 1 min )

很多团队已经有 APM 了。 Java 服务接了 SkyWalking，云上应用用了 ARMS，部分云原生团队接了 Jaeger，新项目开始按 OpenTelemetry 做链路追踪。慢接口、错误调用、服务拓扑、Trace 瀑布图，也都能看。 所以当有人再提“统一可观测平台”时，团队会有一个很自然的  ( 2 min )

星辰征途是一家聚焦 AI 搜索与电商场景多模态 AIGC 应用的初创公司，成立两年多，业务主要面向海外市场。公司目前的主要产品包括：Gensmo（gensmo.com） 聚焦时尚穿搭，提供虚拟试穿、造型推荐和商品搜索；ZooClaw（zooclaw.ai） 面向更广泛的生活与工作场景，提供 AI A  ( 3 min )

在 AI 时代，获取知识已经不是瓶颈了。真正的瓶颈是——你积累了那么多东西，但它们从来没有被"编译"过。 信息囤积 ≠ 知识积累 看看你自己的数字生活：微信收藏了几百篇文章，Obsidian 里存了上千条笔记，浏览器书签栏挤得连图标都看不清，聊天记录里散落着各种"稍后看"的截图。 这些东西加起来可能  ( 2 min )

很多团队一谈到数据库审计，第一反应就是“把所有 SQL 都记下来”。仿佛日志越全，安全感越足。可真到出事的时候，却发现自己面对的只是海量文本，根本不知道从何查起。真正有价值的数据库审计，必须能够清晰回答四个问题： 谁做了高风险操作？ 针对哪个库、哪张表、哪些数据做的？ 这个动作是否越权、异常或违反流  ( 2 min )

本文基于 0xkato 的英文文章 "How LLMs Actually Work" 改写整理，用于中文读者学习参考。 原文：https://www.0xkato.xyz/how-llms-actually-work 标签：Machine Learning · Transformers · LLM  ( 4 min )

上周我在 Claude Code 里说了一句：「帮我把今天的站会纪要发到研发群」。 Claude 很流畅地组织好了内容，然后调用 lark-cli 发送。在它真的发出去之前，终端里打出了一段 dry-run 预览——消息体、目标群组 ID、发送时间，全部清清楚楚列在屏幕上，等我确认。 我看了一眼，发  ( 4 min )

操作真实 DOM 有多贵？ 先看一段代码： // 把一个 <div> 的背景色改成红色 document.getElementById('box').style.backgroundColor = 'red' 你觉得这一行代码的执行成本是多少？ 答案远比你想象的复杂： 1. JS 引擎找到 DOM  ( 3 min )

Claude Code 配置第三方模型后，内置工具到底用的谁的？ 核心问题：Claude Code 配了智谱（Z.AI）的 key 后，WebSearch、图片分析、web_fetch 这些能力，是用的 Claude/Anthropic 原生的，还是被替换成了 GLM 的？ 结论：全部用的是智谱的  ( 3 min )

Spring Cloud Gateway 的 SpEL 表达式注入漏洞（CVE-2022-22947） 受影响版本 以下版本的 Spring Cloud Gateway 存在此漏洞： 3.1.0 3.0.0 至 3.0.6 以及其他更早的、已停止维护的版本 环境搭建 由于我是在公司电脑（刚入职），所  ( 2 min )

Google AX 的重点不在“再造一个 Agent 框架”，而在补上 控制面、状态恢复、故障隔离、权限审计 这些真正决定生产可用性的工程能力。  ( 2 min )

赋予部署的应用和服务可观测性已经是一个基本的需求，在这方面，`OpenTelemetry`无疑已经称为了事实上的标准。`OpenTelemetryChatClient`是一个预定义的`IChatClient`中间件，它利用重写的`GetResponseAsync`和`GetResponseStrea...  ( 2 min )

Hanafeyz Continue reading on Medium »

Subdomain Takeover is often described as one of the easiest vulnerabilities to find in Bug Bounty programs. Continue reading on Medium »

So far in this series, we’ve learned how networks work. Continue reading on Medium »

Node.js disclosed a bug submitted by shinchan_69: https://hackerone.com/reports/3781015

Node.js disclosed a bug submitted by shinchan_69: https://hackerone.com/reports/3781015

No content preview

No content preview

No content preview

No content preview

Learn how to recover complete access to a self-hosted n8n Docker deployment when password reset emails fail. Continue reading on InfoSec Write-ups »

No content preview

No content preview

Building a simple attack lab to understand how Fail2Ban detects and blocks repeated SSH login attempts. Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

Learn how to recover complete access to a self-hosted n8n Docker deployment when password reset emails fail. Continue reading on InfoSec Write-ups »

No content preview

No content preview

Building a simple attack lab to understand how Fail2Ban detects and blocks repeated SSH login attempts. Continue reading on InfoSec Write-ups »

Hi, I’m Vipul 👋 — the human behind TheHackersLog Let me tell you something most people get wrong about bug bounty hunting. Continue reading on OSINT Team »

A balanced breakdown of the root cause, the exploit chain, and what defenders — and pentesters — should take away. Continue reading on Medium »

The questions nobody asks — and the attacks that follow when they don’t Continue reading on Medium »

JWT Attacks, IDOR/BOLA, Mass Assignment, and Authorization Abuse in Real-World APIs Continue reading on OSINT Team »

A few weeks ago, while interacting with the Bihar State Education Finance Corporation (BSEFCL) portal, I came across something that seemed… Continue reading on Medium »

The server is still making requests. You just have to find a different way to know that. Part 3 of the SSRF series. Continue reading on System Weakness »

How AI Is Transforming Modern Bug Bounty Hunting and Penetration Testing Continue reading on Medium »

Hello! 👋 Continue reading on Medium »

Domina las vulnerabilidades de divulgación de información: descubre vectores, explota fugas y mitiga riesgos de seguridad web. Continue reading on Medium »

NTDS.dit (New Technology Directory Services Directory Information Tree) is the core database of Active Directory Domain Services, storing… Continue reading on Medium »

Part 2 of the Windows Privilege Escalation series Continue reading on Medium »

Part 2 of the Windows Privilege Escalation series Continue reading on Medium »

Every security analyst remembers the first time they realized that the systems we trust to protect enterprise infrastructure are, by… Continue reading on Medium »

Introduction Continue reading on Medium »

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

Yes, There are Still Servers That Use It Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

Yes, There are Still Servers That Use It Continue reading on InfoSec Write-ups »

No content preview

No content preview

AWS VDP disclosed a bug submitted by inkerton: https://hackerone.com/reports/3558713

AWS VDP disclosed a bug submitted by terrynini38514: https://hackerone.com/reports/3738654

curl disclosed a bug submitted by bugthiru: https://hackerone.com/reports/3741744

curl disclosed a bug submitted by fg0x0: https://hackerone.com/reports/3774279

DuckDuckGo disclosed a bug submitted by 6r1ff1n: https://hackerone.com/reports/3619288

DuckDuckGo disclosed a bug submitted by 6r1ff1n: https://hackerone.com/reports/3619287

Rocket.Chat disclosed a bug submitted by button142857: https://hackerone.com/reports/3383079

Rocket.Chat disclosed a bug submitted by button142857: https://hackerone.com/reports/3393664

AWS VDP disclosed a bug submitted by inkerton: https://hackerone.com/reports/3558713

AWS VDP disclosed a bug submitted by terrynini38514: https://hackerone.com/reports/3738654

curl disclosed a bug submitted by bugthiru: https://hackerone.com/reports/3741744

curl disclosed a bug submitted by fg0x0: https://hackerone.com/reports/3774279

DuckDuckGo disclosed a bug submitted by 6r1ff1n: https://hackerone.com/reports/3619288

DuckDuckGo disclosed a bug submitted by 6r1ff1n: https://hackerone.com/reports/3619287

Rocket.Chat disclosed a bug submitted by button142857: https://hackerone.com/reports/3383079

Rocket.Chat disclosed a bug submitted by button142857: https://hackerone.com/reports/3393664

〇、前言 2026年6月11日，小米 MiMo 团队正式发布并开源 MiMo Code V0.1.0。 官方宣称：MIMO Code 是面向开发者的新一代 AI 编程助手，支持无限上下文，帮助你更高效地理解、构建与协作。 那么它到底是一个怎样的编程助手，本文将进行一个简单的介绍，供参考。 官网地址：  ( 3 min )

本文使用AI辅助编写。 在设计 MCP Server 时，很多人会先想到 tools。比如连接 SQL Server 后，可以提供 list_tables、describe_table、execute_query、get_procedure_definition 等工具。这样确实可以让 AI 查询数  ( 6 min )

系统规划与管理师 到底是干嘛的？很多考友尤其是做运维的兄弟，经常在“高项”和“系规”之间纠结。今天咱们就用最直白的大白话，把这个系统规划与管理师拆解开看。建议点赞+收藏，下次报名时可以翻出来了解下。 一、 为什么大家都对“系规”有误解？ 很多朋友一听到“系统规划与管理师”，第一反应就是：这不就是个高  ( 2 min )

【强化学习框架】Uni-Agent 深度技术分析（2） 关键技术 目录【强化学习框架】Uni-Agent 深度技术分析（2） 关键技术0x00 概要0x01 修改扩展点1.1 verl 扩展点全景1.2 关键扩展点详解E1: AgentLoopBase——继承契约E3: 注册机制——外部注入 vs  ( 11 min )

01 · 先建立直觉：训练 = 一个反复打分与改作业的循环 假设你在教一个学生做数学题。流程是这样的：题目给他做（前向）、老师打分（loss）、老师指出每一步错在哪、错多少（反向求梯度）、学生根据这些反馈修改自己的解题习惯（优化器更新参数）。 神经网络的训练本质上就是这个循环，只是"学生"换成了一堆  ( 4 min )

凌晨三点，手机疯狂报警——Redis CPU 100%，内存快满了，业务接口一个个超时…… 别慌，这篇文章不堆术语，我会像聊天一样，带你一步步排查问题、稳住现场、顺便把优化思路讲清楚。 一、先搞清楚“爆”是什么意思？ “机器爆了”通常指以下几种情况，不同情况处理方式不一样： 现象（你能看到什么） 最  ( 3 min )

PortSwigger SQL注入LAB12 今天我们来做PortSwigger SQL注入的LAB12，这道LAB跟之前的几道LAB不太一样，但是更加贴近现实了，那么我们现在开始吧: 【本篇目标】1. 理解并掌握基于可视化错误的SQL注入2. 通过SQL注入来获取所需administrator的密  ( 1 min )

把全量备份的 Kingbase v8 实例备份文件恢复到另外一个实例中 背景介绍： 公司的机房断电！！！虽然离谱但是它就是断电了。导致安装了麒麟V10操作系统的服务器宕机且尝试了几种方式后均无法恢复启动，好在磁盘是完好的。因为是测试服务器，经过评估后选择重装系统。服务器上仅有的比较重要一些的资产是部  ( 2 min )

MagicWorld 针对当前视频世界模型在长时间交互中易出现运动不合理与场景崩坏的问题，提出了一种面向长时稳定性的交互式建模框架。该方法通过引入基于光流的运动约束提升动态真实性，利用历史检索机制增强跨时间一致性，并通过多步聚合的训练策略优化整体交互序列质量，从而有效缓解误差累积问题。整体上，Mag...  ( 1 min )

写代码时总要在每个方法里复制粘贴计时逻辑？本文用匿名内部类实现了一个优雅的耗时计算模板，从"笨办法"到Lambda表达式，一步步优化代码结构，适合想提升代码设计能力的Java学习者。  ( 2 min )

一、相关表格介绍 1、 T156：移动类型主表 Movement Type (Inventory Management) 你可以把它理解为一张基础信息登记表。 主要作用：定义了所有可用的移动类型代码，并存储其最基本、最通用的描述信息。它是 T156SC 中 BWART 字段的检查表，保证了数据的合法  ( 6 min )

引言 在数字化转型加速推进的今天，实时数据仓库已成为企业数据驱动决策的核心基础设施。Apache Doris作为一款高性能、易运维的开源MPP分析型数据库，凭借其极简架构、亚秒级查询响应和一站式分析能力，被广泛应用于用户行为分析、实时报表、数据集市等核心业务场景。然而，随着企业数据量的爆发式增长和查  ( 3 min )

Skills 是人与 AI 协作的桥梁（在这里等于 xx.md文件）： 1. 人类把领域知识、流程经验、环境约束写进 Skill, AI 读懂后去执行。 Skills 就是这座桥——人类专注定义怎么做，AI 负责真正去做。 2. 让任务执行变得准确、稳定、可复用。 3. Skills 以 MarkD  ( 1 min )

写爬虫或调用API时，IP被封是家常便饭。很多人以为加上代理就万事大吉，结果反而更慢、报错更多。这篇文章从实战出发，一次性讲透http、https、socks代理的区别和用法，教你如何高效遍历代理列表，并扒开那些官方文档不会告诉你的常见坑。读完你会知道，代理用不好，比不用还危险。  ( 2 min )

OpenVINO™ C# API 3.3 全新发布！这次升级的重点，是把 OpenVINO GenAI 正式带进 C#/.NET 生态。开发者可以在 C# 项目中直接调用本地 LLM 文本生成、Whisper 语音识别、VLM 图文问答等能力，不再必须绕 Python 服务或外部脚本。 3.3 继...  ( 5 min )

在默认的情况下，`ChatHistoryProvider`基于**调用**对产生的请求和消息进行存档。如果一次调用涉及多轮ReAct循环，意味着每次调用可能会很多条消息，但是它们只会在ReAct循环结束之后才会被存档一次。如果最后存单失败，意味着这些消息将全部丢失，所以有时候我们ReAct循环的每次...  ( 3 min )

AI 时代，拉开差距的不是工具熟练度，而是在不确定里启动、验证和接力的能力。 原文链接：AI 小老六 我现在越来越不相信一种说法：只要把 AI 工具 用熟，人就会自然变强。 工具当然重要，但它解决的是“怎么做得更快”，没有自动解决“什么值得做”“该从哪里下手”“做砸以后怎么办”。真正拉开差距的，往往  ( 2 min )

本文描述了刚子使用AI开发两个出海工具、一个月后收入为零的完整经历，深刻揭示了成功故事背后的诸多陷阱：开发仅占全部工作量的10%，推广运营才是真正的关键；同质化竞争异常激烈，免费用户转付费的转化率极低；真正能赚钱的方式其实是卖课卖社群。刚子最后建议开发者务必先验证需求、主动避开红海赛道、提前想好明确...  ( 2 min )

前言 这比赛我也是被ai乱杀了，pwn第二轮上题写了会我就没打了。有点太恐怖了，后面我打星途杯去了。现在回头看其实pwn题出的很好，也是感谢ziran申出这么多题和分享自己的学习经历了，ziran是申！！！这里贴一下官方wp，我这只有部分题的题解(我太菜了)，要看全解可以直接去ziran申那里看看黄  ( 6 min )

各位亲爱的周刊订阅者，久等了！上月因不可抗力因素，不得已停更了一个月。现已恢复更新，会抓紧赶上进度。感谢大家的守候，久等了！ 国内文章 去中心化的内网聊天软件Lachat是如何实现的？ https://www.cnblogs.com/zhuweisky/p/19836680 本文介绍了一款名为Lac  ( 3 min )

作为第二篇技术复盘，本文通过弃用 vite-plugin-pwa，改用 $service-worker 解决了 PWA 报错 Uncaught (in promise) non-precached-url: non-precached-url :: [{"url":"index.html"}]；添加...  ( 1 min )

批量改图片DPI的Python脚本 | 写论文终于不用一张张改了 做学术论文、投期刊的朋友应该都懂，图片DPI这玩意儿平时不起眼，投稿的时候真能急死人。大部分期刊都要求300dpi以上，有的甚至要600dpi。但平时ArcGIS出图、截图啥的，默认都是72或者96dpi，每次投稿前都得一张张改，烦得  ( 1 min )

问题描述 在 Azure AI Search 中查询同一组关键词时，经常会遇到一个现象：searchMode=any 返回很多结果，改成 searchMode=all 后结果数量明显下降，甚至只剩很少几条。 例如查询下面这组关键词： audit brief report compliance 如果使  ( 2 min )

感谢 Snowflake 这次邀请我以 Snowflake 雪花大使身份参加 Snowflake Summit。这次大会给我的触动比预想中更大，大家知道，我一直做从事数据行业，早期在 Teradata，后来在 IBM，后来在企业里 Lenovo、中金、万达等管大数据，后来成为 Apache Soft...  ( 3 min )

本文基于如下 Qwen3 配置文件进行讲解： { "architectures": [ "Qwen3ForSequenceClassification" ], "attention_bias": false, "attention_dropout": 0.0, "bos_token_id": 151  ( 7 min )

Raft算法 Raft算法 是通过日志复制管理来达到集群节点一致性算法，这个日志复制管理发生在节点中的Leader和Followers之间。Leader节点负责管理日志复制过程，以实现各个节点间数据的一致性。 角色、人气及角色转变 Raft中，节点有三种角色： Leader：唯一复制客户端请求的节点  ( 1 min )

前言 本文去掉代码全文共 4800 字。 这篇博客并非完全意义上的题解，主要是对我学习这道题的思路回顾与总结，基于以下两篇题解融合和补充（所以记号不是我原创的，我觉得尤其是第二篇题解定义的名词非常形象易懂直接抄了），以及一些碎碎念。 写了很多细节问题，都是我在学习这个题时思考过的，所以这篇文章非常长  ( 6 min )

etcd-raft 节点在 follow，leader 和 candidate 状态流转。状态转移图如下： 图片摘自 https://raft.github.io/raft.pdf 正常情况下，各节点在自己的角色里好好干活。但是如果出现异常，比如网络分区后，各个节点会做什么呢？ 本文主要讨论网络分区  ( 5 min )

创建型模式关心的核心问题只有一个：对象怎么来的？ 把"怎么创建对象"这件事封装起来，让使用者不需要知道细节，拿来就用。  ( 9 min )

PDF是日常工作中最常用的文档格式之一。借助 Python，我们可以批量提取 PDF 中的文本、图片、表格等数据，从而实现自动化处理。本文将介绍如何使用 Free Spire.PDF for Python 这个免费库来完成常见的 PDF 读取任务。 1. 环境准备 1.1 安装免费 Python P  ( 2 min )

引言：无监控，不运维 在关键信息基础设施安全保障体系中，实时、精准的资源监控是发现性能瓶颈、预防故障的第一道防线。MySQL数据库作为业务数据的承载核心，其CPU和内存的消耗直接决定了服务的吞吐量与稳定性。很多性能故障（如上一篇文章分析的CPU间歇性飙高）若能被及时监控和预警，就完全可以在恶化前被扼  ( 2 min )

很多团队说自己在做稳定性治理。真正落到日常工作里，往往还是事故复盘：系统出故障，开会，写原因、影响和改进项；过一阵子，又出故障，再开会。这当然比什么都不记录要好，但它还不是治理。它只是把事故写进文档。 稳定性治理要回答的是更难、也更持续的问题：核心服务这个月到底可用多久，哪些接口消耗了最多不可用时间  ( 2 min )

numpy学习 前言 本节内容目录清晰，可以依据目录进行查找相应的方法完成对应操作 导入： import numpy as np 1. 出现原因 为什么需要Numpy？ 它是python专门设计的一个工具库，适合高性能的数据处理应用场景。 如下例子：可以清楚对比出numpy数组和list数组计算同一  ( 12 min )

你有没有这种感受：早上开完站会，拿起手机一看，项目群、运营群、技术交流群——三个群加起来 400 条消息，最重要的那条结论被淹没在表情包和「收到」里面，根本找不着。 我之前每天要花将近 40 分钟翻群——不是认真看，就是怕漏掉什么重要的事。直到我把 wx-cli 和 Claude Code Skil  ( 3 min )

目录短期记忆-基于内存完整代码长期记忆-基于数据库完整代码记忆管理示例代码 https://docs.langchain.com/oss/python/langchain/short-term-memory Agent 的记忆（Memory）分两类： 短期记忆（short-term memory）：  ( 5 min )

探索生成式AI如何帮助小型企业提升生产力、自动化任务、改善客户体验、降低成本，并在2026年及未来驱动业务增长。 引言 生成式AI正在改变小型企业的运营方式。曾经被认为只有大型企业才能使用的技术，如今已变得更加经济实惠且易于使用，使初创公司和小型企业也能利用其能力实现增长和效率提升。 从创建营销内容  ( 2 min )

如何集成和使用 impeccable 其实也没啥，就是在 HagiCode 项目里集成个设计工具，勉强算是个完整方案吧——包括仓库结构、多语言工作流、内容维护这些，都是在实践里慢慢摸索出来的。 背景 说起软件开发里的 UI/UX 设计质量，其实还挺重要的，毕竟能直接决定产品的用户体验和商业成功。只是  ( 3 min )

原题链接 闲话 赛时看到 F 马上就想到点分树，只剩十分多钟口胡了一下就跑了。 赛后看题解发现全是线段树分治做的，去原题 P2056 学习了一下点分树做法。发现赛时的口胡离正解还差得远。 思路 首先做一个重链剖分，进而可以以 \(O(\log n)\) 的时间求出任意两点间的距离。 把点分树建出来，  ( 5 min )

废话不多说，先上 IDEA 2026.1 版本安装成功的截图，如下图，可以看到已经成功安装到 2099 年辣，舒服的很！ 卸载老版本 接下来，我就将通过图文的方式, 来详细讲解如何安装 IDEA 2026.1 版本至 2099 年。首先，如果小伙伴的电脑上有安装老版本的 IDEA , 需要将其彻底卸  ( 1 min )

项目上线了，群里一片欢腾。 产品经理发了朋友圈，后端同事被疯狂 @ 夸接口稳，老板周会上点名表扬了架构设计。 唯独前端，没人提。 就好像这个项目里，前端从来没存在过。 但登录页是谁写的？表单校验是谁调的？那个丝滑的加载动画是谁做的？兼容各种浏览器又是谁加班到凌晨？ 都是前端。 做了 6 年前端，太熟  ( 1 min )

SolonCode，基于"Java 运行时 + Web 交互"的架构设计，天然具备跨平台能力。在鸿蒙 PC 发布之初，SolonCode 即可运行。  ( 2 min )

前言 近一年以来，AI Agent的发展速度非常快。 如果经常使用一些Agent CLI工具，例如 Claude Code、Gemini CLI、OpenCode 等产品，会发现它们有一个共同特点： 虽然运行在终端之中，但已经完全不是传统命令行程序的样子。 在执行任务过程中，它们通常会同时展示： A  ( 3 min )

我们目前已经有相当专业的图片生成的模型，它可以利用我们提供的文本提示来生成高质量的图片，但是由于我们对文字的驾驭能力不够，写不出迎合LLM的提示词。ImageGeneratingChatClient中间件结合我们注册的ImageGenerator将两者结合在一起：我们通过与Agent对话的方式说出我...  ( 6 min )

CVE-2026–53636 | CVSS 7.5 High | Affecting 45M+ users worldwide Continue reading on Medium »

We already proved the server takes requests from us. Now let’s see how far that actually goes. Part 2 of the SSRF series. Continue reading on InfoSec Write-ups »

Continue reading on Medium »

The honest diary of a beginner, week by week. Continue reading on Medium »

Every command, every tool, every setting. Copy, paste, you are running. Continue reading on Medium »

Most hunters run subfinder and call it recon. The hunters finding critical bugs run six sources, permutate every result, chase… Continue reading on Medium »

How a seemingly simple SQL Injection led to the exposure of nearly 2,000 user records and highlighted the dangers of plaintext password… Continue reading on Medium »

The Future of AI-Powered Web Application Security Testing Continue reading on Medium »

Abstract Continue reading on Medium »

curl disclosed a bug submitted by monk17: https://hackerone.com/reports/3791168

curl disclosed a bug submitted by azraelxuemo: https://hackerone.com/reports/3791191

curl disclosed a bug submitted by nyymi: https://hackerone.com/reports/1826392

curl disclosed a bug submitted by monk17: https://hackerone.com/reports/3791168

curl disclosed a bug submitted by azraelxuemo: https://hackerone.com/reports/3791191

curl disclosed a bug submitted by nyymi: https://hackerone.com/reports/1826392

I’m doing an experiment with KTP and two lasers (1052nm and 1550nm), this is the first time I try to create some more advanced optic project. Initially I was thinking it was just shining the laser light in the KTP crystal and everything was fine. Then I discovered that I need to use two mirrors … Continue reading Using a Nonlinear Crystal KTP to create a SFG/SHG solution →  ( 11 min )

Você já se perguntou o que acontece nos bastidores quando um Mac corporativo “sabe” que pertence a uma empresa antes mesmo de você criar… Continue reading on Medium »

lab write-up Continue reading on Medium »

Continue reading on Medium »

Everyone is still wardriving like it is 2017. Meanwhile, something else is already out there. And it does not sleep. It does not forget… Continue reading on Medium »

Two things are converging right now. And when they collide, the entire offensive security landscape does not just change. It becomes… Continue reading on Medium »

By Soumodeep Das Continue reading on Medium »

A practical guide to Potato attacks for penetration testers Continue reading on Medium »

Vulnerability Summary Continue reading on Medium »

Executive Summary Continue reading on Medium »

Artificial intelligence is not just responding to prompts and generating text anymore. The age of agentic artificial intelligence has arrived. With it comes the ability to think, make decisions, plan and act independently. What Is Agentic AI? While regular AI models just respond to inputs with outputs, an agentic AI system uses APIs, databases, cloud […] The post Agentic AI Security: The Hidden Attack Surface Beyond Prompt Injection appeared first on Payatu.  ( 69 min )

The Bug That Turns Security Tools Against Researchers I found a bug in binwalk that lets an attacker write files anywhere on your computer. If you are a security researcher, you have probably used binwalk to pull apart firmware files. It comes pre-installed on Kali Linux. Hundreds of thousands of people use it every day. […] The post Binwalk Path Traversal Vulnerability: Turning Firmware Analysis into Code Execution appeared first on Payatu.  ( 68 min )

lab write-up Continue reading on Medium »

The 7 Stages of the Cyber Kill Chain Continue reading on Medium »

I red-teamed a Maximo deployment pipeline I built myself. The scanners found almost nothing ~ and that turned out to be the most important… Continue reading on Medium »

The cybersecurity industry is experiencing a significant transformation as Artificial Intelligence and automation become increasingly… Continue reading on Medium »

Introdução Continue reading on Medium »

Hi, I’m mrx_w_ (Adem Ziane Berroudja), a bug bounty hunter on Bugcrowd. You can find me on Twitter and LinkedIn under mrx_w_ .In this… Continue reading on Medium »

No content preview

AI is cumbersome to test, LLM applications can accept any input and produce any output, each response id probabilistic and the number of… Continue reading on Medium »

API documentation is a goldmine for security researchers and attackers alike. While it is essential for developers, leaving interactive or… Continue reading on Medium »

The AI workflow that’s quietly changing who finds the bugs and who doesn’t. Continue reading on Medium »

Claude Code, SAST skills, biraz sabır ve Traccar’da bulunan iki güvenlik açığı Continue reading on Medium »

The platforms are free to join. HackerOne, Bugcrowd, Intigriti — sign up, pick a program, start testing. No degree required. No… Continue reading on Medium »

The hardest part of building a Burp extension used to be the code — now it’s just coming up with the idea. Continue reading on InfoSec Write-ups »

“No methodology. No fancy tools. Just a meme, a hunch, and a chatbot that really should have stayed in its lane.” Continue reading on Medium »

A Responsible Disclosure Case Study on DRM, CDN, API Security, and Subscription Bypass Continue reading on Medium »

I have been hunting for a while on the Hackerone public program and what I learned is If you choose the right program and spend more time… Continue reading on Medium »

No complex setups. No secret tools. Just you and your browser. Continue reading on Medium »

Hi, I’m mrx_w_ (Adem Ziane Berroudja), a bug bounty hunter on Bugcrowd. You can find me on Twitter and LinkedIn under mrx_w_ .In this… Continue reading on Medium »

前言 在数字化办公与娱乐需求日益增长的今天，Windows 系统的流畅度与稳定性直接影响着我们的日常体验。为了帮助大家告别系统卡顿、冗余服务以及隐私泄露的困扰，大姚给大家分享 5 款基于 .NET 开源、功能强大且免费的 Windows 系统优化工具。 Optimizer Optimizer 是一款  ( 2 min )

大家可以先看本文的结论【即 4. 总结】，如有兴趣再顺读。 1. Online DDL Support for Column Operations OperationIn PlaceRebuilds TablePermits Concurrent DMLOnly Modifies Metadata  ( 3 min )

Meta Assistant 是一个为 Windows 打造的任务栏托盘 Python 脚本启动器，以解决 Vibe Coding 时代下“生成脚本易，寻找脚本难”的困境。安装 Meta Assistant，快速利用本地已有环境启动对应的脚本，并原生支持 Windows 自启动，不再需要在打包、配置...  ( 1 min )

在最近给一个大客户制作技术方案时，客户提出了一个要求：对他们已经部署测试运行的环境，分析其运行性能数据，并制作分析报告。  ( 2 min )

【Agentic RL / 强化学习框架】Uni-Agent 深度技术分析（1） 总体 目录【Agentic RL / 强化学习框架】Uni-Agent 深度技术分析（1） 总体0x00 概要0x01 基本功能1.1 竞品对比与定位1.1.1 三者定位1.1.2 七维度对比表1.2 Uni-Agen  ( 14 min )

有一件事我直到用了 Claude Code 三个月才搞清楚—— 它的上下文窗口是 200K tokens，但这个数字在大型代码库里根本撑不了多久。 粗略换算：一个普通 Java 服务文件大约 200-500 行，按每行 10 个 token 计算，200K tokens 大约能容纳 400-1000  ( 4 min )

1. 先区分两个概念：多头和多层 Multi-Head Attention 和多层 Transformer Block 不是一回事。 一句话区分： Multi-Head Attention：同一层里，多个 attention head 并行看上下文。 多层 Transformer Block：很多层  ( 6 min )

.NET 是一个开源、跨平台的开发平台，运行稳定，资源消耗低，AOT 编译进一步降低了交付体积。本文基于 .NET 10 实现一个零配置的热重载服务器，核心代码不到 50 行。 依赖安装：dotnet add package PicoServer NuGet：https://www.nuget.or  ( 2 min )

上一篇我们介绍了 KV Cache：它把每一步重复的 K、V 计算存进缓存，让自回归推理的计算量骤降。 但这个加速不是没有代价的。KV Cache 的大小正比于多项参数，因此又反过来推动了注意力结构本身的改进。 这便是本篇内容：分组查询注意力（Grouped-Query Attention，GQA）  ( 3 min )

从零开始：如何将 Reasonix CLI 集成到 HagiCode 系统中 本文分享了将 Reasonix CLI 作为一等 Agent Provider 集成到 HagiCode 系统的完整技术实践，涵盖三层架构设计、关键技术决策和前后端实现细节。 背景 Reasonix CLI，说起来也是个挺

你是否曾幻想过，只用一个自然语言指令，AI就能帮你完成从需求分析到代码提交的整个开发流程？现在，这个幻想正通过MonkeyCode变为现实。 什么是MonkeyCode？ MonkeyCode是由长亭科技推出的企业级在线AI开发平台，已在GitHub上获得3.2k Star。它不仅仅是一个代码  ( 2 min )

本文基于 2026-06-09 对 OpenDeepWiki 与 AIDotNet/Means 生成页 的一次源码与页面抽检。样本里的生成配置是：目录由 gpt-5.5 生成，正文由 Mimo-2.5 生成；Mimo 侧累计消费约 1.3B token，总成本约 39 RMB，折算约 0.03 RM  ( 2 min )

做过 on-call 的人都熟悉这几个瞬间： 半夜被一条告警吵醒，盯着手机想"这到底是真的挂了，还是又误报了"，爬起来开电脑、翻指标、看邻居机器，二十分钟过去，结论是"虚惊一场"。 新接了一个业务，要给上百台机器配一套监控，PromQL、阈值、持续时间、通知规则一项项点，一两个小时就没了。 新人来值

这两年，AI 编程工具的进化速度非常快。 从最早的代码补全，到现在的 Claude Code、Codex、Cursor、Cline、OpenCode，各类 Agent 已经不只是“帮你写一段函数”了。它们可以读项目、改代码、跑命令、调用工具、分析报错，甚至连续执行一整套开发任务。 这当然很爽。 但问  ( 3 min )

出色的开发工作有着一套固定节奏：构思、尝试、检查、调整。本月的 Visual Studio 更新便贴合了这套开发节奏。无论您是在修改任何文件前借助 Plan Agent 拟定开发思路，评审多个文件的改动内容，还是精细调校 Copilot 的工作上下文，五月版本更新在从想法落地到修改定稿的过程中增设了  ( 2 min )

把判断留给 Skill、把鉴权与执行收敛到 CLI，经验才会从文档沉淀成稳定交付链路。 原文链接：AI小老六 导语 团队里经常会出现一种很尴尬的能力：大家都知道这件事怎么做，也有人能把它讲清楚，可它始终停留在"得找熟人问""得翻上次会话记录"这种状态。看上去经验很多，真正能稳定复用的却不多。 在 A  ( 2 min )

调用`IChatClient`的`GetResponseAsync`或者`GetStreamingResponseAsync`方法时，我们通常会传入一个`ChatOptions`对象来控制运行行为。`ConfigureOptionsChatClient`利用指定的委托对象来动态设置`ChatOpti...  ( 3 min )

Codex简介 AI时代真的风水轮流转，前段时间最火的还是Claude Code,转眼间Codex就火得一塌糊涂。 Codex是由OpenAI 推出的AI智能体。 起初呢主要用于编程开发，后面慢慢进化成了通用智能体。界面和操作对于小白来说可谓是非常友好。 它不仅能回答问题，编写代码，还能读取电脑本地  ( 2 min )

I was having a strange error with my DJI Air3s drone, it was reporting that I wasn’t connected. Then after I try to connect typing my email (and confirming the agree checkbox) it was reporting “Check network” error. And it no matter which WiFi network or hotspot I use, it always was reporting this error. … Continue reading Fixing the DJI RC2 login error “Check network” →  ( 11 min )

No content preview

No content preview

No content preview

No content preview

No content preview

A small GraphQL behavior created a very real availability problem. Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

A small GraphQL behavior created a very real availability problem. Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

curl disclosed a bug submitted by byteray_ltd: https://hackerone.com/reports/3788506

curl disclosed a bug submitted by kalfkinen: https://hackerone.com/reports/3786077

Ruby on Rails disclosed a bug submitted by ooooooo_q: https://hackerone.com/reports/2389431

curl disclosed a bug submitted by byteray_ltd: https://hackerone.com/reports/3788506

curl disclosed a bug submitted by kalfkinen: https://hackerone.com/reports/3786077

Ruby on Rails disclosed a bug submitted by ooooooo_q: https://hackerone.com/reports/2389431

升级到 EF Core 8 后，原本文能正常运行的 Contains 查询可能因生成 CTE 语法且缺少前置分号，而触发 SQL Server 错误（错误号 156）。这是 EF Core 8 有意引入的重大变更。为此，文章推荐使用参数化 Raw SQL、FindAsync 或内存过滤作为解决方案；...  ( 4 min )

开篇：GIS 的"数据富矿"与"效率洼地" 地理信息系统（GIS）是技术领域一个独特的存在。它的数据来源横跨卫星遥感、无人机航拍、激光雷达、物联网传感器、政府普查和众包采集，数据量以 PB 计，更新频率从年度到实时不等。它处理的不是抽象的数字，而是带有空间坐标的、与真实世界一一对应的信息——每一栋建  ( 2 min )

Pwn 时间跳跃 先用ida看看 普通的菜单题，第一个这个比较的是字符的1234，所以输字符，输入2有栈溢出，打ret2libc即可。exp如下： #!/usr/bin/env python3 from pwn import * import sys from ctypes import * #fr  ( 4 min )

在AI与微服务深度融合的开发场景中，传统智能体组件普遍存在对接方式单一、工具扩展困难、微服务适配性差、知识体系零散等问题，难以适配企业级复杂研发流程。基于云驿插件平台构建的AI Agent组件（开发助手智能体 AgentForge），打造了一套轻量化、高兼容、可扩展的智能开发解决方案，既支持本地工具  ( 1 min )

有硬件恢复圈朋友找到我,说硬件恢复之后dbv报dbv-00102错误,让我给看看是否可以处理 这个是oracle dbv中一种常见错误,一般是由于block 0 不对,或者是由于文件大小不对引起,让把恢复文件发给我,进行检查 SQL> select name,bytes/1024/1024/1024

DDD 领域驱动设计思想原理 本文聚焦 DDD 的思想内核与分层框架，主要在于搞清楚"DDD理论原理是什么？" 、"DDD 为什么这样设计？“ 一、DDD 想解决的核心问题 领域驱动设计（Domain-Driven Design，DDD）由 Eric Evans 于 2003 年在同名著作中系统提出  ( 7 min )

说到执行动态脚本，大多使用Lua、Python、JS等语言，为什么没有SQL动态脚本语言呢？现在它来了！ AScript是一个开源的C#动态脚本解析执行引擎，支持扩展多种脚本语言，2026年6月8日正式发布了SQL脚本语言AScript.Lang.Sql，快来试试吧！ 一、介绍 支持SqlServe  ( 5 min )

当Agent决定“改造环境”：记一次因弱模型作弊导致的实验数据全零事件 故事背景 最近有一篇论文在做实验，发现了一个很有趣的实验现象，那就是我的最弱的模型所在的对照组，其中最复杂的测试对象——PaddlePaddle库总是所有数据都是0。 这篇论文的一个核心任务是让大模型针对某一个被测Python库  ( 1 min )

AI Prompt 工程化设计最佳实践 一份面向软件工程师的 Prompt 设计方法论，适用于任何需要系统化、工程化提升 LLM 输出质量的场景。 涵盖从简单问答到复杂的多阶段生成流水线的通用原则。 目录 核心理念：把 Prompt 当作代码 原则一：Plan-and-Prompt 分离 原则二：多  ( 6 min )

AI Coding 压缩了写码环节，却把瓶颈转移到 边界澄清、质量把关、跨角色协同 和 ​上线决策​。 原文链接：AI 小老六 很多团队最近都有同一种错觉：​代码明显写得更快了​，需求却没有同样幅度地更早上线。人没有更闲，反而更容易被多个需求、多个 Agent、多个评审点位同时拉扯。 这不是工具失灵  ( 2 min )

一个困惑 先来思考一个看起来很简单的问题。 下面这两行代码之间，发生了什么？ let message = '你好' // ... 某个时刻 ... message = '再见' // ← 这一行执行之后 // ↑ // 如果页面上显示了 message， // 框架是怎么知道它变了、并且更新页面的？  ( 4 min )

Cloud Agent 开发笔记(4)：Skill 与 MCP 集成、项目后记 上一篇讲了 Agent 事件如何推到浏览器、数据如何持久化、多会话和中断如何处理。这一篇讲能力扩展层：Skill 系统和 MCP 集成。 V1 验证的是产品形态：由管理员角色集中创建和维护 Skill、配置 MCP 连接  ( 4 min )

开源：把自己"博客转推文"蒸馏成一个 Agent Skill 写完一篇博客，最累的往往不是写，是后面那一遍遍的“再分发” 同一篇文章，要拆成 Twitter/X 上一条短而锐的帖子，还要改一版更职业化的 LinkedIn。每次都得重新找那个最值得传播的观点、抠平台字数、判断要不要蹭热点、再配张图。这  ( 1 min )

前言 在我和GPT探讨了很多天的人生之后，他终于说动了我，让我开启迟迟不想动笔的高可用系列。感谢GPT们让我从大量繁琐技术文档中解放出来，让我有时间进行真正的思考。写博客对我来说最大的收益是强制自己思考，如果连博客本身都被GPT代劳，那还不如不写。所以本文文字AI含量基本为0，纯手敲，顶多听取了一些  ( 1 min )

热点随笔： · 通过 CC Switch 本地路由让 Codex CLI 接入 DeepSeek 等第三方模型 (JaguarJack) · Codex新手保姆级教程：新手从安装到跑通第一个项目！ (狂师) · 沪漂五周年了：我越来越迷茫了 (程序员海军) · 十年后回头看，2026 年或许是程序员  ( 1 min )

老铁们，你还在搭建复杂的自动化测试框架？ 还在手写大量定位、断言、报告？ 还在让团队被重复回归测试拖垮效率？ 别急，今天给大家带来 browser-use 官方出品的终极测试平台 —— QA Use，一款真正面向测试团队、开箱即用的 AI 驱动 E2E 测试系统。不用写代码、不用搭环境、不用维护脚本  ( 3 min )

Hello Raccoonians, Continue reading on Medium »

Hey hey : ) Continue reading on Medium »

Hello raccoonians, Continue reading on Medium »

Continue reading on Medium »

Hey Guys and Welcome Back 👋 Continue reading on Medium »

Welcome to Part 2. If you haven’t read Part 1 yet, start there : LINK Continue reading on Medium »

1. Introduction Continue reading on Medium »

The hunter who collects the most URLs doesn’t win. The hunter who collects URLs nobody else has — wins.Every tool in this article has been… Continue reading on Medium »

Series: Web3 Security Zero se Advance 🛡️ | Article #12 By HackerMD | 25 min read Continue reading on Medium »

While doing some bug bounty hunting, I found a serious IDOR (Insecure Direct Object Reference) flaw on a massive e-commerce platform. It… Continue reading on Medium »

Here’s what I was doing wrong and how I fixed it. Continue reading on Medium »

The most advanced firewall in the world cannot stop a well-crafted phishing email that makes someone panic. Continue reading on Medium »

1. Overview Continue reading on Medium »

If you spend five minutes on tech Twitter or LinkedIn right now, you’d think securing AI agents requires an entirely new branch of… Continue reading on Medium »

curl disclosed a bug submitted by torkd1: https://hackerone.com/reports/3785919

curl disclosed a bug submitted by maxhearnden: https://hackerone.com/reports/3780733

curl disclosed a bug submitted by torkd1: https://hackerone.com/reports/3785919

curl disclosed a bug submitted by maxhearnden: https://hackerone.com/reports/3780733

No content preview

No content preview

No content preview

No content preview

No content preview

Learn the exact Windows enumeration process for OSCP, including WinPEAS analysis, credential hunting, token abuse, service… Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

No content preview

No content preview

No content preview

Learn the exact Windows enumeration process for OSCP, including WinPEAS analysis, credential hunting, token abuse, service… Continue reading on InfoSec Write-ups »

No content preview

本文介绍一种让大语言模型制作幻灯片的实验性思路。通过定义一套极简的 XML 标签语言 SlideML，让模型输出页面描述，再由确定性渲染引擎真实绘制，并利用测量到的实际数据回传给模型，形成一轮一轮的调整优化。  ( 8 min )

绝大部分的Agent都采用对话的方式来和用户进行交互，所以对话的内容就成了Agent决策的基础，对话历史也成为占据LLM上下文窗口的主要内容。LLM推理的质量并非与上下文的丰富程度成正向关系，有时候过多的上下文信息反而会干扰Agent的判断，导致它做出错误的决策。`ReducingChatClien...  ( 3 min )

在PyTorch中，数据集(Data Set)和数据加载器(Data Loader)是实现深度学习模型和测试的基本组件。下面将首先介绍数据集(Data Set)和数据加载器（Data Loader）的概念，然后介绍如何创建和使用PyTorch中的数据加载器的一些步骤和示例。  ( 3 min )

身份验证是每个后端项目的“第一道门”，但往往也是劝退新手的第一大坑。本文不讲虚的，以一个全栈工程师的真实踩坑视角，带你梳理 FastAPI 身份验证与用户管理的最优解—— FastAPI Users 库，从安装、实战到选型建议，一条龙拆解。如果你正被 JWT、Cookie、数据库迁移搞得头秃，这篇“...  ( 2 min )

编译 1. 测试能否进入 PostgreSQL 先执行： sudo -u postgres psql -c "SELECT version();" 如果能输出 PostgreSQL 版本，说明数据库服务正常。 2. 创建 TPC-H 测试数据库 你当前 Linux 用户是 username，先检查  ( 8 min )

GNU GCC 为编写跨平台代码提供了多种支持，今天要讲的就是其中一种叫“多版本函数”的技术。 什么是多版本函数 多版本函数指的是可以为同一个函数在不同的处理器平台或者指令集下编写不同的实现，程序在运行时会自动选择一个最合适的实现作为这个函数真正运行的实体。 文字解释可能比较抽象，我们拿具体的cpp  ( 2 min )

在线体验：geekformat.com/zh-CN/pdf/edit（不用注册、不上传文件，浏览器里就能玩） 故事开头 老板：这份 50 页的合同 PDF，你帮我在每页右下角加个页码，再把所有"乙方"的位置画个箭头。 你：好的（熟练打开 Adobe Acrobat 准备买会员）。 老板：用免费  ( 10 min )

前言 在用 deepagents 做 Chatbot 的时候，有个最基本的需求：Agent 得记住上一轮聊了什么。你不能每轮对话都让用户重新自我介绍一遍。 LangGraph / DeepAgents 内置了一个叫 checkpoint 的机制来处理这个事。开发阶段用 MemorySaver 跑跑  ( 3 min )

博客地址：https://www.cnblogs.com/zylyehuo/ 一、问题描述 在 Ubuntu 20.04 系统中连接 HC-05 蓝牙串口模块时，Windows 系统可以正常连接，但 Ubuntu 系统中会出现蓝牙可以搜索到、PIN 码输入正确、设备可以配对成功，但是连接后立即断开的  ( 5 min )

目录环境配置安装 HailoRT安装 Hailo-OllamaPython 环境启动 Hailo-Ollama 服务实现 RAG 应用1. 引用相关包2. PDF 文档处理3. 文本切分4. 向量化和存储5. 自定义 HailoChatOllama 类6. RAG 链的组装LoRA 微调1. 微调2  ( 5 min )

板卡型号：rk3576 rk3588 内核版本：6.1 注意：需要将天线都接到，共4个天线及sim接好 RM500U模式说明：支持 3 种通信模式： USB 模式、基于 USB-AT 的 PCIe 模式和基于 eFuse 的 PCI e 模式， 本次测试是基于 USB-AT 的 PCIe 模式 1、  ( 1 min )

​前面两篇文章分别介绍了根据消息数量截断历史对话和根据Token长度截断历史对话，可是这两种方式有两个共同的问题： 1、被删去的早期记录可能包含关键信息，直接截断会导致信息丢失。 2、原始的对话记录可能存在重复、冗余、拖沓的文字内容。 一、为什么要对原始记录做摘要 要知道，重复、冗余、拖沓的文字内容  ( 2 min )

一、Managed Agents 原理 1.1、诞生背景：从 “单体” 走向 “全托管” 随着大模型工具调用与自主决策能力持续升级，AI Agent 已逐渐深入研发各落地场景。 但单体 Agent 普遍存在「架构耦合、运维成本高、无法团队协作、能力沉淀复用难」等痛点，分析原因为： 多数单体 Agen  ( 3 min )

这是一篇学习笔记，分享给大家，如果大家喜欢，也会开启USB的专辑 一、为什么要学习 USB 协议 USB 是 Universal Serial Bus 的缩写，中文通常叫通用串行总线。它是电脑、手机、工控机、单片机开发板和各种外设之间最常见的连接方式之一。 在嵌入式开发中，USB 常用于： 虚拟串口  ( 6 min )

从GPT-1的诞生到ChatGPT的横空出世，AI从专家的实验室走进了每个人的日常，这背后是数据、算力与算法长达七十年的厚积薄发。  ( 1 min )

Lab 1 Walkthrough: Unprotected Admin Functionality Continue reading on Medium »

Unauthenticated IDOR in HubSpot HubDB Legacy API — Allowed Full Data Modification & Live Publishing ($X,XXX) Continue reading on Medium »

One of the Most Dangerous Web Vulnerabilities Continue reading on Medium »

A few weeks ago I was poking around CTF platform. What I found was a pretty embarrassing vulnerability: any registered user could give… Continue reading on InfoSec Write-ups »

When the web application fetches things on your behalf — and you realize you can control what it fetches. Part 1 of the SSRF series. Continue reading on MeetCyber »

Password security remains one of the biggest challenges in cybersecurity. Continue reading on Medium »

Introduction Continue reading on Medium »

A company spent years securing its platform. Continue reading on Medium »

A 72B model. Honest results including what broke. Here’s the full story, and why the repo is public anyway. Continue reading on Medium »

For months, I hunted for vulnerabilities across countless websites. Continue reading on Medium »

Introduction Continue reading on Medium »

Really cool instructions and 3D parts provided:  ( 11 min )

1 həftə əvvəl gecə saat 2-də driver research edərkən birdən ağlıma hər gün gözümün qabağında olan, hər gün istifadə etdiyim mousemin… Continue reading on Medium »

Having the Red Team and the Blue Team working in silos limits the effectiveness of your cybersecurity program. Collaboration between… Continue reading on Medium »

This was my most enjoyable lab so far. The blog will contain the notes I took while mid-lab to give a picture of what was going on in my… Continue reading on Medium »

Why developers hide code, how attackers abuse it, and how security professionals can analyze it. Continue reading on Medium »

Hello, I’am Sho. วันนี้ผมจะมารีวิว Certificate | CRTA ที่ผมสอบพร้อมกับความรู้ AD ที่เรียนมา 1 สัปดาห์ 5555555555 Continue reading on Medium »

Lateral Movement vs Pivoting — I Used to Think They Were the Same Thing Continue reading on Medium »

Blog 6 of “Mastering Active Directory — Simplified.” Continue reading on Medium »

Blog 5 of “Mastering Active Directory — Simplified.” Module 1 covered the architecture of Active Directory. Module 2 is where we get into… Continue reading on Medium »

A single click should not carry the weight of your entire developer identity. Continue reading on InfoSec Write-ups »

Are you prepping for a cybersecurity market that does not exist ? Continue reading on InfoSec Write-ups »

No content preview

A single click should not carry the weight of your entire developer identity. Continue reading on InfoSec Write-ups »

Are you prepping for a cybersecurity market that does not exist ? Continue reading on InfoSec Write-ups »

No content preview

curl disclosed a bug submitted by awofjawofjfawf: https://hackerone.com/reports/3781305

curl disclosed a bug submitted by fanhua: https://hackerone.com/reports/3749428

curl disclosed a bug submitted by alphalaab: https://hackerone.com/reports/3766392

Nextcloud disclosed a bug submitted by pirikara: https://hackerone.com/reports/3483708

Nextcloud disclosed a bug submitted by priyanka010: https://hackerone.com/reports/3489490 - Bounty: $2500

Nextcloud disclosed a bug submitted by alper_ozturk: https://hackerone.com/reports/3625210

curl disclosed a bug submitted by awofjawofjfawf: https://hackerone.com/reports/3781305

curl disclosed a bug submitted by fanhua: https://hackerone.com/reports/3749428

curl disclosed a bug submitted by alphalaab: https://hackerone.com/reports/3766392

Nextcloud disclosed a bug submitted by pirikara: https://hackerone.com/reports/3483708

Nextcloud disclosed a bug submitted by priyanka010: https://hackerone.com/reports/3489490 - Bounty: $2500

Nextcloud disclosed a bug submitted by alper_ozturk: https://hackerone.com/reports/3625210

In web security, we often look at vulnerabilities hidden deep within backend code or API endpoints. However, some of the most clever… Continue reading on Medium »

Author : Nilanjan Chowdhury Continue reading on Medium »

06 — L5: WindowManager Occlusion — showWhenLocked and Friends Continue reading on Medium »

05 — L4: Biometric Framework — The HAL Is the Whole Story Continue reading on Medium »

By Divakar Vasani Continue reading on Medium »

By Divakar Vasani Continue reading on Medium »

It’s not skill. It’s not luck. Here’s the actual difference. Continue reading on Medium »

The bug class your URL validator was never going to catch Continue reading on Medium »

🛑 Lab 7: SameSite Lax bypass via method override Continue reading on Medium »

I don’t write about certifications I haven’t used in the real world. Continue reading on Medium »

This write-up is based on a training scenario from LetsDefend and is shared for educational purposes only. Continue reading on Medium »

Ağda iki tür adresimiz olduğunu öğrendiğimde — IP ve MAC — aklıma bir soru takılı kalmıştı: “Madem IP adresi var, MAC adresine ne gerek… Continue reading on Medium »

For 30 days I left two deliberately vulnerable servers exposed on the open internet one in London, one in Bangalore and recorded… Continue reading on Medium »

第一篇：PowerMem 记忆系统的遗忘设计，从神经元到代码工程 上一篇 PowerMem 记忆系统的遗忘设计，从神经元到代码工程 从认知科学的角度聊了遗忘机制，包括突触可塑性、艾宾浩斯遗忘曲线、间隔重复和理想的困难。都是一些很有意思的认知学理论。 这一篇换个视角，以一条消息的流转路径为线索，跟踪它  ( 5 min )

铁王座从不是永恒的。当OpenAI与Anthropic疯狂封锁+86、猎杀中文开发者时，它们不知道——真正的“凛冬”，正由那些被它们亲手推开的弑君者带来。 凛冬已至，疯王犹在炉边添野火 《权力的游戏》里，史塔克家族世代传诵一句警言：“Winter is Coming.” 凛冬降临时，长城之外的白鬼会  ( 1 min )

一、从一次"差口气"说起 老陈做了五年前端，最近接了个全栈私活：Python 后端加 React 前端，登录、注册、JWT、邮箱验证，外加一个管理后台。 听起来不大。干起来才发现处处别扭。 本地跑得挺顺的代码，一推到线上就报错。pip install 装出来的版本和 lock 文件对不上，celer  ( 23 min )

你有没有遇到过这种令人抓狂的情况？和 AI 智能体聊了半天，它帮你计算了复杂数据、处理了多个文件，结果你下一句问 "刚才算的结果是多少？"，它却一脸茫然地说 "抱歉，我不记得之前的对话了"。 这就是 AI 最让人头疼的 "先天性失忆症"——默认情况下，所有大模型和智能体都是无状态的。每次 API 调  ( 2 min )

前言 题目传送门 Luogu P2801 教主的魔法 。 好题，将分块的精髓——整块维护，局部暴力——体现得淋漓尽致。 题意 给定 \(n\) 个数，实现以下两种操作： M L R W ，表示将 \([L,R]\) 内每个数加上 \(W\) 。 A L R C ，表示询问 \([L,R]\) 内有多  ( 3 min )

一、为什么要单独理解 Slash Command 用 Agent 做事时，经常会遇到以 / 开头的输入： /help /new /model /skill markdown-to-wechat-richtext 这类输入就是 Slash Command。 它看起来像一句聊天消息，但本质上更接近“命令  ( 5 min )

2022年，索尼AI车手GT Sophy在《GT赛车》里，用比人类冠军快2秒的圈速证明：AI已经能在公平竞争中“征服”赛道。就像围棋国手古力9岁时赢了父亲古巨山，从此父亲的角色从“对手”变成“陪练”——未来的AI，或许就是那个永远比人类强的“棋王父亲”。而这个“超越时刻”，可能比我们想象的更近。 一  ( 1 min )

谨以此篇Blog记录我的大学四年生活. 我们这一届学生是刚好大一的时候ChatGPT开始出名, 然后AI快速发展, 到现在快毕业了, Claude都厉害成这个样子了 一个南方四非计算机学生的记录, 较多踩坑, 少量信息差. 即使是这样卷也没有看到所谓的光明未来, 研究生完全不一定是我需要的, 只是本  ( 2 min )

superpower 是开源社区非常出名的 harness 框架， 我们在本文通过数栈产品 easyIndex 的复杂需求实现来探究 superpower 的价值。  ( 2 min )

莫比乌斯反演 学习笔记 因为在 NDPC 中发现自己并不会莫比乌斯反演于是来学习了 目录莫比乌斯反演 学习笔记积性函数常见的积性函数狄利克雷卷积莫比乌斯反演求解莫比乌斯函数例题互质数对个数朴素做法反演做法优化：整除分块YY的GCD推导过程NDPC_L - LCM题意做法复杂度代码实现更进一步！ 积性  ( 6 min )

前置知识 语法树 AST 是 Abstract Syntax Tree，中文通常叫 抽象语法树。 在数据库里，用户写的 SQL 文本会先经过词法分析和语法分析，被转换成一种树形结构，这棵树就是 AST。它描述的是 SQL 的语法结构，而不是最终怎么执行。 例如 SQL： SELECT name, a  ( 10 min )

​上一篇文章说到按照消息数量来截断历史对话，这种方式有个问题，就是每次对话的内容可长可短，导致固定消息数量的对话内容忽长忽短。 历史对话内容不光要存入数据库，还要作为初始提示词发给下次新会话的大模型。太长的提示词不仅冗余，还会消耗大量Token，让用户钱包快速缩水。太短的提示词容纳的信息量不足，难以  ( 2 min )

似乎没有块门。 这题分块也是可以做的，时间复杂度 \(O(n\sqrt n)\) 是大手子 @ 在场上想出来的，非常浅显易懂也好码。 首先对修改分块，每一次修改到块的最右边的时候，对块进行构造。具体的说，将块内修改的 \(l\) 和 \(r+1\) 离散化并且记录 \(1\sim n\) 每一个点的  ( 3 min )

一款接入20+免费大模型渠道的AI编程工具 我做了十几年游戏开发，从 Unity C# 做到 Unreal C++，后来又碰了不少自研引擎。去年开始深度用 Claude Code 和 Codex CLI 写代码——不是那种"帮我写个排序"的用法，是让它读整条渲染管线，跨十几个文件改逻辑，加物理调试工  ( 3 min )

P15799 [GESP202603 五级] 找数 题目传送门:https://www.luogu.com.cn/problem/P15799 题目背景 对应的选择、判断题：https://ti.luogu.com.cn/problemset/1209 题目描述 给定一个包含 n 个互不相同的正整数  ( 2 min )

平台：rk3576 方案：原生bt1120 tx接nvp6021芯片 转为ahd信号 接ahd显示屏幕 1、硬件确认 1.1 rk3576 bt1120硬件确认 查阅硬件设计指南可以确认 rk3576是支持 16bit bt1120模式 ，最高支持1080p60Hz。 对应引脚可以查阅引脚设计指南或  ( 6 min )

2016年，AlphaGo的胜利让AI成为全民话题，但这并非凭空降临，而是机器学习、图像识别、自然语言处理等多项基础技术二十年来不断积累与融合的结果。  ( 1 min )

2026 年 6 月，Linux 基金会旗下的[智能体 AI 基金会（AAIF）正式接纳 AgentGateway 为第四大核心托管项目](https://aaif.io/blog/agentgateway-joins-aaif-as-an-open-gateway-for-agentic-ai-i  ( 2 min )

四、 事件的循环和异步 半年前写的这个js的事件系列，一直没完结。中间又写了个V8引擎入门的系列，也写到了执行部分。先把这个js事件系列写完。事件本身是强依赖浏览器的，尤其是循环和异步，所以在深度上，可能会比前三部分略微深入一点。对V8感兴趣的朋友可以看我写的另一个系列 V8引擎精品漫游指南 。 这  ( 18 min )

背景 考虑这样一个问题： 给定 \(n, r, p\) ，求 \[\binom{n}{r} \bmod m \]不保证 \(m\) 是质数。\(1\le r\le n\le 10^{18}\)。 显然此时普通 Lucas 定理就无能为力了。这时需要用到扩展 Lucas 定理（exLucas）。 前置  ( 5 min )

XCPC 2026 WEEK 14 C - Quadratic Jumps tag(s): math, brute force CodeForces - 2231F 首先由 Fermat Polygonal Number Theorem，答案不会超过 4。 考虑什么时候答案为 1，直接检测 \(b  ( 6 min )

多Agent开发笔记:为什么4个Codex加1个Claude会把9700X跑满 好家伙, vscode里开了四个codex拓展 + 一个 claude把我cpu吃满了,不是哥们,我9700X啊 按理说,8 核 16 线程的桌面 CPU,日常开发应该不算弱. 但我同时开了: 4 个 Codex 1 个  ( 4 min )

tldr: 1、好 prompt 是激活正确分布：底层原理 2、对于强 agentic 模型，过度规则会造成模型开始“执行规则”，而不是进入状态：不同模型，不同策略 3、编写prompt的采样也是在挖掘自己的真正需求：模型可以走多远、现在这个路径是不是正确的？ 4、模型采样输出prompt和对应回答  ( 3 min )

声明：本文在写作过程中使用了AI辅助工具进行资料整理、结构优化与语言润色。核心观点、技术判断与工程经验均为作者原创。 一、问题：卡在渲染层 项目里有这样一条链路：用 LLM 按指定的 schema 抽取领域数据（structured output），拿到结构化数据后，前端写代码把它渲染出来： typ  ( 3 min )

AiInsight 问数框架将大模型、技能包、数据源、工艺知识库和工具执行统一到一个智能体流程中。用户可以用自然语言或明确命令发起任务，系统根据已选大模型、技能、数据源、文件和知识库构造上下文，分步骤完成数据查询、工艺推理、脚本分析和报告生成等过程。  ( 2 min )

做测试的同学都知道，用例评审是个"苦力活"。 每次需求变更，都要手动对比：现有用例覆盖了哪些功能点？需求里的功能是否还有遗漏？边界条件考虑了吗？异常场景测了吗？ 拿着Excel用例，对着几十页的PRD文档，一条一条核对，眼睛看花了不说，还容易漏。更要命的是——评审结果全靠人工判断，不同人评审标准还不  ( 1 min )

做 Manim 动画时，我想让抛物线 $ y=x^2+bx+2 $随着系数 b 的变化，自动、精准地显示它与 x 轴的交点。 手写求根公式不仅繁琐，还要自己处理判别式为负的情况，稍不注意 math.sqrt 就会让整个动画崩溃。 本文我们就用 SymPy 彻底解决这个痛点。 1. 痛点场景还原 假设  ( 3 min )

自建 Copilot Cli 代理：让 GitHub Copilot 真正"Bring Your Own Key" Github: https://github.com/wosledon/copilot-auto-byok 一个基于 .NET 10 的轻量级模型代理，解决 Copilot Cli 只  ( 2 min )

在 AI 训练、数据集管理等大规模文件访问场景中，随着文件数量和访问并发增加，元数据层往往更早成为性能瓶颈。无论是删除百万级小文件、克隆大规模数据集，还是高并发目录遍历，元数据引擎的响应能力都会直接影响上层业务效率。 JuiceFS 社区版 1.4 在元数据引擎层面引入了三项优化：批量删除（Batc  ( 2 min )

从口袋里的手机屏幕，到工厂里不知疲倦的生产线；从农田里监测土壤的探头，到管道中识别介质的开关，电容传感器早已成为现代社会中 “看不见的感知触手”。它无需物理接触，却能感知万物的细微变化，以多样的形态适配着消费电子、工业控制、农业监测等无数场景，渗透到我们生活与生产的每一个角落。  ( 4 min )

你是不是也有台旧安卓在抽屉里吃灰？其实只要装上Termux，再跑个FileBrowser，十分钟就能变成一台7×24小时在线的私人云盘，再也不用忍受网盘限速和和谐。这篇文章不仅手把手带你实战搭建，还会横向对比几种常见方案，把我踩过的坑、最稳的配置一次讲清楚，让你少走冤枉路。  ( 2 min )

公网镜像中心 Docker Hub 和阿里云都是Docker 的公网镜像中心，用户可以将镜像push到镜像中心的镜像仓库里，可以将仓库设为私有库，他人无法访问，保证镜像安全。 但是，实际工作中，一般在公司内部搭建一个私有镜像中心。 发布镜像到阿里云 注册一个阿里云账号，并完成实名认证 创建镜像中心实  ( 2 min )

我有一点隐隐的不安：AI时代，知识会不会被少数人“圈养”起来？ 引言 在这个大模型发展日新月异的时代，国内外的模型层出不穷——国外有GPT、Claude、Gemini，国内有GLM、Qwen、Minimax等等。它们帮我们处理很多事情，让我们能更高效地应对生活。 但大模型越来越强大，人们也越来越依赖  ( 2 min )

说实话，我第一次看到 Claude Code v2.1.139 的 changelog，以为只是个普通版本更新——新功能扫了一眼，Agent 视图和 /goal 命令，感觉不就是「任务管理器」和「批量执行」嘛，有什么大惊小怪的。 结果真正用了两天，才发现自己浅了。 这次更新不是在 Claude Co  ( 3 min )

今天，是我来上海沪漂的第五年。 五年前刚来上海的时候，我心里更多是兴奋。那时候觉得，只要自己肯学、肯卷、肯熬夜，把 Vue、React、Node、小程序、工程化这些东西学明白，在大城市站稳脚跟应该不是一件特别难的事。 现在五年过去了，我从前端做到全栈，又开始往 AI 应用方向转。我做过 AI 查询、  ( 1 min )

把低频 Skill 变成可检索冷存储，让 Agent 按需找回能力，省上下文也更稳。 原文链接：AI小老六 导语 Agent 的能力越来越像一个小型操作系统：它能读文件、调接口、写代码、查日历，也能按团队经验执行一套固定流程。Skill 就是把这些经验沉淀下来的常见方式。 问题也随之出现。Skill  ( 3 min )

MySQL-Seconds_behind_master的精度误差 前言 Seconds_behind_master是我们观察主从延迟的一个重要指标。但任何指标所能表示的精度都是有限的。例如用精度只能到秒的指标去衡量毫秒级的表现就会产生非常大的误差。如果再以此误差去分析问题，就会让思维走上弯路。例如用  ( 2 min )

我们知道LLM的调用不仅仅是一个耗时的操作，还会产生一定的费用，所以我们希望能够尽可能地减少不必要的调用。`CachingChatClient`就是为此而生的一个中间件实现，它通过在内存中维护一个缓存来存储之前调用LLM的输入和输出，从而避免了对相同输入的重复调用。当我们调用`GetResponse...  ( 3 min )

从AlphaGo的棋局到日常的对话与绘画，我们正享受着AI带来的便利，但你是否想过，这位无所不能的‘大脑’，是如何从七十年前那个夏天的纸上谈兵，一步步成长起来的？  ( 1 min )

Don’t let link previews pwn your infrastructure — a complete security guide. Continue reading on Medium »

Learn how to discover undocumented APIs, enumerate endpoints, uncover exposed Swagger files, and build a complete attack surface map before Continue reading on OSINT Team »

Hackers don’t always crack passwords. Sometimes they just click “Forgot Password?” and walk right in through a broken back door. Continue reading on OSINT Team »

When you log in to a website, you don’t have to enter your username and password on every page. Continue reading on OSINT Team »

Chaining SVG XXE, source code disclosure, Apache misconfiguration, and EXIF injection to achieve remote code execution. Continue reading on MeetCyber »

I had 47 tools installed. Found nothing. Changed three habits. Started finding bugs. Continue reading on Medium »

Master WSL 2 for cybersecurity and development. Learn how to install it, optimize its resources, and run essential commands. Continue reading on Medium »

Don’t let link previews pwn your infrastructure — a complete security guide. Continue reading on Medium »

Security monitoring is one of those topics that seems overwhelming at first. Continue reading on Medium »

Windows CMD-Only Low-Noise Enumeration Handbook Continue reading on Medium »

sqlmap -r request.txt --batch Continue reading on Medium »

Mapping process memory for calculated, stable execution Continue reading on Medium »

Enumerate and identify misconfigurations across Apache, Nginx, Node.js, and Python HTTP Server. Continue reading on Medium »

lab write-up Continue reading on Medium »

curl disclosed a bug submitted by argus-systems: https://hackerone.com/reports/3784125

curl disclosed a bug submitted by bagder: https://hackerone.com/reports/3717552

curl disclosed a bug submitted by bagder: https://hackerone.com/reports/3718265

curl disclosed a bug submitted by hamaowo: https://hackerone.com/reports/3776535

curl disclosed a bug submitted by bowen111: https://hackerone.com/reports/3776433

curl disclosed a bug submitted by skksndk: https://hackerone.com/reports/3774977

curl disclosed a bug submitted by azraelxuemo: https://hackerone.com/reports/3766065

curl disclosed a bug submitted by argus-systems: https://hackerone.com/reports/3784125

curl disclosed a bug submitted by bagder: https://hackerone.com/reports/3717552

curl disclosed a bug submitted by bagder: https://hackerone.com/reports/3718265

curl disclosed a bug submitted by hamaowo: https://hackerone.com/reports/3776535

curl disclosed a bug submitted by bowen111: https://hackerone.com/reports/3776433

curl disclosed a bug submitted by skksndk: https://hackerone.com/reports/3774977

curl disclosed a bug submitted by azraelxuemo: https://hackerone.com/reports/3766065

No content preview

No content preview

You stumble on a login page. No “Register”, no “Forgot Password”. Just two lonely text boxes staring back at you. Most hunters give up… Continue reading on InfoSec Write-ups »

No content preview

No content preview

You stumble on a login page. No “Register”, no “Forgot Password”. Just two lonely text boxes staring back at you. Most hunters give up… Continue reading on InfoSec Write-ups »

Researcher: Hashem Ali Kahil / Orion7715 Continue reading on Medium »

Author: Shikhali Jamalzade GitHub: github.com/alisalive LinkedIn: linkedin.com/in/camalzads Continue reading on Medium »

Lab 1: CORS Vulnerability with Basic Origin Reflection Continue reading on Medium »

Concurrency is the cheapest way to wedge a state machine apart. The window is never the bug. Continue reading on Medium »

Cross-Site Request Forgery (CSRF) is one of the most critical web vulnerabilities that allows an attacker to induce users to perform… Continue reading on Medium »

A practical breakdown of real-world defenses that stop file upload attacks when implemented together. Continue reading on MeetCyber »

I’ve been integrating OnScanner into my workflow recently as part of external security assessment and bug bounty reconnaissance, and it… Continue reading on Medium »

A few months ago, I was looking at a private program on Bugcrowd that managed financial data for enterprise clients. The scope was massive… Continue reading on Medium »

السلام عليكم ورحمة الله Continue reading on Medium »

Difficulty: Easy | OS: Windows (Active Directory) Continue reading on Medium »

Introduction Continue reading on Medium »

Most people trust the service name Nmap gives them. Experienced testers treat it as a hypothesis. Continue reading on MeetCyber »

Vulnerability: CVE-2026–40072 Affected Software: web3.py Severity: High (CVSS 3.1: 7.5) / Medium (CVSS 4.0: 6.9) Patched Versions: 7.15.0… Continue reading on Medium »

Hey there, Continue reading on Medium »

Pendahuluan Continue reading on FMI Cyber Security Consulting Services »

lab write-up Continue reading on Medium »

Agent OS ：五种驯服不确定性的范式 目录Agent OS ：五种驯服不确定性的范式0x00 概要0x01 Part 1: 问题空间1.1 不确定性的六个来源1.2 三个独有问题1.3 跨领域全景：计算机中"驯服不确定性"的经典实践1.4 分布式系统深度对标1.4.1 8 个经典问题全景对照1  ( 13 min )

JIT 是 Just-In-Time Compilation，即“即时编译”。意思是：程序运行到某段代码时，才把原本解释执行的逻辑编译成 CPU 可以直接执行的本机机器码。PostgreSQL 文档给的典型例子是：不用一个通用表达式解释器去判断 WHERE a.col = 3，而是为这个具体条件生成  ( 7 min )

[Begin]AI Learn Data Day 0 最近一直在学 AI 全栈开发。关于全栈，略懂一二；关于 AI，则完全是个新手。 说到底我还没学完全栈，后端的内容比如 Redis 根本没学，只知道是个什么东西，教学视频太长看不下去。然后转到 AI 这边，或许因为是新方向的缘故，网上连一篇成体系的  ( 3 min )

上一篇我们看了现代大模型对归一化的改造。 RMSNorm 去掉了均值中心化，只保留均方根缩放：一个沿用多年的标准组件，拆开一看，其中一部分工作在现代整体架构中已经有些多余了。 本篇来看第二个改动：Transformer 架构中的 FFN (MLP) 层的重构，而其具体内容，需要先从激活函数说起。 1  ( 3 min )

如果，我是说如果，AI 取代你现在的工作。 金属机器人走进办公室，坐在你的工位上，抢走你的键盘，这是电影。 但在真实的商业世界里，这种事情往往悄无声息，你甚至以为，自己只是和往常一样，换了一份工作。 过去几十年里，大家形成的认知是掌握一样专业技能就可以作为职业的壁垒，并且这套逻辑在过往中，经过验证是  ( 1 min )

这不是一篇教你"怎么用 AI 写代码"的文章。 这是一篇关于程序员的核心竞争力，到底该往哪投的思考。 我是怎么开始想这个问题的 前几天，我用 Claude Code 做了一个实验。 从零开始，不写一行代码，纯靠自然语言描述需求，花了大约 2 小时，做出了一个完整的智慧校园 3D 数据大屏。 效果包含  ( 2 min )

Means：基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务 GitHub 地址：https://github.com/AIDotNet/Means 欢迎 Star ⭐、Fork、提 Issue 和 PR！MIT 开源协议，放心使用。 引言 对象存储已经成为现代云原生架构的基石。  ( 3 min )

我们团队提出了 LiveMoments，这是首个专门针对 Live Photo 重选封面帧画质修复的解决方案，已被 ICLR 2026 录用。 针对用户重选封面时面临的画质降级痛点，我们利用 Live Photo 自带的原始高清封面作为参考，构建了一个包含运动对齐模块的参考引导扩散模型。 该方法有效...  ( 2 min )

按照新版计费规则，Copilot Pro+订阅用户 6.1~6.2 短短两天，7000 内置 Credits 全额耗尽、10 美元附加预算全部透支，折算实际产生计费成本超 49 美元。海外开发者同样发文吐槽，3 天掏空月度全部代币。  ( 1 min )

三个月前，我第一次看到 superpowers 的时候，立刻觉得这东西有点厉害——14 个 skill 装进去，Claude Code 直接变成一套完整的软件工程流水线，TDD、代码审查、brainstorming 全覆盖。 GitHub 上已经 187K star 了，Medium 上的测评文章写  ( 3 min )

前言 本文主要描述Plan-and-Execute开发中的ReAct模式，并且使用一个demo，彻底搞懂怎么在实际工作中使用Plan-and-Execute模式 话不多说，我们开始 代码结构 代码地址 . ├── main.py # 主入口，串起规划、执行、分析三个阶段 ├── planner.py  ( 2 min )

还在为FastAPI打包后各种报错抓狂？本文不讲虚的，用最接地气的方式对比Linux和Windows下三种主流打包部署方式，从PyInstaller的各种坑到Docker的一键起飞，手把手教你如何根据场景选择，附上保姆级实操命令，让你的服务“稳如老狗”。  ( 2 min )

Cloud Agent 开发笔记(3)：Web 交互与数据持久化 上一篇搭好了 Agent 引擎和 Tool 体系：query() 能跑、Tool 能调、安全有 pathGuard 兜底。但这一切都是在服务端发生的。Agent 生产的事件怎么到浏览器？消息怎么存才能让用户刷新页面不丢？多个会话同时跑  ( 3 min )

用代码图谱重构 Agent 检索链路，让大仓库定位、调用链和影响面分析更稳更省。 原文链接：AI小老六 导语 代码 Agent 真正卡住的地方，往往不是模型不会写代码，而是它不知道该先看哪里。 面对一个陌生仓库，Agent 通常会先列目录，再搜关键词，接着打开几个文件，猜一个入口点，发现不对后再重复  ( 3 min )

一、项目背景 随着光伏电站规模不断扩大，传统的人工巡检和运维方式已无法满足电站高效运行的需求。特别是跟踪式光伏电站，核心依赖追日跟踪系统来最大化发电效率，对实时监控、故障预警和远程控制的要求更高。一个集数据采集、实时监控、报警管理、历史分析和远程控制于一体的智能运维平台，成为行业刚需。 我们基于 B  ( 2 min )

在众多预定义的`IChatClient`中间件中，`FunctionInvokingChatClient`无疑是最重要的一个，以至于没有它整个Agent就无法工作了。原因在于驱动Agent执行的核心机制的ReAct循环就是通过`FunctionInvokingChatClient`实现的，我们注册的...  ( 3 min )

2022年年底，ChatGPT横空出世，两个月月活破亿，成为人类有史以来增长最快的互联网产品。 一夜之间，全世界都在讨论AI，都想着和ChatGPT对话。 ChatGPT是一夜爆火，但并不是凭空冒出来的。 上篇文章《AI不是从天而降，它经历了七十年三起三落：读懂AI的第三课》，我们知道从1950年图  ( 1 min )

Let’s be real — you’ve hit that login wall more times than you’ve hit “snooze” on a Monday morning. Continue reading on InfoSec Write-ups »

No content preview

No content preview

Continue reading on InfoSec Write-ups »

No content preview

No content preview

JSON Web Tokens are everywhere — in cookies, Authorization headers, and API calls. Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

Let’s be real — you’ve hit that login wall more times than you’ve hit “snooze” on a Monday morning. Continue reading on InfoSec Write-ups »

No content preview

No content preview

Continue reading on InfoSec Write-ups »

No content preview

No content preview

JSON Web Tokens are everywhere — in cookies, Authorization headers, and API calls. Continue reading on InfoSec Write-ups »

No content preview

No content preview

No content preview

本文将深入浅出地讲解 JWT（JSON Web Token）在 .NET 8 中的应用。从原理到代码实战，手把手教你搭建用户登录接口颁发 Token，并配置 API 网关验证 Token，最终实现基于角色的接口权限控制，保护你的 API 不被非法访问。  ( 3 min )

MacOS 安装Seismic Unix ​ 目前，Seismic Unix 适用于Unix系统及其衍生系统，包括Ubuntu，RedHat等Linux发行版，苹果公司的Mac OS系统，微软Windows10 系统。 ​ 由于网上广泛存在的都是基于Linux系统的安装教程，而Mac OS作为时下科  ( 1 min )

一、为什么要谈 Harness Engineering 这两年，团队里关于 AI 的讨论很多，但真正落到研发现场，问题往往很具体： 为什么 AI 有时看起来很能干，有时又完全不靠谱？ 为什么它能写出一段像样的代码，却经常交不出一个可验证的结果？ 为什么同一个任务，换个人问、换种说法，结果差异会这么大  ( 5 min )

1. 价值实现 我越来越能理解，为什么有些员工在公司干得不错、待遇也还可以，但最后还是选择了离开。这背后其实是一个价值实现的问题。 举个例子：你和上级都想把领导交代的事情做好，但你们做事的方法完全不同。你信奉“第一性原理”，喜欢从根本上解决问题，追求无冗余、渐进迭代和可扩展；而在上级眼里，可能更看重  ( 1 min )

规则链系统 https://thingsboard.io/docs/user-guide/rule-engine-2-0/re-getting-started/?scriptfunctionfilterconfig=anonymous 规则节点总共分为6大类 Filter nodes 根据不同条件过  ( 14 min )

目录安装依赖添加环境变量加载环境变量定义工具创建 Agent发起调用完成代码如下 Python - UV 为每个项目创建独立、干净的Python工作空间 UV 中文文档：https://uv.doczh.com/ 安装依赖 cd D:\OpenSource\Python\VipLangChain #  ( 3 min )

App Service 应用经常需要访问外部服务，比如 Azure SQL、Redis、Storage 或第三方 API。很多人会以为应用是直接从 worker 实例访问公网，但实际上并不是这样。 App Service 的 worker 实例运行在 scale unit / stamp 内部，通常  ( 2 min )

以下是为你一次性整理的 20 个最难 C++ 概念 的详细文章。每条包含：核心概念、为什么难、代码示例、关键要点 和 版本演进。内容精炼但深入，适合中高级开发者。 1. 模板元编程 (Template Metaprogramming) 为什么难：把编译期变成图灵完备的“编程语言”，调试极差，错误信息  ( 3 min )

很多开发者接入聚合型 LLM API 后，会遇到一个很现实的问题：服务商只给账单接口，不提供 Web 管理后台。Token 消耗、扣费明细、成本趋势都藏在 JSON 里，看得见数据，却看不清变化。 按照上篇文章《氛围编程实战系列：先规划清楚学习路径》这个规划路径，我们今天就来用 AI 先开发一个 L  ( 2 min )

背景 如果你正在用 OpenCode，大概率听说过甚至用过 oh-my-openagent——一个为 OpenCode 提供多 Agent 编排能力的插件。它的核心思路非常好：意图门控、只读隔离、并行探索、结构化输出……属实把"让 AI 自己调度 AI"这件事玩明白了。 但问题也很头疼：太不稳定了。  ( 1 min )

​ 原文链接：https://mp.weixin.qq.com/s/gs-yR2R-ZTJeYx0r2ow1PA 欢迎关注公zh: AI-Frontiers RAG往期文章推荐 RAG效果差？7个指标让你的准确率大幅提升 RAG评测完整指南：指标、测试和最佳实践 收藏！RAG核心工具大全: 7大解析  ( 3 min )

更多Dash应用开发干货知识、案例，欢迎关注“玩转Dash”微信公众号 1 简介 大家好我是费老师。Dash作为流行的Python全栈应用开发框架，于近日刚发布了其4.2.0正式版本，在本次新版本中，新增了颇具里程碑✨意义的websocket型回调函数机制，使得我们可以在Dash应用回调函数逻辑  ( 2 min )

读《图解HTTP》：代理、网关、隧道与缓存到底是什么？ 本文是阅读《图解HTTP》第 5 章后的学习整理，结合个人理解做了少量补充。文中的流程图和表格用于概括本章概念，不使用原书截图，也不替代原书内容。 这篇文章解决什么问题 我们平时访问一个网站时，直觉上会以为浏览器直接连到了目标服务器。实际情况往  ( 2 min )

你在用 Manim 制作一次函数图像的对比动画时，是不是也遇到过这种麻烦：想直观展示不同斜率 k 和截距 b 对直线的影响，但每改一个参数，都得重新手算两端点坐标、重新算与坐标轴的交点，甚至要凭感觉“拉长”线段保证它贯穿画面。 改三组参数，工作量就翻三倍。 今天这篇文章，就是要彻底解决这个体力活。我  ( 3 min )

前言 最近在探索用 AI 辅助前端开发，尝试了一个有意思的实验：完全通过自然语言描述，让 AI 生成一个科幻电影风格的智慧城市 3D 数据大屏。效果出乎意料——不仅有完整的 Three.js 3D 城市场景，还有数据面板、交互控制、动画效果，而且代码质量远超预期。 先看最终效果： 济南市智慧城市大脑  ( 3 min )

Here is how I found a persistent authorization bypass in Gmail’s ‘Send Mail As’ feature, documented it with video proof, and got it closed… Continue reading on OSINT Team »

Hello everyone! Today I want to walk through an account takeover vulnerability I found recently. At its core, the issue was a CSRF… Continue reading on Medium »

What happens when the upload form is actually secure — and why that doesn’t mean you’re out of options. Part 6 of the File Upload Attacks… Continue reading on MeetCyber »

The new AI Bug Bounty Gold Rush Continue reading on Medium »

Hello! Some of you might know me (just kidding). Continue reading on Medium »

Here’s how to find them without overthinking. Continue reading on Medium »

While hunting for SQL Injection, I accidentally became the CEO of the Food Store. Continue reading on Medium »

It was late on a Friday night, and I was deep-diving into a private bug bounty program for a major B2B SaaS platform. Continue reading on Medium »

When the server stops trusting the filename and starts looking at what’s inside — and why that’s still not enough. Part 5 of the File… Continue reading on MeetCyber »

In the last article, we examined how nginx modules, a tool designed to serve web traffic, can be exploited by an attacker who has gained a… Continue reading on Medium »

How adversaries break AI systems, and how you build ones that fight back Continue reading on Medium »