它的应用面如此之广,以至于我们很难忽略它的存在。这篇文章的目的在于介绍当前 Electron 安全发展态势,更关键的是,最近 XZ 后门事件直接导致了供应链安全的担忧,虽然很多应用程序并不一定开源,但是这篇文章会给大家介绍一些通用的切实可行的检测措施,找出 Electron 程序可能存在的 XSS To RCE 和有危害的供应链威胁
本文讲述了作者在参加Discord众测的过程中,通过多个bug的综合利用,成功发现了Discord桌面应用的远程代码执行漏洞(RCE),收获了$5,300的奖励。
coze-discord-proxy 是一款代理Discord-Bot对话Coze-Bot,实现API形式请求GPT4对话模型/微调模型工具。
悬镜安全自研的开源组件投毒检测平台通过对主流开源软件仓库(包括Pypi、NPM、Ruby等)发布的组件包进行持续性监控和自动化代码安全分析,同时结合专家安全经验复审,能够及时发现组件包投毒事件并精确定位恶意代码片段,捕获潜在的供应链投毒攻击行为。
T3SF是一款功能全面的桌面端技术练习模拟框架,该工具针对基于主场景事件列表的各种事件提供了模块化的架构,并包含了针对每一个练习定义的规则集,以及允许为对应平台参数定义参数的配置文件。
随着AI浪潮的到来,ChatGPT独领风骚,与此也涌现了一大批大模型和AI应用,在使用开源的大模型时,大家都面临着一个相同的痛点问题,那就是大模型布署时对机器配置要求高,gpu显存配置成本大。本篇介绍的GPT4All项目,是开源的助手风格大型语言模型,可以在你的CPU上本地运行。
如果有这样一款 Discord 机器人,它既能访问互联网,又能绘画,还能给 YouTube 视频提供摘要。最重要的是,它是完全免费的,不需要提供 OpenAI 的 API Key,我就问你香不香?
2023 年,信息窃密木马纷纷涌现,既有 RedLine、Raccoon 和 Vidar 等这个市场中的重要玩家,也有 SaphireStealer 等刚入局的新玩家。近日,研究人员发现了新的信息窃密木马:ExelaStealer。ExelaStealer 最早在 2023 年 8 月被披露。
1.搭建开发环境 a.进入官网www.python.org,点击“Download”-“Windows”(或其他操作系统) 📷 b.选择Python版本下载(注意32位操作系统选:x86,64位操作系统选x86_64) 📷 三个版本的区别: web-based installer:需要通过联网完成安装 executable installer(推荐) :可执行文件(*.exe)方式安装 embeddable zip file:嵌入式版本,可以集成到其它应用中 c.按如下步骤安装: 选择“自定义安装” 📷 全
Retrieval-based-Voice-Conversion-WebUI 是一个基于 VITS 的简单易用的变声框架,具有以下特点:
r4ven是一款功能强大的用户敏感信息安全检测工具,该工具可以托管一个伪造的网站,而这个网站使用了一个iframe来显示一个合法网站的信息,如果目标允许其运行,那么它将会获取目标的GPS地理位置信息(坐标经纬度)、IP地址和设备其他信息。
OpenCopilot 是一个允许你拥有自己产品的 AI 副驾驶员的项目。它集成了产品底层 API,并可以在需要时执行 API 调用。它使用 LLMs 来确定用户请求是否需要调用 API 端点,然后决定调用哪个端点并根据给定的 API 定义传递适当的有效负载。其主要功能包括提供 API/后台定义、验证模式以获得最佳结果、将 API 定义输入 LLM 并将用户友好聊天气泡整合到 SaaS 应用中等。
IT 系统不仅仅是关于处理数据和将数据从一个位置移动到另一个位置以完成生产任务。根据使用案例,它们也关于从一个位置处理数据并将其分发到多个位置,以便完成工作。
导语|对于复杂多元的海外市场来说,discod社群为端外引流裂变后承接潜在玩家进私域社群大盘的长线运营方案搭建了健康的长线价值营销底座。本文引用多份资料,对Discord软件进行详尽具体的介绍,为游戏出海的社群运营建设提供参考。 本文作者:volihuang,腾讯产品体验设计 Discord是什么 1. 席卷游戏圈的社群 Discord,聊天软件,是一家游戏聊天应用与社区,Discord从游戏语音 、IM工具服务起家,随后转向直播平台,进而开设游戏商店的社区平台,成为游戏玩家在游戏中沟通协作的首选工具。2
研究人员发现的 6 个恶意软件包,都缺少与之关联的 GitHub 存储库。合法软件包通常都会有与之关联的存储库,而恶意软件包为了隐藏代码则通常不会关联。执行后,恶意软件包会收集敏感数据并将其发送到第三方 URL。
正如我们在我们的 论文[3] 和 网站[4]中详细介绍的,OpenVoice的优势有三个方面:
对于大多数人而言,对即时通讯IM应用的认知仍然停留在微信、QQ这类经典的即时通讯聊天场景。
在外出参与某个安全会议的旅程中,我发现打车拼车应用Lyft能以PDF或CSV方式生成用户的行程消费报告,作为一个Lyft的老用户,这种功能非常方便,可以简化我繁琐的工作费用整理流程。但便利的同时,我也在想一个问题:它会存在安全漏洞吗?最终经过我与Cody Brocious (@Daeken)的测试,发现Lyft在该功能上确实存在漏洞。该漏洞于2018年发现,直到最近才公开,我们一起来看看。
在人工智能盛起的当下,AI正以非常迅猛的速度重塑着很多行业。可以预见的是2024将是AI原生应用开发元年,将会涌现出数不清的AI原生应用来重塑我们的工作和生活的方方面面。而在AI原生应用里面将会以AI Agent即AI智能体为主要代表,将会有很多个像crewAI—用于编排角色扮演的AI agent(超级智能体)一样的Agent出现在我们的面前。在可以预见的未来,世界大模型Sora—聊聊火出圈的世界AI大模型——Sora毫无疑问将会带来革命性的AI热潮。
在过去的几年里,人工智能(AI)取得了极大的进展,而AI的新产品中有AI图像生成器。这是一种能够将输入的语句转换为图像的工具。文本转图像的AI工具有许多,但最突出的就属DALLE 2、Stable Diffusion和Midjourney了。
但是,非常 Exciting 地,现在 PDM 的 PEP 582 可以说是完全态了!先看下 Demo:
RAGFlow[1] 是一款基于深度文档理解构建的开源 RAG(Retrieval-Augmented Generation)引擎。RAGFlow 可以为各种规模的企业及个人提供一套精简的 RAG 工作流程,结合大语言模型(LLM)针对用户各类不同的复杂格式数据提供可靠的问答以及有理有据的引用。
在AI浪潮风起云涌的当下,AI正在不断地重塑着每一个行业。在各大厂先后争先恐后地推出一系列大模型的同时,也不断出现了很多开源的大模型。今天介绍的这个出现在GitHub热榜上的项目是MLC LLM。它是一种通用解决方案,可以在各种硬件后端和本地应用程序上原生部署任何语言模型,同时为所有人提供一个高效的框架,以进一步优化模型性能以适应其自身的用例。 一切都在本地运行,无需服务器支持,并且可以在手机和笔记本电脑上通过本地GPU加速。
据Bleeping Computer网站5月12日消息,目前,在网络上出现了一个名为“Eternity "(永恒不朽)的恶意软件即服务项目,威胁参与者可以购买恶意软件工具包,并根据所进行的攻击使用不同的模块进行定制。
RWKV是一种具有Transformer级别LLM性能的RNN,也可以像GPT Transformer一样直接进行训练(可并行化)。它是100%无注意力的。您只需要在位置t处的隐藏状态来计算位置t+1处的状态。您可以使用“GPT”模式快速计算“RNN”模式的隐藏状态。
美国时间下午1点,OpenAI联合创始人兼总裁格雷格•布罗克曼(Greg Brockman)带着他的GPT-4开发者演示直播。
随着AI浪潮的到来,涌现了一大批AI应用,其中结合chatpdf的技术搭建本地知识库的应用尤其多,本文主要将重点梳理并介绍了几个与之相关的项目:
上周,一位名为 FujiwaraChoki 的程序员在观看短视频的过程中突发奇想,开发了一款叫 Money Printer 的一键视频生成工具。
Holehe是一款针对用户邮箱安全的检测和评估工具,该工具可以通过多种方式来帮助我们检查自己的邮箱是否在各种网站上注册过。当前版本的Holehe支持检查类似Twitter、Instagram和Imgur等多达120个网站服务,并能够以高效的形式检查邮箱账户安全。
SqlMap是我们常用的一款sql注入漏洞检测工具,为了方便大家平时的使用,在此分享一下我总结的一下命令。
PyPI(Python Package Index)是 Python 的正式第三方软件包的开源软件存储库,它类似于 CPAN(Perl 的存储库)。pip 等一些软件包管理器就是默认从 PyPI 下载软件包。任何用户都可以下载第三方库和上传自己开发的库,目前通过 PyPI 可以下载超过 23.5 万个 Python 软件包。
在AI盛起的当下,各类AI应用不断地出现在人们的视野中,AI正在重塑着各行各业。相信现在各大公司都在进行着不同程度的AI布局,有AI大模型自研能力的公司毕竟是少数,对于大部分公司来说,在一款开源可商用的大模型基础上进行行业数据微调也正在成为一种不错的选择。
加载完成后“%load F:\pythonCode\range.py”会变成注释,而文件内容会显示在cell中。
使用 mitmproxy 进行 map local,可以将请求映射到本地文件或者 URL,方便进行本地调试和测试。下面是具体的步骤:
👉 如果您使用的是 VS Code 作为您的 IDE,最简单的开始方式是下载 GPT Pilot VS Code 扩展[18]。👈 [19]
在 PyQt5:QMediaplayer,QVideowidget播放视频(2)上一篇中完善了界面的布局,快进,慢进。在本篇更新中做了代码做了重构,架构的好坏就另说了,python 没有做过成熟的项目,一直自己写的玩。在本篇中主要更新了UI、播放列表、配置项、媒体文件管理、布局、子控件,还有快进、快退、音量等等一些基础功能。
官方网址:https://asciinema.org/ 官方用法介绍:https://asciinema.org/docs/usage GitHub项目地址:https://github.com/asciinema/asciinema
LFI-FINDER是一款功能强大的本地文件包含漏洞扫描工具,该工具是一款完全源代码开源的工具,在该工具的帮助下,广大研究人员可以轻松检测出目标应用程序中潜在的本地文件包含(LFI)漏洞。
Erlik(Vulnerable-Soap-Service)是一个包含了针对SOAP的漏洞学习和研究平台,该项目包含了大量故意留下的SOAP安全漏洞,可以帮助广大研究人员更好地研究和学习Web渗透测试技术。
网络安全事件响应团队在通信工具方面有多种选择:微软产品、Slack、Zoom和其他众多工具。有些需要订阅或商业许可证,而另一些则是免费的。有些是专门为事件响应设计的利基工具,有些是通用的业务通信工具,IR团队已经对其进行了调整,以便在网络安全事件中使用。
最近有白帽在HackerOne平台上报了ffmpeg漏洞,该漏洞利用ffmpeg的HLS播放列表处理方式,可导致本地文件曝光。 漏洞描述 6月24日,HackerOne平台名为neex的白帽子针对俄罗斯最大社交网站VK.com上报了该漏洞,并因此获得1000美元奖金。 ffmpeg可处理HLS播放列表,而播放列表中已知可包含外部文件的援引。neex表示他借由该特性,利用avi文件中的GAB2字幕块,可以通过XBIN codec获取到视频转换网站的本地文件。 6月25日,另一位白帽子Corben Dougla
Hello folks,我是 Luga,今天我们来分享一款用于 Kubernetes Cluster 故障排查的开源工具 - Robusta (罗布斯塔)。作为一个用于多集群 Kubernetes 监控、故障排除和自动化的开源平台,就像 Docker 用于部署应用程序的基础设施即代码一样,Robusta 用于维护 Kubernetes Cluster 应用程序和处理其警报的基础设施即代码。
前几周斗哥给大家介绍了一款自动化测试工具selenium,本周带来跟selenium应用相关的实时双因子钓鱼工具。什么是双因子认证?简单解释一下:正常的网站登录界面都需要账号密码(something you know)为登录凭证,但是某些安全性高的网站会开启双因子认证,即在原来的基础上再加上一重认证,比如常见的手机短信验证码、银行的U盾的PIN码(something you have)或者指纹以及其他生物识别的方法(something you are)等身份双因子认证。本篇文章重点想传递的信息是:使用双因子认证的网站并不能避免钓鱼网站的威胁,希望通过对该工具的测试来了解双因子钓鱼的原理,以此来更好的防范实时双因子钓鱼网站的危害,推动新的防御机制。
APKDeepLens 是一个基于 Python 的工具,旨在扫描 Android 应用程序(APK 文件)是否存在安全漏洞。它专门针对 OWASP Top 10 移动漏洞,为开发人员、渗透测试人员和安全研究人员提供一种简单有效的方法来评估 Android 应用程序的安全状况。
从reddit/hackernews/lobsters/meetingcpp摘抄一些c++动态。
https://pypi.python.org/pypi/paramiko/1.15.2
随着苹果对 iPadOS 的不断投入,越来越多的开发者都希望自己的应用能够在 iPad 中有更好的表现。尤其当用户开启了台前调度( Stage Manager )功能后,应用对不同视觉大小模式的兼容能力就越发显得重要。本文将就如何创建可自适应不同尺寸模式的程序化导航方案这一内容进行探讨。
在CDM做数据迁移的过程中,客户基本述求都是要校验下数据是否完整迁移到腾讯云COS上?
领取专属 10元无门槛券
手把手带您无忧上云