腾讯啄木鸟代码安全团队，依托混元大模型的超强代码理解和安全分析能力，在SQL注入威胁检测场景验证中，新增识别上百个漏洞检测策略，相比传统方法人效比提升3.8倍，在Github高star项目上斩获10+0day漏洞。

AI版“赏金猎人”登场，基于混元大模型能力打造的自动漏洞挖掘工具，7*24小时自动感知、追踪、挖橱0day。 AI猎人VS黑客的角逐战正式开始。

本文聚焦于密钥硬编码的问题，分析了传统检测策略的缺陷，并详细介绍了大模型在该场景下的优势、检测实施方案和效果。我们将继续推出更多关于大模型在研发安全、网络安全、威胁情报等领域的应用探索与总结

借助混元大模型，腾讯啄木鸟代码安全团队在代码评审（Code Review，下文简称CR）场景下的安全漏洞检出能力取得显著提升，日均发现和阻断300+个代码安全风险，极大提升了公司核心数据资产安全性。

对于大型互联网公司而言，业务众多，网络流量巨大，涉及的域名、服务器资源均属海量，在这个规模下的WAF的设计、研发、运营将会有比较多的现实挑战。

本文不涉及常见的基于代码关键字匹配的GitHub监控。而是从GitHub的账户出发，通过人的关系来获得一些代码搜索不具有的优势。

本文争取简单易懂地介绍一下RMI机制和JNDI注入利用方式，并且以JdbcRowSetImpl利用链和FastJson反序列化漏洞为例，记录真实的远程利用过程中可能遇到的问题和解决

WebSocket是HTML5开始提供的一种浏览器与服务器间进行全双工通讯的网络技术。WebSocket通信协议于2011年被IETF定为标准RFC 6455，WebSocket API也被W3C定为标准，主流的浏览器都已经支持WebSocket通信

Google，它们的安全能力是内嵌在基础设施里，由基础设施透明提供的。安全工程师参与设计、开发和实现检验基础设施所提供的安全能力。

本文其实是我们在2016年底为腾讯投后企业的相关同学进行主题为“如何防范黑客攻击”的安全培训（为投资企业提供全方位资源支持是腾讯投资的一个增值服务）的时候产生的副产物：部分初创企业安全团队规模较小（甚至没有专职的安全团队），但是却又实实在在地遭受到来自互联网的安全威胁，它们急需安全方面的指导，但是又苦于经验和资源的匮乏，所以当时我们答应下来将这部分工作后续以文章及服务的形式进行分享。