Nuclei Templates - April 2026 Two releases shipped this cycle - v10.4.2 (April 15) and v10.4.3 (May 5) - delivering deep KEV cover... 2026-5-12 11:26:9 | 阅读: 11 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io 2026 vkev exposure v10

The Trust Gap Behind the AI Coding Boom: What 200 Security Practitioners Just Told Us 好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得通读文章，抓住主要观点。 文章主要讲的是工程速度加快，而安全团队跟不上。AI辅助编码让工程交付更快，但安全团队处理代码的速度没跟上。调查结果显示，大部分安全团队感到压力大，手动验证占用了大量时间。此外，AI带来的漏洞难以检测，传统工具效率低。最后，安全团队希望AI工具能更可靠、可审计，并有明确的使用边界。 接下来，我需要把这些要点浓缩成一句话。确保涵盖工程与安全的差距、AI的影响、手动验证的问题以及对AI工具的要求。 最后检查字数，确保不超过100字，并且表达清晰。 </think> 新研究显示工程速度加快而安全团队难以跟上，AI辅助编码导致代码量激增和漏洞复杂化，安全团队面临手动验证和修复压力，传统工具效率不足，从业者呼吁更可靠、可审计的AI安全工具。... 2026-4-28 18:5:58 | 阅读: 27 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security respondents north assisted

Benchmarking Neo's Black-Box DAST Capabilities 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求很明确，不需要以“文章内容总结”这样的开头，直接写描述即可。 首先，我得仔细阅读文章内容。这篇文章主要讲的是Neo作为一个黑盒DAST（动态应用安全测试）代理的表现。它通过URL进行操作，没有源代码或架构信息。文章提到了几个基准测试，比如XBOW和Argus。XBOW有104个挑战，Neo解决了98个。而Argus有60个Docker化的漏洞应用，分为易、中、难三个等级。 接下来，文章详细描述了Argus基准测试的设置和结果。Neo在没有提示的情况下，解决了51个挑战，成功率85%。还提到了他们在评估过程中遇到的一些问题和解决方案，比如依赖版本固定、动态标志注入、网络隔离等。 用户的需求是总结文章内容，并且控制在100字以内。所以我要抓住关键点：Neo作为黑盒DAST代理，在Argus基准测试中的表现如何？解决了多少挑战？成功率多少？还有其他重要的信息吗？ 可能还需要提到他们使用的模型层级和预算限制。但考虑到字数限制，可能只能突出主要结果。 现在组织语言：Neo作为黑盒DAST代理，在Argus基准测试中解决51/60个挑战，成功率85%。无需源代码或提示，仅需URL和目标。 这样应该符合要求。 </think> Neo作为黑盒DAST代理，在Argus基准测试中解决51/60个挑战（85%），无需源代码或提示，仅需URL和目标。... 2026-4-27 17:11:0 | 阅读: 19 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io neo budget argus fallback solved

Neo v. DIY: The gap between a single finding and a mature security program 嗯，用户让我帮忙总结一篇文章，控制在一百个字以内，而且不需要用特定的开头。好的，我得先仔细看看这篇文章的内容。 文章主要讲的是Neo这个工具，它是由Davis Franklin介绍的。看起来Neo是一个结合了LLM（大语言模型）的安全工具，用于填补发现漏洞和运行成熟安全项目之间的差距。文章里提到了Neo的优势，比如它能处理复杂的、长期的安全任务，还能预分类漏洞，不需要手动调整提示词。 还有用户的问题部分，比如关于Opus 4.7的数据、Neo能检测哪些漏洞、是否有计划做AI红队测试等等。Davis都一一回答了这些问题，说明Neo的功能很全面，并且已经在实际应用中被客户使用。 总结的时候要抓住重点：Neo是AI驱动的安全工具，结合LLM和传统安全工具，处理复杂任务，预分类漏洞，并且能扩展到整个攻击面。这样就能在一百字以内涵盖主要信息了。 </think> 文章介绍了AI驱动的安全工具Neo，其结合LLM与传统安全工具，专为处理复杂、长期的安全任务设计。Neo可预分类漏洞并自动确认其严重性和可利用性，并能扩展至整个攻击面。文章还探讨了DIY方案的局限性及Neo在企业级安全中的优势。... 2026-4-17 19:5:29 | 阅读: 18 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io neo davis security memory diy

How We Cut LLM Costs by 59% With Prompt Caching 好的，我现在需要帮用户总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读文章内容，理解主要信息。 文章主要讲的是ProjectDiscovery开发的Neo平台如何通过提示缓存优化LLM成本。他们最初面临高昂的LLM费用，通过实施提示缓存，成本节省显著提升，达到了70%。文章详细介绍了他们如何设计三个断点和重定位技巧来提高缓存命中率。 接下来，我需要提炼这些关键点：Neo平台、多智能体工作流、LLM优化、提示缓存、成本节省。确保在100字以内准确传达这些信息。 可能会遇到的问题是如何简洁地表达技术细节而不遗漏关键点。需要确保语言流畅且信息完整。 最后，检查字数是否符合要求，并确保总结准确反映了原文的核心内容。 </think> ProjectDiscovery的Neo平台通过优化LLM提示缓存技术，在多智能体安全测试中实现了高达70%的成本节省。该技术通过三个断点和动态内容重定位显著提升了缓存命中率，使复杂任务的成本大幅降低。... 2026-4-10 02:42:6 | 阅读: 17 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io caching neo anthropic security ttl

Everyone is finding vulns. The hard part is proving them. 好的，我现在需要帮助用户总结一篇文章的内容，控制在100个字以内，并且不需要特定的开头。首先，我得通读整篇文章，理解其主要内容和重点。 文章主要讲的是ProjectDiscovery开发的Neo工具，它利用LLM来检测开源项目中的漏洞。文中提到Neo在测试中发现了22个CVE漏洞，包括复杂的漏洞如沙盒逃逸和多步利用链。此外，文章还讨论了AI在安全自动化中的应用及其面临的挑战。 接下来，我需要将这些关键点浓缩到100字以内。重点包括：Neo的功能、检测到的漏洞数量、漏洞类型以及AI在安全自动化中的作用。同时，要避免使用像“文章总结”这样的开头。 最后，确保语言简洁明了，信息准确无误。 </think> 文章介绍了ProjectDiscovery开发的Neo工具，利用LLM技术对开源项目进行安全检测，在测试中发现22个CVE漏洞，包括复杂漏洞如沙盒逃逸和多步利用链。展示了AI在安全自动化中的潜力与挑战。... 2026-3-20 16:14:10 | 阅读: 16 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io neo security bypass 2026 codebase

Inside the Benchmark: App Architectures, Walkthroughs of Findings, and What Each Scanner Actually Caught 好，我需要帮用户总结这篇文章的内容，控制在100个字以内。首先，文章是关于使用LLM（大语言模型）生成的代码进行安全基准测试的第二部分。第一部分已经比较了LLM工具如Neo和Claude Code与传统SAST和DAST扫描器的表现，发现LLM工具能检测到传统工具遗漏的高价值漏洞。 第二部分更深入地分析了三个应用：MedPortal、VaultBank和ClaimFlow。这些应用分别属于医疗、银行和保险领域，使用不同的AI工具和科技栈构建。文章详细描述了每个应用的生成过程、使用的提示词以及如何分类和验证漏洞。 研究发现，三个应用中共有74个独特的有效漏洞，主要集中在身份验证、ORM注入和业务逻辑错误上。Neo检测到了大部分严重漏洞，而Claude Code则有较多误报。传统扫描器如Snyk和Invicti在这类AI生成代码中的表现不佳，因为它们主要针对传统的漏洞模式。 总结来说，文章展示了LLM工具在检测AI生成代码中的复杂安全问题上的优势，同时也指出了传统工具的局限性。 </think> 该研究比较了LLM工具Neo和Claude Code与传统SAST/DAST扫描器在检测AI生成代码漏洞的表现。通过构建医疗、银行和保险领域的三个应用，发现74个有效漏洞，主要涉及身份验证、ORM注入及业务逻辑错误。Neo检测到89%的可利用漏洞，而Claude Code误报较多。传统扫描器在AI代码中表现不佳。... 2026-3-11 16:59:28 | 阅读: 14 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io neo claude claims vaultbank claimflow

How Neo found an SSRF vulnerability in Faraday, and why it matters for every team that ships code 嗯，这篇文章讲的是Neo发现了Faraday中的SSRF漏洞。Faraday是一个Ruby生态系统中常用的HTTP客户端库。Neo是ProjectDiscovery的人工智能安全助手，专门用于代码审查和漏洞发现。 文章提到，Neo在没有人工指导的情况下，审查了一个广泛使用的开源依赖项，发现了一个微妙的URL处理边缘情况，并在运行时验证了它，还生成了一个清晰的报告供维护人员修复。这个漏洞是通过以两个斜杠开头的URL（如//evil.com）来覆盖目标主机的。 文章还讨论了传统扫描工具如Snyk和Semgrep在这类问题上的局限性，因为它们主要依赖模式匹配，而这类漏洞隐藏在看似安全的逻辑中。Neo的优势在于能够像人类审查员一样进行推理，发现传统工具难以捕捉到的漏洞。 最后，文章强调了这类漏洞的重要性以及使用AI工具如Neo进行早期检测的好处，可以节省时间和资源。 </think> 文章描述了人工智能助手Neo发现并修复了Ruby生态系统中广泛使用的HTTP客户端库Faraday中的一个服务器端请求伪造（SSRF）漏洞。该漏洞通过以两个斜杠开头的URL（如//evil.com）覆盖目标主机。Neo无需人工指导，独立完成了代码审查、漏洞验证和修复建议。传统扫描工具难以捕捉此类隐藏在正常逻辑中的边缘情况，而Neo通过推理和验证提供了可复现的证据。这一发现展示了AI在安全审查中的潜力，帮助开发团队更早地识别和修复潜在的安全风险。... 2026-3-3 17:5:32 | 阅读: 13 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io faraday neo ssrf scanners security

AI code review has come a long way, but it can’t catch everything 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，理解其主要观点和结论。 文章主要讨论了基于LLM的代码审查工具，如Claude Code，虽然比传统扫描器更先进，但仍有不足。作者通过构建三个AI生成的应用程序，并使用四种工具进行测试，发现Neo结合代码审查和运行时测试表现最佳，发现了更多真实漏洞并减少了误报。 接下来，我需要提取关键点：LLM代码审查的进步、传统扫描器的局限、Neo的优势、测试结果以及对团队的启示。然后将这些信息浓缩成简洁的一段话，确保不超过100字。 最后，检查语言是否流畅自然，避免使用过于专业的术语，使总结易于理解。 </think> 文章探讨了基于LLM的代码审查工具（如Claude Code）在检测安全风险方面的优势与局限。通过构建三个AI生成的应用程序并使用四种工具进行测试（包括Neo的代码审查与运行时测试），结果显示Neo在减少误报和发现真实漏洞方面表现最佳。研究强调了结合运行时测试的重要性，并指出AI生成代码的安全风险主要集中在授权、工作流和业务逻辑上。... 2026-2-26 22:23:42 | 阅读: 20 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io neo claude security scanners

Announcing the ProjectDiscovery OSS Bounty Program 好的，我现在需要帮用户总结一篇文章，控制在100字以内。用户的要求很明确，直接写文章描述，不需要特定的开头。首先，我得通读整篇文章，抓住主要信息。 文章标题是“Democratizing Security, One Contribution at a Time”，看起来是关于开源安全项目的。内容提到ProjectDiscovery推出了一个OSS Bounty Program，奖励对开源安全工具的贡献。目标是让安全工具更普及，不论个人背景如何。 接下来，文章详细说明了奖励的类型：修复bug、性能提升、功能实现、文档和测试等。金额根据复杂度和影响而定。参与方式简单，浏览带标签的问题，提交pull request即可。 还有提到项目的范围包括多个开源项目，并强调透明、公平、尊重和社区的原则。最后鼓励大家参与，共同推动开源安全的发展。 现在我要把这些要点浓缩到100字以内。重点包括项目名称、目标、奖励类型、参与方式以及核心原则。确保语言简洁明了，直接传达主要内容。 </think> ProjectDiscovery推出开源安全工具贡献奖励计划，旨在通过激励全球开发者修复漏洞、优化性能及完善功能等贡献，推动安全工具普及化和社区协作。该计划强调透明、公平和尊重原则，欢迎所有背景的参与者共同参与开源安全建设。... 2026-2-2 14:17:38 | 阅读: 9 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security

New Report: State of AppSec 2026 | Security at Engineering Speed 好的，我现在需要帮用户总结一篇文章，控制在100字以内。首先，我得仔细阅读文章内容，理解其主要观点。 文章讨论了软件开发速度和安全模型之间的差距。提到2026年，组织更多地交付持续变化，而传统的安全扫描和报告方法已经无法应对这种快速变化。主要问题包括验证速度跟不上开发速度、风险集中在授权和业务逻辑漏洞，以及传统安全工具产生的大量低效警报。 接下来，我需要将这些要点浓缩成一句话。要确保涵盖软件开发加速、传统安全模型的不足、验证成为瓶颈以及新的安全架构需求。 最后，检查字数是否在限制内，并确保语言简洁明了。 </think> 软件开发速度加快导致传统安全模型失效，验证成为新瓶颈。现代风险集中在授权、业务逻辑和链式攻击上，需更智能的安全架构实现快速、高信心决策。... 2026-1-28 00:46:3 | 阅读: 15 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security appsec neo workflows software

Surfacing the real attack surface: Advances in asset discovery 文章探讨了外部资产发现的挑战，并介绍了ProjectDiscovery平台的增强功能，包括深度自适应子域发现、基于TLS的资产检测和关联域名识别。这些改进帮助安全团队实时识别传统方法常忽略的暴露资产和潜在风险。... 2026-1-15 13:1:42 | 阅读: 8 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io asset subdomain security exposure

Year in Review: The Vulnerabilities That Defined 2025 好的，我现在需要帮用户总结这篇文章的内容。用户的要求是用中文，控制在100字以内，不需要特定的开头，直接写描述。 首先，我快速浏览文章。文章主要讨论了2025年五个关键漏洞及其影响，包括React2Shell、SAP NetWeaver、PAN-OS认证绕过、Cisco IOS XE固件问题和Erlang/OTP SSH漏洞。这些漏洞展示了从披露到被利用的时间窗口缩短，攻击者更倾向于无认证访问和远程代码执行。 接下来，我需要提取关键点：五个漏洞、快速利用、攻击者偏好、影响范围以及对防御者的启示。然后，将这些信息浓缩成简洁的句子，确保不超过100字。 最后，检查语言是否通顺自然，确保没有使用用户要求避免的开头方式。 </think> 文章探讨了2025年五个关键漏洞及其对安全的影响，揭示了从披露到被利用的时间窗口缩短的趋势。攻击者倾向于利用无认证访问和远程代码执行等高影响漏洞，暴露了防御盲点和应急响应压力。... 2025-12-18 21:29:1 | 阅读: 14 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io attackers software became

Introducing Neo, an AI security engineer for complex security tasks 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”这样的开头。首先，我得通读整篇文章，抓住主要信息。 文章讲的是一个叫做Neo的云基AI安全工程师，它能和团队一起工作，处理实际的安全任务。它能持续学习系统和流程，随着时间推移不断改进。Neo是一个框架，不是黑箱，结合了大语言模型的推理能力和专门的执行工具、隔离沙盒、内存层等。用户可以看到它在做什么，控制它的访问权限，并调整它的行为。 然后文章提到Neo在最近的评估中独立完成了L5级安全工程师的案例研究，并通过了测试。它能够从理解环境到解决问题提出修复计划。Neo目前有限制地发布给企业安全团队使用。 用户的需求是用中文总结，控制在100字以内。所以我要提炼出关键点：Neo的功能、架构、能力以及目标用户。 可能的结构是：介绍Neo是什么，它的功能和架构特点，以及它的应用场景和目标用户。 比如：“Neo是一款云基AI安全工程师工具，能与团队协作处理真实安全任务。其框架设计结合大语言模型与专用工具，在企业环境中学习并优化流程。适用于需高效处理复杂安全工作的大型组织。” 这样控制在100字左右，并且直接描述内容。 </think> Neo是一款云基AI安全工程师工具，能与团队协作处理真实安全任务。其框架设计结合大语言模型与专用工具，在企业环境中学习并优化流程。适用于需高效处理复杂安全工作的大型组织。... 2025-12-3 00:15:35 | 阅读: 32 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io neo security workflows memory isolated

Nuclei Templates - November 2025 This month, we had two releases of Nuclei Templates, introducing numerous improvements and new templ... 2025-11-30 10:38:0 | 阅读: 16 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io vkev bypass v10 nuclei

How to Research & Reverse Web Vulnerabilities 101 IntroductionThis blog serves as a detailed methodology guide for analyzing, reversing, and researchi... 2025-11-26 21:39:44 | 阅读: 33 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io intellij remote analysis processes breakpoints

Introducing Credential Monitoring 嗯，用户让我帮忙总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我需要通读整篇文章，抓住主要观点。 文章主要讲的是恶意软件窃取企业登录凭证的问题，导致这些信息在互联网上公开。然后提到了不同行业的实际案例，比如医疗、金融和制造业的攻击事件。接着介绍了ProjectDiscovery的免费监控解决方案，帮助检测和防范这些威胁。 我需要把这些关键点浓缩到100字以内。确保涵盖恶意软件、泄露的影响、解决方案以及行动建议。语言要简洁明了，直接描述内容。 最后检查一下字数，确保不超过限制，并且信息完整。 </think> 恶意软件窃取企业登录凭证问题严重，导致敏感信息在互联网公开。医疗、金融和制造业等行业频遭攻击，损失巨大。ProjectDiscovery提供免费监控工具，实时检测暴露凭证并发出警报。建议立即采取行动，重置密码并启用多因素认证以降低风险。... 2025-11-4 11:40:43 | 阅读: 27 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io monitoring exposures passwords cloud

Hacktober 2025 - Nuclei Templates 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头，直接写描述。好的，我先看看文章的主要内容。 这篇文章是关于Nuclei Templates在10月份的两个主要发布版本，v10.3.0和v10.3.1。这两个版本添加了很多新的模板和CVE，还提到了社区的贡献情况。Hacktoberfest期间，他们收到了很多pull requests，还有第一次贡献的人和奖励的 bounty。 文章详细列出了新增的模板数量、CVE数量、第一次贡献者和奖励情况。然后还提到了新增的CVE包括一些高风险漏洞，比如Oracle、Redis、Adobe等的漏洞。还有改进的地方，比如修复了一些误报和漏报的问题，并且增加了一些检测功能。 最后还感谢了社区的贡献者，并鼓励大家继续参与开源安全项目。 现在我要把这些信息浓缩到100字以内。重点包括：两个版本发布、新增模板数量、CVE数量、社区贡献（包括第一次贡献者和奖励）、新增高风险CVE以及修复的问题。 可能的结构是：Nuclei Templates在10月发布了两个版本，新增了243个模板和178个CVE，涵盖多个高风险漏洞，并修复了一些问题。社区贡献突出，有287个PR和24个奖励。 这样大概控制在100字左右。 </think> Nuclei Templates在10月发布了两个版本（v10.3.0 & v10.3.1），新增243个模板和178个CVE，涵盖Oracle、Redis等高风险漏洞，并修复了误报与漏报问题。社区贡献显著，收到287个PR及24个奖励。... 2025-10-31 16:6:20 | 阅读: 35 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io bypass injection v10 unauth

Open by design, trusted by enterprises: how we keep Nuclei templates reliable at scale ProjectDiscovery通过其开源工具Nuclei和云服务提供基于实际可利用性的漏洞检测。Nuclei利用社区贡献的YAML模板，在全球10,000多名安全专家的支持下快速响应新漏洞，并通过严格审核确保安全性和准确性。与传统扫描器不同，Nuclei专注于真实可利用性而非理论暴露，为企业提供高效可靠的漏洞管理解决方案。... 2025-10-23 13:41:46 | 阅读: 36 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io nuclei security reproduced detections

From Detection to Validation: Fixing Broken Vulnerability Workflows What it REALLY means to test for exploitabilityYour engineering team will thank you.Executive Summar... 2025-10-8 16:18:38 | 阅读: 22 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io dmz noise nuclei crushftp 54309