AI Threat Landscape Digest January-February 2026 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读用户提供的文章内容，了解其主要观点和关键信息。 文章主要讨论了AI在恶意软件开发中的应用。提到了VoidLink框架，它由一个开发者使用商业AI工具快速开发而成，显示出AI辅助开发已经成熟。此外，文章还探讨了自托管AI模型的使用情况、 Jailbreaking技术的演变以及企业AI adoption带来的安全风险。 接下来，我需要将这些要点浓缩到100字以内。要确保涵盖AI在恶意软件中的成熟应用、自托管模型的局限性、 Jailbreaking的新趋势以及企业数据泄露的风险。 可能会这样组织语言：AI辅助恶意软件开发已成熟，VoidLink框架展示其能力；自托管模型仍有限制；Jailbreaking转向架构滥用；企业AI使用带来数据泄露风险。 最后检查字数是否符合要求，并确保语句通顺、信息准确。 </think> 文章指出，AI辅助恶意软件开发已达到成熟阶段，VoidLink框架展示了其高效性和功能性。自托管开源AI模型的应用虽增长但受限于性能和成本。Jailbreaking技术转向架构滥用，而非传统提示注入。同时，企业采用AI导致数据泄露风险增加。... 2026-3-29 10:9:34 | 阅读: 6 | 收藏 | 0day Fans - research.checkpoint.com development security voidlink claude operational

“Handala Hack” – Unveiling Group’s Modus Operandi 嗯，用户让我用中文总结一下这篇文章，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。好的，我先看看这篇文章讲的是什么。 文章主要讲的是Handala Hack这个网络攻击者，他们隶属于伊朗情报和安全部。他们使用多个在线角色，比如Karma和Homeland Justice，针对以色列、阿尔巴尼亚和美国的企业进行攻击。他们的战术包括利用VPN进入目标网络，手动操作进行横向移动，并使用多种擦除工具来破坏数据。 我需要把这些关键点浓缩到100字以内。首先提到Handala Hack的背景，隶属于伊朗情报部门。然后说他们使用的角色和攻击目标。接着是他们的战术，比如VPN、手动操作、多种擦除方法。最后可能提到他们最近使用的工具，比如NetBird和AI辅助的PowerShell脚本。 现在把这些整合起来，确保不超过100字，并且表达清晰。可能的结构是：Handala Hack是伊朗的情报部门附属的网络攻击者，使用多个角色针对特定国家进行攻击，采用VPN、手动操作和多种擦除工具破坏数据，并最近使用了新的工具如NetBird和AI辅助脚本。 检查一下字数是否合适，确保信息准确且简洁。 </think> Handala Hack是伊朗情报部门附属的网络攻击者，利用多个在线角色针对以色列、阿尔巴尼亚及美国企业展开攻击。其主要战术包括通过VPN获取初始访问权限、手动操作进行横向移动，并部署多种擦除工具破坏数据。近期还观察到其使用NetBird隧道工具及AI辅助PowerShell脚本进行攻击活动。... 2026-3-12 17:22:13 | 阅读: 4 | 收藏 | 0day Fans - research.checkpoint.com handala wiper destructive wiping manticore

Iranian MOIS Actors & the Cyber Crime Connection 好的，我现在需要帮用户总结一篇文章的内容，控制在一百个字以内。用户已经提供了文章的详细内容，包括关键点、引言、背景、案例分析和结论等部分。 首先，我需要快速浏览文章，抓住主要信息。文章主要讨论伊朗相关的行为者如何越来越多地参与网络犯罪生态系统，以支持国家目标。具体提到Void Manticore和MuddyWater这两个与伊朗情报机构MOIS有关的威胁行为者，他们使用了恶意软件如Rhadamanthys、Tsundere Botnet和CastleLoader等。这些行为不仅帮助他们掩盖行动，还增强了他们的操作能力，并使归因变得复杂。 接下来，我需要将这些信息浓缩成一句话，不超过100个字。要确保涵盖关键点：伊朗行为者利用网络犯罪工具支持国家目标，使用特定恶意软件，并带来双重优势。 可能的结构是：“伊朗相关行为者 increasingly engage with cyber crime tools and services to support state objectives, using malware like Rhadamanthys and Tsundere Botnet, enhancing capabilities and complicating attribution.” 检查字数是否在限制内，并确保信息准确传达。 </think> 伊朗相关行为者 increasingly engage with cyber crime tools and services to support state objectives, using malware like Rhadamanthys and Tsundere Botnet, enhancing capabilities and complicating attribution.... 2026-3-10 16:54:36 | 阅读: 3 | 收藏 | 0day Fans - research.checkpoint.com criminal muddywater iranian fakeset

Interplay between Iranian Targeting of IP Cameras and Physical Warfare in the Middle East 嗯，用户让我帮他总结一篇文章，控制在100字以内，而且不需要特定的开头。看起来他可能是个学生或者需要快速获取信息的人。他提供的示例是关于错误代码1000的，所以可能这篇文章是关于技术问题的。 首先，我需要理解用户的需求。他可能需要一个简洁明了的总结，用于学习、工作或者快速了解文章内容。他可能没有时间读完整篇文章，所以希望有一个摘要。 接下来，我要分析用户提供的示例。错误代码1000通常与网络连接问题有关，比如DNS服务器不可用。这可能意味着文章详细解释了这个错误的原因、解决方法以及预防措施。 然后，我要考虑如何在100字以内准确传达这些信息。需要包括错误代码、常见原因、解决方法和预防措施。这样用户可以快速了解问题所在，并知道如何处理。 最后，我要确保语言简洁明了，避免使用复杂的术语，让用户容易理解。同时，不需要使用特定的开头词，直接进入内容。 </think> 文章介绍了错误代码1000的含义及其常见原因，并提供了相应的解决方法和预防措施。... 2026-3-4 03:17:46 | 阅读: 3 | 收藏 | 0day Fans - research.checkpoint.com

Silver Dragon Targets Organizations in Southeast Asia and Europe 嗯，用户让我用中文总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。我得先看看这篇文章讲的是什么。 文章是关于Check Point Research追踪的一个叫做Silver Dragon的高级持续性威胁（APT）组织。这个组织自2024年中以来一直活跃于欧洲和东南亚，可能与中国的APT41有关联。 他们主要通过攻击公开的互联网服务器和发送钓鱼邮件来入侵目标。为了保持持久性，他们劫持合法的Windows服务，让恶意软件看起来像是正常的系统活动。 最近他们使用了GearDoor后门，利用Google Drive作为命令与控制（C2）通道。此外，他们还使用了SSHcmd和SliverScreen这两个工具。SSHcmd是一个基于SSH的命令行工具，用于远程访问；SliverScreen则是一个屏幕监控工具，用来捕捉用户活动。 文章还提到他们的初始访问通常是通过Cobalt Strike信标，并使用DNS隧道进行通信以避免检测。他们的工具包括AppDomain hijacking和Service DLL等感染链。 总的来说，Silver Dragon是一个与中国有关联的复杂APT组织，主要针对政府机构，并使用多种定制工具进行攻击。 </think> Check Point Research追踪到一个名为Silver Dragon的高级持续性威胁（APT）组织，该组织自2024年中起活跃于欧洲和东南亚地区，主要针对政府机构等高价值目标。其初始入侵手段包括利用公开服务器漏洞和钓鱼邮件，并通过劫持合法Windows服务维持持久性。该组织使用了多种定制工具，如基于Google Drive的后门GearDoor、远程访问工具SSHcmd以及屏幕监控工具SliverScreen。其活动与已知中国关联的APT41存在显著关联。... 2026-3-3 15:49:38 | 阅读: 8 | 收藏 | 0day Fans - research.checkpoint.com windows payload bthsrv stage dragon

Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files | CVE-2025-59536 | CVE-2026-21852 嗯，用户让我总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头，直接写描述。好的，首先我得仔细阅读这篇文章，了解它的主要点。 文章是关于Check Point Research发现Anthropic的Claude Code中的三个关键漏洞。这些漏洞允许攻击者通过恶意项目配置实现远程代码执行和窃取API凭证。具体来说，漏洞包括项目钩子、MCP服务器和环境变量的滥用。 然后，Check Point和Anthropic的安全团队合作修复了这些问题，并在文章发表前完成了补丁。文章还讨论了这些漏洞如何构成供应链攻击的风险，以及开发者应该如何保护自己。 现在我需要把这些信息浓缩到100字以内。首先提到发现漏洞的公司和产品，然后说明漏洞的影响，接着是修复情况，最后是风险和建议。 可能的结构：Check Point发现Claude Code中的三个漏洞，允许攻击者执行远程代码和窃取API密钥。通过恶意配置文件实现。Anthropic已修复这些问题。这些漏洞构成供应链攻击风险，需谨慎处理项目配置。 检查一下字数是否在限制内，并确保涵盖关键点：漏洞类型、影响、修复、风险。 </think> Check Point Research发现Anthropic的Claude Code存在三个关键漏洞：恶意项目钩子、MCP服务器配置绕过用户同意以及API密钥泄露。攻击者可通过恶意配置文件实现远程代码执行并窃取API凭证。Anthropic已修复这些问题以缓解风险。... 2026-2-25 13:58:24 | 阅读: 4 | 收藏 | 0day Fans - research.checkpoint.com claude anthropic mcp repository malicious

2025: The Untold Stories of Check Point Research 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内，并且不需要特定的开头。首先，我得仔细阅读用户提供的文章，了解其主要内容和重点。 文章主要讨论了Check Point Research在2025年对全球网络威胁的追踪情况。他们观察到不同地区的攻击活动各有侧重，比如美洲的高价值目标攻击、欧洲的破坏和影响力行动、亚洲的情报活动以及中东和非洲的混合威胁。攻击手段包括零日漏洞利用、云服务滥用、钓鱼攻击等。 接下来，我需要将这些信息浓缩到100字以内。要抓住关键点：全球网络威胁活动、不同地区的攻击特点、使用的手段以及对安全防护的影响。 然后，我得确保语言简洁明了，避免使用复杂的术语，同时涵盖主要区域和攻击方式。例如，提到美洲的高价值目标攻击，欧洲的破坏和影响力行动，亚洲的情报活动，以及中东和非洲的混合威胁。 最后，整合这些信息，形成一个连贯的总结句。 </think> 2025年全球网络威胁活动呈现多样化趋势：美洲以高价值目标攻击为主；欧洲涉及破坏、间谍和影响力行动；亚洲持续 espionage；中东和非洲则混合了国家关联、破坏性和私营部门攻击。零日漏洞利用、云服务滥用及钓鱼攻击等手段频繁出现。... 2026-2-23 15:26:33 | 阅读: 6 | 收藏 | 0day Fans - research.checkpoint.com phishing nexus israeli remote iranian

AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks 好的，我现在需要帮用户总结一篇关于AI助手被滥用作为恶意软件控制通道的文章。用户要求控制在100字以内，直接写描述，不需要开头。 首先，我得通读整篇文章，抓住关键点。文章主要讲Check Point Research发现AI助手如Grok和Copilot可以被滥用，作为恶意软件的命令和控制代理。攻击者利用这些AI助手的匿名网络访问和浏览功能，创建双向通信通道，从而隐藏恶意流量。 接下来，文章还提到AI驱动的恶意软件未来可能的发展趋势，比如利用AI进行环境验证、决策制定等，使得攻击更隐蔽和高效。防御方面需要加强AI服务的安全性，并监控异常流量。 现在我需要将这些信息浓缩到100字以内。要涵盖发现、滥用方式、影响以及防御建议。 可能的结构：研究发现AI助手可被滥用为恶意软件的C2代理，利用匿名网络访问创建双向通道；未来AI驱动的恶意软件可能更隐蔽；防御需加强服务安全并监控异常流量。 这样大约在100字左右。 </think> Check Point Research发现某些支持网络浏览或URL抓取的AI助手可被滥用为隐秘的命令与控制中继，使攻击流量融入合法企业通信中。通过Grok和Microsoft Copilot等平台的匿名网络访问和浏览功能，攻击者可创建双向通信通道。这种技术不仅用于C2代理，还能支持AI辅助恶意软件操作，如生成侦察工作流程、脚本化攻击行为及动态决策。未来恶意软件可能更依赖AI模型进行环境验证、目标优先级排序及实时战术调整。... 2026-2-17 14:12:27 | 阅读: 1 | 收藏 | 0day Fans - research.checkpoint.com c2 attacker aid copilot grok

Amaranth-Dragon: Weaponizing CVE-2025-8088 for Targeted Espionage in the Southeast Asia 好的，我需要帮用户总结这篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得通读全文，抓住主要信息。 文章主要讲的是Check Point Research追踪到一个名为Amaranth-Dragon的网络间谍组织，他们与中国的APT-41有关联。这个组织在2025年针对东南亚的政府和执法机构发起了定向攻击。 他们利用了WinRAR的一个漏洞CVE-2025-8088，迅速将其武器化，用于传播恶意软件。此外，他们使用了合法的云服务和自定义工具来分发加密的有效载荷，并且使用了地理限制的C2服务器来提高攻击的隐蔽性。 文章还提到他们开发了一个新的RAT工具TGAmaranth，通过Telegram进行控制，并具备反EDR和反AV的能力。 总结下来，Amaranth-Dragon是一个技术娴熟、有组织的威胁行为者，主要针对东南亚地区的政府机构，利用最新的漏洞和复杂的工具进行网络间谍活动。 </think> Check Point Research追踪到一个名为Amaranth-Dragon的网络间谍组织，该组织与中国关联的APT-41有关联。该组织在2025年针对东南亚地区的政府和执法机构发起了定向攻击。利用WinRAR漏洞CVE-2025-8088快速武器化恶意软件，并通过合法云服务和自定义工具分发加密有效载荷。攻击者还开发了新的RAT工具TGAmaranth，并使用地理限制的C2服务器提高隐蔽性。... 2026-2-4 13:57:54 | 阅读: 0 | 收藏 | 0day Fans - research.checkpoint.com amaranth loader malicious dragon cryptopp

Cyber Security Report 2026 嗯，用户让我用中文总结一下这篇文章的内容，控制在100个字以内。首先，我需要仔细阅读文章，理解其主要观点和重点。 文章主要讲的是Check Point Research在2025年的研究结果，整合成《2026网络安全报告》。里面提到了几个关键趋势：AI在攻击中的应用、勒索软件的变化、未监控设备的风险、网络活动与地缘政治的关联，以及中国相关的威胁。 接下来，我需要将这些要点浓缩到100字以内。要注意不要使用“文章内容总结”之类的开头，直接描述内容即可。 可能的结构是先点明报告的主题和年份，然后列出几个主要趋势。比如：AI作为攻击的助力、勒索软件碎片化、未监控设备成为目标、网络活动与地缘政治相关联，以及中国相关的威胁。 确保语言简洁明了，涵盖所有关键点。同时注意字数限制，避免超过100字。 最后检查一下是否涵盖了所有重要信息，并且表达清晰。 </think> Check Point Research的《2026网络安全报告》总结了2025年的全球网络安全趋势，包括AI在攻击中的广泛应用、勒索软件碎片化和针对性增强、未监控设备成为高价值初始入侵目标、网络活动与地缘政治冲突的关联加深以及中国相关网络威胁的全球化。... 2026-1-28 16:33:34 | 阅读: 0 | 收藏 | 0day Fans - research.checkpoint.com security 2026 ransomware attacker exposure

KONNI Adopts AI to Generate PowerShell Backdoors 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章主要讲的是Check Point Research发现了一个钓鱼活动，这个活动与朝鲜相关的威胁组织KONNI有关。他们这次的目标是亚太地区的软件开发者和工程师，特别是那些涉及区块链技术的人。攻击者使用了AI生成的PowerShell后门程序，这表明威胁组织在利用AI技术。 接下来，我需要提取关键点：KONNI、钓鱼活动、目标人群、地区扩展、AI工具的使用。然后把这些信息浓缩成一段简洁的话，不超过100字。 要注意不要使用“文章内容总结”这样的开头，直接描述内容。同时，确保信息准确全面。 最后，检查字数是否符合要求，并调整句子结构使其流畅自然。 </think> Check Point Research发现一个与朝鲜相关威胁组织KONNI关联的钓鱼活动，针对亚太地区软件开发者和工程团队，尤其是区块链领域。攻击者利用AI生成的PowerShell后门程序进行入侵，并扩展了攻击范围至日本、澳大利亚和印度等地区。... 2026-1-22 13:54:16 | 阅读: 0 | 收藏 | 0day Fans - research.checkpoint.com powershell konni software development blockchain

VoidLink: Evidence That the Era of Advanced AI-Generated Malware Has Begun 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。用户给的文章是关于Check Point Research发现的VoidLink恶意软件，这是第一个明显由AI生成的高级恶意软件框架。文章详细描述了VoidLink的开发过程、使用的技术以及其对网络安全的影响。 首先，我需要理解文章的主要内容。VoidLink是由一个人利用AI开发的，它展示了AI在恶意软件开发中的潜力。文章提到，开发者使用了TRAE这样的AI工具，通过Spec Driven Development方法快速生成代码。此外，开发过程中的一些失误暴露了内部资料，揭示了AI在其中的关键作用。 接下来，我需要提取关键点：VoidLink是首个由AI主导开发的高级恶意软件；展示了AI如何让个人快速构建复杂的攻击工具；其功能强大，可能被用于高级威胁活动。 现在，我需要用简洁的语言把这些要点浓缩到100字以内。要注意避免使用“文章内容总结”之类的开头词，直接描述内容。 可能的结构是：介绍VoidLink及其特点，说明其对安全的影响。例如，“Check Point Research发现首个由AI主导开发的高级恶意软件框架VoidLink，展示了AI如何助力个人快速构建复杂攻击工具。” 检查字数是否符合要求，并确保信息准确无误。 </think> Check Point Research发现首个由AI主导开发的高级恶意软件框架VoidLink，展示了AI如何助力个人快速构建复杂攻击工具。... 2026-1-20 09:28:32 | 阅读: 0 | 收藏 | 0day Fans - research.checkpoint.com voidlink development sprint developer trae

Sicarii Ransomware: Truth vs Myth 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，并且不需要特定的开头。首先，我得仔细阅读用户提供的文章内容，了解主要信息。 这篇文章主要讲的是一个名为Sicarii的新型勒索软件即服务（RaaS）组织。他们声称是以色列或犹太背景，并使用希伯来语和相关符号。然而，他们的俄语地下活动和蹩脚的希伯来语翻译表明可能有伪装。技术上，他们避免攻击以色列系统，使用AES-GCM加密，并有破坏性组件。 接下来，我需要提取关键点：Sicarii的特点、技术能力、身份伪装的迹象以及与其他勒索软件的不同之处。然后，将这些信息浓缩成100字以内的简洁描述。 需要注意的是，用户希望直接描述内容，不需要“这篇文章”这样的开头。因此，我应该直接陈述要点，确保涵盖所有重要信息。 最后，检查字数是否符合要求，并确保语言流畅自然。 </think> Sicarii 是一个新兴的勒索软件即服务（RaaS）组织，声称以以色列/犹太背景为目标，并使用希伯来语和相关符号进行品牌宣传。然而，其地下活动主要用俄语进行，且希伯来语内容存在明显错误。该组织避免攻击以色列系统，并结合意识形态和财务动机进行勒索。技术上具备数据外泄、加密文件等功能，但行为异常，身份真实性存疑。... 2026-1-14 14:23:37 | 阅读: 0 | 收藏 | 0day Fans - research.checkpoint.com sicarii ransomware israeli hebrew jewish

Unveiling VoidLink – A Stealthy, Cloud-Native Linux Malware Framework VoidLink 是一个针对 Linux 系统的高级恶意软件框架，专为云环境设计，具备模块化插件、隐蔽通信和持久性功能。它由中国的威胁行为者开发，支持多种协议和反分析机制。... 2026-1-13 06:32:9 | 阅读: 0 | 收藏 | 0day Fans - research.checkpoint.com voidlink cloud stealth network ssh

Inside GoBruteforcer: AI-Generated Server Defaults, Weak Passwords, and Crypto-Focused Campaigns GoBruteforcer是一种用Go语言编写的模块化botnet，通过暴力破解密码攻击Linux服务器上的服务如FTP、MySQL等。它利用AI生成的示例导致弱密码和遗留堆栈如XAMPP暴露的问题进行传播。据估计，超过50,000个互联网服务器可能易受攻击。该botnet还针对加密货币和区块链项目数据库进行攻击，并使用相关工具转移代币。... 2026-1-7 13:7:43 | 阅读: 7 | 收藏 | 0day Fans - research.checkpoint.com bots phpmyadmin irc c2

GachiLoader: Defeating Node.js Malware with API Tracing 研究揭示了YouTube Ghost Network通过被黑账户推广恶意视频传播恶意软件。GachiLoader是一种基于Node.js的加载器，用于部署最终payload如Rhadamanthys信息窃取器。其第二阶段加载器Kidkadi采用Vectored Overloading技术实现PE注入。研究团队开发开源工具Node.js Tracer以分析此类恶意软件，并强调用户应警惕 YouTube 上的破解软件广告以避免感染。... 2025-12-17 14:12:46 | 阅读: 3 | 收藏 | 0day Fans - research.checkpoint.com payload loader gachiloader analysis windows

Inside Ink Dragon: Revealing the Relay Network and Inner Workings of a Stealthy Offensive Operation Check Point Research发现中国威胁行为者Ink Dragon近期针对欧洲、东南亚和南美政府目标展开新一波攻击。该组织利用ShadowPad IIS模块将受感染服务器转变为中继节点，并通过ViewState反序列化等已知漏洞进行初始访问。其工具包括FinalDraft恶意软件和多种侧载技术，展现了成熟且不断演化的网络间谍能力。... 2025-12-16 13:1:4 | 阅读: 26 | 收藏 | 0day Fans - research.checkpoint.com dragon ink shadowpad network payload

Cracking ValleyRAT: From Builder Secrets to Kernel Rootkits Check Point Research分析了ValleyRAT后门的模块化架构和插件系统。该恶意软件包含一个带有合法签名的内核模式rootkit，可在Windows 11上运行，并具备隐藏驱动、注入shellcode和删除安全软件的能力。检测数据显示其使用量激增，与构建器泄露有关。... 2025-12-10 14:41:43 | 阅读: 24 | 收藏 | 0day Fans - research.checkpoint.com valleyrat windows dllmain client plugin64

The $9M yETH Exploit: How 16 Wei Became Infinite Tokens 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内。首先，我需要通读整篇文章，理解主要事件和关键点。 文章讲的是Yearn Finance的yETH池在2025年11月30日被攻击，损失了约900万美元。攻击者利用了一个缓存存储漏洞，通过存入极小金额的 wei，却成功mint了大量yETH tokens。这个漏洞是因为当池子被完全清空时，缓存的虚拟余额没有被重置，导致协议错误地读取了旧值。 接下来，我需要提取关键信息：攻击时间、损失金额、漏洞类型、攻击手法以及影响。然后用简洁的语言把这些点整合起来，确保不超过100字。 可能会遇到的问题是如何在有限的字数内涵盖所有重要信息。因此，需要精简表达，突出主要事件和原因。 最后，检查总结是否准确反映了文章内容，并且符合用户的要求。 </think> Yearn Finance的yETH池因缓存存储漏洞遭攻击，损失约900万美元。攻击者利用池子清空后虚拟余额未重置的缺陷，在存入极小金额后 mint 了大量 tokens。此漏洞暴露了复杂 DeFi 系统中状态管理的风险。... 2025-12-2 13:41:31 | 阅读: 13 | 收藏 | 0day Fans - research.checkpoint.com yeth balances packed deposit attacker

CVE-2025-61260 — OpenAI Codex CLI: Command Injection via Project-Local Configuration By: Isabel Mill & Oded VanunuOpenAI Codex CLI is OpenAI’s command-line tool that brings... 2025-12-1 13:20:4 | 阅读: 10 | 收藏 | 0day Fans - research.checkpoint.com codex mcp attacker developer repository