Securing Embodied AI: A Technical White Paper on Humanoid Robots Redirecting to https://geekcon.top/whitepaper/Embodied-AI-Security-Humanoid-Robots-2604.pdf.... 2026-4-20 02:33:6 | 阅读: 16 | 收藏 | 0day Fans - www.darknavy.org geekcon whitepaper embodied security humanoid

Hyperbridge ISMP Forged Proof DOT Mint 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100个字以内。首先，我需要理解文章的主要内容。看起来这篇文章是关于一次区块链的安全漏洞事件，涉及到Hyperbridge协议和TokenGateway合约。 文章详细描述了攻击者如何利用MMR验证器中的一个漏洞，伪造了一个治理请求，从而获得了DOT代币的管理权限。攻击者通过这个权限 mint 了大量DOT代币，并通过Odos和Uniswap v4进行交易，最终获利。 接下来，我需要将这些关键点浓缩到100字以内。主要信息包括：时间、攻击方式、漏洞位置、攻击结果以及损失情况。我应该避免使用复杂的术语，保持简洁明了。 可能的结构是：时间+攻击者利用漏洞+具体操作+结果+损失金额。这样可以确保在有限的字数内涵盖所有重要信息。 最后，检查一下是否符合用户的要求：中文总结，不使用特定开头，控制在100字以内。确保没有遗漏关键点，并且表达清晰。 </think> 2026年4月13日，攻击者利用Hyperbridge协议中的MMR验证器漏洞伪造治理请求，篡改TokenGateway合约的管理权限并mint 10亿DOT代币，在Odos/Uniswap v4上兑换为约108.2 ETH（约合23.7万美元），暴露了协议的信任边界和治理流程缺陷。... 2026-4-13 00:0:45 | 阅读: 0 | 收藏 | 0day Fans - www.darknavy.org leaf forged attacker hyperbridge

Exploit Investigator 嗯，用户让我用中文总结一下这篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。那我得先仔细看看这篇文章讲的是什么。 文章标题是“An AI-powered multi-agent pipeline for investigating on-chain attack transactions.” 看起来是关于用AI驱动的多智能体管道来调查链上攻击交易的。接下来的内容提到了生成全面的事件报告，包括根本原因分析、自我纠正的分析师-验证器辩论，以及可选的Foundry PoC漏洞利用。然后详细描述了管道的工作流程，从解析输入到设置分析目录，再到计划、数据收集、检查、辩论循环、生成报告和PoC测试。 后面的部分列出了它与其他工具的不同之处，比如包含代码片段、链上 artifacts、分析师-验证器辩论等。还提到了支持的链和安装使用方法。 用户的需求是总结内容，所以我要抓住主要点：AI驱动的多智能体管道用于调查链上攻击交易，生成包含代码片段和根本原因分析的报告，并支持多个区块链网络。 现在控制在100字以内，要简洁明了。直接描述功能和特点，不需要复杂的结构。 </think> 文章介绍了一种基于AI的多智能体管道工具，用于调查链上攻击交易并生成包含代码片段和根本原因分析的事件报告。该工具支持多个区块链网络，并通过分析师与验证器的辩论机制确保报告准确性。... 2026-4-13 00:0:45 | 阅读: 0 | 收藏 | 0day Fans - www.darknavy.org analysis validator foundry debate

Client Auditor 嗯，用户让我帮忙总结一篇文章，控制在一百个字以内，而且不需要特定的开头。首先，我需要仔细阅读文章内容，理解它的主要结构和重点。 文章介绍了一个7阶段的区块链节点安全审计框架，使用了编排器加子代理的架构。这个框架涵盖了执行客户端、共识客户端、应用链SDK、桥梁等多个方面。每个阶段都有具体的功能，比如PipelineSetup创建输出目录，Recon映射代码结构等等。 接下来是知识库部分，提到了20个漏洞模式家族和7个分析镜头，还有对抗性审查流程。最后是使用说明和安装步骤。 总结的时候要抓住关键点：7阶段审计框架、编排器+子代理架构、覆盖的组件类型、20个漏洞模式以及使用方法。确保在100字以内清晰表达这些内容。 </think> 文章介绍了一种基于编排器+子代理架构的7阶段区块链节点安全审计框架，涵盖执行客户端、共识客户端、应用链SDK、桥梁等组件。该框架通过20个漏洞模式家族和7个分析镜头系统性地识别潜在安全问题，并提供对抗性审查流程和报告生成功能。... 2026-4-13 00:0:45 | 阅读: 0 | 收藏 | 0day Fans - www.darknavy.org auditor client sdks codebase cometbft

Contract Auditor 嗯，用户让我用中文总结一下这篇文章的内容，控制在一百个字以内。不需要特定的开头，直接写描述。好的，我先看看文章内容。 文章讲的是一个基于DFS的AI安全审计器，用于Solidity智能合约。主要流程包括侦察、上下文分析、代理分配、深度优先分析、结果合并和报告生成。设计理念强调覆盖而非约束，利用领域知识作为参考，并进行严格的验证。 我需要把这些关键点浓缩到100字以内。首先确定主要功能：AI审计器，Solidity合约，基于DFS。然后是流程：上下文分析、代理分配、深度分析、结果处理。设计理念方面强调覆盖和验证。 组合起来：一个基于DFS的AI安全审计器用于Solidity智能合约审计，通过上下文分析、代理分配和深度优先分析识别漏洞，并进行结果合并与验证。 检查字数，大约80字左右，符合要求。这样应该能满足用户的需求。 </think> 一个基于DFS的AI安全审计器用于Solidity智能合约审计，通过上下文分析、代理分配和深度优先分析识别漏洞，并进行结果合并与验证。... 2026-4-13 00:0:45 | 阅读: 0 | 收藏 | 0day Fans - www.darknavy.org auditor solidity agents skill adversarial

SubQuery Settings Access Control Staking Drain 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解发生了什么事情。 这篇文章讲的是SubQuery Network在Base区块链上的一个质押协议在2026年4月12日遭到攻击。攻击者利用了Settings合约中的漏洞，特别是setBatchAddress和setContractAddress这两个函数缺乏访问控制，导致他们能够重写关键的合约地址，从而盗取了大量代币。 接下来，我需要提取关键信息：攻击时间、地点、漏洞位置、被盗金额以及攻击手法。然后，把这些信息浓缩成简短的句子，确保不超过100字。 可能的结构是：时间地点+攻击事件+漏洞原因+结果。这样既全面又简洁。 最后，检查语言是否流畅，信息是否准确无误。确保没有遗漏重要细节，同时保持表达清晰。 </think> SubQuery Network在Base区块链上因Settings合约漏洞遭攻击，损失约218.29M SQT。攻击者利用setBatchAddress和setContractAddress函数无访问控制的缺陷，重写关键合约地址并盗取资金。... 2026-4-11 23:58:57 | 阅读: 0 | 收藏 | 0day Fans - www.darknavy.org staking sqt attacker

Denaria Finance Virtual AMM Manipulation 嗯，用户让我总结一下这篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我需要快速浏览文章，抓住主要信息。 文章讲的是Denaria Finance在2026年4月5日遭受了一次虚拟AMM操纵攻击。攻击者利用闪贷和部署临时合约，通过漏洞从协议中盗取了约16.5万美元。问题出在PerpPair和Vault合约的函数上，这些函数没有对利润进行限制，导致攻击者能够提取大量资金。 我需要把这些关键点浓缩到100字以内：时间、地点、事件、攻击手段、结果以及原因。确保信息准确且简洁。 可能的结构是：时间地点事件，攻击手段和结果，原因是什么。 这样组合起来应该可以满足用户的要求。 </think> 2026年4月5日，Denaria Finance在Linea链上的虚拟AMM因未受保护的PnL计算漏洞遭攻击。攻击者利用闪贷和临时合约，在两轮操作中从协议中提取约16.5万美元。漏洞源于`realizePnL`函数未限制PnL值，导致虚拟资产被过度估值并被提取。... 2026-4-4 23:59:31 | 阅读: 0 | 收藏 | 0day Fans - www.darknavy.org usdc pnl perppair realizepnl

WhaleBit CES/IGT Staking Oracle Manipulation 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读用户提供的文章，理解其主要内容。 这篇文章主要讲述了一次针对WhaleBit平台的攻击事件。攻击者利用了未验证的质押系统和闪贷，通过操纵价格模块中的实际价格来获取利润。攻击过程包括借入大量代币、质押、压低价格、赎回并获利。最终，攻击者获利约10,506 CES，相当于1万美元左右。 接下来，我需要将这些信息浓缩到100字以内。要注意直接描述事件，不需要使用“这篇文章”之类的开头。重点包括时间、攻击手段、漏洞原因以及结果。 可能的结构是：时间 + 攻击者行为 + 漏洞原因 + 结果。这样既简洁又全面。 最后，检查字数是否符合要求，并确保内容准确无误。 </think> 2026年3月31日，一名攻击者利用WhaleBit平台的未验证质押系统和闪贷，在同一笔交易中操纵价格模块的实际价格，通过压低代币价格并赎回获利约10,506 CES（约合1万美元）。漏洞源于质押系统信任可被操控的实时池价。... 2026-3-30 23:59:18 | 阅读: 0 | 收藏 | 0day Fans - www.darknavy.org ces proxy spot igt staking

When an AI Assistant Becomes Part of the Hacker’s Attack Chain | Security Analysis of Doubao Phone 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章的英文内容和一个示例总结，我需要先理解文章的主要内容，然后进行简洁的总结。 首先，文章主要讨论了Doubao Phone Assistant（Doubao Assistant）这款手机助手的功能、技术实现以及相关的安全隐私问题。Doubao Assistant是2025年底推出的，它能够通过AI代理执行复杂的跨应用和跨场景操作，比如打开应用、比较价格、下单等。文章详细介绍了它的架构，包括Obric操作系统及其各个模块的功能。 接下来，文章讨论了Doubao Assistant在安全和隐私方面的考虑。它使用了TEE进行mTLS双向认证，保护云端通信的安全。对于敏感界面，它不会截取真实内容，而是使用占位符图像。此外，自动化操作受到云侧策略的限制，无法在微信、支付宝等高敏感应用中执行自动化任务。 然后，文章分析了潜在的安全风险。首先是GUI TOCTOU（时间检查到时间使用）风险，即在自动化操作过程中，界面状态可能发生变化导致误操作。其次是提示注入（Prompt Injection）风险，攻击者可能通过精心设计的内容影响模型决策，进而窃取用户信息。 最后，文章指出尽管Doubao Assistant在安全方面做了很多工作，但仍存在可利用的漏洞，并强调了AI安全框架建设的重要性。 现在我需要将这些内容浓缩到100字以内。要抓住关键点：Doubao Assistant的功能、技术实现、安全机制、潜在风险以及结论。 可能的结构： - Doubao Assistant的功能：AI代理执行复杂操作。 - 技术：基于LLM和GUI Agent。 - 安全措施：TEE认证、敏感界面处理。 - 风险：TOCTOU和Prompt Injection。 - 结论：AI安全需重视。 现在试着组织语言： “Doubao Assistant是一款由AI代理控制的手机助手，能够执行复杂跨应用操作。其架构基于LLM和GUI Agent技术，并通过TEE进行双向认证确保云端通信安全。然而，在敏感界面处理和任务执行中仍存在TOCTOU和提示注入等潜在风险。” 这样大约75字左右。 </think> “Doubao Assistant是一款由AI代理控制的手机助手，能够执行复杂跨应用操作。其架构基于LLM和GUI Agent技术，并通过TEE进行双向认证确保云端通信安全。然而，在敏感界面处理和任务执行中仍存在TOCTOU和提示注入等潜在风险。”... 2026-3-4 03:30:52 | 阅读: 5 | 收藏 | 0day Fans - www.darknavy.org doubao cloud security inference injection

How And Why We Hacked Cypherock Hardware Wallet: The Full Story On blockchains, whoever controls the private key to an address controls the funds in the correspondi... 2025-11-21 07:47:34 | 阅读: 17 | 收藏 | 0day Fans - www.darknavy.org firmware bootloader cypherock hardware

About DARKNAVY是一家总部位于新加坡和上海的独立网络安全研究和服务机构,专注于AVSS(对抗漏洞评分系统)和定量安全领域,并运营国际黑客竞赛GEEKCON。公司继承自2011年成立的KeenTeam,拥有十年操作系统、芯片组、AI等领域的安全研究经验,已为华为、支付宝等企业提供高级安全评估服务,致力于推动网络安全行业的发展。... 2025-10-14 08:33:4 | 阅读: 93 | 收藏 | 0day Fans - www.darknavy.org security darknavy competition competitive

Achieving Persistent Client-Side Attacks with a Single WeChat Message 即时通讯应用如WhatsApp、Telegram、微信和QQ已成为现代社会的重要通信工具，承载社交、支付和办公等功能。其安全性直接影响个人隐私、资产及国家安全。文章以微信为例，分析了URL链接、文件处理、内置浏览器及小程序等攻击面，并探讨了相关安全机制与防御措施。... 2025-5-30 03:26:24 | 阅读: 43 | 收藏 | 0day Fans - www.darknavy.org wechat security client malicious attackers

Argusee: A Multi-Agent Collaborative Architecture for Automated Vulnerability Discovery DARKNAVY开发的Argusee工具采用多智能体协作架构，模拟人类安全团队分工合作，显著提升代码审计效率和准确性。该工具在Linux内核USB协议栈中发现高危漏洞CVE-2025-37891，并成功利用该漏洞获取root权限。... 2025-5-23 03:9:29 | 阅读: 22 | 收藏 | 0day Fans - www.darknavy.org argusee agents security overflow

Fatal Vulnerabilities Compromising DJI Control Devices DARKNAVY团队发现大疆遥控设备中的一个致命漏洞链，涉及DUML协议和五个漏洞。通过这些漏洞，他们成功获取了大疆遥控器的根密钥，进而可以控制无人机的通信。... 2025-4-27 02:1:3 | 阅读: 22 | 收藏 | 0day Fans - www.darknavy.org dji remote duml drone security

The Jailbroken Unitree Robot Dog 文章探讨了智能机器狗GO2的安全问题，包括其与移动应用和云服务的交互、WebRTC协议和DDS协议的使用。研究发现GO2存在潜在漏洞，并分析了第三方 jailbreak 工具的攻击逻辑。尽管Unitree启用了SecureBoot以增强安全性，但智能机器人产品的网络安全仍需进一步提升。... 2025-4-24 02:0:2 | 阅读: 169 | 收藏 | 0day Fans - www.darknavy.org go2 robot dog webrtc unitree

A First Glimpse of the Starlink User Ternimal 文章探讨了SpaceX的Starlink卫星互联网服务及其技术细节。分析了用户终端硬件结构、固件组成及安全性，并揭示潜在漏洞。... 2025-4-18 02:11:8 | 阅读: 17 | 收藏 | 0day Fans - www.darknavy.org starlink uta firmware chip satellite

Reconstructing the $1.5 Billion Bybit Hack by North Korean Actors 2025年2月21日，加密货币交易所Bybit遭遇网络攻击，损失近15亿美元。朝鲜黑客通过社交工程入侵Safe{Wallet}团队开发者，篡改前端代码，在多签交易中注入恶意脚本。Bybit三名签名者未核实交易细节，批准恶意请求致资金被盗。事件暴露第三方依赖、安全意识不足及技术漏洞问题。... 2025-4-16 07:35:14 | 阅读: 3 | 收藏 | 0day Fans - www.darknavy.org bybit malicious signers frontend security

The Most Frustrating Vulnerability Disclosure of 2024 文章探讨了网络安全中漏洞披露机制的问题。通过一名研究员因与厂商沟通不畅而提前公开高危漏洞的案例,揭示了现行"负责任披露"模式的局限性。传统CVD模型赋予厂商过多控制权,导致研究人员需投入大量时间协调。文章建议引入更公平高效的解决方案。... 2025-2-16 09:58:32 | 阅读: 3 | 收藏 | 0day Fans - www.darknavy.org security simone developers cups

The Most "Secure" Defenders of 2024 2024年安全软件在防御中扮演重要角色，但自身也可能存在漏洞被攻击者利用。Palo Alto Networks Cortex XDR被发现特权 escalation 漏洞；CrowdStrike 异常更新导致全球电脑崩溃；Fortinet FortiManager 存在严重认证漏洞。这些事件揭示了安全软件自身安全性不足的问题，提醒需重新审视网络安全防御策略。... 2025-2-15 09:54:34 | 阅读: 7 | 收藏 | 0day Fans - www.darknavy.org security software attackers

The Most Unstoppable Offensive and Defensive Trend of 2024 近年来，漏洞与防御技术不断演进。从简单的堆栈溢出到复杂的多层防御绕过手段，“盾”与“矛”持续动态对抗。硬件级防御如ARM的MTE、Linux的msealsyscall等提升内存安全；同时非内存破坏漏洞如命令注入、供应链攻击等逐渐成为主要威胁。... 2025-2-14 09:46:13 | 阅读: 4 | 收藏 | 0day Fans - www.darknavy.org memory security injection mte