洞源实验室 | 网络安全实践与AI安全探索

日常开发过程中，开发人员经常需要从一大段复杂的字符串中快速匹配特殊规律的字符串，比如，在用户输入手机号、身份证号等字符后，提醒用户是否输入规范。通常，这些功能的实现需要依赖叫做“正则表达式”的方法，当在它在处理一些复杂的、嵌套的或者具有多个重复的模式字符串时就会造成程序卡死，即造成ReDoS。 正则表达式简介正则表达式是一种用单个字符串来表示各种字符串的表达方式，通常用于在文本中搜索和提取字符串。

测评背景随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。同时，在代码安全审计或检测过程中，也需要选择一款合适的、好用的代码安全扫描工具作为人工辅助。 2023年5月30日，OWASP中国基于目前行业内的相关调研报告以及行业共识，发布了《静态源代码安全扫描工具测评基准》v2.0版本，对于静态源代码安全扫

每年的年底，都是各个部门向上总结、汇报当年工作成果的时候，安全部门也是其中之一。作为大家眼中的成本中心，做的好，往往意味着花钱也多，做的不好，往往意味着钱花的不值。对于企业内其他部门或岗位而言，会对安全部门的存在有着近乎天然的疑惑： 安全部门的同事们每天在做什么工作？ 为什么我们已经有了测试部门，还要做安全测试？ 安全部门对于业务的发展和拓展有什么样的作用？ 同样，作为安全工作的最高负责人（CIS

笔者的职业生涯中很多年都在甲方公司担任安全负责人或者信息化负责人，历经了公司从小到大，从大到更大的过程，也历经了从安全工程师到CIO，从安全工作的一无所有到上市审计（ITGC/ITAC）。最近的几年换到乙方安全公司，换了个视角看待体验乙方安全业务的开展和发展，从早前被乙方厂商围着转，到现在围着甲方公司转，经历了不少大大小小的安全项目，包括产品项目和安服项目。 因此，想结合自己的经历和观察

0x00 漏洞背景WinRAR是一款功能强大的压缩和解压缩软件，它允许用户轻松地创建和管理存档文件，将多个文件或文件夹压缩成单个文件以减小文件大小，或解压已有的存档文件。用户可以设置密码来保护存档文件的内容，并在需要时自动解压缩文件。WinRAR还支持多种压缩格式，具有出色的压缩率和压缩速度，适用于各种操作系统，为文件管理提供了便捷工具。 0x01 漏洞信息2023年6月8日 安全研究人员good

2023年8月15日国家六个部委发布的《生成式人工智能服务管理暂行办法》正式施行，该办法强调了大语言模型安全的重要性，防止生成潜在隐私泄露、违法犯罪内容。 为评估大语言模型应用及服务的安全性，腾讯混元大模型、腾讯朱雀实验室、供应链安全检测中心洞源实验室联合清华大学、OWASP中国推出大语言模型（LLM）安全性测评基准，旨在评估大语言模型在Prompt安全和内容安全方面的能力，为企业的大语言模型应用

事件背景工商银行（ICBC）是中国最大的商业银行之一，成立于1984年，总部位于北京。作为全球最大的银行之一，ICBC拥有庞大的资产规模和全球业务网络，提供广泛的金融产品和服务，涵盖零售银行、公司银行、金融市场等领域。其国际化业务参与全球金融市场，为客户提供全面的金融解决方案。ICBC在全球银行业排名中一直居于前列，是中国金融体系的重要组成部分，对促进国内外经济发展起着关键作用。 工行旗下的ICB

0x00 漏洞背景curl是一个跨平台的命令行工具和库，用于进行各种网络数据传输操作，包括文件下载、上传、HTTP请求和支持多种网络协议，同时也提供了丰富的自定义选项，使其成为系统管理员、开发者和测试人员在终端上进行网络操作的强大工具。 这个漏洞导致curl在SOCKS5代理握手过程中产生了堆溢出。 当要求curl将主机名传递给SOCKS5代理以允许其解析地址，而不是由curl自己完成时，主机名的

测评背景随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。 2023年5月30日，OWASP中国基于目前行业内的相关调研报告以及行业共识发布了 《静态源代码安全扫描工具测评基准》v2.0 版本，对于静态源代码安全扫描工具的测评基准进行了升级。 在此基础上，【供应链安全检测中心】联合【武汉金银湖实验室

测评背景随着数字技术的进步，网络安全行业日益发展，企业对于DevSecOps的应用和落地的需求日益增加，静态源代码安全扫描工具已成为其中的关键产品或工具。 2023年5月30日，OWASP中国基于目前行业内的相关调研报告以及行业共识发布了 《静态源代码安全扫描工具测评基准》v2.0 版本，对于静态源代码安全扫描工具的测评基准进行了升级。 在此基础上，【洞源实验室】联合【武汉金银湖实验室】邀请国