2025 年，我们的系统已经在主流开源仓库自动发现了 60+ 个真实世界漏洞，半数以上都是高危漏洞，我们发现：**成功的关键并非某个单一技术突破，而是正确把握了 AI 演进的范式，并在每次范式转换中及时调整方法**。与此同时，我们也观察到，大量曾经发表于顶会的工作，因为未能跟上范式转移而逐渐失去现实影响力。这一现象促使我们写下这篇文章：系统梳理 2022–2025 年间自动化漏洞挖掘的三次范式跃迁——从「LLM 做代码分类」到「LLM 辅助传统工具」再到「Agent 主导的自动化审计」——帮助读者理解范式转换的规律，做出能够跨越范式的研究与工程决策。

在当今数字世界中，RSA‑2048 与 ECC 等经典公钥密码是最广泛应用的加密标准，支撑着网络安全、金融交易和隐私保护的底层信任。然而，这一基石正面临量子计算的潜在威胁。理论上，量子计算机能够以远快于经典计算机的速度分解大整数和离散对数求解，从而在短时间内破解 RSA 和 ECC 加密。这一前景既令人兴奋，也令人担忧。问题在于：量子计算机的发展究竟到了什么阶段？有人乐观地认为经典公钥密码的“倒计时”已经开始；也有人怀疑，受限于制造难度，真正可用的量子计算机还遥遥无期。市面上相关论调不一，往往乐观或悲观，但核心疑问始终萦绕：量子计算机距离破解经典公钥密码还有多远？我们将尝试以拆解和分析量子计算机的制造瓶颈与突破希望方式回答这一问题。

我们研发的AI自动化漏洞挖掘引擎已经在各种类型的重要开源软件中挖出了30多个漏洞，其中近半数都是具有较高的实际危害（如RCE）。这篇文章将分享一个比较有趣的漏洞:"零知识证明库 gnark 中发现了一个高危漏洞（CVE-2025-57801，CVSS 8.6）"，后续我们也会分享更多有意思的漏洞出来。

最近 VibeCoding 成为开发圈的新风潮。借助 Cursor、Claude Code 等工具，开发者只需描述需求，AI 就能自动生成代码。从批量完成重复性代码，到快速搭建原型、重构陈旧代码，极大地提升了研发效率。我们在尝试过程中，发现它完全可以胜任中等难度的工程开发工作。其带来生产力的提升令人印象深刻。然而，也有不少人初次接触时感到失望：AI 写出的代码无法运行，改动还把项目弄得一团糟，最终只好回到「祖传手写」或在普通AI对话界面里边问边写。这就形成了一种落差——一边是爱好者对提效体验的热情分享，另一边却是新用户的挫败与困惑。为什么会这样？原因在于，VibeCoding Agent本质上只是一个工具，它确实拥有强大的潜力，但前提是用户需要掌握一定的使用方法。目前各平台虽然提供了不少“最佳实践”清单，但大多零散琐碎，很难直接套用，让人难以形成系统的理解。本文将尝试回到根本，从几个最核心的原则出发，解释如何让 VibeCoding 真正好用起来，成为新生产力工具。

为什么有些文章能让人一口气读完，而有些文章却让人“每句话都懂，却合起来看不明白”？问题往往不在读者，而在写作方式。那么，怎样才能写出既专业又好读的文章呢？本文将以信息传递类文章（如博客、技术文档、学术论文等）为例，尝试总结一些实用经验。如果你正好正在创作这类内容，相信这里的思路会对你有所帮助。需要说明的是，文中提到的部分技巧并不限于信息传递类文字，其中一些方法（例如让文字更具画面感）在散文、小说等其他类型的写作中同样适用。

技术的本质，是为了实现人类某个目的而形成的流程、方法或装置。换句话说，技术从来是为目的服务的，而不是目的本身。也因此，当我们试图用技术去解决一个问题时，问题所在的领域，和最终所需要调用的解法所在的领域，可能完全不同。问题域只是问题发生的地方，而解法域是答案所在的地方，两者并不必然一致。所以，**一个人掌握的技术越全面，他就越有可能构造出一个好的解决方案。**

大语言模型（LLM）正在从简单的对话工具演化为能够编写代码、操作浏览器、执行系统命令的智能体。随着大模型应用的演进，提示词注入攻击的威胁也在不断升级。设想这样一个场景：你让AI助手帮你编写代码，它却突然开始执行恶意指令，控制了你的电脑。这种看似科幻的情节，如今正在变为现实。本文将介绍一种新型的提示词注入攻击范式。攻击者只需掌握一套“通用触发器”，就能精确控制大模型输出任意攻击者指定的内容，从而利用AI智能体实现远程代码执行等高风险操作。

在当今数字化时代，5G、4G和Wi-Fi等无线通信技术已成为我们日常生活的重要基础设施。这些网络普遍采用先进的加密协议，理论上能够有效保护用户通信安全。然而，近期由我们腾讯玄武实验室与清华大学陈建军老师团队在EuroS&P 2025上发表的研究成果LenOracle揭示了一个新的安全隐患：攻击者可能将空口数据帧（radio frame）长度信息作为侧信道，在不破解无线加密的情况下劫持加密网络中的TCP/UDP连接。我们在真实的商用LTE网络和Wi-Fi环境中进行了测试，成功在TCP场景下利用该攻击向受害设备注入了一条伪造的短消息，并在UDP场景下污染了受害设备的DNS缓存，展示了该攻击对关键网络服务的潜在破坏力。

分享一下西方哲学如何通过理性证明上帝的存在。这是一场跨越时空的逻辑对话，非常有趣。

作为理科生，我在相当长的时间都觉得逻辑是唯一值得相信的东西。因此也曾觉得中国哲学，诸如心经的“空即是色，色即是空”这种看起来没有逻辑的东西实在是令人遗憾。甚至认为东方哲学是走偏了，还是西方认识论、本体论才是哲学的正道。后来随着学习的深入，才发现逻辑也有其局限，而中国哲学的方法正好可以能其所不能。

春节后开始读庄子，先秦时期的文言文比唐宋之后要难读的多，对照着各级注解讲述，读了一个多周也只读完了“逍遥游”和一半的“齐物论”。光这部分就让我受益匪浅，于是今天且分享一下。

2024年，是我读书最多的一年，也是我自我感觉成长最大的一年。我读的书大体可以分为三大话题：哲学、理财，以及一些偏向实用性的内容。我会在本文分享一下我在这些话题上的一些感悟。

当我们说“我自由地做出了选择”，这句话究竟意味着什么？在一个由物理定律支配的宇宙中，自由真的存在吗？而如果世界本身没有目标与意义，人类的选择又有什么价值？人的一生，似乎都在会在一个追问中前行：我的人生是为了什么。本文将尝试从科学、哲学与意识层面展开思考，在理性与困惑之间，寻找一个“自由而有意义的生存

本文的目标读者是开发过一些脚本和个人项目，想进一步了解工程开发的安全研究人员。

我昨天晚上在微信群中看到了一篇文章，文章作者家人一部手机被盗，被黑产犯罪团伙以SIM卡（主要是短信验证码）为起点，完成了对文章作者家人展开了一系列的攻击。虽然文章作者做了一些及时的补救，但这些攻击仍使得受害者损失惨重，如被刷了各种小额贷款等。我思考了一下这套攻击能成功的原因，以及如何才能防御这类攻击，在此分享给大家。

我们战队 r3kapig 为刚刚结束的 DEFCON 外卡赛之一的 Baidu CTF 提供了 10 道赛题（一共 13 道），并作为比赛的总裁判把控了比赛的赛制、部分规则以及赛题质量。 Baidu CTF 是一个新生的外卡赛，我们也做了一些尝试，比如让 AEG 战队和人类顶尖战队在比赛中同场 PK。虽然在不断试新的过程中出现了不少小问题，但是在大家的共同努力下，我们还是贡献出了一场合格的外卡赛。今天，我想以这场比赛为契机，来谈一谈我个人对 CTF赛题的理解