Author: Jiashuo Liang and Guancheng Li of Tencent Xuanwu Lab

0x00 前言

大语言模型（LLM）正在从简单的对话工具演化为能够编写代码、操作浏览器、执行系统命令的智能体。随着大模型应用的演进，提示词注入攻击的威胁也在不断升级。

设想这样一个场景：你让AI助手帮你编写代码，它却突然开始执行恶意指令，控制了你的电脑。这种看似科幻的情节，如今正在变为现实。

本文将介绍一种新型的提示词注入攻击范式。攻击者只需掌握一套“通用触发器”，就能精确控制大模型输出任意攻击者指定的内容，从而利用AI智能体实现远程代码执行等高风险操作。

Author: Guancheng Li of Tencent Security Xuanwu Lab

在当今数字化时代，5G、4G和Wi-Fi等无线通信技术已成为我们日常生活的重要基础设施。这些网络普遍采用先进的加密协议，理论上能够有效保护用户通信安全。然而，近期由我们腾讯玄武实验室与清华大学陈建军老师团队在EuroS&P 2025上发表的研究成果LenOracle揭示了一个新的安全隐患：攻击者可能将空口数据帧（radio frame）长度信息作为侧信道，在不破解无线加密的情况下劫持加密网络中的TCP/UDP连接。我们在真实的商用LTE网络和Wi-Fi环境中进行了测试，成功在TCP场景下利用该攻击向受害设备注入了一条伪造的短消息，并在UDP场景下污染了受害设备的DNS缓存，展示了该攻击对关键网络服务的潜在破坏力。

这是怎么一回事呢？无线网络的加密协议虽然可以阻止攻击者在物理层窃听通信内容或篡改、注入消息，但在传输层，如果攻击者掌握了四元组信息（客户端IP、客户端端口、服务器IP、服务器端口）以及序列号（SEQ）和确认号（ACK），仍可以通过发送伪造四元组的数据包，将任意数据注入到相应的网络连接中。这些伪造的数据包会经过互联网路由，最终被调制为空口数据帧并传递到受害者设备，从而间接实现对无线信道的消息注入。在实际情况下，攻击者通常难以获取四元组和序列号等关键信息。而我们的研究发现，如果将空口数据帧的长度信息与网络地址转换（NAT）的工作机制以及TCP协议的固有特性结合，是可以逐步推断出目标连接的四元组（源IP、源端口、目的IP、目的端口）以及关键的协议状态信息（如序列号和确认号），从而实现对网络中TCP/UDP通信的劫持。

私有化部署大模型能够有效保护数据隐私、便于开展大模型安全研究和知识蒸馏。目前主流部署方式包括纯 GPU、CPU/GPU 混合以及纯 CPU 三种部署方式。本文介绍了我们针对 DeepSeek 大模型纯 CPU 本地化部署的推理探索与实践方案。我们以约 3.8 万元的整体成本，基于 llama.cpp 框架，经过硬件选型与量化精度的综合考量，实现了 q8 精度下 7.17 tokens/s 的峰值输出速度。通过散热方案改进、BIOS 参数优化及系统内存带宽调优，我们在 q8 精度下取得了不小的性能提升，其中长文本生成速度提升约 25%、峰值输出速度提升约 15%、预填充速度提升约 20%。全文内容共分为《装机选型篇》《软硬件配置篇》《性能测试与量化对比篇》《性能优化分析篇》四个部分，本篇文章涵盖前三个部分，第四部分将在下一篇文章中详细展开。

Author: Guannan Wang, Guancheng Li of Tencent Security Xuanwu Lab

0x00 背景

企业为防御网络攻击，常常投资于先进的安全产品，如EDR、NDR、WAF等，这些产品往往依靠特定的规则生成告警，提示企业可能存在的网络威胁。但这些告警规则因为缺乏网络安全领域的先验知识，为企业的安全防御带来了双重挑战：

• 只依赖具体的规则进行检测会产生大量误报，导致企业难以分辨哪些是检测到真正网络威胁的告警；

• 用户对告警的理解和反应受限于他们在安全领域的知识水平，这对用户的能力提出了较高的要求。因此，告警的解读和响应通常需要有丰富安全知识和经验的安全专家与企业的运营团队进行紧密合作才能完成。

然而，不仅安全专家招聘成本高，依赖于人工分析的方法也存在效率低下等问题，难以应对告警数量激增的情况。此外，因为告警数据的敏感性，部分企业也担心上传云端等出网的分析方法带来的隐私泄露风险。因此，企业面临着在保障网络安全和把控成本效率之间寻找平衡的难题。

为有效应对安全告警分析的挑战，我们引入了一款基于安全大模型的告警研判机器人，能够对EDR设备上报的告警进行智能分析。这款机器人融合了丰富的安全领域先验知识，能够对告警进行深入研判，自动执行调查和取证工作。我们的方案支持私有化部署，具备出色的专业分析能力并能保证极高的吞吐量，能够助力企业提升告警分析效率，同时降低相关成本。

玄武实验室拥有专业的“攻防+AI”团队，多次助力腾讯在国家攻防演练中荣获前三名。实验室在ChatGPT发布之前就已经开始研究AI在安全领域的应用，并在ChatGPT推出后，进一步加深了对大模型相关技术的研究。

Author : Yu Chen(alohachen) of Tencent Security Xuanwu Lab

0x00 简介

随着LLM应用的广泛普及，用户对提示词中的隐私信息泄漏的担忧日益增加。我们首次提出了一种可部署在端侧的提示词隐私保护方案，并对其安全性和可用性进行了评估。与安全多方计算（MPC）和Presidio等方案相比，我们的方案具有轻量化、端到端，支持匿名信息还原等优点。

Author: Xiangqian Zhang, Huiming Liu of Tencent Security Xuanwu Lab

0x00 简介

本文我们将详细介绍对Android手机厂商自带的隐私保护应用程序的研究。我们调查了排名前五的Android供应商提供的隐私保护应用程序，发现许多应用程序并不能很好地保护我们的隐私安全。我们针对隐私保护应用提出了3种威胁模型，并展示了4个隐私保护应用的攻击案例。该研究已经发表在Black Hat Asia 2021。

作者：腾讯安全玄武实验室 dlive, salt

0x00 背景简介

CDN(Content Delivery Network) 是云服务厂商提供的一种Web内容加速分发服务。

对于攻击者来说，CDN提供了大量分布于全球各地的边缘节点IP，并且可以将源服务器隐藏在CDN节点之后，所以CDN非常适合被用于保护C2的通信。

本文介绍了我们在某些CDN实现中发现的一些特性，以及如何利用这些特性隐藏C2通信流量，我们将这种新型的基于CDN的隐蔽通信方法称为Domain Borrowing。

问题简介

腾讯安全玄武实验室在部分快速充电（以下简称快充）产品中发现了一种新型安全问题，并将其命名为“BadPower”。

利用BadPower，攻击者可入侵支持快充技术的充电器等设备，使被入侵的设备在对外供电时输出过高电压，从而导致受电设备的元器件击穿、烧毁, 甚至可能进一步对受电设备所在物理环境产生安全隐患。

本文详细分析了 Adobe Acrobat Reader / Pro DC 中近期修复的安全漏洞 CVE-2019-8014 。有趣的是，Adobe 在六年前修复了一个类似的漏洞 CVE-2013-2729 ，正是由于对该漏洞的修复不够完善，才使得 CVE-2019-8014 遗留了长达六年之久。本文同时讨论了如何为此类漏洞编写利用代码。

本文作者：Ke Liu of Tencent Security Xuanwu Lab

作者：腾讯安全玄武实验室 tomato, salt

0x00 背景

Ghidra是 NSA 发布的一款反汇编工具,它的发布引起了安全研究人员的极大兴趣。
有研究人员发现Ghidra在加载工程时会存在XXE，基于笔者之前对XXE漏洞利用研究发现，攻击者可以利用Java中的特性以及Windows操作系统中NTLM认证协议的缺陷的组合来完成RCE。