团队建议，所有用户都不应该将大语言模型、AI 工具等暴露在公网环境，并且将 MCP 输入直接视为不可信数据，防止提示词注入。同时启用沙箱环境运行服务并时刻更新最新软件，将权限锁住。

OpenJDKJEP 532——模式、instanceof 和 switch 中的基本类型（第五个预览版）——已从 JEP 草案 8379318升级 为 候选 状态。继在 JDK 23 至 JDK 26 中进行过四轮预览之后，该 JEP 提出了第五个预览版本，内容保持不变。该功能允许在所有模式上下文中使用基本类型，并扩展 instanceof 和 switch ...

智东西4月17日消息， 4月15日以色列网络安全公司OX ...

智东西4月17日消息， 4月15日以色列网络安全公司OX ...

Salesforce在旧金山开发者大会TDX上发布Headless 360，将平台所有功能开放为API、MCP服务器或CLI命令，支持AI编码智能体直接调用。配套推出的浏览器端IDE Agentforce Code（代号Vibes）默认集成Claude Sonnet 4.5模型，提供计划与执行双模式。Salesforce同时宣布Agent Script开源，并推出Slack Agent Kit，目 ...

网络安全公司OX Security于4月15日发布调查报告，披露Anthropic的MCP（模型上下文协议）存在架构层面的设计缺陷，可导致远程代码执行，影响超过20万台AI服务器。 MCP是Anthropic于2024年11月推出的开源标准，旨在让AI大模型无缝连接并操作各种外部数据和工具，目前已被大量开发者用于构建AI应用。

OX Security 认为这不是代码笔误，而是架构层面的设计决策。漏洞波及 Anthropic 官方支持的全部 11 种语言：Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust。

开发者广泛使用的Axios HTTP客户端库这一Java组件最近遭到黑客攻击，通过被入侵的账户分发恶意软件。 攻击者利用npm上被劫持的账户进行攻击。npm是Node.js的默认包管理器，这是一个允许开发者共享、安装和管理Java项目代码的工具，被用来分发恶意软件。

Spring Boot 4.1.0的第二个里程碑版本提供了缺陷修复、文档改进、依赖升级和新功能，例如：在导入配置文件时，能够在 spring.config.import 属性上指定字符编码值；以及在 ProcessInfo 类中添加了属性、正常运行时间、开始时间、当前时间、时区、语言环境和工作目录 ...

本项目是记录自己在学习研究Java安全过程中遇到的优秀资源，包括Java安全的多个细分领域，如Java漏洞分析和Java代码审计以及Java开发的应用程序组件协议甚至Java本身的安全问题等。一个不能攻击Java的黑客不是一个好黑客，一个不懂Java安全的师傅不是一个好师傅！

服务器配置的选择应该基于具体的测试结果。一开始可以选用配置较低的服务器做调优和测试，并以该服务器的测试结果作为选择服务器的依据。 我们开发的软件服务需要在服务器上运行，所以服务器性能代表了软件的性能上限，因此服务器性能调优是个十分 ...

momodememeda edited this page May 10, 2019 · 3 revisions 对于用户通过 GET, POST, COOKIE, REQUEST等输入的数据以及框架提供的数据来源，即通信协议中从客户端传过来的一切变量，无论是用户手动填写的数据或是客户端浏览器或操作系统自动填写的数据，都可能产生 ...