前言体验一把 anthropic 今年 2 月的新模型 Claude Oplus 4.6。 结论就是除过贵，没啥缺点，至少写代码这块，除了钱欻欻下，几乎是没有什么毛病。 但是后面不会再用了，除非变得很便宜，要不然我还是喜欢古法编程 + AI 简单辅助。 Do用 claude 去重构一下 threat-sail 项目，因为之前的 WEB 是 fastapi + vue 的 element，然后爬虫的

前言既然 AI 目前依旧是提示词 + 工具，那么是怎么把它使用到极致，衍生出那么多的好用的产品呢？ 项目：https://github.com/shareAI-lab/learn-claude-code 工具与执行s01 循环调用工具 One loop & Bash is all you need The minimal agent kernel is a while loop + on

前言前些天看了 Skill 这个东西，发现使用它去做 pocsuite3 自动化编写会更好。 不过就需要使用支持 skill 的客户端来写了，不能直接把之前的数据丢给 API。 如果直接通过 API 去做，最好的方法还是之前那样，减小 token。毕竟 skill 的本质也是 AI 调用工具去阅读 Skill 元数据，然后 AI 选择在深入的读取某个 SKILL 文档，注入到 user promp

前言很长一段时间没有接触各种社交媒体了，因为要找工作，所以关注了下最近公众号还有抖音什么的有什么新的知识出现。 然后就发现 AI 出现了一个 Skill （ 技能 ）的东西。 在之前学习 MCP Tool 的时候，编写过简单的客户端 Demo，其可以给予模型操作工具的权力，其简单的流程为： 用户输入需求 客户端将用户的需求，还有目前的工具列表（ 名称，描述，参数 ）发生给 AI AI 返回要执行

前言正好目前 3 月开始，金三银四，准备写写简历，希望 5 月前能找到工作 ~ 之前用的是超级简历，但是它导出要花钱，所以就找找替代的方案，但是基于 md 的不好看，基于 word 的也是花里胡哨的，最终找到了 typst 这个东西。 介绍Typst 是可用于出版的可编程标记语言，拥有变量、函数与包管理等现代编程语言的特性，注重于科学写作 (science writing)，定位与 LaTeX 相

前言之前工作的时候发现一款很不错的开源工具 osmedeus，这个工具可以通过 yaml 编排各种安全工具的工作流。 比如子域名收集模块，就很好编写，很简单的就实现了 subfinder 和 amass 的集成： 12345678910111213141516171819kind: modulename: subdomain-enumparams: - name: target requi

xscan 旧版本在知识星球开源了，看一看，主要看 XSS 检测逻辑 项目结构123456789101112xscan-1.2/├── cmd/xscan/ # 主程序入口├── core/ # 核心功能模块│ ├── refxss/ # XSS检测核心│ ├── spider/ # 爬虫模块│ ├──

漏洞信息漏洞名称：Laravel LaRecipe 服务器端模板注入漏洞 产品介绍：LaRecipe 是一款专为 Laravel 框架设计的现代化文档生成工具，其核心定位是帮助开发者快速构建美观、可交互的技术文档系统。该组件采用 MIT 许可证开源，目前由 Binary Torch 团队维护，在 packagist.org 统计的安装量达234万+，表明其在 Laravel 生态中已成为主流文档解

漏洞信息CVE-2025-25257 FortiWeb SQL 注入漏洞 环境搭建下载链接：https://dl.partian.co/FortiWeb/Version_7.00/7.6/7.6.3/默认凭证：admin 空配置网络，这里修改适配器为 VMnet8 ： 固件获取vmdk 挂载使用版本：7.6.3使用一个 Linux 虚拟机挂载 vmdk 文件： 启动虚拟机就可以看到挂载的东

前言从实习到毕业的主要工作其实都是做最新漏洞跟进，然后写利用工具，丰富漏洞库。 但是最新漏洞的来源多种多样，在 24 年其实网上关于此类工具或者平台特别的少，大部分就是 Github API 搜索 CVE-2024 或者接入一些漏洞库 API 获取资讯。 之前还有 8 佬的 Hacking 信息流，但是后面关站了，所以工作就很麻烦了，在没有主线工作的时候就需要跟进漏洞，到处找真的特别累。 所以从