网络安全笔记

用 AI 去找资料，需要花两倍时间对资料真伪进行核对。

五一快乐

用 AI 自动完成渗透测试流程，从发现漏洞到利用漏洞一步到位 github.com/oritera/Cairn Cairn 是 oritera 团队做的自动化渗透测试工具，靠 AI 来跑完整测试流程。在腾讯云黑客松第二届智能渗透挑战赛里拿了线上第四名，而且是唯一全 AK 的战队。代码还没放出来，作者说近期会开源，许可证是 AGPLv3，想商用得单独谈。

长期有价值的事往往是枯燥的。 健身最有效的不是各种花式器械，而是十年如一日的硬拉、卧推、深蹲三大项，看似单调，却是最扎实的积累。 投资也一样，长期持有一只科技革命赢家的股票，枯燥得让人难以坚持，但拉长时间看，恰恰是回报最丰厚的策略。 在某一方向深耕亦如此，数年如一日地观察、分析、积累，才能对趋势洞若观火，最终用独特性捕获到真正的价值。 越是有价值的事，越需要抵抗无聊的能力。

常见的 Entra ID 安全评估结果 – 第 4 部分:弱条件访问策略 https://blog.compass-security.com/2026/04/common-entra-id-security-assessment-findings-part-4-weak-conditional-access-policies/

传统的红队渗透测试将被新一代AI加人工的灰盒与白盒测试所取代。面对AI的攻击，暴露面极致收敛与网络隔离将是防守方下一阶段的重中之重。

https://crewai.com/

https://mp.weixin.qq.com/s/DOI9INnoqlBxBCkF28aAZA

Google 推出 Gemini 暗网情报与安全运营 AI 代理，已开放预览 Google 将基于 Gemini 的暗网情报服务接入 Google Threat Intelligence，并以公开预览形式上线。该服务会先为客户建立组织画像，再从每天约 800 万至 1000 万条暗网帖子中筛查与该组织相关的风险，识别初始访问中介活动、数据泄露和内部威胁等信息。Google 向媒体表示，内部测试显示，这套系统可分析数百万条每日外部事件，准确率达到 98 ％。 https://www.theregister.com/2026/03/23/google_dark_web_ai/ https://cloud.google.com/blog/products/identity-security/rsac-26-supercharging-agentic-ai-defense-with-frontline-threat-intelligence