About DARKNAVY是一家总部位于新加坡和上海的独立网络安全研究和服务机构,专注于AVSS(对抗漏洞评分系统)和定量安全领域,并运营国际黑客竞赛GEEKCON。公司继承自2011年成立的KeenTeam,拥有十年操作系统、芯片组、AI等领域的安全研究经验,已为华为、支付宝等企业提供高级安全评估服务,致力于推动网络安全行业的发展。... 2025-10-14 08:33:4 | 阅读: 99 | 收藏 | 0day Fans - www.darknavy.org security darknavy competition competitive

Achieving Persistent Client-Side Attacks with a Single WeChat Message 即时通讯应用如WhatsApp、Telegram、微信和QQ已成为现代社会的重要通信工具，承载社交、支付和办公等功能。其安全性直接影响个人隐私、资产及国家安全。文章以微信为例，分析了URL链接、文件处理、内置浏览器及小程序等攻击面，并探讨了相关安全机制与防御措施。... 2025-5-30 03:26:24 | 阅读: 68 | 收藏 | 0day Fans - www.darknavy.org wechat security client malicious attackers

Argusee: A Multi-Agent Collaborative Architecture for Automated Vulnerability Discovery DARKNAVY开发的Argusee工具采用多智能体协作架构，模拟人类安全团队分工合作，显著提升代码审计效率和准确性。该工具在Linux内核USB协议栈中发现高危漏洞CVE-2025-37891，并成功利用该漏洞获取root权限。... 2025-5-23 03:9:29 | 阅读: 26 | 收藏 | 0day Fans - www.darknavy.org argusee agents security overflow

Fatal Vulnerabilities Compromising DJI Control Devices DARKNAVY团队发现大疆遥控设备中的一个致命漏洞链，涉及DUML协议和五个漏洞。通过这些漏洞，他们成功获取了大疆遥控器的根密钥，进而可以控制无人机的通信。... 2025-4-27 02:1:3 | 阅读: 27 | 收藏 | 0day Fans - www.darknavy.org dji remote duml drone security

The Jailbroken Unitree Robot Dog 文章探讨了智能机器狗GO2的安全问题，包括其与移动应用和云服务的交互、WebRTC协议和DDS协议的使用。研究发现GO2存在潜在漏洞，并分析了第三方 jailbreak 工具的攻击逻辑。尽管Unitree启用了SecureBoot以增强安全性，但智能机器人产品的网络安全仍需进一步提升。... 2025-4-24 02:0:2 | 阅读: 175 | 收藏 | 0day Fans - www.darknavy.org go2 robot dog webrtc unitree

A First Glimpse of the Starlink User Ternimal 文章探讨了SpaceX的Starlink卫星互联网服务及其技术细节。分析了用户终端硬件结构、固件组成及安全性，并揭示潜在漏洞。... 2025-4-18 02:11:8 | 阅读: 21 | 收藏 | 0day Fans - www.darknavy.org starlink uta firmware chip satellite

Reconstructing the $1.5 Billion Bybit Hack by North Korean Actors 2025年2月21日，加密货币交易所Bybit遭遇网络攻击，损失近15亿美元。朝鲜黑客通过社交工程入侵Safe{Wallet}团队开发者，篡改前端代码，在多签交易中注入恶意脚本。Bybit三名签名者未核实交易细节，批准恶意请求致资金被盗。事件暴露第三方依赖、安全意识不足及技术漏洞问题。... 2025-4-16 07:35:14 | 阅读: 7 | 收藏 | 0day Fans - www.darknavy.org bybit malicious signers frontend security

The Most Frustrating Vulnerability Disclosure of 2024 文章探讨了网络安全中漏洞披露机制的问题。通过一名研究员因与厂商沟通不畅而提前公开高危漏洞的案例,揭示了现行"负责任披露"模式的局限性。传统CVD模型赋予厂商过多控制权,导致研究人员需投入大量时间协调。文章建议引入更公平高效的解决方案。... 2025-2-16 09:58:32 | 阅读: 6 | 收藏 | 0day Fans - www.darknavy.org security simone developers cups

The Most "Secure" Defenders of 2024 2024年安全软件在防御中扮演重要角色，但自身也可能存在漏洞被攻击者利用。Palo Alto Networks Cortex XDR被发现特权 escalation 漏洞；CrowdStrike 异常更新导致全球电脑崩溃；Fortinet FortiManager 存在严重认证漏洞。这些事件揭示了安全软件自身安全性不足的问题，提醒需重新审视网络安全防御策略。... 2025-2-15 09:54:34 | 阅读: 11 | 收藏 | 0day Fans - www.darknavy.org security software attackers

The Most Unstoppable Offensive and Defensive Trend of 2024 近年来，漏洞与防御技术不断演进。从简单的堆栈溢出到复杂的多层防御绕过手段，“盾”与“矛”持续动态对抗。硬件级防御如ARM的MTE、Linux的msealsyscall等提升内存安全；同时非内存破坏漏洞如命令注入、供应链攻击等逐渐成为主要威胁。... 2025-2-14 09:46:13 | 阅读: 8 | 收藏 | 0day Fans - www.darknavy.org memory security injection mte

The Most Unfortunate Backdoor of 2024 文章探讨了开源软件XZ项目中发现的后门事件，揭示了攻击者如何通过长期渗透和精心设计，在看似安全的开源项目中植入后门，并成功推送到多个官方仓库。尽管最终被工程师Andres Freund及时发现并阻止，但这一事件引发了对开源社区信任模型和协作开发安全性的深刻反思。... 2025-2-13 09:7:17 | 阅读: 7 | 收藏 | 0day Fans - www.darknavy.org xz liblzma tan jia sshd

The Most Prominent Privacy Security Trend of 2024 2025年初，“Siri窃听门”五年的诉讼以苹果支付9500万美元和解告终。案件源于用户指控Siri未经许可录音并泄露数据。尽管苹果否认指控，但隐私安全担忧加剧。随着AI广泛应用，用户数据安全成为焦点。文章探讨了隐私计算技术如何解决AI与隐私冲突，并分析了苹果PCC方案及国内探索。... 2025-2-12 08:39:17 | 阅读: 4 | 收藏 | 0day Fans - www.darknavy.org cloud security pcc hardware era

The Maddest Vulnerability of 2024 Windows Server远程桌面许可服务发现重大内存腐败漏洞MadLicense，可致远程代码执行。微软称其难以利用，但研究人员成功演示攻击，揭示现有安全机制仍存缺陷。... 2025-2-11 03:42:35 | 阅读: 5 | 收藏 | 0day Fans - www.darknavy.org memory security windows overflow machine

The Most Imaginative New Applications of 2024 2023年生成式AI和大语言模型（LLM）兴起，2024年AI代理扩展LLM能力，推动安全研究工具广泛应用。LLM助力代码理解、测试代码生成等环节提升效率，但自动发现未知漏洞仍具挑战。Google“Naptime”项目和AIxCC竞赛展示AI代理模拟人类研究方法的潜力，未来有望实现更智能的安全分析。... 2025-2-10 03:25:29 | 阅读: 5 | 收藏 | 0day Fans - www.darknavy.org llms security agents analysis

The Most "Golden" Bypass of 2024 文章介绍了Chrome浏览器的安全机制MiraclePtr及其发展历程。该机制旨在防止Use-After-Free（UAF）漏洞，并于2023年全面启用。尽管2024年发现了一种理论上的绕过方法，但其条件苛刻且难以实际利用。Chrome团队因此决定不再将受保护的UAF漏洞视为安全问题，并通过持续改进提升了整体安全性。... 2025-2-9 09:13:13 | 阅读: 7 | 收藏 | 0day Fans - www.darknavy.org security chrome miracleptr bypass

The Most Groundbreaking New Security Ecosystem of 2024 本文探讨了华为 HarmonyOS NEXT 版本的重大更新及其安全特性。 HarmonyOS NEXT 采用“单框架”设计，完全脱离 Android 依赖，并引入 eTS 开发语言和 HAP 包格式。系统通过代码签名、严格的权限管理和 AccessToken 机制提升安全性。其基于微内核架构的鸿蒙内核增强了安全隔离能力，并支持 Linux 兼容层以维持生态兼容性。然而，封闭源代码和加密固件限制了第三方设备制造商的参与，可能影响生态系统的开放性和未来发展。... 2025-2-8 09:9:15 | 阅读: 8 | 收藏 | 0day Fans - www.darknavy.org harmonyos security hongmeng development microkernel