文章总结： 文档揭露AdventureX黑客松主办方RyanZhu随意泄露选手隐私并涉嫌倒卖数据，技术审计发现官网存在逻辑漏洞导致答案泄露，主办方拒绝修复。文章谴责组织者滥用职权、资金去向不明及安全意识薄弱，尽管肯定活动本身价值，但强烈呼吁加强数据安全保护与合规管理。 综合评分： 68 文章分类： 娱乐吃瓜,WEB安全,数据泄露

【吃瓜转载】神农TV之中国最大的非营利性黑客松主办人Ryan，你敢和他对视三秒钟吗

黄豆安全实验室 黄豆安全实验室

表哥带我

2025年7月28日 17:22 柬埔寨

    AdventureX 2025，作为中国最大规模、由学生主导的非营利性黑客松，其宗旨在于为青年开发者构筑创新与协作的平台，近日在浙江省杭州市举办，请记住这个非营利性，后面要考。

    本期神人TV主人公朱**, “Ryan Zhu” 是AdventureX的发起人。7月22日朱先生以活动主办方的身份发布通知开除某位选手的参赛资格并公布了该选手的姓名邮箱学校等隐私信息，理由是该选手涉及诈骗。而朱大判官认定别人诈骗罪的理由也是相当之抽象，—“ XXX联系AdventureX工作人员询问他该有一笔活动补贴的资金，为什么被取消了，我们查验后发现在两个月之前已经拒绝他的补贴申请了，他还来问，所以他是诈骗犯 “

    没有一点春秋笔法的地方，如果您觉得这个理由过于逆天的话欢迎去瞻仰朱大判官的原文，奇文共赏，摘录如下：

    退一万步说即使真的有诈骗行为作为主办方就能公布选手的隐私信息吗？央视报道刑事案件的时候给罪犯录像还要打码，您是？

    在出现这样的运营事故后，有选手先在飞书群组中进行质询，朱先生的回复是：

＃极客＃ ＃嬉皮士＃ ＃个性＃ ＃叛逆＃ ＃创造者＃ ＃变革＃

    令人感叹，在一年前的报道中朱先生自称”坏孩子“，“对威权的共同厌恶是很多团队成员加入的原因“。一年之后朱先生变成了朱大判官，因为一个匪夷所思的理由把选手称为诈骗犯并公布个人信息，任何对其判决表示异议的其他人全部等着清算，大清洗貌似都没这么洗的，孩子们喜欢我的酷酷权限吗？

    这次运营事故之后朱先生彻底进入了红温状态，飞书群组中cos火与钢一刀一个参赛席位，前面忘了后面忘了总之取消资格踢出群组，你只管服从规定，我没义务解释为什么，不服就和我的主办方身份说去吧。是的在号称面向中国最有创造力的年轻一代的，标榜嬉皮士和反叛权威为赛事精神的黑客松里，你会因为过早、过晚离开比赛场馆或者没戴牌子这种事情被开除比赛资格。现在回想起来朱大判官将那位选手打成诈骗犯的事情也不奇怪了，人家估计就是把取消比赛资格这句话当句号用的。

    哥们之前玩魂3在后院老狼的时候爱用环直，要是能有朱先生这么能取消的话没准能肘过左弓逼了，唉并非取消。这让我想到了朱先生去年这个时候在群里at所有人并大肆辱骂某跨性别者，下图中“设立了这个”指跨性别卫生间。

    如果说上面的行为还只算个人性格素质的范畴的话，下面两件事情就已经在违法犯罪的边沿反复横跳了。首先是推特上已广为流传的倒卖选手个人信息一事。

    朱先生将此项目美其名曰梦想家数据库，实际上这就是个社工库，最贵一档的数据包括了参赛者的姓名，学校，邮箱，手机号码甚至社交媒体链接等，要素齐全。而在各类朱少条约/霸王条款/并非隐私协议中对于此事只是以一句“分享给合作单位”概括，官方发布的“法律文件”中甚至这些钱到底是用于活动筹办的经费还是其他什么的就不得而知了，别问，问就是非盈利组织，钱都拿去办比赛了，再问就小心取消你的比赛资格。

    谁言朱公不好客，漫天户籍送一人

    顺便说一句，海报里Tier (梯度) 都拼错了，也不知道朱先生这个国际高中是怎么读的。

    而根据7月26日最新消息，公众号文章

https://mp.weixin.qq.com/s/KTUc8N46V1KEuR_YOT1W4w

所述，AdventureX官方号称“是否同意收集信息为选手必选”，而在实际协议签署时该选项为选填

也就是说，朱先生在这处细节做了PS

最后是24号下午爆出来的超级大瓜，问过之后确定为真，期待一手后续

666这还有极客笑传之CCB看的。

    以上是本期神人TV的内容，接下来是刘农TV的部分：

    作为选手我们使用了AdventureX官网终极测试选择题模块，结果发现提交答案后返回包会回显用户所有错题的正确答案以及题目ID。

复现：

1. 答案随便选，在这个过程中可以抓一下包，会发现没有任何请求包，换言之，用户的答案全部存储在本地localstorage

2. 提交答案时要抓包，它会向 /api/finaltest这一路由发请求，请求包中含有用户所有的选项以及cookie等参数。

3.查看返回包，返回包回显了所有错题、答案、ID以及分数

    虽然advx官网每2min左右重置token ，但是重置后的token与之前的一模一样。最抽象的是后面我们将漏洞报告给工作人员，他们的回答是不修了。非常基础的一个业务逻辑都处理不好，如果能用扫描器和其他工具进行深层次测试的话不知道还能挖到多少更严重的漏洞。

    2025.7.25，ADVX小助手又是发了一条刘农至极的公告：

    后面经过我们的考证，advx官网根本没被攻击，Ryan找了某大厂的专家也没发现是什么问题，最后才知道是开发的锅（schema.prisma写错了，deleteAt字段被标记为了@updeleteAt）。。

    这就是朱先生搞出来的，面向代码开发者群体的国内最大“黑客松“的官网，不禁想问黑客在哪？倒卖选手信息募集了百万资金官网就这个质量？真的全部投入到比赛中了吗？试问非盈利在哪了？场馆是免费提供的、酒店是双人间、大部分餐食是盒饭且饭量极少（参考一下，本人85斤正好能吃饱），官网服务器是用的最便宜的香港AWS，CDN用的CF Free。不知道这一百万Ryan先生到底米西没有，也不知道所谓“所有资金全部直接或间接用于服务选手”是怎么“间接”的，总之：

最后的最后，DLC节目：会员制餐厅-赤石TV

朱少（严肃脸）我是认真的！！！这并非好笑。

实际上：

当然本期神农TV只针对朱少爷个人，Advx这个活动有一说一办得很好，本人也是收获颇丰。甚至我明年还想去（不爆典的情况下）。

其他汇总详见

x.com/0xTZ_DeFi/status/1948806490258898989

https://t.me/adventurex_book

提醒:本文源于互联网转载如有侵权纯属正常

往期推荐

【吃瓜】从告警中收获大量片片

【薅羊毛】某云1元薅384核1152GB-DeepSeek-R1-671B满血版算力服务器

【喜报】娱乐圈百强出炉，黑客排行榜已收录一百名大牛

扫码关注我们

微信公众号：表哥带我

本文供稿：黄豆安全实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：表哥带我 黄豆安全实验室 黄豆安全实验室《【吃瓜转载】神农TV之中国最大的非营利性黑客松主办人Ryan，你敢和他对视三秒钟吗》