文章总结: 文章批判某团队利用AI工具生成大量虚假高危漏洞报告,特别是针对Jenkins的200多个漏洞,指出其判断标准荒谬,如将MD5密文标为严重,并揭露其以此骗取投资和流量,提醒社区警惕此类AI安全工具滥用。 综合评分: 30 文章分类: 安全工具,AI安全,漏洞分析,安全意识,软文广告
Jenkins 被 AI 挖掘出200+高危 ?是真的吗?
原创
棉花糖糖糖 棉花糖糖糖
棉花糖fans
2026年7月14日 17:34 四川
在小说阅读器读本章
去阅读
前言
大家好,这里是棉花糖,一个四年网安自由职业者,bdziyi.com的站长。
众所周知现在AI+安全的东西特别多,如雨后春笋,正好前段时间有个项目号称自己已挖掘N多高危0day,其中甚至包括Jenkins,被挖掘出200+的高危。
烂活下的恶臭
很多人看到数据吓昏过去,感觉世界药丸辣。
先别急,经过了解,该团队的人已经被AI替代大脑,幻觉代替思考。
该团队在这个项目之后,推出了一个新的平台,以saas方式提供测试,今天他们终于漏出了马脚,在该平台中,展示了他们审计maccms的成果。
这就是他们的垃圾产品判定严重/高危的标准,md5密文?严重!不可利用的链路?严重!先拿到数据库权限之后再sql注入?严重!
此类垃圾数据还有很多,不一一列举了,对这种垃圾数据,该团队的人解释为
哦不用在意他们说的是点星还是万破,因为这俩都一样是烂货。
可笑的是这个团队还分工明确,人数不少,据可靠消息,还在成都成立了公司
更恶心的是拿这种垃圾项目出来骗真rce:
还花钱找公众号打了广告(有的甚至没花钱,免费帮这种泔水打广告的)
像这种AI一把梭扫个sink点就拿出来当亮点的东西,我想都不用想,后端肯定是扫到sink点后直接交由AI一把梭分析,不做验证不做判断,全信AI,我说白了,哪怕抄一抄呢?拿个真有点作用的开源项目AI二开抄一抄也不至于这么烂…..要骗甲方钱,要吸社区流量,好歹认真点啊?纯侮辱人智商是几个意思?
哦对了,希望之后做此类项目的可以先把他们的这些高危判断采集下来,作为AI欺骗、幻觉的案例,极其标准的反面教材。
最后
有时候真的不想浪费时间来发个文来喷这种东西,浪费我挖洞的时间,不过一想到好多垃圾项目正在让各位头昏脑胀,就觉得还是有必要喷一下。
本文这种傻缺只是非常明显的典型,像本文这个这么明显傻缺的项目不多,很多都伪装在专业的外皮下,大部分人不容易发现端倪,我只能说很多人做的AI渗透、审计工具,还不如模型厂商的原生agent一把梭来的效果好,擦亮眼睛吧兄弟们。
如果您对内网靶场、SRC靶场、WEB靶场、应急响应靶场、网安方案、资料文档、各种各样的网安工具、实用的在线功能、教程资源感兴趣,欢迎看看我的网站广告,包您心动:棉花糖会员站介绍(26年4月26日版本) :在线内网靶场、网安资料方案、在线工具全能资源站
网络安全交流群请在公众号菜单栏点击找棉花糖,加棉花糖好友后发送“棉花糖fans”,邀请您进群,CISP全系列、国内外网安考证也可以在公众号菜单栏点击找棉花糖,微信联系哦,爱你😘,下篇文章再见
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:棉花糖fans 棉花糖糖糖 棉花糖糖糖《Jenkins 被 AI 挖掘出200+高危 ?是真的吗?》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论