Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
字节跳动安全中心
Get the latest updates from 字节跳动安全中心 directly as they happen.
Follow now 26 followers
Latest posts
Last updated 15 days ago
豆包专测享3倍积分!高危奖金6万元起步!
15 days ago
2025-04-21 17:15 北京 3倍积分一起冲! ⏰专测时间⏰4月21日-5月6日提交报告标题备注【豆包专测】专测范围豆包APP豆包PC豆包浏览器插件豆包Web抖音内豆包智能助手奖励方案专测范围内有效严重、高危漏洞/情报3倍积分专测范围内有效中危漏洞/情报 1.5倍积分重点收取的漏洞类型直接获取核心系统权限的漏洞:包括但不限于服务器环境的远程命令执行漏洞、任意代码执行漏洞、SQL 注入获取系统可执行权限、回显SSRF获取系统权限(需通字节内网)泄露大量核心敏感数据的漏洞/情报:包括但不仅限于核心 DB(身份信息、账密)的 SQL 注入、权限绕过、可获取大量核心用户的身份信息、账户信息、数字分身、用户原始音色、用户和智能体聊天记录等接口漏洞引起的敏感信息泄露;(敏感数据界定:身份信息、银行卡号、手机号、账密、详细地址等需至少2种数据类型关联)。重大影响的逻辑漏洞:包括批量任意账号密码重置、任意用户登录等。敏感数据定义补充说明:-数据泄露对应量级:严重>100万条、高危>5000条-除数据泄露量级外,是否可获取指定用户的信息、是否可遍历以及遍历难度等均作为评级依据;-以上仅为ByteSRC为帮助白帽子理解漏洞定级和危害进行的基础划分,不作为豆包官方的数据级别的定义和参考;-豆包客户端/插件本身的漏洞均以目前业务最新版为准。本次专测不收取的范围治理中专项包含的风险不在此次专项收取范围。非隐私数据泄露相关的AI服务风险暂不收取(jail break,prompt leak,模型幻觉等)。个人用户从...
ByteSRC专测第30期 | 飞书、火山引擎专测享2.5倍积分+豪礼
21 days ago
2025-04-15 18:11 北京 上号 ! 开挖! 专测时间4月15日-4月27日火山引擎专测介绍ByteSRC专测资产范围:高系数:计算、网络、存储、数据库、安全、控制台、人工智能与机器学习-机器学习中系数:容器与中间件专测奖励:高危/严重2倍积分,单个漏洞最高10万提交报告标题请备注【火山专测】飞书专测介绍ByteSRC专测资产范围:飞书云文档:www.feishu.cn/drive/home多维表格:www.feishu.cn/base飞书开放平台:open.feishu.cn飞书Apass:apaas.feishuapp.cn飞书视频会议、飞书IM聊天飞书账号相关业务客户端相关漏洞(已公开的Chromium Nday不收取)其他未涉及的资产但具有较大风险的漏洞,会按照危害评估是否符合翻倍专测奖励:客户端漏洞-高危/严重2.5倍积分,单个漏洞最高12.5万其他资产漏洞-高危/严重2倍积分、中危1.5倍积分,单个漏洞最高10万提交报告标题请备注【飞书专测】额外奖励奖励1:2025年未提交过高危严重漏洞的用户,在上述奖励的基础上额外获得2000元人民币(每人1个,以id计数)奖励2:活动期间提交中危及以上等级漏洞的师傅均可享有ByteSRC充电宝(每人1个,以id计数)补充:以上漏洞奖金+礼品均可以叠加获得。测试规则1、禁止进行可能引起业务异常运行的测试,禁止用扫描器或其他自动化工具,只允许手工测试;禁止任何类型的网络拒绝服务(DoS 或DDoS)测试或通过软件或者工具自动扫描产生大量数据流量的行为。2、禁止进行内网渗透测试行为和任何有害化的测试行为,包括但不限于:获取内网权限后在内网使用扫描器、或横向接触非对外开放系统目标、获取内网应用/主机权限/数据、上传 webshell、反弹 shell等。3、禁止下载、保存、传播和业务相关的敏感数据,包括但不限于业务服务器以及Github 等平台泄露的源代码、运营数据、用户资料、登陆凭证等,若存在不知情的下载行为,需及时说明和删除;测试过程中获取的相关代码/数据,务必在SRC漏洞确认后立即删除,不得非法留存及使用。4、禁止使用任何违反平台规定或法律法规的文字、图片、视频作为测试素材。5、当您在进行重要敏感操作前,请先与管理员报备,得到授权后再进一步测试。6、请严格遵守「字节跳动安全响应中心安全报告处置规则V6.0」测试规范。...
PPT来了 | AI攻防安全实践干货
about 1 month ago
2025-03-26 18:14 北京 一键Get知识点! 3月21日,「AI大模型攻防安全」第15期安全范儿技术沙龙圆满结束,再次感谢大家的支持与关注!本期沙龙邀请了AI攻防领域的4位讲师,带来LLM产品安全、大模型提升SDLC自动化评审、大模型时代下的DDoS攻击与防御、以及通过大模型来助力白盒挖掘逻辑漏洞的精彩议题。(文末有抽奖)官宣升级同时,沙龙也为ByteSRC的白帽师傅们带来了好消息,AI智能助手豆包在ByteSRC中的业务系数由中系数提升至高系数,漏洞奖励翻倍,高危漏洞2万起,严重漏洞最高5万元,欢迎师傅们提交漏洞。沙龙回顾大模型产品攻防实践来自字节跳动的安全工程师肖瑶为大家带来大模型自身安全议题,详细介绍针对大模型的模型投毒、Jailbreak、Prompt注入三种攻击方式,并分享了经典的祖母讲win11激活码的案例。他也提到,LLM产品本身也是互联网产品,同样可以用传统攻防思路进行攻击,并分享了针对LLM平台安全的CVE漏洞利用实践。基于LLM的SDLC需求自动化评审分享作为将大模型融入到企业自动化流程的探索实践,来自字节跳动的杨子超带来了SDLC需求自动化评审议题,通过将SDLC平台与项目管理平台打通,并将LLM能力构建智能化自动评审系统,通过评审原则定制、动态评审等策略以及模型能力优化,显著提升了模型的自动化评审能力,提升50%的人效,极大的提高了整体SDLC前置防护能力。从数据到真相:大网威胁研究实践作为全网最早披露DeepSeek攻击细节的实验室,来自奇安信X实验室技术负责人柯强为大家展示了详尽的攻击时间轴。并提到截止当前攻击依旧在发生,且是多种攻击方式的混合,并新增了Kitty和Moobot两个僵尸网络。随后柯强为大家分享了X实验室攻击监控以及反制和溯源的过程,并介绍如何通过数据、系统、人+AI来实现大网威胁研究。白盒+LLM漏洞挖掘的探索与实践最后一个议题来自字节跳动无恒实验室的苏忠富,他带来的议题可以说是白帽师傅们期待已久,即如何通过大模型来挖漏洞,尤其是逻辑漏洞。开篇先抛出当前逻辑漏洞已成为企业花费最多资源解决的问题,且当前白盒检测有无法理解代码语义,规则能力有限以及维护规则压力大,优化空间有限等问题;针对上述问题,他分享了通过大模型驱动的水平越权漏洞检测方案,并介绍如何通过越权行为分析、鉴权行为分析、接口重要性分析来让大模型来判断漏洞。01沙龙PPT看这里嘉宾PPT请关注“字节跳动安全中心”公众号后台回复【0321安全范儿】获取02直播回放看这里沙龙视频回放请访问以下链接观看:https://bytedance.larkoffice.com/file/T65abwSByo5GNcxdCsDcsWWRnIe再次感谢4位分享嘉宾、ByteSRC白帽师傅及各位生态合作伙伴对本次沙龙的支持。更多精彩内容,敬请关注“字节跳动安全中心”公众号,16期再见!关于安全范儿沙龙由字节跳动安全与风控团队发起,用沙龙形式搭建行业桥梁,与安全从业人员进行技术交流、实践分享。帮助安全人才成长,共同完善生态,促进安全行业的有序运营和蓬勃发展。拓宽安全技术视野,亦是丰富美好生活。Empower security, Enrich life奖文末抽奖转发文章至朋友圈,参与抽奖点击阅读原文直达回放 阅读原文 跳转微信打开
最高奖励3万元|电商反爬专测来啦
about 1 month ago
2025-03-25 15:39 北京 反爬再度来袭! 最高单个奖励3万元! 专测时间⏰3月25日 - 4月25日⏰测试范围1. 抖音、抖音火山版、抖音极速版、抖音商城APP内电商相关c端接口2. 抖音电商b端相关接口资产抖店:fxg.jinritemai.com百应:buyin.jinritemai.com联盟精选:lianmengapi.ecombdapi.com罗盘:compass.jinritemai.com、compassbrand.jinritemai.com测试说明及奖励1. 爬虫有效标准:标准真机/模拟器或者纯脚本执行2. 爬取接口参照及奖金3....
大模型如何挖漏洞 | 正在直播
about 2 months ago
2025-03-21 13:55 北京 直播开启!速来学习! 15安全范儿沙龙正在直播直播地址:https://live.byteoc.com/2267/sec15字节安全如何用大模型挖洞LLM安全风险发现与治理大模型在SDLC自动化评审的实践DeepSeek是如何被攻击的识别下方二维码跳转直播点击原文链接,一键抵达直播现场 阅读原文 跳转微信打开
最高10万元 | 生服专测邀你开挖!
about 2 months ago
2025-03-19 18:17 北京 上号!开挖! 专测时间3月12日-3月26日① 爬虫漏洞专测说明爬虫入口及要求1、抖音集团系所有可访问生服团购到手价数据的模块,包括不限于:抖音app-团购、今日头条app-搜索本地团购、其他2、抖音集团系所有可访问商家经营数据的模块,包括不限于:【抖音来客】 life.douyin.com【抖音林客】www.lifecreator.cn【抖音集星】www.life-partner.cn【本地直播专业版】eos.douyin.com有效爬取标准及???金严重漏洞20000元高危漏洞10000元中危漏洞4000元低危漏洞1000元提交报告标题请备注【生服爬虫】爬虫报告提交要求请按照如下格式提交,并要求录制爬取过程中的一段屏幕视频(日期、账号、脚本执行过程、不小于100条获取数据)用于内部验证爬取有效性,需提交内容包括但不限于:测试规范及补充说明1、禁止使用钓鱼邮件、社会工程手段,或未经授权使用第三方数据API、中间人攻击来获取数据2、禁止影响正常的业务运行,包括但不限于发起大量级或高频次请求、内网渗透及内网数据爬取等3、禁止盗用或借用管理账号、内部账号进行测试。对于测试中使用的非普通用户账号,需说明账号来源。无法追溯的账号将被视为非法使用或借用4、在漏洞定级后,请立即删除本地数据,禁止转售/传输给第三方,并在测试过程中发现的漏洞问题禁止对外公开5、通过测试锁定的账号可在活动结束后统一联系运营解封(需在爬取报告中体现账号爬取日志)6、无效爬取说明-不符合爬虫漏洞要求的数据均为无效数据-同一漏洞问题重复提交视为无效,先到先得7、报告标题必须备注【生服爬虫】,否则无法享受活动奖励。② 安全漏洞专测安全漏洞专测范围 【抖音团购相关模块】入口:抖音app-团购 【抖音来客】life.douyin.com 【抖音生意经】www.life-data.cn 【抖音集星】www.lifecreator.cn...
大模型如何挖漏洞 | 攻防视角下的AI安全
about 2 months ago
周五见 2025-03-18 18:19 北京 用大模型挖洞了吗? 3月21日,14:00,「AI大模型攻防安全」第15期安全范儿技术沙龙周五见~议题看点大模型产品攻防实践如何设计更安全的Prompt和模型交互机制来防止Jailbreak,Prompt 注入此类攻击掌握如何利用攻防思路识别和修复AI产品中的潜在安全漏洞基于LLM的SDLC需求自动化评审分享如何用大模型发现海量需求中的安全风险如何提升和改进自动化评审的表现,权衡SDLC的效率与价值从数据到真相:大网威胁研究实践海量基础安全数据在大网威胁研究中的方法和思路了解 DeepSeek 攻击细节&如何实现僵尸网络跟踪和大规模 DDoS 攻击监控白盒+LLM漏洞挖掘的探索与实践如何最大化利用大模型的能力挖掘逻辑类漏洞大模型在代码漏洞挖掘上有哪些优势与劣势3.21 本周五...
AI大模型攻防安全 | 第15期安全范儿技术沙龙开启
about 2 months ago
2025-03-13 18:09 北京 安全大模型vs大模型安全 以低成本和高性能为特点的DeepSeek爆火,带动大模型的应用场景不断拓展。随着大模型技术的飞速发展,其安全风险也日益凸显。3月21日,字节跳动安全范儿技术沙龙焕新开启,25年首场沙龙主题聚焦「AI攻防安全」。来自字节安全与风控、无恒实验室、奇安信XLab实验室的4位安全专家,为大家带来AI大模型在漏洞挖掘、SDLC自动评审、LLM产品本身的安全风险以及深度还原DeepSeek是如何被攻击的精彩议题~(文末有抽奖)议题亮点提前知字节安全白盒团队如何用大模型挖洞LLM自身的安全风险发现与治理大模型在SDLC自动化评审的实践DeepSeek是如何被攻击的1大模型产品攻防实践在 LLM(大语言模型)持续升温的当下,AI 产品的安全风险不容忽视。本次议题将聚焦模型投毒、Jailbreak(越狱攻击)、Prompt 注入等攻击方式,结合大模型部署运营中可能遭遇的传统信息安全问题,讨论「风险如何被利用」,并探索「漏洞修复方案」。肖瑶,字节跳动安全与风控-安全工程师曾在腾讯安全-科恩实验室、京东安全实习,2024年加入字节跳动,专注于大模型产品安全、红蓝对抗、安全开发、云原生等工作。2基于LLM的SDLC需求自动化评审分享在企业自动化能力军备竞赛日益激烈、研发同学安全水平日益提升,依靠自动化工具“一劳永逸”的时代已一去不返,那么深入业务逻辑去洞悉需求设计文档将成为如何前置发现高危风险的重要一环。本议题将结合我们在应用安全治理中遇到的问题,利用LLM技术构建高效、智能的自动化评审平台,帮助我们能在庞大的需求文档中抽丝剥茧、发现潜在的风险,并分享我们在企业安全实践中的经验和思考。杨子超,字节跳动安全与风控-安全工程师毕业于约翰霍普金斯大学信息安全专业,曾在京东安全工作,在应用安全领域有较为丰富的实践,目前专注于应用安全领域的体系化建设和大模型应用场景探索。3从数据到真相:大网威胁研究实践春节期间,针对 DeepSeek 的 DDoS 攻击事件引起了广泛关注。作为最早发现并披露此次攻击的团队,奇安信...
双倍积分 | 生活服务漏洞+爬虫双专测开启
about 2 months ago
2025-03-12 11:17 北京 25年首场专测,双倍积分!速速开挖! 专测时间3月12日-3月26日① 安全漏洞专测安全漏洞专测范围 【抖音团购相关模块】入口:抖音app-团购 【抖音来客】life.douyin.com 【抖音生意经】www.life-data.cn 【抖音集星】www.lifecreator.cn 【抖音本地直播专业版】eos.douyin.com 【抖音生活服务学习中心】lifexue.com...
双倍积分 | 生活服务漏洞+爬???双专测开启
about 2 months ago
2025-03-12 11:17 北京 25年首场专测,双倍积分!速速开挖! 专测时间3月12日-3月26日① 安全漏洞专测安全漏洞专测范围 【抖音团购相关模块】入口:抖音app-团购 【抖音来客】life.douyin.com 【抖音生意经】www.life-data.cn 【抖音集星】www.lifecreator.cn 【抖音本地直播专业版】eos.douyin.com 【抖音生活服务学习中心】lifexue.com...