## Hacktron CLI 与 85,000 美元的漏洞赏金:一种新的漏洞研究方法
一位安全研究人员在以 JDBC 驱动程序为中心的漏洞赏金活动中,面临着紧迫的截止日期,他利用 Hacktron CLI 加速漏洞发现。在剩余的两天内,手动审计大量驱动程序以查找常见漏洞(RCE、SSRF 等)是不可能的。
Hacktron 被用作“副驾驶”,快速分析反编译的驱动程序源代码,使用了定制的、以漏洞为中心的“JDBC 驱动程序包”。它有效地识别了潜在的 sink 并追踪用户可控的输入,大大缩短了分析时间。
这导致发现了关键漏洞,包括 Databricks 驱动程序中的一个 RCE,源于本地文件暂存的缺陷 allowlist – 通过 Databricks 的 Volume 存储并与 Git 仓库克隆功能链式利用。 此外,还在 Exasol(任意文件读取)和 Teradata(命令注入,已披露)中发现了漏洞。
最终,Hacktron 在不同厂商的驱动程序中发现了多个漏洞,获得了 **85,000 美元的漏洞赏金**。 此次经验凸显了 LLM 辅助审计加速研究的潜力,使研究人员能够专注于创造性的利用,而不是繁琐的手动代码审查。 Hacktron CLI 目前正在招募早期用户:[https://app.hacktron.ai/signup](https://app.hacktron.ai/signup)
通用EV1是一款20世纪90年代的先锋电动汽车,在汽车历史上备受争议。它最初是为满足加州ZEV指令而制造,但在游说活动软化法规后,通用汽车突然取消了该项目。与众不同的是,通用汽车*租赁*了EV1,但在项目结束后收回并大肆销毁了这些车辆,阻止车主购买它们——这一故事在纪录片《谁杀死了电动汽车?》中广为人知。
现在,一项非凡的项目正在进行中。一辆EV1(车辆识别码#278)——在被遗弃并拍卖后合法获得——正在被修复至可行驶状态。这辆车似乎是唯一一辆私人拥有且不受限制的EV1。
修复团队计划用现代组件替换已移除的电池和逆变器,包括定制的磷酸铁锂(LFP)电池组,目标续航里程超过200英里。尽管面临诸如挡风玻璃破碎等挑战,他们正在利用雪佛兰S10电动汽车的零部件。雄心勃勃的目标是在2026年11月14日——EV1推出30周年之际——让EV1再次行驶起来。
麻省理工学院设计智能实验室开发了“Geolectric”,这是一种极简主义灯笼,展示了地质聚合物作为消费电子产品中塑料可持续替代品的潜力。这款创新灯具赠送给了前爱尔兰总统玛丽·罗宾逊,它由两块地质聚合物部件通过玻璃连接,并通过嵌入式LED触摸激活。
地质聚合物由矿物质和碱性溶液制成,具有低碳足迹——与混凝土不同——并且可以利用工业废料。重要的是,它们可以在室温下成型,从而可以在硬化过程中无缝集成电子元件,无需螺丝和接缝。
目前入围Dezeen奖,Geolectric展示了地质聚合物如何解锁新的设计可能性和形式。虽然仍处于早期开发阶段,但该实验室设想更广泛的应用,从人工智能驱动的厨房台面到互动式户外家具,最终目标是实现循环经济并扩展电子产品设计中的材料选择。