【网络安全】探索AI 聊天机器人工作流程实现RCE
未经许可,不得转载。
文章目录
- 前言
- 正文
前言
我发现了一个广泛使用的AI聊天机器人平台中的远程代码执行漏洞。该漏洞存在于聊天机器人的自定义工作流响应代码中,这些工作流允许开发人员通过创建定制的流程来扩展机器人的功能。
正文
在浏览自动化聊天机器人的多个特定功能时,其中一个引起我注意的功能是“Start from scratch”选项,如下所示:
此“Start from scratch”选项包含多个用于定制聊天机器人自动化的选项,例如:工作流、Webhooks和自定义代码片段,如下图所示:
查看其余选项后,我开始探索“运行代码片段”选项。
该功能包含可自定义的代码,用于从聊天机器人获取自定义响应。例如,responseJson函数有一个默认值为“Hello World”的botMessage参数。
默认代码片段如下:
const responseJson = {botMessage: "Hello world",responseExpected: false
}
也就是定义了返回的消息和是否期待进一步响应的默认设置。
由于聊天机器人是使用 Node 18.x 框
相关文章:
【网络安全】探索AI 聊天机器人工作流程实现RCE
未经许可,不得转载。 文章目录 前言正文前言 我发现了一个广泛使用的AI聊天机器人平台中的远程代码执行漏洞。该漏洞存在于聊天机器人的自定义工作流响应代码中,这些工作流允许开发人员通过创建定制的流程来扩展机器人的功能。 正文 在浏览自动化聊天机器人的多个特定功能…...
虚拟DOM、Vue渲染流程
虚拟DOM(Virtual DOM)是一种在前端开发中广泛使用的技术,它用JavaScript对象来表示真实DOM(文档对象模型)的结构和状态。虚拟DOM的核心思想是将页面的状态和结构保存在内存中,而不是直接操作真实的DOM。这一…...
centos7 启动python后端服务与停止服务的sh脚本
centos7 启动python后端服务与停止服务 分别在工程目录下新建启动脚本和停止脚本。 1、启动服务脚本 start_srv.sh: python3 start_srv.py运行 nohup ./start_srv.sh & 以守护进程的方式启动这个服务。 2、停止服务脚本 stop_srv.sh: sp_pidps -ef | grep start_srv…...
访问网站显示不安全怎么办?
访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。 1.未启用HTTPS协议 如果网站仅使用HTTP协议,数据传输没加密,因此会被浏览器标记为“不安全”。解决办法是启用HTTPS协议,给…...
Scala与集合框架:高效数据处理的利器
Scala与集合框架:高效数据处理的利器 Scala 是一种现代化的编程语言,融合了面向对象编程和函数式编程的特性。其集合框架为处理数据提供了强大而灵活的工具,使得数据处理变得高效且富有表达力。本文将深入探讨 Scala 的集合框架,…...
基于 JWT 的模拟登录爬取实战
准备工作 1. 了解 JWT 相关知识 2. 安装 requests 库,并了解其基本使用 案例介绍 爬取网站: https://login3.scrape.center/ 用户名和密码是: admin 模拟登录 基于 JWT 的网站通常采用的是前后端分离式, 前后端的数据传输依…...
)
力扣(2024.08.06)
1. 144:二叉树的前序遍历 # Definition for a binary tree node. # class TreeNode: # def __init__(self, val0, leftNone, rightNone): # self.val val # self.left left # self.right right class Solution:def preorderTravers…...
如何快速入门 PyTorch ?
PyTorch是一个机器学习框架,主要依靠深度神经网络,目前已迅速成为机器学习领域中最可靠的框架之一。 PyTorch 的大部分基础代码源于 Ronan Collobert 等人 在 2007 年发起的 Torch7 项目,该项目源于 Yann LeCun 和 Leon Bottou 首创的编程语…...
Qt 快速部署环境(windeployqt.exe)
windeployqt.exe 是 Qt 框架提供的一个工具,主要用于将 Qt 应用程序部署到 Windows 环境中。它自动将所需的所有库、插件和文件复制到应用程序的目录中,以便用户能够直接运行应用程序,而无需额外的配置。 主要功能 自动识别依赖项ÿ…...
白骑士的PyCharm教学实战项目篇 4.2 数据分析与可视化
系列目录 上一篇:白骑士的PyCharm教学实战项目篇 4.1 Web应用开发 数据分析和可视化是现代数据科学和工程中的重要环节。借助PyCharm的强大功能,数据分析与可视化的开发工作变得更加高效和便捷。本文将详细介绍如何在PyCharm中进行数据分析工具的集成与…...
el-form-item,label在上方显示,输入框在下方展示
本来是两排展示去写,设计要求一排展示,label再上方,输入框、勾选框在下方;只能调整样式去修改;参考label-position这个属性 代码如下: <el-form ref"form" :model"formData" clas…...
Centos7.9操作系统kdump crash文件vmcore未生成问题
Centos7.9操作系统kdump crash文件未生成问题 一、背景说明1、问题背景 二、排查思路1、先了解下crashkernelcrashkernel设置方式示例如何配置crashkernel验证crashkernel配置 2、再了解下kdump2.1 Kdump 的基本概念2.1.1. 生产内核(Production Kernel)2…...
找不到符号 javax.servlet.WriteListener
1、问题 找不到符号2、原因 JDK1.8升级到高版本后,需要手动引入包。 在打包时,需要注意一下是否是在父类打包,而不是在某个model打包。 3、解决 引入 <dependency><groupId>javax.servlet</groupId><artifactId>…...
智能仪表板DevExpress Dashboard v24.1 - 新增级联参数过滤
使用DevExpress Analytics Dashboard,再选择合适的UI元素(图表、数据透视表、数据卡、计量器、地图和网格),删除相应参数、值和序列的数据字段,就可以轻松地为执行主管和商业用户创建有洞察力、信息丰富的、跨平台和设…...
计算机网络-CSP初赛知识点整理
历年真题 [2016-NOIP-普及-第3题] 以下不属于无线通信技术的是( ) A. 蓝牙 B. Wifi C. GPRS D. 以太网 [2015-NOIP-普及-第10题] FTP 可以用于( )。 A. 远程传输文件 B. 发送电子邮件 C. 浏览网页 D. 网上聊天 [2019-CSP-J-第1题] 中国的国家顶级域名是( ). A. .cn B. .ch C.…...
MySQL第1讲--详细安装教程和启动方法
文章目录 安装教程打开或关闭方式方式1:方式2: 客户端连接方式客户端连接方式1:客户端连接方式2:MySQL环境变量的配置 安装教程 1、mysql官网下载最新的符合本系统的版本 2、点击.msi文件进入安装页面 选择默认的选项开发者安…...
SQL创建数据表的一些语句
SQL创建数据表 /*Navicat Premium Data TransferSource Server : dockermysqlSource Server Type : MySQLSource Server Version : 80023Source Host : localhost:3306Source Schema : nestleTarget Server Type : MySQLTarget Server Version…...
Spring Boot实战:拦截器
一.拦截器快速入门 1.1了解拦截器 什么是拦截器: 概念 :拦截器是Spring框架提供的核⼼功能之⼀, 主要⽤来拦截⽤⼾的请求, 在指定⽅法前后, 根据业务需要执⾏预先设定的代码。 也就是说, 允许开发⼈员提前预定义⼀些逻辑, 在⽤⼾的请求响应前后执⾏. 也…...
<数据集>战斗机识别数据集<目标检测>
数据集格式:VOCYOLO格式 图片数量:7903张 标注数量(xml文件个数):7903 标注数量(txt文件个数):7903 标注类别数:43 标注类别名称:[F16, Mig31, F35, F18, SR71, A10, A400M, AG600, J20, F4, C17, Tor…...
【python】Python中位运算算法详细解析与应用实战
✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,…...
腾讯混元OCR网页推理快速搭建:新手友好型部署指南与问题汇总
腾讯混元OCR网页推理快速搭建:新手友好型部署指南与问题汇总 1. 认识腾讯混元OCR 腾讯混元OCR是一款基于混元原生多模态架构的轻量级文字识别专家模型。作为一款仅1B参数的轻量化模型,它在多项OCR任务中取得了业界领先的成绩。这个网页推理版本将强大的…...
多模态开发工具:LangChain与LlamaIndex——赋能软件测试的新引擎
测试领域的智能化变革在人工智能浪潮席卷各行各业的当下,软件测试作为保障软件质量的关键环节,正经历着深刻的智能化转型。传统的测试方法依赖大量人工编写用例、执行回归、分析结果,不仅效率受限,在面对日益复杂的系统架构和海量…...
四柱排盘免费软件怎么选?天府Agent好用吗
在数字化渗透到传统文化领域的今天,命理分析早已告别了手工排盘、纸笔记录的传统模式,各类专业排盘工具层出不穷,很多命理爱好者都在找好用的四柱排盘免费软件,今天就从实际使用体验出发,整理市面上常见工具的特点&…...
信息化建设-采购实施流程
第八章:实施篇——核心系统实施方法论8.1 采购实施流程8.1.1 采购实施的理论定位采购实施是企业信息化建设中“买对产品、选对伙伴”的关键环节,其理论任务是通过系统化的供应商筛选、产品选型和合同谈判,选择最适合企业需求的信息化产品和合…...
)
Java整合海康威视热成像SDK实战:从设备登录到实时测温数据获取的完整流程(附避坑指南)
Java整合海康威视热成像SDK实战:从设备登录到实时测温数据获取的完整流程(附避坑指南) 在工业检测、医疗诊断、安防监控等领域,热成像技术的应用越来越广泛。海康威视作为国内领先的安防设备供应商,其热成像设备凭借高…...
WarcraftHelper:魔兽争霸3终极优化工具,如何让经典游戏在现代电脑上流畅运行
WarcraftHelper:魔兽争霸3终极优化工具,如何让经典游戏在现代电脑上流畅运行 【免费下载链接】WarcraftHelper Warcraft III Helper , support 1.20e, 1.24e, 1.26a, 1.27a, 1.27b 项目地址: https://gitcode.com/gh_mirrors/wa/WarcraftHelper 还…...
seo网络培训都有哪些就业方向
SEO网络培训的就业方向有哪些? 随着互联网的迅速发展,SEO网络培训成为越来越多人关注的职业选择。SEO(搜索引擎优化)作为数字营销的重要组成部分,已经深深融入了各行各业的运营模式中。SEO网络培训究竟有哪些就业方向…...
Phi-3 Forest Laboratory在操作系统教学中的应用:模拟进程调度与内存管理
Phi-3 Forest Laboratory在操作系统教学中的应用:模拟进程调度与内存管理 不知道你有没有过这样的经历:坐在操作系统原理的课堂上,听着老师讲进程调度、内存分页,那些抽象的概念和算法在PPT上跳来跳去,公式和流程图看…...
春联生成模型-中文-base可部署方案:离线环境无网络部署全流程
春联生成模型-中文-base可部署方案:离线环境无网络部署全流程 春节贴春联是咱们的传统习俗,但每年想一副有新意、有文采的对联可不容易。要么是“恭喜发财”太俗套,要么自己憋半天也写不出来。现在好了,有了AI技术,这…...
Qwen3-14B镜像快速入门:内置模型+完整环境,开箱即用教程
Qwen3-14B镜像快速入门:内置模型完整环境,开箱即用教程 1. 为什么选择Qwen3-14B镜像 在AI模型部署过程中,环境配置往往是最耗时的环节。传统部署方式需要手动安装CUDA、PyTorch、模型权重等数十个组件,版本兼容性问题频发&#…...