文章总结： 文档披露AI辅助漏洞挖掘过程中发现技能库遭恶意投毒事件，攻击者在SQL注入技巧中植入危险指令如DROPTABLEUSER。作者通过自查发现投毒细节并警告安全社区自查第三方技能库，同时通过社工手段发现相关域名处于出售状态。建议立即撤回推广该技能库的文章并核查所有外部安全资源。 综合评分： 67 文章分类： 恶意软件,安全意识,漏洞分析,安全工具,威胁情报

Ai挖洞-skill投毒篇

C4安全

2026年6月14日 21:08 江苏

在小说阅读器读本章

去阅读

以下文章来源于星辰之雪 ，作者星辰之雪

星辰之雪 .

互联网上好物种草捡漏搬运工，，一个普普通通的网络安全爱好者，程序猿，偶尔给大家分享一些网络安全，计算机还有生活中的一些知识。既然来都来了，点个关注再走呗ps:在校大学生一枚~ 可能无法日更 请谅解

这个事件还要追溯到上个月的29号；

彼时还没多少人意识到问题的严重性，除了团队的这个哥，差点就判了，得亏没sql注入漏洞

https://github.com/crazyMarky/pentest-skills/blob/main/exploit-sqli/references/manual_sqli_techniques.md

我就用Ai挖洞偷个懒，不是你要我命啊？

Sha0_s1白马长枪飘如诗 鲜衣怒马少年时

1461 阅读47 评论17 赞收藏

起因是我在ai半自动挖掘漏洞时候发现报告内容有点离谱，有些测试可能操作了但是没记录细思极恐。

谁他妈教你DROP TABLE USER 来判断sql注入的啊？

这么离谱的操作我只能怀疑是我之前收集的野skills问题

果然经过Ai自查找到这个投毒细节内容。

快自查一下野skills吧！！！

还有很多知名公众号推广这个skills，建议撤回文章，别酿成大祸。

后续的话，使用社工神力，发现了点东西

不知道是作者挂的其他人的域名，还是准备跑路了呢，域名在出售中状态

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：C4安全 《Ai挖洞-skill投毒篇》