Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2 小时前

新闻旧闻结合看：2025.11，Google威胁情报组（GTIG）报告，朝鲜黑客组织 UNC1069 正利用 AI 模型（如 Gemini）开发和部署恶意软件，目标为加密货币钱包和交易所员工。

然后，昨天 axios 被投毒事件，还好被及时发现，否则除了一堆新版 OpenClaw 所在设备被干掉，还有许多直接间接依赖 axios 的设备会被干掉…

难说真实影响面如何，且看之后可能暴雷的一些被黑被盗事件。

BlockBeats｜We're hiring!

@BlockBeatsAsia · 11 小时前

最新进展：谷歌将 axios 供应链攻击归因朝鲜组织 UNC1069🥷🥷

谷歌威胁情报团队（GTIG）和 Mandiant 将昨日 axios 供应链攻击归因于 UNC1069，一个自 2018 年起活跃、以金融动机为主的朝鲜背景黑客组织，历史攻击目标以加密货币和 AI 行业为主。

归因依据是此次部署的 WAVESHAPER.V2 后门与 UNC1069 历史使用版本的直接代码传承，以及 C2 基础设施（sfrclak[.]com / 142.11.206.73）与其过往活动记录的重叠。

1518

Cos(余弦)😶‍🌫️

@evilcos · 7 小时前

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 7 小时前

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 7 小时前

不少人关心量子攻击对比特币的威胁（可是，他们从来没有真正关心自己乱备份助记词/私钥，乱使用钱包，乱信任糖衣炮弹等等这些早就泛滥的威胁）。

我要告诉这些人：首先相信科学，相信进化论，量子攻击肯定会来，但比特币、以太坊等等都在做应对准备，且毫不慌张地应对着…即使之后量子攻击真的打进来了，也有足够韧性应对。

比特币、以太坊等的威胁只有不思进取。

PANews丨APP全面升级

@PANews · 2026-03-31

比特币拟通过 BIP360 提案增强抗量子攻击能力，相关测试网已部署

据Bitcoin Magazine称，比特币开发者正推进一项旨在增强比特币抗量子能力的比特币改进提案BIP360“Pay to Merkle Root(P2MR)”，相关测试网已部署。

截图显示，对应代码提交于2月11日完成并获验证，反映社区正为潜在量子计算威胁提前做技术准备。

1749

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-26

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-26

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-03-26

很有趣的一个对比，受 Apifox 供应链投毒攻击影响的人或公司，意识到问题严重性的，都在排查解决，没有一个去找 Apifox 维权损失的，而如果这个玩意是加密行业流行的，维权的人就多了。当然，被骂都是不可避免的。

蓝点网

@landiantech · 2026-03-26

国内知名 API 协作平台 #Apifox 发布公告承认遭供应链攻击，开发者应全面排查并重置敏感凭证。

蓝点网昨夜发布报道时 Apifox 并未发布公告，但相关修复版本在 3 月 23 日已经发布，可能是 Apifox 眼看这事儿已经瞒不住才发布安全公告，公告还不是发在官网首页。

排查方法：

135

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-25

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-25

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-03-25

SlowMist Agent Security Skill v0.1.2发布，优化模版报告输出样式，更简约清晰：

顺便解释下，月初我们发布的“OpenClaw极简安全实践指南.md”是给 OpenClaw 做的安全思想钢印，覆盖安全的事前、事中、事后部分：

而，“SlowMist Agent Security Skill”是针对性增强了安全的事前能力，也就是安全检测能力增强了。

两者不冲突，是互补关系，一个是思想钢印（大脑），一个是 Skill（手脚）。

SlowMist

@SlowMist_Team · 2026-03-25

🛠️ 更新：SlowMist Agent Security Skill v0.1.2 现已上线！

本次发布重点改进了报告模板输出——使其更加清晰、简洁，便于阅读，以获得更好的安全洞察。

虽是小更新，但这是迈向更流畅分析体验的有意义一步。

🔗 在ClawHub上试用：

🔗 GitHub：

101
221
1012
52
20
310
15
5

1736

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-21

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-21

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-03-21

如果不需要“OpenClaw 极简安全实践指南”，直接给你的 OpenClaw 说卸载就行，如果你希望只留红线黄线有关的保护机制，注明好这个要求就行。顺便说下 SlowMist Agent Security Skill 内部已经在使用，在安全检测方面会更强大。这个和我们之前发布的“OpenClaw 极简安全实践指南”不冲突，你可以理解为是事前安全部分的增强。增强的专门搞个 Skill 就很合适。附：OpenClaw 极简安全实践指南：SlowMist Agent Security Skill：等待发布

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-20

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-20

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-03-20

很逗，我其中一个 OpenClaw 安装了一堆 Crypto Skills，配置了好几个钱包，里面都放了一点资金。一周下来，我已经不知道哪些钱包地址有资金，分别属于谁家的 Skill…一问 OpenClaw 又尼玛烧了我一堆 token…😭

499

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-18

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-03-18

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-03-18

OpenAI 的 openai-codex/gpt-5.4 模型真的特别多废话，且固执，受不了了。

510

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-03-11

如何利用AI代理建立年收入$1M的业务

200

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-23

现在整理和备份 Claw 的记忆文件就犹如备份我的微信聊天记录，我在全新手机上登录，没同步微信聊天记录，于是几千人过去十年的聊天上下文都没了，瞬间觉得充满了陌生，甚至有点新奇…

499

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-23

我以为的🦞“逻辑”的形象 vs 她自己以为自己的形象…

好吧，我决定备份好她的记忆…

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-22

🫣没想到这次 X 私信功能升级，我漏掉了许多被盗被黑的请求，我以为市场很凉，黑客骗子们也消停了一段时间…

私信如果没有收到我的响应，可以在我们官方入口提交你的被盗被黑情况：

// 提交前务必仔细阅读你必须勾选的知情项，减少大家后续沟通成本

499

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-22

这是完全控制许多🦞的方式之一😌

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-21

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-21

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-21

记录下，目前搞了四个跑在云端的 Claw：

- 小羊是 Kimi Claw，体验很顺，海外注册，所以网络很顺…
- 小小是 nanobot，类 OpenClaw 的更轻框架，跑在 GCP 上，目前感觉挺不错…
- 逻辑是 OpenClaw，跑在 GCP 上，主流模型应有尽有，我会给它足够好的环境和资源…
- lsclaw，我自己 Vibe Coding 的一个只跑在 Linux 终端的类 OpenClaw 框架，尽可能轻量级，为什么自己搞了一套，是因为我顺便学习学习，模仿是学习最快的方式😌

其实本地独立电脑也跑了 OpenClaw，但是所谓那些需要牺牲高隐私的配置，我一个玩网络安全的人，非常不适应…等等再说吧。

202

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-18

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-18

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-18

DeFi 借贷协议 Moonwell 上的预言机配置错误，造成了约 178 万美元损失…非常低级地把预言机喂价公式写错了…这个漏洞的一个亮点是：Co-Authored-By: Claude Opus 4.6。Claude 最新最强模型。🤣🫣

pashov

@pashov · 2026-02-18

🚨Claude Opus 4.6编写了有漏洞的代码，导致智能合约被利用，损失$1.78M

cbETH资产的价格被设置为$1.12，而不是约$2,200。该项目的PR显示提交由Claude共同完成——这是首个由vibe-coded Solidity代码引发的黑客事件吗？

2114

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-14

OWASP 智能合约 Top 10 漏洞，2026 新版看去更符合实际情况了…我简单解析下：

1. 访问控制漏洞（权限，不仅是针对人的权限，还有合约互操作之间的，跨链消息的等，很痛）
2. 业务逻辑漏洞（增加“业务”两字，审计最关键的挑战点）
3. 价格预言机操纵（痛）
4. 闪电贷辅助攻击（加了个“辅助”两字）
5. 缺乏输入验证（比如危险的 calldata）
6. 未检查的外部调用（比如危险的 delegatecall/call）
7. 算术错误（新增，比如去年的 Balancer v2/Yearn yETH/Truebit 等造成了巨额损失）
8. 重入攻击（这个从 2023 Top1 掉到 2025 Top 5，现在 Top 8，很大原因是防御体系很成熟了）
9. 整数溢出与下溢（溢出确实还没有消失…）
10. 代理与可升级性漏洞（新增，这个其实很常见，比如去年疯狂一波的这个：攻击者利用未初始化的 ERC1967Proxy 合约，抢在部署者之前设置恶意实现合约，然后埋伏，等时机下手。搞了好些项目）

一个稍微复杂点的攻击，其实就是漏洞组合拳利用了。

现在 AI 在迅猛发展阶段，对于攻防双方来说都是挑战，随着安全基建成熟，我预计 8/9/10 未来会趋于下降，然后填补上一些新的漏洞姿势…

@SlowMist_Team

OWASP® Foundation

@owasp · 2026-02-13

🚀 OWASP智能合约十大团队宣布2026年OWASP智能合约十大。新研究强调了最关键的智能合约风险，帮助Web3开发者和安全团队领先于不断演变的威胁。 #OWASP #SmartContracts #Web3 #OpenSource

1759

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-10

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-10

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-10

同样是密钥（虽然生成算法不一定相同），加密货币的私钥或签名内容泄露造成的危害可能一次就达十多亿美金级别的，相比之下 AI Agents 里的密钥安全风险就小了许多，要么可能泄露些隐私，要么就是额度（比如当月几十到几百美金）被消耗完。这样一对比，安全要怎么做立马就有数了。

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-10

推荐下这个 API 密钥管理的安全实践，至少可以让你的密钥们不会轻易泄露或遗忘了…最近并非故意地 hack 了几个 OpenClaw 项目，一不小心看到了一些辣眼睛的内容，你的虚拟女朋友可能就这样被复制走…悠着点吧😂

499

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-09

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-09

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-09

正在重温《哈利波特》，现在的 AI 简直就是芸芸众生在网络世界里的魔法延伸。你对着 AI 喊一句咒语，瞬间释放目标技能。咒语喊得好不好，魔杖质量如何，决定了技能释放效果。

499

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-08

Safe 多签钱包终于出钱包地址投毒应对方案了，我还没实测，不清楚效果如何…钱包用户交互安全这方面，国人的几个知名钱包是远远领先一个周期的…

Safe{Labs}

@SafeLabs_ · 2026-02-06

🚨 安全更新：针对多签用户的大规模地址投毒 + 社会工程攻击

我们发现恶意行为者协调行动，创建了数千个类似的Safe地址，旨在诱骗用户将资金发送到错误的目的地。这是社会工程与地址投毒的结合。

重要提示：这不是协议漏洞，不是基础设施入侵，也不是智能合约漏洞。

尽管如此，我们对此类报告极为重视，因为最终结果相同：用户的资金可能面临风险。

Etherscan参考（用于部署恶意Safe的攻击者工厂）：

在SEAL911、Hypernative和Blockaid的帮助下，我们调查了攻击模式并识别了约5,000个恶意地址。这些地址已通过SafeShield（由我们的安全合作伙伴提供支持）标记为恶意地址，并从Safe Wallet的UI中移除，降低了意外交互的风险。

请注意：类似方案对恶意行为者来说很容易复制。因此，遵循安全的签名程序至关重要，尤其是高价值转账（例如，验证完整地址，使用地址簿/允许列表，通过其他渠道确认接收方，先进行小额转账）。

地址投毒和社会工程攻击，如钓鱼攻击，是加密领域中不断演变且持续的威胁。防御这些威胁需要持续投入检测和用户体验改进，以减少人为错误。

对于不熟悉此攻击模式的人，我们强烈建议在此阅读更多信息：

在safe中使用地址簿：

在spaces中使用地址簿：

保持警惕：不要信任——始终验证完整地址，而不仅仅是前缀和后缀。🛡️

非常感谢SEAL911、Hypernative和Blockaid的快速支持。

2234

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-07

以前，打开文本文件几乎不担心会出安全问题，现在让 AI Agents 帮我打开文本文件（尤其 md 文档），我会很担心。攻防模型变了。

499

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-06

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-02-06

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-06

一觉醒来，AI LLM 们又争先恐后地更新了，Vibe Coding 的作品又多了几百万个，而 Crypto 在继续下行。AI 向上，Crypto 向下。我继续 HODL 着 Crypto 最优秀的几个资产，给 Agents 们下发新一轮指令，静待下一轮绽放。

1725

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-03-11

如何利用AI代理建立年收入$1M的业务

200

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2 小时前

BlockBeats｜We're hiring!

@BlockBeatsAsia · 11 小时前

1518

Cos(余弦)😶‍🌫️

@evilcos · 2025-12-13

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2025-12-13

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2025-12-13

最近安全审计时总会 Spec Coding 一些辅助工具，AI 确实大大提升了审计效率。这里开源其中一个：

A powerful Chrome extension for security researchers to inspect and edit localStorage, sessionStorage, and Cookies.

扩展本地加载使用即可，安全可控。@SlowMist_Team

1215

Cos(余弦)😶‍🌫️

@evilcos · 2025-12-12

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2025-12-12

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2025-12-12

玩 Vibe Coding 的人，除了创造力之外（比如一个高质量的 AI 交付给我们的结果，我们能不能发现 AI 埋伏的坑。

Cos(余弦)😶‍🌫️

@evilcos · 2026-01-12

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-01-12

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-01-12

门罗币 Monero 为什么新高了？👀

499

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2025-12-27

作为安全合作伙伴+你们的用户，我表示非常期待这个：本地开源版本😁

Piz0n

@L14ngW3i · 2025-12-27

NexVault 已经“停更”一段时间了 —— 不过我们没有跑路也没有倒掉，只是做了一些战略调整，接下来会有三个变化：

【1】停掉线上服务的版本( by NexVault”；

【2】为践行我们之前“对个人用户免费开放”的承诺，在2026Q1会出一个本地开源版本，专门给个人用户和轻量级的小团队使用，这个版本会完全开源免费，提供超过10条主链、多款软硬件钱包支持的原生多签管理能力；

【3】为了加强机构合作深度与专业度，我们会持续维护更新我们的交易所风险指南，包括security list（

未来我个人和团队都会更多精力专注于机构服务，也欢迎机构和资本大佬们多交流、多沟通 ~ 以上 🤪🤪🤪

998

Cos(余弦)😶‍🌫️

@evilcos · 2025-12-25

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2025-12-25

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2025-12-25

慢雾：去中心化永续合约安全审计指南

本手册旨在解构此类系统的核心架构，剖析风险场景，并为智能合约安全审计师或区块链安全研究员提供实战审计检查清单。

from 九九@SlowMist_Team

1215

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-08

Safe 多签钱包终于出钱包地址投毒应对方案了，我还没实测，不清楚效果如何…钱包用户交互安全这方面，国人的几个知名钱包是远远领先一个周期的…

Safe{Labs}

@SafeLabs_ · 2026-02-06

2234

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-07

以前，打开文本文件几乎不担心会出安全问题，现在让 AI Agents 帮我打开文本文件（尤其 md 文档），我会很担心。攻防模型变了。

499

Cos(余弦)😶‍🌫️

@evilcos · 2025-11-30

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2025-11-30

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2025-11-30

😬看到文章提到我，回忆涌上了心头...目前我基本只在 X 上活跃，都会有个周期，也许几年后整个世界又不一样了，我们始终在切换自己的精神高地、精神角落，直到死亡。

AppSail.dev

@AppSaildotDEV · 2025-11-28

173

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-02-14

OWASP® Foundation

@owasp · 2026-02-13

1759

Cos(余弦)😶‍🌫️

@evilcos · 2026-01-25

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️

@evilcos · 2026-01-25

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

@evilcos · 2026-01-25

现在隔三差五就有 AI 新玩意出来，我都会尽可能抽时间来体验，搞懂其中原理及安全风险。就如 Web3/Crypto 火爆之时，各种新玩意井喷出现，主动被动玩了许多。这是两个完全不一样的行业，但都非常有热度，也有许多乱七八糟的东西，包括骗子。不设限，是跟随时代发展最好的姿势。

Cos(余弦)😶‍🌫️

@evilcos · 2026-01-24

这段时间，我用 AI 完成了几个小测试：

- 两个智能合约有关项目（其中一个带前端），目前只在测试网

- 一个简洁的 HIDS，已经稳定运行在我的云服务器上

- 一个钱包安全有关工具，支持比特币（各地址类型）、EVM、Solana、Tron

- 一个 iOS App，方便我离线打开某些纯网页工具（我非常喜欢可以单页运行的网页工具）

- 一个打飞机战斗的网页小游戏（用了 agents .md）

- 一个与浏览器扩展钱包私钥及助记词文件安全分析有关的工具

- 一个浏览器扩展，方便分析和利用 Storage 里的内容

- 一份 130 页的 Web3/Crypto 安全 PPT

- 几个漏洞研究与 PoC 验证

分享些心得：

工具类的都通过 AI 及我的安全审计，自建自用，完全驾驭。许多我并不打算开放，原因很简单，我喜欢把事情做简单，自用得舒服才是第一，任何人其实都可以创造自己想要的工具，在 AI 纪元，重复造轮子不是贬义。

我本来还想用 AI 改造我之前 GitHub 开源的项目，后来一想不对劲，以前都是手写的代码，留着纪念吧，别被 AI 交叉影响了，如果真要做，可以完全 fork 着做。

至于这些分别用什么 IDE，什么模型，其实我记得不是很清楚，各种主流的我都有尝试对比，包括跑在 Mac/Win 的，也有跑在云服务器上的，对我来说，它们都是劳动力，我需要勤劳地去调度和验收。我个人倾向上，比起 GUI 我更喜欢 TUI，终端跑 Codex、Claude 这两个，如果服务器，跑在 Tmux 里，结合上古神器 VIM 等做相关代码的人肉 review，效率非常不错。这部分的操作衔接简直是为早年玩 Linux 的人量身定做的。

我发现我最大的效率是往 iPhone 上转移，配合一些不错的 iPhone 应用，比如 SSH 终端、WorkingCopy、Pythonista、Surge 等，再加上那些知名的 AI App，真移动办公。我司自己的安全产品也是往移动端尽可能适配。

好了，这篇心得先到这，过段时间再看，肯定不得不做更多更新了，一切都在加速。超级个体会越来越多。

2273

Cos(余弦)😶‍🌫️

SlowMist_Team创始人 // 分身一号/捉虫大师/救火运动员 // 🕖备用频道 t.me/greyhatcos

Cos(余弦)😶‍🌫️