OpenClaw高危漏洞可一键窃取主密钥,攻击者直通上帝模式
深度安全研究团队depthfirst General Security Intelligence发现,开源AI个人助手OpenClaw(被超过10万开发者信任)存在一个高危漏洞,该漏洞已被武器化为可一
阅读全文企业如何控制AI大模型的应用风险;国内部署AI Agent的安全法规要点 | FreeBuf热门电台精选集第十八期
📢本期热门电台抢先看:1.聊聊企业如何控制AI大模型的应用风险🤖2.公司在国内部署ai agent,在安全方面有什么法规需要注意⚖️3.小公司能搞的AI安全🎯————————————『FreeBuf电
阅读全文黑客攻击MongoDB实例删除数据库并植入勒索信息
攻击者正通过大规模自动化勒索软件活动,持续攻击暴露在互联网上的MongoDB实例。攻击模式高度一致:攻击者扫描公网可访问的未受保护MongoDB数据库,删除存储数据后植入比特币勒索信息。Part01M
阅读全文AI社交平台Moltbook因配置失误暴露百万凭证
网络安全公司Wiz Inc.今日披露,新推出的AI Agent社交平台Moltbook因重大安全疏漏导致数百万敏感凭证暴露。该平台专为OpenClaw AI Agent设计,支持Agent创建内容、互
阅读全文Metasploit发布7个新漏洞利用模块,覆盖FreePBX、Cacti和SmarterMail
本周 Metasploit 框架的最新更新为渗透测试人员和红队成员带来重大增强,新增了七个针对常用企业软件的漏洞利用模块。本次更新的亮点包括三个针对 FreePBX 的复杂模块,以及针对 Cacti
阅读全文Clawdbot数千个Agent暴露在公网;恶意VS Code扩展“ClawdBot Agent”伪装AI助手 | FreeBuf周报
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🤖“AI网红”Clawdbot数千个Agent暴露在公网“裸奔”🐎
阅读全文云迁移安全常见误区及规避策略
云服务采用率正在快速攀升,但许多企业仍低估了从安全角度看云迁移的复杂性和风险。虽然将工作负载从本地环境迁移至云端能带来灵活性、可扩展性和成本优势,但云环境也引入了一系列传统基础设施团队往往准备不足的新
阅读全文新型语义链式越狱攻击可绕过Grok 4与Gemini Nano安全过滤器
继近期披露的"回声室多轮越狱"攻击后,NeuralTrust研究人员又发现名为"语义链式"的新型漏洞,该漏洞可突破Grok 4和Gemini Nano Banana Pro等多模态AI模型的安全机制。
阅读全文中国公民因参与3690万美元加密货币骗局在美国获刑
Part01案件概况一名中国公民因参与从柬埔寨运作的价值3690万美元的加密货币骗局被美国法院判刑。据披露,该犯罪团伙通过美国空壳公司和离岸账户清洗赃款。2026年1月27日,中国籍犯罪嫌疑人苏景亮(
阅读全文曝光的开放目录泄露跨平台BYOB框架,影响Windows、Linux和macOS系统
威胁研究人员在发现一个暴露的开放目录后,发现了一个活跃的命令与控制服务器,该服务器托管着完整的 BYOB 框架部署。该服务器位于 IP 地址 38[.]255[.]43[.]60 的 8081 端口,
阅读全文恶意VS Code扩展“ClawdBot Agent”伪装AI助手传播木马
AI编程助手的流行正吸引新型网络攻击者。2026年1月27日,Aikido Security安全研究员Charlie Eriksen发现一款伪装成热门工具"ClawdBot"的恶意Visual Stu
阅读全文个人购买的商用软件能否在公司使用;如何绕过加密app查看加密文件 | FB甲方群话题讨论
各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第263期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供
阅读全文PyTorch安全模式被RCE漏洞攻破,恶意模型可执行任意代码
作为现代深度学习和AI研究核心框架的PyTorch,其开发团队近日修复了一个高危漏洞(CVE-2026-24747,CVSS评分8.8)。该漏洞会破坏PyTorch最受安全关注的功能信任机制——即使启
阅读全文SolarWinds再曝重大RCE漏洞,企业安全团队旧伤复发
SolarWinds再次曝出旗下广受欢迎产品的安全漏洞。该公司已发布更新补丁,修复其IT服务管理软件Web Help Desk(WHD)中六个关键的身份验证绕过和远程代码执行(RCE)漏洞。这些漏洞可
阅读全文“AI网红”Clawdbot数千个Agent暴露在公网“裸奔”
当前流行的AI助手工具Clawdbot正在社交媒体上快速扩散,众多用户通过Mac mini硬件进行部署。但该工具同样适用于容器化环境或虚拟专用服务器(VPS),而默认配置往往会导致服务暴露在公共互联网
阅读全文MEDUSA安全测试工具集成74种扫描器与180余项AI Agent安全规则
MEDUSA是一款基于AI技术的静态应用安全测试(SAST)工具,配备74个专用扫描器和180余项AI Agent安全规则。这款开源CLI扫描器专门针对现代开发中的误报和多语言覆盖等挑战。Part01
阅读全文虚假验证码攻击升级,黑客滥用微软脚本与可信服务传播窃密木马
网络安全研究人员近日披露了一种新型攻击活动细节,该活动将ClickFix式虚假验证码与经过微软签名的Application Virtualization(App-V)脚本相结合,用于传播名为Amate
阅读全文攻击者利用React2Shell漏洞针对IT行业发起攻击
威胁行为者正通过一个被追踪为CVE-2025-55182的关键漏洞(俗称React2Shell)针对保险、电子商务和IT行业的公司发起攻击。该漏洞存在于处理React Server Component
阅读全文微软紧急更新修复Office 0Day漏洞
微软已发布紧急安全更新,修复其Office套件中被野外利用的0Day漏洞,该漏洞允许攻击者绕过关键防御措施。编号为CVE-2026-21509的漏洞CVSS评分为7.8分,直击Office处理对象链接
阅读全文CVSS 9.8高危沙箱逃逸漏洞,vm2缺陷危及数百万应用
Node.js 生态中广受欢迎的沙箱库 vm2 曝出重大安全漏洞(CVE-2026-22709),该漏洞 CVSS 评分高达 9.8 分,可使攻击者完全绕过沙箱环境,在宿主机上执行任意代码。数百万开发
阅读全文Anthropic CEO警告:人类或未准备好迎接先进AI时代
Anthropic PBC首席执行官达里奥·阿莫代(Dario Amodei)近日发布长篇论述,系统分析了强大人工智能系统带来的多重风险及应对策略。在这份38页的文章开篇,这位CEO写道:"我相信我们
阅读全文云安全初创公司Upwind完成2.5亿美元融资轮
专注于公共云环境安全的初创企业Upwind Security Inc.今日宣布完成2.5亿美元融资轮。本轮B轮融资由Bessemer领投,Salesforce Ventures和Picture Cap
阅读全文生成式AI现可创建"活体"多态钓鱼页面
Palo Alto Networks Unit 42的安全研究人员揭示了一种令人担忧的网络攻击新趋势:攻击者正利用生成式AI(GenAI)创建"活体"钓鱼页面,这些页面仅在受害者访问看似无害的网站后才
阅读全文Pulsar RAT采用内存驻留执行与HVNC技术实现隐形远程控制
Pulsar RAT 作为开源 Quasar RAT 的复杂变种,通过引入危险的功能增强,使攻击者能够利用高级规避技术维持隐形远程访问。这款专注于 Windows 系统的模块化远程管理工具,标志着威胁
阅读全文Node.js二进制解析库曝高危漏洞可导致恶意代码注入
Part01漏洞概述Node.js二进制解析库(binary-parser)被发现存在一个高危代码注入漏洞(CVE-2026-1245),影响2.3.0之前的所有版本。该漏洞允许攻击者在应用程序使用不
阅读全文VMware vCenter关键RCE漏洞已遭攻击利用
美国网络安全和基础设施安全局(CISA)已将影响博通(Broadcom)VMware vCenter Server的关键漏洞列入其已知被利用漏洞(KEV)目录。此举证实CVE-2024-37079漏洞
阅读全文谁批准了这些AI Agent?重新思考AI时代下的访问权限、问责机制与风险管控
AI Agent正在加速工作流程的执行。它们可以安排会议、访问数据、触发工作流、编写代码并实时采取行动,以超越人类的速度提升企业生产力。直到某天安全团队突然发现:"等等...这是谁批准的?"与传统用户
阅读全文Pwn2Own 2026首日,研究人员凭借37个独特0Day漏洞斩获51.65万美元
Pwn2Own Automotive 2026赛事首日,研究人员通过37个0Day漏洞获得51.65万美元奖金。目前赛事累计曝光66个独特漏洞,总奖金达95.575万美元,凸显汽车行业巨大的攻击面。P
阅读全文