AI初创企业在GitHub泄露敏感凭证，模型与训练数据面临风险

Part01创新速度超越安全规范最新研究显示，全球近三分之二的顶级私营AI企业在GitHub上暴露了API密钥和访问令牌。云安全公司Wiz的调查指出，这反映出快速增长的企业可能将创新置于基础开发安全运

Windows 内核 0Day 漏洞遭野外利用提权（CVE-2025-62215）

Part01漏洞概况微软已为Windows内核中新发现的权限提升漏洞分配编号CVE-2025-62215，该漏洞目前已在野外遭到主动利用。2025年11月11日披露的该漏洞被评级为"重要"，属于内核权

GlassWorm蠕虫卷土重来：开源安全体系暴露根本性缺陷

曾被宣布彻底清除的GlassWorm蠕虫在沉寂两周后，再次通过隐形Unicode字符和区块链C2（命令与控制）技术感染开源扩展。开源项目OpenVSX此前宣称该蠕虫已被"完全遏制"，但这款自传播恶意软

ChatGPT被研究人员诱导实施自我提示注入攻击

Part01七种新型数据窃取手法曝光网络安全公司Tenable的研究人员发现了七种从聊天记录中提取私人数据的新方法，这些方法主要通过利用ChatGPT默认功能的间接提示注入攻击实现。AI聊天机器人已为

满分认证！Bitdefender 斩获 AV-Comparatives 2025 企业级APT威胁防护测试冠军

在AI时代，企业所面临的网络威胁愈加复杂与隐蔽。APT 高级持续性威胁凭借强隐匿性与复杂攻击链条，成为威胁企业数据与业务稳定的关键风险。近日，国际权威独立评测机构 AV-Comparatives 发布

runc关键漏洞威胁Docker和Kubernetes容器隔离安全

Docker、Kubernetes等容器平台依赖的底层运行时runc曝出三个关键漏洞，攻击者可利用这些漏洞突破容器隔离限制，获取宿主机root权限。目前尚未发现活跃攻击迹象。这些漏洞通过竞争挂载条件和

朝鲜黑客组织将谷歌Find Hub服务武器化为远程数据擦除工具

与朝鲜有关联的黑客组织Konni（又名Earth Imp、Opal Sleet、Osmium、TA406和Vedalia）近期发动了一系列针对Android和 Windows 设备的新型攻击，旨在窃取

《破局黑产：守护亿级DAU游戏的安全实战密码 》直播精彩收官！

由腾讯云游戏安全专家主讲的《破局黑产：守护亿级DAU游戏的安全实战密码》主题直播已圆满收官。面对当前黑产愈发疯狂的进攻态势，直播直击行业核心痛点——游戏安全如何从传统的“被动追查”迈向智能化的“主动免

三星0Day漏洞遭间谍软件LANDFALL利用入侵Galaxy设备

Palo Alto Networks威胁情报团队Unit 42的研究人员发现了一个名为LANDFALL的新型Android间谍软件家族。该恶意软件利用三星图像处理库中的0Day漏洞（CVE-2025-

新型Whisper Leak工具包可窃取加密流量中AI Agent的用户提示

研究人员发现一种复杂的旁路攻击技术，即使流量受到端到端加密保护，攻击者仍能窃取用户与AI聊天机器人的对话主题。这项名为"Whisper Leak"的漏洞可使国家行为体、互联网服务提供商或Wi-Fi窃听

思科身份服务引擎漏洞可致攻击者意外重启系统

思科身份服务引擎（ISE）存在一个高危漏洞（CVE-2024-20399），远程攻击者可通过构造特定的RADIUS请求序列使系统崩溃。该漏洞源于ISE处理被拒绝终端重复认证失败时的逻辑缺陷，会造成拒绝

攻击者利用Active Directory站点实现权限提升与域控沦陷

Part01漏洞机制解析Active Directory站点原本旨在通过管理跨地域复制与身份验证，优化分布式组织的网络性能。然而Synacktiv安全研究人员证实，这些被视为安全的网络管理工具可被武器

每周PDF资源：AMS无人值守系统建设与效能提升；SSRF自动化发掘工具；内网渗透测试基础；如何重塑智能网联汽车安全

最新分析揭示LockBit 5.0核心能力与两阶段执行模型

LockBit 5.0于2025年9月下旬首次亮相，标志着这一臭名昭著的勒索软件即服务（RaaS）组织实现了重大升级。该组织可追溯至2019年的ABCD勒索软件，尽管面临执法部门的严厉打击和附属面板泄

ValleyRAT木马利用微信和钉钉针对国内用户发起攻击

ValleyRAT是一种针对Windows系统的复杂多阶段远程访问木马，主要瞄准中文用户和组织机构。该恶意软件最早于2023年初被发现，采用精心设计的感染链，通过下载器、加载器、注入器和最终载荷等多个

FreeBuf周报 | GPT存在七项零点击攻击漏洞；JS库React高危漏洞威胁数百万开发者

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🍮GPT存在七项零点击攻击漏洞💻JavaScript库React高

AI浏览器通过模拟人类用户行为绕过付费墙

OpenAI的Atlas和Perplexity的Comet等先进AI浏览平台的出现，给全球数字出版商带来了复杂挑战。这些工具利用Agentic能力执行复杂的多步骤任务，从根本上改变了在线内容的获取和消

AI 全自动漏扫工具更新！联合“资产发现”工具，帮你一键搞定找接口、测漏洞

未来，随着AI逐步替代基础性安全任务，红队能力将出现显著分化：善用AI者能聚焦高阶攻防，不善用AI者将逐渐边缘化。人与AI的协同能力，将成为红队发展的关键分水岭。Scan-X v6.0安全代理平台与

GPT-4o与GPT-5存在七项零点击攻击漏洞

Part01数亿用户面临零点击攻击威胁Tenable安全研究人员近期在OpenAI的ChatGPT模型中发现了七项关键漏洞，可能导致数亿用户遭受高度复杂的零点击攻击。攻击者可利用这些漏洞窃取敏感用户数

现代汽车确认遭遇数据泄露，攻击者持续驻留9天获取用户驾照信息

现代汽车美国软件子公司（Hyundai AutoEver America, LLC）已正式确认，公司因协同网络攻击导致客户敏感信息泄露。这家汽车软件供应商通过向受影响用户发送的官方违规通知信披露了事件

攻击者利用Windows虚拟化技术绕过EDR检测，部署Linux虚拟机

网络安全研究人员发现，名为"Curly COMrades"的威胁组织正通过虚拟化技术绕过安全防护方案，部署定制化恶意软件。据Bitdefender最新报告，攻击者在选定受害系统上启用Hyper-V角色

PortGPT：研究人员如何教会AI自动回移植安全补丁

Part01开源项目面临的补丁维护挑战保持旧版软件安全通常需要从新版本回移植补丁，这对于Linux内核等大型开源项目而言是项常规但繁琐的工作。来自中国、美国和加拿大的研究团队开发出PortGPT，这个

分享一个能一键获取两万+资源的情报网站

✦•✦这个聚合信息平台能做什么你能想到的——学习教程、资料、漏洞、资产测绘、备案查询、工具、福利……这个VIP网站全都准备好了。● 13000+ 网络安全学习资料、公开课视频教程● 10000+ 安全

黑客通过DLL劫持利用微软OneDrive执行任意代码

一种利用微软OneDrive应用程序通过DLL侧加载执行恶意代码的高级攻击技术，可使威胁行为者绕过检测机制。该攻击利用经过武器化的version.dll文件劫持合法的Windows进程，并在受感染系统

RondoDox僵尸网络武器库升级：漏洞利用能力激增650%

RondoDox僵尸网络近期出现重大升级版本，其漏洞利用能力激增650%，标志着针对企业和物联网（IoT）基础设施的威胁态势显著升级。FortiGuard Labs于2024年9月首次记录的原始Ron

复杂能力，简单交互：小薇定义安全产品的智能体时代

“帮我分析一下ERP系统的访问关系。”几分钟后，一份包含资产清单、访问拓扑图、风险分析和策略建议的专业报告就出现在屏幕上。这不是科幻电影的场景，而是小薇微隔离智能体在企业环境中已能实现的真实能力。过去

Bugcrowd收购Mayhem Security 推进AI驱动的人机协同安全测试

Bugcrowd宣布收购Mayhem Security，以推进新一代AI驱动的人机协同安全测试技术。此举旨在帮助组织以更低成本、更快速度发布更安全的软件，同时缩小其攻击面。具体交易条款尚未披露。Par

JavaScript库React高危漏洞（CVE-2025-11953）威胁数百万开发者

软件供应链公司 JFrog Ltd. 的安全研究人员今日披露了 Meta Platforms Inc. 开发的开源 JavaScript 库 React 中存在一个高危漏洞的细节，可能导致数百万开发者

谷歌AI工具Big Sleep发现苹果Safari浏览器WebKit组件5个新漏洞

苹果公司确认，谷歌旗下名为Big Sleep的人工智能（AI）网络安全Agent在其Safari浏览器使用的WebKit组件中发现了五个不同的安全漏洞。若被成功利用，这些漏洞可能导致浏览器崩溃或内存损

APT组织利用LNK漏洞和OpenSSH后门攻击白俄罗斯军方始末

网络安全研究人员 Cyble Research and Intelligence Labs（CRIL）发现了一起复杂的恶意软件攻击活动，攻击者使用伪装成军事训练文档的武器化 ZIP 压缩包，入侵了白俄