研究人员披露Windows SMB服务器权限提升漏洞（CVE-2025-58726）

Semperis 公司研究员 Andrea Pierini 发现并披露了一个新型 Windows 漏洞（CVE-2025-58726），攻击者可利用 Kerberos 认证反射缺陷，以低权限账户远程获

Android AI反诈系统月均拦截百亿次威胁，较iOS高58%

谷歌近期发布的博客披露："过去12个月中，诈骗分子利用先进AI工具设计出更具迷惑性的骗局，导致全球损失超过4000亿美元"。为应对日益猖獗的数字欺诈，该公司详细介绍了Android系统通过多层防护机制

朝鲜APT组织Kimsuky和Lazarus升级攻击武器库

Gen Threat Labs研究人员发现朝鲜国家支持的黑客组织正在使用两套新型工具集，这表明该国持续投入资源发展高级网络间谍和入侵能力。研究发现Kimsuky组织部署了一个名为"HttpTroy"的

美澳加网安机构发布微软Exchange Server防护"迟来已久"的最佳实践

Part01最佳实践聚焦强化用户认证与访问控制美国等三国网络安全机构联合发布了一份保护微软Exchange Server的安全最佳实践清单。这款历史悠久的本地邮件服务器至今仍被众多IT部门所沿用。澳大

Claude AI漏洞：攻击者可利用代码解释器窃取企业数据

Part01漏洞概述Anthropic公司Claude AI助手最新披露的漏洞显示，攻击者能够利用该平台的代码解释器功能悄无声息地窃取企业数据，甚至绕过默认安全设置。安全研究人员Johann Rehb

Linux 内核释放后重用漏洞正被用于勒索软件攻击

美国网络安全和基础设施安全局（CISA）发布紧急警报，指出Linux内核中存在一个严重的释放后重用漏洞（CVE-2024-1086）。该漏洞潜伏在netfilter:nf_tables组件中，可使本地

新型Agent感知伪装技术利用ChatGPT Atlas浏览器传播虚假内容

一种新型Agent感知伪装技术正利用OpenAI的ChatGPT Atlas等AI浏览器传播误导性内容。该技术使恶意攻击者能够污染AI系统获取的信息，可能影响招聘、商业和声誉管理等领域的决策。通过检测

Agent Session Smuggling：恶意AI如何劫持受害者Agent

安全研究人员发现了一种新型攻击技术，该技术利用AI Agent通信系统中内置的信任关系实施攻击。这种被称为"Agent Session Smuggling"的攻击方式，允许恶意AI Agent在已建立

一周网安优质PDF资源推荐 | FreeBuf知识大陆

npm恶意包通过隐形URL链接逃避依赖检测

网络安全研究人员发现，威胁行为者正在采用新手段将隐形代码或链接植入开源代码，以规避软件供应链攻击检测。以色列安全公司Koi Security本周披露，自8月以来，一个代号为PhantomRaven的攻

两个月到账7250刀，我的海外副业赚钱密码

前言从9月份咬牙入局海外SRC到现在，2个月副业收入稳稳到账7250美元。看着这个的数字，心里泛起一阵酸楚——这些年在安全圈里的死磕和坚持，没有白费。赏金截图大家好，我是Z，跟大家吹了个牛，我也不是什

FreeBuf周报 | 网络安全法完成修改；会计巨头安永4TB文件在微软Azure平台遭公开

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！📄网络安全法完成修改，2026年1月1日起施行🧮会计巨头安永4TB

macOS全新安全防护层：先于黑客发现管理员配置失误

某设计公司正在MacBook Pro上编辑新宣传视频。创意总监打开某协作应用时，该应用悄然请求麦克风和摄像头权限。macOS本应标记此类行为，但此次安全检查存在疏漏，应用最终仍获取了访问权限。同一办公

OpenAI发布基于GPT-5的自主漏洞修复AI Agent

OpenAI集团正式推出Aardvark，这是一款基于GPT-5技术的自主人工智能Agent，专为实时识别、验证并协助修复软件漏洞而设计。这款被OpenAI称为"AI与安全研究领域突破性成果"的Aar

Blink渲染引擎漏洞可在60秒内导致Chromium内核浏览器崩溃，PoC已公开

安全研究人员警告称，Chromium渲染引擎中存在一个漏洞（被命名为Brash），攻击者利用该漏洞可在数秒内导致Chrome、Microsoft Edge等九款浏览器崩溃。在谷歌连续两个月无视漏洞报告

FreeBuf热门电台精选集第十四期

📢本期热门电台抢先看：1.大家怎么看待零信任网络安全架构？🌐2.聊聊企业内部最容易出现的权限滥用问题🔑3.聊聊企业内部的权限和账号管理🔐————————————『FreeBuf电台』——网安人的“小绿

RediShell RCE漏洞导致全球8500多个Redis实例面临代码执行攻击风险

2025年10月初，网络安全领域面临一项重大威胁——Redis的Lua脚本引擎中存在严重的释放后重用漏洞RediShell被公开披露。该漏洞被Wiz研究人员命名为"RediShell"（CVE-202

会计巨头安永4TB SQL Server数据库文件在微软Azure平台遭公开

近日，全球会计巨头安永（Ernst & Young）一份容量高达4TB的SQL Server备份文件被发现公开暴露在微软Azure云平台上。Part01暴露发现过程网络安全公司Neo Security

一次到手 2T 网安学习材料+60个靶场，学完可内推就业

都说学网安在 B 站找免费公开课就行，可学完总觉得没透；想接着学吧，只能找到零散资料，连个归类都没有；好不容易找个付费圈，又只有文字，感觉学网安最好还是配上直观的视频；想练挖洞不知道咋开始，报告也不会

针对PHP服务器与物联网设备的自动化僵尸网络攻击激增

网络安全研究人员发现，Mirai、Gafgyt和Mozi等僵尸网络近期针对PHP服务器、物联网设备及云网关的自动化攻击显著增加。Qualys威胁研究部门（TRU）向The Hacker News提供的

微软全球服务中断，Azure、365、Xbox等多平台受影响

2025年10月29日，微软遭遇大规模基础设施故障，导致全球多项服务瘫痪，企业和个人用户均受到影响。事件起因是微软云网络中的配置变更出错，进而引发关键平台的连锁故障。微软发布状态更新称，其Azure

FOFA 百万次免费搜！Cake_v1.1 免配代理，全资产收集更全面

做资产收集，“全不全” 直接影响后续工作成效。之前 Cake_v1.0 在 Windows 环境、无 API 密钥配置下，查同一个目标的子域名，数量就远超同类工具，能帮大家找到更多容易被忽略的资产：点

Ubuntu内核曝严重UAF漏洞，可致攻击者获取Root权限

Ubuntu Linux内核近日曝出严重安全漏洞，允许本地攻击者提升权限，并可能获取受影响系统的根访问权限。该漏洞在TyphoonPWN 2025安全会议上披露，源于af_unix子系统中的引用计数失

Docker Compose曝高危漏洞，执行只读命令即可覆写任意文件

Docker容器编排工具Compose近日披露一个高危路径遍历漏洞（CVE-2025-62725，CVSS v4评分8.9）。该漏洞影响Docker Desktop用户、独立Compose二进制文件用

新型零点击攻击，通过主流AI Agent利用MCP静默窃取数据

一种名为"Shadow Escape"的新型零点击攻击利用模型上下文协议（MCP），通过ChatGPT、Claude和Gemini等流行AI Agent静默窃取敏感数据。Operant公司发现的这一漏

60多国签署《联合国打击网络犯罪公约》

全球首部旨在预防和打击网络犯罪的国际公约《联合国打击网络犯罪公约》近日在越南河内开放签署，并将在纽约联合国总部持续接受签署至2026年12月31日。《联合国打击网络犯罪公约》于2024年12月经联合国

腾讯云、腾讯研究院、Gartner联合发布《企业级智能体产业落地研究报告》，筑牢智能体应用安全基座「附下载链接」

近日，腾讯云、腾讯研究院联合国际权威研究机构Gartner，共同发布《企业级智能体产业落地研究报告》。报告系统提出智能体落地场景评估方法、深入剖析落地挑战，并结合腾讯云安全的核心能力，为企业构建“高可

OpenAI Atlas浏览器漏洞允许向ChatGPT注入恶意代码

OpenAI新推出的ChatGPT Atlas浏览器存在严重漏洞，攻击者可借此向ChatGPT内存注入恶意指令，并在用户系统上执行远程代码。Part01漏洞概况网络安全公司LayerX发现，该漏洞利用

Apache Tomcat曝三大安全漏洞，最严重可致远程代码执行

Apache软件基金会已发布多个安全补丁，修复影响Tomcat 9、10和11版本的三个新披露漏洞——CVE-2025-55752、CVE-2025-55754和CVE-2025-61795。其中最严

微软Copilot被用于窃取OAuth令牌，AI Agent成为攻击者帮凶

一种名为CoPhish的复杂钓鱼技术正利用Microsoft Copilot Studio诱骗用户授予攻击者对其Microsoft Entra ID账户的未授权访问权限。Datadog安全实验室披露，