锋刃无影·御见未来｜腾讯安全沙龙第3期（成都站）精彩回顾

2025年4月26日，由腾讯安全主办、教育漏洞报告平台（EDUSRC）与米斯特AI安全分部联合协办的“锋刃无影·御见未来”技术沙龙在成都圆满落幕。活动邀请云安全、红队攻防、AI大模型等领域的顶尖专家、

ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件

Part01漏洞详情研究人员发现ChatGPT存在一个严重安全漏洞（编号CVE-2025-43714），攻击者可利用该漏洞将恶意SVG（可缩放矢量图形）和图像文件直接嵌入共享对话中，可能导致用户遭受复

云存储大规模数据泄露事件，全球2000亿文件暴露在公网

网络安全公司Cyble的研究人员发出警告，多个主流云服务商因存储桶配置错误导致约2000亿份文件可被公开访问。研究人员在漏洞分析过程中，共识别出分布在七大云平台上的66万个未受保护的存储桶。Part0

推荐一个专为新手打造的漏洞挖掘实战圈

面对挖洞时毫无头绪？你不是一个人在战斗！想学习漏洞挖掘，却苦于不知道从哪里开始？看着师傅们一边提交漏洞一边领赏，你却连个POC都写不出来？打开各类公开资料，零散又重复，学完感觉自己还是什么都不会？尝试

美国联邦调查局警告：AI语音诈骗正冒充政府高官行骗

美国联邦调查局（FBI）近日发布警告称，网络犯罪分子正利用人工智能（AI）生成的语音备忘录，冒充美国高级官员实施"语音钓鱼（vishing）"和"短信钓鱼（smishing）"攻击，目标直指政府现任/

Pwn2Own大赛：黑客利用JavaScript零日漏洞攻破Firefox的技术细节

Mozilla已紧急修复Firefox浏览器中的两个关键零日漏洞（zero-day vulnerability），这两个漏洞均在上周柏林举行的Pwn2Own 2025黑客大赛中被成功利用。Part01

Windows远程桌面网关UAF漏洞可导致远程代码执行

微软远程桌面网关(RD Gateway)中存在一个高危漏洞，攻击者可利用该漏洞在受影响系统上远程执行恶意代码。该漏洞编号为CVE-2025-21297，由微软在2025年1月安全更新中披露，目前已在野

生成式AI安全防护：数据泄露风险的缓解策略

生成式人工智能（GenAI）已成为推动各行业变革的关键力量，在内容创作、数据分析和决策支持方面实现重大突破。然而其快速普及也暴露出严重安全漏洞，其中数据泄露问题最为突出。近期安全事件凸显了加强防护的紧

一周网安优质PDF资源推荐 | FreeBuf知识大陆

新型.NET三阶段部署攻击Windows，嵌入位图资源传播恶意载荷

自2022年初以来，一种复杂的.NET多阶段恶意软件加载程序持续针对Windows系统发起攻击，成为传播信息窃取程序和远程访问木马等危险载荷的分发渠道。该加载程序采用复杂的三阶段部署机制，在向受感染设

2025年Linux内核补丁管理：漏洞防御新策略

随着Linux内核持续支撑从云基础设施到嵌入式设备的各类系统，其安全性始终至关重要。2025年，补丁策略面临前所未有的挑战：自2024年以来CVE漏洞数量同比增长3529%，针对虚拟化子系统的复杂利用

FreeBuf周报 | Telegram黑市“新币担保”曝光；揭秘朝鲜网络黑帮

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🪙新币担保：涉84亿美元加密犯罪、杀猪盘及洗钱的Telegram黑

无文件Remcos木马通过LNK文件传播，利用PowerShell实现内存驻留

网络安全研究人员近日发现一种新型恶意软件攻击活动，攻击者利用基于PowerShell的shellcode加载器来部署名为Remcos RAT（远程访问木马）的恶意程序。Part01攻击链分析Qualy

Pwn2Own首日战报：创造首个AI类别攻破记录

2025年Pwn2Own柏林黑客大赛首日赛事圆满落幕，安全研究人员共展示了11次漏洞利用尝试（包括针对AI系统的攻击），累计斩获26万美元奖金。这项以突破网络安全边界著称的赛事见证了Windows 1

谷歌Chrome曝高危漏洞，可导致账户接管与MFA绕过

Chrome用户需立即更新浏览器以修复一个正被利用实施账户接管攻击的高危漏洞。在某些环境下，攻击者甚至能借此绕过多因素认证（MFA，Multi-Factor Authentication）。Part0

Tor推出Oniux新工具：为Linux应用提供网络流量匿名化

Tor项目近日发布了名为Oniux的新型命令行工具，该工具可将任何Linux应用程序的网络流量安全地路由至Tor网络，实现匿名化连接。Part01基于Linux命名空间的隔离技术与依赖用户空间技巧的t

Coinbase遭黑客攻击，数据泄露损失最高将达4亿美元

Coinbase向美国证券交易委员会（SEC）提交的文件证实，恶意承包商窃取了不到1%平台用户的个人数据，并索要2000万美元赎金。2025年5月11日，该公司收到威胁行为者的勒索邮件，对方声称掌握了

Bitpixie漏洞攻击路径曝光，5分钟即可绕过BitLocker加密

安全研究人员近日展示了一种纯软件技术，可在无需物理工具（如螺丝刀、焊枪）或硬件破解的情况下，成功绕过微软BitLocker加密防护。通过利用名为Bitpixie（CVE-2023-21563）的漏洞，

地球阿米特黑客组织使用新型工具攻击军用无人机供应链

被称为"地球阿米特"（Earth Ammit）的高级威胁组织近期发起多波次协同攻击，主要针对中国台湾地区的军用无人机和卫星产业供应链。该组织被安全研究人员归类为高级持续性威胁团体，在2023至2024

Telegram黑市“新币担保”曝光：涉84亿美元加密犯罪、杀猪盘及洗钱

自2022年以来，一个名为“新币担保（Xinbi Guarantee）”的Telegram交易平台促成的交易金额不低于84亿美元，成为继汇旺担保（HuiOne Guarantee）之后被曝光的第二大黑

Windows远程桌面网关曝双高危漏洞，可触发拒绝服务及远程代码执行

微软安全响应中心(MSRC)已发布重要安全更新，修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。该漏洞可能允许未经授权的攻击者触发拒绝服务(DoS)条件，潜

强推一个永久的HW演练、渗透攻防知识库

面对大厂面试官抛出的最新攻防场景题时哑口无言；hw行动中因缺乏一手情报而被动挨打；漏洞爆发时全网搜索的 POC/EXP 却早已失效；看着同行手握甲方 / 乙方的规范模板与资源文档，快速推进项目却只能暗

FortiVoice零日漏洞遭野外利用，特制HTTP请求可执行任意代码

Fortinet公司近日披露了一个关键级基于栈的缓冲区溢出漏洞（CVE-2025-32756），该漏洞影响其安全产品线中的多款产品，且已确认有攻击者针对FortiVoice系统实施野外利用。这个CVS

英特尔CPU曝新型漏洞，特权内存敏感数据面临泄露风险

现代英特尔CPU普遍存在的新型"分支特权注入"漏洞（Branch Privilege Injection），可使攻击者从操作系统内核等特权软件分配的内存区域窃取敏感数据。这些内存区域通常存储着密码、加

欧盟新漏洞数据库上线，定位CVE计划补充而非竞争者

本周起，全球科技行业新增了一个查询软件安全漏洞的数据库——欧盟漏洞数据库（European Union Vulnerability Database，简称EUVD）。该数据库由欧盟网络安全局（ENIS

黑客手段更新：新型ClickFix攻击技术同时针对Windows和Linux系统

安全研究人员发现一种新型攻击活动正利用ClickFix技术同时针对Windows和Linux系统，通过特定指令实现在两种操作系统上的感染。Part01ClickFix攻击技术解析ClickFix是一种

华硕DriverHub漏洞允许恶意网站以管理员权限执行命令

华硕DriverHub驱动程序管理工具存在一个严重的远程代码执行漏洞，可使恶意网站在安装该软件的设备上执行任意命令。Part01漏洞发现与技术细节该漏洞由新西兰独立网络安全研究员Paul（化名"MrB

macOS远程视图服务沙箱逃逸漏洞PoC公开，攻击者可突破系统限制

苹果公司近日针对macOS系统中新披露的CVE-2025-31258漏洞发布补丁，该漏洞可能允许恶意应用程序突破沙箱限制，获取未授权的系统资源访问权限。在安全研究员Seo Hyun-gyu公开概念验证

GNU Screen 多漏洞曝光，本地提权与终端劫持风险浮现

SUSE安全团队全面审计发现，广泛使用的终端复用工具GNU Screen存在一系列严重漏洞，包括可导致本地提权至root权限的缺陷。这些问题同时影响最新的Screen 5.0.0版本和更普遍部署的Sc

包教包会包分配项目，单月斩获漏洞赏金2.7W！

前言有的人循迹各大外卖平台抢满25-15的外卖券怒省10块，有的人毕业即分配项目，月结2.7万赏金，再也不用担心“最难就业季”！学习和赚钱，就是可以复制的！01内部众测项目收获2.7W！还在为 “学完