12年Linux漏洞Pack2TheRoot曝光，本地用户可提权至root

Part01漏洞概述编号为CVE-2026-41651（CVSS评分8.8）的Pack2TheRoot漏洞允许非特权用户未经授权安装或删除系统软件包，从而可能获得完整的root访问权限。该高危漏洞已存

黑客篡改安卓NFC应用窃取支付数据，克隆卡片盗刷账户

网络犯罪分子正滥用一款被植入木马的安卓支付应用HandyPay，窃取近场通信（NFC）数据和个人识别码（PIN），进而克隆支付卡并清空受害者账户。ESET研究人员发现，NGate恶意软件的新变种已植入

黑客利用Telegram做“战报系统”，900余家企业遭React2Shell漏洞批量洗劫

Part01攻击行动曝光一台意外暴露在公网的服务器，揭开了近期一场大规模自动化攻击的真面目。在这场围绕名为「Bissa scanner」工具展开的攻击行动中，威胁攻击者利用自动化扫描、AI辅助编码与T

间接提示注入攻击正悄然蔓延至真实网络环境

开放网络正在被一种针对大语言模型（LLM）驱动的AI Agent所设计的“陷阱”悄悄渗透。这种被称为间接提示注入（Indirect Prompt Injection，IPI） 的技术，通过在普通网页中

每周PDF资源：OpenClaw曝重大漏洞；2026高危漏洞TOP10盘点；黑客算改安卓NFC应用窃取支付数据

美国国安局无视国防部供应链风险强推Claude Mythos模型

Part01五角大楼担忧难阻国安局部署美国国家安全局（NSA）使用Anthropic公司Mythos模型的消息表明，人工智能作为防御工具与安全风险之间的界限正日益模糊。据Axios报道，尽管国防部已将

全球SIM卡农场即服务网络曝光：17国87个控制面板浮出水面

一项全球调查揭露了一个由名为ProxySmart的共享控制平台驱动的工业级移动代理生态系统。该网络横跨17个国家，暴露出87个控制面板，并关联至少94个实体手机农场站点，为商业规模的大规模欺诈、机器人

Claude Mythos安全神话：炒作还是名副其实？；白宫拟开放Claude漏洞挖掘AI | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🤖Claude Mythos 安全神话：炒作还是名副其实？🗽白宫拟

Mythos玻璃翼项目证明AI能发现漏洞，但修复工作该由谁来完成？

上周，Anthropic公司公布了玻璃翼项目（Project Glasswing），其AI模型在发现软件漏洞方面效率惊人，以至于该公司采取了非常规措施推迟公开版本发布。目前仅向苹果、微软、谷歌、亚马逊

CrowdStrike联合行业巨头成立QuiltWorks联盟，对抗AI暴增的漏洞威胁

网络安全公司CrowdStrike Holdings Inc.今日宣布启动"QuiltWorks计划"行业联盟，旨在帮助企业发现并修复前沿人工智能模型所暴露的大量软件漏洞。该联盟汇集了埃森哲、安永、I

揭秘RAMP：俄罗斯勒索软件黑市的运作剖析

Part01数据泄露揭示俄罗斯勒索软件生态RAMP论坛泄露的数据展现了俄罗斯勒索软件产业链全貌，包含1,732条讨论帖、7,707名用户资料以及34万条IP记录。这绝非普通暗网论坛，而是完整呈现勒索软

黑客滥用Outlook邮箱隐藏Linux后门，南亚成重点攻击目标

Part01攻击手法分析一个疑似国家背景的黑客组织开发出利用微软Outlook邮箱隐藏恶意活动的新技术，使常规安全工具难以检测其攻击行为。自2021年起活跃的Harvester APT组织（被认定具有

斗象开源了个AI安全保险箱，思路有点不一样

AI Agent的安全问题，前面写了好几篇，基本都在讲"怎么发现问题"和"怎么拦截危险操作"。但有个维度一直没人认真做：AI Agent到底碰了你什么东西？你的密钥文件、合同PDF、数据库配置、SSH

Claude Mythos发现271个Firefox漏洞，0Day时代或将终结

Mozilla 基金会近期测试了 Anthropic 公司开发的 AI 模型 Claude Mythos，该模型在网络安全领域引发了广泛讨论。在授权 Mythos 访问权限前，Mozilla 使用 O

GitHub评论可触发Claude Code、Gemini CLI和GitHub Copilot的提示注入漏洞

Part01新型"评论控制"攻击手法曝光研究人员发现一类名为"Comment and Control"（评论控制）的跨厂商关键漏洞，这种新型提示注入攻击利用GitHub的拉取请求标题、议题正文和评论作

苹果AI令牌漏洞曝光，窃取者可跨设备滥用服务

Part01服务架构设计苹果公司宣称，其操作系统内置的生成式AI服务Apple Intelligence通过采用匿名访问令牌的双阶段认证授权机制，特别注重用户安全与隐私保护。但俄亥俄州立大学研究人员在

从数月到分钟级：360智能体自动挖洞终结人工低效时代

一个让全球网络安全行业不得不重新审视现状的事实正在发生：360漏洞挖掘智能体通过代码自动扫描，在分钟级时间内精准定位了两个潜伏多年的全球级高危漏洞，一个是潜伏5年的Windows内核提权漏洞，另一个是

Anthropic机密网络工具Mythos遭未授权组织入侵

2026年4月7日，Anthropic公司正式发布其高度机密的AI驱动网络安全工具Claude Mythos Preview。这款被该公司自评为"危险程度过高不宜公开发布"的AI模型，能够自主发现主流

Windows截图工具NTLM哈希泄露漏洞PoC利用代码公开

网络安全研究人员已公开针对微软截图工具（Snipping Tool）新漏洞的概念验证（PoC）利用代码，攻击者可通过诱导用户访问恶意网页，悄无声息地窃取其Net-NTLM凭证哈希值。该漏洞编号为CVE

SGLang高危漏洞可通过恶意GGUF模型文件实现远程代码执行

SGLang 框架曝出严重安全漏洞，攻击者成功利用该漏洞可在受影响系统上实现远程代码执行。该漏洞编号为 CVE-2026-5760，CVSS 评分为 9.8 分（满分 10 分），属于可导致任意代码执

Claude Mythos 安全神话：炒作还是名副其实？

Part01炒作遇冷：VulnCheck分析质疑实际成效当OpenAI正计划推出专注于网络安全的AI模型展开竞争时，VulnCheck安全专家最新研究对Claude Mythos（即"Project

2026年人工智能大模型安全众测活动公告

为做好2026年人工智能大模型安全众测活动，持续提升国内人工智能大模型产品安全防护水平，现面向社会征集测试产品，并诚邀高水平白帽子报名参与测试。一、组织单位指导单位：中央网信办网络安全协调局、国家发展

攻击者持续一年攻击TP-Link路由器漏洞CVE-2023-33538仍未得逞

Part01黑客针对旧款TP-Link路由器漏洞发起长达一年的攻击黑客持续一年多尝试利用TP-Link老旧路由器中的高危漏洞（CVE-2023-33538，CVSS评分8.8），但至今未发现成功案例。

网络攻击助推物流行业货物盗窃激增

Part01黑客渗透物流企业窃取货物转移资金Proofpoint研究人员发现，犯罪分子针对卡车运输和物流公司发起协同远程访问攻击，窃取货物并转移资金。这些攻击似乎与有组织犯罪有关。研究结果凸显了网络助

自主AI治理会失控吗？阿西莫夫机器人三定律的启示

Part01阿西莫夫机器人三定律的深层启示阿西莫夫机器人三定律：第一定律：机器人不得伤害人类，或因不作为而使人类受到伤害。第二定律：机器人必须服从人类的命令，除非这些命令与第一定律相冲突。第三定律：机

Windows Defender 0day漏洞遭利用，攻击者组合PoC工具发起提权攻击

网络安全研究人员发现，近期泄露的三个Windows Defender提权漏洞正遭实际攻击利用。攻击者直接使用来自GitHub公开仓库的概念验证（PoC）漏洞利用代码，针对真实企业目标发起攻击。2026

攻击者可利用的FortiSandbox漏洞PoC公开，可执行任意命令

网络安全研究人员已公开披露针对 Fortinet 旗下 FortiSandbox 产品高危漏洞（CVE-2026-39808）的概念验证（PoC）利用代码。该漏洞允许未经身份验证的攻击者以 root

NIST放弃全面分析CVE，转向优先处理高危漏洞

美国国家标准与技术研究院（NIST）宣布对其国家漏洞数据库（NVD）的网络安全漏洞处理机制进行全面改革，放弃对每个提交的通用漏洞披露（CVE）进行全面分析的长期目标，转而采用基于风险的分级评估模型，优

警惕AI全自动攻击！Claude Opus成功构建Chrome漏洞武器化链路

在 Anthropic 公司发布 Mythos 和 Project Glasswing 模型引发激烈争论之际，一位安全研究人员展示了前沿 AI 技术对网络安全的实际影响。该研究突破了理论警告的局限，成

微软Azure Windows Admin Center现一键式RCE漏洞，攻击者可执行任意命令

Windows Admin Center是一款本地部署的浏览器管理工具，IT管理员可通过其图形化集中界面管理Windows服务器、客户端及集群。Cymulate研究实验室新发现的这一高危漏洞可使攻击者