虚假加密机器人骗局:智能合约与AI视频如何在YouTube窃取数百万美元
SentinelLABS近日披露了一波协同作案的加密货币骗局,攻击者将恶意智能合约包装成套利交易机器人进行推广——整个骗局通过陈年YouTube账号和AI生成的教程视频精心策划实施。Part01骗局运
阅读全文利用NVIDIA Triton服务器漏洞链可实现AI系统远程接管
Part01漏洞概述RCE漏洞威胁AI基础设施安全研究人员新发现的NVIDIA Triton Inference Server(Windows/Linux版)安全漏洞,可使未经身份验证的远程攻击者完全
阅读全文直播倒计时!LABUBU同款防护技术,筑牢企业安全防线!
最近,腾讯云WAF联合泡泡玛特对抗黄牛党,打造了一套「小程序全链路安全防护方案」,成功拦截黄牛党的规模化攻击,让黑灰产订单占比快速锐减到0.2%(持续下降中)。不只是反黄牛,腾讯云还可以为企业提供全方
阅读全文利用参数污染结合JS注入绕过WAF防护执行XSS攻击
研究人员发现了一种通过HTTP参数污染技术结合JavaScript注入来绕过Web应用防火墙(WAF)的高级方法。这项由Bruno Mendes开展的研究测试了包括AWS、Google Cloud、A
阅读全文联发科芯片组曝高危漏洞:越界写入缺陷危及智能手机与物联网设备安全
Part01漏洞概括全球领先的芯片组制造商联发科(MediaTek)近日发布最新产品安全公告,披露了影响其智能手机、物联网设备及其他嵌入式系统芯片的多项安全漏洞。Part02高危漏洞分析CVE-202
阅读全文安全工具内斗:攻击者如何利用EDR测试版绕过终端防护
Part01EDR测试版可被用于禁用其他安全产品网络安全研究人员发现了一种新型攻击手法——攻击者可以滥用终端检测与响应(EDR)软件的免费测试版本来禁用现有安全工具。研究人员Ezra Woods和Mi
阅读全文Python隐藏漏洞通过超14.5万个软件包传播
新泽西理工学院的一项研究揭露了Python软件包生态系统中潜藏的大规模安全隐患。这项名为"PyPitfall"的研究报告揭示,复杂且深度嵌套的软件包依赖关系正在数千个项目中无声传播已知安全漏洞。"一个
阅读全文新型攻击利用Windows快捷方式文件传播REMCOS后门
网络安全公司Point Wild的Lat61威胁情报团队发现了一种新型多阶段恶意软件攻击活动。攻击者通过精心设计的Windows快捷方式(LNK)文件传播危险的远程访问木马(RAT)REMCOS。LN
阅读全文提示注入导致代码执行:Cursor代码编辑器曝出关键MCP漏洞
人工智能驱动的代码编辑器Cursor近日修复了两个高危漏洞,攻击者可利用这些漏洞在无需用户交互的情况下实现远程代码执行(RCE)。这两个漏洞编号为CVE-2025-54135和CVE-2025-541
阅读全文斗象成功主办WAIC 2025世界人工智能大会AI产业技术安全论坛
TOPHANT7月27日,由斗象科技主办的WAIC 2025 AI产业技术安全论坛在上海世博展览馆隆重举行。作为2025世界人工智能大会上的重磅论坛之一,本次论坛聚焦AI产业技术安全,以“模型之上,安
阅读全文攻击者利用恶意RMM工具实现静默初始入侵
Part01攻击活动概况网络安全研究人员发现,攻击者正利用合法的远程监控与管理(RMM,Remote Monitoring and Management)工具实施复杂网络攻击,这对欧洲组织(尤其是法国
阅读全文Unit 42发布威胁行为体分类框架:基于活动特征实现精准归因
Palo Alto Networks旗下Unit 42威胁研究团队推出了一项突破性的威胁行为体归因系统框架,解决了网络安全情报分析领域长期存在的难题。这套于2025年7月31日发布的Unit 42归因
阅读全文利用多层跳转技术窃取Microsoft 365登录凭证的新型钓鱼攻击曝光
网络安全研究人员近日披露了一种新型钓鱼攻击活动的细节,攻击者通过滥用Proofpoint和Intermedia的链接封装服务来隐藏恶意负载,从而绕过防御系统。Part01链接封装服务的滥用机制Clou
阅读全文SUSE Manager曝高危漏洞,攻击者可远程无认证获取客户端root权限
Part01漏洞概述SUSE Manager管理平台存在一个严重安全漏洞(CVSS评分9.8),攻击者无需身份验证即可在所有客户端上实现远程代码执行(RCE, Remote Code Executio
阅读全文大华摄像头漏洞可遭远程入侵,用户需立即升级固件
Part01漏洞概述Bitdefender网络安全专家在大华(Dahua)智能摄像头中发现严重漏洞,攻击者可借此远程完全控制设备。虽然厂商已发布补丁,但用户仍需尽快升级固件以确保安全。这些摄像头广泛应
阅读全文具备反分析能力的新型XWorm V6变种正在攻击Windows用户
网络安全研究人员发现,XWorm恶意软件的最新变种XWorm V6.0已在野外传播,该变种具备先进的反分析能力和增强的规避技术,对全球Windows用户构成重大威胁。Part01恶意软件传播机制分析这
阅读全文金刃组织利用新型攻击链释放RedLoader,多重组合规避检测
Sophos安全分析师发现,网络犯罪团伙GOLD BLADE(金刃)采用了一种新型组合感染技术来投放其定制化RedLoader恶意软件。研究人员指出,这种攻击序列此前从未被公开披露,它将多种已知的规避
阅读全文三大MCP攻击面,揭示四种AI防护体系构建方式
Part01灵活性与风险并存CISO的MCP安全挑战随着自主AI(Agentic AI)的发展,CISO们必须重视模型上下文协议(Model Context Protocol,MCP)的安全问题。尽管
阅读全文微软详解防御间接提示注入攻击的技术方案
微软近日公布了一套纵深防御策略,旨在应对企业环境中大型语言模型(LLM)面临的最严峻安全威胁——间接提示注入攻击。该公司的多层次防护方案结合了预防技术、检测工具和影响缓解策略,可有效防范攻击者在LLM
阅读全文TP-Link Archer C50路由器曝安全漏洞,硬编码DES密钥可解密敏感配置
Part01漏洞概述CERT协调中心(CERT/CC)发布安全公告,披露TP-Link Archer C50路由器存在编号为CVE-2025-6982的漏洞。该漏洞源于路由器固件中使用了硬编码的DES
阅读全文SonicWall发布紧急安全通告,SSL VPN高危漏洞可导致DoS攻击
知名网络安全解决方案提供商 SonicWall 近日披露了其 SonicOS 防火墙操作系统 SSL VPN 接口中存在的一个高危漏洞(CVE-2025-40600)。该漏洞 CVSS 评分为 7.5
阅读全文19款主流浏览器遭新型信息窃取木马SHUYAL攻击,窃取登录凭证
网络安全领域近期出现一款名为SHUYAL的新型高级信息窃取木马,其凭证窃取能力展现出前所未有的攻击广度。该恶意软件针对19款不同网络浏览器的登录凭证实施窃取,攻击范围涵盖Google Chrome、M
阅读全文LG Innotek摄像头漏洞可使攻击者获取管理员权限
Part01核心发现研究人员在LG Innotek的LNV5110R摄像头型号中发现严重安全漏洞,网络犯罪分子可利用该漏洞完全控制受影响设备。美国网络安全和基础设施安全局(CISA)于2025年7月2
阅读全文macOS Sploitlight漏洞曝光,攻击者可窃取苹果AI缓存数据
Part01漏洞概述微软威胁情报部门最新披露的macOS漏洞(编号CVE-2025-31199)允许攻击者绕过苹果隐私控制机制,访问包括Apple Intelligence缓存文件在内的敏感用户数据。
阅读全文Python tarfile模块漏洞可致恶意压缩包引发拒绝服务攻击
Part01漏洞概述Python标准库中的tarfile模块新近曝出编号为CVE-2025-8194的高危漏洞(CVSS评分7.5),该漏洞会导致处理恶意压缩包的应用陷入无限循环,进而引发拒绝服务(D
阅读全文无问AI模型:超实用的网安实战全能助手
从 ChatGPT 真正走进大众视野,到 Deepseek 等国产模型接连崛起,AI 已经不是“遥远的新技术”了。对于我们这些常年泡在电脑前的技术人来说,AI 不只是个工具,很多时候它已经成了“第二大
阅读全文全球智能建筑与工业系统告急,Niagara框架曝高危漏洞
网络安全研究人员近期发现Tridium公司Niagara框架存在十余个安全漏洞,攻击者在特定条件下可通过同一网络入侵系统。Nozomi Networks实验室在上周发布的报告中指出:"当Niagara
阅读全文GitHub Action组件高危命令注入漏洞影响超5000个代码库
Part01漏洞概述GitHub 热门 Action 组件 tj-actions/branch-names 曝出高危命令注入漏洞(编号 CVE-2025-54416,CVSS 评分 9.1),影响超过
阅读全文热门JavaScript库"is"等软件包遭npm供应链攻击植入后门
轻量级 JavaScript 实用工具库 "is" 是 NPM 平台上的热门项目,每周下载量超过 220 万次。然而在 2025 年 7 月 19 日,该库开发者遭遇钓鱼攻击导致账户凭证泄露,攻击者借
阅读全文新型AI生成Linux恶意软件Koske现身威胁环境
Part01专为加密货币挖矿设计的AI产物网络安全公司Aquasec研究人员发现,新型Linux恶意软件Koske疑似借助人工智能技术开发,专门用于加密货币挖矿活动。该恶意代码通过rootkit技术和
阅读全文