Telegram零日漏洞可零点击接管设备，官方否认存在

Part01高危漏洞或致零点击远程代码执行官方坚称不存在趋势科技旗下Zero Day Initiative（ZDI）平台研究员Michael DePlante（@izobashi）披露了Telegra

AI Agent狂飙突进，数据安全断层成企业生死线

Part01AI Agent高速普及催生企业安全新鸿沟AI Agent正以机器速度涌入企业环境，但管控其访问行为所需的数据中心化安全措施尚未同步跟进，导致企业AI部署出现新的安全断层。Veeam软件公

Nginx-UI备份漏洞可篡改加密配置，攻击者能注入恶意代码完全控制系统

Part01漏洞概述Nginx-UI 备份恢复机制中被披露存在一个高危安全漏洞（CVE-2026-33026）。该漏洞允许威胁攻击者在恢复过程中篡改加密备份文件并注入恶意配置。随着公开的 PoC 利用

Axios“核武级”供应链投毒事件始末

2026年3月31日凌晨，JavaScript生态遭遇了一场堪称“核武级”的供应链攻击。axios，这个每周下载量超过1亿次、被超过17万个项目直接依赖的HTTP客户端库，被黑客通过劫持维护者账号，注

从渔翁信息看量子产业生态现状及发展趋势

渔翁信息深耕商用密码领域近三十年，是我国量子安全领先企业之一。2014 年起，渔翁信息作为国内老牌密码企业，先后参与京沪干线、武合干线等国家重点量子示范工程；在量子技术应用层面，与中国科学院、中国科学

AI代码爆炸时代，运行时测试成安全团队最后防线

图左为Joe Sullivan，图右为Joni Klippert随着AI技术推动软件产量激增，安全团队正承受着越来越大的压力，必须通过运行时测试来捕捉运行应用程序中的风险。StackHawk公司董事会

企业押注Agentic SOC，AI重塑安全运营新范式

图左为Daniel Bernard，图右为Mark Hughes随着AI将威胁响应时间压缩至秒级，安全运营中心（SOC）正经历根本性变革——一种融合自主机器速度调查处置与必要人工管控的Agentic

Claude AI发现Vim和Emacs中的0Day RCE漏洞

Anthropic 公司的 Claude AI 成功发现了 Vim 和 GNU Emacs 中存在的 0Day 远程代码执行（RCE）漏洞。这一发现标志着漏洞挖掘领域的重大范式转变，证明 AI 模型能

34万星系统破防！360漏洞挖掘智能体揪出OpenClaw新高危漏洞

近日，360数字安全集团依托自主研发的360多智能体协同漏洞挖掘系统（简称：360漏洞挖掘智能体），在GitHub斩获34万星的OpenClaw平台中成功发现一处高危漏洞——MEDIA协议Prompt

俄APT组织利用DarkSword漏洞工具包针对iPhone用户发起钓鱼攻击

Part01攻击活动技术分析与俄罗斯有关联的APT组织TA446（又名SEABORGIUM、ColdRiver、Callisto和Star Blizzard）正在针对iOS设备发起鱼叉式钓鱼攻击，使用

Jira Work Management存储型XSS漏洞可导致组织完全沦陷

Atlassian 生态系统中这款流行的协作工具被企业广泛用于项目跟踪、审批管理和日常任务处理。近期，Snapsec 安全研究人员在该平台发现了一个严重的存储型跨站脚本（XSS）漏洞。研究团队通过利用

AI Agent颠覆传统安全模型，受控即跳过杀伤链直接攻击

2025年9月，Anthropic披露某国家背景的威胁组织利用AI编程Agent对30个全球目标实施自主网络间谍活动。该AI独立完成80-90%的战术操作，包括侦察、编写漏洞利用代码以及以机器速度尝试

伊朗黑客组织入侵FBI局长邮箱，并对史赛克发动数据擦除攻击

与伊朗有关联的黑客组织成功入侵美国联邦调查局（FBI）局长Kash Patel的个人邮箱账户，并将大量照片和其他文件泄露至互联网。实施此次入侵的Handala Hack Team在其网站上宣称，Pat

2026数字中国创新大赛·数字安全赛道——网络和数据安全产业赛火热报名中

Langflow关键RCE漏洞曝光即遭利用，CISA紧急敦促企业修复

Langflow近期爆出关键远程代码执行（RCE）漏洞 CVE-2026-33017 ，漏洞披露后数小时内就遭到攻击者利用。因此，美国网络安全和基础设施安全局（CISA）紧急将其正式标记为需立刻修复的

AI正颠覆传统企业安全工作模式

Part01当AI将运营假设转化为压力会发生什么传统企业安全运营模型遵循固定周期：通过定期扫描发现问题，安全团队对结果进行分类，再通过工单流程进行修复。这种近乎标准操作流程的模式虽然存在责任机制，但往

CISA警告F5 BIG-IP漏洞正遭攻击者积极利用

美国网络安全和基础设施安全局（CISA）已将新披露的F5 BIG-IP系统漏洞纳入其已知已利用漏洞（KEV）目录，警告该漏洞正在真实攻击中被积极利用。该漏洞编号为CVE-2025-53521，于202

每周PDF资源：pozos.py木马全链路分析；红队攻防体系全攻略；Redis Lua沙盒逃逸漏洞分析；

Anthropic泄露新一代Claude Mythos模型，网络安全市场再遭冲击

Part01配置错误曝光新模型Anthropic PBC 内容管理系统的一处配置错误意外泄露了其正在测试的新型大语言模型 Claude Mythos。该公司周四向《财富》杂志证实，工程师已完成该模型的

Coruna漏洞工具包升级攻击框架，威胁数百万未打补丁的iOS设备

卡巴斯基研究人员发现，Coruna iOS漏洞利用工具包使用了2023年Triangulation行动中相同内核漏洞的更新版本。虽然早期证据未能明确关联两者，但代码相似性现在暗示了它们之间可能存在联系

ClawHub漏洞可致恶意skill登顶；Claude Code允许AI自主选择操作权限 | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🧑‍🔧ClawHub漏洞使攻击者可操纵排名使恶意skills登顶🤖

OpenAI重金悬赏AI滥用漏洞，50%复现即算有效

OpenAI宣布启动一项公共安全漏洞赏金计划（Safety Bug Bounty），旨在识别其产品中存在的AI滥用行为和安全风险。该计划托管于Bugcrowd平台，标志着该公司在应对传统安全漏洞范畴之

Claude浏览器扩展漏洞允许通过任意网站实现零点击XSS提示注入

网络安全研究人员披露了Anthropic公司Claude谷歌浏览器扩展中存在的一个漏洞，攻击者只需诱使用户访问特定网页即可触发恶意提示注入。Part01漏洞原理分析Koi Security研究员Ore

新型开源供应链攻击，虚假npm安装日志暗藏RAT木马

Part01攻击概述安全研究人员发现一场精心策划的新型软件供应链攻击正通过 npm 包注册表针对开发者，攻击者利用虚假安装日志掩盖恶意活动。这项被命名为"幽灵行动"（Ghost campaign）的攻

思科安全防火墙漏洞可导致攻击者以root权限远程执行代码

思科发布紧急安全公告，披露其安全防火墙管理中心（Secure Firewall Management Center，FMC）软件存在一个高危漏洞。该严重漏洞允许未经身份验证的远程攻击者以完整 root

ClawHub漏洞可操纵排名，恶意skill登顶引发供应链攻击

Part01漏洞概述安全研究团队在OpenClaw智能体生态系统的公共skills注册平台ClawHub中发现了一个关键漏洞。该漏洞允许攻击者人为虚增恶意skills的下载量，从而绕过安全检查并操纵搜

黑客伪造OpenClaw代币赠礼，GitHub开发者钱包遭清空

参与OpenClaw项目的软件开发人员正成为一场旨在清空其数字钱包的危险钓鱼活动的最新目标。安全研究公司OX Security最新发现，攻击者利用GitHub自身通知系统，将毫无戒心的用户诱导至欺诈网

恶意LiteLLM版本与TeamPCP供应链攻击相关联

威胁组织TeamPCP疑似通过Trivy CI/CD漏洞入侵了LiteLLM的1.82.7和1.82.8版本。LiteLLM作为月下载量超9500万次的工具，可帮助开发者通过单一API路由大语言模型请

DarkSword漏洞利用工具遭泄露，超2.7亿iPhone面临风险

DarkSword漏洞利用链的泄露使多达2.7亿部iPhone面临风险，攻击者可通过Safari浏览器在用户无感知且无需交互的情况下窃取数据。研究人员表示该漏洞利用工具自2025年底就已活跃。全球iP

全球顶流“龙虾OpenClaw”席卷而来，国内40+安全厂商集体打出“安全牌”

🦞当“数字员工”开始操作你的电脑，谁来为它的行为负责？如果你还没听说过OpenClaw（中文昵称“龙虾AI”），那你可能已经错过了技术圈今年最火爆的话题。这个被誉为“真正能做事的AI”的开源智能体框架