黑客论坛惊现微软Office 0Day RCE漏洞交易
网络安全社区近日拉响警报,黑客论坛上出现名为Zeroplayer的威胁行为者正在出售针对微软Office和Windows系统的0Day远程代码执行(RCE)漏洞,该漏洞还包含沙箱逃逸功能。据称该漏洞利
阅读全文Ollama漏洞允许攻击者通过解析恶意模型文件执行任意代码
Part01漏洞概述GitHub最受欢迎的开源项目之一Ollama(拥有超过15.5万星标)曝出严重漏洞。该漏洞存在于软件解析模型文件的过程中,攻击者可利用此缺陷在运行易受攻击版本平台的系统上执行任意
阅读全文Fortinet警告FortiWeb新漏洞(CVE-2025-58034)已被野外利用
Fortinet 近日警告称,其 FortiWeb 产品中存在一个已被野外利用的新安全漏洞。该漏洞被标记为CVE-2025-58034,属于中等严重级别,CVSS 评分为 6.7(满分 10.0)。P
阅读全文照这样挖洞,小白不出洞来找我
> 声明严格遵守《中华人民共和国网络安全法》及相关法律法规,恪守网络安全行业职业素养。本文所有操作均以合规测试为前提,不从事任何破坏性行为;本文发现漏洞将通过正规平台提交,仅分享技术思路,供学术交流与
阅读全文欧盟拟修订《通用数据保护条例》和《人工智能法案》以简化监管
欧盟近日提出一系列监管改革方案,旨在降低企业遵守《人工智能法案》和《通用数据保护条例》(GDPR)的合规难度。欧盟执行机构欧盟委员会宣布,此次立法更新预计到2029年可为企业节省高达50亿欧元的行政成
阅读全文点击一次渗透42天:Akira勒索软件利用CAPTCHA诱饵摧毁云备份致存储公司瘫痪
Unit 42最新分析报告披露,一家全球数据存储和基础设施公司因员工点击恶意CAPTCHA诱饵,遭受毁灭性勒索软件攻击而陷入瘫痪。据Unit 42描述,"攻击始于一名员工访问遭入侵的汽车经销商网站时"
阅读全文端点安全评估新思路:基于Windows原生机制的权限管理工具
在授权安全测试中,我们通常会遇到这种情况:虽然当前用户属于管理员组,但由于 UAC(用户账户控制)机制,进程仍运行在受限权限下。执行 whoami /priv 命令会发现,关键权限 SeImperso
阅读全文Cloudflare服务中断导致全球网络瘫痪:X平台、ChatGPT及多家主流网站无法访问
Part01核心基础设施故障引发全球连锁反应2025年11月18日,互联网基础设施服务商Cloudflare发生大规模服务中断,导致全球范围内众多知名网站和平台出现间歇性故障。此次故障源于内部服务降级
阅读全文突破IAM孤岛:身份安全架构为何对保护AI与非人类身份至关重要
身份安全架构(Identity Security Fabric,ISF)是一种统一架构框架,能够整合分散的身份管理能力。通过ISF,身份治理与管理(IGA)、访问管理(AM)、特权访问管理(PAM)以
阅读全文谷歌紧急修复Chrome浏览器正被利用的0Day漏洞(CVE-2025-13223)
Part01漏洞概况2025年11月17日,谷歌针对Chrome稳定版频道发布了一项紧急安全更新,修复了V8 JavaScript引擎中两个独立的类型混淆漏洞。其中最严重的CVE-2025-13223
阅读全文杀猪盘诈骗团伙借助AI助手扩大犯罪规模
杀猪盘诈骗已发展成为最具破坏性的全球网络犯罪威胁之一,每年造成数十亿美元损失。这种长期投资骗局通过情感诱导和虚假交易平台建立信任,最终榨干受害者的毕生积蓄。如今这类诈骗已形成产业化规模,犯罪集团开始采
阅读全文AI说的每一句话,都靠谱吗?
当用户向AI提问,或通过内部工具获取决策建议时,得到的每一条回答,都由大模型实时生成。这些内容看似精准高效,却可能暗藏风险:模型可能无意引用未公开的内部数据训练数据中存在违规信息,被输出给用户在复杂语
阅读全文微软成功抵御史上最大规模云DDoS攻击,峰值达15.7 Tbps
Part01攻击规模创纪录2025年10月24日,微软Azure DDoS防护系统检测并成功抵御了一起针对澳大利亚某终端的多向量DDoS攻击,峰值流量达到15.72 Tbps,每秒处理数据包达36.4
阅读全文EchoGram漏洞可绕过主流大语言模型的护栏机制
AI安全公司HiddenLayer的最新研究揭露了当前主流大语言模型(LLMs)安全系统存在的漏洞,包括GPT-5.1、Claude和Gemini等模型。这项在2025年初发现的漏洞被命名为EchoG
阅读全文高度复杂的macOS DigitStealer采用多阶段攻击逃避检测
网络安全研究人员发现了一个针对macOS系统的新型恶意软件家族,该软件采用先进的检测规避技术和多阶段攻击链。这款名为DigitStealer的信息窃取程序通过多个有效载荷窃取敏感数据,同时在受感染设备
阅读全文赠书福利 | 《Web漏洞分析与防范实战》免费送
随着信息技术的飞速发展,互联网应用已经渗透到社会的各个角落,企业的信息化程度也在不断提升。然而,网络安全问题日益严峻,成为影响国家安全、企业生存和个人隐私安全的关键因素。网络攻击手段不断进化,从传统的
阅读全文SilentButDeadly:一款可阻断EDR/AV网络通信的新型工具
Part01工具概述安全研究人员Ryan Framiñán开发了一款名为SilentButDeadly的新型开源工具,该工具通过切断端点检测与响应(EDR)和杀毒软件(AV)的网络通信来干扰其运行。该
阅读全文Rust语言助力Android内存安全漏洞占比首次降至20%以下
谷歌披露,由于在Android系统中持续采用Rust编程语言,其内存安全漏洞数量首次降至总漏洞数的20%以下。"我们选择Rust是出于安全考虑,与Android的C和C++代码相比,Rust实现了内存
阅读全文“交费后不退不赔”,网安培训“私下交易”维权之路
近期,网络安全培训领域的一些风波引发了广泛关注。我们联系到一位亲历者——大学生小杨(化名),希望通过他的真实讲述,还原一段本可避免的曲折经历。以下是我们的对话整理,为保护隐私,姓名已做处理。Q可以简单
阅读全文罗技确认约1.8TB数据泄露,员工及消费者信息被盗
美国硬件配件巨头罗技已正式确认遭遇数据泄露事件,此次网络攻击由Clop勒索团伙发起。该团伙今年7月曾针对Oracle电子商务套件(Oracle E-Business Suite)发起过数据窃取攻击。作
阅读全文当攻击快过补丁:为何2026年将成为机器速度安全元年
Part01CVE争夺白热化根据2025年多项行业报告显示,约50%至61%的新披露漏洞会在48小时内被武器化利用。参考CISA已知被利用漏洞目录,数百个软件漏洞在公开披露后数天内即被确认遭到攻击。每
阅读全文研究人员发现严重AI漏洞影响Meta、Nvidia及微软推理框架
网络安全研究人员发现了一系列影响主流人工智能(AI)推理引擎的关键远程代码执行漏洞,涉及Meta、Nvidia、微软等厂商以及vLLM、SGLang等开源PyTorch项目。Oligo Securit
阅读全文专访国外爆火的AI渗透机器人XBOW:对抗性机器人与自主威胁猎手的较量
Part01AI黑客永不休眠我们的防御体系也不能停歇数字孪生技术有望帮助我们实现全天候威胁追踪,先发制人地发现潜在威胁。在最近的SecTor大会上,我发表了关于主动威胁追踪的演讲,随后在展区引发了一系
阅读全文FreeBuf周报 | ChatGPT 被诱导自我注入攻击;Windows内核0Day漏洞遭野外利用提权
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!🍮ChatGPT被诱导自我注入攻击,7 种新型手法窃取隐私数据💻W
阅读全文新一代Web扫描器ES::Dirscan:目录扫描快准狠,高价值结果直接提取
Web资产摸不清,安全评估全白搭。钻研Rust安全工具的永恒之锋帮会,之前用Rust引擎做的图标化指纹端口扫描工具(点击此访问往期文章),都更新到32版了,口碑一直在线。这次新出的Web路径扫描器ES
阅读全文AI 越智能,数据越危险?
当大模型深度融入企业的生产、销售与决策流程时,它早已从“辅助对话工具”演变为企业的“智能业务中枢”。大模型不仅能接触企业的业务订单数据、企业知识管理数据,甚至还可能处理敏感的用户身份信息。而其所汇聚的
阅读全文GitLab曝多个安全漏洞,攻击者可注入恶意指令窃取敏感数据
Part01紧急发布安全补丁GitLab 已发布紧急安全补丁,修复影响社区版和企业版的多个漏洞。该公司推出 18.5.2、18.4.4 和 18.3.6 版本,解决可能让攻击者窃取敏感信息并绕过访问控
阅读全文