cPanel漏洞引发Sorry勒索软件供应链攻击，我们看到了什么？

各位少侠好，我是千里。过去两周，一场利用cPanel认证绕过漏洞（CVE-2026-41940）的大规模攻击正在全球范围内蔓延。攻击者无需任何凭据，只需要发送几个特制的HTTP请求，就能获得root级

Linux Copy Fail漏洞预警，丝滑提权不是梦

各位少侠，中午好，我是千里。今天火爆圈内的Linux 内核的 CVE-2026-31431 值得重点看一下。这个漏洞的利用条件是攻击者需要先在机器上有一个低权限执行入口，然后可以通过利用漏洞丝滑提权，

AI Agent最危险的地方，不是说错话，而是做错事

hi，少侠们，我是千里。如果你这段时间关注 AI Agent 和MCP 相关的安全资讯，应该会发现一个很有意思的变化。前两年大家聊 AI 安全，重点经常放在 Prompt Injec

我翻DataGear源码时，顺手摸到这两条危险的链

最近翻DataGear源码，顺手摸到两个挺有意思的点。一个在driver上传这条线，文件传上去以后，再借“测试连接”一路往下走，最后能碰到Class.forName(...)这种类加载边界。另一个在S

使用Agent跑composer install前，应该先问哪5个问题

，hi，少侠们，我是千里。先开门见山，如果少侠们所在的团队已经开始广泛使用AI Coding，不管是Cursor、Claude Code、Codex、Devin类工具，还是自己接了GitHub、CI、

AI Notebook的终端接口，竟成为偷窃云密钥的入口

hi，少侠们。如果你的团队正在用notebook、数据应用、RAG 原型、AI dashboard 或内部分析工具，一定不要因为临时跑一下，就把它们当成低风险应用。读完本文，你就会知道，只要这些软件工

你的PDF阅读器可能正在替攻击者做信息搜集？快来一探究竟

BEAUTIFUL01先说结论如果你还把 PDF 阅读器当成一个相对被动、相对安全的文档查看工具，今天向各位少侠分享的Adobe Reader样本，可能会让你大跌眼镜。国外安全机构EXPMON在202

漏洞警报｜FortiClientEM产品爆发高危漏洞

01当前事件4月4日，Fortinet 发布紧急 hotfix，修复 FortiClient EMS 的一个 API 认证与授权绕过漏洞，编号 CVE-2026-35616，CVSS 9.1。Fort

基于SAST+AI代码审计 架构与功能详解

Java-Audit 架构与功能详解之前的代码审计项目由同事接手了，然后他改了很多东西。那理论上，我这水逼项目和产品也不搭边了，所以直接开了！相对于之前优化的点joern扫描结果的过

警惕axios供应链投毒，请少侠们按需应急

npm上最流行的HTTP库axios，被人偷偷加了恶意代码。受影响的版本是axios@1.14.1和axios@0.30.4。如果你或者你的团队用过这两个版本，需要立刻检查。这个攻击被发现不满24小时

AI用户务必关注，Langflow未授权RCE分析（CVE-2026-33017）

1事件概述2026年3月，Langflow被发现存在未授权远程代码执行漏洞。攻击者在漏洞披露后20小时内就开始利用该漏洞。CISA已将此漏洞列入KEV目录，要求2026年4月8日前完成修复。（注：对于

供应链预警｜LiteLLM、Apifox两起供应链投毒事件，紧急应急

01安全预警🚨LiteLLM供应链投毒 — 风险排查风险说明受影响版本：litellm version = 1.82.7, 1.82.8恶意文件：litellm_init.pth危害行为：Python

OpenClaw从爆火到爆雷，结构性安全风险的风险究竟有多大

本文为师傅们分析OpenClaw部署的结构性风险，文章最后部分有Openclaw安全部署Skill，请多多试用与反馈。01从GitHub神话到工信部预警，只用了45天2026年1月29日，一个叫Pet

安全验证的困境：为什么我们一直在"盲人摸象"？

各位少侠好，我是千里。前两天刷The Hacker News，看到一篇讲安全验证正在走向Agentic的文章（请在文章底部左下角【查看原文】进行查看）。说实话，这类趋势分析我以前是不太想写的——满篇都

AI安全应用实战复盘：一场2小时的深度交流，我们聊了什么？

大家好，我是千里。昨晚做了一场直播，主题是AI安全应用研讨会，整整聊了2个小时。今天把昨晚的精华内容整理成文章，分享给没来得及看直播的朋友。这场直播的核心只有一个话题：AI到底能不能帮我们做安全？怎么

Docker青龙面板挖矿入侵事件应急复盘

这是一起典型的容器入侵事件，攻击者试图通过青龙面板漏洞投递挖矿木马。虽然攻击最终失败，但整个排查过程值得分享出来，一起记录和学习。 事件背景那天我发现最近在青龙面板运行的脚本不再运行了，并

OpenAI Codex Security对于思考当下安全人员价值的意义

01前言2026年3月，OpenAI发布了Codex Security。这是一个专门做应用安全的AI工具，官方说法是：30天扫描了120万次代码提交，发现了792个关键漏洞，10561个高危问题。消息

由CISA紧急通报海康威视与罗克韦尔漏洞引发的思考

引言01🔴 核心观点：别以为老漏洞没事，攻击者还在用！就在昨天，美国网络安全和基础设施安全局（CISA）再次敲响了安全警钟。2026年3月5日，CISA在其著名的"已知被利用漏洞目录"（

【隐侠&听风】代码审计Skill使用痛点征集

此前，我们正式发布了代码审计 Skill，并通过视频号沙龙直播与公众号文章，分享了一系列实战心得与落地经验。产品上线后，我们收到了众多业内同行与技术大佬的真实反馈：有人已顺畅落地、高效赋能日常工作；也

币安Skills Hub：散户的"机构级超能力"来了

昨天刷到鸟哥的文章，看完我惊了，没想到头部交易所也加入Skills这场游戏。Binance Skills的出现，不只是币圈skill从0到1那么简单，要知道，在加密货币市场，散户最缺的从来不是那点本金

OpenClaw惊爆"ClawJacked"漏洞：AI Agent已被静默接管？

昨天小隐（千里's Claw&Friend）刷Twitter，看到Oasis Security发了一条推，说发现了OpenClaw的一个高危漏洞，名字叫ClawJacked。我当时的反应是：又是Ope

国外执法部门重拳出击：一天端掉两个网络犯罪平台

昨天，网络安全领域发生了两件大事。Europol牵头捣毁了Tycoon 2FA钓鱼平台，FBI查封了LeakBase暗网论坛。同一天，两个全球最大的网络犯罪平台被连根拔起。这不仅仅是执法行动的胜利，更

AI浪潮下，今天安全圈在发生什么【2026.3.4】

📋 内容导航第一部分：知识星球今日文章总结第二部分： Gartner预测：40%企业年底嵌入AI Agents第三部分： CVE-2026-20127：Cisco SD-WAN零日漏洞（CVSS 10

AI代码审计Skill实战：从0到1的构建指南

这是一篇关于如何用AI Skill赋能代码审计的实战总结，来自昨晚的一场内部技术沙龙。01写在前面年前我们开始折腾Code Audit Skill，初衷很简单——不是为了蹭热点，而是发现这玩意儿确实能

OpenClaw漏洞大揭秘：一键RCE、WebSocket劫持与供应链投毒

各位少侠好，我是千里。企业安全BP，关注AI、安全、加密货币领域。今天想和大家聊聊一个最近很火的开源AI Agent框架——OpenClaw，以及它的安全问题。 背景：OpenClaw是谁

致所有安全从业者：AI不是敌人，是时候拥抱它了

各位少侠好，我是千里。最近半年，我被问最多的问题就是：“千里，你怎么看AI？”“AI这么火，我们是不是要被取代了？”“别人都在用AI，我还该不该学？”今天我想聊聊心里话。 我们在害怕什么？

网安人必看！我做了个漏洞报告生成Skill，效率大幅提升

各位少侠好，我是千里。最近鼓捣了一个新东西——安全报告编写助手，今天来给大家分享一下这段时间探索 AI Agent Skill 的阶段性成果。 背景：被报告支配的恐惧01相信各位做安全的少

网安人如何开发AI Agent Skill？如何打造可复用数字资产?

AI Agent现在越来越火，不管是日常工作还是专业领域，大家都想靠它提高效率。但很多人用下来会发现，光写Prompt总觉得不够用，临时写的指令用完就丢，团队里的好经验也没法一直复用。其实答案很简单，

守护不变，初心如一，东方隐侠祝您新春大吉

东方隐侠限量红包封面，快快领取～