隐秘战争：利用网络武器破坏精密计算，欲锁死对手国家科技上限

关注我们带你读懂网络安全研究人员发现一款早于2005年被开发出的网络武器fast16，能在高精度数学计算中注入难以察觉的错误，从而削弱并破坏依赖这些计算结果的研究工作，目标包括三款用于碰撞测试、结构分

北约“锁定盾牌”网络防御演习重点关注技术防御和危机管理

编者按：北约合作网络防御卓越中心4月22日至24日在爱沙尼亚塔林举行2026年“锁定盾牌”演习，旨在通过危机和战时情境下的多国网络防御演练，检验北约及伙伴国网络实战能力，提升集体防御水平。此次演习汇集

安全简讯（2026.04.28）

1. Robinhood漏洞被滥用发送钓鱼邮件4月27日，在线交易平台Robinhood的账户创建过程近日被不法分子利用，他们通过向合法电子邮件中注入恶意HTML代码，向用户发送了高度逼真的钓鱼邮件，

印尼圣都城市集团考察团一行赴天融信参观调研

SECURITY智慧城市4月25日，由原印尼贸易部长Dr. (H.C) H. Rachmat Gobel带队，印尼圣都城市集团（Sentul City）董事长Bpk Hiramsyah Sambudh

民建河北省委省直工委三支部走进天融信雄安数字城市安全总部

近日，民建河北省委省直工委三支部赴雄安新区开展主题教育活动。支部成员走进天融信雄安数字城市安全总部，实地了解人工智能安全前沿应用，系统学习AI安全风险与防范实践，共同探讨数字安全赋能高质量发展的新路径

OpenSSH 漏洞暗藏 15 年，可致完全 root 权限访问

高危漏洞 紧急修复指南 RCE Patch 数据安全公司 Cyera 表示，过去 15 年发布的 OpenSSH 版本存在一个漏洞，该漏洞可导致攻击者获取完全的 root shell 访问权限，

【WAF集体沦陷】Java "幽灵比特位"（Ghost Bits）引发的新型 WAF 绕过与注入攻击

Java 是目前企业级应用中最广泛使用的编程语言之一，其生态内的 Spring、Tomcat、Jackson、fastjson 等框架和组件被全球数以亿计的系统所依赖。2026 年 4 月，在 Bla

首批通过！知道创宇AiPy获中国信通院企业级类Claw智能助手智能体能力认可

近日，中国信通院正式启动首批企业级类 Claw 智能助手智能体能力评估工作。北京知道创宇信息技术股份有限公司旗下智能体产品——爱派（AiPy）人工智能助手，凭借在业务执行、企业场景适配、安全防护与生态

LLM 推理引擎 llama.cpp 零点击 RCE 漏洞：从 Null Buffer 到绕过 PIE/Full RELRO/NX 利用链(CVE-2026-34159)

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”llama.cpp 曝出 RPC 服务零点击远程代码执行漏洞（CVE-2026-34159，CVSS

子域名枚举工具 -- Bu-SubdomainX

===================================免责声明请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负

TSRC助力 | 你敢信，他们都来了！HPW白帽世界大会2026全议程发布

漏洞速递 | CVE-2026-34486 RCE漏洞（建议自查）

网安引领时代，弥天点亮未来 0x00写在前面 本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！0x01漏洞介绍Apache Tomcat是美国阿帕奇（Apache

【议题征集】BCS“新一代AI攻击技术与实战应用论坛”邀您开讲！

2026 北京网络安全大会新一代AI攻击技术与实战应用分论坛北京网络安全大会（BCS）作为中国网络安全领域的标志性盛会，已成功举办七届，累计吸引全球超过30万人次参与。大会汇聚20余位两院院士、国际政

LiteLLM SQL注入漏洞可无条件触发

漏洞概况LiteLLM 是一个使用广泛的开源大语言模型统一接口库，常作为代理服务使用，使开发者能够通过统一的 API 格式调用 OpenAI、Anthropic、Azure 等不同厂商的大模型，简化多

雷神众测漏洞周报2026.4.20-2026.4.26

摘要以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播

停牌！中国网络安全行业第二个被退市的公司，或将出现

2026 年4 月28 日，深圳国华网安科技股份有限公司发布了「关于退市情况的专项报告」，警示风险。报告摘要如下。一、退市情况概述深圳国华网安科技股份有限公司（以下简称“公司”）于2025 年4 月2

中共中央政治局召开会议 分析研究当前经济形势和经济工作 中共中央总书记习近平主持会议

中共中央政治局4月28日召开会议，分析研究当前经济形势和经济工作。中共中央总书记习近平主持会议。会议认为，今年以来，以习近平同志为核心的党中央加强对经济工作的全面领导，着眼全局、前瞻布局，各地区各部门

绕过杀软的渗透测试：通过数据库写入WebShell绕过杀软防护的实战经验

扫码领资料获网安教程本文由掌控安全学院 - 郑居中 投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）0x1 开篇0x2 初遇难题0x3 峰回路转

4月社区投稿活动 | 漏洞挖掘

2026 | 04 月社区投稿活动本期活动奖金池30000金币(1000金币=100大洋，可在社区商城提现)，打空截止，不另外追加奖金池活动时间4 月 1 日- 5 月 1 日投稿要求文章内容必须为原

RedSun 本地权限提升漏洞分析：滥用 Defender 修复机制

原文链接作者https://www.coresecurity.com/blog/analysis-redsun-local-privilege-escalation-defender-remediat

Windows 早期启动配置：CmControlVector 与 PspSystemMitigationOptions

原文链接作者https://insinuator.net/2026/04/windows-early-boot-configuration-the-cmcontrolvector-and-pspsys

CVE-2026–41505：一个两字母的导入如何破坏开源 LMS 的认证安全

官网：http://securitytech.ccCVE： CVE-2026–41505严重性： 高（CVSS 8.7）CWE： CWE-338 —— 使用加密学上不安全的伪随机数生成器公告：http

我在 API Explorer 中发现了一个存储型 XSS 漏洞——以下是我的具体操作步骤

官网：http://securitytech.cc有时候，最有价值的漏洞就藏在开发者用来测试自己 API 的工具中。 每个漏洞猎人都经历过这种时刻。你盯着主应用看了好几个小时：登录表单、搜索框、用户资

良性首发-信任积累-更新投毒：GlassWorm 恶意软件通过 73 个 OpenVSX "沉睡者"扩展卷土重来

一、事件概述GlassWorm 威胁活动近期在 OpenVSX 开源扩展生态中爆发新一轮大规模供应链攻击。根据 Socket 安全团队及多方情报交叉验证，攻击者于 2026 年 4 月向 OpenVS

抽奖啦 | 五一遇五四 好运不缺席

HUORONG火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

【红队工具】CDP-Enable-BOF

本文所涉及的技术、思路和工具仅用于安全测试和防御研究，切勿将其用于非法入侵或攻击他人系统等目的，一切后果由使用者自行承担！！！工具介绍CDP-Enable-BOF是一个x64 BOF，能够在 运行

河南省政府副秘书长、航空港区管委会主任田海涛一行到访安博通

4月23日，河南省政府副秘书长、郑州航空港区管委会主任田海涛一行到访安博通考察调研。安博通董事长钟竹率队接待，高级副总裁吴笛，高级副总裁、“鲁班”AI研究院院长薛洪亮，副总裁、数字智算事业部总经理何勇

[指南]联合国教科文组织《法院和法庭使用人工智能系统指南》

人工智能正在改变全球司法系统，为提升司法进程、简化案件管理并协助司法决策提供了新可能。然而，这些创新也带来了复杂的伦理和人权挑战。联合国教科文组织《法院和法庭中使用人工智能指南》于2025年12月提出

先知联合发起ACTF 2026 | 巅峰对决，战书已至！