OpenClaw AI Agent漏洞可导致提示词注入攻击与数据窃取

中国国家计算机网络应急技术处理协调中心（CNCERT）近日发布安全警告，指出开源自主托管AI代理OpenClaw（前身为Clawdbot和Moltbot）存在严重安全隐患。该机构在微信公众号发文称，该

Linux AppArmor模块曝九大漏洞，可致提权及绕过容器隔离

网络安全研究人员披露了 Linux 内核 AppArmor 模块中的多个安全漏洞，非特权用户可利用这些漏洞绕过内核保护机制、提升至 root 权限并破坏容器隔离保障。Qualys 威胁研究部门（TRU

每周PDF资源：网络安全情报和分析；APP风控参数分析和Frida绕过；从CTF中学习PHP反序列化的各种利用方式；

Metasploit Pro 5.0.0强化红队攻击能力，直击AD CS漏洞

随着网络犯罪分子不断利用新漏洞发动攻击，企业对持续红队演练和主动安全评估的需求达到历史新高。传统的年度渗透测试已无法满足现代复杂环境的安全需求。为帮助安全团队应对高级威胁，Metasploit Pro

苹果紧急发布iOS 15.8.7更新以防御“Coruna”漏洞利用工具包

苹果公司已紧急发布iOS 15.8.7和iPadOS 15.8.7安全更新，旨在保护旧款设备免受名为"Coruna"的漏洞利用工具包的严重威胁。Part01关键安全补丁回溯2026年3月11日发布的这

OpenClaw安全公告激增暴露GitHub与CVE体系鸿沟；OpenAI推出Codex Security | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🤖OpenClaw安全公告激增暴露GitHub与CVE漏洞跟踪体系

AI串联漏洞攻陷招聘平台，伪装特朗普索要数据权限

当自主AI Agent被释放去攻击另一个自主AI Agent时会发生什么？CodeWall在最近的红队测试中发现，其AI Agent能够串联人类认为无害的漏洞，轻松绕过认证控制，甚至出人意料地伪装成美

为什么越来越多的企业开始部署 XDR

今天很多企业其实并不缺安全工具。有 EDR。有邮件安全。有身份安全。有服务器安全。也有云侧监测能力。问题从来不是“没买”。而是每个系统都看到一点，但很少有系统能把整场攻击真正串起来。终端报一条。邮箱报

Splunk高危RCE漏洞可致服务器被完全控制

Part01漏洞概述Splunk发布紧急安全公告，警告用户其Enterprise和Cloud平台存在一个高危漏洞（CVE-2026-20163），CVSS评分为8.0。该漏洞允许攻击者在目标系统上执行

自动化渗透测试替代人工，效能跃升颠覆安全认知

Part01自动化测试的双重价值：提升网络安全与团队效能随着网络安全事件频发，各类认证与合规要求不断增加。虽然这些框架在建立安全基线方面发挥着重要作用，但真正的安全防护远不止于获得完美的合规评分。正如

斗象发布首个跨平台安全Agent员工CowboyClaw（安全牛仔虾）

当下安全运营工作日渐“牛马化”：白天当“漏洞筛子”，眼睛瞪得像铜铃，从一堆告警里扒真威胁；晚上变“服务器保安”，熬夜登服务器查配置，对着CVE详情熬到凌晨；更别提那些雷打不动的日报、周报、月报……这些

恶意Rust组件与AI机器人劫持CI/CD管道窃取开发者密钥

Part01恶意Rust组件伪装时间工具窃取密钥网络安全研究人员发现五个伪装成时间相关工具的恶意 Rust 组件（crate），这些组件会将 .env 文件数据传输给攻击者。这些通过 crates.i

MaaS VIP键盘记录器利用隐写术窃密，内存驻留攻击威胁企业数据安全

Part01新型攻击活动浮出水面围绕VIP键盘记录器工具构建的复杂凭证窃取活动已对企业和个人构成严重威胁。与传统将文件写入受害者硬盘的恶意软件不同，该键盘记录器完全在内存中运行，使传统安全工具极难检测

CVE项目资金危机解除，全球漏洞生态重获稳定

Part01资金危机悄然化解去年险些导致全球漏洞追踪系统停摆的资金危机已悄然解决，网络安全生态系统的这一基石避免了再次突发中断的风险。网络安全和基础设施安全局（CISA）与MITRE公司重新谈判了支撑

OpenClaw安全公告激增，暴露GitHub与CVE漏洞跟踪体系间的鸿沟

自托管AI Agent项目OpenClaw在发布数周后便成为GitHub星标最多的代码库，吸引了大量开发者社区和研究人员关注。但没人预料到，其快速增长很快成为全球漏洞跟踪体系的意外压力测试。Part0

问境 AIST 首发：聚焦AI原生安全，悬镜原创多模态IAST 新品发布

随着大模型（LLM）加速从技术探索走向规模化应用，企业安全体系正面临一轮全新的挑战：AI 生成代码是否可能埋藏未知缺陷甚至潜在后门？第三方引入的基础模型、开源组件和数据集，是否存在投毒、篡改或供应链风

Kali Linux推出本地AI渗透测试方案，彻底摆脱云依赖

Kali Linux 团队在其不断增长的 LLM（大语言模型）驱动安全系列中发布了新内容，这次通过完全在本地硬件上运行大语言模型，消除了对第三方云服务的所有依赖。该指南展示了安全专业人员如何使用自然语

AI安全护栏对防御者的束缚远超攻击者，加剧攻防失衡

Part01安全团队遭遇AI护栏困境当前安全团队正被敦促采用AI副驾驶进行威胁建模、钓鱼模拟和安全运营中心（SOC）工作流。然而，许多广泛部署的企业级AI系统在面对模拟真实攻击行为的提示时，往往难以支

伪装OpenClaw，恶意GhostClaw大肆洗劫开发者数据

Part01恶意npm包伪装开发者工具近期出现针对软件开发者的高危恶意软件活动，一个名为@openclaw-ai/openclawai的恶意npm包伪装成可信开发者工具，暗中窃取凭证、加密钱包、SSH

Anthropic推出高价AI代码审查工具，效率惊人但费用昂贵

在软件开发过程中，获取代码反馈是确保新编写代码中的错误能在提交拉取请求（pull request）前被及时发现的关键环节。但随着AI编程机器人的兴起，开发者提交的代码量激增，已远超人工审查者的处理能力

AI诈骗工具ScamAgent可自主实施高成功率社会工程攻击

美国罗格斯大学研究员Sanket Badhe开发的ScamAgent是一个自主多轮对话AI框架，展示了如何将大语言模型（LLM）武器化以实现全自动诈骗通话。该系统通过整合目标驱动规划、上下文记忆和实时

基于Graph API的微软365红队图形化攻击工具包M365Pwned发布

代号为 OtterHacker 的红队研究人员公开发布了 M365Pwned，这是一套 WinForms 图形界面工具，专为通过应用级 OAuth 令牌（无需用户交互）枚举、搜索和窃取 Microso

黑客在暗网高价兜售Windows远程桌面服务0Day漏洞利用程序

据称，某威胁行为者正在暗网论坛上以高达22万美元的价格出售Windows远程桌面服务权限提升漏洞（CVE-2026-21533）的0Day漏洞利用程序。该高价漏洞利用程序通过不当的权限管理机制，可使攻

FBI监听系统遭入侵，美国国家安全机密或已泄露

美国联邦调查局（FBI）已确认一起针对敏感内部网络的网络安全事件，该网络用于管理监听行动和外国情报监视令状。此事引发国家安全官员对机密执法数据可能泄露的严重担忧。FBI周四向CNN表示："我们已发现并

十小时困境：可见性缺失如何拖垮安全运营中心

Part01分析师疲于奔命的根源与可见性提升之道安全团队并非因威胁升级而不堪重负，真正压垮他们的是日益恶化的网络可见性。NETSCOUT委托弗雷斯特咨询公司开展的2025年10月调研揭示了一个业内共识

自动化还是编排？构建高效修复流程以缩短MTTR

安全团队追求更低MTTR，但问题依旧存在：如何运用自动化与编排有效降低风险？几乎所有安全团队都希望降低其平均修复时间（MTTR）。2024年研究显示，修复关键漏洞平均耗时4.5个月，这充分说明了降低M

企业需要MSSP的七大信号

托管安全服务提供商（MSSP）能为客户提供全面的安全服务。作为第三方服务商，MSSP可显著减轻企业IT团队的工作负担，使其能专注于核心业务流程和战略规划。此外，MSSP还能帮助企业填补技术能力缺口，减

思科修复两大CVSS 10分Secure FMC漏洞

Part01漏洞概况思科修复了其Secure Firewall Management Center（FMC，安全防火墙管理中心）中的两个最高危漏洞，攻击者可能借此获取受管理防火墙的root权限。Sec

每周PDF资源：移动APP安全性评估；Web渗透攻防实用技巧；人工智能网络安全协作手册；子域名劫持指南

OpenAI推出Codex Security，AI自主修复软件漏洞

Part01Codex Security正式发布OpenAI Group PBC今日正式发布Codex Security，这是其编程助手Codex中的一项新功能，可帮助开发者发现并修复代码漏洞。此次发