Claude Mythos Preview 实现自动化漏洞研究突破，可构建PoC漏洞利用链

Anthropic公司以安全为核心的AI模型Mythos Preview在自动化漏洞研究领域实现了重大突破——不仅能发现漏洞，还能将其串联成可实际运行的PoC（概念验证）漏洞利用链。这一发现来自Clo

CISA管理员在GitHub上泄露了AWS GovCloud密钥

美国网络安全与基础设施安全局（CISA）近日曝出一起重大安全漏洞：一名承包商在公开的 GitHub 仓库中泄露了高度敏感的 AWS GovCloud 凭证。该事件由安全研究人员于 2026 年 5 月

六年前已修复的Windows漏洞重现，仍可获取SYSTEM权限

网络安全研究人员发现一个名为"MiniPlasma"的关键Windows权限提升0Day漏洞，其公开的概念验证（PoC）利用代码可使攻击者在完全打补丁的Windows系统上获取SYSTEM级权限。20

Grafana遭勒索组织入侵，源代码泄露但拒付赎金

Grafana Labs 确认了一起安全事件，此前勒索组织 Coinbase Cartel 于 5 月 15 日将其列入泄露网站并声称窃取了数据。此次入侵由遭泄露的令牌触发，攻击者借此获得了访问该公司

Claude Code深度链接解析漏洞可被武器化，无需额外交互即可RCE

Anthropic公司的Claude Code CLI工具中发现了一个严重的远程代码执行（RCE）漏洞。攻击者可诱骗受害者点击特制的深度链接，从而在其计算机上执行任意命令。该漏洞现已在Claude C

NGINX高危漏洞（CVE-2026-42945）遭野外利用，可致RCE或服务崩溃

VulnCheck报告显示，NGINX Plus和NGINX开源版本中新披露的安全漏洞（CVE-2026-42945）在公开披露数日后已遭野外利用。该堆缓冲区溢出漏洞存在于 ngx_http_rewr

网络安全新挑战：如何验证AI Agent的真实性

过去二十年里，网络安全的核心始终是保护人类免受机器威胁——拦截恶意软件、过滤钓鱼邮件、企业缓解DDoS攻击、抢在攻击者之前修补软件漏洞。对手明确，攻击面清晰，防御手册虽不完美但至少脉络分明。然而，这个

MongoDB 高危漏洞可导致攻击者执行任意代码

最新披露的 MongoDB 高危漏洞（CVE-2026-8053）可能使威胁攻击者执行任意代码，进而完全控制受影响服务器，导致数百万条记录面临泄露风险。该漏洞直接影响 MongoDB Server 的

Claude Mythos 5天攻破最强硬件，20亿台苹果设备的安全逻辑正在被改写

据报道，苹果M5芯片首次在公开的macOS内核内存破坏攻击中被成功利用，成功绕过了该公司著名的硬件级内存保护机制。来自Calif的研究人员Bruce Dang、Dion Blazakis和Josh M

Linux内核高危漏洞曝光，可窃取SSH密钥及影子密码

最新披露的Linux内核高危漏洞引发全网安全领域关注，该漏洞可让攻击者在受影响系统中非法获取SSH私钥、用户密码哈希等核心敏感数据。此漏洞编号为CVE-2026-46333，定名ssh-keysign

每周PDF资源：自动化信息收集 ；Linux 史诗漏洞 ；热门神库漏洞

OpenClaw 曝出四大漏洞，可导致数据窃取、权限提升与持久化攻击

网络安全研究人员披露了 OpenClaw 中四个可被串联利用的安全漏洞，攻击者能够借此实现数据窃取、权限提升和持久化控制。Cyera 将这组漏洞统称为 Claw Chain，攻击者可利用其建立初始立足

首日狂揽 52.3 万刀！Pwn2Own 柏林拿下 Edge/Win11/LiteLLM

Pwn2Own柏林2026赛事首日即掀起针对现代浏览器、操作系统和新兴AI平台的0Day漏洞利用浪潮。安全研究人员在首日就成功攻破微软Edge、Windows 11和LiteLLM，通过24个独特漏洞

AI中转站的黑与白；OpenAI推出Daybreak全新网络安全计划 | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🤖AI中转站的黑与白🗽OpenAI推出Daybreak全新网络安全

一个月内第三起！Linux内核再曝Fragnesia高危漏洞

继上月的CopyFail漏洞和上周的Dirty Frag漏洞之后，Linux系统管理员又面临新的安全威胁——被专家称为“重大漏洞”的Fragnesia（CVE-2026-46300）。该漏洞与Dirt

直播预告：AI重塑白帽圈，暴富还是出局？

澳门世界白帽大会即将开始，各路消息铺天盖地。但热闹归热闹，真正让师傅们心里打鼓的问题，一个也没少——AI到底在帮谁赚钱，又在淘汰哪类人？5月20日20：00，我们把这次要去到大会现场的AI大模型高手，

Anthropic Mythos AI再出手，发现可绕过苹果安全机制的macOS漏洞

位于帕洛阿尔托的网络安全公司Calif的研究人员，运用了源自Anthropic秘密研发的Mythos AI早期版本的技术，发现了macOS系统中两个此前未记录的漏洞。这两个漏洞被串联成一条权限提升攻击

Windows DNS客户端漏洞可导致远程代码执行攻击

微软Windows DNS客户端中新披露的一个漏洞可能让攻击者悄无声息地在企业网络中执行恶意代码，暴露出巨大的攻击面。该漏洞被正式编号为CVE-2026-41096，CVSS严重性评分高达9.8分（满

谷歌首次发现基于AI的0Day漏洞利用

谷歌威胁情报小组（GTIG）近日发布报告，首次确认有网络犯罪分子利用人工智能（AI）独立发现并武器化了一个零日漏洞，并计划用于大规模攻击。据谷歌的报告，该漏洞存在于一款流行的开源Web管理平台中，是一

Windows 11遭新型BitUnlocker降级攻击，5分钟内可解密加密磁盘

一款名为BitUnlocker的新工具曝光了针对微软BitLocker加密的降级攻击手法。攻击者利用补丁更新与证书吊销之间的关键时间差，可在5分钟内物理破解已打补丁的Windows 11设备上的加密卷

Android零点击漏洞PoC公开，攻击者可远程获取Shell权限

谷歌在2026年5月的Android安全公告中披露了一个潜藏在Android系统核心的灾难性零点击漏洞，这对移动安全领域造成了严重冲击。编号为CVE-2026-0073的漏洞存在于Android的ad

跨厂商SIEM规则泛滥难题：AI生成规则的方案真能破局？

企业在不同SIEM（安全信息与事件管理）平台间迁移时，往往需要手动重写检测规则，因为Splunk、Microsoft Sentinel、IBM QRadar和Google Chronicle等厂商采用

号称全球最“危险”的AI，Anthropic Mythos实测curl仅找到一个真实漏洞

今年四月，Anthropic公司高调发布新型AI模型Mythos，宣称其代码漏洞检测能力"危险地强大"。出于安全考虑，该公司决定暂不向公众开放，仅向少数大型机构提供访问权限，使其能优先修复关键漏洞。业

Pwn2Own 2026爆满遭拒，黑客集体公开0day报复厂商

全球最著名的黑客竞赛正面临始料未及的危机。据报告，由趋势科技旗下Zero Day Initiative（ZDI）主办的Pwn2Own Berlin 2026赛事在举办19年来首次出现名额爆满情况。这项

谷歌推出AI驱动的Android移动安全增强方案

Part01Android面临日益复杂的威胁态势Android智能手机已成为全球数十亿用户的首选设备，从银行业务、即时通讯到存储个人照片和敏感文件，人们几乎将所有重要事务都托付给手机。这种依赖性也使移

Microsoft Teams 漏洞可导致黑客实施欺骗攻击

微软 Teams 近日披露的安全漏洞可能允许攻击者伪造本地设备，这对依赖该平台进行日常通信的企业和个人用户构成安全隐患。2026年5月12日，微软通过协调披露机制在其月度补丁日公告中公开了该漏洞（CV

OpenAI推出Daybreak全新网络安全计划

OpenAI近日推出名为Daybreak的全新网络安全计划，该计划整合前沿人工智能（AI）模型能力与Codex Security技术，旨在帮助企业在攻击者利用相同漏洞入侵前完成漏洞识别与修复。Part

Linux 内核新增紧急开关，填补 0Day 漏洞修复空窗

Linux 服务器管理员或将获得在操作系统内核中临时禁用漏洞功能的能力——前提是开源社区采纳内核开发者提出的这项建议。该机制可在 0Day 漏洞补丁发布前作为临时防护措施。Part01内核级防护新思路

你的紫队并非真正融合——只是红蓝队共处一室

凌晨两点的网络防御场景往往如此：分析员将PDF中的哈希值复制粘贴到SIEM查询中；红队脚本被手工重写以供蓝队使用；补丁等待审批的时间窗口比漏洞利用窗口还要长。这条链条上的每个人都并非无能，问题在于系统

黑客利用伪造DeepSeek TUI GitHub仓库传播恶意软件

AI供应商宣称的"最强防护"实际上只能降低大语言模型被恶意提示词攻击的概率，无法完全杜绝；攻击者开始利用AI工具生成虚假漏洞报告，对漏洞赏金平台造成冲击；此外，xAI开发者在GitHub泄露了特斯拉等