新型单比特翻转攻击颠覆认知，可向任意AI精准植入后门

Part01新型攻击技术或诱发自动驾驶系统“犯错”乔治梅森大学的研究团队开发出一种名为"OneFlip"的新型攻击技术，通过利用已知的Rowhammer物理内存攻击手段，仅需翻转易受攻击DRAM模块

白色鼠标3个月70W原站思路直播分享

上周白色鼠标老师的直播彻底刷屏了！直播间热度爆表，满屏都在刷“黑色鼠标还有机会吗”“不够看！根本不够看啊”~这场直播里，白色鼠标老师不仅分享了自己如何从edusrc入门一步步走到3个月70W赏金的心路

CISA将Citrix和Git漏洞列入被利用目录，全球厂商应迅速修补

美国网络安全和基础设施安全局(CISA)在其"已知被利用漏洞"(KEV)目录中新增了三项漏洞，警告称恶意攻击者正在野外积极利用这些漏洞。这些漏洞包括两个影响Citrix Session Recordi

安全运营中心（SOC）陷入困境的根源与破局之道

尽管各大企业在安全运营中心（Security Operations Center，SOC）和先进检测技术上投入了数百万美元或人民币，但数据泄露事件仍屡见不鲜，且呈现持续上升趋势。根据实践经验，当前仅

新加坡团队推出新型AI工具，革新内网威胁防御测试体系

Part01内网威胁检测的困境内网威胁（Insider Threat）因其攻击者具有合法访问权限而成为最难检测的攻击类型之一。尽管安全团队深知其风险，但长期缺乏可用于训练系统的数据来识别恶意行为的细

2025网安行业优质播客精选集⑨

01 首席信息安全官深度解析企业网络安全掌舵者的角色与职责本期节目：本期播客讨论了首席信息安全官在企业中的普及程度及其对企业带来的实际好处。指出北美地区仅45%的企业设有此职位，且能进入C级高管团队的

针对女性的钓鱼邮件：借化妆品试用之名，点开即感染恶意软件

网络安全研究人员近日披露了一种新型攻击链，该攻击链通过针对我国国内女性消费者的钓鱼邮件，投递名为VShell的开源后门程序。Part01文件名暗藏玄机Trellix研究员Sagar Bade在技术报

人工智能公司推出新型AI分类器，可阻断用户研发核武器

当用户向Claude AI询问铀-235等核武器或核燃料的技术原理时，该人工智能会生成相应回答。但如果试图详细了解如何制造核武器，则很可能会被系统拦截。Part01新型分类器精准识别危险查询近期，A

黑客仅需简单短语即可绕过AI防护：ChatGPT-5降级攻击漏洞曝光

OpenAI最新旗舰模型ChatGPT-5存在关键漏洞，攻击者使用简单短语即可绕过其高级安全防护。Adversa AI研究人员将该漏洞命名为"PROMISQROUTE"，其利用了主流AI厂商为降低计

一周网安优质PDF资源推荐 | FreeBuf知识大陆

仅需10-15分钟，人工智能即可生成已公开漏洞的有效利用代码

最新研究表明，人工智能系统仅需10-15分钟即可针对新发布的通用漏洞披露（CVE）自动生成有效利用代码，每份利用代码成本约为1美元。这一突破性进展大幅压缩了防御者传统上依赖的"缓冲期"——即从漏洞公

紧急更新！苹果高危0day漏洞曝光，1张图片即可导致内存损坏

近日，苹果公司发布紧急安全更新，修复其ImageIO框架中一个已被黑客积极利用的零日漏洞CVE-2025-43300。该漏洞危险性极高，攻击者仅需1张图片即可致使未更新的苹果设备内存损坏、应用程序崩

FreeBuf周报 | 特斯拉车主隐私 “裸奔”；Windows安全更新引发硬盘故障

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🚗特斯拉车主隐私 “裸奔”，GPS 坐标、驾驶习惯等随意获取🌎Wi

流行JavaScript库存在严重漏洞，威胁全球Web安全

Part01漏洞概述广泛使用的JavaScript加密库sha.js近日披露了一个严重安全漏洞。该库实现了安全哈希算法（Secure Hash Algorithm，SHA）系列，每周下载量超过140

全自动渗透工具5.0上线，AI将取代渗透测试工程师

面对一个目标，你规划好了攻击路径——先信息收集，再端口探测，然后 Web 爬虫，最后上扫描器验证漏洞。思路清晰，但过程枯燥：需要在终端、工具和浏览器间不断切换，复制目标、调整参数、分析结果，大量时间花

麒麟勒索软件团伙宣称窃取日产汽车4TB设计数据

Part01数据泄露事件概述麒麟（Qilin）勒索软件团伙宣称入侵了日产汽车旗下设计子公司Creative Box Inc.（CBI），窃取超过4TB数据，并公开了汽车设计文件、财务数据、3D模型和

PromptFix攻击：AI浏览器可能被诱骗在虚假商店完成支付

网络安全公司Guardio Labs的研究人员发现，旨在辅助用户的AI系统可能成为新型数字威胁的受害者，他们将这种现象称为"Scamlexity"（诈骗复杂性）。这种名为PromptFix的攻击技术

收件箱之外的威胁：网络间谍组织如何利用两个WinRAR漏洞展开攻击

BI.ZONE威胁情报团队发现，代号为"纸狼"(GOFFEE)的黑客组织近期开展了一系列针对性网络间谍活动，该组织同时利用了一个已知的WinRAR漏洞(CVE-2025-6218)和一个此前未知的零

十年渗透：俄罗斯APT组织如何长期利用思科设备漏洞

思科Talos团队最新分析报告揭露，俄罗斯国家支持的黑客组织"Static Tundra"十多年来持续利用未修补及已停产的思科设备实施攻击。该组织被认为与俄罗斯联邦安全局（FSB）存在关联，长期针对

FreeBuf热门电台精选集第十二期

📢本期热门电台抢先看：1.聊一聊接口服务如何防止被恶意请求🎯 2.应用程序白名单的方式对比杀毒软件的黑名单都有哪些优缺点？🔍 3.聊一聊零信任在企业攻防实践中的作用🛡️————————————『Fre

黑客组织涉嫌在暗网兜售Windows零日远程代码执行漏洞

据ThreatMon报告，某黑客组织正在兜售一个Windows零日远程代码执行（RCE）漏洞利用程序，声称该漏洞可攻击已完全更新的Windows 10、Windows 11和Windows Serv

Chrome高危漏洞可致浏览器崩溃或执行任意代码

谷歌已紧急发布Chrome安全更新，修复一个可能允许攻击者使浏览器崩溃或在受影响系统上执行任意代码的关键漏洞。Part01漏洞概况该高危漏洞编号为CVE-2025-9132，影响Chrome的V8

当《黑客帝国》照进现实：AI 安全幻影特工队的破界行动

当AI的触角深入现实肌理，智能客服依托自然语言处理（NLP）技术处理千万次咨询时精准识别诈骗意图，自动驾驶系统通过多模态融合算法在暴雨中校准毫米波雷达的每一次扫描，金融大模型凭借联邦学习框架在毫秒间完

4个月70万赏金，挖洞赛道再闯出一匹黑马！

4个月，70W！漏洞挖掘赛道又杀出了一匹让人瞠目的黑马。而更让人惊掉下巴的是——这位高手，居然只有17岁！接触挖洞也才不到两年…这是天赋爆发，还是背后有高人指路？今天我们特地请来了这位黑马师傅——白色

麦当劳系统漏洞事件：从免费鸡块漏洞到高管数据泄露

麦当劳数字基础设施存在一系列严重漏洞，从免费食品兑换漏洞到高管数据泄露事件层出不穷。最初只是一个简单的应用故障，最终演变成持续数月的安全事件。安全研究员BobDaHacker甚至直接致电公司总部，提

黑客利用武器化版权文件攻击企业关键员工，传播Noodlophile窃密木马

Part01精准定位的钓鱼攻击网络安全研究人员发现一起针对大型企业的复杂钓鱼攻击活动，攻击者利用武器化的版权侵权通知传播升级版Noodlophile窃密木马。该攻击专门针对社交媒体影响力较大的企业，

FreeBuf FVIP会员权益大升级！付费内容无限读、万份资源任意下，无边界获取网安知识

为更好地助力网络安全从业者成长FreeBuf会员体系大规模升级啦本次FVIP会员权益重磅扩容从专业内容获取到实战资源支持从技能提升到社群互动7大核心特权升级全方位助力你的网安进阶之路7大升级权益解锁专

Linux内核netfilter漏洞可导致攻击者权限提升

Part01漏洞概述Linux内核netfilter的ipset子系统中发现一个高危漏洞，允许本地攻击者将权限提升至root级别。该漏洞存在于ipset框架的bitmap:ip实现中，源于处理CID

Scan-X v5.0解锁新任务：直接把Kali驯成AI小弟！

厉害呀师傅们，Scan-X才上架一个月直接把限量库存干没了！这波属实是新手村直接爆神装的节奏了！感谢各位赛博保安队长的信任！但是！敲黑板划重点！我们可没躺在功劳簿上数钱（虽然很想[狗头保命]）因为！更

管道魔法再现：假冒ChatGPT桌面应用传播PipeMagic后门程序

卡巴斯基实验室最新报告揭示了名为PipeMagic的复杂后门程序构成的持续威胁。该恶意软件近期在针对沙特阿拉伯和巴西组织的攻击中再次出现，并与已修复的微软零日漏洞CVE-2025-29824的利用相