Axios高危漏洞可致云环境沦陷，PoC已公开

近日，网络安全社区进入高度戒备状态。原因在于，Axios曝出了严重安全漏洞。Axios是一个广泛使用的HTTP客户端，基于Promise，适用于 Node.js和浏览器。安全研究员Jason Saay

Claude Mythos Preview预示网络安全结构性变革

Claude Mythos Preview虽不会彻底颠覆网络安全，但两项最新分析揭示了它如何压缩漏洞利用窗口期，并暴露了漏洞管理中的缺陷。首席信息安全官们应为此做好准备。过去一周，业界对Anthrop

AI攻击22秒突破防线，警报后响应成致命短板

Anthropic公司上周紧急限制了其Mythos Preview模型，因为该模型能够自主发现并利用所有主流操作系统和浏览器中的0Day漏洞。Palo Alto Networks的Wendi Whit

Marimo Python笔记本曝关键漏洞 公开10小时内即遭利用

攻击者通过单次未认证连接即可获取完整系统控制权，蜜罐服务器上三分钟内即发生凭证窃取。Sysdig 威胁研究团队披露，AI 云服务商 CoreWeave 旗下的开源 Python 笔记本平台 Marim

AI生成的密码不堪一击，企业代码库或已埋下定时炸弹

Part01警惕AI生成的伪随机密码停止让AI为你选择密码。这些看似复杂的密码实则遵循可预测的模式，而非真正的随机生成，使得黑客能够轻易破解。AI安全公司Irregular与卡巴斯基的两项独立研究得出

黑客滥用GitHub和GitLab托管恶意软件并实施凭证钓鱼攻击

网络犯罪分子正将全球最受信任的两大开发者平台——GitHub 和 GitLab——转变为传播恶意软件和窃取用户登录凭证的工具。由于企业日常运营高度依赖这些平台，多数安全工具不会拦截其域名，使得攻击者能

通过身份可见性与智能平台（IVIP）缩小IAM攻击面

Part01现代企业身份管理的碎片化现状企业身份与访问管理（IAM）正面临临界点。随着组织规模扩大，身份信息在数千个应用程序、分散团队、机器身份和自治系统中日益碎片化，形成"身份暗物质"——即存在于集

网络安全投入激增却难掩防御短板

在我担任安全职务之前，曾是一名软件工程师，负责为工业制造、仓库级输送网络、机器人物料搬运等场景实施垂直集成的自动化系统。早期经验让我深刻认识到：高度耦合的系统必然导致连锁式故障。当单个软件故障就能瘫痪

黑客利用Claude和ChatGPT入侵多个政府机构

一名威胁攻击者成功入侵了九家墨西哥政府机构，通过高度复杂的网络攻击窃取了数亿条公民记录。这场攻击活动从2025年12月下旬持续至2026年2月中旬，凸显出现代威胁态势的危险转变。Gambit Secu

新型BPFDoor变种采用无状态C2与ICMP中继技术规避检测

一种名为BPFDoor的危险Linux后门程序已升级归来，研究人员发现其新变种专门设计用于在关键网络基础设施中保持隐形。这些更新版本主要针对全球电信网络深处的Linux服务器。与早期版本不同，新变种配

每周PDF资源：生成式AI与下一代安全模式；AI代理安全风险远超预期；深解Go语言远控木马AGEWHEEZE

通过CLAUDE.md文件可操控Claude Code实施SQL注入攻击

LayerX研究人员发现，攻击者可以利用CLAUDE.md文件绕过Claude Code的安全规则。该漏洞使得任何人都能自动化实施SQL注入攻击并窃取用户凭证，而无需编写任何代码。Part01AI编程

AI路由漏洞可被利用注入恶意代码并窃取敏感数据

在 AI Agent 生态系统中，第三方 API 路由正成为一个关键且长期被忽视的攻击面。攻击者可将其武器化，悄无声息地劫持工具调用、清空加密货币钱包，并大规模窃取敏感凭证。随着 AI Agent 越

Windows Defender 0Day漏洞PoC曝光；Anthropic拒美军AI武器化遭封杀 | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！💻Windows Defender 0Day漏洞PoC曝光，攻击者

Claude 10分钟揪出Apache ActiveMQ潜伏13年的高危RCE漏洞

Apache ActiveMQ Classic 近日披露了一个存在十多年未被发现的严重远程代码执行（RCE）漏洞。值得注意的是，这个漏洞并非由人工代码审计发现，而是 Anthropic 公司的 Cla

ISC.AI 2026全球议题征集：定义智能体时代，你的声音就是未来

4月9日，ISC.AI 2026大会正式开启全球议题征集。本届大会聚焦AI从大模型向智能体演进过程中的技术突破、安全挑战与产业重塑。即日起至5月15日，面向全球人工智能领域的专家学者、技术从业者、企业

谷歌预警量子威胁提前，Cloudflare紧急调整加密战略

谷歌提前抗量子加密时间表的举措正在引发行业连锁反应，包括Cloudflare在内的科技巨头纷纷重新评估自身战略规划。美国国家标准与技术研究院（NIST）此前设定的传统加密算法淘汰路线图要求：2030年

攻击者利用Kubernetes配置错误从容器渗透至云账户

Part01Kubernetes成为攻击新目标Kubernetes已成为企业环境中管理容器化应用最广泛使用的平台之一。但随着其普及度提升，恶意行为者对其关注度也同步增长。威胁行为体正利用Kuberne

Claude Mythos预览版，具备强大0Day漏洞发现与利用能力

Anthropic公司近日推出Claude Mythos预览版，这款先进语言模型具备发现并自主利用未公开0Day漏洞的非凡能力。为确保这些强大工具被用于防御目的，该公司同步启动"Glasswing项目

微软开源Agent治理工具包，直击OWASP十大AI Agent风险

微软近日悄然推出Agent Governance Toolkit开源项目，旨在企业将AI Agent投入生产工作流时，对其执行过程进行监控与管理。该项目直接对标OWASP（开放全球应用安全项目）最新发

Docker漏洞可绕过授权机制并获取宿主机访问权限

Docker Engine 曝出一个高危安全漏洞，攻击者可在特定条件下绕过授权插件（AuthZ）的防护机制。该漏洞编号为 CVE-2026-34040（CVSS 评分：8.8），源于 2024 年 7

Storm-1175黑客组织在漏洞披露24小时内部署Medusa勒索软件

一个臭名昭著的黑客组织正在全球范围内通过部署破坏性极强的Medusa勒索软件制造大规模混乱。被微软威胁情报部门追踪为Storm-1175的这些黑客，已将安全漏洞发现与补丁安装之间的时间差变成了一场高速

Anthropic拒美军AI武器化遭封杀，引爆企业自治与政府监管大战

Part01核心矛盾：AI系统控制权归属Anthropic PBC与美国国防部不断升级的争端，揭示了人工智能市场的根本性矛盾：究竟谁该掌控强大AI系统的使用权。这场始于合同与政策分歧的冲突，已演变为涉

AI Agent时代，阿里云的安全养虾秘籍

2026年3月，AI圈最火的话题不是某个大模型的版本更新，而是一只“龙虾”——OpenClaw。这个开源AI Agent框架发布仅四个多月，便创造了GitHub历史上的增长奇迹。国内的热度更加强烈：“

1.2万Flowise实例遭高危RCE漏洞攻击，AI平台面临沦陷风险

VulnCheck最新研究显示，威胁攻击者正在利用开源AI平台Flowise中一个最高危安全漏洞（CVE-2025-59528，CVSS评分：10.0）。该代码注入漏洞可导致远程代码执行（RCE）。P

新型GPUBreach攻击通过GDDR6位翻转实现CPU权限完全提权

最新学术研究发现了针对高性能图形处理器（GPU）的多重RowHammer攻击手段，攻击者可利用这些漏洞提升权限，在某些情况下甚至能完全控制主机系统。这些攻击技术被命名为GPUBreach、GDDRHa

Windows Defender 0Day漏洞PoC曝光，攻击者可获取系统最高权限

网络安全研究员Chaotic Eclipse（@ChaoticEclipse0）在GitHub上公开了一个名为BlueHammer的Windows本地提权（LPE）0Day漏洞利用程序，并附带了完整的

攻击者劫持AI工具链，LiteLLM沦为密钥提款机

在企业基础设施中，开发者工作站是最活跃的组成部分。这些笔记本电脑不仅是创建、测试、缓存、复制凭证的场所，更是跨服务、机器人、构建工具乃至本地AI Agent重复使用凭证的核心节点。2026年3月，威胁

黑客借美以伊冲突的导弹恐慌伪造警报，窃取微软账户凭证

现代战争形态已发生改变，智能手机也成为了战场的一部分。黑客总是试图从政治或地区冲突中牟利，如今他们正将诈骗手段与美以伊最新局势相关联。研究表明，当人们因新闻事件感到焦虑时，更容易在现实生活中犯错。电子

开源AI渗透测试助手METATRON为Linux带来本地大语言模型分析

一款名为METATRON的新型开源渗透测试框架因其完全离线的AI驱动漏洞评估方法，正引起安全研究社区的广泛关注。该工具专为Parrot OS及其他基于Debian的Linux发行版设计，将自动化侦察工