Trustwave 揭露隐蔽的 NodeJS 后门攻击活动

Trustwave SpiderLabs 安全团队发现了一种新型网络威胁，攻击者利用虚假的 CAPTCHA 验证机制传播基于 NodeJS 的隐蔽后门程序。该攻击活动展示了威胁行为者如何通过社会工程学

RSAC 2025 网络安全创新解决方案全景观察

RSAC 2025 大会涌现出一批将重塑网络安全格局的创新技术。从人工智能驱动的防御系统到身份保护领域的重大突破，本届展会为我们呈现了未来网络安全的发展方向。以下是最具关注度的创新产品，它们或将定义行

浅谈网络安全领域售前从业人员技术能力图谱（上）

光阴荏苒，时光飞逝。现如今，云计算、物联网、移动互联网、人工智能、区块链、5G等新技术、新应用的发展日新月异，国内外网络安全形势日益严峻！有感于此，以至于最近一直在思考一个老生常谈，而又令无数人困惑的

一周网安优质PDF资源推荐 | FreeBuf知识大陆

未修复的Windows快捷方式漏洞可导致远程代码执行，PoC已公布

安全研究员Nafiez近日公开披露了一个此前未知的Windows LNK文件（快捷方式）漏洞，攻击者可能利用该漏洞在无需用户交互的情况下远程执行代码。尽管研究人员已发布可用的概念验证（PoC），微软仍

一行代码即可让iPhone“变砖”：iOS高危漏洞解析

iOS系统存在一个高危漏洞（CVE-2025-24091），恶意应用仅需执行一行代码即可永久禁用iPhone。该漏洞通过操作系统的Darwin通知机制触发无限重启循环，导致设备"变砖"，必须通过完整系

猎杀暗影：固件安全战争与Intel ME的隐秘帝国

2017年，一群黑客在俄罗斯实验室里发现了一个惊人的秘密——Intel处理器内部藏着一个完整的操作系统，它运行在比Windows、Linux更深的层级，甚至能在电脑关机时继续工作。这不是科幻小说，而是

AirBorne漏洞可导致苹果设备被完全劫持

苹果AirPlay协议及SDK中的漏洞使苹果及第三方设备面临攻击风险，包括远程代码执行。网络安全公司Oligo在苹果AirPlay协议及软件开发套件（SDK）中发现一系列严重漏洞（统称为AirBorn

网络入侵新态势：凭证窃取与边界漏洞利用激增，钓鱼攻击持续衰退

根据 Verizon 和谷歌旗下 Mandiant 的独立报告数据，网络犯罪分子的初始入侵手段正在发生显著转变。Mandiant 事件响应团队指出，攻击者更倾向于利用目标环境中现有工具，而非构建新恶意

以生态力量激发白帽价值 | 斗象受邀出席第二届武汉网络安全创新论坛

4月23日，以“融合·创新·突破”为主题的第二届武汉网络安全创新论坛盛大召开。作为中国网络安全众测模式的创导者，斗象科技受邀参会。斗象公共事务部负责人孟乐在网络安全技术人才(白帽子)座谈会上发表《众测

AI在安全运营中的实际应用；MCP技术与应用价值探讨 | FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第254期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

黑客组织宣称入侵TikTok，逾90万用户凭证遭泄露

自称R00TK1T的黑客组织宣称对TikTok大规模数据泄露事件负责，据称该事件导致超过90万用户的登录凭证外泄。该组织表示已公开92.7万条TikTok用户记录样本，并称这是"其系统漏洞的证明"。R

Meta开源LlamaFirewall大模型防火墙框架

Meta公司周二正式发布开源框架LlamaFirewall，该框架旨在保护人工智能（AI）系统免受即时注入（prompt injection）、越狱攻击（jailbreak）及不安全代码等新兴网络安全

FreeBuf热门电台精选集第三期

主流AI系统或存在越狱、代码及数据安全漏洞

最新研究发现，多款生成式人工智能（GenAI）服务存在两类可诱导其生成非法或危险内容的越狱攻击漏洞。其中代号为"Inception"的攻击技术，通过指令让AI工具虚构场景，进而在无安全限制的子场景中实

CrowdStrike推出新型工具防御恶意AI模型与数据窃取

网络安全公司CrowdStrike Holdings Inc.发布多项新功能，旨在帮助企业员工防范恶意人工智能（AI）模型及其他安全威胁。这些功能将陆续集成至该公司旗舰产品Falcon网络安全平台。0

微软Telnet服务器曝0点击NTLM认证绕过漏洞，PoC已发暂无补丁

网络安全研究人员发现微软Telnet服务器存在严重漏洞，远程攻击者无需有效凭证即可完全绕过认证机制，获取管理员权限。根据Hacker Fantastic发布的报告，该漏洞涉及微软Telnet认证协议(

深度剖析 CVE-2025-21756：Linux 内核漏洞触发 Root 提权全流程

安全研究员Michael Hoefler最新研究揭示了CVE-2025-21756漏洞的全貌，这是一个影响Linux内核vsock子系统的释放后重用（Use-After-Free，UAF）漏洞。该漏洞

Apache Tomcat安全更新：修复拒绝服务与重写规则绕过漏洞

Apache 软件基金会发布了重要安全更新，修复了广泛使用的开源 Java Servlet 容器 Apache Tomcat 多个版本中存在的两个漏洞。这两个漏洞编号为 CVE-2025-31650

2025年CISO勒索软件防御指南

勒索软件已发展成为全球组织面临的最严峻威胁之一，2025年将迎来一个复杂性和破坏性并存的新时代。攻击者不再是单打独斗的黑客，而是装备AI工具的精密犯罪集团和国家行为体，他们利用零日漏洞（zero-da

Linux安全盲区曝光：io_uring机制可绕过主流检测工具

ARMO研究团队近日披露Linux运行时安全工具存在重大缺陷，证实io_uring接口可使rootkit（内核级恶意软件）绕过常规监控方案。测试显示包括Falco、Tetragon乃至Microsof

暗藏 “基因缺陷”？阿里云大模型原生安全免疫机制

Gartner 2024 年发布生成式 AI 领域的两大核心风险：一是大模型滥用可能生成更具迷惑性的虚假信息，二是因事实偏差和推理错误产生的模型幻觉。被高频提及的幻觉，仿佛是大模型泛化能力的“基因缺陷

梆梆产品季强势回归 | 三大核心产品限时免费！让您的APP扛得住逆向破解与合规审查

理财类App需防止黑客通过逆向工程窃取用户交易数据，如何利用运行时保护技术确保核心业务逻辑的安全性？12医疗健康类App因未明确告知用户基因数据使用范围被用户大量投诉，从而导致被监管机构通报，如何快速

虚假安全补丁攻击WooCommerce管理员以劫持网站

一场大规模钓鱼攻击正针对WooCommerce用户，通过伪造安全警报诱使他们下载所谓的"关键补丁"，实则为植入WordPress后门的恶意程序。01恶意插件植入根据Patchstack研究人员发现，上

新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护

研究人员最新发现的两项越狱技术暴露了当前主流生成式AI服务的安全防护存在系统性漏洞，受影响平台包括OpenAI的ChatGPT、谷歌的Gemini、微软的Copilot、深度求索（DeepSeek）、

蚂蚁集团等16家互联网平台签署网络数据安全自律公约

近日，在第二届武汉网络安全创新论坛的个人信息保护分论坛上，在中国网络空间安全协会的组织下，蚂蚁集团、阿里巴巴、美团、腾讯、微博、京东、百度、滴滴出行、拼多多、科大讯飞等16家平台型企业共同签署了《网信

同步漏洞行动：朝鲜Lazarus APT组织针对韩国供应链发起攻击

与朝鲜有关的Lazarus组织在一项名为"同步漏洞行动"（Operation SyncHole）的网络间谍活动中，针对至少六家韩国企业发起攻击。卡巴斯基研究人员报告称，这个朝鲜背景的APT（高级持续性

一周网安优质PDF资源推荐 | FreeBuf知识大陆

FreeBuf周报 | ChatGPT成功生成CVE有效攻击程序；AI幻觉催生攻击

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🤖ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序

FreeBuf热门电台精选集第二期