流行Node.js库曝严重漏洞，可致Windows系统遭受RCE攻击

数千名开发者使用的流行Node.js库systeminformation近日曝出严重安全漏洞（CVE-2025-68154），攻击者可利用该漏洞在Windows系统上执行恶意代码。所有5.27.13及

2025年Chrome浏览器0Day漏洞全面分析：八大高危漏洞遭利用

2025年全年，谷歌紧急修复了影响Chrome浏览器的八个遭主动利用的0Day高危漏洞，这些漏洞平均CVSS评分达8.5分，已被列入美国网络安全和基础设施安全局（CISA）已知被利用漏洞目录，全球数十

从安全高管到创业先锋；中层安全主管离职潮 | 2025网安行业优质播客精选集⑫

01 从安全高管到创业先锋四位CISO的转型之路本期节目：本期播客围绕四位首席信息安全官（CISO）如何转型为创业公司创始人展开，探讨了他们创业的动因、面临的挑战、经验教训以及角色转变的心路历程。每位

暗网Omertà Market上线仅两周，即因真实服务器IP泄露被迫关停

Part01平台崛起与迅速陨落暗网生态始终在新平台涌现与突然关闭之间动态变化，这种波动往往源于其承诺的匿名性本身。2025年11月21日，名为Omertà Market的新平台登场，自诩为稳定与安全的

大语言模型正加速勒索软件运营：功能工具与RaaS的融合

大语言模型（LLMs）与勒索软件运营的整合标志着网络犯罪格局的关键转变，这种技术更多是作为强大的运营加速器而非根本性变革。该技术显著降低了犯罪门槛，使低技术水平的攻击者也能构建功能性工具和复杂的勒索软

安全工具开发圈子：这里有可参考的源码、可测试的靶场和免费的FOFA搜索

最近我们把圈子里的资源整理到了 250 多个，并且还在每周更新。这里所有的真实源码、系统教程、实战靶场，都开放给进来的每一位师傅直接使用。更重要的是，这里提供了一个环境，让即使不懂开发的朋友，也能试着

攻击者利用React2Shell漏洞部署Linux后门程序，日本成重点攻击目标

根据Palo Alto Networks Unit 42和NTT Security的研究发现，威胁行为者正在利用名为React2Shell的安全漏洞传播KSwapDoor和ZnDoor等恶意软件家族。

谷歌宣布关闭暗网报告服务，坦言无法提供实质性补救措施

对于担忧个人数据是否在互联网上"裸奔"的用户而言，谷歌暗网报告（Dark Web Report）长期扮演着便捷监控工具的角色。这项最初仅面向付费Google One订阅用户的专属功能，去年已慷慨开放给

FortiGate设备SSO高危漏洞遭野外利用，攻击者可获取管理员权限

Part01漏洞概括攻击者正在利用Fortinet FortiGate设备及其相关产品中的关键身份验证绕过漏洞（CVE-2025-59718和CVE-2025-59719）发起入侵。通过构造恶意SAM

解锁AI训练过程|火山引擎×斗象科技：安全垂类大模型·闭门预览会

周四见 | 请查收来自「AI安全论坛」的邀请

AI安全论坛-议题看点抢先知1218点击图片扫码报名&预约直播直播通道点击原文链接

数据灾难：Claude AI执行rm -rf ~/命令清空开发者Mac主目录

越来越多的开发者开始使用AI辅助工具来简化工作流程。但随着采用率的提高，由这些工具引发的灾难性故障报告也在增加。在早前的一起事件中，某开发者使用Google Antigravity清理缓存，结果整个D

谷歌官方推荐的扩展程序暗中窃取数百万用户AI聊天记录

一款获得 Google Chrome "精选"徽章、拥有六百万用户的扩展程序被发现正在静默收集用户向各类 AI 聊天机器人输入的所有提示词，包括 OpenAI ChatGPT、Anthropic Cl

NVIDIA Merlin框架存在反序列化漏洞，可致AI管道遭RCE攻击

NVIDIA已针对其Merlin框架发布重要安全更新，修复了可能允许攻击者在AI推荐系统管道中执行恶意代码或篡改敏感数据的高危漏洞。此次补丁主要修复运行在Linux系统上的两个关键组件——NVTabu

FreeBuf甲方群帮会礼遇季：整合焕新，尽享三重福利

FreeBuf甲方群帮会礼遇季FreeBuf亲爱的FreeBuf用户，您好！为打造更聚焦、高效、资源丰富的帮会交流平台，现将FreeBuf甲方群、FVIP CISO及FreeBuf甲方数据安全交流圈三

研究人员发现未加密的16TB数据库泄露43亿条专业记录

Part0116TB开放数据库暴露43亿条专业记录一个未加密的16TB MongoDB数据库暴露了约43亿条专业记录（主要为LinkedIn风格数据），可能引发大规模AI驱动的社会工程攻击。研究员Bo

SHADOW-VOID-042组织冒充趋势科技发起钓鱼攻击，意图渗透关键基础设施

一个复杂威胁组织利用网络安全巨头的声誉发起定向鱼叉式钓鱼攻击，通过冒充趋势科技（Trend Micro）入侵国防、能源和化工领域的关键机构。趋势科技最新报告显示，2025年11月，被追踪为SHADOW

网络操纵黑产调查：灰产SIM卡如何豢养虚拟水军操控舆论

Part01灰产SIM卡催生虚拟水军产业链剑桥大学最新研究揭示，一个庞大的国际SIM卡灰产市场正在大规模助长网络操纵与欺诈行为。研究团队发现，SMSActivate、5Sim、SMShub和SMSPV

AI剧透 | 火山引擎×斗象科技：安全垂类大模型·闭门预览会

12.20 上海@火山引擎 × @斗象科技：AI 安全垂类大模型·技术成果闭门预览会🔥 源自斗象安全社区的真实攻防语料🔥 基于火山引擎基础大模型的深度对齐🔥 融合大规模算力与实战运营反馈的持续迭代共同

新型01flip勒索软件袭击亚太关键基础设施

网络安全领域出现了一个手法老练的新型勒索软件组织，该组织使用专门构建的跨平台攻击武器，将亚太地区关键基础设施作为攻击目标。这款完全采用Rust编程语言编写的"01flip"勒索软件家族，能够以同等破坏

每周PDF资源：IOT安全手册；社交媒体安全实务指南；渗透测试面试题合集；网络数据安全风险评估办法；API安全测试指南

苹果0Day漏洞遭利用，针对特定iPhone用户发起复杂攻击

苹果公司修复了两个WebKit 0Day漏洞，这些漏洞已被用于针对运行iOS 26之前版本的特定iPhone用户发起复杂攻击。2025年12月12日发布的iOS 26.2和iPadOS 26.2更新修

React再曝新高危漏洞，可致拒绝服务攻击与源代码泄露

在修复关键远程代码执行（RCE）漏洞不到一周后，React 团队又披露了影响 React Server Components（RSC）的三个新增安全缺陷。安全研究人员在尝试绕过此前"React2She

FreeBuf周报 | 大学生出售Webshell入侵5200余政府教育网站；Notepad++漏洞可被利用劫持更新植入恶意软件

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🧑‍🏫大学生为赚学费出售"白码"无检测Webshell，已入侵52

军用级ValleyRAT失控：内核Rootkit构建工具泄露引发全球攻击激增

一款曾用于定向间谍活动的高级网络武器现已失控——其构建工具公开泄露后，该恶意软件正在全球威胁环境中迅速扩散。Check Point Research（CPR）最新报告显示，被称为Winos的模块化后门

赠书福利 | 《白话AI安全：32个故事带你读懂AI的攻防博弈》免费送

关注我们丨文末赠书如今，AI已为人类的生活带来巨大的改变，我们在享受着AI带来便利的同时，却很少想过：如果它失控怎么办？诺贝尔物理学奖、图灵奖得主，“AI教父”杰弗里·辛顿（Geoffrey Hint

紧急补丁：Notepad++ WinGUp漏洞可被利用劫持更新植入恶意软件

安全研究人员近日在开源文本及代码编辑器Notepad++中发现漏洞，攻击者可借此在特定地区劫持网络流量、污染更新过程，从而在受影响设备上安装恶意软件。该漏洞已在Notepad++ v8.8.9版本中完

新型ClickFix攻击：macOS信息窃取木马利用ChatGPT官网传播

网络安全研究人员发现一种针对macOS用户的新型攻击活动，攻击者通过ChatGPT官方网站传播恶意软件。该攻击采用名为ClickFix的技术，在合法域名chatgpt.com上发布虚假安装指南来传播A

FreeBuf培训站，带这两个标签的课，可以放心选！

上新啦细心的师傅们可能已经发现，近期FreeBuf培训站的课程页面，出现了一些新变化。我们为课程新增了「平台赔付保障」与「信誉讲师」两大核心标签。这不是简单的页面美化，而是一套我们深思熟虑后推出的 “

公共组件的安全管理经验分享；网络安全法等法规的合规落地探讨 | FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第260期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供