Claude Code代码泄露引发武器化攻击潮

Anthropic 出现大规模源代码泄露事件后，网络安全界已处于高度警戒状态。2026 年 3 月 31 日，该公司意外泄露了其旗舰级终端编程助手 Claude Code 的完整源代码。此次泄露源于一

FortiClient EMS 重大零日漏洞已被在野利用

Fortinet在安全研究人员披露其 FortiClient EMS 存在重大零日漏洞后紧急发布了热修复程序，该漏洞目前已遭到威胁行为者的主动利用。 该漏洞编号为 CVE-2026-35616，C

微软披露攻击者正通过利用HTTP cookie来触发执行、传递指令并激活恶意功能

微软Defender安全研究团队发现，攻击者正越来越多地利用HTTP cookie作为Linux服务器上PHP WebShell的控制通道，以实现远程代码执行。微软表示："这些WebShell不再通过

Axios证实遭入侵源自“社会工程学”欺骗

Part01恶意包植入远程访问木马2026年3月31日，两个恶意版本的流行JavaScript HTTP库Axios被短暂发布到npm仓库。这两个版本均包含隐藏依赖项，可在macOS、Windows和

14000余台F5 BIG-IP暴露，高危RCE漏洞正遭活跃利用

F5 BIG-IP访问策略管理器（APM）的关键安全漏洞正遭活跃利用，致使数以千计的企业网络面临风险。该漏洞被官方标记为（CVE-2025-53521），当其影响从标准拒绝服务（DoS）升级为严重远程

每周PDF资源：手机也能做攻防；AI代理安全；AI赋能的浏览器抓包与分析扩展；高级WebShell管理与后渗

RSAC 2026揭示12大网安行业趋势，AI重塑安全格局

2026年RSA大会已落下帷幕。在这场充满厂商夸大宣传、用户焦虑情绪与实质性安全对话的活动中，AI技术成为绝对焦点。通过与数十位CISO、安全专家及技术供应商的深入交流，我总结了以下关键观察。Part

Axios“核武级”供应链投毒事件始末；Anthropic员工失误致Claude Code源代码全泄露 | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！⛓️‍💥Axios“核武级”供应链投毒事件始末🧑‍🔧Anthrop

东南亚政府机构遭黑客组织USB蠕虫+RAT组合攻击，长期窃密

Part01攻击活动概述网络安全研究人员发现一起针对东南亚政府机构的高度协同网络间谍活动。攻击者通过组合使用USB传播的恶意软件、远程访问木马（RAT）和数据窃取工具，长期潜伏在目标政府敏感系统中。该

攻击者窃取星巴克10GB核心源码，威胁公开勒索

网络安全威胁组织ShadowByt3s宣称对星巴克发起新一轮网络攻击，声称窃取了10GB专有源代码和运营固件。据报道，这些数据是从一个名为"sbux-assets"的配置错误的亚马逊S3存储桶中获取的

攻击者宣称入侵Adobe，窃取1300万份支持工单及员工记录

据《国际网络文摘》报道，一名自称"Mr. Raccoon"的威胁攻击者宣称入侵了Adobe系统，窃取了大量敏感数据，包括：含个人信息的1300万份客户支持工单1.5万份员工档案所有HackerOne漏

新型macOS窃密木马可规避检测，首次移植Windows式ClickFix攻击

Part01首例针对macOS的ClickFix攻击活动Malwarebytes研究人员发现名为Infinity Stealer的新型macOS信息窃取木马，该木马使用Nuitka编译的Python载

攻击者20小时内武器化Langflow关键RCE漏洞，CISA紧急拉响警报

Langflow近期爆出关键远程代码执行（RCE）漏洞 CVE-2026-33017 ，漏洞披露后数小时内就遭到攻击者利用。因此，美国网络安全和基础设施安全局（CISA）紧急将其正式标记为需立刻修复的

Chrome 0Day漏洞遭野外利用，谷歌紧急更新修复21项高危漏洞

谷歌已为其Chrome浏览器发布紧急安全更新，修复了一个正在被野外利用的0Day漏洞。Windows和Mac平台的稳定版已更新至146.0.7680.177/178版本，Linux平台更新至146.0

Telegram零日漏洞可零点击接管设备，官方否认存在

Part01高危漏洞或致零点击远程代码执行官方坚称不存在趋势科技旗下Zero Day Initiative（ZDI）平台研究员Michael DePlante（@izobashi）披露了Telegra

AI Agent狂飙突进，数据安全断层成企业生死线

Part01AI Agent高速普及催生企业安全新鸿沟AI Agent正以机器速度涌入企业环境，但管控其访问行为所需的数据中心化安全措施尚未同步跟进，导致企业AI部署出现新的安全断层。Veeam软件公

Nginx-UI备份漏洞可篡改加密配置，攻击者能注入恶意代码完全控制系统

Part01漏洞概述Nginx-UI 备份恢复机制中被披露存在一个高危安全漏洞（CVE-2026-33026）。该漏洞允许威胁攻击者在恢复过程中篡改加密备份文件并注入恶意配置。随着公开的 PoC 利用

Axios“核武级”供应链投毒事件始末

2026年3月31日凌晨，JavaScript生态遭遇了一场堪称“核武级”的供应链攻击。axios，这个每周下载量超过1亿次、被超过17万个项目直接依赖的HTTP客户端库，被黑客通过劫持维护者账号，注

从渔翁信息看量子产业生态现状及发展趋势

渔翁信息深耕商用密码领域近三十年，是我国量子安全领先企业之一。2014 年起，渔翁信息作为国内老牌密码企业，先后参与京沪干线、武合干线等国家重点量子示范工程；在量子技术应用层面，与中国科学院、中国科学

AI代码爆炸时代，运行时测试成安全团队最后防线

图左为Joe Sullivan，图右为Joni Klippert随着AI技术推动软件产量激增，安全团队正承受着越来越大的压力，必须通过运行时测试来捕捉运行应用程序中的风险。StackHawk公司董事会

企业押注Agentic SOC，AI重塑安全运营新范式

图左为Daniel Bernard，图右为Mark Hughes随着AI将威胁响应时间压缩至秒级，安全运营中心（SOC）正经历根本性变革——一种融合自主机器速度调查处置与必要人工管控的Agentic

Claude AI发现Vim和Emacs中的0Day RCE漏洞

Anthropic 公司的 Claude AI 成功发现了 Vim 和 GNU Emacs 中存在的 0Day 远程代码执行（RCE）漏洞。这一发现标志着漏洞挖掘领域的重大范式转变，证明 AI 模型能

34万星系统破防！360漏洞挖掘智能体揪出OpenClaw新高危漏洞

近日，360数字安全集团依托自主研发的360多智能体协同漏洞挖掘系统（简称：360漏洞挖掘智能体），在GitHub斩获34万星的OpenClaw平台中成功发现一处高危漏洞——MEDIA协议Prompt

俄APT组织利用DarkSword漏洞工具包针对iPhone用户发起钓鱼攻击

Part01攻击活动技术分析与俄罗斯有关联的APT组织TA446（又名SEABORGIUM、ColdRiver、Callisto和Star Blizzard）正在针对iOS设备发起鱼叉式钓鱼攻击，使用

Jira Work Management存储型XSS漏洞可导致组织完全沦陷

Atlassian 生态系统中这款流行的协作工具被企业广泛用于项目跟踪、审批管理和日常任务处理。近期，Snapsec 安全研究人员在该平台发现了一个严重的存储型跨站脚本（XSS）漏洞。研究团队通过利用

AI Agent颠覆传统安全模型，受控即跳过杀伤链直接攻击

2025年9月，Anthropic披露某国家背景的威胁组织利用AI编程Agent对30个全球目标实施自主网络间谍活动。该AI独立完成80-90%的战术操作，包括侦察、编写漏洞利用代码以及以机器速度尝试

伊朗黑客组织入侵FBI局长邮箱，并对史赛克发动数据擦除攻击

与伊朗有关联的黑客组织成功入侵美国联邦调查局（FBI）局长Kash Patel的个人邮箱账户，并将大量照片和其他文件泄露至互联网。实施此次入侵的Handala Hack Team在其网站上宣称，Pat

2026数字中国创新大赛·数字安全赛道——网络和数据安全产业赛火热报名中

Langflow关键RCE漏洞曝光即遭利用，CISA紧急敦促企业修复

Langflow近期爆出关键远程代码执行（RCE）漏洞 CVE-2026-33017 ，漏洞披露后数小时内就遭到攻击者利用。因此，美国网络安全和基础设施安全局（CISA）紧急将其正式标记为需立刻修复的

AI正颠覆传统企业安全工作模式

Part01当AI将运营假设转化为压力会发生什么传统企业安全运营模型遵循固定周期：通过定期扫描发现问题，安全团队对结果进行分类，再通过工单流程进行修复。这种近乎标准操作流程的模式虽然存在责任机制，但往