新型Linux内核漏洞可直接通过Chrome渲染器沙箱发起攻击

2025年8月9日，Linux内核中发现编号为CVE-2025-38236的高危漏洞，攻击者可利用该漏洞从Linux系统的Chrome渲染器沙箱内实现权限提升。Google Project Zero研

一周网安优质PDF资源推荐 | FreeBuf知识大陆

攻击者利用拼写错误的PyPI软件包窃取Bittensor钱包加密货币

网络安全研究人员发现，针对Bittensor生态系统的复杂加密货币窃取活动正通过Python包索引(PyPI)分发恶意软件包实施攻击。攻击者采用"typosquatting"（域名抢注）技术，诱骗开发

28,000台微软Exchange服务器暴露于CVE-2025-53786漏洞威胁中

根据Shadowserver基金会于2025年8月7日发布的最新扫描数据，超过28,000台未打补丁的微软Exchange服务器暴露在公共互联网上，仍然容易受到编号为CVE-2025-53786的关键

一个人的甲方安全团队？你需要建立“安全看板”平台

甲方安全这活儿，这几年是真不好干。业务天天催着上线，漏洞躺在那儿没人修，安全意识培训发了就跟石沉大海一样，没人点、没人看。最后真出事儿了，锅还得你来背。明明提前预警了、通知也发了、建议写了好几页，结果

FreeBuf周报 | 百款戴尔笔记本曝安全漏洞；思科遭遇黑客攻击窃取注册用户资料

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！💻逾百款戴尔笔记本电脑曝安全漏洞，影响数百万设备🌎思科遭遇黑客攻击

Flipper Zero暗网固件可破解主流汽车品牌滚动码安全系统

Part01新型固件威胁汽车安全据报道，针对热门多功能设备Flipper Zero开发的新型定制固件能够绕过大多数现代汽车采用的滚动码安全系统，可能导致数百万辆汽车面临被盗风险。YouTube频道"T

蚂蚁 AntCWPP 蓝皮书发布，致力于解决云原生与 AI 场景下的运行时安全

随着云原生技术和人工智能应用的快速发展，传统安全防护体系面临前所未有的挑战。近日，蚂蚁集团基础安全团队和超级计算团队正式发布《蚂蚁容器安全（AntCWPP）能力建设 - 基于Kata 和 eBPF》蓝

恶意Go与npm软件包分发跨平台恶意软件，可触发远程数据擦除

网络安全研究人员近期发现11个恶意Go软件包，这些软件包会从远程服务器下载额外载荷，并在Windows和Linux系统上执行。Part01恶意Go软件包运作机制Socket安全研究员Olivia Br

HTTP/1.1致命漏洞致数百万网站面临恶意接管风险

HTTP/1.1协议存在一个关键漏洞，可能通过复杂的去同步化（desynchronization）攻击导致数千万网站面临恶意接管风险。这个存在数十年的基础协议缺陷会造成请求边界极度模糊，攻击者可借此操

微软推出"愤怒计划"：利用AI工具实现恶意软件自主分类

微软周二宣布推出一款能够自主分析并分类软件的人工智能（AI）代理系统，旨在提升恶意软件检测能力。这款基于大语言模型（LLM）的自主恶意软件分类系统目前仍处于原型阶段，被微软内部代号命名为"愤怒计划"（

ISC.AI 2025：All IN AGENT，开启智能体驱动新时代

2025年8月6日，全球性、高规格、广覆盖的AI+安全双域峰会 —— 第十三届互联网安全大会（以下简称ISC.AI 2025）于北京国家会议中心隆重举行。本次峰会由中国互联网协会、中国人工智能学会、中

散裂蜘蛛威胁组织分析报告：新战术、技术与攻击指标

散裂蜘蛛（Scattered Spider）是当前最复杂且顽固的网络犯罪组织之一，其攻击手段已从基础钓鱼攻击升级为针对关键基础设施的多阶段勒索软件攻击。该组织转向虚拟机管理程序（hypervisor）

10万条ChatGPT对话遭泄露：OpenAI新功能为何适得其反

Part01数据泄露事件始末ChatGPT近期因测试一项允许搜索引擎索引用户对话的功能而陷入舆论漩涡，导致超过10万条聊天记录在互联网上公开可查。尽管OpenAI已与谷歌合作移除这些链接的索引，但仍有

JSSS-Find V5.0：一键提取 JS 接口与敏感信息，渗透测试快人一步

近几年做渗透测试或者漏洞挖掘的朋友，可能都有一种感觉——网站看起来没什么，但接口、功能藏得特别深，挖一天就像在喝空气一样啥都没有。这背后藏着不少门道：前端用 Vue/React，把接口藏进 JS；登录

20W+漏洞赏金实录：499元课程如何批量制造“万元户”

这个暑假有人躺平，有人偷偷开挂！7月份的「学习拿实习证明暑期特别活动」刚落下帷幕，又一波大学生斩获挖洞技能+企业实习证明，直接给秋招简历镶金边🔥现在，这门宝藏课程要开课啦！Part.16个月赏金池破2

模型上下文协议(MCP)十大安全漏洞解析

开源标准Model Context Protocol（模型上下文协议，MCP）使AI系统无需集成即可与各类数据源、工具和服务交互，为Agentic AI（代理型人工智能）奠定基础。但企业在采用MCP服

虚假加密机器人骗局：智能合约与AI视频如何在YouTube窃取数百万美元

SentinelLABS近日披露了一波协同作案的加密货币骗局，攻击者将恶意智能合约包装成套利交易机器人进行推广——整个骗局通过陈年YouTube账号和AI生成的教程视频精心策划实施。Part01骗局运

利用NVIDIA Triton服务器漏洞链可实现AI系统远程接管

Part01漏洞概述RCE漏洞威胁AI基础设施安全研究人员新发现的NVIDIA Triton Inference Server（Windows/Linux版）安全漏洞，可使未经身份验证的远程攻击者完全

直播倒计时！LABUBU同款防护技术，筑牢企业安全防线！

最近，腾讯云WAF联合泡泡玛特对抗黄牛党，打造了一套「小程序全链路安全防护方案」，成功拦截黄牛党的规模化攻击，让黑灰产订单占比快速锐减到0.2%（持续下降中）。不只是反黄牛，腾讯云还可以为企业提供全方

利用参数污染结合JS注入绕过WAF防护执行XSS攻击

研究人员发现了一种通过HTTP参数污染技术结合JavaScript注入来绕过Web应用防火墙(WAF)的高级方法。这项由Bruno Mendes开展的研究测试了包括AWS、Google Cloud、A

联发科芯片组曝高危漏洞：越界写入缺陷危及智能手机与物联网设备安全

Part01漏洞概括全球领先的芯片组制造商联发科（MediaTek）近日发布最新产品安全公告，披露了影响其智能手机、物联网设备及其他嵌入式系统芯片的多项安全漏洞。Part02高危漏洞分析CVE-202

安全工具内斗：攻击者如何利用EDR测试版绕过终端防护

Part01EDR测试版可被用于禁用其他安全产品网络安全研究人员发现了一种新型攻击手法——攻击者可以滥用终端检测与响应（EDR）软件的免费测试版本来禁用现有安全工具。研究人员Ezra Woods和Mi

Python隐藏漏洞通过超14.5万个软件包传播

新泽西理工学院的一项研究揭露了Python软件包生态系统中潜藏的大规模安全隐患。这项名为"PyPitfall"的研究报告揭示，复杂且深度嵌套的软件包依赖关系正在数千个项目中无声传播已知安全漏洞。"一个

新型攻击利用Windows快捷方式文件传播REMCOS后门

网络安全公司Point Wild的Lat61威胁情报团队发现了一种新型多阶段恶意软件攻击活动。攻击者通过精心设计的Windows快捷方式（LNK）文件传播危险的远程访问木马（RAT）REMCOS。LN

提示注入导致代码执行：Cursor代码编辑器曝出关键MCP漏洞

人工智能驱动的代码编辑器Cursor近日修复了两个高危漏洞，攻击者可利用这些漏洞在无需用户交互的情况下实现远程代码执行（RCE）。这两个漏洞编号为CVE-2025-54135和CVE-2025-541

斗象成功主办WAIC 2025世界人工智能大会AI产业技术安全论坛

TOPHANT7月27日，由斗象科技主办的WAIC 2025 AI产业技术安全论坛在上海世博展览馆隆重举行。作为2025世界人工智能大会上的重磅论坛之一，本次论坛聚焦AI产业技术安全，以“模型之上，安

攻击者利用恶意RMM工具实现静默初始入侵

Part01攻击活动概况网络安全研究人员发现，攻击者正利用合法的远程监控与管理（RMM，Remote Monitoring and Management）工具实施复杂网络攻击，这对欧洲组织（尤其是法国

Unit 42发布威胁行为体分类框架：基于活动特征实现精准归因

Palo Alto Networks旗下Unit 42威胁研究团队推出了一项突破性的威胁行为体归因系统框架，解决了网络安全情报分析领域长期存在的难题。这套于2025年7月31日发布的Unit 42归因

利用多层跳转技术窃取Microsoft 365登录凭证的新型钓鱼攻击曝光

网络安全研究人员近日披露了一种新型钓鱼攻击活动的细节，攻击者通过滥用Proofpoint和Intermedia的链接封装服务来隐藏恶意负载，从而绕过防御系统。Part01链接封装服务的滥用机制Clou