学了就能赚 | FreeBuf培训平台助力学员打通从培训到实战的“能力变现”

2025年经济寒冬下，数据调研显示，68%的IT从业者遭遇降薪或裁员，45%急需副业增收；32%计算机应届生面临“求职难”。白帽挖掘虽为“技术变现”优质路径，却因“缺项目、缺支持、缺发展”止步——而F

ChatGPT全球服务中断：用户对话历史消失，开发者工作流受影响

周三清晨，ChatGPT发生重大服务中断，导致全球数百万用户的工作流程受到严重影响。该事件始于早上6:30左右，使得这款热门AI聊天机器人无法访问，并引发了令人担忧的数据可见性问题——用户的对话历史似

恶意npm包利用隐藏提示和脚本规避AI安全工具检测

网络安全研究人员近日披露了一个试图影响AI驱动安全扫描器的npm软件包细节。该软件包名为eslint-plugin-unicorn-ts-2，伪装成流行ESLint插件的TypeScript扩展版本，

400+极客菁英共聚羊城，见证国内首个AI智能渗透挑战赛

11月29日，腾讯云黑客松智能渗透挑战赛决赛落下帷幕，来自全国各地的400多名顶尖白帽子、战队代表与行业专家齐聚羊城，共同见证了一场以“AI智能体”为主角的高水平攻防竞技。在这场国内最大规模的大模型安

启动过程遭入侵：高通骁龙8 Gen3及5G调制解调器曝出高危漏洞（CVE-2025-47372）

高通公司发布了2025年12月重大安全更新，修复了其芯片组生态系统中11个不同漏洞。本次补丁包的重点是一个设备启动过程中的高危漏洞，该漏洞可能允许攻击者执行任意代码，同时还修复了影响音频、摄像头和汽车

安卓紧急预警：框架组件存在严重拒绝服务漏洞及两个遭利用的0Day漏洞

谷歌发布2025年12月Android安全公告，披露了影响全球最流行移动操作系统的一系列漏洞。本次更新的重点警告包括野外活跃攻击事件，以及Android框架组件中一个可能允许远程攻击者瘫痪设备的关键漏

430万Chrome与Edge用户遭ShadyPanda恶意软件七年攻击

Part01恶意软件运作机制高级威胁组织"ShadyPanda"通过长达七年的攻击活动，已成功感染430万Chrome和Edge浏览器用户。该组织利用用户对浏览器应用商店的信任，将"精选"和"已验证"

200多个CVE漏洞遭利用，谷歌云OAST服务成复杂攻击活动跳板

安全研究人员发现一项复杂的漏洞利用活动，该活动利用托管于谷歌云基础设施上的私有带外应用安全测试（OAST, Out-of-band Application Security Testing）服务发起攻

CISA警告OpenPLC ScadaBR跨站脚本漏洞（CVE-2021-26829）正遭攻击者利用

Part01漏洞概括美国网络安全和基础设施安全局（CISA）已正式将OpenPLC ScadaBR的一个关键漏洞纳入其已知被利用漏洞（KEV）目录，确认威胁攻击者正在实际攻击中利用该漏洞。该安全缺陷编

高危警报：Apache Kvrocks 'RESET' 命令漏洞可获取管理员权限

2025年11月29日，Apache软件基金会针对兼容Redis协议的分布式键值NoSQL数据库Apache Kvrocks发布重要安全公告。该产品作为存储海量数据的高性能磁盘型Redis替代方案，其

微软Outlook高危零点击远程代码执行漏洞PoC利用代码公开

针对微软Outlook高危远程代码执行（RCE）漏洞（CVE-2024-21413）的概念验证（PoC）利用代码已被公开。该漏洞被命名为"MonikerLink"，攻击者可借此绕过Outlook的安全

漏洞盒子十年：在线安全服务平台的演进与未来范式

20年老协议仍威胁全球网络安全：黑客利用NTLM认证漏洞攻击Windows系统

自首次发现二十多年后，NTLM（新技术局域网管理器）认证协议仍在全球范围内威胁着Windows系统的安全。2001年还只是理论上的漏洞，如今已演变成广泛的安全危机，攻击者正积极利用多个NTLM漏洞危害

每周PDF资源：AMSI·一键续命；金融大模型应用安全研究报告；Windows内核的安全防护；应急响应实战笔记；网络安全基础知识

FreeBuf培训“平台赔付保障”漏洞挖掘实战班 | 年终王炸

叮！你的“年终安全能力升级”计划已送达！这次，FreeBuf培训动真格了！我们正式推出——「平台赔付保障课」，直接拿出三大硬核保障，为你托底到底，彻底打消你的后顾之忧，安心学习！STEP-01什么是王

新型恶意软件即服务Olymp Loader在攻击者论坛宣传反分析与检测规避功能

2025年6月，一款名为"Olymp Loader"的新型恶意软件即服务（MaaS）威胁出现在XSS和HackForums等地下黑客论坛上，其反分析和检测规避功能被大肆宣传。Part01恶意软件特性与

FreeBuf周报 | 新型黑产AI工具KawaiiGPT降低黑客门槛；黑客出售微软Office 0Day RCE漏洞

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🐖新型黑产AI工具KawaiiGPT降低黑客门槛🌦️黑客出售微软O

OpenAI承认数据泄露事件：合作伙伴遭钓鱼攻击

OpenAI与数据分析平台Mixpanel近日发布联合声明称，由于黑客入侵Mixpanel系统，OpenAI客户数据遭到泄露。此次事件导致OpenAI API门户的用户档案信息被窃取，但ChatGPT

聊聊LNK文件在授权安全测试中的一点应用

有时候，最有效的安全测试，就是从最寻常的地方入手。比如，一个大家每天都会双击的.LNK快捷方式文件，都有可能存在安全风险。据互联网文章研究人员发现，“攻击者不断利用 Windows 快捷方式 (.LN

攻击者利用物联网漏洞部署新型ShadowV2恶意软件

2025年10月下旬，伴随全球AWS服务中断事件，一场代号为ShadowV2的新型恶意软件攻击活动浮出水面。该高级威胁通过利用物联网设备漏洞构建僵尸网络，专门实施分布式拒绝服务（DDoS）攻击。其快速

遗留Python包中的漏洞代码可通过域名劫持攻击Python包索引

现代开发环境中，遗留代码中潜藏的漏洞往往带来难以察觉的安全风险。近期，Python生态中就暴露出一个典型案例：与构建工具 zc.buildout 配套使用的过时引导脚本，可能使用户面临域名劫持攻击。P

羊城相会，“产学研”三方大咖共话安全——腾讯安全沙龙（广州站）即将起航

当大模型从技术引擎演进为产业核心基础设施，大模型安全也在被重塑。安全不再是可选的“附加题”，而是决定了AI能否在实战场景中稳健落地、持续创造价值的“必答题”。在供应链风险暗藏、Agent智能体可信性存

攻击者在暗网兜售iOS 26全链0Day漏洞利用工具

一名自称"ResearcherX"的攻击者在知名暗网市场发布据称可针对苹果最新iOS 26操作系统的全链0Day漏洞利用工具。该卖家声称该漏洞利用工具利用了iOS消息解析器中的关键内存损坏漏洞。若该漏

Cobalt Strike 4.12发布：新增进程注入技术、UAC绕过与可定制C2选项

最新渗透测试框架Cobalt Strike迎来重大升级，新版引入增强型图形界面功能、REST API支持以及安全研究人员可用于攻击行动的新型规避技术。Part01全面升级的图形界面与核心功能Cobal

Next.js框架DoS漏洞仅需一次请求即可导致服务器崩溃

最新Next.js框架中新发现的一个高危漏洞，允许攻击者仅通过一次HTTP请求即可使自托管服务器崩溃，且执行攻击所需的资源几乎可以忽略不计。Part01漏洞技术分析该拒绝服务（DoS）漏洞由Harmo

JSONFormatter等在线代码编辑工具长期泄露数据，暴露数千组密码及API密钥

最新研究表明，包括政府部门、电信运营商和关键基础设施机构在内的多个敏感行业组织，会将密码与凭证信息粘贴至JSONFormatter、CodeBeautify等在线代码校验工具中。网络安全公司watch

2个真实场景验证：用对工具，渗透测试效率翻倍其实很简单

现在的系统越来越复杂，前端各种框架，后端一堆API，还有微服务架构。要是还靠纯手工测试，不仅累，还特别容易漏掉重要漏洞。本文分享两个实际测试中的场景，看看怎么用工具把那些重复性工作自动化，让我们能更专

攻击者利用新型黑产AI工具KawaiiGPT发起网络攻击

KawaiiGPT是一款免费恶意大语言模型（LLM），最早于2025年7月被发现，目前版本已升级至2.5。该工具为攻击者提供了生成钓鱼邮件、勒索软件说明文档和攻击脚本的能力，大幅降低了网络犯罪的技术门

零检出RelayNFC安卓恶意软件将手机变为远程读卡器

Cyble研究与情报实验室（CRIL）发现一场快速演变的NFC中继恶意软件活动。这种新发现的恶意软件家族被命名为RelayNFC，能够将受害者的安卓设备转变为远程读卡器，使攻击者无需物理接触银行卡即可

APT35攻击者组织内部文件泄露，暴露其攻击目标与方法

2025年10月，一次重大数据泄露事件曝光了APT35（又称"迷人小猫"）攻击者组织的内部运作细节。该网络攻击单位隶属于伊朗情报组织。数千份泄露文件显示，该组织对中东和亚洲地区的政府与企业实施系统性攻