暗藏 “基因缺陷”？阿里云大模型原生安全免疫机制

Gartner 2024 年发布生成式 AI 领域的两大核心风险：一是大模型滥用可能生成更具迷惑性的虚假信息，二是因事实偏差和推理错误产生的模型幻觉。被高频提及的幻觉，仿佛是大模型泛化能力的“基因缺陷

梆梆产品季强势回归 | 三大核心产品限时免费！让您的APP扛得住逆向破解与合规审查

理财类App需防止黑客通过逆向工程窃取用户交易数据，如何利用运行时保护技术确保核心业务逻辑的安全性？12医疗健康类App因未明确告知用户基因数据使用范围被用户大量投诉，从而导致被监管机构通报，如何快速

虚假安全补丁攻击WooCommerce管理员以劫持网站

一场大规模钓鱼攻击正针对WooCommerce用户，通过伪造安全警报诱使他们下载所谓的"关键补丁"，实则为植入WordPress后门的恶意程序。01恶意插件植入根据Patchstack研究人员发现，上

新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护

研究人员最新发现的两项越狱技术暴露了当前主流生成式AI服务的安全防护存在系统性漏洞，受影响平台包括OpenAI的ChatGPT、谷歌的Gemini、微软的Copilot、深度求索（DeepSeek）、

蚂蚁集团等16家互联网平台签署网络数据安全自律公约

近日，在第二届武汉网络安全创新论坛的个人信息保护分论坛上，在中国网络空间安全协会的组织下，蚂蚁集团、阿里巴巴、美团、腾讯、微博、京东、百度、滴滴出行、拼多多、科大讯飞等16家平台型企业共同签署了《网信

同步漏洞行动：朝鲜Lazarus APT组织针对韩国供应链发起攻击

与朝鲜有关的Lazarus组织在一项名为"同步漏洞行动"（Operation SyncHole）的网络间谍活动中，针对至少六家韩国企业发起攻击。卡巴斯基研究人员报告称，这个朝鲜背景的APT（高级持续性

一周网安优质PDF资源推荐 | FreeBuf知识大陆

FreeBuf周报 | ChatGPT成功生成CVE有效攻击程序；AI幻觉催生攻击

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🤖ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序

FreeBuf热门电台精选集第二期

Linux io_uring概念验证Rootkit可绕过基于系统调用的威胁检测工具

网络安全研究人员近日展示了一款名为"Curing"的概念验证（PoC）Rootkit，该工具利用Linux异步I/O机制io_uring绕过了传统的系统调用监控。01安全工具存在重大盲区ARMO公司表

2025年第一季度159个CVE漏洞遭利用

2025年第一季度共有159个CVE编号漏洞被确认在野利用，较2024年第四季度的151个有所上升。网络安全公司VulnCheck向《黑客新闻》提供的报告指出："我们发现漏洞利用速度持续加快，28.3

他只做对了一件事，1个月实现挖洞效率3倍跃升！

Tip01故事的开始，源于一个安静的下午某一个下午，一个浮躁且迷茫的小伙儿，他找到了我。他是有基础的，会一些思路但不会灵活运用，只会挖一些并发短信轰炸的他，一些低危的信息泄露， 60个洞40多个都是忽

解读2024年网络攻击趋势

网络安全公司Mandiant发布了《M-Trends 2025》报告，基于其2024年参与的事件响应工作，梳理了全球网络攻击趋势。01核心趋势与洞察2024年，Mandiant处理的金融行业安全事件占

微软悬赏最高3万美元征集AI系统漏洞

微软宣布将Dynamics 365和Power Platform服务及产品中发现的AI漏洞赏金最高提升至3万美元。01产品范围与漏洞类型Power Platform包含帮助企业分析数据和自动化流程的应

前50名免费送！价值299元《sql注入&bypass绕过实战进阶课》

1玲珑安全免费送！前50名免费送！价值299元小课，4小时纯干货讲解，零基础小白必看！扫描二维码添加微信，暗号：玲珑安全666，秒占名额小课内容“Bypass WAF前置知识点系统性梳理● 基础到应用

蚂蚁集团“切面融合智能”应用入选“2024十大优秀网络安全创新成果”

4月23日，由武汉市人民政府主办，中国网络空间安全协会、武汉临空港经济技术开发区管委会承办，中国互联网发展基金会支持的“第二届武汉网络安全创新论坛”正式开幕。大会对外发布“2024十大优秀网络安全创新

钓鱼检测机制已失效：为何大多数攻击都像零日漏洞般难以防范

2025年，钓鱼攻击仍是企业面临的重大安全挑战。随着攻击者越来越多地采用基于身份验证的技术而非软件漏洞利用，钓鱼攻击的威胁程度甚至超过以往。如今绕过多因素认证（MFA）的钓鱼工具包已成常态，能够窃取受

浏览器加密钱包高危漏洞可致资金遭窃

研究人员发现主流浏览器加密货币钱包存在重大安全漏洞，攻击者无需用户任何交互或授权即可窃取资金。在Stellar Freighter、Frontier Wallet和Coin98等钱包中发现的这些关键漏

ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序

安全研究员Matt Keeley近期演示了人工智能如何在公开概念验证（PoC）攻击代码发布前，就成功生成针对关键漏洞的有效利用程序。这一突破可能彻底改变漏洞研究领域的现状。Keeley使用GPT-4为

大模型10大网络安全威胁及防范策略

OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》，大语言模型人工智能应用中存在的十大安全风险，相比2023版有一些变化，10大安全威胁如下：1、提示词注入：用户通过特殊输入改变模型

SWE-agent：利用大语言模型修复GitHub仓库问题

这款名为SWE-agent的开源工具通过将GPT-4o和Claude Sonnet 3.5等强大语言模型与现实世界工具连接，使其能够自主执行复杂任务：从修复GitHub实时仓库中的错误、解决网络安全挑

Cookie-Bite攻击：绕过多重验证，维持持久访问权限

网络安全研究人员发现一种名为"Cookie-Bite"的高级攻击技术，能使攻击者悄无声息地绕过多重身份验证（MFA）机制，并在云环境中维持持久访问权限。01窃取会话令牌绕过MFA保护Varonis威胁

石犀科技刘智：一个念头，10年时间，一幅数据流动的秘密宏图

公元前270年的一个夏天，初任蜀地(今四川)太守的李冰站在泥泞墙上，映入眼帘的并非富裕丰饶的成都平原，而是浊黄的洪水漫过郫县最后一道土堤，无数百姓流离失所。唯有治水才能真正解决问题。为此李冰父子前后耗

微软"安全未来计划"：公司史上最大规模网络安全工程

微软近日发布了"安全未来计划"(Secure Future Initiative，SFI)的第二份进展报告，这项被称为公司史上最大规模网络安全工程的计划由微软安全执行副总裁查理·贝尔(Charlie

朝鲜IT人员利用实时深度伪造技术通过远程工作渗透组织

网络安全渗透手段出现令人担忧的新发展——朝鲜IT工作者开始在远程工作面试中使用复杂的实时深度伪造（deepfake）技术，以此获取全球各地组织的职位。01新型渗透技术升级这种先进技术使威胁行为者能够在

新型恶意软件"超级卡X"通过NFC中继攻击瞄准安卓设备

Cleafy安全研究人员发现名为"超级卡X"（SuperCard X）的新型恶意软件即服务（MaaS），该恶意软件通过NFC（近场通信）中继攻击针对安卓设备实施资金窃取。01攻击手法与传播渠道攻击者通

APT29通过品酒会诱饵在欧洲外交官中部署恶意软件

俄罗斯国家支持的黑客组织APT29（又称Cozy Bear或Midnight Blizzard）近期发起了一项针对欧洲外交实体的高级钓鱼攻击，使用了WINELOADER恶意软件的新变种和此前未公开的恶

免费领！限量送50份360免杀分离加载Loader！

免杀测试免费领360查杀测试，该工具只免杀360。使用cs生成payload.bin, 然后重命名为config.ini(已在loader中硬编码)。注意事项：本工具仅供合法的渗透测试和安全研究使用，

石犀科技震撼发布三大破界技术，让数据流动无懈可击

数字化时代，数据已成为推动社会进步与经济发展的核心驱动力之一。然而，随着数据量的爆发式增长和数据流动的日益频繁，数据安全问题愈发严峻。近年来，全球范围内数据泄露、滥用、网络攻击等风险事件频发，严重威胁

微软Entra新安全功能引发大规模账户锁定事件

多家机构的Windows管理员报告称，微软Entra ID新推出的"MACE"（泄露凭证检测应用）功能在部署过程中产生大量误报，导致用户账户被大规模锁定。这些警报和锁定始于昨夜，部分管理员认为属于误报