针对女性的钓鱼邮件：借化妆品试用之名，点开即感染恶意软件

网络安全研究人员近日披露了一种新型攻击链，该攻击链通过针对我国国内女性消费者的钓鱼邮件，投递名为VShell的开源后门程序。Part01文件名暗藏玄机Trellix研究员Sagar Bade在技术报

人工智能公司推出新型AI分类器，可阻断用户研发核武器

当用户向Claude AI询问铀-235等核武器或核燃料的技术原理时，该人工智能会生成相应回答。但如果试图详细了解如何制造核武器，则很可能会被系统拦截。Part01新型分类器精准识别危险查询近期，A

黑客仅需简单短语即可绕过AI防护：ChatGPT-5降级攻击漏洞曝光

OpenAI最新旗舰模型ChatGPT-5存在关键漏洞，攻击者使用简单短语即可绕过其高级安全防护。Adversa AI研究人员将该漏洞命名为"PROMISQROUTE"，其利用了主流AI厂商为降低计

一周网安优质PDF资源推荐 | FreeBuf知识大陆

仅需10-15分钟，人工智能即可生成已公开漏洞的有效利用代码

最新研究表明，人工智能系统仅需10-15分钟即可针对新发布的通用漏洞披露（CVE）自动生成有效利用代码，每份利用代码成本约为1美元。这一突破性进展大幅压缩了防御者传统上依赖的"缓冲期"——即从漏洞公

紧急更新！苹果高危0day漏洞曝光，1张图片即可导致内存损坏

近日，苹果公司发布紧急安全更新，修复其ImageIO框架中一个已被黑客积极利用的零日漏洞CVE-2025-43300。该漏洞危险性极高，攻击者仅需1张图片即可致使未更新的苹果设备内存损坏、应用程序崩

FreeBuf周报 | 特斯拉车主隐私 “裸奔”；Windows安全更新引发硬盘故障

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🚗特斯拉车主隐私 “裸奔”，GPS 坐标、驾驶习惯等随意获取🌎Wi

流行JavaScript库存在严重漏洞，威胁全球Web安全

Part01漏洞概述广泛使用的JavaScript加密库sha.js近日披露了一个严重安全漏洞。该库实现了安全哈希算法（Secure Hash Algorithm，SHA）系列，每周下载量超过140

全自动渗透工具5.0上线，AI将取代渗透测试工程师

面对一个目标，你规划好了攻击路径——先信息收集，再端口探测，然后 Web 爬虫，最后上扫描器验证漏洞。思路清晰，但过程枯燥：需要在终端、工具和浏览器间不断切换，复制目标、调整参数、分析结果，大量时间花

麒麟勒索软件团伙宣称窃取日产汽车4TB设计数据

Part01数据泄露事件概述麒麟（Qilin）勒索软件团伙宣称入侵了日产汽车旗下设计子公司Creative Box Inc.（CBI），窃取超过4TB数据，并公开了汽车设计文件、财务数据、3D模型和

PromptFix攻击：AI浏览器可能被诱骗在虚假商店完成支付

网络安全公司Guardio Labs的研究人员发现，旨在辅助用户的AI系统可能成为新型数字威胁的受害者，他们将这种现象称为"Scamlexity"（诈骗复杂性）。这种名为PromptFix的攻击技术

收件箱之外的威胁：网络间谍组织如何利用两个WinRAR漏洞展开攻击

BI.ZONE威胁情报团队发现，代号为"纸狼"(GOFFEE)的黑客组织近期开展了一系列针对性网络间谍活动，该组织同时利用了一个已知的WinRAR漏洞(CVE-2025-6218)和一个此前未知的零

十年渗透：俄罗斯APT组织如何长期利用思科设备漏洞

思科Talos团队最新分析报告揭露，俄罗斯国家支持的黑客组织"Static Tundra"十多年来持续利用未修补及已停产的思科设备实施攻击。该组织被认为与俄罗斯联邦安全局（FSB）存在关联，长期针对

FreeBuf热门电台精选集第十二期

📢本期热门电台抢先看：1.聊一聊接口服务如何防止被恶意请求🎯 2.应用程序白名单的方式对比杀毒软件的黑名单都有哪些优缺点？🔍 3.聊一聊零信任在企业攻防实践中的作用🛡️————————————『Fre

黑客组织涉嫌在暗网兜售Windows零日远程代码执行漏洞

据ThreatMon报告，某黑客组织正在兜售一个Windows零日远程代码执行（RCE）漏洞利用程序，声称该漏洞可攻击已完全更新的Windows 10、Windows 11和Windows Serv

Chrome高危漏洞可致浏览器崩溃或执行任意代码

谷歌已紧急发布Chrome安全更新，修复一个可能允许攻击者使浏览器崩溃或在受影响系统上执行任意代码的关键漏洞。Part01漏洞概况该高危漏洞编号为CVE-2025-9132，影响Chrome的V8

当《黑客帝国》照进现实：AI 安全幻影特工队的破界行动

当AI的触角深入现实肌理，智能客服依托自然语言处理（NLP）技术处理千万次咨询时精准识别诈骗意图，自动驾驶系统通过多模态融合算法在暴雨中校准毫米波雷达的每一次扫描，金融大模型凭借联邦学习框架在毫秒间完

4个月70万赏金，挖洞赛道再闯出一匹黑马！

4个月，70W！漏洞挖掘赛道又杀出了一匹让人瞠目的黑马。而更让人惊掉下巴的是——这位高手，居然只有17岁！接触挖洞也才不到两年…这是天赋爆发，还是背后有高人指路？今天我们特地请来了这位黑马师傅——白色

麦当劳系统漏洞事件：从免费鸡块漏洞到高管数据泄露

麦当劳数字基础设施存在一系列严重漏洞，从免费食品兑换漏洞到高管数据泄露事件层出不穷。最初只是一个简单的应用故障，最终演变成持续数月的安全事件。安全研究员BobDaHacker甚至直接致电公司总部，提

黑客利用武器化版权文件攻击企业关键员工，传播Noodlophile窃密木马

Part01精准定位的钓鱼攻击网络安全研究人员发现一起针对大型企业的复杂钓鱼攻击活动，攻击者利用武器化的版权侵权通知传播升级版Noodlophile窃密木马。该攻击专门针对社交媒体影响力较大的企业，

FreeBuf FVIP会员权益大升级！付费内容无限读、万份资源任意下，无边界获取网安知识

为更好地助力网络安全从业者成长FreeBuf会员体系大规模升级啦本次FVIP会员权益重磅扩容从专业内容获取到实战资源支持从技能提升到社群互动7大核心特权升级全方位助力你的网安进阶之路7大升级权益解锁专

Linux内核netfilter漏洞可导致攻击者权限提升

Part01漏洞概述Linux内核netfilter的ipset子系统中发现一个高危漏洞，允许本地攻击者将权限提升至root级别。该漏洞存在于ipset框架的bitmap:ip实现中，源于处理CID

Scan-X v5.0解锁新任务：直接把Kali驯成AI小弟！

厉害呀师傅们，Scan-X才上架一个月直接把限量库存干没了！这波属实是新手村直接爆神装的节奏了！感谢各位赛博保安队长的信任！但是！敲黑板划重点！我们可没躺在功劳簿上数钱（虽然很想[狗头保命]）因为！更

管道魔法再现：假冒ChatGPT桌面应用传播PipeMagic后门程序

卡巴斯基实验室最新报告揭示了名为PipeMagic的复杂后门程序构成的持续威胁。该恶意软件近期在针对沙特阿拉伯和巴西组织的攻击中再次出现，并与已修复的微软零日漏洞CVE-2025-29824的利用相

特斯拉车主隐私 “裸奔”，GPS 坐标、驾驶习惯等随意获取

网络安全研究人员发现，数百个公开可访问的TeslaMate实例在未经验证的情况下暴露特斯拉车辆敏感数据，导致GPS坐标、充电模式和个人驾驶习惯等隐私信息可被互联网上的任何人获取。该漏洞源于这款流行的

零信任+AI：智能体时代的数据隐私新范式

Part01从边界控制到信任重构传统隐私观将隐私视为边界防护问题——通过权限墙、访问锁和政策管控来实现。但在人工智能体（Agentic AI）逐渐成为自主行动者的时代，这些系统无需持续监督即可与数据

HTTP/2协议曝"MadeYouReset"漏洞，可用于发动大规模DDoS攻击

Part01漏洞概况安全研究人员在HTTP/2协议实现中发现了一个新型拒绝服务（DoS）漏洞，命名为"MadeYouReset"（CVE-2025-8671）。该漏洞于2025年8月13日公开披露，

新型钓鱼攻击利用日语字符"ん"伪装斜杠实施欺诈

安全研究人员发现了一种新型钓鱼攻击活动，攻击者利用日语平假名"ん"（Unicode U+3093）创建极具欺骗性的URL，这些网址看起来非常逼真，甚至能骗过警惕性较高的互联网用户。该攻击由安全研究员

提示词中间人攻击：威胁ChatGPT等AI系统的隐形威胁

Part01新型威胁通过浏览器扩展即可攻击ChatGPT和Gemini等AI工具网络安全领域正面临一种新型威胁的警示——"提示词中间人攻击"（Man-in-the-Prompt），这种攻击能够危害用户

一周网安优质PDF资源推荐 | FreeBuf知识大陆