Mythos玻璃翼项目证明AI能发现漏洞，但修复工作该由谁来完成？

上周，Anthropic公司公布了玻璃翼项目（Project Glasswing），其AI模型在发现软件漏洞方面效率惊人，以至于该公司采取了非常规措施推迟公开版本发布。目前仅向苹果、微软、谷歌、亚马逊

CrowdStrike联合行业巨头成立QuiltWorks联盟，对抗AI暴增的漏洞威胁

网络安全公司CrowdStrike Holdings Inc.今日宣布启动"QuiltWorks计划"行业联盟，旨在帮助企业发现并修复前沿人工智能模型所暴露的大量软件漏洞。该联盟汇集了埃森哲、安永、I

揭秘RAMP：俄罗斯勒索软件黑市的运作剖析

Part01数据泄露揭示俄罗斯勒索软件生态RAMP论坛泄露的数据展现了俄罗斯勒索软件产业链全貌，包含1,732条讨论帖、7,707名用户资料以及34万条IP记录。这绝非普通暗网论坛，而是完整呈现勒索软

黑客滥用Outlook邮箱隐藏Linux后门，南亚成重点攻击目标

Part01攻击手法分析一个疑似国家背景的黑客组织开发出利用微软Outlook邮箱隐藏恶意活动的新技术，使常规安全工具难以检测其攻击行为。自2021年起活跃的Harvester APT组织（被认定具有

斗象开源了个AI安全保险箱，思路有点不一样

AI Agent的安全问题，前面写了好几篇，基本都在讲"怎么发现问题"和"怎么拦截危险操作"。但有个维度一直没人认真做：AI Agent到底碰了你什么东西？你的密钥文件、合同PDF、数据库配置、SSH

Claude Mythos发现271个Firefox漏洞，0Day时代或将终结

Mozilla 基金会近期测试了 Anthropic 公司开发的 AI 模型 Claude Mythos，该模型在网络安全领域引发了广泛讨论。在授权 Mythos 访问权限前，Mozilla 使用 O

GitHub评论可触发Claude Code、Gemini CLI和GitHub Copilot的提示注入漏洞

Part01新型"评论控制"攻击手法曝光研究人员发现一类名为"Comment and Control"（评论控制）的跨厂商关键漏洞，这种新型提示注入攻击利用GitHub的拉取请求标题、议题正文和评论作

苹果AI令牌漏洞曝光，窃取者可跨设备滥用服务

Part01服务架构设计苹果公司宣称，其操作系统内置的生成式AI服务Apple Intelligence通过采用匿名访问令牌的双阶段认证授权机制，特别注重用户安全与隐私保护。但俄亥俄州立大学研究人员在

从数月到分钟级：360智能体自动挖洞终结人工低效时代

一个让全球网络安全行业不得不重新审视现状的事实正在发生：360漏洞挖掘智能体通过代码自动扫描，在分钟级时间内精准定位了两个潜伏多年的全球级高危漏洞，一个是潜伏5年的Windows内核提权漏洞，另一个是

Anthropic机密网络工具Mythos遭未授权组织入侵

2026年4月7日，Anthropic公司正式发布其高度机密的AI驱动网络安全工具Claude Mythos Preview。这款被该公司自评为"危险程度过高不宜公开发布"的AI模型，能够自主发现主流

Windows截图工具NTLM哈希泄露漏洞PoC利用代码公开

网络安全研究人员已公开针对微软截图工具（Snipping Tool）新漏洞的概念验证（PoC）利用代码，攻击者可通过诱导用户访问恶意网页，悄无声息地窃取其Net-NTLM凭证哈希值。该漏洞编号为CVE

SGLang高危漏洞可通过恶意GGUF模型文件实现远程代码执行

SGLang 框架曝出严重安全漏洞，攻击者成功利用该漏洞可在受影响系统上实现远程代码执行。该漏洞编号为 CVE-2026-5760，CVSS 评分为 9.8 分（满分 10 分），属于可导致任意代码执

Claude Mythos 安全神话：炒作还是名副其实？

Part01炒作遇冷：VulnCheck分析质疑实际成效当OpenAI正计划推出专注于网络安全的AI模型展开竞争时，VulnCheck安全专家最新研究对Claude Mythos（即"Project

2026年人工智能大模型安全众测活动公告

为做好2026年人工智能大模型安全众测活动，持续提升国内人工智能大模型产品安全防护水平，现面向社会征集测试产品，并诚邀高水平白帽子报名参与测试。一、组织单位指导单位：中央网信办网络安全协调局、国家发展

攻击者持续一年攻击TP-Link路由器漏洞CVE-2023-33538仍未得逞

Part01黑客针对旧款TP-Link路由器漏洞发起长达一年的攻击黑客持续一年多尝试利用TP-Link老旧路由器中的高危漏洞（CVE-2023-33538，CVSS评分8.8），但至今未发现成功案例。

网络攻击助推物流行业货物盗窃激增

Part01黑客渗透物流企业窃取货物转移资金Proofpoint研究人员发现，犯罪分子针对卡车运输和物流公司发起协同远程访问攻击，窃取货物并转移资金。这些攻击似乎与有组织犯罪有关。研究结果凸显了网络助

自主AI治理会失控吗？阿西莫夫机器人三定律的启示

Part01阿西莫夫机器人三定律的深层启示阿西莫夫机器人三定律：第一定律：机器人不得伤害人类，或因不作为而使人类受到伤害。第二定律：机器人必须服从人类的命令，除非这些命令与第一定律相冲突。第三定律：机

Windows Defender 0day漏洞遭利用，攻击者组合PoC工具发起提权攻击

网络安全研究人员发现，近期泄露的三个Windows Defender提权漏洞正遭实际攻击利用。攻击者直接使用来自GitHub公开仓库的概念验证（PoC）漏洞利用代码，针对真实企业目标发起攻击。2026

攻击者可利用的FortiSandbox漏洞PoC公开，可执行任意命令

网络安全研究人员已公开披露针对 Fortinet 旗下 FortiSandbox 产品高危漏洞（CVE-2026-39808）的概念验证（PoC）利用代码。该漏洞允许未经身份验证的攻击者以 root

NIST放弃全面分析CVE，转向优先处理高危漏洞

美国国家标准与技术研究院（NIST）宣布对其国家漏洞数据库（NVD）的网络安全漏洞处理机制进行全面改革，放弃对每个提交的通用漏洞披露（CVE）进行全面分析的长期目标，转而采用基于风险的分级评估模型，优

警惕AI全自动攻击！Claude Opus成功构建Chrome漏洞武器化链路

在 Anthropic 公司发布 Mythos 和 Project Glasswing 模型引发激烈争论之际，一位安全研究人员展示了前沿 AI 技术对网络安全的实际影响。该研究突破了理论警告的局限，成

微软Azure Windows Admin Center现一键式RCE漏洞，攻击者可执行任意命令

Windows Admin Center是一款本地部署的浏览器管理工具，IT管理员可通过其图形化集中界面管理Windows服务器、客户端及集群。Cymulate研究实验室新发现的这一高危漏洞可使攻击者

每周PDF资源：OpenClaw与5款国产类Claw 智能体安全评测；2026全球AI安全治理趋势；AI技术拐点已至

白宫拟开放Claude漏洞挖掘AI，军方禁令与民用部署冲突激化

美国政府正计划授权主要联邦机构使用Anthropic公司Claude Mythos模型的修改版本。该AI模型能够快速识别网络安全漏洞并具备漏洞利用能力，引发了广泛关注。据彭博社援引内部备忘录报道，白宫

苹果AirTag定位系统曝漏洞，攻击者可伪造位置误导追踪

苹果AirTag本应通过周边苹果设备组成的庞大网络帮助用户追踪遗失物品，但最新研究表明，攻击者可以操纵该系统显示AirTag从未到过的虚假位置。Part01攻击原理剖析Find My网络依赖AirTa

“漏洞末日”警钟预警：AI批量发现黑客可利用的漏洞；OpenAI发布GPT-5.4-Cyber强化网安防御 | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！💻“漏洞末日”警钟预警：AI批量发现黑客可利用的漏洞🤖OpenAI

Claude Opus 4.7发布，AI安全防护升级

构建AI Agent工作流的软件团队正推动前沿模型向更长时间的无监督任务运行发展。Anthropic正式发布的Claude Opus 4.7正是针对这一需求设计，在软件工程、多模态处理以及模型自主执行

OpenAI升级Agents SDK，新增沙箱环境保障AI代码安全执行

OpenAI 最新升级的 Agents SDK 可帮助开发者在受控沙箱环境中构建具备文件检查、命令执行、代码编辑及任务处理能力的 Agent。本次更新为 OpenAI 模型提供了标准化基础设施，包含让

SpankRAT木马劫持Windows进程隐蔽攻击，VirusTotal检出率极低

网络安全研究人员发现一款名为 SpankRAT 的新型双组件远程访问木马（RAT）工具包，该工具采用 Rust 语言编写，能够滥用合法 Windows 进程绕过基于信誉的安全防护机制，在 VirusT

Splunk Enterprise与云平台漏洞可导致远程代码执行攻击

Part01漏洞概括一项影响 Splunk Enterprise 和云平台多个版本的关键安全漏洞（CVE-2026-20204）已被官方披露。该高危漏洞 CVSS 评分为 7.1，对企业网络构成严重威