主流AI系统或存在越狱、代码及数据安全漏洞

最新研究发现，多款生成式人工智能（GenAI）服务存在两类可诱导其生成非法或危险内容的越狱攻击漏洞。其中代号为"Inception"的攻击技术，通过指令让AI工具虚构场景，进而在无安全限制的子场景中实

CrowdStrike推出新型工具防御恶意AI模型与数据窃取

网络安全公司CrowdStrike Holdings Inc.发布多项新功能，旨在帮助企业员工防范恶意人工智能（AI）模型及其他安全威胁。这些功能将陆续集成至该公司旗舰产品Falcon网络安全平台。0

微软Telnet服务器曝0点击NTLM认证绕过漏洞，PoC已发暂无补丁

网络安全研究人员发现微软Telnet服务器存在严重漏洞，远程攻击者无需有效凭证即可完全绕过认证机制，获取管理员权限。根据Hacker Fantastic发布的报告，该漏洞涉及微软Telnet认证协议(

深度剖析 CVE-2025-21756：Linux 内核漏洞触发 Root 提权全流程

安全研究员Michael Hoefler最新研究揭示了CVE-2025-21756漏洞的全貌，这是一个影响Linux内核vsock子系统的释放后重用（Use-After-Free，UAF）漏洞。该漏洞

Apache Tomcat安全更新：修复拒绝服务与重写规则绕过漏洞

Apache 软件基金会发布了重要安全更新，修复了广泛使用的开源 Java Servlet 容器 Apache Tomcat 多个版本中存在的两个漏洞。这两个漏洞编号为 CVE-2025-31650

2025年CISO勒索软件防御指南

勒索软件已发展成为全球组织面临的最严峻威胁之一，2025年将迎来一个复杂性和破坏性并存的新时代。攻击者不再是单打独斗的黑客，而是装备AI工具的精密犯罪集团和国家行为体，他们利用零日漏洞（zero-da

Linux安全盲区曝光：io_uring机制可绕过主流检测工具

ARMO研究团队近日披露Linux运行时安全工具存在重大缺陷，证实io_uring接口可使rootkit（内核级恶意软件）绕过常规监控方案。测试显示包括Falco、Tetragon乃至Microsof

暗藏 “基因缺陷”？阿里云大模型原生安全免疫机制

Gartner 2024 年发布生成式 AI 领域的两大核心风险：一是大模型滥用可能生成更具迷惑性的虚假信息，二是因事实偏差和推理错误产生的模型幻觉。被高频提及的幻觉，仿佛是大模型泛化能力的“基因缺陷

梆梆产品季强势回归 | 三大核心产品限时免费！让您的APP扛得住逆向破解与合规审查

理财类App需防止黑客通过逆向工程窃取用户交易数据，如何利用运行时保护技术确保核心业务逻辑的安全性？12医疗健康类App因未明确告知用户基因数据使用范围被用户大量投诉，从而导致被监管机构通报，如何快速

虚假安全补丁攻击WooCommerce管理员以劫持网站

一场大规模钓鱼攻击正针对WooCommerce用户，通过伪造安全警报诱使他们下载所谓的"关键补丁"，实则为植入WordPress后门的恶意程序。01恶意插件植入根据Patchstack研究人员发现，上

新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护

研究人员最新发现的两项越狱技术暴露了当前主流生成式AI服务的安全防护存在系统性漏洞，受影响平台包括OpenAI的ChatGPT、谷歌的Gemini、微软的Copilot、深度求索（DeepSeek）、

蚂蚁集团等16家互联网平台签署网络数据安全自律公约

近日，在第二届武汉网络安全创新论坛的个人信息保护分论坛上，在中国网络空间安全协会的组织下，蚂蚁集团、阿里巴巴、美团、腾讯、微博、京东、百度、滴滴出行、拼多多、科大讯飞等16家平台型企业共同签署了《网信

同步漏洞行动：朝鲜Lazarus APT组织针对韩国供应链发起攻击

与朝鲜有关的Lazarus组织在一项名为"同步漏洞行动"（Operation SyncHole）的网络间谍活动中，针对至少六家韩国企业发起攻击。卡巴斯基研究人员报告称，这个朝鲜背景的APT（高级持续性

一周网安优质PDF资源推荐 | FreeBuf知识大陆

FreeBuf周报 | ChatGPT成功生成CVE有效攻击程序；AI幻觉催生攻击

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🤖ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序

FreeBuf热门电台精选集第二期

Linux io_uring概念验证Rootkit可绕过基于系统调用的威胁检测工具

网络安全研究人员近日展示了一款名为"Curing"的概念验证（PoC）Rootkit，该工具利用Linux异步I/O机制io_uring绕过了传统的系统调用监控。01安全工具存在重大盲区ARMO公司表

2025年第一季度159个CVE漏洞遭利用

2025年第一季度共有159个CVE编号漏洞被确认在野利用，较2024年第四季度的151个有所上升。网络安全公司VulnCheck向《黑客新闻》提供的报告指出："我们发现漏洞利用速度持续加快，28.3

他只做对了一件事，1个月实现挖洞效率3倍跃升！

Tip01故事的开始，源于一个安静的下午某一个下午，一个浮躁且迷茫的小伙儿，他找到了我。他是有基础的，会一些思路但不会灵活运用，只会挖一些并发短信轰炸的他，一些低危的信息泄露， 60个洞40多个都是忽

解读2024年网络攻击趋势

网络安全公司Mandiant发布了《M-Trends 2025》报告，基于其2024年参与的事件响应工作，梳理了全球网络攻击趋势。01核心趋势与洞察2024年，Mandiant处理的金融行业安全事件占

微软悬赏最高3万美元征集AI系统漏洞

微软宣布将Dynamics 365和Power Platform服务及产品中发现的AI漏洞赏金最高提升至3万美元。01产品范围与漏洞类型Power Platform包含帮助企业分析数据和自动化流程的应

前50名免费送！价值299元《sql注入&bypass绕过实战进阶课》

1玲珑安全免费送！前50名免费送！价值299元小课，4小时纯干货讲解，零基础小白必看！扫描二维码添加微信，暗号：玲珑安全666，秒占名额小课内容“Bypass WAF前置知识点系统性梳理● 基础到应用

蚂蚁集团“切面融合智能”应用入选“2024十大优秀网络安全创新成果”

4月23日，由武汉市人民政府主办，中国网络空间安全协会、武汉临空港经济技术开发区管委会承办，中国互联网发展基金会支持的“第二届武汉网络安全创新论坛”正式开幕。大会对外发布“2024十大优秀网络安全创新

钓鱼检测机制已失效：为何大多数攻击都像零日漏洞般难以防范

2025年，钓鱼攻击仍是企业面临的重大安全挑战。随着攻击者越来越多地采用基于身份验证的技术而非软件漏洞利用，钓鱼攻击的威胁程度甚至超过以往。如今绕过多因素认证（MFA）的钓鱼工具包已成常态，能够窃取受

浏览器加密钱包高危漏洞可致资金遭窃

研究人员发现主流浏览器加密货币钱包存在重大安全漏洞，攻击者无需用户任何交互或授权即可窃取资金。在Stellar Freighter、Frontier Wallet和Coin98等钱包中发现的这些关键漏

ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序

安全研究员Matt Keeley近期演示了人工智能如何在公开概念验证（PoC）攻击代码发布前，就成功生成针对关键漏洞的有效利用程序。这一突破可能彻底改变漏洞研究领域的现状。Keeley使用GPT-4为

大模型10大网络安全威胁及防范策略

OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》，大语言模型人工智能应用中存在的十大安全风险，相比2023版有一些变化，10大安全威胁如下：1、提示词注入：用户通过特殊输入改变模型

SWE-agent：利用大语言模型修复GitHub仓库问题

这款名为SWE-agent的开源工具通过将GPT-4o和Claude Sonnet 3.5等强大语言模型与现实世界工具连接，使其能够自主执行复杂任务：从修复GitHub实时仓库中的错误、解决网络安全挑

Cookie-Bite攻击：绕过多重验证，维持持久访问权限

网络安全研究人员发现一种名为"Cookie-Bite"的高级攻击技术，能使攻击者悄无声息地绕过多重身份验证（MFA）机制，并在云环境中维持持久访问权限。01窃取会话令牌绕过MFA保护Varonis威胁

石犀科技刘智：一个念头，10年时间，一幅数据流动的秘密宏图

公元前270年的一个夏天，初任蜀地(今四川)太守的李冰站在泥泞墙上，映入眼帘的并非富裕丰饶的成都平原，而是浊黄的洪水漫过郫县最后一道土堤，无数百姓流离失所。唯有治水才能真正解决问题。为此李冰父子前后耗