悬赏一杯咖啡的钱，撬动全网的安全资源→

还在为找不到行业报告、技术方案、稀缺文档发愁？『FreeBuf悬赏电台』补贴计划重磅升级！悬赏人全额现金补贴，发布悬赏0成本，AI全程辅助，全网资源触手可得！他们都在用一杯咖啡的钱，让全网安全大脑主动

AI会取代渗透测试工程师吗？

多年来，关于“AI会抢走你的工作” 的说法不绝于耳。2017 年，麦肯锡曾发布《工作流失与新增：自动化时代的劳动力转型》报告，预测到 2030 年，会有 3.75 亿劳动者不得不寻找新工作，否则就可能

SolarWinds Web Help Desk严重漏洞致存储密码可被访问

SolarWinds 的 Web Help Desk 软件中存在一个严重漏洞（CVE-2024-28989），攻击者可以通过其 AES-GCM 实现中的加密弱点解密敏感凭据，包括数据库密码和 LDAP

新型XCSSET恶意软件利用增强混淆技术攻击macOS用户

微软威胁情报团队发现了一种新型的XCSSET变种，这是一种复杂的模块化macOS恶意软件，能够感染Xcode项目，并在开发者构建这些项目时执行。这是自2022年以来的首个已知XCSSET变种，采用了增

多视角解码大模型安全：以 AI 制衡 AI，突破安全困局

在人工智能快速发展的今天，大模型已经成为了推动各行业变革的核心技术之一，从医疗诊断到智能交通，从金融风险控制到教育个性化推荐，各行各业中都出现了大模型的身影。根据Gartner的预测，2026年将有超

谷歌去年向白帽黑客支付了近1800万美元

谷歌宣布，2024年向超过600名报告漏洞的安全研究人员支付了1800万美元。自该公司的漏洞悬赏计划启动以来，累计支付的奖金已超过6500万美元。漏洞悬赏计划奖励大幅提升去年，谷歌将其漏洞奖励计划（V

朝鲜 Lazarus 黑客通过 npm 包感染数百名用户

近日，Node 包管理器（npm）上发现了六个与臭名昭著的朝鲜黑客组织 Lazarus 相关的恶意软件包。这些软件包已被下载 330 次，其设计目的是窃取账户凭证、在受感染系统上部署后门，并提取敏感的

下载超4千万的Python库曝严重缺陷

近日，广泛使用的Python JSON Logger库中披露的一个漏洞通过依赖链缺陷，暴露了约4300万个安装面临潜在远程代码执行（RCE）攻击的风险。该漏洞编号为GHSA-wmxh-pxcx-9w2

如何安全处置旧设备？

每年，数百万台旧设备因老化、故障或被新产品取代而被丢弃，这些设备上存储的数据可能带来安全风险。如果设备没有被正确删除数据，这些数据往往仍可被恢复。因此，安全处置旧设备至关重要。旧设备可能包含的敏感数据

通过物理渗透测试获取内部网络访问权限：案例分析

物理渗透测试能够揭示在实际环境中可能被纯数字评估忽视的关键安全漏洞。Hackmosphere 团队为一家家具零售商（化名 ExCorp）进行的最新案例研究表明，尽管该公司在网络安全方面采取了强有力的措

马斯克称其X平台遭大规模网络攻击，IP源自乌克兰

X平台首席执行官埃隆·马斯克表示，该平台在全球范围内遭遇的服务中断是由一次网络攻击引起的。据Downdetector.com的数据显示，约有40,000名用户报告了访问X平台时出现问题。马斯克并未提供

泄露事件揭露 Black Basta 勒索软件组织的战术、技术与流程

Black Basta 勒索软件组织内部聊天记录的重大泄露事件，为网络安全研究人员提供了前所未有的洞察，揭示了其运作模式。泄露事件背景与影响Telegram 用户 ExploitWhispers 公布

超高性价比，299元从0逆袭SRC核心白帽！

“我淋过的雨 绝不让你们再湿鞋大家好，我是longwaer，Day1团队核心成员，2024年菜鸟SRC第三，2024年猎聘SRC年榜第五，2024年，我的学员们斩获奖金超过30万元，诞生了16位万元户

恶意软件伪装成合法 Go 库感染Linux和macOS用户

威胁行为者通过“typosquatting”手段，冒充热点Go库（如Hypert和Layout）在Linux和macOS系统上传播恶意软件。图片来源：Tero Vesalainen / Shutter

实战分析：通过物理手段突破内部网络访问权限

物理渗透测试能够揭示在实际环境中可能被纯数字评估忽视的关键安全漏洞。Hackmosphere 团队为一家家具零售商（化名 ExCorp）进行的最新案例研究表明，尽管该公司在网络安全方面采取了强有力的措

日本电信巨头NTT遭遇数据泄露，波及1.8万家企业

日本电信巨头NTT近日遭遇数据泄露事件，波及近1.8万家企业的客户信息。2月5日，NTT安全团队在其“订单信息分发系统”中检测到可疑活动，并立即限制了对设备A的访问。根据公司发布的数据泄露通知，2月5

Sitecore 曝零日漏洞，可执行任意代码攻击

近日披露的 Sitecore 体验平台关键漏洞（CVE-2025-27218）允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。该漏洞源于不安全的数据反序列化操作，影响Sitecore 体验管理

一周网安优质PDF资源推荐丨FreeBuf知识大陆

塔塔科技遭勒索攻击，1.4TB数据被泄露

塔塔科技（Tata Technologies）近期遭受了勒索软件组织“猎手国际”（Hunters International）的攻击。该组织声称已从这家工程公司窃取了高达 1.4TB 的数据，涉及超过

勒索团伙利用网络摄像头绕过EDR实施加密攻击

近期，Akira勒索团伙被曝光利用未受保护的网络摄像头对受害者的网络发起加密攻击，成功绕过了原本在Windows系统中拦截其加密器的端点检测与响应（EDR）系统。网络安全公司S-RM的团队在为客户处理

FreeBuf周报 | 谷歌收集用户数据且无需打开应用；近5万访问管理系统存严重漏洞

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！热点资讯1. 最新黑产技术曝光，只需19分钟即可劫持AI大模型最新

麒麟勒索软件团伙宣称入侵乌克兰外交部

麒麟（Qilin）勒索软件团伙近日宣称成功入侵乌克兰外交部，并窃取了敏感数据。这一事件标志着针对乌克兰的重大网络安全攻击。索团伙声称窃取敏感数据，部分已售出该俄语勒索软件团伙声称对乌克兰外交部的网络攻

2025阿里白帽大会：共筑网络安全新生态

3月1日，以“洞见风险，先知先行”为理念的2025阿里白帽大会在杭州成功举办。顶尖白帽、学术界代表与阿里技术团队齐聚一堂，共探网络安全前沿议题，以实战经验与创新思维直击安全本质。当前，网络安全环境正面

HW开始前会做哪些措施：AI在攻防中扮演了怎样的角色 | FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第250期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

全球近5W个访问管理系统存在严重安全漏洞

荷兰IT安全咨询公司Modat发现，全球范围内部署的约49,000个访问管理系统（AMS）存在严重的安全漏洞。这些系统本应通过密码、生物识别和多因素认证等身份验证方法控制建筑物访问，然而却因关键配置错

研究人员绕过 CrowdStrike Falcon 传感器执行恶意应用程序

SEC Consult 的安全研究人员在 CrowdStrike 的 Falcon Sensor 中发现了一个重大漏洞，允许攻击者绕过检测机制并执行恶意应用程序。这个被称为“睡美人”的漏洞最初于 20

二维码钓鱼攻击的兴起：诈骗者如何利用二维码及如何防范

二维码已成为日常生活中的一种便捷工具，只需简单扫描，用户便能快速访问网站、支付平台或数字菜单。然而，随着二维码的普及，网络犯罪分子对其的兴趣也与日俱增。一种被称为“二维码钓鱼”或“quishing”的

4月·上海 | FreeBuf金融与AI攻防实战论坛邀您参会

2025年，以DeepSeek为代表的国产人工智能（AI）凭借卓越的技术实力享誉全球，并陆续接入各企业的生产实践活动中。与之相伴的，AI与网络安全的博弈迅速加深，金融科技作为资本与数据的枢纽，俨然已成

当前最猖獗的12大勒索软件组织

勒索软件即服务（RaaS）模式、双倍勒索策略以及人工智能的广泛应用，共同构成了当前不断演变的勒索软件威胁格局。执法部门对LockBit等组织的打击，使得勒索软件市场更加碎片化，新玩家试图从中分一杯羹。

Bubba AI推出开源合规平台 Comp AI，助力10万家初创企业实现安全合规

随着安全合规对初创企业的重要性日益增长，越来越多的公司正寻求实现并维持与SOC 2、ISO 27001和GDPR等框架的合规性。Bubba AI, Inc. 正在为这些企业构建一个全面的解决方案，旨在