OpenAI对抗美国法院命令，捍卫ChatGPT用户隐私

在纽约时报对人工智能公司OpenAI提起的诉讼中，OpenAI正积极对抗一项涉及隐私问题的美国法院命令。该命令要求OpenAI保留所有ChatGPT用户日志，包括已删除的对话记录以及通过API调用生成

这是一个拥有上千份SRC报告+工具脚本+各类学习资料的挖洞技术智库

想学SRC，却连平台机制都没搞清楚；想写报告却找不到参考格式、漏洞难点无从下笔；提交了漏洞却屡屡被忽略，不知道是漏洞重复还是报告不规范；想补基础，市面课程贵得离谱，还总踩坑；真正想进步的你，其实只缺一

云端大语言模型防护机制的成效与缺陷

一项全面新研究揭露了主流云端大语言模型（LLM）平台安全机制存在重大漏洞与不一致性，对当前人工智能安全基础设施现状敲响警钟。该研究评估了三大领先生成式AI平台的内容过滤和提示注入防御效果，揭示了安全措

老旧系统安全防护：现代化改造策略

在企业加速数字化转型的进程中，许多机构仍受制于老旧系统（Legacy Systems）——这些支撑核心业务运营的技术虽显陈旧却至关重要。尽管这些系统通常能稳定执行既定任务，但其过时的架构使企业面临安全

开源供应链攻击持续发酵，多个软件包仓库内藏恶意组件

近期在npm、Python和Ruby软件包仓库中相继发现多组恶意组件，这些组件能够清空加密货币钱包资金、安装后删除整个代码库并窃取Telegram API令牌，再次印证了开源生态系统中潜伏的多样化供应

2025年威胁态势全景：CISO应对指南

随着2025年的到来，网络安全领导者正依据《2025年CISO威胁指南》应对由AI驱动攻击、地缘政治紧张局势和犯罪手段升级构成的动荡环境。快速演变的威胁态势要求首席信息安全官（CISO）不断调整战略重

数据平台巨头Snowflake与Databricks跨入全新竞争领域

Part01行业转折点从数据分析平台到智能系统数据产业正迎来一个关键转折点，这一趋势与我们此前在《Breaking Analysis》系列中探讨的主题一脉相承——从"第六代数据平台"到"黄砖路"，从"

美国制裁涉2亿美元加密货币“杀猪盘”诈骗的Funnull公司

美国财政部外国资产控制办公室（OFAC）对菲律宾公司Funnull Technology Inc.及其管理员实施制裁，指控该公司为"杀猪盘"骗局提供支持，导致美国受害者损失达2亿美元。"杀猪盘"是一种

一周网安优质PDF资源推荐 | FreeBuf知识大陆

中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》

规范中国人民银行业务领域网络安全事件报告管理。中国人民银行令〔2025〕第4号(中国人民银行业务领域网络安全事件报告管理办法)《中国人民银行业务领域网络安全事件报告管理办法》已经2025年5月12日中

FreeBuf周报 | ChatGPT o3模型无视关机指令；虚假ChatGPT安装程序暗藏攻击

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🤖研究显示ChatGPT o3模型无视关机指令 存在抗拒关闭行为😈

黑客利用AI生成视频在TikTok设备上投放信息窃取恶意软件

网络犯罪分子已开始利用人工智能技术，在TikTok平台发起复杂的社交工程攻击。他们通过AI生成的教程视频传播危险的信息窃取恶意软件，目前该平台已有数十万用户受到影响。Part01AI视频伪装软件教程攻

构建协作式威胁情报共享框架的发展现状

在当今快速演变的数字环境中，各组织逐渐认识到，孤立地防御复杂网络威胁已不再可行。近期协作式威胁情报共享框架的发展表明，网络安全界正联合起来共同应对这些挑战。Part01威胁情报平台的最新进展开源威胁情

截图外泄的溯源方案；如何避免和应急删库风险 | FB甲方群话题讨论

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第255期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供

新型Windows远控木马利用损坏头文件逃避检测

Part01异常攻击手法曝光根据Fortinet最新研究，网络安全专家发现一起利用DOS（磁盘操作系统）和PE（可移植可执行）头文件损坏的恶意软件发动的异常网络攻击。这两种头文件是Windows PE

网络犯罪分子利用虚假ChatGPT安装程序实施攻击

网络安全研究人员发现，攻击者正利用OpenAI ChatGPT和InVideo AI等流行人工智能(AI)工具的虚假安装程序作为诱饵，传播包括CyberLock和Lucky_Gh0$t勒索软件家族以及

新型PumaBot僵尸网络瞄准Linux物联网设备，窃取SSH凭证并挖矿

基于嵌入式Linux的物联网（IoT）设备正成为新型僵尸网络PumaBot的攻击目标。Part01基于Go语言的SSH暴力破解攻击该僵尸网络采用Go语言编写，专门针对SSH服务实施暴力破解攻击以扩大规

信条：阿里云AI攻防安全启示录

“有人在未来制作逆时间子弹，逆转时间传递给我们。”4月9日AI势能大会上，阿里云百炼推出业内首个全生命周期MCP服务。MCP如同“超级插座”，使端侧应用能像智能设备接入电网般，无缝融入AI应用架构。当

留言赠书 | 《攻击网络协议：协议漏洞的发现+利用+保护》免费送

关注留言丨文末赠书在虚拟与现实交织的数字战场，一次协议漏洞的触发，可能会让银行系统沦陷、电网瘫痪、国家机密泄露；而一个顶尖漏洞猎人的发现，却能让攻击链在萌芽时被斩断，让亿万用户免于暴露在暗处的屠刀之下

苹果五年拦截90亿美元欺诈交易以应对安全威胁

苹果公司周二披露，过去五年间已阻止超过90亿美元的欺诈交易，其中仅2024年就拦截逾20亿美元。该公司表示，App Store正面临各类威胁，包括"窃取个人信息的欺诈性应用"和"试图利用用户的虚假支付

GitHub MCP服务器漏洞使攻击者可访问私有代码库

Part01漏洞概述GitHub广泛使用的模型上下文协议（Model Context Protocol，MCP）服务器被发现存在严重安全漏洞，攻击者可通过恶意提示注入（prompt injection

2个月荣登字节SRC年榜第一，云上漏洞秘籍首公开！

XIAOHUOJU关于小火炬不！可！思！议！小火炬独领风骚，在字节SRC疯狂乱杀两个月直接登顶年榜TOP1！字节SRC排名截图喜！大！普！奔！5月28日本周三晚20：00小火炬带着他的“通杀全家桶”现

AI学会“自保”，ChatGPT o3模型存在抗拒关闭行为

帕利塞德研究公司(Palisade Research)近期开展的一系列测试揭示了先进AI系统在被要求自行关闭时的异常行为。测试结果显示，OpenAI的实验性模型"o3"即使在明确收到允许关闭的指令后，

阿迪达斯数据泄露，第三方服务商漏洞致客户信息外泄

德国运动品牌巨头阿迪达斯已确认发生重大数据泄露事件，攻击者通过入侵第三方客户服务提供商获取了客户联系信息。2025年5月23日的泄露事件导致曾与该公司客服中心互动过的消费者联系方式外泄，但密码、信用卡

知识大陆618大“折”学，登录秒领7折券

哥，知识大陆 618 教你玩 **「折学」** 别走，不是让你学哲学，是教你学「怎么把技术学习成本打折」这波「折学」，我先冲为敬，你赶紧跟上！直接上省流版 1老用户续费 7 折！不搞满减，不设门槛，主

恶意npm与VS Code包正在窃取数据及加密货币资产

Part0160个npm包窃取系统敏感信息安全研究人员在npm软件包注册表中发现60个恶意组件，这些组件能够收集主机名、IP地址、DNS服务器和用户目录信息，并将其发送至Discord平台控制的终端节

Windows Server 2025 "BadSuccessor" 漏洞曝光，可导致域控接管

Part01漏洞概述Windows Server 2025操作系统中新发现的"BadSuccessor"安全漏洞（CVE编号待分配）允许攻击者完全接管Active Directory（活动目录）域控制

Mesh Wi-Fi存在CVSS 9.1分高危漏洞，设计缺陷可被用于数据帧注入攻击

Part01漏洞概述研究人员发现主流Mesh Wi-Fi系统中存在一个关键设计缺陷（CVSS评分9.1），攻击者可利用该漏洞实施A-MSDU（聚合MAC服务数据单元）欺骗攻击，实现无线数据帧注入。目前

警惕新型社会工程攻击：ClickFix利用剪贴板注入传播恶意软件

威胁行为者近期升级了一项名为"ClickFix"的新型社会工程攻击活动。攻击者通过在遭入侵或被克隆的网站中植入虚假验证码（CAPTCHA）弹窗，诱骗用户通过剪贴板注入和Windows运行对话框滥用等方

FreeBuf热门电台精选集第五期