Docker Desktop漏洞可导致Windows和macOS主机被接管

Part01漏洞概述Docker Desktop 针对 Windows 和 macOS 版本的一个高危漏洞（CVE-2025-9074）已被修复。该漏洞允许恶意容器逃逸隔离环境，获取宿主计算机的管理员

NVIDIA发布NeMo框架安全更新，修复多个高危漏洞

NVIDIA已为其NeMo框架发布新版软件更新，修复了多个可能允许攻击者执行任意代码、提升权限、窃取敏感信息及篡改数据的高危漏洞。这些漏洞影响所有平台，依赖NeMo进行AI和自然语言处理(NLP)工作

Chrome浏览器高危零日漏洞PoC公开，已被用于野外攻击

谷歌此前披露了Chrome浏览器V8 JavaScript引擎中存在一个高危零日漏洞（CVE-2025-5419）。而在近日，该漏洞的概念验证（PoC）利用代码已被公开。相关补丁已经发布，用户应尽快进

3个月狂揽70万赏金，挖洞赛道惊现17岁“天才黑马”！

17岁，3个月 ，70W！这不是小说剧情，而是真实发生的“黑客神话”。更让人不敢相信的是——白色鼠标师傅接触漏洞挖掘也不到两年。没有名校背景，没有大厂履历，纯靠一套极少人知道的「前端JS渗透打法」，杀

国产开源BI工具DataEase曝光两个远程代码执行漏洞

安全研究人员在开源商业智能(BI)工具DataEase中发现两处高危漏洞，该工具主要用于数据可视化与分析。编号为CVE-2025-57772和CVE-2025-57773的漏洞可能允许攻击者通过特制载

借AI工具绕过安全边界，供应链攻击瞄准开发者

网络安全研究团队StepSecurity近日发出警告，流行的Nx构建系统软件包遭遇大规模供应链攻击。该软件包每周下载量超过400万次。2025年8月26日，攻击者发布了一系列包含恶意代码的Nx版本，专

新型单比特翻转攻击颠覆认知，可向任意AI精准植入后门

Part01新型攻击技术或诱发自动驾驶系统“犯错”乔治梅森大学的研究团队开发出一种名为"OneFlip"的新型攻击技术，通过利用已知的Rowhammer物理内存攻击手段，仅需翻转易受攻击DRAM模块

白色鼠标3个月70W原站思路直播分享

上周白色鼠标老师的直播彻底刷屏了！直播间热度爆表，满屏都在刷“黑色鼠标还有机会吗”“不够看！根本不够看啊”~这场直播里，白色鼠标老师不仅分享了自己如何从edusrc入门一步步走到3个月70W赏金的心路

CISA将Citrix和Git漏洞列入被利用目录，全球厂商应迅速修补

美国网络安全和基础设施安全局(CISA)在其"已知被利用漏洞"(KEV)目录中新增了三项漏洞，警告称恶意攻击者正在野外积极利用这些漏洞。这些漏洞包括两个影响Citrix Session Recordi

安全运营中心（SOC）陷入困境的根源与破局之道

尽管各大企业在安全运营中心（Security Operations Center，SOC）和先进检测技术上投入了数百万美元或人民币，但数据泄露事件仍屡见不鲜，且呈现持续上升趋势。根据实践经验，当前仅

新加坡团队推出新型AI工具，革新内网威胁防御测试体系

Part01内网威胁检测的困境内网威胁（Insider Threat）因其攻击者具有合法访问权限而成为最难检测的攻击类型之一。尽管安全团队深知其风险，但长期缺乏可用于训练系统的数据来识别恶意行为的细

2025网安行业优质播客精选集⑨

01 首席信息安全官深度解析企业网络安全掌舵者的角色与职责本期节目：本期播客讨论了首席信息安全官在企业中的普及程度及其对企业带来的实际好处。指出北美地区仅45%的企业设有此职位，且能进入C级高管团队的

针对女性的钓鱼邮件：借化妆品试用之名，点开即感染恶意软件

网络安全研究人员近日披露了一种新型攻击链，该攻击链通过针对我国国内女性消费者的钓鱼邮件，投递名为VShell的开源后门程序。Part01文件名暗藏玄机Trellix研究员Sagar Bade在技术报

人工智能公司推出新型AI分类器，可阻断用户研发核武器

当用户向Claude AI询问铀-235等核武器或核燃料的技术原理时，该人工智能会生成相应回答。但如果试图详细了解如何制造核武器，则很可能会被系统拦截。Part01新型分类器精准识别危险查询近期，A

黑客仅需简单短语即可绕过AI防护：ChatGPT-5降级攻击漏洞曝光

OpenAI最新旗舰模型ChatGPT-5存在关键漏洞，攻击者使用简单短语即可绕过其高级安全防护。Adversa AI研究人员将该漏洞命名为"PROMISQROUTE"，其利用了主流AI厂商为降低计

一周网安优质PDF资源推荐 | FreeBuf知识大陆

仅需10-15分钟，人工智能即可生成已公开漏洞的有效利用代码

最新研究表明，人工智能系统仅需10-15分钟即可针对新发布的通用漏洞披露（CVE）自动生成有效利用代码，每份利用代码成本约为1美元。这一突破性进展大幅压缩了防御者传统上依赖的"缓冲期"——即从漏洞公

紧急更新！苹果高危0day漏洞曝光，1张图片即可导致内存损坏

近日，苹果公司发布紧急安全更新，修复其ImageIO框架中一个已被黑客积极利用的零日漏洞CVE-2025-43300。该漏洞危险性极高，攻击者仅需1张图片即可致使未更新的苹果设备内存损坏、应用程序崩

FreeBuf周报 | 特斯拉车主隐私 “裸奔”；Windows安全更新引发硬盘故障

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🚗特斯拉车主隐私 “裸奔”，GPS 坐标、驾驶习惯等随意获取🌎Wi

流行JavaScript库存在严重漏洞，威胁全球Web安全

Part01漏洞概述广泛使用的JavaScript加密库sha.js近日披露了一个严重安全漏洞。该库实现了安全哈希算法（Secure Hash Algorithm，SHA）系列，每周下载量超过140

全自动渗透工具5.0上线，AI将取代渗透测试工程师

面对一个目标，你规划好了攻击路径——先信息收集，再端口探测，然后 Web 爬虫，最后上扫描器验证漏洞。思路清晰，但过程枯燥：需要在终端、工具和浏览器间不断切换，复制目标、调整参数、分析结果，大量时间花

麒麟勒索软件团伙宣称窃取日产汽车4TB设计数据

Part01数据泄露事件概述麒麟（Qilin）勒索软件团伙宣称入侵了日产汽车旗下设计子公司Creative Box Inc.（CBI），窃取超过4TB数据，并公开了汽车设计文件、财务数据、3D模型和

PromptFix攻击：AI浏览器可能被诱骗在虚假商店完成支付

网络安全公司Guardio Labs的研究人员发现，旨在辅助用户的AI系统可能成为新型数字威胁的受害者，他们将这种现象称为"Scamlexity"（诈骗复杂性）。这种名为PromptFix的攻击技术

收件箱之外的威胁：网络间谍组织如何利用两个WinRAR漏洞展开攻击

BI.ZONE威胁情报团队发现，代号为"纸狼"(GOFFEE)的黑客组织近期开展了一系列针对性网络间谍活动，该组织同时利用了一个已知的WinRAR漏洞(CVE-2025-6218)和一个此前未知的零

十年渗透：俄罗斯APT组织如何长期利用思科设备漏洞

思科Talos团队最新分析报告揭露，俄罗斯国家支持的黑客组织"Static Tundra"十多年来持续利用未修补及已停产的思科设备实施攻击。该组织被认为与俄罗斯联邦安全局（FSB）存在关联，长期针对

FreeBuf热门电台精选集第十二期

📢本期热门电台抢先看：1.聊一聊接口服务如何防止被恶意请求🎯 2.应用程序白名单的方式对比杀毒软件的黑名单都有哪些优缺点？🔍 3.聊一聊零信任在企业攻防实践中的作用🛡️————————————『Fre

黑客组织涉嫌在暗网兜售Windows零日远程代码执行漏洞

据ThreatMon报告，某黑客组织正在兜售一个Windows零日远程代码执行（RCE）漏洞利用程序，声称该漏洞可攻击已完全更新的Windows 10、Windows 11和Windows Serv

Chrome高危漏洞可致浏览器崩溃或执行任意代码

谷歌已紧急发布Chrome安全更新，修复一个可能允许攻击者使浏览器崩溃或在受影响系统上执行任意代码的关键漏洞。Part01漏洞概况该高危漏洞编号为CVE-2025-9132，影响Chrome的V8

当《黑客帝国》照进现实：AI 安全幻影特工队的破界行动

当AI的触角深入现实肌理，智能客服依托自然语言处理（NLP）技术处理千万次咨询时精准识别诈骗意图，自动驾驶系统通过多模态融合算法在暴雨中校准毫米波雷达的每一次扫描，金融大模型凭借联邦学习框架在毫秒间完

4个月70万赏金，挖洞赛道再闯出一匹黑马！

4个月，70W！漏洞挖掘赛道又杀出了一匹让人瞠目的黑马。而更让人惊掉下巴的是——这位高手，居然只有17岁！接触挖洞也才不到两年…这是天赋爆发，还是背后有高人指路？今天我们特地请来了这位黑马师傅——白色