你的PDF阅读器可能正在替攻击者做信息搜集？快来一探究竟

BEAUTIFUL01先说结论如果你还把 PDF 阅读器当成一个相对被动、相对安全的文档查看工具，今天向各位少侠分享的Adobe Reader样本，可能会让你大跌眼镜。国外安全机构EXPMON在202

漏洞警报｜FortiClientEM产品爆发高危漏洞

01当前事件4月4日，Fortinet 发布紧急 hotfix，修复 FortiClient EMS 的一个 API 认证与授权绕过漏洞，编号 CVE-2026-35616，CVSS 9.1。Fort

基于SAST+AI代码审计 架构与功能详解

Java-Audit 架构与功能详解之前的代码审计项目由同事接手了，然后他改了很多东西。那理论上，我这水逼项目和产品也不搭边了，所以直接开了！相对于之前优化的点joern扫描结果的过

警惕axios供应链投毒，请少侠们按需应急

npm上最流行的HTTP库axios，被人偷偷加了恶意代码。受影响的版本是axios@1.14.1和axios@0.30.4。如果你或者你的团队用过这两个版本，需要立刻检查。这个攻击被发现不满24小时

AI用户务必关注，Langflow未授权RCE分析（CVE-2026-33017）

1事件概述2026年3月，Langflow被发现存在未授权远程代码执行漏洞。攻击者在漏洞披露后20小时内就开始利用该漏洞。CISA已将此漏洞列入KEV目录，要求2026年4月8日前完成修复。（注：对于

供应链预警｜LiteLLM、Apifox两起供应链投毒事件，紧急应急

01安全预警🚨LiteLLM供应链投毒 — 风险排查风险说明受影响版本：litellm version = 1.82.7, 1.82.8恶意文件：litellm_init.pth危害行为：Python

OpenClaw从爆火到爆雷，结构性安全风险的风险究竟有多大

本文为师傅们分析OpenClaw部署的结构性风险，文章最后部分有Openclaw安全部署Skill，请多多试用与反馈。01从GitHub神话到工信部预警，只用了45天2026年1月29日，一个叫Pet

安全验证的困境：为什么我们一直在"盲人摸象"？

各位少侠好，我是千里。前两天刷The Hacker News，看到一篇讲安全验证正在走向Agentic的文章（请在文章底部左下角【查看原文】进行查看）。说实话，这类趋势分析我以前是不太想写的——满篇都

AI安全应用实战复盘：一场2小时的深度交流，我们聊了什么？

大家好，我是千里。昨晚做了一场直播，主题是AI安全应用研讨会，整整聊了2个小时。今天把昨晚的精华内容整理成文章，分享给没来得及看直播的朋友。这场直播的核心只有一个话题：AI到底能不能帮我们做安全？怎么

Docker青龙面板挖矿入侵事件应急复盘

这是一起典型的容器入侵事件，攻击者试图通过青龙面板漏洞投递挖矿木马。虽然攻击最终失败，但整个排查过程值得分享出来，一起记录和学习。 事件背景那天我发现最近在青龙面板运行的脚本不再运行了，并

OpenAI Codex Security对于思考当下安全人员价值的意义

01前言2026年3月，OpenAI发布了Codex Security。这是一个专门做应用安全的AI工具，官方说法是：30天扫描了120万次代码提交，发现了792个关键漏洞，10561个高危问题。消息

由CISA紧急通报海康威视与罗克韦尔漏洞引发的思考

引言01🔴 核心观点：别以为老漏洞没事，攻击者还在用！就在昨天，美国网络安全和基础设施安全局（CISA）再次敲响了安全警钟。2026年3月5日，CISA在其著名的"已知被利用漏洞目录"（

【隐侠&听风】代码审计Skill使用痛点征集

此前，我们正式发布了代码审计 Skill，并通过视频号沙龙直播与公众号文章，分享了一系列实战心得与落地经验。产品上线后，我们收到了众多业内同行与技术大佬的真实反馈：有人已顺畅落地、高效赋能日常工作；也

币安Skills Hub：散户的"机构级超能力"来了

昨天刷到鸟哥的文章，看完我惊了，没想到头部交易所也加入Skills这场游戏。Binance Skills的出现，不只是币圈skill从0到1那么简单，要知道，在加密货币市场，散户最缺的从来不是那点本金

OpenClaw惊爆"ClawJacked"漏洞：AI Agent已被静默接管？

昨天小隐（千里's Claw&Friend）刷Twitter，看到Oasis Security发了一条推，说发现了OpenClaw的一个高危漏洞，名字叫ClawJacked。我当时的反应是：又是Ope

国外执法部门重拳出击：一天端掉两个网络犯罪平台

昨天，网络安全领域发生了两件大事。Europol牵头捣毁了Tycoon 2FA钓鱼平台，FBI查封了LeakBase暗网论坛。同一天，两个全球最大的网络犯罪平台被连根拔起。这不仅仅是执法行动的胜利，更

AI浪潮下，今天安全圈在发生什么【2026.3.4】

📋 内容导航第一部分：知识星球今日文章总结第二部分： Gartner预测：40%企业年底嵌入AI Agents第三部分： CVE-2026-20127：Cisco SD-WAN零日漏洞（CVSS 10

AI代码审计Skill实战：从0到1的构建指南

这是一篇关于如何用AI Skill赋能代码审计的实战总结，来自昨晚的一场内部技术沙龙。01写在前面年前我们开始折腾Code Audit Skill，初衷很简单——不是为了蹭热点，而是发现这玩意儿确实能

OpenClaw漏洞大揭秘：一键RCE、WebSocket劫持与供应链投毒

各位少侠好，我是千里。企业安全BP，关注AI、安全、加密货币领域。今天想和大家聊聊一个最近很火的开源AI Agent框架——OpenClaw，以及它的安全问题。 背景：OpenClaw是谁

致所有安全从业者：AI不是敌人，是时候拥抱它了

各位少侠好，我是千里。最近半年，我被问最多的问题就是：“千里，你怎么看AI？”“AI这么火，我们是不是要被取代了？”“别人都在用AI，我还该不该学？”今天我想聊聊心里话。 我们在害怕什么？

网安人必看！我做了个漏洞报告生成Skill，效率大幅提升

各位少侠好，我是千里。最近鼓捣了一个新东西——安全报告编写助手，今天来给大家分享一下这段时间探索 AI Agent Skill 的阶段性成果。 背景：被报告支配的恐惧01相信各位做安全的少

网安人如何开发AI Agent Skill？如何打造可复用数字资产?

AI Agent现在越来越火，不管是日常工作还是专业领域，大家都想靠它提高效率。但很多人用下来会发现，光写Prompt总觉得不够用，临时写的指令用完就丢，团队里的好经验也没法一直复用。其实答案很简单，

守护不变，初心如一，东方隐侠祝您新春大吉

东方隐侠限量红包封面，快快领取～

圆桌会议复盘，WAF/HIDS建设如何走出告警泥潭？

WAF与HIDS常被视为企业安全防护体系中的守门员，但随着攻击手段向隐蔽化、工程化演进，传统的防护模式正面临巨大挑战，一红队利用加密隧道、内存马往往能够绕过拦截防护，纯WAF/HIDS的运营日均10W

就在今晚！圆桌对话：赋能WAF/HIDS安全运营的痛点分析与未来演进

千里Trace，安全无界｜圆桌对话：赋能WAF/HIDS安全运营的痛点分析与未来演进

《千里Trace，安全无界》开篇：跳出认知盲区，追溯安全的本质

Hi，各位少侠，我是东方隐侠团队的安全千里。这是我开启全新个人网安系列作品《千里Trace，安全无界》的第一篇文章。先简单介绍一下自己：深耕网络安全领域8年+，经验涵盖安全运营、安全管理和数据安全。精

CVE-2025-14847 - MongoDB Unauthenticated Memory Leak

漏洞简介MongoDB 是一种流行的开源 NoSQL 数据库，用于以灵活的、基于文档的格式存储和管理数据。它将数据存储为类似 JSON 的文档（称为 BSON），而不是像传统 SQL 数

【第五空间简史】第15节 凯文·米特尼克被捕（1995）

1995年2月15日凌晨，北卡罗来纳州罗利市一间不起眼的公寓内，FBI特工破门而入，逮捕了凯文·米特尼克（英语：Kevin David Mitnick，1963年8月6日—2023年7月16日）。他当