"微软BitLocker故意植入的后门" ?自行判断!
导语:2026年5月12日,一名匿名安全研究员在GitHub上公开了YellowKey的完整概念验证代码,声称该漏洞能完全绕过Windows BitLocker全盘加密——无需密码、无需恢复密钥,只需
阅读全文1.9亿美元集体抢劫
导语:2022年8月1日,一个平平无奇的凌晨,Nomad跨链桥上悄然发生了一件足以载入加密货币史册的事件——将近1.9亿美元,在几个小时之内,被超过300个地址以"复制粘贴"的方式瓜分殆尽。这不是某个
阅读全文一篇文章玩转蓝牙安全神器Spooftooph
蓝牙(Bluetooth)已经成为我们日常生活中不可或缺的无线通信技术——耳机、键盘、手机、智能手表、车载系统……几乎每台设备都配备了蓝牙。然而,便利性的另一面是攻击面。在 Kali Linux 中,
阅读全文情报暗网宣称 OpenAI 数据泄露(62GB)
一个名为 MrLucxy 的威胁行为者在暗网出售的“OpenAI 数据集”的具体情况:宣称数据量:压缩包约 14.6 GB,声称解压后超过 62 GB。宣称包含的文件类型:聊天日志、Slack 导出、
阅读全文17年前精准打击伊朗核计划的谜题终揭晓
导语:当一个恶意程序让你反复修改参数、不断增加药量,模拟结果却始终显示"失败"——而真相是测试其实是成功的,你作何感想?这不是科幻。2005年,一款名为 Fast16 的精密 sabotage 软件就
阅读全文Win 内核 LPE 漏洞 PoC 公开,从 Chrome 沙箱也能提权
导语:一个 CVSS 7.8 的漏洞,听起来"只是中危"——但当你知道攻击者可以从 Chrome 沙箱里稳定触发它、直接拿到系统最高权限,你就知道这个分数有多讽刺了。2026年5月12日,微软在每月例
阅读全文AI让CTF赛事'已死'
导语:当AI可以在48小时内清掉一场CTF中几乎所有题目,当记分板上排名的本质从"人类技能"变成"AI编排能力",这个曾经培养了无数安全人才的竞技生态,正在经历一场前所未有的生存危机。传统强队退出、老
阅读全文【安全评论】npm 又中招了:"我们无法预防"——唯一经常发生此事的包管理器
导语:2026年5月14日,npm 仓库中三个恶意版本的 node-ipc 包被同时发布,意图窃取全球开发者的云凭证、SSH 密钥和 AI 工具配置。这不是 npm 第一次发生这种事,当然也不会是最后
阅读全文恶意软件里的"黑色幽默":Shai-Hulud蠕虫藏着以色列/伊朗专属俄罗斯轮盘
导语:安全分析师在分析Shai-Hulud蠕虫代码时,发现了一个令人哭笑不得的彩蛋:Python版本会检测目标机器国籍——以色列或伊朗?来玩把俄罗斯轮盘吧,1/6概率删你全盘文件,还附赠最大音量警报。
阅读全文AI辅助挖洞翻车现场:Mythos改密码锁机,还邀功"我拿到RCE了
导语:AI时代,什么最珍贵?答案是——有权限改密码的AI最珍贵,但如果你不是那个被改密码的人的话。最近安全圈有个真实故事,研究员用AI辅助挖洞,AI不仅帮了忙,还顺便把门焊死了。事件经过这个故事的主角
阅读全文Orange Tsai柏林Pwn2Own封神:24小时狂揽37.5万美元
导语:打工人的天花板在哪里?有人靠加班,有人靠晋升,有人靠Pwn2Own。台湾研究员Orange Tsai刚刚用24小时证明了——搞安全研究,才是一本万利的职业选择。白帽黑客的"时薪"说完了骗子的lo
阅读全文收到实体勒索信:骗子从"键盘侠"转型"邮政诈骗
导语:你以为骗子只会发邮件、发短信、打电话?图样了。最近有个Ledger用户收到了一封信——物理意义上的、通过邮局寄的那种。这事儿告诉我们:数据泄露的坑,能埋你五年。一封来自骗子的"手写信"最近,一位
阅读全文OpenClaw 四漏洞链:24.5万个 AI Agent 服务器暴露在攻击之下
导语:2026年2月19日,单日报告23个漏洞,超过一半是严重级别。这个平台的运行日志正在成为黑客的藏宝图——API密钥、Telegram机器人令牌、私有SSH密钥、完整聊天记录,全部可以不经任何认证
阅读全文ssh-keysign-pwn:Linux 内核五月第四起本地提权漏洞
导语:你有一台Linux服务器,上面有一个普通用户账号。你没有root密码,也没有sudo权限。但你知道这台服务器上跑着SSH服务。现在的问题是:你能不能拿到SSH主机私钥?能不能读到/etc/sha
阅读全文Mythos AI 五天内攻破苹果 M5 内存完整性防御,MIE 五年研发一夜归零
导语:苹果用了五年时间,花了数十亿美元,打造了一套被认为是"不可绕过"的内核级内存安全系统 MIE。2025年9月,随着iPhone 17系列和M5芯片同时推出,MIE被苹果寄予厚望。5月16日,安全
阅读全文最贵的"断片":大学生嗑草改密码,11年后Claude顺手捞回35万美元
导语:2015年某大学生嗑大麻后改了比特币钱包密码,醒来忘了。5个BTC被锁11年,直到他找来了Claude——一个不是密码学家的AI。35万美元,11年牢狱,一场"断片"的终极代价。一场嗨掉的人生,
阅读全文18年潜伏Nginx RCE漏洞曝光 CVE-2026-42945
导语:2026年5月13日,安全公司Depthfirst借助其AI工具"Rift"发现了Nginx中存在长达18年的堆缓冲区溢出漏洞(CVE-2026-42945,CVSS 9.2)。该漏洞位于ngx
阅读全文Next.js曝出高危SSRF漏洞 CVE-2026-44578
导语:2026年5月11日,Vercel发布安全公告披露Next.js存在SSRF漏洞(CVE-2026-44578),CVSS评分8.6。所有自托管部署实例均受影响,攻击者无需认证即可通过特制Web
阅读全文node-ipc再遭投毒:npm供应链攻击第二波
导语:2026年5月14日,安全研究人员发现node-ipc的三个npm版本已被植入恶意代码,与2023年首发的那次类似,本次仍是账户劫持路径——攻击者获取了一个已注销邮箱域名后重置账户密码,直接发布
阅读全文富士康多家工厂遭勒索攻击,8TB超千万份客户敏感文件疑被窃取
富士康美国多家工厂在上周断网停产多天后有了新的进展,Nitrogen勒索软件在暗网博客宣称对此负责,称从该公司窃取了8TB超千万份客户敏感文件,至少部分与谷歌有关;富士康确认遭受网络攻击,正在努力恢复
阅读全文AI 驱动的红队免杀知识库 | Webshell 免杀、WAF/RASP/EDR 绕过、流量伪装等实战Tips
这是什么AI Redteam Notes这是一个 AI 辅助生成 的红队对抗技术笔记仓库。内容涵盖 Webshell 免杀、WAF/RASP/EDR 绕过、流量伪装等实战技术点。所有内容均由 AI 根
阅读全文重要!2026HW招募!优先中高!
2026HW招募 ►关于HW网络安全行业内的大规模攻防演练;全国范围,首推一线; ► 关于时间视项目情况而定; ►关于招募对象蓝方人员:高级工程师、中级工程师、初级工程师;优先中高;招募对象初级工程师
阅读全文双胞胎删除 96个政府数据库案
导语:2026年5月7日,弗吉尼亚州亚历山大市,34岁的索哈伊布·阿赫特被联邦陪审团一致认定:阴谋欺诈计算机罪、密码贩卖罪、非法持有枪支罪——全部成立。这并非初犯,而是他第二次站上联邦法庭的被告席。而
阅读全文"FailRelock":一个单词让微软第5次栽在BitLocker上
导语:微软的Windows恢复环境里有个调试标志叫"FailRelock"——字面意思"锁定失败"。设为1,解锁后的BitLocker永不重锁。攻击者用一个U盘加一个配置文件,就能让所有加密形同虚设。
阅读全文AI代码审计批量辅助工具 | 通过规则层与大模型复核生成HTML报告
工具介绍代码审计批量辅助一个前端可访问的代码审计工作台,支持从 GitHub 发现候选开源 Web CMS,或直接导入本地仓库,再通过规则层与大模型复核生成可下载的 HTML 报告。控制台首页审计报告
阅读全文通过MQTT实时获取锂电池信息-MAX17048
在物联网方案中,我们需要读取锂电池的电压、容量、输出电流等信息。以便我们对电池状态有较好的掌握,以免造成设备停电带来故障。在前期的文章中,我们也讲到过利用INA219模块来实现对电池信息的获取,但是效
阅读全文离线、 断网 也能被攻破——物理隔离最后防线
导语:物理隔离这个"最后的防线"正在被重新审视。当年ODINI只是一个学术概念验证,但今天物理隔离网络被植入恶意软件的门槛已经大幅降低,这条攻击路线的可行性正在快速上升。想象一个场景:有一台计算机,断
阅读全文Pwn2Own被0day狂潮冲垮:一场暴露行业底层逻辑崩溃的安全危机
🌈导语:2026年Pwn2Own柏林站,创下19年历史纪录——不是因为技术突破,而是因为收到的0day太多,主办方Trend Micro ZDI直接关门拒收。紧接着,被拒研究者开始批量公开漏洞,一场围
阅读全文App过度索取授权或被境外间谍利用,国家安全部提醒→
手机里各种各样的应用程序(App)五花八门,在方便我们生活和工作的同时,似乎也越来越能精准地“捕捉”到我们的想法,相信不少人都有过“你在想什么,手机就给你推送什么”的经历。App的这种“正合我意”是怎
阅读全文