你的内网资产正在“裸奔”?CISA最新发布暴露面收敛指南
在这个“万物互联”的时代,作为安全从业者,你最害怕的是什么?不是高深的0day漏洞,而是——你自己都不知道的内网资产,正赤裸裸地挂在互联网上,随时准备迎接黑客的“光临”。无论是配置错误的服务器、默认弱
阅读全文AI一周开发出高级恶意软件,网络犯罪一人产业链开始出现?
首个利用国产AI IDE开发的高级恶意软件曝光!利用AI编码,一人一周即编写出可运行版本。据悉,该恶意软件正处于积极开发状态,附带大量文档,且目前尚未发现任何存活感染,这代表它很可能是用于对客户销售用
阅读全文揭秘"间接提示注入"如何将Google Gemini变成监控工具
安全研究人员在Google的AI生态系统中发现了一个新型漏洞,能将普通日历邀请转变为隐蔽监控工具。Miggo Security研究主管Liad Eliyahu带领团队发现了利用"间接提示注入"绕过Go
阅读全文自动化代码审计,支持PHP、Java、Python、Go、Node.js等多种语言项目环境搭建、漏洞分析、漏洞验证、报告产出
工具介绍一个基于LLM的多Agent全流程漏洞挖掘项目,支持PHP、Java、Python、Go、Node.js等多种语言项目环境搭建、漏洞分析、漏洞验证、报告产出。支持多Agent并发高效率完成漏洞
阅读全文Pwn2Own 2026首日,研究人员凭借37个独特0Day漏洞斩获51.65万美元
Pwn2Own Automotive 2026赛事首日,研究人员通过37个0Day漏洞获得51.65万美元奖金。目前赛事累计曝光66个独特漏洞,总奖金达95.575万美元,凸显汽车行业巨大的攻击面。P
阅读全文高端运动品牌7200万用户个人信息疑似泄露,官方称正在调查
泄露数据中包含姓名、电子邮箱、性别、出生日期、购买行为相关信息等,安德玛称已开展调查,强调目前未发现业务系统受到影响。在网络犯罪分子将大量条客户记录发布到一个黑客论坛后,美国知名运动服装和数据公司安德
阅读全文Linux黑客入侵痕迹排查工具
工具介绍 一个用于快速检查 Linux 系统常见安全与运行情况的脚本:Linux_checklist.sh。主要检查项一、检查网卡是否在偷偷抓包(嗅探内网密码)。二、检查内存中有进程在跑,但对应的磁盘
阅读全文ClickHouse 数据库渗透及攻防指南
文章作者:先知社区(SecurityPaper)文章来源:https://xz.aliyun.com/news/912971►概述什么是 ClickHouseClickHouse 是由 Yandex
阅读全文刷新认知!AI协作24小时共创全新编程语言,已开源
当AI从代码辅助工具升级为"核心协作伙伴",软件开发的效率天花板被重新定义。比利时资深开发者Bernard Lambeau与Anthropic旗下Claude Code联手,仅用24小时就从零打造出完
阅读全文泄露200万余名患者健康信息,医疗软件厂商赔偿超7300万元
美国医疗科技公司Veradigm Inc.同意支付超7300万元,以和解一宗2024年发生的数据泄露事件,该事件造成了200余万名患者的个人身份、健康、保险理赔、支付等信息被泄露。美国医疗科技公司Ve
阅读全文耐克公司疑遭WorldLeaks勒索软件组织入侵,外泄TB级数据
运动鞋服制造商耐克公司成为 WorldLeaks 勒索软件组织的最新受害者,该组织以经济利益驱动,专门实施数据勒索攻击。1月22日,该组织在其暗网泄露网站上宣布了此次入侵事件,声称对事件负责,并威胁将
阅读全文下一代 SRC 与资产监测平台
工具介绍 Mars(战神),一款自动化的比较全面的搜集资产信息并能监测资产的变化情况,及时发现新应用或新服务,并能自动化匹配POC进行检测,进而提高SRC漏洞挖掘效率,所以在资产发现、指纹探测、变更监
阅读全文首个完全由AI设计开发的高级恶意软件框架问世
长期以来,安全行业始终在讨论一个问题:当人工智能真正进入攻击侧,会发生什么?Check Point Research(CPR)近日发布的一份研究报告,给出了一个极具现实感的答案——一款名为VoidLi
阅读全文2025年全球十大勒索软件攻击事件盘点
近日,360数字安全集团以2025年全年勒索软件事件监测、分析与处置数据为基石,融合国内外一线安全态势数据、权威研究报告及国际热点事件情报,经综合研判梳理后,权威发布《2025年勒索软件流行态势报告》
阅读全文世界经济论坛2026:AI将主导网络安全领域
世界经济论坛(WEF)发布的《2026全球网络安全展望》报告显示,人工智能(AI)仍是影响网络安全的关键因素。报告指出,AI技术进步、地缘政治分裂加剧以及供应链复杂性上升,正在放大网络风险。Part0
阅读全文下一代 SRC 与资产监测平台
工具介绍 Mars(战神),一款自动化的比较全面的搜集资产信息并能监测资产的变化情况,及时发现新应用或新服务,并能自动化匹配POC进行检测,进而提高SRC漏洞挖掘效率,所以在资产发现、指纹探测、变更监
阅读全文欧盟拟立法禁止外国高风险ICT供应商,实现关基行业“自主可控”
修订提案要求欧盟国家在关键领域禁止外国高风险ICT供应商,将此前的5G工具箱行动转化为强制制度,试图排除我国通信企业。欧盟委员会日前提出修订后的《网络安全法》,旨在引入一套法律框架,要求欧盟国家在关键
阅读全文东南亚120亿美元Telegram非法交易平台“土豆担保”停止交易
Part01东南亚大型非法交易平台疑似停运区块链网络安全公司Elliptic报告指出,东南亚地区基于Telegram的大型非法交易平台"土豆担保"(Tudou Guarantee)已停止其公开群组的交
阅读全文严重漏洞WhisperPair曝光:黑客可通过蓝牙音频设备实施追踪与窃听
安全研究人员在 Google 的Fast Pair(快速配对)协议中发现了一个严重漏洞,攻击者可利用该漏洞劫持蓝牙音频配件、追踪用户位置并窃听对话。 该漏洞编号为 CVE-2025-36911,被命名
阅读全文新Shiro反序列化漏洞一站式综合利用工具
工具介绍ShiroExploit,是一款Shiro反序列化漏洞一站式综合利用工具。工具功能1、区分ShiroAttack2,采用分块传输内存马,每块大小不超过4000。2、可打JDK高版本的shiro
阅读全文立讯精密遭黑客攻破,苹果、英伟达等绝密图纸恐曝光|3300 万条短信洞察:免密登录成黑客后门,数百万用户隐私裸奔
关键词黑客科技媒体 cybernews 于 1 月 20 日发布博文,报道称苹果核心代工厂立讯精密(Luxshare)遭勒索软件组织 RansomHub 攻击,包括苹果、英伟达、特斯拉及 LG 在内的
阅读全文险遭大停电!波兰全国可再生能源设施遭遇大规模网络攻击
这起事件针对大量分布式可再生能源设施,并蓄意干扰其与电网的通信;波兰政府表示成功挫败了此次攻击,并指责俄罗斯蓄意破坏行为。波兰政府日前表示,成功挫败了近年来针对该国能源基础设施最严重的一次网络攻击,从
阅读全文网络犯罪市场如何洗白数据泄露收益及安全团队的盲区
Part01数据泄露后的黑色产业链运作某个平静的周日夜晚,某企业客户数据库遭入侵。数百万条凭证和银行卡信息被悄无声息地窃取、分类后,出现在网络犯罪论坛知名欺诈商店中。随后几天,小型犯罪团伙购买这些数据
阅读全文XSS 漏洞练习靶场,覆盖反射型、存储型、DOM 型、SVG、CSP、框架注入、协议绕过等多种场景
工具介绍XSS-Sec 靶场项目是一个以“实战为导向”的 XSS 漏洞练习靶场,覆盖反射型、存储型、DOM 型、SVG、CSP、框架注入、协议绕过等多种场景。页面样式统一,逻辑清晰,适合系统化学习与教
阅读全文研究显示:GPT-5.2可稳定量产零日漏洞利用
一项最新研究正引发全球网络安全圈的广泛关注:先进大模型已能在几乎无人干预的前提下,稳定、规模化生成零日漏洞利用代码。这早已超越“AI能否编写PoC(概念验证代码)”的基础探讨,而是针对真实漏洞、真实防
阅读全文美国某头部银行被植入键盘记录器,潜伏窃取20万登录凭证
网络安全公司 Sansec 的研究人员发现,某美国头部银行的员工福利商城系统被植入键盘记录器。该恶意软件在运行约18小时后被清除,期间持续窃取网站表单内输入的所有内容,包括登录凭证、支付卡号及个人敏感
阅读全文2026 AI安全十大预测发布:提示注入成首要威胁,全球进入“AI原生”防御元年
基于我们在 2025 年与企业客户的实际工作总结而成的安全趋势判断每一年,我们都会基于在真实企业环境中的一线观察,发布 AI 安全趋势预测:企业是如何部署 AI 的,安全控制在哪些地方开始失效,攻击者
阅读全文挖矿病毒应急处置全流程!
挖矿病毒这类恶意程序通过非法占用主机 CPU、GPU 算力挖掘虚拟货币,不仅会导致设备性能骤降、能耗激增,还可能引发业务中断、数据泄露等连锁风险。面对挖矿病毒攻击,高效的应急处置需围绕 “清除病毒、溯
阅读全文李某以技术手段窃取赌博网站184万余名中国公民个人信息,已扣押其180余个比特币|利用购物平台漏洞窃取用户信息并骗取佣金1878万被判刑
关键词信息犯罪深圳 IT 男李东(化名)因其虚拟货币资产问题,先后被湖南张家界市公安局和河南长葛市公安局立案侦查。两地警方均曾以“开设赌场罪”对其立案,并扣押其比特币资产,合计价值超过 8000 万元
阅读全文谷歌Mandiant发布彩虹表工具集,可破解NTLMv1管理员密码
谷歌旗下 Mandiant 公司近日公开了一套完整的 Net-NTLMv1 彩虹表数据集,这一举措显著放大了传统认证协议的安全风险警示。Part01过时协议的安全危机此次发布传递了一个紧迫信号:企业必
阅读全文