长达 18 年未被发现！NGINX 漏洞可致未授权 RCE

高危漏洞 紧急修复指南 RCE Patch 网络安全研究人员披露了多个影响 NGINX Plus 和 NGINX Open 的安全漏洞，其中包括一个长达 18 年未被发现的严重漏洞。推测e该漏洞

邀请函 | 2026 AI+网络安全高级研讨会

为贯彻落实教育部关于深化产教融合、推进网络安全新工科建设与“AI + 教育”融合发展的要求，在中国网络空间安全人才教育论坛（网教盟）指导下，湖南蚁景科技有限公司拟于2026年7月27日-7月31日在广

【免费领】国内第一本Android应用安全与逆向分析教程

点击蓝字/关注我们今日福利安卓应用安全与逆向分析实操手册结合案例讲解Android安全及逆向分析注重实操及原理讲解，提升实战水平限时福利，请及时领取哦 ~该资料内容较多，以下为节选的部分目录：长按识别

【公益译文】2026年国际AI安全报告（七）

往期推荐：2026年国际AI安全报告（六）3.4.开放权重模型权重是使模型能够处理输入并生成输出的数学参数，AI企业对其模型权重具有的访问权限级别会影响模型带来的风险。对于任何特定的模型，公司可以选择

是时候让安全运营Agent“直连”数据底座了

安全简讯（2026.05.15）

1. Linux曝新高危内核提权漏洞“Fragnasia”5月14日，Linux发行版正在紧急推出补丁，以修复一个名为“Fragnasia”的新高危内核权限提升漏洞，编号为CVE-2026-46300

【漏洞通告】NGINX ngx_http_rewrite_module堆缓冲区溢出漏洞(CVE-2026-42945)

一、漏洞概述漏洞名称NGINX ngx_http_rewrite_module堆缓冲区溢出漏洞CVE IDCVE-2026-42945漏洞类型RCE发现时间2026-5-15漏洞评分8.1漏洞等级

提权实录：通过命名管道劫持可写服务

前言在分析某 Windows 应用的服务组件时，发现其创建的命名管道访问控制配置宽松，允许低权限用户连接并发送指令，从而触发高权限的终止任意进程操作（taskkill）。进一步分析发现，被终止的服务

火绒小问答——「企业版」IP协议控制如何使用

尊敬的用户，您好！为帮助企业精细化管控网络流量、规避网络攻击与数据泄露风险，火绒安全企业版提供IP协议控制功能。该功能可实现IP、域名、端口等多维网络访问管控，适配多种企业安全防护场景。下面为您详细介

【火绒安全周报】富士康美国工厂遭网络攻击/斯柯达数据泄露

富士康美国工厂遭网络攻击近日，富士康美国威斯康星州工厂遭网络攻击，勒索组织Nitrogen宣称窃取超1100万份、约8TB文件，涉及英特尔、谷歌、AMD等企业机密资料，含电路设计、网络拓扑、服务器架构

诚邀渠道合作伙伴共启新征程

随着业务的不断扩展和市场需求的增长，火绒安全寻求更多优秀的合作伙伴加入我们的行列。我们特别开启了渠道伙伴招募计划，期待与更多志同道合的伙伴一起把握行业趋势，共同开拓市场潜力，携手共创网络安全的美好未来

你的 Agent 丝滑接管 Microsoft Edge 了

【已复现】Linux Kernel ptrace 本地权限提升漏洞(QVD-2026-26977)安全风险通告

● 点击↑蓝字关注我们，获取更多安全风险通告漏洞概述漏洞名称Linux Kernel ptrace 本地权限提升漏洞漏洞编号QVD-2026-26977公开时间2026-05-14影响量级百万级奇安信

这个「智能体」搭子，可以认识下🤝

随着《智能体规范应用与创新发展实施意见》发布，国内智能体产业将告别粗放式探索阶段，迈入技术筑基、规范运行、安全可控的高质量发展新时期。政策明确要求夯实智能体技术底座、明晰运行准则、筑牢安全防线，为智能

Windows 存储空间控制器提权漏洞（CVE-2026-35415）简析

Windows 存储空间控制器（Storage Spaces Controller）曝出本地权限提升漏洞（CVE-2026-35415 CVSS 7.8）。 攻击者在具备本地低权限执行能力的条件下，可

每日安全动态推送(26/5/15)

• CVE-2025-68670：xrdp 中通过 UTF-8 缓冲区溢出实现的认证前 RCE 漏洞https://securelist.com/cve-2025-68670/119742/本文深入

习近平同美国总统特朗普在中南海小范围会晤

5月15日上午，国家主席习近平在中南海同美国总统特朗普举行小范围会晤。春末夏初的中南海，绿荫渐浓、草木葱茏。特朗普抵达时，习近平热情迎接。两国元首边走边谈，不时驻足观赏园中苍劲挺拔的古树和各色月季。习

我如何让一个AI代理写出自己的恶意软件并执行

官网：http://securitytech.ccGetDot 的 Root Context Agent 给我构建了一个反向 shell 并运行了它。我只是发了短信。Root Agent at 旨在帮

我对一个真实的CRM系统进行了渗透测试，发现了4个关键漏洞——以下是完整的攻击链

官网：http://securitytech.cc披露通知：本评估在组织首席执行官及高级领导层的明确书面授权下进行。所有敏感细节——包括目标域名、公司名称、Supabase项目标识符、API密钥、凭证

二进制逆向智能分析辅助工具V3.1

APK逆向分析工具V1.2App涉诈取证溯源分析V1.5APK安全智能分析工具V5.3Android安全检测工具(2026)Android逆向智能分析工具V1.4Android逆向智能分析工具V1.5

npm热门依赖包遭投毒，维护者账号被接管

事件概述微步情报局监测到，2026年5月14日，npm生态中的热门依赖包node-ipc遭受供应链攻击。攻击者疑似通过被接管的维护者账户atiertant 发布了三个恶意版本：9.1.6、9.2.3

春日福利暴击！陌陌 Q1 直播抽奖，惊喜好礼等你来薅～

陌陌安全Q1福利来袭MMSRC2026Q1直播抽奖陌陌安全应急响应中心，向每一位超会 “找 bug” 的挖洞人致敬！你们手握代码利刃，精准锁定漏洞靶心，一路为平台扫清风险，用硬核实力守护陌陌安全。值此

十九载十九行，行行筑安全：安恒信息19周年，致敬每一份信任

1、网信 痛 点 监管覆盖范围广、新业态迭代快、网络风险隐蔽多发，亟需打造服务网信监管的AI赋能新范式。 实 践 搭建一体化、智能化、全覆盖的网信监管治理体系依托安恒信息恒脑安全智能体与人机协同

十九周岁安恒的来信：以AI为舵，以数据为舟，跨越山海

点点赞点分享点喜欢点击下方名片立即关注不走丢哦！往期精彩回顾获评甲级资质！安恒信息连续6届入选CNCERT网络安全应急服务支撑单位2026-05-14AI时代，动态数据安全的破局之作——《数据安全理论

抢先加入AI时代顶尖安全团队！阿里云2027届实习生招聘来了！

多岗位、高成长、强技术！AI时代的安全守护者正在招募！阿里云安全保障团队2027届实习生招聘开启投递简历请在标题处备注【先知推荐】，抢占先机～转发抽奖关注 阿里安全响应中心 公众号公开转发本文至朋友圈

缓存投毒导致的 XSS 接管账号

缓存投毒导致的 XSS 接管账号正文通过缓存投毒导致的 XSS 接管账号。原因是：hav Cookie 会被反射到这个响应里：https://www.abritel.fr/annonces/locat

每周高级威胁情报解读(2026.05.08~05.14)

2026.05.08~05.14攻击团伙情报EasterBunny：归因于 APT29 的高级间谍工具Kimsuky组织依托GitHub+Dropbox分发恶意载荷的攻击活动分析Lazarus Gro

揭露偷资料的小偷学员

事情的起因是实在教不了他了，打算退钱了，然后就发生了今天这个事情。希望大家引以为戒。本来我的讲课资料是不会公开的，证据在这，大家看，最早是3月8日，然后这个人开始偷了我的资料和我自己研究的一些未公开的

OpenAI被供应链投毒

大家好！我是 OpenAI 安全团队的一名工程师，大家可能还记得，我们之前就因为 Axios 那次供应链投毒事件吃过亏。今天想给大家讲讲我们公司前几天亲身经历的又一场“供应链惊魂记”——就是那个 Ta

收到工资1002415.13元，爱你华为！！！

昨夜，一位华为员工从传统开发岗成功转岗到算法大模型岗，在网上晒出自己100w的工资条并大胆示“爱”，在行业内掀起了阵阵热潮。如今，这股强劲的AI之风，终究还是吹到了后端领域，既是风险，也是机遇。 传统