【安全圈】GrafanaGhost：攻击者可利用 Grafana 泄露企业数据

关键词漏洞Noma Security最新研究显示，Grafana AI组件处理信息的方式存在漏洞，可能允许攻击者绕过应用防护并泄露企业信息。Grafana是一款开源分析和可视化应用，从各种来源摄取数据

【安全圈】SaaS 集成商遭入侵，Snowflake 客户数据被盗

关键词黑客十多家公司在SaaS集成提供商遭入侵、认证令牌被盗后遭受数据窃取攻击。虽然众多云存储和SaaS供应商成为被盗令牌的目标，但BleepingComputer获悉，大多数数据窃取攻击针对的是云数

【漏洞通告】Vite WebSocket 任意文件读取漏洞 CVE-2026-39363

漏洞名称：Vite WebSocket 任意文件读取漏洞(CVE-2026-39363)组件名称：Vite影响范围：8.0.0 ≤ Vite ≤ 8.0.47.0.0 ≤ Vite ≤ 7.3.16.

【漏洞通告】Apache ActiveMQ Classic 远程代码执行漏洞 CVE-2026-34197

漏洞名称：Apache ActiveMQ Classic 远程代码执行漏洞(CVE-2026-34197)组件名称：Apache-ActiveMQ影响范围：5.x < 5.19.46.0.0 ≤ 6.

网安原创文章推荐【2026/4/7】

2026-04-07 微信公众号精选安全技术文章总览洞见网安 2026-04-07 0x1 从原理到实战：COM劫持持久化机制全解析大仙安全说 2026-04-07 14:16:32 本文深入解

一线牵三伙：一次入侵揭示横跨三大勒索软件组织的关联

摘要：The DFIR Report 团队在一次入侵调查中发现，同一名威胁行为者竟然同时与 Play、RansomHub 和 DragonForce 三大勒索软件组织存在关联。从伪装成 EarthTi

APT28利用SOHO路由器发动DNS劫持与中间人攻击

来源：Microsoft Threat Intelligence Blog · 2026-04-07📌 核心要点俄罗斯军事情报组织 Forest Blizzard（即 APT28/Strontium）

取证圈顶流“小龙虾”实现手机全自动化取证

点击上方蓝字“小谢取证”一起玩耍你是否会遇到过以下问题？ 1.手机取证流程繁琐且某些案件可能存在检材量多导致工作负荷大，加班是常态。 2.对于基层单位来说，手机检材类型

用JVS小龙虾来应急，简直不要太快！

今天我在服务器上发现了一条异常日志：这属于明显的自动化抓鸡工具尝试利用某个通用漏洞进行扫描探测，一旦命中漏洞就执行脚本安装一系列的恶意木马病毒，最近小龙虾挺火的，正好阿里云推出的 JVS 小龙虾，有

Anthropic拒美军AI武器化遭封杀，引爆企业自治与政府监管大战

Part01核心矛盾：AI系统控制权归属Anthropic PBC与美国国防部不断升级的争端，揭示了人工智能市场的根本性矛盾：究竟谁该掌控强大AI系统的使用权。这场始于合同与政策分歧的冲突，已演变为涉

AI Agent时代，阿里云的安全养虾秘籍

2026年3月，AI圈最火的话题不是某个大模型的版本更新，而是一只“龙虾”——OpenClaw。这个开源AI Agent框架发布仅四个多月，便创造了GitHub历史上的增长奇迹。国内的热度更加强烈：“

1.2万Flowise实例遭高危RCE漏洞攻击，AI平台面临沦陷风险

VulnCheck最新研究显示，威胁攻击者正在利用开源AI平台Flowise中一个最高危安全漏洞（CVE-2025-59528，CVSS评分：10.0）。该代码注入漏洞可导致远程代码执行（RCE）。P

新型GPUBreach攻击通过GDDR6位翻转实现CPU权限完全提权

最新学术研究发现了针对高性能图形处理器（GPU）的多重RowHammer攻击手段，攻击者可利用这些漏洞提升权限，在某些情况下甚至能完全控制主机系统。这些攻击技术被命名为GPUBreach、GDDRHa

【已复现】OpenAM 预认证反序列化远程代码执行漏洞（CVE-2026-33439）

漏洞概述漏洞名称OpenAM 预认证反序列化远程代码执行漏洞安恒CERT评级1级CVSS3.1评分9.8CVE编号CVE-2026-33439CNVD编号未分配CNNVD编号未分配安恒CERT编号DM

【公益译文】2026年国际AI安全报告（三）

往期推荐：2026年国际AI安全报告（二）2.1.1.AI生成内容用于犯罪活动2.2.1.可靠性问题AI在很多方面都存在缺陷，例如伪造法律条文和误诊医疗，对现实世界造成了危害。虽然专业人士也会犯错，但

AI安全案例分析 | Vertex AI 双面间谍攻击分析

概述Palo Alto Networks Unit 42 于 2026 年 3 月 31 日发布的报告，详细披露了 Google Cloud Vertex AI Agent Engine 中存在的一项

澳洲 DCE 时代结束，VASP 框架全面落地，机构需要准备什么？

BlockSec x AiYing 艾盈 联合出品2026 年 3 月 31 日，澳洲新版反洗钱义务正式生效。过去几年，澳洲 DCE（Digital Currency Exchange）注册一直是加密

微信4.x 小程序注入 JSRPC 与调用 wx.cloud

字数 347，阅读大约需 2 分钟前言首先在这感谢一位师傅在之前文章里留言又新又"夯"的小程序测试工具e534f71c8c9a1dc51d64a096650a8c1e.png亲自试过，确实可以。解决

从“用设备”到“造环境”：CVD正在改变整套玩法

《基于CVD的云手机定制与风控分析》这两年，很多人都在遇到一个越来越明显的问题：能用来做分析、做定制的设备，越来越少了。BL 能解锁的机型在减少新系统权限收紧，调试空间被压缩真机成本越来越高，维护越来

软件安全赛-2026-writeup NPUSEC

先来一张最终排名时截的：WEBthymeleaf新建新用户并计算出 admin 的密码，脚本如下：import reimport randomimport stringimport requestsi

npm 惊现恶意 Gemini 工具包：专盯 AI 开发者数据

近日，安全研究人员发现一起针对AI开发工具使用者的新型供应链攻击活动。2026年3月20日，一名攻击者在npm公共仓库中发布了名为gemini-ai-checker的软件包，声称其功能为“Google

辟谣！Everything没被银狐投毒！

2026年4月8日下午，微步情报局观察到有传言称everything工具某历史版本被“银狐”投毒，经过快速分析，我们初步确认：该版本的everything工具被“银狐”投毒传言为假，用户可正常使用。事

反汇编、流变与运行时把戏

原文链接作者https://f00crew.org/0x4af00crew今天直接裸奔——堕落恶意软件开发者视角，不加任何滤镜。我们要整一个自包含的变形引擎——内置 ARM64 反汇编器、活跃性分析器

Anthropic新模型让传统网络防御失效，AI主导网络安全的时代正在降临！

关注我们带你读懂网络安全Anthropic推出新一代前沿大模型Mythos预览版，网络安全能力尤其突出，能大规模自主发现并利用所有主流操作系统和浏览器的零日漏洞，颠覆了传统的补丁防御模式；Anthro

俄电信巨头被黑致使互联网瘫痪，银行、政务、娱乐等数字服务无法访问

关注我们带你读懂网络安全俄罗斯电信巨头Rostelecom遭受大规模DDoS攻击，导致全国互联网出现中断情况，许多用户无法访问银行、政务、娱乐等数字服务。前情回顾·俄罗斯网络威胁态势黑客惊魂！俄罗斯首

春聚榕城，共赴聚以致远 · 携手登峰之约

倒计时1天 | 美国2026 RSAC热点研讨暨第十八届信息安全高级论坛即将启幕

E2E VS SecOC的立场分析

点击上方蓝字谈思实验室获取更多汽车网络安全资讯01E2E和SecOC的侧重我们先回顾一下，SecOC和E2E对应PDU的构成，如下所示：这里，我们主要讨论SecOC的Authenticator和E2E

倒计时7天 | 特斯拉、现代、理想、小鹏、一汽大众、东风日产、岚图、江铃、上汽乘用车、长城等车企确认参加「AES 2026」

点击上方蓝字谈思实验室获取更多汽车网络安全资讯4月15-16日，由谈思实验室和谈思汽车主办、OPEN Alliance、SerDes 联盟在亚太区唯一联合支持的「AES 2026 第七届中国国际汽车以

AES 2026 前沿技术直击③ | 同星智能国产汽车电子基础工具链：TSMaster + 多总线硬件，实现以太网全栈测试自主可控

点击上方蓝字谈思实验室获取更多汽车网络安全资讯随着整车电子电气架构向区域化、中央计算演进，测试场景早已不是单一的CAN或以太网，而是10BASE‑T1S、100/1000BASE‑T1、CAN XL、