原创 | 小程序中云函数越权的探索

字数 1762，阅读大约需 9 分钟前言公司最近想把一部分业务迁移到云函数上。于是领导找到我，问我云函数可能存在哪些安全风险。我两眼一抹黑，支支吾吾说我找找。之前虽然了解过云函数，但那时候是搞云函数

OpenClaw安全性风险全链路分析及提示

OpenClaw（前身为 Clawdbot、Moltbot）是 2025 年 11 月上线的开源 AI Agent 框架，该项目被开发者定义为“真正可以执行任务的AI”，以惊人速度成为 GitHub

【漏洞通告】Nginx UI 信息泄露漏洞 （CVE-2026-27944）

漏洞名称：Nginx UI 信息泄露漏洞(CVE-2026-27944)组件名称：Nginx UI影响范围：Nginx UI < 2.3.3漏洞类型：信息泄露利用条件：1、用户认证：需要用户认证2、前

网络安全信息与动态周报2026年第9期（2月23日-3月1日）

本周网络安全基本态势本周，互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳，全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威

豆包有话说之OpenClaw

当全流量安全遇见“小龙虾”，您7*24小时在线的AI安全运营助手

企业数字化程度越深，产生的数据越海量，使传统网络流量分析系统（NTA）陷入瓶颈：数据存得下却挖不出，告警看得见却看不懂，安全运维总是低效耗时。从数据仓库到智能决策中心当安博通“鹰眼”全流量取证系统遇上

【安全圈】腾讯版小龙虾 WorkBuddy 爆火致服务不稳定，公司致歉并紧急扩容

关键词服务崩溃腾讯旗下全场景 AI 智能体 WorkBuddy 昨日正式上线，但随后便出现了服务器不稳定的问题。对此，腾讯云代码助手（CodeBuddy）团队昨晚发布致歉信。据介绍，CodeBuddy

【安全圈】切勿盲目跟风！有人因OpenClaw失控花费上万元

关键词AI失控据媒体报道，“养龙虾”最近成了互联网上最火爆的话题之一。能帮用户处理邮件、制作PPT、搞定Excel表格，俨然一个全能助理。随着热度飙升，各社交和电商平台上涌现出大量“上门安装”“远程一

【安全圈】美国教育行业高层敏感联系数据库泄露

关键词数据泄露2026年3月8日，【暗网威胁情报监测系统发现】用户Noaharnaut发布主题帖，公开泄露号称来自商业邮箱列表供应商US-Emaillistus.com（又称Emaillistus.c

【安全圈】微软已修复：黑客 22 万美元暗网兜售 Win10/Win11 高危漏洞

关键词高危漏洞科技媒体 NeoWin 今天（3 月 10 日）发布博文，网名为 Kamirmassabi 的新用户在暗网以 22 万美元（注：现汇率约合 152.2 万元人民币）的价格，兜售针对 Wi

AI“养龙虾”大火！警惕虚假程序攻击你的电脑

高危漏洞 紧急修复指南 RCE Patch 信息窃取型恶意软件是多起重大网络攻击的初始入侵途径。2026 年 2 月 GitHub 上冒充 OpenClaw 安装程序的恶意仓库，该仓库分发了搭载

🎯 渐进式披露：Agent的终极心法

初一下学期之面积最值

OpenClaw小龙虾安全排查指南

OpenClaw作为开源AI代理/管控平台，凭借便捷的部署与调用能力，在政企办公、研发运维等场景广泛落地，但平台自身漏洞、配置缺陷、权限管控不当等问题，极易引发权限劫持、数据泄露、远程代码执行等安全风

伪装OpenClaw，恶意GhostClaw大肆洗劫开发者数据

Part01恶意npm包伪装开发者工具近期出现针对软件开发者的高危恶意软件活动，一个名为@openclaw-ai/openclawai的恶意npm包伪装成可信开发者工具，暗中窃取凭证、加密钱包、SSH

Anthropic推出高价AI代码审查工具，效率惊人但费用昂贵

在软件开发过程中，获取代码反馈是确保新编写代码中的错误能在提交拉取请求（pull request）前被及时发现的关键环节。但随着AI编程机器人的兴起，开发者提交的代码量激增，已远超人工审查者的处理能力

AI诈骗工具ScamAgent可自主实施高成功率社会工程攻击

美国罗格斯大学研究员Sanket Badhe开发的ScamAgent是一个自主多轮对话AI框架，展示了如何将大语言模型（LLM）武器化以实现全自动诈骗通话。该系统通过整合目标驱动规划、上下文记忆和实时

基于Graph API的微软365红队图形化攻击工具包M365Pwned发布

代号为 OtterHacker 的红队研究人员公开发布了 M365Pwned，这是一套 WinForms 图形界面工具，专为通过应用级 OAuth 令牌（无需用户交互）枚举、搜索和窃取 Microso

一大波危险的“龙虾”来袭，绿盟君助您安全“养虾”

近期，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）发布了一则重磅预警：OpenClaw开源AI智能体部分实例在默认或不当配置下存在严重安全风险，极易引发网络攻击、信息泄露等安全问题。这一预

RSAC 2026创新沙盒 | Glide Identity：打造AI新一代无密码身份认证平台

// RSA Conference 2026 将于美国旧金山时间3月23日正式启幕。作为全球网络安全行业创新风向标，一直以来，大会的 Innovation Sandbox（创新沙盒）大赛不断为网

常用隧道穿透技术-FRP

本文选自《内网安全攻防：红队之路》扫描二维码75折购书一般的网络通信，先在两台机器之间建立TCP连接，然后进行正常的数据通信。在知道IP地址的情况下，可以直接发送报文；如果不知道IP地址，就需要将域名

AI没有颠覆网络安全：CrowdStrike年化收入突破360亿元叕创新高

关注我们带你读懂网络安全CrowdStrike2026财年报告显示，年化营收（ARR）突破360亿元，是行业第一的专业安全厂商；受益于新的采购方案Falcon Flex，公司安全平台收入（客户采购安全

美国法律专家称授权私营进攻性网络行动需要跨越三重门槛

编者按美国网络安全法律专家撰文称，特朗普政府3月6日发布的新版《美国网络战略》提出扩大私营企业进攻性网络行动中的作用，再次触及了长期悬而未决的法律和政策问题，但并未提供解决方案，不仅未能化解争议，反而

RSAC 2026创新沙盒-Realm Labs：洞察AI推理内核，前置防控安全风险

// RSA Conference 2026 将于美国旧金山时间3月23日正式启幕。作为全球网络安全行业创新风向标，一直以来，大会的 Innovation Sandbox（创新沙盒）大赛不断为网

工信部提示 OpenClaw 风险：那企业“养小龙虾”更要选安全可控的 WorkClaw

昨日，我们正式发布了面向企业的小龙虾 WorkClaw。很多朋友问：同样是“小龙虾”，为什么我们强调“企业级”和“安全可控”？原因很简单——当 OpenClaw 这种开源 AI 智能体从“好玩、好用”

AI 辅助还原自定义 VMP 保护方案

VMP（Virtual Machine Protection）是当前移动端 SO 保护的主流方案。核心思路是将关键算法编译为自定义字节码，由嵌入 SO 中的解释器运行时执行。传统静态分析在这种保护下几

假CleanMyMac网站诱导Mac用户运行命令，背后竟是偷密码的木马

如果你正打算下载CleanMyMac来给Mac“瘦身”，可要擦亮眼睛了。近日，网络安全研究人员发现一个冒充知名Mac清理工具CleanMyMac的欺诈网站，正通过一种名为ClickFix的攻击手法，诱

火热招生中！系统0day安全-Web框架漏洞挖掘（第10期）

做网络安全、开发、运维的同行，几乎都有过这样的挫败感：✅ 记了一堆零散技巧，面对真实业务代码仍无从审计；✅ 懂漏洞概念，却不懂底层逻辑，遇WAF/RASP直接卡壳；✅ 学旧案例跟不上漏洞迭代，最新CV

SoC软件技术--核间通信

点击上方蓝字谈思实验室获取更多汽车网络安全资讯SoC就是System on Chip，一个芯片上集成了一个系统，一个系统往往有很多核，例如M核、A核、R核，以及异构的RISC-V核等，集成到一个芯片上

参会指南 | AutoSec 10周年年会已就绪，精彩纷呈，咱们后天见啦！

点击上方蓝字谈思实验室获取更多汽车网络安全资讯2026 年 3 月 12-13 日，由上海市普陀区科委指导，谈思实验室、谈思汽车主办，上海市车联网协会联合主办的「10周年行业年会 | AutoSec