【漏洞通告】vLLM 远程代码执行漏洞(CVE-2025-66448)

一、漏洞概述漏洞名称vLLM 远程代码执行漏洞CVE IDCVE-2025-66448漏洞类型RCE发现时间2025-12-2漏洞评分7.1漏洞等级高危攻击向量网络所需权限低利用难度高用户交互需要

UNIT实验室｜LoopLLM：通过重复生成实现高效跨模型能量延迟攻击

原文标题：LoopLLM: Transferable Energy-Latency Attacks in LLMs via Repetitive Generation原文作者：Xingyu Li, X

Dockerhub 镜像供应链攻击风险研究

一年多前，由于不知名的原因，国内访问 DockerHub（准确来说是 Docker Registry）被拦截，导致广大开发者在拉镜像的时候出现了莫名其妙的错误：$ docker pull hell

400+极客菁英共聚羊城，见证国内首个AI智能渗透挑战赛

11月29日，腾讯云黑客松智能渗透挑战赛决赛落下帷幕，来自全国各地的400多名顶尖白帽子、战队代表与行业专家齐聚羊城，共同见证了一场以“AI智能体”为主角的高水平攻防竞技。在这场国内最大规模的大模型安

Outlook 零点击远程代码执行漏洞的 PoC 利用程序已发布

威胁简报恶意软件漏洞攻击针对 Microsoft Outlook 中一个严重的远程代码执行 (RCE) 漏洞（编号为CVE-2024-21413 ） ，已发布了概念验证 (PoC) 漏洞利用代码。该漏

CVE-2025-61260 — OpenAI Codex CLI：通过项目本地配置进行命令注入

威胁简报恶意软件漏洞攻击OpenAI Codex CLI 是 OpenAI 的命令行工具，它将基于 AI 模型的推理功能引入到开发者的工作流程中。它可以直接在终端读取、编辑和运行代码，从而支持使用自然

摩诃草（APT-Q-36）利用 WebSocket 的新木马 StreamSpy 分析

团伙背景摩诃草，又名 Patchwork、白象、Hangover、Dropping Elephant 等，奇安信内部跟踪编号 APT-Q-36。该组织被普遍认为具有南亚地区背景，其最早攻击活动可追溯到

违规跨境访问溯源，让每次违规都有据可查

在企业网络管理中，你是否也曾为这些情况头疼？告警频发，却找不到人：内网用户访问外网时，IP地址经过NAT转换，无法直接定位到用户，导致违规行为难追溯。责任难定，处罚无据：明知有违规行为，却无法精准锁定

当漏洞赏金成为负担：如何在 Bug Bounty 的黑暗面中生存

官网：http://securitytech.cc/引言当你发现一个漏洞的那一刻，心跳会猛地一跳，手指停在键盘上，你开始想象奖励、认可以及属于你的那个“胜利”。对于许多漏洞猎人来说，正是这种“赢”的快

以色列的"胆小鬼游戏"：中东牌桌上，谁在虚张声势？

官网：http://securitytech.cc/——从2025年德黑兰爆炸声说起2025年6月13日凌晨，德黑兰上空突然亮起十几道闪电。那不是雷阵雨，是以色列F-35战机在表演"外科手术"。代号"

第142篇：蓝队分析工具箱解密多层加密的恶意网页演示

Part1 前言 大家好，我是ABC_123。最近几个月我对蓝队分析取证工具箱的很多功能进行了更新和优化，尤其是在一些看似细微但实际非常影响体验的功能上花了不少功夫。蓝队工具箱中有很多经过我反复打磨

想要AI For，先要For AI

韩国最大在线零售商遭遇数据泄露，或影响全国 65% 人口

高危漏洞 紧急修复指南 RCE Patch 上周日，韩国最大在线零售商Coupang证实，3370 万个客户账户信息遭泄露，公司就此公开致歉。这是近期韩国企业遭遇的又一起重大数据泄露事件。此前通

学AI安全怕踩坑？从分清各大模型的安全风险开始

大家好，我是吉祥同学。什么是提示注入？ 👉给模型下套，让它乖乖泄露信息！什么是数据隐私泄露 ？👉模型把训练时记的敏感信息‘说漏嘴’！什么是资源滥用 ？👉恶意请求把模型‘累瘫’，导致服务崩溃！很多应届生

战神榜12月榜单福利继续！现金大奖速来赢取！

0112月战神榜现金福利继续！🏆【TOP3现金奖励】实打实激励月度冠军 现金¥2000！月度亚军 现金¥1000！月度季军 现金¥700！上榜TOP10白帽子均可获得补天新款斜挎包*102如何冲击榜单

恶意大模型持续升级：WormGPT 4与KawaiiGPT可生成勒索软件代码与钓鱼脚本

WormGPT 4、KawaiiGPT等无限制大型语言模型的恶意代码生成能力正不断强化，已能输出可直接运行的勒索软件加密程序及横向移动脚本，成为网络犯罪分子的得力工具。Unit42研究团队对这两款模型

Mixpanel遭网络攻击 OpenAI用户数据或面临泄露风险

OpenAI 正向部分 ChatGPT API 客户发送通知，告知其部分身份信息因第三方分析服务商 Mixpanel 遭遇数据泄露而面临暴露风险。Mixpanel 提供事件分析服务，OpenAI 借助

2025-11月Solar应急响应公益月赛排名及官方题解

点击蓝字 关注我们1.11月月赛排名2025年11月Solar应急响应公益月赛已圆满结束。以下为最终WP提交情况（部分选手因未在规定时间内提交WP，不计入最终排名）以下为11月月赛最终排名结果（分数相

【商密测评】安恒堡垒机身份鉴别过程（非标准SM2签名过程）

安恒堡垒机身份鉴别过程（非标准SM2签名过程）1.数据解析和分析整理抓取安恒堡垒机身份鉴别数据，一般以浏览器的网络数据导出.har文件，然后使用harviewer har 解析工具完成数据解析。2.寻

大白哥的红队攻防课7期

备注：友情帮忙转发，替我【润霖】可以有优惠哦。01.课程背景各位师傅们好久不见，大白哥红队攻防课从2024年更新到现在，目前已经来到了第7期。开课以来受到很多学员的好评，其中最多的评价就是贴合实战，学

2025年前三季度46家互联网营收。京东、阿里、腾讯前三，360第30、深信服32、绿盟44

大型企业信息安全架构及实践介绍PPT课件

当前中国的安全服务市场还处于起步阶段，上升潜力很大，特别是今年随着一些安全法规和监管政策的出台、重大事件和活动给客户安全意识带来的积极影响，安全服务市场正朝良性发展的方向迈进。另外，随着国家等级保护制

美国防部发布《运营技术零信任》安全指南文件

本文字数：8892字阅读时间：29分钟编者按美国防部11月18日发布名为《运营技术零信任》的最新指导方针，提供了一套修订后的活动和成果，旨在促进美军在当前和未来在运营技术（OT）环境中采用零信任原则。

华x杯比赛之笑点细数

【红队】一款专为红队打造的主动资产指纹识别工具

免责声明本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵

韩国爆出史上最大规模数据泄露，电商巨头3370万用户数据遭前员工窃取

韩国最大的电子商务巨头Coupang本周遭遇了该国历史上最严重的网络安全危机之一。该公司周日（11月30日）正式承认，其系统遭遇大规模数据泄露，受影响的客户数量高达3370万。此次事件不仅覆盖了Cou

印度要求智能手机统一安装国产反诈安全软件

印度电信部（DoT）近日向智能手机制造商下达了一项并未公开的强制令，要求所有新出厂的智能手机必须预装印度国有的网络安全应用程序，且用户无法卸载该应用。此举标志着印度政府在移动端网络安全管控方面的重大升

Android 设备指纹攻防对抗：漏洞挖掘与风险环境检测

本文将从改机概念与黑产手段入手，逐步介绍Magisk模块以及其他作弊方式的功能实现，包括Magisk模块开发基础及其在攻防中的应用，帮助技术人员理解设备指纹攻防的核心原理与技术实现。改机概念与黑产常用

《IDC FutureScape：2026年未来工作研究》，2026描绘智能体的未来

打开手机刷到 AI 写的方案、工作群里 “数字同事” 自动处理报表 —— 这不是科幻场景，而是 IDC 最新报告揭示的 2026 年常态。近期， IDC 在新加坡举办的 FutureScape 202

每日安全动态推送(25/12/2)

• Firefox WebAssembly 栈溢出漏洞事件https://sectoday.tencent.com/event/AH_CyZoBDgvMcds_UeJ_2025 年 11 月，安全公