盘点 2025 年度重大安全漏洞

2025年全球网络安全漏洞呈现 “总量激增、风险集中、攻击链复杂” 的显著特征，成为网络安全攻防的关键转折年。MITRE官方CVE数据库显示，全年新增CVE 48185条，刷新历史峰值。更关键的是，漏

阿里CTF 2026火热来袭！顶尖阵容 × AI融合 × 一血豪礼，等你来战！

转发抽奖关注 阿里安全响应中心 公众号公开转发本文至朋友圈即可参与抽奖

2644 万美元被盗背后：Truebit Protocol 合约漏洞分析

作者：enze & Lisa编辑：77背景2026 年 1 月 8 日，去中心化离线计算协议 Truebit Protocol 遭受攻击，攻击者利用合约漏洞获利约 8,535 ETH（约合 2,644

软著快速模板生成小工具分享

前言前段时间我看海鲜市场有卖这种软著模板辅助工具的，想着自己搞一个开源分享一下简单使用教程（直接贴图了）👉 项目地址：https://gitcode.com/B1gmoon/Software-Copy

AI+安全|基于 Trae + SSH-MCP 通关LingJing(灵境)「知攻善防」Windows 应急响应靶机

免责声明由于传播、利用本公众号藏剑安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号藏剑安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即

AI+安全 | 解锁 AI 远程应急响应新时代—Trae+SSH-MCP 自动应急排查远程服务器

免责声明由于传播、利用本公众号藏剑安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号藏剑安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即

网红、企业号当心！1750 万 Instagram 用户信息泄露，按粉丝量级分档出售

高危漏洞 紧急修复指南 RCE Patch Malwarebytes Labs研究人员警示，一起重大数据泄露事件导致约1750万Instagram用户的个人信息遭曝光。泄露的信息包括用户名、住址

美国圣约医疗遭麒麟勒索软件攻击，近48万患者敏感信息泄露

01月12日，星期一，您好！中科汇能与您分享信息安全快讯：01美国圣约医疗遭麒麟勒索软件攻击，近48万患者敏感信息泄露美国田纳西州大型非营利医疗系统——圣约医疗（Covenant Health）披露，

突破沙盒：一次逆向Ubuntu命名空间限制机制的探索之旅

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。防走失：https://gugesay.c

Ni8mare高危漏洞来袭 黑客可远程劫持n8n服务器

研究人员最新发现，一项被命名为Ni8mare的最高严重级漏洞，允许远程未授权攻击者完全接管本地部署的N8N工作流自动化平台。该安全漏洞编号为CVE-2026-21858，CVSS评分高达10分。据研究

新型网络犯罪工具ErrTraffic实现ClickFix攻击自动化 伪造网站故障诱骗用户中招

最近，一款名为ErrTraffic的新型网络犯罪工具可助力威胁组织实现ClickFix攻击的自动化操作，其原理是在已入侵的网站上生成“虚假故障”，以此诱骗用户下载恶意载荷或执行恶意指令。该工具宣称攻击

TOPSRC 2025年第四季度奖励公告

TOPSRC2025年Q4TOPSRC的各位白帽师傅大家好！感谢诸位师傅一直以来为天融信安全所做的贡献让我们一起祝贺获得Q4季度奖励的白帽师傅！恭喜以上师傅获得TOPSRC季度奖励！季度奖励将在当月集

黑吃黑！暗网犯罪论坛遭攻破，32万用户数据全泄露

近日，全球网络犯罪圈发生一场极具讽刺意味的“黑吃黑”事件。暗网知名非法交易论坛BreachForums被一名化名“詹姆斯（James）”的黑客攻破，其完整用户数据库被公开泄露。此次泄露涉及32.39万

童年梦想成真了！这次是国安版

童年的纸飞机仿佛又掠过记忆的天空……那个曾听爷爷说“国安警察像齐天大圣一样抓坏人”的孩子，把梦想悄悄折进纸飞机，投向远方。成为国安干警后的他，在一次次的斗争与无数个战斗的深夜中，明白了真正的“齐天大圣

你们做漏扫都穿什么牌子的西装

论文一直投不中？保姆级SCI全程投稿发表服务来了！润色、选刊、投稿、返修，直至中刊！

说到写论文的辛酸，在座大部分老师或同学都深有体会，常有作者直言“写论文是我这辈子最痛苦的事，没有之一”我查阅后台留言的时候，有一次看到一位博士老师半夜还在“倒苦水”。说自己没日没夜的搞选题、做实验、一

GGML_GGUF 文件格式漏洞深度解读与挖掘思路

全网 GGUF 漏洞挖掘体系综述从内存破坏、模板投毒到供应链治理导读• 阅读目标：理解 GGUF 格式的双重安全风险（解析器内存破坏 vs 模板逻辑投毒）• 适用人群：安全研究员、AI 基础设施工程

美军网络官员分析进攻性网络行动在未来战争冲突中的作用

编者按美军网络官员德里克·雷撰文，分析俄乌冲突、以哈冲突和以伊冲突中进攻性网络行动运用情况，并总结进攻性网络行动在未来冲突中可能发挥的作用。文章称，上述三场冲突爆发初期都伴随着一系列似乎与现实领域攻击

网安原创文章推荐【2026/1/11】

2026-01-11 微信公众号精选安全技术文章总览洞见网安 2026-01-11 0x1 【Web逆向】Yakit热加载之file.ReadFile+js.Run调用本地js加解密Vulinbo

基于Go编写的windows日志分析工具

WindowsLog_Check V3.4 V3.4 主要更新以下内容：1、解决日志数据写入数据库，报错database is locked问题；2、增加所有日志数据、主机信息数据关键字筛选功能；3、

GO语言写的微信全版本聊天记录导出，红队工具，用于在cs上线后无需交互的导出微信聊天记录，进行更进一步的信息收集

WxDump 前提 ·一个平平无奇的PC版微信聊天记录导出工具-红队命令行版·红队工具,微信聊天记录导出,微信聊天备份,数据解密，支持最新版微信·无图形化界面，不需要用户交互，一键运行，导出无忧·因为

基于“灰盒”蒸馏的大语言模型攻击研究

基于“灰盒”蒸馏的大语言模型攻击研究探讨一种结合模型窃取与拒绝服务攻击的组合路径，希望发现AI安全领域新型攻击思路。本文首发地址为https://forum.butian.net/share/4717

漏洞通告 | Apache Struts S2-069 XXE漏洞

漏洞概况Apache Struts 2 是一个用于开发 Java EE 网络应用程序的开源 MVC（模型-视图-控制器） 框架。它由 Apache 软件基金会维护，旨在简化企业级 Java 应用的开发

安卓逆向 -- 某消费金融算法分析

南银消金算法分析1. 基础信息版本：7.4.4包名：cn.com.njxmxbank.mbank加固：梆梆加固企业版目标：服务 -> 惠聚生活+ -> 更多接口：POST /xmxappmid/xmx

在Windows中彻底删除指定打印机

17.9 彻底删除指定打印机Q:以前安装过"HP LaserJet Professional P1606dn"，因故不用了，在Windows中准备删除此打印设备，同时删除当初安装的打印驱动，如何操作

每天免费3个授权码eyJkYXRhIjoiZXlKdFlXT

“路由器”和“数由器”：一字之变，开启数据可信流通新时代

“路由器”，已经成为每个家庭、办公场所不可或缺的网络设备，与生产生活密不可分，是互联网时代的重要基础设备之一。而“数由器”与其一字之差，却是数字时代的新产物。它与传统路由器有哪些相似之处，又有哪些本质

利用github来薅钱

正文这个漏洞感觉有点水，但是在国外能给你钱github.com/stripe/veneur 仓库包含安全敏感的代码，通常被设计用于在公司内部私有网络中运行，经常作为每个应用服务器上的边车（sideca

AI时代CIO的五大“数据噩梦”，正在成为安全团队的新战场

当你的营销同事将整个客户数据库复制粘贴进 ChatGPT，当数据科学家用公司的核心算法去“调教”开源模型时，你是否感到一丝寒意？这已不再是一起孤立的“安全事件”，而是一个危险的信号——它昭示着：在 A

传统安全框架难以应对AI新型攻击向量

2024年12月，流行的Ultralytics AI库遭入侵，攻击者植入恶意代码劫持系统资源进行加密货币挖矿。2025年8月，恶意Nx软件包导致2349个GitHub、云服务和AI凭证泄露。整个202