每日安全动态推送(26/4/23)
• 依赖冷却:应对开源供应链攻击的兴起策略https://noise.getoto.net/2026/04/22/dependency-cooldown-discussions-warm-up/本文
阅读全文Android安全智能检测工具V3.3
APK逆向分析工具V1.2Python逆向分析工具V3.0APK逆向智能分析工具V1.3AndroidManifest处理工具V1.1APK安全检测分析工具(专业版)V3.2Android系统智能调试
阅读全文Hacking Time 回顾:慢雾携手行业专家,深度拆解 AI & Web3 的攻防新范式
4 月 21 日下午,由慢雾(SlowMist) 主办的 Hacking Time 在香港蔡氏大厦成功举办。活动紧随香港 Web3 嘉年华热潮,以「Security for AI & Crypto,
阅读全文记一次某大学的漏洞挖掘
扫码领资料获网安教程本文由掌控安全学院 - 徐来. 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)宇宙免责声明!!!本文涉及的相关漏洞均已修复
阅读全文4月社区投稿活动 | 漏洞挖掘
2026 | 04 月社区投稿活动本期活动奖金池30000金币(1000金币=100大洋,可在社区商城提现),打空截止,不另外追加奖金池活动时间4 月 1 日- 5 月 1 日投稿要求文章内容必须为原
阅读全文超 1300 台微软 SharePoint 服务器易受欺骗攻击
高危漏洞 紧急修复指南 RCE Patch 超 1300 台暴露在互联网上的微软 SharePoint 服务器,针对一个曾被作为零日漏洞利用且在持续攻击中仍被滥用的欺骗漏洞,尚未进行修复。推测e
阅读全文你一打盹就输了——Windows RPC 端点映射器投毒研究
原文链接作者https://www.safebreach.com/blog/you-snooze-you-lose-winning-rpc-endpoints/Ron Ben Yizhak, Secu
阅读全文GHSA-xq3m-2v4x-88gg 的 PoC:通过代码注入在 protobuf.js 中实现严重远程代码执行 (CVSS 9.4)
威胁简报恶意软件漏洞攻击protobuf.js(protobufjsnpm 包)中存在严重代码注入漏洞,可通过精心构造的 protobuf schema 类型名称实现完全远程代码执行。根本原因该pro
阅读全文Pack2TheRoot (CVE-2026-41651):跨发行版本地权限提升漏洞
威胁简报恶意软件漏洞攻击今天,我们与发行版维护者合作,公开披露了一个高危漏洞(CVSS 3.1:8.8),该漏洞会影响多个 Linux 发行版的默认安装。任何本地非特权用户都可以利用 Pack2The
阅读全文AI 模型部署工具 Xinference 供应链投毒,腾讯云安全已支持防护
事件概述 2026 年 4 月 23 日,腾讯云安全中心监测到 AI 模型部署工具 Xinference(Xorbits Inference)被披露存在供应链投毒风险,其发布至 PyPI 仓库的 2
阅读全文去中心化困境:KelpDAO 危机中的级联风险与紧急处置权
核心要点:KelpDAO 2.9 亿美元桥接漏洞引发连锁反应,冻结了五条链上超过 67 亿美元的 WETH 流动性,波及从未接触过 rsETH 的用户。此事件还揭示了 "permissionless"
阅读全文我在每个漏洞赏金计划中发现的 5 个最常见的漏洞
官网:http://securitytech.cc“那些枯燥乏味的研究成果才能带来收入。而那些富有创意的连锁店才能赢得荣誉殿堂。”按回车键或点击查看完整尺寸的图片🔑 漏洞 1:访问控制失效(IDOR)
阅读全文会“回应”的文件 —— 隐藏在 A2 单元格里的 XXE
官网:http://securitytech.cc大多数人都知道 XXE(XML 外部实体漏洞)。但很少有人会想到去检查一个 Excel 上传点。然而,在每一个 .xlsx 文件下面,本质上都是一个包
阅读全文从设计层面消灭机会型攻击:微软安全架构实践
大多数攻击者并非"入侵"了你的网络——他们用偷来的凭据直接登录了进去。当你的基础设施服务于数千家企业和数百万用户时,安全不是一个功能,而是你构建一切的基石。 微软 Dynamics 365 和 P
阅读全文微软深度解析:如何检测渗透进企业的朝鲜IT工人
疫情后远程和混合办公模式的普及,极大地扩展了全球招聘范围并加速了数字化入职流程,但同时也为威胁行为者打开了新的攻击窗口。微软最新研究揭示了朝鲜关联的 Jasper Sleet 组织如何利用窃取或伪造的
阅读全文AI技能生态的"狂野西部":安全治理何时到来
⚠️ 当我们讨论AI Agent的安全问题时,往往聚焦在技术层面。但真正的根源在于:整个生态缺乏基本的安全治理体系。2025年的AI Agent生态,就像2010年的移动App市场——繁荣、混乱、毫无
阅读全文AI浪潮下的安全行业重构 |从NIST"认输"到480万人才缺口,我们看到了什么?
导语:一个让安全人失眠的四月2026年4月,安全行业接连发生三件大事:4月7日Anthropic联合Apple、Google、Microsoft、Amazon、NVIDIA、Linux基金会等12家
阅读全文突发:Checkmarx再次遭遇供应链投毒!速查
4月22日,微步情报局监测到有国外机构披露,Checkmarx 相关官方分发渠道疑遭供应链攻击:官方 checkmarx/kics Docker Hub 仓库中多个 KICS 镜像标签被恶意覆盖,同时
阅读全文突发:Xinference PyPI 遭投毒!速查
2026 年 4 月 22 日,JFrog 安全研究团队披露PyPI 官方包 xinference 遭供应链投毒,恶意版本 2.6.0、2.6.1、2.6.2 被植入窃密木马,导入即执行恶意脚本,该脚
阅读全文如何给Yakit接上Claude code和skills自动化AI渗透
免责声明本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这
阅读全文网安原创文章推荐【2026/4/22】
2026-04-22 微信公众号精选安全技术文章总览洞见网安 2026-04-22 0x1 EDUSRC证书站之源码泄露导致的10rank漏洞安全小生 2026-04-22 23:26:47 本
阅读全文国务院:支持采购大模型、智能体服务
4月21日,《国务院关于推进服务业扩能提质的意见》(以下简称《意见》)正式发布,《意见》提出深入实施“人工智能+”行动,加快智能编程工具研发使用,支持采购大模型、智能体服务。《意见》提出:深入实施“人
阅读全文2026HVV开启招聘啦
招聘要求硬性:毕业人员,有护网项目经验,中高级水平中级:具有一般的监控+处置+研判能力中级+:具有良好的监控+处置+研判+溯源能力熟悉主流安全设备。具备研判,处置,溯源能力,安全分析报告编写能力,熟悉
阅读全文岗位招聘-base浙江嘉兴
浙江嘉兴驻场,专科,2年及以上,具体薪资根据面试情况而定,接受薪资再投递,薪资低,最好当地人,外地也可以,接受薪资就行!工作内容:1)管理数据中心防火墙、IPS、WAF、网闸、核心全流量分析、蜜罐等网
阅读全文又又一起AI相关供应链事件:Xinference PyPI (版本 2.6.0–2.6.2)供应链污染报告
执行摘要广受欢迎的 Python 软件包 xinference (Xorbits Inference) 在 PyPI 上遭到污染,该包主要用于部署大语言模型 (LLM)、语音识别和多模态 AI 模型。
阅读全文代码审计 一次文件上传漏洞
免责声明:本公众号所提供的文字和信息仅供学习和研究使用,不得用于任何非法用途。我们强烈谴责任何非法活动,并严格遵守法律法规。读者应该自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公
阅读全文一些DLL劫持的技巧
翻译自 Hunting for Suspicious Windows Libraries for Execution and Defense Evasion在 Windows 系统中,动态链接库(Dy
阅读全文习近平近日作出重要指示强调 把“义乌发展经验”进一步总结好运用好 探索走出符合各自实际的高质量发展之路
中共中央总书记、国家主席、中央军委主席习近平近日作出重要指示指出,义乌小商品闯出大市场、做成大产业,形成“义乌发展经验”,这是因地制宜发展县域经济的成功实践。习近平强调,要结合开展树立和践行正确政绩观
阅读全文1day:可实现Nginx服务器完全控制
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。近日,一款流行的基于Web的Nginx管理
阅读全文