夜雨聆风
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!
💻“漏洞末日”警钟预警:AI批量发现黑客可利用的漏洞
🤖OpenAI发布GPT-5.4-Cyber模型,扩大安全团队访问权限
🏢黑客利用Claude和ChatGPT入侵多个政府机构
⚔️Axios 曝出高危漏洞可导致远程代码执行(CVE-2026-40175)PoC已公开
🛜微软 SharePoint Server 0Day漏洞遭在野利用
📺Codex 利用全局可写驱动接口破解三星电视获取 Root 权限
🛡️Anthropic 公司 Mythos 项目预示网络安全结构性变革
⏲️Claude 在数分钟内发现存在 13 年的 ActiveMQ 远程代码执行漏洞
💉通过CLAUDE.md文件可操控Claude Code实施SQL注入攻击
🌩️谷歌预警引发连锁反应:Cloudflare正积极调整抗量子加密战略优先级
黑客利用Claude Code和GPT-4.1入侵墨西哥九家政府机构,窃取数亿公民数据,AI工具高效生成攻击指令并解析数据,凸显安全漏洞与AI滥用风险。
Axios曝严重漏洞CVE-2026-40175,可无交互劫持云元数据,导致AWS凭证泄露和账户接管。1.15.0以下版本均受影响,需立即升级并审计依赖项。漏洞利用原型污染和请求走私,绕过AWS安全控制。
微软 SharePoint Server 0Day漏洞遭在野利用
微软确认SharePoint Server存在0Day欺骗漏洞(CVE-2026-32201)正遭在野利用,影响多个版本,CVSS评分6.5。漏洞允许远程攻击者实施欺骗攻击,无需认证或特权。微软已发布补丁,建议企业紧急更新并排查异常活动,优先处理本地部署实例。
OpenAI的Codex AI模型利用三星智能电视全局可写的ntk*驱动接口,成功将浏览器级权限提升至root,暴露了厂商在设备安全设计上的严重缺陷。研究显示AI能自主发现并利用漏洞,无需人工引导,警示厂商需严格审计第三方驱动权限。
LayerX发现Claude Code的CLAUDE.md文件可被利用绕过安全规则,使攻击者无需编码即可实施SQL注入和窃取凭证。AI无条件信任文件指令,厂商未及时响应,建议严格审查此类文件。
谷歌将抗量子加密部署提前至2029年,引发行业连锁反应。量子计算突破加速传统加密淘汰,企业需建立密码敏捷性应对未来解密风险。Cloudflare等巨头已调整战略,过半流量采用新标准防护。行业呼吁制定迁移战略与性能标准。
本周好文推荐指数
AI技术崛起重构网络安全,MITRE ATLAS框架成为AI攻防核心指南,涵盖16项战术80+技术,应对提示词注入、模型投毒等新型威胁,推动企业构建AI原生安全体系,实现从代码防御到语义控制的转型。
本文详解Java无文件内存马攻击技术,涵盖5类主流内存马实现原理、实战代码与免杀技巧,提供从漏洞利用到持久化控制的完整攻击链路,并给出多维度检测技术与全生命周期防护方案,适配Tomcat/Spring等主流框架,满足红蓝对抗实战需求。
2026年AI工具"龙虾"在企业快速传播,存在安全风险。文章提供无感排查方案:不惊动用户,通过端点痕迹、网络流量和资产关联收集证据,静默验证后分级处置(网络阻断/DNS重定向),并建立长效监控机制,实现零业务中断的风险管控。
电报讨论
