2026年AI推动CVE数量激增至6.6万;Steam上架IT牛马模拟器 | FreeBuf周报各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!
📈 2026 年漏洞预测:AI 推动 CVE 数量激增至 6.6 万💻 上班蹲机房,下班回家继续:Steam 上架了一款 IT 牛马模拟器🕵️ 黑客滥用 Claude 和 Codex 自动化攻击,窃取数据并伪装红队测试⚠️ 高危 Chrome 漏洞可导致攻击者执行任意代码,无需点击即可中招⚔️ 俄黑客持续利用 WinRAR 漏洞攻击乌克兰,企业补丁安装率低成致命弱点🚨 Wazuh CVSS 10 分漏洞细节与 PoC 公开,可致日志系统遭恶意篡改🔓 思科 SD-WAN vManage 漏洞遭 0Day 攻击,可提权至 root🛡️ 攻击者正利用FortiSandbox三大漏洞发起攻击,未认证即可获取root权限🤖 LiteLLM 漏洞链可致 AI 网关遭接管,泄露所有密钥与数据2026年漏洞预测:AI推动CVE数量激增至6.6万FIRST 发布 2026 漏洞预测报告,全年公开 CVE 预估 6.6 万个,涨幅 46.3%,AI 扫描是增量主因。报告指出漏洞总量不等于实际威胁,AI 临时软件带来新安全隐患,人力短缺加剧防护压力,并给出数据化防护方案。上班蹲机房,下班回家继续:Steam 上架了一款 IT 牛马模拟器Steam 上线硬核模拟游戏《Data Center》爆火,被 IT 人戏称 “牛马模拟器”。该游戏 3 月末发售,复刻机房搭建、布线、运维全流程,可视化展示网络流量与设备故障逻辑。开发者持续更新 VLAN、监控中心等专业功能,有望成为 IT 入门简易实训工具。
黑客滥用 Claude 和 Codex 自动化攻击,窃取数据并伪装红队测试黑客滥用 Claude、Codex 自动化全链路网络攻击,伪装成合规红队测试绕过 AI 风控,大幅降低攻击门槛。AI 可自主生成漏洞利用代码、窃取内网数据、绘制渗透路径并生成牟利报告,还能搭建分布式破解集群,相关 AI 访问凭证需重点防护。
现代网络钓鱼攻击利用高度混淆脚本和内存加载技术,通过进程注入绕过安全防护,Agent Tesla恶意软件具备反分析能力,隐蔽窃取数据。防御需结合高级端点检测与员工反钓鱼培训。高危 Chrome 漏洞可导致攻击者执行任意代码,无需点击即可中招
谷歌紧急发布Chrome安全更新,修复33项漏洞,含7个高危"释放后使用"漏洞,可致远程代码执行。用户应立即更新至最新版本,避免恶意攻击。
俄黑客持续利用 WinRAR 漏洞攻击乌克兰,企业补丁安装率低成致命弱点俄罗斯黑客持续利用已修复的WinRAR漏洞攻击乌克兰机构,通过隐藏恶意文件窃取数据。攻击手法升级,从Excel宏到内存驻留恶意软件,企业因补丁安装率低仍处风险。建议检查旧版WinRAR并监控异常活动。
Wazuh CVSS 10 分漏洞细节与 PoC 公开,可致日志系统遭恶意篡改Wazuh曝出CVSS 10分高危漏洞,攻击者可利用未转义的Agent数据注入恶意OpenSearch命令,以管理员权限操控数据库,导致数据破坏或入侵痕迹清除。5.0-beta1及以上版本受影响,需立即升级至5.0-beta3修复。思科 SD-WAN vManage 漏洞遭 0Day 攻击,可提权至 root思科Catalyst SD-WAN Manager曝0Day漏洞(CVE-2026-20262),攻击者可上传恶意文件获取root权限。全球部署均受影响,无临时解决方案,需立即升级至修复版本。暴露的管理界面风险最高,建议限制访问并监控日志。攻击者正利用 FortiSandbox 三大漏洞发起攻击,未认证即可获取 root 权限
安全团队监测到攻击者正利用 FortiSandbox 三大高危漏洞发起攻击,均无需认证即可触发,可读取敏感数据、获取 root 权限。攻击通过 443 端口访问 /jsonrpc/ 接口,设备失陷后易沦为内网渗透跳板,相关资产需尽快修复防护。
LiteLLM 漏洞链可致 AI 网关遭接管,泄露所有密钥与数据LiteLLM代理存在严重漏洞链(CVSS 9.9),低权限用户可提升至管理员并执行代码,泄露所有模型密钥和通信数据。已修复版本v1.83.14发布,建议立即升级并审计权限配置。审了个百k项目,没想到真出洞了 | RuoYi-Vue-Pro 任意文件上传 & 路径穿越
RuoYi-Vue-Pro存在未授权任意文件上传漏洞,攻击者可利用路径穿越写入任意目录,覆盖前端页面实现持久化XSS或篡改配置文件。漏洞因未过滤directory参数和路径规范化缺失导致,官方已修复。一行Host头干穿AI网关:LiteLLM双CVE攻击链复盘LiteLLM的CVE-2026-42271命令注入漏洞与Starlette的CVE-2026-48710认证绕过漏洞串联,形成CVSS 10.0攻击链,可远程获取root权限及AI模型API密钥。漏洞利用速度快,需立即升级至LiteLLM 1.83.7和Starlette 1.0.1修复。
AI 正在重塑攻击,而很多企业还停留在"老时代防御"文章剖析 AI 大幅降低攻击门槛,可自动生成变形载荷、拟态流量与隐匿后门,传统 WAF、特征检测逐步失效。现有企业多依赖静态规则、人工研判,防御体系滞后,提出以攻击链图谱、行为指标驱动的 AI 对抗新思路。
夜雨聆风
