#security
共 73 篇相关内容 · 安全漏洞、AI动态、技术文章
技术文章 68
2026年勒索软件态势:平均攻击成本508万美元,Qilin团伙连续五月领跑
2026年5月全球录得646名勒索软件受害者,Qilin团伙连续五月位居榜首。平均攻击成本508万美元,44%数据泄露涉及勒索软件,AI驱动钓鱼攻击持续升级。
2026年供应链攻击全景:TanStack投毒、GitHub Megalodon与开发者生态的信任危机
2026年供应链攻击全面爆发:TanStack包投毒波及OpenAI和Grafana,GitHub Megalodon运动数小时感染数千仓库。攻破一个可信依赖,就能瘫痪整个开发者生态。
CVE-2026-21858:n8n「Ni8mare」漏洞——CVSS满分10.0的工作流自动化平台RCE
CVE-2026-21858(CVSS 10.0)允许无认证攻击者通过Content-Type混淆实现n8n服务器完全控制。PoC已公开,全球约10万台实例面临风险。
CVE-2026-7482:Ollama「出血骆驼」内存泄露漏洞——30万台AI推理服务器裸奔
Cyera研究团队披露CVE-2026-7482(CVSS 9.1),影响全球约30万台Ollama服务器。攻击者无需认证即可泄露进程完整内存,包括用户提示词、系统提示词和环境变量中的API密钥。
2026年6月全球网络安全威胁周报:零日漏洞爆发、勒索软件升级、微软创纪录补丁
本期安全情报覆盖2026年6月9-12日全球重大安全事件。Oracle PeopleSoft零日漏洞遭利用、微软发布206个漏洞补丁、The Gentlemen勒索软件席卷478目标、Windows BitLocker被绕过——AI正在以前所未有的速度加速漏洞武器化。
Oracle PeopleSoft遭大规模入侵:100+机构数据面临风险(2026)
🔐 Oracle PeopleSoft遭入侵,企业软件供应链安全告急
韩国对Coupang开出4亿美元天价罚单:数据安全监管升级(2026)
⚖️ Coupang被罚4亿美元,数据安全监管全球升级
xAI工程师因举报Grok安全问题被解雇:AI安全治理危机(2026)
⚠️ xAI安全举报事件:AI安全治理的行业警钟
2026年6月GitHub热门开源项目深度解析:AI工作空间、本地推理引擎与安全防御框架
# 2026年6月GitHub热门开源项目深度解析:AI工作空间、本地推理引擎与安全防御框架 > 数据来源:GitHub Search API(2026年5月-6月创建,按Star数降序) > 更新时间:2026年6月11日  # 2026年6月全球网络安全威胁情报:零日漏洞激增、供应链攻击升级 > 微软单月修复206个漏洞创历史
2026年6月全球网络安全威胁情报:零日漏洞爆发、供应链攻击升级
# 2026年6月全球网络安全威胁情报:零日漏洞爆发、供应链攻击升级  > 2026年6月第二周,全球网络安全态势急
2026年6月全球网络安全重大威胁情报:零日漏洞爆发、勒索攻击升级与供应链安全警示
# 2026年6月全球网络安全重大威胁情报:零日漏洞爆发、勒索攻击升级与供应链安全警示  > **摘要*
自复制AI蠕虫攻击全面解析:开源大模型新型威胁与防御策略(2026)
研究人员构建出首个完全在本地开源大模型上运行的自复制AI蠕虫。深度解析AI蠕虫传播机制、攻击原理、检测方法及AI系统安全防御策略。
Veeam Backup远程代码执行漏洞深度分析:域用户RCE威胁与防御实战(2026)
Veeam Backup & Replication曝远程代码执行漏洞,域用户可直接执行恶意代码。详解漏洞原理、影响范围、检测方法及企业备份安全加固方案。
LiteLLM严重漏洞CVE-2026-42271:AI代理框架未授权RCE全解析(2026)
AI代理框架LiteLLM曝严重漏洞CVE-2026-42271,攻击链可实现未授权远程代码执行。深度分析漏洞原理、利用方式、修复方案及AI安全防御策略。
Linux内核单字符漏洞实现Root提权:利用代码已公开(2026紧急修复指南)
Linux内核被发现单字符缺陷可实现本地Root提权,利用代码已公开传播。详解漏洞原理、利用方式、检测方法及内核安全加固方案。
Hades PyPI供应链攻击:19个恶意包窃取凭据深度分析与防御(2026)
Hades组织对PyPI发起大规模供应链攻击,19个恶意Python包自动运行Bun凭据窃取器。详解攻击手法、检测方法及软件供应链安全防护策略。
Chrome V8引擎零日漏洞CVE-2026-11645深度解析:在野利用紧急修复指南(2026)
Chrome V8引擎爆发零日漏洞CVE-2026-11645,攻击者已在野利用实现远程代码执行。本文详解漏洞原理、攻击链分析、检测修复方案及安全变现路径。
当你用 $1 的 Codex 账号时,谁在用你的身份?—— AI 工具灰产链路调查与安全预警
CC-Switch、codex-manager、codexui-android、CLIProxyAPI... 这些名字背后是一条完整的 AI 账号灰产链路。本文拆解 4 条攻击管线,分析 $1/月 Codex 账号的真实来源,提醒每一位开发者注意账号安全。
2026年6月全球网络安全威胁情报:零日漏洞、供应链攻击与AI安全新态势
# 2026年6月全球网络安全威胁情报:零日漏洞、供应链攻击与AI安全新态势  > 2026年6月第一周,全球网络安全态势持
Dedalus Labs深度解析:YC S25最新项目,做AI Agent的Vercel,创业机会在哪里?
# Dedalus Labs深度解析:YC S25最新项目,做AI Agent的Vercel,创业机会在哪里?  > Y Com
PentesterFlow深度解析:AI驱动的渗透测试CLI,人机协作的安全评估新范式(2026)
# PentesterFlow深度解析:AI驱动的渗透测试CLI,人机协作的安全评估新范式(2026)  > 网络安全领域正迎来
安全文件中转方案全盘点:端到端加密、阅后即焚、P2P直传深度评测(2026)
2026年安全文件传输全景评测:10+款工具对比,涵盖E2EE、阅后即焚、P2P直传三大技术方向。含选型决策指南和安全最佳实践。
CVE-2022-0492漏洞深度解析:Linux内核cgroups逃逸风险与完整修复方案(2026)
CVE-2022-0492深度解析:Linux内核cgroups容器逃逸漏洞(CVSS 7.8)。含利用原理、攻击场景、检测方法和防御方案。Docker/Kubernetes安全必修课。
Cyera目标估值120亿美元:数据安全赛道的80倍ARR神话深度解析(2026)
深度解析Cyera以80倍ARR寻求120亿美元融资的背后逻辑。涵盖商业模式、技术壁垒、竞争格局、投资分析。数据安全赛道2026年最受关注的独角兽。
AzureRedOps完全指南:微软云红队攻击瑞士军刀,Azure安全评估必备工具(2026)
# AzureRedOps完全指南:微软云红队攻击瑞士军刀,Azure安全评估必备工具(2026)  > 2026年6月,安全研
ChatGPT Team 4000+账号泄露深度拆解:产业链、封号潮与安全风险(2026)
# ChatGPT Team 4000+账号泄露深度拆解:产业链、封号潮与安全风险(2026)  > 网上流传着4000多个Ch
OpenHack深度解析:Hadrian Security开源的白盒安全审查工具完全指南
OpenHack是由Hadrian Security开源的源码导向白盒安全审查工具。本文深度解析其架构、使用方法、与传统SAST工具的对比,以及在实际项目中的应用实践。
AIDA:将任何LLM变成自主渗透测试代理的开源安全工具
AIDA是开源自主渗透测试代理,可将Claude、GPT等LLM变成自动化安全评估工具。已发现真实CVE漏洞,Docker隔离执行。
CVE-2026-8644漏洞深度解析:影响范围、技术原理与修复方案(2026)
深度解析CVE-2026-8644漏洞技术原理、攻击链分析及修复方案。涵盖影响范围评估、CVSS评分、实战检测命令和企业级防御策略,助您快速应对安全威胁。本文提供完整的技术分析和可操作的安全建议。
CVE-2026-22872漏洞深度解析:影响范围、技术原理与修复方案(2026)
深度解析CVE-2026-22872漏洞技术原理、攻击链分析及修复方案。涵盖影响范围评估、CVSS评分、实战检测命令和企业级防御策略,助您快速应对安全威胁。本文提供完整的技术分析和可操作的安全建议。
CVE-2026-44825漏洞深度解析:影响范围、技术原理与修复方案(2026)
深度解析CVE-2026-44825漏洞技术原理、攻击链分析及修复方案。涵盖影响范围评估、CVSS评分、实战检测命令和企业级防御策略,助您快速应对安全威胁。本文提供完整的技术分析和可操作的安全建议。
CVE-2024-21182漏洞深度分析:Oracle WebLogic Server T3/IIOP反序列化RCE
CVE-2024-21182是Oracle WebLogic Server中的反序列化远程代码执行漏洞,通过T3/IIOP协议触发。本文从协议层面剖析漏洞原理,提供企业级检测和防御方案。
CVE-2025-48595漏洞深度解析:影响范围、技术原理与修复方案(2026)
深度解析CVE-2025-48595漏洞技术原理、攻击链分析及修复方案。涵盖影响范围评估、CVSS评分、实战检测命令和企业级防御策略,助您快速应对安全威胁。本文提供完整的技术分析和可操作的安全建议。
CVE-2022-0492漏洞深度解析:影响范围、技术原理与修复方案(2026)
深度解析CVE-2022-0492漏洞技术原理、攻击链分析及修复方案。涵盖影响范围评估、CVSS评分、实战检测命令和企业级防御策略,助您快速应对安全威胁。本文提供完整的技术分析和可操作的安全建议。
CVE-2026-45247漏洞深度解析:影响范围、技术原理与修复方案
CVE-2026-45247是影响多个企业级软件的高危漏洞,可导致远程代码执行。本文深度解析漏洞原理、攻击向量、影响范围和完整修复方案。
CVE-2026-28318漏洞深度解析:影响范围、技术原理与修复方案(2026)
深度解析CVE-2026-28318漏洞技术原理、攻击链分析及修复方案。涵盖影响范围评估、CVSS评分、实战检测命令和企业级防御策略,助您快速应对安全威胁。本文提供完整的技术分析和可操作的安全建议。
2026年开发者必看:NVIDIA NemoClaw开源、AI调试新工具、28款顶级安全工具盘点
NVIDIA开源企业级AI Agent平台NemoClaw、Raindrop发布本地AI Agent调试工具Workshop、Wiz盘点2026年28款最佳开源安全工具——开发者工具生态持续爆发。
2026年6月网络安全重大漏洞速递:Next.js、F5、SharePoint全线告急
本月多个高危漏洞被积极利用:CVE-2025-55182致766台Next.js主机沦陷、F5 BIG-IP漏洞升级为RCE、CISA紧急通报SharePoint漏洞。企业需立即排查受影响版本。
AzureRedOps: 微软云红队攻击瑞士军刀Azure安全评估必备工具
AzureRedOps是针对Microsoft Entra ID和Azure的进攻性安全工具集,统一CLI封装认证、目录枚举、密码喷洒和后渗透操作。支持设备码钓鱼和浏览器捕获。
CVE-2026-45321漏洞深度解析:TanStack安全风险与修复方案(2026)
深度解析CVE-2026-45321漏洞,影响TanStack TanStack。了解漏洞技术原理、攻击方式、影响范围及修复方案。CVSS评分9.0+,CRITICAL级别。
CVE-2026-48027漏洞深度解析:Nx Console安全风险与修复完全方案
CVE-2026-48027是Nx Console VS Code扩展中的高危路径遍历漏洞,可导致任意文件读取。本文深度解析漏洞原理、攻击向量、影响范围和修复方案。
CVE-2026-0257漏洞深度解析:PAN-OS安全风险与修复方案(2026)
深度解析CVE-2026-0257漏洞,影响Palo Alto Networks PAN-OS。了解漏洞技术原理、攻击方式、影响范围及修复方案。CVSS评分9.0+,CRITICAL级别。
CVE-2024-21182漏洞深度解析:WebLogic Server安全风险与修复方案(2026)
深度解析CVE-2024-21182漏洞,影响Oracle WebLogic Server。了解漏洞技术原理、攻击方式、影响范围及修复方案。CVSS评分9.0+,CRITICAL级别。
CVE-2025-48595漏洞深度解析:Framework笔记本安全风险与修复方案
CVE-2025-48595是影响Framework笔记本的高危固件漏洞,可导致安全启动绕过和持久化攻击。本文深度解析漏洞原理、影响范围和修复方案。
CVE-2026-45247漏洞分析:安全风险与修复指南(2026)
深度解析CVE-2026-45247漏洞,影响Mirasvit Mirasvit Full Page Cache Warmer。了解漏洞技术原理、攻击方式、影响范围及修复方案。CVSS评分9.0+,CRITICAL级别。
CVE-2026-28318漏洞深度解析:Serv-U高危漏洞与企业防护完全指南
CVE-2026-28318是SolarWinds Serv-U中的高危远程代码执行漏洞,影响FTP/SFTP服务。本文深度解析漏洞原理、攻击向量、影响范围和企业级防护方案。
ChatGPT Team 4000+账号泄露深度拆解:产业链、封号潮与安全风险
# ChatGPT Team 4000+账号泄露深度拆解 > 网上流传着4000多个ChatGPT Team共享账号,低至1美元开通、10元/月拼车。这些号从哪来?能用吗?OpenAI在怎么封?本文深度拆解这条灰色产业链。 --- #
CVE-2026-47117漏洞深度解析:OpenMed远程代码执行漏洞技术分析与防御策略
CVE-2026-47117是OpenMed医疗信息系统中的远程代码执行漏洞(CVSS 9.8),通过JNDI注入实现未授权RCE。本文从攻击者视角剖析漏洞成因、利用链构造和企业级防御方案。
CVE-2026-9082漏洞深度解析:Drupal Core高危漏洞与防护完全指南
CVE-2026-9082是Drupal Core中的高危远程代码执行漏洞,影响数百万网站。本文深度解析漏洞原理、攻击向量、影响范围和完整防护方案。
CVE-2026-8206漏洞分析:WordPress Kirki Page Builder安全风险与修复指南
深度解析CVE-2026-8206漏洞,影响WordPress WordPress Kirki Page Builder产品。了解权限提升漏洞技术原理、攻击方式、影响范围及修复方案,CVSS评分9.8,保护系统安全。
CVE-2026-9311漏洞分析:WebSphere Application Server安全风险与修复指南
深度解析CVE-2026-9311漏洞,影响IBM WebSphere Application Server产品。了解远程代码执行漏洞技术原理、攻击方式、影响范围及修复方案,CVSS评分9.0,保护系统安全。
CVE-2026-44825漏洞深度解析:Apache Solr安全风险与修复方案(2026)
深度解析CVE-2026-44825漏洞,影响Apache Apache Solr产品。了解硬编码凭证漏洞技术原理、攻击方式、影响范围及修复方案,CVSS评分8.1,保护系统安全。
CVE-2026-48027漏洞深度解析:Nx Console安全风险与完整修复方案
CVE-2026-48027是Nx Console VS Code扩展中的高危路径遍历漏洞,可导致任意文件读取。本文深度解析漏洞原理、攻击向量、影响范围和修复方案。
CVE-2026-0257漏洞深度解析:PAN-OS高危漏洞与企业防护完全方案
CVE-2026-0257是Palo Alto Networks PAN-OS中的高危漏洞,可导致认证绕过和权限提升。本文深度解析漏洞原理、攻击向量、影响范围和企业级防护方案。
PentesterFlow深度解析:AI驱动的渗透测试CLI工具(2026最新)
深度解析PentesterFlow的AI代理架构、人在回路设计和安全模型。这款开源工具将AI与人类分析师结合,实现自动化渗透测试全流程。
CVE-2026-45247:Magento RCE漏洞已被CISA列入KEV
CISA将Magento扩展CVE-2026-45247远程代码执行漏洞加入已知被利用漏洞目录影响Mirasvit Cache Warmer插件。详解漏洞详情、野外利用方式和紧急修复方案。
FlutterShell macOS后门:恶意广告传播新型恶意软件
Palo Alto Unit 42披露Operation FlutterBridge攻击活动通过Google和YouTube恶意广告传播FlutterShell后门程序针对macOS用户。详解完整攻击链、IOC指标和防御方案。
HTTP/2 Bomb漏洞:影响NGINX/Apache/IIS的远程DoS攻击
安全研究人员发现HTTP/2 Bomb新型拒绝服务漏洞,可对NGINX、Apache、IIS、Envoy和Cloudflare等主流Web服务器发起远程DoS攻击。详解漏洞原理、影响范围、检测方法和防御策略。
AI自主发现Redis RCE漏洞CVE-2026-23479:自动化漏洞挖掘进入新纪元
Google Project Zero的AI Agent自主发现了Redis的远程代码执行漏洞,标志着AI驱动的安全研究从辅助工具升级为独立研究员。本文解析漏洞技术细节和AI漏洞挖掘的产业影响。
VS Code一键窃取GitHub Token:开发者安全新威胁(2026)
安全研究人员披露VS Code一键攻击可窃取GitHub OAuth Token,攻击者仅需一个链接即可读写你的代码仓库。详解攻击原理和防御措施。
Claude Code GitHub Action漏洞深度解析:一个Issue如何劫持你的仓库
Claude Code GitHub Action存在严重安全漏洞,攻击者可以通过创建恶意Issue劫持整个代码仓库。本文深度解析漏洞原理、攻击链和防护方案。
CVE-2026-20230漏洞技术分析:Cisco Unified CM SSRF到Root提权攻击链
CVE-2026-20230是Cisco Unified Communications Manager中的SSRF漏洞,结合内部服务可实现Root提权。本文完整拆解从SSRF到Root的攻击链。
SenPaiScanner:Cloudflare IP扫描器实战指南 | 2026年安全工具
GitHub上972星的SenPaiScanner,用Go语言编写的轻量级Cloudflare IP扫描器。本文详解原理、部署和实战应用。
Let's Encrypt后量子密码迁移指南:2026年你需要知道的一切
量子计算威胁迫在眉睫,Let's Encrypt引领TLS生态向后量子密码迁移。本文详解ML-KEM/ML-DSA标准、混合迁移策略、Nginx配置与开发者行动指南。
用音箱黑掉你的电脑:BadUSB声波攻击详解 | 2026年安全研究
Hacker News热文:通过扬声器发射超声波信号,远程激活BadUSB设备,无需物理接触即可控制目标电脑。本文详解攻击原理、影响范围和防御方案。
本周供应链攻击大爆发
软件开发生态系统动荡一周:PyPI、npm、Crates.io、Packagist均发现严重恶意软件活动。攻击复杂度和针对性达到新高水平,开发者需提高警惕。
TrapDoor — 跨生态供应链攻击 + AI助手投毒
Socket Security发现代号TrapDoor的供应链攻击:34个恶意包+384个变体,同时攻击npm、PyPI、Crates.io三大平台。恶意代码针对AI编码助手投毒。
情报动态 5
anthropics/defending-code-reference-harness — Security threat modeling skills
Anthropic开源的安全威胁建模、扫描、分类、修补技能集,5.7K stars。
Defending Code Reference Harness — Anthropic安全防御框架 (5.7K⭐)
Anthropic官方出品,威胁建模、扫描、分类、修补的完整安全技能集,加上可定制的自动化扫描引擎。
agent-governance-toolkit — 微软AI Agent治理工具包,4.2K⭐
微软出品AI Agent治理工具包,零信任身份、执行沙箱、可靠性工程,覆盖OWASP Agentic Top 10全部10项。
defending-code-reference-harness — Anthropic安全扫描框架,5.6K⭐
Anthropic官方安全工具,威胁建模、扫描、分诊、补丁技能+自主扫描harness。