Aggregator

CISA: Iran-Linked Groups Actively Exploiting OT Exposure Risks, PLC Programmers
Federal agencies are warning that Iranian-linked actors have begun actively exploiting internet-facing PLCs and misconfigured OT systems across U.S. critical infrastructure, enabling network access, lateral movement and potential disruption amid rising geopolitical tensions.

Anthropic Limits Access to New AI Model Amid Concerns Over Misuse
Anthropic asserted Tuesday that it's created a new era for cybersecurity after developing an artificial intelligence model too dangerous to release to public. The company's unreleased Claude Mythos Preview model has already found thousands of high-severity vulnerabilities.

本文深入探讨了 JEEWMS v3.7中存在的四个远程代码执行漏洞。作者受SUCTF启发，详细展示了如何通过绕过鉴权逻辑来利用未授权的高危接口。指出其安全性问题本质上源于鉴权机制不严以及文件/路径处理逻辑中的过滤缺失。文章提供了详细的调试过程、Payload 构造及复现截图，具有实操参考价值。

Langflow未授权端点经exec()执行攻击者注入的组件代码，实现远程命令执行。

本文是一篇探讨如何将AI（尤其是大语言模型）与Web3智能合约安全审计深度结合的技术实践与方法论文章。基于实际工作经验，提出在AI时代，真正高效的自动化代码审计不应依赖简单的指令或具体的漏洞案例，而应回归“提示词编写（Prompt Engineering）”的基本功。

随着 Claude Code 的普及，大量用户选择通过第三方中转站（API Proxy）来使用 Claude 模型。然而，中转站作为用户与官方 API 之间的中间层，天然具备篡改请求和响应的能力。本文将从上下文空间异常、模型造假、提示词投毒三个维度，揭示中转站可能存在的安全风险，并给出对应的检测方法。

OpenClaw作为最近爆火的AI应用，其设计者已深刻意识到了外部攻击面的风险，并构建了多层的静态防护机制，但当攻击者利用长上下文的认知负载和任务导向性等手段逐步诱导AI忽略安全边界时，AI 似乎难以始终守住边界，最终仍可能执行恶意命令。

从一个文档的信息泄露，到全校三要素泄露和RCE

总结来说，Auto Login Skill 不只是一个自动化工具，它更是一种 AI 技能在网络安全领域的落地实践。 从自动识别系统到智能纠错，再到多技能联动，它展示了 AI 在渗透测试等网络安全任务中的巨大潜力（还比如钓鱼很多场景提效）。

分析了当下最火的openclaw的防御模式

Agent Session Smuggling是一种针对AI代理间有状态通信的新型攻击。恶意代理利用A2A（Agent2Agent）协议的会话状态保持特性，在正常的代理间对话中隐蔽注入恶意指令实现恶意的目的执行

2026白帽大会 - 破局与重构：多模态AI Agent的红蓝对抗效率革命

本文主要是针对一款开源AI MCP框架的原理进行分析，看看其中的实现逻辑。

本文根据Python代码的特性尝试绕过WAF防护

漏洞来源漏洞描述n8n 是一个开源工作流自动化平台。在 2.2.0 和 1.123.8 版本之前，拥有创建或修改工作流权限的已认证用户可以利用 git 操作链接“从磁盘读取/写入文件”节点，从而实现远程代码执行。攻击者通过写入特定的配置文件并触发 git 操作，即可在 n8n 主机上执行任意 shell 命令。此问题已在 n8n 2.2.0 和 1.123.8 版本中修复。用户应升级到这些版本或更

edusrc漏洞挖掘常见思路

JeecgBoot ≤3.4.0 验证码逻辑缺陷导致任意用户注册漏洞核心问题是由于系统对Redis缓存Key设计不严谨、验证码来源未做业务隔离、校验逻辑存在权限所导致

1. 深度分析Dridex分析 2. 介绍分析过程中的各种技巧 3. 编写脚本提取C2

01 前言Winget钓鱼是一种容易被防御者忽视的钓鱼方式，以至于公开的文件滥用后缀中并没有它：https://filesec.io/本文会详细介绍这种新的钓鱼伪装技术，包括漏洞复现、涉及的概念，如何一步步构造及原理02 漏洞复现压缩包内有Lnk文件jianli.lnk双击jianli.lnk后可以看到成功弹出了伪装的pdf文档，并下载执行了putty.exe03 前置知识3.1 Powershe

Smartbi的RMIServlet接口由于其方法调用的功能，出现过非常多漏洞，以这个接口为切入点，开始分析其出现过的部分历史漏洞。