RedTeam

DEVCORE 的 Orange Tsai 在 Pwn2Own Berlin 2026 打穿 Edge 沙箱和 Exchange，呼应他 2021 年 ProxyLogon 的旧账。但真正的新闻在场外：19 年来第一次 ZDI 报名超额关闭，被拒研究员把手里的 0day 直接公开发了。

对富人加税，最后亏的为什么是穷人？最低工资法推行后，黑人青年失业率为什么反而翻倍？平权加分政策，为什么让被照顾的人更难毕业？Sowell 用半世纪的研究告诉我们：很多以正义为名的政策，只是善意装上了发动机，撞死了它本想救的人。

高绩效 AppSec 团队修复率是普通团队3倍，差距不在工具在流程。PR阶段发现的漏洞比全量扫描快9倍修完，因为开发者上下文还在。Blocking Rules、可达性过滤用得越深收益越大。漏洞超90天基本就烂在Backlog里了。Critical修复率低于50%，先查流程，别查工具。

axios 维护者 Jason 被攻击者伪装成公司创始人，通过假 Slack 工作区和 Teams 会议实施社工，以"系统更新"为由诱导安装 RAT，随后用盗取的凭证向 npm 推送恶意版本，注入远控木马。毒版本存活约三小时。幕后疑为朝鲜黑客组织 BlueNoroff。

针对CodeQL海量误报痛点，利用按需上下文提取与引导式提问技术，引入LLM进行精准二审。该方案将误报率降低超90%，仅以极低成本在Linux Kernel等项目中挖掘出8个高危CVE。

译者按：本文基于 GitHub 安全实验室安全研究员 Michael Stepankin 的最新发现，揭示了

如果你是一名应用安全工程师同行，我希望这篇文章能帮助你思考这些原型中哪一个适合你。

如果你无法回答这些问题，说明你还没有真正深入细节。

AWS re:Inforce 2025 将于6月16-18日在费城举办，主要聚焦云安全、合规性、身份管理和隐私保护。

从零到一的企业安全建设方法论。

我们为安全建立的孤岛、特殊流程和神秘评分正在让软件变得更不安全。

注学习了一下 Uber 的跨云平台密钥管理方案，简单翻译了一下，英文不错的师傅可以直接翻到文末的原文链接看原文

如何构建安全的软件以有效地与高速迭代的工程团队合作。

你信任的地方，往往最危险。

你信任的地方，往往最危险。

安全不是为了安全而存在的，而是为了支持业务的安全发展。当安全成为无形的基础设施，默默保护而不需要开发者时刻关注，那才是真正成功的安全解决方案。

安全不是为了安全而存在的，而是为了支持业务的安全发展。当安全成为无形的基础设施，默默保护而不需要开发者时刻关注，那才是真正成功的安全解决方案。

安全不是为了安全而存在的，而是为了支持业务的安全发展。当安全成为无形的基础设施，默默保护而不需要开发者时刻关注，那才是真正成功的安全解决方案。

攻击者通过社交媒体诱导用户点击合法的Microsoft OAuth链接，并获取授权码，从而无需恶意网站即可完全访问受害者的Microsoft 365账户。

攻击者通过社交媒体诱导用户点击合法的Microsoft OAuth链接，并获取授权码，从而无需恶意网站即可完全访问受害者的Microsoft 365账户。