梆梆安全发布《2026年Q1移动应用安全风险报告》:超八成APP存隐私违规,数据境外外发风险需高度警惕
梆梆安全发布《2026年Q1移动应用安全风险报告》。
嘶吼专业版
不只是 0day 盛宴!DEF CON 新加坡站议题公布,藏着 4 个攻防新趋势
嘶吼安全动态|八部门联合发布《 科技数据安全管理暂行规定》,4月10日起实施 黑客利用像素级SVG技巧隐藏信用卡窃密代码
开源AI平台Flowise被曝存在远程代码执行漏洞,攻击者可通过未校验配置执行任意代码,目前已被野外利用。
Progress ShareFile曝新漏洞 可组合实现未认证远程代码执行
由于系统对 HTTP 重定向处理不当,攻击者可直接访问 ShareFile 管理后台界面。
嘶吼安全动态|中央网信办召开全国网络法治工作会议 设备码钓鱼攻击暴增36倍,新型攻击工具在网上大肆扩散
会议明确完善网络法律体系、强化App/SDK个人信息治理、加强网络司法惩戒等五大任务,推进依法治网全面落地。
新型CrystalRAT恶意软件新增远程控制、数据窃取等功能
这款木马与WebRAT高度相似,二者拥有相同的控制面板设计、均使用Go语言编写,且采用类似的机器人销售系统。
嘶吼安全动态|国家安全部提醒:“囤词元暴富” 背后,暗藏间谍窃取数据陷阱 苹果Mac威胁50.32%来自木马,盗窃用户隐私成主要目的
Medusa勒索软件团伙已具备利用零日漏洞并在24小时内完成从入侵到加密全流程的能力。
Claude Code源码泄露遭利用,攻击者借GitHub散播窃密木马
从以往案例来看,攻击者往往会迅速借热点公开事件发动机会主义攻击,借机入侵目标设备。
嘶吼安全动态|工信部NVDB平台发布风险提示:利用苹果iOS漏洞的攻击活动激增 黑客利用React2Shell发起自动化凭证窃取活动
2026年企业安全重心正向AI安全态势管理(AI-SPM)快速转型。
多国联合行动捣毁全球最大DDoS僵尸网络团伙
本次联合跨境执法查封四类核心攻击资源:虚拟云服务器、恶意域名集群、全域攻击调度链路。
嘶吼安全动态|中央网信办等三部门开展2026年个人信息保护系列专项行动 Axios供应链攻击事件系朝鲜黑客组织所为
网信办、工信部、公安部联合开展,聚焦超范围收集、强制授权、未告知等问题,覆盖教育、金融、医疗等重点领域。
PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行
本次高危漏洞命名“PolyShell”,核心特征为攻击者上传多格式兼容恶意文件,该文件既可伪装成常规图片绕过安全检测,又能解析执行后台恶意脚本后门。
嘶吼安全动态|国家市场监管总局推动网络食品安全“协同共治”,AI算法参与合规审核 加密平台Drift发生重大安全事故
此类“以网管网”的机制必须建立算法透明度,防止AI在审核过程中因模型偏差误伤合法合规的平台商户。
代码钟馗启动AI漏洞雷达,OpenClaw隐秘漏洞浮出水面
泛联新安代码钟馗:新一代AI应用安全智能体,守护代码安全。
嘶吼安全动态|国家计算机病毒应急处理中心通报71款违法违规收集使用个人信息的APP OpenAI Code爆出严重漏洞:黑客可劫持GitHub访问令牌
此举填补了公共服务AI风险保障空白。
Trivy供应链攻击持续扩散,波及Docker镜像与GitHub代码仓库
供应链安全防护厂商Socket发布专项报告,正式确认Docker Hub官方镜像仓库已出现恶意篡改的Trivy污染制品包。
嘶吼安全动态|全国网安标委发布关于征集个人信息保护标准应用实践案例的通知 AI工作流工具Langflow曝未授权RCE漏洞
如果手机莫名其妙发烫,这可能是你的手机正在被窃密者操纵着进行远程实时监控,即使手机关机,窃密行为也没有停止。
VoidStealer恶意软件利用调试器漏洞窃取Chrome主密钥
这是全球野外实战攻击中,首例采用该底层绕过机制的窃密恶意软件。
嘶吼安全动态|搜索引擎排名遭 “投毒”,恶意链接暗藏窃取风险 谷歌发布高风险Chrome安全更新
其中,AI内容的版权保护、算法备案及内容真实性审核技术被列为专项扶持的重中之重。
攻击者滥用.arpa特殊域名与IPv6反向DNS实施钓鱼攻击
由于 .arpa 域名专用于互联网基础设施,不包含普通注册域名的公开信息,如 WHOIS 注册信息、域名年龄、联系方式等,导致邮件网关与安全工具更难识别其恶意属性。
我们以客观、中立、数据为基础,鼓励读者独立思考,提供全面的网络安全行业资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)