FreeBuf互联网安全新媒体平台

分析了大语言模型LLM在进行API调用的过程中可能造成的安全问题，以及使用配套的靶场进行具象化的练习

shiro-web CVE-2016-4437

shiro-web 路径绕过

shiro-web 软件分析

我们精选了本周知识大陆公开发布的10条优质资源，让我们一起看看吧。

总结推荐本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

这种恶意软件冒充PDF编辑器、AutoCAD 和 JetBrains 等合法软件， 通过在线论坛、种子跟踪器和博客传播。

随着人工智能等新技术的兴起，相关利用AI进行的网络犯罪活动也逐渐增多。日前，谷歌发出警告，称发现多种颇具欺骗性的网络欺诈活动。

近期，安天CERT监测到一起挖矿木马攻击事件，该挖矿木马从2024年3月开始出现，并持续更新攻击脚本。

《规定》 旨在规范关键信息基础设施商用密码的使用，确保其安全性和有效性。

OpenAI的ChatGPT平台提供了对大型语言模型（LLM）沙盒的高度访问权限，允许用户上传程序和文件、执行命令以及浏览沙盒的文件结构。ChatGPT沙盒是一个隔离的环境，允许用户安全地与之交互，同时与其他用户和主机服务器隔离。它通过限制对敏感文件和文件夹的访问、阻止互联网访问以及尝试限制可能用于利用漏洞或潜在突破沙盒的命令来实现这一点。Mozilla的0-day调查网络0DIN的Marco F

近日，五眼联盟发布了报告，公布了2023年最常被利用的漏洞清单。其中，零日漏洞已经成为黑客最常利用的漏洞类型。

研究人员最近在高级人工智能图像生成器中发现了潜在的安全漏洞，能够泄露敏感系统指令，尤其是在高级扩散模型Recraft中。

该工具可以快速查找查找和修复活动目录 Active Directory 证书服务中的常见错误配置。

RustiveDump是一款基于NT系统调用的LSASS内存转储工具，该工具使用Rust开发，旨在仅使用NT 系统调用转储lsass.exe进程的内存。

2023年看到了零日漏洞利用的激增，反映了威胁行为者旨在在漏洞公开后迅速妥协高优先级目标的演变策略。

DemandScience称泄露的数据来自两年前已退役的系统。

近期有非法份子在暗网出售EGOVPH系统数据。

与哈马斯存在关联的网络攻击者近期正专门针对以色列实体实施破坏性攻击。

Velociraptor是一款终端节点可视化与数据收集工具，该工具使用了Velociraptor 查询语言 (VQL) ，可以查询收集基于主机的状态信息。