该论文关注Transformer架构的大型语言模型（如BERT、GPT）在自然语言处理中的广泛应用及其对文本对抗攻击的脆弱性。现有防御方法如对抗训练资源消耗大，而防御性dropout等保护有限。作者提出了一种名为“动态注意力”的新方法，专门针对Transformer架构设计，无需下游任务知识且不增加额外成本。动态注意力包含两个模块：1) 注意力修正：通过掩盖或减弱选定令牌的注意力值；2) 动态建模：动态构建候选令牌集合。大量实验表明，该方法能显著减轻对抗攻击的影响，在常用对抗攻击上比之前的方法性能提升高达33%。动态注意力的模型级设计使其易于与其他防御方法（如对抗训练）结合，进一步提升鲁棒性。此外，与其他动态建模方法相比，动态注意力保留了原始模型的最优鲁棒性空间。

Ivanti Endpoint Manager Mobile（EPMM）被披露存在一个代码注入漏洞。该漏洞可能允许攻击者通过向受影响组件注入恶意代码，进而导致任意代码执行或系统控制。具体成因、攻击向量及受影响版本尚未公开，目前仅有漏洞通告（来源：知道创宇/Seebug）。由于缺乏官方技术细节，无法确认漏洞的实际可利用性和影响范围。建议用户持续关注Ivanti官方安全更新。

Huawei Secoway USG firewall weak password

Yokogawa YFGW410是一款用于工业自动化无线网络的现场无线接入点网关，常用于石油、化工等关键基础设施。根据知道创宇/Seebug漏洞库信息，该产品存在安全漏洞，可能允许攻击者远程执行恶意操作或导致拒绝服务。由于缺乏官方公告和技术细节，具体漏洞类型和触发条件尚未明确，但工业控制设备的漏洞通常会导致生产中断或安全风险。建议用户立即关注横河电机官方安全更新，并采取网络隔离等缓解措施。

### Impact multiparty@4.2.3 and lower versions are vulnerable to denial of service via regular expression backtracking in the `Content-Disposition` filename parameter parser. A multipart upload with a long header value containing `!filename="1` repeated can cause regex matching to take seconds, blocking the event loop. Any service accepting multipart uploads via multiparty is affected. ### Patch

## Title Missing authentication on WebRTC ingest endpoint allows unauthenticated stream injection in TinyIce ## Ecosystem / Package - **Ecosystem:** `Go` (or "Other" — TinyIce is shipped as a Go binary, not a Go module published to a registry) - **Package name:** `github.com/DatanoiseTV/tinyice` ## Affected versions ``` >= 0.8.95, = 2.5.0 ``` ## Severity - **CVSS 3.1 base score:** 7.4 (High

## Summary async-http-client leaks `Cookie` headers to cross-origin redirect targets. When following a redirect across a security boundary (different origin, or HTTPS→HTTP downgrade), the `propagatedHeaders()` method in `Redirect30xInterceptor.java` strips `Authorization` and `Proxy-Authorization` headers but does not strip `Cookie`, so session cookies and other sensitive cookie values are forwar

本文提出 Springproofs，一种新的内积论证（IPA）框架，支持任意长度的向量，无需填充零，从而避免了额外的计算开销。核心创新在于一种递归压缩结构，使得证明大小与原始 IPA（如 Bulletproofs）相同，但计算效率更高。实验表明，当向量长度略大于2的幂时，Springproofs 在范围证明上的速度几乎是 Bulletproofs 的两倍。将 Springproofs 集成到门罗币（Monero）中，在交易生成和验证方面均优于基于 Bulletproofs 的方案。此外，Springproofs 可应用于通用算术电路（如 SHA256、Merkle 树和典型统计计算），性能优于 Bulletproofs。有趣的是，Springproofs 扩展了 Bulletproofs 性能超过 Groth16 的参数范围，同时继承了 Bulletproofs 无需可信设置、聚合和批量验证等优点。该框架在加密货币的机密交易和智能合约中的特定算术电路隐私计算方面具有广泛应用前景。

本文提出TSS（Transformation-Specific Smoothing）框架，旨在为机器学习模型提供针对语义变换（如旋转、模糊、平移等）的鲁棒性认证。现有认证方法主要针对L_p范数约束的扰动，而对语义变换的认证研究不足。TSS根据语义变换的特性将其分为两类：可解析变换（如高斯模糊）和差分可解析变换（如旋转），针对前者提出变换特定随机平滑策略，针对后者采用分层采样方法以处理插值误差。TSS结合一致性增强训练，实现了严格的鲁棒性认证。实验在十多种挑战性语义变换上进行，结果表明TSS显著优于现有方法，并且首次在大规模ImageNet数据集上取得非平凡的认证鲁棒性（例如，在±30°旋转攻击下实现30.4%的认证准确率）。此外，TSS对自适应攻击和未知图像损坏（如CIFAR-10-C、ImageNet-C）也具有鲁棒性。

本论文研究去中心化文件系统 IPFS（星际文件系统）中的内容审核挑战。IPFS 作为“去中心化网络”的重要组成部分，其分布式架构使得内容管理极为困难。作者通过分析 368,762 个文件，系统性地识别、分类并测量了 IPFS 中存在的问题内容（例如已被下达删除通知的文件）。研究覆盖了完整的内容审核流程：文件如何被标记、谁托管和检索这些文件，以及审核流程的有效性。作者分析了提交到拒绝列表的内容，发现大量问题内容仍被提供服务，且缺乏中心化机制反而促进了问题内容的传播。尽管作者观察到对删除请求的快速响应，但测试了多个网关的弹性后表明，现有过滤手段可以被规避。最终，论文提出了改进内容审核的方案：在检测钓鱼内容方面提高了 227% 的识别率，并将平均过滤时间缩短了 43%。这项工作对去中心化平台治理、内容安全以及分布式系统安全具有重要参考价值。

Citrix NetScaler 内存泄漏(CVE-2025-5777)

Mistral npm `@mistralai/mistralai`, `@mistralai/mistralai-azure`, `@mistralai/mistralai-gcp` were compromised by a supply chain attack related to the [TanStack security incident](https://github.com/TanStack/router/security/advisories/GHSA-g7cv-rxg3-hmpx). An automated worm associated with the attack led to **compromised npm package versions being published**. Current investigation indicates that

本文首次系统性地研究了边缘AI加速器（AIA）上的混淆代理攻击（CDA）。AI加速器是专用硬件（如TPU），用于高效执行AI应用，广泛应用于边缘设备。然而，AI加速器不受操作系统限制，对应用处理器（AP）的安全机制（如内核/用户内存隔离、进程隔离）可见性有限，这种语义鸿沟可能导致恶意应用利用AI加速器执行特权操作。作者设计了DeputyHunt框架，利用大语言模型（LLM）辅助，结合动态和静态分析，提取AI加速器相关CDA信息。他们测试了来自Google、NVIDIA、Hailo、Texas Instruments、NXP、AWS和Rockchip的7种不同AI加速器，发现其中6种易受CDA攻击，影响超过128种系统级芯片（SoC）和1亿多台设备。该研究已被相关厂商确认，并分配了CVE-2025-66425。此外，作者提出了一种按需验证防御机制，在Gem5-salam模拟器上评估显示运行时开销仅约15%。该工作揭示了AI加速器带来的严重安全风险，为边缘AI系统的安全防护提供了重要参考。

The `mistralai` PyPI package version `2.4.6` contains a malicious dropper that executes on import on Linux. No `v2.4.6` tag, commit, or release workflow run exists in this repository, the legitimate latest version before the upload was `2.4.5`, and the upload bypassed this repository's normal release pipeline (which uses PyPI Trusted Publishing). The `mistralai` PyPI project is currently quaranti

该论文对开源消息应用Delta Chat的端到端加密协议进行了正式的密码学分析。Delta Chat基于电子邮件基础设施，使用Autocrypt和Secure Join协议实现加密。研究人员发现了多个安全缺陷，包括：在Autocrypt密钥轮换中，不安全的密钥更新可能允许中间人攻击；在Secure Join中，QR码的有限熵降低了安全性；此外，还存在未加密的元数据泄露（如主题行和附件名）。论文提出了具体的改进建议，并通过形式化建模和自动化协议验证工具（如CryptoVerif）证实了攻击的可行性。这些发现对依赖类似协议的即时通讯应用具有普遍参考意义。

PLANET VDR-300NU ADSL Router - 未授权修改DNS

Acknowledgements

多款Huawei路由器信息泄露漏洞

Microsoft Edge (Chromium-based) Spoofing Vulnerability

Improper input validation in Microsoft Edge (Chromium-based) allows an unauthorized attacker to bypass a security feature over a network.

Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability

## Summary When `ENABLE_MULTI_TENANT=true`, the HTTP transport documents that the target n8n instance is selected per-request from `x-n8n-url` / `x-n8n-key` headers. Requests that omitted those headers — or supplied only one of them — silently fell back to the process-level `N8N_API_URL` / `N8N_API_KEY` credentials configured for the operator's own n8n instance. As a result, an authenticated MCP

SGLangs multimodal generation runtime scheduler's ROUTER socket binds to 0.0.0.0 by default and contains a sink that calls pickle.loads() on incoming messages, enabling RCE when exposed to the internet.

该论文提出了一种名为 Cascade 的 CPU 模糊测试方法，核心创新在于通过生成结构复杂、指令交织紧密的程序来触发处理器微架构中的隐藏漏洞。传统 CPU 模糊测试通常依赖随机指令序列或模板，难以覆盖指令间的深层交互。Cascade 采用形式化程序生成技术，自动构造包含数据依赖、控制流分支、异常处理及指令重排等复杂场景的测试程序。该方法能有效探索流水线冲突、缓存一致性、分支预测等微架构特性中的边界情况。实验基于 RISC-V 和 x86 指令集模拟器及实际处理器实现，验证了 Cascade 在发现已知漏洞（如 Spectre v1 相关漏洞）及未知硬件 bug 上的效率优于现有测试工具。作者还开源了框架代码，旨在推动硬件安全测试的自动化水平。

该论文研究了大型语言模型（LLM）在面对强制性审讯（coercive interrogation）时的韧性。强制性审讯是一种对抗性交互，攻击者试图通过重复、施压或诱导等方式迫使模型生成违反其初始对齐或安全约束的输出。作者提出了一种系统性的评估框架，通过构造一系列逐步升级的审讯策略（包括重复提问、情感施压、逻辑陷阱等）来测试不同LLM的抵抗力。实验在多个开源和闭源模型上展开，结果显示，即使是经过对齐训练的模型，在面对持久且针对性设计的审讯时，也表现出显著的脆弱性，可能泄露敏感信息、承认错误主张或产生不安全内容。论文进一步分析了模型内部机制（如注意力分布、神经元激活）与韧性之间的关系，发现模型在压力下会表现出注意力漂移和决策路径改变。主要贡献包括：定义和形式化了LLM强制性审讯问题；构建了包含多种审讯策略的测试基准；揭示了当前模型对齐技术的局限性；并提出了改进模型韧性的潜在方向，如通过对抗性训练增强鲁棒性。该研究对理解LLM在实际部署中的安全风险具有重要意义，提示开发者需关注模型在持续对抗性交互下的行为退化。

本文提出了一种名为前驱感知定向灰盒模糊测试（PDGF）的新方法，旨在解决现有定向灰盒模糊测试（DGF）技术中存在的重量级和不完整性问题。DGF是一种面向目标的模糊测试技术，用于复现或发现软件漏洞，通常分为静态分析（预先获取程序结构信息）和动态执行（引导模糊测试向目标位置靠近）两个阶段。然而，现有方法在识别和接近目标时需额外开销，且由于间接调用或路径覆盖不足，导致对目标位置的测试不完整。PDGF将DGF重新定义为路径搜索问题，通过将程序划分为前驱区域和非前驱区域，并利用轻量级程序分析初始维护前驱集合，在动态执行中不断扩充该集合。PDGF引入了一种新的适应度指标——区域成熟度，用以表示前驱区域的覆盖率，并结合基于模拟退火的能量调度技术以及种子选择和变异策略，高效且全面地覆盖前驱区域。在包含30个真实程序目标点的基准测试上，PDGF与现有最先进的DGF工具进行了广泛比较，实验结果表明，PDGF在暴露时间、路径多样性和漏洞发现方面均优于竞争对手。此外，PDGF发现了9个新漏洞，其中6个已分配CVE编号。该工作对软件安全测试领域具有重要参考价值，适合安全测试研究员、模糊测试工具开发者和软件质量保障人员阅读。

Firefox browsers

Sign in to Cloud

Sign Up for Free Cloud Tier

iOS 26.4.2 and iPadOS 26.4.2

iOS 18.7.8 and iPadOS 18.7.8

iOS 18.7.7 and iPadOS 18.7.7

iOS 26.4 and iPadOS 26.4

Background Security Improvements for iOS, iPadOS, and macOS

iOS 16.7.15 and iPadOS 16.7.15

iOS 15.8.7 and iPadOS 15.8.7

iOS 26.3 and iPadOS 26.3

iOS 18.7.5 and iPadOS 18.7.5

iOS 26.2 and iPadOS 26.2

iOS 18.7.3 and iPadOS 18.7.3

Compressor 4.11.1

iOS 18.7.2 and iPadOS 18.7.2

iOS 26.1 and iPadOS 26.1

iOS 26.0.1 and iPadOS 26.0.1

iOS 18.7.1 and iPadOS 18.7.1

iOS 26 and iPadOS 26

iOS 18.7 and iPadOS 18.7

Android Code Search

Android Devices

Secure an Android device

Android 16 QPR2

Mobile network security

MFSA 2026-18Security Vulnerabilities fixed in Focus for iOS 148.2

iOS 26.5 and iPadOS 26.5

iOS 18.7.9 and iPadOS 18.7.9

iOS 16.7.16 and iPadOS 16.7.16

iOS 15.8.8 and iPadOS 15.8.8

In mlflow/mlflow versions prior to 3.11.0, the `get_or_create_nfs_tmp_dir()` function in `mlflow/utils/file_utils.py` creates temporary directories with world-writable permissions (0o777), and the `_create_model_downloading_tmp_dir()` function in `mlflow/pyfunc/__init__.py` creates directories with group-writable permissions (0o770). These insecure permissions allow local attackers to tamper with

HCL Connections contains a broken access control vulnerability that may allow unauthorized user to update data in certain scenarios.

Summarize prior to 0.15.1 contains a missing authorization vulnerability that allows attackers to execute browser automation actions without per-call user approval when the extension automation feature is enabled. Attackers can influence the agent through malicious page or summary content to invoke enabled extension automation tools such as navigation or debugger-backed actions, bypassing the fina

A vulnerability was found in lwIP up to 2.2.1. Affected is the function snmp_parse_inbound_frame of the file src/apps/snmp/snmp_msg.c of the component snmpv3 USM Handler. Performing a manipulation of the argument msgAuthenticationParameters results in stack-based buffer overflow. The attack may be initiated remotely. The patch is named 0c957ec03054eb6c8205e9c9d1d05d90ada3898c. It is suggested to i

DumbAssets through 1.0.11 contains a stored cross-site scripting vulnerability in asset fields including name, description, modelNumber, serialNumber, and tags that are stored without server-side sanitization and rendered using innerHTML without client-side escaping. Attackers can create or update assets with HTML or JavaScript payloads via the asset API endpoints to execute arbitrary scripts in t

### Summary `ui.restructured_text()` renders reStructuredText server-side with Docutils without disabling file insertion directives. When a NiceGUI application passes attacker-controlled content to `ui.restructured_text()`, an attacker can use standard Docutils directives (`include`, `csv-table` with `:file:`, `raw` with `:file:`) to read local files readable by the NiceGUI server process. Appl

HSC MailInspector v5.3.3-7 contains a Cross-Site Scripting (XSS) vulnerability in the /tap/tap.php endpoint due to improper neutralization of user-controlled input using alternate or obfuscated JavaScript syntax. The endpoint reflects unsanitized user input in HTTP responses without adequate output encoding, allowing a remote attacker to execute arbitrary JavaScript code in the context of a victim

DumbAssets through 1.0.11 contains a path traversal vulnerability in the POST /api/delete-file endpoint and filesToDelete array parameters that allows unauthenticated attackers to delete arbitrary files by supplying ../ sequences that bypass directory boundary validation. Attackers can exploit the optional and disabled-by-default authentication control to traverse outside the intended application

Improper authentication in Azure Local Disconnected Operations allows an unauthorized attacker to elevate privileges over a network.

The `cloakserve` CDP multiplexer uses the user-supplied `fingerprint` query parameter directly as a filesystem path component when creating Chrome profile directories. An unauthenticated attacker who can reach the cloakserve port can supply a crafted `fingerprint` value containing path traversal sequences to resolve `user_data_dir` outside the configured `data_dir`. When Chrome fails to start or t

### Impact - Unauthenticated users could submit crafted values into Hidden fields (with Default value → Custom) that were evaluated as Twig during submission handling, which could lead to serious compromise of the Craft site (depending on template/sandbox behavior). - Sites with public Formie forms that include at least one Hidden field with that configuration. - No CP login for the reported chain

### Summary A Stored Cross-Site Scripting (XSS) vulnerability exists in the ShowConfig page of devices affected by the RANCID Integration settings. The application fails to properly sanitise the `rancid_repo_url` configuration value. When a user navigates to a device's configuration page, this unsanitised value is rendered directly within an HTML anchor (<a>) tag. This allows an authenticate

## Summary In a default dozzle deploy (the documented quickstart, no `DOZZLE_AUTH_PROVIDER` set), `POST /api/notifications/test-webhook` is reachable without authentication and forwards an attacker-controlled URL into a `WebhookDispatcher` that: - Sends an HTTP POST to the supplied URL with attacker-controlled request headers, and - Returns the response status code AND up to 1MB of the response

## Summary The custom `html_purify` validation rule used to sanitize blog post bodies relies on by-reference mutation (`?string &$str`), but CodeIgniter 4's validator passes a local copy of the value, so the sanitized text is silently discarded. The Blog controller writes `$lanData['content']` directly into `blog_langs.content`, and the public template echoes it without escaping — yielding stored

Akamai 发布了名为“Firewall for AI”的新产品，旨在保护AI工作负载免受分布式拒绝服务（DDoS）攻击和其他网络威胁。该产品针对AI API和模型推理端点，提供应用层和网络层的防护，包括速率限制、机器人检测和流量分析。由于AI部署的快速增长，攻击者越来越多地利用僵尸网络攻击AI基础设施，例如针对大语言模型（LLM）的API泛滥攻击。Akamai 的解决方案利用其全球云平台，实时缓解攻击，确保AI服务的可用性和安全性。该产品可能集成到现有的Akamai安全产品中，为SOC运维提供统一的防护视图。

本周安全新闻汇总了多个重大事件：Microsoft Exchange 0-day漏洞被积极利用，攻击者利用漏洞入侵邮件服务器；npm生态中发现蠕虫，恶意软件包通过依赖关系传播；攻击者在GitHub上创建虚假AI模型仓库，诱导用户下载信息窃取恶意软件；Cisco网络设备存在漏洞被利用，可能影响网络基础设施。此外，还有勒索软件团伙声称删除数据后索要赎金。这些事件表明供应链攻击和0-day漏洞利用仍是主流威胁，攻击者通过伪造可信来源、投毒软件包和利用未修补漏洞获取初始访问权限，进而横向移动并窃取敏感数据。安全团队应警惕邮件服务器、开发环境和网络设备的安全状态，加强供应链安全审查和漏洞修补。

网络犯罪在规模和复杂性上呈指数级增长，传统分类方案难以捕捉现代威胁的复杂性和多样性。为此，本文提出 STRIKE（Structured Taxonomy for Risk, Impact, Knowledge, and Emerging Threats），一种统一的多维网络犯罪分类框架。STRIKE 覆盖传统与新兴领域，包括勒索软件、钓鱼、网络入侵、儿童性虐待材料（CSAM）、加密货币劫持、深度伪造和供应链攻击。它利用攻击向量、对抗战术、社会影响、检测技术和缓解策略等标准对威胁进行组织。此外，论文还回顾了最新的检测方法进展，并提出了一个响应工作流，以协助从业者在活跃威胁条件下进行应对。该工作为研究人员、安全专业人员和政策制定者提供了威胁分析、比较评估和自适应网络防御的实用基础。

安全知识图谱能为安全智能体提供可计算的外部记忆，但从长篇网络威胁情报（CTI）文本中构建知识图谱面临挑战：大语言模型（LLM）缺乏扎实的安全领域知识，且端到端的文档-图谱训练难以用廉价稳定的奖励进行监督。本文提出 GRID（Graph Representation of Intelligence Data）框架，一种端到端的安全文本知识图谱构建方法。GRID 首先从 CTI 文章构建安全领域监督：通过图提取和知识图谱条件文本修订，创建可追溯的文章-图对齐。然后将文档-图谱学习转化为脚本任务库，结合四选多选问题和三元组级正则匹配目标，生成比 LLM 评判器反复评分更稳定的任务特定奖励。利用该监督流水线，训练了两个基于 Qwen3-4B-Instruct-2507 的 4B 提取器：主模型任务库奖励模型和辅助模型端到端奖励模型（后者使用 LLM 评判器的精确率/召回率奖励）。在来自 GRID、CASIE、CTINexus、MalKG 和 SecureNLP 的 249 篇 CTI 文章上，结合本体引导的 GRID 提取流水线的任务库奖励模型达到了 84.62% 的来源平均精确率、64.91% 的来源平均召回率和 68.53% 的平均 F1 值，实现了最佳来源平均召回率和接近最高的平均 F1，同时 token 使用和部署成本更低。端到端奖励模型达到 76.91% 精确率、53.85% 召回率和 58.06% 平均 F1。进一步分析表明，任务库奖励可一次性离线构建，并在后续后训练运行中复用，性能优于在线端到端 LLM 评判器奖励以及更弱的替代方案（如仅选择奖励和无需强化学习的端到端 SFT）。

该论文提出一个统一的端到端框架，弥合了网络入侵检测与响应之间的鸿沟。框架由两个紧密耦合的阶段组成：第一阶段使用三个独立训练的二元深度神经网络（DNN）集成模型，对网络流量流进行分类，区分为良性、拒绝服务（DoS）或分布式拒绝服务（DDoS），在CICIDS2018数据集上达到99.84%的准确率，在UNSW-NB15数据集上达到95.30%。第二阶段采用检索增强生成（RAG）管道：从前5个异常特征构建解释感知的提示，从授权来源的知识库中检索语义和词汇最相关的指导，并引导本地部署的语言模型生成结构化、引用基础的缓解报告。实验表明，RAG增强报告在所有自动评估指标上优于纯LLM输出。该框架解决了机器学习IDS在提供可操作响应方面的不足，为安全分析师提供了下一步行动建议。

该论文提出了 Agentic AI Detection and Response (ADR) 系统，这是首个大规模、生产验证的企业级框架，用于保护通过 Model Context Protocol (MCP) 运行的 AI 代理。作者识别了该领域的三个持续挑战：(1) 有限的可观测性——现有端点检测与响应 (EDR) 工具只能看到文件写入，但无法捕捉代理推理、提示或意图到执行的因果链；(2) 鲁棒性不足——基于预定义规则的静态防御无法泛化到多样化的攻击技术和企业上下文；(3) 高检测成本——基于 LLM 的推理在大规模下成本过高。ADR 通过三个组件解决这些挑战：ADR Sensor 提供高保真代理遥测数据；ADR Explorer 用于系统化的预部署红队测试和困难示例生成；ADR Detector 实现可扩展的两层在线检测，结合快速分诊和上下文感知推理。在 Uber 部署超过十个月的实践中，ADR 在生产环境中保持可靠检测，并逐渐扩展到超过 7200 个独立主机，每天处理超过 10000 个代理会话，跨 26 个类别发现了数百个凭证暴露，并实现了左移预防层（97.2% 的精度，检测到 206 个凭证）。为了验证方法并促进社区采用，作者引入了 ADR-Bench 基准（包含 302 个任务、17 种技术、133 个 MCP 服务器），在该基准上 ADR 实现了零误报，同时检测出 67% 的攻击——在 F1 分数上比三个最新基线（ALRPHFS、GuardAgent、LlamaFirewall）高出 2-4 倍。在公共提示注入基准 AgentDojo 上，ADR 检测出所有攻击，在 93 个任务中仅出现三次误报。该工作适合 AI 安全研究人员、企业安全架构师及蓝队成员阅读。

该论文针对云计算环境中入侵检测系统（IDS）面临的挑战——分层动态架构、未知攻击/零日攻击，以及机器学习模型在实验环境表现良好但在实际云部署中性能下降的问题，提出了一种基于强化学习的多层级、置信度感知的入侵检测框架。系统覆盖网络层、主机层和虚拟机监控器层三层。每层使用机器学习模型检测已知攻击，同时生成预测置信度。在多层流程中，低置信度事件先后经过两个门控：学习阈值置信门（Gate-1）和Chroma记忆匹配门（Gate-2），未解决的事件被转发到大语言模型（LLM）进行语义分析和解释。最终的攻击判定在Gate-3使用校准后的LLM置信度或加权融合回退，不确定事件被保留在评审桶中避免强制分类。生成的解释和确认的知识存储在ChromaDB中支持未来分析和重训练。实验首先使用静态阈值建立基线，结果显示所提系统学会了自适应阈值，并将LLM升级率降低了58.78%，同时保持了强性能（准确率88.68%，精确率85.29%，召回率84.72%，F1分数85.00%）。网络层和虚拟机监控器层分别达到98.02%和97.08%的准确率，展示了平衡且高效的检测系统。

这篇论文针对大型语言模型（LLM）API服务中难以检测的未授权知识蒸馏问题，提出了一种新颖的交互层反蒸馏水印方案。现有防御手段主要在教师模型的输出token层面施加水印，例如绿名单水印、密码学方案或反蒸馏采样，但这些方法容易被攻击者通过改写（paraphrasing）绕过，因为攻击者可以改变输出文本而不损失核心知识。作者主张将水印提升到交互行为层面：在教师模型响应时，通过系统提示注入间歇性的行为标记，例如明确的追问（如“您需要进一步澄清吗？”）、低频词汇变体（如使用不常见的同义词）或声明性重述（如把答案换个说法重复一遍）。无意的蒸馏者会继承这些行为模式，而防御者可以通过黑盒查询，利用经过人类验证的LLM裁判（LLM-as-judge）来审计学生模型是否表现出类似行为。实验中，以Llama-3.3-70B-Instruct为教师，对63个经过LoRA蒸馏的学生模型（涵盖Gemma、OLMo、Qwen等架构）进行了评估，共判断35,343个样本。结果显示，行为水印在不同学生模型上的转移保真度分别为：Gemma 88.9%、OLMo 80.9%、Qwen 45.2%。在非自适应DIPPER改写攻击下，鲁棒性分解为教师自身上限（约66.4%）和学生相对保留率21-112%，其中OLMo的水印保留率甚至超过教师本身。低密度（约20%）的显式和隐式声明性变体在各自家族基线上表现出显著转移。此外，一个N=20的室内实验（预注册拉丁方设计）表明，所有标记变体与基线在利克特量表上的差异均在0.22步以内，统计检验支持假设。该研究提出交互层作为反蒸馏水印的可行设计空间，与token层、模型层和推理轨迹层防御互补。

CrowdStrike 于 2026 年 5 月 19 日发布博客，宣布被 Frost & Sullivan 评为 2026 年雷达报告中云原生应用保护平台（CNAPP）的领导者。该报告评估了多家云安全厂商，CrowdStrike 因其在 Falcon Cloud Security 平台上的创新（包括统一代理、实时威胁检测、API 安全、云安全态势管理（CSPM）和云工作负载保护（CWP））而获得认可。文章未提及任何具体攻击活动、漏洞或威胁行为者，其主要目的是宣传 CrowdStrike 的市场地位和产品能力。

CrowdStrike Expands Real-Time Cloud Detection and Response to Google Cloud

CrowdStrike Falcon Cloud Security Delivered 264% ROI Through Unified Cloud Protection

Security & Identity

SAP on Google Cloud

Inside Google Cloud

Google Cloud Next & Events

Google Cloud Consulting

Transform with Google Cloud

Threat IntelligenceNorth Korea-Nexus Threat Actor Compromises Widely Used Axios NPM Package in Supply Chain AttackBy Google Threat Intelligence Group • 16-minute read

Threat IntelligenceRansomware Under Pressure: Tactics, Techniques, and Procedures in a Shifting Threat LandscapeBy Google Threat Intelligence Group • 53-minute read

Google Cloud Products

Cloud & Application Security

From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise

Next-Gen Identity Security

CrowdStrike FalconID Brings Phishing-Resistant MFA to Falcon Next-Gen Identity Security

Supply chain attackers are not only trying to slip malicious code into trusted software. They are trying to steal the access that makes trusted software possible. Recently, three separate campaigns hit npm, PyPI, and Docker Hub in a 48-hour window, and all three targeted secrets from developer environments and CI/CD pipelines, including API keys, cloud credentials, SSH keys, and tokens. This is

Storm-2949 turned stolen credentials into a cloud-wide breach, moving from identity compromise to large-scale data theft without using malware. This incident shows how threat actors can exploit trusted systems to operate undetected. The post How Storm-2949 turned a compromised identity into a cloud-wide breach appeared first on Microsoft Security Blog.

Many employees already use shadow AI tools at work without security review. Adaptive Security breaks down how teams can build practical AI governance without adding friction for employees. [...]

本文提出一种针对Tor网络的新型带宽膨胀攻击MirageFlow，旨在通过欺骗带宽测量机制，使攻击者控制的恶意中继节点获得更高的带宽权重，从而吸引更多用户流量，为后续去匿名化攻击创造条件。Tor网络当前日均用户约200万，是最大匿名通信系统，但其依赖于中继节点的带宽自报和测量机制。MirageFlow利用Tor中继节点间允许资源共享的特性（例如同一主机运行多个中继），通过攻击者控制的集群协调分配资源，使每个节点在测量时表现出充足的带宽资源。具体提出了两种变体：C-MirageFlow（单一服务器上部署n个中继的集群）和D-MirageFlow（跨N台服务器分布集群）。在私有Tor测试网中的评估表明，C-MirageFlow可实现约n倍的带宽膨胀，D-MirageFlow可实现约n*N倍的膨胀。理论分析进一步指出，若每个中继分配100MB/s带宽，仅需10台服务器、每台运行109个中继（总计1090个恶意中继）即可获取Tor网络一半的流量。问题严重性在于Tor官方文档甚至鼓励资源共享，使得攻击难以检测。研究贡献包括：发现新攻击向量、设计两种变体、量化攻击效能、指出防御困境。适合Tor运维者、匿名通信系统研究人员及安全分析师阅读。

本论文研究了可穿戴设备与自动化控制系统交叉领域的安全漏洞，特别聚焦于以智能眼镜为入口点，揭示在未经用户验证或交互的情况下接管安全关键自动化控制链的威胁。作者发现，当安全机制仅依赖入口点安全且对先前节点完全信任时（例如自动化控制链中的 Apple Shortcuts 或 IFTTT），此类漏洞尤为危险。他们通过非接触式、与扬声器无关的电磁干扰攻击，在受害者手机处于锁屏状态下，成功控制了真实世界系统（如 Tesla 车辆）的功能，包括解锁车门和启动远程启动。实验验证了攻击对 Tesla 等软件和自动化工具控制的系统的有效性。该研究不仅展示了未经授权控制自动化连接系统的潜力，更强调了在可穿戴技术与更广泛自动化框架集成中迫切需要更强大的安全措施。论文核心贡献在于揭示了从智能眼镜到车辆控制的无认证链漏洞，并提供了实际攻击验证，为可穿戴设备与自动化系统的安全设计提供了警示。

这篇海报论文提出了 Chronos，一种利用时间干扰作为攻击向量的新型攻击方法，针对自主网络物理系统（CPS）。CPS 的正常运行依赖于对物理世界的精确、及时感知与执行，时间属性是系统稳定性的关键。Chronos 攻击通过侵入系统中的一个非特权、非关键任务，对无人机和自动驾驶车辆平台发起时间干扰攻击。在开环和闭环测试中，攻击者能够在不利用任何软件漏洞的情况下，导致自主系统完全失控，撞向周围环境。为了深入理解这一攻击向量，研究者对这两个平台的定位组件进行了初步研究，因为它们都使用了依赖于来自不同传感器的多模态数据（对时间敏感）的同步定位与地图构建（SLAM）算法。基于案例分析，论文提出了时间攻击面的形式化描述，并指出了未来研究方向。该工作揭示了时间干扰作为一种独立于传统软件漏洞的攻击向量的潜力，对 CPS 安全设计提出了新的挑战。

Rust 作为一种系统级编程语言，通过强大的类型系统和所有权模型在编译时保证内存安全，但实际应用中仍然存在运行时崩溃和内存安全错误，可能导致可利用漏洞。现有静态分析工具在检测 Rust 程序中的缺陷时存在精度或覆盖面的不足。本文提出 MirChecker，一种基于 Rust 中间表示 MIR 的静态分析框架，通过模拟抽象解释和自定义检查器来检测多种类型的缺陷，包括空指针解引用、整数溢出、数组越界等。该方法在多个 Rust 开源项目（如 Rust 标准库、Servo、Tock 等）上进行了评估，结果表明 MirChecker 能够发现现有工具（如 Clippy、Rustc 自身警告）无法检测到的真实错误，同时具有较低的误报率。主要贡献包括：（1）设计并实现了一个针对 MIR 的静态分析引擎，支持路径敏感分析；（2）提出多种检查器覆盖常见缺陷模式；（3）在真实项目中发现多个新的 bug 并得到开发者确认。该工作适合 Rust 开发者、安全研究人员以及编译器工程人员阅读，有助于改进 Rust 生态系统的安全性。

本文提出了一种基于修正的防御方法，旨在抵御针对视频分类模型的对抗性攻击。该方法利用离散化增强视频压缩感知（DVCS）技术，将视频压缩采样与离散化处理相结合，以消除对抗性扰动。核心思想是：对抗性扰动通常表现为高频噪声，而视频压缩感知的欠采样过程可以有效滤除这些噪声；进一步通过离散化（如量化）破坏扰动的结构。作者设计了一个端到端的防御框架，包括压缩采样、离散化、重构和分类步骤。实验在多个视频数据集（如UCF-101、HMDB-51）上评估，针对多种攻击（如FGSM、PGD、C&W）展示了较好的鲁棒性提升，同时保持了较高的分类准确率。与现有的对抗训练、输入变换等方法相比，该方法在计算开销和防御效果之间取得了平衡。此外，作者还探讨了离散化参数对性能的影响，并给出了理论分析。该工作为视频领域的对抗防御提供了新思路，适合对视频安全、对抗学习感兴趣的研究者阅读。

本文针对秘密共享洗牌（Secret-Shared Shuffle）这一安全多方计算中的核心原语，提出了首个在恶意敌手模型下实现安全性的高效协议。秘密共享洗牌允许参与方在不泄露输入数据的情况下，对秘密共享形式的数组进行随机排列，广泛应用于隐私保护数据分析、安全数据库查询等场景。现有工作大多仅针对半诚实安全模型，而恶意安全模型下敌手可任意偏离协议，设计难度极大。本文基于加性秘密共享和混淆电路技术，设计了一种新的洗牌协议，核心思想是使用可验证秘密共享和承诺机制来强制各方诚实执行。作者利用密文等长校验和零知识证明来检测恶意行为，同时引入了随机置换的预计算技术以降低在线开销。实验结果表明，该协议在局域网环境下，对百万级规模的数组可在数秒内完成洗牌，通信复杂度与半诚实方案相当，但提供了更强的安全保证。论文还给出了严格的安全性证明，证明协议在UC框架下实现了针对静态恶意敌手的理想功能。该工作填补了恶意安全秘密共享洗牌的空白，对于推动安全多方计算在实际系统中的应用具有重要价值。

本文针对深度嵌入式设备（如基于微控制器的设备）固件测试面临的挑战，提出了一种非侵入式、解耦的固件测试框架IPEA。由于此类设备运行时环境与通用计算机差异巨大，且资源严重受限，传统的动态测试技术难以直接应用。IPEA利用微控制器开发过程中工作站与目标设备相连的独特条件，将资源密集型分析任务（如污点跟踪、地址清理）从微控制器转移到强大的工作站上执行，仅在被测固件中保留轻量级的“针式探针”来收集内部执行状态，不进行本地处理。框架实现了两个实例：基于指针能力的清理器IPEA-San和灰盒模糊器IPEA-Fuzz。实验表明，在真实固件上IPEA-San相比移植的AddressSanitizer内存开销降低62.75%，且检测精度更高。结合IPEA-Fuzz，在流行的IoT库（3个）和外设驱动代码（4个）中发现了7个零日漏洞。该工作为嵌入式固件的安全测试提供了一种低开销、高可移植性的新范式。

本文提出了一种名为“Proof of Backhaul (PoB)”的去中心化信任自由的宽带带宽测量协议。随着去中心化无线网络（由众多个人和小型企业托管节点组成）的兴起，对网络性能进行可证明、抗拜占庭故障的测量成为激励经济模型的关键需求。PoB协议旨在测量无线接入点（称为证明者）的回程链路带宽，并满足两个核心性质：（1）信任自由：带宽测量能够抵御挑战服务器与证明者合谋发起的拜占庭攻击；（2）开放性：挑战服务器的准入门槛低，无需与测量链路具有低延迟高吞吐路径。高层设计上，协议聚合多个挑战服务器的测试流量，并利用密码学原语确保即使部分挑战者或挑战者与证明者合谋，也无法恶意篡改结果。基于正式安全模型，协议可根据恶意参与者的比例提供带宽测量的准确性保证。实验评估表明，PoB协议可在100毫秒内验证高达1000 Mbps的回程带宽，误差小于8%，且测量精度不受腐败挑战者的影响。更重要的是，基本验证协议经过微小修改即可测量存在交叉流量时的可用带宽。

该论文深入研究了深度神经网络（DNN）中对抗样本的可迁移性问题。传统的对抗样本攻击中，攻击者使用白盒替代模型生成对抗样本，这些样本能够欺骗其他不同架构的黑盒模型。尽管已有大量实证研究提供了生成高可迁移性对抗样本的指导，但许多发现缺乏理论解释，甚至给出矛盾的建议。本文聚焦于替代模型的特性，从“微鲁棒性”（little robustness）现象出发——即用轻微扰动对抗样本进行对抗训练的模型反而能作为更好的替代模型来发起迁移攻击。作者将此归因于模型平滑度（model smoothness）和梯度相似性（gradient similarity）之间的权衡，并强调两者对可迁移性的联合效应，而非单独影响。通过理论分析和实证研究，他们假设对抗训练中由离流形（off-manifold）样本引起的数据分布偏移是损害梯度相似性的原因。基于此，进一步探讨了常见数据增强和梯度正则化对可迁移性的影响，分析了不同训练方法中权衡的表现，构建了可迁移性调节机制的综合蓝图。最后，提出一种通用路线来构建优质替代模型以提升可迁移性，即同时优化模型平滑度和梯度相似性，例如结合输入梯度正则化和锐度感知最小化（SAM），并通过大量实验验证。总结来说，论文呼吁关注这两个因素对发起有效迁移攻击的联合影响，而非单独优化其中一个，并强调操纵替代模型的关键作用。适合从事对抗机器学习、模型鲁棒性研究的学者和工程师阅读。

本文提出了一种名为 PalmTree 的汇编语言模型，用于生成通用指令嵌入。传统的指令嵌入方法未能充分捕捉反汇编代码的独特特性，例如忽略指令内部的复杂结构（如操作码、操作数、寻址模式等），并且主要依赖控制流作为上下文信息，而控制流容易受到编译器优化影响，导致噪声大、不稳定。为了克服这些问题，PalmTree 采用自监督预训练方式，在大规模无标签二进制语料库上学习，通过三个预训练任务来捕获汇编语言的不同特征：掩码指令建模（预测被遮盖的标记）、指令内结构建模（学习操作码与操作数之间的关系）、以及指令间关系建模（利用控制流和数据流中的上下文关系）。这些任务使得模型能够生成高质量、通用且鲁棒的指令嵌入向量。作者进行了内在评估（如嵌入相似性、聚类质量）和外在评估（应用于函数边界检测、二进制代码搜索、函数原型推断、值集分析等下游任务），实验结果表明 PalmTree 在内在指标上表现最佳，并且在所有下游任务中均优于其他指令嵌入方案。该研究为深度学习在二进制分析中的应用提供了更有效的指令表示方法，有助于提升相关工具的准确性和泛化能力。

该论文针对OnlyFans内容创作者面临的数字威胁和安全实践进行了定性研究。OnlyFans是一个基于订阅的内容平台，创作者常面临身份暴露、骚扰、跟踪、恶意泄露等风险，但现有研究缺乏对创作者群体特有安全挑战的理解。研究者通过半结构化访谈（n=25）和主题分析，深入探讨了创作者对数字安全的认知、威胁体验（如网络跟踪、虚假信息、经济欺诈）以及应对策略（如匿名化身份、使用虚拟私人网络、限制地理标签、选择性屏蔽）。研究发现，创作者普遍感到“身体安全但政治不安全”，意味着他们担心平台政策变化、法律风险以及社会污名化，而不仅仅是传统意义上的数字攻击。论文呼吁平台提供更透明的安全设置、社区规范教育以及针对性的法律支持，并建议安全社区将边缘化群体的安全需求纳入人机交互与隐私研究议程。该研究为安全从业者提供了理解非传统行业中用户安全实践的视角。

该论文首次对以太坊交易池（txpool/mempool）的设计安全性进行系统研究。Txpool是存储未确认交易的缓冲区，控制着下游服务（如挖矿、交易传播）所能看到的内容。研究发现txpool存在拒绝服务（DoS）攻击面，攻击者可能通过特定策略耗尽节点资源或操纵交易池状态，从而影响交易正常处理。论文分析了Ethereum客户端中txpool的实现逻辑，识别了多种潜在的漏洞模式，并通过实验验证了攻击的可行性。研究的主要贡献在于填补了以太坊txpool安全分析的空白，为后续防御机制设计提供了基础。

无人机开源飞控 PX4-Autopilot堆栈溢出漏洞 CVE-2025-15150

MongoDB内存泄漏 CVE-2025-14847(MongoBleed)

1Panel 代理证书验证绕过导致任意命令执行漏洞(CVE-2025-54424)

ModelContext Inspector 未授权访问漏洞(CVE-2025-49596)

llamaindex SQL 注入漏洞(CVE-2025-1750)

Screen 本地权限提升漏洞(CVE-2025-23395)

Zabbix认证后SQL注入漏洞(CVE-2024-42327)

ProjectSend认证绕过漏洞(CVE-2024-11680)

PyTorch库RPC框架反序列化RCE漏洞(CVE-2024-48063)

Grafana认证后DuckDB-SQL注入漏洞(CVE-2024-9264)

SPIP BigUp Unauthenticated RCE(CVE-2024-8517)

Rejetto HFS 远程命令执行漏洞(CVE-2024-39943)

Apache HugeGraph-Server Command Execution In Gremlin（CVE-2024-27348）

Zabbix 后台延时注入(CVE-2024-22120)

CrushFTP 认证绕过漏洞（CVE-2024-4040）

Alert for CVE-2026-21992

Alert for CVE-2025-61884

Alert for CVE-2025-61882

Alert for CVE-2024-21287

Alert for CVE-2022-21500

Alert for CVE-2021-44228

Linux 内核提权 CVE-2026-31431(copy-fail)

【安全通告】Linux Kernel 越权任意文件读取漏洞风险通告（CVE-2026-46333）

Improper authentication in Azure Local Disconnected Operations allows an unauthorized attacker to elevate privileges over a network.

## Summary dynoxide's MCP HTTP transport was vulnerable to DNS rebinding via its transitive `rmcp` dependency, plus a related cross-origin CSRF gap. A malicious web page could make the user's browser send requests to a local `dynoxide mcp --http` or `dynoxide serve --mcp` server with a non-loopback `Host` header, which the server would then process. Affects 0.9.3 to 0.9.12. The stdio transport (`

Ivanti, Fortinet, n8n, SAP, and VMware have released security fixes for various vulnerabilities that could be exploited by bad actors to bypass authentication and execute arbitrary code. Topping the list is a critical flaw impacting Ivanti Xtraction (CVE-2026-8043, CVSS score: 9.6) that could be exploited to achieve information disclosure or client-side attacks. "External control of a file name

本文针对金融基础设施中后量子密码（PQC）迁移的操作化瓶颈，提出了一种自动化的TLS配置解析与混合PQC部署方法。研究背景是：大规模量子计算机尚未出现，但组织需提前升级密码基础设施；尽管主流库已支持MLKEM及混合MLKEM等后量子密钥交换，安全团队缺乏对异构TLS配置的统一可见性和可重复的兼容性启用方法。作者提出一种配置解析方法论，自动提取并规范化主流Web服务器栈（如Nginx）的TLS加密状态，生成带有溯源信息的统一加密清单，为迁移和合规提供基础。实验部分：在8443个来自公共仓库的真实Nginx配置及某金融机构的概念验证部署中，对TLS终止点（Web服务器和API网关）启用MLKEM和混合MLKEM密钥交换，保护内部应用程序。结果表明：零应用层修改，性能开销可控。论文贡献在于：1）提出自动化TLS配置剖析与清单生成框架；2）验证了在异构企业环境中的可行性与性能；3）为金融等受监管行业提供了可操作的后量子迁移参考。适合关注PQC迁移、TLS安全运维的蓝队工程师、安全架构师和基础设施团队阅读。

该论文提出ContraFix框架，旨在利用大型语言模型(LLM)智能体进行自动化漏洞修复(AVR)。现有AVR方法常因对根本原因的语义误解而失败：它们仅基于崩溃报告进行推理，但崩溃只指示失败点，无法区分故障现场的多个候选变量或状态转换中哪一个导致了崩溃与正常执行的差异，从而导致对症不治本的补丁。此外，针对一个漏洞收集的证据很少被复用，因此后续相似案例需从头诊断。ContraFix通过结合差分运行时证据与可复用修复技能来解决上述问题。其Mutator组件生成跨越失败边界的PoC变体；Analyzer组件在故障区域插入状态探针，并总结崩溃与非崩溃执行之间的差异，形成修复规约；Patcher组件将规约转换为经过验证的源代码补丁。每次成功修复后，ContraFix更新双轨技能库（包含修复规约和变异策略），并通过三层策略在未来的实例中检索。实验在SEC-Bench（C/C++，200实例）和PatchEval（Go、Python、JavaScript，225实例）上进行，使用GPT-5-mini的ContraFix分别解决了84.0%和73.8%的任务，在两个基准上达到最先进性能，同时成本不到最强可比基线的三分之一。该研究适合安全工程师、漏洞研究人员及自动化工具开发者关注。

本文针对软件中普遍存在的内容组合漏洞（如XSS、注入），指出现有缓解手段（开发者培训、静态分析、模板语言）效果递减，且AI代码生成继承了训练数据中的不安全模式并缺乏自我纠正的可靠上下文。作者提出一个通用安全内容组合框架，该框架跨内容语言扩展，通过修改字符串表达式语法直接集成到通用编程语言中。核心设计目标是最小化安全与不安全惯用语之间的词汇距离，使开发者更自然编写安全代码。该目标支撑了实用的编译策略：基于动态语义的静态分析、运行时性能接近原生字符串拼接，以及编译时错误/警告等开发者诊断。框架实现有效分工：安全工程师一次性将组合危险编码到库中；开发者或AI编码助手选择合适的库原语即可正确实现功能，无需深入安全知识；编译器诊断提供客观的、基于位置的反馈，支持人工审查和AI迭代自我纠正；安全响应者专注于保持库的更新，而非审计分散在代码库中的临时安全决策。实验（假设存在）证明了方法的可行性与高效性。适合安全工程师、编译器开发者和AI安全研究人员阅读。

该论文研究如何通过仅添加少量目标良性类别特有的Win32 API导入，使恶意软件样本被机器学习检测器误分类为指定的良性软件类别，而非仅仅被标记为“非恶意”。作者提出一个基于条件变分自编码器（CVAE）的框架，其解码器严格采用加法操作：只能添加新API调用，不会移除任何现有导入，从而保证恶意功能不变。该框架能自动为每个恶意样本找到最相似的良性类别作为逃避目标，并使用知识蒸馏的可微分代理模型对不可微分的集成检测器进行梯度训练。实验在包含3799个Windows可执行文件的六类数据集（五个良性类别、一个恶意类别）上进行，检测器对恶意样本的召回率为87.5%。仅添加20个API导入后，召回率降至30%；在成功逃避的样本中，99%被分类为目标良性类别。在多种注入规模（k=5至50）下，CVAE均优于基于频率的基线和随机选择方法。在VirusTotal上的真实PE文件验证表明，该攻击能迁移至商业静态检测引擎，平均使标记引擎数减少54.5%。这些发现揭示了基于API的恶意软件分类器的具体脆弱性，并证明通过最少的功能保持性修改即可实现针对特定良性类别的定向逃避。

该论文针对 Web3 生态中日益频繁的安全事件，特别是加密货币交易所、托管服务和区块链平台遭受的攻击，提出了一种基于事件的定性分析方法。作者指出，现有研究主要集中在智能合约和区块链协议漏洞，而实际损失往往源于链下系统、组织流程和人为操作。论文选取了 Bybit 交易所事件（2025年）、Ronin Network 桥接攻击（2022年）和 DMM Bitcoin 交易所事件（2024年）三个高影响力案例，系统分析后映射到 Web2 安全参考框架（如 OWASP 漏洞分类和组织安全控制域）。结果表明，通用安全控制目录不足以应对 Web3 环境的典型失败模式，尤其是在加密密钥管理、交易审批治理、签名者与验证者基础设施、第三方工具依赖以及人机交互流程方面。基于这些发现，作者主张 Web3 组织应采用已有的信息安全管理体系（ISMS），并推导出一套针对区块链的网络安全控制类别，以弥合通用安全治理框架与 Web3 特定风险之间的鸿沟。该研究与安全从业者高度相关，帮助理解 Web3 安全事件的本质并将成熟实践迁移至新兴领域。

本文提出 DARTIC，一个去中心化、匿名且可扩展的声誉驱动众包框架。针对现有链上众包中匿名性、声誉绑定与可扩展性难以兼顾的问题，DARTIC 设计了一个双账本系统，允许请求者和工作者在不同交互中使用不同假名，确保不可链接性同时保持问责制。为了抵御女巫攻击和声誉重置攻击，采用基于 zkSNARK 的集合成员证明，将所有用户假名加密绑定到单个访问令牌，且不泄露绑定关系。在可扩展性方面，研究了两种聚合技术，将多个证明压缩为单个简洁证明，以最小化验证开销。此外，设计了一个自动化的隐私保护声誉模型，动态评估不同众包场景下的贡献。在众包感知和联邦学习场景中进行了实例化评估，实验结果表明：单个令牌消费证明生成时间小于 3 秒；聚合技术将 1024 个证明的验证时间从 8.7 秒降低到 0.96 秒；与纯 L1 部署相比，zk 批处理使 gas 成本降低超过 100 倍。这些结果证明，在完全去中心化的众包系统中，可以同时实现匿名性、鲁棒声誉绑定和可扩展性。

该论文首次系统研究了大型语言模型级联系统在对抗性攻击下的脆弱性。级联系统通过轻量级模型处理简单查询，仅将复杂案例升级到更强大的模型，旨在平衡效率与性能。然而，这种设计引入了新的攻击面：轻量级前端模型和内部决策机制成为潜在弱点。作者提出了一种新颖的攻击框架，利用级联依赖关系进行约束的序列协同优化对抗性后缀，同时利用轻量级模型和决策机制。该框架可适应不同能力的攻击者，诱导成本效率和准确性的可控退化。与针对独立模型的攻击不同，该方法策略性地利用级联结构实现更强的影响。在多样数据集和代表性级联系统上的大量实验验证了攻击的实用性和严重性。研究发现表明，亟需严格审视级联LLM系统的安全性，并呼吁关注此类设计中固有的系统性风险。

本文针对医疗物联网（IoMT）环境中日益增长的网络安全威胁，提出了一种基于Tsetlin Machine（TM）的设备端可解释入侵检测系统（IDS）。TM是一种规则驱动的透明机器学习方法，通过命题逻辑表示攻击模式，具有天然的强可解释性。作者使用MedSec-25数据集（涵盖真实网络攻击的多个阶段）进行实验，结果表明所提模型在分类性能上达到97.83%，优于传统机器学习模型和现有最新方法。该系统不仅能高精度检测各类攻击阶段，还能通过特征级贡献、类别投票分数及子句激活热图提供明确的决策解释，增强了模型的可信度。此外，模型成功部署在Raspberry Pi等边缘设备上，支持实时设备端推理与入侵检测。该研究解决了IoMT场景中对于高准确率、可解释性及实时性的三重需求，为安全攸关的医疗应用提供了可行的解决方案。

后量子密码（PQC）就绪已成为关键基础设施面临的紧迫挑战，但现有障碍更多来自密码可见性不足、依赖关系复杂和治理碎片化，而非算法本身的缺失。本文以欧洲一家关键服务提供商为匿名案例，详细描述了其采用“先发现后迁移”策略推进PQC就绪的实践经验。该组织首先利用自动化工具对全网络进行密码资产清点，建立基于证据的基线，包括算法类型、密钥长度、使用场景、生命周期等。发现阶段揭示了三大系统性挑战：1）密码资产所有权高度分散，各部门缺乏统一管理；2）遗留系统与现代环境中的证据质量参差不齐，部分老旧系统文档缺失；3）严重依赖第三方供应商的密码路线图，可控性低。为将这些发现转化为可操作的风险缓解措施，组织设计了一套结构化的暴露登记册（exposure register），将资产关键性、机密数据保密期限（如需要保持机密超过10年的数据更易受“先收获后解密”攻击）、以及迁移可行性三个维度结合，对密码资产进行优先级排序。作者由此提出核心论点：PQC发现不应仅被视为技术清点工作，而应上升为一种治理能力——它能够稳定组织关于密码使用的知识，将模糊的不确定性转化为可衡量的责任主体，从而支撑基于风险的决策和跨团队协调。案例表明，即使不立即启动算法替换，建立系统的发现与暴露优先级框架也能显著提升组织的密码敏捷性。本文适合安全架构师、CISO、网络风险管理者和政策制定者阅读，为大型机构应对后量子过渡提供了可复用的治理方法论和实操经验。

本文提出了一种名为 LymphNode 的插件式访问控制方法，用于保护深度神经网络（DNN）模型免受未经授权的访问和攻击。在边缘部署场景中，DNN 模型面临不受限制的 oracle 访问风险，容易遭受模型提取和模型反转攻击。现有的防御手段存在不足：被动水印仅提供事后溯源，主动防御则引入高延迟或需要持续访问敏感的训练数据。LymphNode 作为模型内在的“免疫系统”，采用“默认拒绝”策略：它通过在特征空间中注入通用稀疏通用对抗扰动（GSUAP）来主动中和未授权查询的模型效用，有效阻止梯度估计和数据推断。只有携带隐秘特征域凭证的授权输入才能选择性恢复模型效用。该方法具有高效性：使用少于 100 个样本（训练数据的 1% 以下）即可建立稳健保护，并且具有跨数据集适应性，可使用公共替代数据集进行保护。LymphNode 提供了一种轻量级、可立即部署的防御方案，适用于原始训练数据受限或不可用且对模型保护有高要求的场景。

该论文首次正式提出了AI代理（AI Agent）的归属问题（agent attribution）：即如何将一个观察到的有害代理交互行为追溯到其部署账户（托管供应商）。当前AI代理被广泛部署以自主执行任务，但缺乏有效的追踪机制，导致良性操作者可能因配置错误造成无意的损害，而恶意操作者（如国家行为体）则可能利用代理进行诈骗、骚扰或网络攻击。即使是最复杂的攻击者，其代理通常也依赖于供应商托管的模型，因此受影响方能够观察到代理行为，却无法通知责任操作者、终止会话或识别调查账户。论文设计了一种基于金丝雀（canary）的实用协议：授权方在代理交互流中注入金丝雀信息，供应商随后在狭窄时间窗口内的会话日志中搜索，以恢复原始会话和账户。在非对抗场景下，简单的金丝雀即可有效。对于可能过滤或改写输入内容的对抗性操作者，论文开发了鲁棒的金丝雀构造，这些构造无法在不降低代理自身任务性能的情况下被抑制，从而在防御者一侧形成了形式上的不对称优势。论文通过多种场景（包括真实世界代理）的评估，证明了该归因方法可靠、鲁棒且可扩展，适用于供应商端部署。

该论文从隐私角度出发，论证内生代币（如加密资产）不具备货币属性。作者首先对公共、无需许可账本上的代币进行分类，将其与私人发行的稳定币及央行数字货币（CBDC）设计方案进行对比。随后，论文借鉴Kahn等人在《货币即隐私》中对现金与简化信用的分析框架，将其扩展到公共、无需许可账本的场景。研究发现，大多数公共账本采用基于账户的余额抽象，导致默认状态映射到《货币即隐私》中最有害的代理交互模型。核心结论有三：第一，区块链经济体系缺乏类似现金的原语；第二，稳定币本质上无法填补这一角色；第三，网络依赖内生代币提供安全性，将导致即使持有隐私保护资产也面临相同风险——因为该资产依赖与内生代币相同的全局账本状态。论文主要贡献在于澄清了代币分类与货币属性的关系，并指出了当前区块链隐私设计的根本局限。适合区块链安全研究员、隐私保护设计者及金融科技政策制定者阅读。

该论文研究隐私保护加密货币交易所（如屏蔽自动做市商、批量交换拍卖、密封订单流拍卖）中，做市商观察到被高斯噪声扰动的订单流时的市场微观结构均衡。作者在 Kyle（1985）连续拍卖模型的基础上，引入一个承诺型贝叶斯做市商，其观察到的订单流被独立同分布的高斯隐私噪声扰动。推导出唯一的线性均衡：价格影响系数和知情交易者策略均按隐私参数的单一因子重新缩放，且两者的乘积保持不变。福利分解进一步识别出每期从协议流动性池向交易者的转移——即“隐私补贴”（privacy subsidy），它是任何隐私聚合交易所必须收取的盈亏平衡费用。该结果类似于 Loss-Versus-Rebalancing（Milionis et al. 2022）在单期闭式隐私噪声下的类比。主要应用是通过显式加噪注入（如差分隐私）的屏蔽自动做市商；相关设计（批量交换、密封投标、预言机锚定交叉）需要单独的框架，留待未来工作。该论文为隐私保护 DEX 的经济设计提供了理论基础。

本文提出了一种基于二维码辅助的轻量级零知识身份验证协议，旨在解决传统密码认证中秘密泄露的风险。该协议以Schnorr认证协议为基础，通过引入随机数（nonce）和时间戳机制，有效抵御重放攻击。其核心流程为：证明方（Prover）首先生成零知识证明数据，随后将数据嵌入二维码中，并通过安全信道（如近距离扫描）传输给验证方（Verifier）。验证方解码二维码后，可在不获取秘密密钥的情况下验证证明方是否拥有该密钥。实验结果表明，在256位安全强度下，证明生成和验证时间均在毫秒级，证明数据大小恒定约0.5KB，完全符合二维码容量限制。该协议特别适用于移动设备、物联网终端等资源受限场景，兼顾了安全性与性能。主要贡献包括：1）将零知识证明与二维码结合，实现无需信赖第三方的离线认证；2）通过非对称随机数设计防止重放攻击；3）提供可量化的性能基准，证明其实际可用性。

Mullvad VPN 是一款桌面和移动端的 VPN 客户端应用。在 macOS 平台，版本 2026.1 及更早版本中存在本地权限提升漏洞。漏洞源于安装或升级过程中，安装程序会执行来自路径 /Applications/Mullvad VPN.app 的二进制文件，但未验证该应用包是否被攻击者控制或是否为合法的 Mullvad 应用。具备管理员组权限的用户可以在该路径预先放置一个特制的应用包，从而在安装或升级过程中以 root 权限执行任意代码，实现本地权限提升。由于该问题仅影响安装器，已运行旧版本的用户无需立即更新。该漏洞已在版本 2026.2-beta1 中修复。CVSS 评分为 7.3，属于高严重性漏洞，攻击复杂度低，需要本地访问和用户交互，但成功利用可导致机密性、完整性和可用性完全丧失。建议受影响用户尽快升级至 2026.2-beta1 或更高版本，并在安装或升级时确保应用包来源可信。

Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability

Microsoft Edge (Chromium-based) Spoofing Vulnerability

Improper input validation in Microsoft Edge (Chromium-based) allows an unauthorized attacker to bypass a security feature over a network.

Dify version 1.14.1 and prior contain a path traversal vulnerability that allows authenticated users to manipulate requests forwarded to the Plugin Daemon's internal REST API by exploiting insufficient URL path sanitization. Attackers can traverse out of their authorized tenant path using unencoded dot sequences in task identifiers or manipulated filename parameters to access internal endpoints su

Mattermost versions 11.5.x <= 11.5.1, 10.11.x <= 10.11.13 fail to enforce client identity binding during the OAuth authorization code redemption flow which allows an authenticated OAuth client to redeem authorization codes issued to a different client via a crafted token exchange request.. Mattermost Advisory ID: MMSA-2026-00570

A vulnerability has been found in Tencent WeKnora up to 0.3.6. Affected by this issue is the function getKnowledgeBaseForInitialization of the file internal/handler/initialization.go of the component Config API Endpoint. The manipulation of the argument kbId leads to authorization bypass. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.

Detecting CVE-2026-20929: Kerberos Authentication Relay via CNAME Abuse

该公告来源于Android安全公告，但内容仅涉及兼容性测试套件（Compatibility Test Suite, CTS），未包含任何具体漏洞信息。CTS是用于确保Android设备兼容性的测试框架，并非安全补丁公告。因此，本摘要仅作记录，无实际安全风险需关注。

Android 兼容性定义文档（CDD）是 Android 生态系统的一部分，用于定义设备制造商必须满足的要求以确保应用兼容性。该文档并非安全公告，不包含具体的漏洞信息或安全更新。它主要涉及功能、硬件和软件兼容性规范，而非安全修复。因此，本次输入内容不涉及任何已知的安全漏洞或风险。

此页面是 Android 安全公告（Android Security Bulletin）的参考文档部分，标题为 'Tools, build, and related reference'，主要提供构建工具和相关参考信息。该页面本身不包含任何漏洞细节、安全修复或 CVE 条目。发布方为 Android 安全公告官方，发布日期为 2026-05-19。由于内容为通用参考，未涉及具体安全风险，因此无法进行漏洞分析或影响评估。

Android兼容性定义文档（CDD）是Android平台的核心技术规范，定义了设备必须满足的硬件、软件、API及性能要求，以确保应用在不同Android设备上的一致体验。最新CDD（2026年5月19日发布）可能涉及对新一代Android版本的兼容性要求更新，包括摄像头、传感器、存储、网络等组件的新标准。尽管本次更新未披露具体安全漏洞，但CDD的合规性直接影响设备的安全基线，例如强制执行最新的安全补丁级别、加密要求、权限模型等。防守方应关注CDD变化，评估自有设备或应用是否满足新规范，避免因不兼容导致的安全功能缺失或应用崩溃。

Android 安全公告（Android Security Bulletin）为 Google 官方发布的最新安全更新汇总。本次公告发布于 2026 年 5 月 19 日，来源为 Android 官方文档站点。公告内容未提供具体的 CVE 列表、漏洞描述或严重性评级，因此无法确定具体受影响组件和修复细节。建议安全团队直接访问公告原文以获取完整信息。

Apple 于2026年5月19日发布安全公告，提醒用户更新 Mac 上的软件。该公告属于常规安全更新，但未提供具体的漏洞编号或严重性评级。建议用户及时安装最新补丁，以防范潜在安全风险。

Apple 发布了面向 iPhone 和 iPad 的安全更新公告，提醒用户将设备上的软件更新至最新版本。此类公告通常涉及 iOS 和 iPadOS 系统中可能存在的安全漏洞修复，但该公告未列出具体的 CVE 编号或漏洞细节。根据 Apple 一贯的更新策略，这些更新往往包含针对潜在远程代码执行、权限提升或信息泄露等问题的修复。由于缺乏详细技术信息，无法确定具体的受影响组件和攻击向量。建议所有 iPhone 和 iPad 用户尽快安装最新系统更新，以降低遭受攻击的风险。

根据苹果安全发布页面（2026年5月19日）的标题和来源信息，无法确定具体漏洞细节。该公告可能涉及安全研究提交相关内容，但未提供影响的产品、CVE编号或严重性等级。建议安全团队关注苹果官方后续更新以获取详细信息。

Apple 发布了安全相关帮助页面（Get help with security issues），旨在为用户提供处理安全问题的指导。该页面位于 Apple 安全发布网站，但内容未详细说明具体漏洞或修复。目前没有报告涉及 CVE 或特定严重性等级。建议用户参考官方文档了解如何报告安全漏洞或获取支持。

Apple 发布了系统安全性改进公告，涉及操作系统底层安全机制的增强，例如内存保护、代码签名验证、沙箱隔离等。这些改进旨在提升系统整体安全性，防止潜在的攻击向量。公告未提及具体漏洞或CVE编号，而是作为常规安全更新的一部分。

本次输入并非有效的安全公告。标题为公安备案号，来源URL指向公安机关网站，但内容为空，未提供任何漏洞或安全风险信息。因此无法生成技术摘要。建议核实输入数据的准确性。

Pocsuite 是由知道创宇安全研究团队开发的一款开源远程漏洞测试框架，作为团队Web安全研究能力的基石，长期维护并用于支持漏洞验证与安全评估工作。该框架提供了模块化、可扩展的接口，允许安全研究人员编写和共享POC（概念验证）代码，以自动化检测目标系统中的已知漏洞。虽然输入未涉及特定漏洞或安全公告，但Pocsuite本身可作为蓝队进行内部漏洞验证和攻击模拟的辅助工具，帮助提升防御能力。需注意，该框架的正常使用需遵循授权和合法合规要求，避免未授权的测试活动。

Seebug 是由知道创宇运营的权威漏洞参考与分享社区平台，收录大量漏洞及 PoC。本次输入内容仅为平台介绍，未涉及具体安全公告或漏洞信息。

该输入是知道创宇/Seebug网站安全防护服务的宣传推广内容，并非具体漏洞公告或安全事件报告。文中概述了其十年Web安全防护经验，采用多层防护体系、云端大数据及安全CDN加速，声称能有效识别和拦截DDoS攻击、DNS攻击、CC攻击等。未提供任何漏洞描述、CVE编号、受影响的软件版本或技术细节。因此，该信息不具备安全公告的实质内容，无法用于指导防御决策。

输入内容为网站公安备案信息，并非安全漏洞公告。标题为‘京公网安备 11000002002063号’，来源为360CERT，链接指向公安备案查询系统。无任何漏洞描述、CVE编号、受影响产品、严重性评级或修复建议。因此无法提取有效的安全情报。

该公告为360CERT发布的网站备案/许可证信息，标题为“网出证（京）字第281号”，指向360.cn的licence2.html页面。内容仅涉及ICP备案或电信业务经营许可证，并非安全漏洞、威胁情报或攻击事件。无CVE、无受影响产品、无严重性评估。对防御方而言，此公告不包含任何需修复的安全问题。

输入内容不是安全公告，而是版权信息页面（京网文〔2020〕6051-1195号），来源为360CERT法律声明页面。无任何漏洞、威胁或安全事件描述。

该输入并非安全漏洞公告，而是关于网站备案号的信息。无安全威胁。

Paper专业的技术文章，安全经验的积累。Paper 栏目专注于安全技术文章的收录。我们推崇黑客精神，技术分享和热衷解决问题及超越极限，Seebug Paper 期待您的分享。

Cookie settings

Mozilla Monitor

The Mozilla Manifesto

Mozilla Foundation

Accessibility Policy

Create an Account

Instructions for subscribing to email notifications

Product Security Home

Security Bulletins

Priority and Severity Ratings

Newsletter Subscription

Adobe Security Notifications

多款Huawei产品DHCP拒绝服务漏洞

Linux kernel "drivers/usb/serial/whiteheat.c" 拒绝服务漏洞

Huawei Enterprise Information Engine SQL注入漏洞

Siemens COMOS 本地提权漏洞

Siemens RuggedCom ROS和ROX设备信息泄露

WL-330NUL远程命令执行漏洞

Tibbo Technology AggreGate远程代码执行漏洞

Symantec Endpoint Protection Manager-RU6-MP3任意操作系统命令执行漏洞

Joomla “Ja-Ka-Filter-And-Search” 组件 SQL 注入漏洞

京公网安备 11010502034610号

background updates

update the software on your Apple TV

update the software on your Apple Watch

update the software on your Apple Vision Pro

macOS Tahoe 26.4

macOS Sequoia 15.7.5