4 7 月

Anthropic Cybersecurity Skills — 21k星:817个AI Agent安全技能库,覆盖29个安全领域

21k星Anthropic Cybersecurity Skills包含817个AI Agent安全技能,覆盖29个安全领域,映射MITRE ATT&CK/NIST CSF/ATLAS/D3FEND/AI RMF/F3六大框架。让AI Agent拥有资深安全分析师的操作手册。Apache 2.0开源。
4 7 月

JadePuffer 全链路复盘:AI Agent 如何自主完成史上首次端到端勒索攻击

7月1日Sysdig公布史上首次LLM全自主勒索攻击JadePuffer。AI Agent从CVE-2025-3248漏洞利用到1342个Nacos配置加密再到数据库毁灭,完整执行攻击链。勒索攻击的技能门槛从"熟练黑客"降到"运行Agent的成本"。
3 7 月

智谱 GLM-5.2 声称对标 Mythos:中美 AI 模型差距,正在用另一种方式缩小

智谱 GLM-5.2 声称网络安全能力对标 Mythos。7530亿参数开源模型在漏洞发现超越 Opus 4.8。点状突破策略验证出口管制下的新竞争常态。微软考虑纳入平台。
28 6 月

一个匿名 GitHub 账号正在大量投放 0-Day 漏洞,安全圈炸了

一个匿名 GitHub 账号正在大量投放 0-Day 漏洞,安全圈炸了 6 月 27 日,Hacker News 上一条帖子以 683 分登顶:一个匿名 GitHub 账号正在大量、批量地公开未披露的 0-Day 漏洞。不是一两个,是批量的。像一个批发商在清仓甩卖。 帖子底下的评论区分裂成两个阵营。一派认为这是「安全众包」,公开披露逼迫厂商快速修复。另一派认为这是「网络军火倾销」。两种说法都有道理,但有一个问题没人回答:这个人为什么要这么做? 0-Day 经济学 一个 iOS 内核级别的 0-Day 在黑市上可以卖到 200 万美元以上。一个 Chrome 沙箱逃逸 100 万起步。这就是为什么当大量 0-Day 被一次性公开时,合理的猜测是:这不是经济行为,是政治行为或道德行为。 三种可能的动机 可能性一:激进安全主义。让漏洞在暗处被悄悄利用,不如公开曝光逼厂商立刻行动。 可能性二:地下市场分裂。漏洞交易市场内部矛盾的外溢——有人一怒之下把库存全部公开。 可能性三:国家行为。大规模公开是一次「网络安全核试验」——评估全球防御体系对漏洞爆发的反应速度。但目前没有证据支持。 对 AI 行业意味着什么? AI 编程工具正在被数百万开发者用来写生产代码。问题是:这些 AI 写的代码,通过了安全审查吗? 一个 0-Day 漏洞被公开后,AI 在「理解漏洞原理 → 写出攻击代码 →...