FreeBuf周报 | 最强防护也难防大语言模型被欺骗;AI生成虚假漏洞报告污染漏洞赏金平台

发布于 作者:

FreeBuf周报 | 最强防护也难防大语言模型被欺骗;AI生成虚假漏洞报告污染漏洞赏金平台

FreeBuf 2025-05-10 10:03

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!

图片

🤖最强防护也难防大语言模型被欺骗

📋AI生成虚假漏洞报告污染漏洞赏金平台

📻虚假AI工具通过Facebook广告传播新型Noodlophile窃密木马

📧知名勒索软件LockBit遭入侵,内部聊天记录数据库遭泄露

💻朝鲜黑客实施了史上最大规模加密货币窃取

🛜CVE体系若消亡将如何影响网络安全防御格局

🧑‍💻xAI 开发者在 GitHub 泄露 SpaceX、特斯拉等平台专用 API 密钥

⌨️Kibana原型污染漏洞可导致远程代码执行

🧑‍🤝‍🧑AI安全工具崛起,但人类协作仍是抵御威胁的核心

🤝RSA 2025大会12项最具创新性的网络安全产品发布

图片

最强防护也难防大语言模型被欺骗

AI解决方案供应商常宣称其模型具备防护机制和一致性,暗示这些模型不可能出错。但实际上,这只是说明企业尝试训练LLM拒绝一系列预设的恶意提示词,只能将异常行为概率降低到较小值而非归零。对于全新未见过的提示词,LLM是否会拒绝,我们无法提前预知。

AI生成虚假漏洞报告污染漏洞赏金平台

AI伪造漏洞报告冲击赏金计划,利用专业术语制造虚假威胁,尤其危害资源不足的开源项目。典型案例显示攻击者通过虚构功能骗取赏金,专家呼吁加强审核以应对日益增长的AI欺诈风险。

虚假AI工具通过Facebook广告传播新型Noodlophile窃密木马

黑客利用虚假AI平台传播Noodlophile Stealer木马,通过Facebook广告诱骗用户下载恶意软件,窃取凭证和加密货币,并可能部署XWorm。攻击采用多阶段隐蔽渗透,提醒用户谨慎下载文件并验证安全性。

知名勒索软件LockBit遭入侵,内部聊天记录数据库遭泄露

臭名昭著的LockBit勒索软件组织遭遇重大安全事件。5月7日,攻击者篡改了该组织的暗网基础设施,并泄露了包含敏感运营细节的完整数据库。此次入侵给这个全球最活跃的勒索软件团伙造成了沉重打击。

朝鲜黑客实施了史上最大规模加密货币窃取

朝鲜黑客通过入侵macOS开发者环境,利用AWS凭证窃取6.25亿美元加密货币,展现高超技术协调能力。攻击采用多阶段恶意软件和复杂C2基础设施,18天内未被发现,凸显朝鲜对金融系统的重大威胁。

CVE体系若消亡将如何影响网络安全防御格局

CVE体系是网络安全的核心基准,其资金短缺威胁全球防御稳定性,影响训练、情报共享与行业协作。需建立长期稳定机制,确保漏洞管理的延续性,避免威胁情报碎片化与防御能力下降。

CVE 的图像结果

xAI 开发者在 GitHub 泄露 SpaceX、特斯拉等平台专用 API 密钥

xAI因开发者误将含API密钥的配置文件上传至GitHub,导致特斯拉、SpaceX等内部定制模型权限泄露近两个月,暴露密钥管理漏洞,凸显AI公司安全机制薄弱问题。

xAI 的图像结果

Kibana原型污染漏洞可导致远程代码执行

Elastic发布Kibana高危漏洞CVE-2025-25014(CVSS 9.1),攻击者可利用原型污染漏洞通过机器学习/报告接口执行任意代码。影响版本8.3.0-9.0.0,建议立即升级至8.17.6/8.18.1/9.0.1或临时禁用相关功能。

Elastic 8.0 版:在速度、扩展、高相关性和简单性方面开启了一个全新的时代 | Elastic Blog

AI安全工具崛起,但人类协作仍是抵御威胁的核心

AI安全工具无法解决人才短缺问题,需跨行业协作应对AI威胁。展会展示创新防御技术,但人类智慧仍是终极防线,需结合教育培训和风险意识构建网络安全共同体。

RSA 2025大会12项最具创新性的网络安全产品发布

RSA 2025大会涌现12款颠覆性安全产品,涵盖AI治理、深度伪造检测、数据防护等领域。AppOmni推出首款SaaS安全MCP服务器,AuditBoard发布AI治理方案,X-PHY推出90%准确率的深度伪造检测器,Huntress升级ITDR与SIEM平台,展现新兴企业与巨头同台竞技的创新实力。

商业会议中观众专注聆听演讲者的场景,画面呈现专业氛围与积极参与者

图片

本周好文推荐指数

图片

图片

图片

图片

图片

云安全攻防:etcd未授权访问及docker api未授权利用

云上的环境一个不得不说的就是编排工具了,编排工具用来管理众多的容器节点,如果编排工具存在问题,那么攻击者就可能获取容器的所有权限。本篇文章以k8s作为编排工具,来看两个具体的漏洞以及如何利用这两个漏洞获取系统的权限。

1746703600_681c94f0942a4e6597950.png!small?1746703601983

攻防演练手把手教你写溯源技战法

攻防演练,等级分初级,中级跟高级。其中对于中级的要求,是除了基本的监测和研判外,必须还要会一定的应急跟溯源。 

1746703455_681c945fa1b6aaa22dbf6.png!small?1746703456721

免杀菜鸡如何免杀自己的fscan

在日益严格的安全环境下,传统的木马样本很容易被静态分析、行为分析所识别。本文记录我对某 Go 编写的fscan安全工具进行二次开发,通过绕过特征、减小体积,从而实现较高程度的免杀。

1746703322_681c93da9e36b881303d0.png!small?1746703323842

推荐阅读

电台讨论