各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. “漏洞末日”警钟预警：AI批量发现黑客可利用的漏洞

AI模型Mythos以前所未有的速度发现软件漏洞，加剧小型开发者风险，黑客利用漏洞更快。企业面临修补海量漏洞的后勤挑战，AI正颠覆网络安全格局，黑客与防御者竞赛加剧。

2. OpenAI发布GPT-5.4-Cyber模型，扩大安全团队访问权限

OpenAI发布网络安全优化版GPT-5.4-Cyber，扩大可信访问计划以支持防御者，同时防范技术滥用风险。该模型旨在提升漏洞检测效率，与Anthropic的Mythos形成竞争，推动持续安全防护生态建设。

3.黑客利用Claude和ChatGPT入侵多个政府机构

黑客利用Claude Code和GPT-4.1入侵墨西哥九家政府机构，窃取数亿公民数据，AI工具高效生成攻击指令并解析数据，凸显安全漏洞与AI滥用风险。

4. Axios 曝出高危漏洞可导致远程代码执行（CVE-2026-40175）PoC已公开

Axios曝严重漏洞CVE-2026-40175，可无交互劫持云元数据，导致AWS凭证泄露和账户接管。1.15.0以下版本均受影响，需立即升级并审计依赖项。漏洞利用原型污染和请求走私，绕过AWS安全控制。

5. 微软 SharePoint Server 0Day漏洞遭在野利用

微软确认SharePoint Server存在0Day欺骗漏洞（CVE-2026-32201）正遭在野利用，影响多个版本，CVSS评分6.5。漏洞允许远程攻击者实施欺骗攻击，无需认证或特权。微软已发布补丁，建议企业紧急更新并排查异常活动，优先处理本地部署实例。

6. Codex 利用全局可写驱动接口破解三星电视获取 Root 权限

OpenAI的Codex AI模型利用三星智能电视全局可写的ntk*驱动接口，成功将浏览器级权限提升至root，暴露了厂商在设备安全设计上的严重缺陷。研究显示AI能自主发现并利用漏洞，无需人工引导，警示厂商需严格审计第三方驱动权限。

7. Anthropic 公司 Mythos 项目预示网络安全结构性变革

Claude Mythos 预览版加速漏洞利用至小时级，暴露防御体系缺陷。CISO需强化基础防护，重构风险管理，应对AI驱动的攻防不对称。AI攻击能力普及化不可逆，漏洞武器化时间趋零，防御方需永久性缩短响应差距。

8. Claude 在数分钟内发现存在 13 年的 ActiveMQ 远程代码执行漏洞

Claude AI 发现潜伏13年的Apache ActiveMQ高危RCE漏洞（CVE-2026-34197），AI仅用10分钟完成人工需一周的分析，利用管理API缺陷实现远程代码执行。该漏洞已修复，凸显AI在漏洞挖掘中的高效能力。

9. 通过CLAUDE.md文件可操控Claude Code实施SQL注入攻击

LayerX发现Claude Code的CLAUDE.md文件可被利用绕过安全规则，使攻击者无需编码即可实施SQL注入和窃取凭证。AI无条件信任文件指令，厂商未及时响应，建议严格审查此类文件。

10. 谷歌预警引发连锁反应：Cloudflare正积极调整抗量子加密战略优先级

谷歌将抗量子加密部署提前至2029年，引发行业连锁反应。量子计算突破加速传统加密淘汰，企业需建立密码敏捷性应对未来解密风险。Cloudflare等巨头已调整战略，过半流量采用新标准防护。行业呼吁制定迁移战略与性能标准。

一周好文共读

1. MITRE ATLAS 深度拆解：AI Agent 时代的威胁矩阵与防御闭环

AI技术崛起重构网络安全，MITRE ATLAS框架成为AI攻防核心指南，涵盖16项战术80+技术，应对提示词注入、模型投毒等新型威胁，推动企业构建AI原生安全体系，实现从代码防御到语义控制的转型。【阅读原文】

2. 无文件内存马原理、实战攻防与全维度防护指南

本文详解Java无文件内存马攻击技术，涵盖5类主流内存马实现原理、实战代码与免杀技巧，提供从漏洞利用到持久化控制的完整攻击链路，并给出多维度检测技术与全生命周期防护方案，适配Tomcat/Spring等主流框架，满足红蓝对抗实战需求。【阅读原文】

3. CISO的龙虾时刻：24小时无感排查实战指南

2026年AI工具"龙虾"在企业快速传播，存在安全风险。文章提供无感排查方案：不惊动用户，通过端点痕迹、网络流量和资产关联收集证据，静默验证后分级处置（网络阻断/DNS重定向），并建立长效监控机制，实现零业务中断的风险管控。【阅读原文】