文章总结: 本周网络安全动态显示Anthropic的MythosAI模型在数小时内攻破NSA机密系统,引发美国首次对AI模型实施出口管制;OpenAI推出GPT-5.5-Cyber强化版助力漏洞修复,同时GitHub出现大规模恶意代码库入侵事件。苹果芯片曝出不可修复的BootROM漏洞,FFmpeg存在高危远程代码执行漏洞。AI辅助发现29年历史的Squidbleed漏洞,红队AI工具存在架构缺陷可导致API密钥泄露。建议及时升级软件、禁用风险组件并采用密钥隔离等防护措施。 综合评分: 72 文章分类: AI安全,漏洞分析,威胁情报,恶意软件,安全工具
Mythos AI短时攻破NSA系统;OpenAI推出GPT-5.5-Cyber强化版 | FreeBuf周报
FreeBuf
2026年6月27日 16:02 上海
在小说阅读器读本章
去阅读
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点!
🔐Anthropic 的 Mythos AI 模型据报数小时内攻破 NSA 机密系统
🛡️ OpenAI推出 GPT-5.5-Cyber 强化版,助力安全团队修复漏洞
💻 黑客入侵 GitHub 上万个代码库植入恶意软件
📱 新型 iPhone BootROM 漏洞导致苹果 SoC 面临完整信任链沦陷风险
🎞️ 高危 FFmpeg 漏洞可使攻击者将媒体文件武器化
🦑 借助 Claude Mythos Preview 发现的 29 年 “Squidbleed” 漏洞
🚇 黑客组织 Scattered Spider 入侵伦敦交通局内网致重大损失
⚖️ Anthropic 指控阿里巴巴 “非法” 访问其 Claude AI 模型,创已知最大规模蒸馏攻击记录
🔑 红队 AI 工具漏洞致攻击者可窃取 API 密钥并入侵操作者系统
📊 Xsolis 数据泄露事件波及 140 万人
#
#
Anthropic 的 Mythos AI 模型据报数小时内攻破 NSA 机密系统
Anthropic的Mythos AI模型数小时内渗透NSA机密系统,促使美国首次对AI模型实施出口管制,引发国际盟友不满。Anthropic辩称仅为代码修复行为,正寻求恢复访问并与政府协商风险管理框架。
OpenAI推出GPT-5.5-Cyber强化版,助力安全团队修复漏洞
OpenAI发布GPT-5.5-Cyber强化版,助力漏洞发现与修复,同步升级Codex Security插件并启动”Patch the Planet”计划。AI加速漏洞发现但修复成行业瓶颈,五眼联盟警告AI降低攻击门槛,网络安全需融入核心战略。
黑客入侵 GitHub 上万个代码库植入恶意软件
GitHub平台现大规模恶意软件传播,超1万个代码库被植入木马压缩包。攻击者克隆合法项目并修改README文件添加恶意链接,利用平台信任模型长期潜伏。研究揭示自动化检测局限,开发者需警惕外部下载源验证。
#
新型iPhone BootROM漏洞导致苹果SoC面临完整信任链沦陷风险
苹果A12/A13/S4/S5芯片存在不可修复的BootROM漏洞usbliter8,利用USB控制器缺陷实现完整启动链攻陷,可执行任意代码并绕过安全启动。仅硬件升级可彻底防御,旧设备无软件修复方案。
#
高危FFmpeg漏洞可使攻击者将媒体文件武器化
FFmpeg的MagicYUV解码器存在高危漏洞(CVE-2026-8461),攻击者可通过恶意媒体文件实现远程代码执行,影响广泛应用程序。漏洞源于堆越界写入,CVSS评分8.8。建议升级FFmpeg或禁用MagicYUV解码器缓解风险。
#
Claude Mythos Preview发现潜藏29年的 “Squidbleed” 漏洞
安全研究人员发现Squid代理软件存在29年的堆缓冲区越界漏洞Squidbleed,可泄露用户HTTP头信息。漏洞源于1997年代码中strchr函数处理空字节的疏忽,攻击者可利用FTP服务器窃取数据。修复方案已发布,建议禁用FTP支持。该漏洞由AI模型Claude Mythos Preview协助发现,展示了AI辅助安全审计的潜力。 
黑客组织 Scattered Spider 入侵伦敦交通局内网致重大损失
两名青年黑客承认入侵伦敦交通局系统,造成2900万英镑损失及服务中断,暴露关键基础设施安全漏洞。案件凸显年轻黑客威胁上升,呼吁加强身份安全与快速响应机制。
Anthropic指控阿里巴巴”非法”访问其Claude AI模型,创已知最大规模蒸馏攻击记录
Anthropic指控阿里巴巴通过2.5万欺诈账户非法提取Claude AI核心技术,涉及2880万次交互,采用对抗性蒸馏技术窃取美国AI能力。事件引发美国立法行动,凸显AI安全已成国家安全焦点,加剧中美技术对抗。
#
红队AI工具漏洞致攻击者可窃取API密钥并入侵操作者系统
研究发现12款主流红队AI工具存在严重架构缺陷,攻击者可窃取API密钥、实现持久控制甚至主机入侵。新型Agent钓鱼攻击成功率高达97.8%,现有防护措施均无效。建议采用严格的工作-编排分离架构、密钥隔离等防护原则。
Xsolis数据泄露事件波及140万人
医疗科技公司Xsolis因钓鱼攻击导致140万人医疗数据泄露,涉及个人及健康信息。公司已采取防护措施并通知受影响者,提供信用监测服务。目前无信息滥用迹象。
#
本周好文推荐指数
#
AI Key泄露扫描器:从设计思想到核心技术深度剖析
安全研究员开发轻量级GitHub扫描器,高效检测AI服务API Key泄露,优化正则匹配与假Key过滤,集成归属识别直接支持SRC提交,10分钟扫描500文件发现18个有效Key,显著提升漏洞挖掘效率。
#
如何利用AI编写属于适合自己的渗透skills
AI驱动的渗透测试工具,由大模型实时决策构造payload,不依赖固定字典或脚本,覆盖19+漏洞类型,支持认证测试和智能页面遍历,实现全自动化渗透流程。
#
SRC必会技巧-JWT系列攻防
JWT渗透测试核心:利用未验证签名、算法混淆、弱密钥或标头注入(如jwk/jku/kid)绕过认证。重点关注Header的alg/kid和Payload的敏感字段,通过修改或伪造签名实现越权。
推荐阅读
电报讨论

免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:FreeBuf 《Mythos AI短时攻破NSA系统;OpenAI推出GPT-5.5-Cyber强化版 | FreeBuf周报》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论