开源大模型LangChain披露了一个严重级别的序列化注入漏洞（CVE-2025-68664），这一漏洞由Cyata Security的安全研究员Yarden Porat发现，在序列化/反序列化流程中存在”lc”键转义缺失，攻击者可通过提示词注入等手段导致环境变量泄露、任意对象实例化乃至远程代码执行。该漏洞影响LangChain Core 0.3.81版本前及1.0.0-1.2.5版本范围内的全部部署，官方已在12月24日发布补丁版本1.2.5及0.3.81，并同步收紧默认安全策略。

Strix代表了网络安全测试领域的范式转变——从以人工为中心的渗透方法向多Agent协作自动化模式的演进。该工具通过LLM驱动的自主智能体实现完整的漏洞生命周期管理（侦察、利用、验证），相比传统手工渗透和被动扫描工具展现出显著的成本优势（成本降低70%以上）和时间效率优势（测试周期从数周缩短至数小时）。然而，其局限性同样明显：零日漏洞利用成功率仅10-12%，业务逻辑漏洞检测能力严重不足，且多Agent系统固有的安全风险（提示注入、Agent间信任滥用）需要结构化治理框架。

随着大语言模型（LLM）与生成式人工智能（GenAI）在企业级应用中的广泛渗透，传统基于确定性逻辑的软件安全范式已难以应对模型反演、数据投毒及提示词注入等新型随机性威胁。Google于2023年推出的安全AI框架（Secure AI Framework, SAIF）提出了一套系统化的防御架构，旨在将传统网络安全（Cybersecurity）的最佳实践与人工智能系统的特殊性相结合。本文将从架构设计的视角，深入剖析SAIF的六大核心支柱、生态协同机制及演进路径，为构建企业级AI安全体系提供理论与实践参考。

本报告基于人工智能AI关键链路从AI助手 (Assistants)、代理 (Agents)、工具 (Tools)、模型 (Models) 和 存储 (Storage) 构成的五大核心攻击面，并针对性地提出了安全风险、防御架构和解决方案。

Apache OFBiz 是一款用於企業流程自動化的開源產品。它包括ERP、CRM、電子商務、供應鏈管理和製造資源計劃的框架組件和業務應用程式。 Apache OFBiz 在18.12.10 版本之前存在遠端程式碼執行漏洞。由於xml-RPC 已經不再維護，經過身份認證的攻擊者可以利用xml-RPC 進行遠端程式碼執行利用，從而控制伺服器。

適用於任何使用人工智慧(AI) 的系統提供者的指南，無論這些系統是從頭開始創建的，還是建立在其他人提供的工具和服務之上的。

Google Android 14輸入法資訊外洩漏洞，由於側通道資訊洩露，有一種可能無需查詢權限即可確定應用程式是否安裝的方法。這可能會導致本地資訊洩露，而無需額外的執行權限。利用該漏洞不需要使用者互動。

隨著生成式人工智慧模式的興起，威脅格局發生了巨大變化。如今又有駭客製造了一個名為FraudGPT 的惡意AI 工具，專門用於攻擊目的，例如製作魚叉式網路釣魚電子郵件、創建破解工具、梳理等。該工具目前在各種暗網市場和Telegram 平台上出售，據稱“能夠生成多種網絡攻擊代碼”，“不到一周已經有逾3000 名買家下單”。

一個以打擊中東地區目標而聞名的威脅行為者再次進化了其安卓間諜軟體，並增強了功能，使其能夠更加隱蔽和持久，同時以看似無害的應用程式更新來掩人耳目。報告顯示該間諜軟體已是新的變種在…

烏克蘭主要的執法和反間諜機構週四披露了據稱參與駭客入侵的五個人的真實身份，他們被認為是一個名為Gamaredon的網路間諜組織，並將這些成員與俄羅斯聯邦安全局聯繫起來。烏克蘭安全…