一款拥有超过两百万用户的 Chrome 音量增强扩展程序在 1.0.3 版与 1.0.4 版之间进行了重大更新。此次更新新增了一个与 Give Freely 和 Wildlink 相关的组件，引入了商户检测、联盟归因和捐赠活动等功能。关键的是，此次更新未请求任何新权限，使得现有用户可自动接收更新，而无需再次出现权限提示。目前已在其他独立扩展程序中观察到相同的 Give Freely/Wildlink 基础设施，表明其可能被用作白标变现或筹款 SDK。目前尚无证据表明存在恶意软件或窃取凭证等恶意活动。主要关切在于，在用户未明确同意新增功能的情况下，一款流行扩展程序的功能大幅扩展。这引发了关于变现模式透明度及用户隐私的疑问。需要进一步调查以判断这是否属于合法的变现策略，或是否存在隐私问题，从而应将其纳入 MalExt 等安全数据库。此外，对 Give Freely 和 Wildlink 运营情况的进一步研究将有益无害。

50 个功能，同一模型与提示词，两条分支。 未审查分支发布了六个 CWE-502 原生 ObjectInputStream 漏洞点以及五个 sh -c 命令注入端点，其中若干可由普通认证用户访问。 我们在已审查分支中引入了 trust-all X509TrustManager，并将其纳入评分范围，而非将其排除在外。 方法论及各功能数据详见博客，仓库公开，如需复现可自行获取。由 /u/VibeReview 提交。

我撰写了一篇关于 PrizeBuzz 钓鱼网络的分析文章，探讨了该活动如何利用假冒品牌页面、轮换域名以及复用基础设施。分享此内容，供对钓鱼分析及追踪恶意基础设施感兴趣的用户参考。由 /u/Western_Visit_4707 提交。

Argus-Systems 发现了一个极其严重的漏洞。该远程身份验证绕过漏洞隐藏在 OpenBSD 内核的 PPP 协议栈中，自 1999 年 7 月从 FreeBSD 引入以来便一直存在。攻击者可利用此空身份验证缺陷，无需凭证即可拦截/读取 PPPoE 流量。该漏洞在长达近三十年的所有版本发布中均未被修复，直至补丁发布。OpenBSD 已发布相应补丁。由 /u/Emergency_Stable_923 提交。

“来自缅甸、柬埔寨和老挝的诈骗团伙在加固的营地内运营着垂直整合的犯罪企业，专门针对老年人。图片源自原始研究资料。 ‘有一个被掩盖的可怕真相：孤独会致命！而它助长了诈骗。’ 犯罪分子利用合法的远程访问工具（QuickAssist、AnyDesk、TeamViewer）、实时深度伪造、声音克隆，以及经过 A/B 测试的心理脚本，这些手段利用与年龄相关的认知衰退进行攻击。 我们绘制了杀伤链，并构建了“Granny Kate"作为防御防线。我们呼吁安全研究人员、逆向工程师、Python 开发者、翻译人员和测试人员加入尝试，逆向工程该项目、获得启发并创造出更优方案。将其安装在老人的电脑上，助她一臂之力。 宣言与链接：https://professorsigmund.com/praxis/hackers-for-granny.html 由 /u/Professor_Sigmund 提交”

在对 Kubernetes AWS KMS 提供者进行模糊测试时，Syntetisk 的研究人员在 aws-encryption-provider 中发现了一个拒绝服务漏洞：空的密文字段可能触发无法恢复的 Go 恐慌并导致插件进程崩溃。该漏洞分析报告由 /u/Sandwich_1337 提交，内容包括根本原因分析、崩溃路径详情、复现示例、影响讨论以及披露时间线。

来自 https://x.com/unrequitedlyfe 的一篇有趣文章，描述了因意外登录而获得访问受威胁行为者控制的钓鱼网站的过程。该博客提供了对钓鱼基础设施的幕后视角，包括威胁行为者所犯的操作失误、后端面板以及可用于协助威胁情报调查的基础设施横向移动机会。对于对钓鱼分析、开源情报（OSINT）及威胁行为者基础设施追踪感兴趣的人员，值得一读。由 /u/anuraggawande 提交。

已发现两个伪装成广告拦截器的恶意 Chrome 扩展程序，它们秘密收集并外泄与主要 AI 聊天机器人的所有交互数据。这些扩展程序监控来自 ChatGPT、Claude 和 Gemini 等平台提示词和回复，并将数据发送至由运营者控制的服务器。此外，它们还会识别用户是否订阅了上述五项 AI 服务的付费版本。这两个名为"Smart Adblocker"和"Adblock for Browser"的扩展程序拥有完全相同的技术组件，表明两者背后系同一操作。

使用 Claude Code 在 MeshCentral 中发现并利用 XSS 漏洞，通过恶意客户端实现远程代码执行（RCE）。由 /u/kev-thehermit 提交。

在我的博客文章中，我分析了旧版 PHP 中随机数的生成方式。结果表明，在某些情况下，可以推导出生成该随机数的进程 ID！虽然这完全没有实际用途，但深入挖掘 PHP 源码的过程非常有趣。由 /u/DrAdalbbert 提交

MCP 授权规范（2025 年 11 月）规定远程 MCP 服务器必须使用带有 PKCE 的 OAuth 2.1。实际上，除非 MCP 客户端实现了 OAuth refresh_token 授权码，否则该安全模型无法落地。 尽管大多数主要厂商的支持进展滞后，但如今终于取得了一些进展！ 截至 2026 年 6 月，自我们 4 月的首次调查以来，生态系统已取得进展：Gemini CLI 已实现完全支持，多个客户端已从“未实现”升级至部分支持。提交者：/u/mhat

尽管围绕 Mythos 的炒作铺天盖地，Claude Fable 5 在编码任务上的表现却相当平庸：在 200 项真实世界任务的基准测试中，功能类问题通过率仅为 59.8%，安全类问题通过率更是低至 19.0%。由 /u/bugvader25 提交

"ArubaOS 8.13.2 端口 32000 上的预认证 XXE（默认 XML API，无需认证）。 证据：TCP 数据包捕获 + sshd 127.0.0.1 日志 + 通过 SSRF 访问 9 个内部端口。 已关闭，原因为“理论漏洞/无有效 PoC"。完整分析 + PoC + 数据包捕获已发布至 GitHub。由 /u/Pale_Surround_3924 提交。"

certSIGN 似乎已吊销一个广泛使用的中间证书。至少其 CRL 表明如此。由 /u/treenaks 提交

本报告详述了 23 款 Chrome 扩展的发现情况，这些扩展在用户不知情的情况下，将 75.8 万名用户的搜索请求静默重定向至隐蔽的变现网络。这些免费扩展通常提供卫星影像或新闻阅读等服务，却暗中篡改默认搜索引擎。所有搜索查询随后经由运营商的中转层转发至搜索网络，从而产生未披露的联盟收入。已识别出八家不同的经纪商幕后操控这些恶意扩展，且随着旧扩展被移除，新的扩展频繁出现。部分扩展除搜索重定向外无任何实际功能。其中一款扩展的隐私政策与其声称不追踪用户搜索的声明相矛盾。另一款扩展利用运行时 declarativeNetRequest 注入技术，使其真实行为无法通过静态分析检测。重定向 URL 中的 `hspart` 参数作为关键聚类键，将整个经纪商网络关联起来，无论扩展名称、域名或发布者如何。这种寄生式方案利用用户信任谋取经济利益，且未获得用户明确同意。

EDRChoker 利用基于策略的服务质量（QoS）机制，对端点检测与响应（EDR）代理设置硬性带宽限制（节流），导致其始终超时——从而有效阻断其运行。由 /u/Cold-Dinosaur 提交

一名用户在 Amazon 的 FREEWOLF US 商店购买了一款 Attack Shark R85 HE 键盘。在将其插入电脑后，键盘在未进行任何用户交互的情况下立即启动了凭据窃取攻击。该键盘打开了多个浏览器标签页，指向 Microsoft 服务和 LinkedIn 的登录页面。该设备还尝试访问 LastPass 密码管理器保险库。同时执行了 PowerShell 侦察以清点已安装的应用程序，并特别识别出 LastPass。随后，键盘在桌面上创建了文件夹并下载了恶意软件。Windows Defender 检测到两个威胁，自动清除失败后需手动移除。事件响应耗时两天。Amazon 将该键盘归类为有缺陷的退货商品，但用户坚称其已被武器化。用户建议他人不要插入此键盘，若已插入则应立即检查系统。该键盘仍带有 Amazon's Choice 标识，且仍在销售中。

“我最近了解到 Glasswing 项目在 Twig 中发现的多个沙箱绕过漏洞。根据描述，只有 CVE-2026-46640 和 CVE-2026-46633 似乎具有通用可利用性，因此我对其进行了解码研究。本文档记录了我针对 CVE-2026-46640 开发载荷的过程以及相应的 SSTImap 模块。提交者：/u/vladko312"

WebAssembly 传统上被视为在浏览器中运行编译代码的机制，而很少被用作直接在主机上运行完整应用程序代码的机制。我们修改了 Wazero 的 WebAssembly 实现，将其转化为能够生成抗分析恶意软件的现有 Go 安全工具链。这不仅仅是一个玩具实现，我们还实现了所有主要的主机 API，使得能够在 macOS 或 Windows 上编译并运行完整的 Sliver 二进制文件。 本博客文章介绍了我们的 Go 到 WebAssembly 编译过程的实现细节，并为下周即将发布的博客文章奠定基础，后者将讨论类似的 C# 到 WebAssembly 编译管道。本文描述的工具将于下周开源。欢迎在评论区提出任何问题！由 /u/bouncyhat 提交

演讲嘉宾阵容已确定，CTF 挑战题目准备就绪…… 注册加入我们，参加为期 10 天的编程活动，学习新知识、检验技能，并与美国网络游戏社区建立联系！ 本系列虚拟活动免费开放，面向所有人——无论年龄、技能水平或职业背景。6 月 4 日 -14 日 虚拟赛季 VI，美国网络公开赛系列活动： 启动仪式：6 月 4 日 初学者游戏室 CTF：6 月 5 日 -14 日 网络冲刺周：6 月 8 日 -11 日 竞技 CTF：6 月 8 日 -14 日 提交者：/u/US_Cyber_Games