BleepingComputer Microsoft Defender 'RoguePlanet' zero-day grants SYSTEM privileges A security researcher has released a new Microsoft Defender zero-day exploit named "RoguePlanet" just hours after Microsoft fixed two previously disclosed flaws during June 2026 Patch Tuesday. [!quote]+ 一位安全研究人员发布了一项名为“RoguePlanet”的新Microsoft Defender零日漏洞,就在Microsoft修复了2026年6月补丁星期二期间之前披露的两个漏洞仅数小时后。 这位名为Nightmare Eclipse的研究人员表示,该新漏洞影响已完全修补的Windows 10和Windows 11设备,允许攻击者通过Microsoft Defender竞赛条件漏洞生成带有SYSTEM权限的命令提示符。 该研究人员周二下午在一个自托管的Git仓库中分享了一个概念验证漏洞,此前表示托管其漏洞的GitHub和GitLab仓库此前已被Microsoft移除。 “这个漏洞是竞速条件,所以有结果。我在某些机器上成功率达到了100%,而在另一些设备上却难以正常工作,“Nightmare Eclipse在仓库中写道。 MSNightmare/RoguePlanet:Rogue Planet Windows Defender 漏洞 1 个帖子 - 1 位参与者 阅读完整话题
论文是这篇 2 个帖子 - 2 位参与者 阅读完整话题
大家有哪些AI For Security和Security For AI的想法。 1 个帖子 - 1 位参与者 阅读完整话题
Your conversations have multiple flags for possible cybersecurity risk. Responses may take longer because extra safety checks are on. To get authorized for security work, join the Trusted Access for Cyber program: https://chatgpt.com/cyber 正常开发项目,怀疑文档里有扫描相关的字眼,触发了风险审查,现在次次弹,对回复速度影响挺大 9 个帖子 - 4 位参与者 阅读完整话题
今天使用codex接中转站提示 Your conversations have multiple flags for possible cybersecurity risk. Responses may take longer because extra safety checks are on. To get authorized for security work, join the Trusted Access for Cyber program: https://chatgpt.com/cyber 问问大佬们, 这个要紧嘛? 我之前没干过破限的事情啊 3 个帖子 - 2 位参与者 阅读完整话题
帖子地址: Urgent Security Vulnerability / Single Sign-On (SSO) Domain Misconfiguration Leading to Unauthorized ChatGPT Team Activation - Codex - OpenAI Developer Community 6 个帖子 - 5 位参与者 阅读完整话题
⚠ Your conversations have multiple flags for possible cybersecurity risk. Responses may take longer because extra safety checks are on. To get authorized for security work, join the Trusted Access for Cyber program: https://chatgpt.com/cyber 有哪位大佬知道怎么解决不? 10 个帖子 - 7 位参与者 阅读完整话题
https://community.openai.com/t/urgent-security-vulnerability-single-sign-on-sso-domain-misconfiguration-leading-to-unauthorized-chatgpt-team-activation/1382864 15 个帖子 - 10 位参与者 阅读完整话题
自己没有写 逆向破解的话,那大概率是有哪个佬友在写,然后我的刚好跟佬映射到同一个gpt账号? 3 个帖子 - 3 位参与者 阅读完整话题
用着用着又出现了 先声明下:我没有破限,就简单的修改,早上用着好好的 是不是今天免费了,有些人想把免费的毁掉?到底谁啊 7 个帖子 - 7 位参与者 阅读完整话题
JAVA开发,用Maven拉取依赖时,报错:sun.security.validator.ValidatorException: PKIX path building failed 网上好多说法是要下载并导入远程中央仓库的证书,但是导入后还是报错: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty 有没有佬友遇到过呢? 2 个帖子 - 2 位参与者 阅读完整话题
今天下午重启了两次还是一直报这个错误,之前从来没遇到过,desktop的chat功能、claude code都是可以正常使用的。 1 个帖子 - 1 位参与者 阅读完整话题
佬们有遇到过这个提示吗?codex让我切换到5.4了。 项目就正常开发agent,api调用,mcp之类的,不涉及逆向。 这个会发风险邮件吗?有封号风险吗? Your conversations have multiple flags for possible cybersecurity risk Responses may take longer than usual because extra safety checks are on. Change to GPT-5.4 to get faster responses now, or join the 2 个帖子 - 2 位参与者 阅读完整话题
如题,我做的纯物理数据分析,搞不懂openai这个cyber abuse是怎么判定的 道德楷模都闷头就干的事儿,你一个外审凑什么热闹 1 个帖子 - 1 位参与者 阅读完整话题
怎么发什么都提示 cybersecurity risk, 我什么也没干啊,昨天还好好的,怎么今天就这样了 发 hi 也提示这个 3 个帖子 - 2 位参与者 阅读完整话题
安全检查很适合做成 Skill,因为它有稳定 checklist,而且容易被普通开发任务忽略。 OpenAI 官方 skills 里也有 security 相关技能可以参考: github.com GitHub - openai/skills: Skills Catalog for Codex Skills Catalog for Codex 我会检查这些点 是否误提交密钥、token、cookie。 是否把 .env 、日志、私钥放进仓库。 新增接口有没有鉴权。 用户输入有没有校验。 文件上传有没有类型和大小限制。 SQL/命令/路径拼接有没有注入风险。 依赖有没有明显高危包。 SKILL.md 草稿 --- name: security-check description: Check code changes for secrets, authentication, authorization, input validation, injection risk, and unsafe file handling. Use before merging backend, auth, upload, payment, or infrastructure changes. --- # Security Check Focus on exploitable issues, not generic advice. Check: 1. Secrets and credentials 2. Authentication and authorization 3. Input validation 4. SQL/command/path injection 5. File upload safety 6. Dependency and config risks 7. Logging of sensitive data Output findings with severity, file path, impact, and minimal fix. Do not suggest large rewrites unless required. 适合触发的场景 登录注册 权限控制 文件上传 支付回调 Webhook 数据库查询 脚本执行 CI/CD 配置 不适合触发的场景 普通文案、颜色、布局调整就没必要跑完整安全检查。 所以 description 里最好写清楚:什么时候用,什么时候不用。 我的经验是:安全 Skill 不需要很长,但 checklist 要硬。 2 个帖子 - 1 位参与者 阅读完整话题
Cyber Security News – 28 May 26 New Linux CIFSwitch Kernel Vulnerability Allows Attackers to Gain Root Access The newly disclosed Linux LPE flaw “CIFSwitch” allows low-privileged users to gain root access via weaknesses in the kernel CIFS subsystem. Est. reading time: 3 minutes [!quote]+ 一个新披露的名为 "CIFSwitch "的 Linux 本地权限升级(LPE)漏洞,可让低权限用户利用 Linux 内核 CIFS 客户端和用户空间 cifs-utils 软件包之间的逻辑漏洞,获得 root 访问权限。 该漏洞是由安全研究员 Asim Manizada 发现的,他已发布了一份详细的技术报告和 PoC,以帮助防御者评估其风险并验证补丁。 该问题源于对 CIFs.Spnego 密钥类型中的密钥描述验证不当,导致无权限用户冒充受信任的内核请求并触发权限操作。 github.com GitHub - manizada/CIFSwitch 通过在 GitHub 上创建帐户来为 manizada/CIFSwitch 开发做出贡献。 4 个帖子 - 3 位参与者 阅读完整话题
https://cybernews.com/security/onlyfans-mega-data-leak-hackers-claim/ [!quote]+ 威胁者声称他们正在出售数以亿计的记录,据称这些记录显示了 OnlyFans 创建者和粉丝的记录,包括他们的活动指标和社交资料。如果得到证实,OnlyFans 的大规模泄密可能会暴露会员的真实身份。与此同时,OnlyFans 称黑客的说法不实。 "该列表提供了对据称是 OnlyFans 内部数据库转储的独家访问权限,其中包含约 3.5 亿条用户记录。该数据集包括粉丝账户和创建的账户,暴露了大量个人身份信息和详细的账户活动指标,"攻击者声称。 虽然在撰写本文时,OnlyFans 大型泄漏事件尚未得到证实,但我们的研究团队已对攻击者添加到数据泄漏论坛帖子中的数据样本进行了调查。研究小组发现该帖子仅附带了 10 条样本记录。 列出的数据包括用户 ID、用户名、电子邮件地址和注册资料。样本中其他为空的字段包括电话号码、账户标志和链接账户。 有趣的是,据报道威胁者否认黑客攻击了 OnlyFans。根据 Hackread 的说法,攻击者声称他们利用以前 OnlyFans 泄露的数据、公开来源和其他数据泄露事件建立了数据库。 4 个帖子 - 4 位参与者 阅读完整话题
纽约时报报道,英国AI Security Institute(AISI,原AI Safety Institute)的研究人员会测试前沿AI模型,寻找安全漏洞和风险边界,而这套做法正在被其他政府借鉴。 过去几年,AI监管经常停留在透明度、责任、原则、风险管理和自愿承诺这些词上。现在问题更具体:一个模型发布前,到底会不会帮助黑客攻击?会不会降低制造危险物质的门槛?会不会在关键场景里绕过安全限制? 这种问题不能只靠公司自己回答。公司可以做红队测试,也可以发布安全报告,但政府如果没有自己的评估能力,就只能在发布会、论文和企业承诺之间做判断。英国AI安全研究院的价值,正在于它把政府放进了测试流程里。 这套模式已经开始向国际合作扩散。英国政府5月25日发布公告称,英国AI安全研究院将与澳大利亚AI安全研究院合作,跟踪前沿AI风险,包括AI系统如何被用于网络攻击,以及如何用于加强防御。公告还提到,双方会共享AI能力洞察,开展新兴风险研究,并推动AI测试和评估的国际最佳实践。 美国也在走类似方向。美国商务部下属的AI标准与创新中心(CAISI)近期与谷歌DeepMind、微软和xAI达成协议,将在模型公开发布前进行国家安全相关评估。微软也在同期宣布与美国CAISI和英国AISI建立合作,用于测试前沿模型、评估安全防护,并降低国家安全和大规模公共安全风险。 这意味着,前沿模型公司以后面对的不只是市场竞争,还有一套越来越像“发布前安全评估”的流程。在英美这类合作框架下,模型能力越强,企业越可能需要向政府测试机构提供更多材料和访问权限。对创业公司来说,如果未来政府采购、企业采购或跨境合规更多参考这类评估,安全测试能力会变成产品竞争的一部分。 未来AI监管不再只是问“公司有没有写安全承诺”,而是开始问“有没有人真的测过”。这比原则声明更麻烦,也更接近现实。 查看评论
https://x.com/testingcatalog/status/2058322222297518498?s=20 TestingCatalog AI News – 23 May 26 Anthropic prepares Mythos 1 for Claude Code and Security Anthropic’s Claude Mythos is moving closer to public release as Mythos 1, with new leaked evidence and an updated Claude Security dashboard for Enterprise customers. 4 个帖子 - 4 位参与者 阅读完整话题