小红花·文摘

OWASP十大代理与人工智能漏洞（2026年备忘单）

Alex Ewerlöf Notes ·

GitLab建议人工智能可以检测漏洞，但治理机制才是决定风险的关键

InfoQ ·

2025年12月，Cloudflare发现Pingora框架存在HTTP/1.x请求走私漏洞，编号CVE-2026-2833、CVE-2026-2835和CVE-2026-2836。虽然Cloudflare的CDN未受影响，但建议Pingora用户尽快升级至0.8.0版本以修复这些漏洞。

修复Pingora开源框架中的请求走私漏洞

The Cloudflare Blog ·

Cloudflare推出了Web和API漏洞扫描器的测试版，专注于检测API中的BOLA漏洞。传统防御无法有效应对API逻辑缺陷，因此需要主动检测。该扫描器将帮助识别复杂的API漏洞，未来将扩展到更多安全扫描类型。

主动防御：为API引入有状态漏洞扫描器

The Cloudflare Blog ·

如何防止Next.js API路由中的IDOR漏洞

freeCodeCamp.org ·

大疆扫地机被Claude Code逆向并发掘漏洞可远程控制扫地机目前已修复

蓝点网 ·

AI在开源项目中发现500+漏洞：Claude Code Security研究预览版上线

蓝点网 ·

AI代理正在加速漏洞发现。应用安全团队必须如何适应。

The New Stack ·

Node.js项目漏洞报告的新HackerOne Signal评分要求

Node.js Blog ·

认证令牌泄露导致的远程代码执行（RCE），涉及跨站WebSocket劫持（CSWSH）和不正确的资源转移（CWE-669）：攻击者可构造恶意链接，诱使用户点击后将token泄露到攻击者控制的服务器，进而获得对OpenClaw网关的完全控制权。：在建立WebSocket连接时，会自动将用户的认证token发送到指定的gateway...

OpenClaw 漏洞（CVE-2026-25253）详情

dotNET跨平台 ·

默认情况下，包含漏洞版本的第三方包next-mdx-remote的新部署现已被阻止

Vercel News ·

Windows 记事本爆出 8.8 分漏洞，专门针对 markdown 格式｜CVE-2026-20841

小众软件 ·

微软修复了可能诱使用户点击恶意Markdown链接的记事本漏洞

The Verge ·

例如，在对 GitHub Actions...

技术速递｜借助 GitHub Security Lab Taskflow Agent 的 AI 支持漏洞分流

dotNET跨平台 ·

CloudCone因Virtualizor漏洞遭入侵，导致洛杉矶VPS服务故障，用户无法连接。官方正在调查并重建受影响节点，确保数据安全。建议用户备份数据，以防未来类似事件。

Virtualizor 面板漏洞导致 CloudCone、HostSlick 等多家 IDC 被入侵，遭勒索攻击，数据受损！

WordPress 果酱 ·

#安全资讯有黑客利用 React2Shell 漏洞入侵宝塔面板和 NGINX 服务器，通过篡改网站配置文件将流量跳转到非法博彩平台。此次攻击黑客目标是印度、印尼、泰国、孟加拉、秘鲁的网站，黑客篡改配置文件直接将流量转到黑客控制的服务器，然后通过更精密的流量控制将部分访问跳转到非法博彩网站，管理员如果不检查配置文件很难发现网站已经被劫持。查看全文：https://ourl.co/111768