各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

热点资讯

1. F5确认遭遇国家级黑客入侵，源代码与漏洞数据遭窃

F5公司遭国家级黑客攻击，BIG-IP源代码和漏洞研究数据被盗，攻击手法高级且持久。专家警告窃取资料可能降低未来漏洞利用难度，建议加强监控和补丁管理。事件凸显安全厂商正成为攻击新目标。

2. 丝绸诱饵行动：中国金融科技企业遭恶意简历LNK文件攻击，ValleyRAT木马被植入

Seqrite实验室发现"丝绸诱饵行动"网络活动，攻击者伪装求职者发送恶意简历.LNK文件，针对中国金融科技企业。攻击链包含多阶段载荷、计划任务持久化和ValleyRAT木马，具备数据窃取和反检测能力，C2服务器位于美国。

3. OpenAI安全护栏框架破绽百出，简单提示注入即可绕过

OpenAI的Guardrails安全框架被基本提示注入攻破，依赖LLM自我评估存在漏洞，攻击者可协同操纵生成与评估模型生成危险内容。专家建议采用独立验证和红队测试，避免过度依赖自我监管机制。

4. 近半数地球同步卫星传输未加密数据

研究发现近半数地球同步卫星传输未加密数据，敏感通信易被截获。仅用800美元设备即可窃听私人通话、短信及军事通信，暴露全球网络安全漏洞。部分企业已加密，但关键基础设施仍存风险。

5. 微软终止对Windows10更新，数百万设备面临网络安全风险

微软终止Windows 10支持，不再提供安全更新，数亿设备面临安全风险。用户需升级至Windows 11或付费加入ESU计划延长保护。硬件不达标者可购新机，但遗留设备恐成网络攻击目标，加剧环境与安全挑战。

6. 架构、风险与落地：如何评估和选择适合的AI-SOC平台

SOC智能化转型迫在眉睫，AI技术可解决告警过载问题，提升效率。转型需思维革新，分析师角色转向监督AI决策。AI-SOC架构涵盖自动化范畴、交付方式等维度，落地需评估风险与供应商能力，分阶段实施并衡量成效。

7. 超百款VS Code扩展泄露访问令牌，暴露严重供应链风险

逾百款VS Code扩展泄露访问令牌，威胁软件供应链安全，恶意攻击者可借此推送恶意更新。研究发现550多个密钥暴露，涉及AI、云服务和数据库等。TigerJack组织投放11款恶意扩展，窃取代码并挖矿。微软已采取措施，但跨平台安全漏洞仍存风险。

8. AMD安全加密虚拟化技术漏洞，致加密虚拟机可被完全攻破（CVE-2025-0033）

苏黎世联邦理工学院发现AMD Zen 3/4/5处理器SEV-SNP机密计算技术的关键漏洞RMPocalypse（CVE-2025-0033），攻击者可完全攻破虚拟机安全隔离，窃取加密数据。漏洞利用RMP初始化缺陷，100%成功率破坏所有安全保证，AMD已发布固件修复。

9. 7-Zip两大高危漏洞可导致任意代码执行（CVE-2025-11001/11002）

7-Zip曝高危漏洞（CVE-2025-11001/11002），恶意ZIP文件可突破解压目录执行任意代码，攻击者可能通过钓鱼文件诱导用户操作。建议立即升级至25.00修复版本。

10. Oracle EBS再曝高危RCE漏洞，攻击者可窃取敏感数据（CVE-2025-61884）

Oracle E-Business Suite高危漏洞CVE-2025-61884允许攻击者远程绕过身份验证窃取敏感数据，影响12.2.3-12.2.14版本。企业需立即打补丁并限制网络访问，防止财务和供应链数据泄露。

一周好文共读

1. 渗透测试-基础|让你一文就能读懂的SSRF

SSRF漏洞利用服务器访问内网资源，绕过鉴权实现外网读内网。核心手法包括伪协议（file/dict）、IP进制绕过、短链接和域名解析。常见于在线翻译、收藏功能等业务场景，需关注URL调用点。与CSRF无关，危害极大。【阅读原文】

2. Redis未授权访问详解——新手友好

文章详解Redis6.0.9未授权访问漏洞，提供WebShell、SSH公钥、计划任务三种利用方法，强调配置不当风险，包含环境搭建、命令注解及复现过程中的关键注意事项。【阅读原文】

3. Kali-MCP全自动化渗透实战：从信息收集到报告生成，一键搞定漏洞检测

Kali-MCP是基于Kali Linux的自动化渗透测试框架，通过Python整合工具链实现目标扫描、漏洞利用和报告生成，大幅提升效率。需注意合规性、灵活性和持续优化，AI仅作为辅助工具。【阅读原文】