FreeBuf周报 | ChatGPT成功生成CVE有效攻击程序；AI幻觉催生攻击

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

🤖ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序

🛠️SWE-agent：开源工具利用大语言模型修复GitHub仓库问题

🧑‍💻软件供应链新威胁：AI幻觉催生"Slopsquatting"攻击

📨钓鱼检测机制已失效：为何大多数攻击都像零日漏洞般难以防范

⛑️微软"安全未来计划"：公司史上最大规模网络安全工程

💻朝鲜IT人员利用实时深度伪造技术通过远程工作渗透组织

🍷APT29通过品酒会诱饵在欧洲外交官中部署恶意软件

🎣网络犯罪新宠：SheByte推出q99订阅制钓鱼服务

📋三星One UI安全漏洞：剪贴板数据明文存储且永不过期

🔐"Cookie-Bite"攻击手法可绕过多重验证并维持持久访问权限

AI成功生成高危漏洞攻击程序，改写网络安全格局。GPT-4仅凭CVE描述即完成代码分析、漏洞定位、攻击编写及调试全过程，大幅缩短漏洞利用开发时间。这一突破既提升研究效率，也加剧安全风险，迫使组织加速补丁部署。

SWE-agent开源工具连接GPT-4o等语言模型与实用工具，可自主修复GitHub错误、解决网络安全问题。其EnIGMA模式专攻攻防任务，整合调试器等工具提升效率。设计简洁灵活，适配性强，已在GitHub免费提供。

AI生成虚假软件包名称引发新型供应链攻击"Slopsquatting"，利用AI"包幻觉"推荐不存在的包名，攻击者可注册传播恶意代码。测试显示20%AI推荐包为伪造，Python和JavaScript生态风险最高。AI模型安全缺陷导致威胁，开发者需谨慎验证AI代码建议。

钓鱼攻击威胁持续升级，攻击者利用动态域名、跨平台手段绕过传统检测。当前依赖黑名单的事后检测模式存在根本缺陷，浏览器安全扩展成为新防线，通过实时监控页面行为有效拦截钓鱼攻击，弥补传统防护不足。

微软发布"安全未来计划"进展：投入3.4万工程师年工作量，全员纳入安全考核，推出11项新防护功能，迁移90%身份令牌至硬件模块，拦截40亿美元欺诈，发现180个漏洞，28项目标中5项接近完成，显著提升平台安全性与客户保护水平。

俄罗斯黑客组织APT29使用新型恶意软件组合WINELOADER和GRAPELOADER，通过钓鱼邮件攻击欧洲外交机构。邮件伪装成品酒会邀请，诱骗下载恶意ZIP文件。GRAPELOADER作为初始工具收集信息并投放WINELOADER。同时，Gamaredon组织利用PteroLNK感染USB驱动器，分发窃密软件。

网络犯罪新宠：SheByte推出q99订阅制钓鱼服务

新兴钓鱼平台SheByte继承LabHost，2024年6月上线后迅速占领加拿大市场，主打金融机构攻击。采用订阅制，提供定制化钓鱼工具包及实时监控功能LiveRAT，规避检测能力强。技术特征可识别但持续进化，安全挑战加剧。

三星One UI安全漏洞：剪贴板数据明文存储且永不过期

三星One UI系统存在重大安全漏洞，剪贴板数据以明文永久存储，包括密码等敏感信息，且无自动删除机制。攻击者可轻易获取数据，建议手动清除或使用自动填充功能。该问题多年未解决，引发用户强烈担忧。

"Cookie-Bite"攻击手法可绕过多重验证并维持持久访问权限

网络安全研究人员发现"Cookie-Bite"攻击技术，通过窃取浏览器cookie绕过MFA保护，持久访问云环境。攻击者利用中间人攻击、恶意扩展等手段窃取会话令牌，无需凭证即可冒充用户。建议企业监控异常行为、限制浏览器扩展并部署令牌保护机制应对威胁。

本周好文推荐指数

保证堆栈平衡，有两种解决方法：内平栈、外平栈。

通过搭建钓鱼服务器，绕过SPF检测伪造发件人。