Mythos AI闪电突破NSA防线;OpenAI上线GPT-5.5-Cyber增强版 | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

Anthropic的Mythos AI模型数小时内渗透NSA机密系统，促使美国首次对AI模型实施出口管制，引发国际盟友不满。Anthropic辩称仅为代码修复行为，正寻求恢复访问并与政府协商风险管理框架。

OpenAI发布GPT-5.5-Cyber强化版，助力漏洞发现与修复，同步升级Codex Security插件并启动"Patch the Planet"计划。AI加速漏洞发现但修复成行业瓶颈，五眼联盟警告AI降低攻击门槛，网络安全需融入核心战略。

GitHub平台现大规模恶意软件传播，超1万个代码库被植入木马压缩包。攻击者克隆合法项目并修改README文件添加恶意链接，利用平台信任模型长期潜伏。研究揭示自动化检测局限，开发者需警惕外部下载源验证。

苹果A12/A13/S4/S5芯片存在不可修复的BootROM漏洞usbliter8，利用USB控制器缺陷实现完整启动链攻陷，可执行任意代码并绕过安全启动。仅硬件升级可彻底防御，旧设备无软件修复方案。

FFmpeg的MagicYUV解码器存在高危漏洞（CVE-2026-8461），攻击者可通过恶意媒体文件实现远程代码执行，影响广泛应用程序。漏洞源于堆越界写入，CVSS评分8.8。建议升级FFmpeg或禁用MagicYUV解码器缓解风险。

两名青年黑客承认入侵伦敦交通局系统，造成2900万英镑损失及服务中断，暴露关键基础设施安全漏洞。案件凸显年轻黑客威胁上升，呼吁加强身份安全与快速响应机制。

Anthropic指控阿里巴巴通过2.5万欺诈账户非法提取Claude AI核心技术，涉及2880万次交互，采用对抗性蒸馏技术窃取美国AI能力。事件引发美国立法行动，凸显AI安全已成国家安全焦点，加剧中美技术对抗。

研究发现12款主流红队AI工具存在严重架构缺陷，攻击者可窃取API密钥、实现持久控制甚至主机入侵。新型Agent钓鱼攻击成功率高达97.8%，现有防护措施均无效。建议采用严格的工作-编排分离架构、密钥隔离等防护原则。

医疗科技公司Xsolis因钓鱼攻击导致140万人医疗数据泄露，涉及个人及健康信息。公司已采取防护措施并通知受影响者，提供信用监测服务。目前无信息滥用迹象。

本周好文推荐指数

安全研究员开发轻量级GitHub扫描器，高效检测AI服务API Key泄露，优化正则匹配与假Key过滤，集成归属识别直接支持SRC提交，10分钟扫描500文件发现18个有效Key，显著提升漏洞挖掘效率。

AI驱动的渗透测试工具，由大模型实时决策构造payload，不依赖固定字典或脚本，覆盖19+漏洞类型，支持认证测试和智能页面遍历，实现全自动化渗透流程。

JWT渗透测试核心：利用未验证签名、算法混淆、弱密钥或标头注入（如jwk/jku/kid）绕过认证。重点关注Header的alg/kid和Payload的敏感字段，通过修改或伪造签名实现越权。