文章总结： 文档汇总了2026年3月12日的安全动态，涵盖Vim正则引擎NULL指针漏洞、Linux内核Use-After-Free攻击技术、Cloudflare状态化API扫描器、AI浏览器零点击漏洞、核设施攻击链、AI编程工具RCE漏洞及供应链防御机制等关键发现。重点揭示了AI代理系统结构性风险与供应链攻击防御新方向。 综合评分： 80 文章分类： 漏洞分析,漏洞预警,AI安全,供应链安全,威胁情报

每日安全动态推送(26/3/12)

原创

admin admin

腾讯玄武实验室

2026年3月12日 18:54 北京

•  Vim NFA 正则引擎中 NULL 指针解引用漏洞影响版本 < 9.2.0137 https://seclists.org/oss-sec/2026/q1/296

本文详细分析了 Vim 编辑器 NFA 正则表达式引擎中的一个 NULL 指针解引用漏洞，揭示了 Unicode 组合字符在特定范围中导致 NFA 状态栈损坏的根本原因，并提供了补丁和修复信息，对理解和防范类似漏洞具有重要参考价值。

•  使用 PageJack 利用 CVE-2022-0995：Linux 内核 Use-After-Free 攻击分析 http://blog.quarkslab.com/pagejack-in-action-cve-2022-0995-exploit.html

本文详细介绍了如何利用现代内核攻击技术 PageJack 来利用 2022 年发现的 Linux 内核漏洞 CVE-2022-0995，揭示了内核中由于边界检查错误导致的越界写入和 Use-After-Free 漏洞的利用过程，对内核安全研究具有重要参考价值。

•  主动防御：推出面向API的状态化漏洞扫描器 https://blog.cloudflare.com/vulnerability-scanner/

Cloudflare 推出一款状态化的 Web 与 API 漏洞扫描器，主动识别 API 中的逻辑漏洞，如对象层级授权失效（BOLA）。该工具通过 AI 构建 API 调用图，并结合认证上下文进行扫描，发现传统防御工具（如 WAF 和传统 DAST 扫描器）无法识别的漏洞。这种主动防御方法通过模拟攻击者行为，实现对已认证用户上下文的主动测试。

•  Perplexity Comet 浏览器零点击漏洞事件 https://sectoday.tencent.com/event/qyqc05wBVJfJhgnJhORi

Zenity Labs 安全研究人员发现 Perplexity Comet AI 浏览器中存在一个名为 PerplexedBrowser 的严重零点击漏洞，攻击者可通过恶意 Google 日历邀请触发该漏洞，利用间接提示注入技术劫持浏览器的 AI 代理。该漏洞允许攻击者读取本地文件，包括从 1Password 密码管理器中窃取凭证。攻击过程无需用户交互，且可绕过浏览器的安全防护机制，通过精心构造的 URL 或日历邀请实现敏感数据外泄。Perplexity 已采取措施修复漏洞，包括限制对本地文件路径的访问和要求用户确认敏感操作。该事件揭示了 AI 代理系统在设计上的结构性安全风险，促使业界重新审视 AI 浏览器的安全机制。

•  后续：黑客发布实锤截图，似复现迪莫纳核设施84分钟攻击链 | CN-SEC 中文网 https://cn-sec.com/archives/5076718.html

这篇文章详细披露了一次针对以色列迪莫纳核设施的84分钟网络攻击链，展示了从初始访问到触发核反应堆紧急停堆的完整渗透过程，技术细节专业且逻辑严密，极大提升了对核设施网络安全威胁的现实认知。

•  Check Point揭Claude Code漏洞，惡意專案設定檔可觸發RCE並外洩API金鑰 | iThome https://www.ithome.com.tw/news/174267

資安業者Check Point揭露Anthropic日前修補的Claude Code漏洞細節。研究指出，攻擊者可透過惡意儲存庫中的專案設定檔觸發遠端程式碼執行（RCE），甚至竊取開發者的API金鑰

•  分析包管理器与更新工具中的依赖冷却机制支持 https://nesbitt.io/2026/03/04/package-managers-need-to-cool-down.html

本文深入探讨了软件包管理器中引入依赖项冷却期机制的重要性与实现方式，揭示了该机制如何有效防止供应链攻击。其最大亮点在于系统性地梳理了多个生态系统中冷却期功能的演进与差异，为开发者和安全研究人员提供了极具参考价值的技术全景。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin admin《每日安全动态推送(26/3/12)》