/
云服务商竞相推出OpenClaw即服务产品,但安全风险巨大
多家云服务商已开始提供OpenClaw即服务产品,尽管这款AI助手存在明显安全隐患。OpenClaw是一个AI代理平台,用户可提供各种在线服务凭据,通过消息应用发出指令让其自动处理邮件、管理日历等任务。腾讯云率先推出一键安装工具,DigitalOcean和阿里云紧随其后。然而,Gartner分析公司强烈建议企业禁用OpenClaw,称其为"危险的AI代理预览版",存在明文存储凭据等严重安全风险。
CISA将被积极利用的SolarWinds Web Help Desk远程代码执行漏洞列入KEV目录
美国网络安全和基础设施安全局(CISA)周二将影响SolarWinds Web Help Desk的严重安全漏洞添加到已知被利用漏洞目录中,标记为正在被攻击中积极利用。该漏洞编号CVE-2025-40551,评分9.8分,属于不可信数据反序列化漏洞,可能导致远程代码执行。CISA表示,攻击者可在无需身份验证的情况下利用此漏洞在主机上运行命令。
思科为网格防火墙家族增加智能策略执行功能
思科即将在其安全云控制平台中推出网格策略引擎,实现安全意图的统一定义和跨企业一致性执行。该引擎支持自动化策略部署、混合环境集成、规则去重优化等功能,可减少80%冗余规则,简化策略管理并增强网络分段防护能力,帮助安全团队实现全生命周期访问策略管理。
现代安全运营中心建设指南:自建、采购与自动化决策
本网络研讨会聚焦安全运营中心(SOC)的优化策略。讨论安全团队如何在众多工具中理清思路,避免堆砌冗余工具导致的噪声过多问题。专家将揭示健康现代SOC的特征,讲解顶级团队在自建、采购和自动化工具方面的决策逻辑,并通过真实案例研究和对比分析展示不同SOC模式。参与者将获得实用检查清单,帮助简化运营、提高效率,以现有资源和预算强化安全防御能力。
微软正式停用Azure存储中的TLS 1.0和1.1版本
微软Azure存储服务今日起不再支持TLS 1.0和1.1版本,最低要求升级至TLS 1.2。这项变更早在几年前就已预告,原定2024年11月实施但延期至2026年2月3日。TLS 1.0发布于1999年,1.1发布于2006年,两者均已在2021年被弃用。微软此前为保持向后兼容性一直支持这些旧版本,但出于安全性和监管要求考虑最终决定淘汰。使用低于1.2版本TLS协议的客户端将无法连接Azure存储服务。
Canva借助1Password保障高速增长期的身份安全
2019年Canva遭遇重大数据泄露后,大力投资网络安全措施并引入1Password凭证管理服务。随着用户增至2.6亿、员工规模五年增长五倍,企业安全负责人Narraway利用1Password的企业密码管理器实现新员工快速安全入职、自动化应用配置、共享账户安全管理,并通过CLI工具优化开发者工作流程。此外,Canva还为全球员工提供免费家庭版服务,从个人层面提升整体安全态势,将安全转化为增长推动力。
Mandiant发现ShinyHunters式语音钓鱼攻击窃取MFA凭证入侵SaaS平台
谷歌旗下Mandiant发现一种新兴威胁活动,使用与ShinyHunters黑客组织一致的勒索攻击手法。攻击者通过高级语音钓鱼和虚假凭据收集网站模拟目标公司,窃取单点登录凭据和多因子认证代码,以获取云端SaaS应用的未授权访问权限。攻击目标是窃取敏感数据和内部通信并进行勒索。
ClawHub平台发现341个恶意技能窃取用户数据
Koi Security对ClawHub平台2857个技能进行安全审计,发现341个恶意技能通过多个攻击活动窃取OpenClaw用户数据。其中335个技能利用虚假前置条件安装Atomic Stealer窃密软件,伪装成加密货币工具、YouTube实用程序等合法应用。问题源于ClawHub允许任何人上传技能的开放机制,攻击者利用OpenClaw的持久化内存特性实施延迟执行攻击,使恶意载荷可在特定条件下触发,对开源生态系统构成重大供应链安全风险。
微软启动三阶段计划将Windows从NTLM迁移至Kerberos认证
微软宣布分三阶段淘汰NTLM协议,转向更安全的Kerberos认证方案。NTLM于2024年6月正式弃用,因其易受中继攻击和中间人攻击威胁。三阶段计划包括:增强审计功能提升可见性、通过IAKerb等功能解决迁移障碍、在下一版Windows Server中默认禁用NTLM。微软强调这是迈向无密码、防钓鱼未来的重要举措,但NTLM不会完全移除,企业仍可通过策略控制重新启用。
OpenClaw修复一键远程代码执行漏洞,安全漏洞层出不穷
OpenClaw生态系统安全问题不断,多个项目修补机器人接管和远程代码执行漏洞。安全研究员发现一键RCE攻击链,攻击过程仅需毫秒级时间,受害者只需访问恶意网页即可被攻击。漏洞利用跨站WebSocket劫持攻击,因服务器未验证WebSocket源头。此外,关联项目Moltbook数据库暴露,API密钥可被公开访问,可能导致攻击者冒充任何AI代理发布内容。
开源AI成全球安全隐患,研究人员警告
安全研究人员发现,开源AI部署可能比商业AI提供商面临更大的安全风险。研究显示,全球130个国家共有175,108台Ollama主机暴露在互联网上,大部分运行相同的AI模型,形成了易受攻击的单一文化生态。这些暴露的实例缺乏安全防护措施,具备工具调用和视觉功能,且没有集中监管。研究人员警告,一旦出现零日漏洞,可能同时影响大量系统,建议将AI基础设施按照关键基础设施标准进行安全管理。
中端市场企业如何覆盖完整威胁生命周期的安全防护
中端企业需要在完整的威胁生命周期中实现安全防护,结合预防、保护、检测和响应能力。由于预算和人力资源有限,应通过统一安全平台整合端点、云、身份和网络信号,避免孤立的点状解决方案。扩展检测与响应(XDR)和托管检测响应(MDR)服务可有效补充内部团队,提升覆盖范围和威胁响应效率,无需增加成本和复杂性。
Notepad++更新服务遭国家级黑客劫持
Notepad++文本编辑器的更新服务在2025年遭国家赞助的黑客入侵。攻击者从6月至12月期间通过compromised托管服务器和不足的验证控制,有针对性地将特定用户流量重定向到恶意更新清单。该项目已发布加强版本8.9,弃用自签名证书,改用GlobalSign签发的合法证书。官方建议用户移除之前安装的自签名根证书,并手动下载最新版本。
SmarterMail修复CVSS 9.3分关键远程代码执行漏洞
SmarterTools修复了SmarterMail邮件软件中的两个安全漏洞,其中包括一个可导致任意代码执行的严重漏洞CVE-2026-24423,CVSS评分高达9.3分。该漏洞存在于ConnectToHub API方法中,攻击者可通过恶意HTTP服务器执行操作系统命令。此外还修复了另一个严重漏洞CVE-2026-23760和中等严重性漏洞CVE-2026-25067。
eScan杀毒软件更新服务器遭入侵传播多阶段恶意软件
印度网络安全公司MicroWorld Technologies开发的eScan杀毒软件更新基础设施遭到未知攻击者入侵,向企业和个人系统传播持久化下载器。攻击者通过合法更新渠道分发恶意更新,影响全球终端设备。该公司已检测到未授权访问并隔离受影响服务器,发布修复补丁撤销恶意更新。攻击发生在2026年1月20日约两小时内,主要影响印度、孟加拉国、斯里兰卡和菲律宾地区数百台机器。
雨邦EPMM两个零日漏洞被主动利用,安全补丁已发布
Ivanti发布安全更新修复两个影响Ivanti端点管理器移动版的严重漏洞,均已遭零日攻击利用。漏洞CVE-2026-1281和CVE-2026-1340评分均为9.8分,允许攻击者实现未经身份验证的远程代码执行。影响EPMM多个版本,临时补丁不会在版本升级后保留,永久修复将在12.8.0.0版本中提供。CISA已将其中一个漏洞加入已知被利用漏洞目录。
俄勒冈州数千名居民健康数据在TriZetto泄露事件中被盗
TriZetto保险验证服务商遭黑客攻击,导致俄勒冈州数千名居民将收到数据泄露通知书。此次攻击发生在2024年11月,入侵者获取了多个美国州医疗服务提供商客户的受保护健康信息和敏感个人信息,影响超过70万人。TriZetto直到近一年后才发现网络入侵。俄勒冈州三家医疗机构约4150名患者受到影响,目前没有证据显示信息被滥用。母公司Cognizant因此面临多起集体诉讼。
2026年欧洲新独角兽企业盘点
一月份诞生了五家新的欧洲独角兽企业,估值均超过10亿美元门槛。比利时网络安全公司Aikido Security获得6000万美元B轮融资,估值达10亿美元。立陶宛云优化公司Cast AI获得战略投资后估值超过10亿美元。法国国防科技公司Harmattan AI成立仅一年估值已达14亿美元。德国ESG软件公司Osapiens完成1亿美元C轮融资,估值超过11亿美元。乌克兰语言学习平台Preply估值达12亿美元,体现了乌克兰的韧性。
智能体和恶意国家行为体扩大网络攻击面引发新警报
随着全球人工智能引擎持续加速发展,针对其基础设施的威胁担忧也在增加。AI代理的兴起带来了新的安全问题,涉及访问控制和行为管理。网络安全研究人员发现,AI代理的普及正在扩大攻击面。MCP服务器存在安全漏洞,95%的企业部署缺乏安全可见性。小企业面临"安全贫困线"挑战,而恶意攻击者却能更好地利用AI技术。中国和伊朗等国家在AI网络战能力发展方面引发关注。
X开源推荐算法或威胁匿名账户隐私安全
埃隆·马斯克宣布X平台推荐算法开源,旨在提高透明度缓解监管压力。然而安全研究人员发现,开源代码中的"用户行为序列"功能可追踪用户详细行为数据,包括滚动停顿时间、互动模式等数千个数据点,形成高精度行为指纹。通过"候选隔离"技术比对,可将公开账户的行为模式与匿名账户匹配,实现去匿名化识别。这提醒我们算法比用户更了解自己,数字身份仍存在隐私风险。
京公网安备 11010802021500号
