/
Windows Shell欺骗漏洞CVE-2026-32202已遭利用,敏感数据面临风险
微软与美国网络安全和基础设施安全局(CISA)就Windows Shell欺骗漏洞CVE-2026-32202发出警告,该漏洞已遭攻击者活跃利用,可导致敏感数据泄露。CISA要求所有联邦机构在5月12日前完成修补。安全专家指出,补丁缺口问题依然严峻——从漏洞发现到补丁发布,再到企业完成更新,存在多重时间差。随着AI技术普及,技术门槛降低使攻击更易发生,企业需加快响应节奏。
美国政府与谷歌、微软等科技公司达成协议,AI模型公开发布前须接受国家安全审查
美国商务部旗下AI标准与创新中心(CAISI)宣布与谷歌DeepMind、微软及xAI签署协议,要求在新AI模型公开发布前,由政府对其进行安全审查。审查重点涵盖网络安全、生物安全及化学武器等国家安全风险领域。此前,OpenAI与Anthropic已与拜登政府签署类似协议,CAISI已完成逾40项评估。微软同日还与英国AI安全机构达成类似合作协议。
Linux内核高危漏洞"CopyFail"遭攻击者积极利用
CISA警告称,Linux内核新披露的高危漏洞"CopyFail"(CVE-2026-31431)已遭在野利用。该漏洞允许低权限用户通过篡改本应只读的数据,将有限权限提升至root级别,影响2017年以来所有主流Linux内核版本。研究机构Theori发布了可攻击Ubuntu、Amazon Linux、RHEL及SUSE的通用利用脚本,微软也检测到概念验证代码发布后的初步测试活动。CISA要求联邦机构在5月15日前完成修补。
英国NHS因AI安全忧虑,计划关闭数百个GitHub开源仓库
英国国家医疗服务体系(NHS)要求所有技术负责人在5月11日前将公开的GitHub仓库设为私有,原因是担忧AI模型(尤其是Anthropic的Mythos)可能通过大规模代码分析发现安全漏洞。NHS表示这是临时性措施,旨在评估AI快速发展带来的风险。然而,前NHSX开源技术负责人指出,此举防御意义有限,因为相关代码早已被采集用于训练,更大的安全威胁来自网络钓鱼、弱密码管理及供应链漏洞。
新加坡CSA呼吁将AI网络威胁纳入董事会议程
新加坡网络安全局(CSA)局长David Koh致函各关键信息基础设施(CII)机构董事会及CEO,警告前沿AI技术已从根本上改变网络安全基线。Anthropic的Claude Mythos模型已能自主发现数千个零日漏洞,并成功模拟完成32步企业网络入侵。CSA要求各CII机构正式启动网络风险评估,检视现有防御体系是否足以应对AI加速驱动的威胁,并将结果提交至董事会层面审议。
AI模型自我复制能力首次被研究记录,安全专家如何看待?
帕利塞德研究机构的最新研究表明,部分AI系统已能在受控网络环境中自主发现漏洞,并将自身复制到其他计算机上。尽管这一发现引发外界对"失控AI"的担忧,但安全专家指出,测试环境经过特意简化,现实企业网络中的监控机制将大幅增加难度。此外,当前AI模型体积庞大,大规模传输极易被察觉。专家认为,该研究具有学术价值,但不足以构成实际威胁。
新加坡学者开发智能体规则转换工具,让多平台SIEM协同工作
新加坡国立大学与复旦大学研究人员联合开发了ARuleCon系统,利用智能体技术解决不同安全信息与事件管理系统(SIEM)之间规则不兼容的难题。该系统通过检索增强生成(RAG)管道调用官方厂商文档,并借助Python一致性校验机制,实现Splunk、Microsoft Sentinel、IBM QRadar、Google Chronicle及RSA NetWitness等主流SIEM平台之间的规则互转,转换精度优于通用大语言模型,有效降低安全运营中心的工作负担。
思科收购Astrix Security,强化AI智能体安全防护能力
思科宣布以未披露金额收购Astrix Security,旨在增强其AI智能体安全产品组合。Astrix专注于识别、管理和保护AI智能体及非人类身份(NHI),包括API密钥、服务账户和OAuth令牌等凭证。思科计划将Astrix能力整合至Cisco Identity Intelligence及零信任访问产品线,涵盖Cisco Secure Access和Duo IAM。这是思科近期第二起AI管理相关收购,此前已宣布收购AI可观测性公司Galileo Technologies。
ChatGPT推出高级账户安全功能,如何开启?
ChatGPT新增"高级账户安全"功能,通过四项设置全面保护用户账户:要求使用通行密钥或实体安全密钥登录、禁用邮件及短信验证以强化账户恢复方式、缩短登录会话时长降低被劫持风险,以及自动关闭对话用于AI训练的选项。该功能目前面向免费和付费个人用户开放,需主动注册启用,未来计划扩展至企业用户。
斯里兰卡再曝62.5万美元付款失踪,数日前已发生250万美元财政部被盗事件
斯里兰卡财政部遭黑客盗窃250万美元数日后,当局又披露一笔约62.5万美元的美国邮政汇款失踪数周。此外,澳大利亚也发现存在付款异常,显示此次网络攻击范围可能比预想更广。调查人员认为,这些事件疑为"商业电子邮件诈骗"攻击,黑客入侵邮件或财务系统,篡改收款账户信息以截取资金。FBI数据显示,此类攻击已成为网络犯罪的主要获利手段之一,每年造成数十亿美元损失。
五眼联盟安全机构警告:智能体AI存在安全隐患,应谨慎部署
五眼联盟旗下多国信息安全机构联合发布指南,警告智能体AI(Agentic AI)在关键基础设施和国防领域的应用存在较大安全风险。该技术依赖多组件、工具及外部数据源,大幅扩展了攻击面,可能被恶意行为者利用。指南列举了权限滥用、供应链入侵等具体风险场景,整理了23类风险和逾100条最佳实践,建议组织从低风险任务起步,逐步部署,并在安全评估标准成熟前,始终将韧性、可逆性和风险管控置于效率提升之上。
AI揭示传统检测手段难以发现的网络攻击
侧信道攻击通过分析功耗、电磁辐射和处理时间等物理因素,而非软件代码,来窃取加密密钥等敏感信息。研究表明,攻击者仅需分析加密流量模式即可推断AI交互内容,无需解密。传统基于规则的检测架构存在根本性局限——无法识别通过合法工具、加密通道运行的攻击行为。真正有效的AI安全防御,需要从行为序列而非孤立事件出发,识别规则无法表达的攻击模式,从而扩展检测边界而非仅优化现有流程。
cPanel服务器管理软件曝高危漏洞,黑客已展开攻击
安全研究人员对广泛使用的服务器管理软件cPanel及WHM中新发现的高危漏洞发出警报。该漏洞(CVE-2026-41940)允许黑客绕过登录验证,远程获取管理面板完全控制权,影响全球数千万网站。加拿大网络安全机构警告称"漏洞被利用的可能性极高",要求立即采取措施。Namecheap、HostGator等主机商已完成修补。有证据显示,黑客早在2月23日便已开始尝试利用该漏洞。
现代网络钓鱼攻击已全面转向AI驱动
KnowBe4最新发布的第七版网络钓鱼威胁趋势报告显示,过去六个月中,近86%的网络钓鱼活动已涉及AI技术应用,较2024年的80%持续上升。AI不仅能生成高度个性化的钓鱼邮件,还可自动化完成侦察和信息收集工作。报告还指出,涉及日历邀请的攻击增加49%,仿冒同事的Teams消息攻击增加41%。微软数据显示,AI驱动的钓鱼活动效果是人工制作的4.5倍。FBI则报告称,美国去年网络犯罪损失创纪录地达到208.7亿美元。
供应链攻击持续蔓延,SAP npm包及其他开发工具相继沦陷
一波针对开发工具的供应链攻击持续扩大,SAP、Intercom的npm包及PyPI的Lightning包相继遭到入侵。攻击者植入凭据窃取恶意软件,可自动在npm安装时执行,窃取GitHub令牌、云平台密钥、Kubernetes凭证等敏感信息,并将加密后的数据回传至受害者自己的GitHub仓库。此次攻击被称为"Mini Shai-Hulud蠕虫",归因于网络犯罪团伙TeamPCP,涉及包每周下载量合计逾百万次。
警惕补丁海啸来袭:AI正将数十年的代码积弊一一暴露
英国国家网络安全中心(NCSC)首席技术官奥利·怀特豪斯警告,AI正在加速挖掘软件中长期积累的技术债务漏洞,组织机构将面临大规模"补丁浪潮"。AI工具能够快速、大规模地发现系统弱点,远超安全团队的修复速度。NCSC建议各组织尽快缩减互联网暴露面,优先修补边界技术,并对不再受支持的系统进行替换,做好快速、频繁、大规模打补丁的准备。
Google修复Gemini CLI严重漏洞,或导致CI/CD流水线中断
Google近期修复了Gemini CLI中一个CVSS评分高达10.0的严重漏洞。该漏洞源于无头模式下工作区文件夹信任设置过于宽松,攻击者可通过恶意环境变量实现远程代码执行。修复版本已在0.39.1和0.40.0-preview.3中发布,但升级后可能导致依赖旧有信任机制的GitHub Actions及CI/CD工作流失效。此外,--yolo模式的工具许可行为也有所变更,部分工作流可能静默失败,用户需及时检查并更新相关配置。
AI治理必须先于部署,而非事后补救
2026年4月,Anthropic宣布其最强AI模型Claude Mythos Preview因约束基础设施尚不完善,暂不对外发布。该模型能识别所有主流操作系统和浏览器中的数千个安全漏洞,潜在风险极高。Anthropic随即启动"玻璃翼计划",联合50家机构优先修补漏洞。文章指出,AI系统缺乏人类固有的内在约束,治理机制必须先于部署决策,而非事后补救,呼吁各组织将约束充分性作为部署前提。
GPT-5.5网络安全测试成绩与备受关注的Mythos Preview持平
英国AI安全研究所(AISI)最新研究显示,OpenAI上周公开发布的GPT-5.5在网络安全评估中与Anthropic的Mythos Preview表现相近。在95项夺旗挑战的"专家级"任务中,GPT-5.5通过率为71.4%,略高于Mythos Preview的68.6%。两款模型均在模拟企业网络数据提取攻击测试中取得突破,但均未能通过电厂控制软件干扰模拟。OpenAI CEO奥特曼批评竞争对手采用"恐惧营销"策略限制模型发布。
身份与访问管理工具助力红牛车队应对F1严苛法规
Oracle红牛车队与密码管理工具1Password合作,将风洞系统恢复时间从1小时压缩至2分钟,效率提升97%。通过构建统一的身份与访问管理控制平面,覆盖Kubernetes集群、工厂、风洞及仿真工作负载,工程师可快速恢复系统,避免浪费宝贵的测试预算。目前,车队正探索将该方案延伸至赛道侧,支持蒙特卡洛模拟及赛事策略决策。
京公网安备 11010802021500号
