/
服务器机房的门锁形同虚设,安全认证险些露馅
一家负责停车费管理的公司在申请ISO 27001安全认证时,为解决服务器机房网络与生产数据中心网络互通的安全隐患,安装了一把支持双因素认证的门锁——需刷卡并输入四位PIN码。然而在审计前的最后演练中,发现只要连续输入超过10至11个数字,门锁就会因过载而自动开启,完全绕过身份验证。公司在审计当天刻意隐瞒了这一漏洞,顺利通过了认证,而供应商始终未能提供修复方案。
Anthropic发布Claude Opus 4.7:这不是Mythos预览版
Anthropic正式发布Claude Opus 4.7模型,主要面向开发者,专为复杂编程任务优化。该模型在指令遵循方面更为精确,改进了基于文件的记忆系统,可跨会话调取信息,同时支持更大图片文件处理与图表数据分析。此外,新模型在界面与文档创作上更具审美性。值得关注的是,Opus 4.7已集成部分Mythos级别的网络安全防护机制,可自动检测并拦截高风险网络安全请求。
Anthropic拒绝修复MCP设计缺陷,20万台服务器面临安全风险
安全研究团队Ox发现,Anthropic的模型上下文协议(MCP)存在设计缺陷,波及约20万台服务器,可能导致系统被完全接管。研究人员多次要求Anthropic从协议层面修复根本问题,但Anthropic以"行为符合预期"为由拒绝修改架构。该漏洞已衍生出命令注入、防护绕过、零点击提示注入及MCP市场投毒等四类攻击方式,影响LangFlow、Flowise等多个主流项目,涉及下载量超1.5亿次的软件包。
微软与Stellantis合作,用AI提升车主驾乘体验
全球汽车巨头Stellantis与微软达成五年战略合作,借助AI技术提升数字服务、强化网络安全并优化工程能力。双方计划推出预测性维护算法、驾驶效率建议等车载功能,同时提升联网服务的安全性与稳定性。值得关注的是,两家公司还计划到2029年将数据中心规模缩减60%,以更少资源实现更多功能。
英国网络安全专业人员的法律保护严重滞后
距今已有35年历史的英国《计算机滥用法》(CMA)严重制约了网络安全从业者的日常工作。尽管英国政府去年12月承诺推进改革,但CyberUp组织警告,每一分钟的拖延都在削弱英国的安全创新与防御能力。报告指出,澳大利亚、法国、德国、美国等多国已为网络安全专业人员提供明确法律保护,葡萄牙更通过立法为善意黑客提供了可参考的范本。CyberUp呼吁政府借助《网络安全与韧性法案》尽快实现实质性改革。
IBM推出智能体攻击防御与威胁自动评估安全服务
IBM宣布推出两项企业安全服务:IBM自主安全服务和前沿模型网络威胁评估服务。前者通过多个协作AI智能体,以机器速度自动检测、分析并修复AI安全威胁,最大限度减少人工干预;后者联合技术合作伙伴,深度评估企业环境中的安全漏洞与潜在攻击路径,并提供优先级修复建议。IBM X-Force报告显示,2026年针对公开应用的攻击增加44%,AI工具正加速帮助攻击者发现漏洞。
欧洲最大连锁健身房Basic-Fit遭网络攻击,百万会员数据泄露
欧洲最大连锁健身房Basic-Fit确认遭受网络攻击,约100万名会员的个人数据被窃取,涉及荷兰、比利时、法国、德国、卢森堡和西班牙六国。泄露数据包括姓名、住址、电子邮件、电话号码、出生日期及银行账户信息,但密码未被获取。公司表示攻击发现后数分钟内已被阻止,目前尚未发现数据在网络上流通,并提醒会员警惕钓鱼攻击。
假冒Linux基金会官员通过Slack实施网络钓鱼,窃取开发者凭据
一起针对开源软件开发者的社会工程攻击被曝光。攻击者在Slack中冒充Linux基金会真实官员,诱导TODO和CNCF项目成员点击托管于Google Sites的钓鱼链接。该链接伪装成Google Workspace登录页面,诱使用户输入凭证并安装恶意根证书。在macOS上会下载执行恶意二进制文件,在Windows上则通过浏览器信任对话框安装恶意证书,最终可能导致系统被完全控制。Google已下架相关钓鱼页面。
Raspberry Pi OS 正式关闭 sudo 免密默认通道
最新版Raspberry Pi OS对sudo命令新增密码验证机制,仅影响全新安装,现有系统不受影响。此前任何用户均可无需认证直接执行管理员命令,存在明显安全隐患。新机制下,密码验证通过后五分钟内无需重复输入,不影响连续操作效率。用户可通过控制中心或raspi-config恢复免密模式。官方坦承此举是安全与便利之间的艰难权衡,用户反应褒贬不一。
沉寂17年的Excel高危漏洞重出江湖,已遭活跃利用
美国网络安全机构CISA近日发出警报,一个已有17年历史的Excel严重漏洞CVE-2009-0238(评分9.3)正被攻击者主动利用。该漏洞于2009年首次披露,攻击者可通过诱使受害者打开恶意构造的Excel文档实现远程代码执行,进而完全控制目标系统。CISA已将其列入已知可利用漏洞目录,要求联邦机构在两周内完成修补。此外,SharePoint Server欺骗漏洞CVE-2026-32201也被同步列入目录,该零日漏洞可被用于网络钓鱼和社会工程学攻击。
微软四月补丁星期二:165个漏洞集中爆发
微软四月补丁星期二共发布165个CVE修复,创下历史第二大单月修复纪录。其中SharePoint服务器漏洞CVE-2026-32201已遭攻击者利用,该漏洞因输入验证不当导致网络欺骗攻击,可用于网络钓鱼和社会工程学攻击。此外,微软Defender存在权限提升漏洞CVE-2026-33825,相关利用代码已被研究人员公开发布于GitHub。安全专家指出,本次大规模修复可能与AI工具发现漏洞数量增加有关。
"像公开银行金库图纸":AI威胁迫使Cal.com放弃开源模式
日程管理平台Cal.com宣布将代码库从开源许可证(AGPL)转为专有许可证。其CEO表示,Claude Opus等AI模型可轻易扫描开源代码寻找漏洞,开源代码"如同将银行金库蓝图公开发放"。Anthropic的Mythos模型已证明能入侵高安全级别系统。Cal.com同时发布面向爱好者的完全开源版本Cal.diy,但商业版本将关闭公开访问,以保护用户敏感预约数据。
Anthropic多事之秋:模型泄露、源码暴露与GitHub下架风波
Anthropic近期接连遭遇多起信息安全事故:新模型Mythos开发计划意外泄露,Claude Code 2.1.88版本随npm包附带近60MB源码映射文件,导致51.2万行代码完全暴露。此后,Anthropic援引美国数字版权法要求GitHub下架相关仓库,却误删超8000个无关仓库。专家指出,此次事件暴露了Anthropic在发布流程与基础设施管控上的不足,"安全领导者"的定位因此受损。
Anthropic发布Claude Mythos:仅限特定合作伙伴使用
Anthropic发布Claude Mythos Preview,这是比现有旗舰模型Opus更强大的新一代模型。出于网络安全风险考量,该模型暂不对公众开放,仅通过"Project Glasswing"项目向亚马逊、苹果、微软、CrowdStrike等约48家合作伙伴提供访问权限,专用于防御性安全研究。该模型在CyberGym基准测试中得分83.1%,已发现数千个零日漏洞。Anthropic为参与企业提供1亿美元使用额度,并向开源安全组织捐款400万美元。
丹斯克银行系统升级失误致2万客户地址泄露
丹斯克银行去年因计划性系统升级中的人为失误,导致约2.06万名客户的个人地址信息泄露。在长达三个月的时间里,在丹麦境内付款的客户地址对收款方可见,直至2024年10月问题被发现并修复。银行已将此事上报丹麦数据保护局及金融监管局,并于今年2月完成相关数据删除工作,同时联系其他金融机构协助清除受影响信息,并向所有受影响客户致歉。
黑吃黑:勒索软件团伙0APT威胁竞争对手Krybit
两个勒索软件团伙近日爆发冲突,0APT威胁曝光与Krybit相关人员的身份信息。0APT在暗网发帖,要求Krybit付款,否则将公开其成员照片、姓名及位置,并泄露部分窃取数据作为警告。讽刺的是,0APT在帖子中将Krybit称为"对全球网络安全和数据隐私构成重大威胁"的勒索团伙。安全研究人员从已泄露文件中发现了Krybit运营者的明文凭据及加密货币钱包地址。此类黑客互攻事件并非首例,2025年DragonForce曾攻击BlackLock等竞争团伙。
Gmail企业端对端加密扩展至Android与iOS移动设备
谷歌宣布将Gmail客户端加密(CSE)扩展至Android和iOS设备,企业用户无需额外应用即可在Gmail App中收发端对端加密邮件。该功能仅面向订阅Enterprise Plus含Assured Controls版本的组织,加密密钥由客户自行管理,谷歌无法访问加密内容。分析师指出,此举有助于受监管行业满足HIPAA、GDPR等合规要求,但同时需注意部分Gmail功能将被禁用,且可能被不法分子利用规避安全过滤工具。
微软4月补丁星期二更新:Defender与SharePoint现零日漏洞
微软于4月14日发布本月补丁更新,涉及超过160个独立漏洞,加上第三方及Chromium补丁共近250项,规模创历史之最。其中包含两个零日漏洞:CVE-2026-32201为SharePoint Server跨站脚本漏洞,已被野外利用;CVE-2026-33825为Defender权限提升漏洞,已公开披露但暂未发现利用案例。此外还有8个严重级别漏洞及一个Chromium远程代码执行漏洞,安全专家建议企业立即优先部署补丁。
英国政府AI安全评估:Mythos AI网络攻击能力究竟几何?
英国政府AI安全研究所(AISI)近日发布了对Anthropic旗下Mythos Preview模型的独立评估报告。结果显示,该模型在单项网络安全任务测试中与其他前沿模型表现相近,但在模拟32步企业网络数据渗透的"最后防线"测试中,Mythos成为首个完整完成全程攻击链的模型。AISI指出,该模型已具备自主攻击小型、防御薄弱企业系统的能力,并建议系统防护设计者同样借助AI工具强化防御体系。
微软僵尸漏洞死灰复燃,为犯罪分子和勒索软件团伙打开缺口
美国网络安全和基础设施安全局(CISA)近日将四个微软漏洞列入已知被利用漏洞目录,其中一个漏洞早在14年前已被修补,另一个与勒索软件活动相关。四个漏洞分别涉及Windows权限提升、Windows日志文件系统驱动缺陷、Exchange Server远程代码执行及Visual Basic组件不安全加载问题。CISA要求联邦机构在两周内完成修补,并警告此类漏洞是恶意攻击者的惯用入侵途径。
京公网安备 11010802021500号
