/
Gmail企业端对端加密扩展至Android与iOS移动设备
谷歌宣布将Gmail客户端加密(CSE)扩展至Android和iOS设备,企业用户无需额外应用即可在Gmail App中收发端对端加密邮件。该功能仅面向订阅Enterprise Plus含Assured Controls版本的组织,加密密钥由客户自行管理,谷歌无法访问加密内容。分析师指出,此举有助于受监管行业满足HIPAA、GDPR等合规要求,但同时需注意部分Gmail功能将被禁用,且可能被不法分子利用规避安全过滤工具。
微软4月补丁星期二更新:Defender与SharePoint现零日漏洞
微软于4月14日发布本月补丁更新,涉及超过160个独立漏洞,加上第三方及Chromium补丁共近250项,规模创历史之最。其中包含两个零日漏洞:CVE-2026-32201为SharePoint Server跨站脚本漏洞,已被野外利用;CVE-2026-33825为Defender权限提升漏洞,已公开披露但暂未发现利用案例。此外还有8个严重级别漏洞及一个Chromium远程代码执行漏洞,安全专家建议企业立即优先部署补丁。
英国政府AI安全评估:Mythos AI网络攻击能力究竟几何?
英国政府AI安全研究所(AISI)近日发布了对Anthropic旗下Mythos Preview模型的独立评估报告。结果显示,该模型在单项网络安全任务测试中与其他前沿模型表现相近,但在模拟32步企业网络数据渗透的"最后防线"测试中,Mythos成为首个完整完成全程攻击链的模型。AISI指出,该模型已具备自主攻击小型、防御薄弱企业系统的能力,并建议系统防护设计者同样借助AI工具强化防御体系。
微软僵尸漏洞死灰复燃,为犯罪分子和勒索软件团伙打开缺口
美国网络安全和基础设施安全局(CISA)近日将四个微软漏洞列入已知被利用漏洞目录,其中一个漏洞早在14年前已被修补,另一个与勒索软件活动相关。四个漏洞分别涉及Windows权限提升、Windows日志文件系统驱动缺陷、Exchange Server远程代码执行及Visual Basic组件不安全加载问题。CISA要求联邦机构在两周内完成修补,并警告此类漏洞是恶意攻击者的惯用入侵途径。
OpenAI发布面向安全专业人士的GPT-5.4-Cyber网络安全模型
OpenAI正式推出GPT-5.4-Cyber,这是专为防御性网络安全工作设计的定制模型,支持二进制逆向工程等高级功能。该模型通过"网络可信访问计划"向经过身份验证的安全专业人员开放,并新增分级验证机制。目前Codex Security已协助修复超过3000个高危漏洞。OpenAI表示,此举旨在将先进防御工具尽可能广泛地提供给安全从业者,同时通过自动化验证系统防止滥用。
OpenAI发布GPT-5.4-Cyber模型,普通用户暂时无缘使用
OpenAI推出专为网络安全设计的GPT-5.4-Cyber模型,目前仅限经过验证的网络安全专业人员和机构测试使用。该模型是GPT-5.4的微调版本,针对安全任务降低了拒绝响应门槛,以便专家评估其被恶意利用的潜在风险。测试反馈将用于提升模型防御能力、抵抗越狱攻击。此举也是OpenAI与Anthropic持续竞争的最新进展,双方正在AI能力与企业级合同争夺上展开激烈角逐。
AI公司既是强大技术的缔造者,也是出色的营销高手
Anthropic发布专注于网络安全的AI模型Claude Mythos,声称该模型发现了主流浏览器和操作系统中的数千个零日漏洞,并以"过于强大"为由限制公开访问。然而,网络安全专家对其部分夸大性声明提出质疑。分析指出,AI公司在发布强大技术的同时,也擅长营造稀缺感与市场热度。历史上OpenAI等公司也曾采用类似策略,最终现实往往介于夸张宣传与实际影响之间。
Booking.com警告:用户预订数据可能已遭未授权访问
Booking.com近日向受影响用户发送邮件,提示其预订信息可能已被未授权第三方获取,涉及姓名、联系方式、预订日期及与酒店的沟通记录。公司表示财务数据未受波及,已重置预订PIN码,但未披露受影响用户数量。此次事件与其过往记录相似——2021年曾因酒店员工账号被攻破导致数据泄露,被荷兰监管机构罚款47.5万欧元。当前最大风险在于攻击者利用真实预订数据实施精准钓鱼攻击。
Rockstar Games遭ShinyHunters威胁:付钱消灾还是数据泄露?
黑客组织ShinyHunters声称通过云成本监控工具Anodot入侵了Rockstar Games的Snowflake数据仓库,窃取身份验证令牌后冒充合法内部服务访问数据,并发出"付款或泄露"的最后通牒,截止日期为2026年4月14日。Rockstar官方确认发生第三方数据泄露,但称涉及信息有限,不影响玩家和运营。这是Rockstar继2022年GTA VI视频泄露事件后再度遭遇数据安全威胁。
量子计算新进展将身份验证安全推至关键议题
随着量子计算硬件快速进步,谷歌与Cloudflare已将量子威胁截止日期提前至2029年。研究显示,量子计算机仅需1200至1450个逻辑量子比特即可破解椭圆曲线加密,而该加密广泛用于身份认证与数字签名。专家指出,相比数据加密,身份认证系统被攻破的后果更为灾难性。企业需建立专项量子安全团队,尽早部署后量子密码体系,切勿等待"量子时刻"真正到来。
英国数据中心如何应对隐私与网络安全双重压力
英国数据中心已成为国家关键基础设施,正面临日趋严格的监管环境。在数据隐私方面,运营商须遵守UK GDPR及DPA 2018等法规,确保个人数据处理合规;在网络安全方面,《网络韧性法案》将数据中心纳入NIS监管框架,要求24小时内上报安全事件,违规将面临营业额比例罚款。此外,数据跨境流动规则也随《数据使用与访问法》更新而调整。运营商需建立清晰的合规流程与合同安排,以应对多重法律风险。
Rockstar Games再度遭黑客入侵,数据泄露风险迫在眉睫
《侠盗猎车手》发行商Rockstar Games再度遭受网络攻击。黑客组织ShinyHunters利用AI云分析工具Anodot的漏洞,通过窃取的身份验证令牌成功入侵Rockstar的Snowflake数据仓库,并威胁于2026年4月14日公开所获数据。Rockstar确认有少量非重要公司信息被访问,表示不影响组织运营及玩家。安全专家警告,第三方供应商已成为网络攻击的重要突破口,企业须高度重视供应链安全管理。
高盛CEO对Anthropic的Mythos AI风险"高度警觉"
高盛首席执行官大卫·所罗门表示,他对Anthropic最新AI模型Mythos的能力"高度警惕",并正与该公司密切合作。Anthropic警告称,Mythos在发现和利用软件漏洞方面已超越绝大多数人类专家,可能对经济、公共安全和国家安全构成严重威胁。英国AI安全研究所确认Mythos是网络安全威胁的重大升级,能在无人干预下自主发现系统漏洞。美英监管机构均已启动相关应对措施。
Adobe修复遭滥用数月的PDF零日漏洞
Adobe于4月11日发布补丁,修复了Acrobat和Reader中的零日漏洞CVE-2026-34621。该漏洞影响Windows和macOS平台,可导致任意代码执行。攻击者利用恶意PDF中高度混淆的JavaScript,通过合法API收集系统信息,并可下载二阶段载荷实现远程控制或沙箱逃逸。研究人员发现,此攻击活动最早可追溯至2025年底,部分诱饵文件以俄语书写并涉及油气行业主题,疑为定向攻击。Adobe未披露受影响用户数量。
Anthropic推出专属网络安全AI模型,企业争相驾驭AI变革浪潮
Anthropic发布代号Claude Mythos的新AI模型,因其强大的网络安全漏洞挖掘能力,仅向特定企业开放,通过"Project Glasswing"计划协助开发更安全的软件。与此同时,Meta推出多模态推理模型Muse Spark,OpenAI和Anthropic也在加强企业级产品布局。业界担忧AI模型可能被黑客利用,而企业用户则呼吁对AI Agent加强管控。芯片与云计算领域持续高速扩张,行业正经历深度重构。
微软推出智能体治理工具包,专项应对OWASP十大AI安全风险
微软悄然推出Agent Governance Toolkit开源项目,旨在企业部署AI智能体时提供运行时安全保障。该工具包针对OWASP发布的智能体系统十大安全风险,涵盖提示注入、目标劫持、身份滥用、供应链风险等问题。工具包包含七个模块,支持Python、TypeScript、Rust、Go及.NET多种语言,可与LangChain、CrewAI等主流框架无缝集成,无需重写现有代码。目前该项目以MIT协议公开预览,微软未来计划将其移交基金会管理。
新型勒索团伙通过帮助台网络钓鱼攻击数十家高价值企业
谷歌威胁情报团队披露,一个名为UNC6783的新型勒索组织已针对"数十家高价值企业"发动网络攻击。该组织主要通过入侵呼叫中心和业务流程外包商(BPO),利用伪造的Okta登录页面实施社会工程学攻击,绕过多因素认证并植入远程访问恶意软件。得手后,攻击者通过Proton Mail发送勒索信。据报道,Adobe疑似已遭受相关攻击,涉及超1300万条支持工单及员工数据泄露。
安全研究人员诱骗苹果AI辱骂用户,潜在危害远不止于此
安全研究人员通过提示注入攻击成功劫持Apple Intelligence,使其对用户输出攻击者预设的内容。测试显示,100次攻击中有76次成功。研究人员结合Neural Exec和Unicode文字方向覆盖技术,绕过了苹果的输入输出过滤器及安全护栏。该漏洞影响至少2亿台设备及多达100万款应用。苹果已在iOS 26.4和macOS 26.4中修复该问题,但提示注入攻击仍是持续性安全挑战。
Adobe Reader现存数月的零日漏洞,利用PDF文件悄然锁定攻击目标
安全研究员Haifei Li发现,黑客利用Adobe Acrobat Reader中的零日漏洞,通过植入恶意PDF文件对目标进行侦察分析。该漏洞无需用户点击,文件打开即自动触发混淆JavaScript代码,收集系统信息、本地文件及语言设置,并回传至攻击者服务器。攻击者据此筛选高价值目标,对特定系统投递第二阶段载荷,最终可能实现远程代码执行或沙箱逃逸。目前该漏洞尚无CVE编号和补丁,Adobe官方暂无回应。
美英加联合打击加密货币诈骗,冻结1200万美元资产
美国、英国和加拿大执法机构联合开展"大西洋行动",成功捣毁一起涉及全球30个国家的4500万美元加密货币诈骗案。行动共冻结1200万美元被盗资金,识别逾2万个与受害者相关的加密钱包地址,并直接联系超3000名受害者。此类"杀猪盘"诈骗通过伪装成合法应用的虚假通知,诱骗受害者授权访问账户后转移资产。据FBI报告,2025年网络犯罪损失已达创纪录的208.7亿美元。
京公网安备 11010802021500号
