/
本周网络安全威胁通报:AI语音克隆漏洞等多起事件
本周网络安全威胁持续升级,攻击者快速调整策略,小漏洞演变成重大风险。报告涵盖AI语音克隆漏洞利用、WiFi Kill开关、PLC系统漏洞等14个重要安全事件。这些案例显示了攻击手段的快速演进和传统工具的新型威胁应用,提醒用户保持系统更新,关注潜在风险,避免对看似正常的情况掉以轻心。
ISC2加入英国软件安全大使计划,推动供应链安全
非营利网络安全专业组织ISC2已加入英国政府新推出的软件安全大使计划,担任专家顾问。该计划由国家网络安全中心和科学创新技术部设立,是政府2.1亿英镑网络韧性重塑承诺的一部分。计划旨在激励组织更加关注软件产品安全,推广软件安全实践准则。ISC2将协助完善实践准则,并将其指导原则融入网络安全教育和专业发展服务中。
Palo Alto修复GlobalProtect拒绝服务漏洞,无需登录即可致防火墙崩溃
Palo Alto Networks发布安全更新,修复影响GlobalProtect网关和门户的高危漏洞CVE-2026-0227。该漏洞CVSS评分7.7,允许未经认证的攻击者对防火墙发起拒绝服务攻击,反复触发可导致防火墙进入维护模式。漏洞影响多个PAN-OS版本,目前已有概念验证攻击代码存在,但尚无野外利用证据。
微软Copilot AI助手曝重大安全漏洞 单击链接即可窃取用户隐私
微软已修复其Copilot AI助手中的一个安全漏洞,该漏洞允许黑客通过单击合法URL来窃取大量敏感用户数据。安全公司Varonis的研究人员发现了这个多阶段攻击方法,能够提取用户姓名、位置以及聊天历史等敏感信息。攻击利用间接提示注入技术,绕过了企业终端安全控制。即使用户关闭聊天窗口,攻击仍会继续执行。该漏洞仅影响Copilot个人版。
研究人员成功阻断550多个Kimwolf和Aisuru僵尸网络服务器
Lumen Technologies的Black Lotus Labs团队自10月初以来已成功阻断了550多个与AISURU/Kimwolf僵尸网络相关的命令控制节点流量。这两个僵尸网络能够控制被感染设备参与DDoS攻击和恶意流量中继。Kimwolf主要感染超过200万台Android设备,特别是Android TV流媒体设备,通过住宅代理网络进行传播。研究显示威胁行为者正在Discord服务器上销售代理服务,僵尸网络规模在10月份激增300%。
WitnessAI融资5800万美元解决企业AI最大风险
随着企业大规模部署AI聊天机器人、智能代理和副驾驶系统,如何防止员工和AI代理在使用强大AI工具时意外泄露敏感数据、违反合规规则或遭受提示注入攻击成为新挑战。WitnessAI刚刚完成5800万美元融资,致力于构建"企业AI信心层"解决方案。预计到2031年AI安全市场规模将达到8000亿至1.2万亿美元。
微软2026年首次补丁星期二修复112个安全漏洞
微软在2026年首个补丁星期二发布修复程序,涵盖112个CVE漏洞,其中包括多个已被公开披露或主动利用的零日漏洞,以及8个严重级别的安全缺陷。相比2025年12月仅修复56个漏洞,此次修复数量大幅增加。重点漏洞包括CVE-2026-20805信息泄露漏洞,已被观察到在野外利用;CVE-2026-21265安全启动证书到期绕过漏洞;以及影响VBS安全边界的严重权限提升漏洞,可能允许攻击者绕过高级防护机制。
黑客利用c-ares DLL侧加载漏洞绕过安全系统投放恶意软件
安全专家披露了一项活跃的恶意软件攻击活动,攻击者利用开源c-ares库中合法二进制文件的DLL侧加载漏洞,绕过安全控制并传播多种商业木马和窃取程序。攻击者将恶意libcares-2.dll与合法的已签名ahost.exe配对执行代码,绕过传统签名防护。此次攻击分发了Agent Tesla、CryptBot、Formbook等多种恶意软件,主要针对石油天然气、进出口等行业的财务、采购等岗位员工。
新研究:64%第三方应用无业务理由访问敏感数据
最新研究分析4700个主流网站发现,64%的第三方应用在没有业务需求的情况下访问敏感数据,较2024年的51%大幅上升。政府部门恶意活动从2%激增至12.9%,七分之一的教育网站显示被入侵迹象。主要违规者包括Google标签管理器、Shopify和Facebook像素等。尽管81%安全负责人将网络攻击列为重点,但仅39%部署了相应解决方案,凸显出治理缺失问题。
企业面临价值数十亿美元的AI安全挑战
AI代理本应简化工作,却带来全新安全风险。企业部署AI聊天机器人和智能助手时,面临敏感数据泄露、合规违规和注入攻击等威胁。WitnessAI获5800万美元融资,专注构建"企业AI信心层"。专家预测AI安全市场到2031年将达8000亿至1.2万亿美元。讨论涵盖"影子AI"数据泄露、传统网络安全方法局限性,以及AI代理失控威胁员工等真实案例。
Node.js爆出严重漏洞:async_hooks触发栈溢出导致服务器崩溃
Node.js发布安全更新修复影响几乎所有生产环境应用的关键漏洞。该漏洞源于启用async_hooks时发生栈溢出,系统直接退出而非抛出可捕获异常,导致拒绝服务攻击风险。漏洞影响React Server Components、Next.js、Datadog等多个框架和APM工具。已在20.20.0等多个LTS版本中修复,建议用户尽快更新。
Anthropic投资150万美元助力Python基金会提升安全性
AI公司Anthropic与Python软件基金会达成合作,投资150万美元改善Python生态系统安全。这笔资金将用于CPython和Python包索引PyPI的安全升级,保护数百万用户免受供应链攻击。该项目产出预计可推广至其他开源包仓库,有望改善多个开源生态系统的安全性。同时,Anthropic宣布扩展其实验室,由首席产品官Mike Krieger领导,专注于Claude能力前沿的实验性产品开发。
CrowdStrike以4亿美元收购浏览器安全公司Seraphic
网络安全公司CrowdStrike收购浏览器安全初创公司Seraphic Security,交易金额达4亿美元。Seraphic专注于保护企业员工浏览器免受网络威胁,其平台通过强化浏览器、隔离JavaScript引擎、随机化内存地址等技术防御恶意攻击。该公司还能分析200多个网页数据点,识别勒索软件和钓鱼链接等威胁,并防止敏感数据泄露。CrowdStrike计划将其技术整合到Falcon平台中。
2026年企业或将重视AI安全风险评估
世界经济论坛《2026年全球网络安全展望》显示,实施AI工具安全风险识别方法的企业数量在一年内几乎翻倍,达到64%。94%的受访者认为AI将是2026年网络安全变化的最重要驱动因素,87%认为相关漏洞有所增加。地缘政治因素对64%企业的网络风险策略产生影响,连续多年位居榜首。
智能体AI安全防护:MCP协议与API密钥管控研讨会
AI智能体已从编写代码发展到执行代码阶段,Copilot等工具可在几分钟内完成软件构建、测试和部署全流程。然而这种高效率背后隐藏着安全风险:机器控制协议(MCP)作为决定AI智能体权限的核心层,一旦被入侵或配置错误,智能体就可能越权执行危险操作。CVE-2025-6514漏洞事件显示,受信任的OAuth代理成为远程代码执行路径,影响超50万开发者,证明了智能体AI的安全威胁。
恶意Chrome扩展冒充交易工具窃取MEXC API密钥
网络安全研究人员发现一款恶意Chrome扩展程序,名为MEXC API Automator,伪装成自动交易工具来窃取MEXC加密货币交易所的API密钥。该扩展会程序化创建新的API密钥,启用提现权限并在界面中隐藏该权限,然后将密钥和秘钥泄露给攻击者控制的Telegram机器人。一旦用户访问MEXC的API管理页面,扩展就会注入恶意脚本并在已认证会话中运行,使攻击者能够控制受害者账户进行交易和提现操作。
大规模网络钓鱼攻击窃取在线支付页面信用卡信息
网络安全研究人员发现一个自2022年1月以来持续活跃的大规模网络撇取攻击活动,目标锁定美国运通、大来卡、Discover、JCB、万事达卡和银联等主要支付网络。攻击者通过入侵合法电商网站和支付门户,注入恶意JavaScript代码来窃取用户在结账页面输入的信用卡信息。该撇取器具有检测网站管理员并自毁的功能,还能创建虚假Stripe支付表单替换真实表单,诱骗受害者输入信用卡详情。
n8n 供应链攻击利用社区节点窃取 OAuth 令牌
威胁行为者在npm注册表上传8个恶意包,伪装成n8n工作流自动化平台的集成组件来窃取开发者OAuth凭据。其中一个名为"n8n-nodes-hfgjf-irtuinvcm-lasdqewriit"的包模仿Google Ads集成,诱导用户在看似合法的表单中关联广告账户,然后将凭据传输到攻击者控制的服务器。这种攻击利用了工作流自动化平台作为集中凭据库的特点,能够获取多个服务的OAuth令牌和API密钥。
GoBruteforcer僵尸网络利用弱凭证攻击加密货币项目数据库
新一轮GoBruteforcer攻击专门针对加密货币和区块链项目的数据库,将其纳入僵尸网络,用于暴力破解Linux服务器上FTP、MySQL、PostgreSQL和phpMyAdmin等服务的用户密码。攻击利用了AI生成的服务器部署示例中的通用用户名和弱默认凭据,以及XAMPP等传统Web堆栈暴露的FTP和管理界面。该恶意软件采用Go语言编写,具备改进的持久化机制和进程掩蔽技术,能够进行暴力破解、托管恶意载荷并充当备用控制端点。
IT领导者2026年将面临的7大挑战
当今CIO面临多重期望:推动运营和业务战略,同时领导AI项目并平衡合规治理问题。IDC研究显示,CIO需证明自动化投资价值并管理相关成本。主要挑战包括:人才短缺和培训需求,AI集成从试验转向统一方法,快速扩展AI的治理问题,组织文化与技术变革的协调,成本控制与敏捷性平衡,网络安全威胁升级,以及CIO工作负荷增加。2026年将要求CIO成为业务领导者优先、技术专家其次的角色。
京公网安备 11010802021500号
