/
Oracle加快安全补丁发布节奏以应对AI网络安全威胁
Oracle宣布将其ERP、数据库等软件的安全补丁发布周期从季度改为月度,以应对AI加速发现软件漏洞带来的安全威胁。首个月度关键安全补丁更新(CSPU)将于5月28日发布,此后每月第三个周二发布。Oracle同时保留季度累积补丁更新机制。该公司借助OpenAI和Anthropic的Claude等AI模型,加速识别和修复漏洞。此次调整主要影响本地部署用户,云托管用户补丁将自动应用。
AI求职诈骗正在愚弄聪明人,你需要了解这些防骗技巧
AI求职诈骗正以惊人速度蔓延。据安全公司McAfee数据,2025年某三个月内,求职相关诈骗激增逾1000%。诈骗手段包括虚假职位列表、深度伪造视频面试及冒充招聘官等。专家建议:警惕过于诱人的薪资待遇、跨平台核实对方身份、拒绝预付款要求、开启多因素认证,并善用LinkedIn验证徽章、McAfee等AI防护工具,主动防范个人信息泄露风险。
微软智能体安全系统MDASH发现四个Windows高危漏洞
微软推出代号为MDASH的AI驱动漏洞发现系统,成功挖掘出16个此前未知的Windows网络与认证组件漏洞,其中包括四个已在本月补丁星期二中修复的严重远程代码执行漏洞。MDASH由微软自主代码安全团队开发,可协同100余个专业AI代理协作运行。该系统在公开基准测试CyberGym中以88.45%的得分位居榜首,目前已在微软内部使用,并向部分客户开放私人预览测试。
人工智能需求持续增长,助推思科业绩再超预期
思科系统本季度调整后每股收益1.06美元,高于华尔街预期的1.04美元;营收同比增长12%至158.4亿美元,超出市场预期。净利润达33.7亿美元,同比大幅提升。CEO罗宾斯透露,公司今年来自AI基础设施领域的订单已达53亿美元,全年预计超90亿美元。与此同时,思科宣布裁员不足4000人,并完成对以色列网络安全公司Astrix Security及AI可观测性初创公司Galileo Technologies的收购。
黑莓押注安全通信:量子加密与政府市场双线布局
曾以企业智能手机闻名的黑莓公司,历经十年转型后再度聚焦,将战略重心集中于政府与关键基础设施的安全通信。公司已完成出售Cylance端点安全业务,全力推进军事级加密通信、嵌入式软件及危机管理解决方案。面对AI驱动的深度伪造攻击和量子计算威胁,黑莓承诺在一年内实现全产品线的抗量子加密升级。其QNX嵌入式系统已搭载于全球逾2.75亿辆车辆,亚太区业务也持续扩展。
vm2 JavaScript沙箱发现13个严重漏洞,可执行任意代码
研究人员在vm2 JavaScript沙箱库中发现13个严重漏洞,攻击者可借此突破容器限制并在宿主系统执行任意命令。其中CVE-2026-26956可在特定Node.js 25与WebAssembly组合环境下完全逃逸沙箱,CVE-2026-44007则通过nesting:true配置选项触发权限控制缺陷。安全研究人员建议开发者立即升级至vm2 3.11.2版本,并考虑将不可信代码迁移至Docker容器或V8 Isolates等更强隔离方案中运行。
ClickFix已成2025年Mac感染主要方式,专家深度解析其威胁
本期Security Bite播客邀请macOS逆向工程师Christopher Lopez与MacPaw Moonlock Lab研究员Kseniia Yamburkh,深入剖析ClickFix社会工程攻击技术。该技术已导致2025年近半数网络安全事件,嘉宾探讨了受害者画像、攻击爆发原因、Mac恶意软件在2026年的演变趋势及当前安全威胁格局。
Venmo隐私问题在被曝光八年后终于迎来修复
数字支付应用Venmo长期存在隐私问题——用户交易记录、附带消息及联系人默认对外公开。早在2018年,安全研究人员就通过API获取了大量用户个人数据,此问题引发广泛关注。2024年该漏洞再度曝光,涉及美国政界人士的社交关系网络。如今,母公司PayPal终于着手改变默认隐私设置,新用户发帖将默认仅对好友可见,新版应用将在未来数周内陆续推出。
AI网络攻击或将引发全球金融危机,IMF发出严重警告
国际货币基金组织(IMF)警告,AI驱动的网络攻击可能引发全球金融危机。金融系统对共享云服务的高度依赖,使单一漏洞可能波及多家机构。Anthropic推出的AI模型Mythos能大规模识别软件漏洞,甚至非专业人士也可利用其发动攻击,引发广泛担忧。IMF呼吁各国加强国际合作与监管,并强调金融机构须建立健全的网络韧性策略与实时风险可见性,方能有效应对日益升级的AI网络威胁。
荷兰量子技术领先,但量子安全防护严重滞后
荷兰审计法院近期报告显示,虽然荷兰在量子研究领域处于欧洲领先地位,并已累计投入6.15亿欧元建设量子生态系统,但71%的政府机构尚未采取任何措施应对量子计算机对现有加密体系的潜在威胁。荷兰情报部门警告,"Q日"(量子计算机可破解现有非对称加密的时间节点)最早可能于2030年到来。报告指出,主要障碍在于技术能力不足、专业人才匮乏以及缺乏紧迫感。
iOS 26.5 修复逾50个安全漏洞,详细信息一览
苹果今日发布iOS 26.5、iPadOS 26.5、macOS 26.5及watchOS 26.5等系统更新。其中iOS 26.5单项即修复超过50个安全漏洞。即便对新功能兴趣不大,出于安全考量也建议及时升级。此外,苹果还为旧版系统发布了安全更新,其中iOS 18.7.9包含多项修复,其他旧版iOS/iPadOS则主要修复一项通知漏洞,防止已删除通知被恢复。
Linux再现高危漏洞"Dirty Frag",可绕过权限获取Root访问
Linux系统再度曝出严重安全漏洞"Dirty Frag",允许低权限用户获取服务器root权限,尤其对多租户共享环境威胁极大。该漏洞由两个CVE编号漏洞链式组合而成,利用内核页缓存处理缺陷实现提权,且利用代码已公开泄露,可稳定复现于几乎所有Linux发行版。微软已发现黑客在野利用迹象。目前Debian、AlmaLinux、Fedora等发行版已发布补丁,建议用户立即更新。
谷歌阻止了一场疑似由AI辅助开发的零日漏洞攻击
Google威胁情报小组(GTIG)近期发现并阻止了一起由AI辅助开发的零日漏洞攻击。攻击者原计划利用该漏洞对某开源网页管理工具发动大规模攻击,绕过双因素验证。研究人员在漏洞利用脚本中发现了AI参与的痕迹,包括"幻觉式CVSS评分"和符合LLM训练数据风格的代码格式。Google同时警告,黑客正日益借助AI寻找安全漏洞,并通过"角色扮演越狱"等手段操控AI执行攻击任务。
Linux内核维护者提议引入"熔断开关"以应对零日漏洞防护需求
Linux内核维护者Sasha Levin提议引入"终止开关"机制,允许特权操作员在零日漏洞补丁发布前,临时禁用存在缺陷的内核函数,以减少系统暴露风险。该提议引发安全社区激烈争论:支持者认为其能有效填补补丁部署前的安全空窗期;反对者则担忧管理员可能以此替代正式补丁,或因误操作导致系统崩溃。红帽公司表示支持该提议,认为非中断性缓解措施对大规模运营至关重要。
Versa Networks以CSPM、编排更新与AI智能体管控应对企业安全碎片化难题
Versa Networks针对企业安全碎片化问题,为其VersaONE平台推出三项协同更新:云安全态势管理(CSPM)将云端风险可视化与访问安全统一呈现;Concerto 13.1.1编排平台重构SD-WAN配置体验,统一安全与认证策略;AI智能体信任与验证框架将于5月底上线,对AI代理实施策略级访问控制。调查显示,99%企业将融合列为战略重点,但仅30%付诸实施,73%表示集成复杂度曾拖延关键项目。
OpenAI发布Daybreak安全智能体,直面Anthropic Claude Mythos挑战
OpenAI正式发布Daybreak安全AI计划,专注于在攻击者发现漏洞之前完成检测与修复。Daybreak整合了GPT-5.5-Cyber与Codex Security等多个AI模型,可基于企业代码构建威胁模型,识别潜在攻击路径并自动检测高风险漏洞。此举被视为对竞争对手Anthropic旗下安全AI项目Claude Mythos的直接回应。OpenAI表示,Daybreak将联合行业与政府合作伙伴,逐步部署更强网络安全能力的AI模型。
AI发现PostgreSQL与MariaDB中潜伏20年的安全漏洞
安全研究人员借助AI驱动的安全分析工具"Xint Code",在PostgreSQL和MariaDB中发现了多个高危及严重漏洞,其中两个漏洞已潜伏超过20年。漏洞包括pgcrypto扩展中的堆缓冲区溢出(CVE-2026-2005)、缺失验证漏洞(CVE-2026-2006)及MariaDB JSON模式验证逻辑中的缓冲区溢出(CVE-2026-32710),均可能导致远程代码执行。目前两款数据库已发布补丁,官方强烈建议用户立即升级至修复版本。
Mozilla:Mythos发现的271个漏洞"几乎没有误报"
Mozilla工程师历时两个月,借助Anthropic的AI漏洞检测模型Mythos,在Firefox中发现271个安全漏洞,其中180个属于最高级别"高危"漏洞。此次成功的关键在于两点:模型自身能力的提升,以及Mozilla专为Firefox开发的自定义"harness"框架。该框架引导AI模型访问与人类开发者相同的工具链,并通过第二个LLM对结果进行验证,实现了"几乎零误报"的效果。
GitHub高危RCE漏洞曝光,数百万代码仓库面临风险
GitHub近日修复了一个高危远程代码执行漏洞(CVE-2026-3854),CVSS评分8.8。该漏洞由Wiz研究人员发现,攻击者可通过构造恶意git push请求,利用GitHub后端X-STAT组件的命令注入缺陷执行任意代码。在GitHub.com上,该漏洞可访问数百万公私有仓库;在企业自托管环境中,可导致服务器完全沦陷。值得关注的是,此漏洞借助AI辅助逆向工程工具IDA MCP发现,是首批通过AI识别的闭源二进制关键漏洞之一。
ESET安全专家:不必惧怕"AI终结者",但需警惕智能体风险
ESET首席安全布道师安斯科姆指出,AI并非直接发动网络攻击,黑客目前更多利用AI自动化钓鱼邮件、仿冒高管信息等低成本手段。真正的隐患在于AI智能体的权限管理——企业应像约束员工访问权限一样管理AI智能体,防止其扩大攻击面。此外,员工将敏感数据输入公共AI工具的行为同样存在合规风险。CISO角色也正从技术岗向业务运营方向转变。
京公网安备 11010802021500号
