/
AI赋能制裁规避:企业IT治理面临的新挑战
一份来自英国皇家联合军种研究所(RUSI)的最新报告警告称,未来三至五年内,AI技术正从"辅助"制裁规避演进为"主导"制裁规避。报告指出,AI已能批量生成高质量伪造文件、自动管理壳公司网络,并实时分析区块链模式以规避监测。专家建议企业IT管理者引入防御性AI、行为分析工具,并强化身份验证机制,将其视为信任架构问题而非单纯的制裁筛查问题。
智能体助力Cato将新CVE漏洞"防护响应时间"压缩至45分钟
安全访问服务边缘(SASE)厂商Cato Networks宣称创下漏洞缓解新纪录,通过智能体威胁情报技术将新发现CVE的"防护响应时间"压缩至仅45分钟。传统设备安全依赖缓慢的补丁周期,可能耗时数周,而Cato的云原生架构已将其压缩至数小时。如今借助AI智能体,Cato实现了从漏洞监测、威胁特征开发到全球云平台自动部署的全流程自动化,以机器速度应对快速演变的网络威胁。
Meta AI客服聊天机器人遭黑客利用,多个名人Instagram账号被盗
Meta的AI客服聊天机器人被黑客利用,成为窃取高价值Instagram账号的工具。黑客只需使用VPN伪装位置,发起密码重置流程,再提示AI客服更改账号关联邮箱,即可完成账号劫持。被盗账号在灰色市场估值高达数百万美元。奥巴马白宫账号等知名账号曾短暂失陷并发布亲伊朗内容。Meta已于5月29日紧急修复该漏洞。安全研究人员指出,启用多因素认证可有效防御此类攻击。
红帽官方NPM渠道遭入侵,数十个软件包被植入后门
安全研究人员发现,红帽官方NPM账户遭到黑客入侵,攻击者借此推送了一个可在机器间自我传播的恶意蠕虫病毒,专门窃取敏感凭据。此次供应链攻击自本周一开始,影响逾30个软件包。恶意载荷在npm安装阶段即可执行,可收集GitHub、Kubernetes、云服务等多类凭据,并通过感染设备向第三方账户扩散。红帽表示已删除相关恶意包,且未发现客户环境受影响。
CVE Lite CLI:在AI加速编码时代,坚守无AI的安全扫描工具
在AI编程助手加速软件开发的背景下,OWASP旗下开源项目CVE Lite CLI另辟蹊径,坚持以确定性算法而非AI进行依赖漏洞检测。该工具专注于JavaScript和TypeScript本地锁文件分析,支持npm、pnpm和Yarn,能在开发者编写代码时即时发现依赖风险,而非等到CI流水线失败后才报警。工具提供直接与传递性漏洞分离、修复路径推荐等功能,现已成为OWASP官方项目。
2026年第一季度Mac恶意软件威胁态势全面回顾【正常】
2026年第一季度Mac威胁态势相对平静,但ClickFix社会工程技术已成为Mac恶意软件传播的主要方式,占攻击的47%。攻击者通过伪造CAPTCHA、虚假磁盘清理页面、恶意广告等手段诱导用户在终端执行恶意命令。苹果在macOS Tahoe 26.4中引入了终端粘贴警告功能,但攻击者很快找到绕过方法,安全对抗持续升级。
欧洲央行警告银行注意AI带来的新风险
欧洲央行召集主要银行举行紧急会议,警告先进AI模型带来的新型网络安全风险。央行督导委员会副主席表示,银行必须大幅提升安全更新的安装速度。新型AI工具能够比以往更快地识别和利用安全漏洞。例如Anthropic的Claude Mythos Preview模型已检测出数千个操作系统和浏览器的严重漏洞。欧洲银行因缺乏相关技术而更加脆弱,而部分美国银行已开始测试。
微软批评不负责任的漏洞披露行为
一名安全研究员未经事先通知,直接公开发布了微软产品中六个零日漏洞的概念验证代码,微软对此强烈谴责,称此举使客户面临"不必要的风险"。涉及漏洞包括Windows Defender的权限提升、拒绝服务漏洞及BitLocker安全绕过等。业内人士指出,传统的协调漏洞披露机制正面临压力,微软今年前五个月已修补逾500个CVE漏洞,安全团队需立即采取主动防御措施。
谷歌员工因利用内幕信息在Polymarket获利逾百万美元遭逮捕
谷歌信息安全工程师Michele Spagnuolo因利用公司内部保密信息,在预测市场平台Polymarket上押注谷歌2025年度搜索热词结果,获利约120万美元,随后遭到逮捕。他提前获知歌手"d4vd"将成为年度搜索热度最高人物,并刻意掩盖资金来源。谷歌表示已将其停职,并配合执法机构调查。Spagnuolo目前面临电信欺诈、洗钱及商品欺诈等多项指控。
量子计算时代将至,企业安全防护远未做好准备
量子计算正在重塑未来,但也带来前所未有的安全威胁。目前已有逾40款量子处理器商用,但尚未达到企业级应用标准。量子计算凭借强大的并行处理能力,将能破解现有主流加密算法。专家建议企业尽快从128位升级至256位加密,并启动量子安全迁移计划。预计本世纪末,量子计算机将对全球经济所依赖的加密体系构成实质威胁,企业须提前5至10年布局应对。
嘉年华邮轮证实遭ShinyHunters黑客组织入侵,近600万用户数据泄露
全球最大邮轮运营商嘉年华集团确认,2026年4月遭遇系统入侵,幕后黑手为臭名昭著的ShinyHunters黑客组织。攻击源于供应链漏洞,黑客通过网络钓鱼获取第三方账户权限,窃取近600万条乘客数据,涉及姓名、出生日期、护照及驾照信息等。嘉年华承诺为受影响的美国用户提供两年免费信用监控服务,并强调将持续强化IT安全管控体系。
英国GCHQ五年内建成AI国家网络防御盾牌
英国政府通信总部(GCHQ)宣布,计划在五年内建成基于AI智能体的国家网络防御系统,用于保护能源、医疗、交通等关键基础设施。该系统将以"机器速度"识别并修复安全漏洞。GCHQ还积极应对俄罗斯的混合攻击威胁,并推进量子安全加密技术研发。此外,GCHQ强调技术主权不等于"纯本土制造",应在管理供应链依赖的前提下充分利用全球最优技术。
FBI就Kali365 OAuth Token窃取攻击发出安全警告
FBI近日发出警告,提示一种名为Kali365的工具正被网络犯罪分子用于发动新型网络钓鱼攻击。该工具可获取Microsoft 365的OAuth访问令牌,绕过多重身份验证(MFA)机制,无需截取用户凭据即可入侵账户。攻击者通过伪装成可信云服务的邮件,诱导用户在微软官方页面输入特定代码,从而授权攻击者访问账户。FBI已向IT安全管理人员发布防范指南,建议配置条件访问策略并阻止认证转移。
影子IT的风险、现状与管理策略
影子IT指员工未经IT部门批准而使用的工具和服务。调查显示57%的中小企业存在此现象。这类工具可能绕过安全审查,导致数据泄露、访问失控和合规风险。企业可通过发现梳理、策略管控和企业浏览器等手段,在不阻碍工作效率的前提下,实现对影子IT的可见性管理和数据流动控制,平衡安全与业务需求。
IBM与红帽携手推出50亿美元Lightwell项目,强化开源软件安全
IBM与旗下红帽公司宣布启动"Project Lightwell"开源安全计划,承诺投入50亿美元,并调派逾2万名工程师参与。该项目将利用AI技术扫描开源项目中的漏洞,为企业使用的特定版本开源组件开发并回移补丁,使企业无需升级至最新版本即可完成修复。此外,双方还将建立"可信中间方框架",促进漏洞信息共享。该计划覆盖范围将超越红帽自有产品组合,延伸至更广泛的开源生态系统。
Anthropic表示Mythos级AI模型即将向公众开放
Anthropic近日发布了Claude Opus 4.8,称其在基准测试中优于Opus 4.7,减少了无依据的断言,并更准确地表达不确定性。与此同时,公司透露其Mythos级模型将在数周内向所有用户开放。目前,Mythos Preview仅限合作伙伴和网络安全专家访问,因其网络安全能力极强,已帮助Mozilla Firefox修复逾200个漏洞。不过,该模型运行成本高昂,约为前代Opus模型的30倍,这在一定程度上限制了其被滥用的风险。
GitHub漏洞赏金计划收紧标准,低质AI报告或只能获得周边礼品
GitHub宣布收紧漏洞赏金计划标准,原因是AI工具的普及导致低质量提交量激增。大量报告缺乏概念验证或明确的安全影响证明。针对低风险发现,GitHub将以周边商品替代现金奖励。GitHub强调,AI辅助研究本身仍受欢迎,但研究人员须对提交内容的准确性负责。此前,开源项目cURL已因类似问题关闭其漏洞赏金计划。GitHub同时澄清了平台安全边界的相关误区,明确提示注入攻击等通常不在赏金范围之内。
StarHub推出全球首创SIM卡身份认证系统,实时管控AI智能体行为
新加坡电信运营商星和(StarHub)正在开发一项全球首创的基于SIM卡的AI治理服务,计划于今年年中启动试验。该服务通过为用户设备上运行的每个AI代理分配唯一实时身份标识,实时监控其通信行为与数据共享情况,并在AI代理出现恶意行为时即时切断连接。除消费端外,该方案还面向自动驾驶、手术机器人、工业制造等关键基础设施场景,并计划推出"AI信任套餐",为数据泄露事件提供保险保障。
Glassworm僵尸网络被成功摧毁
CrowdStrike、谷歌与Shadowserver基金会于5月26日联合摧毁了Glassworm僵尸网络。该网络长达18个月,通过伪装成VSCode扩展、恶意npm和Python包等手段,入侵超过300个GitHub仓库,并部署GlasswormRAT远程木马。其C2架构融合区块链、BitTorrent和谷歌日历等多渠道,极具隐蔽性。此次精准打击同步切断所有控制通道,为开源供应链安全防护树立了协作打击新范本。
苏格兰社会企业为国家网络安全贡献力量
苏格兰网络欺诈中心作为一家社会企业,过去一年向全国网络安全项目投入逾300万英镑支持。该机构于2025年1月转型为社会企业模式,将专业网络服务产生的利润再投入社区网络韧性建设。过去12个月,该中心提供了价值140万英镑的安全培训、4.5万英镑的免费网络"体检",协助700余名诈骗受害者防止或追回约160万英镑损失,并阻止了10起DDoS攻击。
京公网安备 11010802021500号
