/
GitHub不到六小时内紧急修复高危漏洞
GitHub工程团队在不到六小时内修复了一个严重的远程代码执行漏洞。该漏洞由Wiz Research借助AI模型发现,存在于GitHub内部Git基础设施中,一旦被利用可能导致数百万公私有代码仓库遭到入侵。GitHub首席信息安全官表示,安全团队在40分钟内完成漏洞复现并确认危险级别,随后迅速部署修复方案,且经法证调查确认漏洞未曾被实际利用。
Firestarter后门病毒侵袭Cisco防火墙,断电重启是唯一清除手段
安全研究人员发现一种针对思科防火墙的持久性后门恶意软件"Firestarter",可在设备打补丁后仍保持驻留。该软件通过注册终止信号回调函数实现自动重启,即使固件更新也无法清除。CISA与英国NCSC联合建议:受感染设备须从所有电源(含冗余电源)完全断电至少一分钟,方可清除恶意软件。目前已确认受影响的包括多款思科Firepower及Secure Firewall系列设备。
CISA被排除在Anthropic Mythos访问名单之外,未授权用户却已抢先体验
美国网络安全和基础设施安全局(CISA)尚未获得Anthropic旗下漏洞检测AI模型Claude Mythos的访问权限,而其他政府机构却已获准使用。更令人担忧的是,据彭博社报道,一个专注于获取未发布AI模型信息的私人Discord频道成员已非法访问了Mythos,且并非用于网络安全目的。Anthropic通过"Project Glasswing"计划,将Mythos预览访问权限制在特定政府机构、行业团体和软件供应商范围内。
监控供应商滥用电信网络追踪手机位置曝光
安全研究人员发现两起独立的监控活动。监控供应商伪装成合法电信商,利用SS7和Diameter等全球电信基础设施的已知漏洞,甚至发送静默短信,秘密追踪目标的手机位置。研究人员称这只是该类滥用行为的冰山一角。
英国NCSC建议企业默认向客户提供通行密钥
英国国家网络安全中心(NCSC)建议企业将通行密钥作为消费者的默认身份验证方式。NCSC表示,通行密钥比传统密码更安全便捷,能有效抵御网络钓鱼攻击。虽然全面淘汰密码仍需时间,但这一转变将显著提升网络安全。不支持的服务仍建议使用密码管理器。
劳埃德银行再向1625名客户赔偿,数据泄露事件引发关注
劳埃德银行集团因旗下应用程序编程错误,导致部分客户可查看他人交易记录,已向额外1625名受影响客户支付赔偿,累计赔付金额达20.1万英镑,涉及5250名客户。此次事件共波及约44.7万名客户,另有8万名联名账户持有人受到波及。银行表示,事件发生后未发现欺诈案例显著增加。此前英国财政部委员会已要求各大银行就IT故障问题作出说明,数据显示2023年至2025年初英国九大银行共发生至少158次IT故障。
Claude Mythos发现Firefox 271个漏洞,开启AI安全新纪元
Anthropic旗下Claude Mythos Preview模型在Firefox 148版本中发现271个安全漏洞,全部已在Firefox 150中修复。相比此前Claude Opus 4.6仅发现22个漏洞,Mythos的表现超出十倍以上。安全专家指出,AI漏洞发现能力已达到与人类研究员同等水平,有望帮助防御方打破长期以来攻强守弱的不对称局面。与此同时,Mythos遭未授权访问事件也警示业界:AI系统本身已成为高价值攻击目标。
微软携手Anthropic Mythos强化安全软件开发流程
微软计划将Anthropic的Mythos AI模型整合到其安全开发生命周期(SDL)中,标志着前沿AI正式进入核心网络安全工作流程。Mythos能够发现主流操作系统和浏览器中数千个严重漏洞,显著缩短漏洞发现与利用之间的时间窗口。分析人士指出,此举将推动软件供应商重构产品开发方式,AI辅助安全工具的普及压力也将逐步扩展至更多企业。
医疗与公用事业科技公司相继披露数据遭入侵事件
智能电表及能源管理技术供应商Itron与医疗设备巨头美敦力(Medtronic)近期相继向美国证券交易委员会披露遭遇网络入侵事件。Itron于4月13日发现未经授权的第三方入侵,公司已联系执法机构并启动调查,目前未发现后续异常活动,预计相关损失将由保险公司报销。美敦力方面则遭黑客组织ShinyHunters声称窃取逾900万条个人信息记录,并提出勒索要求。两家公司均表示核心业务运营未受影响。
npm注册表中发现恶意pgserve与automagik开发工具
安全研究人员警告,npm JavaScript注册表中出现了pgserve和automagik的恶意版本。下载这些版本将导致AWS、Azure、GCP凭证、SSH密钥、加密钱包及浏览器密码被窃取,恶意软件还会自我传播至其他已连接设备。据悉,受攻击版本与供应链蠕虫病毒CanisterWorm具有相似特征。安全专家建议开发者立即轮换所有凭证,禁用npm自动postinstall脚本执行,并对发布令牌实施最小权限原则。
Claude Mythos Preview发现大量安全漏洞,代码安全防护迎来新挑战
Anthropic旗下Claude Mythos Preview模型已识别出数千个高危及严重漏洞,涵盖主流操作系统和浏览器。为此,Anthropic发起Project Glasswing项目,联合AWS、苹果、谷歌、微软、英伟达等科技巨头共同应对AI驱动的网络安全威胁。专家指出,尽管AI在发现代码漏洞方面表现出色,但仍存在误报率高等问题,需构建多层验证机制,并保持人类专家全程参与,才能实现安全可靠的漏洞检测与修复。
网络安全从业者薪资停滞,工作量却持续攀升
据招聘机构Harvey Nash最新数据,2025年网络安全专业人员在IT行业薪资增长中最受忽视。全球71%的安全从业者遭遇薪资停滞,英国更高达77%。尽管网络安全岗位位列科技行业需求前三,但从业者职场满意度却排名垫底。Harvey Nash CIO指出,安全团队工作成效反而滋生了管理层的自满情绪,叠加AI带来的威胁扩大、工作压力持续增加,正驱动大量人才流失。
Anthropic代码安全模型Mythos:潜力与局限并存
Anthropic推出的AI代码安全模型Mythos能够自动化识别代码漏洞,在已知漏洞类型的检测上表现出色,但对未知漏洞的发现能力有限。目前该工具通过"玻璃翼计划"限定可信合作伙伴使用。文章认为,随着AI工具持续演进并逐步普及,代码安全将类似航空安全的发展轨迹——从充满隐患逐步走向系统性可控,人机协作将是未来安全体系的核心模式。
谷歌云 Next 大会印证了我们的判断:一切皆 AI
Google Cloud Next大会近日落幕,AI成为绝对主角。谷歌发布第八代Tensor芯片,分推理与训练两款版本;推出全新AI安全代理;并将Vertex AI平台更名为Gemini企业代理平台,打造AI代理统一管理空间。此外,Anthropic网络安全AI模型Mythos遭非授权访问事件引发关注,早期测试结果显示其实际能力或被过度吹捧。
黑帽亚洲大会:隐私保护与网络安全密不可分
在新加坡举行的Black Hat Asia 2026开幕主题演讲中,调查记者兼作家Violet Blue指出,隐私保护并非网络安全的附属议题,而是其核心组成部分。她警告称,监控资本主义不仅侵蚀隐私,更会制造攻击面,数据经纪商、广告SDK均构成供应链风险。她援引MGM Resorts、23andMe等真实事件说明,个人信息泄露往往是攻击的切入点,并呼吁从个人数据防护转向集体数据治理。
AI生成代码正在给安全团队带来新挑战
安全测试公司ProjectDiscovery发布报告指出,企业大量使用AI编写代码正带来严重安全隐患,许多组织对此尚未做好应对准备。调查显示,仅38%的网络安全从业者能跟上AI带来的代码审查量增长,近60%表示压力持续加大。安全人员最关注的风险包括:企业机密泄露(78%)、供应链安全(73%)及业务逻辑漏洞(72%)。该报告基于对北美和西欧200名网络安全专业人员的调查。
微软远程桌面安全更新上线,但警告消息显示异常
微软针对远程桌面(RDP)的钓鱼防护更新已正式推出,用户打开.rdp文件时将看到连接设置安全警告。然而,部分用户反映警告界面显示异常,出现文字重叠或按钮被遮挡的问题,影响实际安全效果。该问题已被列入已知缺陷列表,主要发生在使用多显示器且缩放比例不同的环境中。微软建议统一各显示器缩放设置作为临时解决方案,并承诺在未来更新中修复。此外,微软还发现.NET 10.0.6存在权限提升漏洞(CVE-2026-40372),并紧急发布带外更新。
青少年网络安全之战:这场拉锯为何看不到尽头
一名13岁男孩在Snapchat上遭性trafficker胁迫拍摄裸照,相关内容在Twitter上获得逾16.7万次浏览。这一事件折射出青少年网络安全的严峻现实。近年来,Meta和谷歌相继在美国法院被判赔偿,监管压力持续上升。围绕《儿童网络安全法》、年龄验证机制及社媒禁令,政府、科技公司、家长与公民团体争议不断,隐私保护与言论自由的权衡让问题更加复杂,至今仍无定论。
BT与NCSC合作拦截超10亿次恶意网站点击
英国电信BT与移动运营商EE借助国家网络安全中心(NCSC)提供的情报,已成功拦截超过十亿次恶意网站访问。NCSC的"共享与防御"计划去年启动,覆盖4600万手机用户及1200万固定宽带用户,可防范恶意代码、恶意软件及网络钓鱼攻击。该计划向BT、EE及VodafoneThree等电信运营商提供威胁预警,并支持合作伙伴根据自身风险评估选择封锁相应恶意站点。
Claude Mythos在Firefox中发现271个漏洞,开启AI安全新时代
Anthropic旗下Claude Mythos Preview模型在Firefox 148版本中发现了271个安全漏洞,远超此前Claude Opus 4.6发现的22个,相关漏洞已在Firefox 150中全部修复。专家指出,AI正以超越传统人工审查的规模和深度推动漏洞发现,有望帮助防御方扭转长期处于被动的局面。然而,Mythos遭未授权访问事件也揭示了AI工具的双刃剑本质——AI系统本身已成为高价值攻击目标。
京公网安备 11010802021500号
