/
前沿AI与漏洞修复日碰撞,网络安全迎来"漏洞海啸"
微软4月补丁星期二发布逾160个漏洞修复,规模创历史第二。与此同时,Anthropic推出Project Glasswing项目,其前沿AI模型Claude Mythos据称已发现"数千"个关键漏洞,引发业界对AI加速漏洞挖掘的广泛讨论。专家警告,AI正在使漏洞发现更快、更廉价,企业需将安全纳入产品全生命周期,建立自动化漏洞响应能力,并加快补丁修复节奏,以应对日益严峻的威胁形势。
Mythos AI是什么?为何对全球网络安全构成威胁
Anthropic因旗下最新AI模型Mythos存在网络安全风险,决定不对外公开发布。然而,这家Claude聊天机器人背后的美国科技公司周三证实,正在调查一起有关未授权访问Mythos的报告。此事件引发外界对AI开发速度以及科技公司能否有效管控高风险产品的广泛担忧。
英国本地关键基础设施:网络安全韧性建设的缺失环节
网络安全公司TrendAI网络战略总监Jonathan Lee指出,英国支撑地方议会服务、社会护理及本地交通的关键基础设施,正被政府和企业的网络韧性规划所忽视。他警告称,伦敦、大曼彻斯特等城市区域可能同时遭受多起网络攻击,严重影响居民生活与公共服务。尽管《网络安全与韧性法案》正在推进,但地方基础设施的保护仍相对滞后,亟需更系统的顶层指导与强制性合规机制。
GitHub CLI悄然默认开启遥测数据收集,用户如何关闭?
微软旗下GitHub近期在未发布正式公告的情况下,悄然为命令行工具(CLI)默认启用了匿名遥测数据收集功能。收集的数据包括设备ID、操作系统、命令名称等元数据,官方称此举旨在了解功能使用情况并优化产品,同时提升对AI代理的支持。用户可通过设置环境变量`GH_TELEMETRY=false`或执行`gh config set telemetry disabled`命令选择退出。
Anthropic最危险AI模型遭未授权人员访问
Anthropic专为网络安全设计的高危AI模型Mythos,被一小群未经授权用户通过第三方承包商权限及网络侦查工具非法获取访问权限。该模型能够识别并利用主流操作系统和浏览器漏洞,官方仅向英伟达、谷歌、苹果等少数企业开放测试。非法访问发生于4月7日,涉事群体通过Mercor数据泄露事件获取的信息推断出模型位置,并已持续使用约两周。Anthropic表示正在调查此事件。
Firefox 150更新修复271个安全漏洞,AI功臣是Claude Mythos
Firefox 150正式发布,此次更新不仅强化了分屏浏览、标签管理、语言翻译及内置PDF编辑器等核心功能,更借助Anthropic的Claude Mythos AI模型,一举修复了创纪录的271个安全漏洞。相比以往每次更新仅修复数十个漏洞,此次成果显著提升。该AI模型能够快速高效地识别各类安全缺陷,覆盖范围与人工排查相当,为网络安全防御带来重要突破。
Anthropic"超危险"漏洞猎手模型Mythos实为虚张声势
Anthropic推出的漏洞检测模型Mythos被宣传为极度危险而限制公开,但早期评测显示其能力被严重夸大。该模型通过Project Glasswing项目向特定合作伙伴开放,却因第三方供应商环境存在安全漏洞而遭未授权访问。来自Mozilla和AWS的测试结果表明,Mythos虽能快速发现漏洞,但尚未超越顶级人类安全研究员的水平。多位安全专家指出,Anthropic关于"数千个高危漏洞"的声明存在夸大,攻击者无需Mythos即可完成漏洞挖掘工作。
Sam Altman批评Anthropic网络安全模型Mythos:这是"恐惧营销"
OpenAI首席执行官萨姆·奥特曼近日在播客节目中公开批评竞争对手Anthropic推出的网络安全模型Mythos,称其采用"恐惧营销"策略。Anthropic以Mythos过于强大、可能被网络犯罪分子利用为由,仅向少数企业客户开放。奥特曼讽刺称,这种营销方式旨在将AI控制在少数精英手中,并将其比作"造了炸弹再卖防空洞"。事实上,利用恐惧叙事推广AI产品并非Anthropic独创,奥特曼本人也曾发表过类似言论。
谷歌发布更多AI安全智能体,助力企业抵御网络威胁
谷歌云首席运营官Francis deSouza将公司安全战略概括为"以AI对抗AI"。在2026年Google Cloud Next大会上,谷歌发布了多款AI安全智能体,包括威胁猎取智能体、检测工程智能体和第三方上下文智能体。此外,收购Wiz带来的AI物料清单(AI-BOM)功能,可帮助识别AI生成代码中的安全风险。谷歌还推出Gemini企业智能体平台和Agent Gateway服务,实现对AI智能体的统一身份管理与策略执行。据谷歌-Mandiant报告,网络攻击"交接"时间已从8小时缩短至22秒,AI驱动的安全防御已迫在眉睫。
Mozilla:Anthropic的Mythos在Firefox 150中发现271个安全漏洞
Mozilla近日发文披露,借助Anthropic提供的早期访问权限,其AI模型Mythos Preview在Firefox 150发布前预先识别出271个安全漏洞。相比之下,此前Opus 4.6模型分析Firefox 148时仅发现22个漏洞。Firefox CTO Bobby Holley表示,Mythos的能力与顶尖安全研究人员相当,可大幅降低漏洞发现成本,使网络防御方获得决定性优势。Mozilla同时呼吁,开源项目维护者也应尽快获得此类AI工具的访问权限。
Zero Networks推出AI分段功能,填补网络执行层面的安全漏洞
Zero Networks成立于2019年,致力于以无代理、自动化的方式实现微分段,无需在受管资产上部署专用代理或手动创建策略。随着AI智能体在企业环境中的普及,该公司推出了AI Segmentation功能,可对AI智能体行为进行最小权限管控,阻止未经授权的云AI服务访问,并应对AI驱动的横向移动攻击。平台通过自动学习AI智能体的正常行为模式,一旦发现异常连接即时拦截并告警。
Mozilla借助Claude Mythos修复了Firefox中的271个安全漏洞
Mozilla近日分享了使用Anthropic旗下Claude Mythos Preview模型的实际成果:在最新版Firefox浏览器中,该AI帮助团队发现并修复了271个安全漏洞。Mozilla表示,目前尚未发现任何人类能找到而该模型无法识别的漏洞类型。这一成果为Anthropic的Project Glasswing计划提供了有力的第三方背书。Mozilla同时指出,AI目前并不能发现超越人类能力的漏洞,只是效率更高。
Anthropic专属网络安全工具Mythos疑遭未授权用户访问
据报道,一群未授权用户通过第三方供应商获取了Anthropic旗下网络安全工具Mythos的访问权限。Mythos是面向企业安全设计的AI产品,Anthropic曾警告其若落入不法之手可能成为黑客工具。Anthropic发言人表示正在调查此事,目前尚未发现未授权访问对公司系统造成影响。该群体通过Discord频道协作,据称在Mythos公开发布当天即成功获得访问权限,并向彭博社提供了截图及实时演示作为证明。
Mythos AI在Firefox中发现271个漏洞,与人类研究员能力相当
Mozilla基金会测试了Anthropic的漏洞检测AI模型Mythos,在Firefox 150中发现271个安全漏洞,远超此前22个的记录。Mozilla CTO Bobby Holley对此喜忧参半:一方面担忧修复压力,另一方面认为这标志着安全防御者迎来转机。他指出,Mythos的能力与顶级人类安全研究员相当,目前尚未发现人类能找到而AI找不到的漏洞类别。他认为,AI将漏洞发现成本大幅降低,有助于打破攻防不对称格局,让防御方真正占据优势。
Azure SRE智能体高危漏洞:外部攻击者可无声监听企业云操作全过程
微软Azure SRE Agent被曝高危身份验证漏洞(CVE-2026-32173,CVSS评分8.6),由Enclave AI研究员Yanir Tsarimi发现。该漏洞源于服务的多租户Entra ID应用配置缺陷,任意租户账户均可获取有效令牌并接入/agentHub端点,从而在无需授权的情况下静默监听企业云操作,包括用户指令、代理响应、执行命令及凭据等敏感信息。目前微软已完成服务端修复,无需客户操作。
Vercel遭AI辅助黑客入侵:OAuth滥用与员工账号失窃引发安全危机
Vercel CEO Guillermo Rauch表示,公司近期遭受的网络入侵事件可能有AI协助。攻击者通过Context.ai员工账户,劫持其Google Workspace访问权限,进而深入公司系统并获取环境变量数据。Hudson Rock研究人员指出,此次攻击源于今年2月的Lumma信息窃取恶意软件感染。目前受影响客户数量有限,Vercel已联系相关用户并建议轮换凭证。Mandiant正协助事件响应,npm供应链安全未受波及。
Marimo Python笔记本严重漏洞在披露后10小时内遭到利用
开源Python笔记本平台Marimo存在一个严重的预身份验证远程代码执行漏洞(CVE-2026-39987,评分9.3/10),影响0.23.0之前的所有版本。Sysdig威胁研究团队发现,该漏洞在公开披露后不到10小时即遭到实际利用。攻击者无需任何凭证,仅需向暴露的服务器发送单一连接请求,即可获得完整的交互式Shell并执行任意系统命令。Marimo已发布修复版本0.23.0,建议用户立即更新并轮换可能泄露的云访问密钥及API令牌。
Adaptavist集团遭遇安全入侵,勒索软件团伙声称窃取大量数据
英国企业软件咨询公司Adaptavist集团正在调查一起安全事件:攻击者利用被盗凭据入侵部分系统。与此同时,一个自称"The Gentlemen"的勒索软件团伙宣称实施了"完整基础设施入侵",并声称窃取了大量数据,包括数十万客户记录、源代码及内部文件。Adaptavist CEO表示,目前无证据显示客户数据遭外泄,但已警告有第三方冒充该公司向客户发送误导性邮件,疑似借机实施网络钓鱼攻击。
Cisco Webex单点登录漏洞需手动更新证书修复
思科本周发布安全公告,Cisco Webex服务存在一个CVSS评分高达9.8的严重漏洞(CVE-2026-20184)。该漏洞可能允许未经身份验证的远程攻击者冒充任意用户。虽然思科已完成云端修复,但使用SSO单点登录的管理员仍需手动在Webex Control Hub中上传新的IdP SAML证书,否则将面临访问控制失效的风险。此外,思科本周还修复了Cisco ISE中多个高危漏洞,最高CVSS评分达9.9。
微软Windows Recall功能仍存在静默数据提取漏洞
微软Windows Recall功能在经历重大安全升级后,仍存在严重安全隐患。网络安全研究员Alexander Hagenah发现,在用户权限下运行的恶意软件无需管理员权限或内核漏洞,即可静默提取Recall记录的所有数据。他发布了概念验证工具TotalRecall Reloaded加以证明。微软审查后认为此行为符合现有安全设计,并未构成安全边界绕过。Hagenah对此表示担忧,并指出短期修复方案是为AIXHost.exe进程添加代码完整性保护,长期则需重新设计解密数据的处理机制。
京公网安备 11010802021500号
