/
- 网络与安全
- 网络设备
- 网络管理
- 网络安全
- 终端安全
- 云安全
OpenAI携手Trail of Bits发起“Patch the Planet“开源安全修复计划
OpenAI与网络安全公司Trail of Bits合作推出"Patch the Planet"计划,利用AI辅助漏洞研究与人工审核相结合的方式,发现并修复广泛使用的开源软件中的安全漏洞。首批参与项目包括Python、Go、cURL等。该计划已识别数百个安全问题并合并数十个补丁。分析师指出,AI加速漏洞研究将推动企业从周期性修补转向持续风险评估,但治理控制与专业人才依然不可或缺。
Vibe编程催生新型恶意软件,网络安全防御策略亟需升级
"氛围编程"的阴暗面正在崛起。麦咖啡、Bitdefender等安全公司观察到AI生成恶意软件("vibeware")数量激增。爱尔兰科克大学研究发现,生成式AI可创建结构各异却功能相同的恶意软件变体,轻松规避基于特征匹配的静态检测。更令人担忧的是,仅需两条提示词即可完成恶意软件编写,大幅降低了攻击门槛。专家建议防御方转向行为分析,并以AI对抗AI,同时呼吁AI编程工具加强安全护栏。
Fractal操作系统:专为挖掘芯片硬件漏洞而生
MIT CSAIL研究人员从零开始构建了一款名为Fractal的定制化操作系统,专为硬件安全研究设计。与传统操作系统不同,Fractal剥除了所有干扰性防御机制,能够清晰呈现芯片的真实执行行为。借助该系统,研究人员首次在苹果M1芯片中发现了"幽灵推测执行"漏洞的存在证据。Fractal支持多权限并发测试、协作式多任务处理及统一内存映射等核心特性,已以MIT许可证开源发布。
GitHub Actions加强Checkout安全性,防御“pwn request“攻击
GitHub于6月18日发布actions/checkout v7,针对近期开发者环境中频发的网络攻击,主动拦截利用pull_request_target工作流触发器漏洞发起的"pwn请求"攻击。新版本在检测到不安全的分支代码获取行为时,会自动中断工作流执行。此次更新标志着GitHub进入"默认安全"新阶段,安全策略将由平台统一定义,而非依赖开发者个人判断。7月16日起,新默认设置将回溯至所有主要版本。
AWS Continuum:用AI帮助企业全流程修复代码漏洞
AWS推出名为Continuum的新服务,旨在帮助企业持续发现、调查并修复代码漏洞。该服务不仅能分析第一方代码、验证漏洞可利用性、生成修复建议,还支持威胁建模和第三方代码风险分析。用户可选择"强制模式"实现自动修复,或保留人工审核环节。分析师指出,Continuum的价值在于利用AI优先排序风险、加速响应,同时将改变CISO的工作重心,从管理告警转向治理自动化修复流程。
联邦后量子加密时间表激进,企业需提前备战
美国国防部宣布将建立后量子加密(PQC)集中监管架构,并更新网络安全成熟度模型认证(CMMC)以纳入PQC要求。一项行政令要求所有联邦承包商在2030年底前遵守NIST后量子密码标准。Gartner警告,目前不足10%的企业支持后量子加密,建议企业2026年启动PQC清单建设,2030年前完成高价值系统迁移,否则迁移成本将增加至少200%。
Cisco Unified CM高危漏洞遭攻击者积极利用
思科统一通信管理器(Unified CM)一个严重漏洞(CVE-2026-20230,CVSS评分8.6)在补丁发布约三周后遭到主动利用。威胁情报机构Defused于6月23日披露了相关攻击活动,攻击者利用公开的PoC代码发起SSRF攻击,可实现任意文件写入并将权限提升至root。该漏洞影响企业广泛部署的Unified CM和Unified CM SME产品,思科建议暂时禁用WebDialer服务作为缓解措施,并尽快升级至修复版本。
IBM、Red Hat 与 Palo Alto 联手保护开源软件安全
IBM、Red Hat与Palo Alto Networks宣布合作,帮助企业识别开源软件漏洞并应对AI生成的安全威胁。此次合作整合了Palo Alto的Prisma虚拟补丁技术与IBM/Red Hat的Project Lightwell开源软件修复方案。Project Lightwell是IBM和Red Hat投资50亿美元打造的安全项目,已吸引美国银行、花旗、高盛、摩根大通等金融机构参与。三方合作将实现漏洞覆盖、预防性保护及当日快速响应等关键能力,并计划建立跨厂商的漏洞信息共享机制。
Meta员工监控项目因数据保护失效被迫暂停
Meta为训练AI模型而推出的员工数据收集计划"模型兼容性计划"(MCI)被迫暂停。该计划收集员工的鼠标操作、键盘输入、屏幕内容及私人对话等高度敏感数据。员工两度突破权限访问受限数据,暴露出严重的安全漏洞。多位分析师指出,Meta对非PII数据风险评估不足,访问控制机制远未达标,此次事件不仅造成数据泄露风险,更严重损害了员工对企业数据管理的信任。
国际联合行动打击网络犯罪“流水线“,破获逾4700万美元非法资产
国际执法机构与多家科技公司联合开展"Endgame行动",成功打击以Amadey和StealC为核心的网络犯罪体系。Amadey是一款用于植入恶意载荷的恶意软件服务平台,StealC则专门窃取账号密码、加密钱包等敏感信息。微软借助AI分析发现两者共用底层基础设施,据此援引RICO法规,同步摧毁逾200台指挥控制服务器,解救1.8万台受感染电脑。Europol宣布缴获2700万条登录凭证及价值4700万美元的犯罪加密资产。
智能眼镜的隐藏摄像头,你能识别出来吗?
智能眼镜正逐渐走入公众视野,Meta已在2025年售出700万副,起售价约300美元。然而,其内置摄像头引发严重隐私担忧——部分用户在未经同意的情况下拍摄陌生人并上传社交媒体。文章介绍了识别智能眼镜的方法,包括观察指示灯位置与闪烁规律,并指出现有法律监管缺失,呼吁公众提高对这一新兴穿戴技术的认知与警觉。
白宫大幅提前量子加密迁移截止日期,保护关键数据安全
白宫发布行政令,要求政府机构在2030年底前将"高价值资产"和"高影响系统"迁移至后量子密码体系,数字签名方案须在2031年底前完成过渡。新截止日期比原计划提前约五年,源于最新研究显示构建具备密码破解能力的量子计算机所需资源远低于此前预期。行政令同时建立全政府协调机制,并要求与NIST合作推动盟友国家采用后量子标准算法。
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
