/
Anthropic Mythos重塑漏洞管理思路
Anthropic推出的Claude Mythos Preview是一款通用语言模型,能够自主识别并利用主流操作系统和浏览器中的零日漏洞,甚至发现了存在超过20年的历史漏洞。测试显示,Mythos揭露的漏洞中逾99%尚未被修复。AI的介入大幅压缩了漏洞发现与利用之间的时间窗口,传统漏洞管理流程面临严峻挑战。专家建议CIO和CISO密切关注Project Glasswing成员企业发布的补丁,并积极引入AI驱动的自动化修复工具以应对新威胁。
前沿AI与漏洞修复日碰撞,网络安全迎来"漏洞海啸"
微软4月补丁星期二发布逾160个漏洞修复,规模创历史第二。与此同时,Anthropic推出Project Glasswing项目,其前沿AI模型Claude Mythos据称已发现"数千"个关键漏洞,引发业界对AI加速漏洞挖掘的广泛讨论。专家警告,AI正在使漏洞发现更快、更廉价,企业需将安全纳入产品全生命周期,建立自动化漏洞响应能力,并加快补丁修复节奏,以应对日益严峻的威胁形势。
CVE披露数量激增,NIST被迫调整漏洞数据库工作流程
美国国家标准与技术研究院(NIST)宣布对国家漏洞数据库(NVD)的CVE处理方式进行重大调整。受2020至2025年间CVE提交量激增263%影响,NIST将不再对所有CVE进行全面"富化"分析,而是优先处理CISA已知被利用漏洞目录、政府软件及关键软件相关漏洞。2025年NIST共完成近4.2万条CVE富化,但仍难以跟上提交量增长。业内专家对新方向总体认可,但也指出供应商自评分可靠性及CVSS方法论存在局限性。
零日漏洞抢修是可以避免的:攻击面缩减指南
零日漏洞披露后24-48小时内就会被大规模利用,而许多企业的互联网暴露面比想象中更大。通过主动识别和管理攻击面,团队可以在漏洞披露前就减少不必要的暴露,避免紧急应对。关键在于建立完整的资产可见性、将攻击面暴露视为独立风险类别,并持续监控变化。
Veracode警告:AI驱动的快速开发使全面安全保障无法实现
Veracode发布年度软件安全报告显示,基于160万应用程序测试数据,发现新增漏洞数量超过修复数量。82%企业存在"安全债务"(一年以上未解决的已知漏洞),较去年74%有所上升。高风险漏洞从8.3%增至11.3%。报告指出,AI驱动的高速开发使代码添加速度超过漏洞修复速度,技术复杂性不断增长。研究认为,AI时代的开发速度使全面安全保障变得不可实现,修复差距已达危机程度,需要变革性改变而非渐进式改进。
2026年CVE漏洞数量可能首次突破10万个
据事件响应与安全团队论坛年度漏洞报告预测,2026年通用漏洞披露数量将超过5万个,上限可能首次达到11.8万个。报告显示,现实情况下7万至10万个漏洞披露完全可能,中位数约为5.9万个。这一增长主要归因于开源软件快速采用和AI工具在漏洞发现中的应用。组织需要扩展安全运维能力,战略性优先处理漏洞响应和补丁管理,重点关注对特定IT环境风险最大的缺陷。
SOCs防御网络攻击的核心工具与实践探析
安全运营中心作为组织的安全守护者,需要依靠专业工具来预防和应对不断演进的网络攻击。本文详细介绍了SOC在漏洞管理和事件响应两个关键领域使用的核心工具,包括开发流水线安全测试、持续监控、自动化渗透测试、云安全管理、SIEM系统和SOAR工具等,阐述了这些工具如何协同工作来构建组织的安全防线。
2025年软件供应链面临的最大挑战
Canonical与IDC、谷歌合作发布研究报告,调查了500家大型企业的软件供应链安全状况。研究发现,70%的企业正在采用开源软件以降低成本和推动创新,但90%的组织在开源供应链管理方面存在困难。主要挑战包括漏洞补丁管理复杂、软件依赖关系可见性不足、AI安全风险担忧以及合规要求日益严格。报告建议企业应自动化系统更新、从可信源获取软件包,并将软件供应链纳入核心交付流程。
企业存储设备安全漏洞调查:数据防护最后防线充满缺陷
Continuity Software研究发现,企业存储和数据保护设备在信息安全方面存在严重盲点,使公司数据面临危险暴露。调查涵盖300个环境中超过1万台设备,发现平均每台设备存在10个漏洞,其中一半为高风险。最常见漏洞涉及身份认证管理和未修复的CVE。许多设备仍使用出厂默认密码,缺乏多因素认证。研究还发现勒索软件防护功能未启用或配置错误的情况。
6月补丁星期二为安全防护人员带来轻松负担
微软于6月10日按计划发布补丁更新,本次更新只涉及约70处安全缺陷和两起零日漏洞,重点解决WebDAV远程代码执行和SMB客户端权限提升问题,提醒企业及时修补。
Enisa 推出欧洲漏洞数据库
欧洲网络安全局(Enisa)推出的欧洲漏洞数据库(EUVD)依托NIS2指令,整合来自欧盟成员国、行业威胁研究和其他数据库的信息,提供透明、可信且可操作的安全漏洞数据,提高欧盟在漏洞管理与风险防控方面的整体能力。
在不确定中,Armis 成为最新的 CVE 编号机构
Mitre 的 CVE 项目确认 Armis 为新 CNA,同时 Armis 推出免费漏洞情报数据库,助力企业更快应对网络安全威胁。
有效的安全漏洞管理将风险消除在萌芽状态
安全漏洞是IT资源中可能被攻击者利用的错误或缺陷,其形式多种多样。安全漏洞可能是应用程序源代码中的一个编码错误,能够被用于发动缓冲区溢出攻击。
京公网安备 11010802021500号
