/
匈牙利政府账号密码泄露,"FrankLampard"竟成国家机密守门人
调查机构Bellingcat发现,近800条匈牙利政府邮箱与密码组合流入数据泄露库,涉及国防、外交、财政等几乎所有主要部门。泄露原因并非高级黑客攻击,而是官员使用弱密码并在第三方平台重复使用。国防部约120条记录遭泄露,部分源于2023年北约电子学习平台被入侵事件。令人震惊的是,一名信息安全上校竟以"FrankLampard"作为密码。此次事件警示各界:基础安全意识的缺失才是最大安全隐患。
特朗普政府官员或正鼓励银行测试Anthropic的Mythos模型
据彭博社报道,美国财政部长贝森特与美联储主席鲍威尔本周召集银行高管开会,鼓励其使用Anthropic新发布的Mythos模型检测安全漏洞。摩根大通是首批合作机构之一,高盛、花旗、美银及摩根士丹利也在测试该模型。值得关注的是,Anthropic目前正就美国国防部将其列为供应链风险一事与特朗普政府对簿公堂。英国金融监管机构也在评估Mythos带来的潜在风险。
VeraCrypt开发者账号遭微软封禁,数百万用户面临系统启动危机
知名加密软件VeraCrypt的开发者Mounir Idrassi近日发文称,微软在未作任何解释的情况下,封禁了其用于签署Windows驱动程序和引导加载程序的开发者账号。由于微软要求定期重新验证软件安全性,若问题无法解决,使用VeraCrypt系统加密功能的Windows用户可能在2026年7月后面临无法开机的困境。目前Linux和macOS用户不受影响,VeraCrypt软件本身暂无安全隐患,但开发者警告此事件可能是"VeraCrypt的死刑判决"。
CPUID网站遭劫持,HWMonitor下载链接被恶意替换
知名硬件检测工具CPUID官网本周遭到攻击,黑客入侵其后端API接口约六小时,导致HWMonitor等工具的下载链接被替换为恶意安装包。恶意文件内含伪造的CRYPTBASE.dll,可连接C&C服务器下载额外载荷,并通过PowerShell在内存中运行,同时尝试窃取Chrome浏览器存储的用户凭据。CPUID确认原始签名文件未被篡改,漏洞已修复,但受影响用户数量尚不明确。
Anthropic"玻璃翼计划":AI漏洞挖掘的机遇与隐忧
Anthropic推出Project Glasswing,联合科技巨头投入1亿美元AI资源,借助新型Mythos AI程序扫描并修复开源软件中长期隐藏的安全漏洞。Mythos Preview声称漏洞利用成功率高达72.4%,超越大多数顶尖人类安全专家。然而,业界专家对此喜忧参半:一方面担忧AI漏洞报告将大幅增加开源维护者的工作负担;另一方面也对Mythos为专有软件、可能造成技术锁定表示顾虑。
前FBI网络安全负责人:业余网络罪犯比专业黑客更危险
前FBI网络安全部门副助理局长、现Halcyon勒索软件研究中心高级副总裁辛西娅·凯泽指出,勒索软件已成为当今最大网络威胁。研究发现,与伊朗政府相关的Pay2Key组织仅用3小时即完成加密攻击,而Akira组织从入侵到加密全程不超过4小时。更值得警惕的是,借助AI工具的"业余黑客"正大幅提升攻击频率,尽管技术粗糙,但海量低质攻击可能掩盖更隐蔽的高级威胁,给企业安全防御带来严峻挑战。
便利贴上的密码,让健身房变成了"80年代恐怖片现场"
一家酒店健身房安装了带视频屏幕的有氧器械,供用户通过局域网观看Netflix。然而,安装人员将设备默认管理员PIN码写在便利贴上,贴在跑步机旁,导致住客得以登录控制面板,将Netflix切换为80年代音乐视频。虽然此次"攻击"未造成实质损害,但事件促使安装公司改进安全措施:将设备隔离至访客VLAN、修改默认密码、禁用USB接口,并在防火墙层面限制流量。
数据泄露风波持续发酵,估值百亿美元的Mercor深陷困境
AI数据训练独角兽Mercor在完成35亿美元C轮融资、估值达100亿美元六个月后,于3月31日承认遭遇数据泄露。黑客组织声称窃取了4TB数据,涵盖候选人信息、雇主数据及源代码等。此次泄露源于开源工具LiteLLM被植入凭证窃取恶意软件。Meta已无限期暂停与Mercor的合作,五名承包商提起诉讼。OpenAI表示正调查其涉及程度,其他大型模型厂商也在重新评估与Mercor的合作关系。
Anthropic限制Mythos模型发布:守护网络安全还是保护商业利益?
Anthropic以Mythos模型过于擅长发现软件安全漏洞为由,将其限制在AWS、摩根大通等大型企业中使用,而非向公众开放。然而,业界人士指出,此举背后可能另有商业考量:限制公开发布可为Anthropic锁定企业级大客户,同时阻止竞争对手通过"蒸馏"技术廉价复制其模型。AI网络安全初创公司Aisle称,已用小型开源模型复现Mythos的大部分能力,暗示其能力或被高估。
微软封锁VeraCrypt和WireGuard开发者账号,称因账号验证流程所致
微软突然封停开源工具VeraCrypt与WireGuard开发者的账号,导致其无法签署软件更新,引发安全担忧。微软回应称此举源于账户验证流程,承认沟通不畅并承诺改进,受影响账号正逐渐恢复。
英国政府顶级科技职位薪资超越首相年薪
英国科学、创新与技术部(DSIT)正在招募三位数字化总监,年薪均超过首相17万英镑的薪资水平。其中,数字产品总监负责监督GOV.UK应用及数字钱包等项目,年薪20至26万英镑;数字转型总监主导AI应用与政府数字化战略,薪资相同;数字基础设施总监负责网络安全及宽带网络建设,年薪17.4万英镑,管理预算达9.5亿英镑。
微软软件转售上诉案引发35亿英镑集体诉讼关注
微软与ValueLicensing之间的软件转售法律纠纷将于4月28日至29日进入上诉阶段,并引发一起规模高达35亿英镑集体诉讼的高度关注。此案源于2021年ValueLicensing以2.7亿英镑起诉微软,指控其合同条款阻止客户转售永久许可证。英国竞争上诉法庭2024年11月裁定转售永久许可证并不违法,微软随即提出上诉,并试图以版权问题重新定性本案。若微软胜诉,将对英国二手软件市场产生重大影响。
Anthropic最新AI模型漏洞挖掘能力过于强大,暂不对外公开发布
Anthropic最新AI模型Claude Mythos在网络安全漏洞检测方面能力极强,甚至超越顶尖人类专家,因此暂不对公众发布。该公司发起名为"Project Glasswing"的联盟,成员包括苹果、微软、谷歌、亚马逊云等逾50家机构,共同利用该模型修补漏洞。Anthropic承诺投入1亿美元使用积分及400万美元捐款支持开源安全组织,致力于构建更安全的互联网环境。
荷兰医疗软件供应商遭勒索软件攻击后被迫下线
荷兰医疗软件供应商ChipSoft于4月7日遭受勒索软件攻击,官网随即下线。该公司为荷兰约80%的医疗机构提供患者病历管理软件。荷兰医疗网络安全应急响应团队Z-CERT已确认攻击性质,并正与相关医院展开评估。目前已有11家医院被迫下线其软件系统。Z-CERT提醒各医疗机构排查异常流量,并呼吁医院制定灾难恢复预案,以确保患者在网络中断期间仍能获得持续照护。
Claude Code仍存在Anthropic已修复但未启用的安全漏洞
AI安全公司Adversa发现,Claude Code存在一个已被记录在源代码中的安全漏洞:当命令包含超过50个子命令时,系统将跳过计算密集型安全分析,仅询问用户是否继续执行。Anthropic已开发出修复方案(tree-sitter解析器),但未在公开版本中启用。攻击者可通过植入恶意CLAUDE.md文件,在50条正常命令后附加窃取凭证的指令,进而威胁整个软件供应链安全。
互联网漏洞悬赏计划暂停奖励发放
互联网漏洞赏金计划(IBB)宣布暂停提交与奖励发放,管理方HackerOne表示正在重新评估开源安全的处理方式。该计划自2012年运行至今,已累计奖励超150万美元。随着AI技术加速漏洞发现,漏洞报告数量大幅增加,但修复能力未能同步跟上,导致原有80%用于漏洞发现、20%用于修复的资金分配模式难以为继。Node.js等项目已受到影响,Google和Curl项目也相继对AI生成的漏洞提交设限。
每日数百家机构遭微软设备码钓鱼攻击,AI全程驱动渗透全球企业
微软研究人员发现,自2026年3月15日起,一场利用AI和自动化技术的设备码钓鱼攻击活动每日入侵数百家企业。攻击者每24小时发起10至15个独立攻击活动,借助EvilTokens工具包绕过多因素认证,窃取企业邮件及财务数据。攻击链涵盖AI生成定制钓鱼邮件、利用合法云平台多级跳转规避检测,并采用动态设备码生成技术延长攻击时间窗口。微软建议在非必要情况下禁用设备码认证流程。
核心基础设施工程师认罪:一起内部攻击事件的安全警示
一名核心基础设施工程师Daniel Rhyne因对前雇主发动内部勒索攻击而认罪。他利用未授权远程桌面会话、删除网络管理员账户、更改密码等常规手段入侵系统,随后以比特币赎金约75万美元要挟企业。安全专家指出,此案最令人担忧的是攻击手法普通且可预防,但企业因IT员工抵触监控而疏于防范。Rhyne面临最高15年监禁。
Anthropic发布AI漏洞挖掘模型Mythos引发网络安全担忧
Anthropic开发了名为Mythos的AI模型,能够生成零日漏洞,成功率达72.4%。该模型可在主要操作系统和浏览器中识别并利用零日漏洞,甚至构建复杂的多漏洞链式攻击。为避免滥用,Anthropic选择不公开发布,而是通过Project Glasswing项目向AWS、苹果、微软等合作伙伴提供预览版本,用于内部安全检测。
苹果、谷歌、微软联手Anthropic推出"玻璃翼"项目,守护全球关键软件安全
全球最大的科技公司联合发起"玻璃翼计划",这一AI驱动的网络安全防御项目堪比"曼哈顿计划"。该联盟包括亚马逊、苹果、谷歌、微软、英伟达等12家巨头,旨在应对AI技术带来的网络安全威胁。项目将部署名为Claude Mythos Preview的未发布AI模型,该模型已发现数千个零日漏洞,其中许多存在于已部署10-20年的关键软件中。专家警告称,AI能力已跨越临界点,漏洞发现到被利用的时间窗口已从数月缩短至数分钟,传统防护方式已不再足够。
京公网安备 11010802021500号
