/
Claude Mythos Preview发现大量安全漏洞,代码安全防护迎来新挑战
Anthropic旗下Claude Mythos Preview模型已识别出数千个高危及严重漏洞,涵盖主流操作系统和浏览器。为此,Anthropic发起Project Glasswing项目,联合AWS、苹果、谷歌、微软、英伟达等科技巨头共同应对AI驱动的网络安全威胁。专家指出,尽管AI在发现代码漏洞方面表现出色,但仍存在误报率高等问题,需构建多层验证机制,并保持人类专家全程参与,才能实现安全可靠的漏洞检测与修复。
网络安全从业者薪资停滞,工作量却持续攀升
据招聘机构Harvey Nash最新数据,2025年网络安全专业人员在IT行业薪资增长中最受忽视。全球71%的安全从业者遭遇薪资停滞,英国更高达77%。尽管网络安全岗位位列科技行业需求前三,但从业者职场满意度却排名垫底。Harvey Nash CIO指出,安全团队工作成效反而滋生了管理层的自满情绪,叠加AI带来的威胁扩大、工作压力持续增加,正驱动大量人才流失。
Anthropic代码安全模型Mythos:潜力与局限并存
Anthropic推出的AI代码安全模型Mythos能够自动化识别代码漏洞,在已知漏洞类型的检测上表现出色,但对未知漏洞的发现能力有限。目前该工具通过"玻璃翼计划"限定可信合作伙伴使用。文章认为,随着AI工具持续演进并逐步普及,代码安全将类似航空安全的发展轨迹——从充满隐患逐步走向系统性可控,人机协作将是未来安全体系的核心模式。
谷歌云 Next 大会印证了我们的判断:一切皆 AI
Google Cloud Next大会近日落幕,AI成为绝对主角。谷歌发布第八代Tensor芯片,分推理与训练两款版本;推出全新AI安全代理;并将Vertex AI平台更名为Gemini企业代理平台,打造AI代理统一管理空间。此外,Anthropic网络安全AI模型Mythos遭非授权访问事件引发关注,早期测试结果显示其实际能力或被过度吹捧。
黑帽亚洲大会:隐私保护与网络安全密不可分
在新加坡举行的Black Hat Asia 2026开幕主题演讲中,调查记者兼作家Violet Blue指出,隐私保护并非网络安全的附属议题,而是其核心组成部分。她警告称,监控资本主义不仅侵蚀隐私,更会制造攻击面,数据经纪商、广告SDK均构成供应链风险。她援引MGM Resorts、23andMe等真实事件说明,个人信息泄露往往是攻击的切入点,并呼吁从个人数据防护转向集体数据治理。
AI生成代码正在给安全团队带来新挑战
安全测试公司ProjectDiscovery发布报告指出,企业大量使用AI编写代码正带来严重安全隐患,许多组织对此尚未做好应对准备。调查显示,仅38%的网络安全从业者能跟上AI带来的代码审查量增长,近60%表示压力持续加大。安全人员最关注的风险包括:企业机密泄露(78%)、供应链安全(73%)及业务逻辑漏洞(72%)。该报告基于对北美和西欧200名网络安全专业人员的调查。
微软远程桌面安全更新上线,但警告消息显示异常
微软针对远程桌面(RDP)的钓鱼防护更新已正式推出,用户打开.rdp文件时将看到连接设置安全警告。然而,部分用户反映警告界面显示异常,出现文字重叠或按钮被遮挡的问题,影响实际安全效果。该问题已被列入已知缺陷列表,主要发生在使用多显示器且缩放比例不同的环境中。微软建议统一各显示器缩放设置作为临时解决方案,并承诺在未来更新中修复。此外,微软还发现.NET 10.0.6存在权限提升漏洞(CVE-2026-40372),并紧急发布带外更新。
青少年网络安全之战:这场拉锯为何看不到尽头
一名13岁男孩在Snapchat上遭性trafficker胁迫拍摄裸照,相关内容在Twitter上获得逾16.7万次浏览。这一事件折射出青少年网络安全的严峻现实。近年来,Meta和谷歌相继在美国法院被判赔偿,监管压力持续上升。围绕《儿童网络安全法》、年龄验证机制及社媒禁令,政府、科技公司、家长与公民团体争议不断,隐私保护与言论自由的权衡让问题更加复杂,至今仍无定论。
BT与NCSC合作拦截超10亿次恶意网站点击
英国电信BT与移动运营商EE借助国家网络安全中心(NCSC)提供的情报,已成功拦截超过十亿次恶意网站访问。NCSC的"共享与防御"计划去年启动,覆盖4600万手机用户及1200万固定宽带用户,可防范恶意代码、恶意软件及网络钓鱼攻击。该计划向BT、EE及VodafoneThree等电信运营商提供威胁预警,并支持合作伙伴根据自身风险评估选择封锁相应恶意站点。
Claude Mythos在Firefox中发现271个漏洞,开启AI安全新时代
Anthropic旗下Claude Mythos Preview模型在Firefox 148版本中发现了271个安全漏洞,远超此前Claude Opus 4.6发现的22个,相关漏洞已在Firefox 150中全部修复。专家指出,AI正以超越传统人工审查的规模和深度推动漏洞发现,有望帮助防御方扭转长期处于被动的局面。然而,Mythos遭未授权访问事件也揭示了AI工具的双刃剑本质——AI系统本身已成为高价值攻击目标。
Wiz联合创始人:用AI对自身系统发起攻击,先于黑客找到漏洞
Wiz联合创始人Yinon Costica在谷歌云Next大会上指出,防御者应借助AI主动攻击自身系统,利用对环境的深度上下文优势,抢在威胁者之前发现漏洞。Wiz为此推出红、绿、蓝三款AI安全智能体,分别负责渗透测试、自动分级处理和威胁调查。谷歌完成320亿美元收购Wiz后,双方将共同打造统一安全平台,持续支持AWS、Azure等多云环境,并强化AI原生部署周期的安全能力。
微软紧急发布ASP.NET Core数据保护库严重安全漏洞带外补丁
微软披露,4月14日发布的.NET 10.0.6更新意外引入了一个CVSS评分9.1的严重漏洞(CVE-2026-40372),影响ASP.NET Core数据保护库。该漏洞导致HMAC验证标签计算偏移错误,攻击者可伪造通过身份验证的载荷,并解密受保护的认证Cookie及令牌。受影响的Linux、macOS及Windows开发者需立即升级至10.0.7版本,并重建相关应用、使所有受影响的认证Cookie和令牌失效。
开发者遭遇精密求职骗局:我放松了警惕,运行了那段代码
一名塞尔维亚开发者Boris Vujicic通过LinkedIn收到一家区块链公司的招聘邀请,历经两轮真实感极强的视频面试后,在"技术测试"环节运行了对方提供的代码。代码执行仅56秒内,攻击者便窃取了634个Chrome保存密码、macOS钥匙串及MetaMask钱包数据。调查显示,此次攻击与朝鲜政府背景黑客有关,所用代码和手法与此前一起4000万美元加密货币盗窃案相同。
研究人员发现或比震网病毒早五年的网络破坏恶意软件
安全公司SentinelOne发现一款名为"fast16"的恶意软件,其目的是干扰工程与物理仿真软件的计算结果,可能早于2010年曝光的Stuxnet蠕虫病毒约五年。研究人员推测该软件诞生于2005年前后,仅能在单核Windows XP系统上运行。分析显示,fast16曾针对LS-DYNA、PKPM等高精度工程仿真套件,通过篡改浮点运算结果实施破坏。研究人员认为这是已知最早的国家级网络破坏武器之一。
安全漏洞威胁城市公共电动车充电桩,攻击者可令其全面瘫痪
清华大学物联网安全研究员石鹤天在Black Hat Asia大会上发表演讲,揭示共享物联网设备(如公共电动车充电桩、共享电动车)存在严重安全隐患。研究发现,部分设备含调试接口,固件中存在共享认证密钥,后端服务用户验证机制薄弱。攻击者可利用"幽灵客户端"免费使用服务,甚至通过其开发的工具IDScope远程禁用充电桩,理论上可使整座城市的充电网络瘫痪。欧洲共享单车应用同样存在类似问题,根源在于开发者过度优先考虑用户便利性而忽视安全性。
嘉年华邮轮遭遇数据泄露,750万封邮件地址外泄
全球最大邮轮公司嘉年华集团陷入数据泄露危机。据"我是否被黑客攻击"(HIBP)平台披露,约750万个独立邮箱地址疑遭泄露,涉及其子公司荷美邮轮旗下的"Mariner Society"忠诚度计划,泄露数据包含姓名、生日、性别及会员信息。黑客组织ShinyHunters声称还窃取了"数TB企业内部数据",而嘉年华方面仅承认发生了针对单一账户的网络钓鱼事件,目前尚未回应媒体追问。
Anthropic旗下AI模型Mythos遭黑客入侵事件始末
Anthropic将Claude Mythos定位为网络安全领域的突破性模型,并以"过于危险"为由限制公开发布。然而据彭博社报道,一小群未授权用户在该模型发布当天便成功访问了它,方式仅是结合第三方数据泄露信息与内部知识进行"有根据的猜测",并非高技术手段。安全研究人员指出,此类攻击方式是业内常见手法,Anthropic本应预见并防范。该事件不仅暴露了公司在访问监控上的疏漏,也令其长期强调的AI安全品牌形象受到严重冲击。
Anthropic发布Claude Mythos:当AI能找到所有漏洞,谁来掌控互联网?
Anthropic发布最新AI模型Claude Mythos,但因其能自主发现并利用零日漏洞、甚至接管主流操作系统,暂不公开发布。公司联合40家美国机构推进"玻璃翼计划",协助修补漏洞。英国已获准测试并发出警告:AI将使网络攻击更快更易,多数企业尚未做好准备。与此同时,AI工具的普及正将黑客技术门槛大幅降低,私人公司掌控关键网络安全能力的风险引发广泛关注。
Anthropic新模型Mythos对网络安全未来意味着什么
Anthropic发布的Claude Mythos Preview模型能够自主发现并利用软件漏洞,甚至无需专家指导即可生成可用攻击程序。这一能力对操作系统、网络基础设施等关键软件构成重大安全威胁。专家认为,AI漏洞挖掘工具将催生"VulnOps"等新型防御实践,可修补的系统最终将受益于AI防御,但物联网设备、工控系统等难以更新的系统仍面临较高风险。
npm供应链蠕虫病毒持续蔓延,窃取开发者敏感数据
又一起npm供应链攻击正在蔓延,恶意软件以蠕虫方式感染与Namastex Labs相关的多个npm包,窃取开发者环境中的令牌、API密钥、SSH密钥及云服务凭证,并将数据外传至ICP容器端点。该攻击具备自我传播能力,可识别受害者有权发布的包并注入恶意代码重新发布,还可横向感染PyPI包。安全厂商Socket指出,此次攻击与上月TeamPCP发动的CanisterWorm攻击高度重叠。
京公网安备 11010802021500号
