非结构化数据涵盖文档、邮件、共享盘及协作工具等,长期难以有效治理。调查显示,68%的企业存在大量未受保护的非结构化数据,但75%的企业自认安全状况良好。AI工具的普及使这一矛盾更加突出——内部RAG系统、AI助手等工具正大量读取非结构化数据,却未必遵守数据边界。李维斯与梅赛德斯AMG F1车队分别采用"共担责任"与"务实适度"两种治理模式,应对AI带来的数据安全挑战。
微软在6月补丁日修复了高危零日漏洞CVE-2026-45586,该漏洞由化名"Nightmare Eclipse"的研究员披露。此前双方因漏洞披露协议破裂而交恶,研究员陆续公开多个未修复漏洞。本次修复的漏洞涉及Windows协作翻译框架,属本地权限提升类型,可被链式利用获取SYSTEM权限。此外,研究员披露的另一漏洞MiniPlasma似乎也已被悄然修复,但微软未提供相关CVE编号。本轮补丁共修复约200个漏洞。
微软最新一期补丁星期二更新修复了约200个安全漏洞,打破此前约170个CVE的历史记录,其中包括32个严重漏洞和3个零日漏洞。安全专家警告,AI正在加速漏洞发现速度,微软今年修复的CVE数量已超过2018年全年总量。加上谷歌Chrome等第三方漏洞,本月修复总数接近600个,业界直呼"补丁末日"已然来临。
安全公司Outtake发布报告指出,今年已有超过53%的企业遭遇针对高管或员工的冒充攻击。AI生成的虚假媒体内容开辟了企业反欺诈的"第二战线",近半数企业已确认或怀疑遭遇AI合成媒体冒充事件。然而,75%的受访者仅进行有限监控或被动应对。更令人担忧的是,仅4%的企业对AI智能体实施全面监控,治理碎片化问题突出,超60%企业的数字信任风险管理处于分散孤立状态。
研究显示,69%的勒索软件受害者在攻击前自认为准备充分,但事后信心骤降逾20个百分点。海湾地区企业面临严峻威胁:UAE在2025年上半年全球网络攻击频率中排名第九,沙特跻身中东第五。Sophos数据显示,UAE组织支付了92%的赎金要求,高于全球平均水平。专家指出,问题根源在于企业虽投资备份基础设施,却从未在真实条件下测试完整恢复流程,且现代勒索软件会直接攻击备份库。
黑客通过欺骗Meta的AI客服聊天机器人,成功对他人Instagram账号发起密码重置,共约20,225个账号遭到入侵,其中包括白宫、美国太空军及安全研究员Jane Wong的账号。攻击手法极为简单,黑客可借此获取用户个人信息、私信及账号活动记录。目前,Meta已关闭被滥用的工具,并使相关密码重置链接失效,同时强制受影响账号进行安全验证并重置密码。
2024年,黑客组织Qilin对NHS实验室服务合作商Synnovis发动勒索软件攻击,导致超过400GB敏感数据外泄。事件发生近18个月后,调查仍在持续扩大。埃塞克斯中南部NHS基金会信托(MSE)确认约2380条患者记录受影响,贝德福德郡医院NHS信托亦披露近3万名患者数据遭窃。安全专家警告,漫长的调查周期和迟滞的信息披露,正向有组织的网络犯罪团伙发出"可乘之机"的危险信号。
ChatGPT推出"锁定模式"(Lockdown Mode),旨在应对提示注入攻击带来的数据泄露风险。该模式最初面向企业、教育及医疗用户,现已向免费版、Plus、Pro等所有计划开放。开启后,系统将限制对外网络请求,防止敏感信息被恶意指令窃取,但也因此无法使用实时网络搜索等功能。用户可在ChatGPT设置的"安全"选项中手动开启此模式。
微软旗下GitHub平台近期发生第二起供应链攻击事件,73个经过密码学验证的开源包被植入高级凭证窃取代码。该恶意软件"Miasma"与TeamPCP组织的Mini Shai-Hulud工具包高度相似,可窃取AWS、Azure、GCP等平台凭证,并通过云基础设施横向传播。攻击者利用合法的OIDC令牌绕过构建管道,且每次感染生成独特加密载荷,使传统哈希检测失效。恶意代码在开发者使用Claude Code、Gemini CLI等AI编程工具时即被触发。
美国FCC正审议NextNav公司提出的900MHz频段重配置申请,拟允许其部署全国高功率5G宽带网络。该频段目前是超1.6亿块智能电表及电网SCADA系统的核心通信基础。若申请获批,现有非授权频谱设备可用空间将缩减60%,预计给电力行业带来逾1000亿美元替换成本,并波及医疗、交通、公共安全等多个关键领域,最终推高用户电费。目前国会已介入,FCC尚未正式发布新规。
思科警告用户,其Catalyst SD-WAN Manager存在一个正被积极利用的高危漏洞(CVE-2026-20245),CVSS评分7.8。该漏洞位于命令行界面,允许已认证攻击者将权限提升至root并接管整个系统。攻击者可通过窃取凭证或利用旧版认证绕过漏洞获取所需权限。目前尚无补丁,思科建议升级至最新版本,并检查边缘设备配置。若确认系统已被入侵,仅更新软件无法解决问题,需联系思科技术援助中心获取专项修复方案。
微软Edge浏览器145版本更新后,正式移除了Windows平台上密码管理器的主密码支持。用户现在必须通过Windows Hello进行身份验证,支持PIN码、指纹或面部识别等方式。此举旨在提升密码管理器的安全性,避免传统字符串密码带来的风险。相比之下,谷歌密码管理器仍允许使用传统密码访问。本次更新于2026年6月4日正式推送。
阿联酋网络安全委员会与阿布扎比网络安全公司QuantumGate联合推出国家级加密资产发现工具(CDT),作为国家后量子迁移计划的核心组成部分。该平台可自动识别、编目和管理组织内部的加密系统,帮助企业在量子计算时代到来前完成向抗量子加密标准的迁移。其输出结果将整合至国家网络安全指数平台,形成全国性后量子密码学准备度指数,推动阿联酋构建领先的数字安全体系。
Snyk正式进军AI驱动渗透测试市场,推出Evo持续攻击性安全产品(Evo COS)。该产品旨在解决传统渗透测试覆盖率不足的问题——传统方案平均每年仅提供15天测试覆盖,留下350天安全盲区。Evo COS结合确定性扫描与大语言模型推理,可识别业务逻辑漏洞、授权绕过等复杂威胁,并支持针对AI应用的红队测试。目前产品处于早期访问阶段,计划于2026年8月Black Hat USA期间正式发布。
英国通信监管机构Ofcom对24段主要铁路线路进行测试后发现,各大运营商仅能在17%至42%的路段达到良好信号标准(下载速度≥5Mbps、上传速度≥1.5Mbps、延迟≤50ms),而车载Wi-Fi达标率仅为1%。Ofcom指出,地面基站信号不足及车厢屏蔽是核心问题,仅靠运营商之间的市场竞争无法解决。监管机构呼吁移动运营商、地方政府、开发商等各方协同行动,并将更新移动网络质量评估方式,推动全国网络覆盖质量提升。
安全研究人员发现,超过30个红帽云服务相关npm包遭到供应链攻击,被植入恶意代码,可在安装时自动执行并窃取开发者的npm认证令牌、环境变量及云端凭证等敏感信息。此次攻击活动被命名为"Miasma",恶意载荷源自Mini Shai-Hulud恶意软件家族。攻击者还伪造了合法的SLSA来源证明以规避检测。目前大多数受感染包版本已被撤销,建议受影响组织立即轮换凭证并审查发布权限。
安全研究员Ammar Askar披露了GitHub浏览器版VSCode编辑器(github.dev)中的一个漏洞。该漏洞源于OAuth令牌未限定访问范围,攻击者可通过恶意Jupyter Notebook扩展窃取令牌,进而访问开发者所有私有代码库。微软已实施临时修复措施。此次事件还引发了关于漏洞披露规范的讨论:研究员因曾被忽视贡献,仅提前一小时通知微软即公开漏洞,引发业界对供应商与研究人员权责平衡问题的广泛关注。
OpenAI发布全新"锁定模式"功能,旨在防范提示注入攻击——即恶意指令被隐藏于网页或其他内容中的安全威胁。开启该模式后,ChatGPT将禁用实时网页浏览、网络图片检索、深度研究及代理模式等功能。OpenAI坦承,即便启用锁定模式,仍存在一定风险。该功能主要面向处理敏感数据、需要更严格数据防泄露保护的用户和企业,目前正向ChatGPT商业自助账户及符合条件的个人账户逐步开放。
据《连线》杂志调查并经EFF威胁实验室证实,Meta已在其智能眼镜配套应用中嵌入面部识别代码。该功能内部代号"NameTag",可将眼镜摄像头捕捉的人脸转化为生物特征信息,并与本地数据库比对,向佩戴者推送相关人员信息。目前该功能尚未向用户开放,Meta表示尚未做出正式上线决定。EFF警告称,此举将用户变为"分布式监控工具",引发隐私界高度关注。
专注推动网络与安全融合的全球性综合网络安全解决方案供应商Fortinet(R)(NASDAQ:FTNT)旗下FortiGuard Labs(FortiGuard全球威胁研究与响应实验室),近日重磅发布《2026年全球威胁态势研究报告》。