Broadcom宣布对Spring和Java生态系统进行重大安全投入,发布了Spring历史上规模最大的安全更新,并将清洁室构建架构扩展至整个Spring生态的Java依赖项。该公司还利用AI工具大规模识别漏洞、评估修复路径。企业客户可通过Spring Enterprise Repository抢先获取零日CVE补丁。分析师对此总体持正面态度,但对将零日补丁限于付费客户的做法表示批评。
Cyera研究人员披露了广泛使用的JavaScript库protobuf.js中存在的六个安全漏洞,涉及远程代码执行、拒绝服务、原型污染等问题。该库每周下载量超5000万次,常以间接依赖形式存在于应用中。攻击者可通过操控schema数据注入恶意代码并执行。受影响版本为7.5.5及更早版本和8.0.x,补丁已发布于7.5.6和8.0.2版本,建议用户尽快升级。
谷歌宣布对一个名为"Outsider Enterprise"的涉嫌中国网络犯罪团伙提起诉讼,该团伙利用AI冒充谷歌等品牌发送诈骗短信,窃取用户密码和信用卡信息,受害者多达数十万人,损失估计达数百万美元。该团伙曾在两周内部署9000个假冒网站、100万个欺诈域名,并向安卓用户发送250万条诈骗短信。谷歌表示正与AT&T、T-Mobile、Verizon及FBI协同应对,并借助AI工具每月拦截逾100亿条诈骗信息。
Anthropic发布了其网络安全模型Mythos的公开限制版本Fable,但该模型的安全护栏设置过于严格,引发大量网络安全研究人员的批评。研究人员反映,即便是请求代码审查或阅读博客等无害操作,也会触发安全机制。当前护栏疑似基于关键词过滤,凡涉及"网络安全"相关词汇均会被拦截并降级至Claude Opus 4.8。部分专家表示理解,认为早期阶段宁可过度拦截,随时间推移再逐步放宽限制。Anthropic目前要求网络安全专业人员申请"网络验证计划"以获得更少限制的使用权限。
德州农工大学系统CIO Vince Kellen指出,随着身份验证和合规要求不断增加,过多的安全摩擦反而会促使用户绕过安全控制。他强调,高安全性必须与良好用户体验并重。在零信任架构中,他通过实时数据包检测和软件定义网络实现主动防护。对于AI智能体安全,他认为应沿用管理用户和设备的既有原则。他同时指出,技术管控比安全培训更为关键。
董事会成员虽了解网络风险的危害性,但往往缺乏对关键风险优先级的清晰认知。Verizon 2025年数据泄露报告显示,勒索软件占44%的泄露事件,第三方参与占30%,漏洞利用同比增长34%。然而,许多网络安全汇报仍停留在技术层面,未能与业务损失、合规风险挂钩。董事会真正需要的是以业务语言呈现的风险分析——明确哪些风险最紧迫、延误的代价是什么,以及资源应优先投向何处。
企业关注的重点将逐渐从部署AI能力,转向如何将AI真正应用到业务场景并创造实际价值。面向AI时代,思科正聚焦三个核心方向。
芬兰奥卢大学与瑞典皇家理工学院共同启动了一项总额430万欧元的联合6G韧性研究计划——6G-FISRE。该计划旨在推动欧洲技术自主与社会安全,联合诺基亚、爱立信、Saab等多家顶尖学术与产业机构,致力于从底层设计具备"内生韧性"的6G系统。项目核心目标是确保通信网络在网络攻击、基础设施故障及危机情境下仍能维持关键服务的连续性,并借助AI技术实现网络自主感知、自适应与自愈能力。
RubyGems团队为包管理工具Bundler新增"冷却期"功能,旨在防御近期频发的软件供应链攻击。该机制通过设定等待天数,延迟安装近期更新的Ruby包,为社区提供时间识别潜在恶意代码。近年攻击者惯用窃取开发者凭证的方式将恶意代码植入包中,冷却期可有效阻断此类传播链。若遇已知安全补丁等紧急情况,开发者可手动绕过该限制。
Virgin Media O2警告称,英国现行规划法规正威胁伦敦移动网络覆盖。由于开发商可在18个月内要求运营商撤除设备,而寻找替代站点往往需要两年以上,导致伦敦多处区域出现覆盖盲区。VMO2已被迫关闭数十个基站,伦敦每万人拥有的5G站点不足7个,落后于其他主要城市。该公司呼吁政府更新规划政策框架,优先保障电信基础设施建设,并要求新开发项目从立项起即评估其对移动网络的影响。
Infoblox对其威胁防御云客户的DNS解析数据分析显示,住宅代理服务已广泛渗透企业网络。约65%的云端企业客户存在连接住宅代理服务的行为,制药及食品饮料行业受影响比例超90%,政府和银行业超60%。住宅代理通过将流量伪装成真实消费者设备发出,绕过传统安全检测,可能给企业带来声誉、法律及安全风险。研究人员建议采用防护性DNS、审计日志及应用审查等措施加以应对。
数据安全初创公司Cyera近日完成6亿美元G轮融资,估值达120亿美元,由Evolution Equity Partners领投,Accel、AT&T Ventures、Blackstone等参与。Cyera旗下AI平台可扫描企业系统中的敏感数据,识别安全风险并自动修复部分漏洞。同日披露融资的还有Pi和Aryon Security,分别获得3500万和2900万美元融资,两家公司均借助AI技术提升企业网络安全防护能力。
F5本周宣布扩展其Web应用与API保护(WAAP)能力。新功能涵盖三大领域:一是AI驱动的WAF,利用神经网络模型对每个请求实时评分,替代传统签名匹配;二是本地版API安全组件,支持离线及合规环境下的API发现与防护;三是增强型虚拟补丁,在漏洞修复期间提供运行时保护。测试显示,F5 WAAP综合安全评分达97.09%,对OWASP TOP 10实现100%防护。
在拉斯维加斯举办的Zenith Live用户大会上,Zscaler CEO Jay Chaudhry发表主题演讲,重点阐述了企业在智能体AI时代面临的全新安全挑战。他指出,AI代理数量将远超员工人数,传统人工治理模式已无法适应机器速度的运作。为此,Zscaler推出AI Broker、端点AI安全、AI Access Graph等新产品,将零信任架构延伸至AI代理管理,旨在帮助企业从AI试验阶段安全迈向规模化生产部署。
Meta旗下AI客服助手近日被黑客利用,导致超过2万个Instagram账号遭到劫持,受害者涵盖丝芙兰、美国太空军高级士官及奥巴马白宫官方账号等知名账户。黑客通过简单对话诱导AI更改账号绑定邮箱,随即触发密码重置流程,全程无需知晓原始密码。Meta已于6月1日修复该漏洞,并向受影响用户发出通知,建议立即开启多因素认证以防范类似攻击。
安全研究人员披露了一个Linux高危漏洞(CVE-2026-53111),根源竟是内核代码中一个多余的感叹号。该漏洞位于负责数据包过滤的nf_tables子系统中,可引发"释放后使用"内存破坏问题,允许无特权用户将系统权限提升至root。利用过程通过干扰verdict映射删除机制,使引用计数器被任意递减,最终释放仍被其他对象引用的链。Exodus Intelligence测试显示,该漏洞在Debian和Ubuntu上利用成功率超过99%,目前已于今年2月修复。
英国最大独立全光纤网络平台CityFibre宣布,其多千兆宽带网络已连接逾100万个用户端,覆盖近500万处房屋。该公司2025年营收达1.7亿英镑,同比增长25%,EBITDA增长460%至2900万英镑。此外,CityFibre还推出8.5Gb宽带产品,并启动数字素养计划,计划到2030年为100万名小学生提供数字技能工具包。
BT成为首家加入Anthropic Project Glasswing计划的英国企业,获得Claude Mythos Preview前沿AI模型的受控访问权限,以增强网络和客户的网络安全防护。该项目汇聚了亚马逊、苹果、思科、微软等40余家关键基础设施提供商,旨在利用AI快速识别漏洞,抢在黑客之前保护关键软件系统。Anthropic为此承诺提供最高1亿美元的使用额度及400万美元开源安全捐款。BT目前每天拦截400万次网络攻击。
美国网络安全局(CISA)发布紧急命令,要求所有联邦民事机构在6月11日前修复Check Point软件产品中的一个高危漏洞。该漏洞影响Check Point旗下多款远程访问工具、防火墙及VPN产品。已知勒索软件组织Qilin正积极利用此漏洞,自5月7日起已入侵全球数十个目标组织。CISA援引BOD 22-01指令,要求国土安全部、国务院、财政部等机构限期完成修复。