/
AI驱动网络犯罪数量飙升,勒索软件受害者年增389%:Fortinet 发布2026年全球威胁态势研究报告
专注推动网络与安全融合的全球性综合网络安全解决方案供应商Fortinet(R)(NASDAQ:FTNT)旗下FortiGuard Labs(FortiGuard全球威胁研究与响应实验室),近日重磅发布《2026年全球威胁态势研究报告》。
"别慌":冷静评估AI风险成网络安全峰会主旋律
在年度Gartner安全与风险管理峰会上,多位分析师警告安全领导者不要对AI驱动的网络威胁过度恐慌。Anthropic Claude Mythos和OpenAI Daybreak等新模型虽加快了漏洞发现速度,但专家强调防御重点仍应聚焦基础工作,如资产暴露管理和补丁优先级部署。与此同时,分析师提醒企业警惕过度投资生成式AI平台、忽视人才培养的风险,盲目裁减有经验的安全人员可能造成难以弥补的能力损失。
Flowise MCP实现存在严重远程代码执行漏洞
安全研究人员发现,开源AI平台Flowise在实现模型上下文协议(MCP)stdio服务器时存在严重漏洞(CVE-2026-40933,CVSS评分9.9)。攻击者可通过恶意导入聊天流,无需保存或运行即可触发远程代码执行,进而获取API密钥、数据库及云资源等敏感信息。该漏洞源于平台允许用户配置含任意命令的MCP stdio服务器。官方已多次修复但均可被绕过,研究人员建议将CUSTOM_MCP_PROTOCOL设为SSE以彻底规避风险。
Dashlane披露攻击者如何成功下载加密密码库
密码管理服务商Dashlane披露了一起针对其用户的协调性黑客攻击事件。攻击者利用设备注册API接口发起暴力破解,通过向大量账户同时尝试一次性验证码(2FA喷洒攻击)的方式,成功对不足20个账户完成新设备注册并下载了加密密码库副本。Dashlane的自动安全系统及时介入并锁定受影响账户,已通知所有相关用户。由于密码库内容需主密码解密,加之Dashlane采用Argon2算法保护,攻击者实际获取明文数据的难度依然极高。
IBM与Red Hat携手打造企业开源安全"清算中心"
IBM与红帽联合宣布启动"Project Lightwell"计划,承诺投入50亿美元并调配2万名工程师,构建一个AI驱动的企业级开源软件安全漏洞修复平台。该平台将作为"安全协调层",帮助企业快速发现并修复开源代码中的漏洞,并将补丁直接集成到现有软件供应链中。目前已有美国银行、花旗、高盛、摩根士丹利等11家金融机构作为早期合作伙伴参与设计阶段,后续将以订阅制商业模式对外开放。
微软威胁对安全研究人员展开刑事调查,遭业界强烈批评
一名代号为"Nightmare Eclipse"的安全研究员公开披露了多个微软产品漏洞(包括Defender和BitLocker中的缺陷),并附上利用代码,微软随即发博文批评其未经协调便公开披露,并暗示将启动法律程序。此举在网络安全社区引发强烈反弹。漏洞赏金制度先驱Katie Moussouris警告,此举将令研究员失去对微软的信任,产生寒蝉效应,最终损害所有用户的安全。
瑞士研究人员宣称利用量子芯片实现完美随机数生成
瑞士苏黎世联邦理工学院研究人员利用两块量子超导芯片、一根30米长的微波导管及专用软件,构建出一套"完美随机数生成器"。该系统通过量子纠缠效应产生随机数,并借助特殊算法确保结果无任何偏差。研究人员表示,这一装置可用于生成加密密钥,或为彩票、区块链等应用提供"公共随机性服务"。相关成果已发表于《自然》杂志。
Dashlane发布模糊安全公告:20个加密密码库遭窃
密码管理器Dashlane发布安全公告称,攻击者于2026年5月31日对部分用户账户发动暴力破解攻击,试图绕过双因素认证(2FA)以注册新设备,最终导致不足20个加密保险库被窃取。公告内容含糊,未说明第一重认证因素如何被突破,引发大量用户困惑。Dashlane表示,若未收到风险通知则账户未受影响,且在未知晓主解密密码的情况下,保险库内容仍属安全。但公司在发布公告48小时后仍未作进一步说明。
思科推出用于运营和防护关键 IT 基础设施的智能体平台
思科今日在 Cisco Live 大会上发布的思科云控制平台(Cisco Cloud Control)是一个统一平台,专为人类与AI智能体共同管理、监控和防御关键IT基础设施而设计,同时也是思科智能运维(AgenticOps)模式的基石。
AI时代的终端管理:旧规则为何正在走向崩溃
AI正在颠覆传统终端管理的运作逻辑。自主智能体、代码辅助工具与AI驱动的工作流正以远超现有治理框架的速度重塑企业环境。攻击者借助AI加速漏洞利用与恶意软件开发,使原本长达数周的修复周期愈发难以接受。IT团队不仅要应对效率压力,更需重构整个运营体系——从依赖人工经验转向自动化、可回滚、持续合规可见的系统架构。在AI时代,脆弱的系统不会缓慢失效,而是瞬间崩溃。
思科Jeetu Patel谈如何破解"AI信任赤字"难题
在拉斯维加斯举行的Cisco Live大会上,思科总裁兼首席产品官Jeetu Patel指出,AI智能体面临的最大障碍是"信任赤字"——企业若不信任AI,便不会将任务委托给它。他强调,解决这一问题需要对整个AI技术栈实现全面可观测性。思科正通过三大目标推进智能体安全:保护AI免受外部威胁、防止AI制造安全风险、以及以机器速度检测和响应威胁。此外,思科本周还推出了Cisco Cloud Control平台,目前已有约60家企业参与测试。
Meta AI客服机器人泄露账户,Instagram遭遇大规模黑客攻击
Meta将Instagram客服全面交由AI处理后,出现严重安全漏洞。黑客只需向AI客服请求更改目标账号的绑定邮箱,随后诱导机器人在未验证身份的情况下发起密码重置,并将重置码发送至黑客自己的邮箱,从而完全接管账号。受害者包括丝芙兰、美国太空军等知名账号。目前Meta已修复该漏洞,建议用户开启多因素认证以防范类似攻击。
Capita数据泄露案:苏格兰居民获准发起集体诉讼
苏格兰最高民事法院法官批准苏格兰居民对Capita发起集体诉讼,涉及2023年数据泄露事件。此次泄露由Black Basta勒索软件攻击引发,波及约600万人,涉及养老金及员工记录等敏感信息。信息专员办公室已对Capita处以合计1400万英镑罚款。此外,8000名受害者提起的集体索赔也获准继续推进。目前已有法律机构代理受害者,鼓励相关人员尽快申请赔偿。
供应链安全攻防升级:恶意软件清除行动与AI误报噪音双重夹击
CrowdStrike联合谷歌和Shadowserver基金会成功打击了GlassWorm恶意软件行动,同时摧毁其四条C2控制信道,该行动曾通过poisoned npm和Python包及VSCode扩展攻击开发者。然而,攻击者可借助开源生态系统低成本快速重建。与此同时,OSV数据库撤回157条疑似AI生成的误报记录,暴露出自动化安全报告的可靠性问题,信号噪音正在侵蚀防御工具的可信度。
O2 卫星服务正式支持 iPhone,英国移动覆盖再升级
Virgin Media O2宣布将O2卫星服务扩展至iPhone用户。该服务基于SpaceX星链低轨卫星技术,可在无地面蜂窝信号的偏远地区提供直连卫星通信,覆盖短信、通话及数据功能。目前支持iPhone 13至17系列多款机型,兼容WhatsApp、Google Maps、Apple Maps等主流应用。服务开通后,O2在英国陆地覆盖率已提升至95%,有效填补传统网络盲区。
EE加速英国5G+网络部署,携手Meta优化移动视频体验
英国移动运营商EE宣布扩展5G+网络基础设施,并与Meta完成技术试点合作,旨在提升用户在高峰时段观看Facebook和Instagram视频的流畅度。核心技术为"高级RAN协调"(ARC),可实现相邻基站实时动态共享容量,下载速度最高提升20%。EE计划在25个以上大型活动及30余个旅游目的地部署5G+,目前覆盖英国75%人口。Meta的拥塞感知技术已在EE网络全面落地,可将拥塞时比特率降低6%至8%,显著减少视频卡顿现象。
Gogs 严重漏洞长期未修复,开源项目局限性引发关注
开源Git服务Gogs被发现一个严重的参数注入漏洞,允许任意已认证用户通过恶意分支名在合并操作中远程执行代码。Rapid7在两个多月前首次报告该漏洞,但Gogs维护者始终未作回应。目前漏洞仍未修复,攻击者可借此获取源代码读写权限、窃取凭据并发动供应链攻击。安全专家建议相关组织立即限制Gogs网络访问并禁用用户自助注册,此事件也再次暴露了小型维护者开源项目在安全响应上的固有局限。
Build 2026:微软MDASH正式结束预览,推出逾百款专属威胁猎杀AI智能体
微软在Build 2026大会上宣布,其多模型智能安全扫描系统MDASH已从私有预览升级为扩展预览,并整合进企业级安全控制平台,连接Defender、GitHub Code Security、Agent 365及Purview。MDASH通过100余个专用AI代理协同运作,聚焦可利用漏洞的优先排序,有效降低安全告警噪声。该系统在CyberGym基准测试中得分已达96.55%,标志着AI漏洞发现正式进入企业级生产部署阶段。
Netskope推出AI Command Center,助力企业全面管控AI扩张风险
Netskope近日在其One SASE平台中推出AI Command Center,为企业提供集中化的AI风险管理能力。该平台可发现、评估并应对AI应用、模型及自主代理带来的安全威胁,涵盖已授权与未授权的AI服务。依托全球120余个数据中心组成的NewEdge网络,平台能实时关联用户行为、数据与安全策略。据报告显示,目前94%的企业在信息不完整的情况下做出AI安全决策,该产品现已正式上线。
京公网安备 11010802021500号
