/
便利贴上的密码,让健身房变成了"80年代恐怖片现场"
一家酒店健身房安装了带视频屏幕的有氧器械,供用户通过局域网观看Netflix。然而,安装人员将设备默认管理员PIN码写在便利贴上,贴在跑步机旁,导致住客得以登录控制面板,将Netflix切换为80年代音乐视频。虽然此次"攻击"未造成实质损害,但事件促使安装公司改进安全措施:将设备隔离至访客VLAN、修改默认密码、禁用USB接口,并在防火墙层面限制流量。
Anjuna创业公司裁员与复苏:创始人的经验与反思
网络安全初创公司Anjuna Security在2021年快速扩张至约75名员工,却在2022年市场转冷后陷入困境,被迫两次裁员。公司CEO Ayal Yogev分享了如何通过快速决策、透明沟通和以"关怀"为核心的企业文化度过危机。裁员期间,公司不仅为离职员工提供超出常规的支持,还避免了推卸责任的文化陷阱。如今,Anjuna借助AI工具提升运营效率,以更审慎的方式重建团队。
数据泄露风波持续发酵,估值百亿美元的Mercor深陷困境
AI数据训练独角兽Mercor在完成35亿美元C轮融资、估值达100亿美元六个月后,于3月31日承认遭遇数据泄露。黑客组织声称窃取了4TB数据,涵盖候选人信息、雇主数据及源代码等。此次泄露源于开源工具LiteLLM被植入凭证窃取恶意软件。Meta已无限期暂停与Mercor的合作,五名承包商提起诉讼。OpenAI表示正调查其涉及程度,其他大型模型厂商也在重新评估与Mercor的合作关系。
微软封锁VeraCrypt和WireGuard开发者账号,称因账号验证流程所致
微软突然封停开源工具VeraCrypt与WireGuard开发者的账号,导致其无法签署软件更新,引发安全担忧。微软回应称此举源于账户验证流程,承认沟通不畅并承诺改进,受影响账号正逐渐恢复。
Anthropic最新AI模型漏洞挖掘能力过于强大,暂不对外公开发布
Anthropic最新AI模型Claude Mythos在网络安全漏洞检测方面能力极强,甚至超越顶尖人类专家,因此暂不对公众发布。该公司发起名为"Project Glasswing"的联盟,成员包括苹果、微软、谷歌、亚马逊云等逾50家机构,共同利用该模型修补漏洞。Anthropic承诺投入1亿美元使用积分及400万美元捐款支持开源安全组织,致力于构建更安全的互联网环境。
荷兰医疗软件供应商遭勒索软件攻击后被迫下线
荷兰医疗软件供应商ChipSoft于4月7日遭受勒索软件攻击,官网随即下线。该公司为荷兰约80%的医疗机构提供患者病历管理软件。荷兰医疗网络安全应急响应团队Z-CERT已确认攻击性质,并正与相关医院展开评估。目前已有11家医院被迫下线其软件系统。Z-CERT提醒各医疗机构排查异常流量,并呼吁医院制定灾难恢复预案,以确保患者在网络中断期间仍能获得持续照护。
XCOM RAN推出面向物理AI的端到端私有5G解决方案
XCOM RAN(Globalstar旗下品牌)正式发布端到端私有5G解决方案,旨在推动物理AI在工业自动化领域的规模化应用。该方案基于O-RAN标准,采用Supercell架构,容量较现有私有5G产品提升逾四倍,支持多频段灵活部署。配套推出的XCOM Orchestrator可简化多租户管理,降低企业运营复杂度。斑马技术等行业合作伙伴已宣布支持该技术,共同构建经过验证的端到端解决方案。
Claude Code仍存在Anthropic已修复但未启用的安全漏洞
AI安全公司Adversa发现,Claude Code存在一个已被记录在源代码中的安全漏洞:当命令包含超过50个子命令时,系统将跳过计算密集型安全分析,仅询问用户是否继续执行。Anthropic已开发出修复方案(tree-sitter解析器),但未在公开版本中启用。攻击者可通过植入恶意CLAUDE.md文件,在50条正常命令后附加窃取凭证的指令,进而威胁整个软件供应链安全。
互联网漏洞悬赏计划暂停奖励发放
互联网漏洞赏金计划(IBB)宣布暂停提交与奖励发放,管理方HackerOne表示正在重新评估开源安全的处理方式。该计划自2012年运行至今,已累计奖励超150万美元。随着AI技术加速漏洞发现,漏洞报告数量大幅增加,但修复能力未能同步跟上,导致原有80%用于漏洞发现、20%用于修复的资金分配模式难以为继。Node.js等项目已受到影响,Google和Curl项目也相继对AI生成的漏洞提交设限。
每日数百家机构遭微软设备码钓鱼攻击,AI全程驱动渗透全球企业
微软研究人员发现,自2026年3月15日起,一场利用AI和自动化技术的设备码钓鱼攻击活动每日入侵数百家企业。攻击者每24小时发起10至15个独立攻击活动,借助EvilTokens工具包绕过多因素认证,窃取企业邮件及财务数据。攻击链涵盖AI生成定制钓鱼邮件、利用合法云平台多级跳转规避检测,并采用动态设备码生成技术延长攻击时间窗口。微软建议在非必要情况下禁用设备码认证流程。
核心基础设施工程师认罪:一起内部攻击事件的安全警示
一名核心基础设施工程师Daniel Rhyne因对前雇主发动内部勒索攻击而认罪。他利用未授权远程桌面会话、删除网络管理员账户、更改密码等常规手段入侵系统,随后以比特币赎金约75万美元要挟企业。安全专家指出,此案最令人担忧的是攻击手法普通且可预防,但企业因IT员工抵触监控而疏于防范。Rhyne面临最高15年监禁。
苹果、谷歌、微软联手Anthropic推出"玻璃翼"项目,守护全球关键软件安全
全球最大的科技公司联合发起"玻璃翼计划",这一AI驱动的网络安全防御项目堪比"曼哈顿计划"。该联盟包括亚马逊、苹果、谷歌、微软、英伟达等12家巨头,旨在应对AI技术带来的网络安全威胁。项目将部署名为Claude Mythos Preview的未发布AI模型,该模型已发现数千个零日漏洞,其中许多存在于已部署10-20年的关键软件中。专家警告称,AI能力已跨越临界点,漏洞发现到被利用的时间窗口已从数月缩短至数分钟,传统防护方式已不再足够。
CERT-EU确认Europa.eu数据泄露源于Trivy供应链攻击
欧盟计算机应急响应团队CERT-EU确认,Europa.eu平台数据泄露事件源于Aqua Security开源漏洞扫描器Trivy的供应链攻击。攻击者通过Trivy漏洞获取AWS密钥,窃取350GB数据,涉及42个欧盟委员会内部客户和29个其他欧盟实体。TeamPCP组织利用GitHub Actions配置错误发起攻击,影响超过1000个SaaS环境,成为近期最严重的供应链安全事件之一。
思科加入Anthropic多厂商联盟保障AI软件安全
思科正式加入Anthropic的Glasswing项目,该联盟包括亚马逊、苹果、博通、CrowdStrike等多家知名厂商,旨在利用Anthropic未发布的Claude Mythos Preview软件共同应对AI安全威胁。项目将专注于漏洞检测、系统渗透测试等关键安全任务。Anthropic承诺提供1亿美元的模型使用积分,并向开源基金会捐赠400万美元。随着AI攻击增长89%,该项目致力于建立协调的技术解决方案来保护全球网络基础设施。
Cloudflare与GoDaddy联手控制AI机器人爬虫
针对AI代理日益频繁访问网络而忽视网站所有者需求的问题,Cloudflare和GoDaddy宣布合作,帮助网站管理者更好地控制AI爬虫行为。GoDaddy将集成Cloudflare的AI爬虫控制工具,让网站所有者能够管理AI访问权限,包括允许、阻止或要求付费访问。两家公司还支持代理名称服务和加密签名验证等新标准,旨在建立透明的AI代理识别机制,确保网站创作者获得公平回报。
亚马逊推出高性能后量子密码学实现方案
亚马逊推出mlkem-native高保证、高性能的ML-KEM C语言实现,结合参考实现的简洁性与研究优化及形式化验证。利用CBMC和SLOTHY等自动化工具确保内存安全、类型安全和功能正确性,在数学确定性基础上实现激进的汇编优化。相比ML-KEM参考实现,mlkem-native在不同EC2实例上每秒操作数提升2.0到2.4倍,同时保持安全性和可维护性。
思科:AI简化无线运营但给传统Wi-Fi网络带来压力
思科发布首份《无线网络现状2026》报告,调研显示AI正在推动无线网络基础设施快速演进。虽然AI能简化网络运营并带来投资回报,但同时暴露了传统系统的脆弱性。目前Wi-Fi 5仍是最常用标准,但已无法满足AI时代需求,59%企业计划在一年内部署Wi-Fi 6E或7。报告指出,98%无线专业人士认为网络运营日趋复杂,平均每周处理68张技术支持工单。
智能体发现Linux打印系统CUPS两个严重漏洞
安全研究人员利用AI漏洞搜寻代理在CUPS打印系统中发现两个可链式利用的安全漏洞CVE-2026-34980和CVE-2026-34990。攻击者可通过这些漏洞实现未经身份验证的远程代码执行和root权限文件覆写。第一个漏洞影响网络共享的PostScript队列配置,第二个漏洞可被本地低权限用户利用。两个漏洞链式利用后,远程攻击者可获得root权限。该研究突显了AI在代码漏洞发现方面的强大能力。
Fortinet修复FortiClient EMS关键漏洞CVE-2026-35616
Fortinet发布紧急补丁修复FortiClient EMS中的严重安全漏洞CVE-2026-35616,该漏洞已遭野外攻击利用。该漏洞允许未认证攻击者绕过API访问控制并提升权限,CVSS评分高达9.1。影响版本为7.4.5至7.4.6,公司已发布热修复补丁。安全专家建议立即应用修复程序,这是FortiClient EMS短期内第二个严重漏洞。
36个恶意npm包利用Redis和PostgreSQL部署持久化植入程序
网络安全研究人员在npm仓库中发现36个恶意软件包,伪装成Strapi CMS插件,通过不同载荷实现Redis和PostgreSQL漏洞利用、部署反向Shell、收集凭据并投放持久化植入程序。这些包遵循相同命名规则,以"strapi-plugin-"开头欺骗开发者下载。攻击载荷通过postinstall脚本执行,具备容器逃逸、数据库利用、凭据窃取等功能,疑似针对加密货币平台的定向攻击。
京公网安备 11010802021500号
