/
Anthropic发布Claude Mythos:当AI能找到所有漏洞,谁来掌控互联网?
Anthropic发布最新AI模型Claude Mythos,但因其能自主发现并利用零日漏洞、甚至接管主流操作系统,暂不公开发布。公司联合40家美国机构推进"玻璃翼计划",协助修补漏洞。英国已获准测试并发出警告:AI将使网络攻击更快更易,多数企业尚未做好准备。与此同时,AI工具的普及正将黑客技术门槛大幅降低,私人公司掌控关键网络安全能力的风险引发广泛关注。
Anthropic新模型Mythos对网络安全未来意味着什么
Anthropic发布的Claude Mythos Preview模型能够自主发现并利用软件漏洞,甚至无需专家指导即可生成可用攻击程序。这一能力对操作系统、网络基础设施等关键软件构成重大安全威胁。专家认为,AI漏洞挖掘工具将催生"VulnOps"等新型防御实践,可修补的系统最终将受益于AI防御,但物联网设备、工控系统等难以更新的系统仍面临较高风险。
npm供应链蠕虫病毒持续蔓延,窃取开发者敏感数据
又一起npm供应链攻击正在蔓延,恶意软件以蠕虫方式感染与Namastex Labs相关的多个npm包,窃取开发者环境中的令牌、API密钥、SSH密钥及云服务凭证,并将数据外传至ICP容器端点。该攻击具备自我传播能力,可识别受害者有权发布的包并注入恶意代码重新发布,还可横向感染PyPI包。安全厂商Socket指出,此次攻击与上月TeamPCP发动的CanisterWorm攻击高度重叠。
黑客利用AI集成漏洞入侵Vercel内部系统
前端云平台Vercel(Next.js和Turbo.js的创建者)近日披露一起数据泄露事件。一名员工使用第三方AI应用Context.ai时,攻击者通过OAuth机制入侵其Google Workspace账户,访问了部分未标记为"敏感"的环境变量。Vercel已联系受影响客户要求轮换凭证,并与Mandiant等网络安全公司及执法机构合作展开调查。黑客组织Shinyhunters据称已在暗网以200万美元出售窃取数据。
SITA联合HPE Aruba推出园区网络,为全球机场提供托管连接服务
航空技术公司SITA发布全新园区网络解决方案,由HPE Aruba Networking提供技术支持,覆盖全球逾150个国家。该服务涵盖网络设计、采购、安装、配置及全天候运维支持,帮助航空公司和机场卸下自主管理网络的复杂性与成本负担。方案支持有线与无线环境,采用云端集中管理,内置AI技术实现故障自动检测与处理,并通过按需付费模式降低前期投入,适用于航站楼、机库等高密度场景。
法国"安全"证件机构遭遇数据泄露,黑客声称窃取1900万条记录
法国国家安全证件机构(ANTS)确认其门户网站于4月15日遭遇安全事件,可能泄露用户姓名、邮箱、出生日期、手机号及邮政地址等个人信息。与此同时,一名黑客在犯罪论坛声称已窃取1800万至1900万条记录,约占法国总人口的三分之一。目前政府尚未证实该数据规模,调查仍在进行中。这是法国近期继教育部和国家银行账户注册系统遭入侵后的又一起公共部门安全事件。
混合云存在双重攻击面,但企业的安全防护力度远远不够
以色列安全研究人员在微软Windows管理中心(WAC)中发现了四个CVE漏洞,揭示混合云管理工具存在双向攻击面风险。研究发现,WAC本地版安装目录缺乏写保护,攻击者可植入恶意软件;此外,POP令牌验证机制存在缺陷,可被重用或伪造,进而攻击Azure租户虚拟机。微软已修复相关漏洞,最高CVSS评分7.8。研究人员警告:混合云管理平面是被严重忽视的攻击面,企业必须同等重视云端与本地安全防护。
macOS系统遭ClickFix攻击,AppleScript窃取器盗取账户凭证与加密钱包
安全研究人员发现一起针对macOS用户的ClickFix攻击活动,通过伪造CAPTCHA验证页面诱导用户执行恶意AppleScript脚本。该恶意程序可窃取14款浏览器的会话Cookie与密码、16个加密货币钱包数据及200余个浏览器扩展信息,同时通过仿冒系统对话框强迫用户输入系统密码。受害者主要集中在亚洲金融行业。最新版macOS已新增防护机制,建议用户及时更新系统。
英国国家网络安全中心宣布推动消费者告别密码、全面转向通行密钥
英国国家网络安全中心(NCSC)宣布,不再建议个人在有通行密钥(Passkey)可用的情况下继续使用传统密码。通行密钥存储于手机、电脑或第三方凭证管理器中,比密码更便捷、更安全,且对网络钓鱼攻击具有更强抵御能力。技术研究显示,通行密钥的安全性至少与"密码+双因素认证"相当,通常更优。目前,谷歌、PayPal等平台已支持该技术,NHS也已率先采用。NCSC暂不建议企业内部应用使用通行密钥,大型银行预计将在未来三至五年内逐步推进。
前勒索软件谈判员承认受黑客组织收买后叛变
第三名前勒索软件谈判员Angelo Martino对协助ALPHV/BlackCat勒索团伙敲诈美国企业的罪行认罪。他曾任职于芝加哥网络安全公司DigitalMint,表面上帮助受害企业应对网络攻击,实则向黑客泄露受害者网络保险限额等机密信息,以最大化赎金收益。五起案件中,赎金总额高达数千万美元。此前已有两名同谋认罪,三人均面临最高20年监禁。
思科SD-WAN多个漏洞遭攻击者利用,CISA紧急要求修补
美国网络安全和基础设施安全局(CISA)已将三个思科Catalyst SD-WAN Manager漏洞列入已知被利用漏洞目录,并要求联邦机构在四天内完成修复。三个漏洞分别涉及信息泄露和任意文件覆写,攻击者可借此获取系统权限或上传恶意文件。思科于今年2月底发布补丁,3月证实其中两个漏洞已遭主动利用。
Curity推出智能体运行时授权方案,重塑IAM安全体系
瑞典网络安全公司Curity发布Access Intelligence,这是其Identity Server平台的扩展模块,专为AI智能体安全设计。传统IAM工具基于人类用户或固定机器身份构建,无法应对AI智能体复杂、非确定性的访问行为。Curity的创新之处在于将智能体视为特殊应用类型,通过OAuth令牌携带智能体意图信息,在运行时动态授权,而非依赖静态预设权限。高风险操作还可触发人工审批机制,从而在灵活性与安全性之间实现平衡。
IPv6流量占比短暂突破互联网总流量的50%
据谷歌统计数据显示,2024年3月28日,IPv6流量占比短暂达到50.1%,创历史新高。然而,Cloudflare和APNIC实验室的数据显示,IPv6流量峰值约为43%,各方数据存在差异。IPv6自1998年由IETF批准以来,普及进程极为缓慢,直到2014年才突破5%。IPv6支持约3.4×10??个地址,旨在解决IPv4仅有43亿个地址的局限性问题。
A&K旅游集团携手Colt构建全球量子安全网络
A&K旅游集团(AKTG)选择Colt技术服务公司,为其全球核心业务和旗下高端旅行品牌打造量子安全网络基础设施。该网络集成了Arqit的量子安全加密技术,覆盖全球100多个国家,支持探险船、河轮、野生动物营地等复杂运营场景。此举旨在抵御量子计算机带来的未来安全威胁,包括"先收割后解密"攻击,同时为客户提供低延迟、高安全性的无缝数字体验。
前沿AI与漏洞修复日碰撞,网络安全迎来"漏洞海啸"
微软4月补丁星期二发布逾160个漏洞修复,规模创历史第二。与此同时,Anthropic推出Project Glasswing项目,其前沿AI模型Claude Mythos据称已发现"数千"个关键漏洞,引发业界对AI加速漏洞挖掘的广泛讨论。专家警告,AI正在使漏洞发现更快、更廉价,企业需将安全纳入产品全生命周期,建立自动化漏洞响应能力,并加快补丁修复节奏,以应对日益严峻的威胁形势。
英国本地关键基础设施:网络安全韧性建设的缺失环节
网络安全公司TrendAI网络战略总监Jonathan Lee指出,英国支撑地方议会服务、社会护理及本地交通的关键基础设施,正被政府和企业的网络韧性规划所忽视。他警告称,伦敦、大曼彻斯特等城市区域可能同时遭受多起网络攻击,严重影响居民生活与公共服务。尽管《网络安全与韧性法案》正在推进,但地方基础设施的保护仍相对滞后,亟需更系统的顶层指导与强制性合规机制。
GitHub CLI悄然默认开启遥测数据收集,用户如何关闭?
微软旗下GitHub近期在未发布正式公告的情况下,悄然为命令行工具(CLI)默认启用了匿名遥测数据收集功能。收集的数据包括设备ID、操作系统、命令名称等元数据,官方称此举旨在了解功能使用情况并优化产品,同时提升对AI代理的支持。用户可通过设置环境变量`GH_TELEMETRY=false`或执行`gh config set telemetry disabled`命令选择退出。
Firefox 150更新修复271个安全漏洞,AI功臣是Claude Mythos
Firefox 150正式发布,此次更新不仅强化了分屏浏览、标签管理、语言翻译及内置PDF编辑器等核心功能,更借助Anthropic的Claude Mythos AI模型,一举修复了创纪录的271个安全漏洞。相比以往每次更新仅修复数十个漏洞,此次成果显著提升。该AI模型能够快速高效地识别各类安全缺陷,覆盖范围与人工排查相当,为网络安全防御带来重要突破。
Anthropic"超危险"漏洞猎手模型Mythos实为虚张声势
Anthropic推出的漏洞检测模型Mythos被宣传为极度危险而限制公开,但早期评测显示其能力被严重夸大。该模型通过Project Glasswing项目向特定合作伙伴开放,却因第三方供应商环境存在安全漏洞而遭未授权访问。来自Mozilla和AWS的测试结果表明,Mythos虽能快速发现漏洞,但尚未超越顶级人类安全研究员的水平。多位安全专家指出,Anthropic关于"数千个高危漏洞"的声明存在夸大,攻击者无需Mythos即可完成漏洞挖掘工作。
京公网安备 11010802021500号
