/
Mozilla:Anthropic的Mythos在Firefox 150中发现271个安全漏洞
Mozilla近日发文披露,借助Anthropic提供的早期访问权限,其AI模型Mythos Preview在Firefox 150发布前预先识别出271个安全漏洞。相比之下,此前Opus 4.6模型分析Firefox 148时仅发现22个漏洞。Firefox CTO Bobby Holley表示,Mythos的能力与顶尖安全研究人员相当,可大幅降低漏洞发现成本,使网络防御方获得决定性优势。Mozilla同时呼吁,开源项目维护者也应尽快获得此类AI工具的访问权限。
Zero Networks推出AI分段功能,填补网络执行层面的安全漏洞
Zero Networks成立于2019年,致力于以无代理、自动化的方式实现微分段,无需在受管资产上部署专用代理或手动创建策略。随着AI智能体在企业环境中的普及,该公司推出了AI Segmentation功能,可对AI智能体行为进行最小权限管控,阻止未经授权的云AI服务访问,并应对AI驱动的横向移动攻击。平台通过自动学习AI智能体的正常行为模式,一旦发现异常连接即时拦截并告警。
Mozilla借助Claude Mythos修复了Firefox中的271个安全漏洞
Mozilla近日分享了使用Anthropic旗下Claude Mythos Preview模型的实际成果:在最新版Firefox浏览器中,该AI帮助团队发现并修复了271个安全漏洞。Mozilla表示,目前尚未发现任何人类能找到而该模型无法识别的漏洞类型。这一成果为Anthropic的Project Glasswing计划提供了有力的第三方背书。Mozilla同时指出,AI目前并不能发现超越人类能力的漏洞,只是效率更高。
Mythos AI在Firefox中发现271个漏洞,与人类研究员能力相当
Mozilla基金会测试了Anthropic的漏洞检测AI模型Mythos,在Firefox 150中发现271个安全漏洞,远超此前22个的记录。Mozilla CTO Bobby Holley对此喜忧参半:一方面担忧修复压力,另一方面认为这标志着安全防御者迎来转机。他指出,Mythos的能力与顶级人类安全研究员相当,目前尚未发现人类能找到而AI找不到的漏洞类别。他认为,AI将漏洞发现成本大幅降低,有助于打破攻防不对称格局,让防御方真正占据优势。
Azure SRE智能体高危漏洞:外部攻击者可无声监听企业云操作全过程
微软Azure SRE Agent被曝高危身份验证漏洞(CVE-2026-32173,CVSS评分8.6),由Enclave AI研究员Yanir Tsarimi发现。该漏洞源于服务的多租户Entra ID应用配置缺陷,任意租户账户均可获取有效令牌并接入/agentHub端点,从而在无需授权的情况下静默监听企业云操作,包括用户指令、代理响应、执行命令及凭据等敏感信息。目前微软已完成服务端修复,无需客户操作。
Vercel遭AI辅助黑客入侵:OAuth滥用与员工账号失窃引发安全危机
Vercel CEO Guillermo Rauch表示,公司近期遭受的网络入侵事件可能有AI协助。攻击者通过Context.ai员工账户,劫持其Google Workspace访问权限,进而深入公司系统并获取环境变量数据。Hudson Rock研究人员指出,此次攻击源于今年2月的Lumma信息窃取恶意软件感染。目前受影响客户数量有限,Vercel已联系相关用户并建议轮换凭证。Mandiant正协助事件响应,npm供应链安全未受波及。
Marimo Python笔记本严重漏洞在披露后10小时内遭到利用
开源Python笔记本平台Marimo存在一个严重的预身份验证远程代码执行漏洞(CVE-2026-39987,评分9.3/10),影响0.23.0之前的所有版本。Sysdig威胁研究团队发现,该漏洞在公开披露后不到10小时即遭到实际利用。攻击者无需任何凭证,仅需向暴露的服务器发送单一连接请求,即可获得完整的交互式Shell并执行任意系统命令。Marimo已发布修复版本0.23.0,建议用户立即更新并轮换可能泄露的云访问密钥及API令牌。
Adaptavist集团遭遇安全入侵,勒索软件团伙声称窃取大量数据
英国企业软件咨询公司Adaptavist集团正在调查一起安全事件:攻击者利用被盗凭据入侵部分系统。与此同时,一个自称"The Gentlemen"的勒索软件团伙宣称实施了"完整基础设施入侵",并声称窃取了大量数据,包括数十万客户记录、源代码及内部文件。Adaptavist CEO表示,目前无证据显示客户数据遭外泄,但已警告有第三方冒充该公司向客户发送误导性邮件,疑似借机实施网络钓鱼攻击。
Cisco Webex单点登录漏洞需手动更新证书修复
思科本周发布安全公告,Cisco Webex服务存在一个CVSS评分高达9.8的严重漏洞(CVE-2026-20184)。该漏洞可能允许未经身份验证的远程攻击者冒充任意用户。虽然思科已完成云端修复,但使用SSO单点登录的管理员仍需手动在Webex Control Hub中上传新的IdP SAML证书,否则将面临访问控制失效的风险。此外,思科本周还修复了Cisco ISE中多个高危漏洞,最高CVSS评分达9.9。
微软Windows Recall功能仍存在静默数据提取漏洞
微软Windows Recall功能在经历重大安全升级后,仍存在严重安全隐患。网络安全研究员Alexander Hagenah发现,在用户权限下运行的恶意软件无需管理员权限或内核漏洞,即可静默提取Recall记录的所有数据。他发布了概念验证工具TotalRecall Reloaded加以证明。微软审查后认为此行为符合现有安全设计,并未构成安全边界绕过。Hagenah对此表示担忧,并指出短期修复方案是为AIXHost.exe进程添加代码完整性保护,长期则需重新设计解密数据的处理机制。
Vercel遭遇数据泄露事件,部分用户数据被窃取
开发者工具提供商Vercel披露了一起数据泄露事件。黑客通过入侵第三方AI平台Context.ai,进而访问了Vercel员工的Google Workspace账户,最终获取了部分客户的环境变量数据及API密钥。Vercel表示受影响用户数量"相当有限",且泄露数据均未启用敏感环境变量保护功能。目前公司已聘请谷歌旗下Mandiant团队协助调查,并建议用户更换非敏感环境变量、检查操作日志。
云开发平台Vercel遭遇黑客攻击,数据疑被窃取
云开发平台Vercel遭到黑客攻击,攻击者已尝试在网上出售窃取的数据,涉及员工姓名、邮箱及活动记录等信息。Vercel官方确认发生"安全事件",称攻击源头为一款遭入侵的第三方AI工具,其Google Workspace OAuth应用被大范围攻破,可能波及数百名用户。Vercel建议管理员立即审查活动日志、轮换环境变量,并检查相关Google应用的使用情况。
Lovable平台否认数据泄露,却将责任推给HackerOne
AI编程平台Lovable被安全研究人员披露存在严重漏洞,任何免费账户均可访问其他用户的源代码、数据库凭证及聊天记录。该公司起初将问题归因于"设计行为"和"文档不清晰",后又将责任推给漏洞赏金合作方HackerOne。据悉,该漏洞源于对象级授权缺陷(BOLA),研究人员仅需5次API调用即可获取他人数据。Lovable估值高达66亿美元,Uber、Zendesk等企业均为其用户。
微软发布带外更新,修复四月补丁引发的服务器重启死循环
微软发布带外更新,修复4月安全更新(KB5082063)导致的Windows Server重启循环问题。该问题影响Windows Server 2016至2025版本,在多域森林且启用特权访问管理(PAM)的环境中,域控制器会因LSASS崩溃而反复重启,导致身份验证和目录服务中断。此次修复同时解决了安装失败问题,热补丁方案也已提供。微软近期频繁发布带外更新,引发管理员对其更新质量管控的担忧。
Vercel遭遇数据泄露,客户凭证受到波及
Vercel公司于4月19日发现安全事件,攻击者通过入侵第三方AI工具Context.ai,获取了员工的Google Workspace账户访问权限,进而渗透至部分Vercel系统环境,导致少量客户凭证泄露。Vercel已通知受影响客户并建议立即更换凭证。Context.ai承认其AWS环境曾遭入侵,OAuth令牌被盗用。此事件再次印证了安全专家对AI代理产品连接第三方服务所带来安全风险的警告。
教科书巨头麦格劳-希尔遭勒索软件团伙攻击,1350万条记录泄露
教科书出版巨头麦格劳-希尔因Salesforce配置错误,导致1350万条记录外泄,随后被勒索软件团伙ShinyHunters列入暗网泄露名单。泄露数据超过100GB,涵盖姓名、电话、电子邮件及部分实际地址。该团伙声称持有超4000万条Salesforce相关个人信息,并指控麦格劳-希尔未在4月14日截止前支付赎金。麦格劳-希尔否认其核心系统遭到未授权访问,但此次事件再次警示企业需重视第三方平台的权限配置安全。
Anthropic发布Glasswing项目:用AI守护数据中心安全
Anthropic推出Glasswing项目,核心是部署新模型Claude Mythos,用于识别和修复复杂软件环境中的安全漏洞。项目联合AWS、谷歌、微软、英伟达和思科等科技巨头,在受控环境中测试AI在防御性网络安全领域的应用。随着AI加速漏洞发现,修复速度面临挑战,业界专家指出需构建自动化修复机制,推动安全体系从定期审计转向持续自主防护。
IPv6流量占比首次突破全球互联网流量一半
据谷歌统计,2025年3月28日,其检测到的互联网流量中有50.1%通过IPv6协议传输,创历史新高。谷歌凭借旗下主域名及YouTube两大全球最高流量网站,对互联网整体状况具有较强代表性。然而,Cloudflare和APNIC的数据显示IPv6占比分别为40.1%和43.13%,尚未达到50%。IPv6普及缓慢的主要原因在于其功能提升有限,以及网络地址转换(NAT)技术的广泛应用延缓了迁移进程。目前印度、中国等亚太地区国家的IPv6采用率已率先突破50%。
CISA紧急要求各机构修复这个潜伏13年的Apache ActiveMQ高危漏洞
美国网络安全局(CISA)将Apache ActiveMQ高危漏洞(CVE-2026-34197)列入已知被利用漏洞目录,要求联邦机构在4月30日前完成修补。该漏洞潜伏代码库长达13年,允许攻击者通过Jolokia管理API执行任意代码。更危险的是,大量部署仍使用默认凭据"admin:admin",结合旧版本中的另一漏洞,可实现无需认证的远程代码执行。目前超过8000个ActiveMQ实例暴露于公网,管理员需尽快升级至5.19.5或6.2.3版本。
AI厂商将安全漏洞推卸给用户,责任意识严重缺失
当AI厂商大力鼓吹企业用AI解决安全问题的同时,一旦AI自身存在漏洞,却以"符合预期行为"或"设计如此"为由推卸责任。近期研究人员发现,Anthropic、Google、Microsoft的三款AI代理工具存在可被劫持的漏洞,三家厂商虽支付了漏洞赏金,却均未发布CVE或公开安全公告。Anthropic的MCP协议被曝存在设计缺陷,威胁约20万台服务器,但Anthropic拒绝修复,称其为"预期行为",将安全责任转嫁给开发者和企业用户。
京公网安备 11010802021500号
