/
vm2 JavaScript沙箱发现13个严重漏洞,可执行任意代码
研究人员在vm2 JavaScript沙箱库中发现13个严重漏洞,攻击者可借此突破容器限制并在宿主系统执行任意命令。其中CVE-2026-26956可在特定Node.js 25与WebAssembly组合环境下完全逃逸沙箱,CVE-2026-44007则通过nesting:true配置选项触发权限控制缺陷。安全研究人员建议开发者立即升级至vm2 3.11.2版本,并考虑将不可信代码迁移至Docker容器或V8 Isolates等更强隔离方案中运行。
ClickFix已成2025年Mac感染主要方式,专家深度解析其威胁
本期Security Bite播客邀请macOS逆向工程师Christopher Lopez与MacPaw Moonlock Lab研究员Kseniia Yamburkh,深入剖析ClickFix社会工程攻击技术。该技术已导致2025年近半数网络安全事件,嘉宾探讨了受害者画像、攻击爆发原因、Mac恶意软件在2026年的演变趋势及当前安全威胁格局。
Venmo隐私问题在被曝光八年后终于迎来修复
数字支付应用Venmo长期存在隐私问题——用户交易记录、附带消息及联系人默认对外公开。早在2018年,安全研究人员就通过API获取了大量用户个人数据,此问题引发广泛关注。2024年该漏洞再度曝光,涉及美国政界人士的社交关系网络。如今,母公司PayPal终于着手改变默认隐私设置,新用户发帖将默认仅对好友可见,新版应用将在未来数周内陆续推出。
AI网络攻击或将引发全球金融危机,IMF发出严重警告
国际货币基金组织(IMF)警告,AI驱动的网络攻击可能引发全球金融危机。金融系统对共享云服务的高度依赖,使单一漏洞可能波及多家机构。Anthropic推出的AI模型Mythos能大规模识别软件漏洞,甚至非专业人士也可利用其发动攻击,引发广泛担忧。IMF呼吁各国加强国际合作与监管,并强调金融机构须建立健全的网络韧性策略与实时风险可见性,方能有效应对日益升级的AI网络威胁。
荷兰量子技术领先,但量子安全防护严重滞后
荷兰审计法院近期报告显示,虽然荷兰在量子研究领域处于欧洲领先地位,并已累计投入6.15亿欧元建设量子生态系统,但71%的政府机构尚未采取任何措施应对量子计算机对现有加密体系的潜在威胁。荷兰情报部门警告,"Q日"(量子计算机可破解现有非对称加密的时间节点)最早可能于2030年到来。报告指出,主要障碍在于技术能力不足、专业人才匮乏以及缺乏紧迫感。
iOS 26.5 修复逾50个安全漏洞,详细信息一览
苹果今日发布iOS 26.5、iPadOS 26.5、macOS 26.5及watchOS 26.5等系统更新。其中iOS 26.5单项即修复超过50个安全漏洞。即便对新功能兴趣不大,出于安全考量也建议及时升级。此外,苹果还为旧版系统发布了安全更新,其中iOS 18.7.9包含多项修复,其他旧版iOS/iPadOS则主要修复一项通知漏洞,防止已删除通知被恢复。
Linux再现高危漏洞"Dirty Frag",可绕过权限获取Root访问
Linux系统再度曝出严重安全漏洞"Dirty Frag",允许低权限用户获取服务器root权限,尤其对多租户共享环境威胁极大。该漏洞由两个CVE编号漏洞链式组合而成,利用内核页缓存处理缺陷实现提权,且利用代码已公开泄露,可稳定复现于几乎所有Linux发行版。微软已发现黑客在野利用迹象。目前Debian、AlmaLinux、Fedora等发行版已发布补丁,建议用户立即更新。
谷歌阻止了一场疑似由AI辅助开发的零日漏洞攻击
Google威胁情报小组(GTIG)近期发现并阻止了一起由AI辅助开发的零日漏洞攻击。攻击者原计划利用该漏洞对某开源网页管理工具发动大规模攻击,绕过双因素验证。研究人员在漏洞利用脚本中发现了AI参与的痕迹,包括"幻觉式CVSS评分"和符合LLM训练数据风格的代码格式。Google同时警告,黑客正日益借助AI寻找安全漏洞,并通过"角色扮演越狱"等手段操控AI执行攻击任务。
Linux内核维护者提议引入"熔断开关"以应对零日漏洞防护需求
Linux内核维护者Sasha Levin提议引入"终止开关"机制,允许特权操作员在零日漏洞补丁发布前,临时禁用存在缺陷的内核函数,以减少系统暴露风险。该提议引发安全社区激烈争论:支持者认为其能有效填补补丁部署前的安全空窗期;反对者则担忧管理员可能以此替代正式补丁,或因误操作导致系统崩溃。红帽公司表示支持该提议,认为非中断性缓解措施对大规模运营至关重要。
Versa Networks以CSPM、编排更新与AI智能体管控应对企业安全碎片化难题
Versa Networks针对企业安全碎片化问题,为其VersaONE平台推出三项协同更新:云安全态势管理(CSPM)将云端风险可视化与访问安全统一呈现;Concerto 13.1.1编排平台重构SD-WAN配置体验,统一安全与认证策略;AI智能体信任与验证框架将于5月底上线,对AI代理实施策略级访问控制。调查显示,99%企业将融合列为战略重点,但仅30%付诸实施,73%表示集成复杂度曾拖延关键项目。
OpenAI发布Daybreak安全智能体,直面Anthropic Claude Mythos挑战
OpenAI正式发布Daybreak安全AI计划,专注于在攻击者发现漏洞之前完成检测与修复。Daybreak整合了GPT-5.5-Cyber与Codex Security等多个AI模型,可基于企业代码构建威胁模型,识别潜在攻击路径并自动检测高风险漏洞。此举被视为对竞争对手Anthropic旗下安全AI项目Claude Mythos的直接回应。OpenAI表示,Daybreak将联合行业与政府合作伙伴,逐步部署更强网络安全能力的AI模型。
AI发现PostgreSQL与MariaDB中潜伏20年的安全漏洞
安全研究人员借助AI驱动的安全分析工具"Xint Code",在PostgreSQL和MariaDB中发现了多个高危及严重漏洞,其中两个漏洞已潜伏超过20年。漏洞包括pgcrypto扩展中的堆缓冲区溢出(CVE-2026-2005)、缺失验证漏洞(CVE-2026-2006)及MariaDB JSON模式验证逻辑中的缓冲区溢出(CVE-2026-32710),均可能导致远程代码执行。目前两款数据库已发布补丁,官方强烈建议用户立即升级至修复版本。
Mozilla:Mythos发现的271个漏洞"几乎没有误报"
Mozilla工程师历时两个月,借助Anthropic的AI漏洞检测模型Mythos,在Firefox中发现271个安全漏洞,其中180个属于最高级别"高危"漏洞。此次成功的关键在于两点:模型自身能力的提升,以及Mozilla专为Firefox开发的自定义"harness"框架。该框架引导AI模型访问与人类开发者相同的工具链,并通过第二个LLM对结果进行验证,实现了"几乎零误报"的效果。
GitHub高危RCE漏洞曝光,数百万代码仓库面临风险
GitHub近日修复了一个高危远程代码执行漏洞(CVE-2026-3854),CVSS评分8.8。该漏洞由Wiz研究人员发现,攻击者可通过构造恶意git push请求,利用GitHub后端X-STAT组件的命令注入缺陷执行任意代码。在GitHub.com上,该漏洞可访问数百万公私有仓库;在企业自托管环境中,可导致服务器完全沦陷。值得关注的是,此漏洞借助AI辅助逆向工程工具IDA MCP发现,是首批通过AI识别的闭源二进制关键漏洞之一。
ESET安全专家:不必惧怕"AI终结者",但需警惕智能体风险
ESET首席安全布道师安斯科姆指出,AI并非直接发动网络攻击,黑客目前更多利用AI自动化钓鱼邮件、仿冒高管信息等低成本手段。真正的隐患在于AI智能体的权限管理——企业应像约束员工访问权限一样管理AI智能体,防止其扩大攻击面。此外,员工将敏感数据输入公共AI工具的行为同样存在合规风险。CISO角色也正从技术岗向业务运营方向转变。
Anthropic的Mythos AI:网络安全的双刃剑与规则系统的潜在威胁
Anthropic推出的Claude Mythos Preview模型因擅长发现软件漏洞而备受关注,但其他模型同样具备类似能力。现代AI系统正快速提升漏洞发现与利用能力,攻击者可借此入侵关键系统,而防御者也能用其修补漏洞。更深远的影响在于,AI的模式识别能力同样适用于税法等复杂规则体系,可能发现大量监管漏洞,带来比网络安全更严峻的社会挑战。
生成式AI助长智能家居骗局,这些虚假设备要警惕
生成式AI的普及让诈骗者能够轻松伪造网页、产品图片和用户评价,使家居科技骗局愈演愈烈。常见骗局包括:声称能节省90%电费的"省电插头"、承诺免费收看Netflix等平台的流媒体棒、利用健康恐惧心理销售的电磁波"防护"设备,以及号称能净化空气的LED灯插头。这些产品要么毫无作用,要么内置恶意软件。建议消费者提高警惕,仅通过官方渠道购买电子产品。
英国金融网络安全黑客马拉松:人类专业技能仍是防御核心
英国首届金融服务安全黑客马拉松近日举办,来自16家机构的33支双人团队参赛,涵盖银行、金融科技、软件及监管机构代表。赛事由劳埃德银行集团、谷歌云安全及Hack The Box联合承办,考验参赛者在网络攻击场景下的应急响应、决策能力与基础设施防御技能。赛题涉及漏洞利用、数字取证、密码学及支付系统安全等领域,同时融入AI攻防元素。最终冠军团队由机器学习专家与高级渗透测试工程师组成,印证了人类专业判断力在AI时代的不可替代性。
Anthropic的Mythos模型如何重塑Firefox的网络安全策略
Anthropic于2026年4月发布的Mythos模型正在深刻改变软件安全领域。Mozilla安全研究人员披露,该模型帮助Firefox在4月共修复了423个漏洞,相比一年前的31个大幅提升。Mythos不仅发现了沉睡超过15年的历史漏洞,还突破性地识别出高难度的沙箱安全漏洞,甚至超越了人工漏洞挖掘的效率。尽管如此,Firefox团队目前仍依赖人工完成漏洞修复工作,AI生成的补丁仅作为参考。
Gluware Titan曝光管理:应对AI驱动的网络安全新挑战
Gluware发布Titan曝险管理平台,采用闭环智能体技术,能够精准识别企业网络中实际暴露于特定漏洞的设备,并自动化执行修复流程。该平台基于专有的DIAL层,持续追踪56种以上操作系统的设备配置与网络状态,提供设备级漏洞评分,并整合EPSS和KEV威胁情报。针对无法立即修补的情况,平台可自动部署ACL变更或网络分段以降低攻击面,实现机器级响应速度。
京公网安备 11010802021500号
