/
量子计算新进展将身份验证安全推至关键议题
随着量子计算硬件快速进步,谷歌与Cloudflare已将量子威胁截止日期提前至2029年。研究显示,量子计算机仅需1200至1450个逻辑量子比特即可破解椭圆曲线加密,而该加密广泛用于身份认证与数字签名。专家指出,相比数据加密,身份认证系统被攻破的后果更为灾难性。企业需建立专项量子安全团队,尽早部署后量子密码体系,切勿等待"量子时刻"真正到来。
加州大学圣克鲁兹分校首次揭示:你的AI助手正被"洗脑",一个指令就能让它背叛你
加州大学圣克鲁兹分校等机构研究发现,个人AI助手存在严重安全漏洞。攻击者可通过"能力污染"、"身份污染"和"知识污染"三种方式控制AI助手,使其泄露隐私或执行危险操作。实验显示即使最强AI模型被攻击成功率也高达74.4%。现有防御措施效果有限,揭示了AI助手进化能力与安全性之间的根本矛盾。
英国数据中心如何应对隐私与网络安全双重压力
英国数据中心已成为国家关键基础设施,正面临日趋严格的监管环境。在数据隐私方面,运营商须遵守UK GDPR及DPA 2018等法规,确保个人数据处理合规;在网络安全方面,《网络韧性法案》将数据中心纳入NIS监管框架,要求24小时内上报安全事件,违规将面临营业额比例罚款。此外,数据跨境流动规则也随《数据使用与访问法》更新而调整。运营商需建立清晰的合规流程与合同安排,以应对多重法律风险。
Rockstar Games再度遭黑客入侵,数据泄露风险迫在眉睫
《侠盗猎车手》发行商Rockstar Games再度遭受网络攻击。黑客组织ShinyHunters利用AI云分析工具Anodot的漏洞,通过窃取的身份验证令牌成功入侵Rockstar的Snowflake数据仓库,并威胁于2026年4月14日公开所获数据。Rockstar确认有少量非重要公司信息被访问,表示不影响组织运营及玩家。安全专家警告,第三方供应商已成为网络攻击的重要突破口,企业须高度重视供应链安全管理。
高盛CEO对Anthropic的Mythos AI风险"高度警觉"
高盛首席执行官大卫·所罗门表示,他对Anthropic最新AI模型Mythos的能力"高度警惕",并正与该公司密切合作。Anthropic警告称,Mythos在发现和利用软件漏洞方面已超越绝大多数人类专家,可能对经济、公共安全和国家安全构成严重威胁。英国AI安全研究所确认Mythos是网络安全威胁的重大升级,能在无人干预下自主发现系统漏洞。美英监管机构均已启动相关应对措施。
Adobe修复遭滥用数月的PDF零日漏洞
Adobe于4月11日发布补丁,修复了Acrobat和Reader中的零日漏洞CVE-2026-34621。该漏洞影响Windows和macOS平台,可导致任意代码执行。攻击者利用恶意PDF中高度混淆的JavaScript,通过合法API收集系统信息,并可下载二阶段载荷实现远程控制或沙箱逃逸。研究人员发现,此攻击活动最早可追溯至2025年底,部分诱饵文件以俄语书写并涉及油气行业主题,疑为定向攻击。Adobe未披露受影响用户数量。
Anthropic推出专属网络安全AI模型,企业争相驾驭AI变革浪潮
Anthropic发布代号Claude Mythos的新AI模型,因其强大的网络安全漏洞挖掘能力,仅向特定企业开放,通过"Project Glasswing"计划协助开发更安全的软件。与此同时,Meta推出多模态推理模型Muse Spark,OpenAI和Anthropic也在加强企业级产品布局。业界担忧AI模型可能被黑客利用,而企业用户则呼吁对AI Agent加强管控。芯片与云计算领域持续高速扩张,行业正经历深度重构。
微软推出智能体治理工具包,专项应对OWASP十大AI安全风险
微软悄然推出Agent Governance Toolkit开源项目,旨在企业部署AI智能体时提供运行时安全保障。该工具包针对OWASP发布的智能体系统十大安全风险,涵盖提示注入、目标劫持、身份滥用、供应链风险等问题。工具包包含七个模块,支持Python、TypeScript、Rust、Go及.NET多种语言,可与LangChain、CrewAI等主流框架无缝集成,无需重写现有代码。目前该项目以MIT协议公开预览,微软未来计划将其移交基金会管理。
新型勒索团伙通过帮助台网络钓鱼攻击数十家高价值企业
谷歌威胁情报团队披露,一个名为UNC6783的新型勒索组织已针对"数十家高价值企业"发动网络攻击。该组织主要通过入侵呼叫中心和业务流程外包商(BPO),利用伪造的Okta登录页面实施社会工程学攻击,绕过多因素认证并植入远程访问恶意软件。得手后,攻击者通过Proton Mail发送勒索信。据报道,Adobe疑似已遭受相关攻击,涉及超1300万条支持工单及员工数据泄露。
安全研究人员诱骗苹果AI辱骂用户,潜在危害远不止于此
安全研究人员通过提示注入攻击成功劫持Apple Intelligence,使其对用户输出攻击者预设的内容。测试显示,100次攻击中有76次成功。研究人员结合Neural Exec和Unicode文字方向覆盖技术,绕过了苹果的输入输出过滤器及安全护栏。该漏洞影响至少2亿台设备及多达100万款应用。苹果已在iOS 26.4和macOS 26.4中修复该问题,但提示注入攻击仍是持续性安全挑战。
Adobe Reader现存数月的零日漏洞,利用PDF文件悄然锁定攻击目标
安全研究员Haifei Li发现,黑客利用Adobe Acrobat Reader中的零日漏洞,通过植入恶意PDF文件对目标进行侦察分析。该漏洞无需用户点击,文件打开即自动触发混淆JavaScript代码,收集系统信息、本地文件及语言设置,并回传至攻击者服务器。攻击者据此筛选高价值目标,对特定系统投递第二阶段载荷,最终可能实现远程代码执行或沙箱逃逸。目前该漏洞尚无CVE编号和补丁,Adobe官方暂无回应。
美英加联合打击加密货币诈骗,冻结1200万美元资产
美国、英国和加拿大执法机构联合开展"大西洋行动",成功捣毁一起涉及全球30个国家的4500万美元加密货币诈骗案。行动共冻结1200万美元被盗资金,识别逾2万个与受害者相关的加密钱包地址,并直接联系超3000名受害者。此类"杀猪盘"诈骗通过伪装成合法应用的虚假通知,诱骗受害者授权访问账户后转移资产。据FBI报告,2025年网络犯罪损失已达创纪录的208.7亿美元。
Chevin旗下FleetWave平台遭遇网络安全事件,英美用户陷入服务中断困境
英国车队管理软件服务商Chevin Fleet Solutions因遭遇网络安全事件,被迫将其FleetWave平台在英国和美国的Azure托管环境下线,导致两地出现重大服务中断。该公司确认正与外部网络安全专家全力协作,开展威胁排查与安全加固工作。目前受影响客户无法使用车辆、驾驶员及合规管理等核心功能,而欧盟和澳大利亚的服务器仍维持正常运行。公司预计于4月10日前提供进一步更新,但尚未披露事件起因及数据泄露情况。
英国就信号干扰器立法征询公众意见
英国政府科学、创新与技术部(DSIT)宣布,正就射频干扰设备的使用情况公开征集意见,为即将出台的禁令立法做准备。此前关注焦点主要集中于干扰器助长汽车盗窃问题,而此次范围扩大至家庭安防系统、移动通信及紧急服务网络等关键基础设施。DSIT警告称,干扰器一旦影响定位与导航系统,可能造成高达76.2亿英镑的经济损失。征集意见自即日起开放,为期四周。
HIPPO:用一个主密码生成所有网站密码,无需存储任何凭证
HIPPO(隐藏密码在线密码管理器)是一种无需在服务器上存储密码的新型方案。用户只需记住一个主密码,HIPPO浏览器扩展即可通过密码学函数实时生成各网站专属密码,整个过程中主密码和派生密码均不会被本地或远程存储。研究人员对25名志愿者的测试表明,相比传统手动输入密码,用户认为HIPPO更安全、更易用,感知安全评分达4.04分(满分5分),远高于传统方式的3.09分。
两起开源工具投毒事件揭示供应链攻击的未来走向
2025年3月,两起针对开源工具的供应链攻击相继发生。攻击者分别入侵漏洞扫描工具Trivy和JavaScript库Axios,植入恶意代码,窃取大量云凭证、SSH密钥及加密货币钱包信息,波及逾万家组织。前者由TeamPCP实施,后者被归因于朝鲜黑客组织UNC1069。安全专家警告,随着AI辅助社会工程学攻击日益精准,此类供应链攻击将愈发频繁,企业应尽快建立软件物料清单(SBOM)机制并部署相应防御措施。
匈牙利政府账号密码泄露,"FrankLampard"竟成国家机密守门人
调查机构Bellingcat发现,近800条匈牙利政府邮箱与密码组合流入数据泄露库,涉及国防、外交、财政等几乎所有主要部门。泄露原因并非高级黑客攻击,而是官员使用弱密码并在第三方平台重复使用。国防部约120条记录遭泄露,部分源于2023年北约电子学习平台被入侵事件。令人震惊的是,一名信息安全上校竟以"FrankLampard"作为密码。此次事件警示各界:基础安全意识的缺失才是最大安全隐患。
特朗普政府官员或正鼓励银行测试Anthropic的Mythos模型
据彭博社报道,美国财政部长贝森特与美联储主席鲍威尔本周召集银行高管开会,鼓励其使用Anthropic新发布的Mythos模型检测安全漏洞。摩根大通是首批合作机构之一,高盛、花旗、美银及摩根士丹利也在测试该模型。值得关注的是,Anthropic目前正就美国国防部将其列为供应链风险一事与特朗普政府对簿公堂。英国金融监管机构也在评估Mythos带来的潜在风险。
VeraCrypt开发者账号遭微软封禁,数百万用户面临系统启动危机
知名加密软件VeraCrypt的开发者Mounir Idrassi近日发文称,微软在未作任何解释的情况下,封禁了其用于签署Windows驱动程序和引导加载程序的开发者账号。由于微软要求定期重新验证软件安全性,若问题无法解决,使用VeraCrypt系统加密功能的Windows用户可能在2026年7月后面临无法开机的困境。目前Linux和macOS用户不受影响,VeraCrypt软件本身暂无安全隐患,但开发者警告此事件可能是"VeraCrypt的死刑判决"。
CPUID网站遭劫持,HWMonitor下载链接被恶意替换
知名硬件检测工具CPUID官网本周遭到攻击,黑客入侵其后端API接口约六小时,导致HWMonitor等工具的下载链接被替换为恶意安装包。恶意文件内含伪造的CRYPTBASE.dll,可连接C&C服务器下载额外载荷,并通过PowerShell在内存中运行,同时尝试窃取Chrome浏览器存储的用户凭据。CPUID确认原始签名文件未被篡改,漏洞已修复,但受影响用户数量尚不明确。
京公网安备 11010802021500号
