安全研究人员对广泛使用的服务器管理软件cPanel及WHM中新发现的高危漏洞发出警报。该漏洞(CVE-2026-41940)允许黑客绕过登录验证,远程获取管理面板完全控制权,影响全球数千万网站。加拿大网络安全机构警告称"漏洞被利用的可能性极高",要求立即采取措施。Namecheap、HostGator等主机商已完成修补。有证据显示,黑客早在2月23日便已开始尝试利用该漏洞。
KnowBe4最新发布的第七版网络钓鱼威胁趋势报告显示,过去六个月中,近86%的网络钓鱼活动已涉及AI技术应用,较2024年的80%持续上升。AI不仅能生成高度个性化的钓鱼邮件,还可自动化完成侦察和信息收集工作。报告还指出,涉及日历邀请的攻击增加49%,仿冒同事的Teams消息攻击增加41%。微软数据显示,AI驱动的钓鱼活动效果是人工制作的4.5倍。FBI则报告称,美国去年网络犯罪损失创纪录地达到208.7亿美元。
一波针对开发工具的供应链攻击持续扩大,SAP、Intercom的npm包及PyPI的Lightning包相继遭到入侵。攻击者植入凭据窃取恶意软件,可自动在npm安装时执行,窃取GitHub令牌、云平台密钥、Kubernetes凭证等敏感信息,并将加密后的数据回传至受害者自己的GitHub仓库。此次攻击被称为"Mini Shai-Hulud蠕虫",归因于网络犯罪团伙TeamPCP,涉及包每周下载量合计逾百万次。
英国国家网络安全中心(NCSC)首席技术官奥利·怀特豪斯警告,AI正在加速挖掘软件中长期积累的技术债务漏洞,组织机构将面临大规模"补丁浪潮"。AI工具能够快速、大规模地发现系统弱点,远超安全团队的修复速度。NCSC建议各组织尽快缩减互联网暴露面,优先修补边界技术,并对不再受支持的系统进行替换,做好快速、频繁、大规模打补丁的准备。
Google近期修复了Gemini CLI中一个CVSS评分高达10.0的严重漏洞。该漏洞源于无头模式下工作区文件夹信任设置过于宽松,攻击者可通过恶意环境变量实现远程代码执行。修复版本已在0.39.1和0.40.0-preview.3中发布,但升级后可能导致依赖旧有信任机制的GitHub Actions及CI/CD工作流失效。此外,--yolo模式的工具许可行为也有所变更,部分工作流可能静默失败,用户需及时检查并更新相关配置。
2026年4月,Anthropic宣布其最强AI模型Claude Mythos Preview因约束基础设施尚不完善,暂不对外发布。该模型能识别所有主流操作系统和浏览器中的数千个安全漏洞,潜在风险极高。Anthropic随即启动"玻璃翼计划",联合50家机构优先修补漏洞。文章指出,AI系统缺乏人类固有的内在约束,治理机制必须先于部署决策,而非事后补救,呼吁各组织将约束充分性作为部署前提。
英国AI安全研究所(AISI)最新研究显示,OpenAI上周公开发布的GPT-5.5在网络安全评估中与Anthropic的Mythos Preview表现相近。在95项夺旗挑战的"专家级"任务中,GPT-5.5通过率为71.4%,略高于Mythos Preview的68.6%。两款模型均在模拟企业网络数据提取攻击测试中取得突破,但均未能通过电厂控制软件干扰模拟。OpenAI CEO奥特曼批评竞争对手采用"恐惧营销"策略限制模型发布。
Oracle红牛车队与密码管理工具1Password合作,将风洞系统恢复时间从1小时压缩至2分钟,效率提升97%。通过构建统一的身份与访问管理控制平面,覆盖Kubernetes集群、工厂、风洞及仿真工作负载,工程师可快速恢复系统,避免浪费宝贵的测试预算。目前,车队正探索将该方案延伸至赛道侧,支持蒙特卡洛模拟及赛事策略决策。
美国网络安全和基础设施安全局(CISA)发出警告,NSA开发的开源工控网络工具GrassMarlin存在XXE漏洞(CVE-2026-6807),攻击者可借此窃取敏感信息。该工具已于2017年停止维护,官方不会发布修复补丁。CISA建议用户隔离控制系统网络、禁止设备直接暴露于互联网。Rapid7研究人员已发布概念验证利用代码,但指出该漏洞实际威胁有限,主要通过网络钓鱼攻击触发。
美国CISA已将cPanel严重漏洞(CVE-2026-41940,CVSS评分9.8)列入已知被利用漏洞目录。该漏洞影响11.40版本以后的所有cPanel及WHM版本,成功利用可导致服务器被完全控制。补丁发布前已出现攻击行为,托管商KnownHost和Namecheap相继采取应急措施。已有小型企业遭勒索软件攻击,黑客索要7000美元赎金。据估计,约150万个cPanel实例暴露于互联网,数千万网站面临威胁。
OpenAI近日宣布将向特定"网络安全防御者"群体限量开放GPT-5.5-Cyber模型,该模型具备渗透测试、漏洞发现、恶意软件分析等能力。值得注意的是,就在数周前,CEO奥特曼还曾公开批评Anthropic以安全为由限制其网络安全模型Claude Mythos的访问权限。英国AI安全研究所测试显示,GPT-5.5-Cyber是目前表现最强的网络安全模型之一,也是第二个能完整执行多步骤攻击模拟的系统。
在新兴技术与安全中心年度展会上,专家们围绕AI驱动的网络安全展开讨论。Anthropic最新模型Claude Mythos Preview在数学、网络安全及漏洞检测方面表现突出,企业可借此快速发现并修补系统漏洞。研究显示,网络犯罪社区对"暗黑AI"工具的尝试收效甚微,多数犯罪者缺乏有效使用AI的基本技能。但AI安全研究所已演示了前沿AI模型执行32步自动化网络攻击的能力,引发对AI系统可控性的深层思考。
当前就业市场竞争激烈,网络招聘诈骗也随之猛增。LinkedIn报告显示,72%的求职者在投递简历前会质疑职位真实性,57%的人比一年前更警惕诈骗。2025年,美国联邦贸易委员会收到逾13.2万起招聘诈骗举报,损失高达6.36亿美元。AI工具的普及让诈骗者伪装更加逼真。Z世代因缺乏求职经验,32%曾因机会难得而忽视诈骗警示。LinkedIn称已拦截98%以上的诈骗内容,并提醒求职者警惕被引导至私信平台、索取个人信息或预付款等行为。
OpenAI正准备发布新的前沿网络安全模型GPT-5.5-Cyber。CEO Sam Altman表示,该模型不会向公众开放,将首先向经过审核的"可信网络防御者"群体定向推出,帮助相关机构强化网络防御能力。Altman称发布将在"未来几天内"进行。这一分阶段发布策略是AI行业的新趋势,此前Anthropic也以类似方式推出了Claude Mythos模型。
AI技术的快速发展正在拉大网络攻击者与防御者之间的差距。攻击者借助AI工具自动化漏洞挖掘与利用,而防御方因担忧AI缺乏业务上下文判断能力,仍坚持人工介入审核。微隔离厂商Illumio指出,企业须转变为"默认已被入侵"的安全思维,通过网络层微隔离限制攻击扩散范围。随着OT与IT环境加速融合,OT网络分段也成为新的安全优先级。AI带来的不是全新挑战,而是将既有安全问题放大至前所未有的规模与复杂度。
OpenAI正式推出"高级账户安全"(AAS)计划,为ChatGPT用户提供一套可选的强化防护措施,重点面向记者、研究人员、政治人士及企业用户等高风险群体。作为该计划的一部分,数字安全厂商Yubico宣布与OpenAI合作,推出两款联名硬件安全密钥——YubiKey C NFC和YubiKey C Nano,以抵御日益增长的网络钓鱼威胁。需注意的是,一旦密钥丢失,账户将无法恢复。
Anthropic正式发布Claude Security,这是一款面向企业级用户的网络安全防御产品,目前已向Enterprise层级用户开放公测。该工具基于Claude Opus 4.7模型,能够扫描完整代码仓库或指定目录,识别安全漏洞并生成针对性补丁。Claude Security还引入多阶段验证机制,对每项发现进行置信度评级,帮助安全团队优先处理高风险问题,并支持与CrowdStrike、Palo Alto Networks等主流安全平台集成。
Anthropic宣布Claude Security进入公测阶段,帮助网络安全团队扫描代码库漏洞并生成修复补丁。该工具由旗舰模型Opus 4.7驱动,作为Claude Enterprise的一部分,已有数百家企业用于发现多年未被察觉的漏洞。合作伙伴包括CrowdStrike、Palo Alto Networks、SentinelOne等主流安全厂商。该工具支持全代码库推理分析、置信度评级、定期扫描及多格式导出,显著提升安全响应效率。
WhatsApp的端对端加密技术虽大幅提升了用户隐私保护,但也带来了新的客户端安全隐患。安全研究员Tal Be'ery在黑帽亚洲2026大会上指出,由于服务器无法读取消息内容,攻击者正将目标转向用户设备。此外,消息元数据(如通讯时间、设备数量、在线状态)存在被滥用于追踪监控的风险。研究人员建议WhatsApp引入"联系人锁定模式"、限制陌生人发送富媒体,以及对外隐藏用户关联设备信息,以降低攻击面。
安全公司Wiz研究人员发现GitHub git基础设施中存在高危漏洞(CVE-2026-3854,CVSS评分8.8),攻击者可通过单条命令获得私有仓库的完整读写权限。研究人员借助Claude Code和AI辅助逆向工程工具,在不到48小时内完成了从思路到可用漏洞利用的全过程。GitHub在收到披露后6小时内发布修复补丁,并向Wiz团队颁发了漏洞赏金计划史上最高额奖励之一。此案例也标志着AI工具正深刻改变闭源软件漏洞研究的方式。