/
Protocol Buffers模式漏洞曝光:六大安全缺陷可导致远程代码执行
Cyera研究人员披露了广泛使用的JavaScript库protobuf.js中存在的六个安全漏洞,涉及远程代码执行、拒绝服务、原型污染等问题。该库每周下载量超5000万次,常以间接依赖形式存在于应用中。攻击者可通过操控schema数据注入恶意代码并执行。受影响版本为7.5.5及更早版本和8.0.x,补丁已发布于7.5.6和8.0.2版本,建议用户尽快升级。
谷歌起诉涉嫌利用AI发送诈骗短信的中国网络犯罪组织
谷歌宣布对一个名为"Outsider Enterprise"的涉嫌中国网络犯罪团伙提起诉讼,该团伙利用AI冒充谷歌等品牌发送诈骗短信,窃取用户密码和信用卡信息,受害者多达数十万人,损失估计达数百万美元。该团伙曾在两周内部署9000个假冒网站、100万个欺诈域名,并向安卓用户发送250万条诈骗短信。谷歌表示正与AT&T、T-Mobile、Verizon及FBI协同应对,并借助AI工具每月拦截逾100亿条诈骗信息。
Anthropic网络安全模型Fable防护栏限制过严,研究人员纷纷抱怨
Anthropic发布了其网络安全模型Mythos的公开限制版本Fable,但该模型的安全护栏设置过于严格,引发大量网络安全研究人员的批评。研究人员反映,即便是请求代码审查或阅读博客等无害操作,也会触发安全机制。当前护栏疑似基于关键词过滤,凡涉及"网络安全"相关词汇均会被拦截并降级至Claude Opus 4.8。部分专家表示理解,认为早期阶段宁可过度拦截,随时间推移再逐步放宽限制。Anthropic目前要求网络安全专业人员申请"网络验证计划"以获得更少限制的使用权限。
Anthropic扩大Claude Mythos访问权限,警告网络攻击危害可达亿级用户
Anthropic宣布扩大Project Glasswing合作计划,新增约150家合作伙伴,使其可访问强大的Claude Mythos Preview模型。该模型已发现超过1万个高危或严重安全漏洞,涵盖主流操作系统和浏览器。Anthropic警告,一旦遭受成功攻击,可能影响逾1亿人,威胁全球安全。新加入伙伴涵盖电力、医疗、通信等关键行业。尽管该项目受到透明度不足的批评,但业界普遍认为此类协作防御举措势在必行。
联邦托管准备度:数据中心运营商必须证明什么
联邦机构正寻求安全、高韧性的数据中心容量,越来越多地将目光投向政府自有设施之外。数据中心优化计划(DCOI)推动机构整合或关闭老旧站点,IT现代化进程持续强调云服务、托管与高效基础设施。对数据中心运营商而言,这既是机遇,也意味着必须在可用性、安全性、文档规范与运营管控方面满足政府要求,并完成ATO授权或FedRAMP认证,方可承接联邦工作负载。
德克萨斯A&M大学系统CIO:用户体验差会削弱安全策略
德州农工大学系统CIO Vince Kellen指出,随着身份验证和合规要求不断增加,过多的安全摩擦反而会促使用户绕过安全控制。他强调,高安全性必须与良好用户体验并重。在零信任架构中,他通过实时数据包检测和软件定义网络实现主动防护。对于AI智能体安全,他认为应沿用管理用户和设备的既有原则。他同时指出,技术管控比安全培训更为关键。
网络安全风险为何在董事会中难以引起重视
董事会成员虽了解网络风险的危害性,但往往缺乏对关键风险优先级的清晰认知。Verizon 2025年数据泄露报告显示,勒索软件占44%的泄露事件,第三方参与占30%,漏洞利用同比增长34%。然而,许多网络安全汇报仍停留在技术层面,未能与业务损失、合规风险挂钩。董事会真正需要的是以业务语言呈现的风险分析——明确哪些风险最紧迫、延误的代价是什么,以及资源应优先投向何处。
微软公布智能体AI系统七大新型安全漏洞
微软在其早期《智能体AI失败模式分类》的基础上,新增了七种智能体AI失败模式。技术快速普及、MCP生态成熟、计算机使用智能体兴起以及更多实证研究,共同推动了这份清单的扩展。七种新模式包括:供应链攻击、目标劫持、跨智能体信任提权、视觉攻击、会话上下文污染、MCP/插件滥用,以及能力与架构信息泄露。微软建议安全团队建立智能体软件物料清单,以加密方式验证身份,并将新模式纳入红队测试范围。
Ruby开发者引入安装冷却机制以抵御供应链攻击
RubyGems团队为包管理工具Bundler新增"冷却期"功能,旨在防御近期频发的软件供应链攻击。该机制通过设定等待天数,延迟安装近期更新的Ruby包,为社区提供时间识别潜在恶意代码。近年攻击者惯用窃取开发者凭证的方式将恶意代码植入包中,冷却期可有效阻断此类传播链。若遇已知安全补丁等紧急情况,开发者可手动绕过该限制。
住宅代理悄然潜伏在企业网络中
Infoblox对其威胁防御云客户的DNS解析数据分析显示,住宅代理服务已广泛渗透企业网络。约65%的云端企业客户存在连接住宅代理服务的行为,制药及食品饮料行业受影响比例超90%,政府和银行业超60%。住宅代理通过将流量伪装成真实消费者设备发出,绕过传统安全检测,可能给企业带来声誉、法律及安全风险。研究人员建议采用防护性DNS、审计日志及应用审查等措施加以应对。
Cyera完成6亿美元融资,估值达120亿美元,网络安全赛道迎来密集投资潮
数据安全初创公司Cyera近日完成6亿美元G轮融资,估值达120亿美元,由Evolution Equity Partners领投,Accel、AT&T Ventures、Blackstone等参与。Cyera旗下AI平台可扫描企业系统中的敏感数据,识别安全风险并自动修复部分漏洞。同日披露融资的还有Pi和Aryon Security,分别获得3500万和2900万美元融资,两家公司均借助AI技术提升企业网络安全防护能力。
思科转型软件巨头的战略全景解析
思科正从以交换机、路由器为核心的硬件业务,向软件与服务战略全面转型。其第三季度财报显示,49%的季度收入已来自订阅模式。思科的战略核心在于安全与网络可视化,并瞄准AI智能体身份管理这一新兴市场,近期宣布收购Astrix Security以强化布局。此外,思科推出统一管理平台Cloud Control,但产品整合仍是最大挑战。面对HPE、Palo Alto等竞争对手,思科凭借庞大装机基础保持领先优势。
F5推出AI驱动WAF与虚拟补丁技术,全面强化网络安全防护
F5本周宣布扩展其Web应用与API保护(WAAP)能力。新功能涵盖三大领域:一是AI驱动的WAF,利用神经网络模型对每个请求实时评分,替代传统签名匹配;二是本地版API安全组件,支持离线及合规环境下的API发现与防护;三是增强型虚拟补丁,在漏洞修复期间提供运行时保护。测试显示,F5 WAAP综合安全评分达97.09%,对OWASP TOP 10实现100%防护。
Zscaler零信任架构如何为智能体AI时代保驾护航
在拉斯维加斯举办的Zenith Live用户大会上,Zscaler CEO Jay Chaudhry发表主题演讲,重点阐述了企业在智能体AI时代面临的全新安全挑战。他指出,AI代理数量将远超员工人数,传统人工治理模式已无法适应机器速度的运作。为此,Zscaler推出AI Broker、端点AI安全、AI Access Graph等新产品,将零信任架构延伸至AI代理管理,旨在帮助企业从AI试验阶段安全迈向规模化生产部署。
黑客利用AI客服漏洞入侵2万个Instagram账号
Meta旗下AI客服助手近日被黑客利用,导致超过2万个Instagram账号遭到劫持,受害者涵盖丝芙兰、美国太空军高级士官及奥巴马白宫官方账号等知名账户。黑客通过简单对话诱导AI更改账号绑定邮箱,随即触发密码重置流程,全程无需知晓原始密码。Meta已于6月1日修复该漏洞,并向受影响用户发出通知,建议立即开启多因素认证以防范类似攻击。
Linux内核惊现高危漏洞:一个错误字符引发的权限提升危机
安全研究人员披露了一个Linux高危漏洞(CVE-2026-53111),根源竟是内核代码中一个多余的感叹号。该漏洞位于负责数据包过滤的nf_tables子系统中,可引发"释放后使用"内存破坏问题,允许无特权用户将系统权限提升至root。利用过程通过干扰verdict映射删除机制,使引用计数器被任意递减,最终释放仍被其他对象引用的链。Exodus Intelligence测试显示,该漏洞在Debian和Ubuntu上利用成功率超过99%,目前已于今年2月修复。
BT加入Anthropic"玻璃翼计划",强化网络安全防御体系
BT成为首家加入Anthropic Project Glasswing计划的英国企业,获得Claude Mythos Preview前沿AI模型的受控访问权限,以增强网络和客户的网络安全防护。该项目汇聚了亚马逊、苹果、思科、微软等40余家关键基础设施提供商,旨在利用AI快速识别漏洞,抢在黑客之前保护关键软件系统。Anthropic为此承诺提供最高1亿美元的使用额度及400万美元开源安全捐款。BT目前每天拦截400万次网络攻击。
美国联邦机构获令三天内修复遭勒索软件组织利用的VPN漏洞
美国网络安全局(CISA)发布紧急命令,要求所有联邦民事机构在6月11日前修复Check Point软件产品中的一个高危漏洞。该漏洞影响Check Point旗下多款远程访问工具、防火墙及VPN产品。已知勒索软件组织Qilin正积极利用此漏洞,自5月7日起已入侵全球数十个目标组织。CISA援引BOD 22-01指令,要求国土安全部、国务院、财政部等机构限期完成修复。
微软与研究员争议持续,终于修复遭公开披露的零日漏洞
微软在6月补丁日修复了高危零日漏洞CVE-2026-45586,该漏洞由化名"Nightmare Eclipse"的研究员披露。此前双方因漏洞披露协议破裂而交恶,研究员陆续公开多个未修复漏洞。本次修复的漏洞涉及Windows协作翻译框架,属本地权限提升类型,可被链式利用获取SYSTEM权限。此外,研究员披露的另一漏洞MiniPlasma似乎也已被悄然修复,但微软未提供相关CVE编号。本轮补丁共修复约200个漏洞。
微软发布史上最大规模补丁星期二更新,修复近200个漏洞
微软最新一期补丁星期二更新修复了约200个安全漏洞,打破此前约170个CVE的历史记录,其中包括32个严重漏洞和3个零日漏洞。安全专家警告,AI正在加速漏洞发现速度,微软今年修复的CVE数量已超过2018年全年总量。加上谷歌Chrome等第三方漏洞,本月修复总数接近600个,业界直呼"补丁末日"已然来临。
京公网安备 11010802021500号
