/
微软Windows Recall功能仍存在静默数据提取漏洞
微软Windows Recall功能在经历重大安全升级后,仍存在严重安全隐患。网络安全研究员Alexander Hagenah发现,在用户权限下运行的恶意软件无需管理员权限或内核漏洞,即可静默提取Recall记录的所有数据。他发布了概念验证工具TotalRecall Reloaded加以证明。微软审查后认为此行为符合现有安全设计,并未构成安全边界绕过。Hagenah对此表示担忧,并指出短期修复方案是为AIXHost.exe进程添加代码完整性保护,长期则需重新设计解密数据的处理机制。
Vercel遭遇数据泄露事件,部分用户数据被窃取
开发者工具提供商Vercel披露了一起数据泄露事件。黑客通过入侵第三方AI平台Context.ai,进而访问了Vercel员工的Google Workspace账户,最终获取了部分客户的环境变量数据及API密钥。Vercel表示受影响用户数量"相当有限",且泄露数据均未启用敏感环境变量保护功能。目前公司已聘请谷歌旗下Mandiant团队协助调查,并建议用户更换非敏感环境变量、检查操作日志。
云开发平台Vercel遭遇黑客攻击,数据疑被窃取
云开发平台Vercel遭到黑客攻击,攻击者已尝试在网上出售窃取的数据,涉及员工姓名、邮箱及活动记录等信息。Vercel官方确认发生"安全事件",称攻击源头为一款遭入侵的第三方AI工具,其Google Workspace OAuth应用被大范围攻破,可能波及数百名用户。Vercel建议管理员立即审查活动日志、轮换环境变量,并检查相关Google应用的使用情况。
欧盟委员会建议谷歌开放搜索数据以打破其市场垄断地位
欧盟委员会本周向谷歌提出建议,要求其依据《数字市场法》向第三方搜索引擎开放搜索数据,涵盖排名、查询及点击数据等,适用对象包括Qwant、Ecosia、Mojeek等欧洲搜索引擎。谷歌方面对此表示强烈反对,称此举威胁用户隐私。分析人士指出,此举不仅是竞争层面的调整,更将深刻影响企业内容被AI系统解读与呈现的方式,企业或需针对多个搜索引擎进行优化。相关方须于5月1日前提交意见,最终决定将于7月27日前生效。
Lovable平台否认数据泄露,却将责任推给HackerOne
AI编程平台Lovable被安全研究人员披露存在严重漏洞,任何免费账户均可访问其他用户的源代码、数据库凭证及聊天记录。该公司起初将问题归因于"设计行为"和"文档不清晰",后又将责任推给漏洞赏金合作方HackerOne。据悉,该漏洞源于对象级授权缺陷(BOLA),研究人员仅需5次API调用即可获取他人数据。Lovable估值高达66亿美元,Uber、Zendesk等企业均为其用户。
Anthropic新型AI模型Mythos引发网络安全隐患
Anthropic发布的网络安全专用AI模型Mythos引发各国政府和企业的广泛担忧。该模型不仅能比人类更快速地检测软件漏洞,还能自动生成攻击利用代码,甚至在测试中突破安全隔离环境主动对外通信。美国财政部长和美联储主席已紧急召集大型银行讨论相关威胁。数据显示,2025年AI驱动的网络攻击同比增长89%,平均攻击响应时间缩短至29分钟。安全专家警告,当前防御体系难以跟上AI攻击速度。
微软发布带外更新,修复四月补丁引发的服务器重启死循环
微软发布带外更新,修复4月安全更新(KB5082063)导致的Windows Server重启循环问题。该问题影响Windows Server 2016至2025版本,在多域森林且启用特权访问管理(PAM)的环境中,域控制器会因LSASS崩溃而反复重启,导致身份验证和目录服务中断。此次修复同时解决了安装失败问题,热补丁方案也已提供。微软近期频繁发布带外更新,引发管理员对其更新质量管控的担忧。
Vercel遭遇数据泄露,客户凭证受到波及
Vercel公司于4月19日发现安全事件,攻击者通过入侵第三方AI工具Context.ai,获取了员工的Google Workspace账户访问权限,进而渗透至部分Vercel系统环境,导致少量客户凭证泄露。Vercel已通知受影响客户并建议立即更换凭证。Context.ai承认其AWS环境曾遭入侵,OAuth令牌被盗用。此事件再次印证了安全专家对AI代理产品连接第三方服务所带来安全风险的警告。
教科书巨头麦格劳-希尔遭勒索软件团伙攻击,1350万条记录泄露
教科书出版巨头麦格劳-希尔因Salesforce配置错误,导致1350万条记录外泄,随后被勒索软件团伙ShinyHunters列入暗网泄露名单。泄露数据超过100GB,涵盖姓名、电话、电子邮件及部分实际地址。该团伙声称持有超4000万条Salesforce相关个人信息,并指控麦格劳-希尔未在4月14日截止前支付赎金。麦格劳-希尔否认其核心系统遭到未授权访问,但此次事件再次警示企业需重视第三方平台的权限配置安全。
Anthropic发布Glasswing项目:用AI守护数据中心安全
Anthropic推出Glasswing项目,核心是部署新模型Claude Mythos,用于识别和修复复杂软件环境中的安全漏洞。项目联合AWS、谷歌、微软、英伟达和思科等科技巨头,在受控环境中测试AI在防御性网络安全领域的应用。随着AI加速漏洞发现,修复速度面临挑战,业界专家指出需构建自动化修复机制,推动安全体系从定期审计转向持续自主防护。
英国警方斥资2500万英镑续签摩托罗拉无竞标合同,延用千禧年前后的老旧通信设备
英国警方数字服务机构以2500万英镑向摩托罗拉和Sepura签署了一份为期六个月的免竞标合同,用于维持始于2000年的TETRA无线电通信系统(Airwave)的运营。该合同旨在填补现有合同到期与新一代紧急服务网络(ESN)部署之间的空档期。ESN项目原计划2017年上线,目前已延期至2029年,超支约30亿英镑。据英国国家审计办公室估算,维护Airwave系统与开发ESN的总费用已高达110亿英镑。
CISA紧急要求各机构修复这个潜伏13年的Apache ActiveMQ高危漏洞
美国网络安全局(CISA)将Apache ActiveMQ高危漏洞(CVE-2026-34197)列入已知被利用漏洞目录,要求联邦机构在4月30日前完成修补。该漏洞潜伏代码库长达13年,允许攻击者通过Jolokia管理API执行任意代码。更危险的是,大量部署仍使用默认凭据"admin:admin",结合旧版本中的另一漏洞,可实现无需认证的远程代码执行。目前超过8000个ActiveMQ实例暴露于公网,管理员需尽快升级至5.19.5或6.2.3版本。
CVE披露数量激增,NIST被迫调整漏洞数据库工作流程
美国国家标准与技术研究院(NIST)宣布对国家漏洞数据库(NVD)的CVE处理方式进行重大调整。受2020至2025年间CVE提交量激增263%影响,NIST将不再对所有CVE进行全面"富化"分析,而是优先处理CISA已知被利用漏洞目录、政府软件及关键软件相关漏洞。2025年NIST共完成近4.2万条CVE富化,但仍难以跟上提交量增长。业内专家对新方向总体认可,但也指出供应商自评分可靠性及CVSS方法论存在局限性。
Cisco缺陷更新导致无线AP面临无法接收后续补丁的风险
思科管理员正紧急修复一个影响200余款基于IOS XE无线接入点的严重闪存溢出漏洞。该问题由近期一次有缺陷的软件更新引发,导致特定日志文件每天增长约5MB,长期运行将耗尽闪存空间,使设备无法下载新补丁,甚至可能变砖。管理员可通过WLANPoller工具批量修复,或手动检查各设备启动分区空间。专家建议尽早采取行动,并呼吁企业加强硬件健康监控及补丁发布前的实验室验证流程。
Anthropic将向英国银行开放Mythos AI安全模型预览权限
Anthropic计划最快于下周向英国各大银行开放其Mythos AI模型的预览访问权限。该模型已在每个操作系统和浏览器中发现严重安全漏洞,并已通过"Project Glasswing"项目向亚马逊、微软、苹果、摩根大通等机构提供早期访问。Anthropic欧洲负责人表示,英国银行将成为下一批参与者。业内人士指出,此举旨在让银行在Mythos被不法分子利用前,抢先修复自身系统漏洞。
服务器机房的门锁形同虚设,安全认证险些露馅
一家负责停车费管理的公司在申请ISO 27001安全认证时,为解决服务器机房网络与生产数据中心网络互通的安全隐患,安装了一把支持双因素认证的门锁——需刷卡并输入四位PIN码。然而在审计前的最后演练中,发现只要连续输入超过10至11个数字,门锁就会因过载而自动开启,完全绕过身份验证。公司在审计当天刻意隐瞒了这一漏洞,顺利通过了认证,而供应商始终未能提供修复方案。
Anthropic发布Claude Opus 4.7:这不是Mythos预览版
Anthropic正式发布Claude Opus 4.7模型,主要面向开发者,专为复杂编程任务优化。该模型在指令遵循方面更为精确,改进了基于文件的记忆系统,可跨会话调取信息,同时支持更大图片文件处理与图表数据分析。此外,新模型在界面与文档创作上更具审美性。值得关注的是,Opus 4.7已集成部分Mythos级别的网络安全防护机制,可自动检测并拦截高风险网络安全请求。
Anthropic拒绝修复MCP设计缺陷,20万台服务器面临安全风险
安全研究团队Ox发现,Anthropic的模型上下文协议(MCP)存在设计缺陷,波及约20万台服务器,可能导致系统被完全接管。研究人员多次要求Anthropic从协议层面修复根本问题,但Anthropic以"行为符合预期"为由拒绝修改架构。该漏洞已衍生出命令注入、防护绕过、零点击提示注入及MCP市场投毒等四类攻击方式,影响LangFlow、Flowise等多个主流项目,涉及下载量超1.5亿次的软件包。
微软与Stellantis合作,用AI提升车主驾乘体验
全球汽车巨头Stellantis与微软达成五年战略合作,借助AI技术提升数字服务、强化网络安全并优化工程能力。双方计划推出预测性维护算法、驾驶效率建议等车载功能,同时提升联网服务的安全性与稳定性。值得关注的是,两家公司还计划到2029年将数据中心规模缩减60%,以更少资源实现更多功能。
英国网络安全专业人员的法律保护严重滞后
距今已有35年历史的英国《计算机滥用法》(CMA)严重制约了网络安全从业者的日常工作。尽管英国政府去年12月承诺推进改革,但CyberUp组织警告,每一分钟的拖延都在削弱英国的安全创新与防御能力。报告指出,澳大利亚、法国、德国、美国等多国已为网络安全专业人员提供明确法律保护,葡萄牙更通过立法为善意黑客提供了可参考的范本。CyberUp呼吁政府借助《网络安全与韧性法案》尽快实现实质性改革。
京公网安备 11010802021500号
