/
云开发平台Vercel遭遇黑客攻击,数据疑被窃取
云开发平台Vercel遭到黑客攻击,攻击者已尝试在网上出售窃取的数据,涉及员工姓名、邮箱及活动记录等信息。Vercel官方确认发生"安全事件",称攻击源头为一款遭入侵的第三方AI工具,其Google Workspace OAuth应用被大范围攻破,可能波及数百名用户。Vercel建议管理员立即审查活动日志、轮换环境变量,并检查相关Google应用的使用情况。
Lovable平台否认数据泄露,却将责任推给HackerOne
AI编程平台Lovable被安全研究人员披露存在严重漏洞,任何免费账户均可访问其他用户的源代码、数据库凭证及聊天记录。该公司起初将问题归因于"设计行为"和"文档不清晰",后又将责任推给漏洞赏金合作方HackerOne。据悉,该漏洞源于对象级授权缺陷(BOLA),研究人员仅需5次API调用即可获取他人数据。Lovable估值高达66亿美元,Uber、Zendesk等企业均为其用户。
微软发布带外更新,修复四月补丁引发的服务器重启死循环
微软发布带外更新,修复4月安全更新(KB5082063)导致的Windows Server重启循环问题。该问题影响Windows Server 2016至2025版本,在多域森林且启用特权访问管理(PAM)的环境中,域控制器会因LSASS崩溃而反复重启,导致身份验证和目录服务中断。此次修复同时解决了安装失败问题,热补丁方案也已提供。微软近期频繁发布带外更新,引发管理员对其更新质量管控的担忧。
Vercel遭遇数据泄露,客户凭证受到波及
Vercel公司于4月19日发现安全事件,攻击者通过入侵第三方AI工具Context.ai,获取了员工的Google Workspace账户访问权限,进而渗透至部分Vercel系统环境,导致少量客户凭证泄露。Vercel已通知受影响客户并建议立即更换凭证。Context.ai承认其AWS环境曾遭入侵,OAuth令牌被盗用。此事件再次印证了安全专家对AI代理产品连接第三方服务所带来安全风险的警告。
教科书巨头麦格劳-希尔遭勒索软件团伙攻击,1350万条记录泄露
教科书出版巨头麦格劳-希尔因Salesforce配置错误,导致1350万条记录外泄,随后被勒索软件团伙ShinyHunters列入暗网泄露名单。泄露数据超过100GB,涵盖姓名、电话、电子邮件及部分实际地址。该团伙声称持有超4000万条Salesforce相关个人信息,并指控麦格劳-希尔未在4月14日截止前支付赎金。麦格劳-希尔否认其核心系统遭到未授权访问,但此次事件再次警示企业需重视第三方平台的权限配置安全。
Anthropic发布Glasswing项目:用AI守护数据中心安全
Anthropic推出Glasswing项目,核心是部署新模型Claude Mythos,用于识别和修复复杂软件环境中的安全漏洞。项目联合AWS、谷歌、微软、英伟达和思科等科技巨头,在受控环境中测试AI在防御性网络安全领域的应用。随着AI加速漏洞发现,修复速度面临挑战,业界专家指出需构建自动化修复机制,推动安全体系从定期审计转向持续自主防护。
IPv6流量占比首次突破全球互联网流量一半
据谷歌统计,2025年3月28日,其检测到的互联网流量中有50.1%通过IPv6协议传输,创历史新高。谷歌凭借旗下主域名及YouTube两大全球最高流量网站,对互联网整体状况具有较强代表性。然而,Cloudflare和APNIC的数据显示IPv6占比分别为40.1%和43.13%,尚未达到50%。IPv6普及缓慢的主要原因在于其功能提升有限,以及网络地址转换(NAT)技术的广泛应用延缓了迁移进程。目前印度、中国等亚太地区国家的IPv6采用率已率先突破50%。
CISA紧急要求各机构修复这个潜伏13年的Apache ActiveMQ高危漏洞
美国网络安全局(CISA)将Apache ActiveMQ高危漏洞(CVE-2026-34197)列入已知被利用漏洞目录,要求联邦机构在4月30日前完成修补。该漏洞潜伏代码库长达13年,允许攻击者通过Jolokia管理API执行任意代码。更危险的是,大量部署仍使用默认凭据"admin:admin",结合旧版本中的另一漏洞,可实现无需认证的远程代码执行。目前超过8000个ActiveMQ实例暴露于公网,管理员需尽快升级至5.19.5或6.2.3版本。
AI厂商将安全漏洞推卸给用户,责任意识严重缺失
当AI厂商大力鼓吹企业用AI解决安全问题的同时,一旦AI自身存在漏洞,却以"符合预期行为"或"设计如此"为由推卸责任。近期研究人员发现,Anthropic、Google、Microsoft的三款AI代理工具存在可被劫持的漏洞,三家厂商虽支付了漏洞赏金,却均未发布CVE或公开安全公告。Anthropic的MCP协议被曝存在设计缺陷,威胁约20万台服务器,但Anthropic拒绝修复,称其为"预期行为",将安全责任转嫁给开发者和企业用户。
CVE披露数量激增,NIST被迫调整漏洞数据库工作流程
美国国家标准与技术研究院(NIST)宣布对国家漏洞数据库(NVD)的CVE处理方式进行重大调整。受2020至2025年间CVE提交量激增263%影响,NIST将不再对所有CVE进行全面"富化"分析,而是优先处理CISA已知被利用漏洞目录、政府软件及关键软件相关漏洞。2025年NIST共完成近4.2万条CVE富化,但仍难以跟上提交量增长。业内专家对新方向总体认可,但也指出供应商自评分可靠性及CVSS方法论存在局限性。
Cisco缺陷更新导致无线AP面临无法接收后续补丁的风险
思科管理员正紧急修复一个影响200余款基于IOS XE无线接入点的严重闪存溢出漏洞。该问题由近期一次有缺陷的软件更新引发,导致特定日志文件每天增长约5MB,长期运行将耗尽闪存空间,使设备无法下载新补丁,甚至可能变砖。管理员可通过WLANPoller工具批量修复,或手动检查各设备启动分区空间。专家建议尽早采取行动,并呼吁企业加强硬件健康监控及补丁发布前的实验室验证流程。
IPv6流量占比短暂突破互联网总流量的50%
根据谷歌统计数据,2024年3月28日,IPv6流量短暂达到互联网总流量的50.1%。然而,Cloudflare和APNIC Labs的数据显示,IPv6流量峰值仅为43%左右。自1998年IETF批准IPv6以来,其普及进程极为缓慢,直至2014年才突破5%。IPv6支持约3.4×10??个地址,远超IPv4的43亿地址上限,随着全球网络设备持续增长,IPv6的重要性将进一步提升。
Anthropic将向英国银行开放Mythos AI安全模型预览权限
Anthropic计划最快于下周向英国各大银行开放其Mythos AI模型的预览访问权限。该模型已在每个操作系统和浏览器中发现严重安全漏洞,并已通过"Project Glasswing"项目向亚马逊、微软、苹果、摩根大通等机构提供早期访问。Anthropic欧洲负责人表示,英国银行将成为下一批参与者。业内人士指出,此举旨在让银行在Mythos被不法分子利用前,抢先修复自身系统漏洞。
服务器机房的门锁形同虚设,安全认证险些露馅
一家负责停车费管理的公司在申请ISO 27001安全认证时,为解决服务器机房网络与生产数据中心网络互通的安全隐患,安装了一把支持双因素认证的门锁——需刷卡并输入四位PIN码。然而在审计前的最后演练中,发现只要连续输入超过10至11个数字,门锁就会因过载而自动开启,完全绕过身份验证。公司在审计当天刻意隐瞒了这一漏洞,顺利通过了认证,而供应商始终未能提供修复方案。
Anthropic拒绝修复MCP设计缺陷,20万台服务器面临安全风险
安全研究团队Ox发现,Anthropic的模型上下文协议(MCP)存在设计缺陷,波及约20万台服务器,可能导致系统被完全接管。研究人员多次要求Anthropic从协议层面修复根本问题,但Anthropic以"行为符合预期"为由拒绝修改架构。该漏洞已衍生出命令注入、防护绕过、零点击提示注入及MCP市场投毒等四类攻击方式,影响LangFlow、Flowise等多个主流项目,涉及下载量超1.5亿次的软件包。
英国网络安全专业人员的法律保护严重滞后
距今已有35年历史的英国《计算机滥用法》(CMA)严重制约了网络安全从业者的日常工作。尽管英国政府去年12月承诺推进改革,但CyberUp组织警告,每一分钟的拖延都在削弱英国的安全创新与防御能力。报告指出,澳大利亚、法国、德国、美国等多国已为网络安全专业人员提供明确法律保护,葡萄牙更通过立法为善意黑客提供了可参考的范本。CyberUp呼吁政府借助《网络安全与韧性法案》尽快实现实质性改革。
IBM推出智能体攻击防御与威胁自动评估安全服务
IBM宣布推出两项企业安全服务:IBM自主安全服务和前沿模型网络威胁评估服务。前者通过多个协作AI智能体,以机器速度自动检测、分析并修复AI安全威胁,最大限度减少人工干预;后者联合技术合作伙伴,深度评估企业环境中的安全漏洞与潜在攻击路径,并提供优先级修复建议。IBM X-Force报告显示,2026年针对公开应用的攻击增加44%,AI工具正加速帮助攻击者发现漏洞。
欧洲最大连锁健身房Basic-Fit遭网络攻击,百万会员数据泄露
欧洲最大连锁健身房Basic-Fit确认遭受网络攻击,约100万名会员的个人数据被窃取,涉及荷兰、比利时、法国、德国、卢森堡和西班牙六国。泄露数据包括姓名、住址、电子邮件、电话号码、出生日期及银行账户信息,但密码未被获取。公司表示攻击发现后数分钟内已被阻止,目前尚未发现数据在网络上流通,并提醒会员警惕钓鱼攻击。
假冒Linux基金会官员通过Slack实施网络钓鱼,窃取开发者凭据
一起针对开源软件开发者的社会工程攻击被曝光。攻击者在Slack中冒充Linux基金会真实官员,诱导TODO和CNCF项目成员点击托管于Google Sites的钓鱼链接。该链接伪装成Google Workspace登录页面,诱使用户输入凭证并安装恶意根证书。在macOS上会下载执行恶意二进制文件,在Windows上则通过浏览器信任对话框安装恶意证书,最终可能导致系统被完全控制。Google已下架相关钓鱼页面。
Raspberry Pi OS 正式关闭 sudo 免密默认通道
最新版Raspberry Pi OS对sudo命令新增密码验证机制,仅影响全新安装,现有系统不受影响。此前任何用户均可无需认证直接执行管理员命令,存在明显安全隐患。新机制下,密码验证通过后五分钟内无需重复输入,不影响连续操作效率。用户可通过控制中心或raspi-config恢复免密模式。官方坦承此举是安全与便利之间的艰难权衡,用户反应褒贬不一。
京公网安备 11010802021500号
