微软安全团队近期发布重磅技术博客，正式揭晓其内部代号为MDASH的多模型智能体扫描系统（Microsoft Security’s new multi-model agentic scanning harness）。该系统助力微软研究团队在最新一期Patch Tuesday中，成功发现16个全新漏洞，其中包含多个内核级漏洞及IKEv2服务中的Critical级远程代码执行漏洞。

MDASH 多模型智能体扫描框架，突破传统单模型 AI 漏洞扫描模式，依托百余个专业 AI 智能体分工协作，复刻安全团队工作流程，完成全流程漏洞审计工作。该框架可有效削减扫描误报，漏洞识别准确率表现优异，已助力挖掘出多款系统高危漏洞，实现企业级规模化漏洞防御。其核心价值在于将单一模型能力整合为可迭代升级的完整安全系统，推动安全审计迈向多智能体自动化阶段，提升漏洞挖掘效率。目前该技术仍处内部试用与小范围预览阶段，相关实测成果暂无法全面通用。

微软自主代码安全（Autonomous Code Security，简称ACS）团队的组建，源于其对AI在安全领域应用潜力的深刻洞察。该团队核心成员均来自曾在DARPA AI Cyber Challenge（AIxCC）中夺冠的“Team Atlanta”团队，凭借出色的技术实力斩获2950万美元奖金。他们研发的自主网络推理系统，能够在复杂开源项目中自主发现并修复真实漏洞，这些宝贵经验被直接迁移应用于MDASH的研发过程中。

微软之所以全力打造此类系统，核心源于三大现实需求：

首先，代码基数庞大且高度私有化。Windows、Hyper-V、Azure及周边驱动与服务生态，均属于未纳入任何主流大模型训练语料的专有代码。其中涉及的内核调用约定、IRP与锁不变性、IPC信任边界等专业概念，单纯依靠模式匹配难以破解，必须依托真正的逻辑推理能力才能实现深度解析。

其次，DevSecOps规模化落地面临挑战。每一个漏洞发现都需明确责任主体、完善三角验证流程，并最终在Patch Tuesday中落地修复。若工具产生误报噪声，不仅无法提升效率，反而会成为全公司安全工作的沉重负担。

第三，安全防护目标价值极高。Windows系统服务全球数十亿用户，一个高危漏洞被利用的代价极高，而误报带来的人力、时间成本同样令人震惊。

正是在这样的背景下，ACS团队与微软Windows攻击研究与防护（WARP）团队深度协作，打造出MDASH这一成熟的智能体漏洞发现与修复流水线。MDASH的核心理念清晰而深刻：“模型仅为输入，系统方为产品”。它打破了单一模型的局限，通过多模型协同、智能体分工协作与可扩展插件机制，实现了漏洞发现、验证与证明的端到端闭环。

MDASH的全称是微软安全多模型智能体扫描马具（Microsoft Security’s multi-model agentic scanning harness），其本质是一套结构化的漏洞发现与修复流水线，输入为目标代码库，输出则是经过严格验证、可提供完整证明的漏洞报告。

整个系统流程分为五个核心阶段，环环相扣、层层递进：

1) Prepare阶段（准备阶段）：导入目标源代码，构建语言感知索引，深入分析代码历史提交记录，绘制完整的攻击面图谱与威胁模型，为后续扫描工作奠定坚实基础。

2) Scan阶段（扫描阶段）：由专门的审计智能体在候选代码路径上开展深度扫描，输出包含假设前提与相关证据的候选漏洞发现。

3) Validate阶段（验证阶段）：由第二批“辩论者”智能体，对每个候选发现的可达性与可利用性展开正反双向论证，确保发现的准确性。

4) Dedup阶段（去重阶段）：对语义等价的漏洞发现进行合并处理，例如基于补丁特征进行分组，避免重复上报与无效工作。

5) Prove阶段（证明阶段）：针对可构造触发输入的漏洞类型，动态验证前提条件，并生成对应的触发输入（如在C/C++环境中应用ASan工具），完成漏洞的最终验证。

MDASH能够实现高效精准的漏洞发现，关键在于其具备三大核心特性：

第一，多模型集成与协同机制。系统配置了前沿模型作为重型推理器、蒸馏模型作为高量程辩论智能体，以及独立的SOTA模型作为反方论证智能体。模型之间的分歧本身就是重要信号——若审计智能体标记可疑漏洞，而辩论智能体无法提出有效反驳，该发现的可信度将大幅提升。

第二，高度专业化的智能体分工。MDASH搭载了超过100个专业化智能体，审计智能体、辩论智能体与证明智能体各司其职、互不替代。每个阶段的智能体都具备独立的角色定位、提示策略、工具集合及停止条件，摒弃了“单一提示解决所有问题”的低效模式。通过深度研究历史CVE漏洞及其修复补丁，构建可独立工作的智能体，最终将各环节结果整合为完整、规范的漏洞报告。

第三，端到端流水线与可扩展插件体系。流水线流程固化，同时开放灵活的插件接口，领域专家可注入模型自身无法感知的专业上下文，例如内核调用约定、IRP规则、锁不变性、IPC信任边界或编解码器状态机等。文中特别提及的CLFS证明插件，能够根据候选漏洞发现自动构造触发日志文件，充分彰显了插件机制的核心价值。此外，Windows团队还可根据需求扩展自定义代码分析数据库或CodeQL查询功能。

这种架构设计赋予了MDASH极强的可移植性：当新的AI模型问世时，只需调整系统配置即可完成A/B测试，客户此前投入的范围文件、插件、配置及校准参数均可无缝继承。这使得MDASH能够持续“紧跟AI技术前沿”，无需每半年进行一次系统重构，有效降低了维护成本与技术迭代门槛。

为全面验证MDASH的实际性能，团队首先选择了未公开的私有代码——StorageDrive进行测试。该代码是微软面试中用于考察进攻性安全研究员能力的样本驱动程序，内部故意植入了21个漏洞，涵盖内核UAF、整数处理异常、IOCTL验证缺失及锁错误等多种典型漏洞类型。

测试结果令人瞩目：在默认配置下，MDASH成功100%识别出全部21个漏洞，且实现零误报。这一成果表明，其推理能力与漏洞发现水平已接近专业进攻性安全研究员的水准。

随后，MDASH被正式应用于Windows最核心的网络栈安全审计工作。在2026年5月12日的Patch Tuesday中，共有16个CVE漏洞由MDASH辅助发现，覆盖Windows网络栈及相邻服务，其中10个为内核态漏洞、6个为用户态漏洞，且大部分可通过网络无凭证触发，潜在风险极高。

以下为部分关键漏洞详情（基于微软官方披露信息）：

• CVE-2026-33827：tcpip.sys中可通过SSRR IPv4包触发的远程未认证UAF漏洞，属于Critical级远程代码执行漏洞。

• CVE-2026-33824：ikeext.dll中未认证IKEv2 SA_INIT + 分片导致的double-free漏洞，可进一步实现LocalSystem权限远程代码执行，属于Critical级漏洞。

• 其他漏洞包括NULL解引用、拒绝服务（DoS）、信息泄露、安全特性绕过等，涉及tcpip.sys、http.sys、netlogon.dll、dnsapi.dll等Windows核心组件。

案例一：CVE-2026-33827 —— tcpip.sys远程未认证UAF（SSRR）

该漏洞源于Ipv4pReceiveRoutingHeader函数中Path对象的引用计数管理疏漏。该函数在完成路由查找后，释放了对Path对象的唯一拥有引用，但在后续处理Strict Source and Record Route（SSRR）选项时，又违规复用了该指针。由于并发路径缓存清理、显式刷新及接口状态垃圾回收等操作，可能在指针释放后立即回收该对象，导致后续对该指针的解引用形成经典的内核级Use-After-Free漏洞。

该漏洞可通过精心构造的携带SSRR选项的IPv4包远程触发，且处于网络栈高IRQL环境中。其利用难度主要在于需要抢占狭窄的时间窗口并实现分配器复用，但远程可达性与内核上下文的双重属性，使其被评定为Critical级漏洞。

单模型系统为何会错过此类漏洞？核心原因在于，单一模型难以跟踪跨非平凡控制流的引用所有权，也无法高效完成跨文件模式对比。而MDASH通过多阶段智能体协作、跨文件逻辑推理及辩论验证机制，成功捕捉到了这种时序依赖关系与逻辑不一致性，实现了漏洞的精准识别。

案例二：CVE-2026-33824 —— IKEv2 double-free导致LocalSystem RCE

该漏洞位于IKEEXT服务（负责IPsec密钥交换），所有配置为IKEv2响应者的主机（如RRAS VPN、DirectAccess等）均可能受其影响。攻击者只需发送特定的IKE_SA_INIT消息（携带Microsoft IPsec Security Realm Id），随后发送单个分片，即可触发16字节堆分配的双重释放漏洞。

由于IKEEXT服务以LocalSystem权限在svchost.exe中运行，该漏洞构成了前认证远程代码执行路径。其根源在于浅拷贝（flat memcpy）引发的别名生命周期异常，该问题横跨六个源文件，排查难度极大。

单模型的局限性在此凸显：此类漏洞需要通过跨文件模式对比，才能发现正确处理逻辑与错误处理逻辑的差异。而MDASH的审计智能体专门针对此类跨文件对比场景设计，在验证阶段还会通过交叉质询机制，进一步验证漏洞的真实性与可利用性，有效规避了单模型的认知盲区。

这两个案例充分彰显了MDASH超越单一模型的核心优势：它能够高效处理复杂控制流、并发模型、跨文件别名分析及外部触发条件组合等各类复杂场景，真正实现了“精准发现、有效验证”的核心目标。

MDASH不仅在新增代码审计中表现突出，在历史漏洞召回测试中同样展现出强劲实力：

• clfs.sys：对过去五年28个MSRC确认的漏洞案例，召回率高达96%。

• tcpip.sys：对过去五年7个MSRC确认的漏洞案例，召回率达到100%。

这些数据极具参考价值——MSRC案例均为真实被利用、需紧急修复的“实战级漏洞”，96%的召回率意味着MDASH能够精准捕捉那些真正“影响重大”的漏洞，为安全防御提供核心支撑。

在公开基准测试平台CyberGym（包含1507个来自188个OSS-Fuzz项目的真实漏洞复现任务）中，MDASH使用通用可用模型取得了88.45%的成功率，位居排行榜首位，较第二名高出约5个百分点，充分证明了其在行业内的领先水平。

失败案例分析显示，剩余约12%的未成功案例，主要源于漏洞描述模糊或fuzzer格式不兼容，这也进一步印证了高质量上下文与专业插件的重要性。

CLFS证明插件便是典型范例，它让模型无需内化微软特定文件系统的不变性规则，而是通过插件驱动路径至sink点，从而生成可证明、可修复的漏洞发现，大幅提升了漏洞发现的效率与准确性。

MDASH的推出，向网络安全行业传递出三个核心信号，为行业发展提供了重要启示：

1) 复杂漏洞发现需要组合式能力。诸如tcpip.sys竞态UAF、IKEEXT别名链这类复杂漏洞，无法通过单一函数提示实现精准捕捉，必须依托跨文件模式对比、多步可达性分析、智能体辩论验证及端到端证明等组合能力。MDASH的实践充分证明，“围绕模型构建的扫描马具”，才是实现高效漏洞发现的核心关键。

2) 验证环节决定漏洞发现的实际价值。仅标记候选漏洞，只会造成漏洞排查的三角积压，无法转化为实际的安全防御能力。MDASH通过辩论、去重、证明的完整流水线，确保输出的每一个漏洞发现都是高质量、可行动的，真正为安全修复工作提供有效支撑。

3) 系统化设计实现长期耐用性，高效吸收模型进步。新模型上线时，只需通过配置切换即可完成集成，客户此前在范围文件、插件、配置等方面的历史投入能够持续增值。这一特性在AI模型快速迭代的当下尤为宝贵，能够帮助企业降低技术迭代成本，实现安全能力的持续提升。

对防御者而言，在评估AI漏洞检测工具时，不应局限于“使用了哪个模型”，更应关注“如何使用模型”；不应只看重当前性能，更应考量“当下一个更优模型问世时，系统能够保留多少既有价值”。这一评估标准，将成为未来AI安全工具选型的核心依据。

目前，MDASH已在微软安全工程团队内部投入使用，并向小范围客户开放有限制的私人预览服务，感兴趣的企业可通过微软官方网站提交报名申请，提前体验其核心能力。

从行业发展的广阔视角来看，MDASH的问世标志着“智能体安全（Agentic Security）”时代的崛起——智能体不再是单纯的辅助工具，而是能够自主规划、辩论、验证与证明的“虚拟安全工程师”。未来，我们有望看到更多企业将此类智能体系统集成到CI/CD流水线中，实现“代码提交即自动安全审计”，从源头提升代码安全质量，构建常态化的安全防御体系。

与此同时，AI安全工具的广泛应用也带来了新的行业挑战：如何有效管理模型幻觉，避免误报与漏报；如何确保插件自身的安全性，防止引入新的安全风险；如何在高敏感代码库审计中，平衡数据隐私与审计深度。这些问题，需要整个网络安全行业共同探索、协同解决。

几点建议，供行业同仁参考：

• 安全团队应密切关注MDASH的预览动态，结合自身业务场景，评估其在自有代码库中的适配性，积极探索AI技术在安全防御中的实际应用。

• 科研工作者应深入研究多智能体协作范式，这一技术方向将成为下一代安全工具的核心基础，有望推动漏洞发现技术实现新的突破。

• 开发者在编写代码时，应更加注重内存生命周期管理、对象所有权明确化及并发安全设计，从源头降低漏洞产生的概率，为后续安全审计工作减轻负担。

微软MDASH的正式亮相，正式宣告AI漏洞发现时代迈入生产级应用新阶段。它以16个真实CVE漏洞发现、StorageDrive测试的完美表现及公开基准的顶级成绩，向行业充分证明：当多模型协同、智能体分工、专业插件与严谨工程设计深度融合时，AI能够真正成为防御者的“超级力量”，大幅提升漏洞发现的速度与精度。

未来，网络攻防对抗将愈发激烈，但防御方首次在漏洞发现速度上获得了“AI速度”的加持，打破了长期以来攻防失衡的局面。让我们共同期待更多此类技术创新，携手推动网络空间走向更安全、更可靠的未来。

相关阅读

2026 年 5 月 11 日至 17 日，CNVD 第 19 期共收录漏洞 501 个，整体威胁评级为中，其中高危漏洞 279 个，零日漏洞 411 个（占 82%），党政机关及企事业单位相关漏洞环比增 12%。

漏洞分布集中，Web 应用 235 个、应用程序 164 个、网络设备 55 个。厂商方面，Microsoft、Adobe、Mozilla、Google 等产品漏洞突出，均为高危级别。

Microsoft 多款产品存权限提升、代码执行漏洞；Adobe Framemaker 曝出堆溢出、越界读写等漏洞，可远程执行代码；Mozilla Firefox 等因 WebRTC、Graphics 组件缺陷，存在代码执行与崩溃风险；Google Chrome 现缓冲区溢出漏洞，可致沙箱逃逸。此外，Tenda F456 路由存栈溢出漏洞，远程可触发攻击。

目前多数厂商已发布补丁，CNVD 提醒用户及时更新，防范漏洞攻击。

原文链接：

https://www.cnvd.org.cn/webinfo/show/12401

近期，国家信息安全漏洞库（CNVD）收录多起国内外厂商产品高危漏洞，涉及办公软件、浏览器、操作系统、工业设备及家用路由，威胁覆盖代码执行、权限提升、拒绝服务等。

境外产品方面，Adobe Framemaker 先后曝出堆缓冲区溢出（CNVD-2026-19998）与越界读取漏洞（CNVD-2026-19997），均允许攻击者执行任意代码。Mozilla 多款产品存两漏洞，Graphics 组件边界错误致浏览器崩溃（CNVD-2026-19984），WebRTC:Signaling 组件未定义行为可远程执行代码（CNVD-2026-19983）。Microsoft Windows SSDP 存在权限提升漏洞（CNVD-2026-20180）。

境内产品隐患集中，Huawei HarmonyOS 通信模块现两起内存错误引用漏洞（CNVD-2026-20004、20003），影响系统可用性。Delta Electronics DVP-12SE11T 输入验证不当，可引发拒绝服务（CNVD-2026-20005）。D-Link M60 路由弱密码恢复漏洞，威胁数据机密性、完整性（CNVD-2026-19966）。Tenda F456 路由栈缓冲区溢出漏洞，远程恶意数据可触发溢出（CNVD-2026-19971）。

原文链接：

https://www.cnvd.org.cn/webinfo/show/12406

“有图有真相”的电商售后逻辑正被AI生成内容改写。近期，多名商家反映，部分买家利用AI伪造“问题商品”图片，申请“仅退款”，将正常维权流程异化为套利工具。河北种植户张先生曾售出12单无花果苗后收到退款申请，对方提供的枯黄果苗图与植物失水规律不符，但平台仍在数分钟内批准“仅退款”。

类似案例已扩展至多类商品，包括衣架断裂图、杯身裂痕图、商品发霉或破损图等。有商家上传疑似图片后，AI检测工具给出“92%概率AI生成”的判断，部分图片甚至带有“豆包生成”水印。

应对这一趋势，国家反诈中心App已于今年3月上线AI内容鉴定功能，支持对图像、视频、文本和音频进行AI识别检测，覆盖30KB至5MB图片、10分钟以内人声音频等常用格式。蚂蚁安全内容视觉算法负责人兰钧介绍，主流AI鉴真通常结合小模型和大模型：前者学习AI生成内容的模式特征，后者识别物理瑕疵、文字乱码和语义逻辑异常。对中小商家而言，这类工具可降低初步鉴别成本，并为平台申诉和维权提供技术证据。

原文链接：

https://www.ithome.com/0/951/422.htm

2026年5月，勒索软件团伙The Gentlemen内部系统遭受入侵，其后端基础设施、附属成员活动、受害者管理和运营工具等关键信息被曝光。Check Point Research（CPR）研究人员借此获得对该RaaS（Ransomware-as-a-Service）团伙运作的罕见洞察。

The Gentlemen于2025年首次出现，采用RaaS模式运营，主运营商提供勒索软件平台，附属成员负责实施攻击并分享赎金。该团伙向附属成员提供高达90%的收入分成，这一慷慨比例有效吸引了经验丰富的网络犯罪分子。攻击重点在于实际执行，而非炫技：主要针对暴露在互联网上的系统，入侵后禁用安全工具，随后加密Windows、Linux、NAS和ESXi环境。研究人员还观察到与该团伙关联的SystemBC恶意软件，用于持久化、远程访问和流量隧道。

泄露数据包括受害者跟踪系统、附属管理渠道及内部聊天记录。附属成员在私密频道讨论凭证滥用、EDR-killer工具、Fortinet和Cisco访问以及NTLM中继等技术。暴露的受害者数量远超其暗网泄露站点公开数据，CPR识别出超过1570个潜在受害者，覆盖多个行业和地区。

尽管遭受内部泄露，The Gentlemen并未放缓脚步。5月16日，其成为BreachForums新版本的官方合作伙伴，并在暗网站点展示相关横幅，继续发布受害者公告和勒索信息。这凸显了勒索软件生态的韧性，但也暴露了内部安全薄弱环节，如附属纠纷、基础设施防护不足和运营失误，为研究人员和执法部门提供了情报收集机会。

对网络安全从业者而言，此事件提醒企业需强化互联网暴露面防护、EDR解决方案及多层防御策略，同时关注RaaS团伙的内部动态以提前预警潜在威胁。

原文链接：

https://hackread.com/the-gentlemen-ransomware-gang-breach-op-exposed/

近日，美国纽约市公立医院系统 NYC Health Hospitals 披露一起严重网络安全事件，黑客通过入侵系统窃取大量医疗数据，受影响人数至少 180 万。

事件源于针对性网络攻击，攻击者非法侵入医院信息系统，未经授权获取患者个人信息与医疗记录，包括身份信息、诊疗记录、病史等敏感数据。此类数据泄露可被用于诈骗、勒索或黑市交易，严重威胁患者隐私与身份安全。

NYC Health Hospitals 已确认事件属实并启动内部调查，同时通知受影响患者、上报监管机构，并加强系统安全防护。医疗行业因数据价值高、系统复杂、防护薄弱，长期为网络攻击重点目标。此次事件再次警示，医疗机构需强化网络安全治理，完善数据加密、访问控制与威胁监测机制，防范同类攻击。

原文链接：

https://www.cybersecurity-review.com/nyc-health-hospitals-says-hackers-stole-medical-data-affecting-at-least-1-8m-people/

美国CISA一起高敏感凭据泄露事件引发关注。GitGuardian研究员Guillaume Valadon于5月15日发现，一个名为“Private-CISA”的公开GitHub仓库暴露了大量CISA/DHS内部资产，包括AWS GovCloud密钥、tokens、明文密码、日志和内部系统文件。该仓库由政府承包商Nightwing一名员工维护，疑似被当作跨设备同步或临时工作区使用。

安全公司Seralys创始人Philippe Caturegli验证发现，泄露凭据可认证至3个AWS GovCloud账户，且具备高权限。仓库中还包含“importantAWStokens”和“AWS-Workspace-Firefox-Passwords.csv”等文件，后者列出数十个CISA内部系统的用户名和密码，其中包括疑似“Landing Zone DevSecOps”的LZ-DSO环境，以及内部artifactory代码包仓库。攻击者若获取这类访问权限，可能借软件包投毒实现横向移动和持久化。

更严重的是，相关GitHub提交记录显示，该账号曾禁用GitHub默认的secret scanning阻断机制，使SSH keys等敏感信息得以公开提交。仓库在KrebsOnSecurity和Seralys通知CISA后下线，但部分AWS密钥仍继续有效约48小时。CISA回应称正在调查，目前没有迹象显示敏感数据因此被破坏，并将部署额外防护措施。该事件凸显政府机构在第三方承包商管理、云凭据轮换、secret scanning和最小权限控制上的系统性风险。

原文链接：

https://krebsonsecurity.com/2026/05/cisa-admin-leaked-aws-govcloud-keys-on-github/

近日，一起涉及美国的大规模数据泄露事件在暗网曝光。根据公开信息，泄露数据规模超过2.5亿条，内容覆盖姓名、电话号码、电子邮件地址、出生日期、婚姻状况、性别等基础身份信息，同时还包括家庭住址、邮政编码、地理位置、房屋成本、租金、房屋建造年份等居住类数据。

更值得关注的是，泄露字段还涉及信用能力、政治倾向、工资、收入详情、拥有车辆数量、家庭子女数量以及宠物数量等高度敏感信息。这类数据不只是单一身份标识，已经接近完整的个人画像，一旦被黑产利用，可能被用于精准诈骗、社会工程攻击、身份冒用、信用欺诈和定向钓鱼。

从安全角度看，本次事件的风险不在于单个字段泄露，而在于多维数据被集中关联。攻击者可通过姓名、联系方式和住址建立基础身份映射，再结合收入、信用、家庭结构和政治倾向等信息，对目标进行分层筛选和定制化攻击。对于企业和安全团队而言，此类事件也提醒数据治理需要覆盖采集、存储、访问控制、脱敏和外泄监测等全链路环节，避免高价值个人数据长期集中暴露。

原文链接：

https://cn-sec.com/archives/5243948.html

知名钓鱼即服务（PhaaS）组织FlowerStorm开始使用浏览器端JavaScript虚拟机KrakVM来隐藏凭证窃取代码，这是研究人员观察到的钓鱼工具包复杂性升级，可能让传统邮件安全和静态分析工具更难检测。

Sublime Security研究人员于4月发现该活动：攻击者通过伪装成语音邮件通知、发票或供应商沟通的HTML附件发送钓鱼邮件。打开后，嵌入的JavaScript利用KrakVM将恶意代码编译为加密字节码，在浏览器内通过虚拟机解释执行，实现多层混淆，规避静态检测。

该攻击针对Microsoft 365、Hotmail和GoDaddy等服务的凭证及多因素认证（MFA）代码，支持实时adversary-in-the-middle（AiTM）拦截技术，能动态适应受害者环境、伪造登录门户、预加载邮箱地址并枚举MFA方式（包括Authenticator推送、TOTP、SMS等）。凭证和MFA响应被转发至C2服务器，完成会话劫持。

FlowerStorm以高级AiTM和MFA拦截能力著称，此次在KrakVM开源后一个月内快速采用，凸显钓鱼生态正引入传统恶意软件的虚拟化执行和分层混淆技术。研究人员发布了153个IoC，目标行业涵盖地方政府、物流、零售等。默认配置即可运行，意味着该技术易于在钓鱼团伙中扩散。

对网络安全从业者而言，这提醒需加强HTML附件行为分析、动态沙箱检测和MFA强化策略，以应对日益演化的钓鱼威胁。

原文链接：

https://www.csoonline.com/article/4171221/flowerstorm-phishing-gang-adopts-virtual-machine-obfuscation-to-evade-email-defenses.html

Menlo Ventures合伙人Deedy Das近日在社交媒体上发长帖，指出当前AI热潮下旧金山科技圈氛围紧张，成果分化达到前所未有的程度。过去5年，约1万名OpenAI、Anthropic、Nvidia、xAI等公司创始人及核心员工，通过股权等实现了远超2000万美元的“退休财富”，而多数从业者即使拿着低于50万美元年薪的工作，也难以企及类似水平。

文章提到，尽管AI技术迅猛发展，但行业内裁员潮仍在持续，许多软件工程师感到自身技能迅速贬值，对职业路径产生困惑，并出现对工作未来的深层倦怠。这种“赢家通吃”的局面，让AI既成为少数人的“彩票”，又成为多数人职业安全的威胁。

帖文引发X平台讨论，有人认为多数科技从业者已足够幸运，应选择积极心态；也有人指出，本轮周期独特之处在于同一技术同时扮演财富创造者和传统岗位破坏者的双重角色。

作为网络安全从业者，需特别关注这一分化对行业的影响：核心AI企业掌握强大算力和数据资源，可能在安全防御与攻击能力上形成不对称优势，而广大从业者则面临技能迭代压力。如何在AI时代快速掌握相关安全技术、参与高价值项目，或成为应对分化的关键。

原文链接：

https://techcrunch.com/2026/05/16/the-haves-and-have-nots-of-the-ai-gold-rush/

5月18日，据Help Net Security报道，OTT Cybersecurity推出开源自治安全代理Lyrie，试图将传统需要数周人工投入的渗透测试流程，压缩为可通过命令行执行的自动化工具。该项目本月已升级至3.1.0版本，新增XChaCha20-Poly1305内存加密，用于保护敏感威胁数据；同时加入7类PoC生成器，覆盖prompt injection、auth bypass、CSRF、open redirect、race condition、secret exposure和cross-site execution等场景，并新增Rust分析、taint engine处理和AI-driven code review三类深度扫描器。

Lyrie由两个可安装组件组成：lyrie-omega是面向扫描、渗透测试和red-teaming的Python CLI，@lyrie/atp是基于TypeScript和Node.js的SDK，用于实现Agent Trust Protocol。其核心命令lyrie hack可对 live URLs和本地源码树执行侦察、指纹识别、扫描、利用、PoC生成和报告输出等流程，并以SARIF格式输出结果，便于接入GitHub Code Scanning。AI红队模块支持针对LLM endpoint的5种攻击策略，其中gradient-based suffix attacks需要H200 GPU基础设施。

值得关注的是，Agent Trust Protocol试图解决AI agent在运行时身份验证和授权范围声明问题。该协议使用Ed25519签名，支持delegation chains、revocation lists和multisig配置，便于系统实时确认agent身份、授权范围及权限是否被撤销。该规范目前已有143项通过测试，并计划提交给IETF。

原文链接：

https://www.helpnetsecurity.com/2026/05/18/lyrie-ai-autonomous-pentesting-agent/

今天我们将深入剖析一起发生在2025年底至2026年初的重大网络安全事件——Lotus Wiper（莲花Wiper）恶意软件针对委内瑞拉能源及公用事业部门的定向攻击。这一事件不仅在技术层面展现出高度精密性，更与当时加勒比地区的地缘政治紧张局势深度交织，尤其恰逢美国2026年1月初对委内瑞拉实施军事干预、捕获马杜罗总统的关键节点。

本文将基于卡巴斯基（Kaspersky）的安全报告及多家权威媒体的披露，全面拆解该攻击的完整链条、核心技术细节、背景成因、潜在影响，以及其对全球关键基础设施安全带来的深刻启示。全文力求详尽精准，助力读者理解现代混合战争中，网络手段如何成为一柄“无声的利剑”，深刻影响地缘格局与行业安全。

2026年4月，俄罗斯网络安全巨头卡巴斯基（Kaspersky）发布专项报告，披露了一款新型破坏性恶意软件——Lotus Wiper（莲花Wiper）。该恶意软件被定向用于攻击委内瑞拉能源及公用事业部门，攻击者以两个批处理脚本（BAT）作为攻击初始环节，逐步削弱系统防御能力、破坏设备正常运营，最终部署核心有效载荷Lotus Wiper，完成破坏性攻击。

与勒索软件存在本质区别，Lotus Wiper未留下任何索要赎金的痕迹，其唯一目标便是彻底擦除系统数据、覆盖存储驱动器、删除各类恢复机制，使受感染系统陷入不可恢复的瘫痪状态。这一特征表明，此次攻击的动机极具破坏性，而非经济性，与国家支持型网络行动或地缘冲突中的“前置准备性打击”高度契合。

该恶意软件样本的编译时间约为2025年9月底，同年12月中旬从委内瑞拉境内的一台受感染机器上传至公共平台。这一时间节点，恰好处于委内瑞拉能源部门频繁遭受各类网络活动干扰的时期，且紧邻2026年1月3日美国对委内瑞拉发起的军事行动。

卡巴斯基在报告中明确指出，此次攻击“具有极强的针对性”，攻击脚本中甚至硬编码了目标组织的名称，其中包含与委内瑞拉国有石油公司（PDVSA）相关的关键线索。

为何将其命名为“Lotus Wiper”？核心原因在于，攻击者所使用的可执行文件，均伪装成HCL Domino（原Lotus Domino）应用开发的组件，例如nstats.exe、nevent.exe、ndesign.exe等。这种伪装策略，旨在适配能源行业普遍存在的遗留IT环境，最大限度降低被安全检测工具发现的概率，实现隐蔽攻击。

此次攻击的完整链条高度依赖“Living off the Land（LotL）”技术，即大量借助系统原生工具开展攻击，避免引入明显的恶意二进制文件，从而大幅提升攻击的隐蔽性，降低被检测和拦截的风险。

1. 第一阶段：OhSyncNow.bat——触发器与环境准备

• 禁用UI0Detect服务：尝试终止Interactive Services Detection服务，避免后台恶意活动弹出可见警告窗口。该服务主要存在于较早期的Windows系统版本（Windows 10 1803版本之前），这一操作暗示攻击者对目标环境的遗留系统特性有着充分了解。

• 网络触发机制：检查NETLOGON共享目录下的特定XML文件（OHSync.xml），该文件路径中硬编码了受害组织的名称。只有当该远程文件存在时，攻击脚本才会继续执行。这是一种经典的域环境同步触发方式，能够确保攻击在整个域内协调一致地启动，扩大攻击覆盖面。

• 随机延迟策略：若NETLOGON共享目录无法访问，脚本会随机等待最长20分钟后重新尝试连接，通过模拟正常网络延迟，进一步提升攻击的隐蔽性，规避安全检测。

当上述所有条件均满足时，脚本将自动执行第二个批处理脚本notesreg.bat，进入攻击的下一阶段。

2. 第二阶段：notesreg.bat——全面瘫痪系统防御

该脚本是整个攻击过程中破坏准备的核心环节，主要执行以下操作，全面瓦解目标系统的防御能力：

• 检查执行标记：通过另一个XML文件判断自身是否已执行，避免重复操作留下异常痕迹，确保攻击流程的规范性。

• 用户账户操纵：枚举本地所有用户账户（排除特定IT部门账户），将其密码修改为随机字符串，并设置为非活动状态，剥夺合法用户的系统访问权限。具体操作通过类似“net user %%a %randomPassword% /times:friday,01:00-02:00 /active:no”的命令实现。

• 禁用缓存登录：修改系统注册表中的CachedLogonsCount值为0，禁止用户离线登录，进一步切断系统的应急访问通道。

• 注销活动会话：通过qwinsta和logoff命令，强制登出所有当前活跃的用户会话，中断正常的系统操作流程。

• 禁用网络接口：借助netsh命令禁用系统所有网络适配器，彻底切断受感染设备与外部的通信连接，防止受害者发出告警信息，同时阻止外部救援和数据恢复操作。

• 磁盘清理与覆盖：枚举系统所有逻辑驱动器，通过diskpart的clean all命令对磁盘卷进行全零覆盖擦除，彻底破坏数据存储结构。

• 文件夹镜像覆盖：使用robocopy /MIR命令，将空文件夹或恶意文件夹递归镜像至目标文件夹，实现对现有内容的覆盖与删除，进一步销毁关键数据。

• 耗尽存储空间：计算磁盘剩余存储空间，通过fsutil命令创建大型文件，直至填满整个磁盘，阻止系统正常运行及应急操作的开展。

• 准备最终载荷：将Windows系统原生命令行工具复制至工作目录，执行nstats.exe（附带参数nevent.exe和ndesign.exe），由后者负责解密并运行真正的Lotus Wiper恶意软件，启动最终破坏环节。

上述一系列操作充分表明，攻击者早已获取目标系统的域管理员级权限，并提前完成文件植入，此次攻击属于长期潜伏后的“激活阶段”，展现出高度的计划性和针对性。

3. 最终载荷：Lotus Wiper的破坏力

Lotus Wiper恶意软件具备极强的破坏性，其核心操作包括以下几个方面，最终实现对系统的彻底摧毁：

• 启用当前令牌的所有特权，获取系统最高操作权限，为后续破坏操作奠定基础。

• 删除系统还原点：动态加载srclient.dll文件，通过调用SRSetRestorePoint和SRRemoveRestorePoint API接口，逐一移除系统所有还原点，切断系统的应急恢复通道。

• 物理驱动器擦除：向系统每个物理驱动器的扇区写入全零数据，彻底覆盖原有数据，从物理层面破坏数据的可恢复性。

• 清除USN日志：清除磁盘卷的更新序列号（USN）日志，破坏攻击行为的取证痕迹，增加安全人员追溯攻击源头、分析攻击过程的难度。

• 系统文件删除：对所有磁盘卷进行全面扫描，系统性删除系统核心文件及各类应用文件，彻底瓦解系统运行基础。

最终造成的结果是：受感染系统无法正常启动，所有数据不可恢复，各类恢复机制全部失效。这种破坏方式比多数勒索软件的“加密锁定”更具毁灭性——勒索软件尚有解密密钥可恢复数据，而Lotus Wiper的攻击属于纯物理与逻辑层面的彻底抹除，不存在任何数据恢复的可能。

2025年底至2026年初，委内瑞拉国内局势陷入高度紧张。美国长期以来持续对马杜罗政权施加压力，指控其涉及贩毒、腐败及选举舞弊等行为。2026年1月3日，美国正式发动军事行动，捕获马杜罗夫妇并将二人带至美国接受指控，同时宣布将“暂时接管”委内瑞拉事务，直至完成石油基础设施重建及政权有序过渡。

Lotus Wiper恶意软件的部署时间，与委内瑞拉国家石油公司（PDVSA）遭受的网络干扰高度重合。此前，PDVSA曾公开指责美国发起网络攻击，导致其石油装载作业陷入停滞。结合时间线与事件关联性可以推断，此次网络攻击很可能作为美国军事行动的“前置铺垫”，用于瘫痪委内瑞拉能源基础设施、削弱其防空能力，或制造社会混乱（相关报道提及，此次攻击曾导致委内瑞拉出现电力中断、雷达失效等情况），为后续实体军事干预创造有利条件。

这并非国家支持型Wiper攻击首次应用于地缘冲突。历史上，此类攻击多次被用于冲突前置，成为混合战争的重要手段：

• Shamoon恶意软件（2012年，针对沙特阿美石油公司）：成功擦除数万台企业电脑数据，导致沙特阿美正常运营陷入瘫痪。

• NotPetya恶意软件（2017年，针对乌克兰）：伪装成勒索软件，实际造成全球范围内的大规模系统破坏，本质上是地缘冲突的延伸。

• 此外，伊朗针对沙特、俄罗斯针对乌克兰的网络行动中，也多次出现类似的破坏性Wiper攻击。

Lotus Wiper事件充分体现了“混合战争”的全新范式：网络攻击具备低成本、高隐蔽、可否认的特点，能够在不直接引发实体冲突的前提下，实现战略目标，同时为后续动能军事行动创造有利条件，成为地缘博弈中的重要工具。

能源领域是典型的OT/IT融合环境，普遍存在遗留系统数量多、安全补丁更新滞后、供应链结构复杂等问题。Lotus Wiper攻击的发生，暴露了全球能源关键基础设施在网络安全防护方面的诸多薄弱环节，具体包括：

• 域环境脆弱性突出：NETLOGON共享目录、批处理脚本执行权限等易被攻击者滥用，成为攻击突破的重要入口。

• LotL技术滥用风险：PowerShell、netsh、robocopy、diskpart等系统原生命令工具被武器化，攻击者借助这些工具开展隐蔽攻击，难以被传统安全检测手段发现。

• 恢复机制缺失：多数能源企业在攻击发生前未有效隔离数据备份，部分备份甚至被攻击者针对性破坏，导致攻击后无法实现数据恢复与系统重建。

• 遗留Windows系统隐患：大量老旧Windows系统仍在能源领域服役，其自带的部分服务（如UI0Detect）成为攻击的薄弱环节，为攻击者提供可乘之机。

从全球范围来看，类似的破坏性网络攻击并非个例，未来可能针对任何依赖能源的国家和地区。

Lotus Wiper事件再次印证：在数字化时代，网络空间已成为地缘博弈的重要战场。国家行为体越来越倾向于在“灰色地带”开展网络行动，选择Wiper恶意软件这类破坏性工具，而非传统间谍软件，其核心目标已从单纯的信息窃取，转向实现战略层面的系统瘫痪，进而影响地缘格局。

这一事件对中国网络安全从业者也带来了深刻启示：

• 《关键信息基础设施保护法》的落地实施需更注重实战化，结合行业实际场景，完善防护标准与实施细则，提升关键基础设施的安全防护水平。

• 能源、电力、水利等关键行业应加快推进核心技术国产化替代，推动系统安全可控转型，减少对国外软硬件的依赖，从源头降低安全风险。

• 培养复合型网络安全人才：打造既精通OT安全技术，又具备地缘政治风险评估能力的专业人才队伍，适配混合战争背景下的安全防护需求。

• 加强国际合作：尽管地缘政治分歧存在，但在高级持续性威胁（APT）防御、网络威胁情报共享等领域，仍存在广泛合作空间，需积极推动国际协同，共同应对全球性网络安全挑战。

同时我们也应看到攻击者的局限性：Lotus Wiper的攻击效果高度依赖对目标环境的提前访问和特定系统配置，并非适用于所有目标场景。防御端只要提升网络安全可见性，加快应急响应速度，完善多层防护体系，就能大幅降低此类攻击的成功率，有效防范破坏性网络威胁。

Lotus Wiper事件是2025-2026年委内瑞拉危机的一个缩影，它深刻提醒我们：网络攻击已不再是“可能发生”的潜在风险，而是地缘冲突中常态化的作战选项。能源领域作为现代社会的经济命脉，其网络安全直接关系到国家稳定、民生保障与经济发展，容不得丝毫懈怠。

相关阅读

国家互联网应急中心（CNCERT）发布 2026 年第 18 期网络安全周报，监测周期为 4 月 27 日至 5 月 3 日。本周境内网络安全态势总体可控，但恶意程序传播次数环比上升 5.7%。

恶意代码传播前五家族均以 Linux 平台为主，分别为 Malware.Liunx.Mozi、Backdoor.Linux.Mirni、Malware.Win32.CoreWarrior、Trojan.Multi.Zapchast、Trojan.Linux.Agent。境内被植入后门网站中，.COM 域名占比最高，.NET 域名次之。

针对境内网站仿冒网页数量环比下降 20.5%，行业分布集中在银行、证券基金、企业领域。新增信息安全漏洞数量环比下降 29.8%，漏洞类型以中危为主，高危、低危漏洞占比相对较低。

本周 CNCERT 共处理网络安全事件 280 起，含跨境事件 125 起，重点处置仿冒投诉事件 218 起，联动多方机构保障网络空间安全。

原文链接：

https://www.cert.org.cn/publish/main/upload/File/Weekly%20Report%20of%20CNCERT-Issue%2018%202026%20CH.pdf

2025 年网络诈骗形势严峻，《诈骗情报与影响报告》显示，56% 美国消费者每月至少遭遇一次诈骗尝试，超半数民众沦为诈骗目标。

报告基于 1 万名消费者调研，核心数据触目惊心：52% 受害者遭受经济损失，涉财受害者数量同比翻倍；过去 12 个月约 4000 万美国人受骗，诈骗从低频小额钓鱼转向高额骗局，虚假发票、投资及银行诈骗成为主流。

AI 是诈骗升级的核心驱动力。网络犯罪分子借助 AI 实现精准定向、高仿真伪装与快速攻击迭代，合成语音、虚假图文视频大幅提升诈骗 “诱饵” 质量。同时，用户过度依赖 AI 聊天工具且不核验信息真伪，进一步暴露风险，如 ChatGPT 曾向用户推送诈骗电话。

用户反诈认知存在明显偏差：69% 民众自认能识别诈骗，但其中 43% 最终受骗。FTC 数据显示，社交媒体已成重要攻击渠道，2020 至 2025 年相关损失增长 8 倍，2025 年 30% 涉财诈骗源自社交平台。

年龄差异显著：年轻群体遭遇攻击频次最高，老年群体受骗后损失最大。93% 消费者认为电信运营商需承担防护责任，82% 会据此选择服务商。行业呼吁跳出传统防护，构建全链路数字信任与风险韧性。

原文链接：

https://www.techradar.com/pro/security/scams-are-getting-so-much-more-efficient-new-study-warns-over-half-of-americans-hit-by-fraud-in-2025-and-the-figure-is-only-going-to-get-worse

欧洲正投入超 20 亿欧元打造主权云基础设施，依托 IPCEI-CIS 项目布局新一代数据中心与云服务，同时依托法国 SecNumCloud 认证体系，从技术、管理、法律多维度设立 1200 项审核标准，意在摆脱域外法律管控，实现本土数据自主管控。

但这套主权云体系存在核心安全漏洞，底层服务器普遍搭载 Intel、AMD 美系处理器，其内置底层管控组件并未纳入 SecNumCloud 合规审查范围。Intel 设备搭载 CSME (Management Engine)，AMD 设备配备 PSP 平台安全处理器，二者均属于 Ring-3 底层权限层级，独立于操作系统与虚拟机运行，拥有专属运算、存储及网络权限，服务器终端安全软件、EDR、防火墙均无法监测其运行行为。

这类底层组件原生附带远程运维功能，如 Intel AMT 技术可实现无系统状态下远程管控设备，开放专用通信端口，曾被 PLATINUM 黑客组织利用，借助串行局域网通道搭建隐秘数据外泄链路，绕过全量终端防护体系实施窃密攻击。实测数据显示，市面大量设备长期遗留此类底层高危漏洞，勒索组织 Conti 也已研发相关漏洞利用工具。

从法律层面来看，美国 CLOUD Act、FISA702 条款及 2024 年 RISAA 法案，赋予美方机构向美硬件厂商调取跨境数据的权限，美系处理器底层预留的管控通道，可成为域外势力跨境窃密的隐性后门，即便云平台通过欧洲合规认证，硬件底层安全依旧不受本土掌控。

业内专家指出，更换 AMD 处理器无法规避同类风险，其 SEV-SNP 机密计算技术已被曝出可被 Fabricked 攻击突破，加之 BMC 基板管理控制器同样存在远程入侵隐患，进一步放大主权云安全隐患。

目前欧洲暂无成熟替代方案，RISC-V 开源架构短期内难以达到数据中心商用水准，Arm 架构布局也耗时近二十年。现阶段仅能依靠网络隔离、权限拆分、严控外部运维通道等运营手段降低风险，无法从根源消除美系硬件底层带来的主权云安全隐患。

原文链接：

https://www.securitylab.ru/news/572735.php

2026 年 Sygnia 发布的调研显示，99% 企业制定了正式网络事件响应（IR）预案，但 73% 安全高管表示，遭遇重大网络攻击时，企业无法完整执行预案，暴露严重实战短板。

本次调研覆盖 600 位资深 IT 安全决策者，数据显示，过去一年 76% 企业遭遇网络攻击，其中 47% 出现业务停摆、41% 数据泄露、41% 声誉受损、40% 收入下滑。

IR 能力不足源于三大核心缺口：一是组织协同障碍，90% 企业难以统筹多方利益相关方，89% 企业高管及董事会参与度低，决策权限模糊；二是环境可视性缺失，78% 企业存在安全盲区，公有云盲区占比 90%，易遭攻击者持续渗透；三是 AI 治理滞后，32% 企业已大规模应用 AI 于威胁检测与 IR，但其治理框架跟不上技术落地节奏。

不同行业风险差异明显，加密与去中心化金融领域攻击率达 83%，勒索软件（46%）、云攻击（44%）、邮件入侵（37%）为主要威胁。

专家建议，企业需明确事前决策权限、开展高管级 IR 演练、打通跨环境安全监控、完善 AI 安全治理，将 IR 能力从纸面预案转化为实战能力。

原文链接：

https://www.techtarget.com/searchcio/feature/The-incident-response-mistake-leaders-make

5 月 15 日，OpenAI 宣布将 Codex 远程管理功能集成至 ChatGPT 移动端，支持 iOS 与 Android 系统，覆盖免费至 ChatGPT Go 全订阅层级，为开发者提供移动端远程管控 macOS 端 Codex 开发任务的能力。

长期以来，开发者期待 Codex 适配移动端，以便脱离桌面实时监控、审核代码并授权指令。此次集成后，移动端可实时加载主机状态，无缝切换笔记本、Mac Mini 等多开发环境，管控多终端任务。

核心功能包括：实时监控线程、审批操作、安装扩展及核查项目上下文；跨设备管理多开发环境进度；敏感文件、凭证等数据仅留存远程客户端；实时同步截图、终端输出、代码差异、测试结果及授权提示。

技术层面，Codex 采用加密安全中继层，同一账户下所有认证终端可建立统一连接，主机终端不暴露于公网，显著缩小攻击面，同时同步会话与对话上下文至网页端等所有 ChatGPT 入口。

原文链接：

https://securityonline.info/openai-codex-mobile-remote-code-execution-chatgpt-app/

5月15日，TechCrunch披露，日本初创公司Reqrea维护的酒店自助入住系统Tabiq因云存储配置失误，将超过100万份客户护照、驾照和自拍验证照片暴露在公网。Tabiq被日本多家酒店用于人脸识别和证件扫描入住。独立安全研究员AnuragSen发现，系统用于保存客户数据的Amazoncloud-hostedstoragebucket被设置为public，仅知道bucket名称“tabiq”即可通过浏览器访问，无需密码。TechCrunch联系Reqrea及日本网络安全协调机构JPCERT后，相关bucket已被封锁。Reqrea表示，正与外部法律顾问评估暴露范围，并将在调查后通知受影响人员。

GrayHatWarfare记录显示，该bucket含有自2020年初至本月的文件，涉及多国旅客。事件凸显，KYC、年龄验证和无接触入住场景持续收集高敏感身份材料，若基础云权限管理失守，可能引发身份欺诈和人脸滥用风险。

原文链接：

https://www.cybersecurity-review.com/a-hotel-check-in-system-left-a-million-passports-and-drivers-licenses-open-for-anyone-to-see/

5 月 16 日，OpenAI 确认遭遇 TanStack 开源生态供应链攻击，关联 TeamPCP 组织发起的 Mini Shai-Hulud 蠕虫活动，导致 2 台员工设备被入侵、内部代码库凭证泄露。

攻击者利用 GitHub Actions OIDC 令牌劫持，发布 84 个恶意 npm 包，生成 SLSA Level 3 可信凭证，伪装成合法包传播。该蠕虫窃取 CI/CD 环境密钥、植入 VS Code 持久化后门，已波及 TanStack、UiPath 等项目。

OpenAI 称仅泄露少量凭证，客户数据、生产系统及核心 IP 未受影响。泄露信息含 iOS、macOS、Windows、Android 代码签名证书，已紧急吊销并重新签名软件。要求 macOS 用户 6 月 12 日前更新客户端，避免功能异常。

事件发生于安全配置迁移期，涉事设备未完成加固。OpenAI 表示，当前威胁正从单点攻击转向软件依赖链，供应链安全风险加剧。

原文链接：

https://securityaffairs.com/192222/hacking/openai-hit-by-supply-chain-attack-linked-to-malicious-tanstack-packages.html

2026 年 5 月 17 日，安全厂商 Sansec 披露，WordPress 的 Funnel Builder（FunnelKit）插件存在高危未授权漏洞，正被黑客大规模利用，向 WooCommerce 电商网站结账页注入支付窃取脚本（e-skimmer）。

该插件用于结账与追加销售功能，全球超 4 万家 WooCommerce 商店安装。漏洞源于插件端点未做权限校验，未授权攻击者可篡改插件全局设置中的 “外部脚本” 项，植入恶意 JavaScript 代码。

黑客伪造谷歌标签管理器（Google Tag Manager）或分析脚本，注入后会从恶意域名下载二次脚本，通过 WebSocket 连接至 C2 服务器（wss://protect-wss [.] com/ws），窃取用户信用卡号、CVV 码、账单地址等支付数据。

目前厂商已发布 3.15.0.3 版本补丁，修复权限校验机制。安全专家建议用户立即更新插件，核查 “外部脚本” 设置并清理未知代码，同时扫描网站，排查窃取脚本、恶意软件及后门等入侵痕迹。

原文链接：

https://securityaffairs.com/192260/cyber-crime/attackers-exploit-funnel-builder-bug-to-inject-e-skimmers-into-e-stores.html

5 月 16 日消息，头部网络安全企业加速布局 AI 安全赛道，三六零、奇安信、深信服 2025 年持续加大研发投入，明确差异化 AI 战略并推进多款核心项目。

三六零以 ALL IN AGENT 为战略，2025 年研发投入 32.25 亿元，占营收 37.11%；聚焦国家级安全，推进网络空间安全研发中心、新一代 AI 创新研发中心两大项目，主打 360 安全大模型、安全智能体蜂群等产品，走 “以模治模” 路线。

奇安信秉持数据驱动、AI 驱动安全理念，2025 年研发投入 10.90 亿元，占营收 24.82%；围绕内生安全体系，研发安全大模型 V4、AISOC、Q-Copilot 等，推动全产品 AI 化。

深信服主打 AI 保护 AI，2025 年研发投入 20.55 亿元，占营收 25.55%；布局 AI 安全平台、安全 GPT、AI Coding 平台 CoStrict 等，以 AI 重构安全与云业务。

原文链接：

https://mp.weixin.qq.com/s/GcmZQYlxaMSlkOqxPNsoaw

2026 年 5 月 13 日，Palo Alto Networks 推出新一代身份安全平台 Idira，聚焦企业自主 AI 系统风险，为人类用户、机器身份及 AI 代理提供统一防护，依托此前收购整合的 CyberArk 技术构建核心能力。

传统 IAM 与 PAM 系统基于 “管理员 / 普通用户” 二元架构，无法适配 AI 代理动态扩权、自动调用 API、访问敏感数据的特性，存在显著安全盲区。

Idira 打破该模式，将所有身份视为特权身份，构建统一控制平面，持续扫描 SaaS、云及开发环境，动态发现并梳理所有活跃代理与机器身份，同步标注归属、权限及使用场景。

区别于 Auth0 侧重消费者身份与单点登录、SailPoint 聚焦人类访问治理的定位，Idira 核心优势为动态权限管控：AI 代理仅在执行任务时临时提权，任务完成后即时回收权限，避免静态令牌泄露风险。

行业趋势显示，非人类身份激增推动安全向身份中心模型转型。专家提醒，Idira 无法替代多层防护，企业仍需落实最小权限、MFA、凭证轮换及持续监控；同时需部署提示过滤、对抗性测试，防范提示注入攻击，规范 AI 代理访问边界与人机干预规则。

原文链接：

https://www.csoonline.com/article/4170761/palo-alto-bets-on-identity-security-for-autonomous-ai-with-idira-launch.html

全球数字技术竞争格局正加速重塑，国内数字经济高质量发展已迈入深水区。面对技术迭代加速、合规要求升级、地缘政治博弈加剧、场景应用深化等多重挑战，密码技术已从传统安全配套组件，升级为捍卫数据自主权、筑牢安全防线、支撑数据可信流通的基础性、战略性核心刚需。

基于此，安全牛于2026年3月正式启动《密码安全产业发展关键动因与竞争格局演变（2026版）》的研究撰写工作，现重磅发布！

本报告立足“内生驱动+外延驱动”双重视角，全景呈现我国密码安全产业的发展脉络，并以技术对抗升级、应用场景深化、跨境合规需求、国家政策引导四大维度深度拆解密码安全产业发展的关键动因。报告指出，未来竞争格局演变将呈现三大特征：密码产品品类体系逐步完善，价值结构持续升级；厂商竞争梯队分层清晰，差异化竞争格局成型；竞争维度不断迭代，生态融合成为市场竞争的长期主线。

1. 增长驱动转型：当前密码安全产业正经历由“合规驱动型增长”向“合规、技术、场景与全球化协同驱动型增长”的系统性重构，竞争重心正由单一产品能力逐步转向技术、方案、交付、服务、生态与架构治理的综合能力。

2. 抗量子安全影响：抗量子安全已成为驱动密码产业中长期演化的重要技术变量，但产业落地并非简单的QKD与PQC并列推进，而是需要在性能损耗、双栈运行、硬件加速、现网兼容与业务连续性之间进行复杂权衡。密码敏捷性中间件虽是关键工程抓手，但不能替代对迁移代价的系统评估。

3. AI与Agentic AI作用：AI与Agentic AI正在成为影响密码产业的新变量。一方面，AI有望推动密钥治理、策略调度、存量代码硬编码密钥扫描与密码资产盘点的自动化；另一方面，AI也在降低攻击者发现密码实现漏洞、配置缺陷与侧信道问题的成本，推动密码治理由静态合规走向动态运营。

4. 密评密改竞争焦点：密评密改仍是当前密码安全产业最重要的存量增长动因之一，但未来竞争的关键已不只是“过评能力”，而是“在不引入新业务风险前提下完成可验证、可运维、可回退改造”的能力。业务连续性保障、降级演练、应急旁路和审计闭环将成为甲方评价厂商的重要指标。

5. 跨境密码合规升级：跨境密码合规已由算法兼容问题升级为“密钥控制权、部署主权与混合云架构治理”问题。谁能在BYOK、HYOK、区域化部署、审计隔离与合规运营之间找到平衡，谁就更有可能在企业出海场景中建立优势。

6. 可信数据空间价值：可信数据空间仍是密码产业中长期高附加值方向，但其价值实现高度依赖密码技术与隐私计算、可信执行环境、身份治理与多方协同能力的融合，而非单一产品延伸。

7. 产业演进路径：我国密码安全产业正沿着“近期合规深化、中期稳态增长、长期能力跃升”的路径演进，未来竞争将更多体现在底层技术深度、复杂场景工程化能力、持续服务能力与全球合规架构能力的深耕上。

（一）量子计算对现有密码体系的颠覆性挑战：理论破解风险方面，Shor算法对RSA/ECC非对称加密构成威胁；现实攻击模型存在“收割现在，解密未来”的长期安全隐患；产业时间窗口是实用化量子计算机问世前的迁移黄金期，主流共识指向未来5至10年（即2030-2035年），密码体系迁移通常需要5至10年甚至更长周期。

（二）全球抗量子技术路线与标准话语权博弈：国际标准化进程以NIST PQC遴选结果与FIPS草案强制落地时间表为核心，美国联邦系统预计未来5年强制实施；中国创新发展采取量子安全与PQC标准并举，落地路径百花齐放，包括QKD量子密钥分发和后量子密码安全技术体系（PQC算法和QRNG密钥）；行业过渡方案以密码敏捷性为核心进行平滑迁移工程实践，通过接口层标准化、算法层池化管理、调度层智能化实现，同时需解决性能与安全的平衡问题。

（三）技术驱动下的产业影响与准入壁垒：研发门槛体现在算法实现复杂度与硬件加速能力的核心要求，需掌握PQC复杂数学运算逻辑、具备底层硬件开发能力和密码敏捷工程能力；成本壁垒涉及全业务迁移过程中的改造成本与预算结构变化，用户改造成本高且预算结构转向服务性支出，厂商投入成本包括研发、产品升级和认证等；供应链壁垒强调核心算法库与芯片模组的自主可控要求，需实现核心算法库自主编写、核心芯片模组国产化及全供应链体系自主可控；AI驱动的密码治理升级与攻击面外溢成为产业能力的新变量，影响治理效率和攻击成本。

（四）抗量子安全体系的演进：安全牛在《量子安全能力构建技术指南（2025版）》中所指的QKD对应本研究中的量子安全技术体系，PQC则对应本研究中的后量子密码安全技术体系。两者在密钥生成部分都算量子密钥的范畴，但分发阶段的实现环境不同，因此出现了QKD在产业内被引用的混淆。为了去除混淆、统一概念和理解，本报告对抗量子安全体系整体重新做出定义。其中抗量子安全是一个总体宏观概念，主要是指应对量子计算攻击下的安全体系、安全能力构建以及安全解决方案等的统称。抗量子安全技术路线可以划分为量子安全技术体系和后量子密码安全技术体系。

（一）密评合规的政策闭环与制度刚性：顶层法律框架以《密码法》与《商用密码管理条例》为核心约束；落地执行标准依据GB/T 39786等密评标准的具体要求；法定责任要求基于等保三级以上系统的“三同步一评估”，《商用密码应用安全性评估管理办法》和《关键信息基础设施商用密码使用管理规定》明确了相关责任和监管落地动作。

（二）密评密改驱动的重点行业市场需求拆解：政务领域在数字政府建设下有密码应用刚性合规需求，形成“通用框架+场景细化”的密评标准体系，核心业务需求围绕政务数据全生命周期安全保护与政务业务合规开展；金融领域有核心业务连续性下的加密改造需求，形成“国家法律+密评标准+行业监管”三位一体的刚性合规体系，核心需求聚焦核心交易系统等关键业务环节；运营商领域有数字基础设施底座的全域密码改造需求，呈现基础设施级、全网级、平台级特征；能源电力领域有生产安全优先的工控与业务双场景密码改造需求，以“安全可靠、实时稳定、轻量适配、非侵入”为根本原则；工业控制领域有试点起步、场景定制的轻量化密码应用需求，以稳生产、保实时、轻量级、易部署为核心原则。

（三）密改交付挑战与产业服务价值凸显：行业需求高度分化，定制化解决方案成为入场券，不同行业及同一行业不同企业需求差异显著；存量系统改造的核心难题聚焦业务连续性保障，需在不中断业务等前提下完成改造；产业价值重心转移，合规咨询与全生命周期服务成核心，服务贯穿密评密改全流程；面向甲方内审视角的密改项目风险审计矩阵需关注单点架构、性能退化等风险，从“过评”走向“可验证安全”。

（一）全球数据主权博弈下的密码合规刚性：监管规则多样化，包括欧盟GDPR、美国出口管制及各国数据本地化政策，影响密码应用和产业；跨境合规冲突体现在算法体系与密钥管理的地域化差异，存在加密算法互不兼容、密钥管理主权化冲突、部署架构现实性冲突等问题；动因本质是监管趋势收紧，从“技术适配选项”到“法定准入前置”转换，国际主要经济体构筑体系化壁垒。

（二）技术重构、服务升维与竞争门槛抬升：架构层响应方面，密码敏捷性与分布式密钥治理成技术转型基线，需具备双算法敏捷适配、分布式密钥治理、跨云跨区域弹性部署能力；认证层痛点是国际认证资质的时间与资金成本压力，FIPS 140-3、CC、eIDAS等认证周期长、成本高、门槛高；BYOK/HYOK视角下的混合云密钥治理与审计隔离从“合规适配”走向“控制权治理”，BYOK和HYOK模式各有适用边界，中资企业出海需构建混合治理架构。

（三）出海发展机遇带来密码全球化能力与生态演进：增量市场窗口包括国密国际化中间件与跨境数据流通密码基座，满足算法兼容和跨境数据安全合规需求；厂商能力转型从“硬件设备供应商”到“跨境合规生态运营商”，需完成技术、合规、服务能力转型；长期演进趋势是本土化合规网络共建与“技术+认证+服务”出海矩阵，采取本土化策略和构建三位一体出海矩阵，推动生态协同出海。

（一）可信数据空间建设的政策背景与市场空间：顶层政策设计依据“数据二十条”与“数据要素×”行动计划要求，明确构建安全可信的数据流通体系；制度协同保障体现数据安全与密码治理的互补性，《密码法》《数据安全法》《可信数据空间发展行动计划（2024—2028 年）》等形成协同；产业市场空间方面，数据流通环节催生密码与隐私计算新市场，需求注重安全与价值协同，具有高附加值等特点。

（二）密码技术作为可信数据空间的核心使能底座：技术融合应用上，与多方安全计算、联邦学习深度协同，密码技术为隐私计算提供基础能力，二者协同构成核心技术引擎；全流程安全支撑形成数据确权、流通、交易的密码技术体系，贯穿数据要素全流程；核心创新方向是基于密码的数据溯源与权益保护机制，解决数据流转后的可追溯等痛点。

（三）可信数据空间在密码安全领域的行业应用空间：政务领域聚焦跨部门数据共享与公共数据开放，以统一身份认证等构建信任体系；金融领域关注风控、征信与跨机构数据联合建模，密码为隐私计算等提供底层保障；运营商领域侧重用户数据合规使用与行业数据赋能，构建全流程能力满足合规要求。

（四）可信数据空间带来的产业角色与生态变革：厂商角色从安全防护者向数据流通赋能者转型，价值位置提升；产业服务机会在于数据空间长期运营的持续性服务需求，带动多种创新服务形态；生态协作模式是与隐私计算、数据安全厂商的协同布局，多方协同形成完整解决方案。

四大动因驱动产业竞争格局多维演变，从政策单轮驱动转向多元驱动；产业价值链从传统线性硬件交付转向新型网状信任赋能，价值向底层技术与上层服务延伸；厂商梯队与市场地位形成专业密码厂商、综合安全厂商、平台型厂商三类主体稳定分层、错位竞争的格局；竞争焦点从合规单品到综合能力转变，评判标尺升级。

（一）竞争格局演变对产业的深层影响：市场结构准入门槛抬高，头部集聚加速，资源向头部集中；能力体系倒逼技术、交付、服务三维升级，能力结构重构；产业生态跨界融合深化，供应链自主可控成底线，协作模式多元化；演进方向产业迈向高质量、全球化、信任底座化新阶段，定位与发展模式升级。

（二）产业中长期发展趋势展望：产业定位与价值升级，从合规工具到信任底座；技术与市场发展主线分阶段演进，近期、中期、长期各有重点；商业模式与生态演进，从项目制到服务化、生态化；中长期发展趋势总体研判，竞争焦点转向系统治理能力，产业沿阶梯式路径升级。

相关阅读

2026 年 5 月 12 日，微软发布 5 月安全更新，推送 142 个漏洞补丁，国家信息安全漏洞库（CNNVD）已完成收录。本次更新含微软自有产品漏洞 125 个、影响微软产品的第三方漏洞 17 个，覆盖 Microsoft Windows、Azure SDK、Azure Monitor Agent、Print Spooler Components、SMB Client 等核心产品与组件。

按危害等级划分，本次更新含超危漏洞 5 个、高危漏洞 42 个、中危漏洞 94 个、低危漏洞 1 个。其中 123 个为新增漏洞补丁（含 4 个超危、36 个高危），2 个为旧漏洞更新补丁，17 个为第三方关联漏洞补丁。

上述漏洞可导致远程代码执行、权限提升、信息泄露等风险，影响多版本 Windows 系统及 Azure 云服务组件。微软已发布对应修复补丁，建议企业与用户尽快核查资产，优先修补超危、高危漏洞，防范漏洞被恶意利用引发安全事故。

原文链接：

https://www.cnnvd.org.cn/home/warn

2026 年 5 月 14 日，网络设备巨头 Cisco 发布 2026 财年第三季度财报，营收创历史新高、利润超预期，同时宣布裁员近 4000 人，约占总员工数 5%。

此次裁员旨在优化成本结构，将资源倾斜至 AI 与 cybersecurity 两大核心领域。近年 Cisco 旗下路由器、防火墙频发安全漏洞，多次遭黑客入侵，波及美国政府等政企客户，2025 年还发生客户信息数据泄露事件，加码安全投入迫在眉睫。

Cisco 首席执行官 Chuck Robbins 在博客中强调，公司将推动全员 AI 应用，以战略投资驱动增长。公开文件显示，Robbins2025 年薪酬超 5200 万美元，公司暂未回应其是否降薪。

这是 Cisco 近年新一轮裁员，2024 年曾两轮大规模裁员，2025 年再裁超 150 人。此举也延续科技行业趋势，近期 Cloudflare、General Motors 等企业均在业绩向好背景下，以 AI 投入为由裁员降本。

原文链接：

https://techcrunch.com/2026/05/14/cisco-cuts-nearly-4000-jobs-to-spend-more-on-ai-reports-record-quarterly-revenue/

2026 年 5 月 13 日，Delinea 发布调查显示，企业 AI 大规模应用下，非人类身份（NHI） 安全风险被严重忽视，成为核心隐患。

NHI 涵盖服务账号、API 密钥、自主决策 AI 代理、跨系统自动化流程及影子 AI 工具。调查显示，87% 企业自认身份安全体系可支撑 AI 规模化部署，但 46% 承认 AI 身份治理存在缺陷，形成安全认知与实际能力的矛盾。

风险源于三大原因：一是重速度轻治理，90% 企业为推进 AI 项目施压安全团队放宽权限，仅不足 1/3 能持续落实安全要求；二是影子 AI 监控缺失，53% 企业频繁发现未授权 AI 工具接入系统；三是传统管控失效，遗留身份管理系统适配不了 AI 代理的动态、自主行为。此外，74% 企业认为 NHI 需长期特权保障业务稳定，59% 暂无替代方案，进一步放大风险。

解决该问题需三步：先全面摸清资产，盘点所有 NHI 及权限；再取消长期特权，推行即时、临时权限；最后强化异常监控，严格执行权限审计与回收。企业需升级身份基础设施，兼顾 AI 创新速度与安全治理，堵住身份可见性缺口。

原文链接：

https://www.helpnetsecurity.com/2026/05/13/hidden-risk-non-human-identities-ai-adoption/

2026 年 5 月 14 日，美国国家情报总监办公室（ODNI）任命国家情报委员会官员 Dave Mastro、国家反情报与安全中心副主任 James Cangialosi，联合出任大选威胁事务主管，统筹全美情报机构，防范 2026 年中期选举遭境外势力干预。

该职位设立于特朗普首届任期，核心职责为协调跨部门评估、披露境外干预证据。二人近期已向参众两院情报委员会幕僚通报，将沿用现有境外干预通报框架开展工作。

此前，ODNI 负责人 Tulsi Gabbard 因重启 2020 年大选舞弊调查、搜查佐治亚州选举办公室、没收波多黎各投票机等行为，遭民主党议员质疑。同时，美国国会 2022 年设立的境外恶意影响中心已被精简，职能并入 ODNI；网安与基础设施安全局（CISA）裁员约千人，削减地方选举安全培训与技术援助。

参议院情报委员会民主党领袖 Mark Warner 批评相关调整削弱防御能力，担忧 AI 技术被境外势力用于传播虚假信息，放大干预风险。美国网络司令部与国家安全局拟重启联合大选安全小组，方案将提交 ODNI 与国防部审议。

原文链接：

https://therecord.media/odni-taps-officials-to-coordinate-response-to-election-threats

2026 年 5 月 13 日晚，亲伊朗黑客组织对音乐流媒体平台 Spotify 服务器发起分布式拒绝服务（DDoS）攻击，以此作为地缘冲突背景下的报复行动。

此次攻击经 McCrary Institute for Cyber and Critical Infrastructure Security 确认，DDoS 攻击通过海量网络流量压垮服务器，致 Spotify 应用、客服及网页播放器短暂中断服务，多地区用户无法正常访问，DownDetector 迅速监测到相关故障反馈。Spotify 安全团队快速响应，仅数分钟后便恢复服务。

此次攻击被指向伊拉克亲伊朗黑客组织 “313 Team”（伊斯兰网络抵抗组织），该组织曾多次针对中东地区西方相关目标发起网络行动。Unit 42 专家称，以色列与伊朗紧张局势升级后，该组织一度沉寂，此次攻击表明其或重启高强度活动，目标聚焦美英相关企业。

同期，以色列民众收到大量 WhatsApp 可疑商业账号消息，以色列国家网络局辟谣称消息虚假，疑为伊朗关联组织 Handala 策划的心理战。此类事件凸显，网络战已成为地缘冲突的重要手段，商业平台成为网络报复的高频目标。

原文链接：

https://www.cybersecurity-insiders.com/iran-launches-ddos-cyber-attack-on-spotify-says-retaliation-to-khameneis-killing/

2026 年 5 月 14 日，AI 深度伪造技术正催生新型网络勒索威胁，黑客利用公开学生照片生成 AI 儿童色情内容（CSAM）实施勒索，迫使英国多所学校紧急下架官网学生照片。

英国国家犯罪署、互联网观察基金会（IWF）等机构通报，黑客爬取学校公开活动照，经 AI 工具生成虚假露骨图像后勒索赎金。英国一所中学曾遭攻击，150 张伪造图像被 IWF 认定为 CSAM 并全网封禁。

数据显示，深度伪造勒索已全球化：2025 年 IWF 收到 AI 生成 CSAM 报告同比翻倍至 426 起，94% 受害者为女童；美国 FBI 数据显示，2023 年勒索案件超 1.6 万起，损失超 800 万美元。

EWWG 建议学校改用远景、模糊或背影照片，隐去姓名并重新收集家长授权；英国政府修订法案，要求平台 48 小时内删除违规图像，违者最高罚全球营收 10%。专家警示，未来攻击者或实现照片爬取、伪造、勒索全流程自动化，需提前强化个人信息防护。

原文链接：

https://www.malwarebytes.com/blog/family-and-parenting/2026/05/deepfake-sextortion-forces-schools-to-remove-student-photos-from-websites

2026 年 5 月 14 日，安全厂商 LayerX 披露 Anthropic 旗下 Claude in Chrome 扩展存在高危漏洞，命名为 ClaudeBleed，可被任意 Chrome 扩展利用，实现权限劫持、数据窃取与未授权操作。

该漏洞源于扩展信任机制实现缺陷，未做来源校验，无特殊权限的普通扩展可调用内容脚本，向 Claude 扩展下发特权指令，直接突破 Chrome 扩展安全模型。漏洞核心在于 Claude 扩展仅信任 claude.ai 域名，忽视实际执行环境，攻击者可通过 JavaScript 篡改 DOM、刷屏确认弹窗，伪造用户授权绕过安全限制。

攻击链可窃取 Gmail、Google Drive 数据，发送未授权邮件、删除文件、窃取 GitHub 私有代码。研究人员已演示 “汇总用户 5 封邮件、外发并删除原件” 的完整攻击流程。

Anthropic 已发布修复版本，但仅做内部权限校验加固，未根除漏洞根源，特权模式下仍可绕过防护执行远程命令。LayerX 指出，AI 厂商为抢占赛道过度开放能力、忽视基础安全，是此类漏洞频发的主因，建议引入扩展交互认证令牌、强化用户授权机制。

原文链接：

https://www.cpomagazine.com/cyber-security/security-flaw-in-claude-ai-chrome-extension-enables-attackers-to-execute-privileged-commands-and-steal-data/

2026 年 5 月 14 日，安全研究人员发布 VectorSmuggle 框架，揭露企业 检索增强生成（RAG）系统中向量嵌入（vector embedding）存在严重安全缺口，现有安全工具无法检测此类数据传输。

企业部署内部 AI 助手时，会将敏感文档转为高维数值向量，通过 HTTPS 传输至嵌入服务与向量数据库，而传统数据防泄漏（DLP）工具无法解析向量格式，形成安全盲区。

VectorSmuggle 演示六种隐写数据方法，包括添加噪声、缩放、旋转向量等，其中向量旋转手段可绕过主流异常检测工具，在不影响正常检索的前提下，每向量可隐藏约 1920 字节数据，且能穿透 FAISS、Chroma、Qdrant 等常用向量数据库。

研究同时提出防御方案 VectorPin，通过对向量嵌入进行加密签名，篡改行为将触发签名失效告警。研究人员警示，当前企业过度关注模型层安全，却忽视嵌入、向量存储等基础设施层，未来 AI 安全事件或集中爆发于此。

原文链接：

https://www.helpnetsecurity.com/2026/05/14/vectorsmuggle-vector-embedding-security/

2026 年 5 月 13 日，英国政府宣布启动网络犯罪法重大修订，核心是更新 1990 年《计算机滥用法》（CMA），消除对合法安全研究的法律阻碍，强化国家网络防御能力。

现行 CMA 制定于云计算、勒索软件兴起前，其宽泛的 “未授权访问” 条款，导致漏洞挖掘、渗透测试、威胁情报等合规工作存在法律不确定性，长期制约安全从业者开展防御性研究。

此次改革纳入国家安全法案，拟增设 “网络犯罪风险令”，对持续网络威胁者实施限制，转向事前预防而非仅事后追责；同时探讨为公共利益网络安全研究设立法定豁免，保障善意研究行为。

行业组织 CyberUp Campaign 称，此举是英国网络安全领域的转折点，能避免防御者束手束脚。此前工党曾提出 “公共利益抗辩” 修正案但未通过，现政府首次正式推动系统性修订。

法案草案尚未公布，具体豁免范围仍待明确，预计年内提交议会审议。

原文链接：

https://therecord.media/uk-moves-to-shield-security-researchers-cybercrime

2026 年 5 月 12 日，OpenAI 正式发布 AI 网络安全平台 Daybreak，旨在对标 Anthropic 的 Claude Mythos，面向企业与政府提供自动化漏洞检测、补丁验证及软件全生命周期安全防护能力。

Daybreak 融合 OpenAI 大语言模型、Codex 智能体能力，深度对接企业安全生态。其核心防御流程分三步：优先处置高危威胁、将安全分析耗时从数小时压缩至分钟级；在企业代码库中生成并测试补丁；将审计证据回传系统，完成漏洞闭环追踪。

技术层面，Daybreak 依托三级 GPT-5.5 模型栈：标准版面向通用开发场景；可信访问版适配安全代码审查、漏洞研判等防御工作；GPT-5.5-Cyber 预览版支持授权红队演练、渗透测试等专项安全任务。

合作生态上，Daybreak 已联合 Cisco、CrowdStrike、Palo Alto Networks 等头部厂商共建能力；欧盟正与其洽谈模型接入事宜，相较对 Anthropic Mythos 的沟通更为深入。

与 Mythos 的高度受限、侧重攻防两用不同，Daybreak 主打开放生态与防御导向，聚焦合规化运营，凸显两大厂商在 AI 网络安全领域的路线差异。

原文链接：

https://www.csoonline.com/article/4170029/openai-introduces-daybreak-cyber-platform-takes-on-anthropic-mythos.html

近日，Google威胁情报组（GTIG）首次发现并成功阻止了一起由人工智能辅助打造的零日漏洞利用事件。这一利用程序针对一款流行的开源Web系统管理工具，能够直接绕过双因素认证（2FA），标志着网络威胁正式从“人工智能辅助”迈入“AI驱动攻击”的全新阶段。

这一消息最早在Reddit平台的pwnhub社区传开，随即引发全球网络安全圈的广泛热议。此次事件的核心突破在于：黑客不再单纯依赖人工逆向分析与手动编码，而是借助大型语言模型（LLM）挖掘系统逻辑缺陷、生成攻击利用代码，并已做好大规模部署的准备。这不仅是一次网络攻击技术的突破，更标志着网络攻防博弈的范式性转变。

本文将从事件全貌、AI参与的核心证据、技术深度剖析、行业影响、防御策略及未来展望六个维度，进行全方位深度拆解，本文预计阅读时长15-20分钟。

2026年5月11日，Google威胁情报组（GTIG）正式发布报告，披露了一项令人震惊的发现：一个知名网络犯罪团伙正准备利用一处零日漏洞发动大规模网络攻击。该漏洞存在于一款被广泛应用的开源Web系统管理工具中，核心问题在于系统存在“硬编码的信任假设”（hardcoded trust assumption）——一旦攻击者获取有效用户凭证，便可直接绕过2FA验证机制，实现对系统的未授权访问。

Google研究人员在追踪各类威胁活动的过程中，意外捕获到与此次攻击相关的Python攻击脚本。发现异常后，他们迅速与该漏洞所影响的厂商展开协同合作，在攻击者发起大规模利用之前，完成了漏洞披露与补丁修复工作，成功规避了一场可能造成重大损失的网络灾难。这也是GTIG首次在实际网络环境中，发现AI被用于零日漏洞挖掘与武器化的明确证据。

• 攻击者准备阶段：利用AI模型深度分析开源工具代码，精准挖掘出系统逻辑漏洞。

• Google介入阶段：通过威胁狩猎行动捕获攻击脚本，并成功识别出其中的AI生成特征。

• 响应行动阶段：协调相关厂商快速推出安全补丁，有效阻止漏洞被大规模利用。

• 公开披露阶段：2026年5月11日正式发布事件报告，引发全球网络安全领域的高度关注。

报告中并未公开该开源工具的具体名称及相关厂商信息，以此保护受影响方的合法权益，但明确强调这是一款“广泛流行”的开源项目。这一细节也提醒我们：即便是由开源社区维护的热门项目，也可能因设计阶段的信任假设不合理，成为黑客攻击的高价值目标。

这是本次事件中最令人瞩目（也最令人担忧）的核心环节。Google研究人员为何能明确判定这一攻击脚本是AI的“杰作”？他们梳理出多项独特特征，这些特征与人类开发者编写的代码存在显著差异，构成了AI参与攻击的关键“指纹”：

1) 兼具教育性的文档字符串（Docstrings）与注释：脚本中包含大量教科书式的解释性文本，仿佛在逐步“指导”使用者理解代码逻辑与执行流程。这一特征与大型语言模型的输出风格高度契合——LLM在训练过程中吸收了海量结构化知识，倾向于生成详尽、规范的说明性内容；而人类黑客编写的代码往往更注重实用性与简洁性，注释多为简略的个人化标注，甚至完全不添加注释。

2) 虚构的CVSS评分：代码中包含一个看似权威的CVSS（通用漏洞评分系统，Common Vulnerability Scoring System）评分，但经研究人员核查确认，该评分属于AI“幻觉”（hallucination）的产物——即AI模型虚构了一个不存在且不准确的漏洞严重性评估。这一细节既暴露了当前LLM在事实准确性上的固有局限，也印证了攻击者试图借助AI生成“专业外观”代码、掩盖攻击意图的目的。

3) 教科书级的代码结构与格式：该Python攻击脚本采用高度统一的模块化结构，变量命名规范严谨，异常处理逻辑完整周全。这些特征与LLM从海量优质代码库中学习到的编码模式高度匹配，与地下黑客论坛中常见的“杂乱无章”的利用代码形成鲜明对比。

4) 高级逻辑推理能力的体现：此次被利用的零日漏洞，源于对软件信任模型的深层理解——AI成功识别出系统“一旦获取用户凭证，便默认信任后续会话”的不合理假设，并将这一逻辑缺陷转化为可直接执行的2FA绕过路径。这一过程表明，AI已具备处理高层次抽象逻辑的能力，不再局限于简单的语法层面代码生成，能够深入理解系统设计逻辑并挖掘潜在漏洞。

Google明确表示，虽然目前没有证据表明攻击者使用了自家的Gemini模型，但有高置信度判断，其借助了当前前沿的大型语言模型。此外，UNC2814、APT45等知名威胁行为者，也在积极尝试利用AI模型开展漏洞研究与利用代码生成工作，这进一步印证了AI驱动攻击已成为行业普遍趋势。

接下来，我们从技术层面深入拆解这一零日漏洞的利用原理。开源Web系统管理工具的安全防护，通常依赖完善的会话管理与身份认证流程。在正常使用场景下，用户完成账号密码登录后，需进一步通过2FA验证（如短信验证码、App推送验证、硬件令牌等），方可访问系统敏感功能。但此次涉事工具存在一个根本性设计缺陷：在获取用户初始登录凭证后，系统过度信任后续的会话状态，未对2FA验证的持续有效性进行充分校验。

基于公开信息推断，该攻击的简化流程如下：

• 攻击者通过钓鱼攻击、凭证填充、数据泄露等方式，获取目标系统的有效用户名与密码。

• 运行由AI生成的Python攻击脚本，通过构造特殊请求、修改会话参数等方式，直接绕过系统的2FA验证检查点。

• 该攻击脚本可能涉及会话劫持、Token伪造、后端信任逻辑操纵等多种技术手段，具体实现方式与工具的底层设计密切相关。

• 一旦攻击成功，攻击者便可实现对目标系统的持久化访问，进而开展数据窃取、权限提升、横向移动等恶意操作。

传统漏洞扫描工具往往难以发现此类“逻辑型”零日漏洞，因为其并非依赖内存破坏、缓冲区溢出等经典漏洞模式，而是利用系统业务逻辑设计中的假设偏差。AI在此次攻击中的核心优势的在于：能够大规模并行分析代码库、模拟多种攻击场景，并快速迭代生成PoC（概念验证）代码。这一能力极大降低了零日攻击的技术门槛——过去需要资深逆向工程师花费数周时间完成的漏洞挖掘与利用编写工作，如今借助AI可能在数小时内即可完成。

值得重点关注的是，此次被捕获的利用程序已完成“武器化”改造，即已具备实际部署条件，并非实验室层面的概念验证。这一细节充分说明，AI不仅能“发现”漏洞，更能完成攻击链的“工程化”构建，具备了直接发动大规模攻击的能力。

本次AI辅助零日攻击事件并非孤立存在，而是AI网络威胁持续演进的必然结果。回顾AI在网络攻击中的应用历程，其演进路径清晰可辨：

• 早期阶段（2023-2024年）：AI主要作为辅助工具应用于网络攻击，核心场景包括生成钓鱼邮件、恶意代码混淆、自动化SOC（安全运营中心）数据分析等，本质上是替代人类完成重复性工作，并未参与核心攻击环节。

• 中期阶段（2025年）：威胁行为者开始尝试将AI应用于更核心的攻击环节，包括辅助漏洞扫描、自动化逆向工程、攻击路径规划等，AI的作用从“辅助”向“赋能”转变。

• 当前阶段（2026年）：AI已能直接参与零日漏洞的挖掘与利用代码生成，实现了攻击能力的“自主化”提升，标志着网络攻击正式进入“AI驱动”时代。

Google报告中还提到，当前网络犯罪团伙正积极探索AI的更高级应用，包括生成自主进化型恶意软件、开展工业级规模的网络攻击操作等。试想一下：一个具备自主学习能力的AI代理，能够持续监控全球开源代码仓库、自动开展模糊测试（fuzz testing）、生成可绕过安全检测的攻击载荷，并根据防御方的应对策略实现自我进化——这将彻底打破当前网络攻防的不对称格局，给网络安全防护带来前所未有的挑战。

此次AI辅助零日攻击事件，给开源社区、企业及个人用户带来了全新的安全挑战，也推动整个网络安全行业重新审视现有防护体系的局限性。

对开源社区而言：此次事件充分暴露了“依赖社区审查”的安全防护模式的局限性。流行开源工具的代码量庞大、贡献者群体多样，部分逻辑层面的漏洞极易被忽视。未来，开源项目需主动引入AI辅助代码审计工具，提升漏洞发现效率；但同时也要防范新的安全风险——即攻击者利用AI生成恶意代码，并以“贡献者”身份提交至开源项目，引发供应链攻击2.0时代的安全危机。

对企业安全而言：2FA已被全球企业广泛视为身份认证的“基本防护线”，但此次事件表明，若系统底层信任模型存在设计缺陷，再多的认证因素也可能形同虚设。未来，企业需加速转向零信任架构（Zero Trust），坚持“永不默认信任、持续验证”的核心原则，强化身份认证、设备安全与行为基线分析。同时，企业安全团队必须升级自身技能体系，重点学习如何识别AI生成代码的“指纹”特征，提升对AI驱动攻击的检测与响应能力。

对个人用户而言：你的在线账户、企业系统管理后台等，都可能成为AI驱动攻击的目标。传统的“密码+2FA”防护模式已不再绝对安全，需结合硬件密钥（如YubiKey）、生物识别、多设备交叉验证等更高级的防护手段，提升个人数字资产的安全等级。

从更广泛的行业层面来看，此次事件还将深刻影响网络安全领域的人才布局与资源分配。防御方需要大量既懂网络安全、又精通AI技术的复合型专家，而攻击方的技术门槛大幅降低，可能导致中小型网络犯罪团伙也能发动高级别零日攻击，进一步扩大全球网络威胁的覆盖范围。

此次Google披露的AI辅助零日攻击事件，仅仅是AI攻防博弈的序章。随着大型语言模型能力的持续提升——如更强的逻辑推理、更长的上下文处理、多模态交互等，AI生成复杂攻击链、自主进化攻击策略的能力将实现指数级增长。从乐观的角度来看，防御方也可借助AI技术提升自身防护能力，如加速漏洞修复、自动化补丁生成、智能威胁检测等，逐步实现“AI vs AI”的攻防平衡。

但我们必须清醒地认识到，当前面临的挑战依然严峻：网络安全监管体系的滞后性、开源代码的泛滥带来的漏洞隐患、全球计算资源分配不均等问题，都可能进一步放大AI驱动攻击的风险。众多网络安全研究者呼吁，在追求AI技术创新的同时，必须同步构建完善的安全护栏，包括强化AI模型对齐、建立AI输出内容审计机制、实现AI使用行为追踪等，防范AI技术被恶意利用。

Google此次的及时介入与快速响应，充分展示了防御方的主动性与执行力，但这远远不够——AI驱动攻击已成为行业趋势，需要整个网络安全行业觉醒，协同发力、主动防御。

AI生成型零日漏洞已从科幻场景走进现实，网络安全的攻防格局正被彻底重塑。保护好你的数字边界，提升防御思维，刻不容缓。欢迎在评论区分享你的看法：你认为AI会让网络安全变得更好还是更糟？企业应如何构建针对性的防御体系？

相关阅读

国家信息安全漏洞库（CNNVD）发布 2026 年第 19 期（总第 832 期）漏洞周报，统计周期为 2026 年 5 月 4 日至 5 月 10 日。本周 CNNVD 采集公开漏洞 1657 个，数量较上周有所上升；接报漏洞 532 个，漏洞平台推送 3756 个。

从分布看，Linux 基金会以 439 个漏洞居厂商首位，占比 26.49%；谷歌、WordPress 基金会、OpenClaw、Apache 位列前五。国内厂商漏洞 81 个，友讯公司最多，整体修复率 53.41%。漏洞类型中跨站脚本占比最高，达 7.06%。

危害等级方面，超危 117 个、高危 404 个、中危 1084 个、低危 52 个，整体修复率 84.55%，其中中危漏洞修复率最高（85.98%）。

本周重点漏洞包括：Palo Alto Networks PAN-OS 缓冲区溢出漏洞（CNNVD-202605-940、CVE-2026-0300），可致 root 权限任意代码执行，多版本受影响，厂商已发布修复版本。此外，Apache CloudStack 信息泄露、Google Chrome 资源管理错误、WordPress WP-Optimize 路径遍历等漏洞风险较高。人工智能领域，OpenClaw、n8n、PraisonAI 均曝出高危漏洞，涉及数据伪造、资源耗尽、任意文件写入等问题，厂商均已提供补丁。

CNNVD 提示用户及时核查版本，更新补丁，重点加固防火墙、云计算平台与 AI 相关系统。

原文链接：

https://www.cnnvd.org.cn/group1/M00/02/5D/rBBlZ2oDAxiAQsJrAAWZ_PLNmEI697.pdf

2026 年 5 月 13 日，英国 AI 安全研究所（AISI）与 Palo Alto Networks 发布独立研究结果，Anthropic 的 Claude Mythos Preview 与 OpenAI 的 GPT-5.5，全面突破 AI 自主网络安全任务能力基准线。

AISI 长期跟踪显示，2024 年末起，前沿 AI 完成高可靠网络任务的能力约每 5 个月翻倍，2025 年 11 月该周期为 8 个月，此次两款模型直接超越此前所有增长趋势线。

测试中，Claude Mythos Preview 成为首个完成 AISI 两大模拟攻防场景的模型：10 次尝试中 6 次攻克 32 步企业网络攻击模拟 “The Last Ones”，3 次完成此前无模型破解的 “Cooling Tower”；GPT-5.5 则 3 次完成 “The Last Ones”。

Palo Alto Networks 测试证实，两款模型可近实时挖掘漏洞并转化为关键利用路径，扫描 130 余款产品发现 26 个通用漏洞披露（CVE）、75 项问题，远超常规月均不足 5 个 CVE 的数量。

AISI 指出，数据基于有限模型样本，但趋势稳定，正研发含主动防御的更高难度测评；Palo Alto Networks 建议企业快速修复漏洞、缩减攻击面、部署实时检测响应工具，应对 AI 驱动的高速网络威胁。

原文链接：

https://cyberscoop.com/ai-autonomous-cyber-capability-benchmarks-broken-gpt5-claude-mythos/

2026 年 5 月 12 日，Securin 发布勒索软件指数报告显示，AI 正全面重塑勒索软件生态，金融机构成为核心攻击目标，网络攻防进入 AI 军备竞赛阶段。

2025 年全球确认勒索软件受害者达 7061 家，涉及 117 个组织，金融服务业受害 340 家。攻击者瞄准金融机构海量敏感数据、资金流转能力与强监管压力，利用停机即造成巨额损失的特性，大幅提升赎金支付概率。

当前攻击以双重勒索为核心，加密系统同时窃取数据，并通过组合漏洞实施链式入侵：身份访问管理缺陷、内存相关漏洞、不安全默认配置是主要入口，可在数分钟内突破防线，影响 ATM、支付与交易系统。

AI 成为攻击倍增器，攻击者用其自动化开发恶意代码、优化钓鱼攻击、提升攻击速度与精准度，还利用提示注入操纵 AI 模型；金融机构在部署 AI 风控、客服系统时，也扩大了攻击面，单一节点失守易引发连锁风险。

传统边界安全与合规式防护已失效，金融机构需转向实战化韧性防御：强化身份权限与内存防护，优先修复在野利用漏洞，提升横向移动可视性，加强 AI 系统与数据管道安全，结合威胁情报构建主动防御体系。

勒索组织正向高级持续性威胁方向演进，AI 攻击框架可动态优化攻击策略，金融机构需全面监控系统、第三方供应商与 AI 基础设施，前置封堵漏洞以应对下一代威胁。

原文链接：

https://www.cybersecurity-insiders.com/ai-accelerated-ransomware-is-reshaping-risk-for-financial-institutions/

2026 年 5 月 12 日，Sophos 发布最新全球企业网络安全报告，基于 17 国 5000 名 IT 与安全负责人调研显示，身份安全已成为企业网络攻击的首要突破口。

数据显示，过去一年 70% 的企业发生过至少一起身份相关安全事件，平均每家企业遭遇 3 起独立身份入侵。三分之二的勒索软件攻击源头为身份相关泄露，攻击者通过窃取凭证绕过传统防御，横向渗透并快速获取敏感数据。

报告指出，身份已成为新一代安全边界，随云部署、远程办公与机器互联加速，凭证、API 密钥、服务账号、OAuth 令牌均成为潜在入侵点。油气、公用事业及政府机构的身份入侵率居各行业前列。

此类攻击成功主因是人为失误与非人类身份管理薄弱：仅 24% 企业常态化监控异常登录，不足三分之一企业定期轮换非人类凭证。

经济损失方面，身份相关攻击平均恢复成本 164 万美元，中位数 75 万美元，70% 企业恢复成本超 25 万美元。Sophos 全球现场 CISO 总监 Chester Wisniewski 表示，身份边界扩张速度远超多数企业防护能力，强化身份全生命周期管理已刻不容缓。

原文链接：

https://www.cybersecuritydive.com/news/identity-enterprise-cyberattacks-ai-ransomware/819977/

2026 年 5 月 12 日，Securelist 发布《2026 年勒索软件态势报告》，揭示全球勒索威胁呈现两大核心技术演进。

报告显示，勒索软件家族持续迭代，新型家族开始采用后量子密码算法，以抵御未来量子计算破解，大幅提升加密强度与勒索威慑力。

同时，受赎金支付率下滑影响，攻击团伙加速战术转型，部分组织放弃数据加密，转向无加密勒索模式，以窃取并威胁泄露敏感数据为核心手段，降低攻击暴露风险、提升作案效率。

报告指出，传统加密勒索有效性下降，攻击者更依赖数据泄露施压，后量子密码的应用则让解密恢复难度显著提升，无加密勒索因隐蔽性强、成本低正快速扩散。

上述变化意味着企业防护需同步升级，既要应对传统加密威胁，也要强化数据防泄露与异常访问监测，提前布局后量子密码兼容能力，应对长期安全风险。

原文链接：

https://securelist.com/state-of-ransomware-in-2026/119761/

2026 年 5 月 12 日，TechCrunch 消息，教育软件厂商 Instructure（Canvas LMS 开发者）宣布与黑客组织 ShinyHunters 达成协议，该组织在一年内两次入侵其系统并实施数据勒索。

4 月 29 日，ShinyHunters 首次入侵 Instructure，宣称窃取 2.75 亿学生与教职工个人信息，影响近 9000 所使用 Canvas 的学校。随后该组织发动第二次攻击，篡改学校 Canvas 登录页面施压，并威胁 5 月 12 日前不支付赎金即公开数据。

根据协议，黑客已提供数据销毁证明，并承诺不再向 Instructure 及其客户勒索。双方未披露财务细节，未公开赎金金额。ShinyHunters 泄露站点相关信息已下架，其代表确认数据已删除、不再继续攻击。

被盗数据包含姓名、私人邮箱、师生私密沟通记录等。FBI 此前明确警示，遭遇网络犯罪不应支付赎金或回应勒索。安全行业普遍指出，与黑客协商无法确保数据彻底删除，存在二次勒索与数据转售风险，2024 年 PowerSchool 付费后仍遭二次勒索即为典型案例。

Instructure 表示两次入侵为不同系统引发的独立事件，相关调查与验证仍在进行中。此次事件凸显教育行业 SaaS 平台已成为勒索与数据泄露的重点目标，付费妥协的处置方式也引发安全合规与长期风险争议。

原文链接：

https://techcrunch.com/2026/05/12/instructure-strikes-deal-with-hackers-who-breached-it-twice/

2026 年 5 月 12 日，TechCrunch 报道，美国Community Bank披露一起因违规使用 AI 应用导致的数据泄露事件，涉事银行服务于宾夕法尼亚州、俄亥俄州与西弗吉尼亚州。

该行在 5 月 7 日向美国 SEC 提交的 8-K 文件中确认，因内部使用未经授权的 AI 软件应用，导致客户姓名、出生日期、社保号（SSN）等敏感非公开信息暴露。银行表示，由于泄露数据体量较大且敏感度高，因此按规定对外披露。

事件疑似由银行员工将客户数据上传至在线 AI 聊天工具引发，相关信息可能被 AI 工具提供方获取。目前银行未披露受影响客户数量、涉事 AI 产品名称及泄露规模，仅称正在评估受影响数据范围，并依据相关法规向客户发送通知。

该事件为典型的内部数据滥用与 AI 工具合规风险，暴露金融机构在员工 AI 使用规范、数据外发管控、敏感信息脱敏等方面的漏洞。美国金融行业对客户隐私与数据出境有严格监管要求，此类事件可能面临监管处罚与客户索赔。

银行 CEO 暂未回应事件细节，相关调查与补救措施仍在推进中。

原文链接：

https://techcrunch.com/2026/05/12/us-bank-discloses-security-lapse-after-sharing-customer-data-with-ai-app/

2026 年 5 月 13 日，英国政府发布报告显示，该国网络安全产业去年营收达 147 亿英镑（约 199 亿美元），经济增加值 91 亿英镑，同比增长 17%，从业人员近 7 万人，同比增长 3%。

目前英国活跃网安企业约 2603 家，年增 20%；提供 AI 安全产品服务的企业增至 111 家，年增速高达 68%。

英国政府推出 Cyber Resilience Pledge，要求企业将网络安全纳入董事会职责、接入 NCSC 预警服务、供应链实施 Cyber Essentials 认证，相关法案 Cyber Security and Resilience Bill 正推进立法，强化关键基础设施防护。

伴随 GPT-5.5、Claude Mythos Preview 等前沿 AI 模型突破，网络攻防军备竞赛加剧。AISI 建议企业采用机器级扫描、强化威胁检测与自动化响应，降低攻击面。业内指出，英方法案与他国监管方向趋同，跨境协同治理对打击勒索软件至关重要。

原文链接：

https://www.infosecurity-magazine.com/news/uks-cyber-sector-grows-revenue-11/

2026 年 5 月 13 日，Microsoft 发布多模型 AI 驱动漏洞挖掘系统MDASH（multi-model agentic scanning harness），已进入有限预览测试，可规模化发现并验证复杂代码漏洞。

MDASH 为模型无关架构，集成超 100 个专用 AI 代理，协同前沿与蒸馏模型，端到端完成漏洞发现、验证与可利用性证明。其流程为：代码分析构建威胁模型、审计代理初筛、辩论代理交叉验证、归并同类漏洞、最终完成可利用性证明。

该系统采用分层模型组合：前沿模型负责推理、蒸馏模型用于批量验证、独立前沿模型提供反向校验，模型分歧本身可提升结果可信度。

实测显示，MDASH 成功发现本月 Patch Tuesday 修复的16 个 Windows 漏洞，含 2 个远程代码执行高危漏洞：CVE-2026-33824（CVSS9.8，ikeext.dll 双重释放）、CVE-2026-33827（CVSS8.1，tcpip.sys 竞争条件）。

业内认为，MDASH 与 Anthropic Project Glasswing、OpenAI Daybreak 共同标志 AI 漏洞挖掘从研究走向企业级实战，核心优势在于代理系统而非单一模型。

原文链接：

https://thehackernews.com/2026/05/microsofts-mdash-ai-system-finds-16.html

OpenAI近日推出网络安全计划Project Daybreak，并将GPT-5.5、GPT-5.5 with Trusted Access for Cyber和GPT-5.5-Cyber引入不同层级的安全工作流，意在把AI从“事后修补”推进到“Secure by Design”的主动防御阶段。SecurityOnline称，此举也被视为对Anthropic Project Glasswing的回应。

Daybreak的核心是把OpenAI模型能力、Codex的agentic harness以及安全生态伙伴结合起来，使防御者可在日常开发中完成secure code review、threat modeling、patch validation、dependency risk analysis、detection和remediation guidance等任务。OpenAI表示，AI可帮助安全团队跨代码库推理、识别隐蔽漏洞、验证修复并加快从发现到处置的流程。

在访问层级上，默认GPT-5.5面向通用开发和知识工作；GPT-5.5 with Trusted Access for Cyber面向已验证防御者，可降低防御任务中的误拒绝，覆盖漏洞识别与分流、malware analysis、binary reverse engineering、detection engineering和patch validation；GPT-5.5-Cyber则以limited preview形式开放，服务于关键基础设施防御者，支持authorized red teaming、penetration testing和controlled validation等高风险双用途场景，但会配套更强的身份验证、账户控制、授权范围和滥用监测。

OpenAI同时与Cloudflare、Cisco、CrowdStrike、Palo Alto Networks、Oracle、Zscaler、Akamai、Fortinet等合作，试图把模型能力嵌入漏洞研究、补丁验证、WAF缓解、EDR/SIEM检测和软件供应链防护。对企业安全团队而言，这意味着AI不再只是辅助写报告，而是逐步进入漏洞验证、修复审查和攻防演练等核心环节。

原文链接：

https://securityonline.info/openai-project-daybreak-gpt-5-5-cyber-anthropic-glasswing-security/

2026 年的数字生态中，AI 早已超越聊天工具与代码助手的单一属性，进化为具备自主规划、工具调用及多步执行能力的代理型 AI（Agentic AI）。IDC 预测，70% 的组织将落地复合 AI 架构，整合生成式、情境式、预测式与代理技术，这股变革浪潮不仅重塑生产力格局，更从根本上颠覆传统网络安全的运行逻辑与防护范式。

传统安全思维根植于 “内网即安全”“位置决定信任” 的认知，以防火墙构建起物理与网络的双重壁垒。然而，AI 代理的自主任务拆解、跨系统交互能力，乃至在 Web3 场景中执行链上交易的特性，让传统 “边界” 概念愈发模糊。身份冒充、权限越界、黑箱决策等新型风险呈指数级增长，行业共识逐步清晰：信任边界正由传统静态防护向动态信任重建转型，这不仅是技术层面的迭代升级，更是网络安全治理思维的根本性变革。

AI 代理化并非突发变革，而是 AI 从 “辅助工具” 向 “自主行动者” 演进的必然趋势。传统 AI（如聊天机器人）仅能被动响应指令，而代理型 AI 可深度理解复杂目标、调用外部多元工具并迭代优化策略，在持续反馈循环中动态调整行动方案。OpenClaw 等技术框架的落地，使 AI 代理具备接管电脑操作、完成链上交易的能力，效率实现质的飞跃，同时也让网络安全边界从清晰的 “网络围栏”，转变为需实时应对的动态交互界面。

OFweek 2026 网络安全趋势报告明确指出，AI 的爆发式增长催生三大核心风险：

• AI Agent 身份冒充

• API 规模化攻击

• AI 浏览器 / AI 手机带来的 “黑箱” 隐患

这一趋势推动网络安全防护全面从 “边界防护” 转向 “信任重构”。传统模式中 “内网即安全”“位置决定信任” 的前提被彻底打破：攻击响应周期从数天压缩至数分钟，防御体系需从被动封堵转向前置预测与主动干预。

这一转变在企业 IT、Web3 及日常办公场景中尤为凸显。AI 代理不再是 “被动执行指令的工具”，而是具备自主决策能力的 “数字员工”。若企业仍沿用旧有信任边界模式，将面临连锁攻击的致命风险：单一代理被攻破，可能引发整个系统的连锁崩溃。

信任重构的核心逻辑，是将安全防护从 “验证即信任” 的静态思维，升级为 “持续建立与动态验证信任” 的动态体系。具体落地需围绕五大核心机制构建防护矩阵：

AI 代理安全防护的核心，正从 “被动验证身份” 转向 “主动构建信任”。企业需部署多智能体协同防御平台，打造 “威胁感知 - 决策响应 - 溯源审计” 三位一体的防护矩阵，同时强化 “数字身份 + 行为基线” 的双重认证机制，从根源上防范单一代理信息泄露引发的连锁攻击。这一机制让网络安全成为保障智能生产力高效运转的 “信用护照”，为 AI 代理的运行提供可信基础。

Gartner 分析指出，代理型 AI 需采用基于属性的访问控制（ABAC）或策略 - based 访问控制（PBAC），依据访问主体的时间、所处环境、风险评分等维度，动态调整权限范围。在 Web3 场景中，最小权限原则需严格落地：AI 不默认拥有账户全控制权，用户需明确限定资产操作范围、金额上限与时间窗口，针对大额转账等高价值操作，强制设置人工确认环节，杜绝权限滥用风险。

BCG 等机构提出 “信任协议” 框架，将 AI 代理的自治能力划分为四级：影子模式、辅助模式、监督模式、完全自主模式。代理需通过性能阈值考核与严谨测试，逐步 “赚取” 更高等级的自治权。同时，系统需内置确认弹窗、操作回滚功能与沙盒预演机制，确保生产系统变更等高风险操作具备空气隙保护。Gartner 建议企业根据 AI 代理的自治水平进行分类管理，避免治理策略与实际需求错配。

AI 代码生成过程中存在显著的 “信任赤字”，StackOverflow 调查显示，近半开发者对 AI 输出的代码完全不信任。破解这一问题需构建自动化分层验证架构，通过 “AI 护栏筛选 + 人工决策” 的双重模式，将软件供应链风险从外部开源漏洞，转向内部 AI “幻觉代码” 的治理。

在金融、医疗等强监管领域，决策透明度是合规底线。AI 代理的所有决策需实现全流程日志化，以可视化面板呈现可靠性指标（如操作失败率、数据漂移率），避免 “黑箱” 决策带来的合规风险与责任追溯难题。

上述五大机制协同作用，使信任从传统的 “主观假设” 转变为可量化、可审计的客观标准。网络安全防护从 “围墙式封闭防护” 升级为 “信用护照式动态管控”，让 AI 代理在可控边界内实现高效运转。

基于 2026 年行业趋势报告与 Gartner 核心洞见，本文整理传统与新型信任边界的核心差异，直观呈现信任重构的路径逻辑：

从对比可见，新型信任边界虽更具复杂性，但能有效拉平攻防对抗的失衡态势，实现安全与效率的平衡。Gartner 2026 年趋势明确指出，代理型 AI 的普及要求企业强化网络安全监管，建立授权与未授权 AI 智能体的识别、分类与管控体系。

尽管代理型 AI 的发展前景广阔，但其信任重构过程仍面临多重挑战与争议。Web3 领域的实际案例显示，AI 代理可能因目标误解（如 “最大化收益” 指令导致高风险投资）、反馈距离拉长等问题，产生非预期的危险操作。Ethereum 联合创始人 Vitalik Buterin 对此发出警示，其研究指出约 15% 的 AI 代理技能模块包含恶意内容，甚至可通过恶意网页完全接管用户系统。

供应链投毒、数据泄露、地缘政治博弈等因素，进一步放大代理型 AI 的安全风险。若企业无法为 AI 代理建立清晰的权限边界，将难以在智能化浪潮中实现稳健发展。从社会层面看，信任重构还涉及人类核心价值的重塑：AI 代理可解放 80% 的繁琐事务，而剩余 20% 关于 “真实连接、信任建立、责任承担” 的工作，将成为人类的核心价值与溢价领域。

行业争议的核心在于：过度代理化是否会稀释人际信任，或在监管滞后的背景下加剧数字鸿沟。奇安信报告强调，企业合规需从 “清单式合规” 转向 “结果式合规”，倒逼安全建设融入业务全流程，而非事后补救。McKinsey 调研也显示，安全与风险担忧，是当前企业拓展代理型 AI 应用的最大阻碍。

代理型 AI 的信任边界重构，需企业、监管、技术、生态多方协同发力，构建全方位的安全韧性体系：

落地Agentic Trust Framework（零信任治理框架），从身份认证、行为规范、数据边界、访问权限、应急响应五大维度，制定清晰的 AI 代理管理规则，实现全流程可控可管。

参考欧盟 AI 法案（基于风险分级管理，禁止不可接受风险场景、对高风险系统实施强制合规、明确可审计性要求）与中国《网络安全法》修订内容，强制要求高风险 AI 代理具备可审计性与数据合规性。欧盟 AI 法案对高风险 AI 系统设定了严格的质量管控、技术文档留存、人工监督等要求，违规罚款最高可达全球营业额的 7%，为行业提供了重要参考。

融合隐私计算、可信数据空间等技术，实现数据 “可用不可见” 的共享模式，在保障数据流通的同时，筑牢数据安全防线。

推动供应商与企业深度协作，优先开展小规模场景试点验证，逐步迭代至规模化部署，降低技术落地的风险。

Gartner 提醒，缺乏有效监管的代理型 AI 将严重侵蚀行业信任，技术供应商需以自律为前提，通过透明化的产品设计，守护代理型 AI 的商业价值与社会价值。

展望 2028 年，Gartner 预测三大核心趋势：三分之一的生成式 AI 交互将由自主代理完成；AI 代理间 90% 的协作将实现自动化，人类仅需聚焦 10% 的关键决策与信任构建。最终，实现转型的企业将以 “信任经济学” 为核心竞争力 —— 在算法主导的时代，真实连接所沉淀的信任资产，将成为最珍贵的核心资源。

这一转型过程充满不确定性，但通过动态信任机制、透明化治理与人机协同模式，AI 代理化浪潮有望在释放巨大产业价值的同时，筑牢可持续的信任基石。企业需主动拥抱变革，在效率与安全的平衡中挖掘新机遇；个人也应提升数字素养，理解代理型 AI 的风险逻辑，深度参与人机协同的数字生态。

AI 代理化浪潮下，信任边界重构绝非可选项，而是企业与数字生态生存发展的必选项。从静态的 “围墙” 防护到动态的 “信用护照” 管控，网络安全将从成本支出转变为生产力的倍增器。奇安信、OFweek、Gartner 等权威机构的报告均指向同一方向：动态治理、以智治智、人机协同，是代理型 AI 时代网络安全的主流路径。

作为网络安全领域的从业者，我们建议企业立即行动：全面评估现有 AI 代理的自治水平，搭建渐进式安全护栏，强化全链路审计闭环。同时，监管机构与行业协会需加强协作，推动相关标准与规范的落地。唯有筑牢信任基石，AI 才能真正成为人类可靠的 “数字伙伴”。

在效率与安全的天平上，我们正站在历史的转折点。拥抱变革者，将率先收获 AI 技术的发展红利；固守旧范式者，或将在未来的竞争中付出沉重的代价。

相关阅读

2026 年初，OpenClaw（俗称“龙虾”）开源破圈，标志着AI正式完成了从对话式Chatbot到自主执行Agentic智能体的范式跃迁。凭借本地操控、跨软件任务能力，“龙虾”迅速引爆了技术社区，国内科技大厂阿里云、腾讯云纷纷跟进部署，全面适配企业微信、QQ、钉钉、飞书等国内主流IM 应用；与此同时，开发爱好者中也掀起了全民“养虾”热潮，大量具备局部自治能力的智能体被不断构建与投放，全球范围内快速形成了高阶智能体的应用生态圈。

随着开源Agent技术与工具调用能力的持续突破，以“龙虾”为代表的Agentic智能体快速渗透办公协同、系统运维、金融服务等场景，成为政企数字化转型的核心生产力。然而，其与生俱来的高权限、强自主、广生态特性，在缺乏完善安全管控与规范引导的情况下，迅速陷入了严重失控状态，并引发多起高危安全事件：

• 2月份，ClawHub平台遭遇大规模技能包被投毒事件；

• 3月份，采用默认配置的“裸奔龙虾”实例大规模暴露于公网；

• AI自主误操作更是导致多起科研数据、工作核心数据误删事故。

据近期公开数据显示：目前已披露CVE漏洞约80余个，其中Critical级别漏洞 ≥12个，RCE链条（最危险）、权限/认证绕过、Skill供应链攻击（生态风险）成为三大核心安全隐患，已影响全球80%以上的“龙虾”部署实例。

值得注意的是，OpenClaw是一种“高权限Agent +弱边界执行”架构，漏洞不只是Web/代码问题，而是跨层级、复合型新型攻击风险。对此，国家互联网应急中心（CNNVD）、工信部、国家安全部等多部门密集发布风险预警与防范指南，明确智能体安全治理底线，同时也直指传统防护体系已无法适配Agentic架构带来的新型安全威胁，难以形成有效防御。

为系统性破解Agentic智能体“想用不敢用”的产业困境，安全牛正式启动《Agentic 智能体及“龙虾”系统风险治理与安全防御》报告研究工作，将系统梳理“龙虾”及同类Agentic智能体的风险图谱，构建科学、可落地的安全防御体系，推动行业形成标准化、规范化的安全建设范式。

我们诚邀安全领域厂商、科研机构及行业实践者深度参与本次研究，凝聚行业力量、共享技术经验，共筑Agentic智能体安全防线，推动智能体技术安全、健康、可持续发展！

【调研咨询】

相关阅读

在数字化转型全面提速的当下，安全信息与事件管理（SIEM）系统早已脱离单纯的日志存储工具范畴，成为企业构建网络韧性能力的重要战略支撑。2026 年，SIEM 市场正迎来关键的范式转型：传统以 “连接器数量” 为核心竞争力的时代已然落幕，市场对数据质量、人工智能驱动威胁检测以及端到端平台可靠性提出了更为严苛的要求。

本文将系统剖析 2026 年 SIEM 市场的核心发展趋势，展现SIEM 从被动响应工具向主动防御核心枢纽的演进路径。

过往，众多 SIEM 厂商将支持数百乃至上千个数据源作为核心宣传卖点，似乎连接器数量越多，系统能力便越强。步入 2026 年，这一评判标准已彻底被市场淘汰。当前 SIEM 市场已清晰分化为两类产品：一类是仅完成日志归集的 “表层日志收集器”，另一类则是能够挖掘数据核心价值的 “实战化有效平台”。

行业核心逻辑已从数据数量转向数据质量。若缺乏深度的数据标准化与事件 enrichment 能力，再多的原始日志也只会转化为安全分析中的冗余噪音。下一代 SIEM 需为每一条日志实时赋予完整上下文信息，包括地理定位、行为异常特征、攻击链路与进程树关联等。如此一来，每一项网络活动不再是孤立的日志条目，而是可直接支撑威胁狩猎与安全调查的完整线索。

这一转型趋势在全球 SIEM 市场中已显现明确信号，头部安全平台纷纷强化基于人工智能与机器学习的遥测分析能力，缓解告警疲劳问题，并通过构建用户行为基线实现未知威胁检测。

试想，一次可疑登录行为不再仅是单一 IP 地址记录，而是关联用户行为异常、地理位置偏差与进程树信息的全维度视图，这正是 2026 年实战化 SIEM 平台的核心竞争力。企业安全建设已不再满足于 “看得见日志”，而是追求 “看得懂威胁”。

当前网络攻击者的攻击手段愈发隐蔽，常伪装为合法业务操作，传统基于规则的关联分析已难以有效应对。2026 年 SIEM 的核心技术趋势为混合检测模式：融合基于安全专家经验的特征检测与基于机器学习的行为分析。厂商的核心竞争力不再是概念化的人工智能标签，而是能否将最新攻击战术快速转化为可落地的防御规则，实现防御更新节奏与攻击者工具迭代速度同步。

此外，深度上下文记录与机器学习驱动的攻击链可视化已成为 SIEM 的标准能力。在 2026 年版本迭代中，其内置机器学习模型数量已增至 87 个，不仅应用于异常行为检测，更提升了风险评估过程的透明度；安全规则实现每两周常态化更新，针对流行漏洞的防护规则可在三天内完成推送落地，真正实现了工业级安全专业能力的产品化落地。

市场调研数据显示，2026 年人工智能驱动型 SIEM 已成为市场主流，平台全面融合用户与实体行为分析（UEBA）、安全编排自动化与响应（SOAR）以及扩展检测与响应（XDR）能力。SentinelOne、Exabeam、Microsoft Sentinel 等行业厂商均在强化 AI 驱动的安全调查能力。

业务连续性需求要求 SIEM 具备关键基础设施级别的运行稳定性。过往 “箱式部署”、低负载长期运行的模式已无法满足当前需求。安全运营中心（SOC）团队在攻击高发期无法承担系统维护中断的风险，因此 SIEM 平台必须具备经过验证的性能表现与线性扩展能力。

2026 年行业主流趋势为 SIEM 成为安全生态核心枢纽，与网络流量分析（NTA/NDR）、沙箱、自动化处置工具实现无缝集成，构建统一的安全管理闭环。

通过持续优化应用场景、提升用户体验、扩展监控范围并引入 AI 智能助手，助力安全分析师实现更高效的决策判断。2026 年，平台性能并非功能的简单叠加，而是实战化专业知识、智能分析能力与端到端运行可靠性的协同体现。

这一平台化转型与全球市场趋势保持一致。云原生 SIEM 呈现高速增长态势，而大容量日志存储场景仍以混合部署模式为主；人工智能自动化成为核心能力，据行业预测，2026 年遥测数据处理工作将大规模由 AI 承担，安全运营中心将从 “应急救火” 模式转向战略驱动型安全运营模式。

2026 年市场预测显示，SIEM 将向人工智能驱动、联邦搜索与分布式数据架构方向演进。SIEM平台具备实现机器学习集群事件关联、正则规则自动生成、风险评估流程透明化等核心能力，有效缓解企业告警疲劳问题，构建从威胁检测到响应处置的全闭环安全体系。

企业在选型 SIEM 平台时，应重点关注三大维度：是否经过真实攻防验证、上下文信息丰富程度、扩展能力与生态集成水平。

2026 年，SIEM 市场将完成从 “日志收集工具” 到 “实战化安全平台” 的蜕变。行业趋势已然清晰：以数据质量为核心、混合 AI 检测为技术支撑、工业级可靠性与生态集成为基础架构。

在此建议各位首席信息安全官：全面评估现有 SIEM 平台是否符合 2026 年行业标准；开展不同解决方案的试点测试验证；强化邮件安全多层防护体系，实现 SPF/DKIM/DMARC 全面部署与沙箱分析能力落地。积极研读行业洞察报告，以实际行动保障核心业务安全。

相关阅读

2026 年 5 月 11 日，CNVD 发布 2026 年 5 月 4 日 - 10 日高关注产品安全漏洞，覆盖境外浏览器、AI 应用、网关及境内路由器、操作系统等主流产品，以代码执行、缓冲区溢出、权限管理缺陷为主，威胁面广、利用门槛低。

境外方面，Google Chrome 曝出三类高危漏洞：PDFium 堆缓冲区溢出漏洞，可通过恶意 PDF 在沙箱内执行代码；Media 组件越界读取漏洞，可诱骗访问恶意页面执行代码；Viz 组件内存错误引用漏洞，可在攻陷渲染器后实现沙箱逃逸。IBM 两款产品存严重风险：Langflow Desktop 1.8.2 及更早版本存在反序列化漏洞，可远程执行代码；DataPower Gateway 存在跨站请求伪造漏洞，可诱导执行未授权操作。

境内方面，多款路由器存在高危漏洞：TOTOLINK A3300R 因 stunPort 参数校验不足存在命令注入；D-Link DIR-513、DI-8003、DIR-X3260 分别存在堆栈缓冲区溢出、缓冲区溢出、栈溢出漏洞，可致拒绝服务或远程代码执行。Huawei HarmonyOS 多用户模块因权限管理不当存在授权问题漏洞，可能造成信息泄露。

上述漏洞均已收录 CNVD，对应编号为 CNVD-2026-19173/19174/19176/19177/19180/18804/19420/19424/19785/19786。建议相关厂商与用户尽快核查版本、更新补丁，强化输入校验与权限管控，防范针对性攻击。

原文链接：

https://www.cnvd.org.cn/webinfo/show/12371

2026 年 5 月 11 日，国家信息安全漏洞共享平台（CNVD）发布 CNTA20260003 安全公告，通报OpenClaw（龙虾） 等主流智能体系统中，多款第三方技能包（Skills）存在隐蔽执行恶意命令、诱导高危操作等严重安全风险，可致用户敏感信息泄露、数字资产被盗。

公告显示，部分 Skills 伪装成办公助手、数据分析、自动交易等工具，后台静默下载运行木马，绕过安全防护窃取系统密码与业务凭证，其中 yahoofinance、bybittrading 等恶意插件下载量已过万次。另有 Skills 诱导用户参与非法虚拟货币交易、接入未经核验的第三方 MCP 服务，如 MoltsPay 以代币奖励为诱饵，存在明文存储私钥、无法提现等陷阱；yanpanfinance 引导用户通过非官方渠道获取 API Key，带来数据泄露与指令篡改风险。

CNVD 指出，Skills 已成为智能体新型攻击入口，传统防护难以识别。个人用户应从官方渠道获取组件，遵循权限最小化原则，定期清理可疑插件；企业需建立白名单准入、入库安全检测、隔离部署与分级管理机制。

公告同步公布首批 19 个恶意 Skills 清单，涵盖木马投毒、诱导付费、诱导虚拟货币交易三类风险，提醒用户立即排查卸载。

原文链接：

https://www.cnvd.org.cn/webinfo/show/12366

2026 年 5 月 11 日，北京网络举报发布预警，短视频平台出现AI 生成虚假人设诈骗新形式，核心目标为老年群体。

诈骗分子利用 AI 技术制作 “霸道总裁” 虚拟形象，以西装革履外观搭配甜言蜜语提供情绪价值，以 “准备礼物”“请姐姐支持” 为借口，诱导老年人点击链接购买高价劣质商品，单人消费可达百元以上，团伙获利明显。

该诈骗模式依托 AI 生成内容技术，可批量制作虚拟人物与话术，成本低、传播快、迷惑性强。除 “霸总” 外，还可伪装成亲人、专家、弱势群体等多种人设适配不同诈骗场景。

作案链路清晰：AI 构建虚假人设→情感话术诱导老年人→引导下单付费，全程利用老年群体对 AI 伪造内容识别能力薄弱的特点实施欺诈。

网络安全层面提示，AI 技术降低诈骗门槛，老年群体风险更高。平台需强化内容审核与 AI 生成内容标识，家庭与社会应加强反诈宣传，提升老年人对 AI 虚拟人设诈骗的防范能力。

原文链接：

https://mp.weixin.qq.com/s/BR5tAFnz_EE7KmPC-lc1hA

安全咨询机构 Cobalt 发布年度渗透测试报告显示，AI 与大语言模型（LLM）系统的高危漏洞占比达 32%，是传统企业应用（13%）的近 2.5 倍，且漏洞修复率仅 38%，为所有被测应用类型中最低。

调查显示，20% 的机构在过去一年遭遇过 LLM 安全事件，18% 表示不确定，19% 拒绝回应。第三方安全专家证实，AI 系统快速落地但安全管控、测试与治理机制不成熟，是漏洞高发主因。

当前 AI 系统面临新型攻击面，提示注入（prompt injection）被 OWASP 列为 LLM 应用头号风险，HackerOne 平台相关报告同比激增 540%。此外，不安全插件、数据泄露、模型供应链风险、代理行为失控、权限过度、内部系统过度集成等威胁持续凸显。

AI 漏洞影响范围更大，LLM 多连接知识库、工作流、代码库与客户数据，单一弱点可引发连锁风险。同时，AI 安全责任跨工程、安全、法务、采购等多部门，修复权责模糊导致处置滞后。

专家指出，传统漏洞有成熟修复方案，但 LLM 漏洞尚无标准化处置流程，开发者缺乏输入验证、权限边界设计等积累。

建议机构将 AI 系统按生产系统管控，开展威胁建模、红队演练与全生命周期对抗测试，实施最小权限、强身份认证、敏感数据隔离与持续监测，在架构阶段植入严格调用 schema、输出校验与高危操作人工审核机制。

原文链接：

https://www.csoonline.com/article/4166185/pen-tests-show-ai-security-flaws-far-more-severe-than-legacy-software-bugs.html

2026 年 5 月 11 日，德国联邦刑事警察局（BKA）联合法兰克福检察院、打击网络犯罪中心（ZIT），成功取缔死灰复燃的德语暗网犯罪市场Crimenetwork，抓获平台管理员并扣押大量资产与证据。

该平台原于 2024 年 12 月被首次捣毁，运营长达十余年，曾是德语区最大暗网市场，2018 至 2024 年流水超 1 亿美元。复建版本仅数月便吸纳22000 名用户、100 余名卖家，交易被盗数据、毒品、伪造证件等违禁品，以Bitcoin、Litecoin、Monero等加密货币结算，涉案金额超360 万欧元。

此次行动中，西班牙警方协助逮捕一名 35 岁德国籍管理员，德国当局扣押约19.4 万欧元相关资产，并获取完整用户与交易记录，用于溯源上下游犯罪人员。

暗网市场具备极强恢复力，原平台关停后数日复建，快速回流用户与卖家。但持续执法打击可显著提升重建成本，瓦解管理员、资金、信任体系与社区生态。

德国近年持续打击暗网基础设施，2022 年曾联合美方取缔全球大型暗网市场Hydra，该案当年交易额达12.3 亿欧元。

此案警示，单次取缔难以根除暗网犯罪，长期追踪资金、锁定管理员、跨境协作、持续施压，才能真正破坏犯罪生态。

原文链接：

https://securityaffairs.com/191969/cyber-crime/crimenetwork-returns-after-takedown-dismantled-again-by-german-authorities.html

美国得克萨斯州已对流媒体平台 Netflix 提起诉讼，指控其在用户数据处理与监控行为中违反州数据隐私相关法规，涉嫌不当收集、使用与披露用户信息，存在未授权监控风险。

诉讼核心指向 Netflix 的数据 practices：平台被指在未充分告知用户的前提下，过度采集设备信息、使用行为、观看记录等数据，并用于商业推送与用户画像构建，部分处理行为未获得明确授权，不符合州级隐私保护要求。监管方认为，相关做法侵犯用户隐私知情权与控制权，构成不公平数据实践与非法监控。

此次诉讼由得州官方执法机构发起，属于美国州级层面针对大型科技平台的典型隐私监管行动，重点聚焦用户数据最小化、告知同意、监控合规三大网安与合规要点。诉讼未披露具体索赔金额，但诉求包括停止违规数据处理、整改监控机制、支付民事罚款、完善隐私告知流程等。

Netflix 暂未公开完整回应，但强调自身遵循行业通用隐私标准，用户可自主控制数据与追踪选项。该案将对全球流媒体、互联网平台的用户数据合规、行为监控边界、跨区域隐私适配形成示范影响，也为企业数据治理与监控合规提供重要判例参考。

截至目前，案件处于初始受理阶段，后续庭审与整改要求尚未公布。

原文链接：

https://therecord.media/texas-sues-netflix-over-data-practices-surveillance

TechRadar报道称，安全研究人员HiddenLayer发现，一个名为Open-OSS/privacy-filter的假冒OpenAI仓库曾短暂登上Hugging Face榜首。该仓库通过typosquatting伪装成官方发布，model card几乎照搬原版，并在loader.py中植入下载与执行infostealer的逻辑。

攻击链显示，恶意代码会先禁用SSL验证，解码base64URL并获取包含PowerShell命令的JSON载荷；随后下载batch文件，提权后部署sefirah payload，将其加入Microsoft Defender排除列表并运行。该infostealer可窃取浏览器保存数据、Discord token、本地数据库、master key、加密货币钱包、浏览器扩展数据、SSH、FTP、VPN凭据及本地敏感文件，还可截屏并回传系统信息。

该假仓库数日内显示下载量达24.4万次，并被667个疑似自动生成账号点赞。尽管下载量可能被刷高，并不代表每次下载都造成感染，但其登顶带来的曝光足以放大供应链攻击风险。HiddenLayer还沿关联账号发现其他使用相同基础设施的恶意仓库，目前相关仓库已被下架。

原文链接：

https://www.techradar.com/pro/security/a-fake-openai-repository-has-taken-top-spot-on-hugging-face-but-all-it-does-is-push-infostealer-malware

近日，网络安全领域曝光Hologram恶意软件框架，该框架以AI 数据窃取为核心目标，集成Pathfinder与OpenClaw两大关键组件，对企业与机构的人工智能资产构成严重威胁。

Hologram 作为模块化恶意软件框架，具备高度隐蔽性与扩展性，可绕过常规终端防护，定向渗透部署 AI 系统的网络环境。Pathfinder 模块负责前期侦察，精准定位 AI 训练数据、模型参数、算法代码等高价值目标，完成网络拓扑测绘与权限探测。OpenClaw 模块执行核心窃取操作，通过无文件攻击与加密传输，批量导出 AI 核心数据，全程规避安全审计。

该框架针对 AI 研发场景优化攻击链路，从入侵、潜伏、侦察到数据外逃形成闭环，攻击流程高度自动化。其窃取目标覆盖训练数据集、模型权重、推理接口密钥等，可直接造成企业 AI 研发成果泄露、知识产权受损。

目前，安全厂商已将 Hologram 及其组件纳入威胁检测规则。建议相关机构强化终端 EDR、AI 系统访问控制与数据外发审计，及时更新威胁情报，防范针对 AI 领域的定向恶意软件攻击。

原文链接：

https://securityonline.info/hologram-malware-framework-pathfinder-openclaw-ai-theft/

2026年5月11日，亿格云宣布完成数亿元人民币B轮融资。本轮融资由新股东Monolith砺思资本领投，老股东未来启创基金加码跟投，航行资本担任独家财务顾问。成立四年以来，亿格云已完成五轮融资，先后获得红杉中国、元璟资本、靖亚资本、未来启创基金等一线机构不断加持。

原文链接：https://mp.weixin.qq.com/s/xhDTyLnOY8TfIPlNwjWXRQ

2026 年 5 月 11 日，迪拜 OTT Cybersecurity LLC 旗下 Lyrie.ai 宣布入选Anthropic 首批网络安全验证计划（CVP），并发布Agent Trust Protocol（ATP），成为 AI 代理安全领域重要进展。

Anthropic CVP 用于核验合法网络安全运营方，支持 Lyrie.ai 在 Claude 基础设施上开展漏洞研究、攻击性安全工具与红队流程开发，遵循安全合规要求。

ATP 是面向自主 AI 代理的开放加密标准，可实时验证代理身份、授权范围、指令完整性、权限委托与撤销，覆盖五大核心原语，采用 MIT 许可开源，计划提交 IETF 标准化。

Lyrie.ai 定位为 AI 时代攻防一体化安全平台，提供单命令七阶段自动化渗透测试、GPU 红队演练、二进制漏洞挖掘、OWASP ASI 2026 对齐覆盖等能力，支持从消费级硬件到企业 GPU 集群的弹性部署。

企业与政务领域自主 AI 代理快速部署，缺乏企业级安全模型，易出现身份伪造、权限越权、指令篡改等风险。ATP 以密码学方式建立可信边界，填补 AI 代理运行时安全管控空白。

Lyrie.ai 正与更多主流 AI 实验室推进验证合作，致力于构建自主 AI 系统的通用可信安全基础设施。

原文链接：

https://www.csoonline.com/article/4169442/lyrie-ai-joins-first-batch-of-anthropics-cyber-verification-program-2.html

Google 于 2026 年 5 月 5 日更新 Gemini API，对 File Search 工具进行三大核心升级，全面支持多模态 RAG、自定义元数据过滤与页面级引用，大幅提升检索生成的准确性、可追溯性与安全可控性The Keyword。

本次更新基于 Gemini Embedding 2 模型，实现文本与图像同源检索，可直接理解图表、设计稿、文档插图等视觉内容，无需 OCR 预处理，简化多模态 RAG 架构，降低开发与运维成本。自定义元数据支持键值标签，可按部门、密级、状态等维度预过滤检索范围，有效减少噪声召回，适配企业分级权限与数据治理要求。页面级引用功能可精准定位文档页码与图片来源，提升生成内容的可验证性，满足合规审计与溯源需求。

开发者可通过 Google AI Studio 或 Google Cloud 接入，快速构建文本、图像一体化检索应用，适用于企业知识库、合规审核、设计资产管理等高价值场景。该更新解决传统 RAG 仅支持文本、溯源模糊、检索精度不足等痛点，强化数据最小化、权限管控与可追溯性，契合网络安全与数据合规趋势。

此次升级标志着多模态 RAG 进入原生一体化阶段，对企业知识管理、数据安全架构与 AI 应用合规具有示范意义，相关安全团队可重点关注元数据策略、检索边界与内容溯源的落地实践。

原文链接：

https://securityonline.info/google-gemini-api-multimodal-rag-file-search-update/

过去两年间，我们见证了企业对人工智能（AI）的狂热追逐。从底层的语言大模型（LLM）到顶层的各类智能体（AI Agents），无数企业迫不及待地将AI嵌入业务的每一个毛细血管。所有人都唯恐错失这趟时代快车，然而，在“全速前进”的轰鸣中，一个最基础、最致命，却常常被刻意回避的问题，正逐渐浮出水面。若缺乏清晰的责任归属，你所拥有的并非AI项目，而是一台披着友好用户界面外衣的“混沌制造机”。

作为网络安全从业者，我们完全理解企业领导者面对技术红利时的迫切心境，但此刻必须泼一盆冷水。我们首先需要深度拆解企业AI化进程中，如何通过重塑“问责机制”，构建真正的数字化护城河。

当前绝大多数企业中，AI的部署方式简单粗放：将最新的大模型或自动化系统直接“叠层”（Layering）至现有组织架构之上，却未厘清这些由AI生成的“决策”究竟归谁负责、权力如何转移、绩效如何评估。

许多企业领导者其实隐约察觉到这种风险，于是采取了一种自欺欺人的妥协之举：将AI的应用范围严格局限于“个人生产力”工具层面（例如协助员工撰写邮件、总结会议纪要），却不敢让其真正触碰核心业务的运行逻辑。

这种妥协酿成了尴尬的局面：缺乏结构性的权责清晰度，AI的业务影响力便会停滞不前。组织内部看似热火朝天，每位员工都在使用AI工具，但从宏观视角来看，企业并未因AI驱动实现真正的业务转型，仅仅是增加了更多“系统活动量”。若你希望AI带来持久的业务变革，而非热闹的实验，就必须在底层架构上重新设计“问责制（Accountability）”。

业界有一个极具颠覆性的核心观点：AI的所有权（Ownership），必须定义在“决策或KPI层面”，而非“工具层面”。

传统IT时代，我们习惯于任命“系统管理员”或“产品负责人”。但在AI时代，系统不再是单纯执行预设程序的僵化代码，而是会生成概率性结果并做出判断。因此，针对每一个AI赋能的业务工作流，企业必须明确定义以下四大支柱：

1. 业务负责人（Business Owner）：无论AI给出何种建议或执行何种操作，该负责人都必须对这一决策引发的所有最终业务结果（Outcomes）承担绝对责任。

2. 技术负责人（Technical Owner）：专门负责AI系统的底层性能、数据流转、模型稳定性及可靠性。

3. 明确的权责边界（Scope of Authority）：必须以书面形式，清晰界定该AI决策系统可覆盖的场景，以及绝对不可逾越的红线。

4. 异常升级路径（Escalation Path）：当AI输出结果偏离预期边界，或出现模型幻觉（Hallucinations）时，必须有一条清晰的熔断与人工干预通道。

这种“业务+技术”的双重负责人制，彻底打破了过去“业务部门向IT部门推诿责任，IT部门又向算法推诿责任”的死循环。当责任被具象化到KPI之上，AI便不再是脱缰的野马。

我们不仅要读懂管理逻辑，更要从数学与系统科学的底层，理解“问责机制”的重要性。我们可通过建立无责任主体AI的量化风险模型（Quantitative Risk Model for Unaccountable AI），揭示其背后的数学本质。

在复杂的企业IT环境中，要评估AI部署带来的预期系统性损失，可通过以下积分方程推演：

该复杂变量公式中，各参数含义如下：

  代表在当前模型参数及运行环境的条件下，AI发生异常事件（如数据泄露、错误决策）的条件概率。

  代表该次AI失败引发的财务、声誉或运营成本损失。

  代表问责指数（Accountability Index），取值范围为0至1（0代表责任完全缺失的“孤儿系统”，1代表权责极为清晰且持续受到监控）。

  代表管理机制发挥作用的阻尼系数。

通过这一方程，我们可得出一个深刻结论：随着企业AI部署规模扩大，以及大模型“涌现能力”带来的不确定性提升，企业面临的系统风险将呈几何级数膨胀。

在该公式中，企业唯一能完全自主控制、且能对风险实现指数级衰减的变量，便是代表问责机制的 。缺少这一治理指数，投入的AI算力越多，本质上就是在酝酿一场规模更大的灾难。

管理机制绝不能流于口头。权限边界与升级路径，必须体现在严肃的书面文档与系统配置中，绝不能是同事间的“走廊闲聊（Hallway conversations）”。

为使问责制落地，需为不同类型的AI决策建立分级管控体系。针对每一个AI赋能的决策，企业必须在部署前明确界定其输出的角色定位：

• 层级一：信息输入（Informational Input）——AI仅作为高级搜索引擎或数据汇总工具，最终判断完全由人类做出。此层级风险最低，核心重点在于数据的可溯源性。

• 层级二：推荐默认值（Recommended Default）——AI给出强烈建议，若不进行干预，系统将默认执行。此时必须设置严格的审查阈值（Review Threshold）。例如，单笔退款金额在500元以内由AI默认执行，超过该阈值则需等待人工审核。

• 层级三：自动化执行（Automated Execution）——AI直接触发动作（如封禁账户、修改防火墙策略）。这是风险最高的层级。

对于自动化执行级别的AI，谁来承担业务后果？必须有实名认证的责任人。正如虚拟现实之父Jaron Lanier一档播客讨论时所言：“如果社会将责任推给技术，文明将不复存在；不论AI多么自主，必须有真实的人类对其行为负责。”这句话在企业安全治理中，同样是不可逾越的铁律。企业不仅要明确责任人，还需在系统中建立清晰、可追溯的覆盖/否决流程（Documented process for overriding system outputs）。

安全对抗从来都不是一劳永逸的，AI治理更是一个动态演进的过程。对于那些高业务影响力的AI工作流（High-impact AI workflows），企业不应在系统上线后便将其束之高阁，而应建立一套“常态化防御阵型”。

依据最佳实践，企业应立即落实以下四项核心机制：

1) 跨部门定期复盘机制：召集指定的“决策负责人”、技术团队及安全合规团队，定期开展跨部门审查会议，切勿等到事故发生后才仓促会商。

2) 结构化性能趋势评估：不应仅关注单次任务的成功率，更要评估AI模型输出的长期趋势与方差。模型是否出现“概念漂移（Concept Drift）”？其输出质量是否在悄然下滑？

3) 动态阈值与提示词更新流程：随着业务场景变化，必须建立一套可追溯的流程，用于更新AI的触发阈值、系统提示词（Prompts）及底层业务规则。

4) 事故后根因分析权责：当AI出现偏差（如提供有害建议或执行错误指令）时，谁负责开展事后分析（Post-incident analysis）？谁负责监督纠正措施落地？这些权责必须在事故发生前就明确分配到位。

“未来区分企业优劣的，将不再是其能否获取更优质的AI模型，而是其运营设计（Operating Design）能否与这些模型同步进化。”

若你的企业仅购置了最昂贵的算力与最先进的接口，却任由AI如“幽灵”般在内网穿梭，那么你重金购入的不是生产力，而是不可控的安全隐患。唯有当问责制被清晰嵌入核心运营，且要求AI如同组织内其他业务单元一样，接受严格的评估标准，AI的优化才会具备纪律性，才能真正从“猎奇的实验项目”，蜕变为“支撑企业运转的坚实基石”。

作为安全管理者，我们的职责不是阻挡AI浪潮，而是在海啸来临之前，以极度的坦诚与专业的机制，筑牢坚固的防波堤。欲速则不达，在全面铺开你的AI智能体舰队之前，请先停下脚步，问一句：“如果失控，谁来负责？”

相关阅读

国家信息安全漏洞库（CNNVD）发布 2026 年第 18 期（总第 831 期）漏洞周报，统计周期为 4 月 27 日至 5 月 3 日。本周共采集公开漏洞 1096 个，数量环比下降；接报漏洞 2414 个，漏洞平台推送 1996 个。

从分布看，Linux 基金会以 157 个漏洞居厂商首位，WordPress 基金会、OpenClaw 分列二、三位。注入类漏洞占比最高，达 8.49%；危害等级方面，超危 72 个、高危 340 个、中危 649 个、低危 35 个，整体修复率 64.14%，其中超危漏洞修复率仅 38.89%，修复压力较大。

本期重点通报 Linux kernel 漏洞（CNNVD-202604-4496，CVE-2026-31431），攻击者可利用内核加密子系统缺陷获取 root 权限，主流发行版均受影响，官方已发布修复版本。此外，Apache Camel 远程命令执行、Google Chrome 内存释放后重用、WordPress 插件跨站脚本等高危漏洞均已发布补丁。

人工智能领域风险突出，OpenClaw 权限提升、Ollama 路径遍历、VMware Spring AI 代码注入三类漏洞需重点关注。国内厂商本周漏洞 133 个，修复率 23.70%，建议相关用户及时更新补丁，强化资产监测与应急处置。

原文链接：

https://www.cnnvd.org.cn/group1/M00/02/57/rBBlBmn9qWGASkMhAAWXYixrygM709.pdf

2026 年 5 月 8 日，欧洲数据保护监管机构对 Yango 运营方 MLU B.V. 处以1 亿欧元罚款，理由是该公司未按欧盟《通用数据保护条例》（GDPR）要求采取保障措施，将欧洲网约车用户个人数据传输至俄罗斯。这是欧盟首次针对向俄罗斯的数据传输作出协同裁决。

本次调查由荷兰数据保护局牵头，芬兰、挪威监管机构联合参与，始于 2023 年，聚焦 Yango 在芬兰、挪威的乘客与司机个人信息处理合规性。调查认定，MLU B.V. 无法证明移交欧盟境外的用户信息可免受俄罗斯官方访问，其数据保护措施未达 GDPR 标准。俄罗斯监控法律及情报机构权限，是监管机构判定风险的核心依据。

监管机构已责令 MLU B.V. 立即停止向俄罗斯传输欧洲用户数据。MLU B.V. 为荷兰注册企业，负责 Yango 欧洲数据业务，隶属于 Yandex 集团。该公司称已于 2025 年 10 月停止在芬兰、挪威运营，但两国应用商店仍可下载其应用。企业有权对本次处罚提出异议。

原文链接：

https://www.helsinkitimes.fi/finland/finland-news/domestic/28807-yango-fined-100m-over-russia-data-transfers.html

2026 年 5 月 11 日，国家安全机关发布蓝牙安全提示，蓝牙设备因信号广播、协议认证、PIN 码验证等环节存在漏洞，易被不法分子利用，引发窃密与数据泄露风险，威胁个人隐私及国家秘密安全。

主要安全风险包括四类：静默监听，利用固件漏洞实现强制配对，近距离接管麦克风窃听；数据窃取，针对无指令认证设备，盗取身体数据与推送信息；固件篡改，拦截 PIN 码验证重写固件，获取设备完整权限；轨迹跟踪，分析蓝牙信号关联用户活动轨迹。

国家安全机关提出防护要求：涉密环境严禁使用蓝牙设备，涉密计算机需拆除或禁用蓝牙模块，优先采用有线连接；定期更新固件封堵漏洞；及时拒绝异常配对请求，将设备设为 “不可发现” 状态，降低被攻击概率。

提示明确，涉密岗位人员须严格遵守保密制度，不可因追求便捷性突破安全底线，防范蓝牙无线连接引发的泄密风险。

原文链接：

https://mp.weixin.qq.com/s/C6NfujKWjBYA32zI0195Tg

当前 AI 智能毛绒玩具已快速风靡全球市场，CES、MWC、Hong Kong Toys & Games Fair 均密集亮相相关产品，截至 2025 年 10 月，中国已有超 1500 家相关企业入局。Huawei、Sharp 等大厂及 FoloToy、Alilo、Miko 等专业品牌纷纷布局，Miko 已售出超 70 万台设备，行业呈现快速扩张态势，但配套法律法规与监管规范严重滞后。

多款主流 AI 玩具搭载 OpenAI GPT-4o 等通用大模型，未做儿童场景专属适配。经 Public Interest Research Group、NBC News 等机构实测，FoloToy Kumma、Alilo Smart AI 等产品出现传授危险行为、谈论成人禁忌话题等违规内容，部分设备还输出敏感政治表述。剑桥大学针对 Curio Gabbo 的儿童实测显示，AI 对话时序逻辑错乱、无法适配儿童角色扮演游戏，易干扰 3 至 5 岁儿童语言表达与社交能力发育，还会过度抢占亲子互动空间。

此外，AI 玩具存在暗黑诱导机制，Miko 3、Curio Grok 会刻意挽留儿童持续游玩，复刻社交媒体成瘾设计。数据安全层面，Bondu、Miko 先后出现儿童聊天日志、语音录音裸泄露事件，厂商隐私政策允许向第三方流转数据，却向用户隐瞒真实风险。

主流大模型厂商均设定 13 + 或 18 + 使用门槛，但玩具厂商通过封装绕开年龄限制，Google、Meta、OpenAI 等对下游厂商资质审核流于形式。目前美国多州已推出立法提案，拟叫停 AI 儿童玩具销售并建立上市安全预审机制，欧盟计划将其纳入 AI Act 监管框架，而行业语音复刻、付费内容植入等新功能还在持续放大潜在风险。

原文链接：

https://www.securitylab.ru/news/572525.php

Let’s Encrypt 于 2026 年 5 月发布重要更新，对 ACME 协议进行调整，并将免费 SSL/TLS 证书默认有效期从 90 天缩短至 45 天，进一步提升公网 HTTPS 部署的安全性。

本次调整核心为两项变更：一是证书有效期缩短，通过更频繁的签发与轮换，降低密钥泄露、证书滥用等安全风险，契合当下网络安全合规趋势；二是同步优化 ACME 协议流程，强化自动化签发、验证与续期的稳定性，兼容主流 Web 服务与运维工具，保障存量部署平滑过渡。

45 天证书策略仅影响新签发证书，已部署的 90 天证书在有效期内可正常使用，无需立即替换。官方建议用户提前更新 ACME 客户端，确保支持新周期与协议规范，避免因配置滞后导致服务中断。

此次调整是 Let’s Encrypt 持续强化公共 PKI 安全的关键举措，短周期证书配合自动化运维，可有效缩小攻击窗口，提升全站 HTTPS 的可靠性与抗风险能力，对网站运营、网络安全从业者均具有直接影响。

原文链接：

https://securityonline.info/lets-encrypt-acme-updates-45-day-certificates-may-2026/

2026 年 5 月 9 日，通用汽车（GM）与加州总检察长办公室等执法机构达成隐私和解，支付 1275 万美元民事罚款，成为加州消费者隐私法（CCPA）迄今金额最高的隐私处罚案例，也是该州首次强制执行数据最小化原则的判例。

调查显示，2020 至 2024 年，通用汽车通过 OnStar 系统，在未告知并获得用户同意的情况下，向 Verisk Analytics、LexisNexis Risk Solutions 两家数据经纪商出售数十万加州车主的姓名、联系方式、地理位置及驾驶行为数据，相关交易获利约 2000 万美元。加州监管方指出，此举违反目的限制与数据最小化要求。

因加州保险法规禁止用驾驶数据定价，本次数据泄露未导致当地保费上涨。依据和解条款，通用汽车需在五年内停止向消费者报告机构出售驾驶数据；180 天内删除留存的驾驶员数据（获用户明确同意除外），并要求上述两家数据商删除已获取数据。

通用汽车此前已与美国联邦贸易委员会（FTC）就数据售卖问题达成和解，本次处罚进一步强化车联网数据合规要求，为智能网联汽车的数据采集、共享与处置树立严格监管标杆。

原文链接：

https://techcrunch.com/2026/05/09/gm-agrees-to-pay-12-75m-in-california-driver-privacy-settlement/

2026 年 5 月 10 日，BleepingComputer 披露一起活跃的恶意广告攻击活动，攻击者滥用 Google 广告与 Claude.ai 公开聊天记录，针对 macOS 用户分发信息窃取类恶意软件。

攻击者购买针对 Claude 相关关键词的付费搜索广告，将用户引导至 Claude.ai 官方域名下的伪造安装指南。这些公开聊天记录伪装成 Apple Support 发布的 Claude Code for Mac 安装教程，诱导用户打开终端并粘贴执行恶意命令。

攻击采用 base64 编码的 shell 脚本，从攻击者控制的服务器下载加载器，执行多阶段投递，最终部署信息窃取木马，可窃取系统信息、浏览器 Cookie、Keychain 密钥串等敏感数据，并回传至 C&C 服务器。研究人员已发现两套独立基础设施的同类恶意聊天页面，攻击手法一致、载荷与域名不同，具备规模化扩散能力。

该攻击利用合法域名与搜索引擎广告提升可信度，结合社会工程学绕过传统防护，属于典型 ClickFix 攻击模式。建议用户谨慎执行终端复制粘贴命令，优先通过官方渠道获取软件，企业可部署终端命令监控、广告恶意链接检测与终端 EDR 方案，防范命令行投毒与内存无文件攻击。

原文链接：

https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-claudeai-chats-to-push-mac-malware/

2026 年 5 月 10 日，Enginerds 发布 AI 模型对抗性攻击安全指南，指出对抗性攻击通过对输入施加微小扰动，使模型输出偏离预期，而人类难以察觉，核心是利用模型高维决策边界缺陷。

指南明确三类核心攻击：推理期逃逸攻击、训练期数据投毒、模型萃取与反转，LLM 提示注入则是典型 NLP 对抗攻击。对抗成功的关键在于攻击者可像模型优化数据般，通过查询持续优化攻击输入。

防护需采用全系统分层策略，而非仅加固模型。数据层严控来源与投毒检测，谨慎使用在线学习；训练层采用对抗训练、正则化与后门检测；推理期强化输入校验、限流、输出最小化，降低攻击者反馈。LLM 场景需隔离指令与内容、约束工具调用、增加授权层。

落地需搭建对抗测试套件，用 ART、Foolbox 工具评估鲁棒性，开展红队测试；部署上采用模型提议 + 策略确认、高风险场景人工介入，保障模型供应链安全与差分隐私。

核心结论：对抗性攻击利用统计特性而非漏洞，需以工程化手段构建跨生命周期防御，提升攻击成本、缩小影响范围。

原文链接：

https://enginerds.com/guides/cybersecurity/securing-ai-models-against-adversarial-attacks

2026 年 5 月 10 日，欧洲议会研究服务局 EPRS 发布报告警示，VPN 正被大量用于绕过互联网年龄审核机制，被视作当前儿童网络保护法规的重大短板，欧洲政界已出现限制 VPN 服务准入的提议。

欧美多国陆续出台新规，要求成人内容等年龄受限平台强制开展用户年龄核验，核验方式涵盖自拍证件、银行信息、运营商认证及专用核验应用等。而 VPN 通过流量加密与 IP 地址伪装，可将网络连接跳转至年龄管控宽松或无限制的地区，轻松规避本地审核规则。英国实施强制年龄核验后，VPN 应用下载量大幅攀升，美国多州落地同类法规后也出现同款趋势。

监管机构将 VPN 认定为法规漏洞，部分儿童安全机构及英国儿童事务专员主张，需在用户接入 VPN 阶段增设年龄核验，仅向成年人开放服务。但该提议遭到行业与隐私保护人士强烈反对，强制身份核验会剥夺 VPN 核心的匿名性，且服务商留存用户证件、生物特征数据，将新增数据泄露、监控滥用风险，已有多家机构向英官方发函反对相关管控方案。

当前欧洲官方年龄核验体系本身存在明显缺陷，欧盟 Digital Services Act 主推的官方核验应用被曝出未加密存储敏感生物影像，且存在可被完全绕过的安全漏洞。现有自评、人脸核验、证件上传等方式，极易被未成年人规避。报告提及法国 double-blind verification 双盲核验模式为优选方案，可实现年龄结果单向确认、互不获取对方隐私数据。

美国犹他州已出台 SB 73 法案，不以 IP 地址判定用户属地，规避 VPN 代理伪装定位。EPRS 预判，未来欧洲 Cybersecurity Act 或将增补条款，围绕儿童防护、封堵 VPN 绕限行为强化合规要求，全球对 VPN 的监管压力将持续上升。

原文链接：

https://www.securitylab.ru/news/572533.php

2026 年 5 月 10 日，OpenAI 为 ChatGPT 推出面向成年用户的Trusted Contact安全功能，允许 18 岁（部分地区 19 岁）以上用户指定一位信任联系人，用于 AI 检测到用户存在严重自伤或自杀风险时发出紧急通知。该功能此前仅用于青少年家长控制，现向成人开放，为可选设置。

用户添加联系人后，对方需在一周内确认同意方可生效。ChatGPT 自动系统筛查对话风险信号，先向用户发出预警并提示主动求助，同时告知可能通知信任联系人；相关案例会经 OpenAI 专业人员复核，确认风险属实后，以邮件、短信或应用内消息形式向联系人发送极简通知，不泄露对话内容，仅提供情况说明与支持建议。OpenAI 称，功能联合临床专家、研究者及美国心理协会开发。

该功能上线背景为 OpenAI 面临多起诉讼，有用户家属指控 ChatGPT 对话加剧心理问题、诱发自伤行为。功能引发舆论分歧：支持者认为可及时救助高危人群；批评者质疑隐私边界，指出风险判定权完全由平台掌握，且信任联系人未必具备专业心理干预能力，或被视为 “安全表演”。

OpenAI 强调，用户可随时删除或更换信任联系人，也可选择退出，通知内容已最小化，避免沦为监控系统。

同期报道显示，科研团队基于CRISPR-dCas9碱基编辑技术，开发出带 “关停按钮” 的转基因微生物安全方案，通过不可逆编辑关键基因起始密码子，让微生物脱离实验室环境后无法存活，降低基因逃逸风险，减少传统 CRISPR 双链断裂带来的突变隐患，适用于工业生物制造与生物医学领域。

原文链接：

https://www.securitylab.ru/news/572527.php

2026年4月21日，全球网络安全领域惊现重磅消息：据英国科技媒体《The Register》独家披露，伊朗官方媒体公开指控，美国在近期冲突中，借助预埋于网络设备中的后门程序及设备级僵尸网络，直接瘫痪伊朗境内大量核心网络通信设备——即便伊朗已切断全国与全球互联网的连接长达52天，仍未能阻挡这场精准的网络打击。

该事件彻底打破了“物理断网=绝对安全”的传统网络防御认知，将全球网络设备供应链的底层安全隐患赤裸裸地呈现在世人面前。一场围绕网络安全、供应链自主与国家主权的舆论及技术博弈，正式席卷全球。

冲突背景下，伊朗为抵御外部网络攻击、防范关键信息泄露，早已启动全国级互联网封锁。据全球网络中断监测机构NetBlocks的实时数据显示，截至2026年4月21日，伊朗的互联网封锁已持续52天，国内绝大多数民用网络与全球互联网完全隔离，仅保留极小范围的内部通信网络，堪称一座“数字孤岛”。

按照传统网络防御逻辑，切断外网连接后，外部网络攻击根本无法触达境内设备，伊朗的网络基础设施理应处于安全状态。但现实却给了全球安全行业一记重击——伊朗境内大量网络设备出现无预警重启、强制断连、系统崩溃等异常现象，直接导致政府、金融、通信等关键领域的网络服务大面积中断，社会运转受到严重影响。

伊朗媒体经调查后直指，此次设备瘫痪并非偶然故障，而是美国发起的定向网络攻击，且攻击目标高度集中在几大国际网络设备厂商的产品上，如：

思科（Cisco）：全球网络设备龙头企业，其路由器、交换机产品的市场占有率常年位居全球首位；瞻博网络（Juniper）：美国核心网络设备厂商，专注于高端运营商及政企市场，产品广泛应用于关键基础设施；MikroTik：拉脱维亚网络设备厂商，宣称产品研发全流程在欧盟境内完成，主打中小企业及民用网络市场……

令人不寒而栗的是，这些设备在伊朗断网后仍能被远程操控，这意味着攻击根本不依赖互联网通道，而是源于设备出厂或运行阶段就已预埋的“定时炸弹”。伊朗方面直言：“只有设备本身存在无法被外界察觉的后门，才能在完全断网的情况下，被远程触发瘫痪。”

截至目前，美国官方未对伊朗的指控作出正面回应，但这一事件绝非空穴来风——美国早已具备针对他国关键基础设施发起网络攻击的成熟能力，且有明确的历史前科可循。

伊朗媒体结合技术分析，提出了两种最具可行性的攻击路径，均直指美国对全球网络设备的深度渗透。这两种方式也成为此次事件的核心争议点，彻底颠覆了大众对网络攻击的传统认知。

（一）指控一：固件/引导程序底层后门，卫星信号即可触发

伊朗技术团队推测，此次攻击的核心手段，是美国在上述四大厂商设备的固件（Firmware）或引导程序（Bootloader）中预埋了隐藏后门。

固件是网络设备的“底层灵魂”，相当于设备的“BIOS系统”，直接控制硬件的启动、运行、通信等核心功能，权限远高于普通操作系统；而引导程序则是设备开机后首个运行的程序，负责初始化硬件、加载系统，是设备安全的“第一道关卡”。

伊朗方面指出，这种后门具备三大致命特征：

1) 极致隐蔽性：后门代码被深度植入固件底层，无明显特征码，常规安全检测、病毒查杀手段根本无法发现，即便恢复出厂设置也无法将其清除；

2) 断网可触发：无需依赖互联网连接，可通过卫星信号远程激活，或预设触发时间，在指定时刻自动执行瘫痪指令；

3) 权限绝对化：后门拥有设备最高管理权限，可直接指令设备重启、断连、格式化存储，使设备瞬间沦为“废铁”。

这一推测并非危言耸听。网络安全行业早已证实，固件层面的后门是最难防御的攻击手段——95%的物联网与网络设备攻击，均始于固件层。究其原因，在于厂商往往忽视固件安全，未对固件进行数字签名、完整性校验等防护措施，给攻击者留下了可乘之机。一旦固件被植入后门，设备便会彻底沦为攻击者的“傀儡”，无论是否联网，都难逃被操控的命运。

（二）指控二：设备级僵尸网络，跨境厂商产品集体沦陷

除固件后门外，伊朗还提出了第二种攻击可能：美国早已在全球范围内，利用上述四大厂商的设备组建了专属僵尸网络（Botnet）。

与传统僵尸网络依赖互联网感染不同，这种设备级僵尸网络的恶意程序，在设备生产、运输、部署阶段便已被植入，无需用户主动下载病毒，也无需联网即可完成感染。只要设备通电运行，恶意程序便会潜伏于系统中，静待攻击指令的下达。

更值得警惕的是，此次被波及的MikroTik并非美国厂商，而是一家拉脱维亚企业，且明确宣称其产品研发全流程在欧盟境内完成。这一现象意味着，即便是欧盟境内的网络设备厂商，也无法摆脱美国的技术渗透，全球网络设备供应链早已被美国的网络战力量深度渗透，所谓“第三方厂商安全”，不过是自欺欺人的假象。

伊朗方面表示，无论是固件后门还是设备级僵尸网络，其核心逻辑始终一致：美国可随意操控全球范围内使用美系及关联厂商设备的国家网络，即便对方采取断网措施，也无济于事。

伊朗的指控之所以能获得全球广泛关注与部分认同，核心原因在于美国早已公开承认具备针对他国的网络攻击能力，且在2025年便已对伊朗发起过代号为“午夜铁锤”（Operation Midnight Hammer）的联合军事与网络行动。

2025年6月21日，美国发动“午夜铁锤”行动，针对伊朗福尔多、纳坦兹、伊斯法罕三处核设施发起精准打击。美军参谋长联席会议主席丹·凯恩公开证实，美国网络司令部（US Cyber Command）全程参与此次行动，只是未透露具体的网络攻击手段。美国总统特朗普后续也证实，该行动彻底摧毁了伊朗的核设施相关设施，并称从被炸设施中提取浓缩铀是“漫长且艰难”的过程。

从公开信息来看，此次行动动用了125架军机、7架B-2隐形轰炸机、24枚战斧巡航导弹，创下美军史上最大规模的B-2轰炸机出战纪录（人民网报道）。但军事与网络安全专家普遍认为，空袭只是“明面手段”，网络攻击才是“隐形杀招”——美国网络司令部大概率提前瘫痪了伊朗的防空雷达、通信系统、核设施控制系统，才使得空袭行动顺利完成，未遭遇任何有效火力拦截。

此外，美国在介入委内瑞拉事务后，总统特朗普与丹·凯恩均公开提及，网络行动已成为美国海外军事行动的核心组成部分，主要用于破坏敌方指挥系统、通信网络及关键基础设施。这意味着，针对他国发起网络攻击，早已成为美国的“常规操作”，而非临时起意的行动。

斯诺登早在2013年曝光的“棱镜门”事件，更是直接实锤了美国在网络设备中预埋后门的恶行。斯诺登披露的机密文件显示，美国国家安全局（NSA）长期在思科、瞻博等美国厂商的设备中植入后门，甚至会在设备运输途中拦截产品，植入恶意程序后重新封装交付给客户。NSA下属的“特定入侵行动办公室（TAO）”，更是专门负责利用这些后门，对全球各国发起网络监听与攻击。

从“棱镜门”到“午夜铁锤”行动，再到此次伊朗核心网络设备瘫痪事件，一条清晰的证据链已然形成：美国已将全球网络设备供应链打造成自身的网络战武器库，凭借技术霸权，随意操控他国网络安全局势。

很多人都会产生疑惑：伊朗已切断全国互联网，为何仍无法阻挡这场网络攻击？答案藏在固件后门的核心技术特性中，这也是此次事件给全球网络安全行业上的最深刻一课。

（一）断网防御的本质误区：边界防御≠底层安全

传统网络防御的核心逻辑是“边界防护”——通过防火墙、入侵检测系统、断网等手段，阻挡外部网络流量进入内网。但这种防御方式仅针对基于互联网的攻击，对底层固件后门完全无效。

固件后门被植入于设备硬件与底层软件之中，不依赖网络通信，无需连接外网即可接收触发指令。它可通过卫星信号、预设时间、硬件触发等多种方式被激活，相当于设备自带的“自毁程序”。伊朗的断网操作，仅能切断互联网通道，却无法消除设备出厂时就已埋下的安全隐患，这正是“物理隔离失效”的核心原因。

（二）固件安全的全球盲区：90%厂商未做底层防护

网络安全行业相关数据显示，全球超过90%的网络设备厂商，均忽视了固件安全防护。为降低研发成本、简化生产流程，厂商普遍存在三大安全漏洞：

1) 固件未进行数字签名，攻击者可随意篡改代码；

2) 保留调试接口，且未在量产版本中禁用，给攻击者留下可乘之机；

3) 固件更新过程缺乏完整性校验，易被攻击者劫持并植入恶意程序。

这些漏洞使得美国等具备顶级网络战能力的国家，能够轻易在设备中植入后门。而普通用户、政企机构往往缺乏检测固件底层恶意代码的技术能力，只能被动接受“设备被操控”的命运。

（三）供应链攻击的不可逆性：一次植入，终身受控

固件后门属于典型的供应链攻击，其攻击行为发生在设备生产、运输、部署的上游环节，而非用户使用阶段。一旦后门被植入，便会伴随设备的整个生命周期——即便对设备进行重启、刷机、恢复出厂设置等操作，也无法清除底层的恶意代码。

这意味着，只要一个国家的关键基础设施依赖境外厂商的网络设备，就相当于将网络安全的“命门”拱手交给了设备生产国。美国正是利用这一特点，将全球网络设备变成了自己的“网络战棋子”，随时可对目标国家发起隐蔽攻击。

此次事件中，拉脱维亚厂商MikroTik被卷入其中，成为最具颠覆性的信号——即便是非美国、欧盟研发的网络设备，也无法摆脱美国的技术渗透，全球化供应链的安全缺陷被彻底撕开。

MikroTik长期主打“欧盟研发、安全可靠”的品牌定位，宣称产品研发、生产全流程在欧盟境内完成，不受美国管控。但伊朗的遭遇充分证明，美国的网络战力量早已渗透至全球供应链的各个环节，无论厂商来自哪个国家，只要其产品使用美国的核心技术、芯片或软件，就有可能被植入后门。

这一现象给全球各国敲响了警钟：

1) 过度依赖全球化供应链，等同于将关键基础设施的安全主动权拱手让人；

2) 所谓“第三方厂商中立”，在国家网络战的绝对力量面前毫无意义；

3) 网络设备的安全与否，不能仅看品牌归属，更要看其核心技术是否实现自主可控。

对于中小国家而言，这一信号尤为致命——它们既缺乏自主研发网络设备的技术能力，也没有检测境外设备后门的手段，只能在大国网络战中沦为“牺牲品”。

在核心网络设备被攻击的同时，伊朗推行的“封闭网络”政策也暴露出巨大的漏洞与不公。NetBlocks监测数据显示，伊朗并非完全断网，而是构建了一套双层网络体系，普通民众与特权阶层享受着截然不同的网络权限，这一体系本质上是伊朗当局推进“军营互联网”建设的重要组成部分。

（一）Internet Pro：少数人的“全球网络特权”

伊朗政府推出名为“Internet Pro”的专属服务，仅面向少数企业与机构开放，允许其接入全球互联网的部分服务。该服务门槛极高、收费昂贵，需提供营业执照及严格的身份验证，初始用户仅500人，本质上是政府严格管控下的“定向网络通道”。

（二）White SIMs：特权阶层的“无限制网络”

伊朗活动人士曝光，政府向部分官员、亲信发放“白卡（White SIMs）”，持卡人可不受任何网络过滤限制，无阻碍访问全球互联网。当普通民众被完全切断外网连接时，伊朗官员却能自由使用推特、Telegram等境外平台，形成了赤裸裸的网络特权阶层。事实上，“白卡”体系早在2013年便已悄然推行，主要为政权内部人士提供特权网络服务。

这种“双层网络”体系，看似是战时网络管控措施，实则暴露了伊朗的网络安全困局：极端断网无法真正保障网络安全，反而会放大核心设备的安全隐患；封闭网络无法实现社会公平，反而滋生特权阶层。

更具讽刺意味的是，即便伊朗构建了如此严格的封闭网络体系，依然无法阻挡美国利用设备后门发起的攻击。这一事实深刻证明，封闭并非网络安全的解药，核心技术自主可控才是守护网络安全的根本之道。此外，伊朗的断网政策已造成巨大经济损失，据NetBlocks估算，断网每天给伊朗带来的损失高达3700多万美元，大量依赖数字平台谋生的民众受到严重影响。

伊朗网络设备瘫痪事件如同一面镜子，照出了全球网络安全的残酷现实，也给所有国家、政企机构提出了不可回避的安全命题：如何有效抵御基于供应链的底层后门攻击？

结合此次事件，我们总结出以下要点：

（一）核心网络设备：实现100%自主可控

彻底放弃对境外厂商的依赖，自主研发路由器、交换机、防火墙等核心网络设备，从芯片、固件到操作系统，实现全流程自主研发，从根源上杜绝后门植入的可能。这是保障关键基础设施网络安全的唯一底线。

（二）固件安全：建立强制审计与检测机制

针对所有投入使用的网络设备，开展固件底层安全审计，全面检测是否存在隐藏后门、恶意代码；强制要求设备厂商对固件进行数字签名，禁止未签名固件进行更新；禁用设备量产版本中的调试接口，彻底消除底层安全漏洞。

（三）网络防御：从边界防护转向底层防护

彻底摒弃“断网=安全”的错误认知，构建“硬件-固件-系统-应用”全层级防御体系，重点加强底层硬件与固件的安全防护，提升对供应链攻击的检测、预警与响应能力。

（四）国际规则：反对网络霸权，构建公平秩序

全球各国应携手合作，坚决反对美国利用技术霸权发动网络攻击、预埋后门的行为，共同推动制定公平合理的全球网络空间治理规则，禁止将网络设备武器化，切实保障各国网络主权与网络安全。

2026年伊朗网络设备瘫痪事件，注定会成为全球网络安全史上的标志性事件。它彻底打破了“物理断网=绝对安全”的神话，实锤了美国利用全球供应链预埋后门、发动网络战的恶行，也让全球各国清晰认识到：网络安全的本质是供应链安全，而供应链安全的核心是技术自主可控。

在网络空间这个没有硝烟的战场上，没有任何国家能够独善其身。美国凭借自身技术霸权，将全球网络设备变成自己的攻击武器，随意破坏他国关键基础设施、扰乱全球网络秩序，这种霸权行径必然遭到全球各国的共同抵制。

对于我国而言，此次事件的启示尤为清晰：核心技术买不来，网络安全等不来。只有坚持科技自立自强，全力实现关键核心技术自主可控，才能在复杂的国际网络博弈中守住安全底线，不被他国扼住网络安全的“咽喉”。

未来，网络战的激烈程度只会不断升级，固件后门、供应链攻击等隐形威胁，将成为各国网络安全防御的重点领域。唯有筑牢自主可控的“网络安全长城”，才能真正抵御一切外部网络风险，切实守护国家与人民的网络安全。

相关阅读

随着大模型与智能编码工具在研发流程中的深度渗透，软件开发正迈入“AI协同开发”的新阶段，传统的指令、语法驱动的代码开发范式，开始向低代码、自然语言驱动转型——用聊天的方式写代码。AI编程助手、AI编程智能体以及AI原生集成IDE等各种低代码AI开发工具（如Cursor、OpenAI Codex、Claude Code、Gemini CLI、AutoML平台等）逐渐成为软件生命周期的核心载体，其能力已经从代码补全，对话式代码生成，发展为自主写代码并调整修复的 Coding Agent。

但在代码开发效率显著提升的同时，模型的原生漏洞、幻觉依赖、供应链投毒、影子AI治理等新风险也在集中爆发。2026年以来，Cline CLI供应链攻击、Claude Code51.2万行代码意外曝光等事件接连爆发，恶意npm包窃取密钥、Prompt注入攻击等隐患持续蔓延，AI开发环境已沦为网络安全的高危攻击面。AI环境下软件供应链边界正在被重新定义，传统的SDLC安全体系难以适配AI生成代码的“高速、批量、黑盒化”特征。代码可信性如何保障？开源依赖风险如何管控？AI生成代码是否可审计、可追溯？

为帮助开发者厘清AI开发的风险体系，沉淀可落地的治理方案，安全牛正式发起《AI开发环境下的代码安全与供应链管理》报告研究。本报告将立足合规要求与行业实践，聚焦AI开发场景，系统拆解代码安全与供应链管理的痛点、难点与解决方案，为行业提供权威参考，为企业AI开发安全保驾护航。

即日起，安全牛《AI开发环境下的代码安全与供应链管理》报告调研正式启动。我们诚邀以下相关机构与团队参与本次调研与共建：

• 网络安全厂商（代码安全、供应链安全、应用安全等）

• AI开发平台与工具链厂商

• 企业安全团队/ DevSecOps团队

• 开源社区与研究机构

【调研咨询】

勒索软件正从广撒网、低成功率、低赎金的粗放式野蛮生长，全面演进为少而精、高成功率、超高额赎金的大型猎物狩猎（Big Game Hunting，简称BGH）模式。攻击总量的下降绝非风险缓解的信号，反而意味着更隐蔽、更致命、更难防御的定向攻击已成为主流，传统防御体系已陷入全面失效的困境。

SonicWall 发布的 2025 年英国网络威胁报告，披露了一组颠覆行业认知的关键数据：

• 英国勒索软件攻击总量同比下降 87%

• 被成功攻破的组织数量逆势上升 20%

• 单次攻击成功率提升约 8.3 倍

这组数据彻底打破了“攻击数量减少即安全态势好转”的惯性认知，标志着全球勒索软件产业已完成战略级转型——从“喷射后祈祷”（Spray-and-Pray）的粗放攻击模式，升级为人类操作者主导、长期潜伏、精准猎杀的 BGH 模式。

1.1 旧范式：喷射后祈祷 —— 低成本、低收益、广撒网

过去占据主流的勒索攻击，属于典型的流量驱动型黑产模式，其核心特征的如下：

• 无差别群发钓鱼邮件、批量扫描系统漏洞

• 技术门槛偏低，大量依赖自动化脚本完成攻击

• 目标选择具有随机性，以攻击数量换取成功概率

• 赎金金额较低，通常仅为数百至数千美元

• 攻击者多为低技能水平的黑产附属成员

该模式的核心优势在于攻击成本极低，但随着企业邮件网关、终端检测与响应（EDR）等防护手段的普及，其攻击成功率已跌破 1%，逐渐被黑产团伙淘汰。

1.2 新范式：大型猎物狩猎 —— 少而精、高成功率、暴利收割

BGH 模式是一种精英化、定制化、持久战式的高级攻击形态，其核心特征表现为：

• 攻击目标少量、精准，聚焦高价值主体

• 采用定制化恶意软件、无文件攻击、权限提升等高级技术手段

• 前期侦察周期长达数周至数月，实现深度潜伏渗透

• 赎金金额极高，普遍达到数百万至数千万美元

• 由专业黑客团队全程人工操作，作战流程精细化

黑产团伙以 87% 的攻击总量缩减，换取了 20% 的有效破防增量，实现了攻击投入产出比的最大化，完成了从“量的扩张”到“质的提升”的转型。

BGH 模式并非简单的“筛选大客户”，而是一套标准化、流程化、军事化的完整作战体系，每个环节均针对性规避传统防御体系的短板，形成闭环式攻击链路。

2.1 目标侦察与筛选：精准锁定“高价值目标”与“防御薄弱对象”

攻击者如同猎人般系统评估目标价值，核心筛选维度涵盖四大方面：

1) 支付能力：优先选择营收规模大、现金流稳定，具备高额赎金支付能力的企业；

2) 停机代价：聚焦医疗、制造、能源、金融等领域，此类行业一旦停摆将产生巨额经济损失；

3) 防御薄弱点：重点关注安全投入不足的中小企业、供应链下游厂商等防御体系不完善的主体；

4) 数据价值：优先锁定掌握大量用户隐私、核心知识产权等敏感信息的机构。

攻击者会通过公开信息搜集、暗网情报挖掘、社会工程学等多种手段开展长期摸底，确保攻击行动一击必中、效益最大化。

2.2 初始渗透：绕过边界防线，悄无声息突破入口

传统群发钓鱼已退居次要地位，更隐蔽、更具针对性的渗透方式成为主流：

• 利用未及时修复的历史高危漏洞（即“僵尸技术”）实现无接触渗透；

• 针对企业高管、IT 管理员等高权限账号实施精准社会工程攻击；

• 通过供应链入侵，以第三方服务商为跳板，间接进入目标企业内部网络；

• 采用驱动下载、社会工程诱导等方式，促使受害者主动执行恶意代码。

以 Interlock 勒索组织为例，其常用 FileFix 社会工程套路，诱导受害者亲手运行恶意程序，完美规避传统终端防护与边界检测机制，实现隐蔽渗透。

2.3 潜伏与横向移动：最长 181 天的“内网潜伏战”

这是 BGH 模式与传统攻击最核心的区别，也是其最具威慑力的环节：

• 攻击者平均潜伏时长高达 181 天，直至完成全部攻击准备后才会暴露行踪；

• 有 80% 的 IT 管理者认为自身能够在 8 小时内检测到网络入侵，而实际数据与认知形成巨大反差。

在漫长的潜伏周期内，攻击者会有条不紊地推进以下操作：

1) 权限提升：通过多种技术手段获取域管理员权限，掌握整个内网控制权；

2) 横向扩散：逐步渗透至企业服务器、备份系统等核心节点，扩大攻击范围；

3) 数据窃取：批量提取企业核心敏感数据，为后续双重勒索储备筹码；

4) 架构摸排：摸清企业业务架构与运行规律，选择业务高峰期等最佳加密时机。

当企业察觉网络异常时，攻击者往往已在核心业务区域布下天罗地网，此时再进行防御已为时晚矣。

2.4 双重 / 多重勒索：层层施压，不给企业留退路

单纯的文件加密已成为过去式，当前黑产团伙普遍采用三重压迫式勒索战术：

1) 数据加密：对企业核心业务数据、系统文件进行加密，直接瘫痪业务运营；

2) 数据泄露：将窃取的敏感信息公之于众作为威胁，迫使企业妥协；

3) DDoS 攻击：同步发起分布式拒绝服务攻击，加剧业务中断程度，放大损失。

这种战术将勒索事件升级为“数据泄露 + 业务停摆 + 声誉崩盘”的三重灾难，大幅提升压迫力，迫使企业不得不支付高额赎金。

勒索软件从广撒网转向精准猎杀，并非黑产团伙的偶然选择，而是经济利益、执法高压、技术发展、防御升级四重因素共同驱动的必然结果。

3.1 犯罪经济学：超高投资回报率（ROI）碾压传统模式

通过以下公式可清晰对比两种攻击模式的收益差异：

期望收益 = 攻击成功率 × 单起攻击赎金 - 攻击成本

实际数据更能直观体现 BGH 模式的暴利性：

• 2024 年上半年， 攻击累计为黑产团伙带来 4.598 亿美元收益；

• Dark Angels 勒索团伙从一家未披露身份的《财富》50 强企业，单笔勒索获得 7500 万美元，创下全球单笔勒索赎金最高纪录；

• 全球最高赎金金额较 2023 年同比增长 96%，较 2022 年更是增长 335%。

以更少的攻击次数获取更高的收益，黑产团伙自然会主动选择 BGH 这一最优路径。

3.2 执法高压：规模化勒索即服务（RaaS）平台被围剿，倒逼攻击模式精细化

近年来，全球各国针对网络黑产的执法力度空前加大，直接推动勒索攻击模式转型：

• LockBit、BlackCat 等大型勒索即服务（RaaS）平台接连被全球执法机构联合瓦解，规模化攻击能力大幅削弱；

• 加密货币追踪技术持续升级，黑产团伙赎金提现难度增加，资金链面临断裂风险；

• 广撒网式攻击留下的痕迹较多，极易被执法机构溯源追踪，导致团伙成员被抓捕。

在此背景下，黑产团伙放弃“大规模工业化”攻击模式，转向小团队、隐蔽化、精准化的 BGH 模式，以此降低被执法打击的风险。

3.3 AI 赋能：降低精准攻击门槛，提升攻击隐蔽性

人工智能技术的普及，已成为黑产团伙提升攻击能力的“核心生产力工具”：

• 利用 AI 技术自动挖掘 0day 漏洞与历史高危漏洞，降低漏洞挖掘的技术门槛；

• 通过 AI 生成高度逼真的钓鱼邮件与社会工程话术，提升社工攻击的成功率；

• 利用 AI 定制免杀恶意软件，有效规避传统防护设备的特征库检测；

• 2025 年，AI 驱动的勒索攻击同比增长 89%，技术赋能效应显著。

AI 技术的降本增效，让原本只有大型黑产团伙才能开展的精准攻击，如今中小黑产团伙也能实现，进一步推动了 BGH 模式的普及。

3.4 防御内卷：传统防护体系失效，倒逼攻击模式升级

随着企业边界防火墙、杀毒软件、邮件网关等传统防护手段的全面普及，广撒网式攻击的成功率持续下滑，已难以满足黑产团伙的收益需求。

为突破企业防御体系，黑产团伙不得不提升攻击技术含量，采用长期潜伏、定制免杀、供应链突破等高级手段，穿透传统防御防线，BGH 模式应运而生。

行业数据揭示了一个反常识的真相，值得所有企业警惕：

• 大型企业遭遇勒索软件攻击的发生率仅为 39%；

• 中小企业遭遇勒索软件攻击的发生率高达 88%。

这一现象并非矛盾，而是黑产团伙精心设计的双层狩猎战略：

1) 直接收割：中小企业防御体系薄弱、应急响应能力不足，黑产团伙可快速突破并获取小额赎金，实现“快进快出”；

2) 跳板猎杀：通过攻破防御薄弱的中小企业，以其为跳板渗透至大型企业的供应链体系，最终实现对大型高价值目标的攻击。

可见，中小企业既是黑产团伙的直接狩猎目标，也是其攻击大型企业的“跳板”。即便身为中小企业，也绝不能忽视勒索攻击风险，否则不仅自身会遭受损失，还可能成为大型企业被攻击的突破口。

地域分布上同样呈现明显的集中效应：英国 96.7% 的勒索软件攻击均集中在英格兰地区，重点指向伦敦金融中心与各类企业总部集群，这与 BGH 模式“聚焦高价值区域”的核心逻辑高度契合。

当前企业普遍采用的防御体系，均是针对“广撒网”式攻击设计的，在 BGH 模式面前已彻底失灵，传统防御假设与现实情况存在巨大偏差：

传统“单纯堵漏洞、杀病毒、拦邮件”的被动式防御思路，已无法应对人工操作、长期潜伏、精准突破的 BGH 攻击，企业防御体系亟需全面重构。

应对 BGH 精准猎杀，企业必须摒弃被动防御思维，转向主动韧性建设，构建“技术 + 管理 + 人员 + 韧性”的四层实战防御体系，实现从“防入侵”到“能应对、可恢复”的转变。

第一层：技术防御 —— 用 AI 对抗 AI，精准捕捉隐蔽攻击信号

1) 部署 AI 驱动的威胁检测系统：利用机器学习技术分析内网异常行为，精准识别攻击者横向移动、异常提权、批量文件访问等潜伏特征，弥补传统防护设备的检测盲区；

2) 实现全网段网络分段隔离：将办公网、生产网、备份网进行物理或逻辑切割，限制攻击者横向扩散路径，避免“一点突破、全网瘫痪”的局面；

3) 落地零信任架构：秉持“默认不信任任何访问”的原则，强制实施身份验证、最小权限分配、持续访问校验，打破内网“默认可信”的传统逻辑，让内网不再“通透”；

4) 构建终极备份防线（遵循 3-2-1-1 原则）：留存 3 份核心数据副本，采用 2 种不同存储介质，其中 1 份实现离线 / 空气隔离存储，额外留存 1 份不可篡改备份；同时定期开展备份恢复演练，确保数据被加密后能快速回滚，恢复业务运营。

第二层：管理升级 —— 将安全提升至董事会级战略高度

1) 将勒索防护纳入董事会议程：把业务韧性建设、赎金应对预案、数据泄露危机处置等内容，纳入高管决策范围，明确责任分工，避免突发危机时陷入被动慌乱；

2) 强化供应链安全管控：严格审核第三方服务商的安全能力，签订明确的安全责任条款，定期开展安全审计，堵住供应链渗透的入口；

3) 推进漏洞闭环管理：对企业暴露面资产的高危漏洞，严格执行 72 小时内修复要求，禁用不必要的端口与服务，全面清理弱口令，从源头减少攻击入口；

4) 实现应急响应常态化：制定完善的勒索攻击应急响应预案，明确断网、隔离、溯源、恢复等操作流程，每季度开展实战化演练，提升应急处置能力。

第三层：人员防御 —— 对抗社会工程攻击，筑牢最后一道防线

BGH 模式高度依赖社会工程攻击，员工既是攻击的首要目标，也是企业防御的最后一道防线，必须强化人员安全管理：

1) 开展实战化钓鱼演练：模拟假冒高管、客服、合作伙伴等场景的钓鱼邮件、语音诈骗，常态化开展员工培训，提升员工对可疑信息的识别能力；

2) 严格保护高权限账号：对管理员、财务、高管等核心岗位账号，强制启用多因素认证（MFA），禁止账号共享、使用弱口令，定期更换密码；

3) 推动安全意识日常化：结合真实勒索攻击案例开展培训，让员工对可疑链接、陌生附件、异常指令形成条件反射，主动规避安全风险。

第四层：韧性建设 —— 假设必被攻破，做好存活与恢复准备

在 BGH 时代，没有绝对安全的企业，真正的安全是“被攻破后仍能存活、快速恢复”，核心在于提升业务韧性：

1) 构建核心业务冗余与快速切换机制：为关键业务系统配备备用方案，确保业务中断后能快速切换至备用系统，最大限度降低损失；

2) 制定数据泄露应对预案：提前梳理数据泄露后的法律合规、公关处置、用户通知等流程，降低数据泄露带来的合规风险与声誉损失；

3) 培育不支付赎金的底气：通过完善的备份与恢复能力，拒绝向黑产团伙妥协，避免被反复勒索，同时切断黑产团伙的收益来源。

2026 年，勒索软件战场已完成从“量”到“质”的根本性转变，呈现出四大清晰趋势：

• 攻击模式：从广撒网式粗放攻击，全面转向精准猎杀式定向攻击；

• 团伙形态：从规模化 RaaS 平台，演进为小而精的专业黑客团队；

• 收益逻辑：从“薄利多销”的小额赎金，转向“单笔暴利”的高额赎金；

• 防御重点：从单纯的边界阻断，转向内网检测与业务韧性建设。

对企业而言，勒索软件攻击量的下降绝非利好信号，反而意味着更危险、更隐蔽的精准攻击已成为主流。未来的网络安全竞争，核心不再是“能否拦住攻击”，而是“能否及时发现攻击、能否有效抵御攻击、能否快速恢复业务”。

最后提醒：在大型狩猎时代，企业需摒弃对防火墙、杀毒软件的过度依赖，将安全重心从“防入侵”全面转向“快速发现、有效隔离、无损恢复”，这才是应对勒索软件精准猎杀、实现长期生存的唯一路径。

相关阅读

2026 年 5 月 6 日，国家信息安全漏洞库（CNVD）发布 2026 年 4 月 27 日至 5 月 3 日高关注产品安全漏洞周报，覆盖境外与境内厂商设备，含代码执行、跨站脚本、权限提升、SQL 注入、拒绝服务、命令注入、内存错误等类型，均为远程可利用高危风险。

境外厂商方面，Google Chrome（CNVD-2026-18791）存在代码执行漏洞，攻击者可远程执行任意代码；Adobe Connect（CNVD-2026-18678）存在跨站脚本漏洞，可窃取 cookie 凭据；Google Android（CNVD-2026-18786）存在权限提升漏洞，可非法获取文件访问权限；WordPress 插件 WCFM Marketplace 存在 SQL 注入漏洞，可窃取数据库数据；多款 Apple 产品（CNVD-2026-19045）存在拒绝服务漏洞，可致系统瘫痪。

境内厂商方面，Huawei HarmonyOS 窗口模块（CNVD-2026-18801）存在双重释放漏洞，屏幕管理模块（CNVD-2026-18797）存在内存错误引用漏洞，均影响系统可用性；TOTOLINK A3300R 路由器 ttlWay 参数（CNVD-2026-18822）与 interval 参数（CNVD-2026-18813）均存在命令注入漏洞，攻击者可发送恶意数据执行任意命令；Delta Electronics AS320T（CNVD-2026-19013）存在拒绝服务漏洞，影响工业控制设备稳定。

本次披露漏洞覆盖桌面、移动、Web、路由与工业控制场景，威胁面广。建议相关厂商尽快推送补丁，用户与运维人员及时升级固件与版本，关闭非必要端口，强化输入验证与权限管控，开展漏洞扫描与应急加固。

原文链接：

https://www.cnvd.org.cn/webinfo/show/12351

2026 年 5 月 6 日，中央网信办宣布在全国开展为期 4 个月的 “清朗・整治 AI 应用乱象” 专项行动，分两阶段推进，聚焦 AI 服务合规、安全治理与信息内容秩序，规范行业发展。

第一阶段为 “清朗・AI 应用服务典型违规问题” 治理，重点整治 7 类问题：未履行大模型备案、安全审核能力不足、训练语料不合规、AI 数据投毒、生成合成内容标识不规范、滥用 AI 实施网络攻击与侵权、开源模型安全管理缺失。

第二阶段为 “清朗・整治 AI 信息内容乱象” 行动，重点整治 7 类内容风险：利用 AI 生成 “数字泔水”、制作发布虚假信息、假冒仿冒他人与逝者、传播暴力低俗内容、侵害未成年人权益、借助 AI 托管开展网络水军、违规提供仿冒套壳 AI 应用及色情、“一键脱衣” 等违法服务。

行动要求平台强化安全围栏机制，完善训练数据审核与信源验证，落实生成内容标识与跨平台互认，清理恶意工具与违规教程。各地网信部门将督导平台自查自纠，完善技术防控与长效机制，依法处置违规账号、MCN 机构与网站。

此次治理覆盖大模型全生命周期，强化源头管控与内容治理，对 AI 安全合规、数据安全、生成内容管控提出刚性要求，为网络安全与 AI 从业者明确合规底线与整改方向。

原文链接：

https://mp.weixin.qq.com/s/NIdeDZFjcr2bczuegb5WdA

2026 年 5 月 7 日，安全厂商 BlackFog 发布 2026 年第一季度全球勒索软件报告，数据显示企业隐匿大量攻击事件，未披露攻击数量接近公开披露的 10 倍，真实威胁远高于表面统计。

报告显示，Q1 全球公开披露勒索软件攻击 264 起，同比下降 15%；未披露攻击达 2160 起，同比小幅上升，未披露攻击占比超九成。美国是主要目标，占未披露攻击的 50%、披露攻击的 61%。

攻击团伙方面，Qilin 在披露与未披露攻击中均最活跃，分别占 8%、16%；未披露攻击中，TheGentlemen、Akira 分列二、三位；披露攻击中，ShinyHunters、INC 紧随其后。行业目标差异明显，未披露攻击中制造业占比超 20% 居首，披露攻击中医疗占 27% 最高，政府、IT 行业亦为重点目标。

攻击特征上，96% 的披露攻击涉及数据窃取，攻击者以数据泄露施压牟利。攻击工具趋向轻量化、规模化，VenomStealer 信息窃取工具结合 ClickFix 传播，形成持续窃取通道；新型 LotusC2 框架降低攻击门槛，扩大威胁范围。报告同时指出，未经安全管控的影子 AI 成为新兴高风险攻击面，员工违规使用 AI 工具带来数据泄露隐患。

报告认为，公开攻击下降不代表威胁缓解，高数据泄露率与大量隐匿攻击表明，勒索软件仍持续演化，对全球机构构成严重风险，企业需强化隐匿攻击监测与数据防泄露能力。

原文链接：

https://www.cybersecuritydive.com/news/ransomware-undisclosed-attacks-blackfog/819595/

2026 年 5 月 4 日，安全厂商 Trellix 披露部分源代码仓库遭未授权访问，已联合外部取证专家调查并通报执法部门，目前暂无证据显示代码被利用、发布流程受影响。该事件折射出网络攻击正向开发生态上游转移，代码仓库、认证令牌、集成平台成为核心目标。

同期多起同类事件印证趋势：SaaS 集成商遭入侵致认证令牌失窃，波及十余家企业 Snowflake 环境，关联 ShinyHunters 勒索团伙；Bitwarden CLI npm 包被投毒约 90 分钟，用于窃取开发者凭证；GlassWorm 通过 73 个 OpenVSX 休眠扩展发动攻击，更新后激活窃取加密货币钱包与密钥。

攻击逻辑呈现高度一致性：攻击者绕过边界防护，直接夺取身份凭证与代码权限，单点突破即可引发链式风险。现代数据泄露正从数据库失窃转向信任失效，身份与供应链安全成为防御核心。

事件警示企业，需将构建系统、代码仓库、第三方集成纳入关键防护边界，强化发布流程完整性校验、权限审计与密钥生命周期管理。安全运营应从重边界防护转向全链路可信管控，快速吊销异常凭证、验证构建产物来源，遏制供应链攻击扩散。

原文链接：

https://enginerds.com/insights/Cybersecurity/Data%20breaches/2026/05/07

德国国家域名注册管理机构 DENIC 所运营的 DE 顶级域名，发生大范围域名解析服务中断事故，核心诱因是DNSSEC 加密错误，导致大量.de 域名无法正常解析，影响全球用户访问。

DNSSEC 作为域名系统安全扩展机制，用于保障 DNS 解析数据的完整性与真实性，本次故障源于 DNSSEC 签名校验环节出现加密算法异常，权威服务器返回密码学错误，使递归解析服务器无法验证域名记录合法性，触发解析失败。

故障期间，全球递归解析节点对 DE 域名查询持续返回校验错误，大量依赖.de 域名的网站、邮件、API 服务不可用。技术层面，故障根因是 DNSSEC 签名链中关键证书与加密参数不匹配，服务器拒绝接受无效签名，形成解析阻断。

DENIC 技术团队快速定位异常签名配置，通过重新签发 DNSSEC 密钥、修复签名链参数，逐步恢复权威服务器正常响应。经紧急处置，递归解析节点缓存刷新后，解析成功率回升，服务逐步恢复正常。

此次事件凸显 DNSSEC 部署中密钥管理、签名同步的重要性，加密配置微小偏差即可引发顶级域名级解析中断。建议运营机构强化 DNSSEC 密钥生命周期管控，建立签名校验预验证机制，避免加密配置错误导致大面积服务故障。

原文链接：

https://securityonline.info/denic-de-domain-outage-dnssec-cryptographic-error/

2026 年 5 月 7 日，安全厂商 RedAccess 研究显示，Lovable、Replit、Base44、Netlify 等 AI 低代码开发平台生成的Vibe-coded 应用存在严重安全缺陷，超 5000 个应用无任何认证防护，直接暴露在公网，约 40% 泄露敏感数据。

这些应用由 AI 快速生成并托管在平台域名，仅通过 URL 即可访问，部分仅需任意邮箱登录即可进入。暴露数据涵盖医疗信息、财务数据、企业策略文档、客服聊天日志、货运记录等，部分应用甚至可直接获取管理员权限。研究还发现，Lovable 平台上存在大量利用该工具生成的钓鱼网站，伪装美国银行、Costco 等知名机构。

RedAccess 通过搜索引擎定位平台域名下的应用，确认约 2000 个应用存在真实敏感数据泄露，并已通知数十家受害机构。涉事平台回应称，应用公开 / 私有由用户配置决定，平台已提供安全设置工具，不属于平台漏洞。但研究指出，非技术人员创建应用时缺乏安全意识，未经过企业安全审核即上线，是风险主因。

此次事件类似早年 Amazon S3 存储桶配置错误导致的大规模泄露，暴露出 AI 开发工具在降低门槛的同时，带来身份认证缺失、权限配置不当、安全流程缺位等新风险。专家建议企业建立 AI 生成应用上线审核机制，强制启用认证与访问控制，避免非安全人员私自发布生产应用。

原文链接：

https://www.wired.com/story/thousands-of-vibe-coded-apps-expose-corporate-and-personal-data-on-the-open-web/

2026 年 5 月 7 日，Sophos X-Ops 曝光一起针对 Windows 用户的 AI 钓鱼攻击：攻击者搭建假冒 Claude 网站claude-pro.com，以 Claude-Pro Relay 工具为名，分发全新 Beagle 后门。

该恶意站点属于活跃恶意广告活动，基础设施于 2026 年 3 月搭建。攻击包为约 505MB 的 ZIP 压缩包，内含 MSI 安装程序，释放三个文件至启动文件夹：经重命名的合法 G DATA 杀毒升级程序 NOVupdate.exe、加密数据文件与恶意 avk.dll。程序运行时触发DLL sideloading，加载恶意模块，通过反转 XOR 密钥解密数据，执行 shellcode 并借助 DonutLoader 在内存中加载最终载荷 Beagle 后门。

因使用合法签名程序、avk.dll 劫持与加密数据组合，攻击链高度类似 PlugX，但载荷为全新 Beagle 后门。该后门支持 8 项核心指令，可执行 shell、文件传输、目录枚举与自删除，通过 TCP 443 或 UDP 8080 与 C2 通信，流量采用硬编码 AES 加密。

研究人员在 VirusTotal 发现同源样本，部分变体替换为 AdaptixC2 框架。攻击借助 Cloudflare 分发，C2 部署于阿里云，具备长期运营特征，并非短期一次性活动。同期还发现伪装成 Trellix、CrowdStrike、SentinelOne 更新程序的同源攻击样本。

原文链接：

https://www.infosecurity-magazine.com/news/fake-claude-site-beagle-backdoor/

SecurityWeek5月6日报道，Trend Micro发现一款此前未公开的Linux远控木马Quasar Linux（QLNX），其目标直指软件开发者和DevOps环境。该恶意软件集成RAT、Rootkit、PAM后门、键盘记录和凭据窃取能力，可为攻击者提供长期隐蔽访问入口。

QLNX主要窃取开发链路中的高价值凭据，包括AWS配置、Kubernetes令牌、Docker Hub凭据、Git访问令牌、NPM认证令牌和PyPI API密钥。一旦软件包维护者设备被攻陷，攻击者可能借合法账号发布恶意NPM或PyPI包、篡改构建产物，或横向进入云环境和CI/CD流水线。

技术上，QLNX采用内存执行、进程名伪装、自删除、系统侦察和日志清除等方式规避检测。其Rootkit包含LD_PRELOAD用户态钩子和eBPF控制组件，可隐藏进程、文件和网络端口；PAM后门可在认证过程中截获明文凭据，并支持主密码绕过。Trend Micro称，该恶意软件还具备6种持久化方式和58项命令，覆盖Shell交互、文件操作、屏幕捕获、键盘记录、凭据收集和远程命令执行。

该事件表明，针对开发者终端的入侵正成为软件供应链攻击的重要前置环节。企业应加强Linux开发环境监测，重点排查/etc/ld.so.preload异常、PAM模块变更、隐藏日志文件及异常C&C通信。

原文链接：

https://www.securityweek.com/sophisticated-quasar-linux-rat-targets-software-developers/

2026 年 5 月，CrowdStrike 首席商务官 Daniel Bernard 在合作伙伴会议上表示，AI 对网络安全的颠覆正从漏洞补丁管理开始，并将向更深层次延伸。

随着前沿 AI 模型（如 Anthropic 的 Claude Mythos Preview）大幅加速漏洞发现速度，企业将迎来前所未有的补丁压力。Bernard 预测，未来 6 至 12 个月全球修补的漏洞数量将超过历史总和，传统每月一次的 “补丁周二” 模式将终结。AI 让漏洞从公开披露到被武器化的窗口压缩至近乎实时，2025 年 AI 驱动的攻击同比增长 89%，42% 的零日漏洞在公开前已被利用。

为此，CrowdStrike 推出 Project QuiltWorks，整合前沿 AI 模型、自家 AI 漏洞发现工具 Falcon Spotlight 及系统集成商的修复能力，目标在攻击者之前发现并修复漏洞。已有企业借此发现 4500 万个漏洞。该项目已与 Accenture、Wipro 等大型服务商合作，未来将向全生态开放。

Bernard 强调，补丁管理只是 AI 变革的第一阶段，行业需共同应对更深远的安全挑战。他呼吁企业即刻行动，无需等待顶级 AI 模型，即可开始调整防御策略。

原文链接：

https://www.crn.com/news/security/2026/patching-is-just-phase-one-of-ai-s-disruption-to-cybersecurity-crowdstrike-s-daniel-bernard

2026 年 5 月 7 日，BlueRock 推出MCP Python Hooks开源运行时传感器，面向 Python 环境的 Model Context Protocol（MCP）服务器，提供无代码修改的运行时监控能力，填补 MCP 架构执行层可见性缺口。

该工具在应用启动时封装 Python 进程，通过 Python 原生审计钩子、sys.meta_path 导入钩子与基于 wrapt 的框架钩子，在业务代码执行前完成挂载，无需集成 SDK 或修改代码。它可捕获 6 类 MCP 核心事件，包括服务初始化、工具注册、会话生命周期、客户端连接与协议消息，并以 NDJSON 格式输出至本地事件目录。

同时支持 Python 模块导入监控，记录依赖名称、路径、版本与 SHA-256 哈希，覆盖直接与传递依赖，提升供应链可视性。工具基于 Rust 编写后端，延迟轻量，支持懒加载与功能开关，兼容 Python 3.10 及以上版本，支持 Linux 与 macOS 多架构。

开源版聚焦事件采集与基础可见性，不包含细粒度脱敏与过滤能力，相关策略管控能力属于商业版范畴。输出事件支持对接 Grafana、Loki、Datadog、Splunk 及 SIEM 系统，已在 GitHub 免费开放。

原文链接：

https://www.helpnetsecurity.com/2026/05/07/bluerock-mcp-python-hooks-mcp-server-monitoring/

数字证书，作为网络通信的“信任通行证”，依托公开密钥基础设施（PKI）的加密传输、身份认证等核心机制，默默为各类网络交互筑牢安全防线，是数字时代不可或缺的核心安全组件。但随着AI、量子计算技术的快速迭代，以及网络攻防对抗的日趋激烈，数字证书的应用环境、监管要求正发生深刻变革，潜在的网络安全风险也随之升级。更值得关注的是，2026年3月1日，国际组织CA/B正式推行SSL证书周期缩短计划，全球数字证书正式迈入“短周期、高频率”的全新发展阶段。

对于广大企业而言，这一变革带来了全新的运维挑战。为帮助企业精准应对行业变革，破解数字证书安全管理痛点，安全牛携手国内CA及密码技术应用厂商，联合发起《SSL/TLS证书安全及管理技术应用》报告研究工作。经过系统调研、梳理与撰写，目前该报告的全部工作已顺利完成，今日正式对外发布！

【扫码获取报告抢鲜阅读】

数字证书管理面临着场景扩展、技术升级与合规监管趋严三重挑战。

首先，场景化应用带来的证书管理挑战。随着数字业务的多元化拓展，SSL/TLS证书的应用场景从传统网站加密延伸至云原生、微服务、物联网、AI接口等全业务链路，应用场景的扩展与技术架构的迭代，导致证书类型多样化、数量规模化、环境复杂化，传统证书管理模式难以适配，运维与管理挑战日益凸显。

其次，技术驱动的攻击手段与新安全风险。在AI驱动自动化攻击、供应链渗透和机器身份扩张的背景下，证书面临的风险已从传统的单点配置错误，演化为涉及签发链路、密钥保护、生命周期管理、身份绑定和自动化调用链的复合型风险，并呈现着规模化、智能化、隐蔽化的新型发展特征。典型风险，包括：证书漏洞利用与自动化漏洞挖掘、证书滥用与自动化证书滥用攻击、证书欺骗与深度伪造攻击、私钥泄露与私钥推理攻击、加密强度不足及量子应用引发的风险等。

第三，行业政策与法规合规风险。数字证书作为网络安全的核心基础设施，其应用与管理受到行业政策、法律法规的严格约束。证书风险不仅是技术问题，更涉及监管与合规问题。随着证书生态治理加强，企业必须同步应对政策变化与违规风险。典型风险，如：CA/B合规与安全控制不达标、中国法规政策与合规要求，跨境监管与隐私安全要求、特定行业要求等。

从数字证书全生命周期与PKI信任链角度，报告列出了8 类数字证书相关威胁及对应风险等级，如下表所示。

【表：八大核心风险】

其中，证书私钥泄露、CA签发链路攻击等5类威胁风险等级为高，算法加密不足风险为中，证书生命周期管理缺陷、AI Agent身份边界模糊2类威胁为中高（后者风险呈上升趋势），整体威胁以高风险为主，部分风险仍在升级。

报告从自动化管理、密钥保护、协议加固、身份绑定、监测防护六个维度展开，深入探讨人工智能时代多业务背景下数字证书治理与自动化运营闭环的关键技术。

证书全生命周期自动化管理与密钥安全及泄露防护是证书安全的两个核心能力，分别应对证书管理复杂性与密钥失控风险

证书生命周期自动化管理（CLM）是应对证书爆炸式增长与短生命周期的核心抓手，能有效解决“证书没人管、出了问题没人知道”的结构性风险。

密钥安全及泄露防护，是通过技术与管理手段防止密钥被未授权获取或滥用，并在泄露时具备检测与响应能力的安全控制体系。本质上，它针对的是“证书信任根基被破坏”的核心风险，是SSL/TLS证书安全中的根基性控制点与单点失效核心，其重要性高于证书管理本身。

协议与实现层安全加固：在数智化系统中，漏洞存在且不可避免。由漏洞导致“证书存在但验证被绕过”是一种高频且高危的证书使用风险。对证书工具链及协议的已知漏洞进行安全升级和加固是确保证书安全的一种常见的技术手段。

身份验证与高级认证机制：在混合云与微服务场景中，证书已从“加密工具”演变为“机器身份载体”。尤其为满足零信任与云服务间强身份认证需求，mTLS与国密算法成为网络架构的标配。

智能化威胁检测与响应处置：证书安全治理不应止于检测，还应向自动化响应闭环延伸。联动响应与自动化处置可使证书安全防护从“发现问题”升级为“持续治理”。

抗量子与前瞻性防护技术：量子计算的发展对当前广泛使用的公钥密码体系构成潜在颠覆性影响。在AI与数智化系统特别是关键基础设施系统中，大量敏感数据与模型资产具有长期安全需求，必须提前布局抗量子证书能力。

为系统性评估企业在数字证书治理方面的能力水平，并指导其逐步演进与优化，报告构建了企业证书管理能力成熟度模型（Certificate Management Maturity Model, CMMM）。如下图所示，该模型从治理深度与自动化水平两个核心维度出发，将企业证书管理能力划分为初始级、可管理级、标准化级、自动化级、智能治理级五个阶段。

根据调研，目前国内多数企业还处于L3->L4演进的过程中。为系统性评估企业证书管理能力成熟度，安全牛建议企业从资产可见性、生命周期自动化率、异常检测覆盖率、合规性与密钥可控性、审计与溯源能力五个关键维度开展量化分析。企业可基于各项指标建立量化评分模型，对当前能力水平进行分级评估，并据此制定分阶段优化路径，持续提升证书治理的自动化、规范化与智能化水平。

由于云原生架构与机器身份规模的爆发式扩展，当前全球SSL/TLS数字证书市场规模（包括证书签发、PKI、证书自动化与安全运维系统）正在爆发式增长。行业研究数据显示，2025年全球市场规模已突破110亿美元，预计2025—2030年复合增长率维持在10.5%—12%区间，2030年市场规模将达到200亿美元。增长驱动力主要来自以下三个维度：

• 一是云原生架构普及，容器、服务网格等场景推动证书自动化管理需求增长，带动企业级证书编排平台等高端产品渗透率提升。

• 二是AI、大数据、物联网等新兴技术驱动。机器身份认证需求爆发，证书应用场景从传统Web服务延伸至AI模型、边缘终端、工业互联网等领域。

• 三是全球主要经济体强化数据安全监管。欧盟GDPR、美国《网络安全战略》、中国等保2.0等法规强制要求关键业务采用加密通信，倒逼企业升级SSL/TLS证书体系。

以欧美为代表的国际SSL/TLS证书厂商凭借数十年技术积累、全球化服务网络与完善的生态适配能力，主导全球高端市场，尤其在金融、跨国企业、高端制造等领域拥有深厚客户基础。国际比较有影响力CA厂商，主要有Sectigo（英）、DigiCert（美）、GlobalSign（比利时）等。其中，Sectigo与DigiCert是全球签发量最大的两家商业CA。这些厂商在传统CA业务基础上持续聚焦AI适配、抗量子技术、云原生集成等方向，强化产品竞争力。

国内提供SSL/TLS证书安全与管理能力的厂商主要包括CA认证机构、密码技术/PKI/PMI厂商及云服务商等。不同类型厂商在产业链中既存在竞争关系，也通过能力互补形成协同合作：CA厂商提供信任根与证书签发能力，PKI厂商提供证书与密钥管理等基础能力支撑，云服务商则提供平台化的托管与自动化服务，共同构建起数字证书安全与管理生态体系。本次调研，实地访谈天威诚信、亚数信息、上海锐成、格尔软件、吉大正元等国内代表性厂商。

其中，北京天威诚信围绕SSL证书全生命周期可为用户提供“一站式、自动化、可定制”证书智能管理系统（CIM）方案和服务，覆盖智能策略集中管理、全生命周期自动化管理、自动签发与部署、全方面监控与合规审计等核心功能，交付方式也非常灵活，可提供个人版本、企业SaaS版、私有化部署等多种模式，适配不同规模、不同行业的企业需求。方案框架如下图所示。

核心能力包括：

• 自动化安全更新。系统可以对接多种CA系统，实现SSL证书更新流程的全自动化，从根本上缓解企业的管理压力。

• 全维度风险预警。针对证书过期、不合规部署等高频风险，系统会进行7x24小时实时监控，建立完整的证书资产地图，让未知风险变得可见、可管。

• 多种密钥存储方案。密钥泄露是企业证书管理的重大隐患，尤其是高敏感数据用户，对密钥安全的要求更高。

• 支持定制化与模块化集成。不同于其他友商只提供标准化产品，天威诚信的优势还在于灵活的定制化能力。

随着数字化基础设施的持续演进，SSL/TLS数字证书已从传统通信加密工具，逐步演变为支撑“机器身份”与“信任基础设施”的核心组件。未来，证书管理技术将围绕自动化、智能化与抗风险能力持续升级。结合技术发展趋势，可从短期、中期与长期三个阶段进行展望。

• 短期内，企业与研究机构的重点将集中在基础治理能力补齐与工程化落地，以应对证书规模增长与风险暴露问题。主要技术趋势，包括：公开TLS证书短周期化成为常态，自动化续期与部署全面普及，证书资产可见性建设加速推进。

• 中期阶段，证书管理将从“工具能力”升级为“平台能力”，并深度融入企业安全体系。典型技术趋势，包括：企业私有PKI平台化建设，机器身份治理体系逐步深化，国产密码与国际算法并行管理。

• 长期来看，证书体系将面向“后量子时代”与“智能安全体系”演进，成为动态信任基础设施的重要组成部分。技术趋势，包括：抗量子密码迁移，动态身份与零信任架构深度融合，AI驱动的证书治理与异常检测

未来趋势判断仍受到标准进展、浏览器信任政策、企业自动化成熟度、国产化替代节奏以及量子技术工程化进展等因素影响，企业应采用“持续跟踪+分阶段试点”而非一次性重构的方式推进证书治理升级。对于已经进入多Agent自动化场景的组织，未来机器身份治理、动态授权与证书安全运营闭环的融合程度，将成为衡量其治理成熟度的重要标志。

相关阅读

在数字化转型持续深化的当下，漏洞管理本应是企业网络安全防护的首要屏障。然而，Qualys 最新发布的超大规模研究报告，犹如一记重磅警钟，彻底打破了业界 “及时部署补丁即可保障安全” 的固有认知。

报告核心结论极具警示意义：关键漏洞被攻击者利用的时间已提前至补丁发布前七天，即攻击者在补丁公开前便已完成漏洞武器化；而企业安全团队在漏洞检测后第七天，仍有 63% 的 CISA KEV 关键漏洞未完成修复，该比例较 2022 年的 56% 进一步恶化。四年间，漏洞相关事件量激增 6.5 倍，从 2022 年的约 7300 万条飙升至 2025 年的 4.73 亿条。安全团队投入力度持续加大，漏洞修复积压却愈发严重，这并非单纯的效率问题，而是传统模式下已触及结构性 “人力天花板”。

CISA 即美国网络安全与基础设施安全局，其维护的 Known Exploited Vulnerabilities（KEV）漏洞目录，是全球范围内公认最具权威性的 “野外已利用漏洞” 清单。该目录并非依托 CVSS 评分判定理论风险，而是基于真实攻击事件实证收录，仅将经确认处于活跃利用状态的漏洞纳入其中。美国联邦机构需在规定时限内完成相关漏洞修复，否则将面临合规处罚。

本次 Qualys TRU 团队分析的超十亿条漏洞修复记录，源自上万家实体企业的匿名运营数据，每条记录均完整追踪单一资产上单个漏洞从检测到闭环的全生命周期。这是迄今规模最大的企业级漏洞修复行为纵向研究之一，其价值远非数字堆砌，而是对 “人力尺度安全” 运行模式的系统性剖析。

数据直观呈现出危机态势：2022 年企业年均处理约 7300 万条 KEV 关联事件，至 2025 年该数值激增至 4.73 亿条，涨幅达 6.5 倍。与此同时，云计算、边缘终端、OT/IoT 设备及供应链等场景带来攻击面呈爆发式扩张，已远超人力可覆盖的范畴。报告明确指出，以月度为周期的传统处置方案，根本无法应对分钟级迭代的新型网络威胁。

报告通过多维度量化指标，揭示了传统漏洞修复流程的全面溃败：

1. 漏洞事件量呈爆发式增长：四年间 KEV 关联事件量增长 6.5 倍，2024 至 2025 年单年增幅便达 1.57 倍。组织覆盖范围拓展、漏洞检测能力提升是部分诱因，而攻击面持续扩张、零日漏洞与新型威胁激增则是核心根源。

2. 第七天漏洞未修复比例持续恶化：CISA KEV 关键漏洞在检测后第七天仍处于开放状态的比例，从 2022 年的 56% 攀升至 2025 年的 63%，第三十天的修复成效同样不容乐观。安全团队实际完成修复的漏洞数量显著提升，但未修复占比却逆向增长，正是 “人力天花板” 的典型体现：无论人力投入如何增加、流程如何优化，风险涌入速度已远超人工修复处置效率。

3. 攻击者占据显著先发优势：结合 Google M-Trends 2026 等研究数据，漏洞平均被利用周期已压缩至负七天。在 52 个具备完整武器化时间线的漏洞案例中，88% 的场景下人工修复流程无法跟上攻击者节奏，其中半数漏洞在公开披露前便已被攻击者武器化利用。

4. 边缘设备修复效率相对占优：2025 年针对 81 个边缘设备相关 CVE 的约 1700 万条匿名记录显示，其中位修复闭环时间为 7 天，优于 KEV 整体 9 天的基线水平。但这仅为局部优势，难以扭转整体安全防控的严峻局面。

5. 15% 机构实现漏洞前置修复：报告同样传递出积极信号，15% 的组织通过优化修复流程体系，在 CISA 将漏洞纳入 KEV 目录前便已完成修复工作。这表明行业差距并非无法逾越，核心在于安全模式的转型升级，而非单纯增加人力投入。

Qualys TRU 高级经理 Saeed Abbasi 在报告中强调：“我们面临的并非速度层面的问题，而是体系性结构困境。人力天花板意味着，即便扩充团队、完善流程，也无法突破现有安全运维模式的固有极限。”

传统漏洞管理依托 CVSS 评分划分优先级、人工风险研判与补丁分步部署的模式，在漏洞数量有限、攻击面相对集中的阶段具备可行性。但当前网络安全环境已发生根本性变革：

• 攻击面呈指数级扩张：云原生架构、远程办公模式、IoT/OT 设备普及、第三方供应链组件嵌入，使企业管理资产规模与复杂度大幅提升，数万乃至数十万级资产均可能成为攻击入口。

• 漏洞发现与武器化进程加速：自动化攻击工具、AI 辅助攻击手段及地下漏洞交易市场的发展，让零日漏洞从发现到武器化的周期压缩至数天甚至数小时，攻击者无需等待补丁发布，即可提前发起攻击。

• 修复环节存在多重瓶颈：补丁兼容性测试、业务连续性保障、资源调配冲突、专业安全人才短缺等问题，致使漏洞平均修复周期长期停留在周级乃至月级。报告指出，即便控制漏洞事件增量，未修复比例仍持续恶化，充分说明问题核心并非执行力度，而是传统运维模型本身存在缺陷。

此外，CVSS 评分虽具备标准化优势，却无法精准反映漏洞实际威胁程度，CISA KEV 目录正是对这一短板的有效补充，聚焦 “已实战利用” 而非 “理论风险”。即便企业优先处置 KEV 漏洞，人工流程依旧难以匹配威胁演进速度。

该研究结论对国内企业同样具有强烈警示意义。多数国内机构虽不受 BOD 22-01 行政令直接约束，但供应链全球化布局、跨境业务往来及 APT 攻击常态化频发，使得 CISA KEV 目录已成为事实上的全球高危漏洞参考标准。未及时修复 KEV 漏洞的企业，不仅面临勒索软件入侵、核心数据泄露等直接安全风险，还将在合规审计、网络安全保险理赔、客户信任度等层面遭受连锁负面影响。

Log4Shell、MoveIt、Citrix 等知名漏洞被纳入 KEV 后引发大规模攻击的案例屡见不鲜。报告数据显示，攻击者往往在漏洞被加入 KEV 目录前七天便发起攻击，若企业仍沿用季度化漏洞扫描加人工派单的传统模式，必将面临难以挽回的损失。

更深层次的影响体现为 “安全疲劳效应”：安全团队每日面对海量安全告警却无力全面处置，关键风险被淹没在冗余信息中。长此以往，企业将陷入 “处置越忙、漏洞越乱” 的恶性循环。

报告在揭示危机的同时，也指明了行业转型的核心方向：

• 构建情报驱动的风险优先级体系：摒弃单一依赖 CVSS 评分的研判方式，融合威胁情报、资产重要等级、实际暴露面、KEV 信号等多维度数据。Qualys 等安全平台已实现 KEV 漏洞高覆盖率检测，并通过 TruRisk 等量化评分模型，助力企业提前识别高危风险项。

• 全面推行自动化与安全编排：规模化应用漏洞自动扫描、补丁智能编排、SOAR 安全编排自动化响应技术。报告中 15% 的领先机构，正是通过流程管道优化实现了漏洞前置修复。

• 实施持续暴露面管理：从静态周期性扫描转向动态实时风险视图，优先封堵攻击路径中的关键节点风险，而非孤立处置单个 CVE 漏洞。

• 聚焦边缘与云场景优先防护：依托边缘设备相对高效的修复基础，将有限安全资源向高暴露场景倾斜，同时强化零信任架构、网络微分段等前置防御措施。

• 推动安全文化与组织变革：CISO 需向企业决策层清晰传递 “人力天花板” 的客观现实，推动安全预算从 “扩充人力” 转向 “智能工具与流程优化”，培育 DevSecOps 文化，实现安全能力左移。

Qualys 给出专业建议：将 KEV 数据作为风险研判输入而非唯一依据，结合多源威胁情报实现预测性修复，最终达成修复速度匹配甚至超越攻击节奏的目标。

在国内，《网络安全法》《数据安全法》《个人信息保护法》等法律法规对漏洞管理提出明确要求，等级保护 2.0、关键信息基础设施保护等制度亦强调风险闭环管理。面对全球威胁同步化趋势，国内企业不应被动等待 CISA KEV 目录更新，而应构建本土化与国际化相结合的漏洞情报防护体系。

1. 全面完成资产盘点，梳理 CISA KEV 漏洞覆盖情况，借助专业安全工具实现 99% 以上的漏洞检测覆盖率。

2. 建立 KEV 漏洞优先修复 SLA 机制，设定高危资产在 KEV 目录更新后 72 小时内完成修复的核心目标。

3. 引入安全自动化平台，降低人工干预比例，有效压缩漏洞平均修复时间（MTTR）。

4. 常态化开展红蓝对抗演练，以实战验证修复实效，而非仅停留在纸面流程核查。

5. 与供应链合作伙伴建立情报共享机制，构建生态协同防御体系。

6. 持续关注 Qualys、CISA 等权威机构动态，订阅最新 KEV 更新信息与行业研究报告。

从长期发展来看，国内企业需加大国产安全工具与 AI 安全技术投入，在实现自主可控的同时，充分借鉴全球先进安全实践经验。

这份基于十亿条修复数据的研究报告，堪称网络安全领域的一次 “防护逻辑革新”。它宣告了纯人工、被动响应式漏洞修复时代的终结，同时开启了智能化、预测性、风险导向的安全防护新篇章。

网络安全从来不是静态的补丁部署工作，而是动态的攻防对抗博弈。在攻击者以分钟为单位迭代威胁的时代，企业唯有打破传统运维模型，深度融合自动化与智能技术，才能从被动应对转向主动防控。反之，勒索软件、APT 攻击、供应链威胁等，都可能借助下一个 “负七天” 窗口期突破企业安全防线。

相关阅读