全球安全周报:2.9亿美元DeFi攻击与供应链危机
本周安全威胁公报揭示多起重大事件:2.9亿美元DeFi协议遭黑客攻击、macOS遭LotL滥用、ProxySmart SIM农场曝光,加上25+新威胁故事,暴露出供应链安全与旧漏洞反复利用的深层危机。
最新 AI 资讯
每日更新 · AI 驱动采编 · 覆盖大模型、应用、研究与行业动态
Bitwarden CLI遭供应链攻击,密码安全再响警钟
安全研究机构发现Bitwarden命令行工具被植入恶意代码,成为Checkmarx供应链攻击活动的最新受害者,影响版本为@bitwarden/cli@2026.4.0,引发开源软件供应链安全的广泛关注。
Bitwarden CLI遭供应链攻击
安全研究机构JFrog和Socket发现,密码管理工具Bitwarden的命令行界面(CLI)被卷入一场持续性的Checkmarx供应链攻击活动,恶意代码被植入npm包中,威胁用户凭证安全。
LMDeploy高危漏洞披露仅13小时即遭在野利用
开源大模型部署工具LMDeploy被曝存在高危SSRF漏洞CVE-2026-33626,CVSS评分7.5。该漏洞在公开披露后不到13小时即被攻击者在野利用,可被用于访问敏感数据,引发AI基础设施安全警报。
LMDeploy高危漏洞披露仅13小时即遭野外利用
开源大模型部署工具LMDeploy被曝存在高危SSRF漏洞CVE-2026-33626,CVSS评分7.5。该漏洞在公开披露后不到13小时即被攻击者在野外积极利用,可被用于访问敏感数据,引发AI基础设施安全警报。
Tropic Trooper利用木马化PDF阅读器部署C2框架
安全机构Zscaler ThreatLabz披露,APT组织Tropic Trooper利用木马化SumatraPDF阅读器和GitHub基础设施,针对中文用户部署AdaptixC2后渗透框架,并滥用VS Code隧道实现远程访问。
弥合AI代理权限鸿沟:持续可观测性成为决策引擎
随着AI代理在企业中大规模部署,权限治理的结构性缺陷日益暴露。业界提出以持续可观测性作为核心决策引擎,从根本上解决AI代理从「无治理」到「受控委托」的安全转型难题。
NASA员工遭中国钓鱼攻击致国防软件泄露
美国NASA监察长办公室披露,一名中国公民伪装成美国研究人员,通过鱼叉式钓鱼攻击从NASA及多个政府机构窃取敏感国防软件信息,严重违反出口管制法规。
研究人员发现比震网更早的fast16恶意软件
SentinelOne安全研究人员披露一款可追溯至2005年的网络破坏框架「fast16」,该恶意软件比著名的震网病毒更早出现,专门针对高精度工程计算软件进行篡改,揭示了工业网络攻击的深远历史。
失落硬盘重见天日:QNX与Commodore 900的传奇复活
一块尘封数十年的硬盘被发现仍可运行,揭示了从未正式发售的Commodore 900电脑上搭载QNX实时操作系统的珍贵历史。这一发现引发科技社区对早期操作系统设计哲学的深度回顾。
GnuPG主线正式引入后量子加密支持
开源加密工具GnuPG在主线版本中正式集成后量子密码学算法,标志着抗量子计算威胁的加密技术开始走向主流应用,为全球隐私与安全基础设施筑起新防线。
业余数学家借助ChatGPT攻克Erdős猜想
一位非职业数学家利用ChatGPT辅助推理,成功解决了著名数学家Erdős提出的一个长期悬而未决的数学问题,引发学术界对AI辅助科研模式的热烈讨论。