Vercel 确认遭入侵:第三方 AI 工具成突破口,黑客索要 200 万美元赎金
云开发平台Vercel近日披露一起安全入侵事件。该公司确认,攻击者通过第三方AI工具Context.ai的Google Workspace OAuth应用获取了初始访问权限,进而入侵内部系统。与此同时,一名自称"ShinyHunters"的黑客声称正在暗网论坛出售窃取的数据,并向Vercel索要200万美元赎金。 Vercel是全球知名的云开发平台,以Next.js React...
安全
网络安全资讯、漏洞披露、安全防护
WAF 分块传输绕过
分块传输编码(Chunked transfer encoding)是超文本传输协议(HTTP)中的一种数据传输机制,允许HTTP由应用服务器发送给客户端应用( 通常是网页浏览器)的数据可以分成多个部分。
一curl入魂:FortiSandbox CVE-2026-39808漏洞的武器化与自动化攻击分析
FortiSandbox这本该用来抓黑客的“捕兽夹”,自己却成了黑客一脚踩进来的“后门”。
Hack the AI agent: Build agentic AI security skills with the GitHub Secure Code Game
Learn to find and exploit real-world agentic AI vulnerabilities through five progressive challenges in this free, open source game that over 10,000 developers have already used to sharpen their securi...
公安部通报37款违规应用,电商类占比超七成,小程序不再是 “法外之地”
依据《网络安全法》《个人信息保护法》等法律法规,经公安部计算机信息系统安全产品质量监督检验中心检测,37款移动应用存在违法违规收集使用个人信息情况,具体通报如下:1、未公开收集使用规则。涉及21款移动应用如下:《奇峰商城》(支付宝小程序)、《聚优商城》(微信小程序)、《亿秀分期商城》(支付宝小程序)、《鲜范商城》(微信小程序)、《京机数码手机商城》(支付宝小程序)、《创维官方商城》(支付宝小程序)...
Progress ShareFile曝新漏洞 可组合实现未认证远程代码执行
最新发现,企业级安全文件传输解决方案 Progress ShareFile 存在两处漏洞,攻击者可将其组合利用,在无需身份认证的情况下从受影响环境中窃取文件。Progress ShareFile 是一款文档共享与协作产品,广泛应用于大中型企业。此类文件传输平台历来是勒索软件团伙的重点攻击目标,此前 Clop 勒索组织就曾利用 Accellion FTA、SolarWinds Serv-U、Glad...
嘶吼安全动态|八部门联合发布《 科技数据安全管理暂行规定》,4月10日起实施 黑客利用像素级SVG技巧隐藏信用卡窃密代码
嘶吼安全动态|【国内新闻】八部门联合发布《科技数据安全管理暂行规定》,4月10日起实施摘要:明确科技数据分类分级、算法备案、跨境管控等要求,强化科研与算力设施安全。原文链接:http://m.toutiao.com/group/7626936382984700451/腾讯QClaw V2上线“龙虾管家”,全流程防护AI操作安全摘要:默认开启安全防护,覆盖Prompt、技能与脚本执行,实时拦截恶意指...
科技爱好者周刊(第 392 期):axios 投毒与好莱坞式骗术
这里记录每周值得分享的科技内容,周五发布。 本杂志开源,欢迎投稿。另有《谁在招人》服务,发布程序员招聘信息。合作请邮件联系(yifeng.ruan@gmail.com)。 封面图 今年就将启用的腾讯总部园区,俗称"企鹅岛",里面不仅包括办公楼,还有多幢公寓楼。(via) axios 投毒与好莱坞式骗术 上周,著名软件库 axios 被投毒了。黑客拿到了发布令牌,直接发了一个新版本,里面加入了木马。...
新型CrystalRAT恶意软件新增远程控制、数据窃取等功能
一款名为CrystalRAT的新型远程控制木马正在Telegram上以恶意软件即服务(MaaS)模式推广,提供远程控制、数据窃取、键盘记录与剪贴板劫持等核心功能。 该恶意软件于今年1月现身,采用分级订阅模式运营。除Telegram频道外,运营者还在YouTube开设专门营销账号,通过功能演示视频进行推广。 卡巴斯基研究人员在最近发布的报告中指出,这款木马与WebRAT(Sala...
嘶吼安全动态|中央网信办召开全国网络法治工作会议 设备码钓鱼攻击暴增36倍,新型攻击工具在网上大肆扩散
嘶吼安全动态【国内新闻】上海人工智能实验室发布“珠穆朗玛计划”,打造AI4S全国中枢摘要:上海AI实验室重磅发布“AGI4S 珠穆朗玛计划”,同步推出DeepLink融合算力平台。该计划旨在通过全维度合作打破算力与数据壁垒,为高能物理、疾病诊断等关键科学领域提供自主受控的智能底座。原文链接:https://www.news.cn/tech/20260408/fe5a61186ceb4582bdcf...
“龙虾”来袭,绿盟科技三位一体防御体系,让网络告别 “裸奔” 风险
2026年开年,OpenClaw(俗称“龙虾”)这款本地优先的 AI Agent 自动化平台以燎原之势席卷全球,凭借自然语言指令实现 PC 全功能自动化的能力,成为开发者追捧的工具。其支持15+通信平台、多模型调用、自主任务执行等特性,让效率提升的同时,也埋下了巨大的安全隐患。工信部于2026年3月8日正式发布openclaw安全风险预警通报。这款看似便捷的工具,正成为企业网络安全的“特洛伊木马”...
当“小龙虾”潜入内网,如何解决“影子AI”的隐匿危机
近期,OpenClaw(俗称“小龙虾”)这一开源AI智能体因其强大的自主执行能力而迅速爆火,成为众多企业与开发者的效率神器。然而,就在热度持续攀升之际,国家及行业权威机构接连发布重磅预警:这个看似能干的“AI助手”,正因其模糊的信任边界和脆弱的默认安全配置,成为潜伏在企业内网中的高危风险源。从已披露的CVE-2026-25253、CVE-2026-25157到最新的多个供应链投毒事件,多个已知漏洞...
绿盟NF防火墙:筑牢OpenClaw安全防线,构筑AI时代安全基石
2026年2月至3月,国家工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)连续两次发布关于OpenClaw(俗称“龙虾”)的安全预警,明确指出其“信任边界模糊”“配置缺陷易引发网络攻击、信息泄露”,并首次提出针对AI智能体应用的 “六要六不要” 安全建议。紧接着,国家安全部也发布《“龙虾”安全养殖手册》,警示主机被接管、数据被窃取、供应链投毒等原生风险。官方密集发声的背...
绿盟科技大模型安全白皮书发布:聚焦智能体风险与防护,护您安全“养虾”
3月20日,由中国信息安全测评中心指导,绿盟科技联合中国科学院信息工程研究所编写的《面向智能体时代的大模型安全——Agentic Security一体化安全范式重构与工程实践》白皮书在北京重磅发布,本次发布会汇聚国内人工智能安全领域专家,围绕智能体时代大模型安全的发展态势、风险挑战、技术体系与产品落地等核心议题展开深度研讨,为行业破解智能体安全治理难题、构建一体化安全防护体系提供权威指引与实践路径...
高校邮件安全怎么抓?北工大这份“可复制范本”值得一看
“近年来,钓鱼邮件的威胁愈发严峻,教育行业首当其冲。校园邮箱用户多、人员流动性强、钓鱼手段层出不穷——高校已成为黑客的重点攻击目标。” 在近期的邮件安全管理员直播分享中,北京工业大学的霍老师一语道破当下高校邮件安全的严峻现状。作为北京市属重点、国家“211工程”和“双一流”建设高校,北京工业大学(以下简称:北工大)的邮件系统承载着教学科研、校内办公等核心业务,自然也直面着这一教育行业的共性安全困境...