公安部通报37款违规应用,电商类占比超七成,小程序不再是 “法外之地”
依据《网络安全法》《个人信息保护法》等法律法规,经公安部计算机信息系统安全产品质量监督检验中心检测,37款移动应用存在违法违规收集使用个人信息情况,具体通报如下:1、未公开收集使用规则。涉及21款移动应用如下:《奇峰商城》(支付宝小程序)、《聚优商城》(微信小程序)、《亿秀分期商城》(支付宝小程序)、《鲜范商城》(微信小程序)、《京机数码手机商城》(支付宝小程序)、《创维官方商城》(支付宝小程序)...
安全
网络安全资讯、漏洞披露、安全防护
Progress ShareFile曝新漏洞 可组合实现未认证远程代码执行
最新发现,企业级安全文件传输解决方案 Progress ShareFile 存在两处漏洞,攻击者可将其组合利用,在无需身份认证的情况下从受影响环境中窃取文件。Progress ShareFile 是一款文档共享与协作产品,广泛应用于大中型企业。此类文件传输平台历来是勒索软件团伙的重点攻击目标,此前 Clop 勒索组织就曾利用 Accellion FTA、SolarWinds Serv-U、Glad...
嘶吼安全动态|八部门联合发布《 科技数据安全管理暂行规定》,4月10日起实施 黑客利用像素级SVG技巧隐藏信用卡窃密代码
嘶吼安全动态|【国内新闻】八部门联合发布《科技数据安全管理暂行规定》,4月10日起实施摘要:明确科技数据分类分级、算法备案、跨境管控等要求,强化科研与算力设施安全。原文链接:http://m.toutiao.com/group/7626936382984700451/腾讯QClaw V2上线“龙虾管家”,全流程防护AI操作安全摘要:默认开启安全防护,覆盖Prompt、技能与脚本执行,实时拦截恶意指...
科技爱好者周刊(第 392 期):axios 投毒与好莱坞式骗术
这里记录每周值得分享的科技内容,周五发布。 本杂志开源,欢迎投稿。另有《谁在招人》服务,发布程序员招聘信息。合作请邮件联系(yifeng.ruan@gmail.com)。 封面图 今年就将启用的腾讯总部园区,俗称"企鹅岛",里面不仅包括办公楼,还有多幢公寓楼。(via) axios 投毒与好莱坞式骗术 上周,著名软件库 axios 被投毒了。黑客拿到了发布令牌,直接发了一个新版本,里面加入了木马。...
新型CrystalRAT恶意软件新增远程控制、数据窃取等功能
一款名为CrystalRAT的新型远程控制木马正在Telegram上以恶意软件即服务(MaaS)模式推广,提供远程控制、数据窃取、键盘记录与剪贴板劫持等核心功能。 该恶意软件于今年1月现身,采用分级订阅模式运营。除Telegram频道外,运营者还在YouTube开设专门营销账号,通过功能演示视频进行推广。 卡巴斯基研究人员在最近发布的报告中指出,这款木马与WebRAT(Sala...
嘶吼安全动态|中央网信办召开全国网络法治工作会议 设备码钓鱼攻击暴增36倍,新型攻击工具在网上大肆扩散
嘶吼安全动态【国内新闻】上海人工智能实验室发布“珠穆朗玛计划”,打造AI4S全国中枢摘要:上海AI实验室重磅发布“AGI4S 珠穆朗玛计划”,同步推出DeepLink融合算力平台。该计划旨在通过全维度合作打破算力与数据壁垒,为高能物理、疾病诊断等关键科学领域提供自主受控的智能底座。原文链接:https://www.news.cn/tech/20260408/fe5a61186ceb4582bdcf...
“龙虾”来袭,绿盟科技三位一体防御体系,让网络告别 “裸奔” 风险
2026年开年,OpenClaw(俗称“龙虾”)这款本地优先的 AI Agent 自动化平台以燎原之势席卷全球,凭借自然语言指令实现 PC 全功能自动化的能力,成为开发者追捧的工具。其支持15+通信平台、多模型调用、自主任务执行等特性,让效率提升的同时,也埋下了巨大的安全隐患。工信部于2026年3月8日正式发布openclaw安全风险预警通报。这款看似便捷的工具,正成为企业网络安全的“特洛伊木马”...
当“小龙虾”潜入内网,如何解决“影子AI”的隐匿危机
近期,OpenClaw(俗称“小龙虾”)这一开源AI智能体因其强大的自主执行能力而迅速爆火,成为众多企业与开发者的效率神器。然而,就在热度持续攀升之际,国家及行业权威机构接连发布重磅预警:这个看似能干的“AI助手”,正因其模糊的信任边界和脆弱的默认安全配置,成为潜伏在企业内网中的高危风险源。从已披露的CVE-2026-25253、CVE-2026-25157到最新的多个供应链投毒事件,多个已知漏洞...
绿盟NF防火墙:筑牢OpenClaw安全防线,构筑AI时代安全基石
2026年2月至3月,国家工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)连续两次发布关于OpenClaw(俗称“龙虾”)的安全预警,明确指出其“信任边界模糊”“配置缺陷易引发网络攻击、信息泄露”,并首次提出针对AI智能体应用的 “六要六不要” 安全建议。紧接着,国家安全部也发布《“龙虾”安全养殖手册》,警示主机被接管、数据被窃取、供应链投毒等原生风险。官方密集发声的背...
绿盟科技大模型安全白皮书发布:聚焦智能体风险与防护,护您安全“养虾”
3月20日,由中国信息安全测评中心指导,绿盟科技联合中国科学院信息工程研究所编写的《面向智能体时代的大模型安全——Agentic Security一体化安全范式重构与工程实践》白皮书在北京重磅发布,本次发布会汇聚国内人工智能安全领域专家,围绕智能体时代大模型安全的发展态势、风险挑战、技术体系与产品落地等核心议题展开深度研讨,为行业破解智能体安全治理难题、构建一体化安全防护体系提供权威指引与实践路径...
高校邮件安全怎么抓?北工大这份“可复制范本”值得一看
“近年来,钓鱼邮件的威胁愈发严峻,教育行业首当其冲。校园邮箱用户多、人员流动性强、钓鱼手段层出不穷——高校已成为黑客的重点攻击目标。” 在近期的邮件安全管理员直播分享中,北京工业大学的霍老师一语道破当下高校邮件安全的严峻现状。作为北京市属重点、国家“211工程”和“双一流”建设高校,北京工业大学(以下简称:北工大)的邮件系统承载着教学科研、校内办公等核心业务,自然也直面着这一教育行业的共性安全困境...
Claude Code源码泄露遭利用,攻击者借GitHub散播窃密木马
威胁组织正利用近期Claude Code源代码泄露事件,通过伪造GitHub仓库向用户分发Vidar窃密木马。Claude Code是人工智能公司Anthropic推出的一款终端版AI代理工具,可直接在终端中执行编程任务,作为自主代理实现系统直接交互、大语言模型API调用管理、MCP集成以及持久化记忆等功能。 据悉,Anthropic在发布npm包时因疏忽,意外嵌入了一个大小为59.8M...
嘶吼安全动态|国家安全部提醒:“囤词元暴富” 背后,暗藏间谍窃取数据陷阱 苹果Mac威胁50.32%来自木马,盗窃用户隐私成主要目的
嘶吼安全动态【国内新闻】国家安全部提醒:“囤词元暴富” 背后,暗藏间谍窃取数据陷阱摘要:国家安全部提醒,随着词元(Token)的爆火,一些不法分子开始打起了词元的主意,伺机布设各种陷阱。不法分子可通过跨站脚本攻击(XSS)、公共Wi-Fi嗅探等方式,窃取、截获未加密的词元。一旦词元泄露,攻击者可直接盗用用户身份,获取隐私信息、登录账号、篡改数据,甚至实施诈骗、转账等操作,直接威胁个人财产安全。原文...
“影子AI”危机?绿盟威胁情报“三把锁”,构筑OpenClaw防御体系
2026年,AI智能体被广泛应用,OpenClaw(俗称“龙虾”)凭借其自主决策与本地执行能力,成为企业与开发者的高频提效工具。然而,近期多家权威安全机构接连发布预警:OpenClaw正面临从供应链投毒到远程控制的多维安全威胁。当内部员工私自部署此类“影子AI”资产,加之部分恶意Skills(插件)存在越权窃取核心数据的行为,传统边界安全防线正面临失效风险。针对这一现状,绿盟科技结合近期实战攻防与...
一只AI“龙虾”的冰火一周:从全网追捧到紧急卸载——OpenClaw爆火背后的三大智能体安全风险与应对
一场轰轰烈烈的“养虾运动”,从全网追捧到紧急卸载,只持续了短短一周。二手平台已经出现另一种服务:远程卸载OpenClaw。价格从499元安装到299元卸载[1],一条“装虾—教虾—卸虾”的产业链迅速形成。第一批“养虾人”的翻车经历[2]也不断出现:·有人授权OpenClaw访问邮箱,结果邮件被批量删除;·有人让AI清理磁盘,结果整个目录被误删;·还有用户因为API Key泄露,一夜之间损失数万美元...