本周,AI 与网络安全领域持续升温。从美国发布新的网络安全行政令,到 AI 工具被植入恶意代码,再到 Claude 新模型提前泄露,AI 正在加速改变网络攻防格局。
以下为本周重点安全事件汇总。
特朗普正式签署新的网络安全专项行政令,重点加强联邦及关键基础设施防护,并推动 AI 在网络安全中的应用。
行政令主要包括:
值得注意的是,该行政令并未对 AI 技术设置强制许可制度,而是更强调“创新与国家安全平衡”。
AI 网络安全已经开始进入国家战略层面。
安全研究人员发现,一个名为 codexui-android 的恶意 npm 包正在暗中窃取 OpenAI 刷新令牌(refresh_token)。
该工具伪装成正常开发工具:
攻击者利用合法 AI 开发工具作为掩护,目标直指 AI 平台账户权限。
这意味着:
未来针对 AI 开发者、AI API、AI Agent 平台的供应链攻击将持续增加。
Anthropic 宣布扩大 “Project Glasswing(玻璃翼计划)” 范围,新增 150 家机构参与 Claude Mythos 预览测试。
该项目主要用于:
官方数据显示:
Claude Mythos 已发现超过 10000 个严重漏洞。
Anthropic 同时警告:
未来 6-12 个月,AI 漏洞利用与滥用风险可能会快速上升。
一名 SpaceX 工程师利用 AI 框架发现 Linux CIFS 子系统中的历史逻辑漏洞。
该漏洞可导致:
漏洞已经存在长达 19 年。
研究人员表示,AI 通过语义图分析与代码关联推理,大幅提升了复杂漏洞发现效率。
AI 已开始真正进入漏洞研究核心领域。
Anthropic 新模型 Claude Oceanus-v1-p 在红队测试阶段提前泄露。
随后:
由于该模型具备极强的漏洞识别与利用能力,因此引发外界对 AI 滥用风险的担忧。
Anthropic 已暂停部分访问权限并展开调查。
Notepad++ 被曝存在多个高危安全漏洞:
漏洞涉及:
CVSS 评分最高达到 7.8。
目前官方已在 v8.9.6.1 修复,建议用户尽快升级。
安全机构发现,朝鲜黑客组织开始放弃传统木马,转向:
攻击目标主要为:
这种攻击方式更加隐蔽,传统杀毒软件更难检测。
研究人员披露了一种新的 HTTP/2 攻击方式:
“HTTP/2 Bomb”
攻击者利用:
即可在极低带宽下:
受影响组件包括:
部分厂商已发布补丁。
Google 确认:
安卓高危漏洞 CVE-2025-48595 已被黑客利用。
漏洞特点:
建议:
Claude Code GitHub Action 被发现存在权限校验缺陷。
攻击者可通过:
进一步:
官方已在 v1.0.94 修复。
AI Agent 与 GitHub 自动化工作流的安全风险正在快速暴露。
网站资讯
渠道合作
解决方案
更多服务
