Aggregator

嘶吼安全动态|全国网安标委发布关于征集个人信息保护标准应用实践案例的通知 AI工作流工具Langflow曝未授权RCE漏洞

不安全
2 days 10 hours ago
好,我需要帮用户总结这篇文章的内容,控制在100字以内。首先,我快速浏览文章,发现主要涉及网络安全问题。文章提到了多个漏洞和攻击事件,比如OpenClaw的权限漏洞、F5 BIG-IP的RCE漏洞、Langflow的未授权RCE漏洞等。此外,还有手机被窃密的情况,以及公众对AI智能体安全性的担忧。 接下来,我需要将这些信息浓缩成一句话。重点在于总结文章的核心内容:网络安全事件频发,包括漏洞、攻击和隐私泄露。同时,要提到这些事件对公众的影响和相关部门的应对措施。 最后,确保语言简洁明了,不超过100字,并且不使用“文章内容总结”等开头。 文章汇总了近期网络安全事件:手机发烫或被窃密、OpenClaw严重漏洞被发现、F5 BIG-IP漏洞升级为RCE、Langflow未授权RCE漏洞等。

嘶吼安全动态|全国网安标委发布关于征集个人信息保护标准应用实践案例的通知 AI工作流工具Langflow曝未授权RCE漏洞

嘶吼
2 days 10 hours ago

嘶吼安全动态

【国内新闻】

蚂蚁AI实验室发现OpenClaw严重权限漏洞,可接管AI智能体

摘要:蚂蚁AI实验室发现OpenClaw 1个严重、4个高危漏洞,普通账号可提权接管智能体、读取本地敏感文件,官方已紧急修复。

原文链接:https://36kr.com/newsflashes/3744930102149120

调研显示超半数受访者因安全漏洞选择卸载AI智能体

摘要:据《中国青年报》最新调查显示,56.4%的受访者会因智能体出现安全漏洞而选择卸载。公众对“养虾”热情高涨的同时,对隐私泄露、数据跨境流向等安全红线的敏感度大幅提升。

原文链接:https://www.chinanews.com.cn/sh/2026/03-27/10593513.shtml

全国网安标委发布关于征集个人信息保护标准应用实践案例的通知

摘要:本次案例征集聚焦个人信息保护主题,包括但不限于个人信息保护合规审计、敏感个人信息处理、个人信息去标识化、APP个人信息安全保护等方向。

原文链接:https://www.tc260.org.cn/portal/article/2/d5d3a625c0964f6d8aa716fcad7e6665

央视曝光:手机发烫或正被窃密,中木马病毒后银行卡、相册等信息遭实时泄露

摘要:如果手机莫名其妙发烫,这可能是你的手机正在被窃密者操纵着进行远程实时监控,即使手机关机,窃密行为也没有停止。窃密者还能通过“木马”病毒,盗取手机里的通讯录、通话记录、短信、照片等全部隐私信息。

原文链接;https://m.thepaper.cn/newsDetail_forward_32859554

【国外新闻】

F5 BIG-IP漏洞被重新定级为RCE并遭利用

摘要:F5披露其BIG-IP产品漏洞(CVE-2025-53521)已从DoS升级为远程代码执行,且正在被攻击者利用。该漏洞影响访问控制组件,可能导致系统完全失控,企业需紧急修补。

原文链接:https://www.darkreading.com/application-security/fortinet-big-ip-vulnerability-reclassified-rce-exploitation

VPN与应用交付设备成为攻击重点

摘要:安全机构警告,F5、Citrix等边界设备漏洞正被集中攻击,这类设备位于认证入口,一旦被攻破将直接影响企业核心系统。

原文链接:https://www.govinfosecurity.com/under-fire-attackers-target-flaws-in-f5-citrix-gear-a-31289

Magento电商平台漏洞被大规模利用

摘要:PolyShell漏洞可实现未授权RCE,攻击者利用WebRTC窃取信用卡数据,攻击呈规模化趋势。

原文链接:https://www.techradar.com/pro/security/huge-numbers-of-web-stores-are-facing-attack-from-this-dangerous-new-malware

欧盟委员会云平台遭网络攻击

摘要:欧盟Europa网站云基础设施遭攻击,部分数据被窃取。官方称内部系统未受影响,目前正在调查攻击来源与影响范围。

原文链接:https://www.reuters.com/technology/eu-commission-web-platform-hit-by-cyber-attack-march-24-2026-03-27/

AI工作流工具Langflow曝未授权RCE漏洞

摘要:Langflow存在未授权接口导致远程代码执行且暂无补丁。该漏洞源于“公开运行流程”的设计缺陷,体现了AI工具链安全短板。

原文链接:https://www.reddit.com/r/cybersecurity/comments/1s7nm2w/cve202633017_langflow_has_a_critical/

胡金鱼

谷歌向用户推出Google Drive勒索软件检测和文件恢复 帮助用户抵御勒索加密

不安全
2 days 10 hours ago
好,我现在需要帮用户总结这篇文章的内容。用户的要求是用中文,控制在100字以内,不需要特定的开头,直接描述文章内容。 首先,我仔细阅读了文章。文章主要讲谷歌推出了新的Google Drive功能,特别是针对勒索软件的检测和文件恢复。这些功能已经向所有用户推出,但部分功能仅限于商业或企业订阅用户。 接下来,我需要提取关键信息:谷歌开始向所有用户推出勒索软件检测和文件恢复功能;这些功能去年9月开始测试;现在全量推出;主动检测仅限商业订阅;个人和家庭用户可用批量回滚。 然后,我要把这些信息浓缩到100字以内。确保涵盖主要点:功能名称、推出时间、适用范围、限制条件等。 最后,组织语言,确保简洁明了,直接描述内容,不使用“文章内容总结”之类的开头。 谷歌推出 Google Drive 勒索软件检测和文件恢复功能,帮助用户抵御勒索软件攻击。这些功能已向所有用户推出,其中文件恢复支持个人和家庭用户批量回滚被加密文件,而主动勒索软件检测仅限于商业或企业订阅用户。

"影子舰队"到底怎么活下来的?一条船如何在公开世界里隐身

不安全
2 days 10 hours ago
嗯,用户让我帮忙总结一篇文章的内容,控制在100字以内,而且不需要特定的开头。首先,我需要理解文章的主要内容。看起来文章提到“环境异常”,并且建议完成验证后继续访问,还提供了一个“去验证”的选项。这可能是在说某个系统或服务遇到了问题,需要用户进行验证才能恢复访问。 接下来,我要确保总结准确且简洁。关键词包括“环境异常”、“验证”、“继续访问”。我应该把这些点浓缩成一句话,同时保持自然流畅。可能的表达方式是:“由于环境异常,需完成验证后方可继续访问。”这样既涵盖了问题原因,又说明了解决方法。 另外,用户要求不需要以“文章内容总结”或“这篇文章”开头,所以我直接写描述即可。检查一下字数,确保不超过100字。最后,确认语言简洁明了,没有多余的信息。 由于环境异常,需完成验证后方可继续访问。

是谁的无人机飞上了平壤的天空?——韩国情报院背后,一场情报决策的迷局

不安全
2 days 10 hours ago
好,我需要帮用户总结这篇文章的内容。首先,文章标题是“环境异常”,看起来是关于系统环境的问题。内容提到当前环境异常,完成验证后可以继续访问,并有一个“去验证”的按钮。这说明用户可能遇到了登录或访问问题,需要进行身份验证才能继续使用服务。 接下来,用户要求用中文总结,控制在100字以内,不需要特定的开头。我需要确保内容简洁明了,涵盖关键点:环境异常、验证后可继续访问、以及验证按钮的存在。 然后,我要考虑用户的使用场景。可能是在登录过程中遇到了问题,需要指导他们进行验证。因此,总结时要突出解决问题的方法和步骤。 用户的身份可能是普通用户,在使用某个服务时遇到了技术问题。他们的真实需求是快速了解问题所在,并知道如何解决。深层需求可能是希望得到明确的指示,避免进一步的技术困扰。 最后,我需要用简洁的语言表达这些信息,确保不超过100字,并且直接传达主要内容。 当前环境出现异常,需完成验证后方可继续访问。

【深度研判】英国核潜艇基地疑涉伊朗间谍事件及其对我海外战略设施安保启示

不安全
2 days 10 hours ago
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。用户的要求很明确,不需要使用“文章内容总结”或“这篇文章”这样的开头,直接写描述即可。 首先,我得仔细阅读用户提供的文章内容。文章标题是“环境异常”,接着提到当前环境异常,完成验证后可以继续访问,并有一个“去验证”的按钮。看起来这是一篇关于系统环境出现异常,需要用户进行验证后才能继续使用的内容。 接下来,我需要将这些信息浓缩到100字以内。要抓住关键点:环境异常、验证、继续访问。可能的结构是先说明问题,然后指出解决方法和结果。 比如:“当前环境出现异常,需完成验证后方可继续访问。”这样简洁明了,符合用户的要求。同时,检查字数是否在限制内,并确保没有使用禁止的开头词。 最后,确认总结是否准确传达了原文的核心信息,并且语言流畅自然。 当前环境出现异常,需完成验证后方可继续访问。

间谍、线人、策反,这些电影桥段在现实里到底怎么运转?真正危险的,不是间谍有多传奇,而是他看起来太普通

不安全
2 days 10 hours ago
嗯,用户让我帮忙总结一篇文章,控制在100字以内,而且不需要用“文章内容总结”之类的开头。首先,我得仔细看看用户提供的文章内容。文章标题是“环境异常”,里面提到当前环境异常,完成验证后可以继续访问,还有一个“去验证”的链接。 看起来这篇文章主要是通知用户遇到了环境问题,需要进行验证才能继续使用。所以总结的时候要抓住这两个关键点:环境异常和需要验证。然后控制在100字以内,语言要简洁明了。 接下来,我要确保不使用任何开头的固定格式,直接描述内容。比如“文章描述了环境异常的情况,并提示用户完成验证后可继续访问。”这样既准确又符合要求。 可能用户是想快速了解文章内容,所以需要简明扼要的总结。他们可能是在处理技术支持或者系统维护的问题,所以准确传达信息很重要。 最后检查一下字数和格式是否符合要求,确保没有遗漏关键信息。 文章描述了环境异常的情况,并提示用户完成验证后可继续访问。

Axios NPM Packages Compromised to Inject Malicious Codes in an Active Supply Chain Attack

Cyber Security News
2 days 10 hours ago

A sophisticated supply chain attack has targeted Axios, one of the most heavily adopted HTTP clients within the JavaScript ecosystem, by introducing a malicious transitive dependency into the official npm registry. Serving as a critical component across frontend frameworks, backend microservices, and enterprise applications, Axios records approximately 83 million weekly downloads on npm. The compromise […]

The post Axios NPM Packages Compromised to Inject Malicious Codes in an Active Supply Chain Attack appeared first on Cyber Security News.

Guru Baran

微软/GitHub在开发者使用Copilot提交PR时自动添加广告 现已禁用推广功能

不安全
2 days 10 hours ago
嗯,用户让我总结一下这篇文章的内容,控制在一百个字以内,而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先,我得通读一下文章。主要讲的是微软和GitHub在开发者提交的PR中添加了Copilot广告,结果引起了很多开发者的不满。这些广告是在开发者不知情的情况下添加的,比如有人修改拼写错误后,PR底部就出现了广告。 然后,GitHub回应说这是Copilot团队故意添加的功能,但现在已经被禁用了。广告内容主要是推广Raycast和其他微软产品。很多开发者觉得这种行为损害了他们的信任,所以反对声音很大。 接下来,我需要把这些信息浓缩到100字以内。要抓住主要事件:微软/GitHub在PR中植入广告,未经允许,引起不满,GitHub禁用该功能。 可能的结构是:微软和GitHub在开发者PR中植入广告,未经允许引发不满,最终禁用功能。 检查一下字数是否符合要求。确保没有遗漏关键点:植入广告、未经授权、开发者不满、GitHub回应禁用。 最后确定总结内容:微软和GitHub在开发者提交的PR中擅自添加Copilot广告引发不满。广告未经明确授权植入,并通过隐藏HTML注释实现。此举损害用户信任,在强烈反对后被禁用。 微软和GitHub在开发者提交的PR中擅自添加Copilot广告引发不满。广告未经明确授权植入,并通过隐藏HTML注释实现。此举损害用户信任,在强烈反对后被禁用。

无视特朗普警告 美国加州州长出手监管AI

不安全
2 days 10 hours ago
嗯,用户让我总结这篇文章的内容,控制在100字以内,而且不需要用“文章内容总结”这样的开头。好的,首先我得仔细阅读文章,抓住主要信息。 文章讲的是美国加州州长纽森不顾特朗普的警告,发布行政令监管AI。特朗普和白宫认为各州监管会削弱创新能力,影响全球竞争力。但纽森坚持维护加州法律,确保AI的安全和隐私。 接下来,我需要把这些要点浓缩到100字以内。要包括加州州长、特朗普的警告、白宫的观点、纽森的行动以及他的立场。 可能会遇到的问题是信息太多,如何精简而不遗漏关键点。比如,白宫的政策指南提到“互相冲突的州法律”,这个很重要,说明各州监管可能带来的问题。而纽森则强调保护措施,不坐视不管。 然后组织语言:先说加州无视特朗普警告,再说明白宫的观点,接着描述纽森的具体行动和立场。这样结构清晰。 最后检查字数是否在限制内,并确保语句通顺自然。 美国加州州长纽森无视特朗普警告,发布行政令要求与州政府合作的AI公司设立安全与隐私保障措施,并强调维护加州法律以防范AI相关风险。白宫此前警告称各州监管可能削弱创新能力并影响全球竞争力。

不用可以先收藏 | 有备无患:我的逃生包和生存盒都装了啥?

不安全
2 days 10 hours ago
好,我现在要帮用户总结这篇文章的内容。用户的要求是用中文,控制在100字以内,不需要特定的开头,直接写描述。 首先,我快速浏览文章。作者分享了自己在疫情后成为“末日生存狂”,并组建了两个版本的BOB逃生包和PSK生存盒。家用BOB容量35L,放在家里方便拿取;车载/旅行BOB则放在车内或行李箱中。参考了应急管理部的清单和一些手册、博主的建议。 接下来,我需要提取关键信息:作者的身份、创建的逃生包类型、每个包的容量和用途、参考来源。然后,把这些信息浓缩到100字以内。 可能的结构:末日生存爱好者创建两个版本的BOB和PSK,参考应急管理部清单和手册,适合不同场景使用。 现在组织语言:作为一个末日生存爱好者,作者创建了家用和车载/旅行两个版本的BOB逃生包及PSK生存盒,参考应急管理部清单、怀斯曼手册等资料,适用于地震、火灾等多种紧急情况。 检查字数是否在100字以内,并确保没有使用禁止的开头词。 作为一个末日生存爱好者,作者创建了家用和车载/旅行两个版本的BOB逃生包及PSK生存盒,并参考应急管理部清单、怀斯曼手册等资料进行配置,适用于地震、火灾等多种紧急情况。

Beyond Alert Fatigue: What European SOCs Actually Struggle With

不安全
2 days 10 hours ago
好的,我现在需要帮用户总结一篇文章的内容,控制在100个字以内。用户的要求是直接写文章描述,不需要以“文章内容总结”或“这篇文章”开头。 首先,我仔细阅读了用户提供的文章。文章主要讨论了网络安全行业中数据来源的偏向性,特别是美国中心的数据如何影响了对欧洲实际情况的理解。作者指出,大多数报告中80%到90%的数据来自美国,而欧洲的数据很少,导致见解有偏见。 接下来,作者介绍了他们创立的BridgerWise Research,旨在提供基于欧洲本地现实的研究。他们的首份报告聚焦于AI在欧洲安全运营中心(SOC)中的应用,揭示了欧洲从业者面临的挑战和对AI的期望。 文章详细分析了欧洲SOC的主要问题:工具碎片化、上下文切换、误报率高和自动化不足。与普遍认为的警报疲劳不同,欧洲从业者更关注工作流程效率和合规性问题。此外,AI在自动化警报分类、调查协助和 playbook 自动化方面的应用潜力被强调。 最后,作者指出由于严格的监管要求(如NIS2、DORA和AI法案),欧洲在AI采用方面既有推动因素也有障碍。这些因素通常未被北美主导的研究所反映。 总结起来,文章强调了数据来源的重要性以及需要更多欧洲本地视角的研究来准确反映实际情况。 这篇文章探讨了网络安全行业数据的美国中心偏见,并介绍了BridgerWise Research如何通过聚焦欧洲的研究填补这一空白。其首份报告揭示了欧洲安全团队在工具碎片化、上下文切换、误报率高和自动化不足等方面的挑战,并强调了AI在提升效率和应对严格监管中的作用。

Claude AI Discovers Zero-Day RCE Vulnerabilities in Vim and Emacs

Cyber Security News
2 days 11 hours ago

Anthropic’s Claude AI successfully discovered zero-day Remote Code Execution (RCE) flaws in both Vim and GNU Emacs. The discoveries highlight a massive paradigm shift in bug hunting, demonstrating that AI models can uncover critical vulnerabilities in legacy software with simple natural-language prompts. The Vim RCE: Compromise Upon File Open The research initiative began with a […]

The post Claude AI Discovers Zero-Day RCE Vulnerabilities in Vim and Emacs appeared first on Cyber Security News.

Guru Baran

Security at Scale: How Open VSX Is Raising the Bar

不安全
2 days 11 hours ago
嗯,用户让我帮忙总结一篇文章的内容,控制在一百个字以内,而且不需要特定的开头。首先,我得仔细阅读这篇文章,理解它的主要内容和重点。 文章主要讲的是Open VSX的安全工作。Open VSX是一个开源的扩展注册表,用于VS Code工具。文章提到安全工作的重要性,特别是在软件供应链中的位置。作者讨论了从反应式安全转向预防式安全的转变,包括预发布验证、扫描、强化构建和发布链、凭证处理、服务保护以及透明度提升等方面。 接下来,我需要提炼这些要点,确保在100字以内。要突出Open VSX的作用、安全措施的变化以及这些措施带来的好处。同时,语言要简洁明了,避免使用复杂的术语。 可能的结构是:首先说明Open VSX是什么,然后提到安全工作的转变,接着列举主要措施,最后强调其重要性。这样既全面又简洁。 最后检查一下字数是否符合要求,并确保内容准确传达文章的核心信息。 文章讨论了Open VSX在软件供应链中的安全性提升工作。通过预发布验证、强化构建链、凭证管理和服务保护等措施,从反应式转向预防式安全模式,旨在降低风险并增强信任基础。

Managed ad