嘶吼安全动态
【国内新闻】
国家级电力 AI 中试基地启用,华为、百度入驻筑牢能源 AI 安全
摘要:作为电力人工智能领域的 " 桥梁型平台 ",中试基地已成功连接 100 多家不同领域单位。
原文链接:https://baijiahao.baidu.com/s?id=1860252756515987591&wfr=spider&for=pc
中央网信办规范短视频标注,AI 摆拍 / 虚假营销强制显形溯源
摘要:全平台整治无标识 AI 生成内容、虚构演绎,启用 AI 识别 + 人工复核,违规内容下架整改,净化内容生态。
原文链接:http://m.toutiao.com/group/7619651131685388815/
AI 智能体风险被系统性揭示
摘要:国家互联网应急中心指出 AI 智能体面临提示词注入、插件投毒等风险,攻击者可诱导模型泄露敏感数据或执行恶意操作,攻击门槛显著降低。
原文链接:
https://www.stcn.com/article/detail/3691088.html
北京网安破获特大 " 网络开盒 " 案,涉案信息超千万条
摘要:嫌疑人搭建社工库非法售卖个人信息,涉案网站访问量 30 万 +,5 人因侵犯公民个人信息罪获刑 1 年 6 个月至 7 年,罚金 1.5 万 -7 万元。
原文链接:http://m.toutiao.com/group/7620051829627306534/
【国外新闻】
OpenClaw 风险引发全球安全关注
摘要:AI 智能体 OpenClaw 安全问题被认为具有全球影响,涉及设备劫持、数据泄露及金融操作风险,多国开始关注其潜在攻击面扩展问题。
https://www.chinanews.com.cn/sh/2026/03-23/10591104.shtml
OpenWebUI 服务器遭攻击,被植入挖矿与信息窃取恶意代码
摘要:研究人员发现大量未开启认证的 OpenWebUI 实例被攻击,黑客利用其 AI 接口部署挖矿程序与信息窃取工具,并通过混淆技术隐藏恶意载荷,部分脚本疑似 AI 生成,显示 AI 应用正成为新型攻击入口。
原文链接:https://gbhackers.com/openwebui-servers-targeted/
Oracle 修复高危 RCE 漏洞,可被远程未认证利用
摘要:Oracle 修复 CVE-2026-21992 漏洞,影响 Identity Manager 与 Web Services Manager。该漏洞无需认证即可远程执行代码,攻击者可完全控制系统、窃取身份数据并横向移动,CVSS 评分高达 9.8。
原文链接:https://gbhackers.com/oracle-fixes-high-severity-rce-vulnerability/
VoidStealer 窃密木马绕过 Chrome 加密机制
摘要:新型信息窃取木马 VoidStealer 通过调试器技术绕过 Chrome 应用绑定加密(ABE),利用硬件断点在内存中提取主密钥,无需提权或注入代码,隐蔽性极强,标志浏览器安全防护再次被突破。
https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
Trivy 漏洞扫描器遭供应链攻击,GitHub Actions 被植入窃密程序
摘要:攻击者入侵 Trivy 项目并篡改 GitHub Actions 标签,将恶意代码注入 CI/CD 流程,窃取环境变量、密钥及云凭证。攻击利用标签投毒机制实现隐蔽传播,影响大量开发流水线。
https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/
