index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html
![]()
本期网络安全资讯涵盖了多项重要议题。埃隆·马斯克旗下xAI公司因要求员工安装监控软件引发隐私担忧;多款冒充抖音官方的应用被揭露具有盗取存款的风险。国家标准方面,9项网络安全推荐性国家标准计划已下达。技嘉主板曝出恶意软件危机,修复困难。SaaS安全形势严峻,高达75%的企业遭遇过SaaS安全事件,AI对SaaS安全带来新挑战。此外,标普500公司中超六成已使用AI,但AI应用带来了不安全输出、数据泄露和知识产权盗窃等三大风险。SVG文件正成为网络钓鱼新宠,零点击攻击风险飙升。CISA则发布了火车制动系统失效的紧急安全警告。
🛡️ **AI在金融领域的风险不容忽视**:美国SEC发布报告,警示AI在金融市场应用中的三大危机,包括AI系统“黑箱”导致的不透明性、AI可能加剧市场操纵风险,以及AI技术在数据隐私和安全方面面临的挑战。金融机构需建立健全的风险管理框架,并定期评估AI系统的性能和合规性。
🚀 **SaaS安全形势告急,AI带来新挑战**:报告显示,75%的企业在过去一年遭遇了SaaS安全事件,比去年显著增加。权限问题和配置错误是主要原因。AI的广泛应用为SaaS安全带来了新的治理挑战,例如对非人类身份和生成式AI工具访问的监管需求。企业需要更有效的SaaS安全管理策略。
💻 **固件漏洞与恶意软件威胁升级**:技嘉主板被发现感染一种新型恶意软件,该恶意软件通过UEFI固件层面入侵,极难检测和清除,即使重装系统也无法根除,对用户数据安全构成严重威胁。由于修复复杂性,短期内难以找到彻底的解决方案,凸显了固件安全防护的重要性。
🎣 **SVG文件成为网络钓鱼新载体**:攻击者正利用SVG文件可嵌入HTML和JavaScript代码的特性,将恶意内容隐藏在看似无害的图像中,以绕过安全措施。这些攻击模仿合法服务,诱使用户打开附件,最终导向钓鱼网站,骗取敏感信息,零点击攻击风险显著升高。
🚄 **火车制动系统存在严重安全漏洞**:CISA发布警告,指出某些火车制动系统存在设计缺陷,可能导致制动失效,对铁路运输安全构成重大威胁。攻击者或可远程操纵制动系统。铁路运营商被敦促立即采取措施进行风险评估和系统更新,加强网络安全防护。
2025-07-16 16:30 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览 • 马斯克 xAI “监控门”:员工隐私与公司管理的激烈碰撞• 冒充抖音官方应用!手机里这两个软件会盗取你的存款• 关于下达9项网络安全推荐性国家标准计划的通知• 技嘉主板深陷恶意软件危机,短期内难寻解决之策• 65 万粉丝见证的失守:埃尔莫账号被用于发布反犹与种族主义内容• 七成半企业去年遭遇 SaaS 安全事件,安全形势告急• SVG 文件成网络钓鱼新宠,零点击攻击风险飙升• 美 SEC 重磅警示:AI 金融应用暗藏三大危机• 超六成标普 500 公司用 AI,三大风险成业务安全 “定时炸弹”• 火车制动失效风险:CISA发布紧急安全警告
特别关注关于下达9项网络安全推荐性国家标准计划的通知近日,国家标准化管理委员会下达的推荐性国家标准计划,其中《网络安全技术 网络安全产品互联互通 第4部分:威胁信息格式》等9项国家标准由全国网络安全标准化技术委员会归口管理,清单见附件。请项目所属工作组制定项目推进计划,并督促项目牵头承担单位按计划抓紧落实,在计划执行中要加强协调,广泛征求意见,确保标准质量和水平,按要求完成国家标准制修订任务。原文链接:https://www.tc260.org.cn/front/postDetail.html?id=20250715152423&sessionid=283582499
美 SEC 重磅警示:AI 金融应用暗藏三大危机美国证券交易委员会(SEC)近日发布了一份关于人工智能(AI)相关风险因素的报告,强调了AI技术在金融市场中的潜在影响及其带来的合规挑战。报告指出,随着AI在投资决策、市场分析和交易执行中的广泛应用,金融机构面临着前所未有的风险。首先,SEC强调了AI系统的透明度和可解释性问题。许多AI算法,尤其是深度学习模型,往往被视为“黑箱”,其决策过程难以理解。这种不透明性可能导致投资者在做出决策时缺乏必要的信息,从而增加市场的不稳定性。其次,报告提到AI技术可能加剧市场操纵的风险。由于AI可以快速处理大量数据并执行交易,恶意行为者可能利用这一点进行高频交易或其他操控市场的行为,进而损害市场的公平性。此外,SEC还关注了AI在数据隐私和安全方面的挑战。金融机构在使用AI时,需确保遵循相关的数据保护法规,以防止数据泄露和滥用。报告指出,合规性不仅是法律要求,也是维护客户信任的关键。最后,SEC呼吁金融机构在采用AI技术时,必须建立健全的风险管理框架,以识别和缓解潜在风险。机构应定期评估其AI系统的性能和合规性,确保其在快速变化的市场环境中保持竞争力。总之,SEC的报告为金融行业提供了关于AI技术的深刻见解,强调了在享受其带来的便利时,必须认真对待相关风险和合规问题。原文链接:https://www.theregister.com/2025/07/15/sec_risk_factors_ai/
热点观察冒充抖音官方应用!手机里这两个软件会盗取你的存款据北京市公安局西城分局反诈民警提醒,“抖音会议” 与 “银联会议” 这两款软件为诈骗软件。此类软件具备共享屏幕以及远程操控功能,当用户输入会议码时,手机会立即黑屏,此时诈骗分子便能随意操作,转走用户银行存款。同时,软件还会删除涉诈网址与电话,并阻挡 96110 反诈专线来电。抖音官方早已于今年 3 月发布声明,表明抖音会议 App 并非官方软件,并提醒用户警惕电诈。针对冒充抖音客服的诈骗行为,抖音反诈中心也在积极协同有关部门开展工作。在此,特别提醒广大用户,抖音官方客服绝不会以某项功能或服务即将扣费为由,要求用户下载其他软件或进行屏幕共享,若遭遇此类情况,建议立即卸载相关软件并及时报警。原文链接:https://www.pcsofter.com/news/125517.html?sessionid=283990979
马斯克 xAI “监控门”:员工隐私与公司管理的激烈碰撞据外媒《商业内幕》13 日报道,埃隆・马斯克的人工智能初创公司 xAI 要求员工在个人电脑上下载员工追踪软件 Hubstaff,引发隐私担忧,已有一名员工因此辞职。本月早些时候,xAI 告知负责训练 Grok 聊天机器人的导师,需在 7 月 11 日前将 Hubstaff 下载到个人电脑,并启用屏幕截图访问权限,且必须使用该软件。Hubstaff 官网显示,该软件能在工作时间内追踪员工网页访问、应用使用、屏幕截图、鼠标移动、键盘输入等行为。xAI 人力资源团队称,这款新工具旨在简化工作流程,洞察辅导活动,确保资源合理分配,还将用于评估员工绩效和收集研究数据。但此举引发员工强烈不满,有员工称这是 “伪装成生产力的监视”。面对质疑,xAI 在 Slack 上调整政策,申请公司电脑的员工可等收到电脑后再下载软件。对于担心隐私问题的员工,xAI 建议其用每月 50 美元技术津贴购买新电脑,或在个人设备上创建单独工作登录名。此前,Scale AI 也曾因要求员工安装 Hubstaff 监控数据标注员而引发争议。原文链接:https://www.techweb.com.cn/internet/2025-07-15/2963257.shtml?sessionid=284181259
七成半企业去年遭遇 SaaS 安全事件,安全形势告急AppOmni 发布的《2025 年 SaaS 安全状况报告》显示,SaaS 安全形势严峻。75% 的组织在过去一年遭遇了与 SaaS 相关的安全事件,比 2024 年增加了 33%。尽管 96% 的受访者认同 SaaS 安全愈发重要,但遗留习惯和认知不足阻碍了进展。报告指出,安全差距的根源包括分散的默认所有权模式以及对共享责任模型的误解。在众多问题中,41% 的事件源于权限问题,29% 由配置错误导致 。此外,61% 的受访者预计人工智能将主导明年 SaaS 安全讨论,因其带来新的治理挑战,如对非人类身份和生成式 AI 工具访问的监管需求。令人担忧的是,91% 的组织虽对自身 SaaS 安全态势表示有信心,但其中四分之三却经历过安全事件,且 89% 受攻击的组织自认为对 SaaS 环境有 “适当可见性”,这凸显了仅有可见性而缺乏执行与持续验证的危险性。同时,仅有 13% 的受访者目前使用专用的 SaaS 安全态势管理(SSPM)解决方案,尽管近三分之一的人表示有需求。SaaS 安全形势紧迫,企业急需转变策略,采用有效的工具和明确的责任机制,以应对不断增长的威胁。原文链接:https://www.infosecurity-magazine.com/news/saas-security-adoption-grows/
超六成标普 500 公司用 AI,三大风险成业务安全 “定时炸弹”2025 年 7 月 15 日发布的研究显示,标普 500 指数成分股公司中,65% 已将人工智能融入业务运营,但伴随而来的是严峻的安全风险。研究团队在 327 家公开使用 AI 工具的企业中,识别出 970 个潜在 AI 安全问题。其中,三大主要风险尤为突出:205 起潜在的不安全 AI 输出(如医疗 AI 给出错误治疗建议)、146 起 AI 系统数据泄露风险(含客户隐私信息泄露)、119 起 AI 相关知识产权盗窃案例。从行业来看,科技软件与半导体行业风险最高,涉及 202 个潜在问题,包括 40 起知识产权盗窃;金融服务与保险业面临 35 起数据泄露风险及 22 起算法偏见问题;医疗健康领域则存在 28 起不安全输出风险,可能直接威胁患者安全。专家指出,企业需在 AI 部署全流程嵌入安全机制,如实施零信任验证、数据分类管控、加密保护等,同时加强第三方工具审核,以平衡 AI 带来的效率提升与安全风险。原文链接:https://cybernews.com/security/sp-500-companies-ai-security-risks-report/
安全事件技嘉主板深陷恶意软件危机,短期内难寻解决之策近期,网络安全公司 Binarly 发现了一种新型恶意软件,正感染技嘉主板,且短期内或无法修复。此恶意软件通过 UEFI(统一可扩展固件接口)入侵,UEFI 是替代传统 BIOS 的系统规范,负责电脑加电自检、与操作系统通信等。由于其处于固件层面,比普通恶意软件更难检测和清除,即便重装操作系统也无法彻底解决。这种恶意软件感染后,能在系统启动时执行恶意代码,窃取敏感数据,如用户账号密码、财务信息等,给用户带来极大风险。Binarly 指出,技嘉部分主板的 BIOS 存在漏洞,使恶意软件有机可乘。目前,技嘉尚未发布针对此问题的有效补丁,原因在于修复 BIOS 漏洞复杂且需确保兼容性,避免影响主板正常功能。对于用户而言,应避免从不可信来源下载和安装软件,以防恶意软件入侵。若怀疑电脑感染,可使用专业安全软件检测,但普通安全软件可能无法完全清除该恶意软件。长远看,主板厂商需加强固件安全防护,定期更新 BIOS,及时修复漏洞,以提升产品安全性,保护用户数据。原文链接:https://www.techradar.com/pro/security/a-new-malware-is-infecting-gigabyte-motherboards-and-there-likely-wont-be-a-fix-any-time-soon
65 万粉丝见证的失守:埃尔莫账号被用于发布反犹与种族主义内容2025 年 7 月 13 日,拥有 65 万多粉丝的芝麻街角色埃尔莫(Elmo)的官方 X 账号遭黑客入侵,发布了约 6 条包含种族主义和反犹主义的攻击性信息。黑客模仿埃尔莫标志性的第三人称口吻,发布 “埃尔莫说所有犹太人都该去死” 等仇恨言论,还涉及关于特朗普、爱泼斯坦的虚假阴谋论及不当内容,与该角色的纯真形象形成强烈反差。芝麻工作室(Sesame Workshop)迅速回应,谴责此次黑客攻击,称账号已被短暂入侵,正全力恢复控制并已确保账号安全。涉事内容于周日下午被删除,但截图已广泛传播,截至 7 月 14 日账号恢复正常,最新合法内容为 7 月 12 日祝福好友的帖子。此次事件发生在 X 平台(由埃隆・马斯克旗下)仇恨言论问题加剧的背景下。马斯克的 AI 聊天机器人 Grok 一周前曾生成反犹内容,且自 2022 年马斯克收购该平台后,仇恨言论增幅约 50%。反诽谤联盟谴责此举 “令人震惊”,认为助长了反犹仇恨的正常化。该事件警示,数字时代任何账号都可能遭恶意攻击,平台需承担更多安全责任。原文链接:https://cybersecuritynews.com/elmos-x-account-hacked/
火车制动失效风险:CISA发布紧急安全警告美国网络安全和基础设施安全局(CISA)近日发布警告,指出某些火车制动系统存在严重的安全漏洞。这些漏洞可能导致制动失效,从而对铁路运输安全构成重大威胁。CISA的警告主要针对使用了特定型号制动控制器的火车,这些控制器的设计缺陷使得黑客能够远程操控制动系统。根据CISA的报告,攻击者可以利用这些漏洞进行未授权访问,进而影响火车的制动功能。该机构强调,虽然目前尚未发现针对这些漏洞的实际攻击案例,但由于其潜在的危害性,铁路运营商应立即采取措施进行风险评估和系统更新。CISA建议铁路公司实施多层次的安全防护措施,包括定期更新软件、加强网络监控以及对员工进行安全培训。此外,铁路行业的相关企业应与设备制造商紧密合作,确保所有系统都能及时修补已知的安全漏洞。在此背景下,CISA还呼吁铁路行业加强信息共享,以便更有效地应对网络安全威胁。随着铁路系统日益依赖数字化技术,确保其安全性已成为当务之急。总之,CISA的警告提醒我们,铁路运输的安全不仅依赖于物理设施的完好,更需要在网络安全方面进行全面的防护和监控。原文链接:https://cyberpress.org/cisa-warns-train-brake-flaws/
攻防技术SVG 文件成网络钓鱼新宠,零点击攻击风险飙升网络安全专家观察到,利用 SVG(可缩放矢量图形)文件进行网络钓鱼攻击的情况正显著增加。攻击者利用 SVG 格式可嵌入 HTML 和 JavaScript 代码的特性,将恶意内容隐藏在看似无害的图像文件中,以绕过安全措施并实施网络钓鱼。2025 年初,此类攻击呈现明显上升趋势。从 1 月到 3 月,研究人员识别出 2825 封带有 SVG 附件的网络钓鱼电子邮件;仅 4 月上半月,这一数字就达到 1324 封。这些活动通常模仿谷歌语音、电子签名服务等合法服务,诱使用户打开附件。当在文本编辑器中打开这些 SVG 文件时,会发现它们实际上是嵌入了链接或 JavaScript 代码的 HTML 页面。例如,有的钓鱼邮件伪装成电子签名服务通知,用户打开 SVG 附件后,会执行 JavaScript 并跳转到带有虚假微软登录表单的钓鱼网站;还有的 SVG 文件在浏览器中显示为带有欺骗性链接的 HTML 页面,将用户重定向到伪装成谷歌语音的钓鱼站点,骗取企业邮箱登录凭证。攻击者将 SVG 作为恶意内容载体,代表了网络钓鱼策略的演变。虽然目前攻击相对基础,但由于 SVG 文件的图像性质可绕过某些安全协议,企业和网络安全专业人员必须调整防御措施,以识别和应对基于 SVG 的网络钓鱼尝试。原文链接:https://www.csoonline.com/article/4022432/how-phishers-are-weaponizing-svg-images-in-zero-click-evasive-campaigns.html
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
阅读原文
跳转微信打开
