2025-08-15 13:09 北京
牛览网络安全全球资讯,洞察行业发展前沿态势!
新闻速览
国家信息安全漏洞库通报Fortinet FortiWeb安全漏洞情况
南昌一医疗机构未履行网络安全保护义务被网信部门行政处罚
两项网络安全国家标准公开征集参编单位
人工智能教父Hinton提出:为AI植入“母性本能”以避免威胁人类
抖音曝光2025年8类典型诈骗手段
施乐打印机紧急修复两个严重漏洞,可被攻击者远程控制
GitHub新型恶意软件活动曝光:可伪装成合法游戏外挂窃取用户数据
微软发布8月补丁日安全风险通告,修复107个漏洞
Gemini已正式上线"临时聊天"功能,直击用户隐私保护痛点
字节跳动Seed开源VeOmni框架,可解锁任意模态模型训练
特别关注
国家信息安全漏洞库通报Fortinet FortiWeb安全漏洞情况
近日,国家信息安全漏洞库(CNNVD)正式通报了Fortinet FortiWeb 安全漏洞(CNNVD-202508-1265、CVE-2025-52970)的相关情况。攻击者可以利用此漏洞,通过构造恶意请求,可导致权限提升。
Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。漏洞源于程序在处理会话cookie 时存在越界读取问题,攻击者可以利用此漏洞,通过构造恶意请求,可导致权限提升。
Fortinet FortiWeb 7.6.3及之前版本、7.4.7及之前版本、7.2.10及之前版本和7.0.10及之前版本存在安全漏洞。目前,Fortinet官方已发布了漏洞修复补丁,CNNVD建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
官方补丁链接:
南昌一医疗机构未履行网络安全保护义务被网信部门行政处罚
近日,接上级网信部门通报,南昌市某医疗机构所属IP疑似被黑客远程控制,并频繁与恶意域名进行通联。7月3日,南昌市网信办决定开展立案调查。经过现场勘验、远程勘验(采样技术分析)、笔录问询等工作,查明:该医疗机构未履行网络安全保护义务,未采取技术措施防范危害网络安全的行为,导致所运营和使用的网络感染了木马病毒、与境外网站发生通联行为。该医疗机构的相关行为违反了《中华人民共和国网络安全法》第二十一条、第二十五条的规定。
8月11日,南昌市网信办依据《中华人民共和国网络安全法》第五十九条的规定,对该医疗机构作出警告的行政处罚。
原文链接:
https://mp.weixin.qq.com/s/hoOLbh89828uZBnCBDZbrQ?scene=1&click_id=26
两项网络安全国家标准公开征集参编单位
日前,为切实做好网络安全国家标准编制工作,鼓励更多单位切实参加到标准编制过程中,提高标准编制工作的开放性、公正性、透明性,提升标准的适用性和质量,《信息安全技术 密码设备应用接口规范》和《信息安全技术 可信计算规范 服务器可信支撑平台》两项网络安全国家标准制定的牵头单位,按照《全国网络安全标准化技术委员会标准参与单位管理办法(暂行)》要求,公开征集相关标准参编单位。具体要求如下:
原文链接:
热点观察
人工智能教父Hinton提出:为AI植入“母性本能”以避免威胁人类
AI教父 Geoffrey Hinton 在日前举办的拉斯维加斯 Ai4 大会上提出,为了避免 AI技术在未来威胁人类,应该给尽快给AI植入“母性本能”,让它有保护和关爱人类的动机。
Hinton 认为,如果 AI 真有一天变得很聪明,它会很快发展出两个目标:第一个是活下去,第二个是获取更多控制权。这两个目标已经在一些实验中被证实。比如,有模型在感到威胁时,会对人类做出对抗行为,甚至曾试图欺骗工程师,把自己复制到外部设备。因此必须提前采取措施,避免这种可能出现。
他还提到,要让机器真正关心人类,并不容易,目前还不确定在技术上该怎么实现,但这是 AI 研究必须关注的重要方向。
不过也有一些专家并不认同Hinton的观点。人工智能专家李飞飞表示,应该重点发展以人为本、尊重人类尊严和自主性的 AI,而不是让 AI 依赖某种“情感”来保护人类。
参考链接:
https://www.webpronews.com/hinton-proposes-maternal-instincts-in-ai-to-avert-superintelligent-risks/
抖音曝光2025年8类典型诈骗手段
抖音日前整理披露了今年以来最典型的八类诈骗类型,并表示“不下载、不转账、不共享屏幕,不相信天上掉下的馅饼和完美对象,就能躲过大部分诈骗套路”。
1、仿冒抖音客服诈骗:诈骗分子仿冒抖音客服的身份,利用中老年用户对网络的不熟悉和恐慌心理,以“协助关闭”为由引导对方下载第三方 App 或共享屏幕,直接获取用户银行卡账户信息进行盗刷。
2、商品售后诈骗:诈骗分子先在知名平台开设大量网店,故意发错货或寄劣质品,待消费者投诉后,以售后理赔为由引导消费者添加其他社交软件,脱离电商平台监管。接下来以“刷单返利”“投资盈利”等高额诱导,或“账号冻结”“法律追责”等恐吓方式,要求用户持续转账、充值进行诈骗。
3、杀猪盘诈骗:诈骗分子打造美女人设或男性优质职业人设,发布想要处对象的内容吸引目标受众,再引导受害者至站外下载其他 App进行诈骗;
4、“约炮”“裸聊”诈骗:诈骗分子通过在社交平台发布低俗视频吸引目标受众,引导用户查看自己的主页,再利用置顶视频在主页展示封面拼接网址,诱导至站外下载“约炮”App,以低价、免费约炮为“诱饵”,通过会员费、任务费、保证金、酒店费等借口不断索要钱财,实施欺诈。
5、兼职诈骗:诈骗分子发布“兼职招聘”诱饵,以兼职为由诱导对方下载第三方软件、加入其他平台“兼职群”等。后续再以“先缴纳保证金”“刷单垫付”“任务保证金”等由头哄骗用户不断充值、汇款,实施诈骗。
6、虚假交易诈骗:诈骗分子以低价售卖热门商品,吸引目标用户主动联系后引导至站外交易。用户付款后,诈骗分子除了直接失联,还可能以“发货失败”为由诱导用户共享屏幕,盗走用户财产。
7、未成年人游戏诈骗:诈骗分子发布“退坑送游戏账号”“招徒弟送皮肤”“免费代练、陪练”等针对未成年人的内容,将用户引导至其他平台后,再假冒警务人员以配合调查、否则上门告知父母等话术威胁、诱导对方使用家长手机进行转账。
8、仿冒跨境电商开店诈骗:诈骗分子发布大量内容讲解 AI 云店铺开店方法,诱导用户低价下单“开店教程”“开店资格”,再以“客服售后指导”为由将用户引导至站外。
之后引导用户下载虚假 App 搭建“商铺”开展诈骗。
原文链接:
https://mp.weixin.qq.com/s/nqN6lJunhEsiVX7fYx3XTw?scene=1&click_id=40
网络攻击
施乐打印机紧急修复两个严重漏洞,可被攻击者远程控制
日前,施乐 (Xerox)打印机公司发布FreeFlow Core的安全更新,修复了两个严重安全漏洞。其中:
CVE-2025-8355漏洞可导致服务器请求伪造,主要因为 FreeFlow Core 8.0.4中的XML 输入处理不当造成的。该漏洞可被攻击者用于侦查内部网络服务、访问受保护系统中的敏感数据以及绕过防火墙限制。
CVE-2025-8356是RCE路径遍历漏洞,CVSS评分高达9.8,是源自同样版本中的路径遍历漏洞。攻击者可利用该漏洞访问服务器上的未授权文件,从而可能将攻击升级至远程代码执行。
以上两个漏洞均影响8.0.4版本且已在最新发布的8.0.5版本中修复。施乐公司督促所有客户立即升级至FreeFlow Core 8.0.5版本,缓解这些威胁。客户可从施乐官方网站获取该更新。
参考链接:
https://cybersecuritynews.com/xerox-freeflow-core-vulnerability/
GitHub新型恶意软件活动曝光:可伪装成合法游戏外挂窃取用户数据
AhnLab 安全情报中心(ASEC)近期发现,恶意攻击者正在利用 GitHub 分发一种新型恶意软件加载器——SmartLoader。
据 ASEC 介绍,威胁行为者会“精心伪装仓库,使其看起来像是合法项目”,并锁定游戏外挂、软件破解、自动化工具等热门搜索关键词进行投放。当用户搜索特定关键词时,“包含 SmartLoader 恶意软件的 GitHub 仓库往往会出现在搜索结果前列”,极易让毫无防备的受害者下载。
这些 README 文件内容完整、撰写专业,通常包含项目概述、目录、主要功能、安装与使用说明等,营造出一种可信的假象。然而,按说明操作后,用户会下载到一个包含四个文件的 ZIP 压缩包——其中包括两个合法可执行文件、一个恶意批处理文件,以及一个混淆过的 Lua 脚本。
一旦运行,SmartLoader 会“向 C2 服务器发送受感染电脑的截图及系统信息”,然后根据服务器指令执行更多恶意命令。其与 C2 的所有通信均采用 Base64 编码并经过混淆处理。
参考链接:
https://securityonline.info/github-malware-campaign-smartloader-poses-as-game-cheats-to-steal-data/
微软发布8月补丁日安全风险通告,修复107个漏洞
2025年8月12日,微软发布了2025年8月份安全更新,共包含107个漏洞的补丁程序。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Windows Remote Desktop Services、Microsoft Windows GDI+、Microsoft Web Deploy、Microsoft SharePoint、Microsoft Windows DirectX等。
微软多个产品和系统版本受漏洞影响,具体影响范围可访问微软官方网站查询:
参考链接:
产业动态
Gemini已正式上线"临时聊天"功能,直击用户隐私保护痛点
据科技媒体9To5Google披露,Gemini移动应用已正式上线"临时聊天"(Temporary Chat)功能,堪称Gemini版"无痕浏览"。当用户点击界面中的虚线聊天气泡图标进入该模式后,所有对话内容将彻底剥离常规记录系统——不会出现在聊天历史和应用活动中,更不会被用于模型训练或个性化推荐。
这种设计直击用户隐私痛点,尤其适用于咨询敏感健康问题、讨论机密商业创意,或纯粹想尝试不同对话风格而担心影响主账号体验的场景。临时聊天数据仅保留72小时,用于维持对话连续性和问题处理,此后便永久消失。
临时聊天模式响应了日益严苛的全球数据保护法规(如欧盟GDPR),也反映出用户对数据主权意识的觉醒。如何在提供个性化服务与尊重用户隐私之间取得平衡,将成为所有AI玩家的核心课题。
参考链接:
字节跳动Seed开源VeOmni框架,可解锁任意模态模型训练
近年来,大模型技术正从单一文本模态,向包含图像、语音、视频等多种信息的“全模态”(Omni-Modal)理解生成方向演进。但目前训练一个能“看”、能“听”、能“说”的全能模型,依然面临着系统性的工程挑战。为推动全模态大模型的研究与应用,字节跳动 Seed 团队日前发布并开源了全模态 PyTorch 原生训练框架——VeOmni。
VeOmni 采用以模型为中心的分布式训练方案,可将复杂的分布式并行逻辑与模型计算解耦,让研究员像搭积木一样,为全模态模型组合设置高效的并行训练方案。这一方式可大幅降低工程开销,提升训练效率和扩展性,工程耗时可压缩 90% 以上。实验结果表明,基于 VeOmni 框架,一个 300 亿参数的全模态 MoE 模型(支持文本、语音、图片、视频的理解和生成), 在 128 张卡上训练吞吐量可超过 2800 tokens/sec/GPU,并能轻松扩展至 160K 超长上下文序列。目前,VeOmni 的相关论文和代码仓库均已对外公开,GitHub Star 数超过 500。
参考链接:
https://mp.weixin.qq.com/s/A1CdiEiSaGrh_aH_ggBINg
合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
