全球网安事件速递

1. OpenAI获五角大楼2亿美元合同，探索国防领域AI应用

OpenAI获美国防部2亿美元合同，开发前沿AI技术用于国家安全，聚焦行政优化与网络防御，强调不涉武器系统。此举标志美国政府加速AI军事应用，OpenAI高管已加入军方AI咨询团队。【外刊-阅读原文】

2. CVE-2025-49596：MCP Inspector 严重远程代码执行漏洞威胁AI开发环境安全

MCP Inspector工具存在严重RCE漏洞（CVE-2025-49596，CVSS 9.4），攻击者可远程执行任意命令、窃取数据或污染AI模型。该漏洞影响0.14.1之前版本，建议立即升级并检查网络暴露风险。【外刊-阅读原文】

3. 攻击者泄露740万巴拉圭公民个人信息，索要人均1美元赎金

巴拉圭遭遇史上最严重数据泄露，740万公民敏感信息被勒索团伙公开索要740万美元。攻击者使用Lumma Stealer窃取凭证，可能涉及地缘政治。政府拒付赎金但应对模糊，事件凸显拉美系统性网络安全危机。【外刊-阅读原文】

4. 攻击者利用浏览器更新投递PowerNet加载器和NetSupport远控木马

灰阿尔法黑客组织伪造浏览器更新页面投递PowerNet恶意软件，利用7-Zip下载站点和TAG-124系统部署NetSupport RAT，与FIN7集团关联。攻击采用高级指纹识别技术，仿冒知名服务域名，持续活跃且隐蔽性强。【外刊-阅读原文】

5. 规模化应用生成式AI前，需先绘制LLM使用与风险图谱

企业需通过审计LLM使用情况、建立输入输出防护机制来降低生成式AI风险，重点关注提示注入、数据泄露等漏洞。红队测试、数据净化和访问控制是关键，应将LLM视为高价值资产保护，并纳入SDLC流程严格管理。【外刊-阅读原文】

6. 攻击者滥用Windows运行提示框执行恶意命令并部署DeerStealer窃密木马

网络安全研究人员发现攻击者利用Windows"运行"提示框传播DeerStealer恶意软件，通过社会工程诱骗用户执行恶意命令。该软件窃取加密货币、浏览器凭证等数据，采用高级混淆技术和隐蔽基础设施，在暗网以订阅制出售，月费200-3000美元。【外刊-阅读原文】

7. 谷歌云服务大规模中断事件溯源，API管理系统故障引发全球瘫痪

2025年6月12日，谷歌云因API管理系统空指针异常导致全球服务瘫痪七小时，影响数百万用户。故障源于未启用错误处理和功能标志的配额策略变更，引发全球崩溃。整改措施包括冻结变更、模块化改造和强制功能标志保护。【外刊-阅读原文】

8. PoCGen：基于大语言模型的npm漏洞利用代码自动生成工具

PoCGen工具结合大语言模型与静态/动态分析技术，自动生成npm漏洞的PoC利用代码，成功率高达77%，成本仅0.02美元/次，显著提升漏洞修复效率，支持开发者、安全研究人员和事件响应人员。【外刊-阅读原文】

9. 微软因安全漏洞禁用黑暗环境下的Windows Hello面部识别功能

微软因安全漏洞禁用Windows Hello黑暗环境面部识别，用户需改用指纹或PIN码。漏洞涉及对抗性输入扰动，暂无利用证据。临时方案可禁用网络摄像头强制红外认证。【外刊-阅读原文】

10. 华硕Armoury Crate曝高危漏洞：身份验证可被绕过

华硕Armoury Crate软件存在严重安全漏洞（CVE-2025-3464），CVSS评分8.4，影响V5.9.9.0至V6.1.18.0版本，可被攻击者绕过身份验证。华硕紧急呼吁用户立即通过应用内更新中心升级至最新版本。【外刊-阅读原文】

优质文章推荐

1. burp插件编写：基础篇——监听器

Burp插件开发指南：介绍Burp插件开发基础，包括监听器使用（HTTP、Proxy、Scanner等）、API操作、环境搭建及首个Demo实现，帮助安全人员自定义功能提升效率。【阅读原文】

2. 从铭飞CMS看JAVA代码审计流程

铭飞CMS存在多处漏洞：SQL注入（orderBy、fieldName可控）、Freemarker模板注入、文件上传+路径穿越、任意文件删除。审计思路包括分析框架技术、依赖库漏洞、全局搜索$找SQL注入点，以及接口路由追踪。适合新手学习企业级源码审计。【阅读原文】

3. 记一次爱加密企业版脱壳与反调试绕过

文章介绍了绕过Frida反调试的多种方法，包括Hook pthread_create、阻止反调试库加载、Hook mprotect提取内存数据等，并详细分析了实践中的技术难点与解决方案，最终指出针对新版加固需虚拟机脱壳。【阅读原文】

漏洞情报精华

1.宏景eHR returnSynchroXml XXE漏洞

https://xvi.vulbox.com/detail/1934897963662970880

2.时空智友企业流程化管控系统 getRemoteAddr 设计缺陷漏洞

https://xvi.vulbox.com/detail/1934807479804366848

3.用友NC changeEvent SQL注入漏洞

https://xvi.vulbox.com/detail/1934857920890146816

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。