导语:研究人员发现大量未开启认证的OpenWebUI实例被攻击。
嘶吼安全动态
【国内新闻】
国家级电力AI中试基地启用,华为、百度入驻筑牢能源AI安全
摘要:作为电力人工智能领域的“桥梁型平台”,中试基地已成功连接100多家不同领域单位。
原文链接:https://baijiahao.baidu.com/s?id=1860252756515987591&wfr=spider&for=pc
中央网信办规范短视频标注,AI摆拍/虚假营销强制显形溯源
摘要:全平台整治无标识AI生成内容、虚构演绎,启用AI识别+人工复核,违规内容下架整改,净化内容生态。
原文链接:http://m.toutiao.com/group/7619651131685388815/
AI智能体风险被系统性揭示
摘要:国家互联网应急中心指出AI智能体面临提示词注入、插件投毒等风险,攻击者可诱导模型泄露敏感数据或执行恶意操作,攻击门槛显著降低。
原文链接:
https://www.stcn.com/article/detail/3691088.html
北京网安破获特大“网络开盒”案,涉案信息超千万条
摘要:嫌疑人搭建社工库非法售卖个人信息,涉案网站访问量30万+,5人因侵犯公民个人信息罪获刑1年6个月至7年,罚金1.5万-7万元。
原文链接:http://m.toutiao.com/group/7620051829627306534/
【国外新闻】
OpenClaw风险引发全球安全关注
摘要:AI智能体OpenClaw安全问题被认为具有全球影响,涉及设备劫持、数据泄露及金融操作风险,多国开始关注其潜在攻击面扩展问题。
原文链接:
https://www.chinanews.com.cn/sh/2026/03-23/10591104.shtml
OpenWebUI服务器遭攻击,被植入挖矿与信息窃取恶意代码
摘要:研究人员发现大量未开启认证的OpenWebUI实例被攻击,黑客利用其AI接口部署挖矿程序与信息窃取工具,并通过混淆技术隐藏恶意载荷,部分脚本疑似AI生成,显示AI应用正成为新型攻击入口。
原文链接:https://gbhackers.com/openwebui-servers-targeted/
Oracle修复高危RCE漏洞,可被远程未认证利用
摘要:Oracle修复CVE-2026-21992漏洞,影响Identity Manager与Web Services Manager。该漏洞无需认证即可远程执行代码,攻击者可完全控制系统、窃取身份数据并横向移动,CVSS评分高达9.8。
原文链接:https://gbhackers.com/oracle-fixes-high-severity-rce-vulnerability/
VoidStealer窃密木马绕过Chrome加密机制
摘要:新型信息窃取木马VoidStealer通过调试器技术绕过Chrome应用绑定加密(ABE),利用硬件断点在内存中提取主密钥,无需提权或注入代码,隐蔽性极强,标志浏览器安全防护再次被突破。
原文链接:
https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
Trivy漏洞扫描器遭供应链攻击,GitHub Actions被植入窃密程序
摘要:攻击者入侵Trivy项目并篡改GitHub Actions标签,将恶意代码注入CI/CD流程,窃取环境变量、密钥及云凭证。攻击利用标签投毒机制实现隐蔽传播,影响大量开发流水线。
原文链接:
https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/
如若转载,请注明原文地址
