恶意机器人占全网流量 40%，AI 驱动攻击暴增 12.5 倍；CNNVD 周报：本周新增漏洞 1447 个，超危 96 个需紧急修复| 牛览

新闻速览

• CNNVD 周报：本周新增漏洞 1447 个，超危 96 个需紧急修复

• 恶意机器人占全网流量 40%，AI 驱动攻击暴增 12.5 倍

• 29 亿泄露凭证敲响警钟，2026 网络犯罪趋势与防御关键

• CISA 联合多部门发布 OT 零信任落地指南，破解工控安全痛点

• AWS Security Hub 升级：统一多云安全运营，破解多云安全割裂痛点

• 盗版流媒体平台大规模宕机，背后黑暗面曝光

• 足坛史上最大数据泄露：AFC 与 AlNassrFC 遭入侵，15 万人敏感信息外泄

• 仿冒 DHL 钓鱼邮件泛滥，低技术攻击利用日常场景精准诱骗

• 致命加密缺陷：Vect 勒索软件沦为数据擦除器

• 欧盟指控 Meta 违反 DSA，未成年人保护机制全面失效

特别关注

CNNVD 周报：本周新增漏洞 1447 个，超危 96 个需紧急修复

国家信息安全漏洞库（CNNVD）发布 2026 年第 17 期周报（4 月 20 日 —4 月 26 日），本周公开采集漏洞 1447 个，数量环比上升。

漏洞分布方面，Linux 基金会以 255 个居首，Oracle、WordPress 基金会紧随其后；国内厂商漏洞 85 个，腾达 21 个最多，整体修复率 51.16%。类型上跨站脚本占比最高，达 6.15%。

危害等级与修复：超危 96 个、高危 369 个、中危 896 个、低危 86 个，整体修复率 76.57%，中危修复率最高（80.13%），低危最低（47.67%）。

重点漏洞包括 Microsoft ASP.NET Core 数据伪造、IBM 存储控制台命令注入、WordPress 插件文件删除漏洞；AI 领域 OpenClaw、Hermes Web UI、OpenHarness 曝出高风险漏洞，厂商均已发布补丁，建议尽快更新加固。

本周漏洞平台推送 4523 个，接报漏洞 729 个，收录通报 200 份，安全运营需重点排查高风险组件与弱配置项。

https://www.cnnvd.org.cn/group1/M00/02/52/rBBlBmnxoYmASTWvAAa0dWWZ2Wg424.pdf

热点观察

29 亿泄露凭证敲响警钟，2026 网络犯罪趋势与防御关键

2026 年 4 月 29 日，威胁情报公司 KELA 发布《2026 年网络犯罪态势：新兴威胁与预测》报告，披露 2025 年全球网络安全核心数据与趋势。

报告显示，2025 年全球被泄露的凭证总量接近29 亿条，涵盖用户名、密码、会话令牌、Cookie 等，来源包括 URL 登录密码列表、泄露邮箱库及黑灰产交易市场。其中至少3.47 亿条凭证来自信息窃取程序，受感染设备约 390 万台；macOS 平台信息窃取程序感染量从 2024 年不足 1000 台激增至 2025 年超 7 万台，成为新增长点。

网络攻击整体态势显著恶化：勒索软件受害者同比增长45%，达 7549 起，由 147 个活跃团伙实施，其中新增 80 个；CISA 的 KEV 漏洞目录新增 238 个漏洞，较 2024 年增长 29%，黑产更青睐武器化批量利用脚本与专属漏洞利用工具。受地缘政治影响，2025 年新增 250 个黑客行动主义组织，DDoS 攻击增长 400% 至 3500 起。软件供应链被持续武器化，OAuth 劫持与开源蠕虫威胁加剧。

AI 已深度融入攻击链，网络犯罪与 APT 组织从辅助使用 AI 转向将其作为攻击核心，从大模型基础越狱发展到氛围攻击，可自主执行完整攻击流程，超 80% 操作仅需极少人工干预。AI 辅助恶意软件、提示注入攻击愈发普遍。报告指出，攻击者正大量利用被盗凭证直接入侵，依赖传统防御的机构面临严重风险。

https://www.infosecurity-magazine.com/news/29-billion-compromised-credentials/

致命加密缺陷：Vect 勒索软件沦为数据擦除器

2026 年 4 月 29 日，Check Point 研究人员披露，Vect RaaS 勒索软件存在严重加密缺陷，超过 128KB 的文件会被不可逆加密，本质沦为数据擦除器，受害者支付赎金也无法恢复核心数据。

Vect 依托 BreachForums 开放加盟模式，向论坛注册用户批量提供 affiliate key，研究人员借此获取其控制面板与生成器，分析 Windows、Linux、ESXi 全平台 Vect 2.0 变体。该勒索软件为 C++ 静态编译，内嵌 libsodium，采用 ChaCha20-IETF 无认证加密，宣称的快慢加密模式未实际生效。

核心缺陷在于大文件分块加密逻辑：文件超 128KB 时被分为四块，循环加密时每轮生成的新 nonce 持续覆盖同一内存缓冲区，仅最后一块的 nonce 被写入文件，前三个 nonce 永久丢失，导致前三分之二数据无法解密，攻击者亦无法修复。该漏洞存在于所有已知版本，企业级虚拟机磁盘、数据库、文档与备份等关键资产几乎全部受损Check Point Research。

此外，Vect 存在混淆逻辑自失效、抗分析代码不可达、线程调度拖慢加密等多处问题。虽采用双重勒索模式，但面板暂不支持专用数据窃取工具，部分攻击者可能仅执行加密。研究团队指出，该组织运营野心与密码学、软件工程能力严重不匹配，建议受害机构无需支付赎金，优先通过备份恢复业务。

https://www.helpnetsecurity.com/2026/04/29/vect-ransomware-bug/

恶意机器人占全网流量 40%，AI 驱动攻击暴增 12.5 倍

2026 年 4 月 29 日，Thales 发布 2025 年机器人流量安全报告，全球互联网自动化流量占比超 53%，其中恶意机器人流量接近 40%，人类真实流量仅 47%，网络威胁态势持续恶化。

报告显示，AI 驱动的机器人攻击在 2025 年激增12.5 倍，攻击形态从简单脚本升级为可高度模拟人类行为的 AI 智能体，合法自动化与恶意攻击边界愈发模糊。传统 “识别是否为机器人” 的防护思路已失效，安全核心转向判断机器人行为是否符合业务意图、监控其与关键系统的交互逻辑。

攻击目标持续向后端转移，约27% 的恶意机器人专门针对 API发起攻击，绕过前端界面直接操作后端系统，利用业务逻辑漏洞实施破坏。行业层面，金融服务领域受冲击最严重，46% 的账户劫持事件与恶意机器人相关。

Thales 应用安全全球副总裁 Tim Chang 指出，自动化已从 “需拦截的对象” 变为 “必须管控的资源”，企业需建立行为分析与意图识别体系，而非单纯依赖拦截规则。

此次数据印证 “死亡互联网” 理论持续生效，机器人主导流量已成常态。建议企业升级 API 安全与业务风控能力，通过行为基线、意图审计与异常流程检测，构建覆盖自动化流量的全生命周期防护体系。

https://www.techradar.com/pro/security/the-challenge-is-no-longer-identifying-bots-its-understanding-what-the-bot-agent-or-automation-is-doing-new-report-flags-40-percent-of-all-internet-traffic-is-now-bad-bots

安全事件

盗版流媒体平台大规模宕机，背后黑暗面曝光

近日，多个知名电影盗版网站突然无法访问，用户尝试访问Sflix、Watchseries、HDtoday和Fmovies等平台时，页面均出现相同的“错误521”提示。这一错误由Cloudflare提供，意味着网站服务器拒绝连接，问题出在服务器本身，而非流量保护措施。

此次大规模网站瘫痪的现象并非偶然。多个主要盗版平台的域名停止工作，涉及的站点包括myflixerz.to、sflix.to、moviesjoytv.to等。错误521是由服务器拒绝连接引发的故障，意味着这些网站所依赖的服务器集群遭遇了全面中断。

值得注意的是，这些盗版网站普遍采用了“盗版即服务”的模式，视频内容并不存储在网站本身，而是通过外部平台如MegaCloud和VidCloud进行流媒体传输。由于多个站点共用同一基础设施，一旦服务器出现故障，所有相关网站便会遭遇宕机问题。

目前，故障原因仍未明确，且是否能够恢复尚未得知。不过，以往经验表明，盗版网站即便遭遇重大打击，通常也会在一段时间后以新的域名重新上线。因此，尽管此次事件造成了短期的损失，盗版市场仍有可能迎来新的变化。

业内人士指出，这一事件与2023年2embed服务关闭后的影响相似，后者也曾造成大规模的盗版流媒体市场下滑。电影协会（Motion Picture Association）曾在2025年秋季将Sflix和Myflixerz列入重点打击对象，这两大平台在2025年8月的访问量高达6.22亿次，显示出它们在全球盗版市场中的重要地位。

目前，尽管相关反盗版机构未声明与此次事件直接关联，但业内对这一突发故障的原因进行了广泛猜测。随着“盗版即服务”模式的盛行，类似的技术性风险仍可能对整个盗版视频产业带来长期影响。

https://www.securitylab.ru/news/572155.php

足坛史上最大数据泄露：AFC 与 AlNassrFC 遭入侵，15 万人敏感信息外泄

2026 年 4 月 30 日，亚洲足球联合会 AFC 及沙特俱乐部 AlNassrFC 遭遇重大数据泄露，黑客宣称这是足坛史上最大规模数据泄露事件，涉及超 15 万名球员、教练及工作人员的敏感信息已被发布至暗网论坛 PwnForums。

泄露数据包含护照扫描件、球员合同、电子邮箱、AFC 注册文件，以及全名、出生日期、国籍、球员位置、AFC ID、俱乐部与赛事信息等，攻击者已公开样本以证实数据真实性。AlNassrFC 球员 Cristiano Ronaldo、Sadio Mané、Marcelo Brozović等均在受影响范围内。

Dataminr 网络情报官员 Jeanette Miller-Osborn 指出，护照、验证邮箱与合同组合泄露，极易被用于金融欺诈、合同篡改及针对高薪球员的定向社会工程学攻击，身份盗用与财务损失风险极高。攻击者发帖时提及 ShinyHunters，但研究人员判断其大概率为普通论坛操作者，借该组织名号提升可信度与牟利空间。

截至发稿，AFC 尚未发布官方声明。安全机构建议相关机构警惕可疑通信，全面审查数据存储与访问权限，加强高敏 PII 保护与应急响应机制，防范后续衍生攻击。

https://www.techradar.com/pro/security/is-this-the-largest-breach-in-football-history-hackers-allegedly-breach-cristiano-ronaldos-saudi-team-and-afc-governing-body-leak-passports-contracts-and-emails-online

欧盟指控 Meta 违反 DSA，未成年人保护机制全面失效

当地时间 2026 年 4 月 29 日，欧盟委员会发布初步调查结论，指控 Meta 违反《数字服务法》（DSA）第 28 条等条款，旗下 Facebook、Instagram 未能有效防范 13 岁以下未成年人使用服务，未充分履行未成年人风险识别、评估与缓解义务。

调查显示，Meta 虽设定 13 岁最低使用年龄，但仅依赖用户自申报出生日期，无有效核验机制，未成年人可轻易伪造年龄注册。欧盟境内约 10% 至 12% 的 13 岁以下儿童在使用相关平台，平台对已注册未成年账户的识别、清理能力不足，举报机制复杂低效、处置滞后。

欧盟指出，Meta 风险评估不完整、随意性强，未充分防范未成年人遭遇网络欺凌、诱导及不良内容等风险，违反 DSA 对平台未成年人高等级安全与隐私保护的强制性要求。本案系欧盟首次将未成年准入违规追责适用于主流社交平台，监管意义重大。

依据 DSA，若最终认定违规成立，Meta 最高可被处以核心业务年收入 6% 的罚款，欧盟还可责令持续整改并加处定期罚款。Meta 已对初步结论提出异议，称已部署多项工具管控未成年账号。

此次执法明确 DSA 对平台年龄核验、未成年风控的刚性标准，为全球社交平台合规与儿童数字安全提供重要监管参照。

https://therecord.media/european-commission-accuses-meta-of-breaching-digital-child-safety-laws

安全攻防

仿冒 DHL 钓鱼邮件泛滥，低技术攻击利用日常场景精准诱骗

2026 年 4 月 30 日，Forcepoint 与 Proofpoint 披露一起活跃钓鱼攻击，攻击者通过仿冒 DHL 官方邮件实施钓鱼，窃取用户登录凭证、IP 地址、设备信息与位置数据，攻击核心优势在于场景真实、流程逼真。

攻击以仿 DHL 运单确认邮件为入口，发件域名cupelva.com与 DHL 无关，但页面样式高度模仿官方，诱导用户点击 “确认运单信息”。用户点击后进入恶意登录页，先被要求输入包裹编码，该步骤无实际认证作用，仅用于降低受害者警惕、营造真实核验氛围。短暂延迟模拟后台校验后，页面跳转至账号密码输入界面，完成信息窃取。

窃取的数据通过 EmailJS 直接发送至攻击者邮箱 slatty077@tutamail.com。安全专家指出，此次攻击无复杂技术，成功关键在于利用物流场景的日常性与熟悉感，让用户放松戒备，配合完成伪造验证流程。

该攻击表明，钓鱼攻击正从高威胁、强破绽的粗劣样式，转向低感知、生活化、流程化的隐蔽形态，对企业邮件网关、终端检测与员工安全意识提出更高要求。专家建议，用户需核验发件域名、警惕非预期的账号验证请求，企业应强化邮件仿冒检测与钓鱼演练。

https://www.techradar.com/pro/security/this-campaign-works-because-it-feels-ordinary-experts-reveal-how-hackers-use-fake-dhl-messages-to-lure-in-victims

产业动态

CISA 联合多部门发布 OT 零信任落地指南，破解工控安全痛点

2026 年 4 月 29 日，美国 CISA 联合 DoW、DOE、FBI、DOS 发布《将零信任原则适配运营技术》指南，面向 OT 系统所有者、运营方与零信任从业者，提供零信任落地实操指引，兼顾业务连续性与安全合规。

当前 OT 系统日趋互联、远程化，IT-OT 融合扩大攻击面，Volt Typhoon 等组织持续针对 OT 渗透，传统边界防护失效，易引发物理流程失控、生产中断等严重后果CISA。该指南聚焦 OT 特有挑战，包括遗留基础设施技术缺口、运行约束、网络与物理安全强关联等，提供可落地路径。

指南核心方向包括：建立区域与通道实现精细化网络隔离；强化供应链安全管控；部署强身份认证与权限管理；全面资产可视；采用分层防御、安全通信与漏洞管理等措施，在不影响关键业务前提下缩小风险缺口，防范攻击者入侵、操纵与破坏。

CISA 表示，零信任架构可有效防范关键系统失视、失陷，该指南助力机构有序推进 OT 零信任改造，降低暴露面、提升韧性CISA。CISA 同步提供配套工具、培训等资源，覆盖不同安全成熟度的 OT 相关机构，推动零信任在工控与关键基础设施领域规模化落地。

https://www.cisa.gov/news-events/news/cisa-and-us-government-partners-unveil-guide-accelerate-zero-trust-adoption-operational-technology

AWS Security Hub 升级：统一多云安全运营，破解多云安全割裂痛点

2026 年 3 月 11 日，AWS 宣布全面升级 AWS Security Hub，打造面向多云环境的统一安全运营平台，聚合跨云风险信号，帮助安全团队与 CISO 通过单一方案管理威胁、简化运营、降低告警疲劳。

新版 Security Hub 新增统一运营层与公共数据层，基于 OCSF 开放安全 schema 实现多源数据标准化，提供近实时风险分析、自动化研判与优先级洞察，替代分散控制台，实现全局风险视图。平台整合 Amazon GuardDuty、Amazon Inspector、Security Hub CSPM、Amazon Macie 等原生安全能力，扩展虚拟机、容器镜像、无服务器工作负载扫描，强化云安全态势管理与漏洞管理能力。

通过 AWS Security Hub Extended，用户可直接在平台内部署 CrowdStrike、Okta、Splunk、Zscaler 等第三方安全工具，采用预协商按需付费模式，无需长期合约，快速扩展 AWS 外环境的安全可视范围。跨云监测主要依靠 API 集成、标准化遥测与外部暴露面分析，实现跨云资产风险识别。

此次升级旨在解决多云环境下工具繁多、视图割裂、告警过载等运营难题，助力安全团队高效关联威胁、优先处置高风险、简化事件响应。业内指出，该方案可显著降低运营成本、提升响应效率，但需关注集成完整性、平台可用性与厂商锁定风险，做好备用通道与独立数据管道保障。

https://www.csoonline.com/article/4143683/aws-expands-security-hub-for-multicloud-security-operations.html

合作电话：18610811242

合作微信：aqniu001

联系邮箱：bd@aqniu.com