安全工具正以人类无法企及的速度发现漏洞,这是好消息。坏消息是——攻击者手里拿着同样快、同样准的工具,而且他们不需要提交工单,不需要走变更流程,也不需要等谁的批准。
这就是过去一周安全圈的真实切片。值得信赖的代码反过来捅了安装它的人一刀。去年的老旧漏洞依然在造成损失,仅仅因为补丁在队列里躺了太久。假安装程序、被投毒的开源包、赤身裸体暴露在公网上的系统,还有那些乖巧的AI编程助手,正忠实地执行着从未属于你的指令。
![]()
“补丁已存在”与“已被利用”之间的时间窗口正以肉眼可见的速度收窄,但没有人真正在关这扇窗。没有一件事是高深的攻击手法。这正是最让人疲惫的地方——同样平庸的错误,只是爆发的速度超过了我们应对的速度。以下是本周需要你关注的全貌,从上到下捋一遍。
文件协作平台ShareFile的母公司Progress本周做了一件不寻常的事:直接要求客户关停运行着Storage Zone Controllers的Windows服务器。公司给出的理由是一起“可信的外部安全威胁”,措辞里藏着一种罕见的紧迫感。Progress已经临时禁用了受影响账户的访问权限,对外解释是“出于高度谨慎”,同时内部和外部安全专家正在联手排查。威胁的具体性质到目前为止仍是个谜。不过Progress也明确了一点:目前没有任何迹象表明ShareFile账户或数据遭到了未授权访问。话虽落地,但让你主动关服务器的安全公告,本身就值得你多看两眼。
AI安全岗位在2026年到底哪些方向在真金白银地招人?SANS研究所给出了一个有数据支撑的答案。他们追踪了10个具体角色的招聘情况,把经过验证的职位数据、薪资范围和每个岗位需要的技能图谱全部摊开,整理成了一套三阶梯框架。底层是眼下就该优先填坑的角色,往上两层是需要逐步培养发展的方向。如果你的团队正在纠结安全招聘的优先级排序要怎么做,这套框架提供了一个能落地的参照坐标。
邮件协作系统Zimbra本周紧急呼吁用户打补丁,修复经典网页客户端里的一个严重漏洞。这个漏洞本质上是一起存储型跨站脚本攻击,攻击者可以构造一封经过精心设计的邮件,当用户打开这封邮件时,恶意脚本就会在用户会话中执行。后果包括邮箱信息泄露、会话数据被窃、账户设置被篡改。漏洞目前还没有拿到CVE编号,但这丝毫不影响它的危险性。Zimbra在公告里的原话直截了当:“这次更新修复了经典网页客户端的一个安全问题,攻击者可以利用特制邮件在邮件被打开时运行恶意代码。”
JavaScript代码保护工具Jscrambler的npm包本周确认遭到供应链攻击,被植入了一个基于Rust语言编写的信息窃取程序。这个恶意软件胃口不小,专门盯着开发者电脑里的各类密钥和敏感凭据,而且跨平台通吃——Windows、macOS、Linux无一幸免。Jscrambler的调查结论指出,攻击者是通过一份已被攻陷的npm发布凭证得手的。这一攻击活动与安全公司JFrog上个月首次记录的IronWorm行动存在战术重叠。恶意软件此前仅针对Linux平台,如今进化出了三平台兼容能力,攻击面直接翻了三倍,同时扩展了持久化驻留机制,还能自动传播复制自身。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.