网络空间安全动态(202560期)
编者按:网安动向热讯,本期有十一点值得关注:一是习近平向世界数据组织成立致贺信;二是工信部等九部门联合印发《推动物联网产业创新发展行动方案(2026—2028年)》;三是工信部发布《2025年5G工厂典型应用实践》推广5大领域100个典型项目;四是特朗普任命科技公司高管加入总统科技顾问委员会;五是美国家科学基金会发布“美国人工智能就绪”计划;六是美国家情报总监办公室制定人工智能应用框架,强化敏感信息防护与情报分析效能;七是美众议院外交事务委员会表决通过《芯片安全法案》;八是美国防部网络防御司令部明确美军网络防御四大转型方向;九是美国纽约市宣布撤销政府设备使用TikTok禁令;十是日本陆上自卫队成立情报部队,加强应对“认知战”能力;十一是印度启动全国摄像头安全检查行动,防范新型网络战。
数据前沿快讯,本期有三点建议关注:一是《网络安全标准实践指南——工业企业数据安全能力成熟度模型》发布;二是德国、波兰和捷克启动量子密钥分发网络项目;三是法国人工智能企业Mistral获8.3亿美元融资,建设欧洲人工智能数据中心。
网安事件聚焦,本期有两方面内容建议关注:一是网络攻防对抗日益复杂化,传统的基于静态特征匹配的网络钓鱼防御体系正面临严峻挑战。本期介绍:针对TikTok for Business的新型对抗性中间人钓鱼攻击集中爆发;伊朗背景黑客组织Handala入侵美FBI局长个人邮箱;伊朗革命卫队发布公告,将中东地区18家美信息通信和人工智能企业有关的公司作为“合法打击目标”;亲俄黑客冒充乌克兰网络机构,瞄准政府及企业;麒麟勒索软件组织声称入侵化工巨头陶氏公司。二是攻击导致的数据泄露事件频发,数据安全防护需持续加强。本期介绍:欧盟委员会证实遭网络攻击,350GB数据被窃;英国劳埃德银行发生数据安全事件,约45万用户受影响。
网安风险警示,本期有五点建议关注:一是美CISA将F5 BIG-IP漏洞纳入已知利用目录;二是n8n GSuiteAdmin存在远程代码执行漏洞;三是Fortinet FortiClient EMS关键漏洞遭利用;四是vLLM trust_remote_code存在远程代码执行漏洞;五是OpenClaw开源平台存在未授权访问漏洞。
一、网安动向热讯
(一)习近平向世界数据组织成立致贺信
3月30日,国家主席习近平向世界数据组织成立致贺信。习近平指出,当今世界正在加速迈入智能时代,数据的基础资源作用和创新引擎作用日渐显现。世界数据组织以“弥合数据鸿沟、释放数据价值、繁荣数字经济”为宗旨,为深化数据国际合作、完善全球数据治理提供了有益平台。习近平强调,中国将秉持共商共建共享理念,支持世界数据组织发挥作用,同各方一道凝聚数据治理规则共识,推动数智技术创新,促进数据安全有序流动和高效开发利用,服务全球数字经济健康发展,让数据红利更好造福各国人民。世界数据组织成立大会当日在北京举行,主题为“共建数据合作平台·共享数字发展机遇”。该组织会员包括全球数据领域相关企业、高校、智库、国际组织、金融机构等。(信息来源:新华社)
(二)工信部等九部门联合印发《推动物联网产业创新发展行动方案(2026—2028年)》
3月31日,工业和信息化部等九部门联合印发《推动物联网产业创新发展行动方案(2026—2028年)》,明确将通过推动物联网设备创新升级、提升物联网平台服务效能、培育物联网应用场景、夯实物联网网络底座、营造物联网产业发展生态等五大举措,推动物联网产业创新发展,进一步加速物联网技术全面融入生产、消费和社会治理各领域,促进数字经济和实体经济深度融合,助力发展新质生产力。行动方案提出,到2028年,物联网新技术、新产品、新模式不断涌现,产业创新能力持续增强,感知、网络与通信、数据处理、安全等关键技术取得突破,终端和平台智能化水平显著提升,制修订50项以上先进适用标准,培育打造10个亿级连接和15个千万级连接的应用领域,物联网终端连接数力争达到百亿级规模,物联网核心产业规模突破3.5万亿元。(信息来源:工信微报)
(三)工信部发布《2025年5G工厂典型应用实践》推广5大领域100个典型项目
4月1日消息,工业和信息化部印发《2025年5G工厂典型应用实践》,共遴选出100个技术先进、标杆引领的5G工厂典型应用实践,覆盖原材料工业、装备工业、消费品工业、电子信息、能源交通等重要行业领域。工业和信息化部要求各地因地制宜加强政策支持和资源保障,高质量推进5G工厂建设,加速“5G+工业互联网”深度嵌入生产制造全流程、各环节。一是强化标杆引领,组织开展5G工厂交流推广;二是推动协同创新,促进产业链上下游深度融合;三是提升建设质量,建立常态化监测与评估;四是做好要素保障,加快推动5G工厂规模建设;五是擦亮中国品牌,打造世界级5G工厂。(信息来源:工信微报)
(四)工信部修订印发《工业产品质量控制和技术评价实验室管理办法》
4月1日消息,工信部印发修订版《工业产品质量控制和技术评价实验室管理办法》,主要修订了优化功能定位、压实管理责任、加强运行管理、完善管理机制等四方面内容,包含总则、职责、认定、运行、管理、附则等六章28条,自2026年5月1日起施行。《管理办法》明确,工业产品质量控制和技术评价实验室主要任务是聚焦推动产业增品种、提品质、创品牌,面向企业提供高水平质量技术服务,面向行业开展关键共性质量技术攻关、推广先进质量技术方法、培育优秀质量人才、加强质量技术交流合作,面向政府提供质量管理工作决策支撑和技术支持,为增强产业基础能力、加快制造强国和网络强国建设提供质量技术支撑。(信息来源:工信微报)
(五)全国网安标委就《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引》公开征求意见
4月1日消息,为防范部署使用OpenClaw类智能体的安全风险,提升部署使用OpenClaw类智能体的管理能力,全国网安标委就《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引》公开征求意见,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。本文件给出了个人使用者部署使用OpenClaw类智能体的安全指引,并提出了组织对内部人员部署使用OpenClaw类智能体进行管理的安全措施指引,适用于自行部署OpenClaw类智能体的个人使用者,以及需要对内部人员部署使用OpenClaw类智能体进行安全管理的相关组织,不适用于商业化智能体安全防护,商业化智能体有关安全要求需参考其他相关政策标准。意见反馈截止时间为2026年4月15日。(信息来源:全国网安标委)
(六)特朗普任命科技公司高管加入总统科技顾问委员会
3月25日,特朗普任命科技公司高管加入总统科技顾问委员会,本次任命涉及AMD、Coinbase、戴尔、谷歌、Meta、英伟达、甲骨文等科技公司高管,领域包括:人工智能、半导体、加密货币和云计算。据悉,上述委员会将由白宫加密货币和人工智能事务主管戴维·萨克斯和美国科技政策办公室主任迈克尔·克拉齐奥斯共同领导。谷歌联合创始人谢尔盖·布林和美国超威半导体公司董事会主席兼CEO苏姿丰也是首批被任命加入该委员会的成员。特朗普政府后续将任命更多人加入该委员会,最终人数可能多达24人。(信息来源:路透社)
(七)美国家科学基金会发布“美国人工智能就绪”计划
3月31日消息,美国家科学基金会联合多个联邦机构一同发起“技术接入:美国人工智能就绪”计划,启动全国性AI能力建设布局。该计划拟在全美各州及属地设立56个人工智能协调中心,并提供最高每年100万美元、为期三至四年的资金支持,培育核心发展能力,搭建起覆盖联邦与地方、劳动力与企业的人工智能发展框架,系统提升劳动力、企业及社区的人工智能应用能力。该计划旨在弥合美人工智能技术能力与实际应用之间的落差,重点推进全民人工智能素养与技能提升、支持中小企业和地方政府部署人工智能工具,夯实美在全球人工智能领域的发展根基。(信息来源:赛博研究院)
(八)美国家情报总监办公室制定人工智能应用框架,强化敏感信息防护与情报分析效能
3月26日消息,美国家情报总监办公室正制定政策框架及相关标准,加速人工智能在情报机构的部署应用,同时推进跨机构网络现代化、零信任架构与威胁监测能力扩展,并与美国防部协调共享机密云基础设施。该举措是特朗普政府2025年启动的网络安全与信息技术现代化计划的重要组成部分,旨在统一各情报机构技术标准,打破数据孤岛,提升敏感信息防护能力与情报工作效率。(信息来源:启元洞见)
(九)美众议院外交事务委员会表决通过《芯片安全法案》
3月26日,美众议院外交事务委员会以42票赞成、0票反对、0票弃权的结果表决通过《芯片安全法案》。该法案核心在于构建“芯片安全机制”的技术合规框架:要求受出口管制的高性能芯片在出口、再出口或境外转移前,必须搭载位置验证功能。该机制可通过软件、固件、硬件或物理方式实现,利用响应时间测算等技术手段确认芯片地理位置。美商务部需在180日内制定实施标准,一年内评估反篡改、用途验证等附加机制,两年内落地必要措施,并建立向工业与安全局的强制报告通道。对中国市场而言,该法案的实施意味着“技术缓冲期”的终结。(信息来源:观察者网)
(十)美国防部网络防御司令部明确美军网络防御四大转型方向
4月1日消息,美国防部网络防御司令部司令兼国防信息系统局局长保罗·斯坦顿指出,美国防部网络防御司令部与国防信息系统局正围绕国防部信息网络实施系统性变革,通过架构转型、安全重塑、理念升级和人才赋能,将美军信息网络打造为核心武器系统,以确保在对抗环境下持续为联合作战提供决策与信息优势。保罗·斯坦顿表示,美国国防部网络防御司令部和美国国防信息系统局的首要目标是确保美国防部信息网络在压力环境下正常运行,并为各级指挥官提供决定性的、不间断的信息优势;美国防部将从根本上变革运作和支援联合部队的方式,构建现代化的、可防御的架构并从设计上确保其安全性,将作战思维从被动防御转变为主动对抗,并提升网络安全队伍的战备状态。(信息来源:奇安网情局)
(十一)美国防部启动“基础信息意识作战”项目,加速提升认知战技术优势
3月26日消息,美国防部战略能力办公室正式启动“基础信息意识作战”新项目,计划在未来3至5年内利用商业现成技术构建认知战通用技术栈,以应对数字时代的认知域挑战并弥补美军技术短板。该项目将聚焦开发敌方信息检测系统、多模态内容生成模型以及大规模人群仿真环境三大技术方向,并通过部署定制化轻量级AI代理和建立严格的绩效评估机制,快速集成最优技术以实现“机器速度”的认知干扰与叙事影响,从而赋予作战人员即时战略效能。(信息来源:国防杂志网)
(十二)美国防部正式成立“动目标指示”工作组,改进战场动目标追踪方式
3月26日消息,美国防部已正式成立“动目标指示”跨军种工作组,旨在统筹各军种需求,建立动目标指示数据在联合作战部队中的分配、收集、处理、利用和传播的端到端流程,改进战场动目标追踪方式,实现传感器与射手的实时连接。该工作组将重点推进天基系统部署,以替代退役的E-8C“联合星”对地监视与攻击指挥飞机、老旧的E-3预警机功能。(信息来源:Scientific advisory board网)
(十三)美军网络防御部队首次列装标准化“前出狩猎”装备
3月31日,美网络司令部网络部队即将获取首批“联合网络狩猎套件”(JCHK)装备,可供美网络司令部防御性网络战士执行网络狩猎任务使用,包括在外国伙伴网络上的“前出狩猎”,尤其是针对国家级攻击者发起的高级持续性威胁。该装备约为手提箱大小,可存放于飞机行李舱,便于美网络司令部网络团队携带部署,对入侵事件做出现场响应。根据美网络司令部需求,JCHK在存储空间、运行速度和人工智能功能上均有显著提升,有助于识别和分析网络威胁。JCHK的便捷性使得部队能快速接入网络并执行威胁搜寻工作;通用性设计将有助于减轻后续的运维负担,使美政府未来三年可将更多资金集中投入威胁狩猎行动与技术革新。(信息来源:奇安网情局)
(十四)美国纽约市宣布撤销政府设备使用TikTok禁令
3月31日,美国纽约市长祖赫兰·马姆达尼宣布,决定允许在政府电子设备上恢复使用短视频社交媒体平台TikTok。当天,马姆达尼在该社交媒体平台上发布消息说:“TikTok,我们回来了。”据美联社报道,纽约市长办公室提供的一份备忘录显示,纽约市政府允许各部门在该社交媒体上发布内容,此次政策调整旨在扩大纽约市政府的信息传播范围。这份备忘录说,“我们希望开辟与公众交流的新渠道,并帮助传递纽约市民所需的信息”。同时,备忘录要求各部门官方账号运营必须遵守一系列安全防范措施,包括使用专用无敏感数据设备、指定专人管理账号等。2022年底以来,美国联邦政府及多个州以所谓“数据安全”为由,下令禁止在政府电子设备上使用TikTok。时任纽约市长埃里克·亚当斯在2023年发布了类似禁令。(信息来源:新华社)
(十五)日本陆上自卫队成立情报部队,加强应对“认知战”能力
3月29日,日本陆上自卫队正式成立“情报作战队”,并在东京朝霞驻地举行授旗仪式。首任队长东峰昌生陆将补从防卫副大臣宫崎政久手中接过队旗。宫崎在训示中强调:“针对我国,也常出现企图离间与欧美国家关系、削弱政府和自卫队信任的恶意虚假信息传播。”他表示:“情报是所有领域发挥能力的基础,有必要进一步推动超越组织和国界的协作与合作。”这支约80人的新部队,统一整合了过去分散在各部队中的虚假信息分析、舆论监测与情报搜集职能,直接隶属于陆上总队。日本防卫省近期也同步推进“信息战/作战司令部”等相关编制调整,显示其已将信息空间视为与陆海空并列的重要战场。(信息来源:综合日本共同社、日本华侨报)
(十六)印度启动全国摄像头安全检查行动,防范新型网络战
3月27日消息,印度北方邦加济阿巴德市警方发现并捣毁一个与巴基斯坦有关联的间谍网络,该组织为摄像头配备了太阳能供电系统,以确保全天候持续运行,并将视频画面实时传输给边境另一侧与巴基斯坦三军情报局有关联的操控人员。印度警方表示,该网络已制定并获得资金支持,计划在更多城市部署类似设备。事件发生后,印度政府决定对全国主要城市的闭路电视系统展开全面排查,不仅涵盖军营、火车站等敏感区域,还将扩展至主要城市的主干道路及战略通道,并确保所有摄像头均处于安全机构的知情与监管之下,同步推动建立全国统一的监控摄像头管理体系。(信息来源:安全内参)
二、数据前沿快讯
(十七)《网络安全标准实践指南——工业企业数据安全能力成熟度模型》发布
4月1日消息,全国网络安全标准化技术委员发布《网络安全标准实践指南——工业企业数据安全能力成熟度模型》,本指南旨在贯彻落实《中华人民共和国数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法(试行)》中相关要求,引导工业企业逐级提升数据安全能力成熟度水平,支撑主管部门全面了解掌握工业领域数据安全总体态势,带动数据安全技术、产品和服务在工业企业的落地应用。本指南提出了工业企业数据全生命周期安全和通用安全的成熟度等级要求,以及能力成熟度等级评估方法,适用于指导工业企业开展数据安全能力建设,以及对工业企业数据安全能力成熟度等级进行评估。(信息来源:全国网安标委)
(十八)德国、波兰和捷克启动量子密钥分发网络项目
3月25日消息,德国、波兰、捷克三国启动量子密钥分发(QKD)网络项目,建设覆盖全欧洲的量子安全数字通信网络。该项目是欧洲EuroQCI战略的一部分,旨在建设覆盖全欧洲的、使敏感数据能够安全跨越国界传输的量子安全数字通信网络。该联合倡议将扩展并互联现有的国家量子通信基础设施,打造跨境量子网络骨干,实现高韧性连接,并为更广泛的欧洲量子通信计划提供示范。德波捷三国QKD网络项目标志着建设安全跨境量子通信基础设施的重要进展。(信息来源:量科网)
(十九)法国人工智能企业Mistral获8.3亿美元融资,建设欧洲人工智能数据中心
3月30日消息,法国人工智能企业Mistral完成8.3亿美元债务融资,用于在欧洲建设基于英伟达芯片的数据中心。其首个项目位于巴黎附近,计划于今年6月底前投运,部署1.38万颗英伟达GB300芯片,用于训练该公司的人工智能模型并提供推理服务。该公司还计划到2027年底在欧洲形成200MW人工智能算力能力。随着欧洲企业和政府对美云服务商替代方案需求上升,欧洲“主权人工智能”竞争正由模型研发进一步延伸至算力基础设施建设。(信息来源:启元洞见)
三、网安事件聚焦
(二十)针对TikTok for Business的新型对抗性中间人钓鱼攻击集中爆发
3月26日,针对TikTok for Business的新型对抗性中间人(AiTM)钓鱼攻击集中爆发。攻击者在9秒内批量注册welcome.careers*.com系列恶意域名,依托Cloudflare托管与Turnstile人机验证规避安全检测,通过Google Cloud Storage合法跳转实现链路伪装,最终以反向代理架构劫持登录会话,可同步窃取TikTok商业账号与关联Google账号权限,引发恶意广告投放、数据泄露与品牌滥用风险。研究表明,该攻击通过合法云服务掩护、人机验证过滤、透明代理中转形成强隐蔽性闭环,传统特征库与静态检测难以有效拦截。专家指出,针对社交商业账号的AiTM钓鱼正从单点凭证窃取走向跨平台会话劫持,防御必须从URL黑名单升级为全链路行为分析与会话绑定机制。(信息来源:阿里云)
(二十一)伊朗背景黑客组织Handala入侵美FBI局长个人邮箱
3月29日,与伊朗相关的黑客组织Handala声称入侵美FBI局长Kash Patel的个人电子邮件账户,并发布照片和文件。FBI已确认此次入侵,表示被盗数据非近期,不包括任何政府数据。Handala在其网站上宣布将Patel加入受害者名单,声称其行动是对FBI扣押Handala域名以及美政府为该组织成员信息提供高达1000万美元悬赏的回应。Handala表示:“Kash Patel的所有个人和机密信息,包括电子邮件、对话、文件甚至机密文件,都可公开下载。FBI表示,针对Patel局长的个人电子邮件信息遭入侵事件,目前已采取所有必要措施,以减轻与此活动相关的潜在风险。(信息来源:BleepingComputer网)
(二十二)伊朗革命卫队发布公告,将中东地区18家美信息通信和人工智能企业有关的公司作为“合法打击目标”
3月31日,伊朗伊斯兰革命卫队发布公告说,将中东地区与18家美国信息通信技术和人工智能企业有关的公司机构作为“合法打击目标”,这18家公司包括思科、惠普、英特尔、甲骨文、微软、苹果、谷歌等。公告说,“建议上述机构的员工立即离开工作场所,以保护自身安全”,这些机构周边1公里范围内的居民也应离开住所,前往安全地点。(信息来源:央视新闻)
(二十三)以色列称至少50个安全摄像头遭入侵
4月1日消息,以色列国家网络局披露,自战争爆发以来,与伊朗有关联的黑客已入侵至少50个以色列安全摄像头,并对60家以色列企业实施数据清除攻击。以色列当局认为,摄像头遭入侵很可能是为了评估导弹打击效果并追踪以军部队动向。受攻击企业多为中小型公司,部分数据已被永久销毁。(信息来源:央视新闻客户端)
(二十四)亲俄黑客冒充乌克兰网络机构,瞄准政府及企业
4月1日消息,乌克兰网络安全官员称,亲俄黑客组织冒充乌克兰国家网络事件应急响应团队,将政府机构、企业及其他组织作为攻击目标。乌克兰计算机应急响应小组(CERT-UA)研究人员表示,被追踪为UAC–0255的黑客组织伪装成该机构发送电子邮件并警告收件人,称俄罗斯正在准备针对乌克兰关键基础设施发动一场“大规模网络攻击”,敦促从文件共享服务Files.fm下载一个受密码保护的压缩文件,并安装用于保护易受攻击系统的专业安全软件。该文件包含一款名为AgeWheeze的远程管理工具,攻击者可借此远程控制受感染的计算机。CERT-UA表示,此次网络钓鱼邮件目标涉及多个行业组织,包括政府机构、医疗中心、金融公司、安保企业、大学和软件开发公司等,但大多未成功,仅造成少量感染。(信息来源:HackerNews网)
(二十五)麒麟勒索软件组织声称入侵化工巨头陶氏公司
4月1日消息,麒麟勒索软件组织声称入侵陶氏公司,并将其列在暗网泄露网站上,但尚未公布入侵证据。陶氏公司是一家全球化工制造巨头,业务遍布160多个国家,为包装、基础设施、交通出行和消费应用等行业提供先进材料、化学品及塑料。麒麟勒索软件自2022年开始活跃,在2025年成为最活跃的勒索软件即服务组织之一。该组织允许其合作伙伴针对目标机构部署定制化勒索软件有效载荷,采用双重勒索策略,利用网络钓鱼和已知漏洞,将全球多个行业作为攻击目标,包括医疗、制造和金融行业。(信息来源:SecurityAffairs网)
(二十六)欧盟委员会证实遭网络攻击,350GB数据被窃
3月30日消息,欧盟委员会检测到针对托管Europa.eu网站的云基础设施的网络攻击,事件被迅速控制,网站可用性未受影响。黑客组织ShinyHunters声称对此次事件负责,已窃取超350GB数据,并在其Tor数据泄露网站上将欧盟委员会列入受害者名单。欧盟委员会表示,调查结果表明,部分数据可能已被访问,但内部系统未受影响,将继续监控事态并加强防护,目前正按规定通知可能受影响的联盟机构。(信息来源:安全威胁纵横)
(二十七)英国劳埃德银行发生数据安全事件,约45万用户受影响
4月1日消息,英国零售及商业金融服务巨头劳埃德银行披露一起数据安全事件,导致用户当前账户的交易细节泄露给其他用户,约45万手机银行用户受影响。劳埃德银行称,目前故障已得到解决,事件中泄露的数据类型因用户的操作而异。查看交易列表的用户可以看到其他用户的交易信息,包括金额、日期,以及可能包含国民保险号码的支付标识符;点击单笔交易的用户可能看到诸如银行分行代码、账号、国民保险号码或车辆登记号码,以及在备注字段中输入的文本等信息。但用户的账户余额未受此次事件影响,并且客户无法对他人账户执行未经授权的操作或转移资金。劳埃德银行已向客户通报数据安全事件,并向约3625名客户支付了约13.9万英镑作为补偿。(信息来源:HackerNews网)
四、网安风险警示
(二十八)美CISA将F5 BIG-IP漏洞纳入已知利用目录
3月28日,美网络安全与基础设施安全局(CISA)将F5 BIG-IP应用安全管理平台中的远程代码执行漏洞CVE-2025-53521(CVSS评分9.8)正式列入其已知利用漏洞目录。该漏洞被归类为DoS漏洞,影响涵盖启用访问策略的BIG-IP APM虚拟服务器配置场景。当恶意流量触发虚拟服务器上配置的BIG-IP APM访问策略时,可绕过安全限制并执行任意代码,导致系统被完全控制。F5已确认该漏洞在部分BIG-IP版本中遭利用。美CISA要求联邦机构在2026年3月30日前完修复工作。(信息来源:SecurityAffairs网)
(二十九)n8n GSuiteAdmin存在远程代码执行漏洞
3月27日,启明星辰安全应急响应中心监测到n8n GSuiteAdmin原型污染远程代码执行漏洞CVE-2026-33696(CVSS评分9.4)。该漏洞源于节点参数在处理过程中缺乏对用户输入的严格校验,导致攻击者可通过构造恶意参数,将可控属性写入Object.prototype,在目标n8n实例上执行任意代码,导致业务系统被完全接管、敏感数据泄露,甚至引发合规风险。n8n是一个开源的工作流自动化工具,旨在帮助用户通过图形化界面设计和自动化各种任务。官方已发布补丁修复该漏洞。(信息来源:启明星辰)
(三十)Fortinet FortiClient EMS关键漏洞遭利用
3月31日消息,研究人员发现Fortinet FortiClient EMS平台关键漏洞CVE-2026-21643(CVSS评分9.1)正遭利用,该漏洞为FortiClientEMS中SQL命令特殊元素处理不当问题,未经认证的攻击者可触发该漏洞,通过特制HTTP请求执行未授权代码或命令,在目标网络中获得初始立足点,实现横向移动或恶意软件部署。Shadowserver研究人员报告称,约2000个FortiClient EMS实例在线暴露,其中大部分位于美国(756个)和欧洲(683个)。(信息来源:HackerNews网)
(三十一)vLLM trust_remote_code存在远程代码执行漏洞
3月27日,启明星辰安全应急响应中心监测到vLLM trust_remote_code绕过远程代码执行漏洞CVE-2026-27893(CVSS评分8.8)。攻击者可通过构造恶意HuggingFace模型仓库,在模型加载过程中执行任意Python代码,获取服务器执行权限,进而实现系统控制、数据窃取或横向移动。vLLM是一个高性能的大模型推理框架,专为大规模语言模型的高吞吐量、低延迟部署而设计。vLLM兼容Hugging Face接口,便于模型快速加载与集成,广泛用于推理服务、AI应用后端与生产级模型部署场景。官方已发布修复补丁,建议用户及时更新。(信息来源:启明星辰)
(三十二)OpenClaw开源平台存在未授权访问漏洞
3月30日,启明星辰安全应急响应中心监测到OpenClaw未授权访问漏洞CVE-2026-32914(CVSS评分8.7)。该漏洞源于/config与/debug等敏感命令接口在实现过程中仅校验调用方是否具备command-authorized权限,而未进一步验证是否为owner身份,导致权限控制逻辑缺失。攻击者可利用该漏洞,通过具备基础命令执行权限的账号访问本应仅限owner的配置与调试接口,读取或篡改系统关键配置参数,甚至获取敏感调试信息,影响系统完整性与保密性,还可能违反相关数据安全与合规要求,对组织业务安全造成较大风险。OpenClaw是一款面向自动化任务执行与智能代理调度的开源平台,广泛应用于自动化运维、AI Agent调度及复杂工作流编排等场景。目前,官方已发布补丁,建议用户尽快更新。(信息来源:启明星辰)
