
ThreatsDay:AI算力劫持与苹果邮件漏洞
本周安全新闻集中在薄弱环节:钓鱼邮件、沙箱逃逸、AI系统滥用、浏览器扩展和会议机器人风险等。已披露的 Apple Hide My Email 漏洞仍未修补,CISA 证实 BlueHammer(CVE-2026-33825)被用于勒索软件攻击。建议及时修补、警惕钓鱼并加强对外部机器人和 AI 资源的管控。
本周的安全新闻大多围绕薄弱点展开。
浏览器、bot、沙箱、AI 系统和邮件流程都以不同方式暴露出同一个问题。表面上一切正常,直到有人测试一个小缺口并找到进入路径。
这不是一次大的破口,而是小权限、弱校验、开放系统,以及原本被允许执行正常工具做正常事情。同样的模式贯穿下面这些故事。
勒索软件钓鱼诱饵 假冒 INTERPOL 调查邮件引发勒索软件 一场钓鱼活动正在针对欧洲、亚洲、中东和美国的小型企业,使用冒充执法人员的假调查邮件。Bitdefender 表示:“这些邮件声称包含可疑公司活动的证据,并迫使收件人打开一个受密码保护的压缩包。”“收件人随后会被导向一个托管在 Proton Drive 的文件,最终交付勒索软件。该勒索软件似乎是自定义构建的载荷,而不是已知的勒索软件家族。”
一场钓鱼活动正在针对欧洲、亚洲、中东和美国的小型企业,使用冒充执法人员的假调查邮件。Bitdefender 表示:“这些邮件声称包含可疑公司活动的证据,并迫使收件人打开一个受密码保护的压缩包。”“收件人随后会被导向一个托管在 Proton Drive 的文件,最终交付勒索软件。该勒索软件似乎是自定义构建的载荷,而不是已知的勒索软件家族。”
沙箱 root 逃逸 利用 Claude Cowork 中的 Root 执行权限 Armadin 的新研究发现了一条影响 Windows 版 Claude Cowork 的攻击链。该攻击允许拥有本地代码执行能力的攻击者在 Claude Desktop 的应用目录中植入恶意文件,劫持受信任进程与 Cowork 底层 VM 服务通信。公司表示:“拥有本地代码执行能力的攻击者可以在 Claude Cowork 的沙箱内以 root 身份运行任意命令,且不受网络外联限制。”该利用利用了服务接口中两个未校验参数,使攻击者能够以 root 身份运行命令并完全绕过网络过滤,从而将敏感数据外泄到攻击者控制的基础设施。根据 2026 年 5 月 29 日的负责任披露,Anthropic 表示其不认为这是安全问题,因为利用需要主机上预先存在本地代码执行能力。
Armadin 的新研究发现了一条影响 Windows 版 Claude Cowork 的攻击链。该攻击允许拥有本地代码执行能力的攻击者在 Claude Desktop 的应用目录中植入恶意文件,劫持受信任进程与 Cowork 底层 VM 服务通信。公司表示:“拥有本地代码执行能力的攻击者可以在 Claude Cowork 的沙箱内以 root 身份运行任意命令,且不受网络外联限制。”该利用利用了服务接口中两个未校验参数,使攻击者能够以 root 身份运行命令并完全绕过网络过滤,从而将敏感数据外泄到攻击者控制的基础设施。根据 2026 年 5 月 29 日的负责任披露,Anthropic 表示其不认为这是安全问题,因为利用需要主机上预先存在本地代码执行能力。
邮件隐私漏洞 Apple 的 Hide My Email 存在缺陷 一项影响 Apple Hide My Email 服务的漏洞已被披露,该漏洞可让用户的真实邮箱地址被解除匿名。发现该缺陷的研究员 Tyler Murphy 表示,他在一年多前已向 Apple 报告该问题,但至今仍未修补。Murphy 告诉 404 Media:“我们不知道这个问题的完整范围,但在我们与志愿者进行的有限测试中,100% 的 Hide My Email 地址都可被利用。”研究人员未披露漏洞的具体细节,以避免潜在利用风险。
一项影响 Apple Hide My Email 服务的漏洞已被披露,该漏洞可让用户的真实邮箱地址被解除匿名。发现该缺陷的研究员 Tyler Murphy 表示,他在一年多前已向 Apple 报告该问题,但至今仍未修补。Murphy 告诉 404 Media:“我们不知道这个问题的完整范围,但在我们与志愿者进行的有限测试中,100% 的 Hide My Email 地址都可被利用。”研究人员未披露漏洞的具体细节,以避免潜在利用风险。
与中国有关的 RAT 活动 新发现 BeepRAT 远程访问木马 据 Rubrik Zero Labs 介绍,一个名为 BeepRAT 的开源 DCRat 框架定制版本,被发现通过一个打包在 ZIP 压缩包中的中文电话号码管理工具进行分发。“该压缩包包含一个名为 HFY.exe 的 .NET 应用,以及若干通常与数据库驱动应用相关的第三方库,”Rubrik 说。“虽然该应用看起来像是一个电话号码管理工具,但进一步分析揭示出一个复杂的多阶段感染链,最终部署了定制的 BeepRAT 载荷。”该恶意软件通过计划任务在主机上建立持久化,并使用 DNS-over-HTTPS (DoH) 请求解析命令与控制基础设施。随后它会回传一个包含受感染主机信息的数据包,并打开持久通信通道以接收命令,使其能够在主机与服务器之间传输文件、启动交互式命令提示符会话、向其发出命令、启动 PowerShell 会话、枚举正在运行的进程和可用存储驱动器、终止指定进程、执行文件系统操作、通过摄像头录制、记录击键、截取屏幕截图、列出活动网络连接、下载并在内存中运行 .NET assemblies,以及启动代理。该组织被评估为在 China-nexus 间谍活动生态中运作。
一个名为 BeepRAT 的开源 DCRat 框架定制版本,被发现通过一个打包在 ZIP 压缩包中的中文电话号码管理工具进行分发。“该压缩包包含一个名为 HFY.exe 的 .NET 应用,以及若干通常与数据库驱动应用相关的第三方库,”Rubrik 说。“虽然该应用看起来像是一个电话号码管理工具,但进一步分析揭示出一个复杂的多阶段感染链,最终部署了定制的 BeepRAT 载荷。”该恶意软件通过计划任务在主机上建立持久化,并使用 DNS-over-HTTPS (DoH) 请求解析命令与控制基础设施。随后它会回传一个包含受感染主机信息的数据包,并打开持久通信通道以接收命令,使其能够在主机与服务器之间传输文件、启动交互式命令提示符会话、向其发出命令、启动 PowerShell 会话、枚举正在运行的进程和可用存储驱动器、终止指定进程、执行文件系统操作、通过摄像头录制、记录击键、截取屏幕截图、列出活动网络连接、下载并在内存中运行 .NET assemblies,以及启动代理。该组织被评估为在 China-nexus 间谍活动生态中运作。
AI 网络基准 OpenAI GPT-5.6 Sol 评估 AI 安全实验室 Irregular 对 OpenAI GPT-5.6 Sol 在真实世界进攻性安全基准上的评估发现,该模型表现略优于 GPT-5.5,但在面对防护较强的目标和完整端到端攻击时仍然吃力。该机构表示:“GPT-5.6 Sol 展现出与进攻性网络滥用相关的能力,包括在多个真实系统中发现并利用高影响力的零日漏洞。”它说:“这些能力是在敏感且广泛使用的系统类别上展示的,包括移动操作系统和数据库系统。尽管具备这些能力,GPT-5.6 Sol 在面对加固目标,以及在编排、操作化和操作安全方面,仍显示出明显限制。当任务需要长时间保持逻辑一致性或快速、时间敏感的决策时,其表现也会下降。”
AI 安全实验室 Irregular 对 OpenAI GPT-5.6 Sol 在真实世界进攻性安全基准上的评估发现,该模型表现略优于 GPT-5.5,但在面对防护较强的目标和完整端到端攻击时仍然吃力。该机构表示:“GPT-5.6 Sol 展现出与进攻性网络滥用相关的能力,包括在多个真实系统中发现并利用高影响力的零日漏洞。”它说:“这些能力是在敏感且广泛使用的系统类别上展示的,包括移动操作系统和数据库系统。尽管具备这些能力,GPT-5.6 Sol 在面对加固目标,以及在编排、操作化和操作安全方面,仍显示出明显限制。当任务需要长时间保持逻辑一致性或快速、时间敏感的决策时,其表现也会下降。”
面向平台的钓鱼 针对受害者设备定制的钓鱼活动 Cofense 表示,其观察到钓鱼行动出现“明显转变”:威胁行为者不再采用面向所有人的大范围活动,而是转向平台感知型投递,根据受害者的设备、浏览器和环境进行适配。调查发现,钓鱼活动会在 Windows 上通过 Ninite Loader 投递 Itarian RAT 或 ConnectWise 工具,而当 URL 在 macOS 或 Android 上被访问时,则展示凭据窃取钓鱼页面。通过 User-Agent 数据对受害者进行指纹识别后,会投递与操作系统对应的载荷。该机构表示:“原本只是针对 Windows 的简单恶意软件分发活动,已经演变为更复杂的活动,能够在 Windows、MacOS 和 Android 上选择性投递凭据钓鱼、远程访问工具或恶意软件。”“这一趋势反映出威胁态势中的更广泛战略转变,旨在提高入侵成功率、扩大目标覆盖面,并提升威胁行为者的投资回报。”
Cofense 表示,其观察到钓鱼行动出现“明显转变”:威胁行为者不再采用面向所有人的大范围活动,而是转向平台感知型投递,根据受害者的设备、浏览器和环境进行适配。调查发现,钓鱼活动会在 Windows 上通过 Ninite Loader 投递 Itarian RAT 或 ConnectWise 工具,而当 URL 在 macOS 或 Android 上被访问时,则展示凭据窃取钓鱼页面。通过 User-Agent 数据对受害者进行指纹识别后,会投递与操作系统对应的载荷。该机构表示:“原本只是针对 Windows 的简单恶意软件分发活动,已经演变为更复杂的活动,能够在 Windows、MacOS 和 Android 上选择性投递凭据钓鱼、远程访问工具或恶意软件。”“这一趋势反映出威胁态势中的更广泛战略转变,旨在提高入侵成功率、扩大目标覆盖面,并提升威胁行为者的投资回报。”
俄罗斯黑客悬赏 美国就 UNC5792 提供 1000 万美元信息奖励 美国国务院为能够帮助识别或定位与 UNC5792 相关威胁行为者的信息提供高达 1000 万美元奖励。UNC5792 是一个与俄罗斯联邦安全局(FSB)边防警卫有关的恶意网络组织,而 UNC4221 则是一个代表俄罗斯军方部门活动的恶意网络行为者组织。UNC5792 被关联到大范围钓鱼活动,这些活动针对美国政府官员、军方领导层及盟友人员的 Signal 和 WhatsApp 账户,目的是获取未授权访问。国务院表示:“尽管这些恶意网络活动并未利用平台加密保护中的任何安全漏洞,但它们已危及数千个个人商业消息应用账户。”
美国国务院为能够帮助识别或定位与 UNC5792 相关威胁行为者的信息提供高达 1000 万美元奖励。UNC5792 是一个与俄罗斯联邦安全局(FSB)边防警卫有关的恶意网络组织,而 UNC4221 则是一个代表俄罗斯军方部门活动的恶意网络行为者组织。UNC5792 被关联到大范围钓鱼活动,这些活动针对美国政府官员、军方领导层及盟友人员的 Signal 和 WhatsApp 账户,目的是获取未授权访问。国务院表示:“尽管这些恶意网络活动并未利用平台加密保护中的任何安全漏洞,但它们已危及数千个个人商业消息应用账户。”
LLM 角色混淆 作为角色混淆的 Prompt Injection 一组学者的新研究表明,机器学习模型无法可靠地区分授权输入和未授权输入,因此容易受到一种持续存在的问题影响,即 prompt injection。研究人员表示:“LLMs 将世界视为一个单一文本流,并以 <user> 或 <tool> 等角色进行分区。”“我们将 prompt injection 追溯到角色混淆:模型不是根据文本被标注的角色来感知其来源,而是根据其听起来像什么来判断。隐藏在网页中的命令会劫持一个 agent,仅仅因为它听起来像 <user> 文本,尽管它被标注为 <tool>。”这种被称为 CoT Forgery 的攻击,会向用户提示和工具输出中注入伪造的推理,使模型误以为这些伪造内容是自己的想法并据此行动,在前沿模型上的攻击成功率达到 60%。该攻击本质上利用了模型对自身“思考”的信任。
一组学者的新研究表明,机器学习模型无法可靠地区分授权输入和未授权输入,因此容易受到一种持续存在的问题影响,即 prompt injection。研究人员表示:“LLMs 将世界视为一个单一文本流,并以 <user> 或 <tool> 等角色进行分区。”“我们将 prompt injection 追溯到角色混淆:模型不是根据文本被标注的角色来感知其来源,而是根据其听起来像什么来判断。隐藏在网页中的命令会劫持一个 agent,仅仅因为它听起来像 <user> 文本,尽管它被标注为 <tool>。”这种被称为 CoT Forgery 的攻击,会向用户提示和工具输出中注入伪造的推理,使模型误以为这些伪造内容是自己的想法并据此行动,在前沿模型上的攻击成功率达到 60%。该攻击本质上利用了模型对自身“思考”的信任。
Anthropic 将移除隐蔽代码跟踪功能 Anthropic 表示,计划移除几个月前加入 Claude Code 的隐藏代码。该代码用于检测未经授权的蒸馏行为。相关代码会检查 Claude Code 的 base URL 环境变量,该变量用于将 API 请求路由到代理或网关。如果 base URL 被覆盖,这段代码会检查系统时区,以及主机名是否匹配一份已知中国公司、账户转售商和网关域名列表中的任一条目。Anthropic 的 Thariq Shihipar 表示:“这是我们在 3 月启动的一项实验,旨在防止未经授权的转售商滥用账户并防止 distillation。”“团队后来已经落地了更强的缓解措施,我们其实已经想把它移除一段时间了。”
Anthropic 表示,计划移除几个月前加入 Claude Code 的隐藏代码。该代码用于检测未经授权的蒸馏行为。相关代码会检查 Claude Code 的 base URL 环境变量,该变量用于将 API 请求路由到代理或网关。如果 base URL 被覆盖,这段代码会检查系统时区,以及主机名是否匹配一份已知中国公司、账户转售商和网关域名列表中的任一条目。Anthropic 的 Thariq Shihipar 表示:“这是我们在 3 月启动的一项实验,旨在防止未经授权的转售商滥用账户并防止 distillation。”“团队后来已经落地了更强的缓解措施,我们其实已经想把它移除一段时间了。”
剪贴板攻击防护 Opera 推出 Paste Protect Opera 已推出 Paste Protect,一项新的安全功能,旨在阻止 ClickFix 式攻击;这类攻击会通过社交工程手段诱骗用户执行恶意命令。浏览器厂商表示:“Paste Protect 可帮助识别以下情况:恶意网站试图将你复制的内容替换为恶意版本,或者把潜在有害命令放到你的剪贴板中,随后诱骗你将其粘贴到终端中。”“当检测到任何可疑的剪贴板活动时,Opera 的 Paste Protect 会在危险内容被执行前向用户发出警告。”随着 ClickFix 继续成为威胁行为者常用的初始访问向量,这一举措随之推出。根据 Huntress 的数据,ClickFix 在 2025 年占所有恶意软件加载器活动的 53% 以上。ReliaQuest 对 2026 年 3 月 1 日至 5 月 31 日期间的数据分析显示,ClickFix 在此期间仍是主导性的投递方式,并针对 Windows 和 macOS 系统。该期间观察到的一个显著趋势是,ClickFix 活动似乎从通过受入侵网站投递,转向通过电子邮件链接投递。安全研究员 Bert-Jan Pals 表示:“ClickFix 表明,人类因素仍然是最有效的攻击向量之一,尤其是当它与合法系统功能和受信任二进制文件结合时。”
Opera 已推出 Paste Protect,一项新的安全功能,旨在阻止 ClickFix 式攻击;这类攻击会通过社交工程手段诱骗用户执行恶意命令。浏览器厂商表示:“Paste Protect 可帮助识别以下情况:恶意网站试图将你复制的内容替换为恶意版本,或者把潜在有害命令放到你的剪贴板中,随后诱骗你将其粘贴到终端中。”“当检测到任何可疑的剪贴板活动时,Opera 的 Paste Protect 会在危险内容被执行前向用户发出警告。”随着 ClickFix 继续成为威胁行为者常用的初始访问向量,这一举措随之推出。根据 Huntress 的数据,ClickFix 在 2025 年占所有恶意软件加载器活动的 53% 以上。ReliaQuest 对 2026 年 3 月 1 日至 5 月 31 日期间的数据分析显示,ClickFix 在此期间仍是主导性的投递方式,并针对 Windows 和 macOS 系统。该期间观察到的一个显著趋势是,ClickFix 活动似乎从通过受入侵网站投递,转向通过电子邮件链接投递。安全研究员 Bert-Jan Pals 表示:“ClickFix 表明,人类因素仍然是最有效的攻击向量之一,尤其是当它与合法系统功能和受信任二进制文件结合时。”
Gmail 钓鱼行动 UNC1151 钓鱼活动分析 一起由 UNC1151(又名 Ghostwriter)组织的鱼叉式钓鱼攻击,目标是白俄罗斯亲民主政治人物 Yury Hubarevich,后被评估为更大范围凭据钓鱼行动的一部分。该活动使用 Gmail 账户发送邮件,声称在目标的 Google 账户中检测到可疑活动,并敦促其点击链接验证账户。关键在于,若在钓鱼页面输入凭据,受害者的登录信息就会被窃取并外传至攻击者控制的基础设施。攻击面管理平台 Censys 随后发现了更多冒充 I.UA 邮件门户的域名,表明该活动也可能针对乌克兰人。
一起由 UNC1151(又名 Ghostwriter)组织的鱼叉式钓鱼攻击,目标是白俄罗斯亲民主政治人物 Yury Hubarevich,后被评估为更大范围凭据钓鱼行动的一部分。该活动使用 Gmail 账户发送邮件,声称在目标的 Google 账户中检测到可疑活动,并敦促其点击链接验证账户。关键在于,若在钓鱼页面输入凭据,受害者的登录信息就会被窃取并外传至攻击者控制的基础设施。攻击面管理平台 Censys 随后发现了更多冒充 I.UA 邮件门户的域名,表明该活动也可能针对乌克兰人。
FTC 执法行动 FTC 因未帮助身份盗窃受害者而罚款 Amazon 美国联邦贸易委员会已对 Amazon 处以 225 万美元罚款,以了结其未帮助身份盗窃受害客户的指控。联系 Amazon 举报欺诈的消费者被其客服告知,出于“安全”或“隐私”原因,公司无法提供以其名义发生的欺诈交易相关申请和商业交易记录。FTC 消费者保护局局长 Christopher Mufarrige 表示:“Amazon 常常让身份盗窃受害者经历一种 Kafkaesque 式的折磨:在 Amazon 释放法律本应允许其取得的记录之前,先要求他们识别窃取其信息的小偷——而这些记录本可以帮助受害者保护自己并从欺诈行为中恢复。”
美国联邦贸易委员会已对 Amazon 处以 225 万美元罚款,以了结其未帮助身份盗窃受害客户的指控。联系 Amazon 举报欺诈的消费者被其客服告知,出于“安全”或“隐私”原因,公司无法提供以其名义发生的欺诈交易相关申请和商业交易记录。FTC 消费者保护局局长 Christopher Mufarrige 表示:“Amazon 常常让身份盗窃受害者经历一种 Kafkaesque 式的折磨:在 Amazon 释放法律本应允许其取得的记录之前,先要求他们识别窃取其信息的小偷——而这些记录本可以帮助受害者保护自己并从欺诈行为中恢复。”
Telegram RAT 激增 基于 Telegram 的 Millenium RAT 感染 6 万台设备 一款名为 Millennium RAT 的远程访问木马(RAT)已从 .NET 架构转向原生 C++,但仍依赖 Telegram Bot API 进行命令与控制(C2)。该恶意软件归因于一名名为 ShinyEnigma 的开发者,他也是 DotStealer 的幕后人员,最早出现在 2023 年 9 月。它以 malware-as-a-service(MaaS)形式出售,首月 50 美元,之后每月 10 美元,或一次性支付 90 美元购买终身版。Group-IB 表示:“作为一款功能完整的远程访问木马,Millenium RAT 4.* 旨在入侵 Windows 机器。”“它使威胁行为者能够外泄敏感的浏览器和系统数据、捕获截图和音频、执行键盘记录,以及下载并运行任意可执行文件。”涉及该恶意软件的利用活动由一个代号为 Y2K Operators 的威胁行为者集群执行。该威胁行为者自 2025 年 5 月以来一直活跃,通过将恶意载荷伪装成合法软件或破解应用来诱骗用户执行。撰写时,Millenium RAT 4.* 版本已感染 62,289 台设备,其中仅 2026 年 3 月就报告了超过 16,000 起感染。更有意思的是,攻击者甚至会把目标对准其他网络犯罪分子。“他们会拿流行的 RAT、builder 和 exploit kit,加入后门再重新分发——于是本来要下载工具的攻击者,会在同时被感染,”Group-IB 说。
一款名为 Millennium RAT 的远程访问木马(RAT)已从 .NET 架构转向原生 C++,但仍依赖 Telegram Bot API 进行命令与控制(C2)。该恶意软件归因于一名名为 ShinyEnigma 的开发者,他也是 DotStealer 的幕后人员,最早出现在 2023 年 9 月。它以 malware-as-a-service(MaaS)形式出售,首月 50 美元,之后每月 10 美元,或一次性支付 90 美元购买终身版。Group-IB 表示:“作为一款功能完整的远程访问木马,Millenium RAT 4.* 旨在入侵 Windows 机器。”“它使威胁行为者能够外泄敏感的浏览器和系统数据、捕获截图和音频、执行键盘记录,以及下载并运行任意可执行文件。”涉及该恶意软件的利用活动由一个代号为 Y2K Operators 的威胁行为者集群执行。该威胁行为者自 2025 年 5 月以来一直活跃,通过将恶意载荷伪装成合法软件或破解应用来诱骗用户执行。撰写时,Millenium RAT 4.* 版本已感染 62,289 台设备,其中仅 2026 年 3 月就报告了超过 16,000 起感染。更有意思的是,攻击者甚至会把目标对准其他网络犯罪分子。“他们会拿流行的 RAT、builder 和 exploit kit,加入后门再重新分发——于是本来要下载工具的攻击者,会在同时被感染,”Group-IB 说。
搜索劫持扩展 Chromium 扩展利用 AI 品牌重定向搜索 Microsoft 表示,其发现了一个恶意的 Chromium 浏览器扩展,该扩展冒充 AI 驱动的问答引擎 Perplexity AI,以欺骗毫无戒心的用户安装。该扩展名为“Search for Perplexity ai”(ID: flkebkiofojicogddingbdmcmkpbplcd),已被 Google 下架,但在此之前已获得 10,000 次安装。微软表示:“我们评估其主要目标是拦截搜索流量并收集数据,这可能支持诸如画像、定向广告或其他滥用形式等下游用途,具体取决于运营者意图。”“不过,与主要依赖激进变现或可见重定向的传统搜索劫持器不同,这个扩展结合了 Manifest Version 3(MV3)能力、中间基础设施和 declarativeNetRequest(DNR)规则,在保留合法搜索结果外观的同时,透明地拦截 Omnibox 查询。”这些攻击说明威胁行为者持续利用 AI 工具的流行度,将其作为社交工程向量加以滥用。
微软表示,其发现了一个恶意的 Chromium 浏览器扩展,该扩展冒充 AI 驱动的问答引擎 Perplexity AI,以欺骗毫无戒心的用户安装。该扩展名为“Search for Perplexity ai”(ID: flkebkiofojicogddingbdmcmkpbplcd),已被 Google 下架,但在此之前已获得 10,000 次安装。微软表示:“我们评估其主要目标是拦截搜索流量并收集数据,这可能支持诸如画像、定向广告或其他滥用形式等下游用途,具体取决于运营者意图。”“不过,与主要依赖激进变现或可见重定向的传统搜索劫持器不同,这个扩展结合了 Manifest Version 3(MV3)能力、中间基础设施和 declarativeNetRequest(DNR)规则,在保留合法搜索结果外观的同时,透明地拦截 Omnibox 查询。”这些攻击说明威胁行为者持续利用 AI 工具的流行度,将其作为社交工程向量加以滥用。
会议 bot 控制 Microsoft Teams 的 Bot Protection 随着企业环境中 AI 工具日益普及,Microsoft 表示将引入“更智能的 bot 防护”功能,以应对连接第三方服务的 bot 参加会议的场景。微软表示:“会议中的意外参与者会带来安全和隐私风险,尤其是在讨论敏感信息时。”“这就是为什么我们要推出新的 Teams 管理员策略,为组织提供对会议中外部 bot 的更多可见性和控制。这一新体验可帮助组织者识别 bot,并在其被允许加入前增加保障,让组织更有信心,只有预期中的参与者和工具会出现在会议中。”作为这项工作的一部分,微软打算明确区分 bot 和真人参与者,在 bot 加入会议时为组织者提供更高可见性,并在组织者选择 Admit all 且包含 bot 时发出警告。随着这些新保障逐步推出,微软计划停用现有的 CAPTCHA 验证体验。
随着企业环境中 AI 工具日益普及,Microsoft 表示将引入“更智能的 bot 防护”功能,以应对连接第三方服务的 bot 参加会议的场景。微软表示:“会议中的意外参与者会带来安全和隐私风险,尤其是在讨论敏感信息时。”“这就是为什么我们要推出新的 Teams 管理员策略,为组织提供对会议中外部 bot 的更多可见性和控制。这一新体验可帮助组织者识别 bot,并在其被允许加入前增加保障,让组织更有信心,只有预期中的参与者和工具会出现在会议中。”作为这项工作的一部分,微软打算明确区分 bot 和真人参与者,在 bot 加入会议时为组织者提供更高可见性,并在组织者选择 Admit all 且包含 bot 时发出警告。随着这些新保障逐步推出,微软计划停用现有的 CAPTCHA 验证体验。
Defender 零日滥用 BlueHammer 被用于勒索软件攻击 美国网络安全与基础设施安全局(CISA)确认,现已修补的 Microsoft Defender 漏洞 BlueHammer(又名 CVE-2026-33825)被用于勒索软件攻击。BlueHammer 于 2026 年 4 月由匿名研究员 Chaotic Eclipse(又名 Nightmare-Eclipse)作为零日首次披露。目前尚不清楚是哪个勒索软件组织利用了该漏洞。
美国网络安全与基础设施安全局(CISA)确认,现已修补的 Microsoft Defender 漏洞 BlueHammer(又名 CVE-2026-33825)被用于勒索软件攻击。BlueHammer 于 2026 年 4 月由匿名研究员 Chaotic Eclipse(又名 Nightmare-Eclipse)作为零日首次披露。目前尚不清楚是哪个勒索软件组织利用了该漏洞。
被盗 AI 算力滥用 使用被盗 AI 算力构建进攻性 Agentic 工具 据 Sysdig 的发现,威胁行为者被观察到使用一个配置错误的 Ollama 模型服务器作为自动化多阶段进攻性安全工具 VAPT framework 的推理引擎。这一进展标志着 LLMjacking 的新演变;LLMjacking 是一种资源劫持攻击,恶意行为者窃取 API keys、cloud credentials 或非人类身份,以劫持组织的 Large Language Model(LLM)资源。之后,未授权访问会被滥用于运行大量 AI 工作负载或转售访问给第三方,而合法账户持有人则需要承担使用费用。Sysdig 的 Michael Clark 表示:“攻击者并不是在与模型聊天,也不是在转售访问权限。”“相反,他们把对 AI 工具的访问接入一个软件流水线:先扫描目标、匹配已知漏洞、编写概念验证 exploit,并尝试入侵受害者环境——而模型在每一步都在做决定。”
据 Sysdig 的发现,威胁行为者被观察到使用一个配置错误的 Ollama 模型服务器作为自动化多阶段进攻性安全工具 VAPT framework 的推理引擎。这一进展标志着 LLMjacking 的新演变;LLMjacking 是一种资源劫持攻击,恶意行为者窃取 API keys、cloud credentials 或非人类身份,以劫持组织的 Large Language Model(LLM)资源。之后,未授权访问会被滥用于运行大量 AI 工作负载或转售访问给第三方,而合法账户持有人则需要承担使用费用。Sysdig 的 Michael Clark 表示:“攻击者并不是在与模型聊天,也不是在转售访问权限。”“相反,他们把对 AI 工具的访问接入一个软件流水线:先扫描目标、匹配已知漏洞、编写概念验证 exploit,并尝试入侵受害者环境——而模型在每一步都在做决定。”
本周的教训很简单:当侧门已经开着时,攻击者不需要正门。
一个复制的命令、一个暴露的服务器、一个受信任的 bot、一个弱校验。只要没人把它们当成入口,小东西也会变成入口点。
所以请带着这一点阅读这份清单。响亮的是入侵;真正有用的是那个导致入侵的安静错误。下次 ThreatsDay 再见。