1、俄罗斯AI聊天机器人公司泄露超过500名Canva创作者信息

https://hackread.com/limited-canva-creator-data-expose-ai-chatbot-database/

近日，网络安全公司UpGuard发现，俄罗斯AI聊天机器人公司My Jedai运营的一套Chroma数据库在线暴露，泄露了超过500名Canva创作者的电子邮件地址及其对平台的反馈信息。此次数据曝光源自一份详细调查问卷，涉及报酬、使用体验及AI技术应用等内容，共计571个邮箱及大量个人化回答。尽管数据库大部分内容为通用资料，但该部分涉及实际用户身份和创作经验，引发对AI系统中敏感数据管理的担忧。数据库托管在爱沙尼亚IP下，缺乏任何认证保护，属于配置不当造成的公开访问。Canva表示，已确认泄露文件与用户账号无关，并已联系受影响创作者，同时配合监管机构履行合规义务。此次事件反映出AI训练平台在数据使用上的风险和监管盲区，凸显全球范围内对敏感信息流动路径日益难以掌控的问题。

2、谷歌修复可能泄露账户绑定电话号码的漏洞

https://www.bleepingcomputer.com/news/security/google-patched-bug-leaking-phone-numbers-tied-to-accounts/

安全研究员BruteCat近日披露，谷歌曾存在一项严重漏洞，攻击者可借助用户名和部分手机号信息，暴力破解出与任意谷歌账号绑定的完整手机号。该攻击方式利用的是谷歌一套已废弃但仍在线的“无JavaScript用户名找回”表单，该页面缺乏现代防护机制。BruteCat利用IPv6地址轮换绕过限速机制，并通过模拟有效BotGuard令牌绕过验证码验证，构建了高效的暴力破解工具，能够每秒发起4万次请求。在美国，仅需20分钟即可穷举出目标手机号。谷歌在接到报告后初判风险为低，随后于5月将其升级为“中等严重性”并采取缓解措施，于6月彻底弃用相关接口。该漏洞一旦被滥用，可能为钓鱼诈骗和SIM卡交换攻击打开大门。目前尚无证据表明此漏洞曾被恶意利用。

3、Mirai变种利用Wazuh服务器的一个高危漏洞发起攻击

https://www.govinfosecurity.com/mirai-botnets-exploit-flaw-in-unpatched-wazuh-servers-a-28624

安全研究公司Akamai近日披露，至少两个Mirai僵尸网络正在利用Wazuh服务器中一个高危漏洞（CVE-2025-24016）发起攻击，这是该漏洞首次在野外被利用。Wazuh是一款开源的威胁检测与响应平台，亦为SIEM解决方案。该漏洞CVSS评分高达9.9，允许通过未过滤的JSON输入执行远程Python代码，攻击者可轻松入侵未打补丁的Wazuh服务器。Mirai本为感染物联网设备（如路由器、摄像头等）而生，但此次转向传统x86 Linux服务器，显示其攻击面持续扩展。此次入侵行动中，两种Mirai变种“Lzrd”和“Resentual”相继浮现，攻击脚本支持多种架构，体现出模块化和快速武器化的趋势。安全专家提醒，Wazuh服务器本不应暴露于公网，应立即修补漏洞并限制API访问，以避免成为僵尸网络控制节点。

4、美司法部扣押与朝鲜黑客诈骗案相关的774万美元加密货币

https://securityaffairs.com/178810/cyber-crime/doj-seize-7-74m-linked-to-north-korean-it-worker-scam.html

美国司法部（DOJ）近日发起民事没收程序，要求没收价值774万美元的加密货币和数字资产，这些资产与朝鲜伪装IT人员获取美国远程职位、为朝鲜政府创收的非法活动有关。该行动源于2023年4月起诉朝鲜外贸银行代表Sim Hyon Sop的案件，此人涉嫌协助IT人员洗钱，并通过NFT购买、小额转账和链间跳转等手法隐匿资金来源。据DoJ说明，朝鲜政府派遣大量技术人员以假身份接触区块链等公司远程职位，从雇主处骗取稳定币收入。这些资金最终回流朝鲜，部分通过与国防部有关联、早在2017年已被制裁的企业“Chinyong”洗出。2024年还起诉了一批协助伪装身份的美国及乌克兰人员，包括亚利桑那州的Christina Chapman和波兰被捕、正待引渡的Oleksandr Didenko。Chapman面临多项罪名，包括欺诈、身份盗用、非法就业协助与洗钱。这一连串执法行动反映了美国政府打击朝鲜通过网络和技术渗透全球供应链、规避制裁的坚定立场，也警示企业需严格审查远程雇员背景，防范国家支持的网络渗透与洗钱风险。

5、思科警告 ISE 和 CCP 存在公开漏洞代码

https://www.anquanke.com/post/id/308319

思科发布了补丁,以解决其身份服务引擎(ISE)和客户协作平台(CCP)解决方案中公共利用代码的三个漏洞。

6、Qilin勒索软件攻击利用了Fortinet的关键漏洞

https://www.anquanke.com/post/id/308307

Qilin勒索软件操作最近加入了利用两个Fortinet漏洞的攻击,这些漏洞允许绕过易受攻击的设备上的身份验证并远程执行恶意代码。

7、Apache Kafka多个高危漏洞安全风险

https://www.secrss.com/articles/79610

Kafka官方修复多个安全漏洞：Apache Kafka客户端任意文件读取漏洞(CVE-2025-27817)是由于在 SASL/OAUTHBEARER 和 SASL JAAS 配置中未对 URL 和登录模块进行严格限制，从而造成的客户端的敏感数据和内网信息泄露；Apache Kafka远程代码执行漏洞(CVE-2025-27818、CVE-2025-27819)则分别因允许使用 LdapLoginModule 和 JndiLoginModule ，可能触发 Java 反序列化漏洞，进而导致远程代码执行或拒绝服务攻击。

8、新型安卓银行木马正在全球蔓延，可完全控制安卓设备

https://www.freebuf.com/news/434061.html

一种名为Crocodilus（鳄鱼）的新型安卓银行木马已成为全球重大威胁，该恶意软件具备高级设备控制能力，可使网络犯罪分子对受感染智能手机实施前所未有的操控。

9、Meta暗中追踪数十亿安卓用户

https://www.freebuf.com/articles/database/434109.html

Meta（Facebook）与Yandex采用高隐蔽性追踪技术，通过本地主机套接字实施网页到应用的跨进程通信，潜在影响全球数十亿安卓用户。该技术使Facebook、Instagram等原生安卓应用能静默接收来自数万网站中Meta Pixel脚本传输的浏览器元数据、Cookie及指令，成功将移动浏览会话关联至用户身份，规避了标准隐私防护机制。

10、恶意软件通过篡改《对峙2》外挂侵害玩家

https://www.freebuf.com/news/434103.html

帕洛阿尔托网络公司（Palo Alto Networks）旗下威胁情报部门Unit 42近日发现，一种名为Blitz的隐蔽型Windows平台恶意软件正通过篡改版手游《对峙2》作弊程序实施攻击。这场最初以游戏作弊为诱饵的恶意活动，已演变为具备多阶段攻击能力的综合性威胁——不仅窃取敏感数据、劫持系统资源进行加密货币挖矿，还滥用Hugging Face Spaces等合法平台建立命令控制（C2）通道。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。