1、钓鱼攻击滥用合法云平台作为托管环境绕过检测

https://hackread.com/phishing-campaigns-cloud-platforms-enterprises-risks/

研究人员披露，一波新的网络钓鱼活动正在滥用Google、Microsoft和Cloudflare等受信任的云与CDN平台，将其作为钓鱼页面和工具的托管环境。研究人员指出，攻击者通过将钓鱼套件隐藏在合法云服务中，从而降低检测概率，相关活动在网络和电子邮件层面上与正常商业流量高度相似，URL解析至受信任的合法云服务提供商，且TLS证书有效，使基于白名单和静态分析的检测机制难以识别。

2、Moltbook平台暴露AI代理通信与密钥安全问题

https://hackread.com/moltbook-social-platform-ai-agents-talk-humans-watch/

名为Moltbook的热门人工智能代理平台被用于自主发布、评论和互动，还可以管理日历、发送WhatsApp消息，甚至控制用户的电脑，人类仅主要作为观察者存在。安全研究人员指出，Moltbook相关软件通常与用户的私人文件相关联，存在潜在安全风险。独立研究人员发现，Moltbook对数据库防护不足，暴露了密钥信息，可被用于劫持AI代理。其他研究披露此类的泄露事件，由于数据库配置错误，导致约150万个API密钥和私密消息发生泄露。

3、Microsoft修复Windows11密码登录选项消失错误

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-bug-causing-password-sign-in-option-to-disappear/

Microsoft修复了一个已知错误问题，该问题导致自2025年8月起发布的Windows11更新后，部分系统在锁屏界面中不再显示密码登录选项。微软此前说明，该问题影响安装了2025年8月KB5064081非安全预览版更新的系统，或后续更新的Windows1124H2或25H2系统。尽管密码图标不可见，受影响用户仍可通过悬停在图标位置并选择隐藏按钮的方式使用密码登录。

4、NationStates确认发生数据泄露并关闭游戏网站

https://www.bleepingcomputer.com/news/security/nationstates-confirms-data-breach-shuts-down-game-site/

多人在线浏览器游戏NationStates确认发生数据泄露，并在调查安全事件期间关闭了其网站。NationStates官方披露，一名未经授权的用户访问了生产服务器并复制了用户数据，该攻击源于一名玩家在报告并测试游戏应用代码中的关键漏洞时，超出授权边界获得了主生产服务器上的远程访问权限，从而能够复制应用代码和用户数据。

5、 隐秘入侵："Metro4Shell"漏洞自2025年12月起遭野外利用

https://securityonline.info/silent-intrusion-metro4shell-exploited-in-the-wild-since-december/

Metro4Shell漏洞（CVE-2025-11953）早在2025年12月就被攻击者利用，远超公众认知。攻击者投放多系统载荷，暴露开发工具可访问即成为入侵入口。专家建议立即修补，等待官方警报会留给攻击者先机。

6、 Chrome紧急更新：V8 与 Libvpx 漏洞可能导致系统遭入侵

https://securityonline.info/chrome-144-security-alert-v8-libvpx-flaws-expose-systems-to-hacks/

Chrome紧急更新修复V8引擎和视频库高危漏洞，涉及内存错误和堆溢出风险，可能导致系统崩溃或代码执行。Windows、Mac和Linux用户应立即升级至144.0.7559.132/.133版本防范攻击。

7、Django 高危漏洞可引发拒绝服务与 SQL 注入攻击

https://www.freebuf.com/articles/web/469522.html

Django 开发团队紧急发布安全更新，修复了影响多个版本 Python Web 框架的六个高危漏洞。这些漏洞涉及三个高危 SQL 注入漏洞和多个拒绝服务攻击向量，影响 Django 4.2、5.2、6.0 版本及主开发分支。

8、海康威视修复DS-3WAP系列无线接入点命令注入漏洞

https://www.anquanke.com/post/id/314716

安全公告指出，该漏洞可直接导致任意命令执行。一旦攻击者在无线接入点这类网络设备上实现代码执行，就有可能拦截网络流量、横向渗透至内网中的其他设备，或是直接瘫痪整个无线服务。该安全漏洞影响海康威视DS-3WAP 系列多款无线接入点，具体来看，运行以下型号且固件版本为 V1.1.6303 build250812 及更早版本的设备均存在风险。

9、Notepad++被劫持，攻击者投毒更新包持续数月

https://www.anquanke.com/post/id/314722

这款装机量极高、广泛应用于数百万开发者电脑中的开源文本编辑器Notepad++，其开发团队已证实发生一起严重安全事件 —— 软件的更新基础设施遭劫持，恶意攻击持续长达数月。在今日发布的透明度报告中，项目方披露，国家级黑客组织劫持了软件的更新机制，向特定目标用户投递恶意载荷。

10、“Exfil Out&Look”漏洞致攻击者可通过OWA隐秘窃取邮件

https://www.anquanke.com/post/id/314701

瓦罗尼斯威胁实验室（Varonis Threat Labs）发布的最新报告指出，Microsoft 365 的日志记录功能存在重大盲区，攻击者可借此窃取敏感邮件且不留下任何痕迹。这种被命名为 “Exfil Out&Look” 的攻击手段，利用 Outlook 合法插件实现数据的隐秘外泄，直接绕过安全团队用于发现入侵者的审计日志。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。