1、纽约公立医疗系统遭第三方入侵泄露180万患者敏感数据

https://www.govinfosecurity.com/public-nyc-health-system-notifying-18m-hack-a-31726

美国纽约市大型公立医疗体系NYC Health + Hospitals披露一起大规模数据泄露事件，因合作第三方供应商存在安全漏洞，导致近180万名患者的隐私数据遭到泄露。该医疗系统覆盖纽约五大区七十余家诊疗机构，服务海量基层病患，此次泄露数据范围极广，包含医保参保信息、诊疗记录、账单凭证、社保编号、银行卡信息，以及指纹、掌纹等不可重置的生物识别数据，长期隐私与财产风险极高。安全专家表示，生物识别数据无法像密码一样修改，一旦泄露将终身存在被冒用、精准诈骗的隐患。据悉，这是该机构2026年第二起第三方关联泄露事件，今年3月其合作康养机构曾发生漏洞泄露五千余名患者信息，两起事件相互独立，暴露公立医疗体系第三方供应链普遍存在的安全短板，目前相关事件已上报美国卫生监管部门。

2、GitHub遭遇供应链攻击泄露3800个内部代码库数据

https://www.varonis.com/blog/github-breach

微软旗下代码托管平台GitHub确认遭遇针对性供应链攻击，威胁组织TeamPCP利用员工终端安装的恶意VS Code扩展突破内部防护，非法窃取平台内部核心源码资源，共计3800个内部仓库数据遭外泄。TeamPCP是专注供应链攻击的知名黑产团伙，此前曾多次入侵开源安全项目与开发工具平台。此次攻击中，攻击者依托恶意开发工具实现无感知渗透，全程规避常规安全检测，窃取的核心源码涵盖平台多项核心业务模块。攻击得逞后，该团伙在黑产论坛挂牌售卖数据，底价5万美元，并威胁若无买家将全网公开泄露。事件发生后，GitHub迅速隔离受感染终端、下架恶意扩展、按风险优先级轮换全部核心密钥，全面排查日志溯源攻击链路，并公开表示暂无用户私有仓库与客户数据泄露痕迹，持续推进后续安全加固工作。

3、OpenClaw AI框架曝高危漏洞可劫持AI代理

https://www.govinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720

安全厂商披露开源智能代理框架OpenClaw存在一组高危漏洞，被命名为Claw Chain，包含四组可联动利用的安全缺陷，最高漏洞评分达9.6分，影响4月23日前发布的全部版本。该框架因功能强大、开源免费，上线短期内成为GitHub热门项目，全网暴露公网实例最高达24.5万台。四类漏洞分别对应CVE-2026-44112、CVE-2026-44115、CVE-2026-44118、CVE-2026-44113，涵盖沙箱执行时序缺陷、命令校验绕过、权限越权、路径读取绕过问题。攻击者可通过漏洞组合利用，绕过平台安全校验、篡改系统配置、植入持久后门、窃取服务器密钥与本地敏感文件，全程依托AI代理合法权限操作，传统安全设备难以识别拦截。这类攻击可实现权限提升、持久控驻、凭证窃取等完整攻击链路，全网约65000至180000台公开暴露实例存在风险，不仅威胁个人用户隐私，还可通过个人终端渗透关联企业办公环境，引发跨场景安全风险，目前官方已推送完整安全补丁。

4、CISA监管机构不慎公开大量明文密钥与系统凭证

https://techcrunch.com/2026/05/19/us-cyber-agency-cisa-exposed-reams-of-passwords-and-cloud-keys-to-the-open-web/

美国网络安全和基础设施安全局（CISA）曝出严重内部安全事故，其合作承包商员工不慎将大量明文密码、云访问密钥、系统令牌等核心敏感凭证，上传至公开GitHub仓库，导致美国国土安全部（Department of Homeland Security）及CISA内部系统访问权限暴露。这些凭证可直接对接政府云资源与内部业务系统，风险等级极高。该漏洞由GitGuardian安全研究员主动发现并上报，多次联系涉事承包商未获回应后公开披露。作为美国联邦网络安全主管机构，CISA长期对外输出安全规范，明令禁止明文存储密钥、密码等敏感数据，此次事件形成鲜明安全漏洞。官方调查后表示暂无证据显示数据被恶意利用，但承认内部管控存在严重疏漏，叠加机构长期空缺局长、人员大幅缩减的现状，内部安全运维体系存在明显短板，目前已紧急回收泄露凭证并开展全面内部排查。

5、微软成功捣毁Fox Tempest恶意代码签名黑产团伙

https://cyberscoop.com/microsoft-digital-crimes-unit-disrupts-fox-tempest/

微软数字犯罪部门（Microsoft Digital Crimes Unit）联合执法力量，成功瓦解长期活跃的Fox Tempest黑产团伙，捣毁其全套恶意代码签名非法服务体系。该团伙自2025年9月起持续运作，伪造正规企业身份滥用微软Artifact Signing系统，批量制作售卖虚假合法代码签名证书。各类勒索组织、信息窃取团伙可依托该证书为恶意软件赋能，规避系统安全校验、绕过终端防护，实现木马、勒索病毒、钓鱼程序的免杀传播。该团伙累计制作超1000份恶意证书，服务于Rhysida、Vanilla Tempest等十余类黑产攻击。微软通过司法授权，查封团伙域名、关停千余账号、下线恶意服务器，彻底切断其服务链路，大幅提升同类恶意软件的传播成本。

6、存在九年的Linux内核漏洞可导致主流发行版root命令执行

https://thehackernews.com/2026/05/9-year-old-linux-kernel-flaw-enables.html

Linux内核曝出潜伏九年的高危漏洞CVE-2026-46333，可让本地攻击者获取root权限并窃取敏感数据，影响主流发行版。补丁已发布，建议立即更新或临时调整安全参数。同时Arch Linux的PinTheft漏洞PoC也被公开，需警惕本地提权风险。

7、Claude Code网络沙箱漏洞暴露用户凭证与源代码

https://cybersecuritynews.com/claude-codes-network-sandbox-vulnerability/

Claude Code AI编程助手存在严重网络沙箱漏洞，攻击者可窃取凭证和源代码，漏洞持续5个月未被公开。Anthropic静默修复但未公告，用户需立即升级至v2.1.90+并轮换凭证。建议将沙箱视为防御措施而非安全边界。

8、暗网数据贩子将历史泄露事件重新包装为"新企业数据泄露"

https://cybersecuritynews.com/dark-web-brokers-repackage-old-breaches/

暗网虚假数据泄露泛滥，黑客回收历史数据重新包装成"新情报"出售，消耗企业安全资源。中文暗网五大核心数据源每月发布600-1000条虚假声明，混合真实与伪造信息制造恐慌。企业需结构化验证数据真实性，避免分散对真实威胁的注意力。

9、黑客利用伪造所得税评估页面感染Windows系统

https://cybersecuritynews.com/hackers-use-fake-income-tax-assessment-pages/

印度税务诈骗活动TAX#TRIDENT通过伪造税务文件攻击Windows用户，利用三条感染链部署恶意软件，包括远程控制工具和劫持合法企业软件，需警惕可疑税务链接并加强行为监控防御。

10、思科Secure Workload严重漏洞可导致未授权API访问

https://cybersecuritynews.com/cisco-secure-workload-vulnerability/

思科Secure Workload平台曝严重漏洞（CVE-2026-20223，CVSS 10.0），攻击者可利用未认证API获取管理员权限，影响所有版本。思科已发布修复版本，建议立即升级，SaaS用户无需操作。该漏洞凸显内部API安全风险，需加强访问控制。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。