当前位置: 首页 > 行业资讯 > 网络安全日报 2026年07月02日

网络安全日报 2026年07月02日

发表于:2026-07-02 09:30 作者: 蚁景网安实验室 阅读数(98人)

1、研究人员披露一种名为BioShocking的AI漏洞

https://layerxsecurity.com/blog/bioshocking-ai-gaming-the-ai-browser-and-escaping-its-guardrails/

研究人员发现,攻击者可以通过操纵AI浏览器来执行任意指令。通过构建一个虚假现实,攻击者能够说服AI违反其安全护栏,从而进行篡改用户数据、复制代码、执行系统命令等操作。研究人员将这一漏洞命名为BioShocking。一旦让AI浏览器相信自己并不处于现实世界中,就能让它执行攻击者想要执行的任何命令,例如泄露敏感信息、修改密码、甚至安装恶意软件。研究人员已经将研究结果通知了所有相关厂商。

2、Blackfield勒索组织向Nidec索要200万美元赎金

https://www.bleepingcomputer.com/news/security/blackfield-ransomware-asks-nidec-corporation-for-2-million-ransom/

Blackfield勒索组织正向日本电产株式会社(Nidec Corporation)索要200万美元的赎金。在一份声明中,Nidec表示其子公司Nidec Chaun Choung Technology遭受一次勒索软件攻击。Blackfield勒索组织已宣布对此次攻击负责,同时要求受害者支付200万美元。此外,Blackfield的帖子中还包含一个链接,声称只需支付40万美元即可立即下载这些数据。该勒索组织还泄露了部分数据样本,然而目前尚无法确认这些信息的真实性。

3、GuardFall漏洞波及11款热门开源AI Agent中的10款

https://securityaffairs.com/194546/ai/guardfall-flaw-hits-10-of-11-popular-open-source-ai-agents.html

调查发现11款热门开源AI Agent中10款存在命令注入漏洞,攻击者可绕过防护执行危险命令。漏洞源于命令检查与执行的差异,仅Continue项目有效防护。建议采用受限shell运行Agent并审核配置,健全防护机制亟待普及。

4、研究人员分析3000个活跃ClickFix攻击,揭露API驱动的恶意软件分发机制

https://thehackernews.com/2026/07/researcher-analyzes-3000-live-clickfix.html

ClickFix恶意软件通过API驱动服务器分发变种载荷,利用社交工程诱骗用户手动运行,攻击量激增517%。其隐蔽性高,可绕过传统防护,已被国家级黑客组织武器化。防御需关注进程链和用户教育,技术持续演变威胁长期存在。

5、针对Azure CLI的大规模密码喷洒攻击8100万次尝试入侵78个微软账户

https://thehackernews.com/2026/07/azure-cli-password-spray-hits-at-least.html

微软Azure CLI遭大规模密码喷洒攻击,利用废弃OAuth流程绕过CAP防护,64家机构78个账户沦陷。攻击源自LSHIY LLC的IPv6地址段,日均8100万次尝试。MFA配置缺陷是关键漏洞,专家建议全面启用MFA并限制Azure CLI使用。

6、美国解除越狱相关出口管制后 Anthropic 恢复 Claude Fable 5 服务

https://thehackernews.com/2026/07/anthropic-restores-claude-fable-5-after.html

美国解除对Claude Fable 5的出口管制,7月1日重新开放。此前因越狱技术触发紧急禁令,Anthropic升级安全过滤器后恢复服务,但Mythos 5仍受限。事件暴露AI监管困境,行业正推动越狱风险分级标准。

7、Kali Linux 2026.2 发布:新增 9 款工具并优化虚拟机启动性能

https://cybersecuritynews.com/kali-linux-2026-2-released/

Kali Linux 2026.2发布,升级GNOME 50和KDE Plasma 6.6桌面环境,优化虚拟机启动速度3倍,革新软件包管理,新增9款安全工具,改进移动端支持,内核升级至6.19。

8、Cursor IDE曝出两大关键RCE漏洞 可零点击提示注入攻击

https://www.freebuf.com/articles/ai-security/488440.html

在超过半数财富500强企业使用的AI开发环境Cursor IDE中,发现两个关键远程代码执行(RCE)漏洞。Cato AI实验室披露了这两个被命名为"DuneSlide"的漏洞(CVE-2026-50548和CVE-2026-50549),CVSS严重性评分均为9.8分,攻击者可借此完全突破Cursor的沙箱防护。

9、iPhone 18 Pro供应商、零部件及照片全部泄露

https://www.secrss.com/articles/91805

据消息人士透露,包含苹果即将推出的iPhone 18 Pro敏感零部件信息、供应商名单及机型照片的机密文件,已被勒索软件组织发布至暗网上。该组织此前从苹果公司的印度供应商塔塔电子窃取了相关数据。

10、Adobe 修复了ColdFusion 和Campaign Classic 中的 7 个高危漏洞

https://thehackernews.com/2026/07/adobe-patches-7-cvss-100-flaws-in.html

Adobe 已发布针对 Adobe ColdFusion 和 Adobe Campaign Classic 的多个最高严重性安全漏洞的补丁。Adobe 于周二发布的警报中表示,ColdFusion 更新“解决了可能导致任意代码执行、权限提升、任意文件系统读取和安全功能绕过的关键和重要漏洞”。

以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。

本课程最终解释权归蚁景网安学院

本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动

🎈网安学院推荐课程: 红队攻防特训班 Web安全工程师特训班 Python网络安全实战班 应急响应安全工程师特训班
  CTF-Reverse实战技能特训班 CTF-WEB实战技能特训班 CTF-PWN实战技能特训班 CTF-MISC实战技能特训班   SRC漏洞高阶实战课 HVV大师课