AI安全一周速览:漏洞爆发、诈骗打击与监管动态
新闻速览CNNVD 发布 AI 漏洞通报:213 个漏洞集中爆发,超危 8 个高危 89 个国家信息安全漏洞库(CNNVD)发布了最新人工智能安全漏洞通报,统计周期内共收录 AI 相关漏洞213个,其中包含8个超危、89个高危漏洞。漏洞主要集中在AI智能体、MCP组件及大模型运行框架,常见类型包括命令注入、路径遍历等,可能导致未授权访问、权限提升等风险。OpenClaw组件的漏洞数量最多,风险尤为突出。CNNVD建议企业及时排查更新补丁,并加强权限与输入验证。国家计算机病毒应急处理中心通报:67 款移动应
AI换脸陷阱:女大学生遭遇陌生男子恶意P图,蛛丝马迹助其锁定嫌疑人
近期,媒体报道了一起令人震惊的事件,一位名叫塔塔(化名)的女大学生发现自己的照片被一名陌生男子利用AI技术进行了篡改。与许多同龄人一样,塔塔热衷于拍照并乐于在社交媒体上分享生活点滴。然而,她从未预料到,一张随手发布的照片竟会在她不知情的情况下,被AI(人工智能)技术加工成截然不同的模样。“这实在太令人作呕了,简直无法忍受。”塔塔在描述看到那些被篡改图片时的感受时,言语中充满了厌恶和一种不知所措的无力感。一位热心的网友在看到那些AI生成的图片后,通过图片识别软件找到了塔塔的社交账号,并主动联系她,还协助她找
企业AI安全实战手册:部署智能系统的防护要诀
🛡️ AISTOC 安全专题 · 企业实战手册AI 安全指南企业落地AI不可不知的关键事项当AI演变为核心基础设施,安全保障从可选项变为必答题2026年,AI已从"增值功能"转变为"核心支柱"。然而伴随而来的安全挑战,也从次要隐患上升为企业存续的关键议题。单起数据泄漏事件平均造成超400万美元损失,智能体一次失控便可能引发整体系统崩溃。💡 AI安全投入并非支出,而是风险抵御资本。本文围绕四个核心方向,为企业构建AI安全体系提供实战指引:🔴 风险洞察:企业落地AI会遭遇哪些安全威胁?🔧 技术对策:哪些安全防
AI安全威胁解析(五)| 探究智能助手被操控的机制
行为控制陷阱:从"影响"到"劫持"这是「AI安全风险」系列的第5篇。基于Google DeepMind论文《AI Agent Traps》。· · ·在本系列的前三篇中,我们探讨了三类"软性"攻击:操控AI看到什么(内容注入)、操控AI怎么思考(语义操纵)、操控AI记住什么(认知状态)。这三类攻击的共同特点是"间接"——它们通过修改信息环境来影响AI的判断,但AI在形式上仍然在"自主"做出决策。今天要讲的这一类攻击,不再有任何
AI安全治理:企业如何应对模型幻觉与数据泄露风险?
随着人工智能(AI)在金融、医疗、制造等关键领域的广泛应用,安全性已不再是可选项,而是必须解决的难题。企业需要建立一个覆盖模型训练、部署、运营和迭代全过程的安全防护体系,从被动应对转向主动管理,才能在享受AI带来的益处的同时,规避安全与合规风险,并实现数据泄露风险降低95%、模型决策准确率提升至99%的目标。模型幻觉是指AI生成看似合理但与事实不符、包含虚构信息或逻辑矛盾的内容,可分为事实性、逻辑性、内在性和外在性幻觉四种。到2026年,模型幻觉已成为金融行业面临的严峻挑战。AI模型对海量数据的需求使其成
韩方96名议员批美方干预司法主权
新华社北京4月29日电据悉,来自韩国多個政党的96名国会议员28日向美国驻韩使馆联名递交信函,要求美方停止对韩国就“酷澎”电商巨头数据外泄相关调查施加政治影响,并指责其侵犯韩国司法主权、干扰内政。 这封抗议信由共同民主党、祖国革新党、进步党以及社会民主党等所属的96名议员共同签署。信中称,美国国会议员插手酷澎公司调查,试图把该事与两国外交或安全协作挂钩,做法有违法治精神。 共同民主党议员朴弘培在记者会上表示,发生在韩国境内的事项应依照韩国法律与程序进行处理。酷澎公司事件不只是单一企业的争议,任何个人或机构
AI编程默认设防不足:Lovable曝出严重数据外泄风波
这起事件“再度表明:当产品缺少安全优先的默认配置,又没有面向自动化与AI时代做威胁建模时,隐患迟早会被揭开”。安全内参4月23日消息,国际知名AI编程工具Lovable近期曝出的安全状况,再次提醒专业软件工程师对“氛围编程”保持必要警惕。周一,X平台用户Impulsive公开点名Lovable,指称这家瑞典AI编程初创企业出现大范围数据暴露,“波及到2025年11月之前创建的所有项目”。该用户称,自己仅凭一个免费的Lovable账号,就能查看到其他用户的代码、AI对话记录以及客户相关数据。他还表示:“英伟
骇人听闻!济南AI抢先泄露事业编分数:17分钟攻陷服务器,四成政务系统对AI不设防,数据防护体系面临崩溃
4月23日午夜,一则爆料引爆网络:有网民宣称借助字节跳动AI助手"豆包",抢先获取了2026年济南槐荫区事业单位招考笔试成绩——而官方当时尚未正式发布。一张分数被遮挡的成绩单截图瞬间刷屏,阅读量暴涨,讨论区彻底沸腾。这不是银幕虚构,而是刚刚在你我身边上演的现实剧情。官方很快作出澄清。槐荫区相关部门说明:由于次日需发布成绩,技术团队在前一晚对查询通道进行调试,不料被网民"意外访问"。发现问题后立即关闭了通道,成绩于次日如期公布,"未产生负面后果"。这番说辞看似云淡风轻,但这场"意外"背后隐藏着一个令人不寒而
当心AI技术沦为诈骗老人的工具
孙子闯祸急需用钱,一声惟妙惟肖的“奶奶”骗走2万养老钱;在交友APP上充值数万元只为与“佳人”互诉衷肠;网上充斥着“免费”AI培训课程;直播间里“专家”带货保健品……随着人工智能技术的飞速发展,AI合成技术被恶意利用的问题愈发严重,尤其需要高度警惕针对老年群体的精准“围猎”。撕开这层技术伪装,AI坑老是旧瓶装新酒——利用老年人的孤独与焦虑,钻信息不对称的空子,激发非理性消费,牟取暴利。早年直播间“儿女们”演苦情戏卖“神药”,靠编造家庭矛盾、假扮医生等博取信任;如今骗子无需雇专业演员、写复杂剧本,借助AI工
Mythos模型遭未授权访问 Anthropic曾预警其技术威力巨大
据内部消息及文件显示,部分非授权用户已成功进入Anthropic PBC新一代Mythos AI模型系统。Anthropic此前指出,该模型的技术潜力巨大,甚至可能被用于发起危险的网络攻击。 要求匿名的消息源表示,就在Anthropic宣布向少数公司开放Mythos测试计划的同时,一个私密论坛中的少数用户便已成功获取了访问权限。知情人士称,该群体此后一直在持续使用Mythos,但并未将其用于网络安全目的。知情人士还提供了截图和现场模型演示,向媒体证实了这一说法。 Anthropic此前曾表示,在用户指令下
AI安全惊变:跨境数据保护面临生死考验
“Mythos时刻”降临:AI致命漏洞之下,跨境数据安全的生死考验外界普遍将Mythos时刻视为AI技术发展过程中的"偶发事故",然而从跨境数据安全与法律合规的视角审视,这一事件的爆发具有深层次的必然性,其背后所揭示的风险隐患早已悄然潜伏于跨国企业的AI应用以及跨境数据交互的各个环节之中。从Mythos时刻的具体情形来分析,Anthropic公司在2026年4月推出了Claude Mythos Preview模型,但该模型并未向公众开放使用,仅通过"玻璃翼计划"将技术成果授权给特定机构使用。然而在受控沙盒
精准狙击再现疑云:7.6亿美元原油空单抢跑霍尔木兹消息前20分钟
来源:华尔街见闻 一笔掐准消息公布前20分钟的巨额空单,再度将原油市场的“神秘操作”推至台前。 4月17日,恰在伊朗外长宣布霍尔木兹海峡对所有商业船只完全开放前约20分钟(18日又被关闭),一笔价值约7.6亿美元的原油空单神不知鬼不觉地成交。消息公布后,油价当日最大跌幅一度达到11%。据路透社报道,这已是近月来第三次出现类似情况——重大政策发布前,总有人抢先建立巨额原油空单。 美国商品期货交易委员会(CFTC)已启动调查程序。据一位知情人士向媒体披露,CFTC正对一系列原油期货交易展开调查,包括3月23日
人工智能武器化!墨西哥9部门遭入侵:ChatGPT生成万行恶意代码
根据网络安全厂商Gambit披露的研究成果,一场针对墨西哥多部门政务系统的网络入侵事件已引发重大信息外泄,波及9个政府单位及数百万民众资料。更令人瞩目的是,此次渗透行动的核心利器竟是ChatGPT与Claude这类AI平台。研究显示,攻击者摒弃了传统黑客团伙模式,转而借助人工智能编制并实施整个攻击链条。他们甚至开发了包含逾万行Python脚本的专用工具,将沦陷服务器与OpenAI接口对接,完成自动化漏洞利用和数据窃取,使得原本需数周筹备的行动缩短至数小时内达成。更令人担忧的是,在2025年末至2026年初
特朗普申请延期处理百亿税务泄露官司
特朗普的法律团队正在与司法部和税务机构展开协商,并于本周五正式向联邦法庭递交动议,申请将针对国税局的官司搁置三个月。这位前总统在诉状中索赔金额不低于百亿美元,声称2018至2020年期间其纳税数据遭曝光,导致其蒙受声誉与财务双重打击、遭受大众嘲讽,并使其商业形象严重受损。 此次申请推迟审理的背后,是案件遭遇重大司法阻力。反对者认为,税务信息外流事件发生于六到八年前,很可能已超过联邦法规定的两年起诉期限。同时,身为行政体系最高负责人的特朗普控告其麾下机构的做法,激起了关于职权滥用和“默契官司”的巨大争议。国
警惕!AI“龙虾”工具存隐患
近期,工信部漏洞共享平台监测到OpenClaw开源AI智能体部分实例在默认或配置不当的情况下面临严峻安全隐患,极易导致网络攻击、数据泄露等风险。这款名为OpenClaw的开源工具因其标志为红色龙虾而获得昵称。OpenClaw(曾用名Clawdbot、Moltbot)属于开源AI智能体,它整合了多渠道通信与大语言模型,打造了拥有持久记忆、主动执行能力的定制化助手,支持本地私有化部署。鉴于部署时“信任边界不清”,且具备持续运行、自主决策及调用系统资源等特性,若缺乏有效的权限管控、审计机制和安全加固,可能因指令