文章总结： 文档主要涵盖了近期多个网络安全事件和趋势，包括Windows补丁导致企业系统异常、PolarEdge僵尸网络威胁、AI工具安全风险、节日钓鱼诈骗激增、青少年网络安全问题、免费VPN数据收集风险、远程医疗数据安全挑战、跨国电信诈骗案、无密码认证普及趋势以及CiscoAI安全产品发布。这些内容提醒用户及时更新系统固件、谨慎使用AI工具、警惕网络诈骗、选择可信网络服务，并关注认证方式的安全升级。 综合评分： 87 文章分类： 威胁情报,漏洞预警,安全意识,安全大事件,政策法规

工信部：关于防范PolarEdge僵尸网络的风险提示；密码正逐渐退出舞台：Okta 报告显示无密码认证正在普及| 牛览

安全牛

2025年12月17日 12:18 北京

点击蓝字 关注我们

新闻速览

• Windows 10补丁KB5071546引发MSMQ服务异常 企业系统受影响
• AI开发工具“翻车”：Claude CLI误删主目录引发警示
• 工信部：关于防范PolarEdge僵尸网络的风险提示
• 青少年网络陷阱三重警报：价值观扭曲、暴力诱导与国家认同侵蚀
• 乌克兰设窝点、百人作案：欧洲多国联手破获高科技电信诈骗案
• Cisco Duo推出首款采用Foundation AI的生产部署产品
• 圣诞前夕 AI 驱动型钓鱼与社交诈骗激增
• 远程医疗数据安全告急：隐秘的数据轨迹如何成为攻击靶心
• 免费VPN的代价：Urban VPN通过AI平台收割代理IP
• 密码正逐渐退出舞台：Okta 报告显示无密码认证正在普及

特别关注

Windows 10补丁KB5071546引发MSMQ服务异常 企业系统受影响

微软近日确认，Windows 10的Extended Security Update补丁KB5071546在部分企业环境中引发严重兼容性问题，导致Microsoft Message Queuing（MSMQ）服务无法正常运行。受影响系统在启动或使用MSMQ时会报错“Insufficient resources to perform operation”，从而中断依赖消息队列的业务流程。

调查显示，问题源于该补丁调整了MSMQ存储目录（C:\Windows\System32\MSMQ\storage）的NTFS访问权限。更新后，运行MSMQ的服务账户在默认配置下无法获得写入权限，导致队列文件无法创建或访问，尤其影响依赖MSMQ的IIS应用和后台服务。普通个人用户通常不会受到影响。

微软已将该问题列为已知缺陷，但尚未发布官方修复方案。当前可行的临时措施包括卸载KB5071546以恢复服务，或在评估安全风险后手动调整目录权限。微软建议企业在部署该补丁前充分测试，并密切关注后续更新说明。

原文链接：

Enterprise Alert: Windows 10 Update KB5071546 Breaks MSMQ Service with Insufficient Permissions

工信部：关于防范PolarEdge僵尸网络的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者正利用思科、华硕、威联通及群晖等厂商路由器的安全漏洞（如思科命令执行漏洞），部署名为PolarEdge的后门程序。攻击流程包括：通过远程FTP下载Shell脚本，植入PolarEdge后门；后者随即清理环境、隐匿进程（伪装为igmpproxy并绑定/proc/1路径），并通过watchdog机制实现30秒自启守护。通信阶段采用自签名PolarSSL证书与魔术令牌建立TLS加密通道，结合PRESENT分组密码和仿射密码（AffineCipher）混淆关键逻辑与数据。恶意载荷最终以回连模式投递至/tmp/.qnax.sh执行。建议用户立即更新固件、关闭UPnP等非必要外网服务，并核验数字签名。相关样本SHA256为a3e2826090f009691442ff1585d07118c73c95e40088c47f0a16c8a59c9d9082。

原文链接：

https://mp.weixin.qq.com/s/inKYV6dcDpGn6n6wxwbIPw

热点观察

AI开发工具“翻车”：Claude CLI误删主目录引发警示

随着AI辅助开发工具被广泛引入日常工作流，其安全风险正逐步显现。近期，开发者社区再次披露因AI工具误操作导致的严重数据删除事件。此前，一名开发者使用Google Antigravity清理缓存，结果误删整个D:盘，且数据无法恢复。

最新案例来自Reddit。一名开发者在使用Claude CLI清理旧仓库依赖时，触发系统级数据清除，几乎导致Mac无法使用。事后分析显示，Claude CLI执行了错误命令“rm -rf tests/ patches/ plan/ ~/”，其中结尾的“~”被解析为用户主目录，删除范围被扩大至/Users/下几乎所有数据，包括Desktop、Documents、Downloads、Keychains、应用配置以及Claude自身的凭据目录。

多名开发者指出，根本问题在于未对Claude CLI的工作目录进行约束，相当于赋予AI对整台主机的完全访问权限，风险极高。鉴于数据恢复难度极大，部分工程师已建议将Claude CLI运行在Docker容器中，通过隔离机制降低误删对宿主系统的破坏。

原文链接：

Data Disaster: Claude AI Executes rm -rf ~/ and Wipes Developer’s Mac Home Directory

圣诞前夕 AI 驱动型钓鱼与社交诈骗激增

随着节日购物季到来，网络安全厂商Check Point警告，AI技术正在显著提升网络诈骗的隐蔽性。该公司在过去14天内检测到3.35万封圣诞主题钓鱼邮件和逾1万条季节性社交媒体广告。与以往类似，虚假促销、假慈善募捐和伪造物流通知仍是主要手段，但AI使其更接近真实场景。

Check Point指出，攻击者利用AI生成语法完美的本地语言钓鱼邮件，精准仿冒知名品牌；还能快速搭建带有AI聊天机器人和结算页面的假电商网站，并通过deepfake语音和自动化脚本升级vishing攻击。同时，仿冒UPS、FedEx等物流通知的smishing短信明显增多，诱导用户输入银行卡或账户凭据。数据显示，11—12月假冒快递诈骗同比增长100%。

此外，节日期间社交媒体抽奖诈骗高发，多来自90天内新建账号。Check Point提醒用户警惕异常域名、非正常付款方式及情绪化诱导信息，避免点击不明链接或泄露个人和财务数据。

原文链接：

https://www.infosecurity-magazine.com/news/phishing-messages-social-scams/

青少年网络陷阱三重警报：价值观扭曲、暴力诱导与国家认同侵蚀

我国未成年网民已超1.96亿，首次触网年龄持续低龄化。部分青少年受网络极端内容影响，陷入三类风险：一是披着“觉醒知识”外衣的拜金主义、历史虚无主义等错误价值观；二是鼓吹暴力解决问题的“侠义江湖”论，诱发校园欺凌甚至公共安全风险；三是境外势力借游戏、动漫社群散布反动言论，削弱国家认同。对此，国家已出台《未成年人网络保护条例》，开展“清朗”行动，并推动家校协同、平台履责、宣传教育与依法打击四维治理。平台需优化“未成年人模式”，提升对隐蔽极端内容的识别能力；公众可通过12339热线、官网或国家安全部微信公众号举报危害国家安全的网络信息。多方合力，方能筑牢青少年网络意识形态安全防线。

原文链接：

https://mp.weixin.qq.com/s/cCzg60Naf0fGPw4RKaNmVA

免费VPN的代价：Urban VPN通过AI平台收割代理IP

安全研究人员披露，免费VPN服务Urban VPN被发现通过隐蔽方式收集用户设备作为代理节点，并将其纳入商业代理网络，对外出售访问能力。相关活动与其母公司Bright Data的历史业务模式高度相似，引发对用户知情权和数据滥用的担忧。

研究显示，Urban VPN不仅在客户端软件中内置代理功能，还被发现通过AI聊天平台的Web请求进行代理IP收集。这意味着，用户在与AI服务进行交互时，其网络连接可能被间接利用，成为代理流量的一部分，而用户对此并无明确感知。

这种模式使Urban VPN能够快速扩展住宅代理池，用于网页抓取、广告验证等商业用途，但同时也放大了合规、隐私和法律风险。专家指出，免费VPN往往通过数据变现维持运营，用户应警惕“零成本服务”背后的真实代价。

安全机构建议，企业和个人应避免在敏感环境中使用来源不明的免费VPN，并加强对第三方网络工具的数据流向审计，以降低潜在风险。

原文链接：

https://www.infosecurity-magazine.com/news/urban-vpn-proxy-harvesting-ai-chats/

远程医疗数据安全告急：隐秘的数据轨迹如何成为攻击靶心

随着远程医疗服务的快速扩展，患者敏感数据跨云、移动和第三方平台不断流动，其安全风险也随之增加。Ro 公司CIO/CISO Scott Bachand指出，目前最大的问题在于缺乏统一且精确的数据分类机制；未被识别的数据无法获得适当的保护，导致风险管理难以有效开展。单一的数据丢失防护（DLP）解决方案无法覆盖所有平台，因此组织必须针对每个应用、系统及SaaS供应商进行持续的数据可见性和控制验证。

Bachand还提到，传统的HIPAA监管框架并未完全适应远程医疗中新兴的通信方式，如移动应用和云服务，这在实际操作中产生监管灰区。面对不断变化的技术和威胁，领先的医疗组织通过详细绘制数据流、识别每个接触点，并在日常工作流程中嵌入隐私治理策略，从而实现主动治理而非被动合规。

为了增强防护能力，远程医疗安全堆栈必须包含零信任访问机制、智能数据分类和上下文感知的访问决策等能力，同时应注意控制由生成式AI功能引入的新风险。

原文链接：

Ro’s CISO on managing data flows in telehealth

安全事件

乌克兰设窝点、百人作案：欧洲多国联手破获高科技电信诈骗案

欧洲多国执法机构近日联合行动，打击一跨国诈骗组织，已抓捕12名嫌疑人。该团伙通过冒充警察或银行员工，谎称受害者账户被入侵，诱导其将资金转入所谓“安全账户”，并引导下载远程访问软件以窃取银行凭证，从而远程控制账户实施转账。

调查显示，该组织在乌克兰第聂伯、伊万诺-弗兰科夫斯克和基辅设立诈骗呼叫中心，招募来自Czech Republic、Latvia、Lithuania等国人员，分工包括拨打诈骗电话、伪造警方和银行证件、取现等，涉案人员约100人。一线诈骗者可分得最高7%赃款，并被许以高额奖励。

2025年12月9日，多国警方在乌克兰三城开展72次搜查，查获伪造证件、计算机与存储设备、手机、测谎仪、现金、21辆车辆及武器弹药。案件已确认受害者逾400人，涉案金额超1000万欧元。

原文链接：

European police busts Ukraine scam call centers

产业动态

密码正逐渐退出舞台：Okta 报告显示无密码认证正在普及

根据 Okta 最新发布的 Secure Sign-In Trends Report 2025 报告，企业级多因素认证（MFA）正在发生显著转变——不仅总体 MFA 使用率持续增长，更高保障的认证方法（如基于设备的加密认证、无密码流程等）获得快速采用。报告指出，安全性更强的认证方式在提升防钓鱼攻击抵抗力的同时，还改善了用户体验，有助于解决传统密码、短信验证码等方法带来的摩擦与支持成本问题。

传统方法（如短信验证码）正在逐步被弱化，而利用如 FIDO2/WebAuthn、Okta FastPass 等现代认证技术的场景显著增加，部分组织用户已经可以实现完全无密码登录。Help Net Security 报告认为，监管要求加强、行业安全事件频发以及大型科技公司对敏感角色强制 MFA 的推行，共同推动了这一趋势。

安全实践者可以从中获得启示：在未来的 MFA 部署中，应优先考虑高保障、低摩擦的认证方式，以在保障安全的同时提升用户生产力和支持效率。

原文链接：

Passwordless is finally happening, and users barely notice

新品发布

Cisco Duo推出首款采用Foundation AI的生产部署产品

今日，Cisco安全领域迎来重要里程碑：Cisco Identity Intelligence成为首款采用Cisco自研人工智能模型Foundation-sec-1.1-8B-Instruct提供面向客户功能的产品，标志着“Cisco-on-Cisco”战略落地，证明其安全调优模型已具备全球规模生产使用能力。该模型专为网络安全和身份场景训练，能理解身份行为、解析事件链并贴合安全工作流输出内容。相比通用模型，其在质量、可控性和战略对齐上更具优势，可在安全云、本地等环境运行，满足合规需求。此次更新后，客户每周收到的身份事件摘要将更准确、易读，优先度更清晰，助力快速决策。这一成果由Cisco Identity Intelligence团队与Foundation AI团队协作完成，经多轮测试与客户试点验证，是迈向AI原生安全的关键一步。

原文链接：

https://blogs.cisco.com/security/duo-unveils-production-deployment-foundation-ai/

联系我们

合作电话：18311333376

合作微信：aqniu001

联系邮箱：[email protected]

查看原文：《工信部：关于防范PolarEdge僵尸网络的风险提示；密码正逐渐退出舞台：Okta 报告显示无密码认证正在普及| 牛览》