文章总结： 长亭科技完成5亿融资；东南亚诈骗工厂利用AI深度伪造技术化运作；微软与思科分别推出AI安全工具及标准呼吁；谷歌因监听诉讼赔偿；Dormakaba门禁系统高危漏洞致远程开锁；B站投毒、假冒ChatGPT扩展及ClearFake钓鱼等威胁频发。内容涵盖产业融资、AI安全、漏洞分析及网络诈骗。 综合评分： 60 文章分类： 威胁情报,AI安全,漏洞分析,恶意软件,安全意识

长亭科技宣布完成最新一笔5亿元融资；工信部提醒：从脚本到深度伪造：东南亚“杀猪盘”诈骗工厂的技术化运作内幕| 牛览

安全牛

2026年1月28日 14:08

点击蓝字 关注我们

新闻速览

• 长亭科技宣布完成最新一笔5亿元融资

• 从脚本到深度伪造：东南亚“杀猪盘”诈骗工厂的技术化运作内幕

• 微软推出AI驱动数据安全调查工具,数周调查缩短至数小时

• 全球83%企业呼吁统一AI数据标准,跨境数据本地化成运营阻碍

• Google支付6800万美元和解语音助手非法监听诉讼

• 从互联网直接开门成现实,物理访问控制系统安全隐患敲响警钟

• B站现“无违规视频+恶意链接”新型投毒手法，安全审核面临新挑战

• 16款假冒ChatGPT扩展程序窃取会话令牌,威胁企业数据安全

• ClearFake利用伪造reCAPTCHA作恶，已感染逾9300站点

热点观察

从脚本到深度伪造：东南亚“杀猪盘”诈骗工厂的技术化运作内幕

WIRED披露了一起发生在老挝北部“金三角”经济特区的典型“杀猪盘”诈骗工厂内幕。该园区名为Boshang，表面运作如正规公司，实则是以债务奴役为核心的网络诈骗基地。内部泄露的WhatsApp聊天记录、培训文档和操作流程显示，数百名被诱骗来的劳工被迫从事加密货币投资与情感诈骗，工作时间长达15小时，护照被扣，稍有违规即被高额罚款、体罚甚至威胁酷刑。

数据显示，仅11周内，30余名诈骗人员就成功骗取约220万美元。管理层通过KPI考核、罚款制度和心理操控维持高压运作，并系统化使用脚本、话术模板和“客户运营”流程。更值得警惕的是，该团伙大量使用生成式AI工具，如ChatGPT、Deepseek生成对话内容，并借助深度伪造AI进行视频通话，显著提升诈骗可信度与成功率。研究人员指出，这类诈骗工厂已成为全球最具规模化和技术化的网络犯罪形态之一，同时也是严重的人口贩运问题。

原文链接：

https://www.wired.com/story/the-red-bull-leaks/

全球83%企业呼吁统一AI数据标准,跨境数据本地化成运营阻碍

Cisco最新全球基准研究显示,AI项目推动企业隐私管理职责大幅扩展。隐私团队现需负责模型训练数据采购、AI用例监督及跨部门治理协调,预算投入随之增加。研究表明隐私职能正从独立合规转向核心运营基础设施,直接影响创新速度、协作效率和客户信任。

尽管多数企业已建立AI治理委员会,但仅少数实现跨业务、法务和技术团队的主动整合,治理成熟度明显滞后。数据质量和知识产权保护成为突出弱点,访问高质量相关数据困难,数据准备和分类耗费大量人力。AI模型依赖更广泛数据集运行,增加专有信息或客户数据暴露风险。

跨境数据本地化要求持续困扰跨国企业,增加基础设施成本和运营摩擦,拖慢服务部署。83%企业呼吁建立统一国际标准。Cisco首席隐私官Harvey Jang指出,全球一致性是经济必需,确保数据安全流动同时维持高标准保护。

客户对AI系统数据使用透明度要求上升,清晰的数据使用说明比正式合规声明更具影响力。供应商治理重要性提升,约半数企业要求详细合约条款覆盖数据所有权和责任,透明度已成基线期望。

原文链接：

AI’s appetite for data is testing enterprise guardrails

B站现“无违规视频+恶意链接”新型投毒手法，安全审核面临新挑战

近日，B站平台出现一种新型网络诈骗手法。攻击者通过批量注册账号，发布转载自他人的正常视频内容，以规避平台内容审核，再在视频简介中植入夸克网盘下载链接，诱导用户下载被植入恶意程序的“图吧工具箱”版本。

该攻击的隐蔽性在于：视频本身合规，恶意载荷隐藏在简介链接中，审核人员难以通过常规内容审查发现风险。相关恶意程序一旦被执行，可能导致用户设备被植入后门、凭证被窃取，甚至被用于后续远程控制或数据窃取。

目前观察显示，该投毒方式传播效率并不高，攻击账号在完成投放后往往迅速注销，但B站大量网络安全意识较弱的新用户仍存在被诱骗风险。已有安全社区将相关线索提交给火绒安全，预计后续将发布更完整的技术分析。

安全专家提醒，图吧工具箱本身为正常的免费开源工具，用户应仅通过官方网站或可信渠道下载软件，避免因搜索或视频引导下载来源不明的安装包，从而成为恶意软件攻击的入口。

原文链接：

https://mp.weixin.qq.com/s/Qs4IqX30ZBx6exzMs9f20Q

16款假冒ChatGPT扩展程序窃取会话令牌,威胁企业数据安全

安全研究公司LayerX Security发现了一场针对ChatGPT用户的协同攻击活动。16款伪装成ChatGPT生产力工具的恶意浏览器扩展程序被发现正在劫持用户账户，目前已累计约900次下载。

这些扩展程序并非直接攻击ChatGPT平台，而是等待用户登录后窃取其会话令牌(session tokens)。攻击者获取该”数字钥匙”后，可冒充用户访问所有ChatGPT对话、数据和代码。更严重的是，由于许多用户将AI工具与工作平台连接,黑客可能进一步访问私有Slack频道、GitHub代码库和Google Drive文件。

LayerX研究员Natalie Zargarov指出，这些恶意软件运行在浏览器的高权限区域,可”观察或操纵”传统安全软件常常遗漏的数据。调查显示，15个扩展程序来自Chrome商店，1个来自Microsoft Edge市场，它们使用相同的混乱代码并与特定攻击者控制的域名通信，包括chatgptmods.com和Imagents.top。

值得警惕的是，其中一款扩展程序甚至获得了Chrome网上应用店的”特色”徽章。LayerX建议用户立即删除任何无法确认来源的ChatGPT”辅助”工具。

原文链接：

16 Fake ChatGPT Extensions Caught Hijacking User Accounts

安全事件

Google支付6800万美元和解语音助手非法监听诉讼

Google同意支付6800万美元和解一起集体诉讼,该诉讼指控其语音助手非法监听用户以投放广告。诉讼称Google”在未经同意情况下非法且蓄意拦截和记录个人机密通信,并将这些通信未经授权披露给第三方”,录音信息被错误传输给第三方用于定向广告等用途。Google未承认任何不当行为。

案件核心在于”误唤醒”(false accepts)现象,即Google Assistant在用户未使用唤醒词主动激活的情况下自动启动并录音。这一问题长期引发美国用户对设备不当监听的担忧,并导致越来越多法律诉讼。2021年,Apple因Siri在未经提示情况下录制对话支付9500万美元和解。

近年来Google面临多起隐私相关诉讼。2025年,该公司向德克萨斯州支付14亿美元,和解两起违反州数据隐私法的诉讼。此次和解再次凸显科技巨头在语音助手隐私保护方面的合规风险,未经明确同意的数据采集和第三方共享行为面临严格法律审查。

原文链接：

Google pays $68M to settle claims its voice assistant spied on users

攻防技术

从互联网直接开门成现实,物理访问控制系统安全隐患敲响警钟

SEC Consult研究人员在Dormakaba物理访问控制系统中发现并修复超过20个安全漏洞。这些企业级系统基于exos 9300,广泛应用于欧洲大型机构,包括能源公司、物流企业和机场,用于管理门卡或指纹识别访问。Dormakaba确认数千客户受影响,部分运营于高安全环境。

漏洞包括硬编码凭证、弱密码、缺少身份验证和命令注入等。研究人员检查了Dormakaba exos 9300生态系统,包括中央管理软件、访问管理器和门侧注册单元。访问管理器(9200系列)运行Windows CE或Linux,暴露多个服务,包括Web界面和用于控制门锁的SOAP API,本地存储凭证、PIN和配置等敏感数据。

利用这些漏洞,攻击者可解锁门禁、窃取访问PIN或发动进一步攻击。Dormakaba指出利用需先访问客户内网或硬件。研究人员发现部分访问管理器直接暴露在互联网上,主要集中在西班牙、荷兰和瑞士,Web登录页面和8002端口SOAP API可公开访问,允许直接控制门继电器,实现远程开锁。

Dormakaba在过去18个月发布补丁和加固指南,目前未发现野外攻击利用这些漏洞的证据。研究人员发布了使用特制请求开门的PoC视频。

原文链接：

Dormakaba flaws allow to access major organizations’ doors

ClearFake利用伪造reCAPTCHA作恶，已感染逾9300站点

安全公司SlashNext近期披露一种名为“ClearFake”的新型网络钓鱼攻击手法，利用reCAPTCHA人机验证机制实施社会工程，绕过多重身份验证（MFA）保护。攻击者通过伪造的登录页面嵌入真实的Google reCAPTCHA组件，诱导用户完成“我不是机器人”验证。一旦用户点击验证，其浏览器会向Google服务器发起合法请求并获得有效token，随后该token被实时转发至真实目标网站（如Microsoft 365或Google Workspace），使攻击者的自动化脚本得以冒充合法用户通过MFA检查。

整个过程无需窃取密码或MFA令牌，而是利用用户主动参与的“信任动作”完成身份冒用。攻击链通常始于伪装成发票、会议邀请或安全警报的钓鱼邮件，引导受害者访问高度仿真的登录页。由于页面使用真实reCAPTCHA且URL看似可信（常含“verify”“security”等关键词），传统反钓鱼工具难以识别。更严重的是，部分攻击甚至结合实时代理（如Modlishka或EvilProxy），在用户输入凭证的同时同步中转流量，实现会话劫持。

研究人员指出，ClearFake凸显了当前MFA机制对“用户协助型”攻击的脆弱性，尤其当验证流程依赖第三方信任信号时。防御建议包括部署FIDO2/WebAuthn无密码认证、启用条件访问策略（如设备合规性检查），以及加强员工对“验证即授权”风险的认知培训。

原文链接：

https://www.infosecurity-magazine.com/news/clearfake-captcha-social-engineering/

产业动态

长亭科技宣布完成最新一笔5亿元融资

1月27日消息，长亭科技宣布完成最新一笔融资。本轮融资总额5亿元，投资人包括国家人工智能产业投资基金，上海国际集团旗下国方创新，北京市人工智能产业投资基金。

据悉，获得人工智能基金的加持后，长亭科技将紧密围绕国家AI战略，继续深耕智能安全领域，以“确保人工智能安全、可靠、可控”为使命，聚焦“AI赋能安全”与“AI自身安全”，护航数字经济健康发展。

原文链接：

https://www.secrss.com/articles/87370

新品发布

微软推出AI驱动数据安全调查工具,数周调查缩短至数小时

微软正式发布Microsoft Purview Data Security Investigations工具,专门用于数据泄露、凭证暴露、内部欺诈、Teams敏感数据暴露等安全事件调查。该工具覆盖Microsoft 365全域数据源,包括电子邮件、Teams消息、文档及Copilot交互记录。

调查可通过直接搜索数据存储库启动,也可从安全警报、内部风险案例或数据安全态势发现中触发。系统利用GenAI分析内容并识别潜在安全风险,调查人员可使用自然语言搜索大规模数据集,相关内容会自动分组展示。分析结果包含风险指标、解释说明和缓解建议,并将分析数据与审计日志、用户活动信号关联,让安全团队清晰掌握内容访问和共享情况。

2026年1月推出的清除功能允许管理员在调查中直接删除敏感或过度共享的内容。微软产品营销经理Katerina Athanasiou表示,原本需要数周甚至无法完成的调查现在数小时即可完成。该工具采用基于使用量的定价模式,分别计费数据存储和AI分析计算资源,并提供成本估算和使用跟踪工具。

原文链接：

Microsoft brings AI-powered investigations to security teams

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《长亭科技宣布完成最新一笔5亿元融资；工信部提醒：从脚本到深度伪造：东南亚“杀猪盘”诈骗工厂的技术化运作内幕| 牛览》