2026-03-26 13:01:36 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 嘶吼安全动态汇总国内外多项安全事件：国内方面，国家级电力AI中试基地启用，网信办规范短视频AI内容标注，CNCERT揭示AI智能体面临提示词注入等风险，北京破获特大网络开盒案。国外方面，OpenWebUI服务器遭攻击被植入恶意代码，Oracle修复高危RCE漏洞，VoidStealer木马绕过Chrome加密，Trivy漏洞扫描器遭供应链攻击。文章涵盖AI安全、漏洞预警、恶意软件、供应链攻击等主题，为安全从业者提供及时风险预警。 综合评分： 75 文章分类： 漏洞预警,恶意软件,AI安全,安全大事件

cover_image

嘶吼安全动态｜国家级电力AI中试基地启用，华为、百度入驻筑牢能源AI安全 OpenWebUI服务器遭攻击，被植入挖矿与信息窃取恶意代码

山卡拉山卡拉

嘶吼专业版

2026年3月23日 14:01 北京

嘶吼安全动态

【国内新闻】

国家级电力AI中试基地启用，华为、百度入驻筑牢能源AI安全

摘要：作为电力人工智能领域的“桥梁型平台”，中试基地已成功连接100多家不同领域单位。

原文链接：https://baijiahao.baidu.com/s?id=1860252756515987591&wfr=spider&for=pc

中央网信办规范短视频标注，AI摆拍/虚假营销强制显形溯源

摘要：全平台整治无标识AI生成内容、虚构演绎，启用AI识别+人工复核，违规内容下架整改，净化内容生态。

原文链接：http://m.toutiao.com/group/7619651131685388815/

AI智能体风险被系统性揭示

摘要：国家互联网应急中心指出AI智能体面临提示词注入、插件投毒等风险，攻击者可诱导模型泄露敏感数据或执行恶意操作，攻击门槛显著降低。

原文链接：https://www.stcn.com/article/detail/3691088.html

北京网安破获特大“网络开盒”案，涉案信息超千万条

摘要：嫌疑人搭建社工库非法售卖个人信息，涉案网站访问量30万+，5人因侵犯公民个人信息罪获刑1年6个月至7年，罚金1.5万-7万元。

原文链接：http://m.toutiao.com/group/7620051829627306534/

【国外新闻】

OpenClaw风险引发全球安全关注

摘要：AI智能体OpenClaw安全问题被认为具有全球影响，涉及设备劫持、数据泄露及金融操作风险，多国开始关注其潜在攻击面扩展问题。

原文链接：https://www.chinanews.com.cn/sh/2026/03-23/10591104.shtml

OpenWebUI服务器遭攻击，被植入挖矿与信息窃取恶意代码

摘要：研究人员发现大量未开启认证的OpenWebUI实例被攻击，黑客利用其AI接口部署挖矿程序与信息窃取工具，并通过混淆技术隐藏恶意载荷，部分脚本疑似AI生成，显示AI应用正成为新型攻击入口。

原文链接：https://gbhackers.com/openwebui-servers-targeted/

Oracle修复高危RCE漏洞，可被远程未认证利用

摘要：Oracle修复CVE-2026-21992漏洞，影响Identity Manager与Web Services Manager。该漏洞无需认证即可远程执行代码，攻击者可完全控制系统、窃取身份数据并横向移动，CVSS评分高达9.8。

原文链接：https://gbhackers.com/oracle-fixes-high-severity-rce-vulnerability/

VoidStealer窃密木马绕过Chrome加密机制

摘要：新型信息窃取木马VoidStealer通过调试器技术绕过Chrome应用绑定加密（ABE），利用硬件断点在内存中提取主密钥，无需提权或注入代码，隐蔽性极强，标志浏览器安全防护再次被突破。

原文链接：https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/

Trivy漏洞扫描器遭供应链攻击，GitHub Actions被植入窃密程序

摘要：攻击者入侵Trivy项目并篡改GitHub Actions标签，将恶意代码注入CI/CD流程，窃取环境变量、密钥及云凭证。攻击利用标签投毒机制实现隐蔽传播，影响大量开发流水线。

原文链接：https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版山卡拉山卡拉《嘶吼安全动态｜国家级电力AI中试基地启用，华为、百度入驻筑牢能源AI安全 OpenWebUI服务器遭攻击，被植入挖矿与信息窃取恶意代码》