文章总结： 本周安全动态聚焦AI与关键基础设施漏洞。蚂蚁AI实验室发现OpenClaw权限漏洞，普通账号可接管智能体；Langflow等AI工具也曝出远程代码执行（RCE）漏洞。同时，F5BIG-IP、Magento电商平台等关键系统漏洞被升级或遭大规模利用。此外，全国网安标委正征集个人信息保护标准应用案例，以加强数据安全合规。 综合评分： 85 文章分类： 漏洞预警,AI安全,网络安全,数据安全,恶意软件

嘶吼安全动态｜全国网安标委发布关于征集个人信息保护标准应用实践案例的通知 AI工作流工具Langflow曝未授权RCE漏洞

胡金鱼 胡金鱼

嘶吼专业版

2026年3月31日 14:01 北京

嘶吼安全动态

【国内新闻】

蚂蚁AI实验室发现OpenClaw严重权限漏洞，可接管AI智能体

摘要：蚂蚁AI实验室发现OpenClaw 1个严重、4个高危漏洞，普通账号可提权接管智能体、读取本地敏感文件，官方已紧急修复。

原文链接：https://36kr.com/newsflashes/3744930102149120

调研显示超半数受访者因安全漏洞选择卸载AI智能体

摘要：据《中国青年报》最新调查显示，56.4%的受访者会因智能体出现安全漏洞而选择卸载。公众对“养虾”热情高涨的同时，对隐私泄露、数据跨境流向等安全红线的敏感度大幅提升。

原文链接：https://www.chinanews.com.cn/sh/2026/03-27/10593513.shtml

全国网安标委发布关于征集个人信息保护标准应用实践案例的通知

摘要：本次案例征集聚焦个人信息保护主题，包括但不限于个人信息保护合规审计、敏感个人信息处理、个人信息去标识化、APP个人信息安全保护等方向。

原文链接：https://www.tc260.org.cn/portal/article/2/d5d3a625c0964f6d8aa716fcad7e6665

央视曝光：手机发烫或正被窃密，中木马病毒后银行卡、相册等信息遭实时泄露

摘要：如果手机莫名其妙发烫，这可能是你的手机正在被窃密者操纵着进行远程实时监控，即使手机关机，窃密行为也没有停止。窃密者还能通过“木马”病毒，盗取手机里的通讯录、通话记录、短信、照片等全部隐私信息。

原文链接；https://m.thepaper.cn/newsDetail_forward_32859554

【国外新闻】

F5 BIG-IP漏洞被重新定级为RCE并遭利用

摘要：F5披露其BIG-IP产品漏洞（CVE-2025-53521）已从DoS升级为远程代码执行，且正在被攻击者利用。该漏洞影响访问控制组件，可能导致系统完全失控，企业需紧急修补。

原文链接：https://www.darkreading.com/application-security/fortinet-big-ip-vulnerability-reclassified-rce-exploitation

VPN与应用交付设备成为攻击重点

摘要：安全机构警告，F5、Citrix等边界设备漏洞正被集中攻击，这类设备位于认证入口，一旦被攻破将直接影响企业核心系统。

原文链接：https://www.govinfosecurity.com/under-fire-attackers-target-flaws-in-f5-citrix-gear-a-31289

Magento电商平台漏洞被大规模利用

摘要：PolyShell漏洞可实现未授权RCE，攻击者利用WebRTC窃取信用卡数据，攻击呈规模化趋势。

原文链接：https://www.techradar.com/pro/security/huge-numbers-of-web-stores-are-facing-attack-from-this-dangerous-new-malware

欧盟委员会云平台遭网络攻击

摘要：欧盟Europa网站云基础设施遭攻击，部分数据被窃取。官方称内部系统未受影响，目前正在调查攻击来源与影响范围。

原文链接：https://www.reuters.com/technology/eu-commission-web-platform-hit-by-cyber-attack-march-24-2026-03-27/

AI工作流工具Langflow曝未授权RCE漏洞

摘要：Langflow存在未授权接口导致远程代码执行且暂无补丁。该漏洞源于“公开运行流程”的设计缺陷，体现了AI工具链安全短板。

原文链接：https://www.reddit.com/r/cybersecurity/comments/1s7nm2w/cve202633017_langflow_has_a_critical/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《嘶吼安全动态｜全国网安标委发布关于征集个人信息保护标准应用实践案例的通知 AI工作流工具Langflow曝未授权RCE漏洞》