文章总结： 国家计算机病毒应急处理中心通报71款应用存在13类个人信息违规行为，CNNVD周报显示新增1704个漏洞中AI与WordPress成重灾区。谷歌预警量子攻击威胁加密货币安全，PayPal逐步弃用短信MFA。劳埃德银行API缺陷致44万客户数据泄露，Nordstrom邮箱被入侵用于加密货币诈骗。SentinelOne拦截AI触发的供应链攻击，Chainalysis推出区块链智能代理应对加密犯罪。 综合评分： 78 文章分类： 漏洞分析,数据安全,政策法规,安全意识,安全事件

国家计算机病毒应急处理中心通报：13 类个人信息违规行为集中曝光；CNNVD 2026年第 13 期漏洞周报：AI 与 WordPress 成重灾区| 牛览

安全牛

2026年4月2日 14:08 北京

点击蓝字 关注我们

新闻速览

• CNNVD 2026年第 13 期漏洞周报：新增 1704 个漏洞，AI 与 WordPress 成重灾区
• 国家计算机病毒应急处理中心通报：13 类个人信息违规行为集中曝光
• OpenAI、Anthropic领跑，全球VC单季融资飙升至2970亿美元
• 谷歌研究预警：量子攻击逼近加密货币，区块链安全窗口期收紧
• PayPal逐步弃用短信MFA，安全与用户体验博弈再升级
• 软件更新致 API 缺陷 劳埃德银行集团近 45 万客户数据泄露
• AI 编码助手触发供应链攻击：SentinelOne 秒级拦截恶意 LiteLLM
• 对抗加密犯罪新利器：Chainalysis 推出首款区块链智能代理
• 超七成英制造企业遭严重网攻，AI 驱动攻击成生产首要威胁
• 知名零售企业 Nordstrom 官方邮箱遭入侵，加密货币钓鱼诈骗直抵用户收件箱

特别关注

CNNVD2026 年第 13 期漏洞周报：新增 1704 个漏洞，AI 与 WordPress 成重灾区

国家信息安全漏洞库（CNNVD）发布 2026 年第 13 期周报（3 月 23 日 —3 月 29 日），本周共采集公开漏洞 1704 个，数量环比上升。

漏洞分布方面，WordPress 基金会以 302 个居首，Linux 基金会、苹果、WWBN、Mozilla 基金会位列前五；国内厂商漏洞 61 个，腾达最多，整体修复率 32.81%。类型上代码问题占比最高（7.92%），SQL 注入、跨站脚本紧随其后。

危害等级与修复：超危 92 个、高危 433 个、中危 1129 个、低危 50 个，整体修复率 75.00%，超危修复率 79.35%，低危仅 48.00%。

重点漏洞包括 WordPress 插件远程代码执行、CiscoIOS XE 拒绝服务、IBM 信息泄露；AI 领域 OpenClaw、LoLLMs 等曝出高危漏洞，可致远程代码执行、信息泄露，厂商均已发布补丁。本周漏洞平台推送 4168 个，接报 742 个，收录通报 242 份。

原文链接：

https://www.cnnvd.org.cn/group1/M00/01/EC/rBBlBmnMvLOAZzXpAAbRaUgpaxI360.pdf

国家计算机病毒应急处理中心通报：13 类个人信息违规行为集中曝光

2026 年 3 月 31 日，国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》检测通报，71 款移动应用及小程序存在违法违规收集使用个人信息行为，涉及丝芙兰、泡泡玛特、易次元等知名品牌。

本次通报梳理出13 类违规问题，核心包括：未显著提示隐私政策、默认同意授权、隐私政策未完整列明第三方信息收集目的与范围、未经单独同意向第三方提供信息、未提供信息更正删除与账号注销功能、未提供撤回同意渠道、未对未成年人信息制定专项规则、未采取加密与去标识化安全措施、强制人脸识别等。

通报显示，45 款应用存在隐私政策信息披露不全问题，16 款违规向第三方提供个人信息，24 款未提供撤回同意途径，6 款违规收集未成年人信息，18 款未落实加密等安全技术措施，另有 4 款无隐私政策。

检测时间为 2026 年 1 月 22 日至 2 月 25 日。此前通报的 72 款违规应用复测后仍有 19 款未整改，已被应用分发平台下架。监管部门要求涉事主体限期整改，切实落实个人信息保护合规义务。

原文链接：

https://mp.weixin.qq.com/s/rw-36ReBzaSweTDla6fyaQ

热点观察

谷歌研究预警：量子攻击逼近加密货币，区块链安全窗口期收紧

2026 年 3 月 31 日，谷歌发布白皮书显示，加密货币行业应对量子攻击的准备时间比预期更短，主流区块链依赖的椭圆曲线密码学面临严峻量子威胁。

研究基于 Shor 算法重新测算，破解常用参数的椭圆曲线离散对数问题仅需约 1200–1450 个逻辑量子比特与数千万次量子门操作，资源需求显著低于此前预估Google Research。量子系统可在半小时内、最快 9 分钟推导出私钥，速度快于区块链交易确认窗口，可实施即时 “交易中攻击”。

谷歌还划分三类量子攻击：交易中攻击、静态存储攻击、协议初始化攻击，长期暴露公钥的休眠钱包为高危目标Google Research。研究采用零知识证明验证漏洞，未提供攻击路径，并已与美国政府沟通披露方式。

报告建议区块链尽快迁移至后量子密码（PQC），但去中心化网络协同升级难度大、周期长。当前量子攻击尚未发生，但理论与实践差距持续缩小，加密行业安全整改迫在眉睫。

原文链接：

Crypto industry may be running out of time to prepare for quantum attacks

超七成英制造企业遭严重网攻，AI 驱动攻击成生产首要威胁

ESET 最新数据显示，去年网络攻击对英国制造业的影响远超捷豹路虎，78% 相关企业遭遇严重安全事件。该机构对 500 名英国制造业 IT、OT、运营及安全等领域高管开展调研，95% 受访者表示攻击对业务造成直接影响，53% 出现财务损失，44% 出现供应链中断，39% 未能履行客户及供应商承诺。

在因入侵导致全面或部分停工的企业中，77% 停机时长 1 至 7 天，56% 中断 1 至 3 天。同时，20% 企业对影响生产的网安风险可视度不足，46% 将 AI 驱动攻击列为生产首要威胁，高于钓鱼、勒索软件等。

治理层面问题突出，仅 22% 企业将网安责任划归董事会或高管层，55% 仍由 IT 部门负责。21% 企业仍偏好被动响应而非主动防御，易陷入应急救火式管理。IBM X-Force 数据显示，制造业已连续五年成为攻击最集中领域，去年相关事件占比 28%。ESET 英国负责人 Matt Knell 表示，捷豹路虎事件应成为行业警示，网安需上升至企业战略层面，而非仅视作 IT 问题。

原文链接：

https://www.infosecurity-magazine.com/news/eight-10-uk-manufacturers-hit/

PayPal逐步弃用短信MFA，安全与用户体验博弈再升级

PayPal近日通知部分用户，自2026年3月起将逐步取消登录环节基于SMS的多因素认证（MFA），但短信验证码仍会保留在部分标准安全检查中，完整退出时间尚未明确。此举反映出金融行业正加速摆脱长期被诟病的未加密SMS认证。业内普遍认为，SMS易受嗅探、中间人攻击以及SIM swapping、SIM jacking等威胁影响，安全性已难满足高风险场景需求。

PayPal建议用户改用Authenticator app或符合FIDO2标准的安全密钥。分析人士指出，继续在欺诈风控场景中保留SMS逻辑并不合理，因为系统识别出高风险行为后，本应升级认证强度，而非退回更弱方式。

除安全因素外，成本也是关键推手。虽然单条短信成本极低，但PayPal年处理交易规模约250亿笔，叠加攻击者可批量触发验证码请求，长期运营成本不可忽视。专家认为，FIDO2在安全性上更优，但部署和用户采纳门槛较高；Authenticator app虽优于SMS，却也并非理想终点。整体看，PayPal此番调整更像是在安全、用户转化率与运营成本之间寻求平衡。

原文链接：

https://www.csoonline.com/article/4134258/paypal-launches-latest-struggle-to-get-rid-of-sms-for-mfa.html

安全事件

软件更新致 API 缺陷 劳埃德银行集团近 45 万客户数据泄露

2026 年 4 月 1 日消息，英国劳埃德银行集团因 IT 故障发生数据泄露事件，波及约 447936 名个人客户，涉及 Lloyds、Halifax、Bank of Scotland 三大品牌。

事件起因于 3 月 12 日的夜间软件更新，导致银行应用程序接口（API）出现缺陷，引发应用层访问控制失效。客户登录手机银行查看交易时，在极短时间内可能被同步操作的其他用户看到非本人交易信息，未暴露账号密码，也未开放他人账户登录权限。

泄露信息包含国民保险号码、支付参考号、部分客户的工作单位、薪资及收款人全名等，未泄露账号。本次事件中 114182 名客户查看过他人交易，未造成用户资金损失。

劳埃德银行发现后快速修复故障，并在 72 小时内按规定通报英国信息专员办公室（ICO），英国金融行为监管局（FCA）已介入调查。银行向 3625 名受影响客户赔付总计 13.9 万英镑，用于补偿精神困扰与不便。

业内专家指出，此次事件表明，无需外部攻击，单一 API 缺陷即可突破海量用户数据隔离，金融机构需强化应用层权限管控与数据边界持续监控。

原文链接：

https://www.cpomagazine.com/data-protection/it-glitch-at-lloyds-banking-group-results-in-data-leak-affecting-nearly-500000-customers/

知名零售企业 Nordstrom 官方邮箱遭入侵，加密货币钓鱼诈骗直抵用户收件箱

美国高端百货连锁企业 Nordstrom 官方邮件系统遭攻击者入侵，被用于发送加密货币诈骗邮件，多名用户受骗并损失数千美元。该诈骗邮件以圣帕特里克节活动为噱头，宣称用户在两小时内转入指定钱包地址的加密货币可获得双倍返还，利用紧迫感诱导受害者仓促转账。

涉事邮箱为 Nordstrom 官方营销与通知所用的 [email protected]，因发信域名合法，邮件成功绕过常规垃圾邮件过滤器。尽管邮件主题存在品牌名称拼写错误，但受 FOMO 心理影响，部分用户未能察觉异常。

Nordstrom 在发现事件后已补发提醒邮件，声明不会要求用户转账加密货币，并启动内部调查。目前暂未明确攻击是精准定向还是广撒网式攻击，安全专家推测，入侵源头可能与 Okta 及 Salesforce 环境被攻破有关，该漏洞已导致多家企业出现类似安全事件。

此外，此次事件并非 Nordstrom 首次发生数据安全问题，2018 年该公司曾出现员工敏感信息泄露。同类钓鱼攻击在金融、外卖平台也曾频发，2025 年 12 月 Grubhub 平台就出现过类似加密货币诈骗，攻击者获利超 4000 美元。

Cofense 安全专家指出，企业外发通信系统应被视为高风险攻击面，用户需警惕看似来自官方的高额返利类信息，任何涉及加密货币转账的承诺均需通过官方渠道多重核验。

原文链接：

https://www.cpomagazine.com/cyber-security/nordstrom-email-system-hijacked-to-push-a-crypto-scam/

安全攻防

AI 编码助手触发供应链攻击：SentinelOne 秒级拦截恶意 LiteLLM

2026 年 4 月 1 日，SentinelOne 披露一起由 ClaudeCode 触发的 LiteLLM 供应链投毒攻击，其基于 AI 的自主防护系统在无人工干预下秒级阻断攻击。

攻击者先入侵 Trivy 等可信工具，窃取维护者凭证，发布恶意 LiteLLM 软件包。ClaudeCodeAI 编码助手在不知情状态下安装该投毒包，触发完整恶意流程。SentinelOne 的 macOS 代理通过终端安全框架，监测到基于 base64 解码的可疑隐藏 Python 代码执行，数秒内终止进程，覆盖数百条事件，完整溯源攻击链，阻止数据窃取与扩散。

该恶意 LiteLLM 包含两个恶意版本，分别在正常使用与 Python 启动时执行，扩大攻击范围。攻击分为多阶段：先以混淆脚本静默启动，再部署信息窃取程序，盗取系统信息、凭证、加密货币钱包与密钥；随后通过 systemd 用户服务实现持久化，初始延迟 5 分钟触发网络活动，每 50 分钟与 C2 服务器通信，规避沙箱检测；还通过创建高权限 Kubernetes pod 入侵集群节点、部署后门，加密外泄数据伪装正常流量绕过监控。

SentinelOne 表示，其行为检测位于应用层之下，无论攻击者通过人工、CI/CD 或 AI 代理部署恶意包均可发现。此次事件显示，开源信任易被滥用，具备系统权限的 AI 代理可自动扩散攻击，自主式行为 AI 防御是应对新型供应链威胁的核心能力。

原文链接：

SentinelOne autonomous detection blocks trojaned LiteLLM triggered by Claude Code

产业动态

OpenAI、Anthropic领跑，全球VC单季融资飙升至2970亿美元

Crunchbase最新数据显示，2026年第一季度全球初创企业融资总额达到2970亿美元，创下单季历史新高，较上一季度的1180亿美元增长约2.5倍。这一规模甚至超过2019年以前任何一个完整年度的全球VC融资总额。

本轮激增主要由4笔超大额交易推动：OpenAI融资1220亿美元，估值升至8520亿美元，再次刷新全球最大融资纪录；Anthropic融资300亿美元，估值3800亿美元，成为史上第三大VC轮次；xAI融资200亿美元，Waymo融资160亿美元。仅这4笔交易合计募资1880亿美元，占本季度总融资额的63%以上。

尽管头部项目显著抬高了整体数据，但市场热度并非仅由少数交易支撑。投资人和创业者普遍反馈，AI种子轮项目也在以更早阶段获取更高融资额和更高估值。整体来看，AI正在推动全球创投市场进入高度集中、估值前移的新阶段。

原文链接：

Startup funding shatters all records in Q1

对抗加密犯罪新利器：Chainalysis 推出首款区块链智能代理

2026 年 3 月 31 日，Chainalysis 在年度 Links 大会发布区块链智能代理，并非新增聊天机器人，而是平台进化产物，依托百亿级交易筛查、千万级调查案例与十余年行业经验打造，助力机构对抗利用 AI 实施的欺诈、洗钱等犯罪。

该代理以 Chainalysis 全球权威区块链数据集为底座，数据获法庭采信，可降低专业门槛，让调查、合规及管理人员便捷使用深度情报。其核心是harness架构，结合领域知识让 AI 以机器速度实现分析师级推理，杜绝幻觉与黑箱决策，遵循四大原则：数据质量、上下文推理、可审计结果与确定性工作流、人类掌控自动化。

实测中，代理可将跨链复杂调查从天级压缩至分钟级并留存完整审计轨迹；自动 enrichment 合规告警并完成处置分流；快速生成合规报告；支持定时交易识别、OSINT 采集、自定义工具搭建及多代理协同值守。

产品将于 2026 年夏季逐步上线，优先覆盖调查与合规场景，帮助安全团队跟上加密业务扩张节奏，以 AI 对抗黑产 AI 升级。

原文链接：

Chainalysis Introduces the First Blockchain Intelligence Agents

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《国家计算机病毒应急处理中心通报：13 类个人信息违规行为集中曝光；CNNVD 2026年第 13 期漏洞周报：AI 与 WordPress 成重灾区| 牛览》