文章总结： 国家安全部提醒‘囤词元暴富’存在间谍窃取数据风险，攻击者通过XSS、公共Wi-Fi嗅探窃取词元威胁个人信息安全；CNNVD通报OpenClaw存在155个安全漏洞含11个超危漏洞；我国成立人工智能安全标准工作组加速AI安全体系建设；苹果Mac平台木马占比超50%成主要威胁，警方提示关闭iMessage防范诈骗；AI自主攻破FreeBSD服务器、CUPS打印系统高危漏洞及Medusa勒索软件24小时攻击流程凸显新兴威胁。 综合评分： 78 文章分类： 漏洞预警,威胁情报,恶意软件,AI安全,政策法规

嘶吼安全动态｜国家安全部提醒：“囤词元暴富” 背后，暗藏间谍窃取数据陷阱 苹果Mac威胁50.32%来自木马，盗窃用户隐私成主要目的

胡金鱼 胡金鱼

嘶吼专业版

2026年4月8日 14:00 北京

嘶吼安全动态

【国内新闻】

国家安全部提醒：“囤词元暴富” 背后，暗藏间谍窃取数据陷阱

摘要：国家安全部提醒，随着词元（Token）的爆火，一些不法分子开始打起了词元的主意，伺机布设各种陷阱。不法分子可通过跨站脚本攻击（XSS）、公共Wi-Fi嗅探等方式，窃取、截获未加密的词元。一旦词元泄露，攻击者可直接盗用用户身份，获取隐私信息、登录账号、篡改数据，甚至实施诈骗、转账等操作，直接威胁个人财产安全。

原文链接：https://finance.sina.com.cn/7×24/2026-04-07/doc-inhtrivn0610932.shtml

CNNVD通报OpenClaw多个安全漏洞

摘要：根据国家信息安全漏洞库统计，自2026年3月10日-2026年4月2日，共采集OpenClaw漏洞155个，其中超危漏洞11个、高危漏洞53个，中危漏洞80个、低危漏洞11个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。

原文链接：https://finance.sina.com.cn/jjxw/2026-04-07/doc-inhtrqcm7319735.shtml

应对AI技术赋能背后风险挑战 我国人工智能安全标准体系加速构建

摘要：近日，全国网络安全标准化技术委员会正式组建“人工智能安全标准工作组”（WG9），标志着我国人工智能安全标准体系建设进入系统性推进阶段。

原文链接：https://www.news.cn/tech/20260407/a9b90ab84933492587fd3a783e3423c8/c.html

北京警方提醒苹果手机用户需警惕：近一月已接警12起，涉案金额超26万元

摘要：据警方介绍，最近一个月，利用苹果iMessage功能诱导转账诈骗警情高发，全市已接报相关警情12件，涉案金额26万余元。警方建议关闭iMessage邮件接收、开启双重验证。

原文链接：http://baijiahao.baidu.com/s?id=1861679367819464394&wfr=spider&for=pc

【国外新闻】

苹果Mac威胁50.32%来自木马，盗窃用户隐私成主要目的

摘要：4月7日消息，根据Jamf最新发布2026年安全报告显示，在苹果Mac平台，木马恶意软件已完全主导Mac威胁领域，占所有恶意软件检测量的50.32%，相比2024年的16.61% 实现爆发式增长。

原文链接：https://k.sina.com.cn/article_5952915720_162d2490806703n2g2.html

Anthropic发布顶级安全大模型Claude Mythos，仅限科技巨头定向测试

摘要：4月7日，Claude母公司Anthropic正式发布Claude Mythos Preview——官方定义为史上最强通用安全大模型，同时明确：永久不向公众、普通用户、普通企业开放，仅小范围定向授权给顶级安全防御伙伴。

原文链接：http://m.toutiao.com/group/7626163177306194432/

4小时自主攻破FreeBSD服务器，AI正式改写网安攻防逻辑

摘要：安全研究员利用AI大模型构建的自主智能体，在无需人工干预的情况下，仅用4小时便扫描发现了开源操作系统FreeBSD的零日漏洞并完成完整攻击链构建，成功夺取root 权限，标志着AI进攻能力的质变。

原文链接：https://tech.ifeng.com/c/8s8JyywAQ3E

Linux打印系统CUPS爆出高危漏洞，实现“零点击”提权至Root

摘要：Linux 通用打印服务CUPS存在严重漏洞链，攻击者无需任何凭证，即可通过发送恶意打印任务远程执行代码并获取root权限，完全控制受影响系统。

原文链接：https://finance.sina.com.cn/tech/digi/2026-04-08/doc-inhttxke2910543.shtml

勒索软件Medusa实现“24小时全流程攻击”，微软预警零日威胁

摘要：微软威胁情报中心监测到，Medusa勒索软件团伙已具备利用零日漏洞并在24小时内完成从入侵到加密全流程的能力。攻击者高度依赖建立新用户帐户维持存取权，防御方响应窗口被极度压缩。

原文链接：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12816

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《嘶吼安全动态｜国家安全部提醒：“囤词元暴富” 背后，暗藏间谍窃取数据陷阱 苹果Mac威胁50.32%来自木马，盗窃用户隐私成主要目的》