文章总结： CNNVD2026年第14周新增1298个漏洞含82个超危漏洞需紧急修复，同期全球勒索软件攻击激增25%且Medusa组织利用零日漏洞加速攻击。报告涵盖伊朗黑客针对美国关键基础设施的OT攻击、SVG隐藏信用卡窃取代码等新兴威胁，并提出修补漏洞、启用MFA、部署EDR等可操作防御建议。 综合评分： 78 文章分类： 漏洞预警,威胁情报,应急响应,网络安全,安全事件

Meta发布Muse Spark，多智能体架构与隐私风险引行业关注；CNNVD 2026 年第14 周漏洞周报：新增 1298 个漏洞，超危 82 个需紧急修复| 牛览

安全牛

2026年4月9日 14:30 北京

点击蓝字 关注我们

新闻速览

• CNNVD 2026 年第 14 周漏洞周报：新增 1298 个漏洞，超危 82 个需紧急修复
• 多国加速未成年人社交媒体禁令，年龄验证成监管焦点
• 2026 年 3 月勒索软件攻击激增 25%，多重攻击手段威胁关键基础设施
• 微软预警 Medusa 关联组织 Storm-1175：零日漏洞 + 链式利用加剧企业风险
• 攻击者利用超大SVG隐藏信用卡窃取代码，检测机制遭绕过
• Google 披露 UNC6783 组织入侵企业 Zendesk 窃取客服工单
• 伊朗黑客针对美国关键基础设施发起 OT 定向攻击
• Snowflake客户数据被窃：第三方访问漏洞引发连锁泄露风险
• Medusa勒索软件攻击提速：漏洞披露即被武器化
• Meta 发布 Muse Spark 发力 AI，多智能体架构与隐私风险引行业关注

特别关注

CNNVD 2026 年第 14 周漏洞周报：新增 1298 个漏洞，超危 82 个需紧急修复

国家信息安全漏洞库（CNNVD）发布 2026 年第 14 期（3 月 30 日 —4 月 5 日）漏洞周报。本周新增公开漏洞 1298 个，数量较前几周有所下降；接报漏洞 4733 个，其中通用型漏洞 769 个、事件型漏洞 28 个、平台推送 3936 个。

漏洞分布方面，Linux 基金会以 91 个漏洞居首，WordPress 基金会、Endian 分列二三位；国内厂商漏洞 65 个，腾达最多。漏洞类型中跨站脚本占比 8.47% 为最高，其次为 SQL 注入、代码问题。危害等级上，超危 82 个、高危 352 个、中危 805 个、低危 59 个，整体修复率 68.10%，超危漏洞修复率 85.37%。

本周重点漏洞包括：WordPress 插件 Everest Forms Pro 代码注入超危漏洞，攻击者可远程执行代码；Apache Airflow 信任管理问题漏洞可窃取凭证；Cisco 网络管理平台存在授权不当漏洞。AI 领域同样风险突出，OpenClaw 存在操作系统命令注入漏洞，NVIDIA BioNeMo、LangChain 均曝出高危漏洞。

漏洞报送以个人、中移软件、卫士通为主；漏洞通报收录 229 份，奇安信、中国银联、中孚安全位列前三。报告提示相关用户及时更新补丁，重点排查高风险组件与 AI 应用安全。

原文链接：

https://www.cnnvd.org.cn/group1/M00/01/F0/rBBlBmnWF96AGrknAAbsQN6rrLM075.pdf

多国加速未成年人社交媒体禁令，年龄验证成监管焦点

近期全球多国相继推出或推进未成年人社交媒体使用限制政策，以应对网络欺凌、成瘾、心理健康风险等问题，澳大利亚率先落地相关法规，引发多国跟进。

澳大利亚于 2025 年 12 月成为全球首个禁止 16 岁以下儿童使用社交媒体的国家，封禁平台包括 Facebook、Instagram、TikTok、X、YouTube 等，未涵盖 WhatsApp 及 YouTube Kids。违规平台最高可处以 4950 万澳元罚款，政府要求平台采用多重年龄验证方式，不得仅依赖用户自主申报。

丹麦计划禁止 15 岁以下未成年人使用社交媒体，相关法案有望 2026 年中期生效，并将配套年龄验证工具。法国通过法案禁止 15 岁以下儿童使用社交平台，待参议院最终表决。德国、希腊、印尼、马来西亚、斯洛文尼亚、西班牙、英国等也相继提出或推进类似禁令，限制年龄多为 15 至 16 岁，部分国家同步强化平台责任与内容监管。

此类政策虽旨在保护未成年人，但也引发隐私侵犯、政府过度干预等争议，Amnesty Tech 等机构认为禁令效果有限且忽视年轻群体现实需求。尽管存在反对声音，全球范围内针对未成年人的社交媒体监管立法仍持续推进。

原文链接：

These are the countries moving to ban social media for children

热点观察

2026 年 3 月勒索软件攻击激增 25%，多重攻击手段威胁关键基础设施

2026 年 3 月全球勒索软件攻击态势创下新高，攻击数量同比增长 25%，通过邮件传播的信息窃取器增长 84%。3 月 25 日单日全球发生 68 起数据泄露事件，涉及 32 个攻击者组织、覆盖 24 个国家，巴西、美国、法国为主要受攻击区域，其中 EscanorsOfficial 单日针对巴西企业发动 10 起攻击。

本轮攻击手段持续升级，勒索团伙采用公开羞辱、双重敲诈、供应链攻击等新型模式，在加密数据的同时窃取并威胁泄露数据，大幅提升受害者损失。攻击范围已延伸至关键基础设施，法国武器系统、泰国能源设施、美国医疗机构均出现数据泄露或被入侵事件。制药企业 Inotiv 遭攻击导致 176GB 药物研发数据被盗，日本 Candle Design 云服务器被攻破，立讯精密被攻击事件持续发酵，直接影响多家科技巨头数据安全。

此外，俄罗斯 APT28 组织在微软发布补丁前，利用 MSHTML 零日漏洞实施间谍活动，凸显零日漏洞利用常态化带来的防御压力。

针对严峻形势，工信部明确将强化关键信息基础设施保护、加强供应链安全管理、完善应急响应机制列为 2026 年重点工作。CCIA 建议企业建立供应链安全管理平台，核查供应商安全资质并关闭不必要公网端口。

安全机构建议，企业应及时修复高危漏洞，部署 EDR、NDR 等设备构建动态防御，推行零信任架构，同时完善数据备份与应急响应预案，降低勒索攻击带来的业务与数据风险。

原文链接：

https://cn-sec.com/archives/5155193.html

微软预警 Medusa 关联组织 Storm-1175：零日漏洞 + 链式利用加剧企业风险

2026 年 4 月 7 日，微软发布安全预警，与 Medusa 勒索软件关联的网络犯罪组织 Storm-1175 正以极快速度发动攻击，部分攻击从初步入侵到数据窃取、勒索软件部署仅需 24 小时，传统 “驻留时间” 安全逻辑已失效。

该组织主要针对澳大利亚、英国、美国的医疗、教育、专业服务及金融机构，高频利用面向互联网的脆弱系统实施入侵。2023 年以来，Storm-1175 已利用主流企业产品中的 16 个以上漏洞，且多次采用链式漏洞利用实现持久化控制、凭证窃取、篡改安全工具并加速勒索部署。

微软指出，该组织除常用 N-day 漏洞外，还会使用零日漏洞，部分漏洞利用早于公开披露一周。行业分析显示，企业核心短板不在检测而在响应，多数机构隔离受影响系统、回收权限速度过慢，无法匹配攻击者节奏。

企业普遍存在互联网暴露资产实时可视性缺失、补丁管理滞后、责任边界模糊等问题，开源组件依赖进一步加大漏洞跟踪难度。Storm-1175 精准利用这些防御缺口，快速指纹识别系统并定制攻击链。

专家建议，企业需转向主动防御策略，缩减攻击面，优先快速修复面向互联网与关键系统的漏洞及配置缺陷，配合强网络分段与隔离机制，应对极速勒索攻击威胁。

原文链接：

https://www.csoonline.com/article/4154934/microsoft-says-medusa-linked-storm-1175-is-speeding-ransomware-attacks.html

伊朗黑客针对美国关键基础设施发起 OT 定向攻击

2026 年 4 月 7 日，美国 CISA、FBI、NSA 联合发布预警，伊朗背景黑客组织正持续针对美国关键基础设施发动网络攻击，重点瞄准能源、水务、政府等领域的OT / 工控系统。

攻击核心手法为利用联网PLC（可编程逻辑控制器）漏洞，主要针对Rockwell Automation设备实施入侵。黑客通过篡改设备运行参数、干扰数据显示、破坏控制逻辑，导致设施功能异常、运营中断，造成直接经济损失。

此类攻击属国家级 APT 行动，隐蔽性强、破坏性高，可绕过常规 IT 安全防护，直接影响物理世界安全。受攻击目标多为外网暴露的工控设备，弱口令、未修补漏洞是主要入侵入口。

联合机构建议：立即隔离暴露 OT 设备，启用强密码与 MFA，修补 PLC 相关漏洞，实施网络分段，部署工控入侵检测系统，加强异常操作与设备状态监控。

目前攻击活动仍在持续，美国官方已发布 IOCs 与防护指南，关键行业需紧急排查加固。

原文链接：

Iranian cyber activity hits US energy, water, and government networks

安全事件

Google 披露 UNC6783 组织入侵企业 Zendesk 窃取客服工单

Google 威胁分析团队对外披露，知名黑客组织UNC6783正在针对全球企业发动攻击，目标是入侵并窃取Zendesk客服平台中的工单数据。

该组织通过账号劫持、社会工程、弱口令爆破等手段获取 Zendesk 登录权限，随后批量导出客服工单、对话记录、用户信息等敏感内容。被盗数据包含客户联系方式、订单详情、内部沟通记录等，可被用于精准诈骗、数据勒索或情报收集。

Zendesk 是全球广泛使用的 SaaS 客服系统，涉及金融、电商、科技等多个行业，一旦泄露将引发隐私合规风险与品牌信任危机。UNC6783 具备长期潜伏特性，攻击行为隐蔽，常规 EDR、SIEM 较难发现。

安全建议：企业立即核查 Zendesk 登录日志与导出记录，启用MFA多因素认证，收紧管理员权限，强化密码策略；开启异常访问与批量导出告警，及时同步 Zendesk 官方安全配置。

原文链接：

https://www.bleepingcomputer.com/news/security/google-new-unc6783-hackers-steal-corporate-zendesk-support-tickets/

Snowflake客户数据被窃：第三方访问漏洞引发连锁泄露风险

Snowflake近日确认，其部分客户遭遇数据窃取攻击，事件源于第三方相关问题及异常访问活动。此次攻击并非Snowflake平台本身被攻破，而是攻击者利用泄露的账户凭证，对客户实例实施未授权访问。

根据披露，攻击者主要通过此前在信息窃取恶意软件（Infostealer）活动中获取的用户名和密码，批量尝试登录Snowflake账户。由于部分客户未启用多因素认证（MFA），攻击者得以直接访问数据仓库并执行查询与导出操作。

技术分析显示，攻击链依赖“凭证重用（Credential Stuffing）”与自动化脚本，针对暴露在公网的Snowflake实例发起登录请求。一旦成功登录，攻击者可利用Snowflake的查询与数据导出功能，批量窃取敏感数据，包括客户信息、业务记录等。

值得注意的是，此次事件与第三方工具或环境中的凭证泄露密切相关，而非Snowflake核心系统漏洞。这表明云服务安全风险正从“平台安全”转向“身份与访问管理（IAM）”层面。

安全社区指出，多个受影响企业存在未强制启用MFA、访问控制策略宽松等问题，使攻击者能够在无需复杂技术利用的情况下完成入侵与数据外泄。

总体来看，该事件再次强调了凭证安全的重要性。对于企业而言，应全面启用MFA，定期轮换凭证，监控异常登录行为，并限制公网访问范围。同时，需加强对终端Infostealer威胁的防护，从源头减少凭证泄露风险。

原文链接：

https://www.techradar.com/pro/security/snowflake-customers-suffer-data-theft-attacks-after-third-party-issue-company-confirms-unusual-activity

安全攻防

攻击者利用超大SVG隐藏信用卡窃取代码，检测机制遭绕过

近期，安全研究人员发现，一种新型信用卡窃取攻击正在利用“超大SVG文件（pixel-large SVG）”隐藏恶意代码，以绕过传统安全检测机制。该攻击主要针对电商网站，在用户结账过程中窃取支付卡信息。

攻击者通过入侵电商站点，将恶意JavaScript skimmer嵌入到看似正常的SVG图像文件中。由于SVG本质为基于XML的矢量图格式，可包含复杂数据结构，攻击者利用异常巨大的像素尺寸或冗余路径数据，将恶意payload隐藏其中，从而规避基于特征匹配或代码扫描的安全工具检测。

在具体执行过程中，页面加载SVG资源后，隐藏的代码被解码并在浏览器端执行。该代码通常仅在checkout页面激活，监控用户输入的信用卡号、有效期及CVV等敏感信息，并通过加密或混淆方式发送至攻击者控制的远程服务器，实现数据外泄。

研究指出，这类攻击属于典型的Magecart变种，其核心在于“隐蔽性提升”。相比传统将恶意脚本直接注入HTML或外链加载的方式，SVG载体具备更强的伪装能力，因为其语法合法且常被视为静态资源，安全设备往往不会深入解析其内部结构。

此外，攻击代码通常结合Base64编码、混淆（Obfuscation）以及延迟加载机制，仅在特定用户行为触发时运行，进一步降低被发现的概率。

总体来看，该技术表明Web skimming攻击正向更高隐蔽性演进。对于企业而言，应加强对前端资源（尤其是SVG等富媒体文件）的完整性监测，部署内容安全策略（CSP）并对异常脚本执行行为进行检测，以降低用户支付数据被窃取的风险。

原文链接：

https://www.bleepingcomputer.com/news/security/hackers-use-pixel-large-svg-trick-to-hide-credit-card-stealer/

产业动态

Medusa勒索软件攻击提速：漏洞披露即被武器化

SecurityWeek 最新报道显示，Medusa ransomware（美杜莎勒索软件）攻击团伙正显著提升漏洞利用效率，已成为当前威胁态势中响应时间最短、入侵速度最快的勒索组织之一。

该团伙一改传统攻击节奏，在获取目标网络初步访问权限后，数小时内即可完成内网横向移动、权限提升与数据窃取，并快速部署加密 payload，大幅压缩企业安全团队的检测与阻断窗口。其核心特征是优先利用已公开但未及时修补的高危漏洞，包括远程代码执行、权限提升类漏洞，配合自动化扫描与 exploitation 工具链，实现 “发现即利用”。

报告指出，Medusa 团伙对漏洞情报的跟踪与武器化速度远超同类组织，一旦目标存在未修复漏洞，几乎无缓冲时间即可被突破。其攻击流程高度标准化：先通过弱口令、暴露服务或钓鱼获取入口，随即自动化探测内网资产与可利用漏洞，快速接管关键系统，同步窃取敏感数据用于双重勒索。

安全厂商监测数据显示，受攻击企业从首次异常行为到全面加密的平均间隔已缩短至 1 天内，部分场景甚至不足 4 小时。传统以天为单位的应急响应机制已无法适配此类攻击。

业内建议，企业需强化漏洞优先级修复、启用终端检测与响应（EDR）、关闭非必要远程服务，并建立 7×24 小时监控，以应对 Medusa 等快节奏勒索威胁。

原文链接：

https://www.securityweek.com/medusa-ransomware-fast-to-exploit-vulnerabilities-breached-systems/

新品发布

Meta 发布 Muse Spark 发力 AI，多智能体架构与隐私风险引行业关注

Meta 于周三发布全新 AI 模型 Muse Spark，该模型为 Meta 超智能实验室首款产品，标志着 Meta 全面重构 AI 战略的开端。该实验室于去年成立，旨在改变此前 Llama 系列模型落后于 ChatGPT、Claude 的局面。Meta 聘请 Alexandr Wang 牵头实验室，并以 143 亿美元收购数据标注企业 Scale AI49% 股权，同时从 OpenAI、Anthropic、Google 招揽多名研究人员。

Muse Spark 已在网页端及 Meta AI 应用上线，采用多 AI 智能体并行协作架构，可在不显著增加延迟的前提下提升推理深度，后续还将推出面向复杂任务的 Contemplating 模式。模型在视觉 STEM 问题上表现突出，可支持小游戏创建、家电故障排查等交互场景，同时布局健康咨询领域。

该模型需通过 Facebook、Instagram 等 Meta 账号登录，尽管官方未明确声明会调用用户个人信息，但结合 Meta 一贯的公开数据训练策略，仍引发用户隐私安全担忧。目前该模型暂未明确采用付费模式，与竞品主流策略形成差异。扎克伯格表示，后续将持续推出更先进模型及开源版本，打造具备自主执行能力的 AI 智能体。

原文链接：

Meta debuts the Muse Spark model in a ‘ground-up overhaul’ of its AI

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《Meta发布Muse Spark，多智能体架构与隐私风险引行业关注；CNNVD 2026 年第14 周漏洞周报：新增 1298 个漏洞，超危 82 个需紧急修复| 牛览》