2026-04-16 03:31:03 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文汇总近期安全动态，涵盖四一五国安教育日宣贯、CNNVD周报中WP与AI超危漏洞预警、美太空军AI合规实践、Masjesu僵尸网络分析、百款恶意Chrome扩展窃密、智能体AI记忆投毒攻击及OpenSSL4.0.0发布。建议企业优先修复高危漏洞并加强AI记忆安全治理。 综合评分： 66 文章分类： 漏洞预警,政策法规,AI安全,IoT安全,恶意软件

cover_image

4・15 全民国家安全教育日–筑牢网络安全防线，护航数字中国新征程；OpenSSL 4.0.0版本发布：移除弃用协议，新增后量子支持| 牛览

安全牛

2026年4月15日 12:07 北京

在小说阅读器读本章

去阅读

点击蓝字关注我们

新闻速览

4・15 全民国家安全教育日｜筑牢网络安全防线，护航数字中国新征程
2026 年第 15 期安全漏洞周报：WordPress 漏洞居首，AI 与浏览器均存超危风险
美国太空部队 CISO：AI正重塑合规模式，网络安全审计迈向自动化
IoT安全再敲警钟，Masjesu通过漏洞利用与暴力破解构建僵尸网络
超100个恶意Chrome扩展潜伏官方商店，用户数据与账号面临系统性风险
OpenSSL 4.0.0版本发布：移除弃用协议，新增后量子支持
工作满意度下降，CISO需创新人才留存策略
智能体AI记忆攻击跨会话与用户传播多数组织未做好准备
数据收割应用 Freecash 遭 App Store 下架违规营销与隐私窃取问题曝光
微软 Windows 硬件开发者账号大规模封禁，紧急推出快速解封通道

特别关注

4・15 全民国家安全教育日｜筑牢网络安全防线，护航数字中国新征程

今天是 4 月 15 日，第十一个全民国家安全教育日，今年主题为统筹发展和安全，护航‘十五五’新征程。没有网络安全就没有国家安全，网络空间已成为维护国家安全的关键战场。

数字时代，网络攻击、数据泄露、电信诈骗、谣言传播等风险频发，从关键信息基础设施到个人隐私信息，都面临严峻安全挑战。网络安全不仅关乎企业运营、社会稳定，更直接关系国家安全与人民福祉。

作为网络安全媒体，我们始终聚焦前沿威胁、普及安全知识、推动合规建设。在此倡议：

个人养成安全习惯，谨慎点击陌生链接，保护账号密码，不随意泄露隐私，不信谣不传谣。
企业落实网络安全主体责任，做好等保测评、数据合规与漏洞治理，筑牢技术防线。
全社会共同遵守《网络安全法》《数据安全法》《个人信息保护法》，共建清朗网络空间。

国家安全无小事，网络安全靠大家。让我们以今日为起点，提升安全意识、践行防护行动，以坚实网络安全屏障，守护国家安全，护航高质量发展。

2026 年第 15 期安全漏洞周报：WordPress 漏洞居首，AI 与浏览器均存超危风险

国家信息安全漏洞库（CNNVD）发布 2026 年第 15 期（总第 828 期）安全漏洞周报，统计周期为 4 月 6 日至 4 月 12 日。本周 CNNVD 采集公开漏洞 1604 个，数量环比上升；接报漏洞共 623 个，漏洞平台推送 4997 个。

从分布看，WordPress 基金会以 277 个漏洞居厂商首位，国内厂商漏洞 139 个，整体修复率 12.95%。漏洞类型中跨站脚本占比最高（6.80%），代码问题、SQL 注入、操作系统命令注入位列前五。危害等级方面，超危 92 个、高危 433 个、中危 1015 个、低危 64 个，整体修复率 67.46%。

本周重大漏洞为 Apache ActiveMQ 远程代码执行漏洞（CNNVD-202604-1392、CVE-2026-34197），受影响版本可被攻击者远程执行代码，Apache 已发布修复版本。此外，WordPress 插件 Ninja Forms、Google Chrome、Red Hat Quay 均存在可远程执行代码的高危漏洞。AI 领域同样风险突出，LoLLMs、PraisonAI、OpenClaw 曝出权限提升与信息泄露漏洞，厂商均已提供补丁。

CNNVD 提示，用户应尽快核查产品版本，优先修复超危、高危漏洞，及时安装官方更新，降低安全风险。

原文链接：

https://www.cnnvd.org.cn/group1/M00/01/F4/rBBl8Wne6l2AfWuhAAee9yntEUY805.pdf

热点观察

美国太空部队 CISO：AI正重塑合规模式，网络安全审计迈向自动化

美国Space Force网络安全负责人近期表示，人工智能（AI）正在显著改变网络安全合规（cyber compliance）的执行方式，尤其是在面对复杂监管要求和大规模系统环境时，其自动化能力成为关键突破点。

在公开发言中，该CISO指出，传统合规流程高度依赖人工审核与文档整理，效率低且难以应对快速变化的威胁环境。而AI能够通过自动化数据分析、日志审计和控制验证，大幅提升合规检查的速度与准确性，使安全团队从“被动应对审计”转向“持续合规（continuous compliance）”。

具体来看，AI技术可对系统配置、访问控制及安全事件进行实时监测，并自动识别不符合政策或标准（如Zero Trust或联邦安全框架）的行为，从而减少人工介入。同时，AI还能整合多源安全数据，实现跨系统的统一风险评估，缓解工具碎片化问题。类似能力在联邦机构中已被用于优化安全工具栈、消除冗余系统并提升整体防御效率。

不过，Space Force也强调对AI应用保持审慎态度，特别是在数据安全和模型使用风险方面。此前该机构曾对生成式AI工具采取限制措施，原因正是担心敏感数据泄露及模型不可控风险。

从战略层面看，AI已被视为提升空间作战与网络防御能力的核心技术之一，其在数据处理、异常检测和决策支持方面的能力，将直接影响未来网络安全与合规体系的效率与可靠性。

总体而言，Space Force的实践表明，AI正在将网络安全合规从静态检查转变为动态、自动化和持续化过程，但同时也带来新的治理与安全挑战，对CISO而言，如何在效率与风险之间取得平衡成为关键议题。

原文链接：

Space Force official touts AI’s impact on cyber compliance

IoT安全再敲警钟，Masjesu通过漏洞利用与暴力破解构建僵尸网络

安全厂商Trellix Advanced Research Center（ARC）近期披露了一种名为Masjesu的新型IoT僵尸网络，其通过自动化扫描与漏洞利用，对大量联网设备发起攻击并实现快速扩散。

研究显示，Masjesu主要针对存在弱口令或已知漏洞的IoT设备，利用Telnet、SSH等远程管理协议进行暴力破解，同时结合公开漏洞利用代码实现初始入侵。一旦成功入侵，恶意程序会下载并执行对应架构的payload，完成设备接管并加入僵尸网络。

在传播机制上，Masjesu具备多线程扫描能力，可持续在公网范围内搜索新的潜在目标，并通过自动化脚本完成攻击链闭环。该恶意程序支持多种CPU架构，表明攻击者意图覆盖更广泛的IoT设备生态，包括路由器、摄像头及嵌入式系统等。

技术分析还指出，Masjesu在代码层面融合了传统Mirai类僵尸网络的特征，但在传播效率和模块化设计上有所增强，使其更具适应性与隐蔽性。此外，其命令与控制（C2）通信机制经过简化优化，有助于降低被检测和阻断的概率。

从防御角度看，该威胁再次凸显IoT设备安全薄弱问题。Trellix建议，组织应关闭不必要的远程管理端口，强制使用强密码策略，并及时修补已知漏洞。同时，通过网络分段和流量监测，可以有效降低僵尸网络横向传播风险。

总体来看，Masjesu的出现表明IoT僵尸网络仍在持续演进，攻击者通过自动化与多协议利用手段，不断提升攻击规模与效率，对网络基础设施安全构成长期威胁。

原文链接：

Inside the Masjesu IoT Botnet’s 3-Year Stealth Reign

安全事件

超100个恶意Chrome扩展潜伏官方商店，用户数据与账号面临系统性风险

近日，安全研究人员披露，一项持续性的攻击活动已在Chrome Web Store中投放超过100个恶意扩展程序，这些扩展伪装为AI工具、VPN服务及加密工具，诱导用户安装后窃取账号凭证与敏感数据。

从时间和背景来看，该活动自2024年起持续演进，攻击者利用用户对AI及效率工具的需求增长，通过“合法功能+隐藏恶意逻辑”的方式实现长期潜伏。受影响对象涵盖普通用户及企业员工，风险包括账号接管、数据外泄及企业网络渗透。

在技术层面，这些扩展通常具备完整表面功能，但在后台连接攻击者控制的服务器（C2），执行多种恶意操作：一是通过Chrome API（如chrome.cookies.getAll）窃取cookies及会话令牌，实现会话劫持；二是收集浏览数据、访问令牌并进行数据外传；三是支持远程命令执行，动态加载恶意脚本；四是将浏览器作为代理节点，转发用户流量。

值得注意的是，这些扩展在代码结构和基础设施上高度一致，多使用相同后端域名（如.top域名），表明其背后可能是有组织的攻击团伙。同时，部分扩展通过远程加载逻辑或后续更新实现“功能切换”，规避应用商店审核。

原文链接：

https://www.bleepingcomputer.com/news/security/over-100-chrome-extensions-in-web-store-target-users-accounts-and-data/

数据收割应用 Freecash 遭 App Store 下架违规营销与隐私窃取问题曝光

数据收割类应用 Freecash 凭借虚假宣传登顶 App Store 及 Google Play 榜单，近期因违规被 Apple 下架，该应用由德国公司 Almedia 运营。Malwarebytes 报告显示，Freecash 对外宣称可通过浏览 TikTok 赚钱，实际诱导用户游玩手游，同时大肆收集种族、宗教、健康、性取向及生物特征等敏感信息，本质为对接游戏开发者与付费用户的数据中介。

该应用曾借助 TikTok 广告推广，因存在虚假营销及诱导消费行为，TikTok 已下架其部分广告，Freecash 则将责任推给第三方联盟。Appfigures 数据显示，2026 年 1 月其全球下载量达 550 万次，较 2025 年 10 月大幅增长，曾登顶美国 App Store 第二名、Google Play 第七名。

此外，Freecash 存在多次更换开发者账号规避平台审核的行为，初始版本于 2024 年上架后遭下架，后续通过收购其他开发者账号重新上架，Google Play 版本也更换了开发者标识。该应用评分高达 4.7 星，疑似存在刷评行为。Apple 依据相关准则，以虚假营销、诱导用户等违规理由将其下架，Google 方面已介入调查。

原文链接：

How the rewards app Freecash scammed its way to the top of the app stores

微软 Windows 硬件开发者账号大规模封禁，紧急推出快速解封通道

近期，微软 Windows 硬件开发者计划出现大规模账号无预警封禁事件，包括 WireGuard、VeraCrypt、MemTest86、Windscribe 等常用工具的开发者账号均被暂停，直接导致相关开发者无法发布 Windows 驱动、更新及安全补丁，存在漏洞响应延迟风险。

受影响开发者普遍反映，账号被终止前未收到有效通知，申诉流程冗长且无法对接人工客服。微软方面表示，此次封禁原因是相关账号未完成 Windows 硬件计划身份核验，该要求自 2025 年 10 月起已通过邮件告知合作伙伴。由于该计划允许开发者签名并分发内核级驱动，具备高系统权限，此前曾被威胁攻击者滥用，因此微软强制实施身份核验以保障 Windows 生态安全。

在开发者集中反馈后，微软已推出临时快速解封流程，受影响开发者可通过硬件计划提交支持工单，附上清晰业务用途说明即可加速恢复。账号解封后，仍需完成全部合规要求才能恢复完整权限。微软同时优化了支持流程，提供备用对接渠道，暂未公布快速通道有效期，建议受影响开发者尽快处理。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-rolls-out-fast-track-to-reinstate-windows-hardware-dev-accounts/

安全攻防

智能体AI记忆攻击跨会话与用户传播多数组织未做好准备

Cisco的AI Security ResearcherIdan Habler在接受Help Net Security采访时指出，agentic memory正成为尚未被充分认知的新型攻击面。与传统内存安全不同，AI系统中的“记忆”是一种persistent retrieval与instruction layer，用于存储用户偏好、历史上下文、摘要以及学习行为，并在跨任务、跨会话甚至跨用户场景中复用。这使其成为模型决策的重要组成部分，也意味着一旦被操控，影响将持续存在。

Habler以已披露并修复的MemoryTrap为例说明，该攻击可破坏Claude Code的记忆机制。其关键风险不仅在于初始感染，更在于攻击者能够通过单个poisoned memory object影响persistent memory及其他trusted instruction surface，从而在后续交互中持续改变模型行为。攻击目标不再是“破坏内存”，而是让模型错误识别何为“合法上下文”，使agent memory演变为一种长期控制面。

在攻击路径上，除了常见的基于poisoned memory retrieval的prompt injection，Habler强调更隐蔽的“trust laundering”。该技术通过将untrusted data与trusted data混合输入，使恶意内容伪装成正常推理的一部分，难以检测且可长期生效。由于AI系统在用户、会话与subagent之间共享上下文，一旦某次交互中记忆被污染，往往会迅速扩散至其他场景，形成系统级风险。

在防御层面，Habler认为企业需重构对AI记忆的认知与治理方式。AI memory应与secrets、identities及关键配置同等级管理，包括追踪数据来源、设置过期机制以及实施显式授权。同时，应将memory files、RAG indexing等长期检索数据视为关键资产，而非普通缓存。

针对多Agent协作带来的trust propagation问题，企业需在跨Agent数据流转中引入validation scanning，对记忆内容进行实时校验，并建立严格的provenance tracking机制。此外，应明确隔离system prompt与用户输入，避免高信任指令与不可信数据混合，防止agent误将恶意输入识别为系统指令。

总体来看，agentic memory正在从功能组件转变为关键安全边界。随着AI Agent广泛应用，围绕记忆层的投毒、扩散与隐蔽操控将成为新的攻击重点，企业需尽早建立系统化治理与检测能力，以防风险在不可见状态下持续扩散。

原文链接：

Agentic AI memory attacks spread across sessions and users, and most organizations aren’t ready

产业动态

工作满意度下降，CISO需创新人才留存策略

IANS与Artico Search发布的《2026 Cybersecurity Talent Report》显示，美国网络安全人才流动风险持续上升。该报告基于对500多名美国网络安全从业者的访谈，只有34%的受访者计划未来一年留在现岗位，43%考虑跳槽，资深从业者这一比例升至46%。报告指出，职业发展、薪酬满意度与工作生活平衡，与岗位满意度存在中到强相关性；薪酬增长虽也是因素，但驱动作用相对较弱。即便只是小幅加薪，也比薪酬停滞更有助于提升满意度和留任率。

报告同时给出更具操作性的留才信号：每周1至2天到岗的混合办公模式，在工作生活平衡方面表现最佳；当员工认为安全是企业核心优先事项时，73%的人表示工作满意，而在缺乏高层支持的组织中，这一比例仅为19%。这说明，留住高绩效人才，不能只靠高薪，还需要清晰的成长路径、组织认可和管理层支持。

留才之所以关键，是因为人员短缺正在直接削弱防御能力。IANS此前报告称，超过半数CISO面临人员不足，导致现有团队负荷上升、士气下滑和质量保障问题增加。ISC2去年12月的报告也指出，59%的全球组织存在“关键或重大”技能短缺，88%的受访者表示，这已至少引发过一起重大网络安全事件。

原文链接：

https://www.infosecurity-magazine.com/news/cisos-innovate-talent-retention/

OpenSSL 4.0.0版本发布：移除弃用协议，新增后量子支持

2026年4月，开源加密库OpenSSL正式发布4.0.0版本，这是继3.x系列后的重大版本升级，标志着其在架构设计与长期支持（LTS）策略上的重要转型。该版本由OpenSSL项目团队发布，旨在提升安全性、模块化能力及未来可维护性。

在技术层面，OpenSSL 4.0.0延续并强化了自3.0引入的Provider架构，通过将加密算法与核心库解耦，实现更灵活的算法加载与替换机制。这一设计使得FIPS、legacy及第三方加密实现可以以模块形式独立运行，降低核心库复杂度，同时便于合规与定制化部署。

API方面，4.0进一步推进对旧接口的弃用（deprecation），强化基于EVP（Envelope）接口的统一调用方式，以减少直接操作底层加密算法带来的安全风险。部分历史API已被移除或默认禁用，开发者需迁移至新接口以保证兼容性与安全性。

此外，新版本在内存管理、错误处理及性能优化方面进行了改进，提高了在高并发和复杂加密场景下的稳定性。对TLS支持也进行了增强，以更好适配现代协议需求和安全标准。

在支持策略上，OpenSSL 4.0.0被定位为新一代主线版本，而3.x系列将逐步进入维护阶段。官方建议新项目优先采用4.0，以获得长期安全更新和功能支持。

总体来看，OpenSSL 4.0.0不仅是版本升级，更是一次面向未来的架构演进。对于网络安全从业者和企业开发团队而言，需要重点关注API兼容性变化及Provider机制带来的部署调整，同时评估升级对现有系统的影响，以确保加密能力与合规要求持续满足。

原文链接：

OpenSSL 4.0.0 release cuts deprecated protocols and gains post-quantum support

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛《4・15 全民国家安全教育日–筑牢网络安全防线，护航数字中国新征程；OpenSSL 4.0.0版本发布：移除弃用协议，新增后量子支持| 牛览》