文章总结： 本期安全资讯聚焦于人工智能对网络威胁的影响及多起重大安全事件。核心要点包括：1.国家信息安全漏洞库通报了智能助理OpenClaw的多个高危漏洞，提醒用户尽快更新[特别关注]。2.物联网（IoT）僵尸网络正发动峰值达2Tbps的超大规模DDoS攻击，重点瞄准金融科技行业[热点观察]。3.全球范围内超过600名学生遭遇AI深度伪造裸照危机，凸显了AI技术滥用带来的新风险[安全事件]。4.同时，WordPress插件供应链、安卓系统及Chrome浏览器扩展等也成为攻击者的目标，通过植入后门、木马或恶意代码窃取数据[安全事件]。此外，资讯还探讨了AI如何重塑威胁检测技术，从传统规则驱动转向异常行为分析，以应对日益复杂的网络攻击[产业动态]。 综合评分： 85 文章分类： 网络安全,漏洞预警,恶意软件,应用安全,数据安全

---

IoT僵尸网络发动2Tbps级DDoS攻击，金融科技行业成重点目标；CNNVD通报OpenClaw多个安全漏洞| 牛览

安全牛

2026年4月16日 12:19 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

新闻速览

• CNNVD通报OpenClaw多个安全漏洞
• 工信部平台通报 iOS 漏洞，iPhone 用户应尽快升级防范网页端攻击
• 全球校园 AI 深度伪造裸照危机爆发，超 600 名学生受害
• AI重塑威胁检测：从规则驱动迈向行为分析
• 超30款WordPress插件被植入后门，隐蔽投毒持续数月
• AI 机器人冲击数字出版，安全防护与流量保护迫在眉睫
• IoT僵尸网络发动2Tbps级DDoS攻击，金融科技行业成重点目标
• 新型安卓远程访问木马Mirax通过Meta平台广告传播
• Mallory推出AI原生威胁情报平台，提升安全运营优先级决策能力
• 从插件到账号接管：大规模Chrome恶意扩展攻击链解析

特别关注

CNNVD通报OpenClaw多个安全漏洞

国家信息安全漏洞库（CNNVD）发布监测数据，2026 年 4 月 3 日至 4 月 13 日期间，共采集 OpenClaw 相关漏洞 63 个，其中高危漏洞 19 个，中危漏洞 43 个，低危漏洞 1 个，漏洞类型涵盖访问控制错误、代码问题、路径遍历等。

OpenClaw 是一款可运行于 PC 及服务器的开源智能人工助理，支持微信、Telegram、Discord、Slack、iMessage 等平台指令交互，用户基数大，覆盖多行业领域。此次漏洞影响 OpenClaw2026.4.14 之前的多个版本，攻击者可利用相关漏洞在未授权情况下窃取敏感数据、提升权限或远程执行代码，对业务与数据安全构成直接威胁。

目前 OpenClaw 官方已发布更新版本完成漏洞修复。CNNVD 提醒相关用户尽快核查自身设备是否受影响，及时安装官方更新补丁，采取必要加固措施，避免漏洞被恶意利用。

原文链接：

https://www.cnnvd.org.cn/home/warn

工信部平台通报 iOS 漏洞，iPhone 用户应尽快升级防范网页端攻击

2026 年 4 月 15 日，工信部网络安全威胁和漏洞信息共享平台发布消息，苹果公司面向 iPhone 用户发布紧急安全提醒，针对已发现的针对旧版 iOS 的网页攻击漏洞，建议用户立即更新系统。

本次漏洞可通过网页触发，对未升级的 iOS 设备形成安全风险。苹果自 2026 年 4 月起，为更多设备推送iOS 18.7.7版本，通过版本升级可修复相关漏洞、阻断攻击路径。

苹果官方给出三项防护措施：一是按照系统提示升级至安全版本，或安装关键安全更新；二是无法完成更新的设备，若支持可启用锁定模式强化防护；三是可前往苹果官方零售店、授权经销商或服务提供商，进行版本检测与安全修复。

该预警由苹果官方服务号 “Apple” 发布，经工信部平台同步通报，属于高优先级安全事件。建议所有 iPhone 用户尽快完成系统更新，避免因漏洞被利用导致设备受控、数据泄露等安全问题。

原文链接：

https://www.nvdb.org.cn/publicAnnouncement/2044354178378743809

热点观察

AI 机器人冲击数字出版，安全防护与流量保护迫在眉睫

2026 年 4 月 15 日，Akamai 发布《互联网现状》报告显示，2025 年全球 AI 机器人活动量激增 300%，数字出版生态面临严重威胁。

报告指出，媒体行业以 13% 的占比位居全球 AI 机器人流量第二，其中出版机构成为主要目标，相关活动占比达 40%。企业大量使用 AI 机器人为大语言模型 LLM 采集数据、支撑 AI 搜索工具，导致内容网站成为自动化爬取的重点对象。

AI 机器人主要分为两类，AI 训练爬虫占媒体行业目标流量的 63%，用于模型训练；AI 实时抓取器占 24%，可直接为用户提供答案，大幅降低用户访问原网站的需求。数据显示，2024 年第四季度，AI 聊天机器人带来的引荐流量仅为传统谷歌搜索的 4%，严重冲击出版行业广告与订阅收入。

机构层面，OpenAI 产生的 AI 机器人流量对媒体公司影响最大，其中 40% 的请求指向出版机构。在细分领域中，37% 的 AI 训练爬虫、43% 的 AI 抓取器专门针对出版业务。

Akamai 安全战略首席技术官 Patrick Sullivan 表示，AI 机器人正在侵蚀广告、订阅等核心收入，推高基础设施成本并降低品牌曝光度。报告同时梳理了新型 AI 机器人类别，提出适配出版行业的安全防护方案，并提供 AI 机器人管理清单，帮助企业降低风险、保护原创内容。

原文链接：

Global AI bot activity surges by 300%, finds Akamai

IoT僵尸网络发动2Tbps级DDoS攻击，金融科技行业成重点目标

近日，安全研究人员披露，一种由受感染物联网（IoT）设备组成的僵尸网络正在发动峰值超过2Tbps的分布式拒绝服务（DDoS）攻击，主要针对金融科技（FinTech）行业基础设施。该事件再次凸显大规模IoT僵尸网络对关键业务系统的威胁。

从攻击规模来看，此类攻击已进入“超大流量”阶段。相比传统Gbps级攻击，Tbps级流量可在极短时间内耗尽目标带宽资源，导致在线支付、交易接口及API服务出现严重中断。类似攻击模式近年来持续升级，部分僵尸网络甚至可调动数十万至数百万台受控设备参与攻击，形成极强的流量压制能力。

技术层面上，该僵尸网络主要利用存在弱口令或未修复漏洞的IoT设备（如路由器、摄像头等）进行传播和控制。这类设备长期在线且安全防护薄弱，一旦被植入恶意代码，即可被远程指挥发起大规模流量洪泛攻击。此外，攻击通常采用UDP flood、TCP SYN flood等方式，通过高并发数据包持续冲击目标服务端口，从而造成资源耗尽。

值得关注的是，金融科技行业成为重点攻击对象并非偶然。FinTech系统对实时性和可用性要求极高，一旦遭受DDoS攻击，不仅会影响用户交易体验，还可能引发业务中断、资金损失甚至合规风险。因此，攻击者往往将其视为高价值目标。

安全专家指出，当前DDoS攻击正呈现自动化、规模化和“即服务”（DDoS-as-a-Service）的趋势，攻击门槛持续降低。同时，IoT设备数量的快速增长进一步扩大了潜在攻击面。

在防御方面，建议企业加强流量清洗能力，部署高防CDN与弹性带宽，同时强化IoT设备安全管理，如关闭默认凭证、及时更新固件等。此外，通过实时监测异常流量行为并结合威胁情报，可有效提升对超大规模DDoS攻击的响应能力。

整体来看，此次2Tbps级攻击不仅是一次技术层面的升级，也再次提醒行业：在万物互联背景下，基础设施安全已成为业务连续性的关键保障。

原文链接：

13.5M Device Botnet Drives 2 Tbps DDoS Attacks on FinTech, Qrator Finds

安全事件

超30款WordPress插件被植入后门，隐蔽投毒持续数月

近日，WordPress生态曝出供应链安全事件。超过30款来自EssentialPlugin软件包的插件被植入恶意代码，影响范围覆盖数十万活跃安装站点。该事件由Anchor Hosting创始人Austin Ginder披露，其在接到安全提示后展开调查，确认相关插件自2025年8月起已被植入后门。

溯源显示，EssentialPlugin项目在2025年完成一笔六位数金额的收购后，其插件代码被恶意篡改。攻击者最初未激活后门，而是在近期通过正常更新渠道向用户推送恶意版本，实现供应链攻击。

技术分析表明，后门代码会静默连接外部基础设施，从C2服务器下载名为“wp-comments-posts.php”的恶意文件，并进一步向核心配置文件“wp-config.php”注入恶意代码。该恶意模块采用基于Ethereum的C2地址解析机制，以增强隐蔽性和抗追踪能力。

在攻击行为上，恶意代码可根据指令动态加载垃圾链接、执行重定向或生成虚假页面。值得注意的是，其内容仅对Googlebot展示，从而规避站点管理员检测，实现SEO劫持。PatchStack分析指出，后门触发依赖“analytics.essentialplugin.com”返回的恶意序列化数据。

事件曝光后，WordPress.org已下架相关插件并强制推送更新，阻断后门通信路径。但官方同时警告，该措施未清除已被篡改的“wp-config.php”等核心文件，管理员仍需手动排查。此外，恶意文件可能伪装为“wp-comments-post.php”等合法组件，增加检测难度。

当前事件再次凸显开源插件供应链风险。建议相关用户立即核查站点文件完整性，重点审计配置文件及异常外联行为，并结合入侵检测与完整性监控机制，降低长期潜伏威胁。

原文链接：

https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/

全球校园 AI 深度伪造裸照危机爆发，超 600 名学生受害

2026 年 4 月 15 日，WIRED 与 Indicator 联合调查显示，全球校园 AI 深度伪造裸照危机已远超预期，至少波及 28 个国家、近 90 所学校、600 余名学生，且呈持续蔓延态势。

此类事件多始于从 Instagram、Snapchat 等社交平台下载同学照片，通过 “nudify” 类 AI 工具一键生成伪造裸照或视频，快速在校园传播，对受害者造成严重心理创伤。自 2023 年以来，涉案者多为高中男生，涉事内容属于儿童性虐待材料（CSAM）。

数据显示，北美报告近 30 起，欧洲超 20 起，南美、澳大利亚及东亚合计数十起。联合国儿童基金会估算，去年约 120 万儿童遭遇性向深度伪造；西班牙调查显示 1/5 青少年被制作伪造裸照，1/8 美国青少年知晓相关受害者。

AI 大幅降低技术门槛，无需专业知识即可批量生成高仿真内容，动机多为羞辱、报复、猎奇或社交操控。学校与执法部门普遍应对不足，部分案件处置滞后、处罚不一，受害者常出现厌学、抑郁等症状。

目前，韩国、澳大利亚等国学校已限制公开学生照片；英美与欧盟拟禁止 “nudify” 工具，澳大利亚 eSafety 机构已采取执法行动。青少年与家长率先维权，推动 “Take It Down Act” 等法案，要求平台 48 小时内删除非合意私密图像。此外，伪造教师不雅内容等衍生风险也持续显现，校园 AI 安全治理刻不容缓。

原文链接：

https://www.wired.com/story/deepfake-nudify-schools-global-crisis/

新型安卓远程访问木马Mirax通过Meta平台广告传播

2026 年 4 月 15 日，Cleafy 威胁情报团队披露，新型 Android 远程访问木马 Mirax 通过 Meta 平台广告大规模传播，已感染超 22 万用户设备，可实现完全远程控制并将受害设备转为 SOCKS5 代理节点。

该木马自 2025 年 12 月在地下论坛推广，采用私有恶意软件即服务（MaaS）模式，仅限少数合作方使用，隐蔽性极强。攻击主要针对西班牙语地区用户，通过 Facebook、Instagram 广告诱导用户下载假冒 IPTV 应用，利用侧载 APK 方式入侵。

Mirax 采用两阶段感染链，加载器托管于 GitHub Releases，经频繁更新与重新打包规避检测；加载器使用 RC4、XOR 加密解密载荷，配合 Golden Encryption 等加壳器保护代码。

木马安装后伪装成视频应用，申请无障碍权限实现持久化驻留，通过 WebSockets 与 C2 服务器通信，具备屏幕控制、数据窃取、应用管理等完整 RAT 功能。其核心能力是将受感染设备转为住宅代理，隐匿攻击者真实 IP，支撑诈骗、横向移动与 DDoS 攻击。

技术特征显示，Mirax 代表移动恶意软件新趋势：合法平台滥用、多层混淆、私有化运营，传统安全检测难以拦截。安全机构建议用户禁止未知来源安装，谨慎点击社交广告，及时开启移动终端安全防护。

原文链接：

Mirax malware campaign hits 220K accounts, enables full remote control

安全攻防

从插件到账号接管：大规模Chrome恶意扩展攻击链解析

近日，安全研究人员披露一起针对Chrome浏览器扩展的协同恶意活动，大量伪装成工具、AI应用或实用插件的扩展程序被用于窃取用户数据并劫持Telegram会话。该行动涉及超过100个恶意扩展，累计下载量达数万次，显示出明显的组织化特征。

从攻击方式来看，这些扩展通常具备“正常功能+恶意负载”的双重特性，在提供基础服务的同时，通过内嵌代码与远程command-and-control（C2）服务器通信，执行数据窃取和指令接收。攻击者重点获取浏览器中的cookies、session tokens及Google账户标识符（如sub ID），进而实现用户身份追踪与账号接管。

在Telegram攻击链中，恶意扩展通过读取浏览器存储的认证信息（如localStorage和session数据），直接劫持用户会话，无需密码即可接管账号。这种“session hijacking”绕过传统认证机制，使攻击更具隐蔽性和高成功率。同时，被攻陷账号还可能被用于横向传播恶意链接，扩大攻击面。

技术分析显示，这些扩展在基础架构上高度一致：多个不同开发者发布的插件最终均连接至同一C2服务器，表明背后存在统一控制的攻击组织。此外，部分扩展采用代码混淆、动态加载及权限滥用等技术，以规避平台审查与安全检测。

该事件再次凸显浏览器扩展已成为重要攻击入口。由于扩展通常拥有“读取和修改访问网站数据”的高权限，一旦被滥用，将直接威胁用户身份与敏感信息安全。

安全建议方面，业内专家强调，应仅安装可信来源的扩展，严格审查权限请求，定期清理不必要插件，并结合终端安全工具进行行为监测，以降低被攻击风险。

原文链接：

108 Coordinated Chrome Extensions Hijack Your Private Telegram Sessions

产业动态

AI重塑威胁检测：从规则驱动迈向行为分析

随着网络攻击手段日益复杂，传统基于规则和特征库的威胁检测模式正面临瓶颈。CSO Online最新分析指出，人工智能（AI）正在推动威胁检测从“已知威胁识别”向“异常行为发现”转型，成为安全运营体系的重要支撑。

在技术层面，AI通过机器学习（machine learning）和行为分析（behavioral analytics），能够对海量日志与网络流量进行建模，识别偏离正常基线的异常活动。例如，用户和实体行为分析（UEBA）可检测账户异常登录、权限滥用等隐蔽攻击，而无需依赖预定义签名。

此外，AI在提升检测效率方面表现突出。传统安全工具常产生大量误报（false positives），增加分析人员负担。引入AI后，通过上下文关联分析与模式识别，可显著降低误报率，并对告警进行优先级排序，帮助安全团队聚焦高风险事件。

在实际应用中，AI还被集成至SIEM、XDR等平台，实现自动化威胁狩猎（threat hunting）与响应（SOAR）。部分系统可自动执行隔离主机、阻断流量等操作，缩短响应时间。

不过，文章也指出，AI并非“万能解药”。模型依赖高质量数据训练，若数据存在偏差，可能导致检测失准。同时，攻击者也在利用AI技术规避检测，形成对抗局面。

总体来看，AI正在重塑威胁检测体系，从被动响应转向主动防御。但企业在引入相关技术时，仍需结合自身安全架构与数据能力，避免过度依赖单一技术路径。

原文链接：

https://www.csoonline.com/article/4154239/how-ai-is-transforming-threat-detection.html

新品发布

Mallory推出AI原生威胁情报平台，提升安全运营优先级决策能力

近日，安全公司Mallory发布一款AI原生威胁情报平台，旨在将全球分散的威胁数据转化为可优先执行的安全行动，帮助安全团队提升响应效率。

在当前安全运营环境中，威胁情报来源复杂且数量庞大，包括开源情报（OSINT）、商业情报源及内部安全日志等。传统方法依赖人工分析与规则匹配，往往难以及时从海量数据中提炼出高价值情报。Mallory的新平台通过引入AI技术，对这些数据进行自动化整合与分析，降低人工处理压力。

技术层面，该平台基于AI模型对威胁数据进行上下文关联（contextualization）和风险评分（risk scoring），从而识别最具优先级的威胁事件。系统能够将不同来源的Indicators of Compromise（IoCs）进行关联分析，并结合攻击路径（attack path）与资产暴露情况，生成可操作的安全建议，而不仅是原始情报数据。

此外，该平台强调“AI-native”架构，即从设计之初即以AI为核心，而非后期叠加功能。这使其能够持续学习新的攻击模式，并动态优化检测与响应策略。通过自动化流程，平台可直接输出行动指引，如阻断恶意IP、更新防护策略或触发安全编排自动化响应（SOAR）。

从行业价值来看，该平台主要解决安全团队面临的“情报过载”问题。大量低质量或重复情报会分散分析人员精力，而AI驱动的优先级排序能够显著提高决策效率，缩短平均响应时间（MTTR）。

总体而言，Mallory的AI原生威胁情报平台代表了威胁情报向“自动化决策支持”演进的趋势。

原文链接：

https://www.csoonline.com/article/4158944/mallory-launches-ai-native-threat-intelligence-platform-turning-global-threat-data-into-prioritized-action.html

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《IoT僵尸网络发动2Tbps级DDoS攻击，金融科技行业成重点目标；CNNVD通报OpenClaw多个安全漏洞| 牛览》