文章总结： 工信部NVDB平台监测发现针对苹果iOS13.0-17.2.1系统的漏洞攻击激增，可导致信息窃取与系统受控；黑客利用Next.js的React2Shell漏洞发起自动化凭证窃取活动，至少766台主机遭入侵；同时AI安全风险凸显，OpenClaw智能体存在隐私泄露缺陷，GoogleDeepMind披露针对AI智能体的新型网页攻击手法。国内外监管动态包括中国信通院发布AIAgent安全指引、华盛顿州立法规范AI聊天机器人。 综合评分： 80 文章分类： 漏洞分析,威胁情报,AI安全,政策法规,漏洞预警

嘶吼安全动态｜工信部NVDB平台发布风险提示：利用苹果iOS漏洞的攻击活动激增 黑客利用React2Shell发起自动化凭证窃取活动

胡金鱼 胡金鱼

嘶吼专业版

2026年4月7日 14:00 北京

在小说阅读器读本章

去阅读

嘶吼安全动态

【国内新闻】

国家计算机病毒应急处理中心检测发现71款违法违规收集使用个人信息的移动应用

摘要：依据《网络安全法》《个人信息保护法》等法律法规，经国家计算机病毒应急处理中心检测，71款移动应用存在违法违规收集使用个人信息情况，现已进行通报。

原文链接：https://www.cverc.org.cn/zxdt/report20260403.htm

工信部NVDB平台发布风险提示：利用苹果iOS漏洞的攻击活动激增

摘要：近日，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，有攻击者利用针对苹果公司终端产品的漏洞实施网络攻击活动，可导致信息窃取、系统受控等严重危害。影响范围包括运行iOS 13.0至17.2.1的iPhone、iPad等苹果公司终端产品。

原文链接：https://baijiahao.baidu.com/s?id=1861446183160560256&wfr=spider&for=pc

智能体“龙虾”（OpenClaw）再曝安全漏洞，存在泄露用户对话隐私风险

摘要：开源AI智能体OpenClaw（龙虾）被曝隐私保护缺陷。攻击者可利用特定Prompt诱导智能体跨过隔离权限，导致用户的敏感聊天记录与本地文件路径被非授权调取。

原文链接：https://www.21jingji.com/article/20260406/herald/77fac9c75e7805d1448f21a91fae6772.html

中国信通院联合腾讯云发布《AI Agent安全实践指引》

摘要：中国信通院与腾讯云联合发布《AI Agent安全实践指引》，系统梳理了AI Agent面临的高发风险，并提出“三步走”安全实践路径。

原文链接：https://developer.cloud.tencent.com/article/2647950

【国外新闻】

Check Point发布2026年报：AI自动化令网络攻击频率达“天文级”

摘要：报告指出，攻击者借助生成式AI已实现攻击准备全自动化。90%的受访组织表示曾遭遇AI相关的安全风险提示，传统防火墙在面对AI瞬时生成的混淆代码时面临严峻挑战。

原文链接：https://finance.sina.com.cn/jjxw/2026-04-06/doc-inhtqaaa1225740.shtml

Google DeepMind揭秘“AI智能体陷阱”：恶意网页可操纵自主Agent

摘要：研究员发现6种针对自主AI智能体的新型攻击。黑客可在网页中植入“AI 陷阱”，当智能体访问网页获取信息时，陷阱会注入恶意上下文，诱导智能体执行窃取数据、分发虚假信息等。

原文链接：https://www.securityweek.com/google-deepmind-researchers-map-web-attacks-against-ai-agents/

美国华盛顿州签署HB 2225 法案，对“AI伴侣聊天机器人”正式做出规定

摘要：法案赋予个人起诉权，严禁此类AI引导用户产生自残倾向或在未经许可下收集高度敏感的心理情感数据。针对具备“情感连接”功能的AI聊天机器人实施严格监管。

原文链接：https://www.hunton.com/privacy-and-cybersecurity-law-blog/washington-state-enacts-law-regulating-ai-companion-chatbots-with-private-right-of-action

2026年全球“影子AI”（Shadow AI）治理白皮书发布

摘要：CRN 发布AI安全百强名单，重点聚焦于发现员工私自使用的“影子AI”工具。2026年企业安全重心正向AI安全态势管理（AI-SPM）快速转型。

原文链接：https://www.crn.com/news/security/2026/the-20-hottest-ai-cybersecurity-companies-the-2026-crn-ai-100

黑客利用React2Shell发起自动化凭证窃取活动

摘要：黑客利用Next.js应用程序中的React2Shell (CVE-2025-55182) 漏洞，发起了一场大规模的自动化窃取凭据的活动。至少有766台主机遭到入侵，导致数据库和AWS凭证、SSH私钥、API密钥、云令牌和环境密钥被窃取。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-exploit-react2shell-in-automated-credential-theft-campaign/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《嘶吼安全动态｜工信部NVDB平台发布风险提示：利用苹果iOS漏洞的攻击活动激增 黑客利用React2Shell发起自动化凭证窃取活动》