文章总结： 本周网络安全事件频发，Linux内核曝出‘DirtyFrag’提权漏洞链，攻击者可跨主流发行版稳定获取root权限；PaloAltoPAN-OS零日漏洞被疑似国家行为者利用获取防火墙root权限；OllamaAI框架存在高危漏洞，未认证攻击者可远程窃取API密钥与对话数据。此外，ApacheHTTPServer高危RCE漏洞、新型Linux恶意软件QLNX针对开发者实施供应链渗透、以及微软Edge浏览器密码管理安全缺陷等事件均构成重大威胁。各厂商已发布修复补丁或缓解措施，建议用户及时更新并遵循安全建议。 综合评分： 85 文章分类： 漏洞预警,恶意软件,漏洞分析,安全运营,应用安全

Linux超高危漏洞！网络安全一周新闻速看（20260510期）

网络安全研究站

2026年5月10日 20:30 广东

在小说阅读器读本章

去阅读

为了让大家在繁杂的信息流中快速抓住重点，我们从全球安全情报精选了本周（5月4日-5月10日）最具影响力的10条新闻。无论是企业决策者、技术从业者还是普通用户，这份清单都将为你提供不可或缺的安全视野。#新闻 #资讯 #信息安全

本周大事

1. 【漏洞】Linux内核曝“Dirty Frag”提权漏洞链：攻击者可跨主流发行版稳定获取root权限
2. 【零日】疑似国家行为者利用Palo Alto PAN-OS零日漏洞（CVE-2026-0300）近一月，可获防火墙root权限
3. 【漏洞】Ollama曝“Bleeding Llama”高危漏洞：未认证攻击者可远程窃取AI框架内存中的API密钥与对话数据
4. 【隐私】Google Chrome被指静默下载4GB AI模型至用户设备，引发隐私与能耗争议
5. 【漏洞】Google修复Gemini CLI CVSS 10分高危漏洞：攻击者可利用GitHub Issue实现仓库完全接管
6. 【犯罪】暗网“Darkhub”雇佣黑客平台公然叫卖加密货币欺诈、短信拦截与账户监控服务
7. 【漏洞】Apache HTTP Server曝高危RCE漏洞（CVE-2026-23918）：影响2.4.66版本，可致服务器完全沦陷
8. 【隐私】微软Edge被曝启动时将所有明文密码加载至进程内存，管理员可一键收割多用户凭据
9. 【恶意软件】新型Linux恶意软件QLNX定向攻击开发者，窃取凭证以实施供应链渗透
10. 【AI】Anthropic让AI代理“做梦”：跨会话回顾记忆，从错误中持续进化

1

Linux内核曝“Dirty Frag”提权漏洞链：攻击者可跨主流发行版稳定获取root权限

新闻概览

安全研究人员发现一个名为“Dirty Frag”的Linux内核本地权限提升漏洞类，可被攻击者在无需竞争条件的情况下，确定性、高成功率地获得root访问权限，影响包括Ubuntu 24.04.4、RHEL 10.1、openSUSE Tumbleweed、CentOS Stream 10、AlmaLinux 10及Fedora 44等主流发行版。该漏洞链由两个独立的页缓存写入原语组合而成：第一个存在于xfrm-ESP（IPsec）子系统中（CVE-2026-43284），由2017年1月引入的代码提交导致，提供4字节存储原语；第二个存在于RxRPC子系统中（CVE-2026-43500），由2023年6月引入。当用户命名空间创建被AppArmor等机制阻止时，第一个漏洞无法触发，但Ubuntu等发行版默认加载了rxrpc.ko模块，此时第二个漏洞即可生效；而在允许命名空间的环境中，则优先使用第一个漏洞。两者互为补充，覆盖了彼此的盲区。微软观察到有限在野利用活动，攻击者在获得SSH访问后执行提权二进制文件，进而修改GLPI LDAP认证文件、破坏PHP会话。目前各发行版已发布安全公告，官方补丁仍在开发中。临时缓解措施为阻止加载esp4、esp6和rxrpc模块。

2

疑似国家行为者利用Palo Alto PAN-OS零日漏洞（CVE-2026-0300）近一月，可获防火墙root权限

新闻概览

Palo Alto Networks警告称，一个被追踪为CL-STA-1132的疑似国家支持威胁集群，已持续利用PAN-OS软件中的严重零日漏洞CVE-2026-0300近一个月。该漏洞是用户ID认证门户服务中的缓冲区溢出缺陷，允许未认证攻击者通过发送特制数据包，在PA系列和VM系列防火墙上以root权限执行任意代码。成功利用后，攻击者将shellcode注入nginx工作进程，部署EarthWorm、ReverseSocks5等开源隧道工具建立隐蔽通信，并利用从防火墙窃取的凭证枚举Active Directory，最后系统性删除日志和入侵痕迹。该漏洞影响PAN-OS 10.2、11.1、11.2、12.1等多个版本，修复补丁预计自2026年5月13日起陆续发布。Palo Alto强调，遵循安全最佳实践（如将用户ID认证门户限制在可信内网）可大幅降低风险。已观察到的在野利用主要针对直接暴露于公网或不可信IP地址的系统。该零日已被用于有限的定向攻击，暂不影响Prisma Access、Cloud NGFW及Panorama等产品。

3

Ollama曝“Bleeding Llama”高危漏洞：未认证攻击者可远程窃取AI框架内存中的API密钥与对话数据

新闻概览

流行本地大模型运行框架Ollama被披露一个严重漏洞（CVE-2026-7482），攻击者无需任何认证即可远程利用，导致敏感信息泄露。该漏洞存在于Ollama的模型量化管道中，属于堆越界读取类型。攻击者可上传一个特制的GGUF模型文件，该文件声明了远超实际数据大小的张量尺寸，迫使Ollama读取超出预期缓冲区边界的内容，从而泄露进程堆内存中的敏感数据，包括系统提示词、用户聊天消息、所有用户的对话历史、环境变量中的API密钥和令牌、提交给模型的专有代码，以及通过AI模型审查的客户数据和合同。该漏洞影响约30万台暴露在公网的Ollama服务器，以及更多内部网络实例。攻击者在获取内存泄露后，可进一步调用Ollama的推送端点将模型及嵌入的泄露数据外传至自己控制的服务器。Ollama默认不启用认证，且常被配置为监听所有网络接口，加剧了风险。官方已在版本0.17.1中修复。建议用户立即升级，并在所有Ollama实例前部署认证代理或API网关，避免直接暴露在互联网。

4

Google Chrome被指静默下载4GB AI模型至用户设备，引发隐私与能耗争议

新闻概览

网络安全研究员Alexander Hanff指控Google Chrome在未经用户通知或同意的情况下，自动向符合条件的设备下载约4GB大小的“Gemini Nano”AI模型。Hanff通过macOS内核日志追踪证实，在全新、无任何人机交互的Chrome用户配置文件中，浏览器在空闲时自行创建目录并下载了weights.bin文件。Google声称此举旨在支持本地化AI功能（如诈骗检测），但该行为引发了严重的法律与环保质疑：Hanff指出，若覆盖30%的Chrome用户（约10亿人），仅下载过程将消耗240 GWh电力；同时，未经用户明确同意即存储数据可能违反欧盟《电子隐私指令》第5条第3款及GDPR的多项原则。用户可通过chrome://on-device-internals检查模型是否存在，并在Chrome设置“系统”菜单中关闭“设备端AI”开关。单纯删除文件无效，重启后会重新下载。

5

Google修复Gemini CLI CVSS 10分高危漏洞：攻击者可利用GitHub Issue实现仓库完全接管

新闻概览

Pillar Security研究人员在Google官方Gemini CLI仓库中发现一个CVSS评分高达10分的严重漏洞。该漏洞源于Gemini CLI在启用–yolo模式（自动批准shell命令和工具调用）时，会通过GitHub Actions自动读取并处理公开的Issue内容。攻击者只需在Gemini CLI仓库中提交一个恶意Issue，利用提示注入技术在其中隐藏命令，即可诱导Gemini执行任意shell命令。更危险的是，由于GitHub Actions中的actions/checkout会将仓库的GitHub令牌以明文形式保存在.git/config文件中，Gemini可被诱骗读取该文件并将令牌外传。攻击者随后可利用该令牌触发smoke-test.yml等工作流，进一步权限升级，获得contents: write权限，从而直接修改gemini-cli仓库中的代码，实现完整的供应链妥协。该漏洞已被Google在Gemini CLI 0.39.1和run-gemini-cli 0.1.22版本中修复。安全建议包括在GitHub设置中启用persist-credentials: false以防止令牌写入磁盘，并严格限制AI代理在自动化流程中的操作权限。

6

暗网“Darkhub”雇佣黑客平台公然叫卖加密货币欺诈、短信拦截与账户监控服务

新闻概览

一个名为“Darkhub”的新型暗网平台在Tor网络上线，以整齐的界面和类似合法电商的包装，公开兜售一系列雇佣黑客服务。其服务清单覆盖社交媒体（Instagram、Telegram、WhatsApp）账户入侵、电子邮件盗取、手机实时监控、地理位置追踪，以及加密货币欺诈、非法访问银行账户和篡改信用评分等。尤为引人注意的是，该平台同时列出了“追回被盗资金”与加密货币相关服务，这被研究人员视为典型的“二次诈骗”信号——先以技术能力吸引受害人付费，再实施预付费欺诈。安全公司Oasis Security的分析发现，该平台并非完全隐匿于暗网，其部分后端基础设施暴露在公网IP上，且托管于曾涉及滥用投诉的“防弹主机”提供商（AS44259）。平台通过Telegram（@DarkHubs0）和ProtonMail接受匿名联系。尽管其真实技术能力未经验证，但服务清单中的明显欺诈模式表明，Darkhub可能既是攻击工具的中介，也是一场针对绝望受害者的进阶骗局。

7

Apache HTTP Server曝高危RCE漏洞（CVE-2026-23918）：影响2.4.66版本，可致服务器完全沦陷

新闻概览

Apache软件基金会发布紧急安全更新，修复了HTTP服务器中五个漏洞，其中最严重的是一个编号为CVE-2026-23918的高危远程代码执行漏洞（CVSS评分8.8）。该漏洞存在于HTTP/2协议实现的“早期流重置”序列中，属于双重释放内存损坏缺陷——程序尝试两次释放同一内存区域，导致堆内存结构被破坏，攻击者可利用此漏洞重定向执行流，最终实现远程代码执行。此漏洞仅影响Apache HTTP Server 2.4.66版本，且已在2.4.67版本中修复。此外更新还修补了mod_rewrite中的权限提升漏洞（CVE-2026-24072，中危），允许本地.htaccess作者以httpd用户权限读取任意文件；mod_proxy_ajp中的堆缓冲区溢出（CVE-2026-28780，低危）；mod_md中的资源耗尽漏洞（CVE-2026-29168，低危）；以及mod_dav_lock中的空指针解引用导致拒绝服务（CVE-2026-29169，低危）。鉴于Apache HTTP Server在全球范围内的巨大部署量，建议所有使用2.4.66版本的管理员立即升级至2.4.67。无法立即升级者可临时禁用HTTP/2协议或移除mod_dav_lock模块作为缓解措施。

8

微软Edge被曝启动时将所有明文密码加载至进程内存，管理员可一键收割多用户凭据

新闻概览

安全研究员发现，微软Edge浏览器在启动时即解密并加载所有已保存的密码至进程内存，并以明文形式持续保留整个浏览器会话期间，无论用户是否实际访问过这些网站。这一行为与谷歌Chrome等主流浏览器形成鲜明对比：Chrome仅在自动填充或用户显式查看时按需解密，且通过应用绑定加密（App-Bound Encryption）将解密密钥与认证的Chrome进程绑定，阻止其他进程重用。更危险的是，Edge在密码管理器界面中仍要求用户再次认证才能显示密码，但进程内存中早已存在所有明文凭据，使这一认证门形同虚设。在远程桌面服务或多用户终端环境中，拥有管理权限的攻击者可以同时读取所有登录用户（包括已断开会话但未注销的用户）的Edge进程内存，一次性窃取全部保存的凭据。微软回应称此行为“符合设计”，并将其归类为浏览器威胁模型之外的本地攻击场景。安全团队应评估在共享环境中的风险，并考虑迁移至具有按需解密和更强内存保护的浏览器。

9

新型Linux恶意软件QLNX定向攻击开发者，窃取凭证以实施供应链渗透

新闻概览

趋势科技研究人员发现一种名为QLNX（Quasar Linux）的新型Linux远程访问木马，该恶意软件专门针对软件开发者，其最终目标是利用窃取的凭证实施供应链攻击。QLNX执行时完全在内存中运行，将其自身复制到基于RAM的文件后即删除磁盘上的原始二进制文件，并通过伪装成[kworker/0:0]等正常内核线程名称来隐藏进程。它内置了rootkit和PAM后门的源代码，在运行时利用系统的GCC编译器动态编译，并通过/etc/ld.so.preload注入系统，拦截全局认证活动。该恶意软件能够窃取SSH私钥、浏览器登录数据库、AWS/Kubernetes云配置文件、Docker凭证、Git/NPM/PyPI令牌及.env文件中的所有凭据。尤其危险的是，通过窃取NPM和PyPI认证令牌，攻击者可以直接向开源仓库推送恶意包，从而危害数千下游用户。QLNX还通过systemd服务、crontab、init.d及.bashrc等多种方式实现持久化，并具备清除系统日志的能力。其PAM后门可在用户登录时明文捕获密码，而基于eBPF的内核rootkit则在内核级隐藏进程、文件和网络端口。开发者应警惕异常进程名，检查/etc/ld.so.preload内容，并及时轮换云凭证。

10

Anthropic让AI代理“做梦”：跨会话回顾记忆，从错误中持续进化

新闻概览

Anthropic在其Claude Managed Agents中推出了一项名为“梦境”（dreaming）的新能力，并非让AI休息，而是让代理定期回顾过去的会话与记忆存储，从中提取模式、识别重复错误，并整理出对未来任务有用的记忆。与依赖单一会话上下文窗口的传统“压缩”技术不同，“梦境”能跨多个代理分析历史交互，发现单个代理无法察觉的模式（如团队共有的偏好或反复出现的工作流缺陷），并动态重组记忆以保持高信号密度。该功能尤其适用于长期运行的任务和多代理编排场景。同时，Anthropic还正式发布了另外两项功能：“结果”（outcomes）通过提供理想输出示例，并由专门的“评分代理”评估输出质量，使代理明确“好”的标准，测试显示相比纯提示可将任务成功率提升高达10个百分点；“多代理编排”则允许主代理将复杂任务拆解为子任务并分配给不同子代理，用户可在控制台审查每个子代理的流程与输出。上述功能已进入公开测试，Anthropic同时将Pro和Max用户的代理使用时长上限从5小时翻倍至10小时。

如果您觉得本文有价值，欢迎点击关注。本站将持续追踪全球安全态势，每周五更新重要安全情报，为您带来第一手的深度解读与前沿干货。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全研究站 《Linux超高危漏洞！网络安全一周新闻速看（20260510期）》