文章总结： 文档汇总了2026年5月多起网络安全事件与动态：CNNVD通报微软142个漏洞含5个超危漏洞；OpenAI推出防御平台Daybreak对标AnthropicMythos；深度伪造勒索迫使学校下架学生照片；非人类身份与向量嵌入成为AI安全新盲区；英国拟修订《计算机滥用法》为安全研究提供豁免。 综合评分： 75 文章分类： 漏洞预警,AI安全,政策法规,安全大事件,威胁情报

OpenAI 推出 Daybreak，对标 Anthropic Mythos 发力 AI 网络防御；CNNVD发布关于微软多个安全漏洞的通报| 牛览

安全牛

2026年5月15日 12:14 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

新闻速览

• CNNVD发布关于微软多个安全漏洞的通报
• Cisco盈利创新高仍裁员近4000人，AI和cybersecurity成投入重点
• 非人类身份成 AI 落地重大安全隐患
• 伊朗关联组织对 Spotify 发起 DDoS 攻击
• OpenAI 推出 Daybreak，对标 Anthropic Mythos 发力 AI 网络防御
• 英国拟改革Computer Misuse Act，为善意安全研究设法定抗辩
• 深度伪造勒索蔓延，学校被迫下架学生照片
• 向量嵌入成 AI 安全盲区，VectorSmuggle 揭示数据隐写风险
• Claude AI Chrome 扩展曝 ClaudeBleed 漏洞，可致权限劫持与数据泄露
• 大选安全机制调整：美国重组跨部门团队，AI 干预风险引担忧

特别关注

CNNVD发布关于微软多个安全漏洞的通报

2026 年 5 月 12 日，微软发布 5 月安全更新，推送 142 个漏洞补丁，国家信息安全漏洞库（CNNVD）已完成收录。本次更新含微软自有产品漏洞 125 个、影响微软产品的第三方漏洞 17 个，覆盖 Microsoft Windows、Azure SDK、Azure Monitor Agent、Print Spooler Components、SMB Client 等核心产品与组件。

按危害等级划分，本次更新含超危漏洞 5 个、高危漏洞 42 个、中危漏洞 94 个、低危漏洞 1 个。其中 123 个为新增漏洞补丁（含 4 个超危、36 个高危），2 个为旧漏洞更新补丁，17 个为第三方关联漏洞补丁。

上述漏洞可导致远程代码执行、权限提升、信息泄露等风险，影响多版本 Windows 系统及 Azure 云服务组件。微软已发布对应修复补丁，建议企业与用户尽快核查资产，优先修补超危、高危漏洞，防范漏洞被恶意利用引发安全事故。

原文链接：

https://www.cnnvd.org.cn/home/warn

热点观察

Cisco盈利创新高仍裁员近4000人，AI和cybersecurity成投入重点

2026 年 5 月 14 日，网络设备巨头 Cisco 发布 2026 财年第三季度财报，营收创历史新高、利润超预期，同时宣布裁员近 4000 人，约占总员工数 5%。

此次裁员旨在优化成本结构，将资源倾斜至 AI 与 cybersecurity 两大核心领域。近年 Cisco 旗下路由器、防火墙频发安全漏洞，多次遭黑客入侵，波及美国政府等政企客户，2025 年还发生客户信息数据泄露事件，加码安全投入迫在眉睫。

Cisco 首席执行官 Chuck Robbins 在博客中强调，公司将推动全员 AI 应用，以战略投资驱动增长。公开文件显示，Robbins2025 年薪酬超 5200 万美元，公司暂未回应其是否降薪。

这是 Cisco 近年新一轮裁员，2024 年曾两轮大规模裁员，2025 年再裁超 150 人。此举也延续科技行业趋势，近期 Cloudflare、General Motors 等企业均在业绩向好背景下，以 AI 投入为由裁员降本。

原文链接：

Cisco cuts nearly 4,000 jobs to spend more on AI, reports ‘record quarterly revenue’

非人类身份成 AI 落地重大安全隐患

2026 年 5 月 13 日，Delinea 发布调查显示，企业 AI 大规模应用下，非人类身份（NHI） 安全风险被严重忽视，成为核心隐患。

NHI 涵盖服务账号、API 密钥、自主决策 AI 代理、跨系统自动化流程及影子 AI 工具。调查显示，87% 企业自认身份安全体系可支撑 AI 规模化部署，但 46% 承认 AI 身份治理存在缺陷，形成安全认知与实际能力的矛盾。

风险源于三大原因：一是重速度轻治理，90% 企业为推进 AI 项目施压安全团队放宽权限，仅不足 1/3 能持续落实安全要求；二是影子 AI 监控缺失，53% 企业频繁发现未授权 AI 工具接入系统；三是传统管控失效，遗留身份管理系统适配不了 AI 代理的动态、自主行为。此外，74% 企业认为 NHI 需长期特权保障业务稳定，59% 暂无替代方案，进一步放大风险。

解决该问题需三步：先全面摸清资产，盘点所有 NHI 及权限；再取消长期特权，推行即时、临时权限；最后强化异常监控，严格执行权限审计与回收。企业需升级身份基础设施，兼顾 AI 创新速度与安全治理，堵住身份可见性缺口。

原文链接：

The hidden risk of non-human identities in AI adoption

大选安全机制调整：美国重组跨部门团队，AI 干预风险引担忧

2026 年 5 月 14 日，美国国家情报总监办公室（ODNI）任命国家情报委员会官员 Dave Mastro、国家反情报与安全中心副主任 James Cangialosi，联合出任大选威胁事务主管，统筹全美情报机构，防范 2026 年中期选举遭境外势力干预。

该职位设立于特朗普首届任期，核心职责为协调跨部门评估、披露境外干预证据。二人近期已向参众两院情报委员会幕僚通报，将沿用现有境外干预通报框架开展工作。

此前，ODNI 负责人 Tulsi Gabbard 因重启 2020 年大选舞弊调查、搜查佐治亚州选举办公室、没收波多黎各投票机等行为，遭民主党议员质疑。同时，美国国会 2022 年设立的境外恶意影响中心已被精简，职能并入 ODNI；网安与基础设施安全局（CISA）裁员约千人，削减地方选举安全培训与技术援助。

参议院情报委员会民主党领袖 Mark Warner 批评相关调整削弱防御能力，担忧 AI 技术被境外势力用于传播虚假信息，放大干预风险。美国网络司令部与国家安全局拟重启联合大选安全小组，方案将提交 ODNI 与国防部审议。

原文链接：

https://therecord.media/odni-taps-officials-to-coordinate-response-to-election-threats

安全事件

伊朗关联组织对 Spotify 发起 DDoS 攻击

2026 年 5 月 13 日晚，亲伊朗黑客组织对音乐流媒体平台 Spotify 服务器发起分布式拒绝服务（DDoS）攻击，以此作为地缘冲突背景下的报复行动。

此次攻击经 McCrary Institute for Cyber and Critical Infrastructure Security 确认，DDoS 攻击通过海量网络流量压垮服务器，致 Spotify 应用、客服及网页播放器短暂中断服务，多地区用户无法正常访问，DownDetector 迅速监测到相关故障反馈。Spotify 安全团队快速响应，仅数分钟后便恢复服务。

此次攻击被指向伊拉克亲伊朗黑客组织 “313 Team”（伊斯兰网络抵抗组织），该组织曾多次针对中东地区西方相关目标发起网络行动。Unit 42 专家称，以色列与伊朗紧张局势升级后，该组织一度沉寂，此次攻击表明其或重启高强度活动，目标聚焦美英相关企业。

同期，以色列民众收到大量 WhatsApp 可疑商业账号消息，以色列国家网络局辟谣称消息虚假，疑为伊朗关联组织 Handala 策划的心理战。此类事件凸显，网络战已成为地缘冲突的重要手段，商业平台成为网络报复的高频目标。

原文链接：

Iran launches DDoS Cyber Attack on Spotify says retaliation to Khamenei’s Killing

深度伪造勒索蔓延，学校被迫下架学生照片

2026 年 5 月 14 日，AI 深度伪造技术正催生新型网络勒索威胁，黑客利用公开学生照片生成 AI 儿童色情内容（CSAM）实施勒索，迫使英国多所学校紧急下架官网学生照片。

英国国家犯罪署、互联网观察基金会（IWF）等机构通报，黑客爬取学校公开活动照，经 AI 工具生成虚假露骨图像后勒索赎金。英国一所中学曾遭攻击，150 张伪造图像被 IWF 认定为 CSAM 并全网封禁。

数据显示，深度伪造勒索已全球化：2025 年 IWF 收到 AI 生成 CSAM 报告同比翻倍至 426 起，94% 受害者为女童；美国 FBI 数据显示，2023 年勒索案件超 1.6 万起，损失超 800 万美元。

EWWG 建议学校改用远景、模糊或背影照片，隐去姓名并重新收集家长授权；英国政府修订法案，要求平台 48 小时内删除违规图像，违者最高罚全球营收 10%。专家警示，未来攻击者或实现照片爬取、伪造、勒索全流程自动化，需提前强化个人信息防护。

原文链接：

Deepfake sextortion forces schools to remove student photos from websites

Claude AI Chrome 扩展曝 ClaudeBleed 漏洞，可致权限劫持与数据泄露

2026 年 5 月 14 日，安全厂商 LayerX 披露 Anthropic 旗下 Claude in Chrome 扩展存在高危漏洞，命名为 ClaudeBleed，可被任意 Chrome 扩展利用，实现权限劫持、数据窃取与未授权操作。

该漏洞源于扩展信任机制实现缺陷，未做来源校验，无特殊权限的普通扩展可调用内容脚本，向 Claude 扩展下发特权指令，直接突破 Chrome 扩展安全模型。漏洞核心在于 Claude 扩展仅信任 claude.ai 域名，忽视实际执行环境，攻击者可通过 JavaScript 篡改 DOM、刷屏确认弹窗，伪造用户授权绕过安全限制。

攻击链可窃取 Gmail、Google Drive 数据，发送未授权邮件、删除文件、窃取 GitHub 私有代码。研究人员已演示 “汇总用户 5 封邮件、外发并删除原件” 的完整攻击流程。

Anthropic 已发布修复版本，但仅做内部权限校验加固，未根除漏洞根源，特权模式下仍可绕过防护执行远程命令。LayerX 指出，AI 厂商为抢占赛道过度开放能力、忽视基础安全，是此类漏洞频发的主因，建议引入扩展交互认证令牌、强化用户授权机制。

原文链接：

https://www.cpomagazine.com/cyber-security/security-flaw-in-claude-ai-chrome-extension-enables-attackers-to-execute-privileged-commands-and-steal-data/

安全攻防

向量嵌入成 AI 安全盲区，VectorSmuggle 揭示数据隐写风险

2026 年 5 月 14 日，安全研究人员发布 VectorSmuggle 框架，揭露企业 检索增强生成（RAG）系统中向量嵌入（vector embedding）存在严重安全缺口，现有安全工具无法检测此类数据传输。

企业部署内部 AI 助手时，会将敏感文档转为高维数值向量，通过 HTTPS 传输至嵌入服务与向量数据库，而传统数据防泄漏（DLP）工具无法解析向量格式，形成安全盲区。

VectorSmuggle 演示六种隐写数据方法，包括添加噪声、缩放、旋转向量等，其中向量旋转手段可绕过主流异常检测工具，在不影响正常检索的前提下，每向量可隐藏约 1920 字节数据，且能穿透 FAISS、Chroma、Qdrant 等常用向量数据库。

研究同时提出防御方案 VectorPin，通过对向量嵌入进行加密签名，篡改行为将触发签名失效告警。研究人员警示，当前企业过度关注模型层安全，却忽视嵌入、向量存储等基础设施层，未来 AI 安全事件或集中爆发于此。

原文链接：

Vector embedding security gap exposes enterprise AI pipelines

产业动态

英国拟改革Computer Misuse Act，为善意安全研究设法定抗辩

2026 年 5 月 13 日，英国政府宣布启动网络犯罪法重大修订，核心是更新 1990 年《计算机滥用法》（CMA），消除对合法安全研究的法律阻碍，强化国家网络防御能力。

现行 CMA 制定于云计算、勒索软件兴起前，其宽泛的 “未授权访问” 条款，导致漏洞挖掘、渗透测试、威胁情报等合规工作存在法律不确定性，长期制约安全从业者开展防御性研究。

此次改革纳入国家安全法案，拟增设 “网络犯罪风险令”，对持续网络威胁者实施限制，转向事前预防而非仅事后追责；同时探讨为公共利益网络安全研究设立法定豁免，保障善意研究行为。

行业组织 CyberUp Campaign 称，此举是英国网络安全领域的转折点，能避免防御者束手束脚。此前工党曾提出 “公共利益抗辩” 修正案但未通过，现政府首次正式推动系统性修订。

法案草案尚未公布，具体豁免范围仍待明确，预计年内提交议会审议。

原文链接：

https://therecord.media/uk-moves-to-shield-security-researchers-cybercrime

新品发布

OpenAI 推出 Daybreak，对标 Anthropic Mythos 发力 AI 网络防御

2026 年 5 月 12 日，OpenAI 正式发布 AI 网络安全平台 Daybreak，旨在对标 Anthropic 的 Claude Mythos，面向企业与政府提供自动化漏洞检测、补丁验证及软件全生命周期安全防护能力。

Daybreak 融合 OpenAI 大语言模型、Codex 智能体能力，深度对接企业安全生态。其核心防御流程分三步：优先处置高危威胁、将安全分析耗时从数小时压缩至分钟级；在企业代码库中生成并测试补丁；将审计证据回传系统，完成漏洞闭环追踪。

技术层面，Daybreak 依托三级 GPT-5.5 模型栈：标准版面向通用开发场景；可信访问版适配安全代码审查、漏洞研判等防御工作；GPT-5.5-Cyber 预览版支持授权红队演练、渗透测试等专项安全任务。

合作生态上，Daybreak 已联合 Cisco、CrowdStrike、Palo Alto Networks 等头部厂商共建能力；欧盟正与其洽谈模型接入事宜，相较对 Anthropic Mythos 的沟通更为深入。

与 Mythos 的高度受限、侧重攻防两用不同，Daybreak 主打开放生态与防御导向，聚焦合规化运营，凸显两大厂商在 AI 网络安全领域的路线差异。

原文链接：

https://www.csoonline.com/article/4170029/openai-introduces-daybreak-cyber-platform-takes-on-anthropic-mythos.html

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《OpenAI 推出 Daybreak，对标 Anthropic Mythos 发力 AI 网络防御；CNNVD发布关于微软多个安全漏洞的通报| 牛览》