2026-05-18 04:57:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档报道了多起网络安全事件，包括逾5千个VibeCoding应用缺乏安全措施导致企业数据泄露、ArgoCD的ServerSideDiff漏洞(CVE-2026-42880)可提取Kubernetes密钥、OpenClaw恶意软件窃取加密货币钱包和Bitwarden凭据、macOS恶意软件利用GoogleAds和Claude共享聊天功能投放载荷、cPanel漏洞(CVE-2026-29201/2/3)可能导致文件访问及远程代码执行、亚洲足球联合会(AFC)超15万会员敏感数据泄露，以及HuggingFace上伪造的OpenAI隐私过滤器代码库传播信息窃取程序。 综合评分： 85 文章分类： 漏洞预警,数据泄露,恶意软件,威胁情报,应用安全

cover_image

阿里巴巴宣布：千问与淘宝全面打通开启AI购物新体验

SOC SOC

赛欧思安全研究实验室

2026年5月12日 09:51 河南

在小说阅读器读本章

去阅读

逾5千个 Vibe Coding 应用程式可公开存取且毫不设防，可能导致企业资料外泄

资安业者 RedAccess 近日向媒体 WIRED 与 Axios 揭露，大量透过直觉式程式开发（Vibe Coding）方式建立的网路应用程式，缺乏身份验证等基本的安全措施，导致企业敏感资料可能暴露于公开网路。

来源: iThome
Argo CD 的 ServerSideDiff 漏洞使攻击者能够提取 Kubernetes 密钥

Argo CD 中发现了一个关键漏洞，攻击者仅需最低权限即可直接从 etcd 集群中提取高度敏感的 Kubernetes 密钥。该严重安全漏洞（追踪编号 CVE-2026-42880，严重等级为 9.6）暴露了平台中存在的授权缺失和数据屏蔽漏洞。

来源: GBHackers
OpenClaw 恶意软件瞄准加密货币钱包和 Bitwarden 凭据

OpenClaw 用户正成为新一轮恶意软件攻击的目标，该攻击利用伪装的安装程序窃取流行加密货币钱包和密码管理器的凭据，包括 MetaMask、Phantom 和 Bitwarden。该压缩包包含一个 130MB 的 Rust 可执行文件，旨在规避杀毒软件。

来源: GBHackers
macOS 恶意软件利用 Google Ads 和 Claude 共享聊天功能投放有效载荷

威胁行为者正在利用 Google Ads 和合法的 Anthropic Claude 共享聊天功能，针对 macOS 用户发起一场复杂的恶意广告活动。该活动专门针对希望将 Claude AI 集成到本地 macOS 环境中的开发者和用户。

来源: GBHackers
新的 cPanel 漏洞可能导致文件被访问及远程代码执行

cPanel 已发布安全更新，修复了影响 cPanel 及 WHM 的三处漏洞，攻击者可能借此在易受攻击的系统上读取文件、执行代码或提升权限。漏洞为: CVE-2026-29201（CVSS 评分 4.3）、CVE-2026-29202（CVSS 评分 8.8）、CVE-2026-29203（CVSS 评分 8.8）。

来源: Security Affairs
亚洲足球联合会 AFC 遭泄露，超 15 万会员敏感数据外流

亚洲足球联合会(AFC)遭遇重大数据泄露事件，黑客 ShinyHunters 在暗网论坛 PwnForums 兜售数据，涉及超过 15 万名会员的敏感信息。据报道，本次泄露的数据极具敏感性，包括护照扫描件、球员合同、电子邮件地址以及 AFC 注册文件。

来源: CN-SEC 中文网
一个伪造的 OpenAI 隐私过滤器代码库在 Hugging Face 上跃居榜首，下载量达 24.4 万次

一个恶意的 Hugging Face 仓库通过冒充 OpenAI 的 Privacy Filter 开放权重模型，从而向 Windows 用户植入了一个基于 Rust 的信息窃取程序。该项目名为 Open-OSS/privacy-filter，伪装成 OpenAI 发布的正规版本，以此诱骗毫无戒心的用户下载。

来源: The Hacker News

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《阿里巴巴宣布：千问与淘宝全面打通开启AI购物新体验》