文章总结： 本周网络安全风险集中爆发，涵盖数据泄露、AI滥用及系统漏洞。中行、Canvas、ZARA等曝出大规模数据泄露；谷歌确认黑客利用AI生成零日漏洞；LinuxDirtyFrag、WindowsBitLocker等高危漏洞被披露利用。建议及时修复补丁、加强数据跨境合规、规范AI工具使用并警惕供应链攻击。 综合评分： 77 文章分类： 数据安全,AI安全,网络安全,漏洞预警,威胁情报

在看 | 周报：中行福建省分行因多项违规被罚；谷歌确认黑客利用AI生成零日漏洞发动攻击

原创

管窥蠡测 管窥蠡测

安在

2026年5月16日 18:40 上海

在小说阅读器读本章

去阅读

[导读]

本周全球网络安全风险集中爆发，数据安全、AI安全、系统漏洞三大领域警报频发。中行福建省分行因多项违规被罚，Canvas、ZARA等曝出大规模数据泄露，欧盟重罚跨境数据传输违规企业。AI安全隐患凸显，谷歌确认黑客利用AI生成零日漏洞发动攻击，多家机构因违规使用AI致客户敏感数据外泄。同时，Linux、Windows11等系统曝出高危漏洞，勒索软件、供应链攻击持续肆虐，多行业关键设施与用户数据面临严峻安全挑战。

数据安全及个人信息保护

1、中行福建省分行因多项违规被罚

中国银行福建省分行存在违反账户管理规定、数据安全管理规定、反假货币管理规定、人民币流通管理规定、占压财政存款或资金、违反信用信息相关管理规定、未按规定开展客户尽职调查七项违法行为，被警告并罚款315万元。该行金融科技部陈某因对分行违反数据安全管理规定的行为负有责任，被单独罚款2万元。

2、Canvas遭网络攻击致2.8亿条教育数据泄露

美国教育技术企业Instructure旗下学习管理平台Canvas遭网络犯罪组织ShinyHunters多次入侵，攻击者窃取2.8亿条学生及教职员工相关记录，还篡改平台登录页面投放勒索信息，迫使平台临时下线。该事件打乱数千所学校的课堂、作业与期末考试安排，多所知名高校受影响，官方称泄露信息不含密码、金融数据等高度敏感内容。

3、打车应用Yango因跨境数据传输违规遭欧盟重罚

欧洲数据保护机构对打车应用Yango的运营公司MLU B.V.处以1亿欧元罚款，该公司未按欧盟法律采取合规保护措施，便将欧洲用户个人数据传输至俄罗斯。这是欧洲首次针对向俄罗斯传输数据作出的联合裁决，由荷兰、芬兰、挪威监管机构联合调查，认定其保护措施未达《欧盟通用数据保护条例》标准，监管机构要求该公司立即停止向俄罗斯传输欧洲用户数据。

4、ZARA约19.74万用户信息遭数据泄露

快时尚品牌ZARA发生数据泄露，约19.74万用户受影响，泄露信息包含邮箱地址、地理位置、购买记录、订单ID等，未涉及用户姓名、联系方式、登录凭证及支付数据。勒索组织ShinyHunters认领此次攻击，称借助被盗身份验证令牌窃取140GB文档。ZARA所属Inditex集团表示涉事数据库并非核心系统，已启动安全协议并向监管机构通报。

5、加拿大多伦多查获伪基站短信钓鱼案

加拿大多伦多警方破获一起伪基站短信钓鱼案，三名涉案男子面临44项指控。涉案人员在多伦多市中心操作伪基站，设备安装在改装汽车后部可移动作案。该设备能模拟合法通信基站，强制附近电子设备连接2G网络并接收钓鱼短信，短信伪装权威机构通知，诱骗用户点击链接输入个人信息、银行账号与密码等敏感数据。

6、RansomHouse宣称入侵Trellix源代码库

网络犯罪组织勒索屋（RansomHouse）认领国际网络安全公司Trellix的源代码库遭入侵事件，泄露少量图片作为入侵证据，还发布截图声称可访问该公司设备管理系统，相关数据真实性暂未证实。Trellix确认部分源代码库遭未授权访问，已联合取证专家处置并通报执法部门，暂未发现源代码被分发、利用，目前正针对该组织的声明开展调查。

7、富士康北美工厂遭Nitrogen勒索软件攻击

富士康北美多家工厂遭遇Nitrogen勒索软件攻击，该团伙宣称窃取8TB共计约1100万个客户敏感文件，涵盖谷歌、英特尔等企业的机密说明、项目资料与硬件图纸等，数据样本证实部分信息与谷歌相关。富士康确认遇袭并启动应急响应，受影响工厂正恢复生产，此次攻击致使当地园区生产停滞，员工一度无法正常工作，该勒索组织采用双重勒索模式，关联东欧相关运营者。

8、英国水务关基机构遭网络攻击数据泄露被罚近千万元

英国一大型供水企业被隐私监管机构处以963900英镑罚款，约合人民币885.4万元。该企业遭网络钓鱼攻击后，攻击者在内网潜伏近20个月，窃取63.3万余名客户、员工及承包商的姓名、联系方式、支付信息等个人数据，还试图在全网部署勒索软件。企业存在安全监控覆盖不足、特权访问管理薄弱、使用老旧无支持系统、漏洞长期未修复等问题，关键基础设施安全控制体系极不成熟。

9、美国一商业银行将大量客户隐私数据上传至未授权AI

美国Community Bank因内部操作失误，把包含客户姓名、出生日期、社会安全号码等大量敏感非公开客户数据，输入未经银行授权的AI应用。该银行已主动向美国证券交易委员会报告该问题并开展调查，称事件未影响银行运营及客户账户、支付服务使用。银行正评估受影响数据，按相关法律与监管要求开展通知工作，持续和金融监管机构沟通，推进补救并采取措施防范此类问题再次发生。

AI安全

1、360发布“龙虾”生态安全报告

报告通过自研漏洞挖掘智能体对OpenClaw核心及10款主流衍生产品展开深度安全审计，从原生架构特征与防护失效、供应链安全债传递、开源自研安全挑战三大维度，完成对龙虾生态核心安全风险的系统剖析，累计发现23个独立安全漏洞，涵盖远程代码执行、认证绕过、权限提升、信息泄露等多种高危类型。

2、谷歌确认黑客利用AI生成零日漏洞发动攻击

谷歌安全研究团队首次确认黑客借助人工智能生成零日漏洞实施网络攻击，该攻击瞄准网页版管理工具的双因素认证漏洞，攻击代码具备大语言模型生成特征，还出现AI典型的幻觉式错误。多个攻击团体已运用AI开展攻击，俄罗斯、中国、朝鲜相关攻击团体正研究实践AI驱动的攻击手法，朝鲜黑客组织APT45已通过AI分析漏洞、优化攻击方式，人工智能大幅提升了网络攻击的速度。

3、美国银行员工违规使用未授权AI工具致客户敏感信息泄露

美国社区银行因员工使用未经授权的人工智能软件，导致大量客户姓名、出生日期、社会安全号码等高度敏感个人信息外泄，涉事员工大概率擅自将含客户隐私的内部文档、数据表格上传至公共在线AI聊天机器人平台。该事件暴露银行AI治理体系严重缺位，存在AI使用边界不明确、数据防泄漏机制失效、员工安全意识不足等问题。

4、OpenAI遭TanStack供应链攻击，员工设备与证书泄露

OpenAI确认在TanStack供应链攻击中两名员工设备被入侵，该事件关联TeamPCP勒索团伙的“Mini Shai – Hulud”攻击活动。攻击者未经授权访问部分内部源码仓库并窃取有限凭证，OpenAI的代码签名证书也遭泄露。OpenAI已隔离受影响系统与账户、轮换证书及相关凭证，联合第三方机构开展取证调查。此次攻击致使数百个npm和PyPI软件包被入侵，恶意软件可窃取开发者与云凭证，还能在开发者系统实现持久化。

网络安全

1、Linux新提权漏洞Dirty Frag被披露，可获取root权限

安全研究人员披露Linux内核存在未修复的Dirty Frag提权漏洞，无特权本地用户可在Ubuntu、RHEL、Fedora等主流发行版获取完整root权限。该漏洞与Dirty Pipe系列相关，独立于Copy Fail缓解措施，由xfrm-ESP和RxRPC两个页面缓存写入漏洞串联而成，属于确定性逻辑漏洞，利用成功率高且失败不会导致内核崩溃，暂未分配CVE编号，临时防护可将esp4、esp6、rxrpc内核模块列入黑名单。

2、黑客架设山寨Claude AI网站散播Beagle恶意木马

安全公司Sophos曝光黑客搭建山寨Claude网站，借助搜索引擎竞价排名和广告系统传播该虚假站点。网站以提供Claude-Pro Relay专业版客户端为诱饵，诱导用户下载505MB的Claude-Pro-windows-x64.zip压缩包，安装后设备会被植入Beagle后门木马。该木马拥有远程命令执行、文件上传下载等完整控制能力，黑客可长期操控设备窃取隐私。

3、微软警告Linux内核Dirty Frag漏洞遭黑客利用

安全研究人员发现Linux内核本地权限提升漏洞Dirty Frag，可让低权限账号直接获取root权限，因无关第三方打破披露禁令，漏洞在补丁未就绪时被公开。微软监测到黑客利用该漏洞发起su提权攻击，通过SSH连接生成交互式Shell、执行恶意文件完成提权，随后篡改认证文件、侦察系统配置、窃取敏感数据，并擦除会话痕迹掩盖攻击行为。该漏洞通过操控页缓存实现提权，攻击路径更多，利用成功率与稳定性更高，安全风险显著。

4、Windows 11遭BitUnlocker降级攻击，可快速解密加密磁盘

新型BitUnlocker工具针对Windows 11 BitLocker加密发起降级攻击，依托未吊销的PCA 2011签名证书，5分钟内可物理破解加密磁盘。漏洞源于Windows恢复环境的SDI文件机制，旧版启动管理器仍能通过安全启动验证，进而使TPM释放BitLocker卷主密钥。仅配置TPM、未完成KB5025885更新的设备易受攻击，启用TPM+PIN预启动认证、部署该更新并完成证书迁移可抵御攻击。

5、Exim新BDAT漏洞致GnuTLS构建存代码执行风险

Exim存在CVE-2026-45185（Dead.Letter）高危漏洞，该漏洞是其通过GnuTLS处理TLS连接时，BDAT消息体解析中的释放后使用漏洞，特定操作会触发堆内存损坏，攻击者可借此实现代码执行。漏洞影响Exim 4.97至4.99.2版本，仅启用GnuTLS的构建版本受影响，无其他缓解措施，4.99.3版本已修复，相关用户需尽快升级，该漏洞由XBOW安全实验室发现，是Exim的顶级高危漏洞之一。

6、cPanel修复三高危漏洞，关联已武器化0Day漏洞

cPanel发布安全更新，修复cPanel & WHM系统三个高危漏洞，可分别实现任意文件读取、远程Perl代码执行、篡改文件权限并提升权限，最高CVSS评分为8.8，修复覆盖多个主流版本及旧版系统。目前未发现该批漏洞活跃攻击，但此前cPanel的CVE-2026-41940身份验证绕过漏洞已被武器化用于部署Mirai僵尸网络，CISA将其列入已知被利用漏洞目录，相关机构发布检测工具，服务商也采取防护措施降低风险。

7、Ollama曝高危漏洞，涉内存泄漏与Windows端持久代码执行

Ollama开源大模型框架存在高危越界读取漏洞CVE-2026-7482，CVSS评分9.1，远程未认证攻击者可触发堆越界读取，泄露进程内存中的API密钥、对话数据等敏感信息，超30万台服务器受影响。同时其Windows版本0.12.10至0.22.0版本存在两个未修复漏洞，可组合实现持久代码执行，攻击者能控制更新服务器植入恶意程序，官方已给出防护建议。

8、黑客伪造苹果与雅虎CDN域名发动远程控制木马攻击

黑客伪造苹果、雅虎相关CDN域名，在亚太地区实施潜伏攻击，通过DLL侧载技术将模块化远程访问木马隐藏在合法Windows进程中，绕过传统黑名单检测。攻击滥用微软.NET、Visual Studio相关进程及搜狗拼音程序，配合恶意DLL掩护恶意代码运行，木马由升级版FDMTP后门框架驱动，具备加密通信、注册表持久化等能力，该攻击关联威胁集群Twill Typhoon，企业与开发者需警惕供应链风险。

RECOMMEND

推荐阅读

●在看 | 周报：河北三家金融机构因数据安全等多项违规被罚；全国网安标委发布《人工智能应用伦理安全指引》1.0版（征求意见稿）

●在看 | 周报：湖南两家金融机构因数据安全等违规问题受罚；男团司机勾结他人售卖艺人隐私；上海警方捣毁游戏账号工厂黑产链

#

#

●在看 | 周报：公安人员勾结他人贩卖个人信息获刑；剪映、猫箱App、即梦AI因生成合成内容标识违法被查处

扫码加入诸子云知识星球。

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 管窥蠡测 管窥蠡测《在看 | 周报：中行福建省分行因多项违规被罚；谷歌确认黑客利用AI生成零日漏洞发动攻击》