文章总结： CNVD第23期漏洞周报显示高危漏洞占比过半，多款主流产品存在严重安全风险；工信部发布VoidLink恶意软件风险提示，针对云环境Linux服务器；全球安全事件频发，包括Coupang大规模数据泄露遭重罚、NovoNordisk遭受网络攻击、美国打击AI色情深度伪造网站等；新兴攻击手法EvilTokens利用OAuth2.0设备授权流程绕过传统认证。 综合评分： 72 文章分类： 漏洞分析,威胁情报,数据安全,安全事件,安全建设

AI裁员潮引发连锁风险，科技行业或步入“火药桶”阶段；CNVD 第 23 期漏洞周报：高危漏洞占比过半 多款主流产品现严重漏洞| 牛览

安全牛

2026年6月16日 11:28 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

新闻速览

• CNVD 第 23 期漏洞周报：高危漏洞占比过半 多款主流产品现严重漏洞
• CNVD 上周关注度较高的产品安全漏洞
• 工信部：关于防范VoidLink恶意软件的风险提示
• 美国首次大规模打击AI色情深度伪造网站，数十万张Deepfake内容遭查封
• 韩国 Coupang 发生大规模数据泄露，遭开出该国数据安全领域史上最高罚单
• 美国 FISA 702 监控条款即将到期，核心情报收集能力面临停摆
• 不偷密码也能接管账户：EvilTokens瞄准Microsoft365
• 制药巨头Novo Nordisk披露网络攻击：患者与医护数据受影响
• AI裁员潮引发连锁风险，科技行业或步入“火药桶”阶段
• Meta在Facebook推出AI Mode，跨平台公开内容成检索来源

特别关注

CNVD 第 23 期漏洞周报：高危漏洞占比过半 多款主流产品现严重漏洞

2026 年 6 月 8 日至 14 日，CNVD 发布第 23 期漏洞周报，本周安全漏洞威胁等级为中。平台总计收录漏洞 582 个，其中高危 307 个、中危 215 个、低危 60 个，漏洞平均分值 6.45；0day 漏洞达 515 个，占比 88%，bloofoxCMS、Kuicms Php EE 等出现零日攻击漏洞。

本周党政机关及企事业单位事件型漏洞共 4280 个，环比下降 47%。漏洞类型以 WEB 应用为主，共计 326 个，应用程序、网络设备漏洞数量紧随其后。北京金和网络、北京神州视翰等厂商产品漏洞数量相对集中。行业方面，电信、工控领域漏洞风险突出，部分工控漏洞评级为高危。

本周全网累计报送漏洞 10622 条，原创漏洞 4280 条，新华三、华为、上海交大等机构报送数量靠前。

本轮多款主流产品曝出高危漏洞：Google Chrome、IBM 系列产品、Siemens 工业设备、Mozilla 浏览器均存在远程代码执行、权限绕过、命令注入等严重风险，多数厂商已发布补丁。其中 bloofoxCMS 跨站请求伪造漏洞暂未推出修复程序。CNVD 提醒各单位及时更新补丁，持续关注未修复漏洞进展，做好安全防护。

原文链接：

https://www.cnvd.org.cn/webinfo/show/12476

CNVD 上周关注度较高的产品安全漏洞

2026 年 6 月 8 日至 14 日，全网曝出多起关注度较高的产品安全漏洞，涵盖国内外多款主流软件、系统及网络设备，存在代码执行、拒绝服务、越权访问、信息泄露等多种风险。

境外产品方面，Google Chrome148.0.7778.168 之前版本存在资源管理错误漏洞，攻击者可执行任意代码。Siemens Teamcenter 因硬编码密钥问题，易被非法获取权限。Mozilla 旗下 Firefox、Thunderbird 存在拒绝服务漏洞，Firefox for Android 还存在信息泄露漏洞。WordPress 插件 WP-Ultimate-Map 存在跨站请求伪造漏洞，可被篡改配置、注入恶意脚本。

境内多款产品同样出现安全隐患。ZTE ZXUniPOS NDS-LTE 存在访问控制漏洞，攻击者可越权查看、修改配置。Huawei HarmonyOS 先后曝出浏览器内核拒绝服务漏洞、包管理模块访问控制错误漏洞，会造成服务失效、完整性受损。Zyxel WRE6505 v2 无线扩展设备因认证机制缺陷，存在密码暴力破解、身份绕过风险。

以上漏洞均已收录至国家信息安全漏洞库，相关单位需及时核查产品版本，尽快完成修复加固。

原文链接：

https://www.cnvd.org.cn/webinfo/show/12481

热点观察

工信部：关于防范VoidLink恶意软件的风险提示

2026 年 6 月 15 日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发布风险提示，VoidLink 恶意软件近期活动频繁，主要定向攻击云环境下的 Linux 服务器，可引发供应链攻击、服务器被控、业务中断等严重后果。

该恶意软件于 2025 年底首次被发现，采用高度模块化设计，专门针对云及容器环境打造。攻击者借助供应链污染、云配置漏洞、容器逃逸等方式完成入侵，常利用未签名容器镜像、泄露凭证等弱点实现初始植入。恶意程序激活后，会采集主机信息，并通过 LD_PRELOAD、eBPF、LKM 模块等内核级 Rootkit 技术隐藏自身，实现长期驻留、规避常规查杀。

它依托自定义 VoidStream 协议搭建通信通道，支持多种隐蔽传输方式与 P2P 网络，攻击者可远程操控设备，开展数据窃取、内网横向移动等恶意行为。

平台提醒各单位及时修复系统与云组件漏洞，严控容器镜像与开发工具链安全；部署具备行为检测能力的终端防护工具，监控异常进程、网络连接及内核模块加载行为；将本次公布的 SHA256、SHA1、MD5 等威胁指标纳入监测体系，全面阻断该类高级威胁。

原文链接：

https://mp.weixin.qq.com/s/96Ae0xBEkA1oGZr3YPh4pw

美国 FISA 702 监控条款即将到期，核心情报收集能力面临停摆

美国《外国情报监视法》（FISA）第 702 条这一核心监控项目即将到期，若美国国会不完成重新授权，该条款将彻底失效，直接影响美国情报机构的境外监控工作。

FISA 702 条于 2008 年正式生效，允许美国国家安全局、联邦调查局等机构，在无需单独法院搜查令的前提下，依托本土通信服务商，监控身处境外的外籍目标，以此搜集境外情报、防范恐怖袭击与间谍活动。该条款采用批量授权模式，由外国情报监视法院统一审批监控权限，单次授权有效期最长为一年。

该条款自诞生起就争议不断，监控过程常会附带截取与外籍目标联络的美国公民通信记录，频繁引发侵犯隐私、滥用监控权力的质疑。数据显示，2025 年联邦调查局依托该条款检索美国公民相关数据的次数同比上升 35%，进一步加剧了各界反对声音。

按照规则，FISA 702 条设有自动失效机制，上一次国会在 2024 年通过法案将其有效期延至 2026 年 4 月 20 日。如今续约谈判陷入僵局，两党分歧明显。一旦条款失效，美国情报机构将失去这一重要境外情报获取渠道，大量依赖该条款产出的情报报告也将受到冲击，短期内美国境外威胁监测能力会出现明显缺口。

原文链接：

https://therecord.media/major-us-surveillance-program-set-to-lapse-702-fisa

安全事件

美国首次大规模打击AI色情深度伪造网站，数十万张Deepfake内容遭查封

美国司法部（DOJ）联合国土安全部（DHS）近日查封了深度伪造（Deepfake）色情网站CFAKE.com和SOCFAKE.com的域名。这是《TAKE IT DOWN Act》生效后针对非自愿私密影像（NCII，Non-Consensual Intimate Imagery）和AI生成色情内容开展的重要执法行动。

根据DOJ披露的信息，两家网站长期发布未经当事人同意制作的数字伪造内容（Digital Forgeries），利用人工智能技术生成女性名人及普通用户的裸露或性行为图像、视频。执法部门表示，相关平台累计传播数千至数十万份Deepfake色情内容，对受害者造成严重的心理、声誉及经济损害。

《TAKE IT DOWN Act》于2025年5月正式成为美国联邦法律，明确将未经授权发布具有性暗示或裸露内容的Deepfake图像和视频定为联邦犯罪。该法案还要求社交媒体、图片和视频分享平台建立举报机制，并在收到有效申请后48小时内删除相关内容及已知副本。

DOJ指出，本次域名查封体现了联邦政府对AI生成色情内容治理的强化趋势。此前，美国已依据该法案完成首批刑事起诉和定罪案件，显示针对Deepfake色情产业链的执法力度正在持续升级。

随着生成式AI技术降低内容伪造门槛，非自愿Deepfake色情已成为全球网络安全与数字治理领域的重要挑战。此次行动表明，美国正通过法律、平台治理和执法协同方式，加大对相关违法内容传播和运营者的打击力度。

原文链接：

https://www.bleepingcomputer.com/news/security/doj-seizes-cfake-socfake-deepfake-nude-sites-under-take-it-down-act/

韩国 Coupang 发生大规模数据泄露，遭开出该国数据安全领域史上最高罚单

韩国个人信息保护委员会（PIPC）近日对电商巨头Coupang及其物流子公司Coupang Fulfillment Services处以6247亿韩元（约4.09亿美元）罚款，创下韩国个人信息保护领域最高处罚纪录。监管机构认定，此次大规模数据泄露并非由高级持续性攻击（APT）或复杂黑客技术导致，而是源于企业基础安全管理措施缺失。

事件最早于2025年11月曝光。Coupang当时披露约3370万个客户账户信息遭泄露。PIPC调查后确认，实际受影响人数达到3750万人，其中包括3322万注册用户以及433万非会员收件人。后者的姓名、电话和地址被存储于配送系统中，但此前未被纳入受害者统计范围。监管机构表示，曾于2025年12月至2026年1月四次要求Coupang通知这些非会员受害者，但公司未予执行。

调查显示，攻击者为一名前中国籍员工，其在离职前开发了公司备用身份认证系统，并窃取了用于身份验证的Signing Key（签名密钥）。离职后，该员工利用仍然有效的认证凭据持续访问内部系统，导致大量个人信息被非法获取。监管机构认为，事件暴露出Coupang在认证密钥管理、访问控制和安全监测方面存在严重缺陷。

除数据泄露外，PIPC还认定Coupang存在未经授权收集用户外部网站浏览行为数据并用于营销分析的违规行为，因此将罚款分为两部分：4236亿韩元针对数据泄露事件，2011亿韩元针对非法收集个人信息。

PIPC主席Song Kyung-hee表示，此次事件本质上是企业安全治理失效，而非高水平网络攻击造成。Coupang则发表声明致歉，但表示将通过法律程序对部分认定提出异议。此次处罚金额约占该公司2025年营收的1.4%，也超过韩国此前针对SK Telecom数据泄露事件开出的1348亿韩元罚单。

原文链接：

https://therecord.media/south-korea-data-breach-record-fine-coupang

制药巨头Novo Nordisk披露网络攻击：患者与医护数据受影响

丹麦制药巨头Novo Nordisk近日确认遭遇网络攻击，攻击者未经授权访问其部分内部IT系统，并复制了包含个人信息的非公开数据。目前公司已证实发生数据外泄事件，但尚无勒索软件组织或其他威胁行为者公开认领此次攻击。

根据披露信息，事件影响两类对象：参与部分临床试验的患者以及医疗卫生专业人员（HCP）。其中，患者数据采用了pseudonymized（假名化）处理，不包含姓名等直接身份标识。泄露信息可能包括患者ID、试验参与情况、性别、出生年份、生物标志物（Biomarkers）、健康及免疫原性数据，以及吸烟、饮酒、BMI等生活方式信息，但并非所有受影响人员均涉及全部数据类别。

Novo Nordisk表示，由于用于识别患者身份的底层关联信息未被访问或泄露，因此公司认为攻击者无法据此识别具体临床试验参与者，当前事件不会对患者造成直接风险。

相比之下，医疗卫生专业人员面临的风险更高。外泄数据可能包括姓名、执业注册编号、电子邮件地址、电话号码、WhatsApp联系方式以及办公地点等信息。这些数据可被用于后续钓鱼攻击、社会工程学攻击或身份冒用。

事件发生后，Novo Nordisk已聘请外部网络安全专家开展调查，并向相关监管机构通报情况。作为遏制措施，公司暂时关闭了部分受影响的内部IT系统，目前正逐步恢复相关业务环境。Novo Nordisk强调，其核心业务运营未受到影响，生产和服务仍保持正常运行。

截至目前，公司尚未披露攻击入口、受影响人数以及数据被窃取的具体时间，调查工作仍在进行中。

原文链接：

Novo Nordisk Confirms Data Theft: What Attackers Took and What They Didn’t

安全攻防

不偷密码也能接管账户：EvilTokens瞄准Microsoft365

ESET披露，名为EvilTokens的PhaaS钓鱼工具包正被用于攻击Microsoft365账户。与传统钓鱼不同，该工具不窃取密码，也不伪造登录页面，而是滥用OAuth2.0device authorization grant flow，诱导受害者在真实Microsoft登录页完成认证。

EvilTokens至少自2026年2月起出现在活跃攻击中，并通过Telegram渠道推广。攻击前，攻击者通常会先验证目标账户是否有效，Microsoft观察到此类侦察活动可能发生在钓鱼前10至15天。随后，受害者会收到伪装成发票、共享文档、日程邀请或SharePoint访问请求的邮件，点击后进入仿冒可信品牌的诱饵页面。

关键环节在于device code。诱饵页面向Microsoft申请一个15分钟有效的设备码，并引导受害者前往真实的microsoft.com/devicelogin输入该代码。由于该代码实际绑定的是攻击者会话，受害者完成登录和2FA后，等同于为攻击者设备授权。Microsoft随后向攻击者会话签发access token和refresh token，使其可访问企业邮箱、Teams、SharePoint、OneDrive等资源，进而窃取数据或实施BEC攻击。

该攻击的危险性在于，它规避了用户熟悉的风险信号：没有拼写错误域名，也没有假登录页，2FA也未被技术破解，而是被误用于错误会话。2026年3月，相关活动曾针对多个国家超过340家组织。

防护上，企业不应仅依赖“检查链接”等传统培训，应限制不必要的device code flow，使用Conditional Access策略按用户、设备、位置或操作系统收敛权限，并监测异常设备码认证、陌生设备、可疑token使用和新建邮箱规则。员工遇到突发设备码请求时，应立即上报IT或安全团队，以便撤销会话、失效refresh token并排查账户风险。

原文链接：

https://www.welivesecurity.com/en/cybercrime/eviltokens-phishing-doesnt-steal-password/

产业动态

AI裁员潮引发连锁风险，科技行业或步入“火药桶”阶段

TechCrunch指出，随着企业持续加码AI投资并将其作为裁员理由，科技行业正面临愈发严峻的就业和社会风险，AI驱动的裁员潮可能演变为一场“火药桶”式危机。

数据显示，美国科技行业裁员规模仍在扩大。根据Challenger,Gray&Christmas统计，2026年前五个月，美国科技行业已宣布超过12.3万个岗位裁撤，同比增长约66%。AI已连续数月成为企业公开披露裁员原因中出现频率最高的因素之一。与此同时，Google、Microsoft、Meta和Amazon等科技巨头仍在持续增加AI基础设施和数据中心投入。

文章认为，当前最值得关注的问题并非AI已经大规模取代人类工作，而是企业和资本市场形成了一种新的预期：裁员被视为企业积极拥抱AI、提升效率的信号。一些公司即使尚未实现明确的AI替代效果，也可能出于投资者压力或市场竞争心理削减人力成本。GoogleDeepMind经济学家Alex Imas将这种现象描述为可能出现的“cascade effect（连锁效应）”，即企业因担心被视为落后于AI浪潮而跟风裁员。

TechCrunch指出，在生活成本持续上升、民众经济压力加剧的背景下，大规模裁员与企业利润增长并存的现象正在激化社会不满情绪。更值得警惕的是，许多受影响岗位集中于知识型和白领职业，这与过去自动化主要冲击蓝领岗位的情况有所不同。

文章认为，AI带来的真正挑战已不仅是技术变革，而是企业如何平衡自动化投资、员工利益和社会稳定。如果越来越多企业将AI作为缩减人力的主要依据，未来可能引发更广泛的劳动力市场震荡和社会矛盾。

原文链接：

The AI layoff wave is becoming a powder keg

新品发布

Meta在Facebook推出AI Mode，跨平台公开内容成检索来源

Meta于6月15日宣布在Facebook推出一批AI功能，核心更新是AI Mode。该功能将Meta AI接入Facebook搜索，让用户可以用自然语言提问，并获得由AI生成的综合回答，而不是像过去那样浏览一串搜索结果。

AI Mode的主要数据来源是Meta平台上的public info，包括Facebook公开帖子、Groups和Reels等内容。换言之，系统会从用户公开讨论中提取信息，再由AI进行摘要和组织，用于回答问题。Meta希望借此改变用户在Facebook上查找信息、创作内容和互动的方式，同时提升平台黏性。

这一模式与Meta此前低调推出的Forum应用存在相似之处。Forum类似Reddit，其AI“Ask”标签页也可根据Facebook Groups中的讨论生成答案。TechCrunch指出，问题在于这些答案并非来自经过验证的权威来源，而是来自普通用户发布的公开内容，因此可能夹带过时、片面或误导性信息。

除AI Mode外，Facebook还新增视频拼贴剪裁、转场效果、AI-powered photo presets等创作工具。用户可通过Stories中的AI Edit更换服装、发型和配饰，也可对头像执行Restyle profile picture with AI。此前，Meta还在Facebook推出animated profile pictures、Marketplace自动回复买家消息，以及面向创作者的AI assistant，用于推荐发布时间、总结评论反馈等。

从安全与隐私角度看，AI Mode的关键关注点不只是生成式AI本身，而是公开内容被跨场景汇总后的再利用。单条公开帖子风险有限，但当AI把Groups、Reels和其他公开信息聚合成答案时，可能放大信息泄露、社工画像和错误信息传播风险。企业和个人用户应重新审视公开内容边界，避免在公开区域发布可被关联分析的敏感信息。

原文链接：

Meta’s new ‘AI Mode’ on Facebook pulls from public info across its platforms

联系我们

合作电话：18610811242

合作微信：aqniu001

联系邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全牛 《AI裁员潮引发连锁风险，科技行业或步入“火药桶”阶段；CNVD 第 23 期漏洞周报：高危漏洞占比过半 多款主流产品现严重漏洞| 牛览》