文章总结： 安天发布网络行为检测能力升级通告，本期新增检测规则177条、改进33条，覆盖代码执行、漏洞利用等高危行为。通告分析了LiteLLM代理服务器漏洞链和protobuf.js的Proto6漏洞风险，并预警了Chrome、Linux内核等近期关键漏洞。同时披露PCPJack组织劫持云服务器建立SMTP中继网络事件，建议用户及时更新探海威胁检测系统至6.6.1.4以上版本以增强防护。 综合评分： 78 文章分类： 漏洞预警,威胁情报,安全运营,漏洞分析,解决方案

安天网络行为检测能力升级通告（20260621）

安天集团

2026年6月21日 11:00 北京

在小说阅读器读本章

去阅读

点击上方”蓝字”

关注我们吧！

#

安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，提升网络安全整体水平。

01

安天网络行为检测能力概述****

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则177条，本期升级改进检测规则33条，网络攻击行为特征涉及代码执行、代码注入等高风险，涉及漏洞利用、文件上传等中风险。

02

更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026061707建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

03

网络流量威胁趋势

近期，安全研究人员发现，LiteLLM代理服务器中的三个漏洞可被串联利用，使默认低权限账户获得完全管理员权限并在服务器上运行代码。LiteLLM是开源AI网关，可通过OpenAI兼容接口代理调用100多个模型提供商。已披露信息显示，CVE-2026-47101为授权绕过漏洞，普通内部用户生成虚拟API密钥时可写入通配符路由，访问仅管理员可用路由；CVE-2026-47102允许用户通过自我更新将角色提升为代理管理员；CVE-2026-40217涉及自定义代码防护机制中的沙箱逃逸，可实现服务器端代码执行。成功接管后，攻击者可访问模型提供商密钥、存储凭据密钥以及经过网关的提示和响应。

此外，安全研究人员披露，protobuf.js中存在六个被命名为Proto6的漏洞，可能使Node.js应用面临远程代码执行和拒绝服务风险。已披露信息显示，相关漏洞影响使用protobuf.js的Node.js应用、Google Cloud客户端库、Baileys等消息框架以及CI/CD流水线。漏洞包括无界protobuf递归导致拒绝服务、不安全选项路径导致进程级拒绝服务、原型污染后的代码生成工具、生成消息构造函数中的原型注入、精心构造字段名触发生成代码拒绝服务，以及通过模式名称向pbjs静态输出注入代码。修复已在protobuf.js 7.5.6、8.0.2及相关CLI版本中提供。

本期活跃的安全漏洞信息

1

Google Chrome代码执行漏洞（CVE-2026-5273）

2

Google Chrome整数溢出漏洞（CVE-2026-5274）

3

Microsoft SharePoint Server 路径遍历漏洞（CVE-2026-45454）

4

Linux内核nf_tables 本地提权漏洞（CVE-2026-53111）

5

Apache HTTP Server内存分配过大值漏洞（CVE-2026-49975）

值得关注的安全事件

1

安天发布《AI时代的沙丘坍塌——TeamPCP攻击模式下的供应链安全挑战》报告

安天发布TeamPCP攻击组织分析的系列报告的下篇。报告解析了TeamPCP这种沙暴式攻击跨越了杀伤链模式，而初步具备了智能杀伤网特点，认为AI赋能是这种新型攻击的驱动器，并梳理了其利用的大模型平台和工具清单。本篇重点梳理了开发者工具链体系的结构层次，威胁映射，暴露面清单，和风险传导关系，从风险视角梳理强对全链场景的理解。

2

PCPJack组织劫持230台云服务器建立SMTP中继网络

安全研究人员披露，名为PCPJack的黑客组织劫持与AWS、Google Cloud和Microsoft Azure相关的云服务器，建立隐蔽SMTP电子邮件中继网络。已披露信息显示，美国、欧洲和亚洲的被入侵企业服务器被改造为SMTP代理服务器，通过邮件中继功能验证后，每五分钟与下游服务器同步一次。研究人员在开放目录中发现源代码、编译二进制文件、部署状态日志、扫描器、漏洞利用工具和正在运行的Sliver配置。该工具包包含Sliver集成的SMTP代理部署组件，以及适用于多种Linux CPU架构的Chisel隧道和代理二进制文件。最终用途尚未确认。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。

往期推荐:

安天网络行为检测能力升级通告（20260607）

安天网络行为检测能力升级通告（20260524）

安天网络行为检测能力升级通告（20260510）

安天网络行为检测能力升级通告（20260426）

安天网络行为检测能力升级通告（20260412）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安天集团 《安天网络行为检测能力升级通告（20260621）》