文章总结: 本文汇总了2026年7月13日前后多个安全事件,包括DellBIOS密码可被秒读、AI钓鱼平台Forg365瞄准Microsoft365、用友U8CloudSQL注入漏洞、GhostCommit攻击利用图片隐藏恶意指令、281款VPN泄露用户数据、Progress紧急关闭ShareFile服务器、仿冒教育App木马、金监总局发布网络安全管理办法、NSA重启TAO、Apple起诉OpenAI窃取商业秘密。这些事件涵盖硬件漏洞、AI攻击、企业软件漏洞、数据泄露、监管政策等,提示企业和个人需加强安全防护。 综合评分: 70 文章分类: 漏洞分析,威胁情报,数据安全,网络安全,AI安全
Apple 起诉 OpenAI 和前员工窃取商业秘密,AI 行业知识产权战争升温
汇能云安全
2026年7月13日 10:52 广东
在小说阅读器读本章
去阅读
7月13日,星期一,您好!中科汇能与您分享信息安全快讯:
01
Dell BIOS 漏洞:管理员密码从芯片里被 “秒读” 出来
很多人以为 BIOS 密码是硬件层面的最后一道防线,Dell 这次的漏洞告诉你,这道防线可能形同虚设。安全研究人员发现,Dell 设备的 BIOS 存在一个严重漏洞,攻击者可以从 SPI Flash 芯片中直接读取存储的管理员密码 —— 整个过程只需要毫秒。SPI Flash 是主板上存储 BIOS 固件的芯片,理论上里面的敏感数据应该有加密保护,但这次的漏洞绕过了这些保护机制。为什么这件事严重?BIOS 管理员密码控制着安全启动链、启动顺序和固件更新权限,一旦这个密码被获取,攻击者可以关闭 Secure Boot、植入固件级 Rootkit,甚至在操作系统重装后依然存活。这不是普通的软件后门,而是写进硬件里的持久化威胁。对于企业来说,这个漏洞的影响面不小。Dell 在商用 PC 市场占有率很高,很多企业的办公终端和开发机都是 Dell 品牌。如果攻击者能物理接触到设备(比如内部人员、维修环节、二手设备),风险就会变成现实。
02
AI 钓鱼平台 Forg365 瞄准 Microsoft 365 企业账号
钓鱼攻击正在被 AI 重塑,一个名为 Forg365 的新型钓鱼平台浮出水面,它不是传统的 “做一个假登录页” 那么简单。Forg365 的核心能力是 AI 驱动的全流程自动化,它能自动分析目标企业的 Microsoft 365 登录页面,生成高度仿真的钓鱼站点。更厉害的是,它内置了 AI 实时交互模块 —— 当受害者进入钓鱼页面后,AI 会根据用户的行为动态调整提示内容,比如在用户犹豫时弹出 “系统验证中,请稍候” 的提示,在用户输入错误时显示 “密码不正确,请重新输入”,这种交互能力让钓鱼成功率大幅提升。
传统钓鱼工具做出来的是一个静态页面,安全意识培训过的人一眼就能看出来。但 Forg365 生成的页面在视觉和交互上都与真实登录页高度一致,甚至能处理各种边缘情况,对于使用 Microsoft 365 的企业来说,这是一个真实且紧迫的威胁。Microsoft 365 是全球使用最广泛的企业办公平台之一,攻击者手里有高质量的钓鱼工具意味着更多员工会上当。
03
用友 U8cloud 爆出 SQL 注入漏洞,企业核心业务系统面临全面失控
用友 U8cloud 又出安全问题了,这次是 XChangeServlet 组件的 SQL 注入漏洞,而且从漏洞描述来看,影响不只是 “读数据” 那么简单。SQL 注入是一个被讨论了二十多年的漏洞类型,理论上不应该再出现在企业级产品中。但现实是,它依然频繁出现,而且在 U8cloud 这种承载企业核心业务的系统上,后果尤其严重。攻击者可以利用这个漏洞执行任意 SQL 命令,进而获取数据库中的全部数据 —— 财务报表、客户信息、供应链数据、员工薪资,这些全在里头。更危险的是,通告中提到攻击者可以 “进一步获取服务器控制权限”。这意味着 SQL 注入只是一个入口,攻击者可以通过数据库的系统命令执行功能(如 xp_cmdshell)拿到操作系统层面的权限,到了这一步,攻击者就不再只是偷数据,而是可以横向移动、植入后门、控制整个内网。U8cloud 在国内大中型企业中部署广泛,覆盖制造业、零售业、服务业等多个行业。很多企业的 U8cloud 实例直接或间接暴露在网络上,用于远程办公或分支机构访问。
04
Ghostcommit 攻击:恶意指令藏在图片里,AI Agent 在不知情中 “叛变”
AI Agent 的安全问题又出了新花样,安全研究人员发现了一种名为 Ghostcommit 的攻击技术 —— 攻击者将恶意 Prompt 隐藏在图片文件中,当 AI Agent 处理这些图片时,隐藏的指令被提取并执行,Agent 在用户不知情的情况下执行攻击者的命令。这和传统的 Prompt 注入有什么不同?传统注入是在文本输入中嵌入恶意指令,相对容易被输入过滤器检测。但 Ghostcommit 把指令编码进图片的像素或元数据中,对人类和大多数安全检测工具来说,这只是一张普通的图片。随着 AI Agent 被越来越多地用于代码审查、文档处理、邮件分析等场景,它们会频繁处理各种文件 —— 包括图片。攻击者只需要在 Agent 的工作流程中插入一张特制图片,就能劫持 Agent 的后续行为。这个攻击方式的真正危险在于它的隐蔽性。你让 Agent 帮你审一张截图、分析一张产品照片,它可能在处理过程中悄悄执行了藏在图片里的指令,而你完全不知道。
05
281 款 VPN 应用在 Google Play 上泄露用户敏感数据,加密形同虚设
安全研究人员对 Google Play 商店中的 VPN 应用做了一次大规模安全审计,结果触目惊心:281 款 VPN 应用存在敏感数据泄露问题,部分应用甚至以明文方式传输用户数据,所谓的 “加密隧道” 形同虚设。VPN 的核心卖点就是 “安全” 和 “隐私”,用户选择使用 VPN,通常是因为他们在意自己的网络流量不被窥探。但当 VPN 应用本身在泄露数据时,用户面临的不是 “没有保护”,而是 “把数据交给了一个更不可信的第三方”。泄露的数据类型包括用户的 IP 地址、DNS 查询记录、设备标识符,甚至部分应用直接将用户的浏览数据以未加密方式传输。这意味着同一网络中的任何人都可以截获这些信息。这个问题反映的是 VPN 应用市场的混乱现状。Google Play 上架的 VPN 应用数量庞大,但质量参差不齐。很多免费 VPN 的商业模式就是收集和转售用户数据,”安全工具” 反而成了数据收集工具。
06
Progress 紧急要求 ShareFile 管理员关闭服务器,疑似遭遇严重安全威胁
Progress Software 向 ShareFile 管理员发出紧急通知,要求立即关闭所有 ShareFile 服务器。原因是公司收到了 “可信的安全威胁” 情报,具体情况仍在调查中。Progress Software 这个名字对安全圈来说并不陌生,2023 年的 MOVEit Transfer 漏洞事件(CVE-2023-34362)导致全球数千家企业数据被窃取,是当年影响最广的供应链安全事件之一,现在同一家公司的另一款文件传输产品又收到安全威胁,不得不让人警觉。
ShareFile 是 Progress 旗下的企业文件共享和传输平台,广泛用于企业间的文档协作和安全文件传输。如果真的存在严重漏洞且已被攻击者发现,受影响的企业范围可能很大。文件传输平台天然存储着大量敏感数据 —— 合同、财务报表、技术文档、客户信息 —— 一旦被攻破,数据泄露的规模和影响会非常严重。目前 Progress 没有公开漏洞的具体细节,这种 “先让关服务器” 的做法说明威胁的紧迫程度很高。
07
国家计算机病毒应急处理中心预警:仿冒教育培训 APP 暗藏手机木马
国家计算机病毒应急处理中心发布预警,发现一类仿冒正规教育培训 APP 的手机木马病毒。这类恶意 APP 伪装成教育类应用诱导用户下载安装,实际上是一种金融盗窃类手机木马的新变种。这个木马的能力相当全面:拦截用户短信(用于获取验证码)、窃取通讯录(用于后续社工攻击)、窃取手机密码(直接控制设备)、开启摄像头(监控用户行为)。这些功能组合在一起,目标很明确 —— 通过获取短信验证码和身份信息来实施金融欺诈和账户盗取。攻击者选择仿冒教育类 APP 是有策略的。教育培训是家长群体的刚需,这类用户在安装应用时往往放松警惕。而且教育类 APP 通常需要较多权限(如摄像头、存储、通知),恶意 APP 索取这些权限时不会引起用户警觉。
08
金监总局发布《银行业保险业网络安全管理办法》征求意见稿,金融业安全底线将统一
国家金融监督管理总局发布《银行业保险业网络安全管理办法》公开征求意见,旨在加强银行业和保险业金融机构的网络安全管理,防范化解网络安全风险,这份管理办法的核心作用是 “拉齐底线”。过去,不同金融机构的网络安全标准参差不齐 —— 大型银行有完善的 SOC 和应急体系,但部分中小银行和保险机构的安全投入严重不足。这次的《办法》试图建立一个统一的基本要求,覆盖网络安全管理的组织架构、技术防护、应急响应和责任追究。另一个值得关注的信号是 “协同监管”。金融业涉及多个监管主体(央行、证监会、金监总局),过去在网络安全监管上存在职责交叉和信息孤岛。这次的《办法》明确提出监督管理协同和信息共享,意味着未来的监管力度会更大、穿透性会更强。对金融机构来说,这不是一个 “看看就好” 的征求意见稿。一旦正式发布,不合规的机构可能面临监管约谈甚至处罚。网络安全不再只是技术部门的事,而是上升到了董事会层面的合规义务。
09
美 NSA 重启 “特定入侵行动办公室”,国家级 APT 攻击能力升级
据多方消息确认,美国国家安全局(NSA)已恢复 “特定入侵行动办公室”(TAO,Tailored Access Operations)的独立建制。这个部门是 NSA 旗下最核心的网络攻击力量,专门负责对高价值目标实施定向入侵。TAO 在安全圈的知名度很高。斯诺登 2013 年泄露的文件中,TAO 的行动细节被大量曝光 —— 从入侵骨干网络路由器到开发零日漏洞武器库,从供应链截获设备植入后门到直接渗透目标系统。它不是一个 “研究机构”,而是一支拥有实战能力的国家级网络攻击部队。NSA 决定重启 TAO 的独立建制,信号很明确:在网络空间的对抗中,进攻能力被重新放到了优先位置。这对其他国家的关键基础设施、政府机构和大型企业来说,意味着需要面对更高级别、更有组织的网络威胁。从防御角度看,APT 的特征是:充足的零日储备、长时间的潜伏能力、高度定制的攻击工具和极强的反取证意识。传统的安全防御体系很难有效抵御这类攻击。
10
Apple 起诉 OpenAI 和前员工窃取商业秘密,AI 行业知识产权战争升温
Apple 对 OpenAI 和多名前 Apple 员工提起诉讼,指控他们窃取 Apple 的商业秘密,这是迄今为止 AI 行业最大规模的知识产权诉讼之一,诉讼的核心指控是:多名前 Apple 员工在离职加入 OpenAI 时,带走了 Apple 的机密技术资料和商业信息。这些信息涉及 Apple 在 AI 和机器学习领域的核心技术布局,可能包括模型架构、训练方法、产品规划等高度敏感内容。这起诉讼的意义超出了两家公司之间的纠纷。AI 行业正处于人才高速流动的阶段 —— 顶尖 AI 研究员和工程师在大厂之间的跳槽非常频繁。当人才流动涉及核心技术秘密时,企业面临的不只是 “少了一个关键员工”,而是核心竞争力可能被竞争对手直接复制。对于整个AI行业来说,这是一个警示:在疯狂抢人的同时,知识产权保护和技术秘密管理必须跟上。很多AI创业公司和研究机构在员工离职流程中对技术秘密的保护做得很粗放,一旦发生诉讼,举证会非常困难。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮 卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟
本文版权归原作者所有,如有侵权请联系我们及时删除
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:汇能云安全 《Apple 起诉 OpenAI 和前员工窃取商业秘密,AI 行业知识产权战争升温》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论