网络安全

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

Anthropic 公司旗下的大型语言模型 Claude Code 已被威胁行为者滥用，不仅用于数据勒索活动，还被用来开发勒索软件套件。该公司表示，其工具还曾被用于朝鲜虚假 IT 工作者诈骗、传播 “Contagious Interview” 活动诱饵，以及帮助一名俄语开发者创建具备高级规避能力的恶意软件。

攻击者使用 Claude AI 开发勒索软件

Windows 和 macOS 版本的 Docker Desktop 存在一个严重漏洞，即使用户开启了增强容器隔离（ECI）保护，攻击者也能通过运行恶意容器入侵主机系统。

Docker Desktop 重大漏洞可让攻击者劫持 Windows 主机

苹果公司已发布安全更新，以修复一个影响 iOS、iPadOS 和 macOS 系统的安全漏洞，该公司称此漏洞已在野外遭到主动利用。

苹果 CVE-2025-43300 零日漏洞，已在定向攻击中被利用，影响 iOS、iPadOS 和 macOS 系统

网络安全情报公司 CloudSEK 揭露了一个总部位于巴基斯坦的家族式网络犯罪团伙。该团伙通过盗版软件传播信息窃取恶意程序，非法获利 467 万美元，受害者达数百万人。而这起犯罪活动的内幕，竟因诈骗者自身设备被入侵而意外曝光。

诈骗者反遭自家恶意软件攻击，牟利460万美元团伙曝光

多项 HTTP/2 协议实现被发现存在一项名为 “MadeYouReset” 的新型攻击技术漏洞，该漏洞可能被用于实施强力的拒绝服务（DoS）攻击。

新型 HTTP/2 “MadeYouReset” 漏洞可发起大规模 DoS 攻击

网络安全研究人员公布了一项与微软 Windows 远程过程调用（RPC）协议相关的最新研究成果，该协议中存在一个已修复的安全漏洞，攻击者可利用此漏洞实施欺骗攻击，伪装成可信服务器。

研究人员揭秘 Windows EPM 劫持攻击链：可实现域权限提升

随着软件应用的日益复杂，代码安全的重要性不言而喻，相关漏洞引发的严重安全问题，往往会给用户带来巨大的经济损失，就在星尘安全的前几天的文章中，我们就刚好提到了AI时代代码层面的相关风险。

Claude 发布审计工具 claude-code-security-review，AI 代码审计时代来临？

随着时间推移，大语言模型生成的代码在某些方面有所进步 — 较新的模型生成的代码编译成功率更高 — 但在其他方面却停滞不前：尤其是安全性方面始终存在不足，人工智能生成的 Java 代码问题尤为突出。除了引入漏洞，大语言模型还容易出现错误，例如虚构不存在的软件库，并且容易受到数据集恶意投毒等问题的影响。

大语言模型生成的代码仍然存在广泛的安全隐患

近年来，加密货币凭借其去中心化、跨境流通等特性迅速崛起，成为金融领域的新焦点。从比特币到以太坊，从 NFT 到 DeFi，虚拟货币的应用场景不断拓展，吸引了全球数亿投资者的目光。然而，在其蓬勃发展的背后，安全问题如影随形，其中交易所频繁被黑客攻击成为悬在整个行业头顶的 “达摩克利斯之剑”。

交易所频频被黑，虚拟货币真的安全吗？

近期，Aqua Nautilus 安全团队的研究人员在蜜罐中捕获了一款新型 Linux 恶意软件，将其命名为 “Koske”。从本质上看，它是一款加密货币挖矿程序，能识别受感染计算机的性能，进而运行经过优化的挖矿程序，可挖掘门罗币、raven 币等 18 种不同的加密货币。

超越人类，AI编写的恶意挖矿软件 “Koske”

当地时间周六（7 月 26 日），安联人寿北美公司发布声明，称在 7 月 16 日遭遇黑客攻击，一名 “恶意威胁者” 入侵了该公司使用的第三方云系统，导致大部分美国客户、金融专业人士以及部分员工的个人身份信息被窃取。据悉，安联人寿目前在美国拥有 140 万客户，这意味着大部分客户的信息都可能受到影响。

安联人寿遭黑客攻击，140 万客户信息被泄露

网络安全研究人员发现，黑客在 WordPress 网站的 “mu-plugins” 目录中隐藏了一种新型隐形后门，借此获取持久访问权，并能执行任意操作。

黑客利用 WordPress mu-plugins 植入隐形后门，持续控制管理员权限

一场新型攻击活动已导致全球 3500 余个网站被植入 JavaScript 加密货币挖矿程序。这标志着曾因 CoinHive 等平台而盛行的浏览器劫持挖矿攻击再度抬头。

3500 余个网站遭劫持，黑客利用隐蔽 JavaScript 与 WebSocket 技术秘密挖矿

作为智能代理人工智能核心的 MCP 协议，其身份验证功能竟是可选项，且无人启用，这意味着，任何攻击者都能随意掌控这些服务器。

近 2000 台 MCP 服务器毫无安全防护可言

网络安全公司 Cyfirma 发现，攻击者正利用 GitHub 平台，将强大的信息窃取恶意软件伪装成 “免费 PC VPN” 进行传播。这类恶意程序通常以 “Free VPN for PC” 为名托管在 GitHub 账户中，而实际会在用户系统中安装 Lumma 信息窃取器（infostealer）。更值得警惕的是，攻击者还通过 “Minecraft 皮肤” 等文件名上传类似样本，显然在同时 targeting 隐私需求用户与年轻游戏群体。

黑客利用 GitHub 传播伪装成免费 VPN 的恶意软件

网络安全研究人员伊恩・卡罗尔（Ian Carroll）和萨姆・库里（Sam Curry）近期披露，麦当劳旗下招聘聊天机器人平台 McHire 存在严重安全漏洞 —— 其管理员后台竟使用 "123456:123456" 的默认弱密码，同时内部 API 存在不安全直接对象引用（IDOR）漏洞。这意味着攻击者可轻易获取 6400 万份求职申请数据，包括申请人姓名、联系方式、地址等敏感信息。

当劳招聘平台安全漏洞致 6400 万份求职申请信息暴露

你是否用过浏览器的取色器插件？小心！一款在 Chrome 商店拥有「官方认证徽章」、下载量超 10 万的热门扩展「Color Picker, Eyedropper — Geco colorpick」，竟在 6 月底的更新中被植入高级间谍软件！

Chrome 商店高人气扩展暗藏间谍软件，超 10 万用户遭遇会话劫持

当我们每天打开浏览器浏览网页、处理工作时，一场针对浏览器的安全风暴正在悄然蔓延。谷歌 Chrome 与火狐 Firefox 两大主流浏览器近期接连遭遇攻击，企业与个人用户的设备安全正面临严峻挑战。

警惕！Chrome 零日漏洞与 "FoxyWallet" 攻击正威胁你的浏览器安全

2024 年，全球企业的 AI/ML 工具使用量呈指数级增长。Zscaler 云平台数据显示，2024 年 2 月至 12 月期间，AI/ML 交易总量达 5365 亿次，同比激增 3464.6%，涉及 800 多个应用程序。

ThreatLabz 2025 年人工智能安全报告

6 月 26 日消息，Check Point 周三发布的一份报告显示，与伊朗伊斯兰革命卫队（IRGC）有关联的一个伊朗国家支持的黑客组织，发起了一场鱼叉式网络钓鱼活动，目标直指以色列的记者、知名网络安全专家和计算机科学教授。

伊朗 APT35 黑客使用 AI 钓鱼攻击以色列科技专家

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋 

腾讯云代码助手

CODING DevOps

Cloud Studio

SDK中心

API中心

命令行工具

腾讯云开发者社区推出了网络安全专栏，为你提供了网络安全的相关文章，致力于帮助开发者快速成长与发展。

网络安全

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐