安博体育 - 官方体育投注平台 足球·篮球·电竞一站式服务NASA开源软件被曝存在多个安全漏洞；提示注入威胁：GitHub MCP服务器漏洞允许攻击者访问私有代码库 牛览

　　安博,安博体育,安博体育app,安博官方网站,安博电竞,安博真人,安博棋牌,足球投注平台,安博体育注册,体育彩金,电竞下注平台

　　•多国政府联合发布SIEM/SOAR实施指南，敦促组织优先采用安全分析平台

　　•网络安全行业整合加速：Check Point与Zscaler同时宣布战略收购

　　国家计算机病毒应急处理中心近日依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，对多款移动应用进行检测，发现63款移动应用存在违法违规收集使用个人信息情况，并进行通报。

　　违规行为主要包括十大类：未明显提示用户阅读隐私政策；隐私政策未详细列出收集个人信息的目的、方式和范围；向第三方提供个人信息未取得单独同意；未提供有效的更正、删除个人信息及注销账号功能；投诉举报机制不完善；未提供撤回同意的便捷方式；自动化决策推送未提供拒绝选项；处理未成年人信息未取得监护人同意；未采取加密、去标识化等安全措施；无隐私政策等。

　　这些应用涉及《转转》《喜马拉雅》《千千音乐》《好大夫在线》等知名App，以及多款SDK组件，如《一键登录SDK》《神蓍广告安卓SDK》等。值得注意的是，上期通报的65款违规应用中，仍有16款经复测存在问题，相关应用分发平台已予以下架。

　　美国商务部监察长办公室(DoC)近日发布备忘录，宣布对国家标准与技术研究院(NIST)管理的国家漏洞数据库(NVD)进行审计，旨在解决去年形成的大量漏洞积压问题。

　　此次审计将重点检查NIST处理NVD提交的程序，评估其管理流程的有效性，并确定需要改进的领域，以防止类似积压问题再次发生。商务部代理审计与评估助理监察长Kevin D. Ryan在致代理技术标准副部长Craig Burkhardt的备忘录中详细说明了即将进行的审计。NVD在过去一年面临重大挑战，主要是由于2024年初支持其运营的一个关键合同终止，导致大量未分析的漏洞积压。因此，越来越多新识别的漏洞未经NVD团队检查，造成了严重的分析瓶颈。

　　2025年4月，NVD项目经理Tanya Brewer和NIST计算机安全部门主管Matthew Scholl在VulnCon会议上分享了NVD的最新进展，宣布了NVD处理漏洞方式的多项改进，并表示正在制定新策略来解决积压问题，包括自动化更多数据分析任务，以及探索AI驱动的辅助方法。

　　39岁的伊朗男子Sina Gholinejad（又名Sina Ghaaf）近日承认参与RobbinHood勒索软件行动，该组织在五年时间内入侵美国多个城市和组织的网络，窃取数据并加密设备，试图勒索数百万美元。Gholinejad面临最高30年监禁的刑罚，罪名包括共谋实施欺诈、计算机入侵、勒索和洗钱。

　　根据起诉书，Sina Gholinejad及其同谋至少从2019年1月至2024年3月期间在被入侵的网络上部署RobbinHood勒索软件。这些攻击针对地方政府、医疗服务提供商和非营利组织，加密文件并要求比特币赎金以换取解密工具并防止数据泄露。受害者包括巴尔的摩、格林维尔（北卡罗来纳州）、格雷沙姆（俄勒冈州）和扬克斯（纽约州）等城市，以及Meridian Medical Group和Berkshire Farm Center等组织。Gholinejad及其同谋通常使用管理员账户或漏洞访问受害者网络，手动部署勒索软件，并通过Tor暗网站点要求付款。

　　RobbinHood使用合法但存在漏洞的技嘉驱动程序（gdrv.sys）进行自带易受攻击驱动程序（BYOVD）攻击，关闭杀毒软件，使威胁行为者能够在不受安全软件干扰的情况下启动勒索软件加密器。他们使用欧洲的虚拟专用服务器、虚拟专用网络和加密货币混合器来逃避执法部门的追查。

　　根据Netskope最新研究，钓鱼攻击已成为攻击者绕过安全控制并访问欧洲敏感环境的首选方法。

　　研究显示，Adobe是网络犯罪分子最常冒充的品牌，在29%的云钓鱼活动中出现，这些活动旨在窃取数字服务的凭证。Microsoft紧随其后，占26%，目的是获取Microsoft 365云账户访问权限。

　　在恶意软件分发方面，GitHub已超越Microsoft OneDrive成为欧洲地区首选平台，每月有16%的欧洲组织从该平台下载恶意软件。这可能与其在开发者中的普及度以及托管红队工具的角色有关，这些工具有些用于合法目的，有些则被威胁行为者滥用。紧随GitHub之后的是OneDrive、Google Drive和Amazon S3。

　　在生成式AI方面，欧洲地区91%的组织已将基于云的生成式AI工具整合到运营中，97%使用包含生成式AI功能的工具，96%使用依赖用户数据进行训练的应用程序。与此同时，个人生成式AI账户的使用在过去一年中从73%下降到58%，表明明显转向公司批准的生成式AI解决方案，这些解决方案提供更多控制和更好的敏感数据保护。

　　多国政府联合发布SIEM/SOAR实施指南，敦促组织优先采用安全分析平台

　　多个国家政府机构近日联合发布咨询建议，敦促各组织优先实施安全信息与事件管理(SIEM)和安全编排、自动化与响应(SOAR)平台。这份由美国、英国、澳大利亚和加拿大等国家政府机构发布的指南，旨在帮助企业高管和网络安全从业者在这些平台的采购和实施决策过程中提供指导。

　　该咨询建议强调了SIEM和SOAR在集中收集和分析关键数据方面的重要性，指出这些平台能够帮助组织检测网络安全事件，并通过警报提示及时干预，确保事件响应人员能够访问记录事件经过的数据。

　　此次发布的指南包含三份文档：面向高管的SIEM和SOAR平台实施指南；面向从业者的平台采购、建立和维护指南；以及SIEM日志摄取优先级指南，详细说明了特定日志源类别的日志记录指导。

　　咨询建议警告称，实施SIEM和SOAR平台是一个密集且持续的过程，需要高技能人员支持。主要挑战包括防止警报疲劳，确保SIEM仅在真实网络安全事件发生时产生警报，以及确保SOAR仅对实际安全事件采取适当行动。

　　针对采购决策，机构建议组织注意不同SIEM和SOAR产品的潜在隐藏成本。例如，大多数SIEM定价模型基于数据摄取量，对于没有摄取上限的产品，如果不仔细管理摄取量，组织可能会产生巨大成本。

　　数学计算和仿真软件领先开发商MathWorks近日确认，一场勒索软件攻击导致其服务持续中断。MathWork的MATLAB数值计算平台和Simulink仿线多万用户使用。

　　MathWorks在其官方状态页面发布的事件报告中披露，攻击影响了其IT系统，导致从5月18日（周日）开始，部分客户使用的在线应用和员工使用的内部系统变得不可用。虽然此次事件导致的服务中断仍影响着云中心、文件交换、许可中心和MathWorks商店等多项在线服务，但公司已恢复部分功能。例如，在多日的登录问题后，MathWorks于5月21日恢复了多因素认证(MFA)和账户单点登录(SSO)。

　　目前，MathWorks尚未透露更多关于此次事件的信息，包括攻击背后的勒索软件组织名称以及是否有客户数据在入侵期间被窃取。目前尚无勒索软件团伙宣称对此负责，有媒体推测MathWorks可能已支付赎金或仍在谈判中。

　　全球体育用品巨头阿迪达斯确认遭遇网络攻击，客户个人数据在此事件中被窃取。该公司透露，包括联系信息和账户凭证在内的个人详细信息被威胁行为者访问，但受影响的数据不包含密码、信用卡或任何其他支付相关信息。虽然阿迪达斯尚未披露受影响客户的确切数量，但用户仍应重置密码并密切监控其账户。

　　Armis Labs的最新数据显示，近一半的零售组织感到被他们必须应对的法规网络所压倒。更令人担忧的是，约49%承认他们之前曾被黑客攻击，并且仍在努力保护其数字生态系统。值得庆幸的是，数据显示，今年近80%的零售组织已将更积极主动的网络安全态势列为其议程的首位；82%报告说他们的员工知道如何上报可疑活动，尽管仅靠这一点可能不足以阻止坚决的威胁行为者。

　　对于阿迪达斯客户，重要的是更改密码、监控账户是否有异常活动，并遵循公司的任何更新或指导。

　　网络安全初创公司ThreatLeap创始人兼安全研究员Leon Juranić近日披露，他在NASA开发并内部使用的开源软件中发现了多个可被利用入侵其系统的安全漏洞。Juranić多次尝试通过不同电子邮件地址联系NASA分享他的发现，但没有收到反馈。

　　Juranić仅通过4小时的手动代码分析，就在NASA的多个开源项目中发现了一系列严重漏洞。他首先在NASA的便携式快速图像处理环境(QuIP)中发现了基于栈的缓冲区溢出漏洞，随后扩大了搜索范围。这是因为NASA的GitHub仓库中存在大量特定文件格式处理代码，恶意构造的数据文件可以通过电子邮件或网络轻松传递给受害者。

　　研究发现，由于使用了本质上不安全的函数，以下NASA工具中都存在缓冲区溢出漏洞：

　　Juranić指出，这些文件处理软件应用程序中的内存损坏漏洞尤其令人担忧，因为它们可能允许远程代码执行。国家支持的威胁行为者可能利用这些漏洞入侵美国航天局的计算机系统，以及使用这些易受攻击软件的其他机构。虽然成功攻击取决于目标员工被诱骗下载并打开特制文件，但攻击者每天都能克服这一特定障碍。

　　研究人员发现GitHub Model Context Protocol (MCP)服务器存在严重安全漏洞，该漏洞使用户面临通过恶意提示注入攻击导致私有代码库数据泄露的风险。这一漏洞影响所有使用GitHub MCP集成的Agent系统，该系统在GitHub上已获得超过1.4万星标，成为恶意行为者的高价值目标。

　　攻击者可通过一种看似简单的机制实施攻击：在公共代码库中创建包含隐藏提示注入有效载荷的恶意问题。当用户让AI Agent审查代码库问题时，这些恶意提示可以劫持Agent行为，强制其访问并泄露私有代码库中的敏感信息。这代表了攻击方法的根本性转变，它利用用户与AI Agent之间的信任关系，而非传统软件漏洞。

　　在概念验证中，研究人员创建了一个包含两个代码库的场景：一个可供攻击者创建问题的公共代码库，和一个包含敏感信息的私有代码库。恶意载荷被嵌入在看似合法的功能请求中，特别设计用于触发Agent的助人本性，同时掩盖其真实意图。当用户简单请求查看我的开源代码库pacman中的问题并解决它们时，Agent系统会遵循恶意指令，成功提取用户的物理地址、薪资详情和私有代码库信息，并通过自动创建的拉取请求在公共代码库中泄露这些信息。

　　这一漏洞在不同AI模型和MCP客户端实现中都存在，表明问题源于基本架构限制而非特定实现缺陷，使其对整个AI驱动的开发环境生态系统构成广泛威胁。

　　网络安全行业整合加速：Check Point与Zscaler同时宣布战略收购

　　Check Point收购了漏洞检测专家Veriti Security Ltd.，该公司提供无需安装Agent的自动化基础设施扫描平台，能够检测不安全配置、软件漏洞等问题。Veriti利用人工智能模型对发现的问题进行优先级排序，基于漏洞导致网络攻击的可能性和潜在业务影响进行评估，帮助管理员优先修复最紧急的问题。该平台还提供虚拟补丁工具，无需在受影响系统上安装软件更新即可使漏洞对黑客无效。Check Point计划在第二季度末完成收购，并将Veriti技术整合到其Infinity产品中。

　　Zscaler则宣布收购了获得超过1.4亿美元融资支持的Red Canary Inc.，这家创业公司提供托管检测和响应(MDR)服务，可帮助组织监控基础设施并修复网络攻击。Zscaler将利用其产品收集的大量黑客活动数据来增强Red Canary的MDR能力，预计于8月完成交易。、

　　Google近日确认已在美国地区的AI模式和AI概览中推出广告，为客户创造新的机会。据Google在上周的Google Marketing Live活动中透露，这些广告将为用户提供一种在网络上查找信息的新方式。

　　根据SEO顾问Gagan Ghotra发现的Google支持文档，该公司声称：Google内部数据显示，人们发现AI概览中的广告很有帮助，因为他们可以在需要时快速连接相关企业、产品和服务，以采取下一步行动。然而，Google并未分享其内部数据的具体数字或研究方法。目前，这些广告出现在AI概览下方，随后是传统的蓝色链接。虽然广告本身并非完全负面，但当它们误导用户或出现在实际内容之上并干扰信息流时，很难称其为有帮助。

　　值得注意的是，Google在最近的季度报告中公布了725亿美元的广告收入，随着广告扩展到传统蓝色链接之外，这一数字预计将继续增长。