KENSAI 安全情报
每日威胁简报
自动化安全研究 — 过去24小时
2026-03-21 · 周五 3月20日 → 周六 3月21日
严重漏洞与活跃利用
Langflow中的严重认证缺失和代码注入漏洞(CVSS 9.3)正在被积极利用。未经身份验证的攻击者可通过POST /api/v1端点实现远程代码执行。在公开披露后20小时内即开始被利用 — 请立即修补。
Oracle针对Identity Manager和Web Services Manager中的严重未经身份验证RCE漏洞发布了带外安全更新。此次在Oracle常规季度补丁周期之外的发布表明了漏洞的严重性和潜在的利用风险。
CISA命令所有联邦机构在3月22日(周日)前修补Cisco Secure Firewall Management Center中的最高严重级别漏洞。周末截止日期的紧迫性表明正在或即将被利用。
ConnectWise ScreenConnect修补了一个暴露机器密钥的严重漏洞,该漏洞可能允许未经授权访问远程管理会话。最新版本增加了加密存储和密钥管理功能。
Sansec发现Magento REST API中的严重漏洞,允许未经身份验证的攻击者上传伪装的可执行文件(隐藏恶意代码的图片)以实现RCE和账户接管。自2月27日以来,已有数千个Magento网站在持续的篡改活动中受到攻击。
软件供应链攻击
Aqua Security的Trivy扫描器在一个月内第二次遭到入侵。攻击者劫持了GitHub Actions「aquasecurity/trivy-action」和「aquasecurity/setup-trivy」中的75个标签以窃取CI/CD密钥。任何使用这些Actions的流水线都可能已泄露凭据。
新型恶意软件「Speagle」劫持合法的Cobra DocGuard软件,利用被入侵的服务器进行数据窃取,同时将流量伪装为合法的应用程序通信。一种复杂的供应链邻接攻击。
分析显示,54个EDR杀手程序滥用35个合法签名但存在漏洞的驱动程序,在部署勒索软件前禁用端点安全。BYOVD(自带脆弱驱动程序)现已成为勒索软件的标准技术。
数据泄露与内部威胁
黑客在2025年12月底至2026年1月中旬期间从Navia环境中窃取了个人信息和健康计划信息。270万人受到影响。医疗数据泄露在数量上仍然是影响最大的。
一名北卡罗来纳州男子因窃取企业数据并向华盛顿特区的科技公司(Brightly Software)勒索250万美元而被判有罪 — 当时他仍以承包商身份受雇。内部威胁仍然是最高级别的风险。
Michael Smith对使用AI机器人在Spotify、Apple Music、Amazon Music和YouTube Music上生成超过1000万美元欺诈性流媒体版税的指控认罪。大规模AI驱动欺诈。
执法与地缘政治
美国、德国和加拿大摧毁了AISURU、KimWolf、JackSkid和Mossad僵尸网络(300万台IoT设备)的C2基础设施。这些僵尸网络驱动了创纪录的31.4 Tbps DDoS攻击。与私营部门的大规模合作(Akamai、AWS、Cloudflare、Google、Oracle等)。
国际执法机构在「爱丽丝行动」中关闭了373,000个暗网站点。迄今为止最大规模的协调非法基础设施摧毁行动之一。
FBI发布警告称,与俄罗斯情报机构相关的攻击者正积极对Signal和WhatsApp用户发起钓鱼攻击。数千个加密消息账户已被入侵。目标包括记者、活动人士和政府官员。
美国确认黑客组织Handala与伊朗政府相关联,并查封了多个用于网络心理战的域名。
三人因违反美国出口管制法律、密谋将在美国组装的高性能AI服务器转运至中国而被起诉。这是不断升级的科技冷战的一部分。
新兴威胁与趋势
网络犯罪分子使用AI生成个性化钓鱼、深度伪造和恶意软件,通过模仿正常用户活动来规避传统检测。行为分析正成为必要的对策 — 基于签名的检测变得越来越不够用。
Apple敦促用户更新iOS以防御针对过时设备的基于Web的漏洞利用工具包(Coruna、DarkSword)。这些工具包通过恶意Web内容触发感染链,导致数据被窃。
Google在Android上为未经验证开发者的应用侧载引入了强制性的24小时冷静期。这是去年宣布的开发者验证要求的一部分。在开放性与减少诈骗/恶意软件之间取得平衡。
The Gentlemen — 新兴RaaS组织浮出水面
Group-IB详细介绍了「The Gentlemen」,一个由约20名成员组成的新型勒索软件即服务(RaaS)组织,利用FortiGate漏洞进行攻击。新兴RaaS团体继续降低勒索软件攻击的门槛。
安全行业与融资
大额融资轮聚焦AI代理的身份和访问管理。投资于研发、AI框架扩展和市场推广。信号:市场将AI代理安全视为关键的新兴类别。
面向消费者、企业和政府的隐私导向MVNO。应对蜂窝级别的监控和拦截威胁。
扩展固件和硬件供应链完整性的平台能力。
监控行为并验证用户意图以实时阻止攻击。从隐身模式中浮出。
扩展数字品牌保护,应对钓鱼、冒充和品牌滥用。
KENSAI相关性与要点
对于KENSAI的定位:
- Langflow CVE-2026-33017 — 20小时内被利用。这是KENSAI的核心价值主张:持续扫描在攻击者之前发现这些漏洞。「20小时窗口」博客文章的内容机会。
- Magento PolyShell — 数千个电商网站受影响。运行Magento的NIS2监管EU企业是KENSAI DAST扫描的完美目标。
- 54个EDR杀手利用BYOVD — 仅靠端点安全是不够的。KENSAI的多层方法(DAST + SAST + 密钥 + 基础设施)是答案。
- 本周安全融资2.82亿美元 — 市场火热。Oasis为「代理访问管理」融资1.2亿美元验证了KENSAI所占据的AI安全类别。
- Trivy供应链入侵 — CI/CD流水线安全是一个服务不足的领域。KENSAI未来模块的潜在方向。
- 俄罗斯国家钓鱼攻击Signal — NIS2合规要求安全通信。DACH市场的内容切入角度。