软件供应链与托管生态沦为“第一突防口”
SoFi 券商因“第三方供应商”被破导致客户数据泄露,家庭用户因路由器弱口令被篡改 DNS,均表明攻击者正全力寻找防护最薄弱的外部节点。作为 CSO,必须将供应链安全审查、第三方合规评估以及零信任(Zero Trust)架构的落地列为首要任务。
安全风险
研判本月值得管理层优先关注的安全风险。
核心摘要
本月全球网络对抗态势呈现剧烈分化。传统的“正面边界防御”已形同虚设,攻击者正全面转向利用外部供应链生态实施侧翼突防,并将生成式 AI 转化为新型高变现武器。同时,网络威胁的后果已不再局限于数据资产流失,而是直接演变为实体业务的物理瘫痪与天价勒索闪电战。
首席安全官(CSO)及最高管理层本月必须优先将资源向以下三大核心安全风险与治理重点倾斜。
AI 业务引入全新“技术盲区”与高危攻击面
AI 不仅是生产力,也是全新的脆弱性源头。Meta AI 客服因“提示词注入”被黑客一句话劫持数千账号,智能体 Skills 和恶意 AI 中转站引发的数据截留、倒卖与出境风险,都是传统防火墙无法拦截的。CSO 必须立刻将 AI 资产(大模型、中转 API、智能体技能包)纳入安全合规与漏洞监测体系,严防自然语言带来的新型逻辑漏洞。
“社工加剧”演变为“物理停产”与高额赎金危机
网络攻击的后果正变得难以承受。嘉年华邮轮与知名律所均因员工遭“社会工程学”欺诈而失陷,前者导致 600 万数据跨境泄露,后者导致被迫在 3 天内支付超 1.2 亿元天价赎金;而澳洲制糖巨头遇袭直接引发实体工厂停产。CSO 必须强化全员反社工与演练,同时建立极速的应急响应机制(MFA 免疫等)和灾备韧性,以应对勒索软件对业务连续性的致命打击。
安全要闻
AI 客服变“叛徒”:提示词注入攻破漏洞,数千名人账号遭非法控制
6月2日,据 Ars Technica 报道,网络犯罪团伙利用 Meta 公司 AI 客服系统漏洞,自今年2月起通过 VPN 伪装用户地理位置,并实施提示词注入攻击,直接诱导 AI 修改关联邮箱,绕过常规验证,劫持了包括奥巴马官方账号在内的数千个 Instagram 知名账号。
Meta 已于5月29日紧急修复该漏洞。漏洞活跃期间,部分遭窃取的短用户名账号在灰色市场被流转售卖,估值超过百万美元。据悉,启用多因素身份验证的 Instagram 账号可免疫此次攻击。(来源:Ars Technica)
风险提示:将面向客户的 AI 交互流程纳入身份验证与业务逻辑审计;关键账户强制启用抗钓鱼多因素认证。
家用路由器 DNS 被恶意篡改导致异常跳转,CNCERT 发布风险提示
6月1日,据国家互联网应急中心 CNCERT 消息,CNCERT 近期发现,部分家庭用户连接家用路由器 Wi-Fi 后,访问正常网站或触发终端网络连通性检测时,会异常跳转至色情、赌博等非法页面。经研判,该事件主要由家用路由器等家庭网络设备 DNS 服务器配置被篡改导致。
现场取证确认,受影响路由器设备的后台管理口令强度不足。攻击者疑似感染家庭内网设备后,利用弱口令进入路由器管理页面并修改 DNS 服务器配置。截至目前,CNCERT 已累计监测数十个专门提供域名恶意解析服务的 DNS 服务器和异常跳转服务的 Web 服务器,单日恶意解析次数超过数亿次,单日影响境内独立 IP 最高超过70万个。(来源:国家互联网应急中心)
风险提示:企业远程办公与分支机构网络应纳入终端 DNS 监测,淘汰弱口令和长期未更新的边缘设备。
知名律所威嘉发生数据泄露,支付超1.2亿元赎金避免客户数据公开
5月29日,据 Non-Billable 报道,国际顶级律师事务所威嘉(Weil)近期遭遇数据勒索攻击,在收到勒索要求后3天内支付了1800万至2000万美元,约合人民币1.21亿至1.35亿元,以阻止被窃取的客户文件被公开泄露。
威嘉发言人表示,取证调查确认,威胁行为者据称为 Silent Ransom Group,仅将少量未经授权的客户文件上传至外部云存储,并未获得威嘉内部网络访问权限,此次事件未对律所运营造成影响。此前,FBI 多次警告该组织持续升级战术,利用社工及线下身份仿冒等方式攻击律所机构。(来源:Non-Billable)
风险提示:高价值数据即使少量外泄也可能触发巨额勒索;需强化云存储异常外传监控和高管级危机决策预案。
邮轮巨头发生重大数据泄露,中国用户需警惕跨境钓鱼诈骗
5月28日,据 Bleeping Computer 报道,全球最大邮轮运营商嘉年华集团(Carnival Corporation)确认发生重大数据泄露事件,约600万名客户的个人信息被窃取,涉及姓名、地址、电子邮箱、电话号码、出生日期、地理位置、邮轮预订记录、驾驶证号码或护照号码等。
调查显示,网络威胁行为者于2026年4月10日通过社会工程学手段误导员工,成功获取该公司有限部分 IT 系统的访问权限。勒索团伙 ShinyHunters 此前宣称对该事件负责。近年乘坐过嘉年华旗下品牌邮轮、注册过会员或通过官网预订过的中国游客可能达到数万至十万人级别,需警惕陌生电话和邮件,防范跨境钓鱼诈骗。(来源:Bleeping Computer)
风险提示:跨境业务应建立泄露后客户通知、钓鱼预警与证件信息风险处置机制。
澳洲制糖巨头遭网络攻击:两家大型工厂停产,蔗农被迫停止砍收
6月10日,据 The Record 报道,澳大利亚主要甘蔗种植区遭受网络攻击,导致食糖生产受到扰乱,两家大型糖厂被迫停产,甘蔗收割作业全面中断。澳大利亚第二大食糖生产商麦凯糖业(Mackay Sugar)表示,公司正在应对一起影响部分业务运营的网络安全事件。
此次事件导致该公司位于昆士兰州麦凯地区的 Farleigh 糖厂和 Racecourse 糖厂停产,种植户被要求立即停止甘蔗收割,直至另行通知。两家糖厂此前刚刚启动一年一度的甘蔗压榨季。公司表示,已采取临时措施维持关键业务运转并尽量减少影响,同时推进受影响系统恢复。(来源:The Record)
风险提示:工业企业需把网络事件纳入生产连续性管理,验证人工降级、隔离运行和恢复时间目标。
部分智能体 Skills 存在越狱和挖矿风险,CNCERT 发布安全公告
6月9日,据国家互联网应急中心 CNCERT 消息,CNCERT 综合研判发现,部分智能体技能包(Skills)以“大模型越狱”“挖矿赚钱”等名义公开传播,诱导用户突破大模型安全限制,或占用设备资源进行非法挖矿。
此类恶意 Skills 可能导致模型生成违法信息、用户账号被依法封禁、设备性能下降,甚至使用户被动卷入洗钱等违法犯罪活动。CNCERT 提醒广大用户和相关运营单位提高警惕,加强 Skills 来源审查与行为监控,及时清除可疑组件。(来源:国家互联网应急中心)
风险提示:企业智能体平台应建立技能包白名单、权限隔离、代码审查和运行行为监控。
国家安全部警告:部分“AI 中转站”倒卖数据,泄露用户隐私
6月8日,国家安全部公众号发文称,当前“AI 中转”市场鱼龙混杂,部分“AI 中转站”运营资质缺失、安全防护薄弱,用户隐私泄露与数据倒卖问题时有发生,数据安全风险不容忽视。
部分平台缺乏正规数据加密与管控机制,甚至私自截留用户数据并倒卖给其他大模型厂商用于系统训练;部分平台未取得数据出境相关合规资质,未履行安全评估流程,擅自将用户输入数据传输至境外服务器;还有部分平台暗藏后门,可能窃取账号密钥、云端凭证,甚至植入远程控制程序持续监控用户设备。(来源:国家安全部)
风险提示:禁止员工使用未经批准的 AI 中转服务,对模型调用链、数据出境和密钥暴露进行统一治理。
美资香港券商 SoFi 发生数据泄露:供应商遭入侵,提醒客户谨防诈骗
6月8日,据 Bleeping Computer 报道,美国金融科技上市公司 SoFi 的香港公司发出警告称,近期发生一起数据泄露事件,黑客获得了存储于一家第三方供应商数据库中的客户信息访问权限。
SoFi 向客户发送的邮件显示,公司于4月30日发现该事件,当时检测到有人通过一家供应商,未经授权访问 SoFi 证券(香港)有限公司数据库。事件发现后,公司聘请第三方网络安全公司协助开展响应工作。调查仍在进行,目前尚不清楚具体泄露了哪些数据。公司已为受影响账号增加额外保护和监控,并提醒客户警惕网络钓鱼、可疑通信以及异常账号活动。(来源:Bleeping Computer)
风险提示:第三方数据库与托管服务必须纳入持续监测、事件通报时限和合同追责机制。