日期: 2026年4月20日

本文介绍了安全领域应对CVE数量激增的解决方案EPSS。EPSS由FIRST开发，通过机器学习预测CVE被利用的概率，帮助安全人员优先处理高风险漏洞，与传统CVSS评分形成互补。

本文概述了上周网络安全热点，重点报道了AppViewX CEO关于机器身份与AI身份治理的专访，探讨了从人类驱动系统向自主机器的转变，并提及Acrobat Reader漏洞被利用及Claude Mythos攻击能力的安全事件。

攻击者正在寻找传统IT环境之外的安全漏洞。双因素认证通过增加额外的身份验证层，为物理世界提供关键的安全保护，有效阻止未经授权的访问。

研究人员发现Dragon Boss组织在2025年3月发布的看似无害的软件更新中隐藏恶意代码，通过创建计划任务建立持久性，并配置排除规则使后续恶意程序躲避Windows Defender检测。

Sapphire Sleet组织利用虚假招聘信息和伪造Zoom更新对Mac用户实施ClickFix攻击，窃取凭证和敏感数据，安全专家建议用户保持警惕。

美国国家标准与技术研究院通过改变软件缺陷优先级排序方式，为漏洞修复工作开辟了全新路径，这一创新举措有望提升整体软件安全性。

《海上运输安全法》要求制定运营技术系统保护计划，涵盖网络安全防护、风险评估和应急响应机制。该法案还规定需进行独立第三方审计以验证安全措施有效性，并鼓励设立混合型运营技术安全角色，实现运营与安全防护的协调统一。

本文指出AI的危险性不在于创造新缺陷，而在于放大已有的安全问题。AI系统会显著扩大数据偏见、算法歧视等旧有问题的影响范围和严重程度，因此需要重视对已有缺陷的识别和修复。

攻击者利用服务提供商的合法新设备登录流程，诱骗受害者交出账户访问权限的新型钓鱼攻击方式。这种攻击利用用户对正常登录流程的信任，使受害者难以察觉正在遭受攻击。

行业组织和临时联盟准备填补NIST决定减少CVE数据丰富化后留下的空白，确保漏洞信息的完整性和可用性。