分类： 安全播报

FBI与印度尼西亚执法部门合作捣毁W3LL钓鱼工具包，该服务售价约500美元，已造成超过2000万美元的欺诈损失。

英国AI安全研究所测试Anthropic的Claude Mythos Preview模型，发现其在专家级网络安全任务中成功率达73%，但无法可靠执行针对加固网络的自主攻击。该模型不会公开发布，将通过Project Glasswing计划向特定组织提供早期访问。

OpenSSL 4.0.0正式发布，移除SSLv3、SSLv2 Client Hello及引擎API等弃用功能，新增Encrypted Client Hello后量子加密支持，并引入多项API和行为变更。

研究人员发现针对EncystPHP webshell的扫描活动，该webshell主要针对脆弱的FreePBX系统。扫描来自荷兰IP地址160.119.76.250，攻击者还尝试利用FreePBX漏洞并添加后门账户。

研究人员发现通过钓鱼邮件传播的恶意JavaScript文件，该文件体积10MB经高度混淆，内嵌开源lib库。脚本right使用ActiveXObject实现持久化，通过PowerShell执行AES解密后的恶意Payload，目前仅15款杀软可检测。

Anthropic发布Claude Mythos Preview模型，声称可发现并利用零日漏洞，引发安全社区对威胁行为者可能滥用该技术的担忧。

人工智能正以超过个人电脑和互联网的速度进入主流应用，但其安全保障措施未能同步跟进。2025年人工智能事件达362起，较2024年增长显著，监控系统面临分类和分析挑战。

2025年公开GitHub提交中泄露密钥达2865万个，同比增长34%。AI辅助代码的密钥泄露率是基线两倍，集成速度增10倍但凭证治理跟不上，多提供商集成进一步扩大暴露面。

文章介绍了Zero細信任项目推行一至两年后的现状，指出身份管理仍是主要挑战，包括身份蔓延、遗留系统例外和员工使用摩擦等问题，并探讨了AI代理大规模运行带来的新挑战以及应对措施。

美国政府警告能源、水务等关键基础设施企业，受国家支持的攻击者正瞄准联网的工业运营技术设备。研究人员发现179个存在漏洞的OT设备，部分老旧系统允许未经认证的直接訪問。