Xinference遭供应链投毒攻击,AI模型部署工具被植入恶意代码
紧急
国家网络安全通报中心监测发现,AI模型部署工具Xinference遭遇供应链投毒攻击。攻击者向Python官方软件包仓库PyPI上传了包含恶意代码的Xinference软件包,用户安装或引入受影响版本时,恶意代码将自动执行,可导致攻击者窃取敏感信息。该事件直接影响AI开发与部署环境的安全,建议用户立即核查版本并升级。
📎 安全内参 · 2026-05-06
国际刑警DDoS蜜罐被意外曝光,安全研究员逼停执法行动
高
一名安全研究员在调查国际执法行动Operation PowerOFF时,意外发现了一个由多国警方联合运营的付费DDoS攻击服务蜜罐网站。当她开始深入研究该网站时,执法部门因担心暴露而直接关闭了整个秘密基础设施。这一事件暴露了执法行动中的运营安全漏洞,也引发了对蜜罐技术部署策略的反思。
📎 安全内参 · 2026-05-06
美国2025年隐私违规罚款突破230亿元,执法常态化趋势明显
高
2025年美国隐私违规罚款总额突破230亿元,较往年大幅增长。增长主要源于加利福尼亚等州更完善的隐私法律、跨州执法合作机制的建立,以及对AI和自动化隐私影响的关注。分析指出,立法与执法间隔过长导致企业忽视隐私保护,未来合规压力将持续上升,企业需加速隐私治理体系建设。
📎 安全内参 · 2026-05-06
Linux内核曝本地权限提升漏洞,影响默认启用系统
高
CNCERT发布安全公告,Linux内核存在本地权限提升漏洞,影响默认启用的系统配置。该漏洞允许攻击者在获得本地低权限后提升至root权限,威胁服务器、云计算基础设施及嵌入式设备安全。鉴于Linux内核的广泛应用,建议用户关注发行版更新,及时应用补丁。
📎 安全内参 · 2026-05-06
cPanel访问控制错误漏洞可致远程未授权访问
高
国家漏洞库CNNVD通报,cPanel存在访问控制错误漏洞,源于登录流程中的身份验证绕过问题。未经身份验证的攻击者可远程访问目标服务器控制面板,导致服务器完全受控。cPanel官方已发布修复版本,建议用户立即升级。
📎 安全内参 · 2026-05-06
Progress ShareFile曝组合漏洞,可未认证远程代码执行
高
企业级安全文件传输解决方案Progress ShareFile被发现存在两处漏洞,攻击者可组合利用,在无需身份认证的情况下实现远程代码执行,进而窃取受影响环境中的文件。漏洞源于系统对HTTP重定向处理不当,攻击者可直接访问管理后台。建议用户立即更新至安全版本。
📎 嘶吼 · 2026-05-06
Ally WordPress插件高危SQL注入漏洞,威胁40万个网站
高
Ally WordPress插件被曝存在高危SQL注入漏洞,影响约40万个网站。攻击者可通过该漏洞注入恶意SQL语句,窃取数据库敏感信息,甚至获取网站控制权。使用该插件的WordPress站点应立即更新或禁用插件,直至官方发布修复补丁。
📎 安全客 · 2026-05-06
1
紧急:立即排查AI模型部署工具Xinference版本,确认是否使用了PyPI上的受影响包,并升级至官方最新安全版本。同时检查系统是否存在异常进程或网络连接,防止供应链投毒攻击导致的数据泄露。
2
紧急:针对Linux内核本地权限提升漏洞,建议IT运维团队立即检查服务器、云主机等设备的Linux内核版本,关注发行版安全公告,尽快应用补丁,防止低权限用户提权至root。
3
重要:检查cPanel、Progress ShareFile及Ally WordPress插件的版本,确认是否受相关漏洞影响,及时更新至修复版本。对于无法立即更新的系统,应加强访问控制和网络隔离。
4
重要:鉴于美国隐私罚款突破230亿元,跨境企业应重新评估数据合规策略,特别是涉及加州等严格隐私法规地区的业务,加强隐私治理与审计机制。
5
建议:关注后量子密码迁移趋势,评估现有加密资产(如TLS证书、代码签名证书)的寿命与风险,制定逐步迁移至抗量子算法的路线图。