▸全球央行预警Anthropic最新大模型Mythos，其自主发现并利用高危0day漏洞的能力引发国家安全担忧

▸Apache PyFory反序列化策略绕过漏洞(CVE-2026-48207)被公开，影响跨语言序列化框架安全

▸HPE发布Aruba OS高危漏洞预警，攻击者可未授权重置管理员密码

▸Ally WordPress插件存在高危SQL注入漏洞，威胁超40万个网站

▸国家安全部发文强调气象数据安全，明确涉外气象探测活动红线

📋

监管动态

2条

全球央行预警：Anthropic最新大模型Mythos发现并利用高危0day漏洞能力引发国家安全担忧 紧急

Anthropic发布其Claude产品线迄今能力最强的模型Mythos，该模型在发现和利用软件漏洞上的表现显著飞升。Anthropic警告其已经发现潜藏了几十年的高危漏洞，包括所有主流操作系统和浏览器，并指出“这种漏洞可能对经济、公共安全和国家安全造成严重后果”。全球央行接连对此发出预警，担忧该能力可能被用于金融系统攻击。

📎 安全内参 · 2026-05-29

国家安全部：气象数据事关国家安全，观测莫触红线 政策

国家安全部发文强调气象数据安全重要性。中国气象局、国家安全部、国家保密局联合出台的《涉外气象探测和资料管理办法》明确规定：任何组织和个人不得向未经批准的外国组织或者个人提供气象探测场所和气象资料；涉外气象探测站（点）设立实行行政许可制度；国防及军事设施区域、军事敏感区域等禁止设立涉外气象探测站（点）。

📎 安全内参 · 2026-05-29

🚨

安全事件

3条

Apache PyFory反序列化策略绕过漏洞(CVE-2026-48207)安全风险通告 紧急

Apache PyFory（高性能跨语言序列化框架）被曝存在反序列化策略绕过漏洞CVE-2026-48207。该框架支持Java、Python、Go、JavaScript等多种语言，旨在提供比Protocol Buffers、Kryo等方案更高的性能。漏洞可导致攻击者绕过安全策略，触发远程代码执行，影响范围广泛。

📎 安全内参 · 2026-05-29

PolyShell高危漏洞可致电商Magento系统遭未授权远程代码执行 紧急

名为“PolyShell”的高危新型漏洞被公开披露，影响所有Magento开源版与Adobe Commerce 2系列稳定版本。攻击者可上传多格式兼容恶意文件，该文件既可伪装成常规图片绕过安全检测，又能解析执行后台恶意脚本后门，实现未授权远程代码执行，严重威胁电商平台安全。

📎 嘶吼 · 2026-05-29

OpenClaw生态安全事件：从RCE漏洞到Skill供应链投毒 高

安全研究员披露OpenClaw生态近期四起安全事件，涉及Moltbook应用因Supabase后端配置不当导致的RCE漏洞，以及Skill供应链投毒攻击。分析指出，Web应用中前端JavaScript打包文件包含Supabase公共匿名密钥虽是标准做法，但后端若未正确实施行级安全策略，将导致数据泄露与未授权访问。

📎 嘶吼 · 2026-05-29

🔓

漏洞预警

4条

HPE发布Aruba OS高危漏洞预警：可未授权重置密码 紧急

HPE发布安全预警，其Aruba OS存在高危漏洞，攻击者可利用该漏洞在未授权情况下重置管理员密码，从而完全控制受影响设备。该漏洞影响大量企业网络边缘设备，建议用户立即升级固件。

📎 安全客 · 2026-05-29

Ally WordPress插件高危SQL注入漏洞：威胁40万个网站 紧急

Ally WordPress插件被曝存在高危SQL注入漏洞，影响超过40万个活跃网站。攻击者可利用该漏洞直接查询数据库，窃取用户凭证、敏感数据等。建议所有使用该插件的站点立即更新或停用。

📎 安全客 · 2026-05-29

GitLab发布紧急安全更新：修复高危XSS与API拒绝服务漏洞 高

GitLab发布紧急安全更新，修复了多个高危漏洞，包括跨站脚本(XSS)漏洞和API拒绝服务(DoS)漏洞。攻击者可利用XSS漏洞在受害者浏览器中执行恶意脚本，或通过API漏洞导致服务不可用。建议所有自托管GitLab实例立即升级。

📎 安全客 · 2026-05-29

Splunk修复文件预览功能中的高危RCE漏洞 高

Splunk发布安全更新，修复了其文件预览功能中的一个高危远程代码执行(RCE)漏洞。攻击者可通过构造特制文件，在Splunk服务器上以高权限执行任意代码。该漏洞影响多个版本，建议用户尽快升级。

📎 安全客 · 2026-05-29

⚠️

风险提示

1条

亚数TrustAsia 2026春季战略：以CaaS 2.0重构数字信任，领航后量子时代 中

亚数TrustAsia发布2026春季战略，聚焦后量子时代(PQC)威胁、TLS/SSL证书及代码签名证书有效期持续缩短、机器身份规模化管理的挑战。推出CaaS 2.0（证书即服务）方案，旨在帮助企业应对数字身份爆炸时代的信任管理难题。

📎 嘶吼 · 2026-05-29

✅

安全建议

5条

1

紧急：针对Anthropic Mythos模型发现并利用0day漏洞的能力，建议所有关基设施和金融系统立即评估AI驱动的攻击面，建立AI安全威胁情报共享机制，并部署AI对抗AI的自适应防御体系。

2

紧急：Apache PyFory反序列化漏洞(CVE-2026-48207)影响面广，建议所有使用该框架的团队立即排查版本并应用官方补丁，同时检查是否存在反序列化攻击痕迹。

3

紧急：针对Magento PolyShell漏洞和Ally WordPress插件SQL注入漏洞，建议电商网站和WordPress站点管理员立即更新相关软件，并部署Web应用防火墙(WAF)进行临时防护。

4

重要：HPE Aruba OS高危漏洞可导致设备被完全控制，建议网络管理员立即检查设备型号与固件版本，按官方指南升级至修复版本，并重置所有管理员密码。

5

建议：结合国家安全部关于气象数据安全的警示，建议涉及气象、地理信息等敏感数据采集的单位，立即开展涉外合作合规性自查，确保所有探测活动已获行政许可。