1、国家网络安全通报中心:近期多起供应链投毒事件安全风险分析
国家通报中心监测发现,近期集中爆发多起供应链投毒攻击事件,攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios,涉及开源软件仓库和商用工具两大核心供应链场景。其中,Axios投毒事件因OpenClaw等大量AI应用及插件生态直接依赖该库,导致风险通过依赖链向终端用户进一步蔓延。三起供应链投毒事件呈现攻击隐蔽性强、影响范围广、危害程度高和传播速度快的共性特征,可造成凭据遭窃取、远程代码执行和敏感数据泄露等严重危害。
https://www.secrss.com/articles/89285
2、OWASP发布MCP十大安全风险
随着人工智能系统日益融入软件供应链、企业应用和安全基础设施,构建结构化、安全且可解释的模型交互层变得至关重要。模型上下文协议 (MCP) 正在兴起,成为定义人工智能模型操作、上下文和行为边界的框架。然而,MCP 的强大功能和灵活性也带来了一类新的漏洞和攻击面,而这些漏洞和攻击面仍有待深入研究。
https://owasp.org/www-project-mcp-top-10/
02.
关键基础设施
1、能源水务等关基工控设施遭破坏性网络攻击,美国政府紧急发布警报
随着冲突持续升级,美国总统特朗普威胁要全面摧毁伊朗的基础设施,而伊朗似乎也以自己的方式展开报复。一项针对全美工业控制系统的黑客行动已经展开,涉及能源和水务等基础设施。美国相关机构表示,这些攻击已造成系统破坏,并带来高额经济损失。
https://www.secrss.com/articles/89258
2、Meta宣布追加210亿美元投资CoreWeave AI基础设施
Meta追加210亿美元投资CoreWeave,强化AI算力合作,延长协议至2032年。面对AI需求激增,Meta采用多元化基础设施策略,同时推进超级智能实验室研发。CoreWeave借此降低对微软依赖,并计划追加30亿美元债务扩建数据中心。
https://siliconangle.com/2026/04/09/meta-platforms-says-will-spend-additional-21b-coreweaves-ai-infrastructure/
03.
安全事件
1、AI提效供应商被黑,至少十余家客户遭数据泄露及勒索攻击
由于AI提效供应商Anodot被黑,身份验证令牌泄露,导致至少12家公司的Snowflake云数据平台遭到数据窃取,部分公司还受到了ShinyHunters组织的数据勒索威胁;这一事件再次展示了SaaS、AI等新技术新业态极大放大了数据安全风险,此前Salesforce也曾因第三方生态屡遭攻击,导致大量客户数据大规模泄露。
https://www.secrss.com/articles/89302
2、俄电信巨头被黑致使互联网瘫痪,银行、政务、娱乐等数字服务无法访问
俄罗斯电信巨头Rostelecom遭受大规模DDoS攻击,导致全国互联网出现中断情况,许多用户无法访问银行、政务、娱乐等数字服务。
https://www.secrss.com/articles/89218
漏洞事件
1、通过CLAUDE.md文件可操控Claude Code实施SQL注入攻击
LayerX发现Claude Code的CLAUDE.md文件可被利用绕过安全规则,使攻击者无需 编码即可实施SQL注入和窃取凭证。AI无条件信任文件指令,厂商未及时响应,建议 严格审查此类文件。
https://hackread.com/claude-code-claude-md-sql-injection-attacks/
2、Wazuh: CVE-2026-25769
Wazuh集群存在严重RCE漏洞CVE-2026-25769,攻击者可利用工作节点通过反序列 化漏洞在主节点执行任意命令,CVSS评分9.1。已修复版本4.14.3,建议立即升级。
https://www.freebuf.com/articles/476683.html
