情报
AI 生成的结构化厂商动态简报
微软推动安全设计范式转向防欺骗优先
微软提出安全防护重点从技术对抗转向防欺骗,强调将安全理念深度融入产品设计阶段。通过智能设计减少用户犯错机会,包括默认强安全设置和AI风险拦截。这代表安全防御策略向行为科学与用户体验设计扩展。
CrowdStrike推出抗钓鱼MFA扩展身份安全平台
CrowdStrike发布FalconID产品,采用FIDO2/WebAuthn标准提供防钓鱼多因素认证,与Falcon平台集成实现上下文风险分析。这标志着公司从终端安全向身份保护领域的战略扩展。
思科联合英伟达与VAST推出AI数据平台端到端安全架构
思科联合英伟达和VAST推出可部署的AI数据平台参考架构,整合计算基础设施、数据平台和安全防护。该架构通过Cilium实现K8s网络策略控制,Tetragon提供容器运行时安全,AI Defense防护应用层风险,实现从数据到AI应用的全生命周期安全。
OpenAI与Paradigm推出智能合约安全AI评估基准
OpenAI与加密风投机构Paradigm联合发布EVMbench基准测试,专门评估AI代理在检测、修补和利用高严重性智能合约漏洞方面的能力。该基准包含三类关键任务:漏洞检测、补丁生成和漏洞利用,旨在建立AI在区块链安全领域的标准化评估体系。
OpenAI强化ChatGPT Atlas对抗提示注入攻击
OpenAI采用基于强化学习的自动化红队测试技术,持续强化ChatGPT Atlas对提示注入攻击的防御能力。这种主动发现与修补循环机制旨在AI日益具备代理特性时提前识别新型漏洞。
诺和诺德AI模型失窃:勒索转向掠夺研发壁垒,安全边界需重划
诺和诺德遭FulcrumSec勒索,1.3TB数据含蜻蜓AI模型全栈权重及临床数据失窃,赎金遭拒。攻击利用MOVEit零日漏洞,内网渗透两月。AI模型首次成为制药核心攻击目标,研发壁垒被拉平,全球药企启动AI资产安全排查。
微软Copilot SearchLeak漏洞:一次点击即可通过LLM窃取所有企业已索引数据
Varonis发现微软365 Copilot企业版存在SearchLeak漏洞链(CVE-2026-42824),利用参数到提示词注入(P2P注入)、HTML渲染竞态条件及借助Bing服务的SSRF绕过CSP。攻击者通过恶意URL诱导用户点击,Copilot将敏感数据嵌入图片URL并通过必应外传,绕过传统安全防护。微软已发布补丁。