美国扩大AI模型测试机制强化网络安全风险评估

失控的人工智能清空了一家公司的整个数据库

据 PocketOS 创始人杰里米·克雷恩的说明，人工智能工具失控并删除了公司核心基础设施及备份数据，整个过程仅持续了九秒。事件发生期间，无法访问预订和车辆管理系统租车客户遭受了巨大损失。

来源: TrtHaber

数千个 Facebook 账户因通过 Google 发送的钓鱼邮件而被盗

研究人员发现了一起长期运行的网络钓鱼活动，该活动利用受信任的谷歌服务劫持了数万个 Facebook 账户。遭到入侵的 Facebook 账户主要是企业及广告主主页，犯罪分子在获得访问权限和控制权后便可从中牟利。

来源: MalwareBytes Blog

Vimeo 数据泄露事件导致 11.9 万人的个人信息遭泄露

据数据泄露通知服务 “Have I Been Pwned” 称，ShinyHunters 勒索团伙于 4 月入侵在线视频平台 Vimeo 后，窃取了超过 11.9 万人的个人信息。初步调查显示，被访问的数据库主要包含技术数据、视频标题及元数据，部分情况下还包含客户电子邮箱地址。

来源: BleepingComputer

DDoS 恶意软件利用 Jenkins 攻击 Valve 游戏服务器

一个新型 DDoS 僵尸网络利用暴露在外的 Jenkins 服务器，对 Valve Source Engine 游戏基础设施发起猛烈攻击。此次攻击活动表明，一台配置错误的持续集成（CI）服务器如何被转化为多平台攻击节点，能够对在线游戏发起 UDP、TCP 及应用层洪水攻击。

来源: GBHackers

ClickUp 数据泄露事件导致企业邮箱信息外泄长达一年多

ClickUp 公共网站中嵌入的一个硬编码 API 密钥，在过去一年多时间里悄然泄露了数百个企业和政府机构的电子邮件地址。该漏洞最早于 2025 年初被报告，截至 2026 年 4 月仍未修复——这意味着任何人只需发送一个简单请求，无需任何身份验证，即可访问敏感数据。

来源: eSecurity Planet

cPanel 关键漏洞被利用，针对政府及 MSP 网络发起攻击

观察到一个此前未知的威胁行为者，正利用 cPanel 中最近披露的漏洞，针对东南亚的政府和军事机构，以及菲律宾、老挝、加拿大、南非和美国的一小部分托管服务提供商（MSP）和主机服务提供商发起攻击。

来源: The Hacker News

微软披露针对 26 个国家 3.5 万名用户的网络钓鱼攻击活动

微软披露了一起大规模凭证窃取活动的细节，该活动利用了以行为准则为主题的诱饵与合法电子邮件服务的组合，将用户引导至攻击者控制的域名，并窃取身份验证令牌。该攻击活动针对 26 个国家/地区超过 13000 家组织中的 35000 多名用户。

来源: The Hacker News