夜雨聆风🔐 AI与网络安全每日情报简报
2026年4月20日(星期一)
彼德AISOS技术团队
出品单位:上海彼德数智人工智能科技有限公司
📌 今日要闻 TOP 3
1.ShinyHunters周末掀起Salesforce数据泄露浪潮——4月18–19日周末期间,ShinyHunters集团被曝连环攻破多家企业的Salesforce实例:Zara 870万条PII+企业数据、Pitney Bowes 2500万条、加拿大Canada Life人寿560万条、7-Eleven 60万条、Alert 360 250万条,累计波及数千万条个人信息,暴露出SaaS CRM OAuth令牌滥用与第三方连接器成为新的供应链突破口。来源:BreachSense、Bleeping Computer。
2.Fortinet周末紧急补丁:FortiClient EMS高危漏洞在野利用——4月18–19日Fortinet发布紧急补丁修复FortiClient EMS漏洞CVE-2026-35616(CVSS 9.1),该漏洞允许未经身份验证的攻击者通过构造请求执行任意命令,自3月31日起已在野利用,CISA已将其纳入KEV目录并要求联邦机构优先修复。来源:CISA、SecurityWeek(4月19日)。
3.OpenAI GPT-5.4-Cyber安全专用模型正式开放——4月18日,OpenAI面向安全团队正式推出GPT-5.4-Cyber——针对防御性网络安全微调的"cyber-permissive"版本,配套Codex Security应用安全代理已协助修复3000+高危/严重漏洞;同期Anthropic披露Mythos Preview模型在主流操作系统/浏览器中找到多个高危漏洞但暂不开放公众使用。来源:The Hacker News(4月18日)、NPR。
🤖 AI领域动态
模型与技术
•【模型发布】OpenAI于4月18日推出GPT-5.4-Cyber专用版本,支持漏洞挖掘、告警分流与响应脚本生成等防御性安全任务,Codex Security已累计修复3000+高危漏洞。来源:The Hacker News(4月18日)、OpenAI官方博客。
•【研究进展】Anthropic披露Mythos Preview模型已在所有主流操作系统与浏览器中发现多个高严重性漏洞,因滥用风险过高决定暂不向公众开放该模型权重。来源:NPR(4月11日)。
•【国产动态】阿里通义千问Qwen3.6-Plus于4月4日发布后登顶OpenRouter日榜,单日调用量突破1.4万亿Token;DeepSeek V4、Kimi K2.5、MiniMax M2.5于4月第一周集体迭代,国产大模型进入性能跃升期。来源:新浪财经、科学网。
•【具身智能】智元机器人4月17日在上海举办2026合作伙伴大会,一次性发布4款本体新品、4个AI大模型、7套解决方案及开放数据集。来源:新浪科技(4月17日)。
应用与落地
•【企业安全】IBM 4月15日宣布面向"agentic attacks"新威胁态势推出新一代企业安全方案,IBM Consulting同步上线Agentic AI攻防就绪度评估服务。来源:IBM Newsroom(4月15日)。
•【生态合作】Thoma Bravo与Google Cloud于4月15日宣布战略合作,将其网络安全组合公司接入Gemini生态,联手识别与缓解AI驱动下快速演进的安全风险。来源:Google Cloud Press Corner(4月15日)。
•【AI编码】Anthropic与OpenAI在4月17日前后同步扩展智能体代码能力,覆盖代码审查、设计稿转代码与CI集成场景,开发者工具市场竞争白热化。来源:The AI Insider(4月17日)。
产业与市场
•【融资动态】TechCrunch 4月15日披露,多家VC向Anthropic主动出价,估值喊至8000亿美元,较其2月G轮3800亿美元估值翻倍;公司暂未接受。来源:TechCrunch(4月15日)。
•【收入增长】Anthropic年化收入从2025年1月的10亿美元飙升至2026年4月的300亿美元,30倍增长一度使其在二级市场估值反超OpenAI。来源:TechCrunch、FT(4月14日)。
•【市场份额】Crunchbase 4月报告显示Q1 2026全球风投总额达3000亿美元,AI占比80%(2420亿美元),OpenAI/Anthropic/xAI/Waymo合计融资1880亿美元。来源:Crunchbase News(4月1日)。
🛡️ 网络安全动态
漏洞与威胁
•【KEV扩容】4月17–18日CISA接连向KEV目录新增6个漏洞条目,覆盖Fortinet、Microsoft与Adobe产品线,其中Apache ActiveMQ CVE-2026-34197(CVSS 8.8)要求联邦机构4月30日前修复。来源:The Hacker News、CISA。
•【紧急补丁】Fortinet周末紧急发布FortiClient EMS修复包,应对CVE-2026-35616(CVSS 9.1)未授权命令执行漏洞,该漏洞自3月31日起已在野利用。来源:SecurityWeek(4月19日)。
•【Patch Tuesday】微软4月Patch Tuesday修复167个漏洞,其中SharePoint Server零日CVE-2026-32201已在野利用,19个漏洞被评估为"后续利用可能性高"。来源:CrowdStrike Blog、SecurityWeek(4月14日)。
•【浏览器风险】Google 4月15日向Stable通道推送Chrome 147,修复Viz组件沙箱逃逸漏洞CVE-2026-6309,建议企业终端即时升级。来源:Windows News(4月15日)。
•【NVD变化】NIST自4月15日起调整NVD的CVE处理优先级,优先覆盖CISA KEV条目与联邦使用软件,企业漏洞情报订阅策略需同步调整。来源:NIST官网(4月15日)。
攻击事件
•【零售巨头】Zara于4月18–19日周末被ShinyHunters攻破Salesforce实例,870万条PII及TB级企业内部数据外泄。来源:BreachSense(4月19日发现)。
•【邮政与保险】Pitney Bowes(2500万条)和加拿大Canada Life人寿(560万条)同期被ShinyHunters攻破Salesforce记录,波及客户与投保人PII。来源:BreachSense(4月19日发现)。
•【便利店】7-Eleven公司Salesforce实例被攻破,60万条PII与内部企业数据遭ShinyHunters窃取。来源:BreachSense(4月19日发现)。
•【安防服务】Alert 360 Opco超250万条记录被ShinyHunters窃取,涉及客户PII与内部企业数据。来源:BreachSense(4月19日发现)。
•【日本勒索】GoTip(gotip.jp)于4月17日遭RansomEXX勒索软件攻击,系统与数据被加密。来源:BreachSense。
•【医疗APT】UAC-0247攻击集群在3–4月针对政府与市政医疗机构投放恶意软件,专门窃取Chromium系浏览器与WhatsApp敏感数据。来源:The Hacker News(4月18日)。
政策与合规
•【欧盟AI法】欧盟委员会"Digital Omnibus on AI"拟在4月28日前完成三方谈判政治协议,高风险AI系统合规义务正式延期,通用AI与禁止实践条款维持现行生效时间。来源:IAPP、artificialintelligenceact.eu。
•【中国伦理】中国十部门4月联合发布《人工智能伦理审查与服务试行指引》,要求AI相关主体建立内部伦理审查委员会,并将伦理评估纳入算法备案义务闭环。来源:中国国家互联网信息办公室相关通报。
•【美国行政】美国联邦层面保持"市场驱动型"AI监管基调,行政令14365要求商务部识别"繁重"州级AI法规,司法部成立AI诉讼专项工作组挑战地方立法。来源:Alston & Bird AI Quarterly(4月)。
•【州级合规】科罗拉多AI法案2026年内生效,聚焦高风险AI系统算法歧视防范;德州《负责任AI治理法》已于1月1日实施,合规压力向部署方传导。来源:Wilson Sonsini 2026 Year in Preview。
🔍 每日新增安全漏洞预警
CVE编号 | 漏洞名称 | CVSS | 受影响厂商/产品 | 修复状态 |
CVE-2026-35616 | FortiClient EMS 未授权命令执行 | 9.1 | Fortinet FortiClient EMS 7.4.5–7.4.6 | 紧急补丁已发布(需立即升级) |
CVE-2026-34197 | Apache ActiveMQ 远程代码执行 | 8.8 | Apache ActiveMQ Classic | 已修复(5.19.4/6.2.3) |
CVE-2026-32201 | SharePoint Server 零日欺骗 | 6.5 | Microsoft SharePoint | 已修复(4月Patch Tuesday) |
CVE-2026-33827 | Windows TCP/IP 远程代码执行 | 9.8 | Microsoft Windows | 已修复(4月Patch Tuesday) |
CVE-2026-6309 | Chromium Viz 沙箱逃逸 | 8.8 | Google Chrome 147前版本 | 已修复(Stable 147) |
CVE-2026-40478 | Thymeleaf 模板引擎安全绕过 | 9.0 | Thymeleaf | 厂商已发布补丁 |
CVE-2026-40493 | SAIL Image Library 缓冲区溢出 | 9.8 | SAIL Image Library | 需尽快升级至最新版本 |
📊 趋势研判与防护建议
4.SaaS CRM成为新的"供应链突破口"——周末ShinyHunters连环攻击Zara、Pitney Bowes、Canada Life、7-Eleven、Alert 360 等企业的Salesforce,建议立即清点OAuth连接应用、吊销长期Token、启用IP/设备绑定与异常导出告警,并对DataLoader类大批量导出操作接入SIEM。
5.中间件与EMS类管理平台持续被重点打击——Fortinet EMS、Apache ActiveMQ、SharePoint连续爆出在野利用漏洞,建议对所有互联网可达的管理/中间件平面优先排查补丁,部署Virtual Patch与行为检测规则,并限制控制面访问至堡垒机与0Trust网关。
6.AI安全能力加速落地但须防反制——GPT-5.4-Cyber与Codex Security等AI-Native能力在4月密集发布,建议企业优先在漏洞管理与告警分流场景试点,并建立数据脱敏、对齐评估与越狱检测机制,同时防范攻击者使用类似能力加速漏洞武器化。
7.浏览器与客户端仍是终端突破口——Chrome 147沙箱逃逸、UAC-0247窃密攻击链均以浏览器/客户端为入口,建议企业开启Chrome自动更新、强制启用Site Isolation,并对WhatsApp等即时通讯落地DLP与受控浏览策略。
8.合规多轨并行需建立AI合规地图——欧盟延期高风险AI义务、美国联邦/州博弈持续、中国伦理审查与算法备案闭环,出海企业需针对三地差异搭建AI合规地图,并同步跟进NVD优先级调整后的漏洞情报接入策略。
🔗 重要链接
•【KEV目录】CISA已知被利用漏洞目录(每日更新):cisa.gov/known-exploited-vulnerabilities-catalog
•【漏洞周报】CISA每周漏洞摘要:cisa.gov/news-events/bulletins
•【OpenAI安全】OpenAI防御性网络安全能力介绍:openai.com/index/scaling-trusted-access-for-cyber-defense/
•【AI法案】欧盟AI法最新进展与条款解读:artificialintelligenceact.eu
•【威胁情报】The Hacker News每日威胁与漏洞追踪:thehackernews.com
•【泄露周报】Data Breaches Digest 周度事件汇编:dbdigest.com
扫码关注·获取更多安全情报
|
|
彼德研究院公众号 | 彼德研究院视频号 |
彼德AISOS技术团队
上海彼德数智人工智能科技有限公司
联系人:Peter,手机/微信:13570083210
