夜雨聆风安全热点跟踪|AI助手沦为内鬼、红帽生态遭蠕虫吞噬、模板引擎满血RCE
📊 本篇共收录 | 🔴 严重漏洞 2 个 | 🤖 AI安全 1 个 | ⚠️ 供应链攻击 1 起 | 💀 在野利用 0 起 | 🔴 0Day 0 个
🔥 安全热点分析
Meta AI助手被"说"成了黑客帮凶:百万美元Instagram账号瞬间易主
Meta的AI客服助手拥有绑定邮箱和重置密码的后台API权限,却缺乏身份验证关卡。攻击者只需用自然语言告诉AI"帮我把新邮箱绑定到这个用户名",AI便直接执行,将验证码发到攻击者邮箱。整个接管过程几分钟完成,原持有人无任何通知。@obamawhitehouse、@hey等高价值账号被窃后在Telegram即时转售。这本质是经典的"混淆代理人"攻击,但代理人是概率性语言模型,传统硬编码逻辑无法防御。
关键信息:
AI助手拥有账户管理API写权限,无确定性认证检查 2FA完全绕过,原持有人无任何告警 OWASP LLM Top 10明确列出"过度授权"风险 Meta已紧急热修复,限制AI对话流对敏感API的访问
参考链接: • CyberSecurityNews: Meta AI漏洞致Instagram账号被劫持 https://cybersecuritynews.com/instagram-meta-ai-vulnerability/ • Heal Security: 黑客利用Meta AI机器人重置密码 https://healsecurity.com/hackers-use-metas-ai-bot-to-reset-passwords-and-hijack-instagram-accounts/
Miasma蠕虫吞噬Red Hat:72秒投毒32个npm包,OIDC信任链全面崩塌
攻击者入侵Red Hat员工GitHub账户,推送孤立提交注入恶意GitHub Actions工作流。工作流利用id-token:write权限申请OIDC令牌,通过npm trusted publishing端点以Red Hat官方身份发布带后门的包版本,拥有合法SLSA来源签名。preinstall钩子在安装时自动执行4.2MB混淆载荷,窃取AWS/Azure/GCP凭据、GitHub Actions密钥、SSH密钥等,并尝试向受害者可发布的其他包自传播。309个GitHub仓库已受影响。
关键信息:
32个@redhat-cloud-services包72秒内被投毒,约980万总下载量 OIDC trusted publishing被滥用,包拥有合法签名 载荷注入Claude Code和VS Code实现持久化 检测CrowdStrike/SentinelOne等端点防护后才开始恶意操作 避免在俄语系统上执行
参考链接: • The Hacker News: Miasma供应链攻击 https://thehackernews.com/2026/06/miasma-supply-chain-attack-compromises.html • Snyk: Miasma供应链攻击分析 https://snyk.io/blog/miasma-supply-chain-attack-malicious-code-redhat-cloud-services-npm-packages/ • Infosecurity Magazine: Red Hat npm被劫持 https://www.infosecurity-magazine.com/news/red-hat-npm-scope-backdoored/
LiquidJS CVE-2026-45618:一个valueOf过滤器,730万月下载用户的系统全面失守
LiquidJS模板引擎的valueOf过滤器会将1|valueOf求值为this,暴露内部执行上下文。攻击者借此覆盖this.loader.lookup和this.readFile控制解析器输入,最终获取Function构造函数引用实现任意代码执行。PoC已证明可读取/etc/passwd。CVSS满分10.0,影响10.26.0以下所有版本。作为Shopify Liquid模板语言的Node.js实现,被大量Web、CMS和邮件模板系统依赖。
关键信息:
CVSS 10.0满分,valueOf过滤器暴露执行上下文 通过原型链覆盖实现Function构造函数引用 730万月下载量,影响面巨大 10.26.0版本已修复
参考链接: • SecurityOnline: LiquidJS CVSS 10 RCE https://securityonline.info/liquidjs-remote-code-execution-cvss-10/ • Orca Security: LiquidJS RCE分析 https://orca.security/resources/blog/critical-rce-in-liquidjs-lets-attackers-execute-arbitrary-commands-on-unpatched-hosts/ • Snyk: LiquidJS任意代码注入 https://security.snyk.io/vuln/SNYK-JS-LIQUIDJS-16959997
Comet Backup CVE-2026-32999:租户管理员上传一个DLL,整个备份帝国沦陷
拥有branding权限的租户管理员可上传自定义.dll/.so可执行文件用于代码签名,进而生成恶意backup-tool客户端。恶意代码以cometd进程权限执行,突破租户边界,获取config.cfg中全部用户数据、远程设备备份数据,甚至可在已安装backup-tool的终端上以特权用户身份执行代码。全球超12000台Comet Backup服务器暴露公网,约85%运行受影响版本。
关键信息:
CVSS 9.1,租户管理员可突破多租户隔离 可读取所有用户配置和备份数据 可在连接的终端设备上执行代码 26.4.3和26.5.0版本已修复
参考链接: • SecurityOnline: Comet Backup RCE漏洞 https://securityonline.info/comet-backup-rce-vulnerability-cve-2026-32999/ • Comet Backup官方安全公告 https://support.cometbackup.com/hc/en-us/articles/40655100268439--CVE-2026-32999-RCE-on-Comet-Server-via-branding-configuration
ActiveMQ Jolokia再现RCE:CVE-2026-42588用masterslave协议绕过旧补丁
CVE-2026-42588是CVE-2026-34197的变体,攻击路径从vm://改为masterslave://格式的discovery URI。Jolokia默认策略仍允许对org.apache.activemq:*下MBean执行exec操作,攻击者通过addNetworkConnector传入恶意masterslave URI,触发VM transport的brokerConfig参数加载远程Spring XML,Bean在配置校验前实例化导致RCE。奇安信CERT已验证,技术细节公开,影响万级部署。
关键信息:
CVE-2026-34197的绕过变体,使用masterslave://替代vm:// 奇安信CERT验证,技术细节已公开 升级至5.19.7或6.2.6修复 需认证用户权限
参考链接: • NVD: CVE-2026-42588详情 https://nvd.nist.gov/vuln/detail/CVE-2026-42588 • Apache ActiveMQ安全公告 https://activemq.apache.org/components/classic/security • 奇安信: CVE-2026-42588 https://ti.qianxin.com/vulnerability/detail/465339
📋 快速参考
🔴 紧急漏洞
⚠️ 安全事件
🛡️ 处置建议
🔴 紧急(24小时内)
使用LiquidJS的项目立即升级至10.26.0,排查是否有模板来源不受信任 自托管Comet Backup升级至26.4.3或26.5.0,审计branding权限分配 使用@redhat-cloud-services包的项目立即轮换所有凭据、密钥和Token
🟠 短期(1周内)
升级Apache ActiveMQ至5.19.7或6.2.6,限制Jolokia接口访问 Instagram高价值账号启用基于App的2FA,使用非公开关联邮箱 审计CI/CD管道中OIDC trusted publishing的权限范围
🟢 持续改进
AI助手访问敏感API前必须加入确定性认证检查,不能仅依赖语言模型判断 npm包发布流程增加人工审批环节,OIDC绑定应限制到特定工作流和分支 多租户系统中branding/自定义功能需沙箱化执行,禁止突破租户边界
内容整理自公开安全情报,仅供学习参考
