当信息窃取木马能给他们一把前门钥匙时，黑客们不再费力去撬侧窗。 信息窃取木马已成为攻击者获取被盗凭证的主要来源。使用这些凭证现已成为恶意行为者以"受邀客人"身份有效访问目标的首选途径。这比强行闯入更快、更容易、更隐蔽且更有效。 Flashpoint 报告称，2025 年有超过 1,110 万台设备感染了信息窃取木马。超过 33 亿条凭证、浏览器工件、会话信息及其他形式的身份数据正在非法市场上流通。这些数据不仅提供了进入目标的途径，还常常提供对有价值数据的授权访问，且不受目标内部安全防御的干扰。...

网络物理系统安全公司 Claroty 的研究人员在数据中心广泛使用的两款 HVAC 和 UPS 产品中发现了多个漏洞，展示了攻击者如何利用这些漏洞发起破坏性的远程攻击。 研究人员瞄准了为 Vertiv 的不间断电源（UPS）设备提供网络接口的网卡。 Claroty 指出："UPS 在数据中心中被广泛使用，以在断电时维持运营；它们还能保护系统免受电涌和电压骤降的影响，并支持安全关机。"...

Oracle PeopleSoft 服务器正成为 ShinyHunters 勒索团伙持续数据窃取攻击的目标，该团伙声称已从超过 100 家组织窃取了数据。 PeopleSoft 是一套企业业务软件套件，大型组织使用它来管理人力资源、薪资、财务、供应链管理、采购和学生管理等业务运营。 昨天，BleepingComputer 获悉了针对云上和本地 Oracle PeopleSoft 客户实例的大规模数据窃取攻击。这些客户收到了由 ShinyHunters 勒索团伙签名的勒索要求。...

攻击者正在积极利用 CVE-2026-5027（AI 开发平台 Langflow 中的一个高严重性路径遍历漏洞），在暴露的服务器上写入任意文件。Langflow 是一个开源可视化平台，用于构建 AI 应用程序、AI Agent、检索增强生成（RAG）系统和基于 MCP 的工作流， 消息来源：bleepingcomputer.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

Fortinet、Ivanti 和 SAP 已发布安全更新，修复了多个可能导致任意代码执行和信息泄露的严重安全漏洞。Fortinet 修复的安全漏洞涉及 FortiSandbox、FortiSandbox Cloud 及 FortiSandbox PaaS WEB UI 中的一个命令注入漏洞， 周二，Ivanti 也发布了针对 Ivanti Sentry（原 MobileIron Sentry）两个严重安全漏洞的修复：...

根据 VulnCheck 的研究结果，Langflow（一个用于构建人工智能（AI）应用程序的开源低代码平台）中存在一个高严重性的未修复安全漏洞，已在野外遭到活跃利用。该漏洞编号为 CVE-2026-5027（CVSS 评分：8.8），是一个路径遍历漏洞，可能允许攻击者将文件写入任意位置。 消息来源：thehackernews.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

美国网络安全和基础设施安全局（CISA）周二在收到活跃利用报告后，将三个新漏洞添加到其已知被利用漏洞（KEV）目录中。漏洞清单如下： 已遭利用的 Arista EOS 漏洞无补丁计划Arista 表示："在受影响的运行 Arista EOS 的平台上，如果存在隧道解封装配置——例如 VXLAN（虚拟可扩展局域网）、decap-groups 或 GRE（通用路由封装）隧道接口——交换机...

这篇题为《软件工程的终结：AI智能体如何从根本上重构软件范式》的论文，核心论点是：AI智能体的出现不是对软件工程的增量改进，而是对软件范式的根本性重构。 原文链接：https://arxiv.org/pdf/2606.05608 论文指出，传统软件系统的所有决策逻辑必须在运行前由人类工程师显式编写。这意味着每一次功能添加、缺陷修复或环境适应，都需要人类理解变更需求、定位代码位置、修改逻辑并验证正确性。...

Anthropic 周二宣布 Claude Fable 5 正式上市，这是一款强大的 Mythos 级 AI 模型，配备了新的安全措施，专门限制其在包括网络安全在内的高风险领域中的使用。 该 AI 巨头表示，这是首次有如此能力级别的模型被认为足够安全，可以向公众和开发者广泛开放。 虽然 Fable 5 表现出色——在软件工程、知识工作、视觉和长时间运行任务方面超越了之前的模型——但该公司通过实施针对性的拦截机制优先考虑了安全性。...

法国政府数字事务局（DINUM）警告称，黑客利用被劫持的用户账户入侵了法国政府加密即时通讯平台 Tchap。 Tchap 由 DINUM 与 ANSSI（法国网络安全局）于 2018 年合作内部开发，是一款基于去中心化 Matrix 协议的即时通讯服务和协作工具，专为法国公共部门设计。 在法国总理 François Bayrou 于 2025 年 8 月初强制要求所有公务员使用 Tchap 并禁止使用外国应用进行工作通讯后，Tchap 现已拥有超过 30 万月活跃用户，在 Google Play Store 上的下载量超过 50 万次。...