嘶吼安全动态

【国内新闻】

国家级电力 AI 中试基地启用，华为、百度入驻筑牢能源 AI 安全

摘要：作为电力人工智能领域的 " 桥梁型平台 "，中试基地已成功连接 100 多家不同领域单位。

原文链接：https://baijiahao.baidu.com/s?id=1860252756515987591&wfr=spider&for=pc

中央网信办规范短视频标注，AI 摆拍 / 虚假营销强制显形溯源

摘要：全平台整治无标识 AI 生成内容、虚构演绎，启用 AI 识别 + 人工复核，违规内容下架整改，净化内容生态。

原文链接：http://m.toutiao.com/group/7619651131685388815/

AI 智能体风险被系统性揭示  

摘要：国家互联网应急中心指出 AI 智能体面临提示词注入、插件投毒等风险，攻击者可诱导模型泄露敏感数据或执行恶意操作，攻击门槛显著降低。

原文链接：

https://www.stcn.com/article/detail/3691088.html 

北京网安破获特大 " 网络开盒 " 案，涉案信息超千万条

摘要：嫌疑人搭建社工库非法售卖个人信息，涉案网站访问量 30 万 +，5 人因侵犯公民个人信息罪获刑 1 年 6 个月至 7 年，罚金 1.5 万 -7 万元。

原文链接：http://m.toutiao.com/group/7620051829627306534/

【国外新闻】

OpenClaw 风险引发全球安全关注  

摘要：AI 智能体 OpenClaw 安全问题被认为具有全球影响，涉及设备劫持、数据泄露及金融操作风险，多国开始关注其潜在攻击面扩展问题。

https://www.chinanews.com.cn/sh/2026/03-23/10591104.shtml

OpenWebUI 服务器遭攻击，被植入挖矿与信息窃取恶意代码  

摘要：研究人员发现大量未开启认证的 OpenWebUI 实例被攻击，黑客利用其 AI 接口部署挖矿程序与信息窃取工具，并通过混淆技术隐藏恶意载荷，部分脚本疑似 AI 生成，显示 AI 应用正成为新型攻击入口。

原文链接：https://gbhackers.com/openwebui-servers-targeted/

Oracle 修复高危 RCE 漏洞，可被远程未认证利用  

摘要：Oracle 修复 CVE-2026-21992 漏洞，影响 Identity Manager 与 Web Services Manager。该漏洞无需认证即可远程执行代码，攻击者可完全控制系统、窃取身份数据并横向移动，CVSS 评分高达 9.8。

原文链接：https://gbhackers.com/oracle-fixes-high-severity-rce-vulnerability/

VoidStealer 窃密木马绕过 Chrome 加密机制

摘要：新型信息窃取木马 VoidStealer 通过调试器技术绕过 Chrome 应用绑定加密（ABE），利用硬件断点在内存中提取主密钥，无需提权或注入代码，隐蔽性极强，标志浏览器安全防护再次被突破。

https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/  

Trivy 漏洞扫描器遭供应链攻击，GitHub Actions 被植入窃密程序  

摘要：攻击者入侵 Trivy 项目并篡改 GitHub Actions 标签，将恶意代码注入 CI/CD 流程，窃取环境变量、密钥及云凭证。攻击利用标签投毒机制实现隐蔽传播，影响大量开发流水线。

https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/