安佰视 - 网络安全博客 | AI安全漏洞 CVE分析 CTF技术分享

官方应用商店的"免死金牌"失效了：木马同时入侵谷歌与苹果

2026年4月27日，卡巴斯基发布报告：名为SparkCat的特洛伊木马变种同时出现在谷歌Play商店和苹果App Store，至少3款应用被感染后下架。该恶意软件伪装成企业通讯或外卖应用，一旦安装便扫描手机相册，寻找加密货币钱包的恢复助记词截图。更罕见的是，其Android版本采用了代码虚拟化技术——这在移动端恶意软件中极为少见。攻击者正用越来越复杂的技术，挑战应用商店审核的最后一道防线。

📅 2026年04月27日 16:00 🏷️ SparkCat, 特洛伊木马, App Store, Google Play, 加密货币钱包, 助记词窃取, 代码虚拟化, 移动安全

2026年4月15日，Forcepoint发布紧急报告：过去30天，全球超过120万个公共网页被植入恶意指令，攻击者利用1像素白色文本、HTML注释、零宽字符等手段，在正常页面中隐藏劫持指令。当用户让AI助手"总结一下这个网页"时，恶意代码已在上下文中悄然激活，执行数据窃取、邮件诈骗甚至横向感染。这不是实验室演示，而是正在互联网上大规模蔓延的现实攻击——间接提示注入（IPI）正在重写AI时代的安全边界。

📅 2026年04月27日 13:59 🏷️ 间接提示注入, IPI, Prompt注入, AI安全, Forcepoint, 大模型漏洞, RAG投毒, 供应链安全, 上下文窗口

企业文件传输平台再成噩梦：3万服务器裸奔在互联网

2026年4月，网络安全机构 watchTowr Labs 披露 Progress ShareFile 两个严重漏洞，CVE-2026-2699 认证绕过（CVSS 9.8）和 CVE-2026-2701 预认证RCE（CVSS 9.1）可组合利用，无需任何账号即可完全控制服务器。补丁已于3月10日发布，但截至漏洞公开日，全球仍有700余台实例暴露公网，3万台设备受影响。这条沦陷史从 Accellion 到 MOVEit 再到 ShareFile，从未结束。

📅 2026年04月27日 13:46 🏷️ ShareFile, CVE-2026-2699, CVE-2026-2701, 文件传输漏洞, 预认证RCE, Clop勒索, MOVEit, watchTowr

当企业雇了一个"全知助手"，然后发现陌生人也在听

# 当企业雇了一个"全知助手"，然后发现陌生人也在听 2026年3月10日，微软正式发布 Azure SRE 智能体——一个能访问服务器、读取日志、执行命令的 AI 运维助手。发布公告将它形容为"基础设施运维的未来"。一个月后，安全研究员 Yanir Tsarimi 在自己的博客里写下了另一段话： > "想象一下，你雇用了一位能够访问一切的助手——你的服务器、日志、密码、源代码。现在再想象一下...

📅 2026年04月27日 12:40 🏷️ Azure, SRE Agent, CVE-2026-32173, 身份验证漏洞, Entra ID, 多租户, 微软

一行伪造消息蒸发了2.92亿美元：Kelp DAO跨链桥攻击全复盘

2026年4月18日，Kelp DAO跨链桥遭攻击。攻击者利用LayerZero单验证者配置漏洞，伪造跨链消息凭空铸造11.65万枚rsETH，价值2.92亿美元，存入Aave借出真金白银，引发DeFi史上罕见的流动性危机。这是2026年最大的DeFi安全事件，也是朝鲜Lazarus组织的又一力作。

📅 2026年04月27日 12:14 🏷️ Kelp DAO, rsETH, LayerZero, 跨链桥攻击, Aave, DeFi安全, Lazarus, 流动性危机

一个AI工具攻破了百万开发者的底座：Vercel供应链入侵全复盘

2026年4月，前端云平台Vercel遭黑客入侵。攻击者从一个AI工具Context.ai的OAuth应用入手，劫持员工账户，窃取580条员工信息、NPM令牌、GitHub令牌与内部部署凭证，并以200万美元在暗网兜售。这是一场没有零日漏洞、没有复杂漏洞链的入侵——全靠OAuth信任链的过度授权完成。

📅 2026年04月27日 11:51 🏷️ Vercel, Context.ai, OAuth劫持, 供应链攻击, ShinyHunters, 环境变量泄露, AI安全