全球网安事件速递

1. SandboxJS 四大高危漏洞（CVSS 10.0）可导致宿主系统沦陷

SandboxJS库曝出4个CVSS 10.0高危漏洞，可完全突破沙箱限制执行任意代码，影响0.8.28及更早版本，已发布0.8.29修复补丁。【外刊-阅读原文】

2. 韩国交易所Bithumb误向用户发放62万枚比特币（价值400亿美元）

韩国Bithumb交易所因系统错误误发62万枚比特币（价值数百亿美元），导致市场震荡，99.7%已追回。监管机构担忧其风控体系，该交易所此前多次因安全漏洞和内部失误引发问题，暴露系统性缺陷。【外刊-阅读原文】

3. 软件开发者：CISO面临的首要网络攻击目标与新兴风险载体

网络犯罪分子将开发者作为主要目标，利用恶意工具、供应链攻击和AI手段入侵开发环境，威胁软件供应链安全。CISO需强化身份验证、最小权限访问和持续培训，以应对这一系统性风险。【外刊-阅读原文】

4. 国家背景黑客锁定军事官员与记者Signal通讯内容

德国警告国家背景黑客利用社会工程学攻击Signal用户，通过虚假客服骗取PIN码或诱骗扫描QR码监控高价值目标通讯，呼吁用户勿分享验证码并检查关联设备。【外刊-阅读原文】

5. CVE-2026-1868：GitLab网关高危漏洞（CVSS 9.9）可导致远程代码执行

GitLab警告自托管AI Gateway存在高危漏洞CVE-2026-1868（CVSS 9.9），攻击者可致服务崩溃或执行任意代码。漏洞源于Duo Workflow Service模板处理不当，影响18.1.6至18.3.1版本。GitLab已发布修复版本，敦促用户立即升级。【外刊-阅读原文】

6. 基于 Rust 构建的安全本地化 AI 助手 LocalGPT

LocalGPT是基于Rust开发的本地化AI工具，完全在用户设备运行，确保数据安全。其极简架构、持久化内存和自主运行机制有效防范云端风险，支持多供应商API但核心操作本地化，适合注重隐私的企业和个人。【外刊-阅读原文】

7. n8n自动化平台再曝6个漏洞，其中4个可导致远程代码执行

n8n工作流平台曝6个高危漏洞，包括远程代码执行和文件访问漏洞，CVSS评分高达9.4，威胁共享环境安全。专家警告多用户部署风险，建议立即升级并隔离测试环境。【外刊-阅读原文】

8. TeamPCP蠕虫利用云基础设施构建犯罪网络平台

黑客组织TeamPCP利用云原生漏洞（如CVE-2025-55182）构建自动化攻击平台，通过Docker、Kubernetes等入侵云基础设施，实施数据窃取、勒索及挖矿。其攻击链完整，结合已知漏洞与开源工具，形成多重获利模式，威胁现代云安全。【外刊-阅读原文】

9. 罗马尼亚国家石油管道公司Conpet遭遇网络攻击

罗马尼亚石油管道运营商Conpet遭Qilin勒索软件攻击，业务IT系统中断但运营技术未受影响，石油运输正常。Qilin宣称窃取1TB数据，近期勒索软件联盟活动加剧，罗马尼亚关键基础设施频遭攻击。【外刊-阅读原文】

10. "兼容性"陷阱：新型Mac恶意软件诱骗用户绕过TCC防护

Mac用户面临新型社会工程攻击，攻击者伪造"兼容性向导"诱骗用户授权，绕过macOS安全机制。恶意软件通过AppleScript脚本释放Node.js加载器，实现持久化控制并窃取敏感数据，凸显苹果生态安全威胁转向心理操纵而非技术漏洞。【外刊-阅读原文】

优质文章推荐

1. 大模型（LLM）平台漏洞合集

AI技术重塑数字体验的同时带来安全风险，Ollama、AnythingLLM等平台存在路径遍历、文件泄露、越权等漏洞，需警惕攻击者利用漏洞窃取数据或破坏系统。【阅读原文】

2. Trusted Service Paths漏洞实验

实验利用Windows服务路径未加引号的漏洞，通过冰蝎获取靶机shell，上传恶意程序Common.exe至C:\Program Files目录，劫持Everything服务以System权限执行，成功添加管理员用户as，实现提权。【阅读原文】

3. 微信小程序强开F12【支持 新/旧 版微信】

使用WMPFDebugger+CE修改器+WeChatOpenDevTools-Python工具组合，通过配置node.js环境、切换国内源、安装依赖等步骤，可强制开启微信控制台调试功能，支持4.0以下版本绕过限制登录。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。