全球网安事件速递

1. Cloudflare推出AI迷宫：新型策略应对AI爬虫

Cloudflare近日推出了名为“AI迷宫”的创新工具，旨在通过将未经授权的网络爬虫重定向到一个由AI生成内容的无限迷宫中，来应对这些恶意爬虫。 【外刊-阅读原文】

2. Next.js 严重漏洞：攻击者可绕过中间件授权检查

Next.js React 框架近日披露了一个严重的安全漏洞，攻击者可在特定条件下利用该漏洞绕过授权检查。该漏洞被标记为 CVE-2025-29927，其 CVSS 评分为 9.1（满分 10.0）。 【外刊-阅读原文】

3. FBI警告：警惕免费在线文档转换工具

加拿大安全意识培训提供商Beauceron Security的负责人David Shipley回应了FBI丹佛外勤办公室本月早些时候发布的警告，该警告指出，利用免费在线文档转换工具窃取信息或在用户电脑上加载恶意软件的诈骗行为正在增加。 【外刊-阅读原文】

4. 游戏皮肤安全指南：如何防范诈骗与恶意软件

游戏中的皮肤不仅仅是外观升级，它们已成为游戏文化的核心部分。无论是收集稀有皮肤还是展示你的珍贵库存，管理皮肤都伴随着风险。骗子无处不在，试图骗取玩家的珍贵物品，甚至入侵他们的账户。 【外刊-阅读原文】

5. 微软为Edge for Business新增内联数据保护功能，防止生成式AI数据泄露

微软于本周一宣布，为其面向企业的Edge for Business浏览器新增了一项名为“内联数据保护”的功能。这一原生数据安全控制功能旨在防止员工将敏感的公司数据分享到消费者生成式人工智能（GenAI）应用中，如OpenAI的ChatGPT、Google的Gemini和DeepSeek等。 【外刊-阅读原文】

6. CloudSEK 提供新证据反驳 Oracle 否认数据泄露

Oracle 目前正陷入一场网络安全风波，有消息称其云基础设施遭受了大规模数据泄露。上周，Hackread.com 发布了一篇文章，基于网络安全公司 CloudSEK 的调查结果，揭示了一名威胁行为者从 Oracle 云中窃取了 600 万条记录。 【外刊-阅读原文】

7. 新型钓鱼攻击瞄准macOS用户，伪造安全警报

LayerX Labs 最近发布的一份报告揭示了一场新的钓鱼攻击活动，该活动最初旨在欺骗 Windows 用户，但最近将目标转向了 macOS 用户。 【外刊-阅读原文】

8. Kubernetes Ingress NGINX Controller 曝高危漏洞，无需认证即可远程执行代码

Kubernetes 的 Ingress NGINX Controller 中披露了五个严重的安全漏洞，可能导致未经认证的远程代码执行（RCE）。这些漏洞使得超过 6,500 个集群面临直接风险，因为它们将组件暴露在公共互联网上。【外刊-阅读原文】

9. 记者花300元买到同事个人信息前后

公众对未成年人参与网络暴力及个人信息安全问题的担忧与日俱增。“人肉开盒”这一“人肉搜索＋系统性暴力”的结合体，亟待监管部门更积极、有力、迅速地介入治理。 【阅读原文】

10. Gartner发布2025年网络安全重要趋势

Gartner公司于近日发布2025年网络安全重要趋势。这些趋势受到包括生成式人工智能（GenAI）的演进、数字去中心化、供应链相互依存、监管变化、地方性人才短缺和不断变化的威胁态势等在内的因素影响。 【阅读原文】

【优质文章推荐】

1. 本地化大模型部署工具对比与安全实践指南

本文旨在提供 Ollama、vLLM、LM Studio 和 Jan 部署的最佳实践指南，帮助用户在本地化部署大模型时降低安全风险，确保系统的稳定性和安全性。 【阅读原文】

2. JSON Web Token (JWT) 渗透技巧【详解总结】

JWT，全称是 JSON Web Token，是一种用于身份验证和信息传递的令牌。简单来说，它就像是一个“通行证”，用户登录后，服务器会生成一个JWT返回给用户，用户之后访问其他资源时只需带上这个令牌，服务器验证通过后即可放行。 【阅读原文】

3. 关于 Chat Template 注入方式的学习

本文将会从聊天模版实现说起，在不受限制的环境(Ktransformers)下，学习已知的聊天模版注入方式、探讨潜在的利用方法以及 llama3 对于模版的处理方法等。 【阅读原文】

漏洞情报速览

1. 用友NC ncmsgservlet 反序列化漏洞
https://xvi.vulbox.com/detail/1904440365449089024

2. 郑州时空 仓储精细化管理系统 AcceptZip 任意文件上传漏洞
https://xvi.vulbox.com/detail/1904412948760236032

3. 灵当CRM getActionByUser userid SQL注入漏洞
https://xvi.vulbox.com/detail/1904378103107555328

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。