嘶吼安全动态

【国内新闻】

国家计算机病毒应急处理中心检测发现 71 款违法违规收集使用个人信息的移动应用

摘要：依据《网络安全法》《个人信息保护法》等法律法规，经国家计算机病毒应急处理中心检测，71 款移动应用存在违法违规收集使用个人信息情况，现已进行通报。

原文链接：https://www.cverc.org.cn/zxdt/report20260403.htm

工信部 NVDB 平台发布风险提示：利用苹果 iOS 漏洞的攻击活动激增

摘要：近日，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现，有攻击者利用针对苹果公司终端产品的漏洞实施网络攻击活动，可导致信息窃取、系统受控等严重危害。影响范围包括运行 iOS 13.0 至 17.2.1 的 iPhone、iPad 等苹果公司终端产品。

原文链接：https://baijiahao.baidu.com/s?id=1861446183160560256&wfr=spider&for=pc

智能体 " 龙虾 "（OpenClaw）再曝安全漏洞，存在泄露用户对话隐私风险

摘要：开源 AI 智能体 OpenClaw（龙虾）被曝隐私保护缺陷。攻击者可利用特定 Prompt 诱导智能体跨过隔离权限，导致用户的敏感聊天记录与本地文件路径被非授权调取。

原文链接：https://www.21jingji.com/article/20260406/herald/77fac9c75e7805d1448f21a91fae6772.html

中国信通院联合腾讯云发布《AI Agent 安全实践指引》

摘要：中国信通院与腾讯云联合发布《AI Agent 安全实践指引》，系统梳理了 AI Agent 面临的高发风险，并提出 " 三步走 " 安全实践路径。

原文链接：https://developer.cloud.tencent.com/article/2647950

【国外新闻】

Check Point 发布 2026 年报：AI 自动化令网络攻击频率达 " 天文级 "

摘要：报告指出，攻击者借助生成式 AI 已实现攻击准备全自动化。90% 的受访组织表示曾遭遇 AI 相关的安全风险提示，传统防火墙在面对 AI 瞬时生成的混淆代码时面临严峻挑战。

原文链接：https://finance.sina.com.cn/jjxw/2026-04-06/doc-inhtqaaa1225740.shtml

Google DeepMind 揭秘 "AI 智能体陷阱 "：恶意网页可操纵自主 Agent

摘要：研究员发现 6 种针对自主 AI 智能体的新型攻击。黑客可在网页中植入 "AI 陷阱 "，当智能体访问网页获取信息时，陷阱会注入恶意上下文，诱导智能体执行窃取数据、分发虚假信息等。

原文链接：https://www.securityweek.com/google-deepmind-researchers-map-web-attacks-against-ai-agents/

美国华盛顿州签署 HB 2225 法案，对 "AI 伴侣聊天机器人 " 正式做出规定

摘要：法案赋予个人起诉权，严禁此类 AI 引导用户产生自残倾向或在未经许可下收集高度敏感的心理情感数据。针对具备 " 情感连接 " 功能的 AI 聊天机器人实施严格监管。

原文链接：https://www.hunton.com/privacy-and-cybersecurity-law-blog/washington-state-enacts-law-regulating-ai-companion-chatbots-with-private-right-of-action

2026 年全球 " 影子 AI"（Shadow AI）治理白皮书发布

摘要：CRN 发布 AI 安全百强名单，重点聚焦于发现员工私自使用的 " 影子 AI" 工具。2026 年企业安全重心正向 AI 安全态势管理（AI-SPM）快速转型。

原文链接：https://www.crn.com/news/security/2026/the-20-hottest-ai-cybersecurity-companies-the-2026-crn-ai-100

黑客利用 React2Shell 发起自动化凭证窃取活动

摘要：黑客利用 Next.js 应用程序中的 React2Shell ( CVE-2025-55182 ) 漏洞，发起了一场大规模的自动化窃取凭据的活动。至少有 766 台主机遭到入侵，导致数据库和 AWS 凭证、SSH 私钥、API 密钥、云令牌和环境密钥被窃取。

原文链接：https://www.bleepingcomputer.com/news/security/hackers-exploit-react2shell-in-automated-credential-theft-campaign/