PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行

近期，一则名为“PolyShell”的高危新型漏洞被公开披露，该安全漏洞影响所有Magento开源版与Adobe Commerce 2系列稳定版电商系统，攻击者无需登录身份认证，即可远程执行恶意代码、

嘶吼安全动态｜中央网信办等三部门开展2026年个人信息保护系列专项行动 Axios供应链攻击事件系朝鲜黑客组织所为

嘶吼安全动态【国内新闻】中央网信办等三部门开展2026年个人信息保护系列专项行动，整治App/SDK违规采集摘要：网信办、工信部、公安部联合开展，聚焦超范围收集、强制授权、未告知等问题，覆盖教育、金融

代码钟馗启动AI漏洞雷达，OpenClaw隐秘漏洞浮出水面

近期，泛联新安代码钟馗在日常扫描中，通过AI自动化挖掘出开源AI Agent框架OpenClaw的高危持久性注入漏洞。该漏洞允许攻击者通过一次恶意消息注入，实现对目标机器的持久化控制，导致权限提升、敏

嘶吼安全动态｜国家市场监管总局推动网络食品安全“协同共治”，AI算法参与合规审核 加密平台Drift发生重大安全事故

嘶吼安全动态【国内新闻】国家市场监管总局推动网络食品安全“协同共治”，AI算法参与合规审核摘要： 监管部门提出利用数字技术强化平台治理，通过AI算法自动识别违规信息。专家提醒，此类“以网管网”的机制必

Trivy供应链攻击持续扩散，波及Docker镜像与GitHub代码仓库

发动Trivy供应链攻击的TeamPCP黑客组织持续锁定Aqua Security（ Trivy所属厂商）发起精准打击：恶意推送伪装Docker镜像、劫持企业GitHub组织账号，批量篡改数十个开源代

嘶吼安全动态｜国家计算机病毒应急处理中心通报71款违法违规收集使用个人信息的APP OpenAI Code爆出严重漏洞：黑客可劫持GitHub访问令牌

嘶吼安全动态【国内新闻】国家计算机病毒应急处理中心检测发现71款违法违规收集使用个人信息的移动应用摘要：依据《网络安全法》《个人信息保护法》等法律法规，经国家计算机病毒应急处理中心检测，71款移动应用

VoidStealer恶意软件利用调试器漏洞窃取Chrome主密钥

一款名为VoidStealer的窃密恶意软件采用新型攻击手段，绕过谷歌浏览器（Chrome）的应用程序绑定加密（ABE）防护机制，非法提取用于解密浏览器本地敏感数据的主密钥。 这项全新破解技术隐蔽性极

嘶吼安全动态｜全国网安标委发布关于征集个人信息保护标准应用实践案例的通知 AI工作流工具Langflow曝未授权RCE漏洞

嘶吼安全动态【国内新闻】蚂蚁AI实验室发现OpenClaw严重权限漏洞，可接管AI智能体摘要：蚂蚁AI实验室发现OpenClaw 1个严重、4个高危漏洞，普通账号可提权接管智能体、读取本地敏感文件，官

攻击者滥用.arpa特殊域名与IPv6反向DNS实施钓鱼攻击

网络黑产团伙正在滥用专用顶级域名 .arpa 以及 IPv6 反向域名解析（DNS）开展钓鱼活动，此类攻击可更轻松地绕过域名信誉检测机制与邮件安全网关。.arpa 是为互联网基础设施预留的特殊顶级域名

嘶吼安全动态｜搜索引擎排名遭 “投毒”，恶意链接暗藏窃取风险 谷歌发布高风险Chrome安全更新

嘶吼安全动态【国内新闻】国家安全部：搜索引擎排名遭 “投毒”，恶意链接暗藏窃取风险摘要：国安机关发布提示，黑产篡改搜索排名植入恶意链接，用户误点易泄露信息、感染病毒；需核对网址、甄别来源，警惕 “排名

2025邮箱安全报告解读｜境外攻击激增、弱口令成命门，2026企业如何破局？

引言2026年3月25日，Coremail邮件安全人工智能实验室、CACTER邮件安全研究团队及奇安信行业安全研究中心联合发布《2025年中国企业邮箱安全性研究报告》（简称“报告”），基于全年全域监测

嘶吼安全动态｜国家安全部提示：谨防深度伪造魔改陷阱 Forescout发布2026高风险连接设备报告

嘶吼今日安全动态播报【国内新闻】中央网信办召开全国网络举报工作会议，部署2026年重点任务摘要：会议聚焦涉企侵权、未成年人保护、仿冒网站等专项治理，建立重点企业保障机制，提升线索处置效率。原文链接：h

AI时代中国网络安全产业的五年变局|| 影子AI之困：企业数据安全最大的灰犀牛

“随着信息的发展，有价值的不再是信息，而是注意力。”——赫伯特·西蒙这句半个世纪前的断言，在2025年的AI浪潮中获得了残酷的印证。当生成式AI以近乎零门槛的方式涌入每个员工的浏览器，一种被称为“影子

下周一截止！《2026 AI+网络安全产业生态图谱》调研申报即将结束

嘶吼安全产业研究院《2026 AI+网络安全产业生态图谱》调研报名时间即将截止，望各厂商尽快提交相关申报资料！调研参与方式：图谱调研表获取方式：关注“嘶吼专业版”公众号，回复“2026AI+图谱调研”

嘶吼安全动态｜工信部征求AI安全治理标准，规范模型上下文协议安全 浙江警方破获特大电商数据泄露案，200万条订单信息被贩卖

嘶吼安全动态【国内新闻】 工信部征求AI安全治理标准，规范模型上下文协议安全摘要：发布121项行业标准计划，明确AI系统交互安全底线，应对提示注入、越权操作等高频风险。原文链接：https://www

从假新闻刷屏看清“认知安全”：AI时代网络安全的新边疆

事件回溯：一份假政策击穿行业的神经2026年3月，一篇题为《七部门重磅发布AI安全治理三年行动计划》的文章在社交媒体广泛传播。文章声称：2026年3月10日，工业和信息化部等七部门联合印发《人工智能安

Trivy漏洞扫描器遭入侵，攻击者通过GitHub Actions分发窃密恶意软件

漏洞扫描工具Trivy近期遭到名为TeamPCP的威胁组织实施的供应链攻击，该组织通过官方发布渠道与GitHub Actions分发窃密恶意软件。Trivy是一款主流安全扫描工具，可检测容器、Kube

嘶吼安全动态｜国家数据局：我国AI日均Token调用量破140万亿 LiteLLM遭供应链投毒，数千企业面临数据泄露风险

嘶吼安全动态【国内新闻】国家数据局：我国AI日均Token调用量破140万亿，需强化安全治理摘要：国家发展改革委党组成员、国家数据局局长刘烈宏表示，到今年3月，我国日均Token的调用量，已经超过了1

新型网络攻击InstallFix曝光：伪装CLI工具安装指令，诱导执行恶意命令

网络攻击者正在使用一种名为InstallFix的新型社工攻击手法，该手法是ClickFix技术的变种，其以安装合法命令行工具（CLI）为借口，诱骗用户执行恶意指令。 这种新型攻击手段利用了当下开发者群

嘶吼安全动态｜工信部部署2026年信息通信业安全生产和网络运行安全工作 Copilot及Cursor等AI编码助手曝规则文件注入漏洞

嘶吼安全动态【国内新闻】工信部部署2026年信息通信业安全生产和网络运行安全工作摘要：工信部印发安全生产与网络运行安全通知，细化24项任务，强化卫星通信、骨干网等关键链路防护与应急处置。原文链接：ht

梆梆安全“全系统加固体验月”开放报名中

嘶吼安全动态｜国家级电力AI中试基地启用，华为、百度入驻筑牢能源AI安全 OpenWebUI服务器遭攻击，被植入挖矿与信息窃取恶意代码

嘶吼安全动态【国内新闻】国家级电力AI中试基地启用，华为、百度入驻筑牢能源AI安全摘要：作为电力人工智能领域的“桥梁型平台”，中试基地已成功连接100多家不同领域单位。原文链接：https://bai

假冒谷歌账号进行钓鱼攻击：利用恶意PWA应用窃取验证码、加密货币钱包

一场网络钓鱼活动正通过伪造谷歌账号安全页面，分发一款网页应用，该应用可窃取一次性验证码、采集加密货币钱包地址，并通过受害者浏览器转发攻击者流量。此次攻击利用渐进式Web应用（PWA）特性与社会工程学手

嘶吼安全动态｜马自达系统遭入侵，员工信息或泄露 Perseus安卓银行木马出现升级版

嘶吼安全动态【国内新闻】马自达系统遭入侵，员工信息或泄露摘要：马自达披露其供应链管理系统遭未经授权访问，部分员工及合作方个人信息可能泄露，公司已启动调查并加强防护。原文链接：http://financ

2026职场AI观察：禁而不止的影子代理，正在埋下企业数据安全隐患

2026年的职场，正在上演一场大型行为艺术。老板们在晨会上拍桌子：“谁敢用ChatGPT写代码，明天就不用来了！”转头回到工位，发现下属们眼神闪躲，Alt+Tab按得飞起——那不是在摸鱼，是在紧急销毁

假招聘真投毒！Next.js面试题暗藏后门实施入侵

近期，一场以软件开发人员为目标、以招聘求职为诱饵的协同攻击活动正在展开。攻击者通过搭建恶意代码仓库，伪装成合法的 Next.js 项目与技术测评材料（包括招聘编程测试题）实施入侵。攻击者的目的是在开发

倒计时2天！《2026网络安全产业图谱》调研进入收尾阶段

嘶吼安全产业研究院《2026网络安全产业图谱》调研报名时间即将截止！本次调研结合AI与网络安全深度融合、量子安全布局提速、供应链安全闭环构建等行业新趋势，对网络安全产业链进行全面优化重构，新增后量子密

嘶吼安全动态｜官方辟谣“七部门AI安全治理三年行动计划” 新型iPhone攻击工具“DarkSword”曝光

嘶吼安全动态【国内新闻】国安部揭秘暗网：境外间谍利用暗网渗透窃密，警惕“网络黑洞”摘要：国安部发布提示，暗网被境外间谍用于窃密、违法交易，呼吁通过12339举报相关线索。原文链接：http://m.t

AI时代中国网络安全产业的五年变局|| 网络安全投融资的残酷分流

网络安全行业投融资正迎来结构性分化，并非市场资金总量收缩，而是投资逻辑发生根本性转变。这个转变的根子，在前三篇已经埋好。商业篇讲过，客户不再为合规过检买单，要的是可量化的实战效果。技术篇说过，AI让攻

嘶吼安全动态｜360回应“安全龙虾”私钥泄露：已吊销证书，系发布失误微博Delta工业通信系统曝高危漏洞

嘶吼安全动态【国内新闻】360回应“安全龙虾”私钥泄露：已吊销证书，系发布失误微博摘要：360安全龙虾被曝安装包含明文SSL私钥，公司称系发布失误，已吊销证书并启动内部排查，用户不受影响。原文链接：h