以下是上周最值得关注的新闻、文章、访谈和视频概览：

苹果紧急修复针对iPhone的零日漏洞

苹果公司为iOS/iPadOS、macOS、tvOS和visionOS发布紧急安全更新，修复了两个已被利用的零日漏洞（CVE-2025-31200、CVE-2025-31201）。这些漏洞被用于"针对iOS设备特定目标个体发起的极其复杂的攻击"。

企业并购伴随网络安全风险

对于首席信息安全官（CISO）而言，并购交易既带来机遇也伴随风险。这类交易虽能推动业务增长，但同时也可能引发严重网络安全威胁，甚至导致交易失败。

Windows NTLM漏洞遭大规模利用

微软上月已发布补丁的Windows NTLM哈希泄露漏洞（CVE-2025-24054）近期被威胁分子用于针对波兰和罗马尼亚政府及私营机构的攻击活动。

AI工作流中的隐形数据泄露

随着AI深度融入日常业务流程，数据暴露风险与日俱增。提示词泄露并非偶发事件，而是员工使用大语言模型（LLM）时的必然产物，CISO必须将其视为首要安全问题。

黑客组织"舒适熊"故技重施

据Check Point研究人员披露，APT29（又称舒适熊或午夜暴雪）再次通过伪造品酒会邀请函对欧洲外交官实施钓鱼攻击。

网络安全韧性法案的影响

Codific联合创始人Dag Flachet博士在访谈中解析《网络韧性法案》（CRA）对企业的影响，并与《通用数据保护条例》（GDPR）在监管复杂度和组织影响方面进行对比。

旧漏洞新威胁

影响Sonicwall安全移动接入（SMA）100系列设备的旧漏洞CVE-2021-20035正被攻击者利用。与此同时，MITRE运营的通用漏洞披露（CVE）项目因联邦资金不确定性面临存续危机。

企业级AI代理的安全隐患

AutoRABIT首席技术官Jason Lord指出，集成到现实系统中的AI代理一旦失控，将给企业带来严重网络安全风险。租车巨头Hertz的数据泄露事件就与勒索软件团伙利用Cleo零日漏洞有关。

网络犯罪集团企业化运作

Netarx首席执行官Sandy Kronenberg揭示，网络犯罪集团正通过建立企业架构和员工激励机制来扩大规模、留住人才并逃避侦查。

关键基础设施安全更新

Nagios安全团队修复了企业级日志管理平台Nagios Log Server中的三个关键漏洞。《工业物联网实战指南》则为构建和保障工业物联网（IIoT）系统的专业人员提供实用指导。

LLM软件包幻觉引发供应链风险

Python软件基金会安全开发者Seth Larson警告，大语言模型（LLM）虚构不存在代码包的倾向可能导致新型供应链攻击——"垃圾注册攻击"（slopsquatting）。

全球安全态势观察

• 开源反欺诈平台Tirreno可监控各类数字资产 • 伦敦每周查获1000部被盗手机，全英案件年增83,900起 • 能源行业网络攻击随国际局势紧张激增 • 自托管WAF解决方案SafeLine提供Cloudflare替代方案

行业合规与认证趋势

• 94%企业认可渗透测试必要性但修复率不足50% • 浏览器扩展成为普遍攻击载体却缺乏监管 • 违规成本是合规投入的2.71倍（Secureframe数据） • 首席法务官（CLO）正深度参与网络安全战略制定

认证技术演进

多数CISO已达成共识：密码是认证链条中最薄弱环节。数字证书有效期缩短趋势明显，无密码认证将成为未来主流方案。

（注：已删除文末职位招聘和新产品推介等非正文内容）

参考来源：

Week in review: LLM package hallucinations harm supply chains, Nagios Log Server flaws fixed

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）