嘶吼

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、英国、意大利、捷克、斯洛伐克、沙特阿拉伯、立陶宛。主要情况如下：

一、恶意地址信息

（一）恶意地址：sunnwin.bi

关联IP地址：104.18.1.30

归属地：美国

威胁类型：后门

病毒家族：Quasar

描述：这是一种基于.NET Framework的远程管理木马，提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启关机、键盘记录、窃取密码、注册表编辑等功能，常被攻击者用于信息窃取和远程控制受害者主机。

（二）恶意地址：bore.pub

关联IP地址：159.223.171.199

归属地：美国/北伯根

威胁类型：僵尸网络

病毒家族：SoftBot

描述：这是一种可在x86、arm等多个平台上运行的僵尸网络，因bot模块名为softbot.{arch}，故命名为SoftBot。该家族样本入侵成功后会植入bot模块以构建僵尸网络，可向特定网络目标发起10种形式的分布式拒绝服务（DDoS）攻击。此外，该样本运行后多会输出字符串“im in deep sorrow”。

（三）恶意地址：full.dsaj2a.org

关联IP地址：23.253.46.64

归属地：美国/伊利诺伊州/芝加哥

威胁类型：僵尸网络

病毒家族：XorDDos

描述：这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（四）恶意地址：stopdicksucking.duckdns.org

关联IP地址：216.126.225.121

归属地：美国/犹他州/奥格登

威胁类型：僵尸网络

病毒家族：CondiBot

描述：这是一种僵尸网络，利用TP-Link Archer AX21漏洞CVE-2023-1389进行传播。攻击者通过Telegram频道@zxcr9999来推广、销售Condi以及其他僵尸网络的DDoS服务和源代码。僵尸程序可通过接收C2服务器下发的cmd指令，执行发起DDoS攻击、更新、终止程序等不同的操作。Condi支持的DDoS攻击向量包括：attack_tcp_syn、attack_tcp_ack、attack_tcp_socket、attack_tcp_thread、attack_tcp_bypass、attack_udp_plain、attack_udp_thread、attack_udp_smart。

（五）恶意地址：friendly.ydns.eu

关联IP地址：158.94.209.179

归属地：英国/英格兰/伦敦

威胁类型：后门

病毒家族：DcRat

描述：这是一种远程访问木马，采用.NET实现，能够窃取用户隐私信息（系统信息、账号信息等），根据远程指令执行多种功能：shell命令、截图、记录键盘、窃取cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、发起DDoS攻击等。

（六）恶意地址：cnc.fearfulcats.tk

关联IP地址：185.225.73.158

归属地：意大利

威胁类型：僵尸网络

病毒家族：V3G4Bot

描述：这是一种针对Linux和IoT设备的僵尸网络，属于Mirai僵尸网络的一个变体，借助多个N day漏洞以及弱口令暴破进行传播。样本的敏感字符串资源经过XOR异或加密，通过与C2服务器建立通信，接收攻击者下发的指令来对指定目标发起DDoS攻击，造成大面积网络瘫痪、网站或在线服务无法访问。

（七）恶意地址：njsywvyoj.localto.net

关联IP地址：194.182.64.133

归属地：捷克/布拉格/布拉格

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（八）恶意地址：hustleathem.duckdns.org

关联IP地址：212.232.22.100

归属地：斯洛伐克/布拉迪斯拉发州/布拉迪斯拉发

威胁类型：后门

病毒家族：Xworm

描述：这是一种.NET编译的后门木马，使用多种持久性和防御规避技术。收集并发送系统详细信息到C&C服务器并接收指令，功能包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控，打开特定URL，监控活跃的窗口，进程管理，剪切板管理，远程shell执行、DDos攻击，获取地址位置，锁定屏幕，密码窃取、安装Ngrok、HVNC、隐藏RDP连接等。

（九）恶意地址：luvxc1de.ddns.net

关联IP地址：51.39.230.132

归属地：沙特阿拉伯/利雅得/利雅得

威胁类型：后门

病毒家族：AsyncRAT

描述：这是一种后门木马，采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。其主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（十）恶意地址：77.90.185.212

归属地：立陶宛/维尔纽斯县/维尔纽斯

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网址和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

思科发布安全预警，称其 Cisco Catalyst SD-WAN 存在一处编号为 CVE-2026-20127 的严重认证绕过漏洞，该漏洞已在零日攻击中被主动利用，攻击者可远程攻陷控制器，并在目标网络中添加恶意非法对等节点。

CVE-2026-20127 漏洞风险等级为最高 10.0 分，影响本地部署与云部署环境中的 Cisco Catalyst SD-WAN Controller（原 vSmart）与 Cisco Catalyst SD-WAN Manager（原 vManage）。 

在思科发布的关于 CVE-2026-20127 的最新公告指出：“该漏洞的成因是受影响系统中的对等节点认证机制未能正常工作。攻击者可通过向受影响系统发送精心构造的请求实施利用。”

成功利用后，攻击者能够以内部高权限非 root 用户身份登录受影响的 Cisco Catalyst SD-WAN 控制器，并借助该账户访问 NETCONF 接口，进而篡改整个 SD-WAN 架构的网络配置。

Cisco Catalyst SD-WAN 是一款软件定义网络平台，通过集中管理系统连接分支机构、数据中心与云环境，由控制器对站点间流量进行加密安全转发。 

通过添加非法对等节点，攻击者可将一台看似合法的恶意设备接入 SD-WAN 环境。该设备可建立加密连接、宣告由攻击者控制的网络路由，进而向企业内网深度渗透。 

思科 Talos 团队在另一份公告中证实，该漏洞已被在野攻击利用，相关恶意活动编号为 UAT-8616。评估显示，该攻击由高度专业化的恶意组织实施。

监测数据显示，相关利用行为最早可追溯至 2023 年。情报信息表明，攻击者可能通过以下方式提权至 root：

1. 将系统降级至旧版本；

2. 利用 CVE-2022-20775 获取 root 权限；

3. 再恢复至原固件版本。 

攻击完成后回退版本，可在获取 root 权限的同时规避检测。

2 月 25 日，美国网络安全与基础设施安全局（CISA）发布紧急指令 26-03，要求联邦行政机构对 Cisco SD-WAN 系统开展资产清查、收集取证痕迹、开启日志外存、安装补丁更新，并排查与 CVE-2026-20127 和 CVE-2022-20775 相关的入侵痕迹。 

CISA 表示，该漏洞利用行为对联邦网络构成紧迫威胁，要求相关设备必须在 2026 年 2 月 27 日 17:00 前完成补丁安装。

CISA 与英国国家网络安全中心（NCSC）联合发布的排查与加固指南表示：全球范围内的 Cisco Catalyst SD-WAN 部署正成为攻击目标，恶意分子通过添加非法对等节点，进一步获取 root 权限并实现持久化控制。

多份公告均强调：SD-WAN 管理接口严禁直接暴露在互联网，并敦促机构立即更新与加固受影响系统。使用 Cisco Catalyst SD-WAN 的机构应紧急排查网络入侵风险，结合发布的威胁狩猎指南，识别入侵痕迹。

目前，思科已发布修复该漏洞的软件更新，并表示不存在可完全缓解该漏洞的临时解决方案。

入侵指标（IOC）

安全研究人员强烈建议相关机构仔细审查暴露在公网的 Catalyst SD-WAN 控制器日志，重点关注未授权对等节点事件与可疑认证行为。

建议管理员检查 /var/log/auth.log，关注来自未知 IP 地址的如下日志：

示例日志：

管理员应将异常 IP 与 SD-WAN Manager 中配置的系统 IP、已知管理与控制器基础设施地址比对。若出现未知 IP 成功认证，应视为设备已沦陷，并及时联系思科 TAC 支持。 

Talos 与官方公告还列出更多入侵指标：

·恶意账户的创建与删除

·异常 root 登录

·vmanage-admin 或 root 账户下出现未授权 SSH 密钥

·启用 PermitRootLogin 等配置篡改

管理员还应关注：

·日志文件异常偏小或缺失（可能为日志篡改）

·软件降级与重启行为（可能为利用 CVE-2022-20775 提权）

CISA 建议通过以下日志排查 CVE-2022-20775 利用痕迹：

CISA 排查指南要求机构收集取证数据（包括管理员核心转储、用户家目录），并确保日志外存以防篡改。若 root 账户已沦陷，建议重新全新部署系统，而非尝试清理现有环境。企业还应将异常对等节点事件、不明控制器行为为入侵信号并立即调查，如：

·限制网络暴露面

·将 SD-WAN 控制组件部署在防火墙后

·隔离管理接口

·日志转发至外部系统

·遵循思科官方加固指南 

根据思科最新公告显示，升级至已修复版本是彻底解决 CVE-2026-20127 高危漏洞 的唯一方式。

“动荡时代最大的危险不是动荡本身，而是依然用过去的逻辑做事。”

 —— 彼得·德鲁克

科技演进的齿轮，正轰鸣着越过第五次IT技术革命的边界，全面驶入第六次AI智能革命的深水区。在这场以算力和算法为核心的世纪跃迁中，网络安全——这块维系全球数字经济运转的基石，正站在向AI时代跨越的五年分水岭。这是一次底层范式的彻底重构，面对前所未有的智能威胁与产业洗牌，告别旧时代的惯性思维，已不仅是发展的选择，而是生存的底线。

此刻，整个网安产业正经历着剧烈的冰火两重天。一方面，全球生成式AI带来的安全威胁呈指数级爆发，奇安信发布的《2024人工智能安全报告》数据显示：基于AI的深度伪造（Deepfake）欺诈案件激增3000%，AI生成的钓鱼邮件数量增长达1000%。另一方面，受宏观经济波动与政企预算的调整影响，2024年中国网络信息安全市场整体规模降至952.4亿元，同比下降4.6%。其中，传统网络安全硬件产品市场规模萎缩至210亿元，同比减少6.5%，传统“堆砌设备+满足基本合规”的粗放增长模式遭遇天花板。在这场五年的变局中，是什么底层力量在推动旧秩序的变革？中国网安产业的商业逻辑又将发生怎样的根本性颠覆？技术的基本盘将如何面对AI时代下的机遇与挑战？在2026年的开年，一连串的问题牵引着我们向时代的更深处探索、发问。

今天的AI已不再单纯是一款强大的技术工具，它更是商业模式的“重构器”。底层攻防速度与政策监管的质变，正倒逼着中国网安产业从劳动密集型的“合规采购”，全面走向AI驱动的“实战化、服务化、平台化”价值交付。单点防御时代已然终结，AI原生驱动的体系化联动防御将成为发展的最优解。

一、底层驱动力解构——为什么“合规驱动”彻底失效？

过去十年，合规是中国网安市场的最大驱动力，但这种单纯为应付检查的被动防御模式，在AI时代已被三大底层力量彻底撕裂。

1.1 攻防维度的降维打击：机器速度下的“被动防御”失效

AI让攻击者掌握了压倒性的“不对称优势”。这种优势在2025年的实战数据中得到了惊人的印证：全球报告的AI驱动网络攻击事件同比激增了47%，在所有已确认的数据泄露事件中，有16%是攻击者直接利用AI工具，如自动化渗透、深度伪造实施的。特别是作为攻击链的初始突破口，高达82.6%的钓鱼邮件已深度应用AI生成技术，致使此类欺诈攻击数量呈现1265%的爆发式增长。

更致命的是，AI技术显著增强了恶意代码的自我学习和自适应能力，攻击变异率上升到每24小时93%的惊人水平，导致基于静态规则和特征匹配的传统检测系统大面积失效。在此背景下，攻击者最快突破时间仅需51秒，防守方若仅满足于表面的合规要求，在实战中已形同“裸奔”。 

1.2 监管颗粒度下沉：合规本身正在“实战化”、“定量化”

国家监管逻辑正在发生从“形式合规”到“实效防护”的根本性转变。以2025版《网络安全等级保护测评高风险判定指引》为例，新规废除了传统的百分制，引入“重大风险隐患”一票否决制，并对三级系统高危漏洞修复周期提出增效要求，且必须常态化开展红蓝对抗。同时，《网络安全技术生成式人工智能服务安全基本要求》等国标的发布，将监管要求细化到了训练数据、模型算法的定性定量层面。合规标准的实战化，倒逼安全产品必须具备真实的对抗价值。 

1.3 宏观周期与甲方预算重塑：“ROI导向”的精细化运营

在宏观经济下行周期，企业CISO的安全投资必须证明其能够保护核心业务不中断并产生实际的投资回报率。低速增长倒逼产业转型，企业对网络安全投资更加“精打细算”，缺乏防护实效的落后产品将被市场淘汰。

二、商业逻辑的根本性变化——从“卖盒子”到“卖效果”

在上述驱动力下，网络安全产业的商业逻辑正在经历四场不可逆的剧变。

2.1 营收范式变局：从“一次性采购”到“订阅持续的安全效果”

硬件市场的萎缩倒逼云化与服务化转型。2024年中国云安全整体市场规模达218.3亿元，逆势同比增长18.5%。近三年我国云安全产品和安全云服务的平均增速均超过30%，云化与SaaS化模式推动安全服务占比提升至31%。

客户不再为“设备的访问权”买单，而是转向安全托管服务，为“降本增效的安全结果”持续付费。

2.2 成本结构变局：AI智能体终结“人海战术”

传统安全运营中心面临告警过载与人力瓶颈。AI智能体的引入实现了防御的自动化闭环，打破了网安企业低毛利的魔咒。

例如，亚信安全引入“AI XDR联动防御系统”与“信立方”大模型后，单日可关联45类安全工具产生的5000余条告警，将误报率从62%大幅压缩至8%，告警降噪高达99.9%，并能在平均3.2分钟内完成自动化闭环处置，使处置效率提升7.5倍。天融信引入基于“天问大模型”的安全运营与情报解读智能体后，能够自动过滤海量安全日志中的低可信度告警，并通过自然语言交互提供深度的威胁图谱关联，实现了从“人找情报”到“情报智能服务于人”的根本转变，大幅提升了研判效能。 

2.3 生态格局变局：告别单点博弈，走向“三足鼎立”的平台化整合

面对复杂的AI威胁，碎片化的单点工具已无法应对。国际上，思科以280亿美元收购Splunk，推动AI与全栈安全融合。中国市场则形成了以专业安全企业为基础、以IT及互联网企业为补充、以信息通信央国企为战略支撑的“三足鼎立”重构格局。 

2.4 增量赛道变局：从“利用AI保护网络”延伸至“保护AI自身”

AI系统本身成为了极其脆弱的攻击面。由于大模型存在提示词注入、数据投毒、模型窃取等原生风险，保护大模型及AI应用的安全成为高溢价的独立商业赛道。 

三、技术底座的重构——AI时代网安厂商的核心能力迭代路线

为了支撑商业模式的跃迁，网络安全厂商的核心技术底座必须进行深度重构。

3.1 核心攻防技术的代际跃升：“ AI for Security”的深度化

这是一场从“规则驱动”向“认知驱动”的史诗级跃迁。回顾这一演进过程，产业界依次跨越了三个阶段：

最早期的“规则学习”——仅聚焦单点安全能力增强到“安全+AI”——在特定检测环节嵌入AI模块，如今已全面迈入以大模型为核心底座的“AI+安全”新纪元。

过去的防御体系高度依赖预定义的静态特征库与规则匹配，面对AI自动化生成的变种恶意软件（每24小时变异率达93%），不仅极易被绕过，且往往陷入海量无效告警的泥沼。

如今，借助大模型强大的自然语言处理、思维链推理以及图神经网络技术，防御引擎已能够对离散事件进行上下文建模，自动还原复杂威胁的因果链条。

防御系统正从“静态规则匹配”全面升级为“语义驱动与行为感知”。 

3.2 护航新质生产力：“ Security for AI”的实战化

当人工智能成为驱动千行百业新质生产力的核心引擎时，大模型自身面临的数据投毒、提示词注入、模型窃取等原生脆弱性，已成为藏在数字经济背后的重要威胁。

为了给新质生产力提供坚实的护航，一系列通用型前沿安全技术相继问世并加速走向实战。这其中包括：旨在提升模型鲁棒性与价值观对齐的基于人类反馈的强化学习与对抗训练技术、以联邦学习和同态加密为代表的隐私计算技术，从根本上化解了数据共享与隐私保护的冲突；以及专门应对高度仿真社会工程学攻击的深伪检测算法与跨模态安全护栏机制等。

依托这些通用基础技术的成熟，厂商需构建覆盖数据、模型、应用全生命周期的新型技术栈，以“AI保护AI”的核心策略保障模型应用安全。 

3.3 顺应强监管与实效化：持续自动化评估与数据安全态势管理

为了应对新版等保与《网络数据安全管理条例》的要求，技术需向自动化演进。AI被广泛应用于海量多源日志的关联分析，识别如横向移动等潜在的攻击链。

在数据安全领域，AI大模型将动静态数据分类分级准确率从50%提升到90%，效率提升40倍，实现了持续的数据安全态势管理。 

3.4 架构的开放融合：智能SASE与云网端协同

企业的物理边界正在消解，“云网端数”一体化架构成为主流。IDC预测，2025年中国智能SASE市场规模将达到14亿元，并以27%的年复合增长率在2029年达到37亿元。将大模型能力集成到边缘接入点，将极大提升网络与安全的统一管理效率。 

四、未来的战略与发展方向——寻找长坡厚雪的价值高地

基于现状的重构，未来三至五年的网安高增长机会将高度集中在以下三大新战场：

4.1 资产价值化与安全前置：数据基础设施与隐私计算的爆发

在国家“数据要素×”战略下，数据安全从“防泄密”转向“促流通”。根据规划，到2028年我国将建成超过100个以上的可信数据空间。通过嵌入隐私计算等技术实现“可用不可见”的安全共享，将安全能力植入基础设施设计全流程，是确定的增量市场。

4.2 数字与物理边界的消融：低空经济与泛在物联网安全

AI应用正在向物理世界延伸。2024年低空经济首次写入政府工作报告，预计2026年低空经济产业规模将超过1万亿元，到2030年有望达到2万亿元。

面对频发的“无人机劫持”风险，结合GenAI提升通信导航安全、智能识别防御能力的低空安全测试与评估市场将率先爆发。 

4.3 供应链韧性防御：对抗“幻觉代码”的终极防线

随着AI编程助手的普及，70%以上的代码可能由AI生成，由内部AI生成却缺乏验证的“幻觉代码”将引发严重的“信任赤字”和供应链危机。

企业必须构建分层验证的自动化代码风险控制架构，引入“安全审查Agent”进入DevSecOps流水线，实现从“事后扫描”到“生成即审查”的转变。

结语： 

我们清晰地看到：在这个AI驱动的全新动荡周期里，网络安全不再是偏居一隅的“IT成本中心”，而是保障国家数字主权与企业业务韧性的“核心底座”。在这场决定生死的跨越中，唯有彻底抛弃“硬件狂欢”的路径依赖，将AI能力深度内化为技术引擎与商业飞轮的玩家，才能拿到通往下一个黄金十年的时代船票。

本期嘶吼洞察：

1、关于政策驱动——合规不再是免死金牌。防不住实战攻击的纸面合规，只能是名存实亡。

2、关于技术发展——AI不再是安全产品的“外挂装甲”，而是重塑攻防规则的“底层引擎”。在机器速度的绞肉机里，不懂大模型的防御，等同于实战中的裸奔。

3、关于商业变革——客户不再为设备的访问权和心理安慰买单，未来网络安全的唯一计费标准，叫做——可量化的安全实效。

参考来源：

1、https://z.l6j.cn/M4dXEA 

2、https://mp.weixin.qq.com/s/x_uAbGPhIQBWyqTABDDnzA

3、https://www.secrss.com/articles/76796

4、https://cloud.tencent.com/developer/article/2620789

5、https://www.ibm.com/cn-zh/think/x-force/2025-cost-of-a-data-breach-navigating-ai

6、https://xueqiu.com/7842369805/354798134

最新发现，谷歌应用商店中多款下载量达数百万级的心理健康APP存在安全漏洞，可能导致用户的敏感医疗信息遭到泄露。

安全研究人员在其中一款应用中，发现了超过85个中高危漏洞，攻击者可利用这些漏洞窃取用户的心理咨询数据与隐私信息。

部分涉事应用为AI陪伴类工具，旨在帮助患有临床抑郁症、各类焦虑症、惊恐发作、压力应激及双相情感障碍的人群。在研究人员分析的10款应用中，至少有6款宣称用户对话内容为私密信息，或在服务商服务器上进行安全加密存储。据了解，心理健康数据具有极高的风险价值。在暗网中，心理咨询记录每条售价可达1000美元甚至更高。

累计发现超1500个安全问题

研究人员对十款宣传可辅助解决各类心理健康问题的移动应用进行了扫描，共发现1575个安全漏洞，其中高危漏洞54个、中危漏洞538个、低危漏洞983个。 

尽管发现的所有漏洞都不严重，但大量漏洞可被用于窃取登录凭证、伪造通知、执行HTML注入或获取用户位置。 

一款下载量超百万的心理咨询类应用，直接对外部可控字符串使用Intent.parseUri()，并在未校验目标组件的情况下启动生成的意图对象，这使得攻击者可强制应用打开任意内部页面，即便该页面本不应对外开放。

由于这些内部页面通常处理认证令牌与会话数据，漏洞被利用后，攻击者可直接获取用户的心理咨询记录。 

另一类问题是应用本地数据存储权限不当，设备上的任意应用均可读取，可能暴露心理咨询详情，包括咨询记录、认知行为疗法（CBT）会话笔记及各类评估评分。 

研究人员还发现，部分应用的APK资源中包含明文配置信息，如后端API接口地址与硬编码的Firebase数据库链接。此外，部分存在漏洞的应用使用加密安全性不足的java.util.Random类生成会话令牌或加密密钥。 

研究人员表示，十款应用中的大多数均未实现任何Root检测机制。在已获取Root权限（越狱）的设备上，任何拥有高权限的应用均可访问本地存储的全部健康数据。 

十款应用中仅有六款未发现高危漏洞，但仍存在中危漏洞，导致整体安全防护水平下降。这些应用收集并存储着移动端最敏感的个人数据，包括心理咨询会话转录文本、情绪日志、用药计划、自伤倾向指标，部分信息还受《健康保险流通与责任法案》（HIPAA）保护。

据统计，研究人员扫描的应用总下载量已超过1470万次，其中仅有四款应用在本月进行过更新，其余应用的最近更新时间停留在2025年11月，甚至2024年9月。而扫描时间为1月22日至23日，检测对象为当时最新版本应用。研究人员目前无法确认相关漏洞是否已被修复。

直播时间： 2月27日（周五）15：00

立即预约：领取千元好礼+《高发钓鱼邮件案例》合集

直播亮点

1、揭露年后高发钓鱼手法，快速识别风险

2、解读核心安全数据，指导配置与预算

3、拆解校企差异化场景，科学制定防护建议

立即扫码预约锁定席位，福利干货全都有，安全开工更省心！

一款名为Arkanix Stealer的信息窃取恶意软件于2025年末在多个暗网论坛进行推广。据分析，该恶意软件疑似由AI辅助开发，更像是一次技术实验。而其包含控制面板及用于与用户沟通的Discord服务器在运营仅两个月后，作者便在未发出任何通知的情况下将其下线。

Arkanix提供了网络犯罪分子常用的多项标准数据窃取功能，同时具备模块化架构与抗分析能力。卡巴斯基研究人员在分析后发现，多项线索表明该窃密木马由大语言模型（LLM）辅助开发，这“可能大幅降低了开发时间与成本”。

代码中存在大语言模型（LLM）生成痕迹

研究人员认为，Arkanix属于生命周期较短、旨在快速牟利的项目，这类特性使其更难被检测与追踪。

Arkanix浮出水面

Arkanix于2025年10月开始在黑客论坛推广，向潜在客户提供两个版本：

·基础版：基于Python实现

·高级版：采用原生C++编写载荷，使用VMProtect加壳，集成免杀与钱包注入功能

Arkanix在黑客论坛上受到推广

开发者搭建了Discord服务器，作为项目社区交流平台，用于发布更新、收集功能反馈并提供技术支持。 

该恶意软件还推出了推广奖励计划：推荐人可额外获得一小时高级版免费使用时长，新用户则可免费体验一周高级版。 

控制面板内的推广推荐选项

数据窃取能力

Arkanix恶意软件可收集系统信息，窃取浏览器存储的数据（历史记录、自动填充信息、Cookie、密码），并支持从22 款浏览器中提取加密货币钱包数据。卡巴斯基指出，该木马还可在基于Chromium内核的浏览器中窃取OAuth2令牌。

此外，该恶意软件可窃取Telegram、Discord账号凭证，通过Discord API传播，并向受害者的好友或频道发送消息。 

Arkanix还针对Mullvad、NordVPN、ExpressVPN、ProtonVPN等VPN工具的账号密码，可将本地文件打包并异步外传。

从命令与控制（C2）服务器可下载的扩展模块包括：Chrome信息窃取工具、Exodus/Atomic钱包补丁工具、屏幕截图工具、HVNC以及针对FileZilla、Steam的窃密模块。

部分受攻击的加密货币扩展列表

高级原生C++ 版额外增加以下能力：

·RDP凭证窃取

·反沙箱、反调试检测

·基于WinAPI的屏幕捕获

·针对Epic Games、Battle.net、Riot、Unreal Engine、Ubisoft Connect、GOG等平台的账号窃取

高级版还会投放后渗透工具ChromElevator，该工具注入挂起的浏览器进程实施数据窃取，可绕过谷歌应用绑定加密（ABE）保护，非法获取用户账号凭证。 

目前，Arkanix窃密项目的实验目的尚不明确。但该项目验证了大语言模型能在很大程度上提升恶意软件开发效率，以及新功能可以很快交付这一事实。卡巴斯基评价称，Arkanix与其说是一款隐蔽的窃密木马，更像是一款公开的软件产品。

永利度假村（Wynn Resorts）已证实，其公司遭遇黑客入侵，员工信息遭泄露。该公司在发布的声明中表示，发现数据泄露后，已立即启动事件响应流程，并在外部网络安全专家协助下展开全面调查。 

尽管永利未透露是否为防止数据泄露支付赎金，但公司称，攻击者已表示“被盗数据已被删除”。而在以往的勒索事件中，恶意分子通常只会在与受害者达成协议后，才宣称已删除数据。

据了解，此次攻击事件未影响宾客服务与实体设施运营，该集团所有业务均正常运行。永利还将为受影响员工提供免费的信用监控与身份保护服务。

ShinyHunters泄露网站相关情况

不久前，永利度假村被发现出现在ShinyHunters的数据泄露网站上。该团伙在帖子中宣称，窃取了“超过80万条包含个人身份信息（社保号等）和员工数据”，并警告永利须在2026年2月23日前联系谈判，否则将公开数据。

永利度假村出现在 ShinyHunters 数据泄露网站名单中

不久后，永利相关条目从该网站移除——这一情况通常出现在双方正在谈判或对相关主张存在争议时。 不过，永利度假村未回应是否支付赎金及具体受影响人数，ShinyHunters也对是否收到赎金问题表示不予置评。该恶意团伙此前宣称，数据是从永利的Oracle PeopleSoft系统环境中窃取。

关于ShinyHunters勒索组织

ShinyHunters是一个臭名昭著的数据勒索组织，以入侵企业、被盗数据索要赎金为主要手段。该组织曾宣称制造多起重大数据盗窃事件，多年来通过多个地下论坛与勒索门户活跃运营。 

去年，ShinyHunters发起大规模攻击，通过社会工程学与被盗第三方OAuth令牌窃取了多家企业的Salesforce数据。 

近几周，该团伙宣称入侵了包括Panera Bread、Betterment、SoundCloud、Canada Goose、PornHub以及在线交友巨头Match Group在内的多家机构。

部分受害者因语音钓鱼（vishing）攻击中招：攻击者冒充IT支持人员，诱骗员工在钓鱼页面输入账号密码与多重要素验证（MFA）代码，以此攻破谷歌、微软、Okta等平台的单点登录（SSO）账号。 

据报道，ShinyHunters近期还使用了设备码语音钓鱼手段获取Microsoft Entra身份认证令牌。 在窃取受害者凭证与验证码后，恶意分子劫持其单点登录账号，进而从关联的各类SaaS应用中窃取数据，包括Salesforce、Microsoft 365、Google Workspace、SAP、Slack、Adobe、Atlassian、Zendesk、Dropbox等平台。

恶意分子正借助Claude共享内容与谷歌广告发起ClickFix攻击，向搜索特定关键词的macOS用户分发信息窃取类恶意软件。研究人员已在野外发现至少两种攻击变体，超过1万名用户访问过包含危险指令的恶意内容。 

Claude 共享内容（Claude artifact）是指由用户通过Anthropic大语言模型生成并公开的内容，形式包括指令、教程、代码片段等。这类内容独立于主对话界面，任何人都可通过claude.ai域名下的链接直接访问。 

该类页面会提示用户：所展示内容由用户生成，未经准确性验证。

研究人员发现，在谷歌搜索中，“在线DNS解析器”“macOS命令行磁盘空间分析工具”“HomeBrew”等关键词均出现了恶意推广结果。

恶意 HomeBrew 搜索结果

这些搜索结果会跳转到公开的Claude共享内容，或冒充苹果官方支持的Medium文章。两种页面都会诱导用户在终端中粘贴并执行Shell命令。 

第一种攻击变体诱导执行的命令为：

第二种为：

第二种攻击变体使用伪造苹果支持页面

研究人员发现，该恶意Claude教程页面浏览量已至少达到15600次，这一数据可大致反映受骗用户规模。根据几天前观测到的该页面显示，浏览量为12300次。

Claude 对话中托管的 ClickFix 攻击引导页面

在终端执行上述命令后，系统会下载一个MacSync信息窃取木马的加载器，用于窃取设备上的敏感数据。

研究人员表示，该木马使用硬编码令牌与API密钥连接命令与控制（C2）基础设施，并伪造macOS浏览器UA以伪装成正常流量。 

命令执行结果会直接传递给osascript，由AppleScript负责执行实际的窃取行为，包括钥匙串、浏览器数据、加密货币钱包等信息。” 

窃取的数据会打包为/tmp/osalogging.zip，通过HTTP POST请求上传至攻击者C2服务器a2abotnet[.]com/gate。若传输失败，压缩包会被拆分为多个小块并重试8次。上传成功后，程序会执行清理操作，抹除所有痕迹。 

两种攻击变体均从同一C2地址下载第二阶段载荷，表明背后是同一威胁组织所为。 此前已有类似攻击活动利用ChatGPT、Grok的对话分享功能分发AMOS信息窃取木马。2025年12月，研究人员就发现攻击者利用ChatGPT与Grok对话分享链接，针对macOS用户发动ClickFix攻击。 

此次攻击开始滥用Claude，表明大模型滥用已扩散至更多主流平台。安全研究人员提醒用户保持谨慎，不要在终端执行来源不明或无法完全理解的命令。而在同一对话中向聊天机器人询问命令是否安全，是简单有效的判断方法。

Crazy 勒索软件团伙成员正滥用合法的员工监控软件与 SimpleHelp 远程支持工具，在企业网络中维持持久化控制、规避检测，并为部署勒索软件做准备。

安全研究人员在调查多起安全事件时发现了上述入侵行为：攻击者会在攻陷的网络中部署 Net Monitor for Employees Professional 员工监控软件，并配合 SimpleHelp 实现远程访问，同时将自身行为伪装成正常的管理员操作。 

在其中一起入侵事件中，攻击者通过 Windows 安装程序 msiexec.exe 安装了该员工监控工具，直接从开发者官网向受感染系统下发监控代理。

工具安装后，攻击者可远程查看受害者桌面、传输文件并执行命令，实质上获得了受侵系统的完整交互式控制权限。 

攻击者还通过以下命令尝试启用本地管理员账户：

为实现冗余持久化，攻击者通过 PowerShell 命令下载并安装 SimpleHelp 远程访问客户端，使用的文件名模仿了合法的 Visual Studio 进程 vshost.exe。载荷随后被执行，即便员工监控工具被清除，攻击者仍可通过该渠道保持远程访问。

SimpleHelp 二进制文件有时还会使用伪装成 OneDrive 相关的文件名：

攻击者利用这款监控软件远程执行命令、传输文件，并实时监控系统活动。

研究人员还观察到，攻击者会尝试停止并删除相关服务，以此禁用 Windows Defender。

禁用 Windows Defender

在某起事件中，攻击者在 SimpleHelp 中配置了监控规则：当设备访问加密货币钱包或使用远程管理工具时立即告警，为部署勒索软件和窃取加密货币做准备。

日志显示，代理程序持续针对加密货币相关关键词循环触发与重置监控规则，包括钱包服务（MetaMask、Exodus、wallet、blockchain）、交易平台（Binance、Bybit、KuCoin、Bitrue、Poloniex、bc.game、Noones）、区块链浏览器（Etherscan、Bscscan）以及支付平台 Payoneer。

除此之外，代理还会监控远程访问工具关键词，包括 RDP、AnyDesk、UltraView、TeamViewer、VNC 等，目的大概率是检测是否有人正在连接受控机器。

SimpleHelp 代理所监控的关键词

同时使用多款远程访问工具为攻击者提供了访问冗余，确保即便其中一款被发现或删除，仍能掌控目标系统。 

尽管只有一起事件最终部署了 Crazy 勒索软件，但研究人员认为两起事件背后是同一威胁组织所为。据观察，两起事件复用了相同文件名（vhost.exe）与重叠的 C2 基础设施，强烈表明入侵由同一操作者或团伙实施。 

在勒索软件入侵事件中，滥用合法远程管理与监控工具已愈发普遍，因为这类工具可让攻击者的流量隐藏在正常业务流量中，不易被发现。为此，企业应严密监控未经授权的远程监控与支持工具安装行为。此外，由于两起入侵均始于 SSL VPN 凭证泄露，需对所有用于访问内网的远程服务强制启用多因素认证（MFA）。

安全研究人员发现，一个伪造的7-Zip网站正在分发被植入木马的压缩工具安装包，该恶意程序会将用户电脑变为住宅代理节点。

住宅代理网络利用家庭用户设备转发流量，以此绕过访问限制，并实施凭证填充、网络钓鱼、恶意软件分发等各类恶意活动。 

这一新型攻击活动因用户举报引发广泛关注：该用户在观看YouTube上的电脑装机教程后，依照教程指引，从一个冒充7-Zip官方的网站下载了恶意安装包。

攻击者注册了7zip.com域名，极易误导用户以为访问的是官方工具站点。此外，攻击者还完整复制了7-Zip官方网站（7-zip.org）的文字内容与页面结构。

传播木马化 7-Zip 安装包的恶意网站

研究人员对该安装包进行分析后发现，其使用一张已被吊销的数字证书签名，证书原颁发给Jozeal Network Technology Co.，Limited。

该恶意安装包内同样包含正常的7-Zip程序，可提供工具的完整功能，但会在安装过程中释放三个恶意文件：

·Uphero.exe——服务管理与更新加载程序

·hero.exe——代理核心载荷

·hero.dll——支持库

这些文件会被释放至C:\Windows\SysWOW64\hero\目录，程序还会以SYSTEM权限创建Windows自启动服务，确保恶意程序持久运行。同时，攻击者通过netsh命令修改防火墙规则，允许恶意程序发起内外网连接。

最终，恶意程序会通过Windows管理规范（WMI）与Windows应用程序接口采集主机硬件、内存、CPU、磁盘及网络配置信息，并将数据上报至iplogger.org。 

研究人员在分析该恶意程序目的时表示：“尽管初步迹象显示其具备后门类功能，但进一步分析证实，该恶意软件的核心用途为代理程序。受感染主机会被纳入住宅代理网络，允许第三方通过受害者IP地址转发流量。”

分析显示，hero.exe会从轮换的smshero系列C2域名获取配置，并在1000、1002等非常规端口开启外连代理通道，控制指令则通过轻量级XOR算法进行混淆加密。 

此次攻击活动并非仅伪装7-Zip，还通过篡改HolaVPN、TikTok、WhatsApp、Wire VPN等软件的安装包传播。 

该恶意软件使用以hero/smshero为主题的轮换式命令控制基础设施，流量经Cloudflare并采用TLS加密的HTTPS协议传输；同时通过谷歌解析器使用HTTPS加密DNS（DoH），降低防守方对常规DNS流量监控的可见性。

程序还会检测VMware、VirtualBox、QEMU、Parallels等虚拟化环境及调试器，以此识别自身是否处于分析环境中。 

安全专家建议用户，不要直接点击YouTube视频中的链接或搜索引擎推广结果，应为常用软件的官方下载页面添加书签，从正规渠道获取软件。

一款名为 ZeroDayRAT 的新型商用手机间谍软件平台，正在 Telegram 上向网络犯罪分子进行推广，其宣称可对受感染的安卓和 iOS 设备实现完全远程控制。

该恶意软件为购买者提供功能齐全的管理面板，据称支持安卓 5 至 16 版本，以及最高 iOS 26 最新版本。

研究人员表示，ZeroDayRAT 不仅窃取数据，还能实施实时监控与金融盗窃。管理面板可展示受感染设备信息，包括机型、系统版本、电池状态、SIM 卡信息、所属国家及设备锁定状态。

控制台概览

恶意软件能够记录应用使用情况、行为时间线、短信往来记录，并为控制者生成汇总信息。

面板中的其他追踪模块可显示设备收到的所有通知，以及设备上已登录的账号（含邮箱、用户 ID），可能被用于暴力破解与凭证填充攻击。

若获取 GPS 权限，该恶意软件还可实时追踪受害者位置，在谷歌地图上显示当前坐标与完整历史轨迹。

实时追踪受害者

除被动数据记录外，ZeroDayRAT 还支持主动操控：可开启前后摄像头、麦克风获取实时音视频流，或录制屏幕以窃取更多敏感信息。

访问摄像头和麦克风输入

此外，在获得短信权限后，恶意软件可截取接收到的一次性验证码（OTP），实现双因素认证绕过，并能以受害者设备发送短信。

该恶意软件开发者还集成了键盘记录模块，可捕获密码、手势、屏幕解锁图案等用户输入信息。

在金融盗窃方面，软件内置加密货币窃取模块。研究人员发现，该组件会启动钱包应用扫描，检测 MetaMask、Trust Wallet、币安、Coinbase 等钱包，记录钱包地址与余额，并尝试剪贴板地址注入，将用户复制的钱包地址替换为攻击者控制的地址。

银行窃取模块则针对网上银行应用、Google Pay、PhonePe 等统一支付接口平台，以及 Apple Pay、PayPal 等支付服务，通过伪造覆盖界面窃取账号凭证。

加密货币和银行信息窃取模块

研究人员并未详细披露该恶意软件的传播方式，但指出 ZeroDayRAT 是一套完整的移动设备入侵工具集。并警告员工设备一旦沦陷，可能引发企业级数据泄露。 

对个人用户而言，遭受 ZeroDayRAT 入侵将导致隐私全面泄露，并可能造成直接经济损失。 

安全建议提醒用户，仅从官方应用商店（安卓 Google Play、iOS App Store）安装来源可信的应用；高风险用户可在 iOS 开启锁定模式，在安卓启用高级保护功能。

当前，全球AIGC技术已从能不能生成全面迈入生成会不会失控的关键阶段。以Seedance 2.0、Nano Banana pro为代表的新一代AI生成工具，已实现图片、视频的超逼真合成，达到人眼无法区分的程度；造假从过去需要专业团队、设备与技术，变为仅需一段提示词、几分钟即可完成，滥用成本急剧下降，欺诈、仿冒、虚假信息等风险全面外溢至社会信任底层，眼见为实的传统认知正面临坍塌。

当生成能力成为AI时代的基础能力，内容真实性核验便成为同等重要的刚需支撑。国投智能股份（股票代码：300188）全资子公司美亚柏科凭借前瞻卡位布局与技术稀缺性，稳居AI安全鉴真行业第一梯队，将“美亚鉴真平台”定义为AIGC时代内容真实性基础设施，以体系化对抗能力、全场景落地实践、全生态协同布局，成为AI内容的技术裁判者，为全网内容可信提供核心技术兜底。

AIGC时代的核心矛盾，并非有没有假视频、假图像，而是如何维持整个数字世界的可信可靠。没有专业鉴真技术，社会将陷入真假坍塌的困境 —— 真视频不再被相信，假视频无法被否认；单纯依靠人眼辨别、经验判断、风险提醒，既不具备权威性，也无法形成有效兜底。唯有中立、精准、可溯源的技术裁判，才能重构数字内容的信任秩序，这正是美亚鉴真的核心价值所在。

面对层出不穷的新型生成模型，“美亚鉴真平台”始终坚持体系化对抗，而非单点适配。其对抗的是AI生成机制本身，而非某一款工具、某一个模型，依托天擎公共安全大模型与对抗生成技术，可对新增AI生成模型实现周级快速适配，目前已覆盖近500种伪造手段、40余种主流AI生成算法，对多模态内容检测精度超 94.6%。在Seedance 2.0等顶级模型面世之初，“美亚鉴真平台”便完成技术适配与风险防控，这不是概念化的演示能力，而是可落地、可实战、可支撑治理的工程化能力，真正实现风险刚出现，检测已就位，以前置治理替代事后补救。

国投智能股份始终认为，AI生成模型代表生产力进步，“美亚鉴真平台”代表安全与秩序，二者是一手油门、一手刹车的共生关系，而非对立。我们不反对生成模型进化，只防止它被滥用；一个成熟健康的AI生态，必然同时拥有强大的生成能力与可靠的鉴真能力。

落地实践中，“美亚鉴真平台”形成G 端夯实根基、B 端规模突破的双轮驱动格局：在G端，美亚鉴真小程序已覆盖全国27个省，对接近120个地市级反诈及政务平台，成为司法取证、舆情治理、反诈防控的核心治理支撑；商业端在运营商、银行反欺诈场景实现0到1关键突破，为远程开户、身份核验、转账风控等高风险环节提供安全兜底，正快速向全国范围推广。

为构建全链路可信生态，“美亚鉴真平台”正加速与互联网大厂深度协同，重点对接内容、社交、电商平台，在内容安全、侵权鉴定、UGC内容审核等领域建立技术互通，将鉴真能力嵌入内容生成、发布、流转全流程，让公众在刷视频、社交互动、线上消费时，每一条内容都可验、可信、可追溯。

国投智能股份相关负责人表示，AI可以越来越逼真，但社会不能失去分辨真假的能力。“美亚鉴真平台”不止是一款检测工具，更是守住可信数字世界的底线，未来将成为AIGC平台与应用的标配能力，成为生成式人工智能治理体系中的关键技术支点。

作为AIGC时代的真相守护者，“美亚鉴真平台”将持续以新质生产力驱动技术迭代，深化政企民协同，用国家队技术筑牢内容安全防线，为数字社会信任体系建设提供坚实支撑。

安全研究员最新发现的一款 Linux 僵尸网络 SSHStalker，采用IRC（互联网中继聊天）通信协议实现命令与控制（C2）操作。

据了解，该协议于 1988 年问世，在 20 世纪 90 年代达到普及高峰，成为当时用于群组与私密通信的主流文本即时通信方案。技术社区至今仍青睐其实现简单、互操作性强、带宽占用低且无需图形界面（GUI）等特点。 

SSHStalker 僵尸网络并未采用现代化命令与控制框架，而是依托经典 IRC 机制运行，例如使用多个基于 C 语言编写的木马程序、多服务器/多频道冗余设计，更注重韧性、规模化与低成本，而非隐蔽性与技术新颖性。 

研究人员表示，这种思路也体现在 SSHStalker 的其他攻击行为中，例如使用特征明显的 SSH 扫描、每分钟执行一次的定时任务，以及大量距今已有 15 年历史的漏洞（CVE）。 

据悉，安全研究人员实际发现的是一个特征明显、拼凑而成的僵尸网络工具包，融合了传统 IRC 控制、在主机上编译二进制程序、大规模 SSH 攻陷以及基于定时任务实现持久化等手段。简单来说，这是一套优先规模、注重可靠而非隐蔽的运营模式。

受感染主机 IRC 频道

SSHStalker 通过自动化 SSH 扫描与暴力破解实现初始入侵，其使用的 Go 语言二进制程序会伪装成知名开源网络探测工具 Nmap。

被攻陷的主机随后会被用于扫描更多 SSH 目标，形成类似蠕虫的传播扩散机制。

研究人员发现了一份包含近 7000 条僵尸网络扫描结果的文件，均来自今年 1 月，攻击目标主要集中在Oracle Cloud等云服务商。

SSHStalker 感染主机后，会下载 GCC 编译工具，在受害设备上直接编译恶意载荷，以提升程序可移植性与规避检测能力。

首批载荷为基于 C 语言的 IRC 木马，内置硬编码的控制服务器与频道信息，将新受害主机纳入僵尸网络的 IRC 控制体系。 

随后，该恶意软件会下载名为 GS 和 bootbou 的压缩包，其中包含用于统一调度与按序执行的不同木马变体。

持久化机制通过每 60 秒运行一次的定时任务实现，该任务采用看门狗式更新逻辑，检查主木马进程是否运行，若被终止则重新启动。

该僵尸网络还集成了针对 2009—2010 年版本 Linux 内核的 16 个漏洞利用程序，在暴力破解获得低权限用户访问权限后，用于实现权限提升。

攻击链概述

在牟利方式上，该僵尸网络会窃取 AWS 密钥、扫描网站，并集成了挖矿程序，包括高性能以太坊挖矿工具 PhoenixMiner。

僵尸网络同样具备分布式拒绝服务（DDoS）攻击能力，但研究人员表示暂未观测到相关攻击行为。事实上，SSHStalker 木马目前仅连接控制服务器后便进入闲置状态，表明其仍处于测试或囤积访问权限阶段。 

研究人员尚未将 SSHStalker 归属到特定攻击组织，但发现其与 Outlaw/Maxlas 僵尸网络体系存在相似之处，并出现多项与罗马尼亚相关的特征线索。 

威胁情报机构建议，在生产服务器上应部署针对编译器安装与执行行为的监控方案，并对 IRC 类型的出站连接设置告警。来自异常路径、执行周期极短的定时任务，也是高度危险的预警信号。 

安全研究人员提出了一些防御建议，例如关闭 SSH 密码认证、从生产环境镜像中移除编译器、强制实施出站流量过滤，以及限制从 /dev/shm目录执行程序等举措。

超30万的用户安装了共计30 款的恶意 Chrome 浏览器扩展程序，它们伪装成AI助手形式以窃取用户账号凭证、邮件内容与浏览信息。其中部分扩展目前仍上架于 Chrome 应用商店，另有部分扩展安装量相对较小。

研究人员发现这一恶意扩展攻击活动后将其命名为 AiFrame。经分析，所有涉事扩展均归属同一攻击团伙控制，为同一域名 tapnetic.pro 下的攻击基础设施通信。

据研究人员介绍，AiFrame 活动中最流行的扩展为 Gemini AI Sidebar（ID：fppbiomdkfbhgjjdmojlogeceejinadg），用户量达 8 万，目前已从 Chrome 应用商店下架。 

但仍有多款用户量达数千的同类恶意扩展继续留在谷歌 Chrome 扩展商店中。值得注意的是，这些扩展名称可能不同，但核心标识一致，包括：

·AI Sidebar（gghdfkafnhfpaooiolhncejnlgglhkhe）——7 万用户

·AI Assistant（nlhpidbjmmffhoogcennoiopekbiglbp）——6 万用户

·ChatGPT Translate（acaeafediijmccnjlokgcdiojiljfpbe）——3 万用户

·AI GPT（kblengdlefjpjkekanpoidgoghdngdgl）——2 万用户

·ChatGPT（llojfncgbabajmdglnkbhmiebiinohek）——2 万用户

·AI Sidebar（djhjckkfgancelbmgcamjimgphaphjdl）——1 万用户

·Google Gemini（fdlagfnfaheppaigholhoojabfaapnhb）——1 万用户

研究人员指出，30 款扩展共用相同的内部结构、JavaScript 逻辑、权限配置与后端基础设施。

这些恶意浏览器插件并未在本地实现任何 AI 功能，而是通过全屏 iframe 加载远程域名内容，以此对外提供所谓“AI 服务”。 

这种模式本身就存在极高风险：攻击者可随时修改扩展逻辑，无需推送更新即可改变行为（类似微软 Office 插件机制），从而绕过应用商店的重新审核。 

在后台，这些扩展利用 Mozilla 的 Readability 库，从用户访问的网页中提取内容，包括敏感的登录认证页面。其中15 款扩展专门针对 Gmail 数据，通过在 mail.google.com 页面加载阶段（document_start）运行专用脚本并注入界面元素，实现窃取行为。

该脚本直接从 DOM 读取可见邮件内容，并通过 .textContent 持续提取邮件会话文本。研究人员强调，even 邮件草稿也可被完整窃取。 

当用户触发 AI 辅助回复、摘要生成等 Gmail 相关功能时，提取到的邮件内容会传入扩展逻辑，并上传至攻击者控制的第三方后端服务器。这将导致邮件正文及相关上下文数据被传出设备，脱离 Gmail 安全边界，上传至远程服务器。 

这些扩展还内置远程触发的语音识别与转录功能，通过 Web Speech API 实现录音并回传结果。根据获取的权限不同，扩展甚至可以窃取受害者所处环境的对话内容。 

研究人员为此发出安全建议：建议用户及时进行自查，如确认设备已被感染，应立即重置所有账号密码。

2026年开年，Seedance2.0将AI视频生成技术推向新高度，也加剧了AI视频泛滥的隐患。游戏科学创始人、《黑神话：悟空》制作人冯骥体验后惊叹其多模态整合能力并感慨“AIGC的童年时代结束了”，同时也警示，该模型让逼真假视频生成变得毫无门槛，冲击现有知识产权与审查体系，假视频引发的信任危机成为AI发展亟待解决的核心问题。

当AI造真的能力不断突破，唯有更硬核的AI鉴真技术，才能对抗技术作恶、守护内容真实。国投智能股份旗下美亚柏科自主研发的美亚鉴真小程序，以先发优势卡位AI安全赛道，凭借稀缺的技术实力稳居行业第一梯队，成为破解假视频信任危机的关键利器。

作为网络空间安全与社会治理领域国家队，国投智能股份不仅在AI鉴真技术上深耕细作，更实现了G端夯实、B端突破的全维度布局：在G端，美亚鉴真小程序已覆盖全国27个省，对接近120个地市级反诈及政务平台，成为各地反诈工作的“电子哨兵”，获央视新闻专题报道；

在B端，核心鉴真技术已在运营商、银行反欺诈领域实现0到1的突破，相关方案正往全国范围推广，为金融、通信行业抵御AI伪造诈骗风险筑牢防线。同时，国投智能正积极探索与互联网大厂的深度合作，在内容安全、侵权鉴定、UGC内容审核等领域建立对接，计划将成熟的鉴真技术融入平台内容审核体系，从源头把控内容真实性。

技术的硬实力，更在无数真实案例中得到印证。

AI技术的发展不应成为虚假内容的温床，而美亚鉴真小程序，正是国投智能股份与美亚柏科为AI时代打造的 “信任基石”。公司以年均超17%的科研投入持续迭代技术，不断优化检测算法，紧跟AI伪造技术的更新趋势，用技术对抗技术，用专业守护真实。

当前，美亚鉴真小程序能有效识别近500种各类伪造生成手段，对主流AI生成内容的识别平均精度超94.6%，普通用户只需上传图片、视频或输入链接，三步即可完成鉴真，轻松识破AI伪造陷阱。

当你在抖音刷到离奇的视频、在微信看到存疑的画面、在淘宝遇到可疑的广告，别再凭肉眼猜测真假！打开美亚鉴真小程序，让国投智能股份&美亚柏科的硬核技术为你辨明真假，守护你的每一次线上信任，让AI时代的内容世界，真实可触、值得信赖！

梆梆安全「具身智能安全」系列专题，致力于前沿风险研究，期待与行业伙伴携手并进，共探智能时代的安全无人区。

在上海六院骨科门诊，一位特殊的“新同事”已悄然上岗。这款由清华大学研发的全国首款临床诊疗具身智能机器人，正以流畅的动作完成预诊服务：它分析步态、检测肌力，融合多模态信息生成初步诊断建议，并实时推送给医生。身高约1.6米，配备智能屏幕与灵活机械臂，凭借轮式底盘在医院走廊间自如移动——这不仅是工具的升级，更预示着一场人机协同诊疗革命的序幕正在拉开。

（图片来源于网络）

01 从概念到临床：医疗具身智能的商业化进程

具身智能技术正推动机器人超越预设程序的局限，迈向能与环境自主交互的新阶段。在工业、物流等领域已规模落地的同时，更具通用潜力的人形机器人也进入了量产与场景验证的关键时期。医疗健康领域，长期面临人力短缺与需求增长的双重压力，对操作精准度、风险控制及伦理规范有着近乎苛刻的要求。因此，能够模拟人类“感知-决策-行动”完整闭环的具身智能，被视为一条极具价值但必须审慎前行的技术路径。它目标明确：从辅助工具演进为医生的可靠“智能伙伴”。

当前，具身智能在医疗领域的探索正聚焦于几个深入临床腹地的关键场景：

（一）智能手术协同：通过高精度传感器与灵巧机械臂，实现“眼-脑-手”协同。手术机器人能将操作抖动控制在毫米级以下，在微创手术中帮助减少出血、加速康复。

（二）AI辅助诊断与治疗支持：如上海六院的实践所示，机器人可前置完成部分标准化检查与初步分析，形成诊断建议辅助医生，其机械臂也能适配多种设备执行辅助操作。

（三）个性化康复训练：机器人通过传感器实时监测患者生理数据，并利用AI算法动态调整康复方案，为患者提供量化、个性化的训练指导。

（四）公共卫生与应急辅助：在院内消毒、物资配送等场景中，自主执行任务，构建“自动化防线”，降低医护人员的暴露风险。

02 隐忧与挑战：当智能触及生命红线

然而，当技术深度融入诊疗流程，其带来的安全挑战也呈指数级增长。医疗场景的复杂性、不可逆性及超高安全要求，使其成为具身智能落地“最难啃的骨头”。风险主要集中以下维度：

数据与隐私安全：机器人的感知、决策极度依赖海量患者数据（如影像、生理信号、病历），这些敏感信息在采集、传输、存储和分析的全生命周期中，面临泄露、篡改和滥用的严峻风险。

系统与控制安全：机器人的行动依赖于软硬件系统的绝对可靠。网络攻击可能通过篡改定位数据、劫持控制指令等方式，导致机械臂误操作。在手术等场景中，这直接关乎生命。

算法与决策安全：辅助诊断的公正性依赖于无偏差的算法模型。若训练数据不全面或不均衡，可能导致误诊或加剧医疗不平等，且算法决策过程往往缺乏透明性，难以追溯和审计。

物理与行为安全：在自主移动和执行任务时，机器人需确保自身行为在复杂环境中的确定性与安全性，防止因系统故障、感知错误或恶意诱导造成物理碰撞、交叉感染等次生伤害。

03 构建安全基座：迈向可信的智能医疗未来

面对上述挑战，构建前瞻性、内生的安全体系已非选项，而是智能医疗发展的前提。这意味着必须：

在数据安全层面，需依托隐私计算技术（如联邦学习、可信执行环境），实现“数据可用不可见”，在充分挖掘数据价值的同时严格保障患者隐私与合规性。

在访问控制上，应贯彻零信任安全架构，对设备、用户及指令执行持续身份验证与动态授权，遵循最小权限原则。

针对应急机制，须为手术操作等关键任务部署硬件级冗余防护与安全急停回路，确保在系统异常时物理风险可控。

建立持续威胁监测体系，主动防范黑灰产等潜在攻击，并完善涵盖事前预防、事中处置与事后恢复的应急响应预案，以保障系统持续稳定运行。

医疗健康的智能化浪潮正以前所未有的速度推进，具身智能作为前沿力量，将持续为医疗领域注入新的动能。在这一进程中，安全建设与技术创新同等重要——它既是发展的坚实底座，也是稳健前行的必要保障。只有将系统化的安全能力融入智能演进的全生命周期，才能为人机协同筑牢信任基础，让这项技术真正成为医疗体系可信赖的伙伴，在提升医疗效率的同时，守护好每一个生命节点。未来，安全的智能医疗生态需要行业共同构建、持续完善。

参考文献：

[1]《【新质发展在六院】预诊只要5-8分钟！全国首款临床诊疗具身智能机器人在上海六院国家骨科医学中心亮相》

[2]《人工智能在医疗健康领域的创新应用、风险挑战与治理对策》

[3]《具身智能--在医疗场景的应用思考》

[4]《医疗保健领域具身智能的综述：技术、应用和机遇》

[5]《手术机器人已接近自动驾驶L3级，“具身智能”会是医疗AI的完全进化体吗？》

[6]《A Survey of Embodied AI in Healthcare: Techniques, Applications, and Opportunities》

[7]《专题丨“人工智能+”赋能具身智能机器人新形态及关键技术应用》

新版《中华人民共和国网络安全法》已于2026年1月1日正式实施。本次修订针对当前网络安全领域的新风险、新挑战，全面强化了网络空间治理的法治化与系统性，在人工智能安全规范、数据出境监管、关键信息基础设施防护、法律责任追究等多个关键领域作出重要更新，突出体现了国家统筹发展与安全的战略部署。

为准确把握立法新动向，明晰监管重点，助力企业实现合规发展，共同营造清朗有序的网络环境，梆梆安全与您共同关注——《中华人民共和国网络安全法》修改后有哪些变化？

文章来源：“网信中国”

随着无人机应用的普及，“黑飞”乱象日益凸显，不仅扰乱低空安全秩序，更可能触碰法律红线、危害公共安全、泄露国家秘密。据了解，2026年，我国将实施一系列无人机管控新规，包括新修订的《治安管理处罚法》（2026.1.1 生效）、《民用无人驾驶航空器实名登记和激活要求》（2026.5.1 生效）等，核心目标是实现无人机飞行的合法、安全、可追溯。

近期，公安部公布了多起无人机违法犯罪典型案例，直击“黑飞”高频违法场景。本期专题，福建美亚柏科司法鉴定中心将以案说法，为您解析无人机司法鉴定如何破局“黑飞”乱象，用技术还原真相、守护空域安全。

结合公安部公布的典型案例，以下重点解析三类高频“黑飞”违法场景：

场景一：以危险方法危害公共安全——突破限高、闯入禁飞区，危及民航安全

公安部公布案例显示，李某某为追求拍摄效果，破解无人机限高限制实施超高“黑飞”，飞行轨迹侵入民航航路，与民航飞机近距离接触，严重威胁民航安全，最终因涉嫌以危险方法危害公共安全罪被批捕。另有田某某破解无人机禁飞限制，在机场航道上空“黑飞”拍摄挑衅，最终因犯以危险方法危害公共安全罪被判处有期徒刑三年。此类突破限高、闯入机场等禁飞区的案件，也是我中心承接量最大的类型之一。

场景二：提供侵入、非法控制计算机信息系统程序、工具——破解无人机，沦为“黑飞”帮凶

“黑飞”背后常暗藏破解产业链，朱某某为他人提供无人机限高、禁飞破解服务，累计破解50余台次并非法获利，被破解无人机部分用于超高“黑飞”，其因涉嫌提供侵入、非法控制计算机信息系统程序、工具罪被批捕。

李某团伙亦长期提供此类破解服务，非法获利9万余元，团伙成员均被依法判刑。这类助力“黑飞”的破解行为，往往需要专业司法鉴定介入，才能精准固定证据、助力案件顺利查办。

场景三：泄露国家秘密——“黑飞”直播敏感禁飞区，酿成泄密大祸

无人机“黑飞”还可能泄露国家秘密，冯某某操控改装无人机直播穿越军事禁区，拍摄内容涉及军用机场，因涉嫌过失泄露国家秘密罪被采取刑事强制措施。李某为博取网络关注，操控无人机非法拍摄部队敏感区域，发布含涉密内容的短视频，最终因非法获取国家秘密罪被判刑。此类严重泄密案件，亟需专业无人机司法鉴定，精准固定飞行轨迹、拍摄内容等关键证据。

实战解析：美亚柏科无人机司法鉴定 还原违法真相、助力案件查办

上述三类高频“黑飞”违法场景对应的案件，正是福建美亚柏科司法鉴定中心日常承接的核心业务之一。我们依托专业的司法鉴定专家团队与先进取证装备，已先后承接百余台无人机“黑飞”治理相关案件，可针对各型号、各厂家无人机“黑飞”案件，精准提取飞行数据、还原飞行轨迹、固定违法证据，为案件侦查、起诉、审判提供权威司法鉴定意见。

以下结合我中心受理的某无人机违法案件，详细解析无人机电子数据司法鉴定的全过程及核心作用。

2025年，某地辖区内一居民家中阳台被他人使用工业无人机恶意投掷垃圾事件，为确认涉案无人机是否曾经在该位置飞行并投掷物品，当地办案人员特向我中心委托提取无人机飞行数据并还原其飞行轨迹。接到委托后，我中心组织了办理过多起无人机鉴定案件的专业技术人员受理本案。

技术人员聚焦案件核心需求，使用了国投智能自主研发的无人机取证工具精准提取了该无人机飞行数据，成功提取涉案无人机飞行核心数据，精准还原其飞行轨迹，明确证明该无人机曾在涉案区域内违法飞行并投掷物品，精准回应办案机关核心需求。该鉴定意见亦作为关键证据被办案机关采纳，顺利认定涉案人员违法事实，助力案件依法办结，有效震慑了当地无人机“黑飞”乱象。

无人机检材及轨迹

延伸阅读：无人机案件类型全覆盖 精准守护低空安全

当前，全国各地“黑飞”案件时有发生，福建美亚柏科司法鉴定中心提前布局、积极储备大量技术、实战经验力量，已实现各类无人机违法案件电子数据司法鉴定全覆盖。针对每一类案件，我们都有明确的鉴定重点和成熟的技术方案：

·以危险方法危害公共安全案（突破限高限速/闯入禁飞区类）：

重点提取飞行高度、速度、轨迹数据，比对禁飞区域、民航航线坐标，还原“黑飞”全过程，固定危及公共安全的相关证据；

·提供侵入、非法控制计算机信息系统的程序、工具案（破解类）：

重点核查无人机是否被破解、破解痕迹，提取破解相关程序、工具及交易记录，认定破解行为及非法获利相关事实；

·泄露秘密案（敏感区域直播等类）：

重点提取无人机拍摄内容、飞行轨迹，确认是否闯入军事禁区等敏感区域，固定拍摄内容涉及国家秘密的相关证据，还原泄密违法过程。

天空不是法外之地，无人机飞行更不能随心所欲。公安部持续推进“净空”专项工作，严厉打击无人机“黑飞”违法犯罪，而福建美亚柏科司法鉴定中心作为专业司法鉴定机构，始终坚守初心、履职尽责，以技术为刃、以公正为尺，深耕无人机司法鉴定领域，用专业鉴定还原违法真相、固定关键证据，助力办案机关严厉惩处“黑飞”行为。

行业实践

某国际传媒公司为国内头部传媒集团旗下核心单位，长期负责运营国际大型体育赛事的全媒体传播平台。其自主研发的移动应用矩阵承载赛事直播、资讯推送、观众互动等高并发业务，单日访问量峰值超过千万级，已成为国际赛事传播的重要数字窗口。

随着数字化转型深入，平台面临着日益严峻的安全威胁与合规压力。为保障重大赛事期间系统零故障、数据零泄露，并向全球用户提供稳定、可信的赛事服务体验，该客户启动了覆盖“预防-检测-处置”全生命周期的移动应用安全体系建设项目，以构筑具备持续防御与快速响应能力的安全基座。

随着全球体育赛事数字化进程的加速，移动应用已成为赛事传播的核心载体，也面临着严峻的安全与合规考验。赛事平台承载着大量用户数据与支付信息，频发的DDoS攻击和数据窃取事件使其成为攻击焦点；与此同时，国内外多项法规对数据安全与个人信息保护提出了更高要求。在这一背景下，该客户主要面临以下三大挑战：

威胁复杂化：赛事期间应用易成为黑客攻击目标，包括DDoS攻击、数据窃取、恶意代码注入等，直接影响赛事传播与用户信任。

合规高标准：需同时满足《个人信息保护法》等国内法规与国际赛事组织（如国际乒联、国际大体联）的安全要求，涉及数据跨境、敏感信息加密、用户同意机制等多维合规挑战。

响应即时性：赛事传播具备强时效性，任何服务中断或内容篡改都需在极短时间内响应与恢复，对应急机制提出分钟级要求。

一 项目实施

基于在移动安全领域的深厚积淀，梆梆安全为赛事场景定制推出 “赛事移动应用安全合规保障方案”。该方案融合安全加固、威胁检测、代码审计、合规评估与应急响应五大核心能力，形成覆盖应用全生命周期的一站式防护体系，真正实现安全与业务同步部署、同步运营，助力客户在数字化赛事传播中筑牢安全底座、释放业务价值。

1. 安全加固

为移动应用提供贯穿开发、打包、发布至运行阶段的全生命周期安全防护，通过将多层级防护技术深度集成至客户端，可有效防御反编译、二次打包、数据窃取等常见攻击手段。服务支持定制化加固策略，并对核心代码采用高强度VMP保护技术，在确保安全性的同时，兼顾运行效率与用户体验，实现安全加固无感化。

2. 安全检测

采用动静态相结合的检测机制，从程序源码、通信传输、数据交互、组件漏洞及敏感信息泄露等多个维度，对移动应用进行全方位安全扫描，全面且精准地识别潜在安全风险与漏洞，并快速生成包含具体定位与专业修复建议的详细报告，为后续整改提供清晰可靠的技术依据。

3. 代码审计

采用自动化审计工具与专家人工研判相结合的模式，对应用程序源代码进行深度威胁检测与漏洞分析，定位深层风险，并提供可落地的修复建议。从源码层面系统性消除安全隐患，推动安全能力左移，帮助企业构建符合安全开发规范的生命周期管控体系。

4. 个人信息隐私合规评估

严格依据国家法律法规及各监管部门要求，遵循“告知-同意”与“最小必要”原则，对移动应用个人信息全生命周期处理活动进行系统性合规检测。采用自动化工具与人工审计相结合的方式，全面评估隐私政策、权限调用及数据流转合规性，并输出权威报告与整改建议，确保应用合规，有效管控法律与监管风险。

5.应急响应

提供7×24小时全天候应急响应服务，通过预先制定的完善预案与清晰处置流程，确保在安全事件发生时能够快速启动、分钟级响应。服务涵盖事件精准隔离、数据快速恢复、根因深度分析等关键环节，最大限度压缩故障窗口，保障核心业务连续性，显著降低安全事件造成的业务损失与品牌影响。

二 项目价值

“零泄露”安全纪录：赛事期间通过系列技术手段和管理措施有效抵御多轮攻击，未发生重大安全事件，核心业务平稳运行。

100%合规保障：通过体系化的合规评估与管控机制，确保移动应用在用户数据处理等环节全面符合国内外法规与赛事规范，实现合规零风险。

信任与体验双重提升：为用户构建安全可靠的应用环境，保障个人信息与合法权益，显著增强用户对赛事平台的信任感与使用黏性。

降本增效与品牌增值：依托精准的安全防护与高效的合规管理，有效避免因安全事件与违规处罚导致的经济损失，同步提升品牌声誉与市场竞争力。

在传媒行业全面迈向数字化的进程中，移动应用已成为承载内容传播、用户互动与多端分发的核心枢纽。梆梆安全基于覆盖“防护-检测-合规-响应”的全栈安全体系，为传媒级应用提供从代码安全到内容保护、从数据合规到业务连续性的全方位保障，助力客户构建安全可信、稳定高效的新型传播平台，让优质内容安全触达全球用户，守护每一次传播的价值与信任。

快手直播遭黑灰产协同攻击，数万虚假账号利用AI生成违规内容，致使平台被迫全域停播。目前，警方已介入，事件已升级为公共安全事件。

快手事件脉络梳理

12月22日22时左右，黑灰产组织对快手直播平台发起有预谋的大规模协同攻击。短时间内，平台涌现大量由新注册或僵尸账号创建的违规直播间，播放预设的淫秽色情、血腥暴力内容，部分直播间观看人数近10万，呈现明显的自动化、规模化特征，致使平台审核与封禁系统承压失效。

12月23日0时前后，快手采取了最高级别的“无差别关停”措施，全面关闭直播频道，并向公安机关及相关部门报警上报。经紧急处置，直播功能在00:45左右基本恢复。

12月23日午间，快手发布港交所公告，确认直播功能遭受网络攻击，已启动预案完成修复，强调公司始终严守合规底线，并强烈谴责该违法犯罪行为，表示将依法采取后续措施。

（图片来源于网络）

当前，国内短视频直播领域的头部平台，具备专业的“人工+AI”双重审核机制与实时封禁能力。然而在本次高度组织化、技术化的协同攻击面前，其防御体系仍显被动，暴露出当前企业在应对新型黑灰产系统攻击时的共性挑战与防御瓶颈。

深度剖析

快手防御体系为何未能完全阻截此次攻击？

本次攻击成功突破了快手日均处理十亿级日志、部署上千检测策略的纵深防护系统，折射出当前平台安全在面对组织化、跨环节、多技术融合的新型攻击时，仍存在识别与响应上的时间差与策略滞后。约两小时后启动的“无差别关停”虽是果断的应急手段，有效遏制了事态蔓延，但也反映出常规风控体系在极限压力下的应对局限。

传统的安全模型依赖ATT&CK攻击矩阵的单点技术覆盖与内部行为建模，难以应对此次高度组织化的“系统对抗”。黑灰产通过资源获取、环境伪装、行为欺诈与精准协同，形成了一套跨环节、多技术的系统“系统对抗”模式，成功绕过平台主流风控链路，凸显了单点布防策略的固有局限。

梆梆安全“移动应用全渠道风险监测和防护” 方案

针对此次事件，行业已从攻击链视角进行了阶段性拆解与分析。为深入探讨如何构建更有效的主动防御体系，梆梆安全专家将从移动应用全渠道风险监测与防护的专业角度，进行进一步的技术映射与防护推演。

1. 什么是“移动应用全渠道风险监测和防护”？

全渠道应用

安卓应用、iOS应用、小程序等。

“移动应用全渠道风险监测和防护” 方案

“移动应用全渠道风险监测和防护” 方案融应用加固、前端软加密机、环境和异常行为监测、API监测等多个关键安全技术为一体，实现移动端防护和风险监测协同：

“移动应用全渠道风险监测和防护” 的安全功能

安全加固和移动端虚假环境监测：移动应用是否运行在虚假环境中，比如，猫池、云手机、定制ROM等、以及所连接的IP/WIFI是否异常，比如，宽带IP、代理IP、秒拨IP等。

安全加固和移动端异常行为监测：移动应用是否被攻击，比如，调试、脱壳、中间人劫持、注入攻击、自动点击（拟人化点击）等。

软加密机和API监测：防护移动应用的API接口，监测API接口是否被盗用。

2. “移动应用全渠道风险监测和防护”方案在“快手被攻击链条”中的安全作用

回顾快手本次事件的整体应对，采取应急响应逻辑清晰：通过全局关停迅速控制影响面，并同步启动司法报案，展现了危机响应的决断力。然而，从攻击爆发到实施关停之间的“处置空窗期”，已造成了不可忽视的负面影响。

这充分表明，当前网络安全攻防已演变为具备完整技术链与工业化规模的黑灰产攻击团队与企业防御体系之间的系统性较量。企业必须从被动应对转向主动防御，构建覆盖“事前预警、事中阻断、事后追溯”的全周期动态安全体系。这不仅是此次安全事件基于行业内的警示，更是整个数字时代企业安全建设的必由之路。