一周回顾：LLM 包幻觉损害供应链，修复 Nagios Log Server 缺陷

快速阅读: 《帮助网络安全》消息，上周信息安全动态包括苹果修复两iPhone零日漏洞、NTLM漏洞被利用、Cozy Bear发动新攻击等。此外，探讨了AI在安全中的应用、企业网络安全挑战及最新产品发布等。

上周，一些有趣的信息安全新闻、文章、访谈和视频如下：

苹果修复了两个被用于针对性攻击iPhone的零日漏洞（CVE-2025-31200，CVE-2025-31201）。苹果已经发布了紧急的安全更新，修复了iOS/iPadOS、macOS、tvOS和visionOS中的这两个漏洞，这些漏洞已被威胁行为者用于对特定目标进行极其复杂的攻击。

在公司并购过程中，网络安全威胁也会随之合并。对于首席信息安全官（CISO）来说，并购（M&A）既带来了机遇，也伴随着风险。这些交易可以推动增长，但也可能带来严重的网络安全威胁，从而影响交易进程。

多个攻击活动中利用了Windows NTLM漏洞（CVE-2025-24054）。微软上个月发布的补丁修复了CVE-2025-24054，这是一个Windows NTLM哈希泄露漏洞，威胁行为者已经利用此漏洞攻击波兰和罗马尼亚的政府及私营机构。

隐藏在AI工作流程中的静悄悄的数据泄露。随着AI融入日常工作流程，数据泄露的风险也在增加。提示泄露并非罕见例外，而是员工使用大型语言模型的自然结果。首席信息安全官（CISO）不应将其视为次要问题。

Cozy Bear再次通过伪造的品酒会邀请针对欧洲外交官发起攻击。Check Point的研究人员分享称，APT29（又称Cozy Bear，又名午夜暴风雪）再次利用虚假品酒活动邀请针对欧洲外交官展开攻击。

在《网络弹性法案》框架下保障数字产品安全。在这次Help Net Security的采访中，Codific联合创始人Dag Flachet博士解释了《网络弹性法案》（CRA）对公司意味着什么，并将其与GDPR在监管复杂性和对组织的影响方面进行了比较。

SonicWall SMA100漏洞被攻击者利用（CVE-2021-20035）。CVE-2021-20035，一个旧漏洞影响着SonicWall Secure Mobile Access（SMA）100系列设备，已被攻击者利用。

MITRE的CVE项目可能因资金不确定性而终结。CVE项目的未来悬而未决：负责该项目的非营利性美国组织MITRE可能会失去帮助其维持该项目的美国联邦资金。

当AI代理失控时，企业将受到冲击。在这次Help Net Security的采访中，AutoRABIT首席技术官Jason Lord讨论了集成到现实系统中的AI代理带来的网络安全风险。

赫兹数据泄露：美国、欧盟、英国、澳大利亚和加拿大客户受影响。美国汽车租赁公司赫兹遭遇了一起数据泄露事件，与去年勒索软件团伙利用Cleo零日漏洞有关。

网络犯罪集团采用企业结构以扩大规模并持续运营。在这次Help Net Security的采访中，Netarx首席执行官Sandy Kronenberg讨论了网络犯罪集团如何采用企业结构和员工激励措施来扩展运营、保留人才并规避检测。

Nagios日志服务器中的关键漏洞已修复。Nagios安全团队修复了影响流行的Nagios日志管理和分析平台Nagios日志服务器的三个关键漏洞。

书评：工业物联网实战指南。《工业物联网实战指南》是一本专门面向构建和保障工业物联网（IIoT）系统的专业人士的实用指南。

包幻觉：大型语言模型可能向粗心的开发人员提供恶意代码。大型语言模型（LLMs）倾向于“幻觉”不存在的代码包，这可能成为一种新的供应链攻击形式的基础，称为“垃圾占用”（由Python软件基金会驻地安全开发者Seth Larson提出）。

Tirreno：开源欺诈预防平台。Tirreno是一个开源欺诈预防平台，设计为通用分析工具，用于监控在线平台、Web应用程序、SaaS产品、数字社区、移动应用、内联网和电子商务网站。

英国手机盗窃危机是数字安全的警钟。在伦敦，手机盗窃已经变得司空见惯。大都会警察最近透露，他们每周查获1000部被盗手机，以打击推动5000万英镑交易的有组织犯罪网络。在全国范围内，案件数量翻倍至每年83,900件。

深入PlugValley：这个AI钓鱼即服务小组如何运作。在这次Help Net Security的视频中，Fortra威胁情报分析师Alexis Ober讨论了威胁行为者团体PlugValley，该团体现在提供基于AI的钓鱼即服务。

行业分析：数据泄露如何破坏底线。各行各业的数据泄露事件正在上升，医疗保健、金融和零售业受到的打击尤为严重。损害不仅限于丢失数据，还涉及财务、运营和声誉方面。

战略AI准备度：从炒作到现实。网络安全领域的AI准备度不仅仅是拥有最新的工具和技术；它是一种战略必要性。

总法律顾问在网络安全监督中发挥更大作用。在这次Help Net Security的视频中，协会总法律顾问（ACC）基金会执行董事Jennifer Chen讨论了在全球范围内，总法律顾问（CLO）如何成为网络安全战略的核心领导者，担任领导职务，并经常向公司董事会报告网络安全策略。

认证的未来：无密码是前进的方向。如今，大多数首席信息安全官（CISO）都同意：密码是认证链中最薄弱的一环。它们容易被猜到，难以管理，并且经常被重复使用。

为什么较短的SSL/TLS证书有效期很重要。数字证书是互联网的无名英雄，默默验证您使用的网站、应用程序和服务是否合法，以及您的数据是否安全。多年来，我们依赖于有效期长达数月甚至数年的证书。

94%的企业认为渗透测试至关重要，但很少有人做得对。根据Cobalt的数据，组织修复了不到半数的可利用漏洞，其中只有21%的GenAI应用漏洞得到了解决。

浏览器扩展几乎让每位员工成为潜在攻击目标。据LayerX报告显示，尽管几乎每位员工的浏览器上都有扩展程序，但安全团队很少对其进行监控，IT部门也很少加以控制。

组织无法承受不合规的代价。根据Secureframe的数据，不合规的成本是维持合规计划成本的2.71倍之多。

即时可用的网络安全职位：2025年4月15日。我们搜寻市场，为您带来涵盖网络安全领域各种技能水平的职位选择。查看本周即时可用的网络安全职位。

全球紧张局势加剧，能源行业面临的网络威胁激增。由于地缘政治和技术因素的驱动，针对能源行业的网络攻击正在增加。

SafeLine Bot管理：Cloudflare的本地化替代方案。SafeLine是一个开源、自托管的Web应用防火墙（WAF）和反向代理，专为重视自主性、可见性和可定制性的组织设计。

本周新信息安全部品：2025年4月18日。以下是本周最值得关注的产品动态，涵盖Cato Networks、Cyware、Entrust、PlexTrac和Seemplicity等公司的新品发布。

(以上内容均由Ai生成)