更多全球网络安全资讯尽在邑安全
一、盈利情况
总体业绩:
总资产:382.56亿元(同比-4.76%),归母权益302.06亿元(同比-5.33%)。 营业收入:79.48亿元(同比-12.23%),净亏损10.94亿元。 研发费用:32.02亿元(占营收40.29%),高投入导致利润承压。 分业务表现:
- 互联网广告及服务
:收入41.66亿元(同比-7.85%),核心收入占比52%。 - 智能硬件
:收入10.14亿元(同比-35.44%),因产品策略调整和市场需求下降。 - 互联网增值服务
:收入13.79亿元(同比+25.51%),AI会员订阅驱动增长亮点。 - 安全及其他业务
:收入12.87亿元(同比-27.06%),因政企项目验收减少致收入下滑。
二、安全领域成果与营收
安全业务表现:
- 收入规模
:安全及其他业务收入12.87亿元(占总营收16.2%),同比-27.06%。 - 收入下降原因
:政企客户项目周期拉长、验收延迟,且市场竞争加剧。 核心成果:
- 国家级威胁防御
:捕获1,300+起APT攻击,溯源美国NSA等境外组织攻击,保障亚冬会等重大活动安全。 - 技术升级
:推出“360安全大模型3.0”,覆盖APT拦截、漏洞防护等场景,获IDC、赛迪等权威认证。 - 服务拓展
:“安全即服务”模式落地超20个城市,覆盖政府、能源、金融等50+头部客户。 行业地位:
累计发现57个APT组织(占国内98%),主导《生成式AI服务安全基本要求》等标准制定。
三、AI领域进展
技术突破:
- 纳米AI搜索
:月活超1,900万,支持多模态输入,跻身全球三大AI搜索引擎。 - 360智脑大模型
:推理能力提升,获SuperCLUE评测金牌,位居国产大模型第一梯队。 商业化落地:
- 企业级解决方案
:发布“五层两翼”架构,服务近20个垂直领域,助力政企数智化转型。 - AI办公产品
:“360AI办公”会员用户超600万,推动增值服务收入增长。 研发投入:
算力储备充足,资金储备250亿元,支撑大模型持续迭代。
四、其他核心内容
行业趋势:
- AI行业
:中国大模型技术接近国际水平,2024年市场规模近3,000亿元(增速70%)。 - 安全行业
:全球网络安全支出预计2028年达3,770亿美元,云化、服务化成转型方向。
业务结构:
- 互联网业务
:PC端流量稳定(MAU 4亿+,市占率85%),广告收入占比52%。 - 智能硬件
:转型“硬件+云服务”模式,聚焦摄像机、行车记录仪等产品。
现金流与投资:
投资活动净流出70.68亿元(因增购理财产品),筹资活动净流出9.78亿元(分红7亿元+借款减少)。
五、总结
2024年三六零持续加码“AI+安全”双主线:
- 安全业务
:收入12.87亿元(同比-27.06%),技术壁垒与政企服务能力领先,但需加速项目验收与商业化变现。 - AI业务
:用户规模快速增长(纳米AI搜索月活1,900万),但高研发投入导致净亏损10.94亿元。 - 未来重点
:平衡研发与盈利,深化政企市场布局,应对行业竞争与安全威胁。
原文来自: www.cninfo.com.cn
原文链接: http://www.cninfo.com.cn/new/disclosure/detail?stockCode=601360&announcementId=1223325025&orgId=9900021962&announcementTime=2025-04-26
新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护
研究人员最新发现的两项越狱技术暴露了当前主流生成式AI服务的安全防护存在系统性漏洞,受影响平台包括OpenAI的ChatGPT、谷歌的Gemini、微软的Copilot、深度求索(DeepSeek)、Anthropic的Claude、X平台的Grok、MetaAI以及MistralAI。
这些越狱攻击可通过几乎相同的提示词在不同平台上执行,使攻击者能够绕过内置的内容审核和安全协议,生成非法或危险内容。其中名为"Inception"的技术利用嵌套虚构场景侵蚀AI的伦理边界,另一种技术则诱导AI透露其禁止响应内容后转向非法请求。
系统性越狱:"Inception"与上下文绕过技术
近期出现的两种高效越狱策略利用了大型语言模型(LLM)设计和部署中的基础性弱点。其中"Inception"技术通过让AI想象嵌套虚构场景,逐步引导对话至通常会被安全过滤器拦截的请求。攻击者利用AI的角色扮演能力和多轮对话上下文保持特性,诱使模型生成违反伦理和法律准则的内容。
第二种技术通过询问AI"不应如何响应特定请求"来获取其内部防护规则信息。攻击者随后交替使用正常和非法提示词,利用AI的上下文记忆绕过安全检查。CERT公告指出,这两种方法都利用了AI的基础设计特性:乐于助人的驱动、上下文保持能力以及对语言和场景框架细微操纵的敏感性。
行业影响与潜在风险
这些越狱技术具有严重危害,攻击者可借此指示AI系统生成涉及管制物质、武器、钓鱼邮件、恶意软件等非法内容。虽然单个越狱风险等级可能较低,但其系统性漏洞特性显著放大了整体风险。恶意攻击者可能利用这些弱点大规模自动化生成有害内容,甚至将合法AI服务作为活动掩护。
主流平台的普遍受影响现状表明,当前AI安全和内容审核方法难以应对攻击者不断演变的战术。随着生成式AI在客服、医疗、金融等领域的广泛应用,成功越狱可能造成严重后果。
厂商响应与行业挑战
深度求索(DeepSeek)承认报告但表示这属于传统越狱而非架构缺陷,称AI提及的"内部参数"和"系统提示"属于幻觉而非真实信息泄露。其他厂商虽未公开声明,但据称正在进行内部调查和更新。
专家强调,事后防护栏和内容过滤器仍是AI安全的重要组成部分,但并非万无一失。攻击者持续开发角色注入(character injection)和对抗性机器学习规避(adversarial machine learning evasion)等新技术来利用审核系统盲点。随着生成模型能力提升和广泛应用,AI开发者与攻击者之间的攻防对抗预计将愈演愈烈。
安全研究人员David Kuzsmar和Jacob Liddle分别发现了"Inception"技术和上下文绕过方法,Christopher Cullen记录了他们的研究成果。这些发现促使行业重新审视AI安全协议,亟需建立更强大、自适应的防御机制。随着生成式AI加速融入日常生活和关键基础设施,保护这些系统免受创造性持续攻击的挑战正变得日益复杂。
原文来自: cybersecuritynews.com原文链接: https://cybersecuritynews.com/inception-jailbreak-attack-bypasses/
一个名为“SessionShark”的复杂新网络钓鱼工具包经过专门设计,可规避 Microsoft Office 365 的多因素身份验证 (MFA) 保护。
SessionShark 作为交钥匙网络钓鱼即服务 (PhaaS) 解决方案在地下论坛上进行营销。它甚至使低技能的威胁行为者也能通过窃取会话令牌并使 MFA 无效来劫持 Office 365 帐户。
这一发展表明,针对基于云的商业环境的网络钓鱼工具包的复杂性和可访问性正在升级,令人担忧。
SessionShark 如何绕过 MFA 安全性
SessionShark 捕获受害者的会话 Cookie,即验证用户已完成 MFA 的数字令牌。
一旦攻击者获得这些令牌,他们就可以劫持经过身份验证的会话,而无需 MFA 系统通常要求的一次性密码。
SlashNext 报告称,该工具包采用了 Microsoft 登录界面的极具说服力的副本,这些界面“动态适应各种条件以提高可信度”。
这些逼真的网络钓鱼页面指导毫无戒心的用户完成看似合法的身份验证过程,同时秘密收集他们的凭据和会话数据。
高级规避功能
该工具包实施了专门的“人工验证技术”来过滤掉自动安全扫描程序和研究机器人,确保网络钓鱼内容对安全系统保持隐藏。
SessionShark 的架构包括与 Cloudflare 服务的原生兼容性,这有助于掩盖实际的托管基础设施并使删除工作复杂化。
此外,该工具包还集成了自定义 HTTP 标头和规避脚本,这些脚本经过专门设计,可避免被主要威胁情报源和反网络钓鱼系统检测到。
当检测到上述模式时,SessionShark 可以动态地改变其行为,使其看起来像一个合法网站,而不是揭示其网络钓鱼组件。
该工具包具有一个全面的日志记录系统,集成了 Telegram 机器人,可在受害者提交凭据时为攻击者提供即时通知。
这个实时警报系统包括受害者的电子邮件、密码,以及至关重要的会话 cookie,使帐户能够在泄露后的几秒钟内接管,远远超过传统的事件响应功能。
尽管 SessionShark 的开发人员显然具有恶意目的,但它的开发人员还是以“教育目的”免责声明来推销它——这是一种明显的尝试,在销售明确为犯罪用途而设计的产品时提供合理的否认。
这种网络钓鱼即服务产品遵循合法软件中流行的基于订阅的模式,包括通过专用 Telegram 频道提供用户支持。
攻击工具的这种商业化代表了网络犯罪生态系统中一个令人担忧的趋势,其中复杂的攻击方法被打包到用户友好的产品中,供技术含量较低的威胁行为者访问。
对于安全专业人员来说,SessionShark 是安全措施和规避技术之间不断升级的军备竞赛的例证。仅依赖 MFA 作为防止账户盗用的主要防御措施的组织现在必须实施额外的保护层,包括:
能够识别 AiTM 攻击的高级网络钓鱼检测解决方案
持续监控可疑的登录模式和会话异常
有关模拟合法身份验证流的复杂网络钓鱼技术的用户教育
独立验证每个资源请求的零信任安全架构
随着 MFA 绕过技术的不断发展,安全策略必须相应地进行调整,以应对这些针对企业环境的日益复杂的威胁。
原文来自: cybersecuritynews.com原文链接: https://cybersecuritynews.com/sessionshark-toolkit-evades-365-mfa/
关键的 IXON VPN 漏洞让攻击者能够访问 Windows & Linux 系统
Shelltrail 最近的一项安全评估发现 IXON VPN 客户端中存在三个关键漏洞,可能允许攻击者在 Windows 和 Linux 系统上提升权限。
这些缺陷被确定为 CVE-2025-ZZZ-01、CVE-2025-ZZZ-02 和 CVE-2025-ZZZ-03,使用户面临本地权限提升 (LPE) 风险,目前还有一项影响尚未披露。
由于资金限制和 MITRE 的积压,CVE ID 正在等待中,但一旦分配,更新将随之而来。
IXON 是一家荷兰工业远程访问解决方案提供商,提供基于云的 VPN 服务,需要通过以太网或移动数据连接物理设备。
用户 https://ixon.cloud 访问云门户,以建立与本地网络的安全 VPN 连接。
IXON VPN 客户端是从门户下载的专有软件,对于连接至关重要,并在 https://localhost:9250 上运行本地 Web 服务器,在 Linux 上作为根级 systemd 服务运行,在 Windows 上作为 NT AuthoritySYSTEM 运行。
漏洞详情
CVE-2025-ZZZ-01 (未公开)
在 IXON 发布公开修复程序之前,此漏洞的详细信息将保持机密状态,因为利用该漏洞可能需要进行重大配置更改。Shelltrail 选择不提前披露以避免不负责任的曝光,尽管 IXON 已收到通知。
CVE-2025-ZZZ-02 漏洞:
Linux 本地权限提升在 Linux 上,VPN 客户端将 OpenVPN 配置文件临时存储在可预测的 /tmp/vpn_client_openvpn_configuration.ovpn 位置。
Shelltrail 研究人员发现,攻击者可以通过使用 mkfifo 命令在此路径上创建命名管道 (FIFO) 来停止 VPN 客户端并注入恶意 OpenVPN 配置。
此配置可以包括使用 script-security 2 的 tls-verify 等命令,从而启用根级代码执行。该攻击需要有效的 VPN 连接才能触发脚本执行,这是之前 OpenVPN 讨论中提到的限制。
CVE-2025-ZZZ-03 漏洞:
Windows 本地权限提升在 Windows 上,VPN 客户端同样将其 OpenVPN 配置存储在 C:WindowsTemp 中,该目录是标准用户可以在该目录中创建具有完全权限的文件和文件夹。
通过利用竞争条件,攻击者可以使用 PowerShell 脚本用恶意版本重复覆盖临时配置文件,实现 SYSTEM 级代码执行。
与 Linux 不同,这种方法不需要成功的 VPN 连接,因此特别有效。
这些漏洞源于 IXON VPN 客户端与云门户的交互。当用户启动 VPN 连接时,浏览器会向本地 Web 服务器发送包含身份验证令牌和设备标识符的 XHR 请求。
此服务器将请求转发给 https://ixon.cloud,附加本地配置详细信息并接收 OpenVPN 配置文件。在磁盘上不安全地处理此文件为权限提升创造了机会。
IXON 的应对和缓解
IXON 因其及时响应而受到赞扬,解决了 VPN 客户端 1.4.4 版中的权限提升漏洞。
此修复将临时 OpenVPN 配置重新定位到只有高权限用户才能访问的目录,从而消除漏洞利用。
未披露的漏洞 (CVE-2025-ZZZ-01) 正在等待解决,IXON 正在积极寻找解决方案。敦促用户升级到版本 1.4.4 或更高版本,详见 IXON 的安全公告 (ADV-2025-03-17),网址为 https://support.ixon.cloud。
依赖 IXON 的 VPN 进行远程访问的工业系统特别容易受到攻击,因为攻击者有可能获得 root 或 SYSTEM 访问权限。
随着工业网络安全威胁的演变,这一发现凸显了对 VPN 解决方案进行严格安全评估的重要性。请继续关注有关 CVE 分配的更新和进一步的披露。
原文来自: cybersecuritynews.com原文链接: https://cybersecuritynews.com/ixon-vpn-vulnerabilities-gain-access/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...