Legit Security推出VibeGuard,首创AI生成代码实时安全防护

英国政府于11月12日向下议院提交《网络安全与韧性法案》草案，完成首读。该法案旨在通过强化关键服务及供应链的网络安全态势，切实保障国家安全与经济可持续增长。

法案首次将为国民医疗服务体系（NHS）等公共与私营部门提供IT管理、技术支持及网络安全服务的供应商纳入法定监管范畴，要求其满足明确的安全标准。相关企业不仅须报告已成功的网络攻击事件，还必须在发生重大或潜在重大网络安全事件时，及时向政府主管部门及客户通报，并制定健全的应急响应预案。

英国国家网络安全中心（NCSC）首席执行官Richard Horne博士强调，网络安全是一项共同责任，呼吁各类组织立即采取切实行动。业界普遍欢迎该法案对国家安全的高度重视，同时也提醒需审慎处理法案覆盖范围的边界问题。

Google近日对名为“Lighthouse”的钓鱼即服务（Phishing-as-a-Service, PhaaS）平台提起诉讼。该平台被全球网络犯罪分子广泛用于通过短信钓鱼（smishing）窃取信用卡信息。

攻击者常伪装成美国邮政服务（USPS）及E-ZPass收费系统，向用户发送欺诈性短信，已波及120个国家，影响受害者逾100万人。据估计，仅在美国，2023年7月至2024年10月期间，就有高达1.15亿张支付卡信息遭窃取。

球知名安全组织OWASP近日发布《2025年Web应用程序十大安全风险（候选版）》，在继承2021版基础上对风险分类进行重大调整。该版本目前正面向公众征集意见，最终版预计于年底正式发布。

新版榜单中，“访问控制破坏”继续位居首位，体现了权限管理在应用安全中的核心地位。“安全配置错误”从第五位跃升至第二位，反映出云环境复杂部署中的持续风险。原“易受攻击或过时组件”扩展为“软件供应链失效”并升至第三位，凸显软件生态链安全的重要性。

方法论上，2025版采用更广泛的数据分析，基于589个CWE项目进行评估，并引入CVE数据衡量漏洞可利用性，为行业提供了更科学的风险评估框架。

美国近日宣布成立“诈骗中心打击部队”（Scam Center Strike Force），专门针对东南亚网络诈骗窝点开展执法行动。该联合部队由司法部、特勤局、国务院及FBI的探员与法律专家组成，将聚焦缅甸、柬埔寨和老挝境内的诈骗集团，实施调查、瓦解与刑事起诉。

据美国政府估计，2024年本国居民因东南亚地区频发的浪漫骗局、虚假投资诈骗及加密货币欺诈平台，损失至少100亿美元。此类诈骗活动高度依赖人口贩运受害者充当话务人员，运作模式高度组织化。

制裁对象还包括泰国籍人士Chamu Sawang及两家泰国公司，其被指控充当中介，协助缅甸武装势力与中国有组织犯罪集团合作开发诈骗中心。财政部指出，已有视频证据显示DKBA士兵殴打被铐住的诈骗劳工，获救受害者亦证实曾遭受电击、吊挂等酷刑。

2025年10月，国资国企在线监管安全运营中心监测到中央企业网络安全告警19.7亿条，环比下降2.80%，其中高危及以上告警1.3亿条，占比6.41%。漏洞利用、暴力破解和网络扫描为三大主要攻击类型。漏洞利用告警达7.2亿条，涉及770家企业，军工、电力、能源行业居前，能源行业增幅显著。同期监测到钓鱼攻击189.7万条，弱口令告警698.8万条，数据泄露告警266.2万条，分别涉及66家、671家和285家央企。安全运营中心已发布漏洞通告，并建议加强员工培训、启用多因素验证、提升邮件系统防护及强化登录行为监控等措施。

Legit Security近日发布VibeGuard，这是业界首个在AI生成代码诞生瞬间即提供安全防护的解决方案，标志着应用安全从传统的“左移”（Shift Left）模式迈向AI原生防护的重大跃迁。

VibeGuard直接集成至Cursor、Windsurf及GitHub Copilot等主流IDE与AI代理环境中，持续监控提示内容、大模型行为、MCP调用及潜在漏洞。该方案通过指令约束与规则引导，训练AI代理遵循安全编码实践，并设置动态防护栏，实时检测并阻断恶意MCP服务器调用、敏感文件暴露等高危操作。其创新体现在三大维度：在代码生成源头实施防护、实现对AI编码代理的安全治理，以及为AppSec团队提供全链路可见性。Legit Security首席执行官Roni Fuchs表示，此举标志着AI原生开发安全迈入新阶段，首次真正实现“安全内生于设计”（Security by Design）的软件构建范式。

10月30日，美团公司雇佣人员在京东折扣超市固安店内擅自安装具备远程传输功能的摄像采集设备，意图非法获取客流数量、商品销售等商业敏感信息，被现场发现后随即报警处理。

当日9时许，涉事人员陈某某与另一名男子伪装成普通顾客，将一枚微型信息采集摄像头秘密安装于超市内正对收银台及服务台的货架顶端，随后迅速离开。当晚8时左右，超市员工在例行巡查中发现该异常设备，并通过调取监控录像锁定两名嫌疑人。当陈某某返回现场试图取回设备时，被超市员工当场识破，警方接警后迅速出警，将其带至派出所接受调查。

该事件涉及企业间以隐蔽手段窃取竞争对手运营数据，已构成典型的商业间谍行为。此类通过非法安装远程监控设备获取商业情报的做法，不仅严重违背商业伦理，亦涉嫌违反《反不正当竞争法》等相关法律法规。

瑞典隐私保护局(IMY)正在调查政府主要软件供应商Miljödata的数据泄露事件,该事件导致150万人的个人信息遭到泄露。8月25日,Miljödata在遭遇系统中断后发现数据泄露,攻击者要求支付1.5个Bitcoin以避免在暗网公开被窃信息。

据数据泄露追踪网站Have I Been Pwned统计,此次攻击影响超87万账户。考虑到瑞典总人口仅1000万,此次泄露影响了约15%的国民。

由于Miljödata为瑞典80%的市政当局提供服务,数据泄露影响了Gotland、Halland、Kalmar等多个地区的政府服务。IMY已对Miljödata及部分受影响行政单位启动调查,评估其是否采取了充分的数据保护措施,可能涉及违反GDPR法规。

为有效防范乌克兰无人机利用境内SIM卡进行导航定位,俄罗斯自2024年起对境外入境用户实施为期24小时的移动互联网"冷却期"管控措施。用户需通过验证码验证或致电运营商完成身份核验,方可提前恢复网络服务。该政策已对边境地区居民造成显著影响,其移动设备因自动连接境外基站而频繁遭遇断网,官方建议采用手动网络选择模式以规避此类问题。

俄罗斯政府正寻求赋予联邦安全局(FSB)更广泛的监管权限,使其能够基于定义模糊的"新兴威胁"直接下令切断通信网络。数字权利组织对此提出质疑,指出多数军用无人机并不依赖民用移动通信网络运行,认为部分限制措施缺乏充分的技术依据,实质上可能更多是地方当局的政治表态行为。

近期，国外安全公司披露一起新型 APT 攻击事件，朝鲜黑客组织通过精准定位与钓鱼诈骗结合的方式，远程操控并重置安卓智能手机，造成用户核心数据丢失，达成破坏性攻击目的。

攻击活动主要通过 KakaoTalk 即时通讯应用发起攻击。黑客伪装成心理咨询师或某类活动人士，向目标发送鱼叉式钓鱼消息，附带伪装为减压程序的恶意 MSI 安装包。用户一旦执行安装包，隐藏其中的 AutoIt 脚本便会规避反病毒检测，通过 Windows 任务调度器建立持久运行机制，同时部署多款远程访问工具（RAT），窃取用户谷歌账户、Naver 等平台的登录凭证。

该操作会彻底擦除安卓设备的内部存储、SD 卡数据及应用缓存，包括照片、文档、联系人等所有个人数据瞬间清零。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除