安全热点周报：谷歌修复了第四个在 2026 年被利用的 Chrome 零日漏洞

安全资讯导视
• 三部门发布《关于开展2026年个人信息保护系列专项行动的公告》
• 英国零售巨头合作社集团遭受网络攻击后亏损11.5亿元，CEO宣布辞职
• Claude Code源代码因人为失误泄露，GitHub下架8100余个侵权代码仓库

PART 01

漏洞情报

1.Google Chrome Dawn释放后重用漏洞安全风险通告

4月1日，奇安信CERT监测到Google发布公告称Google Chrome Dawn释放后重用漏洞(CVE-2026-5281)存在在野利用，该漏洞源于Dawn图形组件内存释放后未清空指针，导致已释放内存被重复访问。攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而获取敏感信息或代码执行。目前该漏洞已发现在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

2.Vim代码执行漏洞(CVE-2026-34982)安全风险通告

4月1日，奇安信CERT监测到官方修复Vim代码执行漏洞(CVE-2026-34982)，该漏洞源于complete、guitabtooltip和printheader三个选项缺少P_MLE安全标志，导致脚本中的表达式可被用于注册任意命令。攻击者可以通过诱导用户打开特制文件，执行任意代码，从而导致获取系统控制权，可能导致数据泄露、系统破坏等严重后果。目前该漏洞PoC已公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

3.Vim代码执行漏洞(CVE-2026-34714)安全风险通告

3月31日，奇安信CERT监测到官方修复Vim代码执行漏洞(CVE-2026-34714)，该漏洞源于Vim的tabpanel选项缺少P_MLE安全标志，导致tabline脚本中的表达式可被用于注册任意命令。攻击者可以通过诱导用户打开特制文件，执行任意代码，从而导致获取系统控制权，可能导致数据泄露、系统破坏等严重后果。目前该漏洞PoC已公开，建议客户尽快做好自查及防护。

PART 02

新增在野利用

1.Google Chrome Dawn 释放后重用漏洞(CVE-2026-5281)

3月31日，谷歌发布了紧急更新，修复了另一个被攻击者利用的 Chrome 零日漏洞，这是自今年年初以来修复的第四个此类安全漏洞。

谷歌在其发布的安全公告中表示，他们已经意识到 CVE-2026-5281 漏洞已被利用。正如 Chromium 提交历史记录中详述的那样，此漏洞源于Dawn中的释放后使用缺陷，Dawn 是 Chromium 项目使用的 WebGPU 标准的底层跨平台实现。攻击者可以利用 Dawn 的这个安全漏洞来触发网页浏览器崩溃、数据损坏、渲染问题或其他异常行为。

虽然谷歌已经发现有证据表明威胁行为者正在利用这个零日漏洞进行攻击，但它并没有透露这些事件的细节。在大多数用户都获得修复程序之前，谷歌可能会限制对错误详情和链接的访问。如果错误存在于其他项目同样依赖但尚未修复的第三方库中，他们也将继续保留这些限制。

谷歌现已修复稳定桌面版用户的零日漏洞，新版本已陆续推送至 Windows、macOS（146.0.7680.177/178）和 Linux 用户（146.0.7680.177）。谷歌表示，此次紧急更新可能需要数天或数周才能覆盖所有用户。如果用户不想手动更新浏览器，也可以设置浏览器在下次启动时检查更新并自动安装。

参考链接：

https://www.bleepingcomputer.com/news/security/google-fixes-fourth-chrome-zero-day-exploited-in-attacks-in-2026/

2.TrueConf 任意代码执行漏洞(CVE-2026-3502)

3月31日，TrueConf 客户端视频会议软件中的一个高危安全漏洞已被利用，作为名为 TrueChaos 的针对东南亚政府机构的零日攻击活动的一部分。

该漏洞编号为 CVE-2026-3502（CVSS 评分：7.8），是指在获取应用程序更新代码时缺少完整性检查，攻击者可以利用此漏洞分发篡改过的更新，从而执行任意代码。TrueConf Windows 客户端已于本月初发布的 8.5.3 版本中修复了此漏洞。

Check Point 在发布的一份报告中表示：该漏洞源于对 TrueConf 更新程序验证机制的滥用，使得控制本地 TrueConf 服务器的攻击者能够向所有连接的端点分发和执行任意文件。如果攻击者设法控制了本地 TrueConf 服务器，就可以用被篡改的版本替换更新包，然后客户端应用程序会拉取该版本，因为它没有强制执行足够的验证来确保服务器提供的更新没有被篡改。

TrueChaos 攻击活动被发现利用了更新机制中的这一漏洞，很可能是将开源的 Havoc 命令与控制（C2）框架部署到易受攻击的终端设备上。网络安全公司于 2026 年初首次记录到利用该漏洞的攻击，攻击者利用客户端对更新机制的隐性信任，推送恶意安装程序，该安装程序又利用 DLL 侧加载来启动 DLL 后门。虽然尚不清楚此次攻击中投放的最终阶段恶意软件的具体内容，但可以高度肯定的是，其最终目标是部署 Havoc 植入程序。

建议受影响客户立即升级至 TrueConf 8.5 及以上修复版本，启用官方签名校验。

参考链接：

https://thehackernews.com/2026/03/trueconf-zero-day-exploited-in-attacks.html

3.Citrix NetScaler 越界读取漏洞(CVE-2026-3055)

3月30日，黑客正在利用 Citrix NetScaler ADC 和 NetScaler Gateway 设备中一个严重漏洞（编号为 CVE-2026-3055）来获取敏感数据。

Citrix 最初于3月23日在一份安全公告中披露了 CVE-2026-3055，同时还披露了一个严重性较高的竞争条件漏洞，编号为 CVE-2026-4368。该问题影响 14.1-60.58 之前的版本、13.1-62.23 之前的版本以及 13.1-37.262 之前的版本。供应商强调，该缺陷仅影响配置为 SAML 身份提供程序 (IDP) 的设备，并指出只有运行本地设备的管理员才需要采取行动。

针对该公告，多家网络安全公司强调 CVE-2026-3055 存在重大风险，并指出其技术上与分别于2023年和2025年被广泛利用的“CitrixBleed”和“CitrixBleed2”相似。

提供对抗性模拟和持续测试服务的公司 watchTowr 周六表示，他们观察到针对易受攻击实例的侦察活动，并警告称，实际利用即将发生。第二天，研究人员证实，威胁行为者至少从3月27日开始利用该漏洞提取身份验证管理会话 ID，这有可能实现对 NetScaler 设备的完全控制。

watchTowr 的分析表明，CVE-2026-3055 实际上至少涵盖了两个不同的内存读取漏洞，而非一个。第一个漏洞影响处理 SAML 身份验证的“/saml/login”端点，而第二个漏洞影响用于 WS-Federation 被动身份验证的“/wsfed/passive”端点。研究人员证明，该安全漏洞可被用来窃取“敏感信息，包括经过身份验证的管理会话 ID”。

截至目前，ShadowServer 基金会发现有29,000个 NetScaler 实例和2,250个 Gateway 实例暴露在网上，但目前尚不清楚其中有多少百分比的实例容易受到 CVE-2026-3055 的攻击。

建议受影响客户访问 Citrix 官方支持网站（CTX696300），下载并安装已修复此漏洞的 NetScaler ADC 与 Gateway 固件版本。

参考链接：

https://www.bleepingcomputer.com/news/security/critical-citrix-netscaler-memory-flaw-actively-exploited-in-attacks/

PART 03

安全事件

1.Claude Code源代码因人为失误泄露，GitHub下架8100余个侵权代码仓库

3月31日机器之心消息，安全研究员Chaofan Shou在X上发帖称，Anthropic旗下智能体产品Claude Code源代码被该项目在npm注册表中的一个映射文件泄露了。这次泄露源是一个体积约57MB的cli.js.map文件，其中包含4756个源文件，可以清晰看到Claude Code的整体架构，包括架构设计、system prompt、工具调用逻辑等关键实现细节，都完全暴露在外。短短数小时内，代码已经被下载、镜像，并在GitHub上迅速扩散。因Anthropic提出的DMCA侵权请求，GitHub当天下架了8100多个涉嫌侵权的代码仓库。一位Anthropic发言人表示，此次事件没有涉及或暴露任何敏感的客户数据或凭证。这属于人为错误导致的发布打包问题，并未构成安全漏洞，公司正在采取措施防止此类事件再次发生。

原文链接：

https://mp.weixin.qq.com/s/G9Az9csTs6_WLKt6uu4q_Q

2.美国医疗软件上市公司CareCloud被黑，海量患者数据遭非法访问超8小时

3月31日TechCrunch消息，美国医疗软件厂商CareCloud发布SEC公告称，3月16日检测到内部6个用于存储患者医疗与健康记录的环境之一发生未授权访问，攻击者持续非法访问该系统超8个小时。该公司尚未确定数据安全事件的规模，但其客户覆盖4.5万家医疗服务商，数千家医疗机构，影响不容小觑。CareCloud表示，在当日恢复系统运行后，已确认黑客不再存在于其网络之中，并聘请了一家网络安全公司开展进一步调查。公司事后认定该事件已达到重大性标准，可能对业务产生实质影响，因此依法向投资者发出风险提示，但预计不会对其财务状况造成重大影响。

原文链接：

https://techcrunch.com/2026/03/31/carecloud-breach-hackers-accessed-patients-medical-records-ehr/

3.以色列称至少50个安全摄像头遭入侵，60家企业遭数据清除攻击

3月30日央视新闻消息，以色列国家网络局披露，自战争爆发以来，与伊朗有关联的黑客已入侵至少50个以色列安全摄像头，并对60家以色列企业实施数据清除攻击。以色列当局认为，摄像头遭入侵很可能是为了评估导弹打击效果并追踪以军部队动向。受攻击企业多为中小型公司，部分数据已被永久销毁。

原文链接：

https://content-static.cctvnews.cctv.com/snow-book/index.html?item_id=4717834318155431690

4.英国零售巨头合作社集团遭受网络攻击后亏损11.5亿元，CEO宣布辞职

3月26日Business Live消息，英国零售巨头合作社集团因2025年一次重大网络攻击损失惨重，最新财年报告显示利润由盈转亏达1.26亿英镑（约合人民币11.5亿元），其中约1.07亿英镑（9.77亿元）为网络攻击直接造成。据悉，该公司在2025年4月遭遇网络攻击，导致650万名会员的数据全部被窃取。公司为应对挑战调整了商业战略，现任CEO Shirine Khoury-Haq宣布辞职，交棒给新CEO Kate Allum来推进。合作社集团2025年在门店和技术领域投入了3.18亿英镑资本，以支持从网络攻击中恢复并推动业务持续发展。今年将推进一项大规模降本计划，承诺在年底前削减2亿英镑的年度运营成本。

原文链接：

https://www.business-live.co.uk/retail-consumer/thg-shares-up-firm-returns-33662344

PART 04

政策法规

1.三部门发布《关于开展2026年个人信息保护系列专项行动的公告》

4月2日，中央网信办、工业和信息化部、公安部发布《关于开展2026年个人信息保护系列专项行动的公告》。该文件提出，三部门将会同有关部门，进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题，着力提升人民群众满意度、获得感。据悉，2026年将围绕七大重点问题开展系列专项行动，包括互联网广告、教育、交通、卫生健康、金融等五大领域违法违规收集使用个人信息，常见类型App及SDK违法违规收集使用个人信息，侵犯个人信息违法犯罪活动等。

原文链接：

https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm

2.工信部印发《关于开展普惠算力赋能中小企业发展专项行动的通知》

4月2日，工业和信息化部印发《关于开展普惠算力赋能中小企业发展专项行动的通知》。该文件提出5大行动16项重点任务，其中包括“赋能金融中小企业安全高效用算”。具体包括：面向金融科技、供应链金融、小微金融服务等领域的中小企业，推动普惠算力与金融业务深度融合，支持其在风险控制、智能顾投、信用评估、监管合规等场景中安全、高效应用算力。针对金融业数据安全合规要求高、核心数据出网难等需求，在保障数据不出域前提下，支持有条件的企业开展本地化算力部署。

原文链接：

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2026/art_58259bfb30924d6bb225b82b66d1008d.html

3.《网络安全标准实践指南——工业企业数据安全能力成熟度模型》发布

3月31日，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——工业企业数据安全能力成熟度模型》。该文件提出了工业企业数据安全能力成熟度模型，规定了工业企业数据全生命周期安全和通用安全的成熟度等级要求，适用于指导工业企业开展数据安全能力建设，以及对工业企业数据安全能力成熟度等级进行评估。

原文链接：

https://www.tc260.org.cn/sysFile/downloadFile/1485279779054e498c02c4da87c2bd85

4.《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引》公开征求意见

3月31日，全国网络安全标准化技术委员会秘书处组织对《网络安全标准实践指南——OpenClaw类智能体部署使用安全指引（征求意见稿）》面向社会公开征求意见。该文件给出了个人使用者部署使用OpenClaw类智能体的安全指引，并提出了组织对内部人员部署使用OpenClaw类智能体进行管理的安全措施指引。该文件适用于自行部署OpenClaw类智能体的个人使用者，以及需要对内部人员部署使用OpenClaw类智能体进行安全管理的相关组织，不适用于商业化智能体安全防护，商业化智能体有关安全要求需参考其他相关政策标准。

原文链接：

https://www.tc260.org.cn/sysFile/downloadFile/b694733a8d9946afb4ac6e1b075b660a

5.工信部等九部门联合印发《推动物联网产业创新发展行动方案（2026—2028年）》

3月31日，工业和信息化部、中央网信办、国家发展改革委等九部门联合印发《推动物联网产业创新发展行动方案（2026—2028年）》。该文件从设备、平台、应用场景、网络、产业生态等方面提出了16项工作任务，其中一项为加强物联网安全监管。该任务具体包括：推动实施网络安全标识管理，加速国内外网络安全标识互认，有序引导企业自愿参加。面向物联网网络安全威胁和违规使用，强化网络安全风险监测评估和防护。涉及电信业务经营的企业，应依法取得相应许可。基于区块链网络分布式数字身份服务体系，建设物联网设备分布式身份认证机制。加强物联网设备进网管理，推动物联网与标识解析体系融合发展，打造“一物一码一号一数据”管理体系，提升联网设备精细化管理水平。该文件还提出，鼓励微内核、虚拟化、安全架构等技术研发，打造开源、安全、节能、可裁剪的物联网操作系统；指导物联网相关企业履行数据分类分级、重要数据识别报备、安全防护、风险评估等责任义务，提升数据安全保护水平。

原文链接：

https://www.miit.gov.cn/cms_files/demo/pdfjs/web/viewer.html?file=/cms_files/filemanager/1226211233/attach/20263/cd921f2c96584d5f8690840002c287a5.pdf

6.交通运输部等四部门印发《智能航运2030行动计划》

3月30日，交通运输部、工业和信息化部、国务院国资委、市场监管总局联合印发《智能航运2030行动计划》。该文件共6章，其中多处涉及网络安全。该文件要求，加快智能航运所涉及的感知、决策、控制、通信、网信安全等装备系统功能、性能、成熟度的测试技术研究与设施建设，提升装备系统测试的准确性和可靠性；加快分级分类、遥控驾驶、自主航行、船岸协同、等效替代、风险评估、网络安全等急需技术标准制定；加强智能航运数据交互的信道安全与信源安全保障能力建设，提升传输加密与抗干扰技术水平，提高网络和数据安全风险预警防控能力。

原文链接：

https://xxgk.mot.gov.cn/jigou/haishi/202603/t20260330_4202678.html

往期精彩推荐

本期周报内容由安全内参&虎符智库&奇安信CERT联合出品！