黑鸟

谷歌Chrome浏览器发现了多个漏洞，其中最严重的漏洞可能允许执行任意代码。成功利用这些漏洞，攻击者可以在已登录用户的上下文中执行任意代码。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或者创建具有完整用户权限的新帐户。 Google 已知晓 CVE-2026-5281 漏洞已被利用 该漏洞为UAF内存破坏漏洞，存在于 Chrome 浏览器的 Dawn 组件中， Dawn 是 WebGPU 标准的开源跨平台实现。更准确地说，它实现了与 WebGPU IDL（接口定义语言）映射的 webgpu.h 规范。Dawn 被设计为可集成至大型系统中，同时也是 Chromium 浏览器内核里 WebGPU 能力的底层实现方案。 漏洞成因是 Dawn 组件在设备注销、资源析构时，未正确清理待处理的回调与内存指针，导致内存释放后仍可被非法引用，触发内存访问异常。 危害等级：CVSS 3.1 评分 8.8，综合评级为高危。 成功利用该漏洞的攻击者，可在诱导用户访问恶意构造的 HTML 页面、执行特制 JavaScript 代码后，突破 Chrome 浏览器的沙箱安全边界，在 GPU 进程中执行任意代码，最终实现终端完全控制、用户敏感数据窃取、后续渗透攻击等恶意行为。 受影响的系统： Windows 和 Mac 版 Chrome 浏览器 146.0.7680.177/178 之前的版本 Linux 版 Chrome 146.0.7680.177 之前的版本 这次提交漏洞的都是c6eed09fc8b174b0f3eebedcceb1e792，一口气提交了好几个Chrome的漏洞，也包括本次的在野漏洞，引得海外社区猜测此人身份。

WireTapper 是一款无线开源情报（Wireless OSINT）工具，基于被动信号情报技术，实现对射频设备的发现、测绘与分析。它为调查人员、研究人员与安全分析师，提供了对周边不可见无线环境的实时可视化能力。 WireTapper 可对各类通用无线技术的信号进行检测与关联分析，无需主动入侵，即可帮助用户掌握设备的存在情况、大致位置，以及设备间的交互行为。 WireTapper 可基于具备隐私保护能力的 k - 匿名化查询机制，识别泄露的 Wi-Fi 网络凭据。 项目：https://github.com/h9zdev/WireTapper WireTapper 可识别并分析以下来源的信号： Wi-Fi 接入点与客户端、Wi-Fi 凭据泄露检测 蓝牙与低功耗蓝牙（BLE）设备 无线闭路电视（CCTV）/ 网络摄像机（IP Camera） 对外发射射频信号的车载设备（车载信息娱乐系统、遥测系统、无钥匙进入系统） 耳机、可穿戴设备及各类智能终端 智能电视与物联网家电 蜂窝基站与移动网络信标 WireTapper 可集成多款外部服务以拓展情报能力，用户需自行从以下平台获取 API 密钥： Wigle.net全球无线网络位置数据库(Wi-Fi/蜂窝/蓝牙) wpa-sec—分布式 WPA-PSK 审计数据库 OpenCellID—开源蜂窝基站数据库 Shodan—联网设备搜索引擎 科普： k - 匿名化查询方案（k-Anonymity query scheme） 是基于经典 k - 匿名隐私保护模型，专为客户端 - 服务端的敏感数据查询场景设计的隐私增强查询机制。它的核心价值是：在不向服务端暴露客户端完整查询意图、原始敏感数据的前提下，完成数据匹配与结果校验，从根源上避免查询过程中的隐私泄露。 常规的敏感数据查询，是客户端把完整的敏感特征（比如 Wi-Fi 密码哈希、密码明文哈希）直接发给服务端，服务端匹配后返回结果， 这会直接导致服务端获取用户的完整查询目标，造成隐私泄露（比如 WireTapper 场景中，第三方 API 就能知道用户正在调查哪个 Wi-Fi 网络）。 而 k - 匿名化查询方案彻底重构了交互流程，全程不泄露用户的真实查询目标，核心分为 3 步： 客户端不对服务端暴露完整的敏感标识符，仅发送标识符的短前缀片段（比如 SHA-1 哈希的前 5~8 位）作为准标识符； 服务端收到前缀后，不做精准匹配，直接返回数据库中所有匹配该前缀的完整记录集（至少 k 条数据），全程不感知客户端的真实查询目标。 客户端在本地设备中，将自己的完整敏感标识符，与服务端返回的批量记录做精准比对，自行判断是否存在匹配、拿到最终结果。

一般威胁行为者登录系统时，绝不会使用真实 IP 地址。

据境外媒体获取的文件及消息人士透露，既是媒体机构、同时也是数据经纪商的汤森路透（Thomson Reuters

你扫了一眼网址，看到熟悉的品牌名便点击进去，结果却把账号密码拱手交给了攻击者，这个肉眼难以察觉的视觉误差，正是同形字符攻击（Homoglyph Attacks）利用核心。 同形字符，指视觉上与另一个字符几乎完全一致的字符。 典型示例： 拉丁字母 a（U+0061）vs 西里尔字母 а（U+0430） 拉丁字母 o（U+006F）vs 希腊字母 ο（omicron，U+03BF） 拉丁大写字母 I（i 的大写，U+0049）vs 拉丁小写字母 l（L 的小写，U+006C）vs 西里尔字母 І（U+0406） 同形攻击用视觉上容易混淆的替代方式替换标识符（域名、文件名、电子邮件显示名）中的一个或多个字符，以冒充可信资源。 在国际化域名（IDN）中使用时，这些域名以 Punycode（xn-- 前缀）表示，但在浏览器中通常使用原始 Unicode 字符渲染——为用户提供看起来真实的 URL。 Punycode 示例如下： 页面显示域名：gοogle-example[.]com（使用希腊字母 omicron 替代了拉丁字母 “o”） 底层 ASCII Punycode 编码：xn--gogle-example-abc[.]com 同形字符攻击的核心，是利用拉丁、西里尔、希腊等不同语言文字体系中的视觉相似字符。这些形近字母不仅能欺骗用户、仿冒可信域名，甚至可以绕过部分自动化过滤系统。 图1 列出钓鱼与仿冒攻击活动中，最常被滥用的同形字符对照参考表。 后续几张图是近些年来比较经典的攻击域名，目前列出这些内容主要是由于在某些场景下对大模型的使用会有些许帮助，仅记录备忘。

2026 年 3 月 27 日，美国白宫正式发布官方通稿，宣布上线全新的白宫官方移动应用。

JCal，一个将“已故”亿万富翁 Jeffrey Epstein 的活动记录以 Google 日历形式精确呈现的创新工具。 通过这个工具，读者可以直观地一窥这位备受争议人物过去 20 多年的日常安排，包括航班、会议、旅行、约会以及与各种知名人士的互动。 这项技术不仅让复杂的 Epstein 文件档案变得易读易懂，也揭示了个人隐私在数字时代的脆弱性，同时引发了对如何保存和呈现历史记录的深刻反思。 “通过 JCal，Jeffrey Epstein 的每一场会议、每一次旅行都被精确地记录在 Google 日历中，仿佛他从未离开。” JCal 核心亮点 熟悉的 Google Calendar 界面： 支持日视图、周视图、月视图，以及强大的搜索功能（可按人物、事件类型或关键词过滤），操作体验与日常使用的日历工具几乎一致。 基于公开文件的真实数据： 所有事件均来源于美国司法部等机构公开释放的 Epstein 文件和邮件档案，涵盖上百个详细记录，包括航班路线（如纽约飞往西棕榈滩）、与 Ghislaine Maxwell 等人的会议、医生预约、社交聚会等。部分事件带有原始文件中的 [REDACTED] 标记，保留了档案的真实性。 交互式细节查看： 点击任意事件，即可展开额外上下文备注、相关邮件链接或原始文档，帮助用户快速理解事件背景和人际网络。 JCal (jmail[.]world/calendar)是 JMail 团队（曾推出 Epstein 邮件 Gmail 克隆工具）的又一力作，旨在让原本散落在 PDF 和扫描文件中的海量信息，以时间线的形式变得“超易读”（hyperlegible）。 无论你是研究者、记者，还是对这段历史感兴趣的普通人，都能通过这个工具更清晰地探索 Epstein 的活动时间脉络与社会连接。 这不仅仅是一个日历工具，更是一种对数字历史呈现方式的创新尝试，在便利与反思之间，留给每位访客自己的判断。 顺带一提，加上这个模块，已经完成9大模块了 Jmail、JPhotos、JDrive、JFlights、JVR、Jamazon、JeffTube、Jwiki、JCal，甚至还有一个AI对话模块，见图片。

全球首例利用 WebRTC 数据通道作为核心通信信道的支付盗刷脚本。该脚本成功绕过一家市值超千亿美元车企的全链路安全防护，完成恶意载荷注入与支付数据窃取。

本文是卡巴斯基全球研究与分析团队（GReAT）于 2026 年 3 月 26 日发布的技术分析报告，核心围绕 Coruna 漏洞利用框架展开，揭示了其与 iOS 定向 APT 攻击行动三角测量行动的深度同源关联 Coruna 是一套针对苹果 iPhone 设备的高复杂度漏洞利用工具包，其调试版本泄露了开发者的内部命名。 该工具包最初由某未具名监控软件供应商的客户用于定向攻击，后续扩散至其他攻击者，被用于乌克兰的水坑攻击、牟利型网络攻击，覆盖多类攻击场景与威胁主体。 相关阅读如下： 23个IOS漏洞打包的Coruna工具包，已完成从国家级到黑产的三级扩散 通过攻陷合法网站传播的新型iOS漏洞利用工具包DarkSword 与三角测量行动的核心关联 该框架使用了 CVE-2023-32434、CVE-2023-38606 两个漏洞，而这两个漏洞最早是以零日漏洞的形式，被用于卡巴斯基此前发现的 iOS 定向间谍活动三角测量行动。经技术分析确认，Coruna 中针对这两个漏洞的内核利用代码，正是三角测量行动所用漏洞利用程序的更新迭代版本。 且 Coruna 全量组件均与三角测量行动的漏洞利用框架共享底层代码、采用统一的设计架构，二者具备明确的同源性。 卡巴斯基还发现 Coruna 包含另外 4 个从未在三角测量行动中出现过的内核漏洞利用程序，其中 2 个是在三角测量行动被披露后开发的。 所有这些漏洞利用程序都基于同一套内核利用框架构建，共享通用代码。内核漏洞利用程序中的代码相似性，也能在 Coruna 的其他组件中找到。 这些发现让卡巴斯基得出结论： 这套漏洞利用工具包并非东拼西凑而成，而是采用统一的设计思路开发。卡巴斯基推断，它至少在一定程度上，就是三角测量行动所用漏洞利用框架的更新版本。 三角测量行动是典型的定向网络间谍活动，核心攻击目标为全球范围内的高价值个体与机构，包括外交人员、跨国企业高管、科研机构人员、媒体从业者、政府相关工作人员等。目前被普遍认为是美国NSA的所进行的攻击行动。 相关故事： Coruna 间谍软件活动持续扩散，苹果破例为旧版iOS设备推送双版本安全补丁 框架能力与技术特性 从 Safari 浏览器初始打点，指纹识别目标环境、匹配对应远程代码执行（RCE）与指针认证码（PAC）绕过漏洞，到 Payload 下载解密攻击组件、执行内核漏洞提权，再到 Launcher 完成后渗透操作、植入间谍软件，形成全流程攻击闭环。 支持 ARM64/ARM64E 架构，适配 iOS 14~17.2 的多个系统版本，覆盖 A13 至 A17、M3 系列等多款苹果处理器。

核心分析对象为 AS211590 自治系统对应的 Bucklog SARL 公司，该主体在法国巴黎部署了一套基于 Kubernetes 编排的扫描集群，在 90 天内发起了 1300 万次网络会话。

2026 年 3 月，瑞士官方完成了一项改写互联网底层规则的部署。

CECbot是一款此前未被记录的、针对安卓电视盒的DDoS僵尸网络，是同运营者旗下Katana僵尸网络的继任者，二者共享基础设施但无任何代码重叠。 它以原生安卓应用而非传统Mirai类ELF二进制文件构建，采用Signal、WireGuard同款的Curve25519+Ed25519+ChaCha20-Poly1305加密体系保护C2通信，实现了9层持久化机制，内置11种DDoS攻击方式，支持HTTP/2与动态TLS。 这是目前已知首个在野武器化HDMI消费电子控制协议（CEC）的恶意软件，可让攻击者完全控制HDMI总线，包括让连接的电视休眠； 可通过自动化子网扫描与ARP关联映射受害设备所在的内网，将被攻陷的电视盒变为本地网络的侦察平台。 CECbot与Nokia长期跟踪的Katana僵尸网络（Mirai变种，至少3万肉鸡，峰值攻击流量达150Gbps）为同一运营者，核心关联证据包括： 全场景DDoS攻击：内置11种攻击模块，覆盖UDP、TCP、HTTP/HTTPS全场景，核心升级包括完整的HTTP/HTTPS七层攻击，支持HTTP/2、动态加载系统TLS库，可生成8种主流浏览器的真实指纹、内置660+合法Referer地址，同时覆盖游戏流量洪泛、TCP连接攻击、SYN洪泛、多协议攻击等场景。 住宅代理能力：可作为住宅代理节点使用，支持标准SOCKS5代理与NAT环境可用的反向代理，支持按IP地理路由流量，架构与商业住宅代理SDK完全一致。 检测到安卓电视设备后，会执行启动器劫持（替换默认桌面，用户仅能看到黑屏）、SELinux绕过、OTA更新破坏（禁用6家芯片厂商的OTA服务，永久屏蔽固件升级）、安装包验证绕过等操作，实现对设备的完全控制。 CEC是HDMI接口内置的消费电子控制协议，可让连接设备互相发送开关机、切输入、调音量等控制指令，几乎所有近15年生产的电视都支持该协议。CECbot是首个有公开记录的在野利用该协议的恶意软件。 可以同时发送安卓电源键与CEC待机指令，让连接的电视休眠。 扫描HDMI总线上的所有连接设备，确认电视是否在线 可发送原生CEC指令，实现唤醒电视、劫持HDMI输入、在电视屏幕显示文字、模拟遥控器按键、控制音响等所有能力。 获取屏幕DPI、刷新率、HDR能力等信息。 该能力配合启动器劫持，可让用户误以为电视处于关机状态，大幅延迟恶意程序被发现的时间。 该能力可将被攻陷的电视盒变为内网渗透的支点，不仅针对家庭网络，在医院、企业等办公环境中风险极高。 细节: https://github.com/deepfield/public-research/blob/main/cecbot/report.md

如果全球互联网瞬间中断，你的电脑还能做什么？ 查不了资料、用不了 AI、看不了课程、连地图都打不开，我们早已习惯依赖网络的电子设备，瞬间就会沦为一块砖头。 而现在，有个刚出圈的开源项目，直接解决了这个终极痛点。它就是Project N.O.M.A.D.， 一个完全离线优先、自给自足的知识与教育服务器，把可本地运行的 AI、核心生产工具、人类文明关键知识库，全打包进了你的设备里。 哪怕所有网线被剪断，哪怕身处完全无网的环境，它也能照常运转。一块太阳能板、一台迷你主机，就能撑起一个永不掉线的个人知识庇护所。 Project N.O.M.A.D. 的部署门槛极低，最低配置2GHz 双核及以上 CPU、4GB 内存、5GB 以上磁盘空间、Debian 系统，全程终端操作，无需桌面环境，装完后所有功能都能通过浏览器访问，你完全可以把它装在一台设备上当专属服务器，用其他终端随时访问。 Project N.O.M.A.D. 并非凭空打造的全能系统，而是整合了7 大开源工具Ollama、Qdrant、Kiwix、Kolibri、ProtoMaps、CyberChef、FlatNotes 这 7 个平台 / 工具，每个平台都在各自领域深耕多年，是离线场景下的最优解。 内置基于 Ollama 驱动的本地大模型对话能力，搭配 Qdrant 向量数据库实现 RAG 检索增强，支持文档上传和语义搜索。 不用联网、不用申请 API、没有订阅费，所有对话和数据都只存在你的本地设备里，隐私拉满，断网也能随时用 AI。 通过 Kiwix 实现全离线内容库，打包了全量维基百科、权威医学参考指南、生存手册、海量电子书等核心资源。哪怕没有网络，你也能随时查阅人类文明的核心知识。 基于 Kolibri 搭建的教育系统，内置可汗学院全套课程，支持学习进度追踪、多用户权限管理。不管是给孩子做启蒙，还是自己系统学技能，没网也完全不耽误。 搭载 ProtoMaps，支持下载各区域的离线地图，搜索、导航功能全离线可用，房车出行、户外探险、偏远地区作业，再也不怕没信号迷路。 CyberChef 加持，加密、编码、哈希、数据分析一站式搞定 FlatNotes 提供本地 Markdown 笔记能力，灵感随时记录 项目地址： https://github.com/Crosstalk-Solutions/project-nomad

GhostClaw macOS 窃密恶意软件的最新攻击动向。 该恶意活动原本以恶意 npm 包为主要传播载体，而最新监测发现，攻击者已将攻击范围大幅拓展，通过仿冒合法项目的 GitHub 仓库、劫持 AI 辅助开发工作流两大新路径实施规模化供应链攻击，可绕过传统安全防护，窃取目标设备的系统凭证与敏感数据，影响范围从专业开发者群体扩大至普通 macOS 用户与自动化开发流程。 该攻击已跳出早期 npm 包单一投递模式，新增两大主流感染途径： 一是恶意 GitHub 仓库，仿冒交易机器人、开发 SDK 等合法工具，采用 “先上传良性代码养号、后植入恶意组件” 的分阶段部署手法，部分仓库积累超 380 个星标强化伪装可信度，通过 README 诱导用户执行 curl 拉取的远程 shell 命令，绕过包管理器安全防护； 二是 AI 辅助开发工作流定向攻击，通过 SKILL.md 文件伪装 OpenClaw 等框架的技能插件，利用 AI 编码智能体自动执行安装脚本，实现无人工干预的静默感染。 全流程采用无需管理员权限的轻量化多阶段载荷设计： ①初始引导阶段，install.sh 脚本伪装 Node.js 环境部署，通过 curl -k 参数禁用 TLS 证书校验，通过 GHOST_PASSWORD_ONLY 环境变量切换交互式安装 / 静默窃取双模式，衔接后续恶意载荷； ②核心窃密阶段，高度混淆的 setup.js 载荷伪造系统安装进度与 macOS 原生认证弹窗，调用系统原生 dscl 命令校验并窃取用户密码，诱导开启全磁盘访问权限，对接 C2 域名 trackpipe.dev 拉取加密的 GhostLoader 二级载荷，以分离进程执行后删除临时文件，通过伪装 npm 系统路径实现持久化； ③反取证阶段，postinstall.js 清空终端攻击痕迹，伪装合法 npm 包安装制造溯源混淆，或输出虚假成功提示迷惑用户。 所有恶意变种复用单一 C2 域名 trackpipe[.]dev，通过 UUID 区分不同攻击渠道，以 NODE_CHANNEL 环境变量标记攻击迭代版本，核心目标为 macOS 平台的开发者与 AI 开发场景，最终实现系统凭证窃取与设备持久化控制。 具体报告信息： https://www.jamf.com/blog/ghostclaw-ghostloader-malware-github-repositories-ai-workflows/

美国国家网络总监肖恩·凯恩克罗斯于本周二表示，特朗普政府无意征召私营部门开展进攻性网络行动，而是希望通过与私营部门合作，助力美国政府向网络对手主动出击。 近期发布的美国国家网络战略中，提及了将激励企业干扰对手网络的相关内容。 凯恩克罗斯在奥本大学麦克里研究所主办的活动上表示：“我所说的，并非让私营部门、行业或企业开展进攻性网络行动。我所指的，是私营部门的技术能力——即他们凭借自身掌握的信息，照亮网络战场、共享情报信息，从而帮助美国政府提前响应、抢占先机的能力。” 近年来，美国共和党部分圈子重新兴起了一种呼声：支持美国企业针对恶意黑客开展破坏性或进攻性行动，或至少为美国政府的进攻性网络行动提供协助。部分企业也已对此表现出兴趣，尤其是如果相关法律做出调整、让此类行动更具合法性的话。 这一趋势与特朗普政府官员日益高涨的呼声同步——如今随着网络安全战略的发布，官方明确提出要对黑客采取主动进攻姿态。但凯恩克罗斯再次强调，战略中“塑造对手行为”的核心支柱，不仅限于开展进攻性网络行动，还包括动用法律、外交等其他政府机制向黑客施压。 他表示，在私营部门的协助下，美国政府能够“以更灵活的方式”影响对手的“风险权衡”。 凯恩克罗斯称：“私营部门拥有极为强大的能力，而如今美国政府手握‘长矛’……我们正在寻求真正的合作关系。” 美国政府向网络对手主动出击的重要途径之一，是联邦调查局（FBI）用于削弱对手能力的“联合有序行动”。在同一场活动上，FBI网络安全部负责人也表示，私营部门是此类行动的核心关键。 FBI网络安全部主管布雷特·莱瑟曼称：“我刚才提到的、FBI针对俄罗斯、伊朗及其他国家对手开展的、旨在清除其网络能力的每一次联合有序行动，之所以能够落地，都是因为有受害者站出来与FBI配合。” 他向在场听众呼吁：“我想给所有人的一个核心建议是：‘一旦发生数据泄露，你联系当地FBI办事处的预案是什么？’我可以明确说，这么做几乎不会给你带来任何法律责任，我们也很乐意与你的外部或内部法律顾问沟通；但反过来，这么做能给你带来的收益极为可观。” 本次官方澄清，核心是回应外界对特朗普政府新国家网络战略的最大争议：是否会放开对私营企业“黑客反击（Hack Back）”的法律限制。

2月底，美国和以色列对伊朗发动首次打击时，据《福布斯》报道，打击目标之一是伊朗情报与安全部（MOIS）。 据报道，至少有两名被控对西方实体发动网络攻击的伊朗人在袭击中丧生。其中一人是穆罕默德·迈赫迪·法哈迪·拉明，美国司法部于2020年指控他入侵美国航空航天和国防公司的系统，此后一直被美国当局通缉。 另一名嫌疑人是负责以色列事务的副部长赛义德·叶海亚·侯赛尼·潘贾基，他已被列入美国联邦调查局十大通缉犯名单。网络安全消息人士告诉《福布斯》，潘贾基负责对以色列情报部下属的一个部门，该部门控制着像Handala这样的黑客组织。Handala长期以来被认为是一个亲伊朗的黑客组织，曾成功攻击过以色列政界人士和西方企业。 但这并没有影响网络攻击行动，Handala 组织取得了一项重大战果，目标是位于密歇根州的医疗器械供应商 Stryker 公司。该组织声称已入侵并清除了 Stryker 公司的系统，永久性地抹去了 12 PB 的数据，如此大规模的数据销毁在今天前所未有。 Stryker在发给客户的通知中证实，其微软系统遭到入侵，目前正在进行恢复工作，进展顺利。Handala也声称入侵了以色列支付服务提供商Verifone的系统，但该公司表示尚未发现任何入侵证据。 与此同时，另一个据信隶属于同一情报部（MOIS）的名为“国土正义”（Homeland Justice）的组织声称，他们于周日入侵了阿尔巴尼亚议会，原因是该议会支持一个伊朗anti政府组织。阿尔巴尼亚官员证实，由于此次入侵，电子邮件系统已离线。 该黑客组织之所以能够保持在线，似乎与SpaceX公司走私的星链卫星互联网设备有关。以色列网络安全公司Check Point表示， Handala似乎也在使用人工智能来编写恶意代码，但该公司无法确定具体使用了哪些人工智能模型。

古巴国家电网于2026年3月16日（周一）发生全面崩溃，导致全国约1000万人口陷入断电状态。

人工智能正从根本上压缩网络攻击的时间线，攻击者已实现以分钟级速度完成入侵、横向移动和破坏，而多数防御体系仍基于

将《宝可梦 GO》全球玩家 10 年间众包积累的 300 亿张带精准定位的实景影像，用于训练视觉定位系统（VPS）