Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
墨菲安全
Get the latest updates from 墨菲安全 directly as they happen.
Follow now 26 followers
Latest posts
Last updated about 23 hours ago
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》
1 day ago
墨菲安全研究院 2026-05-08 09:05 北京 让情报真正用起来,让安全建设从被动响应转向主动治理! 《漏洞及投毒情报应用实践指南》发布2025 年,明确存在恶意行为的开源包超过 5 万个;蠕虫化投毒事件能在 24 小时内波及上万仓库;NVD 中...
墨思AI AGENT监测发现 PyTorch Lightning 训练框架被投毒,月下载量超1000万
9 days ago
原创 安全实验室 2026-04-30 23:57 山东 2026 年 4 月 30 日下午 8...
墨菲安全发布《安全度量最佳实践2026版》
20 days ago
墨菲安全研究院 2026-04-20 10:03 北京 让每一项安全工作的价值被看见,让每一个安全问题的处置更高效! 《安全度量最佳实践2026版》发布在企业安全建设不断走向体系化、经营化的当下,越来越多安全团队开始面临同一个现实问题:安全工作做了很多,但很难用管理层听得懂、业务方愿意配合、组织内能够持续复用的方式表达出来。很多企业并不缺漏洞数据、告警数据和工单数据,真正缺的是一套统一的安全度量语言。向上汇报时,管理层听到的是漏洞数量、拦截次数、修复率。向下推进时,业务部门看到的是一批又一批待处理工单。风险难横向比较,成效难持续证明,责任难清晰传导,安全建设也因此容易停留在“项目动作”而不是“治理机制”。基于这一背景,墨菲安全正式发布《安全度量最佳实践2026版》。该实践围绕企业安全度量建设的关键问题,系统梳理了从需求调研、指标设计、平台建设,到试点推广、持续运营的完整路径,帮助企业真正把安全工作从“问题清单”升级为“风险指数”,把“做了很多”转化为“看得见、讲得清、能闭环”。本次最佳实践以 ESSF 企业安全治理框架为方法基础,围绕 CSI、SAI、SII 三类核心指标,形成了一套可解释、可复算、可落地的安全度量建设方法,适用于安全负责人、安全运营团队、业务安全负责人以及需要推动跨部门治理协同的相关角色。从“问题清单”走向“风险指数”过去很长一段时间,企业安全管理更多依赖“问题清单”开展工作。发现了多少漏洞、发生了多少告警、发出了多少工单,往往构成了安全团队日常汇报的主要内容。但随着业务规模扩大、系统复杂度提升,这种表达方式越来越难支撑企业级管理决策。一方面,管理层难以从技术指标中判断整体安全水位;另一方面,不同业务线、不同部门之间缺乏统一标准,导致横向对比、资源配置和责任落实都缺少一致依据。更关键的是,安全任务完成之后,组织也往往看不到这些动作到底带来了多少真实改善。《安全度量最佳实践2026版》提出,企业安全管理需要从“列问题”进一步走向“算指数”。也就是说,不再只关注发现了什么问题,而是建立能够反映整体安全健康度、能力覆盖情况和问题处置情况的量化指标体系,让安全风险具备可视、可比、可解释、可追踪的表达方式。在这一框架下:CSI 负责回答“当前整体安全水位怎么样”;SAI 负责回答“安全能力铺得够不够全”;SII...
Axios库投毒影响17.4万组件,OpenClaw受影响分析
about 1 month ago
墨菲安全 2026-03-31 18:15 北京 2026年3月31日,墨菲安全实验室检测到攻击者利用窃取的Axios维护者jasonsaayman的npm Token,发布了恶意组件及恶意版本。 一、概述Axios 是广泛使用的 JavaScript HTTP 客户端库,npm仓库周下载量超过 8000...
Apifox遭投毒,开发者工具成投毒重灾区
about 2 months ago
原创 安全实验室 2026-03-25 21:08 北京 3月25日,墨菲安全监测发现常用于API文档管理和调试的客户端工具Apifox CDN服务被投毒,影响2.8.19之前的历史版本,建议使用受影响版本的用户尽快升级至最新版。 PART 01开发者工具投毒风险高发3月25日,墨菲安全监测发现常用于API文档管理和调试的客户端工具Apifox CDN服务被投毒,影响2.8.19之前的历史版本,建议使用受影响版本的用户尽快升级至最新版。Apifox基于electron框架开发,程序主体代码为js编写,在2.8.19版本之前Apifox启动时会动态加载托管在CDN中的js文件https://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js。攻击者通过替换js文件,从而在受害用户的主机中执行恶意代码,窃取用户凭证、敏感环境信息并建立后门。近年来,围绕开源开发者与开发者工具的投毒事件持续增加,已经从零散个案演变为一类高频、系统性的攻击方式。相比普通用户终端,开发者工作环境天然聚集了更多高价值资产,包括代码仓库访问令牌、云平台密钥、Kubernetes 配置、CI/CD 凭证、SSH...
墨菲安全发布SCA 4.0:AI原生、Skills 检测
about 2 months ago
产品经理车志远 2026-03-24 12:53 北京 诚邀试用体验,文末附参与通道! 写在前面在企业安全治理中,有一个场景非常普遍:SCA 工具扫出来几十个漏洞,安全团队整理成工单派给研发,研发打开一看,一堆 CVE 编号和 CVSS 评分,完全看不懂,不知道该改哪里,更不知道改了会不会出问题。于是就开始了漫长的来回沟通:安全要解释这个漏洞什么意思,研发要确认改完会不会影响线上,法务要判断许可证到底能不能用。一个本来 30...
墨菲安全正式发布AI原生企业安全治理平台SGP
about 2 months ago
章华鹏 2026-03-19 11:45 北京 诚邀试用体验,文末附参与通道! 写在前面过去20年,我们经常会听到大家讨论:企业安全部门/从业者长期面临着不出事不被重视、出事了又要背锅、推进安全治理的工作不被业务部门认可,久而久之安全从业者可能都开始怀疑很多工作是否真正有价值。我认为破解这一切的关键核心在于2个点:科学度量、高效治理。科学度量:如何能够建立一套面向企业管理者、业务部门、安全团队、技术团队等所有人都能轻松理解的安全度量体系,它就像所有的toC公司都会看DAU、MAU一样简单,每一个参与者都能看懂(哪怕这个公司的业务模式再复杂)。因为只有核心目标的度量指标能被看懂,才能共识,才能协作。高效治理:如何建立一套让风险治理的成本远远小于风险发生时带来损失的治理能力体系,让安全治理体系(和安全部门的工作)真正有价值,这是AI时代我们最好的机会。AI原生的安全治理平台(SGP)如何解决这两个问题?2024年开始,墨菲安全联合互联网、金融、智能制造、央国企等十数家头部企业开始研发一套全新的企业安全治理框架(ESSF),2025年正式发布上线。ESSF框???定义了企业安全度量体系标准、资产及风险分类标准,是SGP平台实现科学安全度量体系的底层支撑框架。这套框架是一套动态持续更新的开源框架,它不断适应企业技术栈和面向威胁场景的变化,同时接受来自行业企业的意见和建议持续迭代,这使得它持续保持客观和科学,这是SGP实现企业安全度量及高效的治理体系的基石。SGP平台的核心价值在于两句话:让每一项安全工作的价值被看见让每一个安全问题的处置更高效墨菲安全AI原生驱动的安全治理平台核心的产品能力模块包括:安全度量资产管理漏洞管理漏洞及情报墨思AI Agent安全Skills生态让每一项安全工作的价值被看见让每一个企业的管理者(CEO/CTO/CIO/业务负责人/董事会)都能够用一个指标,清晰的了解整个公司及每个核心业务线、业务部门的安全水位,他们可以轻松的决策投入多少成本将风险收敛到什么水位,同时可以随时验收投入所产生的安全成果。对于管理者来说,从来担心的都不是安全工作没做好,而是有多少风险看不清。同时让每一个参与企业安全治理工作的业务部门研发、员工都能看到自己的每一项安全工作给企业的业务带来的安全水位的???升,感受到他们的工作所带来的价值。而对于每一个安全从业者来说,最大的成就感和价值感莫过于自己的每一份努力被企业管理者及业务部门、同事们看见和认可。让每一个安全问题的处置更高效任何一项工作的真正价值=它所创造的价值—它所需要付出的成本。同样,如何建立一套让风险治理的成本远远小于风险发生时带来损失的治理能力体系,让安全治理体系(和安全部门的工作)真正有价值,是企业安全部门落地时应该核心考虑的问题。这也是我认为今天AI时代给所有安全从业者带来的最大的机会。所以,我们坚定的认为墨菲安全企业安全治理平台(SGP)选择用AI原生的方式打造,是面向AI时代企业安全体系建设的新范式。通过SGP平台原生的墨思AI Agent能力,我们重构安全问题处置的六大核心环节,实现300倍的效率的提升。过去很多无法被研判的安全问题,可以极大提升处置的吞吐量;过去很多需要被处置的安全问题,单个问题的处置周期极大下降;过去需要大量沟通协作才能被解决的问题,现在只需要一轮Agent调用;通过AI Agent能力实现结合业务场景、安全问题优先级的快速决策及优先级排序,让有限的时间处置真正的高风险;通过AI Agent实现各种安全处置工具的快速调用,实现高风险安全问题的一键处置闭环;这些都是AI时代,给企业安全治理效率带来的极大提升和极大的想象空间。致谢墨菲安全整个团队过去十多年的企业安全的从业生涯,我们经历过安全行业的萌芽、快速发展、近几年面临挑战、现在让人兴奋的AI时代。我们一直希望有机会能够和所有的从业者们一起打造一款产品,能够帮助更多的企业和从业者,让安全工作的价值真正被认可和看见,让整个行业走向良性和健康的发展。今天,我们看到了做这件事情最好的时代来了。感谢那些从墨菲安全2020年开始启程到现在近6年的时间里,一直支持和信任我们的几百家企业的安全大佬们。也感谢所有在这个过程中给予我们支持和建议的从业者同行们。尤其感谢在ESSF治理框架研发以及SGP产品试点过程中给我们非常多好的建议的大佬们,感谢洲豪、书魁、竟松、月胜、斯诺、为舟、小哥、文瑞、煜昆、棋琛、汪昱、大磊、圣哥、刘扬、鸡总、安康、小宝等等大佬。诚邀试用体验其实我们在2025年中就正式上线了这个产品,但考虑到这是对于我们来说非常重要的一个产品,更是对于我们的企业客户来说非常重要的产品,同时,我们又知道这是一个底层逻辑和实现非常复杂的产品。我们希望充分打磨和验证之后再面向大家发布。其实这个过程我跟很多朋友都分享过,大家一直在等我们发布。所以,今天正式邀请大家一起来体验我们的这款全新的AI原生的安全治理平台产品。所有通过这个通道申请适用的朋友我都会全程参与整个试用过程,并提供支持,以下是扫描申请体验通道,期待各位朋友参与:扫码参与墨菲安全 章华鹏2026.03.19 跳转微信打开
墨菲安全联合中国电信研究院发布《开源安全治理最佳实践》
about 2 months ago
原创 墨菲安全研究院 2026-03-13 08:30 北京 七大章节,覆盖开源治理全生命周期,来自数百家企业真实实践! 《开源安全治理最佳实践2026版》发布2025年,新增开源漏洞42万+条,日均超过1,000个;59,000+个恶意投毒组件被识别,增幅超50%;53%的企业代码库存在许可证冲突;攻击者5天内开始扫描,企业修复却平均需要55天。这组数据背后,反映的不是单一漏洞管理问题,而是一个更加系统性的现实:当开源成为软件底座,开源安全治理能力也必须成为企业安全建设的底座能力。正因如此,基于大量一线实践沉淀,墨菲安全联合中国电信研究院,汇聚运营商、金融、能源、央国企、互联网等行业数十位专家经验,正式发布《开源安全治理最佳实践2026版》。这不是一份停留在概念层面的理论白皮书,而是一套围绕企业真实治理场景总结出的、可落地、可复用、可复制的方法体系。三大痛点,你是否正在经历?1. 资产看不清——软件成分资产视图缺失企业今天的软件资产早已不再是单一技术栈。Java、Go、Python、Node.js等多语言并存,组件引入方式复杂:包管理器、源码拷贝、二次修改、制品交付...而传统SCA工具只能识别标准依赖,大量风险资产成为隐藏在业务系统中的"漏网之鱼"。而当资产看不清时,后续的漏洞管理、许可证合规、风险处置、应急响应都会失去基础。看不见,就无从盘点;盘不清,就无法治理。2. 漏洞修不动——安全与研发的效率冲突很多企业在推进开源安全治理时,最先做的一步,往往是把检测能力接入 CI/CD 流水线。这本来是一个正确方向,但问题也随之而来:扫描耗时增加,发布节奏被拖慢;大量"理论风险"在流水线中被阻断,研发团队难以接受;某些组件升级之后引发兼容性问题,业务稳定性承压。于是,一个在很多企业反复出现的矛盾浮出水面:安全希望更严格,研发希望更高效。3. 风险防不住——0day和投毒攻击的时间差今天的企业面临的开源风险,已经不再只是传统...
【重磅发布】2025年度软件供应链投毒风险研究报告
2 months ago
原创 墨菲安全研究院 2026-02-28 10:07 北京 2025年识别到的投毒包总量突破59,000个,相较2024年增幅超过50%! 2025年,开源软件供应链投毒威胁持续升级,全年识别到的投毒包总量突破59,000个,相较2024年增幅超过50%,日均新增投毒包逾200个。NPM仓库仍是投毒重灾区,占比超过87%;与此同时,攻击目标已从传统组件仓库向IDE插件、浏览器扩展、GitHub Action、AI工具链等新型生态加速蔓延。从攻击行为来看,2025年呈现三大显著演变:一是攻击手法从"广撒网"转向"定向精准狩猎",攻击者对 AXA、Airbnb 等目标企业内部包名的深度定制化投毒,体现了投毒前的深入侦查分析;二是以 Shai-Hulud 事件为代表的蠕虫式传播机制首次大规模出现,3...
AI Agent失控风险:OpenClaw从提示词注入到skill投毒
3 months ago
墨菲安全实验室 2026-02-04 10:37 北京 AI Agent 正在从“对话系统”演变为高权限执行系统以 OpenCode、OpenClaw 等为代表的高自主性 AI Agent,已经被广泛部署在用户本地环境中,并通过 Skill...
墨菲安全受邀参展 SSC 大会!直播+专属展位等你来!
7 months ago
2025-10-21 09:51 北京 10月24日西安见,线上+线下齐相聚! 2025 SSC网络安全大会将于 10 月 24 日在西安盛大启幕!本次大会以“居安思危·智御未来”为主题,汇聚院士智库、头部企业、科研团队及行业精英,共同讨论构建AI赋能的网络免疫技术范式、打通“威胁感知-自主决策-协同反制”的实战闭环等核心问题,构建开放协同的网络空间生态。墨菲安全将以生态合作伙伴身份受邀出席本次大会。作为一家专注于软件供应链安全领域的科技创新企业,墨菲安全率先提出以供应链视角重新定义企业安全,以技术创新驱动产品力建设,从实际业务场景出发,致力于帮助企业解决软件安全风险导致的漏洞攻击、勒索事件、数据泄露、投毒后门及开源许可证合规相关的痛点问题,研发出一系列行业领先的创新产品及服务,真正帮助企业客户实现“精准识别真漏洞、分钟级快速修复”。直播+展台,邀您线上线下齐相聚为了让更多朋友能参与这场行业盛宴,10 月 24...
墨菲???全受邀参展 SSC 大会!直播+专属展位等你来!
7 months ago
2025-10-21 09:51 北京 10月24日西安见,线上+线下齐相聚! 2025 SSC网络安全大会将于 10 月 24 日在西安盛大启幕!本次大会以“居安思危·智御未来”为主题,汇聚院士智库、头部企业、科研团队及行业精英,共同讨论构建AI赋能的网络免疫技术范式、打通“威胁感知-自主决策-协同反制”的实战闭环等核心问题,构建开放协同的网络空间生态。墨菲安全将以生态合作伙伴身份受邀出席本次大会。作为一家专注于软件供应链安全领域的科技创新企业,墨菲安全率先提出以供应链视角重新定义企业安全,以技术创新驱动产品力建设,从实际业务场景出发,致力于帮助企业解决软件安全风险导致的漏洞攻击、勒索事件、数据泄露、投毒后门及开源许可证合规相关的痛点问题,研发出一系列行业领先的创新产品及服务,真正帮助企业客户实现“精准识别真漏洞、分钟级快速修复”。直播+展台,邀您线上线下齐相聚为了让更多朋友能参与这场行业盛宴,10 月 24...