Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
墨菲安全
Get the latest updates from 墨菲安全 directly as they happen.
Follow now 26 followers
Latest posts
Last updated 5 days ago
国家安全部点名预警!软件供应链投毒治理指南来了
6 days ago
原创 墨菲安全 2026-06-18 17:06 北京 企业必须建立可持续的软件供应链风险感知、检测和阻断能力! 写在前面 今天(6 月 18 日),国家安全部微信公众号发文提醒警惕软件“供应链投毒”,再次把软件供应链安全问题推到企业和公众面前。文章中提到,国家网络安全通报中心监测发现,近期集中爆发多起供应链投毒攻击事件,涉及开源软件仓库和商用工具两大核心供应链场景。而且相关“供应链投毒”事件呈现出攻击隐蔽性强、影响范围广、危害程度高、传播速度快等共性特征,可造成凭据窃取、远程代码执行、敏感数据泄露等严重后果。国家安全部发文这不是一次普通的安全提醒。过去,很多企业把供应链投毒理解成“开发者不小心装了一个恶意包”、“某个开源组件出了问题”。但从国家层面的连续预警来看,供应链投毒已经不只是研发侧的局部风险,而是可能从开发终端、代码仓库、制品库、CI/CD 流水线一路传导到生产系统、核心业务和下游客户的系统性风险。它的本质是:攻击者不再只攻击你的系统,而是攻击你信任的软件来源、开发流程和交付链条。一旦上游被污染,下游就会被动中招。供应链投毒为什么值得企业现在就重视?国家安全部文章中提到,软件供应链投毒是一种典型的“上游污染、下游传导”模式。攻击者通过劫持开发者官方账号、篡改开源代码仓库源码、污染软件安装包与发布版本等方式,将恶意程序植入软件中。随着软件发布和更新,这些恶意逻辑会被输送到大量终端和业务系统中。对企业来说,这类风险最麻烦的地方,不在于“有没有恶意代码”这个判断本身,而在于它会同时击穿多条传统防线。第一,传播范围难以控制。一个基础组件可能被数以万计的软件依赖。只要某个核心组件、插件或开发工具被污染,风险就会沿着依赖链向下游扩散。企业即便没有直接安装恶意包,也可能因为某个间接依赖、某次构建、某个供应商交付版本而受到影响。第二,攻击对象直指高价值凭据。开发环境、构建平台、服务器里往往保存着...
墨菲安全研究院联合涂鸦等企业发布《出海智能制造开源安全治理最佳实践》
7 days ago
原创 墨菲安全研究院 2026-06-17 09:44 北京 把开源安全治理,从“临时应对”变成“长期能力”! 出海智能制造企业,为什么现在必须重视开源安全治理?过去企业谈开源安全???大多关注组件漏洞。但近年来,随着供应链攻击不断升级,开源风险的边界已经明显扩大。恶意投毒、插件生态以及 AI 开发工具扩展等新场景,正在成为新的风险入口。对出海智能制造企业来说,这个问题比互联网软件更复杂。一个产品背后,往往同时涉及固件、嵌入式软件、云平台、App、第三方 SDK 和供应商交付件,链条长、版本多、生命周期也更长。一旦出问题,影响的不只是研发效率,更可能波及客户交付、渠道上架、海外审计,甚至带来召回与品牌风险。更关键的是,海外监管和客户要求正在同步收紧。SBOM、开源许可证合规、漏洞响应、供应商交付安全,正从“最佳实践”逐步变成“市场准入要求”。很多企业真正的难点,不是缺一套扫描工具,而是回答不了几个现实问题:产品里到底用了什么开源组件?高危漏洞影响哪些版本和客户?供应商交付件是否可追溯?客户或监管问询时,能不能快速拿出证据?《出海智能制造开源安全治理最佳实践》发布基于这些问题,墨菲安全研究院联合涂鸦智能、安克创新共同发布了《出海智能制造开源安全治理最佳实践》。这份材料不是泛泛而谈“开源有风险”,而是结合出海智能制造企业在 SBOM、开源许可证、固件与二进制安全、供应商交付、运营...
你装的 Skill 真的能用,但也真的会把你的隐私数据带走
14 days ago
原创 墨菲安全 2026-06-10 09:47 北京 它可能不只是工具! 装了个 AI Skill,SSH 私钥可能先出门最近,AI Agent 越来越像一个能干活的同事。你给它一个任务,它能查资料、写代码、调接口、生成文档,甚至还能串起一堆工具自己跑流程。而...
近期投毒事件频发,关基行业如何降低供应链投毒风险?
20 days ago
墨菲安全 2026-06-04 09:32 北京 供应链投毒攻击正在从开源组件仓库扩散到 CI/CD、IDE/浏览器插件和 AI 生态! 写在前面2026年5月25日,国家网络与信息安全???息通报中心、公安部网安局通报了近期全球主流 JavaScript 软件包管理平台 npm...
迈向全面实战:平行切面拉开低谷期安全产业“新???生产力”突围序幕
10 months ago
2025-08-28 12:38 北京 墨菲安全出席平行切面联盟召开第二届理事会第一次会议并发表演讲 在网络安全产业持续遭遇下行压力的2025年,一场聚焦中国原创安全技术的联盟会议却透露出截然不同的信号:到底是行业及风险的驱动力不足、还是客户没有需求或预算采购安全产品、还是安全产品同质化严重?一场从创新技术为切入点,扩展到行业发展思考的探讨就此展开,某种程度上大家已经有了答案,但也必须承认行业迎来创新的可持续性和跨越式发展确实还需要更多的等待。8月20日,平行切面联盟召开第二届理事会第一次会议,聚焦切面联盟2025大会的核心成果,从技术突破、行业落地到生态共建,全面介绍切面技术将如何从理论走向实战!墨菲安全创始人&CEO章华鹏、墨菲安全联合创始人&首席产品官车志远,出席了本次会议。车志远在会上围绕墨菲安全与切面联盟的合作落地情况发表演讲。2025年8月20日,平行切面联盟第二届理事会第一次会议在蚂蚁集团T空间召开。在这场以“迈向全面实战对抗”为主题的技术盛会上,多个领域的专家分别从宏观政策、市场分析、技术迭代、商业案例分析和技术融合等多个角度,为参会嘉宾带来了一场观点碰撞,全面展示了平行切面技术近一年来所经历的成长和为客户行业带来的实际价值。韦韬 | 蚂蚁集团副总裁、蚂蚁密算董事长低谷中的储能期:技术成熟度与商业化破局并行“网络安全行业处于低谷期,但需求从未消失。”平行切面联盟理事长、蚂蚁集团副总裁、蚂蚁密算董事长韦韬在开场致辞中直指行业现状。某种程度上由于安全产品同质化严重,导致行业低价竞争、功能抄袭等内卷情况严重,产业侧和客户侧价值难以兑现。他坦言,当前行业面临双重压力:一方面银狐病毒等“新型”传统攻击在政企机构中持续爆发,持续攻破现有防护体系;另一方面传统安全方案难以应对数据跨主体流动、AI应用普及等新场景。安全压力已从单纯的合规转向更复杂的实战对抗。在韦韬看来,低谷期恰是企业和技术发展的“储能期”。平行切面技术自2019年提出以来,已完成从实验到大规模实践的演进。过去一年,该技术在多语言融合、核心框架升级、成熟度认证等方面取得突破性进展。更关键的是,联盟成员单位已开始将切面技术理念转化为产品合作,推动供给侧的产品创新。平行切面联盟副理事长、赛博英杰创始人&CEO谭晓生指出切面作为创新技术的推广痛点:“平行切面是什么?如何让普通技术人员而不仅是安全专家理解?”他坦言,相比Gartner主导的西方技术话语体系,中国原创技术的推广面临更大挑战。此外,创新技术在商业合作中的现实顾虑——如底座技术支持连续性、规避竞争壁???等问题也亟待联盟成员协同解决。谭晓生 | 赛博英杰 创始人&CEO政策与市场剪刀差:合规转向实战的必然路径大会的政策与市场分析环节揭示了网络安全行业的结构性矛盾。《数据安全产业洞察报告2025》在会上发布预览版,平行切面联盟政策研究组副组长、炼石网络CEO白小勇指出,当前网安行业80%以上采购量集中于政府央国企客户,但其决策逻辑存在“免责合规导向”,导致总体投资回报率不高。他呼吁在“十五五”规划窗口期,通过顶层设计引导产业,逐步形成“合规准入、实战评价、保险兜底”的后果负责市场化机制,并将切面安全等新技术纳入“网络强国新质生产力”范畴,有效提升我国网络安全的实战化防护水平。白小勇 | 炼石网络CEO赛博英杰分析师黄义博的数据更具冲击力:2024年中国网络安全甲方支出规模同比下降3.2%,安全厂商收入下滑11.9%,创过去五年来新低。市场呈现“甲方轻微收缩、供给侧明显回调”的剪刀差。深层次原因是:央国企通过拆解大单、强化资源打包能力,使专业安全厂商中标占比从2021年的24%骤降至2024年的1.9%。黄义博...
墨菲安全获评超聚变探索者大会2026“聚智·同行伙伴”
28 days ago
墨菲安全 2026-05-27 11:09 北京 墨菲安全以AI原生能力赋能行业伙伴! 🎉 行业伙伴认可2026年5月20日,在“超聚变探索者大会2026”的解决方案生态研讨会上,超聚变正式发布 FusionOS 26 AI原生操作系统,墨菲安全作为超聚变的深度合作伙伴,赋能其AI原生操作系统的建设,同时在多领域与超聚变展开合作并取得不错成果,获评“聚智·同行伙伴”。墨菲安全获评“聚智·同行伙伴”!写在前面本次获评“聚智·同行伙伴”,对墨菲安全来说,不只是一次合作认可,更意味着墨菲安全是把自身在软件供应链安全、漏洞治理与风险运营上的能力,真正嵌入到 AI 时代企业基础设施演进的主线中。此前,墨菲安全与超聚变已经围绕...
上海线下闭门沙龙:聊AI 和企业安全
about 1 month ago
墨菲安全 2026-05-12 14:08 北京 5月底,上海见! 写在前面3月底,我们在北京组织了第一场线下闭门沙龙,主题是“探讨 AI 对企业安全的颠覆”。那场交流我们跟一些真正关心 AI 和企业安全的朋友聚在一起,大家坐下来,认真聊了聊最近看到的问题、正在做的实践,以及一些还没有标准答案的困惑。那次交流结束后,我们一个比较明显的感受就是:AI 对企业安全的影响,已经不是“未来会不会发生”的问题,而是“现在已经发生了,但很多企业还没完全准备好”的问题。过去大家聊企业安全,更多会围绕资产、漏洞、供应链、攻防、合规、运营这些关键词展开。但现在 AI...
Apifox遭投???,开发者工具成投毒重灾区
3 months ago
原创 安全实验室 2026-03-25 21:08 北京 3月25日,墨菲安全监测发现常用于API文档管理和调试的客户端工具Apifox CDN服务被投毒,影响2.8.19之前的历史版本,建议使用受影响版本的用户尽快升级至最新版。 PART 01开发者工具投毒风险高发3月25日,墨菲安全监测发现常用于API文档管理和调试的客户端工具Apifox CDN服务被投毒,影响2.8.19之前的历史版本,建议使用受影响版本的用户尽快升级至最新版。Apifox基于electron框架开发,程序主体代码为js编写,在2.8.19版本之前Apifox启动时会动态加载托管在CDN中的js文件https://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js。攻击者通过替换js文件,从而在受害用户的主机中执行恶意代码,窃取用户凭证、敏感环境信息并建立后门。近年来,围绕开源开发者与开发者工具的投毒事件持续增加,已经从零散个案演变为一类高频、系统性的攻击方式。相比普通用户终端,开发者工作环境天然聚集了更多高价值资产,包括代码仓库访问令牌、云平台密钥、Kubernetes 配置、CI/CD 凭证、SSH...
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》
about 2 months ago
墨菲安全研究院 2026-05-08 09:05 北京 让情报真正用起来,让安全建设从被动响应转向主动治理! 《漏洞及投毒情报应用实践指南》发布2025 年,明确存在恶意行为的开源包超过 5 万个;蠕虫化投毒事件能在 24 小时内波及上万仓库;NVD 中...
墨思AI AGENT监测发现 PyTorch Lightning 训练框架被投毒,月下载量超1000万
about 2 months ago
原创 安全实验室 2026-04-30 23:57 山东 2026 年 4 月 30 日下午 8...
墨菲安全发布《安全度量最佳实践2026版》
2 months ago
墨菲安全研究院 2026-04-20 10:03 北京 让每一项安全工作的价值被看见,让每一个安全问题的处置更高效! 《安全度量最佳实践2026版》发布在企业安全建设不断走向体系化、经营化的当下,越来越多安全团队开始面临同一个现实问题:安全工作做了很多,但很难用管理层听得懂、业务方愿意配合、组织内能够持续复用的方式表达出来。很多企业并不缺漏洞数据、告警数据和工单数据,真正缺的是一套统一的安全度量语言。向上汇报时,管理层听到的是漏洞数量、拦截次数、修复率。向下推进时,业务部门看到的是一批又一批待处理工单。风险难横向比较,成效难持续证明,责任难清晰传导,安全建设也因此容易停留在“项目动作”而不是“治理机制”。基于这一背景,墨菲安全正式发布《安全度量最佳实践2026版》。该实践围绕企业安全度量建设的关键问题,系统梳理了从需求调研、指标设计、平台建设,到试点推广、持续运营的完整路径,帮助企业真正把安全工作从“问题清单”升级为“风险指数”,把“做了很多”转化为“看得见、讲得清、能闭环”。本次最佳实践以 ESSF 企业安全治理框架为方法基础,围绕 CSI、SAI、SII 三类核心指标,形成了一套可解释、可复算、可落地的安全度量建设方法,适用于安全负责人、安全运营团队、业务安全负责人以及需要推动跨部门治理协同的相关角色。从“问题清单”走向“风险指数”过去很长一段时间,企业安全管理更多依赖“问题清单”开展工作。发现了多少漏洞、发生了多少告警、发出了多少工单,往往构成了安全团队日常汇报的主要内容。但随着业务规模扩大、系统复杂度提升,这种表达方式越来越难支撑企业级管理决策。一方面,管理层难以从技术指标中判断整体安全水位;另一方面,不同业务线、不同部门之间缺乏统一标准,导致横向对比、资源配置和责任落实都缺少一致依据。更关键的是,安全任务完成之后,组织也往往看不到这些动作到底带来了多少真实改善。《安全度量最佳实践2026版》提出,企业安全管理需要从“列问题”进一步走向“算指数”。也就是说,不再只关注发现了什么问题,而是建立能够反映整体安全健康度、能力覆盖情况和问题处置情况的量化指标体系,让安全风险具备可视、可比、可解释、可追踪的表达方式。在这一框架下:CSI 负责回答“当前整体安全水位怎么样”;SAI 负责回答“安全能力铺得够不够全”;SII...
Axios库投毒影响17.4万组件,OpenClaw受影响分析
3 months ago
墨菲安全 2026-03-31 18:15 北京 2026年3月31日,墨菲安全实验室检测到攻击者利用窃取的Axios维护者jasonsaayman的npm Token,发布了恶意组件及恶意版本。 一、概述Axios 是广泛使用的 JavaScript HTTP 客户端库,npm仓库周下载量超过 8000...