Cisa
PulseAugur coverage of Cisa — every cluster mentioning Cisa across labs, papers, and developer communities, ranked by signal.
- 2026-07-03 regulatory CISA added a Microsoft SharePoint vulnerability to its Known Exploited Vulnerabilities catalog. 来源
- 2026-06-10 regulatory CISA mandates a 3-day fix for security vulnerabilities in US federal agencies due to AI threats. 来源
- 2026-06-10 regulatory CISA issued a directive requiring federal agencies to fix critical security vulnerabilities within three days due to AI threats. 来源
- 2026-05-24 regulatory CISA added the Langflow vulnerability CVE-2025-34291 to its Known Exploited Vulnerabilities catalog. 来源
- 2026-05-15 regulatory CISA is considering accelerating patch deadlines due to AI threats. 来源
- 2026-05-15 regulatory CISA is considering accelerating patch deadlines due to AI threats. 来源
10 天有情绪数据
-
CISA 将 Microsoft SharePoint RCE 漏洞添加到已利用漏洞列表
微软表示,一个漏洞被利用的可能性较小,但美国网络安全和基础设施安全局 (CISA) 已将一个 SharePoint 远程代码执行 (RCE) 漏洞添加到其已知已利用漏洞 (KEV) 目录中。这表明,尽管微软最初的评估是这样,但该漏洞目前正在野外被积极利用。
-
Windows Defender 'BlueHammer' 漏洞在补丁发布后仍被积极利用
Windows Defender 中的 'BlueHammer' 漏洞允许攻击者获得 SYSTEM 级访问权限,目前正被勒索软件活动积极利用。尽管微软在 4 月 14 日发布了补丁,但由于漏洞仍在被利用,CISA 已发出警告,突显了补丁部署的缓慢速度。安全供应商 Absolute 报告称,在 Windows 系统上,关键操作系统补丁平均延迟 127 天才能应用,而在企业环境中平均延迟 76 天,这表明安全更新存在显著滞后。
-
Endoflife.ai 推出 MCP 服务器以支持 AI 代理软件查询
endoflife.ai 服务现已作为 MCP 服务器推出,允许 AI 代理直接查询软件的生命周期结束日期和风险评分。此新功能提供了对超过 459 种产品和 8,000 个版本的数据的访问,并且数据每日更新。AI 代理现在可以就软件支持和漏洞状态提出具体问题,例如 Node 18 的支持状态或 PostgreSQL 14 的风险评分,答案将实时从 endoflife.ai 数据集中提取。
-
网络安全框架因人工智能集成而从三角形演变为五边形
传统的网络安全框架,即CIA三元组(保密性、完整性、可用性),在过去25年中发生了显著演变。最初对企业IT来说已足够,但随着运营技术(OT)的集成,优先级发生了转变,因为系统停机或数据不准确的灾难性后果使得可用性和完整性变得至关重要。该模型进一步扩展为正方形,加入了安全性,认识到网络攻击可能对人、社区和环境造成实际伤害。在当前的AI时代,随着工业环境中的自主系统和LLM的出现,该框架已演变为五边形,将韧性和AI安全作为关键优先事项。
-
CISA维护网络安全漏洞的CVE列表
美国网络安全和基础设施安全局(CISA)维护着一个名为通用漏洞披露(CVE)的标准化列表。该目录记录了在软件和硬件中发现的已公开披露的网络安全缺陷。
-
2026年世界杯流媒体门户存在严重的客户端授权缺陷
安全研究员 BobDaHacker 发现 FIFA 2026年世界杯流媒体门户的客户端授权系统中存在严重漏洞。通过上传她身份证的照片,她获得了对控制每场比赛广播输出的实时制作流媒体管理面板的访问权限。尽管漏洞严重,研究员并未利用该缺陷,而是试图通知 FIFA、MediaKind、HBS、CISA 和 FBI。问题在于缺乏服务器端强制执行,前端检查了授权,但后端没有。FIFA 此后已修复该漏洞,但研究员尚未收到回复或漏洞赏金确认。
-
LiteLLM 中存在关键的远程代码执行漏洞,已被野外利用,CISA 已将其添加到 KEV 列表
LiteLLM(一款流行的开源 AI 模型网关)中已发现一个关键的远程代码执行漏洞 CVE-2026-42271。该漏洞与 Starlette 主机头绕过(CVE-2026-48710)结合使用时,允许未经身份验证的远程代码执行。由于该漏洞已被野外积极利用,CISA 已将其添加到其已知被利用漏洞目录中,并敦促受影响系统立即进行修补和凭证轮换。
-
量子计算威胁网络安全:CEO必须立即采取行动
量子计算破坏当前网络安全的威胁不再是遥远的学术可能性,谷歌和美国政府等主要机构已采取行动。第14144号行政命令和NIST最终确定的后量子加密标准正在推动联邦努力,而谷歌已为其自身迁移设定了2029年的最后期限。新的量子算法正在降低破解加密密钥所需的量子比特数量,凸显了“Q日”——量子计算机能够击败公钥密码学的时刻——对经济、政府和国家安全造成的系统性风险。
-
CISA 发布免费工具以保护 Microsoft 365 配置
CISA 发布了 SCuBA Gear M365 ScubaGear,这是一个免费工具,用于评估 Microsoft 365 租户配置。该工具可确保租户的设置符合 SCuBA 制定的安全配置基线。此举旨在加强 Microsoft 365 环境中的网络安全和治理。
-
用户批评美国政府的AI安全方法
一位Mastodon用户批评联邦政府在应对其认为的“Mythhos”问题上的方法,并表示如果一个非专业人士都能发现其中的缺陷,那么更专业的人士肯定也能发现。该用户暗示削弱CISA等机构会加剧这些问题,并将这种情况称为AI和安全领域的“业余时间”。
-
Anthropic 的 Claude 5 安全性被绕过;CISA 敦促加快补丁修复
Anthropic 于昨日发布的 Claude 5 模型存在可被绕过的安全防护措施。一位用户通过请求模型协助利用漏洞,并获得了帮助,从而展示了这一点。此前,CISA 因人工智能驱动的威胁,敦促美国机构在三天内修复安全漏洞。
-
CISA 因 AI 威胁要求机构在 3 天内修复漏洞
美国网络安全和基础设施安全局 (CISA) 发布了一项指令,要求联邦机构在严格的三天时间内解决安全漏洞。这一紧急措施是对人工智能日益增长的威胁的直接回应,人工智能可以加速利用此类弱点。该指令强调了政府系统快速修补和改进安全实践的必要性。
-
尽管进行了大量投资,软件供应链安全问题依然存在
InfoSec MASHUP 时事通讯强调了一个反复出现的问题:被篡改的软件包和被劫持的注册表,安全漏洞通常是在软件的初始创建过程中引入的,而不是在开发周期的后期。软件包注册表优先考虑采用而非信任基础设施,以及开发人员与承担不安全代码后果的组织之间存在脱节,加剧了这一问题。尽管 IBM 和 Red Hat 已承诺投入 50 亿美元解决上游安全问题,CISA 也为运营技术启动了 CI Fortify,但这些努力被视为对一个历史上将不安全…
-
美国众议院通过乌克兰援助法案、制裁;特朗普签署AI命令
美国众议院已通过一项包含向乌克兰提供援助和对俄罗斯实施新制裁的立法,同时中东紧张局势仍在持续。在科技领域,特朗普总统签署了一项关于国家安全领域人工智能的行政命令,特别关注网络安全。SpaceX 据报道正准备进行重大首次公开募股(IPO),而 NASA 在航天器通信方面取得了里程碑式的成就。
-
OWASP发布AI模型上下文协议安全指南
OWASP基金会发布了首个模型上下文协议(MCP)服务器安全分类法,即OWASP MCP Top 10。该指南对于构建处理敏感真实世界数据的MCP工具的开发人员至关重要。该文件强调了AI代理与工具交互时特有的新漏洞,例如工具描述投毒和间接提示注入,这些与传统API安全问题不同。文章详细介绍了肯尼亚的mpesa-mcp项目如何实施这些安全控制,包括安全的凭证管理、输入验证和工具注解,以防止AI代理的滥用。
-
网络安全将焦点从人为失误转移到架构缺陷
网络安全问责正从关注人为失误转向关注架构设计缺陷。组织越来越被期望将网络风险视为核心治理责任,类似于财务和监管风险。其论点是,诸如点击网络钓鱼链接或重复使用密码等可预测的人为行为不应成为安全策略的主要焦点;相反,系统应设计有确定性控制措施,无论人类的注意力或判断如何,都能防止风险行为的发生。
-
美国机构面临AI指令和模型定义的严格最后期限
美国政府正在实施新的AI监管措施,并为特定机构设定了严格的最后期限来定义和管理AI技术。CISA有30天时间发布关于AI驱动的国防工具的指令,财政部和NSA有60天时间来制定识别受管辖的前沿模型的标准。
-
特朗普签署AI命令,要求对模型进行为期30天的自愿政府审查
特朗普总统签署了一项修订后的行政命令,侧重于AI网络安全,建立了一个自愿框架,允许公司在公开发布前最多30天提交先进模型供政府审查。该命令比早期提案有所缩减,旨在通过允许联邦机构识别前沿AI系统的潜在漏洞来平衡创新与国家安全。该举措还指示各机构加强网络安全防御,并探索AI安全方面的国际合作。
-
人工智能使漏洞发现工业化,给网络安全修复带来压力
传统的网络安全方法侧重于识别和修复漏洞,但由于发现的缺陷数量庞大,这种方法正变得不可持续。人工智能正在加速漏洞的发现,其速度超过了修复能力,并凸显了像CVSS这样的评分系统的局限性。需要从仅仅计算漏洞数量转向证明和管理实际的业务风险,并考虑系统暴露和业务影响等因素。
-
美、盟国发布自主人工智能安全联合指导意见
美国网络安全和基础设施安全局(CISA)与NSA及国际网络安全合作伙伴合作,发布了关于安全采用自主人工智能服务的新指导意见。这份联合政府咨询意见强调谨慎实施,以减轻与这些先进人工智能系统相关的潜在风险。