近期网络安全的主线依然是AI,自主网络攻防能力正在加速跃迁。防御侧,Anthropic的Claude Mythos Preview与OpenAI的GPT-5.5突破自主网络安全任务能力基准线。攻击侧,5月11日,谷歌威胁情报组(GTIG)发布首份“AI威胁跟踪报告”,首次确认黑客利用AI大模型独立发现并武器化了一个零日漏洞,并自动生成完整Python利用脚本,从发现到武器化几乎全程自主,幸被谷歌及时阻止。AI将漏洞发现到攻击链执行从“天级”压缩至“分钟级”,传统安全体系正面临实战挑战。
病毒与木马方面,5月11日~12日,TeamPCP组织发动了迄今为止规模最大的“Mini Shai-Hulud”供应链蠕虫攻击,48小时内入侵172个独立软件包,涉及npm和PyPI两大生态系统的403个恶意版本。@tanstac、@mistralai、@uipath、@opensearch-project等高知名度的软件包中招。
2026年4月~2026年5月CCERT安全投诉事件统计
近期新增严重漏洞评述
1.微软2026年5月的例行安全更新共包含微软产品的安全漏洞137个,按等级分类包含30个高危、103个重要、4个一般等级。这些漏洞中需要特别关注的是:
Windows Netlogon远程代码执行漏洞(CVE-2026-41089,CVSS 9.8)。Windows Netlogon堆栈型缓冲区溢出漏洞,建议尽快升级。
Windows DNS客户端远程代码执行漏洞(CVE-2026-41096,CVSS 9.8)。由于DNS是企业环境的核心网络服务,一旦遭利用,影响范围可能迅速扩散至大量系统,进而引发勒索软件部署甚至企业网络大规模中断,建议尽快升级。
Microsoft Dynamics 365 On-Premises代码注入漏洞(CVE-2026-42898,CVSS 9.9)。由于CRM环境往往与身份服务、数据库及企业应用程序紧密相连,成功利用可能引发更大范围的组织机密外泄。
Microsoft Word多个远程代码执行漏洞(CVE-2026-40361、CVE-2026-40364、CVE-2026-40366、CVE-2026-40367,CVSS 8.4)。微软标记为“更可能被利用”的严重漏洞,建议用户尽快进行补丁更新。
Microsoft Defender双零日漏洞(CVE-2026-41091、CVE-2026-45498)。Microsoft Defender存在两个已被在野利用超过一个月的零日漏洞,这两个漏洞与4月披露的BlueHammer(CVE-2026-33825)可形成完整攻击链,实现“初始访问→防护降级→系统提权→持久化控制”。
2.本月谷歌针对Chrome浏览器发布多个安全更新,尤其是5月21日确认并修补了2026年首个被活跃利用的零日漏洞(CVE-2026-2441),建议用户尽快将Chrome浏览器升级至145.0.7632.75及以上版本。
3.Linux内核ptrace退出竞争条件漏洞(CVE-2026-46333)。该漏洞已潜伏在Linux内核中近9年,存在于__ptrace_may_access()函数中。上游内核已通过commit 31e62c2e修复,建议用户立即升级至包含修复的内核版本(7.0.8、6.18.31、6.12.89等)。
4.2026年5月,Nginx生态接连爆发多起高危漏洞,形势严峻。其中最引人关注的是潜伏长达18年的堆缓冲区溢出漏洞“NGINX Rift”(CVE-2026-42945,CVSS 9.2),目前尚无CVE编号和官方补丁,全球服务器仍处于暴露状态。此外,本月还披露了njs模块中的堆溢出(CVE-2026-8711)、HTTP/3 IP欺骗(CVE-2026-40460)、SSL模块释放后使用(CVE-2026-40701)等多个中高危漏洞。建议用户立即升级至1.30.1或1.31.0以修复已知问题,并开启系统ASLR、部署WAF临时缓解未修复的0-day风险。
安全提示
校园网作为高价值、高暴露、高交互的复杂环境,亟须从被动防御转向主动治理,建议做好以下几方面工作:
一、收缩暴露面,隔离内网并及时打补丁;
二、善用AI辅助发现漏洞(可将可控范围内的源码交AI分析);
三、严控供应链风险、建立应急预案;
四、实施零信任与最小权限,确保被攻击时将危害降到最低。
来源:《中国教育网络》2026年5月刊
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:陈茜