如果说5月18日是科技新闻的"审判日",那么这一天确实名符其实。BitLocker被曝存在可物理绕过TPM加密的零日漏洞、Daemon Tools遭遇长达一个月的供应链投毒、Canvas学习平台在期末考试周被黑客攻陷、Linux再爆严重内核漏洞Dirty Frag——而与此同时,Mozilla的AI漏洞挖掘工具Mythos竟以近乎零误报的准确率找到了271个Firefox安全漏洞。AI既是最危险的工具,也是最强大的盾牌。
BitLocker"黄钥匙":Windows默认加密形同虚设
一位化名"Nightmare-Eclipse"的研究人员公布了代号"YellowKey"的BitLocker绕过攻击方法。该漏洞利用Windows Recovery环境和Transactional NTFS(TxF)机制——通过在USB驱动器上创建特殊的FsTx文件夹,攻击者只需按住Shift重启进入恢复模式,就能在数秒内获得完全磁盘访问权限,而无需任何BitLocker恢复密钥。
安全研究员Kevin Beaumont和Will Dormann(Tharros Labs)验证了该漏洞,Dormann指出一个被忽略的更严重问题:"一个卷上的FsTx目录竟然能修改另一个卷的内容"。问题的本质比单纯绕过BitLocker更深层——微软承认正在调查,但截至目前未给出修复时间表。目前最直接的缓解措施是在BitLocker设置中启用PIN码验证,而非仅依赖TPM加密。对于丢失或被盗的Windows 11设备来说,这项建议已经刻不容缓。
数字世界中的安全防线,正在被一个又一个零日漏洞撕开裂缝
供应链投毒再起:Daemon Tools被植入后门一个月
卡巴斯基本周披露,经典虚拟光驱软件Daemon Tools Lite在4月8日至报告发布期间被供应链投毒。攻击者使用开发者经数字签名的官方证书签署了恶意安装程序,影响了全球数百个国家数千台机器。受感染版本为12.5.0.2421至12.5.0.2434(Windows版),恶意可执行文件在每次系统启动时自动运行,首先收集MAC地址、主机名、DNS域名、运行进程等基本信息。
大约12家组织(涵盖零售、科研、政府和制造业)被推送了后续载荷——包括一个精简版后门(可执行命令、下载文件、在内存中运行Shellcode)和一个名为QUIC RAT的复杂木马(支持HTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3等多种C2协议,注入notepad.exe和conhost.exe隐蔽运行)。卡巴斯基称"这次攻击的精密程度堪比2023年的3CX供应链攻击"。值得注意的是,这与上月披露的Checkmarx、Bitwarden供应链攻击形成呼应——安全工具本身已成为攻击者的首要目标。Socket CEO Feross Aboukhadijeh的总结一针见血:"攻击者正把安全产品同时当作目标和分发渠道。"
供应链攻击链条如同暗中蔓延的藤蔓,每一个环节都可能成为突破口
Canvas被黑:期末考试季的噩梦
全球最大的学习管理系统Canvas在期末考试周遭黑客攻击,被迫下线。其母公司Instructure周三检测到异常网络活动后紧急关闭系统,直到周五凌晨才恢复上线。攻击者获取了用户名、邮箱、学号和平台消息等数据。勒索软件组织ShinyHunters声称对此负责,并宣称窃取了2.75亿用户的数据——虽然这些数据规模听起来过于夸张,但结合Canvas覆盖全美8,800所学校的体量,实际影响不容小觑。
攻击者甚至在Canvas登录页面直接显示勒索信息,声称Instructure拒绝付款并怂恿学校直接与黑客谈判。受影响的大学包括伊利诺伊大学(推迟了周五至周日所有期末考试)、马萨诸塞大学达特茅斯分校(调整考试安排)以及整个加州大学系统(全部转向替代平台)。联想到2014年PowerSchool泄露6000万学生信息的先例,教育数据安全正在成为一个越来越危险的盲区。
Mythos:AI漏洞挖掘的里程碑
在这场安全风暴中,唯一的好消息来自Mozilla。该机构使用Anthropic的AI模型Mythos(辅以Claude Opus 4.6)对Firefox进行了为期两个月的全面安全审计,结果发现了271个安全漏洞——其中180个被标记为sec-high级别(Mozilla内部最高等级,可通过正常用户行为触发利用),80个sec-moderate和11个sec-low。更不可思议的是,Mozilla杰出工程师Brian Grinstead表示"几乎没有误报"。
关键在于Mozilla为Mythos搭建了一套定制化的"Agent Harness"——用代码包裹LLM,给予其与人类开发人员相同的工具和权限:读取和写入文件、运行测试用例、甚至使用Firefox专用sanitizer编译版本进行测试。工作流程是循环式的:AI分析代码、生成测试、验证结果、继续下一轮。为了证明结果的真实性,Mozilla在Bugzilla上公开了12个完整漏洞报告。Grinstead强调:"人们已经被过去一年那些AI生成的无意义commit搞怕了……但我们没有营销角度,我们的团队已经完全接受了这套方法。"
AI既是发现漏洞的利器,也在被攻击者用来制造更危险的攻击工具
点评:上面几个看似独立的安全事件,恰好拼出了这个时代安全困境的全貌:零日漏洞暴露了基础软件层面的脆弱性,供应链攻击说明信任链条可以随时断裂,教育平台被黑则提醒我们数字基础设施的覆盖面越大、暴露出问题的可能性就越多。而当AI开始以接近零误报的效率挖掘漏洞(Mythos),同样意味着攻击者获取"弹药"的速度也在指数级加速。唯一的出路可能是同步加速——用AI防守的速度追上AI进攻的速度,但这条赛道上,谁也没有绝对优势。