报道最新的安全漏洞事件、CVE 信息和行业趋势。
最后更新
加载新闻...
Wiz Research发现,DeepSeek的ClickHouse数据库在两个子域上未经身份验证即可公开访问。超过 100 万条日志记录包含明文聊天记录、API 密钥和后台操作元数据。攻击者可以直接从服务器上窃取密码和本地文件。在责任披露后,DeepSeek 立即保护了数据库的安全。1 月 27 日还发生了针对 API 和网络聊天界面的大规模 DDoS 攻击。
来源Wiz 博客。
攻击者在戴尔的合作伙伴门户网站上注册了一个虚假的合作伙伴账户,并在 48 小时内获得了访问权限。该门户网站的 API 没有授权检查或速率限制。在三个星期内,攻击者每分钟发送约 5,000 个请求,窃取了包含姓名、地址、服务标签和订单信息的 4,900 万条记录。这些数据在一个黑客论坛上被出售。
一名攻击者利用了 Trello 不受保护的 REST API,该 API 允许通过电子邮件地址进行未经验证的查询。通过提交以前被攻破的数据库中的电子邮件地址,攻击者窃取了超过 1500 万份用户配置文件(电子邮件、全名、用户名、董事会信息),并将其发布在一个黑客论坛上。Atlassian 随后限制了该端点。
美国政府效率部(DOGE)的一名员工将一个包含 xAI 私有 API 密钥的脚本(agent.py)提交到了 GitHub 公共仓库。该密钥提供了对超过 52 个 LLM 模型的无限制访问权限,其中包括四天前刚刚创建的 "grok 4-0709"。GitGuardian 检测到了这次泄漏,但密钥没有立即被撤销。2025 年 5 月也发生过类似的泄漏事件。
ChatGPT 的 pictureproxy.php 组件中存在服务器端请求伪造 (SSRF) 漏洞。未经身份验证的攻击者可注入伪造的 URL,迫使服务器执行未经授权的内部请求。从一个 IP 地址记录到的攻击尝试超过 10,000 次,其中 33% 的目标是美国组织(金融、政府和医疗保健部门)。该漏洞特别危险,因为它可以在没有身份验证的情况下被大规模利用。
CVE-2024-27564 是 OWASP API7 (SSRF) 的教科书式示例。接受外部 URL 输入的 API 需要严格验证,以防止访问内部网络。请参阅 OWASP Top 10 → API7。
根据 Wallarm 的 2025 API ThreatStats 报告,2024 年共记录了 439 个与人工智能相关的 CVE,同比增长了 1025%。在 CISA 的已知漏洞(KEV)目录条目中,50% 以上与 API 相关。访问控制故障总体增加了 40%,关键授权故障增加了 36%。
Wallarm 2025根据 Salt Security 的 2025 年第一季度报告,99% 的受访企业在过去 12 个月中至少遇到过一次 API 安全问题。主要风险是注入攻击和BOLA(对象级授权破损),占所有事件的三分之一以上。95% 的 API 攻击源于经过验证的会话。
Salt Security Q1 2025安全研究人员发现,有 3 万个 Postman 工作空间在没有安全控制的情况下被公开暴露。它们包含实时 API 密钥、访问令牌和敏感有效载荷,其中许多提供了对生产环境的直接访问。这一案例凸显了开发人员协作工具中 "影子 API "凭证的风险。
Wallarm 2025基于人工智能的应用程序接口(如 ChatGPT 和 DeepSeek)中的漏洞正在激增。提示注入、SSRF 和数据暴露是主要威胁。安全措施跟不上人工智能的快速发展。
BOLA(对象级授权失效)仍然是最普遍的漏洞。从戴尔和 Trello 的案例中可以看出,缺乏基本的授权检查会导致大规模的数据泄露。
95% 的攻击发生在通过身份验证之后。拥有合法访问令牌的攻击者会利用授权漏洞进行横向移动,这也是最主要的攻击技术。
来自 GitHub 和 Postman 等开发者工具的 API 密钥泄漏已成为一个严重问题。采用自动检测工具(如 GitGuardian)和严格的机密管理实践至关重要。
本页信息基于 2025 年的公开数据。请查看以上参考链接,了解最新的脆弱性信息。