国内安全事件

1、发票钓鱼邮件泛滥成灾，国家安全机关重拳出击境外黑客

时间：3 月 6 日

概况：据央视新闻报道，国家安全机关近期成功侦破多起境外黑客组织利用发票主题钓鱼邮件实施网络窃密的案件。攻击者将自身伪装成企业财务、采购或税务部门，向目标企业员工发送标题为“财务发票更新 ”、“月度报销明细 ”、“税务稽查通知 ”等极具迷惑性的邮件，诱导用户点击附件或链接。一旦用户中招，恶意程序便会悄然植入其电脑，进而渗透至企业内网，大肆窃取商业机密、核心技术资料乃至国家秘密。

安全防范建议：

如何有效防范此类窃密软件，国家安全机关发布了安全提示：

（一）查“源头 ”，警惕陌生发件人

收到来自所谓“财务部门 ”“发票平台 ”的邮件，先核对发件人邮箱。正规官方邮箱多含单位专属域名（如“@company.com ”“gov.cn ”），而钓鱼邮件通常为临时注册邮箱，使用商业公共邮箱常见后缀，要仔细甄别，不点击，不回复。

（二）辨“细节 ”，警惕暗藏的窃密木马

攻击邮件附件后缀看似是常见的文档格式（如“.zip ”“.pdf ”“.xlsx ”等），实则捆绑了特种木马程序，切勿点击下载。如遇到弹窗提示“先登录账号 ”才能下载发票，则是攻击者要窃取你的邮箱密码，坚决不点击并及时删除。

（三）做“防护 ”，及时阻断风险扩散

若不慎点击可疑邮件，应立即断开设备网络，关闭退出办公系统等敏感账号，同步使用杀毒软件全盘扫描，及时向所在单位网络安全部门报告。若所在单位确认系遭境外攻击，可通过 12339 国家安全机关举报受理电话或网络举报平台（www.12339.gov.cn）反映情况。

2、关于防范 OpenClaw（ “龙虾 ”）开源智能体安全风险的提示

时间：3 月 11 日

概况：工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB） 针对 OpenClaw（“龙虾 ”）开源智能体发布安全使用建议，指导用户防范潜在风险。OpenClaw 在智能办公、开发运维、个人助手、金融交易等场景存在突出风险，包括供应链攻击、内网渗透、敏感信息泄露、账户被接管等。

安全防范建议：

（一）使用官方最新版本。要从官方渠道下载最新稳定版本，并开启自动更新提醒；在升级前备份数据，升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。

（二）严格控制互联网暴露面。要定期自查是否存在互联网暴露情况，一旦发现立即下线整改。不要将“龙虾 ”智能体实例暴露到互联网，确需互联网访问的可以使用SSH 等加密通道，并限制访问源地址，使用强密码或证书、硬件密钥等认证方式。

（三）坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限，对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行，形成独立的权限区域。不要在部署时使用管理员权限账号。

（四）谨慎使用技能市场。要审慎下载ClawHub“技能包 ”，并在安装前审查技能包代码。不要使用要求“下载ZIP ”、“执行 shell脚本 ”或“输入密码 ”的技能包。

（五）防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本，启用日志审计功能，遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档。

（六）建立长效防护机制。要定期检查并修补漏洞，及时关注 OpenClaw 官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护，及时处置可能存在的安全风险。不要禁用详细日志审计功能。原文链接：

3、CNVD 与深信服联合发布 OpenClaw 风险全链路分析及安全提示

时间：3 月 13 日

概况：国家信息安全漏洞共享平台(CNVD)与深信服联合出品，对 OpenClaw 开展系统性风险研究，全链条覆盖其安全漏洞、资产暴露面、生态供应链及部署环节风险，形成专项研究报告。OpenClaw 可访问用户文件系统、执行 Shell 命令、调用各类第三方服务凭据，一旦被攻击者控制，会导致用户数字权限泄露。在企业环境中，单个被入侵实例可成为内网横向移动跳板，引发核心数据窃取、关键系统受控等严重安全事件；对个人用户来说，隐私信息存在被窃取的风险。

安全防范建议：

对企业用户的建议

紧急处置与基础防护

1. 漏洞闭环与凭据管理

将所有 OpenClaw 升级至最新版本

全面轮换关联凭证，包括 LLM API 密钥、消息应用 Token、邮件 OAuth 等核查所有实例是否存在公网暴露情况，及时整改暴露风险

2. 网络层面防护

强制网关仅监听 127.0.0.1:18789，禁用 0.0.0.0 全网监听模式配置防火墙，拒绝 18789 端口的公网入向流量

3. 认证与权限管控

启用密码认证，设置 16 位以上强密码

定期轮换 Gateway Token，避免静态凭证泄露风险启用短期配对码，替代静态 Token 用于身份验证

为 Control UI 配置独立浏览器 Profile，防御跨站劫持攻击

长效安全管控措施

1. 供应链与插件管理

仅安装经官方审核的 ClawHub 技能定期清理来源可疑或长期闲置的插件

新技能部署前，需在隔离环境完成代码审查和行为验证

2. 监控与审计机制

监控 18789 端口的异常连接行为

审计~/.openclaw/ 目录的访问记录，追踪异常操作

监控 mDNS 广播，发现内网中未申报的 OpenClaw 实例

3. 企业政策与流程管控

制定 OpenClaw 专项使用政策，明确使用规范与安全要求

将 OpenClaw 纳入影子IT扫描范围，防止未授权部署

开展员工安全意识培训，提升对相关风险的认知与防范能力

将 OpenClaw 实例安装、插件部署纳入标准变更管理流程，规范审批与实施环节

对个人用户的建议

1. 提升安全意识

风险认知：充分认识 OpenClaw 的安全风险

安全配置：按照安全最佳实践进行配置

技能审查：谨慎选择安装的技能，审查技能代码

权限管理：仅授予必要的权限，并定期审查权限设置

2. 强化安全实践

环境隔离：建议在虚拟机或容器中使用 OpenClaw

敏感信息保护：避免让 OpenClaw 访问敏感信息

行为监控：监控 OpenClaw 的网络连接和文件访问行为

定期检查：定期检查系统是否有异常行为

3. 应急响应准备

备份重要数据：定期备份重要数据

隔离受感染系统：发现异常时立即隔离系统

清除恶意文件：使用安全工具清除恶意技能或恶意程序

更改受影响凭证：更改所有可能泄露的凭证

国际安全事件

1、通杀 iPhone 的漏洞工具包遭泄露，政府级武器流入黑市

时间：3 月 4 日

概况：2026 年 3 月，移动安全领域迎来了一场地震。安全研究机构 iVerify 与谷歌威胁情报小组（GTIG）几乎同时披露了一起震惊业界的重大安全事件：一套代号为“Coruna ”的复杂 iOS 漏洞利用框架，已从政府客户手中泄露，并在过去一年中被多个不同背景的攻击者大规模使用。这并非普通的黑客工具。Coruna 框架包含了 5 条完整的 iOS 漏洞利用链，整合了 23 个独立漏洞，能够攻击从 iOS 13 到 iOS 17.2.1 之间几乎所有版本的iPhone 设备。这意味着，过去近四年间生产的 iPhone，在这套工具面前几乎门户大开。

安全防范建议：

针对此类大规模事件，我们建议：

1）实施严格的移动设备管理与“零信任 ”接入：企业应立即审查并强化移动设备管理策略。对于访问核心业务系统的设备，建议强制安装并合规配置移动终端管理或企业移动管理方案。

2）推动更新与补丁管理标准化：此事件凸显了及时更新系统的重要性。企业安全团队应将移动操作系统的版本更新作为一项关键的工作内容，关注员工在官方安全补丁发布后是否及时完成更新。

3）为高风险人员配备专属安全防护：对于高管、核心研发人员、财务负责人等“高价值目标 ”，应提供超“VIP ”级移动安全防护方案。例如，使用硬件密钥作为第二因素认证；部署基于行为分析的移动端威胁防御方案，实时监测针对移动设备的异常攻击行为；建议其使用专用设备，并严格限制在该设备上安装非必要的个人应用。

2、知名百科网站遭遇JavaScript 蠕虫攻击：用户脚本成攻击载体

时间：3 月 5 日

概况：近日，知名百科网站维基百科在进行某种安全测试时调用某个不安全的JavaScript 脚本，此次安全事件导致大量维基百科管理员账号出现安全问题。为应对这种紧急情况维基百科直接将受影响的站点设置为只读模式，随后进行排查后发现相关的恶意脚本已经存在两年但没有被发现，而且脚本次前也没有被激活过，这个恶意脚本还具有蠕虫特性可以自我传播。事后维基媒体基金会发布声明，称工作人员在对维基百科上用户编写的代码进行安全审查时，在审查过程中不慎激活某些休眠代码，随后工作人员很快发现这些代码具有恶意目的。作为预防措施我们在移除恶意代码并确认网站对用户安全后，暂时关闭维基百科和其他维基媒体项目的编辑功能，目前导致此次中断的安全问题已经得到妥善解决。该代码持续运行 时 间为 23 分钟 ，在运行期 间恶意代码更 改并删 除Meta-Wiki 项目上的内容但并未造成永久性破坏。

安全防范建议：

针对此类事件，我们的建议如下：

1）建立严格的第三方代码审查与准入机制：企业若拥有允许用户或员工自定义脚本、插件的内部平台，必须建立一套严格的代码审查和沙箱测试流程。

2）推行浏览器端安全防护与隔离策略：企业应引导并要求员工在访问业务系统时，使用具备安全防护能力的浏览器或安装浏览器扩展。

3）加强对用户生成内容平台的监控与响应：对于维基百科这类平台，企业若运营类似服务，必须投入资源对用户提交的内容和行为进行持续监控。不仅要关注内容本身，更要关注内容中嵌入的动态代码、链接。建立自动化机制，一旦发现异常的用户行为模式（如批量修改脚本、短时间内大量传播某段代码），立即触发警报并进行人工介入分析，快速阻断潜在的攻击传播。

3、美国在线职业培训平台数据泄露，近 2.5 万客户信息曝光

时间：3 月 14 日

概况：近期，美国在线职业培训平台 360training遭遇严重数据安全事件，导致超过 24,000 名客户的个人信息遭到泄露。这起事件再次敲响了在线教育行业数据安全的警钟，也为广大用户在选择在线学习平台时敲响了安全警钟。360training 是一家成立于 1997 年的美国在线教育公司，主要提供商用电工、食品处理、酒精销售、房地产、医疗等多个领域的职业认证培训课程。该平台在美国在线教育市场占据重要地位，为众多求职者和在职人员提供专业的职业资格认证培训服务。根据Claim Depot 公布的信息，此次数据泄露事件共影响了 24,594 名客户。泄露的信息包括但不限于：个人身份信息、学习记录与证书、支付相关信息、账号凭据。此次 24,594 名客户的数据泄露事件并非单纯的数据丢失问题，而是一个可能引发连锁安全风险的重大事件。首先，受影响的用户面临着身份信息被滥用的风险。在过去类似数据泄露事件后，受害者常常会在数月甚至数年后收到针对其个人情况的精准诈骗邮件或电话。其次，对于依赖 360training 获得职业认证的从业者来说，学习记录和证书信息的泄露可能带来职业信誉风险。如果这些信息被恶意篡改或盗用，可能会影响持证人的专业声誉和就业机会。尤其在建筑、医疗、食品安全等对资质要求严格的行业，证书的真实性和完整性至关重要。

安全防范警示：

针对此次事件，以及当前在线教育行业普遍存在的安全问题，我们建议：

1）加强数据加密与存储安全：采用业界标准的 AES-256 或更高级的加密算法对所有敏感数据进行加密存储，确保即使数据库被攻破，泄露的数据也无法被直接读取。建议使用破解难度较高的方式存储用户密码。

2）建立完善的访问控制机制：实施最小权限原则，严格限制内部员工和客户数据接触的权限。建立完整的访问日志审计系统，一旦检测到异常访问行为，立即启动应急响应机制。