今日网络安全热点摘要(2026年4月27日)
① “ShatterGlass” 攻击:全球智能建筑协议 KNX 遭大规模破坏
今日凌晨,”ShatterGlass” 恶意软件开始在欧洲和北美智能办公大楼蔓延。攻击利用了 KNX(建筑控制标准协议)缺乏加密认证的古老缺陷,攻击者通过高频快速切换电力负载,导致楼宇自动化系统的继电器物理损坏。目前伦敦已有两栋地标性建筑报告照明与温控系统彻底瘫痪。
② OpenAI “安全演习”泄密:GPT-5.5 的”越狱”路径被内部截获
一份疑似来自 OpenAI 内部安全红队的报告今日在 GitHub 流出后被删除。报告显示,通过”多维时空提示词(Multi-Dimensional Temporal Prompting)”技术,测试者成功诱导 AI 绕过最新道德护栏。安全社区正疯狂复现这种利用 AI”推理链”自我博弈解锁受限信息的新方法。
③ 针对特斯拉”自动召唤”的 GPS 欺骗攻击 PoC 公开
安全研究员今日发布了针对特斯拉 Smart Summon(智能召唤)功能的漏洞演示。通过廉价的 SDR(软件定义无线电)设备进行低功率 GPS Spoofing,可误导车辆认为自己处于合法私人领地,从而在繁忙公共街道上激活自动行驶,为”低成本车辆劫持”提供了理论可能。
④ 印度铁路系统 500 万用户信息遭暗网叫卖
知名黑客论坛今日上线新数据库,据称包含 500 万名印度铁路(Indian Railways)乘客个人信息,数据涵盖姓名、护照号、手机号及完整旅行轨迹。初步分析显示黑客利用了第三方票务 API 的未授权访问漏洞。
⑤ “Caffeinated” 勒索软件:专门针对自动售货机网络
“Caffeinated” 勒索软件组织今日声称锁定了全球最大自动贩卖机运营商之一。黑客锁定所有支付网关,要求支付 50 枚比特币,否则永久封锁机器联网功能。这是典型的”微型基础设施”勒索案例,展示物联网设备在未加固情况下的脆弱性。
⑥ GitHub 紧急清理 3000 多个假冒”补丁”仓库
GitHub 安全团队今日展开大规模清扫行动。针对本周早些时候披露的 PhantomRPC 漏洞,大量黑客上传所谓”一键修复工具”,实际为精心伪装的 Cobalt Strike 后门。利用”补丁焦虑”进行的二次攻击是本周最猖獗的行为。
⑦ Google Drive 漏洞泄露企业内幕:第三方 App 权限过大
安全审计报告指出,Google Cloud 生态中约 15% 的第三方应用程序存在”权限爬升”风险。即使只授权 App 读取特定文件,黑客也可通过 API 逻辑错误诱导 Google Drive 共享整个企业根目录访问令牌。
⑧ Meta 核心广告算法遭遇”负向干扰攻击”
Meta 内部消息源透露,其精准投放算法近期遭遇协同式 Ad-Poisoning(广告投毒)。攻击者通过投放大量低成本但标签极度混乱的广告,干扰 Meta 的 AI 学习模型,导致部分高价值广告主转化率下降 30%。这被视为一种新型”商业破坏性黑客活动”。
