日程安排平台 Cal.com 最近宣布从开源转为闭源，理由是 AI 工具更容易从开源代码中发现漏洞，而安全性依赖于模糊，因此闭源有助于提高安全。开源论坛软件 Discourse 对此做出了回应，强调会继续开源，同时表示不敢苟同其对软件安全的看法。Discourse 认为 AI 工具并不需要源代码去发现漏洞，它们针对的是编译后的二进制文件和黑盒 API。闭源并不会让软件更安全。世界最重要的互联网基础设施运行在以 Linux 为代表的开源软件之上，开源代码时刻暴露在无数人的注视之下。它遭受无情的攻击，但也在无止境的加固。这就是安全领域开源真正的意义所在：透明性不是消除风险，但能带来更强大的防御能力。开源带来了一种紧迫感：当代码公开时，你会预料到代码会被仔细审查，因此会更早更积极投入资源，在攻击者前面发现和修复问题。闭源只是给你带来虚幻的安全感。

日程安排平台 Cal.com 宣布从开源转为闭源，理由是 AI 工具更容易从开源代码中发现漏洞，而安全性依赖于模糊，因此闭源有助于提高安全。Cal 联合创始人 Peer Richelsen 称 AI 攻击者正在利用开源项目的透明特性，CEO Bailey Pumfleet 说，开源就好比银行公开其金库的图纸，在 AI 工具的帮助下研究图纸的黑客数量增加了百倍。Cal.com 表示会继续支持开源，将为爱好者提供一个独立的开源版本 Cal.diy。该公司核心产品则将从开源许可证 GNU Affero General Public License(AGPL)切换到闭源许可证。Pumfleet 表示，他们不希望因为漏洞而暴露客户敏感的订购数据，他们旨在成为一家日程安排公司，而不是一家网络安全公司。

一个印度开发团队以 Essential Plugin 的名义开发了 31 款 WordPress 插件，插件有免费版本也有付费版本。2024 年底由于收入下降了 35-45% 开发者将所有插件出售给了一个有 SEO、加密货币和赌博背景的买家，金额是六位数。2025 年 8 月 8 日买家释出了更新，其中包含了后门，但后门一直处于休眠状态。2026 年 4 月 5-6 日后门激活开始向所有运行相关插件的网站传播恶意载荷。恶意代码从指令控制服务器获取垃圾链接、重定向和虚假页面。这些垃圾信息只会显示给 Google 的机器人 Googlebot，对网站所有者不可见。WordPress.org 插件团队次日关闭了所有插件，但 SEO 垃圾信息注入攻击仍在进行中。这不是 WordPress.org 第一次遭遇模式相似的供应链攻击——收购信任插件然后注入恶意代码，它没有机制标记或审查插件所有权转移，也没有向用户发出插件所有权变更的通知，新所有者也不会触发额外的代码审查。最新攻击有数十万安装这些插件的网站受到影响。

一名黑客入侵了硅谷风投 a16z 投资的手机农场 Doublespeed，该公司使用 AI 生成的 TikTok 账号创建虚假网红、生成视频以及发评论。黑客试图控制 Doublespeed 的社交账号发梗图声称 a16z 是“反基督”，图像包含了 a16z 联合创始人、特朗普支持者 Marc Andreessen。Doublespeed 联合创始人 Zuhair Lakhani 称他们已经迅速采取行动阻止了这次未经授权的访问，该公司的社交账号没有发布未经授权的帖子。Doublespeed 从 a16z 获得了 100 万美元的投资。

提供 CPU-Z 和 HWMonitor 等流行免费系统分析工具的 CPUID 网站遭到入侵，导致用户在短时间内下载了恶意程序。用户首先通过社交媒体报告安装从 CPUID 下载的程序时杀毒软件弹出了警告。CPUID 网站随后证实，它使用的一个第三方 API 在 4 月 9-10 日期间被入侵了大约 6 个小时，导致主网站随机显示恶意链接。CPUID 提供的应用本身没有被纂改。攻击者主要针对 HWMonitor 用户，恶意版本包含了一个假的 CRYPTBASE.dll 文件，它会连接指令控制服务器下载更多恶意负荷。CPUID 表示问题已修复。

黑客组织 ShinyHunters 声称入侵了 Rockstar Games 的 Snowflake 服务器，窃取了大量数据，它要求 Rockstar 在 4 月14 日前支付赎金，否则将泄露数据。ShinyHunters 是通过 Anodot 访问了 Rockstar 托管在 Snowflake 的服务器，Snowflake 本身并没有遭到入侵。Rockstar 之后证实遭到入侵，但否认重要数据被盗，称有少量非物质（non-material）公司信息被访问，这次事件不会对公司或玩家造成任何影响。

旧金山警方逮捕了一名涉嫌向 OpenAI CEO Sam Altman 住宅扔燃烧瓶的嫌疑人，还嫌疑人还跑到 OpenAI 位于旧金山 Mission Bay 的总部大楼前发表威胁言论。OpenAI 在发给员工的内部声明中表示，在周五 3:45am PT 左右，嫌疑人接近 Sam 住宅投掷了一枚燃烧装置。该装置落在附近并熄灭。无人受伤，仅造成轻微损失。不久后安保在总部大楼 MB1 外发现了与一位描述的嫌疑人相符的人。OpenAI 通知员工，安保可能会有所加强，办公室仍然正常开放，建议员工不要让任何人尾随进入大楼。

FBI 称 2025 年美国因网络犯罪损失 210 亿美元，比 2024 年的 166 亿美元增长了 26%。主要网络犯罪类型包括：投资诈骗、商业电邮入侵、技术支持欺骗和数据泄露。美国 Internet Crime Complaint Center (IC3)去年收到的投诉最多的是钓鱼攻击（19.1 万）、勒索（8.9 万）和投资诈骗（7.2 万），商业电邮入侵（24,700 ）、数据泄露（3,900）、勒索软件攻击（3,600）和 SIM 卡劫持（971 起）。投资诈骗造成了 86 亿美元的损失。针对加密货币的网络犯罪造成了逾 110 亿美元损失。60 岁以上的美国人报告损失 77 亿美元，比上一年增长了 37%。

开源加密工具 VeraCrypt 的开发者 Mounir Idrassi 透露，微软终止了他用于给驱动和引导程序签名的账号，没有给出解释，导致该工具的 Windows 版本无法更新。VeraCrypt 基于已经停止开发的加密工具 TrueCrypt，允许用户在硬盘上创建加密分区，或者创建单独的加密卷存储文件。如果用户被迫交出登陆凭证，该工具也允许用户创建一个隐藏卷。Idrassi 称他的账号是在 1 月被关闭的，微软在账号关闭的信息中表示其组织没有通过微软的验证要求，随即关闭了申述通道。Idrassi 的联系信息都返回了自动回复信息。Idrassi 表示这导致他无法再释出 Windows 更新，Linux 和 macOS 的更新仍然能照常，但 Windows 是用户数最多平台，无法更新 Windows 版本是一次重大打击。VeraCrypt 不是唯一受到影响的项目，很多微软 Windows 驱动开发者报告他们的账号被锁定了。

多位流行 NPM 软件包维护者成为 AI 深度伪造攻击目标，他们遭遇了相似的社会工程攻击。axios 维护者 Jason Saayman 称，疑似 APT 组织 UNC1069 的黑客冒充一家公司的创始人联系他，他们不仅克隆了创始人的外表，还克隆了公司本身。他们邀请他加入一个真实的 Slack 工作区（workspace），还创建了频道分享 LinkedIn 帖子，非常逼真。然后黑客邀请参加一个 Microsoft Teams 虚拟会议，会议提示其系统存在问题。他以为这与 Teams 有关，于是安装了缺失组件，结果却植入了远程访问木马。他维护的 axios 周下载量 1 亿，被云服务和编码环境广泛使用，黑客窃取了维护者的凭证释出了 axios 的恶意版本。这不是一起孤立事件，多位周下载量上亿的 NPM 软件包维护者遭遇了类似的 AI 深度伪造攻击。

黑客组织 TeamPCP 利用 Trivy 的 GitHub 库在二月底被入侵之后凭证轮换不完整的漏洞推送了恶意代码。Trivy 是广泛使用的开源漏洞扫描器。欧盟委员会的自动化安全流程下载了含有恶意代码的 Trivy 更新，恶意代码窃取了 AWS API 密钥，攻击者随后访问了欧盟委员会在 AWS 的云账号，窃取了 92 GB 的压缩数据。这次攻击始于 3 月 19 日，安全团队直到 3 月 24 日才检测到异常活动。另一个黑客团队 ShinyHunters 公开了部分窃取的数据。一个网络犯罪团队负责攻击，另一个团队负责泄露，凸显了网络犯罪活动的专业分工程度在提高。公开的数据集在解压后大小为 340GB，包含了数万电邮和个人信息。

德国公开了曾在早期运营俄罗斯勒索软件组织 GandCrab 和 REvil 的头目 UNKN 的身份。31 岁的 Daniil Maksimovich Shchukin 于 2019-2021 年间协助在德国实施了至少 130 起计算机破坏和勒索行动。德国称，Shchukin 以及另一名俄罗斯人——43 岁 Anatoly Sergeevitsch Kravchuk——一起勒索了近 200 万欧元，造成经济损失逾 3500 万欧元。德国联邦刑事警察局（BKA）称他领导的 GandCrab 和 REvil 首创了双重勒索——先向受害者收取赎金提供解锁的密钥，然后再收取一笔费用换取不公开被盗数据的承诺。GandCrab 在 2019 年成功勒索逾 20 亿美元后宣布解散，但随后就以 REvil 的名字再次亮相。

从 2025 年 3 月到 2026 年 3 月，勒索软件组织在 376 天内发布了 7,655 条受害者组织名单，平均每天约 20 条，或每 71 分钟新增一个受害者组织。对受害者名单的分析显示，在 129 个活跃的勒索软件组织中排名前五的组织发布了 3,027 条受害者名单，占总数的 40%。其中最活跃的是麒麟（Qilin），发布了 1,179 条占总数的 15.4%；其次是 Akira 的 706 条占 9.2%，INC Ransom 的 415 条 占5.4%，Play 的 386 条占 5.0%，Safepay 的 341 条占 4.5%。麒麟的受害者遍及 74 个国家，最主要受害者是美国 (438)、法国 (55)、加拿大 (48)、西班牙 (41)、英国 (36)。Akira 和 Play 的受害者都主要集中在美国。麒麟组织最初的名字叫 Agenda，2022 年 9 月改名为麒麟，沿用至今。

被称为 TeamPCP 的勒索软件组织试图卷入伊朗战争，他们释出了一种蠕虫，旨在抹掉使用伊朗时区或默认语言为波斯语的受感染系统上的数据。TeamPCP 从去年底开始利用蠕虫感染云端环境，窃取身份凭证，通过 Telegram 勒索受害者。安全公司 Flare 今年 1 月报告，被 TeamPCP 蠕虫感染的云服务 Azure（61%）和 AWS（36%）合计占到 97%。TeamPCP 最近被发现部署了新的恶意程序，如果检测到用户的时区和语言区域与伊朗相符，它将执行数据清除攻击；如果检测到受害者位于伊朗并有权访问 Kubernetes 集群，它将清除该集群每个节点上的数据，否则只清除本地计算机上的数据。

《香港国安法》第四十三条实施细则赋权警员可要求指明人士提供电子设备所需的密码或解密方法，不遵从或可处罚款 10 万元及监禁 1 年。保安局长邓炳强回应称，警员须基于国安原因到法院申请手令，才可搜证。假如拒绝提供设备密码，情况有如警方以搜查令搜屋时，屋内的人“顶着道门”不让警察进入，“所以有罚则，也是非常合理的”。被问到忘记密码是否等同拒绝提供解密方法，邓炳强表示不能一概而论，要视警员观察指明人士的言行判断，他举例若指明人士当天曾数度使用手提电话，无理由突然忘记密码，但若有纪录显示，指明人士近一年或三年前接触该受查电子设备，忘记密码可能合理。

LiteLLM 项目维护者账号被盗，黑客向 PyPI 软件库发布了两个嵌入恶意代码的版本 v1.82.7 和 v1.82.8。恶意代码旨在窃取凭证，包括 SSH 密钥、云服务凭证、加密钱包等。任何安装了恶意版本的用户需要立即检查是否遭到入侵。恶意文件 litellm_init.pth 会在每次 Python 进程启动时自动执行。项目维护者称账号被盗源于刚刚爆出的 trivy 漏洞，恶意版本都已从 PyPI 上移除，所有维护者帐户都已更改。

美国多个州的司机在因酒驾定罪之后如果想要继续驾车，他们需要在汽车上安装酒精检测装置，在启动汽车前测量下酒精含量，在驾驶期间还会被随机抽查。如果没有进行检测，汽车将无法启动；驾驶期间忽略或未通过检测那么汽车将会熄火。美国最流行的酒精检测装置由 Intoxalock 公司生产，这种装置只能租赁，每月费用约为 70-120 美元。3 月 14 日 Intoxalock 遭到了网络攻击，导致其基础设施完全瘫痪，意味着安装了该公司装置的司机面临汽车被锁定的问题。Intoxalock 直到 3 月 22 日才宣布其系统恢复了正常工作，它已经表示将承担系统停止工作给用户造成的开销，包括拖车费。

免费抽卡游戏《二重螺旋（Duet Night Abyss）》开发商英雄游戏为 3 月 18 日发生的“网络安全事故”道歉，攻击者利用游戏启动器的更新向用户传播了窃取信息的恶意程序 Trojan:MSIL/UmbralStealer.DG!MTB，该恶意程序主要被用于窃取密码和加密货币。包含恶意程序的更新是在 3 月 18 日 7:39 am UTC 在 Steam 上释出的。 这不是《二重螺旋》最近几个月第一次遭遇安全事故，二月底它发生过类似的事故，攻击者主要引导用户去玩《原神》，恶意程度略低，可能主要是发出警告。

Google 安全团队披露了被称为 DarkSword 的漏洞利用链，数亿 iPhone 用户受到影响，苹果已经释出修复补丁。对 DarkSword 的利用最早可追溯到 2025 年 11 月，研究人员推测商业间谍软件正在利用该漏洞。受影响的版本从 iOS 18.4 到 18.7 版本，攻击者组合利用六个漏洞完全控制设备，之后部署恶意程序 GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER。Google 安全团队于 2025 年底向苹果公司报告了 DarkSword 使用的漏洞，所有漏洞已在 iOS 26.3 中修复。

波兰核研究机构 National Centre for Nuclear Research(NCBJ)披露其 IT 基础设施遭到网络攻击，但表示安全团队迅速采取行动，挫败了攻击，因此未遭受什么影响。NCBJ 从事核物理、反应堆技术、粒子物理和辐射应用方面的研究，运营着用于科学实验、中子研究和医用同位素生产的核反应堆 MARIA。NCBJ 称 MARIA 反应堆未受影响，仍然全负荷运行。NCBJ 未确定攻击者身份。