为减少 AI Slop 报告数量，cURL 项目将在一月底终止 Bug 悬赏项目。cURL 维护者 Daniel Stenberg 表示，“为避免被拖下去我们必须努力阻止这股洪流。”cURL 是一个广泛使用的互联网基础工具，几乎被每一个联网的设备和系统使用。今年早些时候，cURL 项目披露收到了大量由 AI 生成的虚假漏洞报告，Stenberg 当时称至今没有看到一份 AI 帮助下完成的漏洞报告是有效的。

Google 安全团队 Project Zero 发表了三篇博客，分析了针对 Pixel 9 手机的零点击漏洞利用链。相关漏洞早在 2025 年 9 月 19 日就已经公开，但 Google 直到 2026 年 1 月 6 日才给手机打上补丁。安全研究员称，智能手机过去几年为用户提供了多项 AI 驱动的功能，但这些 AI 功能带来的一个后果是零点击攻击面的扩大。其中一项功能是音频转录。Google Messages 接收到的短信和 RCS 音频附件无需用户操作就会自动解码。音频解码器现在是零点击攻击面的一部分，针对 Pixel 9 的零点击漏洞利用链就始于音频解码器 Dolby Unified Decoder——它提供了对 AC-3（Dolby Digital）和 EAC-3（Dolby Digital Plus）音频格式的支持。

安全公司 Checkpoint 的研究人发现了设计针对云端主机的 Linux 恶意程序 VoidLink。VoidLink 包含逾 30 个模块，攻击者能根据受感染机器的具体需求定制功能。VoidLink 能检测被感染机器是否托管在 AWS、GCP、Azure、阿里巴巴和腾讯等主流云服务。开发者还计划未来版本添加对华为、DigitalOcean 和 Vultr 等云服务的支持。研究人员猜测，随着越来越多的企业将工作负载迁移到 Linux 系统、云基础设施和应用程序部署环境，攻击者也随着将攻击目标扩大到此类环境。VoidLink 的界面为中文操作者进行了本地化，表明它可能源自中文开发环境。源代码中的符号和注释表明，VoidLink 仍在开发之中。Checkpoint 未发现任何实际感染，意味着其开发尚未完成。

根据 xdaforums 用户在论坛上公布的文件，越南政府禁止已 root 的手机使用任何手机银行应用。越政府要求，如果检测到手机已 root，手机银行应用必须自动退出或停止运行，将原因和任何违规方细节通知警方。在很多地方，手机银行应用拒绝在已 root 手机上运行已是一种常态。

在美国突袭委内瑞拉前一天，该国国有电信公司 CANTV 的自治系统 AS8048 发生了一起 BGP 路由泄漏事件。这起事件引发了美国可能发动中间人攻击，重路由 BGP 流量收集情报的猜测。美国 CDN 服务商 Cloudflare 通过官方博客回应了这一猜测。Cloudflare 称它的数据显示自去年 12 月以来，AS8048 发生了 11 起 BGP 路由泄漏事件。这一模式显示 AS8048 的路由进出入策略存在不足，BGP 路由泄漏可能只是技术问题而不是恶意行为。

日本核能监管机构宣布取消了中部电力公司两座反应堆的安全审查，原因是该公司伪造了地震风险数据。自 2011 年福岛核事故后，日本只有不到四分之一商业核反应堆处于运行状态。日本中部电力公司申请重启滨冈核电站 3、4 号机组，而滨冈核电站地处南海海槽大地震的设想震源区域。监管机构原子能规制委员会去年 2 月接到举报，中部电力公司多年来伪造了两座反应堆的地震风险数据。中部电力公司已经承认了此事，它给出了说明，“在制定基准地震动时从不同计算条件的 20 组地震动选出最接近平均值的波作为“代表波”，然而事实上存在蓄意选择代表波的嫌疑。这一做法在 2018 年以前就已存在。”社长林欣吾表示考虑对核能部门实施彻底重组。

根据 Linux kernel 的 git 历史，内核至今修复了 125,183 个 bug，平均每个 bug 在引入 2.1 年之后才会被发现。不同子系统的 bug 存活时间有差异，其中 CAN 总线驱动 bug 平均要 4.2 年才会被发现，而 SCTP 网络平均是 4 年。存活时间最长是 ethtool 的一个缓冲区溢出 bug，存活了 20.7 年。内核的安全性过去几年有了显著提升，2010 年引入的 bug 平均需要近 10 年才会被发现，而 2024 年引入的 bug 仅 5 个月就会被发现——或者 2010 年引入的 bug 在当年发现的比例是 0%，而 2022 年这一比例提升到了 69%。

黑客行动主义者在上月底德国举行的年度混沌计算机俱乐部会议 39C3 上现场删除了三个白人至上主义者的网站——WhiteDate、WhiteChild 和 WhiteDeal。化名为 Martha Root 的黑客身穿《恐龙战队(Power Rangers)》中粉红战士的服装，在删站前还抓取了 WhiteDate 的数据。三个白人至上网站的管理员都通过其社媒账户证实了攻击事件，网站至今没有恢复。Root 表示这些网站的安全性极度匮乏，嘲讽他们自诩优等种族（master race）但却连网站安全都做不好，在统治世界之前他们应该先学着熟练托管 WordPress。泄露数据包括用户的个人资料如姓名、头像、个人简介、年龄、位置（包含精确坐标以及用户设置的国家和州）、性别、语言、种族等。根据泄露数据，WhiteData 有逾 6500 名用户，其中 86% 为男性，14% 为女性。

去年 12 月 27 日，《彩虹六号：围攻X》服务器遭到入侵，黑客向所有玩家赠送了逾 20 亿虚拟点数和稀有皮肤。12 月 29 日育碧对此次攻击采取了回滚操作。本周玩家再次报道黑客入侵了游戏服务器，这一次黑客没有送礼物，而是送出了封禁，封禁日期是 67 天——67 是著名的网络模因。根据育碧官方服务器状态页，《彩虹六号：围攻X》的 PC、PS4/5、Xbox Series X/S 和 Xbox One 服务器都报告遭遇计划外问题（unplanned issues）。有数以千计的玩家报告账号被封禁，其中包括游戏主播 VarsityGaming——其 YouTube 账号有 143 万粉丝。

Palo Alto Networks 首席安全情报官 Wendi Whitmore 认为，AI 智能体将成为企业在 2026 年最大的内部威胁。企业安全团队面临需要尽快部署新技术的巨大压力，他们承受着巨大的压力和工作量，需要快速完成采购流程、安全检查，了解新 AI 应用是否足够安全，能满足企业实际应用场景。根据 Gartner 的估计，到 2026 年底，40% 的企业应用将集成特定任务的 AI 智能体，而 2025 年该比例不到 5%。Whitmore 指出这种激增是一把双刃剑。根据其配置和权限，AI 智能体可能拥有敏感数据和系统的访问权限，这使得 AI 智能体成为极具吸引力的攻击目标。

MongoDB 服务器软件在圣诞节前曝出了一个高危漏洞，影响自 2017 年以来发布的所有版本。该漏洞被称为 MongoBleed aka CVE-2025-14847。MongoDB 在 12 月 24 日释出了补丁，声称没有证据表明有人利用该漏洞。12 月 27 日，育碧热门游戏《彩虹六号：围攻X》的服务器遭到入侵，黑客向全服赠送了 21 亿游戏虚拟货币以及极其罕见的皮肤，其中包括开发者专属皮肤。此次攻击迫使育碧将整个游戏服务器下线，直到 12 月 29 日才重新上线，回滚黑客送出的虚拟币和皮肤。有报道称，黑客就是利用刚刚曝出但育碧没有及时修复的 MongoDB 漏洞入侵和接管游戏系统，同时还窃取了育碧几乎所有游戏的源代码——但这一消息尚未得到育碧官方证实。

域名停放（Domain parking）是指过期或休眠的域名，或者是热门网站的常见拼写错误。当用户因为拼写错误而意外访问域名停放公司的网页时，上面通常会展示第三方的付费链接。2014 年安全研究人员的分析显示，不到 5% 的域名停放网页会将用户重定向到恶意内容，也就是大部分链接是合法的。但如今比例发生了逆转。安全公司 Infoblox 的最新研究发现，大部分停放域名网站会将用户重定向到恶意内容。研究人员发现，逾九成的域名停放链接会将用户引导至非法内容、诈骗网站、恐吓软件、杀毒软件订阅服务或恶意软件。

苹果和 Google 最近都释出了紧急更新去修复正被利用的 0day。苹果向 iPhone、iPad 和 Mac 释出更新修复两个 WebKit bug，苹果表示漏洞可能被用于对特定目标发动复杂攻击，它没有披露细节。Google 释出 Chrome 更新修复了多个安全漏洞，其中包括正被利用 0day CVE-2025-14174，该 bug 属于越界内存访问漏洞。两家公司都没有透露细节，但看起来是相关的，Google 将 CVE-2025-14174 的发现归功于苹果的安全工程团队和 Google 的安全团队 Threat Analysis Group。目前看来该 0day 是被间谍软件利用。苹果 2025 年至今修复了 9 个 0day，Google 今年至今修复了 8 个 Chrome 0day。

韩国电商巨头酷澎（coupang）多达 3370 万个用户的个人信息被泄露。该事件由酷澎中国籍前员工所为，酷澎服务器从今年 6 月 24 日至 11 月 8 日遭到入侵。泄露信息范围包括用户姓名、电邮、电话号码、地址，甚至包括住宅楼门禁密码。韩国警察厅已通过国际刑警组织向淘宝发函，要求其删除涉及“售卖韩国人账号”的相关内容。公司董事长朴大俊已引咎辞职。涉嫌泄密的中国员工曾担任公司身份验证系统软件开发者，他在一年前已经离职，但仍然秘密持有内部身份验证密钥，能不受限制的访问酷澎的用户信息。入侵利用了海外服务器，通过使用登录凭证，嫌疑人伪装成公司员工访问内部系统。

本月初安全研究人员披露了编号为 CVE-2025-55182、危险等级 10/10 的 React Server 高危漏洞，该漏洞利用的成功率几乎能达到 100%，攻击者可以远程执行代码。在漏洞披露几个小时内，中国、伊朗、朝鲜的黑客组织以及网络犯罪组织就开始大规模利用该漏洞远程执行代码、部署后门和挖掘加密货币。亚马逊的安全团队称，中国黑客组织 Earth Lamia 和 Jackpot Panda 在利用该漏洞。Palo Alto Networks 的 Unit 42 称受害者超过 50 个。地下黑客论坛有大量关于 CVE-2025-55182 的讨论，有分享扫描工具链接、概念验证攻击代码(PoC) 以及相关工具的经验帖。

亲俄罗斯黑客组织 Cyber​​Volk 在沉寂数月之后推出了基于 Telegram 的勒索软件即服务 CyberVolk 2.x(aka VolkLocker)。基于 Telegram 的服务降低了准入门槛，但好消息是开发者在测试程序时失误，导致主密钥硬编码在可执行文件中。这意味着受害者无需支付赎金就能解密被加密的文件。VolkLocker 不会动态生成加密密钥，硬编码的主密钥以明文写入 %TEMP% 文件夹。勒索软件被发现使用 AES-256-GCM(Galois/Counter Mode)对文件进行加密。

Notepad++ 发布安全警告，它遭遇了流量劫持，部分地区的更新程序被植入恶意程序。调查发现，Notepad++ 更新程序 WinGUp 的流量被劫持到恶意服务器，下载恶意可执行文件。更新程序使用版本检查功能查询 URL“https://notepad-plus-plus.org/update/getDownloadUrl.php”并评估返回的 XML 文件。更新程序使用 XML 文件中列出的 Download-URL，将文件保存到 %TEMP% 文件夹并执行。任何能拦截和篡改此流量的攻击者都可以更改 Download-URL。Notepad++ v8.8.7 之前的版本使用了自签名证书，允许攻击者创建篡改后的更新并将其推送给受害者。从 v8.8.7 开始 Notepad++ 使用了来自 GlobalSign 签发的合法证书进行签名。

Cozy Mk IV 是一款实验性的可以购买零部件在家自组装的轻型飞机。3 月 18 日一架 Cozy Mk IV 飞机在英国 Staverton 的 Gloucestershire 机场发生了坠机事故，机上只有一名飞行员，他只受到了轻伤。英国航空事故调查局（AAIB）的调查发现，事故原因是 3D 打印的进气弯管使用了不合适的材料制造，在引擎产生的高温下受热后软化，导致结构变形。飞行员当时发现发动机完全失去动力。AAIB 表示未来将会加强对 3D 打印零部件的检查。

安全公司 Wiz 周三披露了危险等级 10/10 的 React Server 高危漏洞。React Server 被网站和云环境广泛使用，安全研究人员督促管理员尽快打上补丁，因为漏洞极其容易被利用（成功率差不多 100%）。漏洞利用代码已经公开，攻击者可利用漏洞远程执行代码。约 6% 的网站和 39% 的云环境使用 React。受影响的 React 版本包括 v19.0.1、v19.1.2 或 v19.2.1，受影响的第三方组件包括 Vite RSC、Parcel RSC、React Router RSC、RedwoodSDK、Waku 和 Next.js 等。漏洞编号为 CVE-2025-55182，存在于 React Server Components 的 Flight 协议中，源自于不安全的反序列化。

一辆 Waymo 无人驾驶出租车在旧金山碾过了一只未拴绳的狗，而几周前该公司的另一辆无人驾驶出租车撞死了一只备受邻居喜爱的猫。目前不清楚狗的状况。事故发生在 Scott 和 Eddy 街的交叉路口附近。一名自称是乘客的 Reddit 用户发帖称其孩子目睹了整个过程，表示当时他们一家参加完一场圣诞树点灯仪式后回家。美国国家公路交通安全管理局的记录显示，自 2021 年以来 Waymo 无人驾驶出租车至少卷入了 14 起动物碰撞事故。Waymo 发言人对此事表达了遗憾，表示会吸取教训，同时强调该公司的事故伤亡率远低于人类司机。人类司机每年都会在驾车过程中撞到数百万只动物。