WinRAR爆出零日漏洞 已遭俄黑客利用 植入后门风险高

流行压缩软件 WinRAR 被曝存在高危路径遍历漏洞（CVE-2025-8088），已被俄罗斯黑客组织 RomCom（微软称 Storm-0978）在野利用。受害者只需打开特制压缩包即可触发攻击，后门程序会被自动植入系统。

ESET 于7月18日首次发现攻击活动，并通报 WinRAR 开发商 RARLAB。漏洞允许黑客在压缩包中隐藏 DLL 和快捷方式文件，利用备用数据流绕过警惕，将恶意文件释放到 %TEMP% 等目录，并写入启动项。变体攻击链包括 Mythic Agent（C2控制与载荷投递）、SnipBot（下载额外模块）、MeltingClaw（获取更多恶意组件）。

除 RomCom 外，Bi.Zone 还发现名为 Paper Werewolf 的攻击集群同样利用该漏洞及另一路径遍历漏洞（CVE-2025-6218）发起行动。

WinRAR 于7月30日发布 v7.13 修复漏洞，但因缺乏自动更新，用户需手动升级。RARLAB未在更新公告中披露漏洞已遭利用，称未收到直接受害报告。

ESET警告，该漏洞攻击门槛低、传播快，全球数亿用户若不及时升级，可能面临长期入侵风险。

沉浸式翻译重大安全隐患暴露 用户敏感数据遭大规模泄露

近日，浏览器扩展程序“沉浸式翻译”被曝存在严重安全缺陷，导致部分用户生成的翻译快照被搜索引擎抓取并公开索引，大量包含商业机密和个人隐私的内容遭到曝光。

沉浸式翻译的快照功能原本用于分享翻译后的网页或PDF文件，但由于缺乏访问保护机制，任何人都可以通过搜索引擎直接访问这些快照页面。外泄数据中甚至包含加密货币钱包私钥、企业合同、内部通信等高度敏感信息。目前，名为“readit.site.tar.zst”的泄露数据库文件（559.6MB）已在网络流传，可直接提取相关内容。

事件的根源在于两方面：其一，使用第三方或AI翻译服务时，原文数据会传输至外部服务器，存在被训练模型或存储的风险；其二，快照链接未设防爬虫屏障，也无强制密码访问机制，用户在缺乏安全意识的情况下生成了包含敏感信息的快照，造成二次泄露。

专家指出，这类问题与此前ChatGPT对话共享功能引发的搜索引擎抓取事件高度类似，本质上都是平台默认高估了用户的信息安全防护能力，缺乏必要的技术限制与风险提示。

目前，相关快照索引已下线，但已泄露的数据库无法彻底清除。安全人士建议，曾使用沉浸式翻译快照功能的用户应立即回溯自查，评估是否存在隐私和商业机密外泄，并采取应对措施，如更换密钥、修订合同条款等。

此事件再次提醒，任何涉及敏感信息的翻译、共享或存储操作，都应经过加密和访问控制，否则一旦被搜索引擎收录，将造成不可逆的安全后果。

ChatGPT泄露聊天曝能源公司律师谋划剥削亚马逊土著建水电站

近日网络泄露的10万余条ChatGPT用户聊天记录中，一条内容引发极大争议：某跨国能源集团的一名律师在与AI对话中，试图寻求如何“压低亚马逊土著土地价格”的策略，以便推进在当地兴建水电站的计划。

该律师在对话中称，亚马逊土著“不知道土地价值，也不了解市场运作”，希望AI提供谈判策略，实现最低价获取土地。聊天内容曝光后，引发公众对企业道德与科技滥用的强烈质疑。

此次泄露并非系统漏洞，而是部分用户在分享ChatGPT对话时误勾选“允许搜索引擎抓取”，导致对话被公开存档。目前尽管该功能已被下线，并通过谷歌清除部分索引，但互联网上仍有超过10万条记录可直接访问。

事件凸显出AI平台在对话内容安全管理方面的漏洞，同时也引发关于技术如何被用于操纵弱势群体、侵犯人权的广泛讨论。多方呼吁相关企业应公开说明，并就此类行为承担应有责任。

美国国家核安全局遭黑客入侵，微软SharePoint漏洞再成焦点

据多家外媒披露，美国国家核安全局（NNSA）近期遭遇针对本地部署的微软SharePoint平台的网络攻击，涉及零日漏洞。NNSA隶属于能源部，是负责美国核武系统设计与维护的关键机构。

此次攻击被指利用了尚未修补的SharePoint漏洞，尽管核心核武系统未被入侵，但部分业务网络已受影响。目前微软已发布安全补丁，并确认攻击与多个APT组织相关，包括“Linen Typhoon”等。

微软称，攻击者能窃取登录凭据和身份令牌，伪装为合法用户横向移动，影响或波及至美国教育部、州政府系统及海外多个政府机构。

此次事件凸显高敏感政府系统在本地部署中的安全短板，也再次引发对关键基础设施“上云”与定期补丁的重要性关注。