黑鸟

本文是卡巴斯基全球研究与分析团队（GReAT）于 2026 年 3 月 26 日发布的技术分析报告，核心围绕 Coruna 漏洞利用框架展开，揭示了其与 iOS 定向 APT 攻击行动三角测量行动的深度同源关联 Coruna 是一套针对苹果 iPhone 设备的高复杂度漏洞利用工具包，其调试版本泄露了开发者的内部命名。 该工具包最初由某未具名监控软件供应商的客户用于定向攻击，后续扩散至其他攻击者，被用于乌克兰的水坑攻击、牟利型网络攻击，覆盖多类攻击场景与威胁主体。 相关阅读如下： 23个IOS漏洞打包的Coruna工具包，已完成从国家级到黑产的三级扩散 通过攻陷合法网站传播的新型iOS漏洞利用工具包DarkSword 与三角测量行动的核心关联 该框架使用了 CVE-2023-32434、CVE-2023-38606 两个漏洞，而这两个漏洞最早是以零日漏洞的形式，被用于卡巴斯基此前发现的 iOS 定向间谍活动三角测量行动。经技术分析确认，Coruna 中针对这两个漏洞的内核利用代码，正是三角测量行动所用漏洞利用程序的更新迭代版本。 且 Coruna 全量组件均与三角测量行动的漏洞利用框架共享底层代码、采用统一的设计架构，二者具备明确的同源性。 卡巴斯基还发现 Coruna 包含另外 4 个从未在三角测量行动中出现过的内核漏洞利用程序，其中 2 个是在三角测量行动被披露后开发的。 所有这些漏洞利用程序都基于同一套内核利用框架构建，共享通用代码。内核漏洞利用程序中的代码相似性，也能在 Coruna 的其他组件中找到。 这些发现让卡巴斯基得出结论： 这套漏洞利用工具包并非东拼西凑而成，而是采用统一的设计思路开发。卡巴斯基推断，它至少在一定程度上，就是三角测量行动所用漏洞利用框架的更新版本。 三角测量行动是典型的定向网络间谍活动，核心攻击目标为全球范围内的高价值个体与机构，包括外交人员、跨国企业高管、科研机构人员、媒体从业者、政府相关工作人员等。目前被普遍认为是美国NSA的所进行的攻击行动。 相关故事： Coruna 间谍软件活动持续扩散，苹果破例为旧版iOS设备推送双版本安全补丁 框架能力与技术特性 从 Safari 浏览器初始打点，指纹识别目标环境、匹配对应远程代码执行（RCE）与指针认证码（PAC）绕过漏洞，到 Payload 下载解密攻击组件、执行内核漏洞提权，再到 Launcher 完成后渗透操作、植入间谍软件，形成全流程攻击闭环。 支持 ARM64/ARM64E 架构，适配 iOS 14~17.2 的多个系统版本，覆盖 A13 至 A17、M3 系列等多款苹果处理器。

核心分析对象为 AS211590 自治系统对应的 Bucklog SARL 公司，该主体在法国巴黎部署了一套基于 Kubernetes 编排的扫描集群，在 90 天内发起了 1300 万次网络会话。

2026 年 3 月，瑞士官方完成了一项改写互联网底层规则的部署。

CECbot是一款此前未被记录的、针对安卓电视盒的DDoS僵尸网络，是同运营者旗下Katana僵尸网络的继任者，二者共享基础设施但无任何代码重叠。 它以原生安卓应用而非传统Mirai类ELF二进制文件构建，采用Signal、WireGuard同款的Curve25519+Ed25519+ChaCha20-Poly1305加密体系保护C2通信，实现了9层持久化机制，内置11种DDoS攻击方式，支持HTTP/2与动态TLS。 这是目前已知首个在野武器化HDMI消费电子控制协议（CEC）的恶意软件，可让攻击者完全控制HDMI总线，包括让连接的电视休眠； 可通过自动化子网扫描与ARP关联映射受害设备所在的内网，将被攻陷的电视盒变为本地网络的侦察平台。 CECbot与Nokia长期跟踪的Katana僵尸网络（Mirai变种，至少3万肉鸡，峰值攻击流量达150Gbps）为同一运营者，核心关联证据包括： 全场景DDoS攻击：内置11种攻击模块，覆盖UDP、TCP、HTTP/HTTPS全场景，核心升级包括完整的HTTP/HTTPS七层攻击，支持HTTP/2、动态加载系统TLS库，可生成8种主流浏览器的真实指纹、内置660+合法Referer地址，同时覆盖游戏流量洪泛、TCP连接攻击、SYN洪泛、多协议攻击等场景。 住宅代理能力：可作为住宅代理节点使用，支持标准SOCKS5代理与NAT环境可用的反向代理，支持按IP地理路由流量，架构与商业住宅代理SDK完全一致。 检测到安卓电视设备后，会执行启动器劫持（替换默认桌面，用户仅能看到黑屏）、SELinux绕过、OTA更新破坏（禁用6家芯片厂商的OTA服务，永久屏蔽固件升级）、安装包验证绕过等操作，实现对设备的完全控制。 CEC是HDMI接口内置的消费电子控制协议，可让连接设备互相发送开关机、切输入、调音量等控制指令，几乎所有近15年生产的电视都支持该协议。CECbot是首个有公开记录的在野利用该协议的恶意软件。 可以同时发送安卓电源键与CEC待机指令，让连接的电视休眠。 扫描HDMI总线上的所有连接设备，确认电视是否在线 可发送原生CEC指令，实现唤醒电视、劫持HDMI输入、在电视屏幕显示文字、模拟遥控器按键、控制音响等所有能力。 获取屏幕DPI、刷新率、HDR能力等信息。 该能力配合启动器劫持，可让用户误以为电视处于关机状态，大幅延迟恶意程序被发现的时间。 该能力可将被攻陷的电视盒变为内网渗透的支点，不仅针对家庭网络，在医院、企业等办公环境中风险极高。 细节: https://github.com/deepfield/public-research/blob/main/cecbot/report.md

如果全球互联网瞬间中断，你的电脑还能做什么？ 查不了资料、用不了 AI、看不了课程、连地图都打不开，我们早已习惯依赖网络的电子设备，瞬间就会沦为一块砖头。 而现在，有个刚出圈的开源项目，直接解决了这个终极痛点。它就是Project N.O.M.A.D.， 一个完全离线优先、自给自足的知识与教育服务器，把可本地运行的 AI、核心生产工具、人类文明关键知识库，全打包进了你的设备里。 哪怕所有网线被剪断，哪怕身处完全无网的环境，它也能照常运转。一块太阳能板、一台迷你主机，就能撑起一个永不掉线的个人知识庇护所。 Project N.O.M.A.D. 的部署门槛极低，最低配置2GHz 双核及以上 CPU、4GB 内存、5GB 以上磁盘空间、Debian 系统，全程终端操作，无需桌面环境，装完后所有功能都能通过浏览器访问，你完全可以把它装在一台设备上当专属服务器，用其他终端随时访问。 Project N.O.M.A.D. 并非凭空打造的全能系统，而是整合了7 大开源工具Ollama、Qdrant、Kiwix、Kolibri、ProtoMaps、CyberChef、FlatNotes 这 7 个平台 / 工具，每个平台都在各自领域深耕多年，是离线场景下的最优解。 内置基于 Ollama 驱动的本地大模型对话能力，搭配 Qdrant 向量数据库实现 RAG 检索增强，支持文档上传和语义搜索。 不用联网、不用申请 API、没有订阅费，所有对话和数据都只存在你的本地设备里，隐私拉满，断网也能随时用 AI。 通过 Kiwix 实现全离线内容库，打包了全量维基百科、权威医学参考指南、生存手册、海量电子书等核心资源。哪怕没有网络，你也能随时查阅人类文明的核心知识。 基于 Kolibri 搭建的教育系统，内置可汗学院全套课程，支持学习进度追踪、多用户权限管理。不管是给孩子做启蒙，还是自己系统学技能，没网也完全不耽误。 搭载 ProtoMaps，支持下载各区域的离线地图，搜索、导航功能全离线可用，房车出行、户外探险、偏远地区作业，再也不怕没信号迷路。 CyberChef 加持，加密、编码、哈希、数据分析一站式搞定 FlatNotes 提供本地 Markdown 笔记能力，灵感随时记录 项目地址： https://github.com/Crosstalk-Solutions/project-nomad

GhostClaw macOS 窃密恶意软件的最新攻击动向。 该恶意活动原本以恶意 npm 包为主要传播载体，而最新监测发现，攻击者已将攻击范围大幅拓展，通过仿冒合法项目的 GitHub 仓库、劫持 AI 辅助开发工作流两大新路径实施规模化供应链攻击，可绕过传统安全防护，窃取目标设备的系统凭证与敏感数据，影响范围从专业开发者群体扩大至普通 macOS 用户与自动化开发流程。 该攻击已跳出早期 npm 包单一投递模式，新增两大主流感染途径： 一是恶意 GitHub 仓库，仿冒交易机器人、开发 SDK 等合法工具，采用 “先上传良性代码养号、后植入恶意组件” 的分阶段部署手法，部分仓库积累超 380 个星标强化伪装可信度，通过 README 诱导用户执行 curl 拉取的远程 shell 命令，绕过包管理器安全防护； 二是 AI 辅助开发工作流定向攻击，通过 SKILL.md 文件伪装 OpenClaw 等框架的技能插件，利用 AI 编码智能体自动执行安装脚本，实现无人工干预的静默感染。 全流程采用无需管理员权限的轻量化多阶段载荷设计： ①初始引导阶段，install.sh 脚本伪装 Node.js 环境部署，通过 curl -k 参数禁用 TLS 证书校验，通过 GHOST_PASSWORD_ONLY 环境变量切换交互式安装 / 静默窃取双模式，衔接后续恶意载荷； ②核心窃密阶段，高度混淆的 setup.js 载荷伪造系统安装进度与 macOS 原生认证弹窗，调用系统原生 dscl 命令校验并窃取用户密码，诱导开启全磁盘访问权限，对接 C2 域名 trackpipe.dev 拉取加密的 GhostLoader 二级载荷，以分离进程执行后删除临时文件，通过伪装 npm 系统路径实现持久化； ③反取证阶段，postinstall.js 清空终端攻击痕迹，伪装合法 npm 包安装制造溯源混淆，或输出虚假成功提示迷惑用户。 所有恶意变种复用单一 C2 域名 trackpipe[.]dev，通过 UUID 区分不同攻击渠道，以 NODE_CHANNEL 环境变量标记攻击迭代版本，核心目标为 macOS 平台的开发者与 AI 开发场景，最终实现系统凭证窃取与设备持久化控制。 具体报告信息： https://www.jamf.com/blog/ghostclaw-ghostloader-malware-github-repositories-ai-workflows/

美国国家网络总监肖恩·凯恩克罗斯于本周二表示，特朗普政府无意征召私营部门开展进攻性网络行动，而是希望通过与私营部门合作，助力美国政府向网络对手主动出击。 近期发布的美国国家网络战略中，提及了将激励企业干扰对手网络的相关内容。 凯恩克罗斯在奥本大学麦克里研究所主办的活动上表示：“我所说的，并非让私营部门、行业或企业开展进攻性网络行动。我所指的，是私营部门的技术能力——即他们凭借自身掌握的信息，照亮网络战场、共享情报信息，从而帮助美国政府提前响应、抢占先机的能力。” 近年来，美国共和党部分圈子重新兴起了一种呼声：支持美国企业针对恶意黑客开展破坏性或进攻性行动，或至少为美国政府的进攻性网络行动提供协助。部分企业也已对此表现出兴趣，尤其是如果相关法律做出调整、让此类行动更具合法性的话。 这一趋势与特朗普政府官员日益高涨的呼声同步——如今随着网络安全战略的发布，官方明确提出要对黑客采取主动进攻姿态。但凯恩克罗斯再次强调，战略中“塑造对手行为”的核心支柱，不仅限于开展进攻性网络行动，还包括动用法律、外交等其他政府机制向黑客施压。 他表示，在私营部门的协助下，美国政府能够“以更灵活的方式”影响对手的“风险权衡”。 凯恩克罗斯称：“私营部门拥有极为强大的能力，而如今美国政府手握‘长矛’……我们正在寻求真正的合作关系。” 美国政府向网络对手主动出击的重要途径之一，是联邦调查局（FBI）用于削弱对手能力的“联合有序行动”。在同一场活动上，FBI网络安全部负责人也表示，私营部门是此类行动的核心关键。 FBI网络安全部主管布雷特·莱瑟曼称：“我刚才提到的、FBI针对俄罗斯、伊朗及其他国家对手开展的、旨在清除其网络能力的每一次联合有序行动，之所以能够落地，都是因为有受害者站出来与FBI配合。” 他向在场听众呼吁：“我想给所有人的一个核心建议是：‘一旦发生数据泄露，你联系当地FBI办事处的预案是什么？’我可以明确说，这么做几乎不会给你带来任何法律责任，我们也很乐意与你的外部或内部法律顾问沟通；但反过来，这么做能给你带来的收益极为可观。” 本次官方澄清，核心是回应外界对特朗普政府新国家网络战略的最大争议：是否会放开对私营企业“黑客反击（Hack Back）”的法律限制。

2月底，美国和以色列对伊朗发动首次打击时，据《福布斯》报道，打击目标之一是伊朗情报与安全部（MOIS）。 据报道，至少有两名被控对西方实体发动网络攻击的伊朗人在袭击中丧生。其中一人是穆罕默德·迈赫迪·法哈迪·拉明，美国司法部于2020年指控他入侵美国航空航天和国防公司的系统，此后一直被美国当局通缉。 另一名嫌疑人是负责以色列事务的副部长赛义德·叶海亚·侯赛尼·潘贾基，他已被列入美国联邦调查局十大通缉犯名单。网络安全消息人士告诉《福布斯》，潘贾基负责对以色列情报部下属的一个部门，该部门控制着像Handala这样的黑客组织。Handala长期以来被认为是一个亲伊朗的黑客组织，曾成功攻击过以色列政界人士和西方企业。 但这并没有影响网络攻击行动，Handala 组织取得了一项重大战果，目标是位于密歇根州的医疗器械供应商 Stryker 公司。该组织声称已入侵并清除了 Stryker 公司的系统，永久性地抹去了 12 PB 的数据，如此大规模的数据销毁在今天前所未有。 Stryker在发给客户的通知中证实，其微软系统遭到入侵，目前正在进行恢复工作，进展顺利。Handala也声称入侵了以色列支付服务提供商Verifone的系统，但该公司表示尚未发现任何入侵证据。 与此同时，另一个据信隶属于同一情报部（MOIS）的名为“国土正义”（Homeland Justice）的组织声称，他们于周日入侵了阿尔巴尼亚议会，原因是该议会支持一个伊朗anti政府组织。阿尔巴尼亚官员证实，由于此次入侵，电子邮件系统已离线。 该黑客组织之所以能够保持在线，似乎与SpaceX公司走私的星链卫星互联网设备有关。以色列网络安全公司Check Point表示， Handala似乎也在使用人工智能来编写恶意代码，但该公司无法确定具体使用了哪些人工智能模型。

古巴国家电网于2026年3月16日（周一）发生全面崩溃，导致全国约1000万人口陷入断电状态。

人工智能正从根本上压缩网络攻击的时间线，攻击者已实现以分钟级速度完成入侵、横向移动和破坏，而多数防御体系仍基于

将《宝可梦 GO》全球玩家 10 年间众包积累的 300 亿张带精准定位的实景影像，用于训练视觉定位系统（VPS）

本次内容发布原因，仅限于安全风险事项告知，仅针对同类设备存在的风险隐患作出预警提示，旨在提醒相关部门提前做好安全设防与风险管控，本内容无任何不良引导，请勿擅自模仿相关操作。 这个项目在2026年初突然火起来，很多人称它为96美元的3D打印防空导弹。 它本质上是一个极低成本的实验性制导火箭平台，展示了消费级电子+3D打印在业余/半专业制导武器原型上的潜力。 当然，实际飞行稳定性和制导精度距离真正的军用MANPADS（如毒刺、针式）还有非常非常远的距离，但作为DIY/黑客项目已经非常震撼了。 一句话评价： “用不到100美元的零件，让爱好者第一次在家里造出了带简易惯性+轨道修正的火箭原型，这件事本身就挺科幻的。”，重点：轨道修正，可见倒数几张图。 仓库包含对低成本火箭、业余制导、ESP32嵌入式开发、3D打印武器化结构的研究。 https://github.com/novatic14/MANPADS-System-Launcher-and-Rocket 火箭部分： 采用折叠尾翼 + 前翼（canard）稳定布局 搭载 ESP32 作为飞行计算机 使用 MPU6050 IMU（惯性测量单元，成本很低，大概几美元） 支持空中实时轨迹修正（recalculates mid-air trajectory） 3D打印结构件 发射器部分： 集成 GPS、电子罗盘、气压计等传感器 用于提供方位、姿态和遥测数据 设计与仿真工具： 机械结构全部用 Fusion 360 设计 用 OpenRocket 做过火箭飞行仿真（业余火箭爱好者常用软件） 成本控制： 整个硬件BOM（物料清单）控制在约96美元内，非常夸张的低成本 仓库内容概览 CAD Files/：火箭 + 发射器的完整机械设计文件（Fusion 360格式） Firmware/：火箭飞行控制器 + 发射器固件源代码（基于ESP32） Simulation/：OpenRocket 的仿真文件 README 里有：30秒项目概览、规格参数、BOM成本明细等 最后一张图为效果图。

家用路由器，本该是你家中最值得信任的网络设备。你的手机、笔记本电脑、智能电视，所有智能设备都通过它接入网络。

近期，美国 AI 初创公司 Anthropic 与五角大楼的激烈争端，将生成式 AI 的军用边界问题推到了公众

修复了攻击者在名为 “Coruna” 的间谍软件活动中利用的几个已知漏洞，本文顺便补充一些之前没提到的细节。

一项名为Zombie ZIP的新型攻击技术，可将恶意载荷藏匿于特制压缩文件中，以此规避杀毒软件、终端检测与响应

Meta 被指 “隐瞒” 智能眼镜用户的隐私相关事实：银行卡信息、X行为画面、浑然不知自己被录制的果体人群。

欧洲议会情报平台：一个自动化的多语言新闻平台，支持 14 种语言，监控欧盟议会的活动，涵盖全体会议、委员会报告、提案和突发新闻。 https://euparliamentmonitor.com/ 这是一个专注于欧洲议会（European Parliament）活动的智能监控与新闻平台。它的核心定位是“European Parliament Intelligence Platform”，通过系统性透明度来监控欧盟议会的政治活动。 主要特点包括： 利用 AI 自主生成新闻（agentic intelligence），目前使用 8 个 AI 代理协作（新闻、数据、前端、质量、安全、文档、DevOps、产品等），实现“机器速度 + 编辑质量”的深度政治情报产出。 内容覆盖非常全面，包括： 1、立法程序跟踪（提案、流程、管道状态） 2、全体会议投票与决议分析（党团一致性、投票异常检测） 3、委员会活动报告（立法产出、委员会效率指标，如 ENVI、ECON、AFET 等） 4、每周/每月回顾与前瞻（Week/Month Ahead & Review） 5、突发新闻（投票异常、联盟变化、关键议员动态等） 6、数据主要来源于欧洲议会公开数据（European Parliament Open Data），并结合实时分析 7、强调透明度，特别关注投票异常、党派凝聚力、立法效率等政治情报 8、目标用户主要是对欧盟政治感兴趣的群体：记者、研究者、政策分析人士、关注透明度的公民等 网站风格偏向专业的情报分析型新闻平台，而不是传统媒体那种快讯为主的风格，更像是一个 AI 驱动的“议会观察哨”。 https://github.com/Hack23/euparliamentmonitor 则是这个网站的开源代码仓库，由 Hack23（一家瑞典技术/网络安全咨询团队）维护。 核心功能：自动化多语言新闻生成平台，通过 GitHub Actions 每天/每周自动运行，产出新闻文章 → 提交 PR → 人工审核后合并 → 部署到网站 这个项目实际上是一个AI + 静态网站生成 + 数据管道的组合体： 通过 European Parliament MCP Server（另一个 Hack23 项目）获取结构化的欧盟议会公开数据。 使用 AI Agent自动生成新闻内容 输出静态 HTML 文件，实现低成本、高安全部署 强调安全设计（ISMS、GDPR、NIS2 合规）、自动化测试和可观测性。 具体内容见图，比较适合中午看报群体。

在当下的高校英文写作（论文）教学场景中，AI 代写是师生共同面对的核心焦虑。