出海智能制造企业面临开源安全治理新挑战，风险边界已从组件漏洞扩展到供应链攻击、恶意投毒等新场景。这类企业因涉及固件、嵌入式软件等多环节，风险影响更复杂，且海外监管日益严格。墨菲安全研究院联合涂鸦智能、安克创新发布《出海智能制造开源安全治理最佳实践》，针对SBOM、许可证合规等核心问题，提供从风险识别到持续改进的治理方案，助力企业将安全治理转化为长期能力。

AI Skill安全风险引发供应链安全新挑战。随着AI Agent功能扩展，各类 Skill 虽提升效率，却暗藏安全隐患：恶意Skill可能窃取SSH私钥、环境变量等敏感信息，或通过隐蔽指令泄露数据。墨菲安全SCA推出Skills检测模块，从代码、提示词、操作指令等多维度分析风险，提供具体证据而非笼统警告。建议企业在引入Skill前进行安全审查，平衡效率与安全，避免“有用但危险”的Skill进入生

AI Skill安全风险引发供应链安全新挑战。随着AI Agent功能扩展，各类 Skill 虽提升效率，却暗藏安全隐患：恶意Skill可能窃取SSH私钥、环境变量等敏感信息，或通过隐蔽指令泄露数据。墨菲安全SCA推出Skills检测模块，从代码、提示词、操作指令等多维度分析风险，提供具体证据而非笼统警告。建议企业在引入Skill前进行安全审查，平衡效率与安全，避免“有用但危险”的Skill进入生

供应链投毒攻击正在从开源组件仓库扩散到 CI/CD、IDE/浏览器插件和 AI 生态。墨菲安全“供应链投毒风险治理方案”，帮助企业建立“感知-检测-阻断”一体化治理思路。

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，可能会导致远程服务器被攻击，风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。Fastjson 是Java语言实现的快速JSON解析和生成器。 fastjson 使用黑白名单用于防御反序列化漏洞，1.2.80及以下版本在特定条件下可绕过默

本文来自用户南瓜投稿去年log4j漏洞爆发时候就已经很痛苦了，当时把所有的线上服务排查了一遍。没想到这都已经过去3个月了，上周又遇到了一个服务仍在使用低版本，被外部攻击，有点受伤。这件事后，老板让我全量扫一遍我们的代码库，看还有哪些服务还在用老版本的log4j，统一推一波修复，防止后续在发生此类事件。方案调研方案一（放弃）当时我第一反应是写个脚本，遍历所有项目，再拉取项目到本地，通过正则匹配的方式

【中危】NGINX ngx_mail_smtp_module内存越界读取漏洞（CVE-2025-53859）影响版本[0.7.22, 1.29.1)。启用该模块且smtp_auth设为none时，认证服务器返回Auth-Wait响应会触发认证错误处理缺陷，导致内存越界读取，泄露服务器数据。建议升级至1.29.1及以上版本，或修改smtp_auth为非none方法，禁用不必要的smtp模块。

《安全度量最佳实践2026版》为企业安全治理提供系统化解决方案。该实践基于ESSF框架，提出CSI、SAI、SII三类核心指标，将传统“问题清单”升级为可量化的“风险指数”。报告包含7大章节，从需求调研到常态化运营，完整覆盖安全度量建设路径，重点解决管理层决策难、跨部门协同弱、成效评估模糊等痛点。通过建立统一的安全度量语言，实现风险可视化、责任可追溯、治理可闭环，推动企业安全建设从经验驱动转向数据

企业安全治理面临SCA工具效率低下的痛点：传统产品仅提供漏洞信息而非行动方案，导致安全、研发、法务多角色沟通成本高。墨菲安全SCA4.0通过AI原生重构实现三大突破：1、AI自动输出可执行结论，让研发无需安全背景即可完成修复；2、将单漏洞处置时间从数小时缩短至分钟级；3、扩展检测范围至AI生态（如Skills供应链安全）。该方案颠覆了“信息交付”模式，通过AI驱动全流程决策，真正实现低成本高效治理

企业安全治理面临SCA工具效率低下的痛点：传统产品仅提供漏洞信息而非行动方案，导致安全、研发、法务多角色沟通成本高。墨菲安全SCA4.0通过AI原生重构实现三大突破：1、AI自动输出可执行结论，让研发无需安全背景即可完成修复；2、将单漏洞处置时间从数小时缩短至分钟级；3、扩展检测范围至AI生态（如Skills供应链安全）。该方案颠覆了“信息交付”模式，通过AI驱动全流程决策，真正实现低成本高效治理