《开源安全治理最佳实践2026版》发布，揭示开源安全严峻态势：2025年新增漏洞42万+，恶意组件5.9万+，53%企业存在许可证冲突。报告指出企业面临资产不清、漏洞难修、风险难防三大痛点，提出覆盖全生命周期的七大治理方案，包括现状分析、技术选型、组织推动等关键环节。报告强调开源治理需建立SBOM管理、前置拦截等五项核心能力，并提供从认知到落地的完整方法路径。该报告由墨菲安全联合中国电信研究院及行

高权限AI代理（如OpenClaw）正面临严重安全风险，包括提示词注入攻击和恶意Skill扩展。研究发现约10%的第三方Skill存在投毒行为，通过文档引导、分阶段投放等方式执行恶意操作，导致数据泄露和权限获取风险。企业应隔离不可信输入、严格审查第三方Skill，并限制代理权限范围。文章提供了相关IOC指标和恶意Skill清单，建议采取沙箱运行、最小权限等防护措施。

《2025年软件供应链投毒风险研究报告》显示，软件供应链投毒风险呈现三大致命演变：攻击精准化，从随机钓鱼转向针对特定目标的定制化攻击；传播自动化，Shai-Hulud蠕虫式攻击在2天内感染500多个NPM组件，波及2万多个GitHub仓库；危害直接化，攻击目标转向直接获利，如TrustWallet因投毒损失850万美元。表明软件供应链投毒已从边缘风险升级为核心安全威胁，亟需升级防御策略。

高权限AI代理（如OpenClaw）正面临严重安全风险，包括提示词注入攻击和恶意Skill扩展。研究发现约10%的第三方Skill存在投毒行为，通过文档引导、分阶段投放等方式执行恶意操作，导致数据泄露和权限获取风险。企业应隔离不可信输入、严格审查第三方Skill，并限制代理权限范围。文章提供了相关IOC指标和恶意Skill清单，建议采取沙箱运行、最小权限等防护措施。

在过去一年中，墨菲安全在漏洞发现、报告、修复及应急响应等方面与华为紧密合作，展现了在网络安全应急响应方面的专业能力和高效协同。苏木拥有行业领先的漏洞知识库，支持10min快速接入各开发流程，将代码项目存在的安全风险清晰展示，并支持IDE插件、GitHub等方式快速完成漏洞修复，轻松管理开源风险。，该奖项旨在表彰近一年中与华为紧密合作、在网络安全应急响应协同中及时识别风险，提供有效协作，并做出贡献的

【高危】多款NPM组件存在投毒风险，包括@0xme5war/apicli [1.0.0,2.0.0]、react-native-gainsight-px [1.5.2,1.12.5]等20余款。安装后会窃取主机名、用户名、工作目录、IP等敏感信息，发送至攻击者电报地址（botToken=7699295118:AAF6pb7t718vjHWHwFQlZOastZQYHL8IVDE，chatId=65

【高危】多个NPM组件（如@angular_devkit/core、microsoft-bonsai-api等）存在投毒风险，安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广，涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低，建议立即排查移除受影响包，删除node_modules及package-lock.json后重装依赖

非常感谢用户水妖的内容投稿！背景我是一家互联网公司的 DevOps 工程师，平常负责公司服务的上线发布流程。我和墨菲安全的这款开源的漏洞检测工具结缘，主要是因为前段时间log4j2 的漏洞，最近我们公司的研发频繁的上线基本上都是修复 log4j2 的漏洞，我被他们整烦了。就找他们研发的负责人讨论是不是能够在上线前集成一些自动化的工具来检测这样的漏洞，比如 log4j2 或者 fastjson 类似

【中危】NGINX ngx_mail_smtp_module内存越界读取漏洞（CVE-2025-53859）影响版本[0.7.22, 1.29.1)。启用该模块且smtp_auth设为none时，认证服务器返回Auth-Wait响应会触发认证错误处理缺陷，导致内存越界读取，泄露服务器数据。建议升级至1.29.1及以上版本，或修改smtp_auth为非none方法，禁用不必要的smtp模块。

【高危】多个NPM组件（如@angular_devkit/core、microsoft-bonsai-api等）存在投毒风险，安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广，涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低，建议立即排查移除受影响包，删除node_modules及package-lock.json后重装依赖