研究团队把恶意 Skill 拆成三个正交维度——恶意逻辑从哪进来、最终想干什么、payload 怎么嵌进去——归纳出 3 类攻击向量、15 类恶意行为、108 个有效攻击单元，最后构建出一个含 3,944 个恶意样本、4,000 个良性样本的数据集。恶意逻辑既不在那段 markdown 里，也不在那段脚本里——它藏在两者的配合关系里。但要说清边界，网关拦的是进门。而这恰恰是大多数企业当下的盲区：开

研究团队把恶意 Skill 拆成三个正交维度——恶意逻辑从哪进来、最终想干什么、payload 怎么嵌进去——归纳出 3 类攻击向量、15 类恶意行为、108 个有效攻击单元，最后构建出一个含 3,944 个恶意样本、4,000 个良性样本的数据集。恶意逻辑既不在那段 markdown 里，也不在那段脚本里——它藏在两者的配合关系里。但要说清边界，网关拦的是进门。而这恰恰是大多数企业当下的盲区：开

研究团队把恶意 Skill 拆成三个正交维度——恶意逻辑从哪进来、最终想干什么、payload 怎么嵌进去——归纳出 3 类攻击向量、15 类恶意行为、108 个有效攻击单元，最后构建出一个含 3,944 个恶意样本、4,000 个良性样本的数据集。恶意逻辑既不在那段 markdown 里，也不在那段脚本里——它藏在两者的配合关系里。但要说清边界，网关拦的是进门。而这恰恰是大多数企业当下的盲区：开

钓鱼邮件不只骗员工，也开始骗 AI Agent了。更麻烦的是，AI Agent 一旦被骗，就不像点错链接这么简单。它可能直接去你的邮箱、云盘、CRM 里找资料，再替攻击者把数据发出去。上周，一个针对 OpenClaw 邮件代理的模拟测试就发现了这个问题，当 AI Agent 接入邮箱、浏览器工具和业务系统后，传统钓鱼攻击的目标，正在从“人”扩展到“会自动执行任务的系统”。研究人员将一个 AI 邮件

这就是 AI 时代软件供应链安全的新攻击面：依赖包、AI 插件、开发者本地环境、CI/CD 流水线和凭证系统被连接在一起，任何一个入口失守，都可能变成供应链投毒的放大器。包是 AI 装的，代码是 AI 改的，一旦恶意依赖进入企业环境，凭证泄露、流水线被污染、内部仓库被二次投毒，责任最终仍然会落到团队和企业身上。更深一层的问题是，AI 编程工具自身依赖的 Skills、插件、扩展，也是一种“包”。开

读情报的人、判断相关性的人、配置验证场景的人、分析结果的人、生成规则的人——每个环节都需要专业判断，每个判断都需要等待。简单理解，就是把安全运营链路中原本由不同人承担的职能，拆解成多个专业 Agent 协同完成：有的 Agent 负责持续监控威胁情报源，有的负责解析非结构化报告提炼攻击战术，有的负责将战术映射成可执行的验证剧本，有的负责分析验证结果并生成检测规则。情报的解析、场景的编排、验证的执行

这是一个纯逻辑漏洞。Dirty Frag 的影响范围几乎覆盖 2017 年以来的所有主流 Linux 发行版：Ubuntu 24/26、Arch、RHEL、OpenSUSE、CentOS Stream、Fedora、Alma，以及微软的 WSL2。统计环境中运行 2017 年以来 Linux 内核版本的服务器数量，重点关注：面向互联网的 Linux 主机、多租户容器宿主机、使用 WSL2 的 Wi

塞讯安全实验室在完成对 CVE-2026-33017 和 CVE-2026-5027 的独立分析和复现后，将漏洞利用链条转化为可在客户真实环境中执行的安全验证规则，并纳入塞讯智能安全验证平台的攻击库。联系塞讯科技，使用塞讯智能安全验证平台在你们的真实环境中验证现有安全防御体系对 CVE-2026-33017 和 CVE-2026-5027 的实际拦截能力。塞讯智能安全验证平台的攻击库持续更新，自动

在日常的安全运营中，我们习惯关注设备的【运行状态】。每天的巡检日报里，防火墙CPU利用率正常，WAF服务端口连通，EDR探针在线数达标，License也在有效期内。在运维监控大屏上，所有指标都是绿色的。从IT运维的角度看，这套防御体系是“健康”的。但在实战演练中，我们经常遇到一种极其尴尬的情况：攻击者成功拿到了权限，甚至完成了横向移动，而当我们事后去查设备日志时，发现设备明明都在线，却对攻击行为没

它如此基础，以至于你使用的很多工具——包括 OpenClaw——都在底层依赖它，你甚至不知道它的存在。dropper 识别操作系统，刻意回避在代码顶层 require 敏感系统模块（如 fs、os、child_process），转而在运行时动态构建模块名称并加载，此方法可以绕过SAST分析工具。但每次类似事件发生后，你都需要重新拿出这份清单，重新推送给开发团队，等待他们逐一排查——然后收集零散的反