murphysec

装了个 AI Skill，SSH 私钥可能先出门 最近，AI Agent 越来越像一个能干活的同事。 你给它一个任务，它能查资料、写代码、调接口、生成文档，甚至还能串起一堆工具自己跑流程。 而 Skill，就是让 Agent 变得更能干的一种方式。 今天装一个“代码审查 Skill”、 明天装一个“自动运维 Skill”、 后天再装一个“浏览器操作…

写在前面 2026年5月25日，国家网络与信息安全信息通报中心、公安部网安局通报了近期全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”（Shai-Hulud）供应链投毒攻击事件，涉及 echarts-for-react、@antv、TanStack 等多个系列 NPM 组件。 今年以来，随着蠕虫式投毒攻击手法的扩散，以NPM仓库组件为代表的…

2026年5月20日，在“超聚变探索者大会2026”的解决方案生态研讨会上，超聚变正式发布 FusionOS 26 AI原生操作系统，墨菲安全作为超聚变的深度合作伙伴，赋能其AI原生操作系统的建设，同时在多领域与超聚变展开合作并取得不错成果，获评“聚智·同行伙伴”。 写在前面本次获评“聚智·同行伙伴”，对墨菲安全来说，不只是一次合作认可，更意味着墨菲安全是把…

《漏洞及投毒情报应用实践指南》发布 2025 年，明确存在恶意行为的开源包超过 5 万个；蠕虫化投毒事件能在 24 小时内波及上万仓库；NVD 中 30% 以上的影响范围标注存在错误或缺失，直接扫描修复只会把研发淹没在误报里；漏洞从公开披露到攻击者开始利用，窗口已从”天”压缩至”小时&#822…

《安全度量最佳实践2026版》发布 在企业安全建设不断走向体系化、经营化的当下，越来越多安全团队开始面临同一个现实问题：安全工作做了很多，但很难用管理层听得懂、业务方愿意配合、组织内能够持续复用的方式表达出来。 很多企业并不缺漏洞数据、告警数据和工单数据，真正缺的是一套统一的安全度量语言。 向上汇报时，管理层听到的是漏洞数量、拦截次数、修复率。 向下推进时，…

写在前面 在企业安全治理中，有一个场景非常普遍：SCA 工具扫出来几十个漏洞，安全团队整理成工单派给研发，研发打开一看，一堆 CVE 编号和 CVSS 评分，完全看不懂，不知道该改哪里，更不知道改了会不会出问题。 于是就开始了漫长的来回沟通：安全要解释这个漏洞什么意思，研发要确认改完会不会影响线上，法务要判断许可证到底能不能用。一个本来 30 分钟能修好的问…

写在前面 过去20年，我们经常会听到大家讨论：企业安全部门/从业者长期面临着不出事不被重视、出事了又要背锅、推进安全治理的工作不被业务部门认可，久而久之安全从业者可能都开始怀疑很多工作是否真正有价值。 我认为破解这一切的关键核心在于2个点：科学度量、高效治理。 AI原生的安全治理平台（SGP）如何解决这两个问题？ 2024年开始，墨菲安全联合互联网、金融、智…

《开源安全治理最佳实践2026版》发布 2025年，新增开源漏洞42万+条，日均超过1,000个；59,000+个恶意投毒组件被识别，增幅超50%；53%的企业代码库存在许可证冲突；攻击者5天内开始扫描，企业修复却平均需要55天。 这组数据背后，反映的不是单一漏洞管理问题，而是一个更加系统性的现实：当开源成为软件底座，开源安全治理能力也必须成为企业安全建设的…

2025年，开源软件供应链投毒威胁持续升级，全年识别到的投毒包总量突破59,000个，相较2024年增幅超过50%，日均新增投毒包逾200个。 NPM仓库仍是投毒重灾区，占比超过87%；与此同时，攻击目标已从传统组件仓库向IDE插件、浏览器扩展、GitHub Action、AI工具链等新型生态加速蔓延。 从攻击行为来看，2025年呈现三大显著演变： 墨菲安全…

漏洞类型 代码注入 发现时间 2026-04-08 漏洞等级 高危 MPS编号 MPS-xwyr-fole CVE编号 CVE-2026-34197 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache ActiveMQ Classic 是 Apache Software Foundation 开源的 Java 消息中间件，用于构建 JMS 消息代理与系…