2026 年 5 月網絡安全三大頭條:Linux 爆 root 級漏洞、npm 供應鏈被蠕蟲攻陷、Google 證實 AI 助黑客搵漏洞
踏入 5 月第二個禮拜,IT 安全界可以用「腥風血雨」四個字形容。短短幾日之內,有三單重大事件同時爆出,影響範圍之廣、破壞力之強,連我呢個做咗咁多年資安嘅人都睇到皺眉頭。今日同大家詳細拆解呢三單頭條新聞,睇下對香港企業同 IT 從業者有咩影響。
👉 延伸閱讀:Ivanti EPMM 零日漏洞被積極利用、Linux Dirty Frag 提權漏洞、TCLBanker 蠕蟲式木馬 — 五月資安威脅速報
🟥 第一單:Dirty Frag — Linux 史上最嚴重嘅本地提權漏洞之一
發生時間:2026 年 5 月 7 日揭露
影響範圍:絕大部份 2017 年以後嘅 Linux kernel(版本 4.13+)
嚴重程度:CVSS 預計 9.8(Critical)
來源:Openwall OSS Security Mailing List
呢個漏洞被安全研究員命名為「Dirty Frag」,係一個存在於 Linux kernel 記憶體管理子系統嘅本地提權漏洞(Local Privilege Escalation)。攻擊者只需要一個低權限嘅 local user account,就可以利用 fragmentation-related 嘅 memory corruption,直接提權到 root。
最恐怖嘅係咩?呢個漏洞嘅 exploit 原本係 under embargo(封鎖期),等各大 distribution 有時間出 patch。但係唔知邊度出咗事,embargo 俾人提前打破咗,exploit code 直接流咗出街,而嗰一刻 — 冇任何一個 distribution 出咗 patch。
根據 Tom’s Hardware 嘅報導,受影響嘅 kernel 版本範圍極廣,由 2017 年嘅 kernel 4.13 去到最新版本都有機會中招。Hacker News 上面呢單新聞攞到超過 815 分、331 個留言,成個 community 都震晒。
影響分析:香港唔少企業仲用緊 on-premise Linux server 行緊啲 critical workload。銀行、金融機構、政府部門嘅 backend 好多都係 Linux-based。如果呢個 exploit 俾 ransomware group 利用,後果不堪設想。我強烈建議各位 sysadmin 即刻做以下幾樣嘢:
- 密切留意你所屬 distribution 嘅 security advisory(Red Hat、Ubuntu、Debian、SUSE 等)
- 一旦有 kernel patch 出,優先安排 maintenance window 更新
- 喺 patch 出到之前,限制 local user access,disable unnecessary services
- 確保 auditd/logging 正常運作,任何異常嘅 privilege escalation 都應該 trigger alert
🟧 第二單:Mini Shai-Hulud 蠕蟲回歸 — TanStack npm package 遭供應鏈攻擊
發生時間:2026 年 5 月 11 日揭露
影響範圍:npm ecosystem,包括官方 @tanstack packages
攻擊方式:CI/CD pipeline hijacking + developer secret theft
來源:StepSecurity Blog、TanStack GitHub Issue #7383
供應鏈攻擊從來冇放過假。今次嘅主角係「Mini Shai-Hulud」,一個會自我複製嘅 npm 供應鏈蠕蟲。StepSecurity 嘅 OSS Package Security Feed 第一個偵測到呢個攻擊,佢哋發現官方 @tanstack packages 嘅最新版本被植入咗 malicious code。
但真正令人心寒嘅,係呢個蠕蟲嘅運作方式同佢個「死人之手」(dead man’s switch)機制。根據 Hacker News 留言區嘅分析:
- 蠕蟲通過 hijack CI/CD pipeline 同竊取 developer secrets(包括 GitHub tokens)嚟擴散
- 一旦攞到 token,佢會喺受害者嘅機器上面安裝一個 monitoring script(Linux 喺
~/.local/bin/gh-token-monitor.sh,macOS 就係 LaunchAgentcom.user.gh-token-monitor) - 呢個 script 每 60 秒 ping 一次 GitHub API,檢查被盜嘅 token 仲有冇效
- 一旦 token 俾人 revoke(即係受害者發現咗),script 會執行
rm -rf ~/.鏟走晒受害人嘅 home directory 入面所有嘢!
Hacker News 上有 410 分同 125 個留言,好多 developer 表示驚慌。
影響分析:npm ecosystem 嘅供應鏈安全問題已經唔係第一次。由當年嘅 left-pad、event-stream,到而家嘅 Mini Shai-Hulud,每次都提醒緊我哋 — JavaScript 生態系對 third-party dependencies 嘅依賴程度係極度危險嘅。香港嘅 startup 同 tech company 好多都重度使用 Node.js/npm,一旦 CI/CD pipeline 被感染,成個 deployment chain 都可以俾人 hijack。
防禦建議:
- 即刻檢查你嘅 projects 係咪用緊 @tanstack packages,確認版本安全
- 審查 CI/CD pipeline 入面用緊嘅 GitHub tokens 權限範圍,用 fine-grained token 代替 classic token
- Enable npm package provenance 同 signature verification
- 用 tools 例如 Socket.dev、StepSecurity 監察 dependency 安全性
🟨 第三單:Google 證實犯罪黑客用 AI 搵到重大軟件漏洞
發生時間:2026 年 5 月 11 日報導
來源:New York Times
呢單新聞係 AI 安全嘅一個重要里程碑 — 亦係一個警號。Google 公開發表報告,證實有犯罪黑客組織利用 AI 模型成功搵到一個重大嘅軟件漏洞(major software flaw),並且利用呢個漏洞發動攻擊。
雖然 NYT 文章有 paywall,但根據 Hacker News 上嘅討論(96 分、68 留言),呢隻係 Google 首次公開承認 AI-assisted vulnerability discovery 已經落入咗犯罪集團手中。以前我哋成日討論「AI 會唔會俾黑客用嚟攻擊」,而家答案好清楚:會,而且已經發生緊。
同時間,Anthropic 嘅 Claude 模型都被報導喺墨西哥一單針對水務設施嘅攻擊入面被利用(來源:Cybersecurity Dive)。Anthropic 嘅 Mythos 模型更加引發咗金融界嘅「資安恐慌」(來源:CNBC)。
影響分析:AI-powered cyber attack 已經唔係科幻小說。對於香港企業嚟講,有幾點特別要留意:
- 傳統嘅 vulnerability scanning 同 patch management 節奏(每月一次)可能已經唔夠快。當 AI 可以 24/7 自動 scan 同分析 codebase,攻擊者搵漏洞嘅速度快過你 patch 嘅速度
- 金融行業係高危目標,香港作為國際金融中心,銀行同 fintech 公司必須升級 threat intelligence 能力
- AI defense vs AI offense 嘅軍備競賽已經開始,企業要投資喺 AI-driven security tools 而唔係淨係靠傳統 firewall + antivirus
總結:資安形勢正在急速惡化
呢三單新聞加埋一齊,透露咗一個好清晰嘅趨勢:
- 基礎設施層面:Linux kernel level 漏洞仍然存在,而且影響範圍極廣(Dirty Frag)
- 供應鏈層面:software supply chain 攻擊變得愈來愈 sophisticated,帶有 self-propagation 同 retaliatory 機制(Mini Shai-Hulud)
- 攻擊手段層面:AI 已經成為攻擊者嘅標準 toolkit,用嚟加速漏洞發現同 exploit 開發(Google + Anthropic 案例)
作為 IT 從業者,我哋唯一可以做嘅就係保持警覺、加快應變速度、同埋做好 defense in depth。2026 年嘅 cybersecurity landscape,只會愈嚟愈難玩。
大家保重,stay safe online!🛡️
#攻擊 #漏洞 #IT新聞 #AI #行業資訊
