近期，针对网站和Web应用的攻击呈现出技术升级和手段翻新的趋势，需要开发者和管理员高度警惕。


🎯 针对网站的新型钓鱼攻击


网络钓鱼攻击正变得更加精准和隐蔽，网站和Web应用成为重要的攻击载体。


*   伪造高仿更新页面：安全公司发现一个高仿微软支持网站的钓鱼页面正在传播恶意“Windows更新”。攻击者注册了易混淆的域名，复制了微软官方的UI设计，诱导用户下载一个83MB的恶意安装包。一旦运行，该程序会窃取浏览器中保存的账号密码、Discord令牌及支付信息等敏感数据。
*   滥用开发者平台信任：黑客正大量滥用GitHub和GitLab等受信任的开发者平台来托管恶意软件和钓鱼页面。由于企业安全工具通常不会拦截这些域名，攻击者可以轻松绕过检测。数据显示，95%的此类攻击针对GitHub平台，攻击手法包括将恶意软件与凭证窃取结合的“双重威胁”。


📦 网站供应链投毒风险加剧


近期集中爆发的供应链投毒攻击，对依赖第三方库和工具的Web应用构成了严重威胁。


*   核心组件遭污染：国家网络安全通报中心监测发现，多起攻击针对API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios等。这些库被广泛用于网站和应用的开发中。
*   风险通过依赖链扩散：以Axios为例，由于大量AI应用和插件生态直接依赖该库，投毒事件的风险会通过依赖链迅速向下游蔓延，最终可能影响到终端用户的网站安全，导致凭据被盗或远程代码执行。


🤖 AI与新兴技术带来的新挑战


AI技术的普及在提升效率的同时，也给网站安全带来了新的攻击面和防御难题。


*   AI路由存在©洞：研究发现，AI Agent所依赖的第三方API路由存在严重安全©洞。攻击者可利用这些©洞劫持工具调用、注入恶意代码，并窃取凭证和敏感数据。
*   AI技能生态风险：随着OpenClaw等AI框架的技能市场（ClawHub）爆发式增长，其供应链安全风险也日益凸显。安全审计发现，平台上有相当比例的恶意技能，攻击者伪装成合法工具，诱导用户执行恶意命令，从而窃取API密钥和聊天记录等敏感信息。


🛡️ 网站防御技术新进展


为应对日益复杂的威胁，浏览器厂商也在不断推出新的安全功能来加固网站安全。


*   Chrome推出会话凭据绑定：谷歌为Chrome浏览器推出了名为“设备绑定会话凭据”（DBSC）的新安全功能。该功能利用电脑内部的安全芯片（如TPM），将用户的登录会话与特定设备绑定。即使黑客通过恶意软件窃取了网站的会话Cookie，也无法在其他设备上使用，从而有效防止了账户被劫持。