FreeBuf周报 | OpenAI对抗美国法院命令；AI界面遭劫持

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！

🤖OpenAI对抗法庭命令：捍卫ChatGPT用户隐私之战

😈AI界面遭劫持：Open WebUI被滥用于挖矿程序与隐蔽AI恶意软件

🕳️思科ISE关键漏洞影响AWS、微软Azure及Oracle云基础设施部署

🔑Chrome扩展内藏安全隐患，硬编码API密钥致全球2千万用户面临风险

☁️最新研究揭示云端大语言模型防护机制的成效与缺陷

🎠混沌远控木马借虚假网络工具攻击Windows与Linux系统

🖥️新型Lyrix勒索软件采用先进规避技术攻击Windows用户

🤝微软与CrowdStrike合作建立统一威胁组织映射系统

🛜谷歌Chrome零日漏洞遭广泛利用，可执行任意代码

🏨ClickFix邮件诈骗活动猖獗，目标直指酒店行业

OpenAI因版权诉讼被法院要求保留所有ChatGPT用户日志，包括已删除记录，以防证据销毁。OpenAI仅同意保留用户授权内容，正抗辩该命令侵犯隐私且无证据支持其故意删数据，强调未销毁任何证据。

攻击者利用配置错误的Open WebUI实例部署挖矿程序和信息窃取工具，通过高级混淆技术规避检测，窃取敏感数据并获利。AI插件系统可能被滥用，需加强实时行为分析防御。

思科修复ISE关键漏洞（CVE-2025-20286，CVSS 9.9），云部署中相同版本和平台会共享凭证，攻击者可跨实例访问敏感数据或破坏服务。建议限制IP访问并重置凭证。

赛门铁克发现Chrome扩展普遍硬编码API密钥，影响超2000万用户，可能导致数据泄露、财务损失等风险。知名扩展如Avast、Microsoft Editor等均存在漏洞，专家建议通过后端服务器管理密钥以提升安全性。

NSA联合多国机构发布《AI数据安全最佳实践》，强调AI系统全生命周期数据保护，建议采用数字签名、追踪数据来源等措施，适用于国防及关键基础设施机构，以提升AI系统安全性和数据完整性。

MCP授权规范引入OAuth 2.1增强安全性，但将资源与授权服务器耦合，增加企业部署复杂度，违背无状态最佳实践，需分离角色以简化集成。