近期，WordPress插件供应链遭到攻击，30款插件被植入后门，导致大量网站感染。攻击者通过恶意代码向wp-config.php注入，利用以太坊合约进行控制。尽管WordPress已发布更新并下架相关插件，恶意代码仍未完全清除，用户需警惕插件来源，定期备份和审计以防类似攻击。

2026年，自动化AI系统的安全性面临四大核心风险：1. 无监督的“影子AI”工具可能导致安全漏洞；2. AI代理依赖第三方插件，可能隐藏恶意软件；3. 新的攻击向量如“目标劫持”威胁代理行为；4. 传统安全机制无法应对快速发展的AI系统。为降低风险，需建立开放的治理框架，确保可见性和权限控制。

OpenAI因Axios供应链攻击受到影响，可能泄露macOS签名证书。受影响的软件包括ChatGPT和Codex。用户需在5月8日前升级到最新版。虽然目前没有证据表明用户数据被窃取，但OpenAI决定吊销旧证书并申请新证书，以防止潜在安全风险。建议用户立即更新软件以确保安全。

Linux版Little Snitch是一款网络监控工具，帮助用户可视化应用程序的网络连接并阻止未授权连接。兼容Linux内核6.12及以上，支持自定义规则和流量监控，用户可通过终端或网页界面操作。该软件利用eBPF技术监控网络活动，源代码公开在GitHub，但存在安全风险。

Apache 服务器开发者因操作失误泄露 GitHub 令牌，GitHub 及时检测并吊销该令牌，通知开发者更换，从而降低安全风险。

Telegram 将向使用非官方客户端的用户发出警告，提醒他们可能面临数据泄露风险。这一措施与 Telega 客户端有关，该客户端通过中间人劫持将消息发送至俄罗斯服务器。虽然 Telegram 不限制非官方客户端的使用，但希望用户注意安全风险。

本文总结了新手使用OpenClaw时常遇到的8个问题，包括Node.js版本不匹配、Gateway启动困难、配置文件位置不明、Control UI无法连接、安全风险、API Key错误、环境变量不生效及日志查找困难。建议用户注意Node版本、正确配置JSON文件、设置白名单以确保安全，并提供了相应的解决方案和排查步骤。

本文总结了新手使用OpenClaw时常遇到的八个问题，包括Node.js版本不匹配、Gateway启动问题、配置文件位置不明、Control UI连接失败、安全风险、API Key错误、环境变量设置无效及日志查找困难。建议用户注意Node版本、正确配置JSON文件、设置白名单以确保安全，并通过日志调试解决问题。

本文分析了OpenClaw在调用系统工具时的安全风险，特别是CVE-2026-28363漏洞。攻击者利用POSIX长选项缩写绕过了OpenClaw的安全白名单，成功执行恶意代码。建议通过版本升级、参数解析一致性加固和零信任沙箱环境来提升安全防护，确保AI系统的安全性。

《面向智能体时代的大模型安全》白皮书于3月20日在北京发布，讨论了人工智能的安全风险与治理。专家指出，智能体的广泛应用带来了安全隐患，需建立全生命周期的安全能力。绿盟科技提出“清风卫”防护方案，通过无侵入式架构提升智能体安全，确保系统可控。专家强调需明确智能体权限，使用安全合格产品，联合各方共同应对风险。

美国联邦通信委员会(FCC)禁止销售所有非美国制造的消费级路由器，因其安全风险。即使是美国品牌如网件也需转移生产或申请豁免。此政策将导致路由器价格上涨，用户已购产品可继续使用。

国家互联网应急中心警告OpenClaw应用存在严重安全风险，因其默认配置脆弱，可能导致系统被控和数据泄露。建议用户加强网络控制和管理插件来源。