CISO 每日摘要：NGINX 漏洞遭利用、DirtyDecrypt PoC 發布、xAI 安全警告 (20260520)

NGINX Rift 漏洞（CVE-2026-42945，CVSS 9.2）出現首波確診的野外利用案例，俄羅斯安全媒體 Xakep.ru 報導了活躍攻擊。DirtyDecrypt 的概念驗證 exploit（CVE-2026-31635）已發布，透過新穎的解密繞過技術實現 Linux 核心的本機權限提升。前 OpenAI 員工公開警告 xAI 的安全記錄不佳 可能使 SpaceX 的 IPO 計畫更加複雜，凸顯系統性的安全文化問題。

• NGINX CVE-2026-42945「Rift」 — 首波確診野外利用；HTTP/2 串流處理缺陷導致遠端程式碼執行
• DirtyDecrypt PoC（CVE-2026-31635） — Linux 核心 LPE 漏洞利用已發布；使用記憶體解密繞過技術
• xAI 安全警告 — 前 OpenAI 員工警告 xAI 安全文化問題可能影響 SpaceX IPO
• Claude Mythos 50 個 Cloudflare 儲存庫 — AI 以 83% 成功率建立可用漏洞利用
• Anthropic 強化 Claude Managed Agents — 新增隱私與安全功能適用於企業 AI 代理部署
• Fortinet 與 NVIDIA 整合 — 企業 AI 安全技術整合

🔗 參考資料： 綜合報導（Xakep.ru - NGINX、The Hacker News - DirtyDecrypt、WIRED - xAI 安全）

📌 NGINX CVE-2026-42945「Rift」（CVSS 9.2）—— 首波確診野外利用

NGINX Rift 漏洞的首波 活躍利用 案例已獲確認。NGINX HTTP/2 串流處理模組中的 18 年歷史的錯誤 允許在特定配置下進行 遠端程式碼執行。啟用 HTTP/2 的 NGINX 組織應優先進行緩解——套用廠商應變措施並監控可疑的 HTTP/2 流量模式。

🔗 參考資料： Xakep.ru | The Hacker News

📌 DirtyDecrypt PoC 發布——Linux 核心 CVE-2026-31635 本機權限提升

安全研究人員發布了 CVE-2026-31635 的概念驗證漏洞利用程式，這是一個 Linux 核心本機權限提升漏洞。該漏洞利用被稱為 「DirtyDecrypt」，使用新穎的記憶體解密繞過技術，將受影響 Linux 核心版本上的權限從無權限使用者提升至 root。系統管理員應在修補程式可用時優先進行核心更新。

🔗 參考資料： The Hacker News

📌 前 OpenAI 員工警告 xAI 安全風險可能影響 SpaceX IPO

前 OpenAI 員工公開警告 xAI 的安全記錄不佳 可能使 SpaceX 計畫中的 IPO（可能為史上最大規模） 更加複雜。這些警告指出 xAI 存在系統性的安全文化問題，包括報導中提及要求員工提供報稅資料以訓練 AI 模型卻未給予補償。WIRED 報導指出這些問題可能影響投資人信心與監管審查。

🔗 參考資料： WIRED | International Business Times

📌 Claude Mythos AI 在 50 個 Cloudflare 儲存庫中建立可用漏洞利用

Anthropic 的 Claude Mythos 持續展現其自動化漏洞開發能力，報告證實它針對 50 個 Cloudflare 儲存庫（包括 Workers、CDN 與 D1 資料庫服務）建立了可用漏洞利用。該 AI 在自主識別漏洞並建構可用漏洞利用方面達到 83% 成功率，引發對 AI 驅動攻擊能力加速發展的重大擔憂。

🔗 參考資料： The Hacker News

📌 Anthropic 強化 Claude Managed Agents 的隱私與安全功能

Anthropic 宣布為 Claude Managed Agents 新增 隱私與安全功能，包括 資料隔離、稽核日誌 與 細粒度權限控制。這些增強功能旨在解決企業在安全敏感環境中部署 AI 代理的顧慮。新功能包括工作階段加密、存取控制政策與合規報告。

🔗 參考資料： 9to5Mac

OPSWAT 的 MetaDefender 平台為部署 AI 代理與管理 Linux 伺服器基礎設施的組織提供關鍵保護。多引擎掃描 搭配 30+ 防惡意軟體引擎 與 Deep CDR 可中和針對 Linux 與 Windows 環境的檔案型威脅。MetaDefender 的 主動式 DLP 可防止透過電子郵件、網頁與卸除式媒體發生的憑證與敏感資料外洩——解決 CISA GovCloud 金鑰洩漏事件所凸顯的內部風險類型。