全球云上数据泄露风险分析简报（第九期）

云上数据泄露⻛险分析报告（第九期） 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 关于星云实验室 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究。基于IaaS环境的安全防护，利用SDN/NFV等新技术和新理念，提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功孵化落地绿盟科技云安全解决方案、绿盟科技云原生安全解决方案。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 前言 01全球11-12月云上数据泄露典型事件解读1 事件一.大量AI初创企业因云资产配置不当导致核心凭证和私有模型数据在GitHub中泄露2 事件二.React2Shell漏洞遭大规模在野利用，导致全球云环境面临RCE风险及挖矿木马植入4 事件三.SaaS巨头Salesforce的第三方生态Gainsight遭攻击，超200家企业数据泄露8 事件四.npm因Shai Hulud恶意软件供应链投毒导致数百组件泄露敏感环境凭证12 事件五. DockerHub公共镜像仓库因开发者硬编码密钥导致数万镜像泄露敏感凭证，影响包括财富500强在内的百余家企业16 事件六.ChatGPT存在SSRF漏洞导致攻击者可以诱导模型访问云元数据，进而泄露大量敏感Azure凭据19 事件七.MongoBleed（CVE-2025-14847）漏洞导致MongoDB内存敏感数据泄露事件22 事件八.Oracle E-Business Suite因未授权RCE 0day漏洞遭Cl0p团伙利用导致大规模数据窃取勒索，影响全球高校及跨国企业24 事件九. GoogleGeminiJack“零点击”漏洞导致企业数据泄露 29 事件十.vLexVincentAI因间接提示注入漏洞沦为钓鱼工具，致全球20万律所SSO凭证与敏感案卷面临窃取风险31 02安全建议 33 2.2针对丢失和被窃取的凭证的安全建议35 03总结37 04参考文献 39 前言 本报告是绿盟科技创新研究院发布的第九期云上数据泄露简报，聚焦于2025年11-12月期间的全球云上数据泄露事件。通过精选并深入分析10起典型案例，从而呈现当前云上数据安全的整体态势。与往期相比，本期报告揭示了AI安全风险与云基础设施攻击面深度融合的新趋势：攻击者不再局限于对模型的直接对话攻击，而是利用SSRF等漏洞将AI模型作为跳板，直接刺探云环境元数据；同时，“零点击”漏洞与间接提示注入的出现，标志着AI时代的社会工程学攻击正变得更加隐蔽和自动化。此外，开发运维（DevOps）环境下的凭证管理失控依然是重灾区，从DockerHub到npm组件，硬编码密钥与供应链投毒频发，暴露了企业在云原生资产管理上的巨大盲区。在本期收录的案例中，有4起与大模型及AI应用漏洞直接相关，3起涉及核心凭证丢失与供应链投毒，以及3起由高危漏洞引发的系统入侵。从成因来看，基础Web应用类攻击（BasicWebApplicationAttacks）与系统入侵（SystemIntrusion）并列成为导致数据泄露的首要因素，而随着凭证泄露事件的频发，丢失和被窃取的凭证（LostandStolenAssets）亦占据重要比例。 全球11-12⽉云上数据泄露典型事件解读 事件一.大量AI初创企业因云资产配置不当导致核心凭证和私有模型数据在GitHub中泄露 事件时间：2025年11月 泄露规模：约11福布斯AI50榜单上65%顶尖私营人工智能公司的核心AI平台凭证数据 事件回顾： 近日，云安全公司Wiz发布的一项深度研究报告披露，全球最具创新性的AI初创公司正面临严重的内部信息暴露风险。报告指出，在追求技术突破和商业落地的高速竞赛中，许多公司在公共GitHub上泄露了包含API密钥、访问令牌等凭证信息。 这些泄露不仅存在于活跃的代码中，还大量隐藏在已被删除的代码分支、过往的提交历史、开发日志乃至程序员个人仓库里的代码片段。这些区域如同冰山的水下部分，常规的安全扫描工具往往无法发现。报告提到，一个已删除代码分支中的HuggingFace令牌，可能导致近千个私有模型暴露；而泄露的LangChain企业级密钥，甚至能让攻击者窥探到公司的组织架构。 更令人担忧的是，当研究人员尝试联系受影响的公司进行安全告知时，近一半的沟通尝试却石沉大海或无果而终。这暴露出部分高速成长的科技公司在构建基本安全响应流程方面的缺失，使得已知风险无法被及时关闭。 事件分析： 本次大规模泄露事件并非偶然，其背后是AI行业爆发式增长与基础安全实践脱节所导致的必然结果。“速度优先”的初创文化驱使团队将全部精力倾注于算法迭代和产品原型开发，却忽视了代码安全管理。开发者为了方便协作和快速验证想法，常常将含有密钥的配置文件、记录着输出结果的日志文件件直接推送至公共仓库，导致了大量的密钥泄露事件。 从技术层面看，常规扫描仅检查仓库的当前状态，而Wiz研究团队深入扫描了完整的Git提交历史、员工个人的公开项目、以及与其他生态平台（如npm、HuggingFace）的关联，从而绘制出一张更完整的“数字资产暴露地图”。这揭示了一个严峻现实：企业安全的边界早已不再限于其官方组织围墙之内，员工个人的开发活动已成为不可忽视的新型攻击面。 问题的另一核心在于安全工具的演进未能跟上AI技术的创新步伐。市场上主流的密钥扫描工具依赖于已知模式的匹配，无法有效识别众多新兴AI服务提供商特有的密钥格式。同时，诸如.ipynb等交互式文件因其混合了代码、输出和注释的独特性质，成为密钥泄露的重灾区，而现有工具和内部策略往往未能对此类文件进行有效审查和管控。 此次事件暴露的不仅是密钥本身，更是对整个AI供应链安全的重大威胁。攻击者一旦获取这些凭证，便可直接“合法”地访问受害公司在第三方AI平台上的核心资产，实施模型窃取、数据污染或服务滥用。这不仅会造成直接的经济和知识产权损失，更可能破坏基于这些模型构建的最终产品的安全性与可靠性，从而引发连锁反应。 VERIZON事件分类：BasicWebApplicationAttacks（基础Web应用类攻击） 参考链接： https://www.wiz.io/blog/forbes-ai-50-leaking-secretshttps://www.csoonline.com/article/4087983/ai-startups-leak-sensitive-credentials-on-github-exposing-models-and-training-data.html 事件二.React2Shell漏洞遭大规模在野利用，导致全球云环境面临RCE风险及挖矿木马植入 事件时间：2025年12月 泄露规模：漏洞React2Shell（CVE-2025-55182）可在默认配置下被远程、未授权利用，对大规模采用React/Next.js的互联网应用与云原生服务形成系统性攻击面，其影响范围覆盖广泛的生产环境并具备快速被武器化和规模化利用的条件 事件回顾： 最早于11月29日，研究员LachlanDavidson在ReactServerComponents（RSC）及其相关包（如react-server-dom-*）中发现了一个关键级远程代码执行漏洞，被登记为CVE-2025-55182，昵称React2Shell，这是由于RSC序列化/反序列化逻辑处理不当，使得恶意构造的HTTP请求能触发未经授权的代码执行。受影响版本包括React19.0.0、19.1.x、19.2.x及下游框架默认启用RSC的Next.js等。该漏洞被评为CVSS10.0。 React官方在2025年12月3日公开披露这一漏洞，并随即发布安全补丁，同时社区和云服务厂商提醒开发者尽快升级受影响的React和相关框架版本。 几乎在漏洞公开后数小时至数天内，多个攻击团体开始在野外利用该漏洞进行扫描与攻击。AWS安全团队报告多个中国关联威胁组织（如EarthLamia和JackpotPanda）利用公开的漏洞利用代码迅速尝试入侵云端服务实例。攻击者使用自动化扫描和PoC攻击尝试对暴露端点进行远程代码执行。 由于React/Next.js在Web应用和云服务中的广泛采用，该漏洞暴露了大规模的现代Web应用服务器。根据云安全厂商Wiz的数据，大约40%的云环境可能包含易受影响的React或Next.js实例。攻击者利用这一点进行未授权远程代码执行，可能导致服务器完全控制、后门植入、数据泄露等严重后果。 事件分析： 攻击入口：ReactServerComponents的Flight协议 ReactServerComponents（RSC）通过Flight协议在客户端与服务端之间传输组件树与执行结果。该协议本质上是一种自定义序列化格式，用于在服务器端反序列化客户端提交的数据结 构并恢复为可执行对象。问题在于，RSC在反序列化Flight数据时，对输入结构的可信边界假设过于宽松。 核心缺陷：不安全的反序列化+可执行引用解析 在RSC的反序列化流程中，服务端会解析客户端传入的引用标识、Promise、函数占位符等结构，解析过程中允许构造复杂、嵌套、可自引用的数据结构并且缺乏对对象类型、引用关系、执行上下文来源的严格校验。攻击者可以构造一份恶意FlightPayload，使反序列化过程解析攻击者控制的对象引用，在解析Promise/lazyobject时触发执行路径，最终将攻击者提供的内容拼接并执行为Node.js运行时中的JavaScript代码。该过程不依赖模板注入或eval，而是逻辑层面的执行流劫持。 利用链关键点：RSCDecoder中的Gadget行为 漏洞利用依赖以下机制组合： ØDecoder对特定标记字段的特殊处理逻辑ØPromise解析与对象恢复阶段存在可控执行点Ø函数与模块引用在恢复阶段未进行来源约束 攻击者通过构造“gadget-like”的对象关系，在反序列化阶段诱导RSC将恶意内容当作合法的server-sidefunction处理，在Node.js进程上下文中直接执行。这是一次无需身份认证、无需业务交互的预认证RCE。 Next.js中的放大效应 Next.js并非漏洞根源，但其默认行为显著降低了攻击门槛： （1）默认启用ReactServerComponents （2）默认暴露RSC相关处理路径 （3）默认信任来自客户端的Flight请求.这使得大量标准部署的Next.js应用在未进行任何错误配置的情况下即可被直接利用。 利用结果：从代码执行到运行时持久化 一旦RCE成功，攻击者可以直接在Node.js进程中执行任意JS代码；注入内存级后门（如hookHTTPhandler）；读取环境变量、云凭证、容器元数据；在不落地文件的情况下维持隐蔽访问。这也是该漏洞在实战中被快速武器化的原因。 VERIZON事件分类：SystemIntrusion（系统入侵） 所用MITRE ATT&CK技术： 参考链接： https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182