工信部：关于防范WinRAR安全绕过漏洞的风险提示 | 干翻KnowBe4！网安黑马掀起安全培训的AI革命

e安在线 e安在线 2025-04-28 05:03

工信部：关于防范WinRAR安全绕过漏洞的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（
NVDB
）监测发现，
WinRAR
存在安全绕过高危漏洞。

WinRAR
是德国
RARLAB
公司开发的压缩文件管理工具，广泛用于数据压缩、备份和文件传输。由于
WinRAR
在解析包含符号链接的文件时会绕过
Windows
内置的“网页标记”（
MoTW
）安全机制，攻击者可构造恶意链接诱导用户点击，导致恶意代码执行等危害。受影响版本为
WinRAR
＜
7.11
。

目前
WinRAR
官方已修复漏洞并发布软件更新公告（
https://www.win-rar.com/features.html?&L=0
），建议相关单位和用户立即开展全面排查，及时升级至最新安全版本，避免点击不明链接，防范网络安全风险。

干翻KnowBe4！网安黑马掀起安全培训的AI革命

创立仅两年的安全初创企业耶利哥安全（Jericho Security）正试图改写网络安全培训行业的游戏规则。

近日，这家总部位于纽约的公司宣布完成1500万美元A轮融资，由Era Fund领投，Lux Capital、Dash Fund以及Gaingels旗下两支基金等跟投。加上去年8月300万美元的种子轮，Jericho迄今已融资近2000万美元。

对于一家员工不足50人的小型安全厂商而言，这笔融资将决定其能否在巨头林立、年产值约50亿美元的安全意识培训市场中站稳脚跟，甚至颠覆KnowBe4等传统安全意识培训巨头。

AI驱动的“进攻型安全培训”赢下美国空军订单

Jericho最先闯入大众视野，是凭借去年11月赢得美国空军创新部门AFWERX的首份生成式AI防御合同。该金额仅为180万美元，但含金量远高于数字本身：五个月内，Jericho需针对美国空军无人机飞行员设计“钓鱼”场景以检验部队抗击社工攻击的韧性，并提交改进性方案。

业内人士指出，能在国防采购体系中披荆斩棘，本身就是对产品成熟度与合规性的背书，也让Jericho在与KnowBe4、Proofpoint等上市厂商的比拼中多了一张“通行证”。

传统安全意识培训往往使用模板式邮件测试员工警觉性，而Jericho押注所谓“Agentic AI”——能够像黑客一样根据受训者反应不断调整策略。若员工忽略伪装邮件，系统会改用短信、语音甚至视频会议二次尝试；若再次失败，它会记录偏好并生成更具迷惑性的后续剧本。

创始人兼首席执行官Sage Wohns透露，内部数据显示，经历这种动态训练的员工在真实攻击中“中招”率比传统方案低64%。

深度伪造风险暴涨，加速需求外溢

生成式AI让攻击门槛急剧下降。Resemble AI最新报告显示，2025年第一季度全球因深度伪造导致的损失已超2亿美元，北美、亚洲和欧洲分别占比38%、27%和21%。

就在今年初，新加坡一家集团的首席财务官在含“CEO”面孔的虚假视频会议里，误将近50万美元转入黑客账户。类似案例令企业从“防邮件”思维迅速转向“全渠道”防御，也为Jericho等安全意识培训市场的新玩家打开市场缝隙。

AI钓AI：下一个攻防前线

然而，Jericho认为下一场战斗不会只发生在人与人之间。

“随着企业把客户支持、流程审批交给AI代理人，攻击者已开始尝试诱骗这些算法助纣为虐，”Wohns警告。业内称之为“AI钓AI”——当自动化脚本拥有执行交易或提取数据权限时，一次成功的诱导就可能引发连环灾难。目前大多数培训平台尚未覆盖此类场景，这为Jericho的技术迭代提供了方向。

商业模式：自助化撬开中小企业

安全培训传统上依赖大客户长周期采购，但财力有限的中小企业正成为攻击者的新靶子。为此，Jericho近期推出七天免费试用的自助平台，用户无需商务谈判即可上线产品。该举措与高价、重销售的老牌模式形成对比，也将在资本市场检验其获客效率与续费率。

公司计划将新资金三分：约40%用于研发，确保平台能快速兼容下一代大模型；30%用于渠道伙伴与市场拓展；其余则投入招聘顶尖AI与安全工程师。尽管资本充裕，Jericho面临的考题依旧严峻：一方面，要持续证明自适应训练的效果优于模板式竞品；另一方面，需在欧美严格的隐私与合规框架中，妥善处理员工行为数据的收集与使用。

知情人士称，本轮融资后的估值约在8000万至1亿美元之间，低于同赛道上市龙头KnowBe4（市值约46亿美元）的可比倍数，但高于大多数早期安全培训公司。分析师预计，若Jericho能把年经常性收入（ARR）在两年内推高至2500万美元，并保持50%以上增长率，便有机会冲击下一轮高倍估值，或者成为云安全巨头的收购标的。

声明：除发布的文章无法追溯到作者并获得授权外，我们均会注明作者和文章来源。如涉及版权问题请及时联系我们，我们会在第一时间删改，谢谢！文章来源：

GoUpSec、 网络安全威胁和漏洞信息共享平台