2026年头四个月,全球网络安全领域发生了10起足以载入史册的重大事件。中国某超算泄露10PB数据,Stryker在79个国家被 wipe,FBI局长个人邮箱被公开dump,Mercor——这家估值100亿美元、同时为OpenAI、Anthropic和Meta提供AI训练数据的供应商——通过开源库LiteLLM被入侵,4TB数据被Lapsus$卷走。任何一起放在2014或2017年,都能霸占头条一周。
但诡异的是,公众讨论安静得反常。这不是抱怨,是观察。本文把这些事件按时间线还原,引用原始报道,然后问一个简单问题:为什么这段历史正在被实时遗忘?
四股暗流同时涌向西方
剥开噪音,2026年的攻击浪潮清晰呈现为四条并行战线。这种"四线并发"的局面,没人公开点名过。
第一股:伊朗/Handala/Void Manticore——国家层面的破坏性行动。
Palo Alto Networks Unit 42将Handala Hack Team归因于Void Manticore,后者与伊朗情报安全部挂钩。Handala明确将攻击定性为报复——针对2月28日伊朗南部Minab一所学校遭导弹袭击、至少175人死亡(多为儿童)的事件。已确认受害者:Stryker(20万台设备被wipe)、洛克希德·马丁(声称375TB数据,28名工程师被dox)、FBI局长Kash Patel(个人邮箱dump)。
第二股:Scattered LAPSUS$ Hunters(SLH)——勒索团伙的"顶级捕食者合并"。
ShinyHunters、Scattered Spider、LAPSUS$三家联手,专攻SaaS供应链。手法:先买初始访问权限,再跳转到身份提供商(Okta、Azure AD、Ping),然后横向移动至Salesforce、Snowflake、GitHub、S3桶。2026年Q1战果:约400家组织被入侵,约15亿条Salesforce记录被exfiltrate。Rockstar Games、Honda(两次中招)均在其列。
第三股:朝鲜——软件供应链的"长游戏"。
Axios npm包——每周下载量1亿次——被劫持。攻击者通过社工包维护者,插入恶意代码,目标直指加密货币钱包。这不是 opportunistic,是精心布局数月的供应链投毒。
第四股:中国——超算与云平台的"静默渗透"。
某中国超算10PB数据泄露,Oracle遗留云被攻破,Cisco私有GitHub被clone。与前两股的张扬不同,这股力量追求低调、持久、战略级数据获取。
为什么安静得可怕?
四个集群、三种动机(国家报复、金钱勒索、战略窃取)、同一时间段。这种密度的攻击事件,理论上应该引发行业地震。但实际情况是:Twitter/X上的讨论热度不及一次普通的Chrome零日漏洞。
几种可能的解释在相互叠加。
注意力通胀。2026年的信息环境已被AI生成内容、地缘冲突、经济焦虑撑满。网络安全事件需要"新鲜叙事"才能突围,而"又被黑了"已经陈旧。Handala的报复叙事本应极具传播力——儿童死亡、国家复仇——但撞上了TikTok算法对"复杂国际关系"的降权。
企业沉默的合谋。受害者选择不披露、淡化、或延迟披露。Stryker的79国wipe事件,公开信息几乎全是攻击者自己发布的。洛克希德·马丁的375TB声明,来自Handala的Telegram频道,而非公司公告。当攻击者比受害者更透明,信息生态已经扭曲。
安全社区的疲劳。从业者被日常警报淹没,对"历史性"事件产生抗体。一位CISO在私人频道里的评论被引用:「又一天,又一个供应链漏洞。我能在2050年的教科书里看到自己吗?不能。我得去修VPN。」
一个被忽视的细节
Mercor的入侵路径值得单独拆解。这家公司的价值不在于数据量,而在于位置——它坐在OpenAI、Anthropic、Meta的AI训练数据管道里。攻击者没有直接碰这三家巨头,而是选择了更软的目标:一个被广泛使用的开源库LiteLLM。
这揭示了一个被低估的转移:AI基础设施的供应链安全,正成为国家行为体和犯罪集团的新猎场。当训练数据本身成为战略资产,围绕它的攻击只会更频繁、更隐蔽、更不被谈论。
2050年的网络安全史学家会怎么写2026年这100天?也许他们会困惑:为什么当时的人没有更恐慌?或者,他们会不会发现,这种"安静的疯狂"本身就是转折点——标志着大规模网络攻击从"异常事件"变成"背景噪音"的临界点?
你现在回看这四个月,最让你不安的是攻击的密度,还是公众反应的缺席?
热门跟贴