全球云上数据泄露风险分析报告（第九期）-.docxVIP

全球

云上数据泄露风险分析报告

（第九期）

前言

01全球11-12月云上数据泄露典型事件解读1

事件一.大量AI初创企业因云资产配置不当导致核心凭证和私

有模型数据在GitHub中泄露2

事件二.React2Shell漏洞遭大规模在野利用，导致全球云环境面

临RCE风险及挖矿木马植入4

事件三.SaaS巨头Salesforce的第三方生态Gainsight遭攻击，

超200家企业数据泄露8

事件四.npm因ShaiHulud恶意软件供应链投毒导致数百组

件泄露敏感环境凭证12

事件五.DockerHub公共镜像仓库因开发者硬编码密钥导致数万

镜像泄露敏感凭证，影响包括财富500强在内的百余家企业16

事件六.ChatGPT存在SSRF漏洞导致攻击者可以诱导模型访问

云元数据，进而泄露大量敏感Azure凭据19

事件七.MongoBleed（CVE-2025-14847）漏洞导致MongoDB内存

敏感数据泄露事件22

事件八.OracleE-BusinessSuite因未授权RCE0day漏洞遭Cl0p团伙利用导致大规模数据

窃取勒索，影响全球高校及跨国企业24

事件九.GoogleGeminiJack“零点击”漏洞导致企业数据泄露

29

事件十.vLexVincentAI因间接提示注入漏洞沦为钓鱼工具，致全球20万律所SSO凭证与敏感案卷面临窃

取风险31

02安全建议33

2.1针对社工类及系统入侵的安全建议34

2.2针对丢失和被窃取的凭证的安全建议35

03总结37

04参考文献39

全球云上数据泄露风险分析简报（第九期）

全球云上数据泄露风险分析简报（第九期）

前言

本报告是绿盟科技创新研究院发布的第九期云上数据泄露简报，聚焦于2025年11-12月期间的全球云上数据泄露事件。通过精选并深入分析10起典型案例，从而呈现当前云上数据安全的整体态势。与往期相比，本期报告揭示了AI安全风险与云基础设施攻击面深度融合的新趋势：攻击者不再局限于对模型的直接对话攻击，而是利用SSRF等漏洞将AI模型作为跳板，直接刺探云环境元数据；同时，“零点击”漏洞与间接提示注入的出现，标志着AI时代的社会工程学攻击正变得更加隐蔽和自动化。此外，开发运维（DevOps）环境下的凭证管理失控依然是重灾区，从DockerHub到npm组件，硬编码密钥与供应链投毒频发，暴露了企业在云原生资产管理上的巨大盲区。在本期收录的案例中，有4起与大模型及AI应用漏洞直接相关，3起涉及核心凭证丢失与供应链投毒，以及3起由高危漏洞引发的系统入侵。从成因来看，基础Web应用类攻击（BasicWebApplicationAttacks）与系统入侵（SystemIntru