核心摘要
据 2026 年 3 月 9 日安全领域最新报道,维基媒体基金会确认旗下维基百科遭遇网络攻击,此次攻击由一款 JavaScript 蠕虫引发,疑似因内部员工误触发黑客预埋的恶意脚本所致,平台已紧急启动安全应对方案。
详细正文
作为全球最大的开放式协作百科平台,维基百科的内容安全一直备受关注,而 2026 年 3 月,该平台遭遇了一场针对性的网络攻击。据安全媒体 Bleeping Computer 报道,维基媒体基金会正式披露,维基百科近期遭到 JavaScript 蠕虫入侵,这款具备自我传播能力的恶意脚本,在平台内快速扩散并造成大量页面被篡改,平台方已第一时间启动紧急应对措施。
本次攻击的触发原因疑似为维基媒体基金会员工的误操作,不慎触发了黑客早前隐藏在某百科页面中的恶意脚本 test.js。经 Bleeping Computer 对该脚本的技术分析,其核心恶意行为包含两大方面:一是自动篡改维基百科的页面内容,在短时间内就完成了对 4000 余条页面的恶意修改,对平台内容的准确性造成严重影响;二是具备极强的自我传播能力,悄悄替换了平台内 85 个用户脚本,试图通过篡改用户脚本进一步扩大攻击范围,让蠕虫在更多页面和用户端传播。
从曝光的恶意脚本代码来看,该 JavaScript 蠕虫会通过调用平台接口、修改页面配置文件等方式实现传播与篡改,利用了开放式协作平台在脚本管理上的漏洞,能够在用户无感知的情况下完成恶意操作。此次攻击也让开放式平台的安全短板再次暴露,这类平台因支持用户编辑、脚本接入等功能,若审核和权限管控不到位,极易成为黑客的攻击目标。
针对此次蠕虫攻击,维基媒体基金会迅速采取了多项紧急应对措施:首先临时限制了平台的部分编辑功能,从源头遏制恶意脚本的进一步传播;其次暂时停用了部分用户指令码与 Gadget 功能,避免被篡改的脚本继续发挥作用;同时,基金会的工程团队已开始陆续恢复受恶意篡改的页面内容,对平台内的恶意程序进行全面清除。基金会同时对外表示,经过初步排查,目前尚未发现核心基础设施被入侵的证据,平台的核心数据和底层架构暂未受到影响。
此次维基百科遭遇的 JavaScript 蠕虫攻击,也为全球各类开放式协作平台敲响了安全警钟。Bleeping Computer 对此分析指出,这类事件凸显了开放协作平台在指令码管理和权限控制上的潜在安全风险,开放式的编辑和脚本接入机制,若缺乏严格的审核和管控流程,极易被黑客利用。因此该媒体建议,各类开放平台需进一步加强用户脚本的审核与审查机制,对高权限脚本的修改权限进行严格限制,建立完善且严格的内容安全策略,从技术和制度层面双管齐下,降低类似恶意攻击再次发生的可能性。
目前,维基媒体基金会仍在持续对平台进行安全排查和修复,受影响的页面正逐步恢复正常,相关编辑功能也将根据排查结果逐步解封。后续平台是否会推出新的安全管控措施,也成为行业和用户关注的焦点。
