Solar应急响应团队:一次管家婆漏洞事件,揭开 AI 自动化漏洞审计与勒索攻击的新趋势
一个没有开放数据库端口的内网,一个密码足够复杂的数据库账号,一台没有任何Web漏洞的服务器——却在一夜之间被勒索病毒加密了全部文件。
更诡异的是,所有日志干干净净,没有任何入侵痕迹。
仿佛黑客是“隔空取物”。
这不是电影情节。过去几个月,Solar安全应急响应团队连续处置了多起这样的“幽灵入侵”事件。受害者有一个惊人的共同点:他们都装了管家婆。

一、一个被所有人忽视的端口
管家婆系列软件(辉煌Ⅱ、TOP+、ERP等)是国内中小企业最常用的进销存管理工具之一。装机量巨大,几乎覆盖了制造业、零售业、批发业的半壁江山。
我们在多起案例中发现:受害企业的服务器上,都有一个211端口默默对外开放。
这个端口不是网站,不是数据库,而是管家婆客户端连接服务端的“数据中转站”——一个基于Delphi MIDAS协议的Socket通信服务。
绝大多数运维人员根本不知道它的存在,更不会想到要封它。
但黑客知道。
二、无需密码,无需客户端,直达最高权限
211端口上的服务没有任何认证机制。任何人只要能TCP连上这个端口,就能直接调用服务端的核心方法——包括执行任意SQL语句。
更具体地说:
·不需要用户名密码(连接阶段没有鉴权)
·不需要管家婆客户端(用一段Python脚本即可)
·不需要知道数据库密码(借用管家婆自己的sa连接)
·不需要数据库端口开放(命令从应用内部发出)
攻击者只需连上211端口,经过简单的握手协议,就能以数据库最高权限(sa)执行系统命令,最终获得Windows SYSTEM权限——这是操作系统的最高权限。
从连接到完全控制,全程不产生任何登录日志。
三、为什么传统安全设备全部失灵
这个漏洞之所以“完美”,是因为它精准地避开了所有常规检测手段:

不是没被攻击,是这条路天生不留脚印。
四、更可怕的趋势:AI正在帮黑客批量挖洞
让我们真正担忧的不只是这一个漏洞,而是背后的趋势。
管家婆系列软件的安装包在互联网上可以公开下载。我们观察到,Weaxor和Tellyouthepass两个勒索家族正在快速横向扩展攻击目标——从管家婆辉煌到物联通,再到ERP,几乎都是以0day(官方未修复的全新漏洞)作为突破口。
从下载安装包到漏洞被武器化投入实战,这个周期被压缩到了令人不安的程度。
我们不得不做出一个严肃判断:勒索组织可能已经在用AI进行自动化漏洞审计。
这意味着,过去需要高水平黑客花数周完成的漏洞挖掘,现在可能只需要几天甚至几小时。“下载软件→AI审计→发现漏洞→武器化→批量投放”的闭环正在形成。
五、这不只是管家婆的问题
在研究过程中,我们对同网段做了211端口扫描,一次就发现4台不同的应用服务器暴露了同样的MIDAS服务。它们来自不同的厂商、不同的产品线,但底层都用了同一套Delphi Socket Server架构。
结论:任何使用“Delphi MIDAS + scktsrvr + 无认证”架构的应用,都可能存在同类漏洞。管家婆只是冰山一角——它暴露量最大,所以最先被盯上。
攻击者手里已经有了一本“CLSID字典”,能精准识别211端口背后是什么应用,然后对号入座地打。

六、你现在应该做什么
今天就做:
·检查你的服务器是否有211端口对公网开放(netstat -an | findstr 211)
·如果有,立即在防火墙/安全组封掉211的公网访问,仅允许内网可信IP
本周内做:
·联系管家婆官方获取修复版本的scktsrvr.exe
·禁用SQL Server的xp_cmdshell和Ole Automation Procedures
·检查SQL Server服务账户权限,不要用LocalSystem运行
持续做:
·在211端口流量上部署协议级监测
·关注SQL Server的sp_configure变更事件
·如果已经被加密过一次,恢复前务必彻底清除后门并封堵211——否则攻击者会再来
七、写在最后
这篇文章的目的不是制造恐慌,而是填补一个信息差。
在我们处置的案例中,没有一家企业的运维人员知道211端口意味着什么。他们做了该做的一切——复杂密码、关闭数据库端口、部署防火墙——但还是被“隔空”打穿了。
安全的敌人不是疏忽,是盲区。
如果你的公司或者你客户的公司在用管家婆,或者在用任何基于Delphi开发的C/S架构软件,请把这篇文章转给负责IT的同事。5分钟的操作,可能避免一次让公司停摆的勒索事件。
本文基于思而听安全 | Solar应急响应团队
实战案例与逆向研究
所有结论经靶场验证,技术细节供安全同行复测参考
关注思而听,获取更多一线安全情报与防御指南
1.本网刊载内容,凡注明来源为“飞象网”和“飞象原创”皆属飞象网版权所有,未经允许禁止转载、摘编及镜像,违者必究。对于经过授权可以转载,请必须保持转载文章、图像、音视频的完整性,并完整标注作者信息和飞象网来源。
2.凡注明“来源:XXXX”的作品,均转载自其它媒体,在于传播更多行业信息,并不代表本网赞同其观点和对其真实性负责。
3.如因作品内容、版权和其它问题,请在相关作品刊发之日起30日内与本网联系,我们将第一时间予以处理。
本站联系电话为86-010-87765777,邮件后缀为cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
标准、频谱、技术、试验齐头并进:6G稳步向前
标准、频谱、技术、试验齐头并进:6G稳步向前[详细]
对话Lara Dewar:最具“现场温度”的MWC逛展建议,放飞思想从沟通开始
与Lara Dewar采访对谈在一种轻松的寒暄氛围中展开,作为GSMA首席营销官的她并没有开门见山地去推荐某几个具体参展项目,而是聊起了会场之外上海世纪公园的优美绿道,以及北京的历史氛围。
[详细] 博识广联科技刘红杰:监测站端部署AI智能体是个工程化好出口
7月3日,在2026全球数字经济大会无线技术与应用专题论坛上,刘红杰带来一场题为《AI 驱动智能频谱管理》的主旨演讲。在演讲中,刘红杰还把另外两个更加尖锐的问题一并抛向台前。一个是关于智..[详细]
豆包、千问下线用户自建智能体功能 行业进入规范化发展新阶段
7月4日,豆包、千问两大AI产品相继发布通知,宣布旗下智能体功能将于7月15日正式下线,同时提示用户尽快备份自建智能体配置、历史对话等重要数据。而这个下线日期,恰好是五部委《人工智能拟..[详细]
从流量到 Token:电信行业锚定“Token经营”新增长
在2026年MWC上海大会期间,5G-A、6G、天地一体通信、通智一体、具身智能等大量新技术、新产品精彩纷呈,非常亮眼,不过相比之下,涉及Token(词元)的演讲、展示内容更多,使得“Token经营”成..[详细]
专访高通庄思民:面向词元经济形态的6G,确保全球把握AI机遇
走进MWC上海展区,就能直观感受到传统通信网络在AI时代所发生的变化,不仅有一部部的手机,还多了形态各异的可穿戴设备,以及一辆辆的汽车。即便是传统的手..[详细]













