安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
Akrites 成立:AI 把漏洞挖成流水线,开源安全开始集中收口
Akrites 在 2026 年 6 月 25 日以公开信宣布成立,口号是“Patch the commons together”,参与方覆盖云、AI、安全、金融、电信和开源基金会。它要处理的不是某个项目漏洞,而是 AI 加速后,关键开源漏洞的发现、修复、披露和部署协调。真正要盯的不是签名名单多豪华,而是补丁能否回到上游、维护者是否保有控制权、企业系统是否真的完成升级。
6000 多封邮件没骗出密钥,AI Agent 的边界到底硬在哪
Fernando Irarrázaval 让 2000 多人攻击他的 AI 邮件助手 Fiu,6000 多封邮件后,secrets.env 没有泄露。真正先出问题的是外围系统:Gmail 被封、API 成本超过 500 美元、批处理污染实验。这个结果可以让人乐观一点,但不能推出提示注入已经解决;它说明的是强模型、窄权限、硬规则和受控场景叠加时,Agent 安全边界会更硬。
年龄验证扩散:保护儿童,正在变成全网查验
澳大利亚未满16岁社交媒体禁令已实施,英国和美国多州也在推进年龄验证。问题不只在未成年人,成年人也可能被要求交证件、做人脸自拍、连接银行账户,或接受平台画像判断年龄。 目前能看到的效果并不强:澳大利亚官方研究和BMJ研究都未显示未成年人使用社交媒体出现显著下降。更确定的代价,是更多身份数据被收集、外包和泄露的风险。
微软把 Windows 10 的安全兜底又延了一年
微软把 Windows 10 个人用户的 ESU 截止时间延到 2027 年 10 月 12 日,但这只是安全补丁兜底,不是正式支持回归。对还在用 Windows 10 的个人用户和企业 IT 来说,真正变化的是:迁移压力又被往后挪了一年。 这件事的底色也很清楚。Windows 11 迁移没那么顺,硬件门槛、换机成本和用户抗拒都还在,微软只能继续给旧系统留一条安全线。
Polymarket承诺全赔,但信任漏洞不是退款能补的
Polymarket称第三方供应商被攻破,攻击者向网站注入恶意代码,部分用户资金被盗;公司表示事件已被遏制,并会向受影响用户全额退款。外部监测给出约300万美元、至少11名受害者的估算,但这不是官方确认数字。真正麻烦的是,这起安全事故叠加此前虚假赢单视频争议,Polymarket的信用账开始被一起清算。
Polestar在美国被卡住:2027年后新车停售,问题不在产地在软件
美国商务部拒绝 Polestar 按联网汽车新规获得销售授权,意味着其 2027 年及以后车型将不能在美国销售和营销。关键不在 Polestar 3 是否美国制造、Polestar 4 是否韩国组装,而在车辆软件和联网系统与中国来源的关联。这个案例说明,美国对联网汽车的限制正在从关税和产地审查,进入软件、数据和控制权审查。
Klue泄露案又冒出第二个勒索团伙,事件还没到收场的时候
Klue称,最初窃取客户数据的 Icarus 正在删除被盗数据,网站也已下线,但这还不能算结案。更麻烦的是,又有第二个团伙开始直接向客户勒索,声称自己拿到了样本数据。对企业安全团队来说,眼下更大的问题不是“数据有没有被删”,而是这起泄露是否已经演变成可重复转手、难以核验的持续勒索。
美国拒绝Polestar 2027款新车授权,后续车型进美受阻
美国商务部拒绝了 Polestar 自 model year 2027 起在美国销售新车的授权,原因指向针对中国关联车企的联网汽车安全限制。现有 Polestar 3/4 库存还能卖,售后也继续,但 2027 年之后的新车导入基本被切断。和 Volvo 已获批形成对照后,这更像一次准入资格被卡住,而不是单车停售。
民主国家也会走向全量监控,Section 702 只是入口
Snowden 泄露让 Section 702、PRISM、Upstream、XKeyscore 从抽象名词变成可见机制:监控不是临时动作,而是法律、平台和通信基础设施拼出的国家能力。争议的核心不是国家能不能监控,而是监控有没有被压在定向、司法授权和比例原则之内。对普通用户、企业、记者和活动人士来说,元数据本身就足够暴露关系网、行动轨迹和兴趣结构。
LastPass 又通知数据泄露:密码库没丢,但信任又少了一截
LastPass 通知部分用户:外部市场研究合作方 Klue 遭入侵,攻击者获取了业务联系信息、CRM 数据、支持工单和销售相关数据。LastPass 称密码保险库未受影响,但这些上下文数据足以让钓鱼和社工攻击更像真的。真正要看的不是这次 vault 有没有丢,而是连续事故后,LastPass 还剩多少信任可花。
Cellebrite说已断供俄罗斯,但UFED还是被拿去解锁了反对派手机
Citizen Lab称,俄罗斯执法机构在Cellebrite于2021年3月宣布停止向俄白政府客户销售后,仍用UFED破解了Andrey Pivovarov的iPhone。证据同时来自法证分析和俄罗斯法院文件,说明问题不只是一次滥用,而是厂商对已售取证工具的控制边界有多窄。对采购和合规团队来说,断供如果没有可执行的停用、验收和留痕机制,更多只是纸面止损。
Prairieland案:枪击判100年,搬zine也判30年
得州 Prairieland ICE 拘留设施抗议案里,枪击确有其事,Benjamin Song 因开枪伤警被判 100 年。 更刺眼的是,重刑扩到了未到场、提前离开、搬运材料的人:Daniel Sanchez-Estrada 因搬运 zine 被判 30 年。 这案子的关键,不是替暴力抗议洗白,而是看清“antifa”这个模糊标签如何被改造成刑罚放大器。
FCC 想用实名制拦诈骗电话,先被拦住的可能是逃命的人
FCC 正在征求意见,拟要求电话服务商在新用户和续约用户开通前收集姓名、住址、政府证件号码和备用电话。目标是打击 robocall 诈骗,但匿名使用预付费电话可能变难。真正的风险是:职业骗子有办法绕路,家暴幸存者、跟踪受害者、记者和吹哨人却可能先失去合法匿名通信的通道。
Operation Endgame 打击 Amadey、StealC:重点不是查封多少服务器,而是抬高重建成本
Operation Endgame 同步打击 Amadey、StealC 等犯罪工具,Europol 称 326 台服务器和 142 个域名被处置,微软称超过 18000 台受感染电脑被切断控制链路。更关键的变化是,执法机构和安全公司开始沿共享基础设施下手,而不是只追单个恶意软件家族。对企业安全团队和站点管理员来说,接下来最现实的工作是查凭据、查终端、查异常登录。
24% 热门网站仍不支持 passkey,Instagram、Netflix、Spotify 被点名
安全研究员 Scott Helme 推出 whynopasskeys.com,公开列出仍未向用户提供 passkey 的主流网站,并称全球热门网站中约 24% 还不支持。Instagram、Netflix、Spotify 被列为缺席案例,Apple、Google、Microsoft 属于已支持一方。我的判断是:passkey 已进入主流账户安全方案后,大平台继续缺席,已经不只是产品排期问题,而是可被公开追问的安全短板。
特斯拉冲入民宅致死案:别急着判 Autopilot,先看数据能否被验证
得州一辆 Model 3 冲入民宅,造成 76 岁女性死亡。家属起诉特斯拉和司机 Michael Butler,索赔超过 100 万美元,但 Autopilot/FSD 是否启用、车辆是否存在缺陷,目前都没有定论。真正要看的不是马斯克的否认,而是车辆日志、摄像头、遥测和 NHTSA 调查能否还原事故前几秒。
美国商务部禁用“噪声注入”:小地方可能先看不清自己
特朗普政府6月4日发布商务部命令,禁止联邦统计产品使用“噪声注入”,要求优先采用数据粗化,必要时压制发布。争议点不在于某种统计方法好不好看,而在于公共数据可能变得更少、更粗,尤其影响小地区、小行业、灾害应急和劳动力研究。新规怎么执行还不清楚,但研究者和地方政策人员已经需要备份数据、记录版本变化,准备面对统计口径收缩。
得州特斯拉撞入民宅致死案:NTSB介入,关键是控制权怎么还原
NTSB已介入调查得州Katy一起特斯拉撞入民宅致死事故,NHTSA也在同步调查。驾驶员据称提到事发前使用Autopilot,特斯拉则称数据显示加速踏板被踩到底并疑似覆盖FSD,但这些都还需要独立验证。真正影响后续判断的,是车载日志能否还原驾驶员操作、车辆控制和辅助驾驶系统之间的边界。
白宫 App 被推到部分联邦员工手机上:争议不只是不让删
白宫新 App 已被自动推送到农业部、国务院、劳工部等部分联邦雇员的政府手机上,有员工称删除后会立即或在 24 小时内恢复。它的敏感点不只是预装,而是政治传播内容进入受管设备后,员工能否拒绝、谁来审查、数据政策是否透明。现有材料不能证明它在监控员工,但足以说明政务 App 的下发边界需要被看见。
Minimus 安全加固镜像开放免费层:能先试,但别当企业承诺用
Minimus 将 Images & Charts 目录中的安全加固容器镜像和部分 curated Helm charts 开放为 free tier,可免费拉取试用。 它覆盖 nginx、python、postgres、redis、node、grafana 等常见组件,降低了平台工程和 DevSecOps 团队的验证门槛。 但免费层不提供支持、SLA 或补丁时间保证,安全更新也可能先给付费订阅,甚至只给付费订阅。
《经济学人》Rosa Brooks评论:反恐战争如何降低美国接受威权政治的门槛
《经济学人》By Invitation刊发Rosa Brooks评论,把9·11后的美国反恐战争与1月6日国会山事件放到同一条制度脉络里看。文章要问的不是反恐是否必要,而是恐惧、安全优先、行政权扩张和制衡弱化,怎样让威权式政治更容易被接受。目前可见材料有限,只能讨论这条逻辑链,不能替原文补具体政策清单或引语。