安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
They Live Adblocker:广告不消失,变成黑白口号牌
GitHub 上的 They Live Adblocker 是 uBlock Origin Lite 的一个 fork,会把被屏蔽广告位替换成《极度空间》风格的白底黑字标语。 它的重点不是更强拦截,也不是新的隐私技术,而是把广告屏蔽做成一种可见的网页评论。 想尝鲜的用户需要从 GitHub Releases 下载 Chromium 版压缩包并手动加载;只想省心拦广告的人,成熟扩展仍是更稳选择。
TanStack npm 投毒复盘:42 个包中招,问题出在自动化发布的信任边界
2026 年 5 月 11 日,TanStack 有 42 个 @tanstack/* npm 包被发布 84 个恶意版本,安装端可能泄露云、GitHub、npm、SSH 等凭据。攻击没有盗走 npm token,也不是正常 publish step 被攻破,而是把 GitHub Actions、cache 和 OIDC trusted publishing 串成了发布通道。最该调整的是开源发布流水线的默认信任:fork PR、缓存复用、OIDC 权限不能再当作彼此无关的小便利。
Dirty Frag 不是“Linux 又翻车”,而是补丁时间差被打穿了
Linux 内核两周内曝出第二个严重本地提权漏洞 Dirty Frag,公开 PoC 已流出,低权限用户在部分环境中可提升到 root。真正该紧张的不是一句“Linux 不安全”,而是共享主机、虚拟机和容器平台对内核补丁链路的依赖,被稳定可复现的漏洞连续拷问。
TanStack Router 相关 npm 包疑似被投毒:真正麻烦的是自动发布链路
TanStack Router 相关多个 npm 最新版本被社区调查者指出疑似植入恶意依赖和混淆脚本,涉及 @tanstack/history、@tanstack/react-router、@tanstack/router-core、@tanstack/react-start 等包。现有线索指向 GitHub Actions OIDC trusted publisher 发布链路,风险不只在 npm token,而在 CI/CD 自动信任机制。依赖这些包的前端团队应先冻结升级、核查 lockfile 和发布工作流,不要在疑似受感染机器上粗暴吊销凭据。
Ubuntu 软件源被 DDoS 打断后,Cloudflare 站到了一个别扭位置
4 月 30 日,Canonical/Ubuntu 多个公共服务遭遇约 20 小时 DDoS,最关键的 security.ubuntu.com 与 archive.ubuntu.com 在切到 Cloudflare 后稳定。公开材料不能证明 Cloudflare 勒索或策划攻击,但同一家公司既代理攻击工具前台,又出售防护,已经让 DDoS 防护市场看起来像一种“保护费结构”。对 Ubuntu 用户、企业运维和镜像站维护者来说,真正的问题是:关键软件源不能只靠临时救火。
苹果给绿泡泡补上加密,但真正的压力还在 Siri 那边
苹果与 Android 之间的 RCS 聊天开始在最新系统 beta 中支持端到端加密,绿泡泡终于补上了最不该拖欠的一课。但它不是 iMessage 开放,也不是全量上线;更像苹果在监管、舆论和平台博弈夹击下,先把基础通信安全的账还一部分。真正能决定 WWDC 叙事成败的,仍是苹果能不能交出一个不再跳票的 AI Siri。
Starlink 将关闭隐藏定位接口:GPS 备份能力还在,钥匙被收回了
SpaceX 通知用户,2026 年 5 月 20 日后,Starlink 终端本地 API 将不再提供 dish location data。受影响最大的是房车、船只、海上用户,以及在 GPS 干扰或欺骗环境下把 Starlink 当备用定位来源的人。我的判断是:这不是低轨定位路线失败,而是平台开始收回一条可能变现、也可能带来责任的基础设施权限。
iOS 26.5 给 iPhone 和 Android 聊天补上加密,但蓝泡泡问题没变
苹果在周一发布的 iOS 26.5 中,以 beta 形式为信息 App 加入与 Android 用户之间的端到端加密 RCS 聊天。它真正改善的是跨平台短信内容在传输中的隐私,而不是让 iMessage 向 Android 全面开放。实际体验还取决于运营商支持和 Android 端 Google Messages 版本,短期内不会覆盖所有 iPhone 与 Android 对话。
Google拦下疑似AI零日攻击:AI不是黑客,但正在替黑客磨刀
Google Threat Intelligence Group称,犯罪黑客可能已经用AI辅助发现并武器化未知零日漏洞,攻击被拦下且未造成实际损害。更关键的变化是,AI辅助零日攻击不再停留在论文、演练和模型评测里,而是进入了真实恶意行动的证据链。别只盯着“AI黑客”这个热闹词,真正该紧张的是漏洞发现成本被压低后,企业旧系统和开源维护体系能不能跟上。
Netflix 被得州起诉:流媒体的“无广告、儿童友好”叙事撑不住了
得州总检察长 Ken Paxton 起诉 Netflix,指控其未经充分知情同意收集、披露并利用用户数据,涉嫌违反 Texas Deceptive Trade Practices Act。争议焦点不只是隐私条款,而是 Netflix 从订阅生意滑向广告和数据生意后,还能不能继续讲“无广告、儿童友好”的老故事。对家庭用户来说,最现实的动作是检查儿童档案、自动播放和广告方案,而不是等平台替你做选择。
110万台家用摄像头被曝可远程访问:白标硬件把一个密钥问题放大到118个国家
The Verge 报道称,安全研究者 Sammy Azdoufal 通过分析觅睿科技安卓应用,发现约 110 万台 Meari 及白标 Wi-Fi 摄像头理论上可被远程访问,设备覆盖 118 个国家。 这件事不能写成“黑客已经大规模偷窥”。更准确的判断是:低成本白标摄像头把同一套薄弱安全设计卖进了婴儿房、客厅和宠物看护场景。 对用户来说,最该做的是核对品牌、App、固件和远程访问设置;对行业来说,问题在于白标供应链里的安全责任不能继续被转手稀释。
Google 新账号验证被曝改用“手机发短信”:匿名注册的缝隙更窄了
Privacy Guides 论坛用户称,部分新建 Google/Gmail 账号时,验证方式从接收短信验证码变成扫码后由手机主动向 Google 发送短信。该变化不是 Google 官方公告,也不能判断已全球强制,但它会削弱 SMSpool 等接码服务的可用性。对普通用户影响有限,真正受影响的是隐私敏感用户,以及希望低关联创建 Google 账号的人。
《极限竞速:地平线6》发售前被盗版抢跑:155GB 未加密文件,把高级版卖点撞碎了
《极限竞速:地平线6》疑似因 Steam 预载文件短暂以未加密状态出现,发售前就被破解和传播。相比单纯“提前泄露”,更关键的细节是:这可能不是外部偷跑,而是数字发行链路自己的闸门没关好,直接伤到首发窗口和 120 美元高级版的提前游玩权益。
Obsidian 被社工滥用:危险不在笔记软件,在插件权限
安全研究人员披露,攻击者正通过 LinkedIn、Telegram 接触金融与加密行业目标,诱导对方打开恶意 Obsidian 共享库并启用社区插件,投放跨平台 RAT:PHANTOMPULSE。 这不是“打开文档即中招”,关键动作是用户手动启用插件同步或安装;Windows 和 macOS 都受影响。 真正要警惕的不是 Obsidian 本身,而是插件型知识工具正在变成高价值人群的新执行入口。
硬件认证扩张:安全校验会不会变成设备门禁
GrapheneOS 称,Apple 和 Google 正在扩大硬件级认证机制的使用,并推动更多服务接入相关 API。 我更在意的是:硬件认证本来是反作弊、反篡改、反滥用工具,但一旦被服务方当成访问门槛,替代系统、第三方应用分发、非官方设备环境和普通 Web 用户都会被卷进去。 现在不能把它直接写成已被确认的垄断事实,但它确实把一个老问题推到台前:谁有权定义“可信设备”。
CVE-2024-YIKES 是假报告,但开源供应链的病是真的
CVE-2024-YIKES 不是一个真实 CVE,也不能当安全通报引用,它是一篇带强烈讽刺色彩的虚构事故报告。 它把 JS 依赖、Rust 库、Python 构建工具、CI/CD、2FA、AI 搜索和自动化修复串成一条荒诞链,刺中的是开源供应链的真实软肋。 最该紧张的不是普通用户,而是开发者、开源维护者,以及把开源当生产基础设施的企业。
Qubes OS 创始人重开博客:从系统安全走向人文难题
Qubes OS 创始人 Joanna Rutkowska 在沉寂约 7 年后开设新博客 Traces of Humanity,宣布写作重心从系统安全转向理性、自由、人文、爱与共同体之间的冲突。真正重要的不是 Qubes OS 有新动向,而是一位安全研究者公开承认:技术理性无法独自回答生活意义问题。她没有给出答案,反而把不确定和不完整视为人文主义的核心线索。
AMOC减弱警报:北大西洋暖流正在变成安全议题
越来越多研究认为,AMOC正在减弱,甚至可能接近临界点;但约20年直接观测仍不足以把“崩溃”写成定论。IPCC 2021判断本世纪前突然崩溃可能性不高,近年研究却给出更悲观信号,分歧本身已经构成风险。冰岛把AMOC关闭风险列为国家安全威胁,说明这件事已经越过论文边界,进入农业、能源、保险和供应链决策。
Rotten.com 被重新写进互联网史:早期网络自由的暗面,不只是猎奇
《The Paris Review》刊发回忆性长文,以作者1999年第一次访问 Rotten.com 为入口,重看早期互联网的血腥内容、AIM 聊天室恶作剧和审查争议。真正重要的不是怀旧,而是早期网络“绝对自由”如何同时给青少年提供身份试探空间,也让未成年人暴露在创伤性内容和陌生人风险中。
在日本被捕后,23天不是唯一风险:起诉前羁押怎样制造压力
一名作者自述在日本警署拘留设施内被关35天:第一次逮捕走完23天流程,随后因第二次逮捕又追加12天。真正需要看懂的不是个案八卦,而是日本起诉前羁押机制如何通过时间、隔离和规则给被捕者施压。对在日本旅行、留学、工作的人,最现实的动作是尽快要求联系律师和使馆,并提前准备基础日语表达。
FreeBSD 这个本地提权漏洞,危险在它太“朴素”
FreeBSD 披露 FreeBSD-SA-26:13.exec,CVE-2026-7270 影响所有受支持版本,可能让本地低权限用户通过 execve(2) 内核漏洞提权到 root。它不是远程代码执行,也没有已知在野利用证据,但无 workaround、涉及最高权限路径,足够让管理员马上排期升级和重启。