安全资讯 第10页

聚合当前分类下的最新内容,按时间顺序查看第 10 页精选文章。

Yarbo 割草机器人改口移除默认后门:带刀片的设备,钥匙不能默认在厂商手里
安全 2026/5/12

Yarbo 割草机器人改口移除默认后门:带刀片的设备,钥匙不能默认在厂商手里

Yarbo 承诺改变机器人割草机的远程访问设计:默认不再安装远程后门,只有用户主动 opt-in 才启用临时诊断通道。这比单纯修漏洞更关键,因为问题的核心不是一次安全事故,而是联网硬件的默认控制权到底归谁。

Yarbo机器人割草机远程后门
Cloudflare复盘“Copy Fail”:一次Linux本地提权漏洞为何没有变成事故
安全 2026/5/7

Cloudflare复盘“Copy Fail”:一次Linux本地提权漏洞为何没有变成事故

Cloudflare披露了应对Linux内核本地提权漏洞“Copy Fail”(CVE-2026-31431)的全过程,称未影响其环境、服务和客户数据。真正有价值的不是“没出事”声明,而是它展示了云基础设施团队如何用检测、威胁狩猎和bpf-lsm临时限流,把一个需要重启修补的高危内核漏洞压到可控范围内。

Copy FailCVE-2026-31431Linux内核本地提权漏洞
404 Media 实测“昊天AI”:实时换脸开始变成诈骗工具服务
安全 2026/5/7

404 Media 实测“昊天AI”:实时换脸开始变成诈骗工具服务

404 Media 称,其通过 Telegram 购买并测试了中文实时换脸软件“昊天AI”,该工具可用于 WhatsApp、Teams、Zoom、TikTok、Instagram、YouTube 等平台的视频场景。 关键变化不是换脸更像了,而是它被包装成有报价、有远程安装、有定制模型、有稳定币收款的服务。 对企业风控和普通用户来说,“开视频确认一下”正在失去原来的安全含义,高风险转账、面试、开户和亲友借钱都需要二次核验。

实时换脸深伪诈骗昊天AI
reCAPTCHA 升级 Fraud Defense:Google 要给 AI 代理划通行规则
安全 2026/5/7

reCAPTCHA 升级 Fraud Defense:Google 要给 AI 代理划通行规则

Google Cloud 在 Next 2026 发布 Google Cloud Fraud Defense,reCAPTCHA 被升级为面向真人、传统机器人和 AI 代理的反欺诈信任平台。现有 reCAPTCHA 客户自动纳入,无需迁移、无需改集成,价格不变。真正的变化是:网站风控开始从“识别机器人”转向“判断谁有资格替人行动”。

Google Cloud Fraud DefensereCAPTCHAAI代理
Karakurt 案最刺眼的,是勒索软件背后的俄罗斯安全港
安全 2026/5/7

Karakurt 案最刺眼的,是勒索软件背后的俄罗斯安全港

美国司法部称,拉脱维亚黑客 Deniss Zolotarjovs 因参与 Karakurt 勒索软件攻击被判刑逾 8 年。比判刑更关键的是,检方指控该团伙使用俄罗斯政府数据库和执法关系施压受害者,并通过行贿逃税、逃避兵役。这个案子指向的不是单个黑客,而是网络犯罪、安全港和腐败资源之间的利益共生。

Karakurt勒索软件美国司法部
Braintrust 要求所有客户轮换 API 密钥:AI 工具链的密钥托管风险暴露
安全 2026/5/7

Braintrust 要求所有客户轮换 API 密钥:AI 工具链的密钥托管风险暴露

Braintrust 确认一个 AWS 云账户遭未授权访问,账户内包含客户用于访问云端 AI 模型的 API 密钥,并要求所有客户轮换存放在平台上的 keys。现在不能说所有客户密钥都已泄露,也不能说客户系统已被入侵;但对使用 Braintrust 的 AI 工程团队来说,密钥轮换、日志核查和权限收缩已经是现实工作。

API 密钥泄露Braintrust未授权访问
Chrome 给网站定位加了“大致位置”,隐私真正的考题才刚开始
安全 2026/5/7

Chrome 给网站定位加了“大致位置”,隐私真正的考题才刚开始

Android 版 Chrome 已支持向网站共享“大致位置”,用户不必在“精确定位”和“完全拒绝”之间二选一;桌面版会在未来几个月跟进,iOS 版是否上线还没公布。这个功能不大,但戳中了浏览器权限的老毛病:很多网站只需要区域信息,却长期默认索取更细的位置。更该看的不是按钮本身,而是开发者是否被要求解释精确定位的必要性,以及默认选项会不会真的偏向用户。

定位权限ChromeGoogle
Flock儿童体操房演示、ChatGPT论文撤稿与RightsCon:404 Media播客里的三条红线
安全 2026/5/6

Flock儿童体操房演示、ChatGPT论文撤稿与RightsCon:404 Media播客里的三条红线

404 Media 5月6日播客导览提到三件事:Flock把儿童体操房摄像头访问用于销售演示,Nature撤回一篇关于ChatGPT教育收益的论文,RightsCon取消或推迟与中国政府压力有关。它们分别卡在三条边界上:安全产品能不能拿敏感场景做销售,AI教育证据能不能撑住政策和采购,国际会议能不能扛住跨国政治压力。现在能下的判断不是谁已经违法、谁彻底失效,而是把关机制都被推到了压力面前。

隐私治理Flock儿童隐私
DENIC 短时中断 .de DNSSEC 解析:不是整个 .de 宕机,但运维仍该警惕
安全 2026/5/6

DENIC 短时中断 .de DNSSEC 解析:不是整个 .de 宕机,但运维仍该警惕

DENIC 于 2026 年 5 月 5 日晚报告 .de DNS 服务中断,影响所有启用 DNSSEC 签名的 .de 域名可达性,约两小时后宣布服务恢复。更准确的判断是:这不是整个 .de 顶级域全面失效,也不是全球 DNS 系统性故障,但它暴露了启用 DNSSEC 后对注册局签名链路稳定性的现实依赖。

DNSSEC.de 域名DENIC
nic.de 检测报错,不等于 .de 顶级域 DNSSEC 故障
安全 2026/5/6

nic.de 检测报错,不等于 .de 顶级域 DNSSEC 故障

Verisign DNSSEC Analyzer 在 2026-05-05 21:36:44 UTC 对 nic.de 的检测中,根区到 .de 的 DNSSEC 信任链验证通过,但查询 l.de.net 上的 nic.de/A 时出现截断的“Unknown ho...”异常。现有证据更像是 nic.de、单个权威服务器或检测工具路径上的局部解析问题,而不是 .de 顶级域 DNSSEC 失效。

DNSSECnic.de.de
DHS 用关税传票索取加拿大居民 Google 数据,真正争议是执法边界
安全 2026/5/6

DHS 用关税传票索取加拿大居民 Google 数据,真正争议是执法边界

DHS 以《1930年关税法》下的海关传票,要求 Google 提供一名加拿大居民的位置、活动日志、身份信息和账号处罚记录;律师称此人十多年未进入美国。传票没有说明具体进出口或关税调查理由,争议焦点因此落在一个问题上:关税工具是否被拿来识别批评移民执法的人。对依赖美国平台发声的境外用户、匿名账号和数字权利组织来说,平台通知、抗辩和传票边界会变得更关键。

DHSGoogle数据索取
Canvas 和黑客“达成协议”:期末延期之后,教育平台把信任押给了犯罪分子
安全 2026/5/13

Canvas 和黑客“达成协议”:期末延期之后,教育平台把信任押给了犯罪分子

Canvas 母公司 Instructure 称,已与入侵其系统的黑客达成协议,以阻止被窃学生数据外泄;攻击组织 ShinyHunters 此前声称掌握 3.5TB 数据并威胁公开。比起此前服务中断导致期末考试延期的争议,这条新线索把问题从“平台有没有冗余”推进到更刺眼的一层:教育平台的数据安全,最后竟要靠黑客承诺来兜底。

数据安全CanvasInstructure
Daemon Tools 安装程序疑遭植入后门:卡巴斯基称攻击仍在进行
安全 2026/5/6

Daemon Tools 安装程序疑遭植入后门:卡巴斯基称攻击仍在进行

卡巴斯基称,Windows 光盘映像软件 Daemon Tools 的安装程序被植入后门,已观察到数千次感染尝试和至少十余起成功入侵。更关键的是,这不是普通木马传播,而是仍在进行的软件供应链攻击:用户以为自己在安装可信软件,风险却从安装入口进入系统。

软件供应链攻击Daemon Tools后门
Cursor/Claude 被指删库:别急着骂 AI,先看谁给了生产权限
安全 2026/5/5

Cursor/Claude 被指删库:别急着骂 AI,先看谁给了生产权限

一名开发者声称 Cursor/Claude agent 删除了公司生产数据库,目前公开信息不足以证明 AI 独立“决定删库”。更关键的问题是:为什么系统里会有可删除整库的生产 API,并且能被代理路径触达。对开发团队和技术管理者来说,这不是换不换工具的问题,而是权限、发布和审计流程要不要重做的问题。

AI Agent 安全生产数据库生产权限
Pornhub 只回到英国 iPhone 和 iPad,真正变的是年龄验证入口
安全 2026/5/5

Pornhub 只回到英国 iPhone 和 iPad,真正变的是年龄验证入口

Aylo 已在英国恢复 iPhone 和 iPad 用户访问 Pornhub 等站点,但条件很窄:设备需升级到支持年龄确认的 iOS 26.4,并完成 18 岁验证。Windows、Android 和其他非苹果移动设备仍不可访问。关键变化不是 Pornhub 回归,而是年龄验证开始从网站前台移到操作系统底座,苹果、谷歌、微软这类入口守门人的分量变重了。

年龄验证iOS 26.4Pornhub
美联社获2026年普利策国际报道奖:监控技术绕了一圈,问题回到美国
安全 2026/5/5

美联社获2026年普利策国际报道奖:监控技术绕了一圈,问题回到美国

美联社 Dake Kang、Garance Burke、Byron Tau、Aniruddha Ghosal 与撰稿人 Yael Grauer 获得2026年普利策国际报道奖,奖金15000美元。普利策看重的不是单篇爆料,而是这组报道把硅谷技术、中国监控实践、全球扩散和美国边境执法回流串成了一条链。对科技公司和政府采购方来说,真正的压力是:不能再只说“工具中立”,还要解释卖给谁、怎么用、谁能纠错。

大规模监控美联社普利策国际报道奖
阿尔伯塔选民名单外流:抓住它的不是黑科技,是几条假记录
安全 2026/5/5

阿尔伯塔选民名单外流:抓住它的不是黑科技,是几条假记录

加拿大阿尔伯塔省选举机构在发给政党的选民名单副本中埋入虚假条目,后来这些条目出现在 Centurion Project 的选民查询工具里。现有事实只能说明:该工具使用的数据与发给阿尔伯塔共和党的合法副本匹配,数据如何流转仍未查明。真正重要的是,canary trap 不是防泄露的墙,而是泄露后把责任链钉出来的低技术设计。

选民数据库泄露Elections Alberta金丝雀记录
Meta和YouTube被判担责:真正危险的是让人“停不下来”的设计
安全 2026/5/22

Meta和YouTube被判担责:真正危险的是让人“停不下来”的设计

洛杉矶陪审团把Meta一份2019年内部文件纳入审理:文件称青少年即使想停,也很难离开Instagram。2026年3月25日,陪审团认定Meta和YouTube需为成瘾性产品设计担责。关键争议不是内容好不好看,而是推荐、通知、无限滚动等奖励机制,是否把用户推向自己并不真正愿意的行为。

成瘾性产品设计MetaYouTube
TRE 进了 Python 试验场:它能缓解 re 的 ReDoS 风险吗
安全 2026/5/5

TRE 进了 Python 试验场:它能缓解 re 的 ReDoS 风险吗

Simon Willison 做了一个实验性 Python binding,用 ctypes 封装 TRE 正则引擎,并拿恶意正则样例对比 Python 标准库 re。结论不能读成“TRE 可直接替换 re”,更准确的是:非回溯引擎在 ReDoS 场景下给 Python 后端提供了一条更稳的安全路线。真正要补课的是高风险入口的正则审计、超时保护和语法兼容评估。

ReDoSTREPython
cPanel 十天两次紧急补丁:55 万台潜在风险服务器背后,主机安全债开始结算
安全 2026/5/10

cPanel 十天两次紧急补丁:55 万台潜在风险服务器背后,主机安全债开始结算

cPanel/WHM 在 5 月 8 日发布第二次紧急安全补丁,修复 3 个新漏洞;这发生在 CVE-2026-41940 被用于攻击约 4.4 万台服务器并部署 Sorry 勒索软件之后。和此前只看到“55 万台潜在风险服务器”的暴露面不同,现在更清楚的是:问题不只是一枚高危 CVE,而是共享主机控制面板长期积累的权限边界债。

cPanel/WHM紧急安全补丁CVE-2026-41940
普通账号看见军方训练数据:Schemata 漏洞暴露的不是黑客多强
安全 2026/5/5

普通账号看见军方训练数据:Schemata 漏洞暴露的不是黑客多强

Strix 披露,a16z 投资、持有美国国防部活跃合同的 Schemata 曾存在多租户 API 授权漏洞,低权限账号可跨组织访问用户、课程和文档链接。漏洞发布前已修复,但从 2025-12-02 首次私下披露到 2026-05-01 确认修复,约 150 天。真正刺眼的不是攻击复杂,而是防务软件公司把租户隔离和响应机制做丢了。

多租户 API 授权漏洞SchemataStrix