安全资讯 第11页
聚合当前分类下的最新内容,按时间顺序查看第 11 页精选文章。
美国州医保网站把申请信息送进广告像素,这不是误配那么简单
彭博调查、TechCrunch转述称,美国近20个州政府运营的医保市场中,几乎都通过追踪像素向Google、LinkedIn、Meta、Snap、TikTok等广告科技公司分享过用户申请相关信息。涉及字段包括公民身份、种族、性别、邮编、邮箱、电话等,华盛顿特区和弗吉尼亚已暂停或移除部分追踪器。真正的问题不是某个像素放错位置,而是公共服务网站把商业互联网的广告工具默认接进了敏感政务流程。
美国约165个陆上风电项目被卡:国家安全正在变成能源审批刹车
特朗普政府以国家安全为由,让美国约165个陆上风电项目的国防部审批陷入停摆,涉及约30GW潜在装机,可供约1500万户家庭用电。风机干扰雷达是真技术问题,争议在于流程异常冻结,并从联邦土地、海上风电扩大到私人土地陆上风电。对清洁能源投资者和关注行政权边界的人来说,真正要看的不是风电一项,而是“国家安全”会不会变成可复制的产业管制工具。
Chrome 147 已成基线,Vivaldi 与 Comet 的 Chromium 滞后意味着什么
Chromium Drift 显示,截至 2026 年 5 月 3 日 17:07:56,多数主流 Chromium 浏览器已跟进 Chrome Stable 147,但 Vivaldi 落后 1 个大版本,Comet 落后 2 个大版本。版本滞后不能直接等同于已遭攻击,却会扩大用户暴露在 Chromium 已公开修复漏洞中的窗口期。对普通用户和企业终端团队来说,真正要看的不是品牌口号,而是更新节奏、补丁小版本和来源可信度。
加州新规补上 Robotaxi 责任链:违规可留痕,但还不是直接罚款
加州 DMV 发布两套自动驾驶测试与部署新规,合计约 100 页,重点不是简单收紧,而是把违规记录、故障上报、救援协作和重卡准入接进同一条责任链。Robotaxi 违规后,执法部门可向企业发出不合规通知,企业须在 72 小时内向 DMV 报告;目前看不直接附带金钱罚款。我的判断是:这一步补上了无人驾驶商业化后的问责缺口,但也会把合规压力实实在在压到运营、工程和政策团队身上。
伊朗断网里的 Starlink:少数人的出口,也是刑责风险
伊朗自 2 月 28 日美以空袭后持续实施全国性互联网限制,地下网络正把 Starlink 终端送入境内,帮助部分人绕过本地网络控制。它不是全国互联网的替代品,而是少数人的高风险出口:使用、买卖终端在伊朗属非法,进口或分发超过 10 台最高可判 10 年。更该看的不是技术多酷,而是断网怎样把信息权、商业活动和刑事风险重新分配给不同人。
VideoLAN 的 dav2d 页面当前只抓到 Anubis 验证页,不能当项目新闻写
访问 https://code.videolan.org/videolan/dav2d 时,当前材料显示的是 Anubis Proof-of-Work 反爬验证页,不是 dav2d 项目内容。 这只能说明抓取过程遇到验证机制,不能推出 dav2d 的功能、版本、维护状态或发布进展。 对技术读者和编辑来说,重点不是解读 dav2d,而是先把“抓到验证页”和“抓到仓库页”分清。
声波扑灭了厨房小火,但还不能替代住宅喷淋
Sonic Fire Tech在加州演示了用AI传感器触发次声波,扑灭一场受控厨房油火。它证明声波灭火有商业化苗头,但还没有证明能承担住宅喷淋的生命安全功能。关键问题不是能不能灭一团小火,而是能否通过公开、完整、可审查的全尺度火灾验证。
信用卡没露完整卡号,也可能被支付系统拼出一条路
一位作者复盘了虚拟信用卡被盗刷:电商账号被盗后,攻击者利用页面可见的前6后4卡号、有效期、3D Secure信息和支付网关错误回显,补全卡信息并通过免3D商户扣款。问题不在PCI DSS被攻破,而在最低合规、差异化反馈和免3D交易叠在一起,给自动化测试留下了路。普通用户要少存卡、低额度、异常短信后立刻停卡;支付和风控团队要盯住错误回显、验证接口和免3D商户的联动风险。
Flock 摄像头被套上垃圾袋:监控技术最难的不是安装,是退出
俄亥俄州代顿市用黑色垃圾袋遮住 Flock 车牌识别摄像头,原因不是设备坏了,而是市方在移除前要先确认数据是否还在采集、是否外流、合同能不能立刻终止。和此前误报逮捕令、多州设备遭破坏相比,这条线索把 Flock 争议从“技术是否可信”推进到“城市是否还握有控制权”。
警员用车牌识别系统追踪前任,真正的问题是权限太顺手
美国司法研究所梳理媒体报道发现,近年全美至少14起警员涉嫌滥用自动车牌识别系统,追踪伴侣、前任或陌生人,多数发生在2024年以来。它不是官方全量统计,只能说明被媒体看见的部分,但已经暴露出一个硬问题:持续记录公众行动轨迹的系统,太容易被基层执法者拿来满足私人欲望。对城市采购者和隐私关注者来说,重点不再是“装不装摄像头”,而是权限、留痕、审批和数据保留怎么被写进制度。
Trump Mobile T1 还没发货,预购地址可能先漏了
Trump Mobile 的 T1 Phone 原本被说成接近发货,但 The Verge 报道称,其预购数据库被指存在漏洞,邮箱、电话和邮寄地址可能可被外部查询。更刺眼的是,漏洞线索还露出一个更冷的商业现实:所谓 59 万预购缺乏可靠依据,目前被指可见的独立客户约 1 万、订单约 3 万。
Linux 高危漏洞 Copy Fail 披露:麻烦不在远程入侵,而在好用且难看见
Copy Fail(CVE-2026-31431)影响的是几乎所有 2017 年以来发布的 Linux 发行版,效果是本地普通用户提权,不是远程无交互入侵。它的麻烦在于 Theori 称利用脚本可跨发行版工作,且部分依赖磁盘校验和的监控工具可能看不到异常。Theori 研究人员使用 Xint Code 辅助扫描 Linux crypto 子系统,这说明 AI 已经进入真实漏洞研究流程,但主语仍然是研究人员。
Ubuntu 被 DDoS 打到失声:补丁未必断,安全公告先卡住了
Ubuntu 和 Canonical 多项基础设施离线超过一天,公开说法指向持续跨境攻击,更像 DDoS,而不是数据泄露。真正麻烦的不是所有更新都停了:镜像站仍可用,但安全公告、CVE 接口和官方说明在关键漏洞披露后变得不可靠,这才是管理员最难受的地方。
GitHub 的信任账又厚了一页:从 CoreAI 到 TeamPCP,问题已经不只是宕机
GitHub 确认约 3800 个自有仓库受 TeamPCP 供应链攻击影响,入口是一名开发者安装了被投毒的 VSCode 扩展,目前没有客户代码泄露的确认。它补强了一个更现实的判断:离开 GitHub 的理由不再只是 Copilot 训练争议或微软组织调整,而是开发链条的信任成本正在上升。
CopyFail 之后,Linux 用户该少装点新东西
CopyFail 暴露的麻烦不只在本地提权漏洞本身,而在补丁流转和用户反应之间的空窗期。后续又出现 Copy Fail 2、Dirty Frag 等内核相关漏洞提醒,风险边界从“快打补丁”扩展到“少引入新软件和新依赖”。安全补丁要装,非必要新包要等,这才是漏洞密集期里更现实的防守姿势。
普列谢茨克被无人机盯上后,俄罗斯开始模糊发射时间表
俄方称普列谢茨克航天发射场近期遭遇无人机威胁,随后把 NOTAM 发射预警窗口拉长、重叠、混合,外界更难预测军用与通信卫星发射节奏。关键变化不在保密技巧,而在战场逻辑:卫星网络成了通信神经,发射场也会被拖进目标链条。对商业航天和军用太空基础设施观察者来说,接下来要看的不是口号,而是韧性、补网速度和公开情报下的暴露成本。
702条只续45天:美国监控改革又被国会拖后了
美国国会把《外国情报监视法》第702条只延长45天,众议院以261票对111票通过临时方案。最核心的搜查令要求没有写进法案,禁止美联储发行CBDC的条款却被夹带进去。对关注数字隐私和科技合规的人来说,真正的问题不是45天长短,而是监控权力又一次靠程序拖延维持默认状态。
LinkedIn 被指扫描 6278 个 Chrome 扩展,敏感点是绑定实名职业身份
404 Privacy 称,LinkedIn 在 Chrome 中探测用户是否安装特定扩展,作者统计的列表截至 2026 年约 6278 项,相关机制据称至少可追溯到 2017 年。真正的争议不是平台能不能做反欺诈,而是它是否在告知不足的情况下,把浏览器软件清单接到实名职业档案上。对记者、律师、研究者、人权工作者,以及企业安全和合规团队,这比普通设备指纹更难轻描淡写。
Rivian 允许关闭车辆联网:隐私能要,但车会变笨
Rivian 在支持页面说明,车主可以关闭车辆蜂窝连接,阻止数据离开车辆,但不是关闭车内所有数据产生。代价很直接:导航、车道保持辅助、OTA 更新等功能可能受限或失效。对智能汽车车主来说,这不是一个单纯的隐私按钮,而是一张功能账单。
cPanel/WHM 认证绕过漏洞遭利用:共享主机站长该立刻确认三件事
cPanel/WHM 存在 CVE-2026-41940 认证绕过漏洞,攻击者可远程绕过登录进入管理面板;cPanel 称所有受支持版本受影响,并已发布补丁。风险不是“所有网站已被攻陷”,而是共享主机行业大量依赖同一管理入口,一旦面板失守,网站、邮件、数据库配置都可能暴露。使用共享主机或托管服务的站长,现在应确认主机商是否已修补、是否限制过面板访问、是否回查异常登录和配置变更。
北京5月1日起管住无人机销售和存储:重点不是禁飞,是把监管前移
北京5月1日起实施全市无人机管控,范围包括销售、租赁、运输、存储及核心部件,不只是飞行限制。 这条规则的关键变化,是把监管从“飞起来以后”前移到“买、运、放”的环节。 北京本地需求有限,对大疆全球销量直接冲击不大;更该看的是,这套前端管控会不会被其他城市吸收。