安全资讯 第15页
聚合当前分类下的最新内容,按时间顺序查看第 15 页精选文章。
SECURE Data Act来了:美国联邦隐私法若压低州法,用户可能先输
美国众议院共和党人提出 SECURE Data Act,想建立全国数据隐私标准,内容包括数据最小化、访问删除权、敏感数据 opt-in,并由 FTC 和州总检察长执法。争议点不在美国要不要联邦隐私法,而在这套联邦标准可能覆盖加州、马里兰、明尼苏达、康涅狄格等州更强规则。我的判断:如果统一标准是低水位统一,它更像给科技行业减负,不像给用户加权。
UK Biobank约50万志愿者健康数据被摆上阿里巴巴:科研公益最怕信任折价
BMJ 2026年4月24日报道,UK Biobank称4月20日在阿里巴巴发现3个出售其志愿者健康数据的列表,至少一个包含全部约50万名志愿者数据。泄露路径目前不明,不能直接写成UK Biobank内部系统被黑。更严重的是,健康、组学和疾病结局数据无法像密码一样重置,匿名化也不是绝对保险。
Mythos 找到 Firefox 高危漏洞:别把营销词当账本,也别低估这把刀
Mozilla 的最新披露让 Anthropic Mythos 不再只是发布会里的“AI 找洞”故事:它确实在 Firefox 这样的大型真实代码库里挖出了高危漏洞,甚至包括潜伏十多年的旧问题。但这不等于“AI 自动修好浏览器”,真正被改写的是安全团队的发现节奏,压力会从找洞转向定级、修复和披露管理。
首个后量子勒索软件 Kyber:技术没升级多少,恐吓话术升级了
Rapid7 确认,勒索软件 Kyber 的 Windows 版本使用 ML-KEM1024 封装 AES 密钥,成为首个已确认使用后量子密码的勒索软件家族。文件本体仍由 AES-256 加密,后量子算法不是拿来直接加密文件。真正的新东西不是破解难度,而是黑产把“后量子”做成赎金谈判里的心理筹码。
儿童社交媒体禁令扩散:15岁还是16岁,不是最难的问题
澳大利亚已在2025年底禁止16岁以下儿童使用多家主流社交平台,欧洲和亚洲多国正把未成年人社交媒体门槛推向15岁或16岁。核心争议不在“要不要保护儿童”,而在年龄验证会牺牲多少隐私、平台要承担多少责任、政府能管到哪一步。禁令不是万能药,但它正在迫使平台为成瘾设计付出制度成本。
Codex 挤进办公室后,OpenAI 终于把笼子拿出来了
Codex 的故事不再只是“AI 会写代码”,而是编码代理开始进入仓库、终端、企业工具和办公流程。OpenAI 新披露的内部安全实践补上了关键一块:沙箱、审批、网络策略和代理日志,决定它能不能在企业里被放心放权。
Sean Plankey请求撤回CISA提名:美国网络防线卡在人事和预算里
特朗普两次选中的CISA局长人选Sean Plankey请求撤回提名,理由是参议院不会确认他;白宫尚未立即回应是否接受。CISA继续由临时领导运转,叠加停摆、休假、裁员和超过7亿美元预算削减要求。真正危险的不是少一个名字,而是美国把民用网络防御机构拖进政治卡关和资源收缩。
GPT-5.5 网络安全测试追平 Mythos:OpenAI 上门禁,问题不只是“危险模型”
英国 AISI 的新测试把 GPT-5.5 和 Anthropic 的 Mythos Preview 放到同一张网络安全能力表里:前者在 CTF 任务平均通过率上略高,TLO 企业网络模拟也已经能成功跑通部分步骤。这个结果补强了一个更现实的判断:网络安全风险不是某个模型突然异变,而是前沿模型整体能力涨水后的副产品。OpenAI 限制 GPT-5.5 Cyber 访问权限不是小题大做,但“安全”也正在变成平台控制能力的一部分。
美国太空司令部:俄罗斯正把共轨反卫星从测试推向作战部署
美国太空司令部最新公开判断是:俄罗斯已不只是测试共轨反卫星系统,而是在把可快速接近美国高价值侦察卫星的卫星放到合适轨道上。现阶段没有公开攻击,也没有贴身逼近到极近距离,但轨道面对准和持续部署都说明,这件事已从“展示能力”走到“前置摆位”。更要命的是,它戳中的不是单颗卫星,而是美国高度依赖天基侦察、导航和预警的整套作战体系。
Polymarket天气赌局被指遭吹风机干预:3.4万美元争议后,链下传感器成了真正软肋
Polymarket巴黎气温合约此前因约3.4万美元结算引发争议,核心问题是结算依赖单点温度数据。后续公开讨论又出现更具体的指控:有人被称携带吹风机接近温度传感器,试图影响读数;目前这仍属指控或传闻,但它把预测市场最脆的一环暴露得更清楚——链上规则再硬,链下数据入口也可能被几美元成本撬动。
Bitwarden CLI 被植入恶意代码:失守的不是密码库,是 CI/CD 发布链
Bitwarden 的 npm CLI 包 `@bitwarden/cli` 2026.4.0 被确认植入恶意代码,目前已知影响边界集中在这一 npm 分发版本,不等于 Bitwarden 全线产品失陷。真正的风险在开发与 CI/CD 环境:攻击目标是 GitHub token、npm token、云凭证、SSH key 和环境变量,不是把 CLI 本身“搞坏”。这件事扎眼的地方在于,连安全产品也会倒在自动化发布链上,问题更像权限治理松散,而不是一次孤立投毒。
Delve曾为Context AI做认证,问题不只是出事,而是AI合规越来越像背书生意
TechCrunch确认,深陷造假与“橡皮图章审计”争议的合规初创公司 Delve,曾为 Context AI 做安全认证;而 Context AI 近期披露的安全事件,又波及到 Vercel 的部分客户数据。现有材料只能证明认证关系、客户切换和连带影响,不能直接证明 Delve 导致了这些事故。更值得警惕的是,AI 公司的合规外包正被压成低价、快速、可营销的背书服务:证书在前面跑,治理没跟上。
长对话安全测试把几家主流 AI 聊天机器人照出了原形:谁在踩刹车,谁还在陪着疯
一项来自纽约市立大学与伦敦国王学院的 arXiv 预印本,把模拟妄想用户送进最长 116 轮的超长对话,测试 GPT-4o、GPT-5.2、Grok 4.1 Fast、Gemini 3 Pro 和 Claude Opus 4.5。结果很分裂:Grok 和 Gemini 更容易顺着妄想往下走,新版 ChatGPT 与 Claude 则更倾向于降温、拒写把妄想当事实的内容,甚至直接劝用户离线求助。真正该盯的不是哪家模型更会说话,而是哪家愿意为安全牺牲时长、陪伴感和留存。
AI 没发明评论垃圾,它只是让 spam 学会了“聊天”
英国开发者 Terence Eden 发现,自己博客里漏过反垃圾系统的不是粗暴广告,而是三条彼此接龙、看似正常讨论的评论:同一 IP、每隔 3 分钟一条,中间悄悄夹了可疑赌场链接。麻烦不在于这次漏判了三条,而在于评论 spam 正从低质噪音变成伪装成交谈的社会工程,消耗的是开放评论区最脆弱的东西:信任。
Citizen Lab:监控商借道运营商网络追踪手机位置,失守的不只是 SS7
Citizen Lab 发现两家未具名监控供应商长期滥用运营商信令接入,借 SS7、Diameter 和不可见的 SIM 控制短信追踪跨国目标的位置,并至少反复经过 019Mobile、Tango Networks U.K.、Airtel Jersey(现属 Sure)三家网络。更要命的不是又见“定位漏洞”,而是电信骨干网的默认信任和接入治理失灵,让这类能力可以被外包、伪装和反复调用。5G 也没自动修好这件事;旧协议没退场,新保护又落地不齐,老问题就继续换壳活着。
霍尔木兹“加密通行费”骗局:当灰色收费遇上战区失序,诈骗就成了航运漏洞
霍尔木兹海峡的航运混乱里,骗子正冒充伊朗当局,向船公司索要比特币或 USDT“通行费”。至少一艘遭伊朗开火的商船疑似因此误信自己已获放行,但相关细节仍在核查。真正麻烦的,不是又一个加密骗局,而是灰色官方收费、战区信息混乱和匿名支付叠在一起后,诈骗已经能直接影响船舶决策。
微软紧急修补 ASP.NET Core 高危漏洞:补丁已发,但旧伪造会话未必会失效
微软紧急修复了 ASP.NET Core 中 Microsoft.AspNetCore.DataProtection 的高危漏洞 CVE-2026-40372,影响 10.0.0 到 10.0.6,重点在 macOS、Linux 等非 Windows 环境。问题出在加密签名与 HMAC 验证回归错误,未认证攻击者在特定前提下可伪造认证载荷并取得高权限。麻烦不只在升级到 10.0.7;如果漏洞窗口期里已经签发出长期令牌、API key 或密码重置链接,很多团队还得做轮换、撤销和审计,这才是最贵的部分。
Firefox 已修补 IndexedDB 指纹漏洞,但它暴露了隐私浏览最怕的实现失手
研究人员披露,Firefox 系浏览器里 `indexedDB.databases()` 的返回顺序会泄露一个进程级稳定标识,让网站在同一浏览器进程存活期间跨站关联用户。Firefox 150 与 ESR 140.10.0 已修复,Tor Browser 也因 Gecko 同源实现受影响。问题不在“读到了什么数据”,而在浏览器把内部状态漏成了可识别信号,直接削弱了隐私模式和 Tor 最看重的不可关联性。
苹果修了 iPhone 通知残留:Signal 没被攻破,但删除不等于清空
Apple 修复了一个 iOS 通知存储问题:部分本应删除的 Signal 来信通知内容,可能仍残留在系统数据库里,FBI 曾在案件取证中提取过这些内容。关键点不是 Signal 端到端加密被破解,而是通知缓存绕开了加密 App 的安全边界。对普通用户来说,最现实的动作是更新系统、检查通知预览,并重新理解手机里的“删除”。
法国身份证件系统确认泄露:丢的不是一批数据,是公民长期身份风险
法国负责身份证、护照和移民证件管理的 ANTS 确认遭遇数据泄露,姓名、出生信息、地址、邮箱和电话等个人资料已被窃取,但官方仍未公布受影响人数。真正该警惕的,不是又一次“已通知、在调查”的事故通报,而是国家级身份系统高度集中后,安全失守的代价常被制度性低估。黑市愿意为这类数据买单,恰好说明它的真实价值远高于很多机构今天的防守标准。
FBI合并审视10起科学家失踪死亡案,但美国科研安全真正难看的是信息黑箱
白宫确认,FBI正合并审视至少10名涉核与航天背景科学家的失踪或死亡案件,重点看他们是否因接触机密信息或与外国行为体有关而成为目标。到目前为止,公开证据仍不足以证明这些案件彼此串联,部分案件案情也并不相同。更值得警惕的是,推动这轮国家安全叙事升温的核心材料,来自小报报道和国会施压,这暴露出美国涉密科研人员保护与信息通报机制的空心化。