安全资讯 第16页

聚合当前分类下的最新内容,按时间顺序查看第 16 页精选文章。

FBI合并审视10起科学家失踪死亡案,但美国科研安全真正难看的是信息黑箱
安全 2026/4/24

FBI合并审视10起科学家失踪死亡案,但美国科研安全真正难看的是信息黑箱

白宫确认,FBI正合并审视至少10名涉核与航天背景科学家的失踪或死亡案件,重点看他们是否因接触机密信息或与外国行为体有关而成为目标。到目前为止,公开证据仍不足以证明这些案件彼此串联,部分案件案情也并不相同。更值得警惕的是,推动这轮国家安全叙事升温的核心材料,来自小报报道和国会施压,这暴露出美国涉密科研人员保护与信息通报机制的空心化。

科研安全FBI国家安全
Rituals确认会员数据遭未授权下载:41百万会员库背后,零售业最省的是事故透明度
安全 2026/4/24

Rituals确认会员数据遭未授权下载:41百万会员库背后,零售业最省的是事故透明度

荷兰美妆零售商 Rituals 确认会员数据库遭黑客未授权下载,已知泄露字段包括姓名、生日、性别、邮寄与邮箱地址、电话、偏好门店和账户类型,影响欧洲、英国及部分美国用户。公司会员库规模超过 4100 万,2025 年营收 24 亿欧元,但仍拒绝披露准确受影响人数,也未说明是否涉及支付信息或密码。问题不只是一家零售商被黑,而是会员体系长期把数据当增长资产囤积,出事后又把透明度当成本压缩。

数据泄露Rituals会员数据库
英国警告约100国已具手机入侵能力:企业还把这当小众风险,判断已经过时
安全 2026/4/24

英国警告约100国已具手机入侵能力:企业还把这当小众风险,判断已经过时

英国国家网络安全中心警告,全球约100个国家已拥有可入侵手机和电脑的商业间谍软件能力,高于2023年英国估算的80个。重点不在数字多了20个,而在监控级黑客能力正被商业化出售,目标也从记者、异议人士扩到银行家、富裕商人、企业与关键基础设施。对英国企业和高风险行业来说,把手机入侵当成少数高危人物的问题,已经是过期的安全假设。

商业间谍软件手机入侵国家级黑客能力
Brex 开源 CrabTrap:给 AI Agent 出口加闸,但这还不是安全答案
安全 2026/4/24

Brex 开源 CrabTrap:给 AI Agent 出口加闸,但这还不是安全答案

Brex 开源了 CrabTrap,一个部署在 AI agent 外部请求出口的 HTTP 代理,用静态规则加“LLM-as-a-judge”实时决定 allow 或 block。它重要,不是因为又多了个开源工具,而是它把问题点得很准:生产环境里最危险的往往不是模型说错,而是 agent 真去调 GitHub、Slack、邮件和内部 API。CrabTrap 很务实,但边界也很清楚:它管的是出口请求,不等于解决幻觉、数据泄漏、越权调用和权限设计这些老问题。

Agent 安全CrabTrapBrex
OkCupid 300万张照片喂给人脸AI,12年后才删:删库了,责任却没跟上
安全 2026/4/24

OkCupid 300万张照片喂给人脸AI,12年后才删:删库了,责任却没跟上

Clarifai已删除约300万张来自OkCupid的用户照片,以及基于这批数据训练的模型。问题不只是一批旧数据被清掉,而是2014年起,约会平台的亲密资料在投资关系和治理失守下流向了人脸识别训练。FTC最终推动了删库,但在首次违法通常难直接罚款的现实下,这更像迟到的止损,不是完整追责。

数据隐私人脸识别FTC
勒索谈判员认罪:当“帮你压价的人”靠抬价分成,问题就不只是内鬼
安全 2026/4/24

勒索谈判员认罪:当“帮你压价的人”靠抬价分成,问题就不只是内鬼

美国司法部披露,前 DigitalMint 员工 Angelo Martino 认罪,承认在至少五起勒索事件中把受害者保险额度和谈判策略泄给 ALPHV/BlackCat,帮助黑客抬高赎金并从中分成。Martino 面临最高 20 年刑期,司法部门已扣押 1000 万美元资产。刺眼的不是又一个坏员工落网,而是勒索谈判这门生意里的激励冲突:替客户止损的人,可能也在按损失抽成。

勒索软件DigitalMintALPHV/BlackCat
YouTube把AI“肖像检测”扩到明星:像Content ID,但先保护的是有经纪人的脸
安全 2026/4/24

YouTube把AI“肖像检测”扩到明星:像Content ID,但先保护的是有经纪人的脸

YouTube把AI“肖像检测”工具扩展到娱乐业人士、经纪公司和管理公司,帮助他们发现并申请移除平台上的深度伪造视频。它更像是把Content ID的逻辑从版权延伸到“人脸”,但不是自动删光,讽刺和戏仿仍可能保留。问题不在功能有没有,而在平台终于开始把身份纳入治理,且优先照顾的是最有商业价值、最有代理体系的人。

YouTube深度伪造肖像检测
Hugging Face借Mythos表态:AI安全的关键,不是更大模型,而是开放且可审计的系统
安全 2026/4/24

Hugging Face借Mythos表态:AI安全的关键,不是更大模型,而是开放且可审计的系统

Anthropic发布Mythos与Project Glasswing后,Hugging Face很快把焦点拉回系统层:AI网络安全要靠算力、代码数据、安全脚手架和半自治协同,不是押注单一模型神话。真正的分歧也不只是“开源安不安全”,而是漏洞发现和修补进入AI速度战后,开放生态的分布式修补,是否比闭源厂商的单点控制更可靠。对高风险机构、企业安全团队和已引入AI编程工具的公司来说,这已经是采购、部署和治理问题。

AI安全Hugging FaceAnthropic
索尼在英国和爱尔兰给 PS 社交功能加年龄验证:游戏还能玩,开麦和主机开播不行
安全 2026/4/24

索尼在英国和爱尔兰给 PS 社交功能加年龄验证:游戏还能玩,开麦和主机开播不行

索尼开始通知英国和爱尔兰的 PS4、PS5 用户:如果到 2026 年 6 月前未完成年龄验证,游戏还能继续玩,但语音聊天、消息、派对、第三方通信,以及从主机向 YouTube、Twitch 直播或分享 gameplay 会受限。验证由 Yoti 提供,可用手机号、人脸扫描或身份证件完成。真正该盯的不是“要不要保护未成年人”,而是主机平台正把社交和创作功能变成年龄验证入口,合规成本先落到普通用户身上。

年龄验证在线安全法索尼
2.9亿美元又没了:朝鲜黑客盯上的不只是加密货币,而是行业的松懈
安全 2026/4/24

2.9亿美元又没了:朝鲜黑客盯上的不只是加密货币,而是行业的松懈

Kelp DAO 周末遭盗超 2.9 亿美元加密资产,LayerZero 初步将矛头指向朝鲜黑客组织 TraderTraitor,这已是 2026 年目前最大一笔加密失窃案。更刺眼的不是金额,而是老问题重演:跨链桥、默认配置、单点审批,几乎把钱摆在门口。加密行业嘴上讲去中心化,现实里却一再输给最传统的安全常识。

加密货币盗窃朝鲜黑客Kelp DAO
我们不是“同意”了监控,而是被默认喂给了广告系统
安全 2026/4/24

我们不是“同意”了监控,而是被默认喂给了广告系统

一篇回看 DoubleClick、Google 收购和苹果 ATT 的文章,把互联网追踪史压成了一个刺眼事实:所谓“用户同意”,很多时候只是被设计出来的疲惫点击。真正重要的不是 Cookie 横幅有多烦,而是浏览器和平台本来有能力把跨站追踪设成默认拒绝,却长期选择了相反的方向。对普通用户来说,这笔账不只算在隐私里,还算在网页变慢、电量流失和广告产业对注意力的长期征税里。

隐私追踪第三方 CookieDoubleClick
Notion 公开页被指可枚举编辑者邮箱,问题不在“页面公开”,而在协作者身份被顺手公开
安全 2026/4/24

Notion 公开页被指可枚举编辑者邮箱,问题不在“页面公开”,而在协作者身份被顺手公开

安全研究人员称,任何公开的 Notion 页面都可能通过未登录请求返回编辑者姓名、邮箱和头像。若这一说法成立,问题的性质就不是“公开内容被看到”,而是 Notion 把原本应受控的协作者身份信息一起暴露了出去。对依赖公开知识库、帮助中心和招聘文档的企业来说,这会直接抬高钓鱼和员工画像成本,影响的不只是安全团队,也会波及发布流程和采购判断。

Notion信息泄露未鉴权请求
Vercel承认更早已有客户账户被攻破:凭证失守后,开发者平台会把风险传给客户
安全 2026/4/24

Vercel承认更早已有客户账户被攻破:凭证失守后,开发者平台会把风险传给客户

Vercel 扩大调查后承认,除 4 月初已披露的入侵外,少量客户账户在更早之前已被独立攻破,部分客户数据被盗;另有更多账户被确认受 4 月事件影响,但具体数量和更早事件起始时间仍未公开。新增信息把问题从一次入侵扩大到更长暴露期和多条攻击链:对使用 Vercel 或类似开发者平台的团队来说,核心风险是 token、keys、环境变量和内部访问权限如何被平台保存、隔离和审计。

Vercel客户账户被攻破凭证泄露
欧盟数字身份钱包被公开追问:年龄验证规范,离“最少暴露”还差几条硬约束
安全 2026/4/24

欧盟数字身份钱包被公开追问:年龄验证规范,离“最少暴露”还差几条硬约束

欧盟数字身份钱包一个技术规范讨论帖,把年龄验证系统里最敏感的矛盾挑明了:口头上讲隐私,规范里却还没把“不能追踪、不能留存、不能串联”写死。真正重要的不是这条 GitHub Issue 本身,而是它暴露出欧洲数字身份项目在落地阶段的老问题——原则正确,工程约束不够硬。对普通用户来说,差别就在于“证明你成年”会不会悄悄变成“记录你去过哪”。

欧盟数字身份钱包年龄验证隐私保护
被制裁的俄系交易所被盗 1500 万美元:这更像黑吃黑世界里的规则清算
安全 2026/4/24

被制裁的俄系交易所被盗 1500 万美元:这更像黑吃黑世界里的规则清算

一家与俄罗斯关系密切、已被美国制裁的加密货币交易所 Grinex 在遭遇约 1500 万美元资产被盗后暂停运营,并把矛头指向“西方特殊部门”。问题的重点不在这句政治指控真假,而在于:一个长期服务高风险资金、靠换壳续命的平台,终究还是没逃过“高风险溢价”变成真实损失。对用户来说,这不是一场地缘政治大戏,而是资产托管风险被一次性兑现。

加密交易所被盗Grinex网络攻击
那些没写进依赖表的库,正在决定开源安全账单该由谁来买
安全 2026/4/24

那些没写进依赖表的库,正在决定开源安全账单该由谁来买

FOSDEM 2026 上,研究者 Vlad-Stefan Harbuz 把“幽灵二进制依赖”推到台前:很多软件实际依赖了预编译库,但这些关系既不在 package.json,也不在 pyproject.toml 里。我的判断是,这不是一个冷门的打包细节,而是开源资金分配和供应链安全里的盲区;但它短期内也不会靠一份新标准自动解决,因为语言包管理器和系统包管理器长期各管一摊。

幽灵二进制依赖软件供应链安全SBOM
当耳机变成窃听器:一篇老论文,为什么今天仍值得重看
安全 2026/4/24

当耳机变成窃听器:一篇老论文,为什么今天仍值得重看

本-古里安大学团队提出的 SPEAKE(a)R 展示了一种容易被忽略的风险:电脑上的普通耳机,可能被恶意软件重新配置成“临时麦克风”。它真正重要的地方,不在于攻击有多新,而在于硬件可重定义接口这类设计,长期被当成功能便利,却很少按安全边界来管理。对普通用户来说,这不是“耳机都会偷听你”,而是再一次提醒:把摄像头贴住、把麦克风静音,并不等于彻底切断传感器风险。

SPEAKE(a)R耳机变麦克风插孔重定向
给 C/C++ 套上“安全壳”:Fil-C 不是银弹,却可能是遗留代码最现实的止血方案
安全 2026/4/24

给 C/C++ 套上“安全壳”:Fil-C 不是银弹,却可能是遗留代码最现实的止血方案

Fil-C 的意义,不在于它能把 C/C++ 变成另一种语言,而在于它试图用更低迁移成本,把内存安全这件事往前推一步。对那些背着几十万行、几百万行遗留代码的团队来说,这类方案未必完美,却可能比“等重写”更接近现实。真正值得关注的,是它是否能在性能、兼容性和工程改造成本之间,拿出一个企业愿意试点的平衡点。

Fil-C内存安全C/C++
“我犯了错”背后:一次炫耀式入侵,为何让美国政府系统更难堪
安全 2026/4/24

“我犯了错”背后:一次炫耀式入侵,为何让美国政府系统更难堪

这起案件最刺眼的地方,不是黑客在法庭上说了句“我犯了错”,而是他此前几乎把“我攻进了政府系统”当成社交媒体人设来经营。真正让美国政府难堪的,不只是一次入侵,而是公共数字身份体系在最基础的认证环节上,依然可能被低成本、可复制的手法撬开。对普通人来说,这不是遥远的网络安全新闻,而是医疗、退伍军人福利、报税、贷款和身份信用都可能被连带拖下水的现实风险。

政府系统入侵身份认证被盗登录凭据
Windows 漏洞公开仅两周,攻击者就开始下场:这不是一次技术争论,而是一次现实世界的压力测试
安全 2026/4/24

Windows 漏洞公开仅两周,攻击者就开始下场:这不是一次技术争论,而是一次现实世界的压力测试

两处尚未修补的 Windows 漏洞在被公开不到两周后,已经被攻击者用于入侵组织网络。事情的核心不只是“微软修得慢”或“研究员公开得太早”,而是安全行业再次被迫面对一个老问题:当漏洞细节先于补丁流入公开空间,最先付出代价的往往不是平台公司,而是医院、学校、地方机构和人手紧张的 IT 团队。

Windows Defender漏洞微软漏洞披露
量子计算的闹钟突然提前了:谷歌、Cloudflare冲向2029,大厂加密迁移赛跑正式变味
安全 2026/4/24

量子计算的闹钟突然提前了:谷歌、Cloudflare冲向2029,大厂加密迁移赛跑正式变味

后量子密码迁移原本像一场漫长而枯燥的基础设施升级,如今却被谷歌和Cloudflare硬生生拉成了“提前交卷”的高压竞赛。真正让行业紧张的,不再只是“未来某天旧数据会被解密”,而是量子计算一旦越线,今天依赖数字签名维持信任的互联网本身,可能会先出问题。

后量子密码迁移量子计算谷歌