安全资讯 第2页
聚合当前分类下的最新内容,按时间顺序查看第 2 页精选文章。
个人站封禁未知 Query String:反跟踪有理,照搬会出事
chrismorgan.info 作者 Chris Morgan 禁止本站未授权的 URL 查询参数,外部追加的 ref、utm 等字段可能被拒绝或不再兼容。 这件事的核心不是“query string 有罪”,而是个人站能否拒绝外部平台把自己的链接当成跟踪载体。 我的判断:个人站这样做有正当性;商业网站和复杂 Web 应用若照搬,容易伤到搜索、缓存、支付和正常功能。
GM 加州隐私和解:1275万美元不贵,真正贵的是刹车数据被明码标价
通用汽车同意支付1275万美元,和解加州关于出售司机位置和驾驶行为数据的隐私诉讼,并承诺五年内停止向数据经纪商出售客户信息。更关键的新增细节是:加州司机将可以阻止 OnStar 收集位置数据,注册和使用驾驶数据前也需要更清晰的告知与同意。钱只是合规成本,真正被收紧的是车企把车联网数据变成保险定价燃料的灰色通道。
欧盟年龄验证盯上 VPN:未成年人保护不能顺手削弱隐私工具
欧盟在推进在线年龄验证时,把 VPN 描述为可绕过限制的“漏洞”,释放出监管视线可能从内容平台延伸到隐私工具的信号。真正重要的不是“欧盟要禁 VPN”——目前没有这一事实,而是未成年人保护目标正在与匿名访问、加密连接和跨境办公等合法需求发生正面摩擦。
React2Shell 刺痛的不是 RCE,而是 RSC 把安全边界藏进了框架魔法
React2Shell 是一个与 React Server Components / Flight 机制相关的远程代码执行风险:Lachlan 于 2025 年 11 月 30 日报告给 Meta,Meta 12 月 3 日发布修复和 CVE-2025-55182 公告。真正麻烦的是,RSC 让客户端到服务端的调用看起来太顺,开发者容易把 TypeScript 类型、框架序列化和运行时输入校验混成一回事。对 React/Next.js 团队来说,动作很具体:按 Meta 公告升级,盘点 RSC 与 Server Functions 入口,把不可信输入重新拉回运行时校验。
汉坦病毒邮轮已疏散,美国接回18人:可怕,但还不是“新冠邮轮”
MV Hondius 邮轮安第斯汉坦病毒暴发处置有了更清晰边界:WHO确认病例升至9例,美国接回18名相关人员,其中3人进入生物隔离安排。真正该看的不是“病毒进了美国”这种标题,而是疑似人际传播是否被围住,以及那名美国乘客的“弱阳性”能否复核为确诊。
AI 加速 CVE 发现后,漏洞治理会卡在依赖图上
Flox 发文认为,Big Sleep、Microsoft Copilot、DARPA AIxCC 等案例说明 AI 正在加快漏洞发现,包级 CVE 的排查压力会继续上升。真正的问题不是谁能一键修漏洞,而是企业能不能证明哪些环境包含同一批依赖。Nix/Flox 的价值在于用可验证的依赖闭包减少重复 triage,但它只覆盖被固定和追踪的环境。
一个 u32 怎么把 io_uring 新特性打成 root
Linux 6.15–6.19 的 io_uring ZCRX 零拷贝接收子系统被曝 freelist 越界写漏洞,修复点是 commit 770594e。它不是远程漏洞,也不是人人可打;真正有意思的是,一个看似不起眼的 u32 小整数,在特定硬件、权限、堆布局和旧提权链条配合下,能被串成 root。
Google 新 reCAPTCHA 依赖 Play Services,去 Google 化 Android 用户可能过不了验证
Google 新一代 reCAPTCHA 的部分 Android 挑战验证,要求设备具备 Google Play Services 25.41.30 或更高版本;早期支持页曾显示 25.39.30。 影响不发生在所有访问场景,而是在系统判定可疑、要求挑战验证时。GrapheneOS 等去 Google 化 ROM 可能因此卡住。 争议不在于反机器人该不该做,而在于 Web 入口正在把 Google 专有框架变成一张隐性门票。
Copy Fail 补丁被看穿后,漏洞披露的时间差没了
Copy Fail 公布当天,Hyunwoo Kim 发现修复不足并提交补丁,同时把安全影响通报给 Linux 安全工程师闭门列表。但公开补丁很快被外部人员读出安全含义并发布,embargo 实际提前结束。AI 没有自动攻破 Linux,它正在压缩漏洞披露里最值钱的东西:时间差。
CyberSecQwen-4B 发布:安全 AI 不必总上云,小模型也能做硬活
Hugging Face 博客发布 CyberSecQwen-4B:一个基于 Qwen3-4B-Instruct-2507 微调的 4B 防御性网络安全模型,训练来自 AMD Developer Hackathon 项目,并以 Apache 2.0 发布。它的看点不是“4B 打赢大模型”,而是在 CWE 分类、CVE→CWE 映射、结构化 CTI 问答这些窄任务里,本地小模型可能比云端通用模型更容易进入安全流程。对安全运营和漏洞管理团队来说,最现实的动作不是立刻替换系统,而是把它放进低风险环节试点,并保留人工复核。
马斯克在法国被刑事调查:X 的问题不只是内容审核
法国检方已把针对 X、xAI、马斯克和 Linda Yaccarino 的调查升级为正式刑事调查,焦点包括未成年人性影像、性深伪、Grok 否认大屠杀内容、数据安全和非法交易。现在还不是定罪,也不等于必然受审,但法国检方已要求提出初步指控,或发出等同起诉的令状。关键不在“马斯克又和欧洲吵架”,而在平台老板还能不能用政治迫害叙事,绕开本地法律和内容治理责任。
5座水厂被黑:国家级冲突盯上地方旧账
波兰情报机构称,5座水处理厂遭黑客攻击,攻击者可能触及工业控制设备;最坏情况可能影响供水安全,但报告没有确认水质已被篡改。报告同时指控俄罗斯支持的破坏和黑客活动针对波兰军事设施、关键基础设施和民用目标,但没有把这5起水厂攻击明确归因给俄罗斯。真正该看的不是“又一起黑客事件”,而是低预算水厂、电网等地方基础设施,正在承受国家级冲突的压力。
一个网页不问你,也能拼出多少浏览器指纹
Since You Arrived 的“taken”页面展示了一件容易被忽略的事:网页打开瞬间,IP、时区、系统、屏幕、GPU、语言、字体和 Cookie 状态等信息就可能被读取。它自称不写入 Cookie、不存储信息,反而凸显了问题:多数网站未必会如此克制。真正的风险不是某个字段泄露,而是这些信号组合后,可以在无账号、无姓名、无 Cookie 的情况下形成浏览器指纹。
L3Harris 前高管把黑客工具卖给俄方中间人:网络军火生意最怕内部人
L3Harris 前网络安全高管 Peter Williams 因窃取监控与黑客工具,并以约 130 万美元卖给与俄罗斯政府有业务联系的中间人,被法院要求在此前 130 万美元赔偿之外再支付 1000 万美元。关键不只是商业秘密被盗,而是高权限内部人把网络武器当商品转手。对国防科技和网络安全团队来说,这件事该落到权限、离职、审计和中间人尽调上,而不是停在道德谴责。
404 Media 调查 Haotian AI:深伪诈骗报道,难在那笔“入场费”
404 Media 在会员幕后文中披露,调查中文实时换脸诈骗软件 Haotian AI 花了数周到一个多月,记者为获取并测试软件还涉及购买加密货币等操作。公开信息显示,Haotian AI 被称可在 WhatsApp、Zoom、Teams 等视频通话场景中实时换脸。更关键的问题不是深伪工具多吓人,而是媒体、研究者和监管者要摸清黑灰产,必须付出怎样的证据成本和伦理代价。
Cybertruck 便宜版只卖出 173 辆,也全量召回了
Tesla 正在召回已售出的全部 173 辆 RWD Cybertruck Long Range,故障点在制动盘螺柱孔,极端情况下车轮可能与轮毂分离。 目前只有 3 起可能相关保修索赔,Tesla 称没有相关碰撞、死亡或受伤报告;车主最该做的是核对召回通知并预约免费更换。 规模很小,但这是 Cybertruck 第 11 次召回。真正刺眼的是:激进设计、低价版本和制造一致性之间的账,还没算完。
美国上线 UAP 解密页面:别急着找外星人,先看谁在控制叙事
美国政府上线 PURSUE 页面,称将按总统指令分批查找、审查、解密并发布 UAP/UFO 相关记录,首批材料包括红外图像、军事报告截图和 Apollo 17 旧影像。\n这次公开目前不能证明外星飞船,也不能证明技术突破。更值得看的是:美国正在把 UAP 从民间奇谈,搬进国家安全、档案治理和政治传播的制度框架里。\n普通读者该做的不是追着模糊光点下结论,而是看后续材料怎么分类、哪些机构参与、哪些内容始终不放出来。
芝加哥ICE抗议者起诉DHS:轻微逮捕能不能变成永久DNA档案
4名在芝加哥Broadview ICE设施外被捕的抗议者起诉DHS和FBI,要求停止采集、上传和永久保存他们的DNA样本与基因档案。此案的核心不是一次抗议执法争议,而是联邦政府能否借轻微、撤销甚至未起诉的逮捕,把抗议者送进长期DNA检索体系。最受影响的是参加移民执法抗议的人,以及为他们提供法律和组织支持的人。
OpenAI分级开放GPT-5.5网络安全能力:重点不是更强,而是谁能用
OpenAI把GPT-5.5纳入Trusted Access for Cyber,并限量预览GPT-5.5-Cyber,面向已验证防御者和关键基础设施安全团队。真正的变化不是放开攻击能力,而是用身份验证、账户安全、访问分级和滥用监控来降低双用途风险。对企业安全负责人来说,GPT-5.5 with TAC更像默认起点,GPT-5.5-Cyber只适合少数授权红队和受控测试流程。
ICE 探索智能眼镜:人脸识别可能从“举手机”变成“看一眼”
404 Media 称,ICE 正在探索开发智能眼镜,用来补充其人脸识别应用 Mobile Fortify;DHS 回应称,目前尚未承诺任何智能眼镜资金。 关键不在于眼镜是否已经部署,而在于执法识别可能从手机扫描推进到可穿戴、实时化现场。 真正受影响的是街头被扫描者的知情、拒绝和纠错能力,尤其是移民社区、持签证者和容易被误识别的人。
Model Y首个通过NHTSA新版ADAS测试:赢的是项目成绩,不是自动驾驶认证
2026款后期批次Tesla Model Y成为首个通过NHTSA新版ADAS测试的车型,但适用范围很窄:仅限2025年11月12日及之后生产的车辆。这个结果利好特斯拉,也说明美国监管开始把辅助驾驶能力拆成可测试项目;但它不是FSD获批,更不是自动驾驶官方背书。