安全资讯 第3页
聚合当前分类下的最新内容,按时间顺序查看第 3 页精选文章。
美国想把武器级钚交给核能初创公司:能源创新,还是把国家旧账外包?
美国能源部正与 Oklo、Standard Nuclear、Shine Technologies、Flibe Energy、Exodys Energy 等核能初创公司谈判,探索把冷战遗留的武器级钚转作新一代反应堆燃料。真正的看点不在“钚能不能烧”,而在美国能不能管住燃料制造、运输、安保、扩散和责任边界。
Starlette BadHost 漏洞:真正危险的不是 Host 头,是把捷径当边界
Starlette 1.0.1 之前版本被披露 BadHost 认证绕过漏洞,问题出在框架构造 request.url 时可能受异常 Host 头影响,导致中间件看错 path。它不是“FastAPI 全线沦陷”,真正高风险的是用 request.url.path 在中间件里做鉴权、白名单、限流的 AI 网关、模型服务和 Agent 后端。
FBI 追踪 AI 深伪色情案:嫌疑人没那么隐身,受害者仍要先受伤
FBI 逮捕两名涉嫌发布、出售非自愿 AI 色情深伪内容的男子,两人目前均为被指控状态,若违反 TIDA 被证明成立,最高可面临两年监禁。案件说明,很多制作者并没有想象中匿名:支付账号、IP、云账号、社交媒体保存图片和头像都可能成为线索。真正难的不是追到人,而是内容第一次传播前,法律和平台往往还拦不住。
伴侣手机里的 Stalkerware:监控生意钻进了亲密关系
404 Media 在播客中采访 TechCrunch 编辑 Zack Whittaker,讨论 stalkerware/spouseware 被普通人购买并秘密装进伴侣手机的问题。它的危险不在技术多高级,而在监控被包装成家庭安全、儿童保护和设备管理后,进入了最难求助的亲密关系。接下来最该看的,不是某个 App 被下架,而是平台、执法和反家暴支持体系能不能把“未同意的隐蔽监控”当成现实安全问题处理。
中国废弃火箭上面级五年升至约252吨,低轨风险在变重
空间态势感知专家 Jim Shell 的分析显示,中国留在长期近地轨道的废弃火箭上面级总质量,五年内从不足100吨升至约252吨。问题不是发射次数增加,而是部分任务仍把不可控、质量大的上面级留在约600—2000公里轨道。对卫星运营商和太空安全研究者来说,接下来最该看的是国网、千帆等星座部署中,上面级处置方式是否跟着升级。
洛杉矶交通局被黑:Ababil of Minab 是行动主义,还是伊朗国家行动马甲?
以色列网络安全公司 Gambit Security 称,2026 年 3 月 LACMTA 入侵事件由 Ababil of Minab 所为,并将其归因于伊朗情报部门 MOIS。 黑客声称窃取并删除数据,但公开信息没有给出被盗规模,也不能直接写成勒索软件攻击。 这起事件最该看的,是“黑客行动主义”外衣下的国家级行动,是否正在把美国交通系统当成低成本测试场。
Shadow Brokers近十年未破案:疑似NSA工具外泄,改写了企业安全底线
Shadow Brokers在2016年通过Twitter和Pastebin声称拍卖“Equation Group”网络武器,相关工具被研究者认为高度可能来自NSA相关体系,但组织身份至今没有定论。 这起事件真正改变的,不是大家多了一个情报谜案,而是企业必须假设:高级攻击工具可能突然流入公开网络。 对安全负责人来说,补丁速度、资产台账、暴露面管理和备份演练,不再是后台事务,而是能否少挨一刀的时间差。
BusPatrol 想把校车摄像头变成车牌识别网,儿童安全叙事到了隐私边界
404 Media 披露,BusPatrol 正计划把美国校车上的 AI 摄像头扩展为自动车牌识别系统,试点从 1 辆车开始,计划下月扩至 100 辆。 争议不在抓拍违规超车,而在用途扩张:校车可能从儿童安全设备,变成记录沿途车牌和 GPS 位置的流动监控节点。 目前不能断言这套新 ALPR 数据已被出售给警方或 ICE,但泄露文件和消息源显示,公司已在为执法查询、Axon 集成和新收入模式做准备。
7-Eleven 数据泄露超 18.5 万人:麻烦不在改密码,而在身份盗用
Have I Been Pwned 称,7-Eleven 相关数据泄露影响超过 185,000 人,泄露信息包括姓名、生日、实体地址、电话和邮箱。马萨诸塞州文件还显示,事件涉及部分人的社安号和驾照信息,但目前不能说所有受影响者都泄露了这两类高敏数据。更关键的是,缅因州文件称黑客访问了含加盟商文件的内部服务器,这起事件更像一次身份资料外流,而不是普通账号泄露。
Ente 用直线讲 Shamir 秘密共享:重点不是更难猜,而是低于阈值零泄露
Ente 发布文章,用直线、抛物线和多项式解释 Shamir 秘密共享:任意 k 份可恢复,少于 k 份不泄露秘密。关键判断是,这套方案的价值不是把破解变难,而是在数学上保证低于阈值时没有可用信息。对做账户恢复、密钥托管和数字遗产方案的人,真正要检查的是实现有没有把这个保证磨掉。
Copilot Cowork 文件外泄演示:AI 同事最危险的不是会说,而是有手
Microsoft Copilot Cowork 被安全研究者演示出一条智能体数据外带链路:提示注入、自动发邮件、邮件外部图片请求、OneDrive 预授权链接,几件普通功能连起来就可能泄露文件。真正的问题不在某个模型突然失控,而在企业智能体默认拥有读文件、生成链接、发消息和触发外部请求的组合权限。企业要盯的不是 AI 答得漂不漂亮,而是它能不能在没人点头时把东西递出去。
加州年龄验证法拟豁免 Linux,难题不只是开源被特殊照顾
加州一项即将实施的年龄验证法律,因为要求操作系统收集或确认用户年龄,引发开源社区反弹。原法律作者本人已提出 proposed amendment,拟将 Linux 排除在适用范围之外,但这还不是正式修改。真正要看的不是 Linux 是否被照顾,而是操作系统级年龄验证在隐私、开源分发和责任归属上能不能落地。
Mullvad 列出 13 台已部署出口 IP 指纹缓解的服务器:别读成全网完成
Mullvad 帮助页最后更新于 2026 年 5 月 25 日,列出 13 台已部署出口 IP 指纹识别缓解措施的 VPN 服务器。\n这次更新更像服务器级 rollout 进度披露,不是完整技术公告,也不是所有 Mullvad 服务器完成部署。\n对用户的实际影响很具体:重度隐私用户可以优先看这 13 台节点,普通用户不必把它理解成安全事故通报。
荷兰查扣 800 多台服务器:欧洲制裁开始追到主机商
荷兰 FIOD 逮捕 MIRhosting 与 WorkTitans 相关两名负责人,查扣笔记本、手机和 800 多台服务器,指控其向欧盟制裁对象提供资源。案件仍在调查,两人尚未被定罪,MIRhosting 与 Andrey Nesterenko 否认有意规避制裁或支持网络犯罪。更关键的变化是:欧洲制裁不再只停在名单上,而是开始追机房、接入关系和基础设施迁移链条。
HIPAA安全规则拟大修:医疗合规要从“有文件”转向“有证据”
HHS/OCR发布的HIPAA Security Rule拟议更新,正在把ePHI加密、MFA、年度风险分析、资产清单和业务伙伴核验推向更硬的要求。关键变化不是多填几张表,而是医疗机构和业务伙伴要能证明安全控制持续运行、可审计、可追责。当前仍应按NPRM理解,生效日期、过渡期和具体义务边界要等Federal Register和OCR最终文本确认。
Google 一边教企业管 AI 风险,一边暴露了平台自己的新风险
Google Cloud 高管 Francis de Souza 强调,企业做 AI 不能把安全、数据治理和平台策略拆开设计,尤其要警惕 shadow AI、多云环境和 agent 带来的新攻击面。但另一边,The Register 报道多名 Google Cloud 开发者因 API key 权限变化遭遇 Gemini 未授权调用和高额账单。真正的问题不只是 AI 安全有多难,而是平台商自己的默认权限、计费边界和审计能力也正在变成风险源。
CBP 3340-049B边境电子设备搜查指令:手机能查到哪一步,关键看三条边界
CBP Directive No. 3340-049B 的主题是 Border Search of Electronic Devices,适用场景应限定在美国边境、机场、港口和入境口岸相关检查。真正要看的不是“能不能查手机”,而是它如何区分本地数据与云端数据、基础检查与更深入的取证式检查。对赴美旅客、企业人员、律师和媒体从业者,重点不是临场争辩,而是入境前把设备和敏感资料处理干净。
AI 越狱开始研究“性格”了,问题不在模型有没有情绪
AI 聊天机器人的越狱攻击,正在从粗暴提示词升级为针对角色设定、语气和人格化设计的社会工程。真正的风险不是模型有了情绪,而是厂商把“像人”做成卖点时,也把人的可欺骗性做进了产品边界。
ICE 2510 万美元买虹膜扫描:真正要盯的是非竞标和现场执法
ICE 以非竞标方式把 2510 万美元虹膜识别合同授予 Bi2 Technologies,设备要求最早 6 月底送达一线地点。金额是 2025 年 9 月合同的 5 倍以上,设备数量从约 200 台增至 1570 台。问题不只是买了什么技术,而是现场执法、数据库访问和监督缺口被一次采购打包推进。
加州橙县7000加仑化学品储罐升温:风险还没结束,重点不是迪士尼
加州橙县Garden Grove一家GKN Aerospace工厂内,约7000加仑甲基丙烯酸甲酯储罐升温失稳,州长已宣布进入紧急状态,周边数千居民被疏散。它目前更像一起储罐失效风险事件,而不是已经定性的“大规模泄漏”或“爆炸”事故。接下来要看三件事:罐内温度能否压住、罐体会不会破裂、围堵能否挡住外泄。
Apple 修补 MIE 本地提权漏洞:问题不在硬件防线崩了,而在可信写入口失守
Apple 在 2026 年 5 月 11 日发布的 macOS Tahoe 26.5 中修复 CVE-2026-28952。研究披露显示,非特权本地用户可在 Apple Silicon M5、启用 MIE 的环境下利用该漏洞实现内核提权。 关键判断:MIE 不是被整体攻破,SPTM 和硬件内存标记也不是被直接打穿。真正失守的是 `_zalloc_ro_mut` 这个受信任写入口,它的 `target + len` 整数溢出检查错误,让 RO zone 被“合法路径”越界写入。 对安全团队来说,动作很明确:尽快部署 macOS Tahoe 26.5,把这类本地提权纳入终端补丁 SLA 和检测规则;普通用户至少应确认系统是否已更新到 26.5。