安全资讯 第4页
聚合当前分类下的最新内容,按时间顺序查看第 4 页精选文章。
零点击间谍软件增多,高风险用户该认真开启“封锁模式”了
零点击攻击的麻烦在于,用户不点链接、不下载附件,也可能被入侵。Apple、Google、Android 和 WhatsApp 已经提供高安全模式,分别保护设备、账号、系统和通讯入口。对记者、维权人士、政治异见者等高风险人群,牺牲一部分便利,正在变成更现实的安全交换。
Oura承认收到政府数据请求,健康戒指该补上透明度报告
1)Oura承认会收到政府索取用户数据的请求,但没有披露请求数量、交付次数和涉及的数据类型。2)问题不在于证明Oura已经大规模交出数据,而在于它掌握的是睡眠、心率、经期、位置等敏感信息,不能只靠一句“会审查”。3)对Oura用户和准备采购健康穿戴设备的团队来说,接下来最该看的是透明度报告,而不是新的隐私口号。
微软、Meta向美参院提交荷兰监管者姓名,荷兰担心风险落到个人身上
据荷兰《Vrij Nederland》报道、DutchNews转述,微软、Meta等美国科技公司向美国参议院一个调查“科技审查”的委员会提供了参与欧洲科技监管的荷兰公务员和学者姓名。荷兰政府称此事“极其令人担忧”,担心被点名者面临旅行禁令或制裁等潜在后果。真正刺痛荷兰的,是监管权、云服务和美国科技供应商依赖被同一件事串在了一起。
NTSB因AI“复活”遇难飞行员声音关库:公开案卷被模型钻了空子
有人从NTSB公开案卷中的驾驶舱录音频谱图和文字记录出发,用AI近似重建了UPS 2976遇难飞行员的声音,迫使NTSB一度关闭事故调查案卷系统。新细节补强了问题的关键:不是原始录音泄露,而是过去被视为“安全公开”的技术材料,在AI时代变成了可逆的数据影子。真正受伤的不只是家属,还有航空安全透明制度本身。
Anthropic 扩大 Project Glasswing:AI 找洞破万,补丁链路才是真战场
Anthropic 正把 Project Glasswing 从约 50 家合作伙伴扩大到新增约 150 家组织,覆盖电力、水务、医疗、通信、硬件等关键基础设施。初始合作方已用 Claude Mythos Preview 发现超过 1 万个高危或严重漏洞,但最要紧的问题不是“AI 能不能找洞”,而是这些洞有多少被确认、披露、修好并部署到生产系统里。
得州起诉 WhatsApp“假加密”:Meta 不清白,但这刀证据太薄
得州总检察长 Ken Paxton 起诉 Meta,称 WhatsApp 的端到端加密宣传不实,Meta 可读取用户明文消息。问题是,目前公开证据主要来自 Bloomberg 对一封调查邮件的报道,得州并未拿出新的技术证据。Meta 的隐私黑账不能替代证据;如果用薄证据打加密产品,受伤的可能不只是 WhatsApp。
yt-dlp 收窄并弃用 Bun 支持:问题不在版本号,而在供应链和维护风险
yt-dlp 在 GitHub issue #16766 中宣布,从后续 yt-dlp 和/或 ejs 发布开始,Bun 作为 ejs 兼容 JavaScript 运行时的支持范围收窄到 1.2.11–1.3.14,并标记为 deprecated。 这不是 Bun 立刻不能用,而是维护者把它从“可长期支持的选项”降成了“有限支持、随时可能退出的选项”。 真正值得看的是两个风险:旧版 Bun 构建 ejs 时会忽略 lockfile;1.3.14 之后的 Bun 代码路线让 yt-dlp 不愿提前背书。
Kash Patel相关服装网站下线:政治周边生意,先暴露的是安全债
Kash Patel相关服装周边品牌Based Apparel的网站,在被曝遭劫持并诱导访客安装疑似窃密木马后下线。公开信息尚不能证明FBI系统受影响,也不能推定Patel本人参与运营或知情。真正刺眼的是:政治流量可以很快变成生意,但网站安全、供应商管理和事件响应很难靠口号补上。
特斯拉召回 14575 辆 Model Y:这次 OTA 救不了一张贴纸
NHTSA 召回 14575 辆特斯拉 Model Y,原因不是电池、刹车或软件,而是部分车辆可能缺少车门内侧的重量认证标签。特斯拉估计约 45% 的召回车辆实际缺失,原因指向弗里蒙特工厂自动视觉扫描工具漏检。真正值得看的是:自动化制造再强,也绕不开最基础的合规闭环。
Trump Mobile确认客户姓名、地址和手机号曾公开暴露,问题指向第三方平台
Trump Mobile确认,客户姓名、邮箱、邮寄地址、手机号和订单标识曾暴露在公开互联网,事件与支持部分业务的第三方平台有关。现有信息更像一次第三方平台配置或访问控制问题,而不是已证实的核心通信网络入侵或财务数据泄露。真正该盯的,是公司是否通知客户、第三方供应商是谁,以及暴露范围如何界定。
O.J. Simpson那笔5.8万美元判赔:DirecTV旧案里的版权执法样板
Ars Technica回顾了一桩冷门旧案:2001年FBI搜查O.J. Simpson迈阿密住宅,未发现毒品,却发现DirecTV盗看相关设备。DirecTV随后提起民事诉讼,2005年获简易判决胜诉,Simpson被判赔约5.8万美元。这个案子最有价值的地方,不是名人八卦,而是早期数字内容反盗版的真实打法:技术锁失灵后,公司会把调查、诉讼和威慑一起搬上桌。
First VPN 被渗透关停:黑产匿名服务的安全感,最后成了执法入口
First VPN 不只是被关停,后续披露的信息显示,执法机构还拿到了用户数据库、VPN 连接信息和部分犯罪流量线索,并将 506 名用户信息共享给国际伙伴。它暴露的不是“VPN 不安全”这么粗糙的结论,而是地下匿名服务最致命的软肋:用户把命交给一个更不透明的黑箱。
西雅图警方情报共享网:反恐工具为何盯上了抗议活动
Prism通过公开记录披露,西雅图警方运营的Seattle Shield向企业、联邦机构、地方执法和私营安保开放,成员曾包括亚马逊、Facebook、FBI、DHS相关人员、Washington State Fusion Center和ICE相关协作链条。 2020至2025年的多份通报显示,2025年内容几乎集中在抗议活动及其交通影响上。 这件事的关键不在于证明某家公司或机构已经做了什么,而在于反恐名义下的共享网络正在缺少透明监督时发生功能漂移。
老板装的监控软件,数据可能先流向广告平台
哥伦比亚法学院相关研究审查9款职场监控软件,发现样本中的全部产品都会向第三方平台传输部分员工信息,接收方包括Meta、Google、Microsoft及数据相关服务商。 关键问题不是Meta和Google主动窃取数据,而是bossware把姓名、邮箱、公司、IP、网页访问、在线活动乃至位置数据带出劳动场景。 对员工和管理者来说,这已经不是单纯的效率工具采购,而是一次隐私、合规和信任成本的重新结算。
宾州 Radnor 高中深伪案:五名女生受害后,学校还在卡“有没有图像”
宾州 Radnor 高中一名九年级男生被指使用 Movely 生成并传播五名 14 或 15 岁女同学的 AI 性化深伪内容,警方后来确认一名 juvenile offender 因 harassment 被处理。此案的关键不只是工具被学生滥用,而是学校和警方一度用“未发现图像或犯罪证据”的口径,让家长觉得伤害被缩小。对学校和家长来说,真正要补的是流程:AI 深伪一旦在校园内造成持续影响,就不能简单按“校外手机行为”处理。
微软官方通知邮箱被滥用:比垃圾邮件更麻烦的是信任通道失守
诈骗者已持续数月滥用微软合法通知邮箱 msonlineservicesteam@microsoftonline.com,向用户发送带诈骗链接的邮件。这个地址通常用于账号提醒、2FA 验证码等关键通知,危险点不在邮件多粗糙,而在官方可信通道被污染。接下来最该看微软是否收紧通知模板、链接权限和异常触发机制,而不是只看它删掉了多少封垃圾邮件。
美国不接回埃博拉暴露者:比病毒更刺眼的是这套防疫算盘
特朗普政府拟限制近期到过刚果(金)、乌干达、南苏丹的部分人员入境,并考虑把暴露或感染埃博拉的美国公民转至肯尼亚等第三国隔离治疗。真正的问题不只是两个医生去了欧洲,而是美国正在把公共卫生能力改写成边境管制和风险外包。
特朗普要10亿美元给白宫宴会厅防无人机:安全账单不能这么转
特朗普正推动国会批准10亿美元纳税人资金,用于给一座约4亿美元、称由私人捐助建设的白宫宴会厅做安保升级。无人机威胁是真的,争议在于预算规模、对象边界,以及私人政治工程如何接上公共财政。最该盯的是国会最终批不批、钱买什么、屋顶“无人机港”是否进入设计。
Google误公开未修复PoC:Chromium漏洞从内部工单变成公开风险
Google在Chromium漏洞尚未修复前,短暂公开了包含PoC利用代码的漏洞报告,随后删除,但内容已被归档。这个漏洞不等于电脑被完全接管,也没有证据显示已被大规模利用;真正麻烦在于它可由恶意网站触发,可能把浏览器变成受限代理节点。Chrome、Edge、Brave、Opera、Vivaldi、Arc用户和企业终端团队,应把它当成补丁窗口期风险来处理。
得州900人小镇停掉Flock摄像头,议员反手要“禁手机”
得州 Bandera 市议会以 3:2 终止 8 台 Flock AI 车牌识别摄像头合同后,支持项目的议员 Jeff Flowers 称将提出禁手机、GPS、互联网和电子记录的方案。居民反对的重点是政府联网车牌识别,不是反对现代技术。最该看的是下一次会议怎么处理这份提案,以及小镇是否会补上数据访问、保存、问责这些边界问题。
GitHub 3800 个内部仓库外泄:真正失守的,是开发者工具链的侧门
GitHub 确认,一名员工设备因安装恶意 VS Code 扩展遭入侵,约 3800 个内部代码仓库外泄;目前没有证据显示受影响仓库之外的客户数据被波及。比“GitHub 被攻破”更值得紧张的是:编辑器扩展已经从效率工具变成贴身攻击面,企业研发团队该重新审视插件准入、密钥管理和终端外传监控。