安全资讯 第5页
聚合当前分类下的最新内容,按时间顺序查看第 5 页精选文章。
钱学森案的战略失误,不是1955年换俘
钱学森案的关键转折,不是1955年美国同意他离境,而是1950年撤销安全许可并把他推入长期限制。公开材料没有给出实质间谍证据,却足以让美国国家安全机器毁掉一条留才路径。真正的教训不是“一个天才改变历史”,而是恐惧驱动的审查会把人才、方法论和组织能力一起推向对手。
Meta在沙特、阿联酋做地理屏蔽:最危险的不是删号,是把审查做成开关
自2026年3月以来,Meta按沙特和阿联酋政府要求,在当地限制逾百个Facebook页面和Instagram账号访问,涉及ALQST、Democratic Diwan、研究者和人权活动人士。限制形式是地理屏蔽,不是全球删除;Meta称依据当地法律要求或政府请求,并表示做过法律和人权评估。真正的问题在于:当评估过程不透明,平台合规很容易变成政府审查的产品接口。
FBI 想采购一张准实时车辆行踪网,争议不在摄像头
FBI 5 月 14 日发布 RFP,计划向一家或多家供应商采购覆盖美国及属地的车牌识别数据访问能力,要求接近实时查询、检索和通知。它目前还不是已经落地的全国实时监控系统,但目标很清楚:把地方警务摄像头、商业平台和联邦情报需求接到同一套可搜索流程里。真正该盯的不是摄像头数量,而是地方同意、州法限制、访问审计和滥用责任能不能跟上。
Discord 默认加密语音和视频通话,真正反常的是“默认”
Discord 已向数亿用户默认启用语音和视频通话端到端加密,除 Stage channels 外无需手动开启,平台也无法监听通话内容。别误读:这不是全站消息加密,也不等于 Discord 拿不到任何元数据。放在 Meta 取消 Instagram 端到端加密、TikTok 不打算加密私信的背景下,这一步的价值在于平台愿意少看一点。
Google 扩大 CodeMender 外部测试:AI 网络安全开始变成大模型公司的硬生意
Google 在 I/O 2026 扩大 CodeMender 外部可用性,并邀请部分专家测试 API,但它还不是全面公开产品。它对标的是 Anthropic 的 Claude Mythos Preview,说明大模型公司正在把网络安全推向政府和企业采购场景。企业真正该看的不是宣传里的自动修漏洞,而是测试边界、补丁质量、审计记录和责任归属。
Gentoo 提醒内核提权漏洞连发:安全不等于所有内核包都已修好
Gentoo 称 Linux 内核近期连续曝出 Copy Fail、Dirty Frag、Fragnesia 等提权漏洞,并已为受支持内核包提供或集成修复。真正关键的不是“Gentoo 已修复”,而是用户是否正在使用受安全支持的内核包,并及时切到最新内核版本。
美国48小时下架新规生效:性深伪要快删,审查风险也来了
美国《Take It Down Act》下架条款已于2026年5月19日生效,平台收到有效投诉后,须在48小时内移除非自愿亲密影像及其已知相同副本。它不只针对AI深伪,也覆盖真实拍摄的非自愿亲密影像。真正的争议不是要不要打击这类伤害,而是高压快速下架会不会让平台先删后审,甚至被选择性执法利用。
CISA 凭据泄露到公开 GitHub:守门人丢的不是钥匙,是权限边界
CISA 承包商把 AWS GovCloud 密钥、GitHub 应用私钥和内部系统凭据放进公开 GitHub 账号,事件已引来美国国会质询。新的关键点不只是“误传文件”,而是高权限承包商长期把公开仓库当工作同步区,还绕开了部分凭据保护机制。真正的问题落在承包商治理、CI/CD 权限和政府云安全的责任链上。
20分钟、317个 npm 包:开源供应链的风险账不能再外包
Mini Shai-Hulud 供应链攻击仍在扩散:SafeDep 称,攻击者接管一个开发者账号,约 20 分钟内向 317 个 npm 包发布 630 多个恶意版本。目标不只是破坏代码,而是窃取密码管理器等服务凭据,再借这些凭据偷数据、继续传播。真正该紧张的是使用相关依赖的开发者、企业工程团队,以及把 CI/CD 和包管理链路交给默认信任的人。
伊朗盯上海底光缆,大厂开始给互联网买政治保险
伊朗威胁向经过霍尔木兹海峡的海底互联网光缆收费,并主张对部分维修维护拥有控制权,Meta、Google、Amazon、Microsoft 被点名。它不会让全球互联网立刻瘫痪,影响更集中在海湾地区连接、云服务和数据中心项目。真正的风险不是收费能不能落地,而是海底光缆正在被战争、维修瓶颈和地缘勒索重新政治化。
npm 317个包遭投毒:风险不在依赖本身,而在它摸到了 CI、GitHub 和 AI 工具
2026年5月19日 01:44-02:06 UTC,npm 账号 atool 被攻陷,攻击者约22分钟内向317个包发布637个恶意版本。风险只落在解析到恶意版本并执行安装脚本的环境,不等于所有使用相关包的项目都已失陷。更要紧的是,这次攻击把 npm 安装脚本、GitHub Actions/OIDC、GitHub API、AI 编程工具和本机持久化串到了一起,前端与 DevSecOps 团队应按构建环境暴露来排查。
通配符 DNS 配太宽,GitHub Pages 子域名被陌生仓库拿去做博彩页
一名站长只想用 immersivepoints.com 托管 GitHub Pages 静态页,却因为把 *.immersivepoints.com 指向 GitHub Pages,让 kafka、grandbet、hd 等子域名被陌生仓库绑定。问题更像是通配符 DNS 配置过宽,与 GitHub Pages 域名授权提示不足叠加,而不是 GitHub 账号或域名注册商账号被盗。用 GitHub Pages 绑定自定义域名的个人开发者和小团队,最该立刻检查通配符记录、Pages 域名验证和 Search Console owner 邮件。
Peter Neumann 去世:一封邮件链里的计算机安全社群讣告
TUHS 邮件列表转发消息称,计算机安全研究者 Peter Neumann 已在 Santa Clara 一家医院睡梦中去世,死因限于跌倒及术后并发症。更准确地说,这不是 SRI 或家属发布的正式公告,而是一则经 Multicians 与 TUHS 技术社区扩散的讣告信息;它的重要性在于社群确认与历史记忆,不在于补写一份未经核实的完整传记。
SpaceX Starbase 工人死亡遭 OSHA 调查:Starship 冲刺期,安全风险被摆上台面
SpaceX 得州 Starbase 发射场一名工人于当地时间 5 月 15 日凌晨死亡,OSHA 已展开调查;死者身份、死因和是否涉及违规仍未披露。这个事件重要,不在于现在就判断责任,而在于 Starbase 此前已有工伤率、处罚和诉讼争议。对承包商员工、现场团队和潜在投资人来说,接下来要看的不是猜测,而是 OSHA 结论、作业制度变化和 IPO 文件里的风险披露。
FBI想买全美车牌数据库:车牌识别的危险,不在摄像头,在轨迹搜索框
FBI 采购文件显示,其希望购买覆盖美国 48 州、夏威夷、阿拉斯加、波多黎各及海外属地的自动车牌识别数据库访问权,价格模板最高约 3600 万美元。文件目前只说明采购意向,不代表合同已签;潜在供应商主要可能是 Flock 和 Motorola。真正该盯住的,是地方警务数据、私人基础设施和联邦情报需求正在拼成一套全国车辆轨迹查询能力。
纽约公立医疗系统泄露至少180万人数据:麻烦不只在病历,还在指纹
纽约公立医疗服务提供方 NYC Health and Hospitals 披露,一起持续数月的数据泄露影响至少180万人,黑客窃取了个人数据、医疗记录,以及包括指纹在内的生物识别扫描数据。这里的关键不是“又一家医院被黑”,而是医疗记录和指纹都很难善后:前者会跟着人很久,后者不能像密码一样重置。攻击者身份、入侵路径和完整影响范围仍未确认,现阶段最该做的是分清已知事实、个人风险和后续官方通知。
AudioHijack 刺中的不是语音 AI,而是工具权限太松
IEEE Spectrum 报道称,浙江大学等研究者提出 AudioHijack:把人耳难以察觉的恶意扰动嵌入音频,诱导大型音频语言模型执行搜索、下载、发邮件等动作。研究测试了 13 个领先开源模型,也涉及 Microsoft、Mistral 等商业语音 AI 服务,平均攻击成功率约 79% 到 96%,但这个数字不能外推到所有语音 AI 和所有真实环境。真正要紧的是:多模态 AI 一旦接上外部工具,输入边界、权限边界和用户意图边界会一起变薄。
Cloudflare 测试 Mythos Preview:AI 漏洞研究的关键不在聊天,而在验证流水线
Cloudflare 在 Project Glasswing 中用 Anthropic 的 Mythos Preview 扫描 50 多个自有代码仓库,覆盖运行时、边缘数据路径、协议栈、控制平面和依赖的开源项目。真正重要的不是模型“更会写代码”,而是它把漏洞发现推进到可验证攻击链和 PoC 迭代;真正受考验的,也从模型能力转向企业能否搭出受控 harness。
AI 把漏洞赏金的提交成本打穿了,审核成本开始爆表
AI 生成的低质量漏洞报告正在淹没部分 bug bounty 项目:Bugcrowd 三周内报告量翻四倍,Curl 和 Nextcloud 已暂停相关项目。问题不是 AI 报告全无价值,HackerOne 的有效比例仍约 25%,高质量 AI 辅助报告也在增加。真正变了的是账本:提交成本被打穿,审核成本被推给平台、安全团队和开源维护者。
Grafana Labs 源码被盗后拒付赎金:别把供应链风险误读成客户数据泄露
Grafana Labs 确认攻击者利用被盗 token 进入其 GitLab 开发环境,并获取源码仓库,随后以公开代码相威胁勒索,公司拒绝付款。 目前没有证据显示客户记录或财务数据被访问,但源码仓库里是否包含专有代码、敏感配置或未披露安全信息,仍在调查。 企业安全负责人该做的不是恐慌迁移,而是要求供应商说明影响范围、凭证处置和构建链路完整性。
重读 PSOS:1979 年的“可证明安全”操作系统,到底超前在哪
1979 年,SRI 的 Richard J. Feiertag 与 Peter G. Neumann 提出 PSOS:用形式化规格、分层模块和 capability 机制,为安全操作系统打地基。它的价值不在于做成了商用系统,而在于把安全从内核补丁前移到对象命名、授权传播和规格证明。对今天的操作系统与安全架构团队,PSOS 更像一把尺子:别只问有没有安全功能,要问边界、对象和证明链条是否说得清。