安全资讯 第6页
聚合当前分类下的最新内容,按时间顺序查看第 6 页精选文章。
两架 EA-18/F-18 航展相撞:别只看弹射成功,要看安全边界
美国爱达荷州 Mountain Home Air Force Base 的 Fighter Skies 航展上,两架海军 EA-18/F-18 战机空中相撞并坠毁,4 名机组人员弹射并确认安全。事故原因尚未公布,不能提前归因于飞行员、机型或天气。真正该看的,是高风险军事展示如何在公众传播、训练价值和安全冗余之间划线。
Fabricked 暴露 SEV-SNP 的硬伤:云平台不可信,启动链却还得信
研究者披露 Fabricked:在控制 UEFI 与 Hypervisor 的前提下,攻击者可误配置 AMD Infinity Fabric,阻断 PSP 初始化 SEV-SNP 的 RMP 写入,让机密虚拟机内存被任意读写。AMD 已确认 CVE-2025-54510,并发布公告与固件修复;这不是远程低权限漏洞,也不是打穿所有机密计算。真正刺痛人的地方在于:SEV-SNP 说要防不可信云平台,但关键初始化仍压在平台固件和配置链上。
NHS关仓库之后,GDS把底线说清了:默认开放,不是默认遮住
NHS 因 Project Glasswing 报告的漏洞,收回了部分开源仓库访问;这不是已证实的大规模攻击,也不是 NHS 全面放弃开源。GDS 随后发布公共部门指南,核心句是“Keep open by default”:默认开放,关闭要少用且有明确理由。真正的争议不在几个仓库,而在公共部门会不会把“看不见”误当成“更安全”。
YellowKey 绕过 BitLocker:高危本地风险,不等于微软后门已坐实
Nightmare-Eclipse 发布 YellowKey,称可在特定条件下绕过 Windows 11、Windows Server 2022/2025 的 BitLocker,第三方研究者称已验证相关行为。更稳妥的判断是:这是一个需要严肃处理的本地启动环境绕过问题,但“微软故意植入后门”仍缺关键证据。企业管理员现在该查 WinRE、启动策略、恢复密钥和维修退役流程,而不是把它理解成远程无交互破解。
英国考虑给 VPN 加年龄门槛,真正该被盯住的不是孩子
英国科学、创新与技术部正在就年轻人数字成长措施征询意见,其中一个选项是给 VPN 设置年龄门槛。Mozilla 反对这一路线:保护未成年人重要,但削弱 VPN 这类通用安全工具,可能误伤普通用户、记者、活动人士和未成年人自己。关键问题不是 VPN 能不能绕过年龄验证,而是监管是否把平台治理失败转嫁给用户。
美国要用 AI 查 Polymarket,真正难题不在算法
美国 CFTC 表态,将用 AI、链上追踪和市场监控工具,追查美国交易者绕道参与 Polymarket 等离岸预测市场的可疑交易。AI 不是内幕交易判官,它更像筛子:标记异常交易,再辅助传票和调查。真正的硬仗在跨境管辖、证据链,以及预测市场能不能证明自己不是内幕消息的变现盘口。
MV Hondius汉坦病毒病例降到10例:少一例是校准,不是安全信号
WHO确认,MV Hondius邮轮汉坦病毒暴发中,此前计入的美国医生Stephen Kornfeld病例为假阳性,确认病例从11例下调至10例,死亡仍为3例。乘客安全转运已经完成,但汉坦病毒潜伏期最长可达6周,后续监测还不能停。真正该看的不是数字少了1例,而是公共卫生系统如何在弱阳性、跨国转运和舆论焦虑之间守住秩序。
俄罗斯高校招募学生当无人机兵:福利包装下的前线风险
俄罗斯多所高校正向学生推广军事合同,用免学费、奖金、税假、贷款减免等福利吸引他们接受无人机操作员训练。问题不只是俄军扩编技术兵种,而是高伤亡、步兵短缺和无人机战争升级,正在把高校里的年轻技术人才提前抽进战争体系。所谓“非前线岗位”也不等于安全,已有学生无人机兵在卢甘斯附近死于迫击炮袭击。
YouTube 向成年人开放 AI 换脸检测:普通人的脸也进入平台保护范围
YouTube 将 AI 肖像检测工具扩展到所有 18 岁以上账号用户,用户需提交自拍式人脸扫描,平台只在 YouTube 内寻找疑似面部相似内容。 这项变化的重点不是自动删除 deepfake,而是把原本偏向创作者、政客、记者和娱乐行业人士的保护,扩大到普通成年人。 工具的边界也很清楚:只覆盖面部肖像,不覆盖声音或跨平台内容;用户只能申请移除,是否删除仍按 YouTube 隐私政策审核。
Tabiq 暴露逾百万证件照片:酒店自助入住的门,开在了云存储权限上
日本初创公司 Reqrea 维护的酒店自助入住系统 Tabiq,因名为“tabiq”的 Amazon 云存储桶被设为公开,逾 100 万份护照、驾照和自拍验证照片可被无密码访问。 目前没有证据显示数据已被下载或滥用,暴露范围仍在调查。更刺眼的问题是:酒店数字化入住把高敏身份材料搬上云后,基础权限治理可能没有跟上。 对酒店和身份验证系统供应商来说,安全审计、留存周期、通知机制,已经不是采购合同里的附属条款,而是产品本身的一部分。
反欺诈里的 SQL 规则:能抓异常,但别拿来直接定罪
一名项目完整性分析师总结了六类交易欺诈识别 SQL 模式:短时高频、不可实现旅行、特定金额、商户异常峰值、个人消费时段偏离、窗口函数派生特征。SQL 的价值不在于替代模型,而在于用低成本、可解释的方式快速发现异常形态。真正要紧的是阈值调校、历史基线和人工复核;单条规则命中,只能算线索,不能直接等于欺诈。
特斯拉Robotaxi两起远程接管碰撞曝光,慢扩张背后是安全冗余考题
NHTSA新解密资料显示,特斯拉Robotaxi自2025年7月以来至少两次在远程操作员接管期间发生低速碰撞,地点均在得州奥斯汀,车内有安全员且无乘客。真正重要的不是事故本身有多严重,而是它暴露了特斯拉Robotaxi仍处在小规模、强看护、依赖远程支援的运行阶段。对投资者和行业观察者来说,接下来要看特斯拉能否把低速避障、远程接管流程和安全冗余做成可规模化系统,而不是只靠谨慎投放控制风险。
空军一号登机前的清场:中美峰会后,连胸针都不能默认安全
2026年5月北京中美峰会后,白宫工作人员和随行记者登上空军一号前,被要求丢弃一次性手机、证件牌、中方发放的胸针,以及行程中收到的物品。官方没有解释,也没有证据显示这些物品被植入装置;更稳妥的理解是,高风险访问后的安全清场。重点不在几枚胸针,而在大国科技与情报对抗已经细到每一件随身物品:外交可以友好,安保必须默认不信任。
Pixel 10 零点击到 root:补丁快了,驱动审计还慢
Project Zero 公布了一条 Pixel 10 零点击到 root 的漏洞链:入口是 Dolby CVE-2025-54957,提权点换成 Pixel 10 新增 VPU 驱动的 mmap 越界映射。当前链条只适用于 2025 年 12 月 SPL 或更早、未打补丁的 Pixel 10;Dolby 漏洞已在 2026 年 1 月修复,VPU 漏洞进入 2026 年 2 月 Pixel 安全公告。我的判断很简单:Pixel 补丁响应进步明显,但安卓厂商驱动上线前的安全审查仍然没跟上硬件换代。
Turso 取消 1000 美元漏洞赏金:AI 低质提交正在抬高开源审核成本
Turso 宣布终止一项运行近一年的漏洞赏金计划:能证明导致数据损坏的 bug,原本可拿 1000 美元。 直接原因不是资金压力,而是大量疑似 AI 生成的低质量 PR 和 Issue 消耗维护者时间。 这件事给开源项目提了个醒:开放贡献可以继续,现金激励却需要更硬的门槛。
X 在英国交出合规承诺:85% 不是删除率,是监管开始查账
Ofcom 接受了 X 的新承诺:英国用户可访问的部分非法恐怖内容和非法仇恨言论,将进入更明确的处理账本。关键数字是 48 小时内评估至少 85% 的用户举报内容,但这不是删除率,也不代表 X 已被认定违法。我的判断是:X 没有主动变温和,它只是开始按英国《在线安全法》的压力交作业。
LLM 批量挖洞,开源项目的安全成本正在提前到来
Metabase 称,2026 年初以来,其安全邮箱收到的漏洞报告从每月约 10 起变成每周约 10 起,而且更多报告包含真实问题。更值得注意的不是某个模型突然突破,而是代码代理让公开源码可以被低成本、重复、分层扫描。开源维护者要把报告视为更接近“已被外部发现”,依赖 OSS 的团队也要把升级、监控和最小权限做成日常流程。
手机成了供词簿:很多证据不是被监听,是自己敲进去的
Kouri Richins 因丈夫芬太尼过量死亡案被判谋杀及金融、保险欺诈,量刑为终身监禁不得假释;检方重点使用了搜索记录、删除短信痕迹、定位和备用手机数据。搜索记录本身通常不是铁证,关键在于它能和动机、行动轨迹、物证、证人证言拼成链条。真正反常的是:很多人怕平台偷听,却主动把最危险的念头交给搜索框、聊天框和设备记忆。
删了 96 个政府数据库,却把犯罪过程录进了 Teams
34 岁双胞胎 Muneeb Akhter 和 Sohaib Akhter 被 Opexus 通过 Teams 解雇后,利用尚未切断的权限删除了 96 个美国政府数据库。最关键的证据不是神秘监听,而是 Sohaib 自己开启的 Teams 录制,HR 离开后还继续录了约一小时。真正该紧张的不是 Teams,而是企业离职权限、VPN、数据库访问和内部威胁防线一起掉链子。
拆掉 2024 款 RAV4 的联网模块:隐私能自救,但安全和保修都要付账
安全研究者 Arkadiy Tetelman 记录了从 2024 款 Toyota RAV4 Hybrid 上拆除 DCM 通信模块、断开车机 GPS 天线的过程,目的不是改装性能,而是阻断车辆遥测数据远程外传。这个案例说明,物理断网在这辆车上可行,但会失去 OTA、Toyota 云服务、SOS 自动呼救等功能,也可能带来保修争议。更要紧的是,它暴露了一个尴尬现实:车主想要可信的离线模式,往往只能靠拆硬件来试。
Mullvad 的问题不是泄露真实 IP,而是把出口 IP 做成了指纹
研究者发现,Mullvad 的 WireGuard 出口 IP 由用户公钥决定,不是每次连接都独立随机分配。9 台服务器、3650 个公钥的测试里,理论组合超过 8.2 万亿,实际只出现 284 种。它不等于真实 IP 泄露,但会削弱 VPN 用户最在意的不可关联性,尤其影响频繁切换服务器、长期使用同一公钥的人。