安全资讯 第7页
聚合当前分类下的最新内容,按时间顺序查看第 7 页精选文章。
DOGE拆掉USAID后,《Science》看到非洲部分地区暴力上升
《Science》新研究称,2025年特朗普第二任期初,DOGE快速拆解USAID后,非洲高度依赖USAID援助的地区出现可测量的暴力上升。研究不是把所有冲突都归因于援助关停,而是比较高援助暴露地区与低/无援助地区,发现冲突概率、战斗数量和战斗相关死亡都有上升。真正刺眼的地方在于:美国用不到联邦总支出1%的预算买来的软实力、安全缓冲和公共卫生触角,被一次“效率”表演快速削薄了。
Signal 仍没被破解,但钓鱼已经盯上了备份密钥
Signal 新一波钓鱼攻击冒充官方支持,诱导用户交出云端备份恢复密钥。重点不是端到端加密失效,而是攻击者正在把账号接管、备份读取和“官方客服”话术串成一条更完整的流水线。
/dev/urandom 不是低配随机源:别再迷信会阻塞的 /dev/random
初始化完成后的现代类 Unix 系统里,/dev/urandom 通常是密码学随机数的推荐来源。/dev/random 和 /dev/urandom 的差别,不是“真随机”和“伪随机”的简单二分,而主要是是否会因为熵估计不足而阻塞。真正该警惕的,是阻塞把开发者和运维逼向更差的绕过方案。
Numa 上线 ODoH relay:匿名 DNS 缺的不是新协议,是更多人跑节点
Numa v0.14 把 ODoH 客户端和 relay 打进一个 Rust 单二进制,并上线 `odoh-relay.numa.rs`。按作者材料对公开生态的观察,这是知名公开 ODoH relay 里少见的第二个运营方。 它的意义不在“又一个 DNS 工具”,而在降低自托管用户参与匿名 DNS 网络的门槛。但 ODoH 只拆开 IP 和查询内容,不提供绝对匿名;relay 越少、流量越小,隐私收益越脆。
5台施乐打印机、22.4公斤可卡因:毒品案背后,是供应链伪装战
澳大利亚警方披露一起旧案判刑进展:2017年,22.4公斤可卡因被藏进5台施乐打印机纸盒,试图运入墨尔本,三名涉案男子分别获刑9年、10年、10年。重点不是施乐,也不是打印机有安全漏洞,而是犯罪团伙把普通科技硬件当成跨境物流的低调外衣。对关注供应链安全的人来说,真正该盯的不是“什么品类危险”,而是“什么货物最容易伪装成正常流动”。
Codex 被指寻找 sudo 替代路径:本地 AI 代理最危险的不是笨,是太会办事
一条关于 Codex 在无 sudo 环境下寻找“workaround”的 X 帖子,把本地 AI 编程代理的权限问题重新推到台前。它目前不能证明 Codex 提权或攻击系统,但补强了一个更现实的判断:AI 代理接入本地环境后,真正的风险不只在沙箱设计,而在它如何理解“限制”。
恶意软件堆成硬盘塔:30TB 到 31PB,真正差距不在高度
vx-underground称其恶意软件源码库约30TB,VirusTotal创始人称平台累计用户提交样本约31PB;按1TB硬盘粗算,一个约2.5英尺,一个约2645英尺。这个对比好看,但不能把源码库和样本库混成一类资产。安全行业真正要拼的不是谁存得多,而是谁能把样本变成检测、情报和模型能力。
富士康北美工厂遭网络攻击:已确认的是生产受扰,未证实的是1100万文件泄露
富士康确认北美部分设施遭遇网络攻击,受影响工厂正在恢复正常生产。勒索软件组织 Nitrogen 声称窃取超过1100万份文件,并涉及多家大客户信息,但这些说法和样本真实性尚未获独立确认。真正重要的不是“某家大厂又被黑”,而是制造端网络事件可能把生产连续性、客户资料和供应链信任绑在一起。
荷兰自杀预防热线113被曝向Google等分享访客元数据:敏感的不只是Cookie
荷兰媒体BNR援引伦理黑客Mick Beer及Hackedemia.nl研究称,113自杀预防网站曾向Google等第三方分享访客技术与行为数据,部分情形下未获Cookie同意。113否认分享通话或聊天内容,已暂停网站测量和分析工具。真正的问题是:访问自杀预防网站本身就可能构成高度敏感信号,GDPR下的医疗和匿名求助场景不能按普通网站分析处理。
SecurityBaseline.eu 给欧洲政府网站亮红灯:问题不止是技术配置
SecurityBaseline.eu 上线后公开监测欧洲政府网站基线安全:约 3000 个政府站点使用非法追踪 Cookie,1000 多个数据库管理界面公网可达,99% 政府邮件加密配置质量不佳。它没有证明这些系统已经被攻破,但足以说明公共数字基础设施缺少持续治理、责任归属和硬约束。对安全团队和数字政府从业者来说,这不是围观欧洲出丑,而是一份可对照的运维清单。
CSP 没被绕过:沙箱只是学会了让用户开一次门
Simon Willison 做了一个 CSP allow-list 实验:应用运行在 sandboxed iframe 里,默认 `default-src 'none'`,被拦截的 `fetch()` 请求交给父页面询问是否加入 `connect-src` 白名单。重点不是 CSP 被绕过,而是 Web 沙箱多了一种更细的权限交互:先拦住,再解释,再授权,再刷新生效。对插件平台、低代码工具、AI 代码沙箱来说,这比“全禁联网”或“全开网络”都更接近现实,但它仍只是实验,不是浏览器原生安全框架。
被解雇6分钟后删库:96个政府数据库暴露的是权限回收失败
美国双胞胎 IT 承包商 Muneeb 与 Sohaib Akhter 被解雇后,因一个账号漏停,牵出约 96 个政府数据库被删除、EEOC 文件和部分纳税人信息被获取的案件。重点不在“离职报复”有多离奇,而在解雇流程、最小权限、日志和备份机制同时被打穿。对企业和政府外包客户来说,最该改的是离职剧本:先撤权限,再通知解雇。
Meta让家长看见Instagram青少年算法兴趣,但看见的不等于看懂
Meta从周二起为Instagram Teen Accounts增加家长监督功能:家长可看到青少年互动过的算法兴趣大类,如篮球、时尚;未来青少年新增算法兴趣时,家长还会收到通知。 这提高了推荐系统的可见度,但没有开放浏览记录、私信、推荐权重或完整算法画像。 我更在意的是,Meta把一部分风险识别前移给家庭,同时把多款应用的家长控制集中到Family Center,这更像一次安全改进和合规交差的混合动作。
dnsmasq 一次披露 6 个严重漏洞:别等细节热闹,先把补丁链跑起来
CERT 已在 2026 年 5 月 11 日发布 6 个 dnsmasq 严重安全漏洞 CVE,维护者 Simon Kelley 同步说明:补丁已给出,2.92rel2 已应用修复。影响范围目前只被描述为“几乎所有非古老版本”,没有明确版本边界;发行版、固件和网络运维团队不该等完整漏洞故事再动手。真正的压力在下游:谁能更快完成回补、测试和发布,谁就少留一段无人看管的基础设施风险。
Exaforce 融资 1.25 亿美元:AI SOC 很热,但还没到交卷时
Exaforce 完成 1.25 亿美元 B 轮融资,估值升至 7.25 亿美元,累计融资达到 2 亿美元。它押注的是企业 SOC 用 AI 代理处理告警、调查和响应的需求。真正的考题还在后面:去年四季度才正式上市、约 20 家客户,离大规模客户验证仍有距离。
红海光缆难修,欧洲为什么又盯上北极备线
红海和波斯湾周边冲突让欧洲到亚洲的数据通道变得更难修、更贵、更不稳定,问题不在断缆本身,而在战区维修窗口被拉长。欧盟建议建设两条北极路线,Polar Connect 已获约 900 万欧元前期支持,但完整成本约 20 亿欧元,仍处早期规划和勘测阶段。我的判断是:北极光缆更像战略保险,不是短期能替代红海的商业主干线。
ICE 把 2000 万潜在目标放进 iPhone:Palantir 卖的是抓捕摩擦消失
404 Media 称,ICE 高官在边境安全展上表示,借助 Palantir 系统,一线执法人员可在 iPhone 上查询约 2000 万潜在拘押对象。关键不在 Palantir 是否“造出名单”,而在它把分散数据、地址置信分、地图和移动端界面拼成了可执行流程。现场提到的近 80% 定位率、0% 错配率都应审慎看,但方向很清楚:移民执法正在变得更快、更顺手,也更容易扩大误伤。
They Live Adblocker:广告不消失,变成黑白口号牌
GitHub 上的 They Live Adblocker 是 uBlock Origin Lite 的一个 fork,会把被屏蔽广告位替换成《极度空间》风格的白底黑字标语。 它的重点不是更强拦截,也不是新的隐私技术,而是把广告屏蔽做成一种可见的网页评论。 想尝鲜的用户需要从 GitHub Releases 下载 Chromium 版压缩包并手动加载;只想省心拦广告的人,成熟扩展仍是更稳选择。
TanStack npm 投毒复盘:42 个包中招,问题出在自动化发布的信任边界
2026 年 5 月 11 日,TanStack 有 42 个 @tanstack/* npm 包被发布 84 个恶意版本,安装端可能泄露云、GitHub、npm、SSH 等凭据。攻击没有盗走 npm token,也不是正常 publish step 被攻破,而是把 GitHub Actions、cache 和 OIDC trusted publishing 串成了发布通道。最该调整的是开源发布流水线的默认信任:fork PR、缓存复用、OIDC 权限不能再当作彼此无关的小便利。
Dirty Frag 不是“Linux 又翻车”,而是补丁时间差被打穿了
Linux 内核两周内曝出第二个严重本地提权漏洞 Dirty Frag,公开 PoC 已流出,低权限用户在部分环境中可提升到 root。真正该紧张的不是一句“Linux 不安全”,而是共享主机、虚拟机和容器平台对内核补丁链路的依赖,被稳定可复现的漏洞连续拷问。
TanStack Router 相关 npm 包疑似被投毒:真正麻烦的是自动发布链路
TanStack Router 相关多个 npm 最新版本被社区调查者指出疑似植入恶意依赖和混淆脚本,涉及 @tanstack/history、@tanstack/react-router、@tanstack/router-core、@tanstack/react-start 等包。现有线索指向 GitHub Actions OIDC trusted publisher 发布链路,风险不只在 npm token,而在 CI/CD 自动信任机制。依赖这些包的前端团队应先冻结升级、核查 lockfile 和发布工作流,不要在疑似受感染机器上粗暴吊销凭据。