安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
马斯克再求撤掉 FTC 审计,X 的隐私问题已经被 AI 放大
马斯克再次请求 FTC 撤销或缩短对 X 的长期隐私监管令,理由是 Twitter 已重组、责任人离职、已有隐私体系、合规成本达 1700 万美元,且 GDPR 已形成重复监管。FTC 尚未决定,目前只是征求公众意见,截止日期为 7 月 2 日。真正的争议不是 X 想省钱,而是一个同时握有社交数据、AI 训练需求和平台控制权的公司,能不能靠自证清白摆脱外部审计。
Dashlane 没被破解,但密码管理器最怕的门缝露出来了
Dashlane 遭遇针对新设备注册 API 的大规模 2FA spraying 攻击,少于 20 个个人用户的加密 vault 被下载。攻击者没有破解 Dashlane 加密系统,也没有拿到明文密码;真正的风险在于新设备注册、验证码风控和用户主密码强度之间的缝。受影响用户应更换主密码和重要凭据,未收到通知的用户不必恐慌式重置一切。
AT&T、Verizon 最高法院败诉:位置数据罚款案,保住的是 FCC 的执法牙齿
美国最高法院以 8:1 裁定,FCC 对 AT&T、Verizon 的位置数据罚款程序不侵犯陪审团审判权,并推翻第五巡回法院此前对 AT&T 有利的判决。关键不在运营商是否又输一场,而在 FCC 这类隐私执法罚单会不会被程序战先拖死。判决也留下边界:FCC 罚款令本身不能直接强制收钱,政府真要追缴,仍要去联邦法院接受重新审理和陪审团裁决。
Filtr 把 App 内广告拦截带到苹果设备,但别把它当万能清道夫
Wipr 开发者推出 Filtr,借助 iOS 26 和 macOS 26 的 URL filters,在网络层拦截多数 iPhone、iPad、Mac App 内广告请求。它的重点不是“广告全没了”,而是苹果设备用户第一次多了一种系统级切断广告网络的工具。限制也很硬:自家域名广告、内容流广告、强拦导致 App 异常,都不是 Filtr 能轻松解决的问题。
Anthropic 开源 Claude 安全扫描框架,但它不是一款漏洞扫描器
Anthropic 在 GitHub 开源了一个基于 Claude 的自主漏洞发现与修复参考框架,覆盖威胁建模、扫描、验证、报告和补丁生成。更准确的判断是:它给企业安全团队提供了一套可借鉴的工程样板,而不是可直接投产的通用漏洞扫描产品。
Meta监督委员会支持永久封号,但把矛头指向平台申诉黑箱
Meta监督委员会在一起针对记者暴力威胁的账号封禁案中支持Meta永久禁用账号,但批评其封号体系缺少清晰通知、人工复核和有效申诉。真正重要的不是这个账号是否该封,而是Facebook、Instagram等平台在自动化审核时代,能否给用户基本的解释、证据和救济入口。对创作者和商家来说,账号已是经营资产,平台治理不能只靠一封模糊通知和一个失效按钮。
CD、座机和白名单电脑:复古科技育儿不是怀旧,是家长夺回边界
一位既是技术从业者、也是家长的作者,分享了自己的“复古科技育儿”:用 CD/DVD、图书馆实体媒介、VoIP 固定电话、二手塔式 PC、Pi-hole 和域名白名单,给孩子搭一个更可控的数字环境。 这套做法的重点不是反科技,而是把孩子从广告、推荐流和监控机制里部分隔离出来。 它对高数字素养家庭有参考价值,但不能浪漫化:门槛、时间和家庭资源都是真成本。
哥大180万社安号泄露:比被黑更麻烦的是旧数据没删干净
哥伦比亚大学承认,2025年数据泄露暴露的180万条社安号,不只属于学生、申请者和员工,也包括部分与学校没有明确关系的人。更关键的问题是,哥大曾试图停用并删除旧社安号,却漏掉遗留数据库。对隐私读者和高校安全团队来说,这不是一次普通泄露,而是一次历史数据留存失败的样本。
五眼联盟警告:假猎头正在把招聘平台变成情报入口
FBI、MI5 及澳大利亚、加拿大、新西兰政府发布联合安全提示,称中国情报人员正通过 LinkedIn 等公开求职平台伪装成招聘方,接触并诱导西方目标提供非公开信息。 这不是 LinkedIn 被攻破,而是职业社交平台被滥用:公开履历、私信信任和长期沟通,正好适合识别、接近和培养信息源。 最该警惕的人不是普通求职者,而是安全许可持有者、军方和政府相关从业者,以及负责跨国安全与合规的企业团队。
AI 巨头联名要求国会管 DNA 订单:风险不在模型,在下单那一刻
OpenAI、Anthropic、微软、Google DeepMind、Meta 等竞争对手联名致信美国国会,要求强制合成 DNA/RNA 供应商筛查高风险序列订单。关键不是 AI 已经能独立制造生物武器,而是模型可能降低设计门槛,再接上合成生物供应链和实验环节。真正的变量是:规则会卡住高风险订单,还是把正常科研和小供应商一起拖慢。
英国媒体引用“军事专家”近六成未披露军工关联,问题不在退役而在透明度
AOAV调查称,2015年至2026年5月间,33名符合条件的英国退役高级军官中,有19人在被媒体引用评论国防议题时,至少一次未被披露其防务产业商业利益关联。真正的问题不是军官退役后进入防务行业,而是媒体把他们呈现为“独立专家”时,是否给了读者判断立场所需的信息。
花 1500 美元让 LLM Agent 攻击自建 App:结果比模型排名更有价值
一名安全研究员自建含 Firebase/Firestore 访问控制缺陷的 React Native/FastAPI 靶场应用,花约 1500 美元测试多款 LLM Agent 能否读取私有评论中的 flag。这个实验不能当作行业基准,但它暴露了一个更现实的问题:Agent 已能复现部分真实移动应用常见漏洞,失败时也常败在开发者最容易忽视的后端权限边界上。
得州让苹果验年龄:App Store 正在变成互联网门禁
苹果将从 6 月 4 日起在得州对新建 Apple 账户启用年龄验证,成年用户需用信用卡、政府 ID 或账户信息证明满 18 岁,未成年人必须加入 Family Sharing。重点不只是儿童保护,而是监管把责任前移到 App Store 入口。用户会多一道身份门槛,开发者要适配年龄段信号,苹果则在被动合规中继续巩固守门人位置。
南得州疑似螺旋蝇蛆:美国牛业怕的不是虫,是缓冲带没了
美国农业部称,南得州出现疑似新大陆螺旋蝇蛆感染样本,已送国家兽医服务实验室确认;目前不能写成“已入侵美国”。 如果坐实,这将是该寄生蝇首次突破美墨边境防线,直接压力落在畜牧业、动物检疫和跨境治理上。 真正要看的不是恐怖虫害叙事,而是美国几十年建立的生物防线,能不能在边境压力、产业恐慌和政治喊话之间继续运转。
Cloudflare 当前数据不支持“机器人流量首次超过人类”
Cloudflare Radar Traffic Worldwide 当前 bot-vs-human 模块显示:近 7 天 HTML 页面 HTTP 请求中,Human 为 65.9%,Bot 为 34.1%。这不能写成“机器人流量首次超过人类”。真正该警惕的是:自动化请求已经占到网页访问的三分之一左右,网站运营、安全和内容团队要重新校准流量口径。
Ultrahuman 数据事件:戒指没被攻破,风险在内部工具
Ultrahuman 称,黑客通过被恶意软件感染的员工笔记本窃取凭据,进入内部分析系统,访问了约 0.1% 用户的 wellness data。按其约 70 万月活估算,受影响用户至少约 700 人,但公司未确认精确人数,也未说明 wellness data 的具体范围。真正该紧张的不是戒指设备被攻破,而是健康穿戴公司的云端数据和内部权限体系暴露了侧门。
Let’s Encrypt 押注 MTC:后量子证书不是换算法,是改 Web PKI 的运货方式
Let’s Encrypt 公布后量子 Web PKI 路线:把 Merkle Tree Certificates(MTC)作为主要方向,计划 2026 年底推出测试环境,2027 年进入生产可用。现有证书签发和续期今天不变,真正要提前准备的是浏览器、TLS 库、ACME 客户端和证书自动化管线。关键判断很简单:后量子证书的难点不只是算法更强,而是签名太大,Web PKI 得换一种规模化分发方式。
2026年最严重的几起攻击,已经打到公共服务和身份体系
TechCrunch盘点了2026年至今最破坏性的网络攻击。真正危险的变化,不是单个数据泄露更大了,而是社保数据库、水电设施、学校平台和证件验证一起开始失守。对企业来说,安全问题已经不只是IT成本,而是停摆、合规和信任的总账。
Creative Katana V2X 漏洞披露:一台 USB 音箱如何远程变成 BadUSB
安全研究者披露,Creative Sound Blaster Katana V2X 可在约 15 米范围内,经未配对 BLE 控制链路刷入修改固件,重启后模拟 USB 键盘输入。问题限定在 Katana V2X:蓝牙侧 CTP 未鉴权,固件更新缺少签名校验,让一台已被 PC 信任的 USB 音箱变成 BadUSB 入口。Creative 经 SingCERT 转达后称不认为这是网络安全风险;截至披露时,官方最新固件仍受影响。
美国导弹危机:库存焦虑背后,是推进剂供应链太薄
Contrary Research 的判断很直接:美国导弹和弹药库存被近年冲突持续消耗,精确数字不公开,但高强度太平洋冲突下的补给压力已经暴露。 真正的卡点不只是导弹公司产能,而是固体火箭发动机背后的高氯酸铵 AP 供应链过于集中。 液体推进重新被讨论,不是因为它完美,而是因为美国需要一条绕开固体推进瓶颈的补课路线。
github.dev 一键失守:VSCode Webview 的信任链问题
安全研究者披露了 VSCode / github.dev 的 Webview 消息处理漏洞:用户打开特制 github.dev 链接后,攻击者可借 Notebook 脚本、快捷键转发和扩展机制窃取 GitHub Token。 关键风险不在单个 Notebook 脚本,而在 Webview 的快捷键信任链:不可信内容被允许影响主窗口行为。 最该紧张的是使用 github.dev、VSCode Web、Jupyter Notebook 的开发者,尤其是账号能访问私有仓库的人。