安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
AI 安全智能体在 FFmpeg 找到 21 个零日:真正变化是 PoC 成本降到约 1000 美元
depthfirst 称,其自主安全智能体在 FFmpeg 中发现 21 个零日漏洞,其中 8 个已分配 CVE,部分问题潜伏 15 至 20 年以上。更关键的是,它声称用约 1000 美元成本生成可复现 PoC,并验证了部分漏洞可达性。现在还不能把 21 个漏洞都视为已独立完整验证,也不能说它们都可 RCE,但自动化审计的成本线确实被压低了。
Palantir瑞士败诉:安全科技公司不能只躲在保密条款后面
据FT标题页可见信息,Palantir在针对一家瑞士调查性杂志的法律挑战中败诉;正文细节受限,不能补写法院名称、判决理由、赔偿金额或报道内容。真正值得看的是,政府数据与安全技术公司遇到调查报道时,商业保密和公共监督的边界怎么划。对采购方、媒体和纳税人来说,这不是产品口碑问题,而是公共权力外包后的问责问题。
Apple 用 Swift 重写 C 字体解释器:13% 提速背后,真正关键是安全迁移
Apple 将 TrueType 字体 hinting 解释器从 C 重写为内存安全的 Swift,已用于 2025 年秋季系统发布,并称平均比旧 C 实现快 13%。这不是“Swift 全面赢过 C”,而是一个安全关键、性能敏感、兼容包袱很重的老组件迁移案例。最该看的是测试规模、像素级兼容和性能优化路径,而不是语言口号。
Google 起诉 Outsider Enterprise:AI 让短信钓鱼变成订阅制生意
Google 起诉名为 Outsider Enterprise 的疑似中国网络犯罪网络,称其用 AI、短信群发和仿冒网站模板,大规模冒充 Google 及电信、金融、政府、零售服务。 更值得警惕的不是单个假网站,而是钓鱼诈骗正在被做成订阅软件:模板、域名、短信通道、目标名单和变现分工被平台化。 对普通用户来说,短信验证码不再只是安全门槛,也可能成为被实时接管账户的入口。
FISA 702 今夜到期,但美国监控真正的节点在 2027 年 3 月
美国国会未能赶在 2026 年 6 月 12 日午夜前延长 FISA Title VII/Section 702,但现有 FISA 法院认证有效至 2027 年 3 月,相关监控不会立刻停摆。 争议的核心不是美国是否“今晚失明”,而是政府能否继续无令状查询被附带收集的美国人通信。 对关注美国科技政策、隐私监管和企业合规的人来说,短期义务大体不变,真正要盯的是国会改革条款、服务商法律挑战和 2027 年 3 月这个硬节点。
Oracle PeopleSoft 高危零日遭勒索组织利用:高校成主要目标,临时缓解还不够
ShinyHunters 已利用 Oracle PeopleSoft 零日漏洞 CVE-2026-35273 攻击约 300 个端点,涉及约 100 家用户组织,但这不等于全部已确认被攻破。真正的风险在于:这是 CVSS 9.8 的远程 SSRF 漏洞,已被勒索组织规模化用于数据窃取,而 Oracle 目前仅发布临时缓解措施,尚未完整修补。
恶意软件把武器文本塞进代码:AI 拒答可能变成安全扫描盲区
据 John Scott-Railton(jsrailton)转述的 SocketSecurity 案例,有间谍软件把核武器、生物武器相关文本混入样本,目的更像是诱发 LLM 拒答,而不是传播武器知识。 真正的风险不在这些文本本身,而在安全扫描系统如果把“拒答”当成分析终点,攻击者就多了一个逃逸面。 对 AI 安全和恶意软件检测团队来说,关键动作是重做拒答后的处置流程,而不是简单要求模型更敢答或更会拒。
Google 起诉被指来自中国的诈骗网络:AI 短信钓鱼开始打基础设施战
Google 起诉名为 Outsider Enterprise 的网络,称其在诈骗活动中使用 AI,冒充 Google 等品牌发送短信,窃取密码和信用卡信息。关键不只是 AI 会写诈骗话术,而是短信、假网站、域名和运营商通道正在被打包成一套诈骗基础设施。能不能压住这类攻击,要看 Google、运营商和执法部门能否拆掉域名和分发链路,而不只是封号码。
Google 起诉钓鱼即服务团伙:Gemini 被拿去把诈骗做成模板工厂
Google 指控 Outsider Enterprise 通过 Telegram 提供“钓鱼即服务”,还指导诈骗者用 Gemini 批量生成仿冒网站和短信诈骗页面。案件涉及约 9000 个假网站、100 万个 URL,以及超过 250 万条发给 Android 用户的短信。真正刺眼的不是“坏人也用 AI”,而是通用大模型正在把低技术诈骗做成低成本流水线。
FCC 想给电话加 KYC:反诈别变成通信准入审查
FCC 正在征求意见,考虑强化语音服务商 KYC 规则;这还不是正式实施,但可能影响预付费 SIM、第三方销售渠道和普通电话开户。诈骗电话确实该治,问题是这套方案把成本压给守法用户,尤其是依赖预付费电话和匿名通信保护安全的人。接下来最该看三件事:KYC 范围、记录保存期限、按通话计罚会不会逼运营商过度审核。
Verizon 误寄带 MDM 的翻新机:问题不止是寄错一台手机
Verizon 将一台未正确清除 MDM 管理配置的门店演示机,作为 Samsung Galaxy Z Flip7 替换机寄给 22 年老用户 Tom Collery。设备随后疑似因 MDM 策略或远程指令被重置,用户称联系人、信息、照片、视频和文件被清空。更该追问的是:运营商翻新机在回收、擦除、MDM 解绑和出库复核上,是否有可审计的流程。
FISA第702条款将首次失效:美国监控权力被国会卡了一下
美国众议院以218比198否决FISA第702条款续授权,19名共和党议员反对,下一次投票预计在6月23日。这不代表美国监控系统周五立刻停摆,FISC既有认证仍可让相关项目运行至2027年3月。真正的变化是,国会把无证监控、美国人通信被波及,以及情报机构人事政治化这几件事绑到了一起谈。
AI 代读邮件后,邮箱安全开始从送达转向验真
Fastmail 的判断是:AI 开始过滤、摘要和代办邮件后,邮箱安全的重心正在前移,不能只看邮件能不能送达,还要看来源能不能验证。 SPF、DKIM、DMARC 不是新技术,但在 AI 参与读信和行动后,会更像邮箱可信度的基础设施。 企业邮件管理员要补的是域名认证和外发系统治理;普通用户也要记住,认证只能证明域名身份,不能证明内容安全。
荷兰公务员邮件风波:数据在欧洲,不代表权力在欧洲
据荷兰媒体报道,微软被指向美国众议院提供了荷兰公务员未删节邮件、姓名、会议纪要和邀请等信息;微软和美国众议院均拒绝置评。敏感点在于,相关人员涉及欧盟《数字服务法》监管语境,监管者的内部沟通可能被另一个司法辖区触达。真正要重估的不是“数据放哪”,而是谁能依法访问、谁握密钥、谁能审计和拒绝披露。
Oracle PeopleSoft 漏洞遭利用:高校 HR 与学生数据系统成批量勒索入口
Oracle 警告 PeopleSoft 存在一个可通过互联网远程、无需认证利用的高危漏洞;公告发布时尚未给出正式补丁,只建议客户先做缓解。 Mandiant/Google 已通知 100 多家可能存在风险的全球机构,多数在美国,约三分之二是高校;这不等于 100 多家都已确认被入侵。 我更在意的是:PeopleSoft 这类后台企业软件,正在从“内部系统”变成黑客批量找入口、偷数据、再勒索的稳定靶面。
儿童社交媒体禁令从澳大利亚走向多国议会,真正难题在年龄验证
澳大利亚已在2025年12月实施16岁以下儿童社交媒体禁令,多个国家正在跟进立法或咨询。我的判断是,儿童社交媒体限制正从单国试验变成全球监管趋势,但它的成败不取决于口号,而取决于平台能否在不制造新隐私风险的前提下识别年龄。
AMD 更新器漏洞拖了 124 天:MITM RCE 之外,更该看赏金边界
研究员披露,AMD AutoUpdate/Ryzen Master 相关更新链路曾把 HTTPS 配置入口和 HTTP 下载链接混在一起,攻击者在具备 MITM 能力时可能替换可执行文件。AMD/Intigriti 最初以“可选工具、MITM 不在范围”为由关闭报告,后由 AMD PSIRT 继续审查、修复并发 CVE。问题不该被夸大成“所有 AMD 用户被远程打穿”,但它暴露了可选工具安全、赏金范围和披露节奏之间的灰区。
Flock 执法车牌查询被搜索引擎收录:问题不在黑客,在门缝
404 Media 与 NoCo Privacy Coalition 发现,Flock 部分执法车牌查询相关 URL 出现在 DuckDuckGo、Bing 等搜索结果中,可见查询原因、疑似车牌、州别、车辆特征和部分日期范围。Flock 称约有 70 条结果,时间在 2024 至 2025 年,未暴露搜索结果或底层执法数据。更该警惕的是,云端执法系统一旦接入日常 Web 机制,搜索引擎索引也可能变成监控元数据外泄通道。
FISA 702 延期在众议院受挫,但美国监听网络不会立刻“断电”
美国众议院以 218:198 否决将 FISA 第 702 条延长至 7 月 2 日,相关授权可能至少中断一周。真正关键不在于情报系统是否立刻失明,而在于既有 FISA 法院认证仍可让部分监控指令继续执行。争议的核心,是国家安全叙事能否继续压过对无证监听边界的追问。
Coupang 被韩国罚超 4 亿美元:跨国平台别再把本地数据当远程资产
韩国个人信息保护委员会因 2025 年数据泄露事件,拟对 Coupang 处以 6240 亿韩元、约 4 亿美元以上罚款,创下韩国相关监管纪录。事件影响超过 3400 万名客户,约为韩国人口三分之二,涉及姓名、邮箱、地址、电话和订单历史。更硬的一点是:Coupang 总部在美国,但只要吃的是韩国用户和韩国订单,就要按韩国的数据责任被追问。
Fedora 旧账号被疑似 AI agent 滥用:开源信任模型被敲了一下
一个有历史信誉的 Fedora 贡献者账号,被用于在 Bugzilla 改状态、关 bug、提交 PR,并让可疑改动进入 Anaconda 45.5,随后在 45.6 回滚。现在还不能断言这是攻击,也没有证据表明已植入恶意代码。真正刺眼的是:账号历史、维护者善意和审查疲劳,正在被自动化代理放大成供应链入口。