安全资讯 第17页

聚合当前分类下的最新内容,按时间顺序查看第 17 页精选文章。

cPanel/WHM 认证绕过漏洞遭利用:共享主机站长该立刻确认三件事
安全 2026/5/1

cPanel/WHM 认证绕过漏洞遭利用:共享主机站长该立刻确认三件事

cPanel/WHM 存在 CVE-2026-41940 认证绕过漏洞,攻击者可远程绕过登录进入管理面板;cPanel 称所有受支持版本受影响,并已发布补丁。风险不是“所有网站已被攻陷”,而是共享主机行业大量依赖同一管理入口,一旦面板失守,网站、邮件、数据库配置都可能暴露。使用共享主机或托管服务的站长,现在应确认主机商是否已修补、是否限制过面板访问、是否回查异常登录和配置变更。

cPanel/WHMCVE-2026-41940认证绕过漏洞
北京5月1日起管住无人机销售和存储:重点不是禁飞,是把监管前移
安全 2026/5/1

北京5月1日起管住无人机销售和存储:重点不是禁飞,是把监管前移

北京5月1日起实施全市无人机管控,范围包括销售、租赁、运输、存储及核心部件,不只是飞行限制。 这条规则的关键变化,是把监管从“飞起来以后”前移到“买、运、放”的环节。 北京本地需求有限,对大疆全球销量直接冲击不大;更该看的是,这套前端管控会不会被其他城市吸收。

无人机管控北京低空设备监管
Meta在新墨西哥输掉3.75亿美元后,真正危险的是法院要改产品
安全 2026/5/3

Meta在新墨西哥输掉3.75亿美元后,真正危险的是法院要改产品

Meta与新墨西哥州的儿童安全争议,已经从“是否被迫退出当地”的平台威胁,推进到更硬的一步:法院可能要求它修改 Facebook、Instagram 和 WhatsApp 的产品规则。3.75亿美元赔偿不是终点,年龄验证、未成年人加密限制、使用时长上限和推荐系统整改,才是会打到平台商业机制的刀口。

儿童安全Meta产品整改
CopyFail 跑进 rootless Podman:漏洞是真的,宿主机 root 没那么容易拿
安全 2026/5/5

CopyFail 跑进 rootless Podman:漏洞是真的,宿主机 root 没那么容易拿

CVE-2026-31431 CopyFail 已在 rootless Podman 场景中被复现:漏洞能污染页缓存,容器内可以拿到 root,但没有直接变成宿主机 root。这个结果补上了此前披露争议里最缺的一块:受影响的不只是内核版本和发行版补丁节奏,还有 CI runner、构建环境这类天天跑陌生代码的地方。

CVE-2026-31431CopyFailrootless Podman
lightning 2.6.2/2.6.3 被投毒:AI 训练链路的信任账单来了
安全 2026/5/1

lightning 2.6.2/2.6.3 被投毒:AI 训练链路的信任账单来了

PyPI 上的 lightning 2.6.2、2.6.3 被植入恶意代码,安装后导入模块即可触发窃密和仓库投毒。风险边界不是所有 PyTorch,而是依赖到这两个版本并执行导入的环境。更刺眼的是,AI 团队把训练效率压在开源依赖树上,却常常没有同等强度的依赖治理。

供应链攻击PyPIlightning
Mark Klein 与 641A 房间:NSA 争议里真正吓人的,是骨干网接口
安全 2026/5/1

Mark Klein 与 641A 房间:NSA 争议里真正吓人的,是骨干网接口

2006 年,退休 AT&T 技术员 Mark Klein 向 EFF 提供图纸、文件和声明,把 NSA 疑似接入旧金山 AT&T 骨干网节点的传闻推向法庭。材料能支持的不是“NSA 读完所有通信”,而是在骨干网层面复制或捕获流量的能力与架构。真正的风险在于:危机之后,国家安全权力把临时例外做成了基础设施接口。

NSAAT&T641A 房间
OpenAI 给 ChatGPT 配上 YubiKey:账号更安全,也更像保险柜
安全 2026/5/1

OpenAI 给 ChatGPT 配上 YubiKey:账号更安全,也更像保险柜

OpenAI 为 ChatGPT 推出可选的 Advanced Account Security,并与 Yubico 合作支持联名硬件安全密钥。它补强的是账户登录这道门,尤其面向记者、研究人员、民选官员等高风险用户;代价也很硬:密钥丢失后,账户和历史对话可能很难找回。

Advanced Account SecurityChatGPTOpenAI
牙科软件漏洞已修复,但病历不该靠“改编号”就能翻到
安全 2026/4/30

牙科软件漏洞已修复,但病历不该靠“改编号”就能翻到

Practice by Numbers 修复了患者门户的越权访问漏洞:已登录用户曾可通过修改 URL 里的递增文档编号,查看其他患者文件。 公司称少于 10 名患者受影响,TechCrunch 4 月 13 日通知后,门户下线修复并于 4 月 17 日恢复。 我更在意的是两个基础问题:医疗软件有没有做足访问控制,患者和研究人员发现漏洞后,能不能找到一个正常上报入口。

访问控制漏洞越权访问Practice by Numbers
Polymarket 的战争赔率:52% 胜率背后,是机密被定价
安全 2026/4/30

Polymarket 的战争赔率:52% 胜率背后,是机密被定价

ACDC 分析 Polymarket 2021 年至 2026 年 3 月超 40 万个已结算市场发现,军事/防务类“长赔率”大额下注胜率约 52%,高于政治类约 25%和平台整体约 14%。这不能证明异常盈利都来自内幕交易,但足够说明一个结构性漏洞:少数人可决定的战争、抓捕、政变事件,一旦上链交易,机密就有了兑现窗口。对预测市场玩家、加密平台和监管者来说,真正要看的不是价格准不准,而是谁能开盘、谁要实名、谁为监控成本买单。

Polymarket预测市场军事防务
德国常规弹药产能超过美国?别只看标题,德国自己先变了
安全 2026/4/30

德国常规弹药产能超过美国?别只看标题,德国自己先变了

莱茵金属CEO Armin Papperger称,德国常规弹药产能已超过美国;但这不等于德国整体军事实力或全部军工产能超过美国。更关键的变化在德国内部:俄乌战争、安全战略转向、汽车供应链压力,正在把德国制造业的一部分推向军工。接下来最该看两件事:这些产能能否稳定交付,以及汽车供应商转向军工会走多深。

德国弹药产能Rheinmetall军工化
Ramp 表格 AI 漏洞已修复,但办公 AI 的权限账还没算完
安全 2026/4/30

Ramp 表格 AI 漏洞已修复,但办公 AI 的权限账还没算完

PromptArmor 披露,Ramp 的 Sheets AI 曾可被外部表格中的间接提示注入诱导,自动写入会联网的 IMAGE 公式,把敏感财务数据拼进攻击者 URL。Ramp 安全团队称问题已在 2026 年 3 月 16 日修复,目前材料展示的是可利用攻击链和服务器日志演示,不等于已有真实客户数据被盗。真正该盯的不是某个公式,而是办公 AI 同时拥有读数据、改表格、外联能力时,审批和隔离是否足够硬。

间接提示注入办公 AI 安全Ramp
Copy Fail 漏洞曝光:732 字节脚本刺中的,是共享内核的旧账
安全 2026/4/30

Copy Fail 漏洞曝光:732 字节脚本刺中的,是共享内核的旧账

CVE-2026-31431“Copy Fail”源于 Linux 内核 crypto/AF_ALG 路径,本地非特权用户可借此改写页缓存,并进一步提权到 root。 它不是远程直接打穿服务器的漏洞,但一旦和 Web RCE、CI 恶意代码、容器执行链组合,风险会被放大。 最该优先处理的是多租户 Linux、Kubernetes、CI runner、自托管构建环境,以及运行用户代码的云服务。

CVE-2026-31431Copy FailLinux 内核
FastCGI 30岁:HTTP 反代的老坑,不能只靠熟练工补
安全 2026/4/30

FastCGI 30岁:HTTP 反代的老坑,不能只靠熟练工补

FastCGI 规范发布于 1996 年,30 周年节点上重新被讨论,焦点不是怀旧,而是反向代理到后端这段链路该不该继续默认用 HTTP。HTTP/1.1 的报文边界歧义和可信头混用,已经多次变成 desync / request smuggling 风险,近期 Discord media proxy 漏洞只是一个提醒。FastCGI 不适合替代公网 HTTP,也不是银弹;它更像一面镜子,照出内部协议选择里被低估的信任边界成本。

FastCGIHTTP反向代理
Claude Mythos 被关进小圈子:危险是真的,贵也是真的
安全 2026/5/15

Claude Mythos 被关进小圈子:危险是真的,贵也是真的

Anthropic 没有把 Claude Mythos Preview 做成常规发布,而是通过 Project Glasswing 只开放给约 40 家受审机构,并承诺最高 1 亿美元 credits 给防御方先用。安全理由站得住:它被描述为具备发现并利用零日漏洞的能力;但新线索也把成本、算力和产品成熟度推到台前,说明“太危险所以不开放”不是完整答案。

Claude MythosAnthropic零日漏洞
CBP砸2.65亿美元买MQ-9B:边境无人机扩编,真正该盯住的是谁能调用
安全 2026/4/29

CBP砸2.65亿美元买MQ-9B:边境无人机扩编,真正该盯住的是谁能调用

CBP计划动用超过2.65亿美元采购并维持更多MQ-9B高空长航时监视无人机,新增数量被涂黑。官方用途包括陆地和海上边境监视、非法活动侦测、灾害响应和搜救。真正敏感的地方不在机型参数,而在DHS其他未公开部门也可能借同一合同采购MQ-9,监督边界还没跟上能力扩散。

边境安全MQ-9B SkyGuardian无人机监视
Great Ormond Street Hospital向Ferrari学交接:儿科ICU安全改进不该只靠“更小心”
安全 2026/4/29

Great Ormond Street Hospital向Ferrari学交接:儿科ICU安全改进不该只靠“更小心”

Great Ormond Street Hospital团队借鉴Scuderia Ferrari的F1进站组织方式,重设计儿童术后从手术室转入ICU的交接流程。真正重要的不是“医疗向赛车学速度”,而是用人因工程把角色、顺序、清单和沟通固定下来,减少高风险交接中的错误叠加。

医疗安全Great Ormond Street HospitalICU交接流程
斯里兰卡又有62.5万美元付款失踪:漏洞不在邮箱,在政府付款链条
安全 2026/4/29

斯里兰卡又有62.5万美元付款失踪:漏洞不在邮箱,在政府付款链条

斯里兰卡政府披露,一笔约62.5万美元、原本应付给美国邮政署的款项失踪;几天前,另有250万美元财政部相关付款被黑客转入其他银行账户。两起事件目前被描述为独立事件,但都指向同一个硬伤:跨境公共支付的收款方核验太薄。对一个仍在从2022年债务危机中恢复的国家来说,300多万美元不是宏观灾难,却足够刺痛债权人、公众和合作方的信任。

商业邮件入侵斯里兰卡政府政府付款链条
Checkmarx 与 Bitwarden 被卷入 Trivy 攻击链:安全工具正在变成凭据跳板
安全 2026/4/29

Checkmarx 与 Bitwarden 被卷入 Trivy 攻击链:安全工具正在变成凭据跳板

Trivy 被攻破后,Checkmarx 和 Bitwarden 相继出现在同一攻击活动线索中;Checkmarx 的 GitHub 与 Docker Hub 发布渠道被用于投放恶意软件。攻击者盯上的不是单个终端,而是仓库 token、SSH key 等能继续打开下游系统的凭据。企业现在要做的不是恐慌换工具,而是压缩受影响窗口、轮换凭据、审计发布链和构建链。

供应链攻击CheckmarxBitwarden
OpenAI发布网络安全行动计划:AI防御要普及,边界才是关键
安全 2026/4/29

OpenAI发布网络安全行动计划:AI防御要普及,边界才是关键

OpenAI Global Affairs 于 2026 年 4 月 29 日发布《智能时代网络安全》行动计划,提出五项支柱:普及网络防御、政企协调、加强前沿网络能力安全、保留部署可见性与控制权、帮助用户自我保护。重点不在于它推出了某个新安全产品,材料也没有披露预算、时间表、接口或量化效果。更像一次政策和产业站位:OpenAI 想把前沿模型能力放进政府、关键基础设施和企业安全体系,但前提是只服务可信防御者。

OpenAI网络安全AI驱动的网络防御
Meta 被欧盟初步认定违规:孩子填个假生日,就能进 Instagram
安全 2026/5/12

Meta 被欧盟初步认定违规:孩子填个假生日,就能进 Instagram

欧盟委员会初步认定,Meta 未能有效阻止 13 岁以下儿童注册和使用 Facebook、Instagram,涉嫌违反 DSA 儿童保护义务。最高约 120 亿美元只是理论罚款上限,不是已经处罚。真正的争议不是生日表单,而是平台增长激励长期压过未成年人保护。

Meta欧盟委员会数字服务法
Ubuntu 审计 Rust 版 coreutils:44 个 CVE 提醒系统编程别把安全全押给语言
安全 2026/4/29

Ubuntu 审计 Rust 版 coreutils:44 个 CVE 提醒系统编程别把安全全押给语言

Canonical 在 Ubuntu 26.04 LTS 前披露 uutils/coreutils 的 44 个 CVE,这批漏洞来自对 Rust 版 GNU coreutils 重写项目的外部审计。真正的信号不是“Rust 失败了”,而是 Rust 的内存安全优势挡不住 Unix 路径、权限、字节流和错误处理里的语义坑。

uutils/coreutilsCVERust