安全资讯 第18页

聚合当前分类下的最新内容,按时间顺序查看第 18 页精选文章。

Comey 因“8647”贝壳照再遭起诉:真正危险的是谁来解释暗语
安全 2026/4/29

Comey 因“8647”贝壳照再遭起诉:真正危险的是谁来解释暗语

美国司法部再次起诉前 FBI 局长 James Comey,称他在 Instagram 发布的“8647”贝壳照片可能构成对特朗普的威胁。Comey 否认暴力意图,称自己以为那只是政治信息。真正的争议不在一串数字有多吓人,而在国家权力能否用最重语境读取社交媒体暗语。

DOJJames ComeyDonald Trump
GitHub 6 小时修好高危漏洞,但开源世界不能只靠它反应快
安全 2026/5/27

GitHub 6 小时修好高危漏洞,但开源世界不能只靠它反应快

GitHub 上月修复了一个触及内部 git 基础设施的关键远程代码执行漏洞,40 分钟复现、不到 6 小时完成修复,目前没有发现被利用迹象。真正该紧张的不是“GitHub 已经失守”,而是代码托管、CI/CD、Secrets、企业版服务被压在同一个平台上后,任何一次基础设施级风险都会变成供应链风险。

GitHub远程代码执行漏洞供应链风险
12 美元、一个新域名,骗过联网 LLM 的不是冠军故事
安全 2026/4/29

12 美元、一个新域名,骗过联网 LLM 的不是冠军故事

一名作者注册 6nimmt.com,发布伪造新闻稿,再把它加进 Wikipedia 引用,虚构自己是“6 Nimmt! 世界冠军”。6 Nimmt! 是真实桌游,但作者称不存在官方世界冠军赛,自己也从未去慕尼黑参赛。更值得警惕的是:联网 LLM 的检索层,可能正在变成低成本、即时生效的信息投毒入口。

联网 LLM信息投毒维基百科
路过现场,也能被手机定位拖进搜查吗?
安全 2026/4/29

路过现场,也能被手机定位拖进搜查吗?

美国最高法院已听取 Chatrie v. United States 口头辩论,核心是警方能否用地理围栏令向科技公司索取案发地附近用户的位置数据。 这案子不该只按“破案效率”看。真正要定的是:手机时代,靠近现场能不能成为被政府批量筛查的理由。 Google 已在 2024 年调整 Location History 默认云端存储,但风险没有消失。Uber、Lyft、Snap 和大量应用仍可能保存位置数据,反向搜索也会扩展到别的数字记录。

地理围栏令位置数据隐私
Paragon被曝未回应意大利检方:Graphite案正在考验“道德间谍软件”叙事
安全 2026/4/29

Paragon被曝未回应意大利检方:Graphite案正在考验“道德间谍软件”叙事

据Wired Italy报道,Paragon此前承诺协助调查Graphite间谍软件攻击意大利记者和活动人士事件,但意大利检方经由以色列政府发出的正式信息请求,报道称约一年后仍未获回复。 这不等于Paragon已违法,也不能直接推定其故意阻挠调查;但它正在削弱Paragon长期主打的“更合规、更有道德”的供应商形象。 对网络安全和隐私政策读者来说,关键不只是查清一次攻击,而是商业间谍软件的审计、日志和跨境司法协助到底能不能落地。

ParagonGraphite间谍软件
Google要把开发者验证推向Android安装环节,侧载自由正在变窄
安全 2026/4/29

Google要把开发者验证推向Android安装环节,侧载自由正在变窄

Google在2025年8月宣布,计划从2026年9月起要求Android应用开发者完成集中注册、提交身份信息并满足相关条件。争议点不只在Play Store,而在认证Android设备上的侧载、F-Droid和个人分发也可能被纳入验证范围。安全治理有现实理由,但如果“能不能安装”越来越取决于Google认可,Android相对开放的底层承诺就变了。

Android开发者验证GoogleAndroid
最高法院审地理围栏令:警方还能先撒网、后找嫌疑人吗?
安全 2026/4/29

最高法院审地理围栏令:警方还能先撒网、后找嫌疑人吗?

美国最高法院正在审理 Chatrie v. United States,问题是警方能否用地理围栏令,从 Google 等公司的位置数据库里反向筛出案发地附近的人。争议核心不是 Chatrie 会不会翻案,而是第四修正案能不能约束“先搜索、后怀疑”的执法方式。外界更可能看到的是收窄规则,而不是全面禁用;真正受影响的是保存位置数据的平台、执法部门,以及每个带着手机经过敏感地点的人。

地理围栏令Chatrie v. United States美国最高法院
AI在OpenEMR发现38个CVE:医疗开源软件真正被考的是修复链路
安全 2026/4/29

AI在OpenEMR发现38个CVE:医疗开源软件真正被考的是修复链路

AISLE称其AI安全分析器在2026年一季度于OpenEMR中发现38个CVE,占同期OpenEMR GitHub安全公告一半以上;主要修复随2月11日OpenEMR 8.0.0发布,剩余补丁在3月完成。更要紧的不是“AI会挖洞”,而是医疗机构能不能把升级、权限收敛和补丁验证做完。对维护者来说,AI适合提前发现重复型安全债,但不能替代业务权限审查和发布责任。

OpenEMRCVE漏洞修复
Scholly 创始人起诉 Sallie Mae:学生数据为何成了收购后的硬问题
安全 2026/4/28

Scholly 创始人起诉 Sallie Mae:学生数据为何成了收购后的硬问题

Scholly 创始人 Chris Gray 起诉收购方 Sallie Mae,称自己因质疑学生数据出售和共享安排而遭非法解雇;Sallie Mae 否认关键指控,称其没有事实依据。 这起案子的关键不在创始人离职,而在奖学金工具被金融机构收购后,原有用户数据承诺是否还能兑现。 对教育科技和金融科技团队来说,收购后的数据迁移、第三方共享和未成年人信息处理,不能再当成后台小事。

学生数据隐私SchollySallie Mae
TFH把Bruno Mars合作说错了,身份验证公司的信用先被验证了一次
安全 2026/4/28

TFH把Bruno Mars合作说错了,身份验证公司的信用先被验证了一次

TFH曾在4月17日活动和官网中提到Bruno Mars Romantic Tour与Concert Kit,4月22日被Bruno Mars管理团队和Live Nation联合否认。 后续信息显示,TFH与Bruno Mars及其巡演没有协议、没有关联;实际合作对象是Thirty Seconds to Mars的2027年欧洲巡演。 问题不在娱乐圈“撞名”,而在一家做身份验证的公司,先在合作核验上出了低级错。

Tools For Humanity身份验证Concert Kit
Flo 经期数据案:最刺眼的不是泄露,而是把身体记录接进广告系统
安全 2026/4/28

Flo 经期数据案:最刺眼的不是泄露,而是把身体记录接进广告系统

Frasco v. Flo 案中,2025 年 8 月陪审团认定 Meta 对收集 Flo 用户敏感生殖健康数据并用于自身利益承担责任,集体诉讼覆盖约 1300 万用户。涉事数据包括月经周期、排卵、怀孕/备孕相关信息,争议时间主要在 2016-2019 年。真正要看的不是用户够不够谨慎,而是健康 App、广告 SDK 和隐私同意机制能不能被重新约束。

隐私敏感生殖健康数据Flo
AI 找洞进入真实代码:新一代“脚本小子”风险变了
安全 2026/4/28

AI 找洞进入真实代码:新一代“脚本小子”风险变了

DARPA AIxCC 的关键事实是:AI 工具在 5400 万行真实代码里,不只找出多数人工植入漏洞,还挖出十多个未植入的真实漏洞。Claude Mythos 加重了安全圈的担忧,但它不是唯一原因;真正的变化是漏洞发现、理解和组合攻击的门槛在一起下降。对安全团队来说,重点不是追热点模型,而是补上资产盘点、漏洞排序、补丁验证和披露响应的速度差。

AI 漏洞发现DARPA AIxCC网络安全
GTFOBins 不是漏洞清单,它照出的是 Linux 权限治理的旧账
安全 2026/4/28

GTFOBins 不是漏洞清单,它照出的是 Linux 权限治理的旧账

GTFOBins 是一个公开知识库,整理 Unix/Linux 常见二进制工具在特定权限配置下可能具备的 Shell、文件读写、上传下载、权限提升、库加载等能力。它提醒的不是“某个命令有毒”,而是 sudo、SUID、capabilities、镜像和流水线权限组合后会放大风险。对 Linux 运维、云平台和安全团队来说,重点不是禁工具,而是盘点授权、收紧默认能力、审计合法工具的异常使用。

GTFOBinsLinux权限提升
多伦多首例 SMS Blaster 案:车后箱里的伪基站,把短信信任撬开了
安全 2026/5/8

多伦多首例 SMS Blaster 案:车后箱里的伪基站,把短信信任撬开了

多伦多警方逮捕3名涉嫌使用 SMS blaster 的男子,称这是加拿大已知首例此类案件;设备被装在车后,从市中心向数万台设备推送钓鱼短信。真正要紧的不是诈骗短信又换了话术,而是旧2G网络和移动伪基站把城市通信变成了可移动攻击面。

SMS Blaster伪基站钓鱼短信
美国消费者被社交媒体诈骗卷走21亿美元:平台入口的账,该算了
安全 2026/4/28

美国消费者被社交媒体诈骗卷走21亿美元:平台入口的账,该算了

FTC 报告称,2025 年美国消费者报告的社交媒体诈骗损失达 21 亿美元,相关损失增长 8 倍,并超过短信、邮件等接触渠道。更关键的变化是,诈骗正在贴着社交平台的广告、推荐和关系链生长。对重度社媒用户来说,最危险的不只是陌生私信,而是看起来像正常广告、正常社群、正常关系的入口。

社交媒体诈骗FTC21亿美元损失
许泽伟已被引渡至美国:这起涉华黑客案为何是一个关键节点
安全 2026/4/28

许泽伟已被引渡至美国:这起涉华黑客案为何是一个关键节点

许泽伟已从意大利被引渡至美国,目前羁押在得州休斯敦;其意大利律师称,引渡发生在周六。美方指控他是中国国家安全部承包商,并与张宇共同针对美国高校窃取新冠相关研究,还被指参与 Hafnium / Silk Typhoon 相关的 Microsoft Exchange 攻击。此案的重点,是美国把一类长期停留在起诉书、制裁名单和外交声明里的网络归因,推进到可开庭审理的阶段。

许泽伟网络攻击引渡
Scratch 的 SVG 漏洞史:补丁越厚,边界越薄
安全 2026/4/28

Scratch 的 SVG 漏洞史:补丁越厚,边界越薄

Scratch 多年来反复修补用户上传 SVG 带来的 XSS、HTTP 泄露和页面样式污染,到 2026 年仍有未修复入口被披露。核心问题不是 DOMPurify 失手,而是 Scratch 会解析攻击者控制的 SVG,并短暂插入主 document 做测量等操作。对 UGC 平台来说,继续加过滤规则只是止血;真正该改的是隔离边界。

ScratchSVG漏洞XSS
macOS 27 网络兼容性预警:旧 Time Capsule、AFP NAS 与企业 MDM 服务器要先体检
安全 2026/4/28

macOS 27 网络兼容性预警:旧 Time Capsule、AFP NAS 与企业 MDM 服务器要先体检

Apple 已提前放出两类 macOS 27 网络兼容性预警:AFP/Time Capsule 支持可能退场,部分企业服务器连接可能被要求满足更高 TLS 与 ATS 标准。真正受冲击的不是大多数家庭 Wi-Fi 或普通网页访问,而是仍依赖旧网络存储、AFP 备份,以及 MDM、自动设备注册、应用分发和软件更新基础设施的环境。判断很直接:这不是一次功能升级,而是一场存量设备和企业运维债务清算。

macOS 27Apple网络兼容性
Trenchant 员工被控售俄黑客工具:政府级漏洞市场最怕内部人
安全 2026/4/27

Trenchant 员工被控售俄黑客工具:政府级漏洞市场最怕内部人

404 Media 的 Joseph Cox 采访 TechCrunch 记者 Lorenzo Franceschi-Bicchierai,梳理了 Trenchant 前员工 Peter Williams 被指私下向俄罗斯公司出售黑客工具的案件。更要紧的是,相关工具疑似流向俄罗斯政府,并可能与中国犯罪团伙使用的攻击有关,但公开证据还不能把所有链条钉死。这个案子刺中的,是零日漏洞和政府间谍软件市场最难管的一环:高保密、高价格、高信任,一旦遇到内部人私售,防线会从合同里漏出去。

政府级漏洞利用工具Trenchant黑客工具外流
UL标志被AI和低价硬件追着跑:第三方安全认证还能刹住车吗
安全 2026/4/27

UL标志被AI和低价硬件追着跑:第三方安全认证还能刹住车吗

UL Solutions CEO Jennifer Scanlon在访谈中解释,UL安全认证已从电气防火扩展到锂电池、物联网和AI嵌入式产品。真正的变量不是UL这个Logo还权不权威,而是保险、法规、平台、采购和诉讼能不能继续把安全成本压回产业链。AI和低价硬件正在制造一个新问题:产品迭代比认证和监管快得多。

UL Solutions安全认证第三方认证
Mercor 4TB数据疑似外泄:AI外包工的声音,成了不能重置的风险
安全 2026/4/27

Mercor 4TB数据疑似外泄:AI外包工的声音,成了不能重置的风险

2026年4月4日,勒索组织 Lapsus$ 声称发布 Mercor 约4TB数据;泄露样本索引显示,数据涉及逾4万名AI外包人员。危险不只在规模,而在护照或驾照扫描、自拍视频、安静环境朗读语音被绑在同一条身份链上。声音不能像密码一样重置,AI训练红利由平台拿走,生物识别外泄的长期账单却可能落到承包者身上。

数据泄露MercorLapsus$