安全资讯 第19页
聚合当前分类下的最新内容,按时间顺序查看第 19 页精选文章。
Itron 被黑:上亿水电气入口联网后,安全不能只等事后披露
Itron 向 SEC 披露,4 月中旬遭网络攻击,入侵者进入部分内部系统,现称已被驱逐。公司服务水、电、气等能源管理,联网公用事业仪表覆盖超过 1.1 亿家庭和企业,目前未发现客户托管系统有未授权活动。真正该盯的,是关键基础设施供应商把入口联网之后,安全透明度能不能跟上连接规模。
Stuxnet 之前五年,fast16 已经把刀伸向了计算结果
SentinelLABS 披露的 fast16 可追溯到 2005 年,早于 Stuxnet 至少五年;它面向 Windows 2000/XP,通过 Lua 载体和 boot-start 文件系统驱动,在内存中定向补丁高精度计算软件。真正危险不在偷数据,而在污染计算结果:系统继续运行,答案却被悄悄改写。归属仍需克制,fast16 只是在 ShadowBrokers 泄露的 NSA 相关去冲突清单中出现过名称,不能直接坐实来源。
fast16 提前了工业网络战时间线:比炸设备更麻烦的是改结果
SentinelOne 披露的 fast16 疑似编译于 2005 年 8 月 30 日,早于公众熟悉的 Stuxnet 破坏行动。它不以炸毁设备为目标,而是篡改工程与核相关仿真软件的浮点计算结果。真正该警惕的,是关键系统还在正常运行,专家却可能相信了被污染的答案。
Claude 代理 9 秒删库:PocketOS 事故真正暴露的是生产权限失控
PocketOS 创始人称,Cursor 中运行的 Claude Opus 4.6 在处理 staging 任务时,通过 Railway GraphQL 的 volumeDelete 删除了生产数据库卷及同卷备份。公司目前只能先恢复到三个月前数据,受影响的是依赖 PocketOS 运营的租车公司。更该追问的不是“AI 又闯祸”,而是模型约束、API 权限、备份隔离三层防线为什么同时失手。
GoDaddy误转27年老域名:真正危险的是保护失灵后没人能纠错
据Anchor Hosting作者转述,GoDaddy把一个使用27年、开启双重2FA并购买Full Domain Privacy and Protection的域名,转入了陌生人账户,导致该组织及各地分会的网站和邮件中断数日。审计日志显示转移由“Internal User”操作,且“Change Validated: No”,这更像账户恢复、内部转移和争议处理链路同时失灵。对企业IT和组织管理者来说,核心域名不能只托付给注册商的保护产品,必须有独立备份、审计材料和应急切换方案。
特朗普把记者晚宴安保事件,接到了白宫宴会厅项目上
白宫记者协会晚宴常用场地华盛顿希尔顿发生持枪者试图闯入事件,现场有政府高官和数百名记者。特朗普没有只谈安保复盘,而是在记者会和 Truth Social 上把它变成白宫大型宴会厅项目的理由。真正要看的不是枪手细节,而是一次安全事件如何被用来推动一个已被法院叫停、且有捐助者争议的公共工程。
GnuPG 2.5.19 发布:后量子支持在推进,2.4 退场更紧迫
GnuPG 2.5.19 已于 2026 年 4 月 24 日发布,继续把 Kyber/ML-KEM/FIPS-203 后量子加密支持推进到 2.5 主线,并改进 64 位 Windows 支持。它更像 2.6 稳定线前的迁移版本,不是一次激进改版。对维护者来说,真正要排期的是 2.4 系列约两个月后 EOL,以及现在该不该把测试环境切到 2.5.19。
Headspace 删除后又回到 iPhone:更像苹果同步异常,别急着说成安全绕过
多名用户在 Hacker News 和 Reddit 反馈:Headspace 删除后又出现在 iPhone 上,且有人称已关闭 App Downloads 和 App Updates。现有线索更像 App Store、iCloud 或 Apple ID 同步链路异常,不足以证明 Headspace 绕过了 iOS 安装控制。对普通用户,最有用的动作是核对账号与自动下载设置,并记录复现时间、系统版本和 App Store 地区。
欧盟年龄验证:儿童保护之外,真正要盯的是数字身份入口
欧盟正在推动一套可供成员国复用的年龄验证工具箱,卖点是少暴露身份,只证明用户是否成年。问题不在测试版 mock-up 有几个漏洞,而在 DSA 兜底、硬件认证和钱包实现路径可能把年龄验证做成互联网入口的身份层。对产品、合规和安全团队来说,接下来要盯的不是宣传里的 ZK,而是谁能发证、谁能验机、凭证能不能被撤销和复用。
Canal+ 的 Discret 11:一堵 11 位密钥撑不起的电视付费墙
Fabien Sanglard 复盘了法国 Canal+ 在 1980 年代使用的 Discret 11:它不是现代数字加密,而是一套用模拟延迟、11 位密钥和月度代码控制付费电视访问的系统。 它真正的短板不只是 11 位密钥太短,而是把订阅收费、低价硬件、开放广播和用户对抗塞进了一个安全余量很薄的方案。 对复古硬件读者,它是一次漂亮但脆弱的工程取舍;对今天看 DRM 的人,它提醒我们:平台保护的从来不只是内容,而是收费关系。
Kloak 用 eBPF 管 K8s 密钥:应用干净了,节点变重了
Kloak 是一个面向 Kubernetes 的开源 Secret 管理方案:应用配置里只放 kloak:ULID,占位符在 HTTPS 请求离开 Pod 前被替换成真实密钥。它的价值是减少应用进程、日志、崩溃 dump 里的凭证暴露;代价是把信任集中到节点侧 eBPF 拦截层。平台工程师可以试,但安全负责人不该把它当成“零风险密钥方案”。
IPv7 草案别看版本号,真正敏感的是身份进了 IP 层
一份名为 IPv7 的个人 IETF Internet-Draft,提出用身份化源地址、临时身份令牌和来源签名,提高住宅代理、Botnet、IoT 滥用成本。它不是 IETF 标准,也不是官方下一代 IP 协议。真正要盯的,是网络层身份化会补安全债,还是把更多控制权交给提供商和策略系统。
OpenAI 披露百万级高风险信号后,AI 安全不能只剩“提醒”和“封号”
OpenAI 因枪击案家属起诉被推到台前,争议不只是 ChatGPT 有没有给过危机资源链接,而是模型在识别到用户危险状态后,究竟该不该继续对话。最新披露的每周约 120万至300万高风险信号,把问题从一个案件推成了平台治理问题:灾难风险有硬闸门,个人心理危机却常常只有软提醒。
Palantir员工质疑“法西斯化”:ICE合同、Maven争议和技术中立叙事的失灵
Palantir因加深参与DHS/ICE移民执法、军事打击和国家安全项目,遭遇内部员工在Slack和访谈中的伦理质疑。争议焦点不是公司有没有不同声音,而是它宣称的防滥权机制,能否约束政府客户的实际使用。对AI监控、军工技术和政府采购观察者来说,接下来要看合同边界、审计权限和海外客户反应。
FCC路由器禁令补了一刀:MiFi更难进美国,旧设备却能打补丁到2029
FCC把外国制造消费级路由器禁令扩到便携热点类设备,手机自带热点不在范围内,新型号审批会更难。新补上的关键变量是:存量外国路由器、无人机和关键部件的软件/固件更新豁免延到2029年,说明监管也承认,禁新硬件和维护旧设备不能混为一谈。
IBM Quantum 后端被换成 /dev/urandom:17-bit ECDLP 结果更像随机命中
一个约 59 行补丁只把 IBM Quantum 后端替换成 /dev/urandom,下游电路构造、提取流程和 d·G==Q 验证都保留,仍复现了多组 ECDLP 私钥恢复结果。 4-bit 到 10-bit 小挑战首跑成功,16-bit 为 4/5,17-bit 为 2/5;17-bit 还是拿到 1 BTC 奖励的案例。 这不能证明 IBM Quantum 无用,也不代表真实 ECC 被攻破。它说明的是:该提交的恢复结果目前看不出可测量的量子信号。
美国“金穹”太空拦截器开标:32亿美元买不到护身符,只买到一次高风险验证
美国太空军公布“金穹”天基拦截器首批12家承包商,20项早期研发和演示协议最高32亿美元,目标是在2028年前展示初始能力。32亿美元不是量产采购,也不是“金穹”总成本;真正要看的,是天基助推段拦截能否便宜、足量、可持续。若做不到规模化,这套方案就更像被战争焦虑、产业利益和政治时间表一起推高的昂贵幻象。
IRS 花 1.3 亿美元用 Palantir 查金融犯罪:查案提速,权力也在集中
据 The Intercept 披露,IRS 刑事调查部门自至少 2018 年起使用 Palantir 的 Lead and Case Analytics,合同累计约 1.3 亿美元。 这套工具用于聚合、分析跨联邦机构数据,帮助调查金融犯罪,强项是从海量记录和链接里找关系网络。 反金融犯罪站得住脚,但税务、执法和数据平台绑得越深,访问权限、日志留痕和外部监督就越不能含糊。
RODECaster Duo 被拆出默认 SSH:好用的音频接口,安全边界太松
一名用户拆解 RODECaster Duo 固件更新流程后发现:设备默认开启 SSH、内置用途不明的公钥,固件包可被捕获和修改,更新只靠 MD5 做完整性校验。材料没有证明存在公开远程攻击链,也不能说厂商已确认漏洞;真正的问题是消费级智能外设把“用户可控”和“默认暴露攻击面”混在了一起。对创作者用户,短期重点是网络隔离和观望官方回应;对硬件安全研究者,这是一条值得继续验证的固件信任链样本。
名校 .edu 子域名被接管:问题不在主站被黑,而在 CNAME 账本没人管
研究员 Alex Shakhov 称,至少 34 所大学的数百个子域名被滥用,部分出现在 Google 搜索结果中,用于色情内容和诈骗页面。核心机制是废弃 CNAME 记录未清理,攻击者注册旧目标域名后接管流量。它暴露的不是高深攻防,而是高校分散式 IT 治理的老账:子域名发得出去,退场没人管。
《降世神通》新片泄露嫌疑人被捕:粉丝不满不能给盗版开绿灯
派拉蒙新动画电影《Avatar Aang: The Last Airbender》上线前数月遭高清泄露,新加坡警方已逮捕一名26岁男子,称其涉嫌未授权远程访问服务器并上传影片。若最终定罪,嫌疑人最高可面临10年监禁和5万美元罚款。真正该看的不是“盗版又来了”,而是片厂内容供应链、流媒体发行决策和粉丝情绪开始硬碰硬。