安全资讯 第3页
聚合当前分类下的最新内容,按时间顺序查看第 3 页精选文章。
苹果在 WWDC 2026 推家长控制:儿童安全功能背后,是年龄验证责任之争
苹果在 WWDC 2026 把儿童安全放到台前,更新儿童账户、屏幕时间、信息图片拦截和开发者 API。 这组功能能帮家长更细地管设备,但苹果的真正边界很清楚:家长做决定,开发者管应用体验,苹果不替整个互联网兜底。 争议焦点在年龄验证。Meta 等开发者希望应用商店承担入口验证,苹果反对,并用隐私风险和新工具回应监管压力。
微软下线数十个开源仓库:AI 编程工具的钥匙链被盯上了
微软临时下线至少 70 个 GitHub 开源项目,调查 Azure 与 AI 编程相关工具中潜在的窃密恶意代码,部分仓库审查后已恢复。恶意代码目标指向开发者密码和敏感凭据,下载人数和影响规模仍未公开。真正要看的不是某个库是否中招,而是 AI 编程入口把开发者权限集中后,供应链清场能力够不够用。
Signal 反对英国设备扫描:保护儿童,不能先检查所有人
Signal 反对英国一项隐私提案威胁:对在英国销售或使用的设备进行涉裸内容识别,并叠加年龄验证。它认为,受影响者不只是儿童,而是所有英国居民的通信和隐私权。儿童保护是正当目标,但把扫描能力放进设备和通信入口,等于把私人通信改造成先验审查。
微软 73 个 GitHub 包被植入窃密蠕虫:AI 编程代理成触发入口
2026 年 6 月初,微软官方 GitHub 账号下 73 个开源包被 GitHub 自动系统拦截并禁用;研究人员判定这些包植入了 Miasma 凭据窃取蠕虫,微软称正在调查潜在恶意内容。麻烦点不只是恶意包,而是攻击者疑似借合法发布凭据、OIDC/SLSA 信任链和 AI 编程代理执行路径,把攻击伪装进正常开发流程。使用过相关包、并把 Claude Code、Gemini CLI、Cursor、VS Code 等工具接入项目的团队,应按凭据可能外泄处理。
阿里、百度、比亚迪被列入1260H名单:美国开始给中国硬科技重新定性
美国国防部更新1260H“中国军方支持实体”名单,阿里巴巴、百度、比亚迪、宇树科技等被列入,名单总数增至188家公司。1260H名单不等于立即制裁,但会抬高美国企业合作、投资、采购和供应链合规成本。更关键的变化是,美国正在把中国AI、电动车、机器人、传感器和电池产业放进同一套安全叙事里。
车牌识别要接入耳机和手表信号:ALPR 正在从跟车跨到跟人
Leonardo 计划把 SignalTrace 传感器接入自动车牌识别摄像头,采集 Bluetooth、RFID、Wi-Fi、车载系统等设备标识,并与车牌、时间、地点关联。它目前未被证实已大规模部署,但产品逻辑很清楚:让 ALPR 从车辆记录工具,变成可查询的人员行动入口。真正该盯住的不是摄像头多拍了什么,而是设备标识会被保存多久、谁能查、错了怎么纠正。
密歇根新法案想拦住中国联网车,连跨境一日游也不放过
密歇根州两名民主党议员提出 Protecting America from Chinese Cars Act,拟禁止中国及其他对手国家关联的联网汽车进入美国,临时入境和跨境一日游也在范围内。真正的新变化,不是美国又限制中国车销售,而是把联网汽车监管推进到边境通行。国家安全理由有现实基础,但这项法案也带着密歇根汽车产业保护的强烈底色。
Flock 告警把车指向 5 英里外,人却被关了近一个月
圣迭戈男子 Hugo Parra 因一次 Flock 车牌识别告警被捕,但告警时间戳显示,相关车辆案发时在约 5 英里外。警方当时没有车牌号可核验,仍依据车型、车窗、衣着和肤色等表面特征推进重罪逮捕。真正危险的不是摄像头可能出错,而是执法者能选择性相信机器证据,把低信息办案包装成高科技效率。
苹果重做 Screen Time:家长控制不再只靠自己猜
苹果在 WWDC 2026 宣布重做 Screen Time,相关功能将进入 iOS 27、iPadOS 27 和 macOS 27。重点不是新增几个限制开关,而是给家长提供基于专家建议的默认起点。对使用苹果设备的家庭来说,最直接的变化是:孩子能联系谁、能看什么、App 能用多久,会更早进入系统层管理。
苹果把儿童 iPhone 管理做细:Screen Time 重设计,家长可管应用、网页和联系人
苹果在 WWDC 2026 发布重设计的 Screen Time 与家长控制功能,将随 iOS 27 于秋季上线。它不是禁止儿童使用社交媒体,而是把儿童账号、应用、网页、联系人和内容安全控制做成一套更系统的家庭治理工具。真正重要的是,苹果正在回应儿童用机与心理健康争议;不重要的是把它理解成一次普通功能翻新。
微软临时关闭 70 多个 GitHub 仓库,AI 编程代理的供应链风险被戳了一下
微软向 404 Media 确认,因调查潜在恶意内容,已临时移除部分 GitHub 仓库。OpenSourceMalware 称,GitHub 在 6 月 5 日 105 秒内禁用了 73 个微软仓库,范围涉及 Azure Functions 组织、Durable Task 相关仓库和部分 AI 示例应用。更准确的判断是:这不是 Azure 云服务整体被攻破,而是开源仓库接入 AI 编程代理后,安全边界变得更薄了。
Meta 的 AI 客服没被黑,但 2 万个 Instagram 账号差点被流程送走
Meta 向缅因州提交的通知显示,一个与 AI 支持工具相关的密码重置漏洞,可能让最多 20,225 个未启用 2FA 的 Instagram 账号遭到未授权访问。漏洞不是 AI 模型被攻破,而是系统没有核验重置邮箱是否匹配原账号邮箱,导致重置链接可能被发到攻击者提供的邮箱。真正该盯的不是聊天机器人会不会答错,而是平台把账号恢复这种高风险流程自动化后,谁来守住身份校验这道门。
Cypherpunk Library:一个不卖、也尽量下不了架的加密老书架
Cypherpunk Library 做了一个个人整理的公共领域文本书架,核心姿态是“Nothing for sale, nothing to take down”。它不是商业书店,也不等于盗版库;它把公版文本自托管,把非公版资料指向 Anna’s Archive、LibGen 和 torrents。真正值得看的不是书单规模,而是它重新提醒了 cypherpunk 的老问题:隐私、现金、加密和知识分发,谁来控制。
第1000起泄露之后:为什么 HIBP 还在替企业先提醒用户
Troy Hunt 将第 1000 起数据泄露录入 Have I Been Pwned。更关键的问题不是数字本身,而是 Carnival、Zara 等案例里,数据已经公开扩散,用户却隔了数周才被正式通知。合规披露并不等于及时知情,企业更常先处理法律风险,而不是先帮用户降低被钓鱼、冒用和欺诈的风险。
2026年网络攻击盘点:最麻烦的不是丢数据,而是基础信任被打穿
TechCrunch盘点了2026年至今破坏性较强的一批网络安全事件,受影响对象包括美国社保数据疑云、欧洲水电设施、美国水务系统、FBI非机密网络、教育平台、开源工具链和身份文件库。核心变化是,攻击后果正在从“数据外泄”扩大到企业停摆、考试受阻、基础设施承压和身份认证失效。对企业管理层和开发团队来说,网络安全已经不只是合规成本,而是业务连续性和供应链选择问题。
百万美元 AI 枪支检测没报警:学校买到的是安全,还是免责凭证
纳什维尔 Antioch 高中枪击案幸存学生起诉 Omnilert,称学区花超 100 万美元部署的 AI 枪支检测系统未能识别枪手手枪。争议不只是识别准不准,而是厂商营销、部署条件和失败责任有没有讲清。对 AI 安防采购者来说,接下来该看的不是宣传页,而是失败边界、验收标准和责任条款。
100千瓦降到10瓦:WDGG传输线被盗割,暴露地方广播的脆弱点
肯塔基州 Ashland 牌照的 93.7 WDGG(FM)“The Dawg”主传输线被盗割,100,000W 主 FM 信号停播,目前只能靠备用发射机和辅助天线以约10W低功率播出。 这起事件的重点不只是盗铜,而是一个地方电台在传输线、备件、塔工、保险和站点防护上的真实压力。 对广播经营者和工程人员来说,最该复盘的是:关键馈线有没有替代路径,特殊线缆能不能快速采购,停播损失是否真能被保险覆盖。
OpenAI 推出 Lockdown Mode:降低提示注入风险,但不是安全万能键
OpenAI 正在向自助 ChatGPT Business 账户和符合条件的个人账户推出 Lockdown Mode,用关闭部分联网、网页检索和代理能力的方式,降低敏感数据外泄风险。它不是对提示注入的彻底修复,OpenAI 也明确说开启后仍可能受影响。对企业安全和合规团队来说,关键不是要不要追新功能,而是把敏感任务从高权限工作流里拆出来。
Meta确认Instagram AI找回漏洞:至少20225人被通知,问题卡在账号恢复权限
Meta向缅因州总检察长办公室提交的通知显示,Instagram的AI辅助账号找回系统被滥用,至少20,225名用户被通知受影响,其中缅因州30人。攻击者可让系统把验证码或重置链接发到自己控制的邮箱,前提包括目标账号未开启双因素认证。关键问题不是AI聊天机器人会不会胡说,而是账号恢复链路没有卡死邮箱与账号的绑定校验。
五角大楼把以色列反情报风险升至最高:美以裂缝先从决策安全感开始
NBC称,五角大楼下属DIA近期把以色列相关反情报风险上调至最高“critical”,消息源为两名现任美国官员和一名前官员。白宫和以色列均否认,五角大楼与ODNI未正面确认,报道也没有公开具体触发事件。关键不在盟友是否互相监听,而在美以围绕伊朗战争目标分叉后,情报同盟开始暴露利益边界。
GOG 邮件误用双写符文道歉:真正失控的是发送流程
GOG 在 6 月 5 日推广《The End of the Sun》的邮件中使用双写 Sowilō 符文,因外观联想到纳粹党卫军 SS 符号而道歉。 Sowilō 本身有“太阳”含义,也符合游戏的斯拉夫神话背景;争议焦点是双写、字体渲染和邮件语境。 更关键的是,GOG 称发送前已注意到德国地区风险,却仍向其他地区发送,这暴露的是跨地区内容审核和发布拦截失灵。