安全资讯 第6页
聚合当前分类下的最新内容,按时间顺序查看第 6 页精选文章。
Google 给熟人来电加锁:反诈是真,收编 Android 通信栈也是真
Google 在 Android 六月功能更新里加入防冒充来电检测,重点不是识别 AI 声音,而是验证这通电话是不是真由联系人手机发起。它对 AI 语音诈骗很有用,但前提苛刻:双方都要在 Google 拨号器、通讯录和 Messages/RCS 体系里。安全能力正在成为 Google 收紧 Android 基础通信入口的最好理由。
Dashlane 少于 20 个加密密码库被拿走:真正漏水的是 2FA 解释
Dashlane 称攻击者通过暴力破解部分账户的 2FA,在既有账户上注册新设备,并获取了少于 20 个用户的加密密码库;目前没有证据显示明文密码泄露。后续细节把问题从“被拿走多少个 vault”推向了更关键的一层:第一道密码门怎么过的、2FA 限速怎么设计的、用户该如何判断自己是否被试探过。
西雅图1.3英里步行导览:把“智慧城市”的监控设备指给路人看
Coveillance 发布的西雅图市中心步行导览,全程约 1.3 英里,目标不是旅游,而是训练公众识别街景里的摄像头、Amazon Go、自动车牌识别器和 Wi-Fi 探针。它提醒的核心问题是:城市数据采集已经嵌进交通、零售和执法流程,但公众未必知道数据被谁拿走、留多久、会不会换用途。原文仍是未专业事实核查的工作中指南,部分点位不能当作官方确认部署点看待。
Claude Mythos 进关键基础设施:AI 防线变强,守门人也更少了
Anthropic 正把 Project Glasswing 从早期 50 个伙伴扩至 15 个以上国家、约 150 家组织,Claude Mythos 将用于扫描电力、水务、医疗、通信、硬件等关键代码库。重点不只是模型更强,而是 AI 安全能力开始进入国家级基础设施防线。收益很现实:更快找洞;代价也现实:谁能接入、谁先知道漏洞、谁来监督,都会变成新问题。
IRS 要把税务数据做成 API,真正敏感的是访问门槛变低了
404 Media 通过 FOIA 文件披露,IRS 正让 Palantir 基于 Foundry 构建统一 API,让 IRS 数据可被机构指定的应用调用。CI 刑事调查部门的旧系统确实落后,现代化有必要;但税务数据一旦接口化,争议就从“买了哪套软件”变成“谁能调用、为何调用、如何追责”。法院曾阻止 IRS 向 ICE 分享住址信息,这说明用途扩张不是纸面担忧。
苹果拒绝一款 Mac 听写应用更新:无障碍 API 的边界又被推到台前
开发者 Rene Zelaya 的本地听写应用 WhisperPad 因使用 macOS Accessibility API 将转写文本自动注入其他应用,被苹果以 Guideline 2.4.5 拒绝 1.5 付费更新。争议不在苹果是否支持无障碍软件,而在跨应用自动粘贴是否应被视为合规的无障碍用途。我的判断是:苹果的安全边界有理由,但它留给独立开发者和真实无障碍需求的解释空间太窄。
Adafruit因Flux律师函暂停博客:公开可见信息,报道前也要先过法务关?
Adafruit称,5月22日晚上10:38收到Fenwick & West代表Flux.ai发来的律师函,要求其停止发布涉及Flux知识产权、商业进展、用户基础等所谓虚假或诽谤性内容。Adafruit否认指控,称其只访问了因服务器配置错误而公开可见的信息,相关报道属于公共安全利益与负责任披露。真正的争议不是一封律师函,而是安全披露、科技媒体报道和企业法律威慑之间的边界正在被重新拉扯。
Chipotlai Max:一个卷饼 AI 仓库,把企业免费算力的灰线摆上了台面
GitHub 上的 cyberpapiii/chipotlai-max 自称是 OpenCode 的 meme 分叉,默认使用 Pepper AI / pepper-1,并把“stolen Chipotle compute”写成宣传语。 目前只能把它看作一个小型公开仓库,不能断言 Chipotle 已被入侵或确有算力被盗。 刺眼的不是代码本身,而是它把疑似薅企业 AI 算力包装成开发者圈的玩笑和卖点。
Red Hat 官方 npm 命名空间被投毒:30 多个包在安装阶段偷 CI/CD 凭据
Red Hat 官方 npm 命名空间 @redhat-cloud-services 被攻击者利用,超过 30 个包被植入凭据窃取代码,npm install 阶段就可能触发。更麻烦的是,恶意代码盯上的不是业务运行时,而是 GitHub Actions、npm token、Kubernetes、Vault 和云服务凭据。Red Hat 称恶意包已移除,暂未发现客户、合作伙伴环境或生产系统受影响,但近期装过相关包的团队应按潜在失陷处理。
ICE 拿出 77 页 Paragon 合同文件,但最该公开的部分仍被涂黑
404 Media 因 FOIA 请求起诉 ICE 后,首次拿到 ICE 与 Paragon 间谍软件合同相关文件;ICE 称找到 673 页潜在相关记录,先交付 77 页,但关键内容大面积删改。 目前能确认的是:合同金额约 200 万美元,采购涉及 ICE 下属 HSI,工具能力指向远程入侵手机和读取加密通信;但现有文件不能证明 ICE 已实际使用,也不能说明是否仍有访问权限。 真正的问题是,ICE 以商业秘密和执法目的为由遮住了能力、用途、审批和审计信息,这正是公共监督最需要看的部分。
《GTA V》作弊服务 Atlas Menu 被黑:约 6.4 万账号信息据称泄露
Have I Been Pwned 称,《GTA V》作弊服务 Atlas Menu 遭入侵,近 64,000 个账号受影响,涉及邮箱、用户名、哈希密码、IP 地址和支持工单。 这不是 Rockstar 或《GTA V》官方系统被黑,也不是明文密码泄露;更准确的看点是,灰色作弊服务也在集中保存用户敏感数据。 对玩家来说,风险不只是不体面或被封号,而是邮箱、IP、工单和作弊身份被串起来后,可能进入撞库、钓鱼和敲诈链条。
Instagram 盗号风波升级:门没被撬开,是 AI 客服帮人换了锁
Meta 的 AI 支持助手被曝曾被攻击者利用,用来更改 Instagram 目标账号邮箱,再触发密码重置完成接管。Meta 称漏洞已经修复,但这件事真正暴露的不是“AI 会不会犯错”,而是平台把账号恢复这种门锁级权限交给自动化流程后,边界有没有守住。
“高超音速拦截成功”先别急着信:HGV这道题还没实战开考
近年被媒体叫作“高超音速拦截”的案例,多数打的是Kinzhal、弹道导弹或准弹道目标,不等于拦下了真正的机动滑翔高超音速武器HGV。到2026年,公开信息还看不到Avangard、DF-17/DF-ZF、Dark Eagle这类目标被实战拦截的案例。真正紧张的不是“高超音速是否无敌”,而是传感器、杀伤链、拦截弹库存和产能,已经被压到很窄的余量里。
Red Hat 相关 npm scope 被曝 31 个包疑似恶意版本,先查锁文件别急着归因
RedHatInsights/javascript-clients GitHub Issue #492 披露,@redhat-cloud-services/ scope 下 31 个 npm 包的特定版本疑似出现恶意发布。 目前更像一次供应链安全事件通报,不是 Red Hat 官方最终安全公告,也不能据此断定攻击入口。 使用相关包的前端、Node.js 和安全团队,最先该查 package-lock.json、yarn.lock、pnpm-lock.yaml 是否命中清单版本。
just2voices:两个陌生人的匿名电话,清醒,也危险
just2voices 做了一个很反常的网页:两个陌生人随机通话,无账号、无姓名、无邮箱,网站承诺不录音、不转写、不留日志,也不拿语音训练 AI。 它值得看,不是因为它会颠覆社交,而是因为它把平台社交最爱要的东西——身份、留存、数据——都拒了一遍。 但它的硬伤也在这里:隐私越纯,治理越难;无痕可以保护普通人,也可能保护滥用者。
马来西亚禁止16岁以下开社媒账号:保护儿童,难点在谁来验年龄
马来西亚开始执行16岁以下儿童不得拥有社交媒体账号的规定,目标指向儿童网络安全、沉迷、诈骗和有害内容风险。禁令有必要,但它不是全面禁止儿童上网,也不能靠一条年龄线自动生效。真正的难点在平台年龄核验、家长配合、存量账号处理,以及隐私成本会不会被转嫁给孩子。
ChatGPT 表格插件漏洞:最危险的不是模型犯错,是它拿着权限听错话
PromptArmor 披露称,OpenAI 的 ChatGPT for Google Sheets 扩展可被间接提示注入诱导运行外部脚本,在用户关闭自动编辑、要求人工批准时,仍可能外泄多个工作簿并展示钓鱼界面。 受影响范围不应被夸大:重点是已安装并授权该扩展、且会处理外部表格或不可信数据源的用户和组织。 这次真正暴露的是 AI 办公插件的权限边界:模型读不可信数据,工具却拿着账户级能力。
美联航UA236因蓝牙名返航:四个字母,为什么能逼停一架跨洋航班
美联航UA236从纽瓦克飞马略卡,起飞约一小时后因机上可搜索到的蓝牙设备名疑似含有“BOMB”返航,并触发7700紧急代码、执法介入和重新安检。后续细节补齐了这件事的关键变量:它不是一个设备昵称的笑话,而是低成本威胁信号如何把航空安全系统整套拉响。我的判断很简单:机组处理看似笨重,但在跨洋航段前把风险带回可控机场,是更便宜也更负责任的选择。
Cloudflare Turnstile 卡住 WebKitGTK:人机验证不该把指纹识别变成门票
Cloudflare Turnstile 近期被观察到要求浏览器暴露可用于指纹识别的 WebGL 信息,部分 WebKitGTK 浏览器因此卡在人机验证循环。真正的问题不是一次兼容故障,而是反机器人系统正在把“可被识别”包装成正常上网条件。对小众浏览器用户、强隐私用户和接入 Turnstile 的站长来说,接下来要盯的是验证规则会不会回退、放宽,还是继续把隐私保护当异常。
Anthropic 说清了 Claude 的沙箱:可信度不在“有隔离”,在边界能不能审
Anthropic 公开说明了 Claude.ai、Claude Code 和 Claude Cowork 的隔离机制:云端用 gVisor,本地用系统沙箱,Cowork 用完整虚拟机。 这件事的重点不是“Claude 用了沙箱”,而是它把不同产品的边界、运行环境和曾遗漏的外泄路径摆出来。 对 AI Agent 开发者和安全团队来说,下一步不是照抄技术名词,而是审清三件事:能读什么、能写什么、能连到哪里。
wolfSSL 发布 wolfCOSE:嵌入式 COSE 库的价值不在算法多,而在能否进小设备
wolfSSL 在 GitHub 发布 wolfCOSE,一个面向嵌入式系统的 C 语言 COSE/CBOR 实现,支持 RFC 9052/9053 与 RFC 8949,并以 wolfSSL/wolfCrypt 作为加密后端。它真正值得关注的不是“40 类算法”这个数字,而是零动态分配、小体积、完整 COSE 消息覆盖,以及借 wolfCrypt 进入后量子和 FIPS 路径的可能性。限制同样明确:项目采用 GPLv3,依赖 wolfSSL v5.8.0-stable,README 也写明目前尚未归类为 wolfSSL 官方支持产品。