安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
Aikido Code Audit:AI 代码安全的分水岭,不在扫描,在推理
Aikido 发布 Code Audit,用代理式模型在静态源代码里追踪跨文件、跨模块的复杂逻辑漏洞。它不替代 SAST,也不替代渗透测试,而是补二者之间那块昂贵、慢、难自动化的空档。厂商数据可以参考,但真正要看误报、复现和修复闭环。
年龄验证走出成人网站:儿童保护,还是全网实名入口
美国部分州、英国和美国联邦层面的讨论,正在把在线年龄验证从成人网站推向社交媒体,甚至推到操作系统和应用分发层。真正要警惕的不是“保护未成年人”这个目标,而是执行方式会不会变成证件、支付信息和设备可信状态绑定的上网通行证。RTA Header 这类客户端方案并不完美,但它提醒我们:年龄保护不必默认走向集中式实名数据库。
MCP的关键价值,可能不是“会调用工具”,而是把密钥挡在模型之外
Simon Willison 收录了 Sean Lynch 在 Hacker News 上的一条判断:MCP 相比 skills/CLI 的真正价值,可能是把认证流程隔离在 agent 上下文窗口之外。这个观点并非 MCP 官方定位,也谈不上行业共识,但它把争论从“工具怎么接”推向了更现实的安全边界问题。
英国拟禁 16 岁以下用社交媒体,麻烦不只在孩子
英国政府计划从 2027 年春季起,禁止 16 岁以下用户使用 Snapchat、TikTok、YouTube、Instagram、Facebook、X 等主要社交媒体。真正的争议不只是孩子能不能上网,而是平台为了执行禁令,可能要求所有年龄段用户证明自己不是未成年人。EFF 反对的核心理由很直接:目前没有一种可靠、普遍可用、又足够保护隐私的在线年龄验证方式。
Google Workspace 要 Firefox 用户改用 Chrome?先别急着下结论
2026 年 6 月 18 日,一名 Google Workspace Business Plus 用户在最新版 Firefox 和最新版操作系统中访问 Workspace 时,看到安全整改提示,要求下载 Chrome 并用工作账号登录。 这还不能证明 Google 已全面封锁 Firefox,因为当时 Firefox 仍可继续使用,后续是否会被阻断也未知。 真正值得企业 IT 和开发团队警惕的是:浏览器选择可能正在被安全合规流程改写。
Let’s Encrypt 服务降级:该盯紧续期任务,但别误读成全站宕机
Let’s Encrypt 状态页显示,生产环境 ACME v2 API 和门户服务在两个 High Assurance Datacenter 均为 Degraded Performance。 目前更准确的判断是:证书签发、续期链路可能变慢或不稳定,但不是 Let’s Encrypt 全站宕机。 依赖 ACME 自动续期的团队,应优先检查临期证书、续期日志和自动化任务重试情况。
Crypto Clipper:偷币木马回到 U 盘里,麻烦在后门化
Microsoft 发现一款名为 Crypto Clipper 的自传播恶意软件,通过 USB 盘里的 .lnk 文件扩散,监控剪贴板中的钱包地址和 12/24 词助记词,并经 Tor 回传数据。它目前不能被说成大规模爆发,也不是链上协议被攻破;真正麻烦的是,偷币、截图、Tor 通信和远程执行被拼成了一个低成本轻量后门。
印度封 Telegram 一周,用户用下载量投了反对票
印度因 NEET 重考舞弊风险临时限制 Telegram 至 6 月 22 日,结果 VPN、Signal、iMe 等工具下载暴涨,Telegram 的日活和 DNS 请求反而上升。它说明平台级封禁很容易把治理问题推向网络绕行,短期能表态,长期会训练用户绕过规则。
台湾66亿美元无人机预算:防务急单,也是外向型军工窗口
台湾防务部门提出2026至2031年投入66亿美元,采购本土无人机和无人水面艇,目标规模与现有约5000架无人机军备相比是数量级跃升。 这笔预算还不是采购结果,但已经给本土厂商一个明确信号:产能、认证和交付能力会变得更值钱。 台湾厂商正在借西方军工供应链“去中国化”进入美国、欧洲及乌克兰相关链条,但短板仍在AI、软件和作战系统。
MCP 企业授权扩展稳定:AI 工具进公司,不能再靠员工逐个点 OAuth
MCP 的 Enterprise-Managed Authorization(EMA)扩展已进入稳定版,核心变化是企业管理员可通过 IdP 集中授权 MCP 服务器访问。它不是替代 MCP 核心授权的强制升级,而是给企业治理、安全审计和账号边界补上标准化入口。能否成为企业默认方案,要看 Okta 之外的 IdP、更多 MCP 客户端和服务器是否跟进。
Elkjop 被罚 180 万欧元:会员同意不能再当营销门票
挪威 Datatilsynet 对 Elkjop 罚款 2000 万挪威克朗,约 180 万欧元,原因是会员资格与营销同意捆绑,且会员数据被继续用于广告和转化追踪。监管认定相关同意被强迫、不具体、告知不足,还涉及未做 GDPR 第 6(4) 条兼容性评估。真正受影响的不是一家零售商,而是所有把会员、CRM、邮件营销和广告归因绑成一条流水线的团队。
Beats Studio Buds 补上高危窃听漏洞,蓝牙耳机的安全债还在后面
Apple 已向 Beats Studio Buds 自动推送 1B211 固件,修复高危蓝牙认证漏洞 CVE-2025-20701,评分 8.8/10。攻击需要近距离、配对状态等条件,目前没有公开证据显示已被大规模利用,普通用户不必恐慌。真正要盯住的是 Airoha 芯片固件、耳机厂商补丁整合和自动配对体验背后的供应链安全债。
Android 开发者验证 2026 年先在四国执行:侧载没消失,但门槛变高了
Google 确认,Android 开发者验证将从 2026 年 9 月 30 日起先在巴西、印尼、新加坡、泰国执行,6 月起相关系统服务会下发到多数 Android 8 及以上的 Google 认证设备。 这不是全面禁止侧载,第三方商店和绕过流程仍在;但未注册开发者、独立 APK 分发和高级用户安装工具,都会遇到更高门槛。 我更在意的是:反诈骗能解释安全需求,却不能抹掉 Android 开放安装生态被重新收口的事实。
SpaceX上市前境外持股名单曝光:风险不在“偷技术”,而在谁能看见什么
ProPublica推动解封的法庭文件显示,SpaceX上市前曾有中国内地、香港、俄罗斯及卡塔尔相关投资人通过美国中介基金间接持股。现有材料不能证明SpaceX违法或投资人获取机密,但它暴露了敏感国防承包商在私募融资阶段的所有权透明度和信息边界问题。
MosaicLeaks 撕开的口子:研究型 Agent 越会查,越可能把机密带出门
ServiceNow 发布 MosaicLeaks,用 1,001 条受控多跳研究链测试深度研究 Agent 是否会在外部搜索查询里泄露企业私有信息。最关键的反常点是:只奖励任务成功,会把 Qwen3-4B 的成功率从 48.7% 拉到 59.3%,也把泄露率从 34.0% 推到 51.7%。PA-DR 把隐私写进奖励函数后,成功率保持在 58.7%,泄露率降到 9.9%,但这仍不是彻底解决方案。
得州300万人证件信息外泄:政府外包系统的责任缺口暴露了
得州总检察长披露,Texas Parks & Wildlife 的狩猎和钓鱼许可证销售系统供应商遭入侵,超过300万人的驾照信息、护照号码、邮箱、电话和住址被获取。 这不是得州政府主系统整体被攻破,已知入口是部门许可证系统供应商。 更要紧的问题是:公共服务把高敏感身份数据交给外包系统后,谁负责安全、谁负责通报、公众该按什么信息判断风险。
约 1 万个 GitHub 仓库疑似用克隆项目分发木马,真正危险的是“看起来很正常”
一名研究者通过 GitHub 事件数据和 API 筛选,发现约 1 万个非 fork 仓库疑似克隆正常项目,并在 README 中加入含木马的 zip 下载链接。这个数字不是 GitHub 官方统计,也不能证明所有样本来自同一团伙;但它指向一种更麻烦的分发方式:用提交历史、贡献者列表和搜索索引伪装成正常开源项目。最该紧张的不是所有 GitHub 用户,而是开源维护者、安全研究人员,以及会从陌生仓库下载压缩包的开发者。
美国中期选举前,SAVE项目把选民名册推向隐私风险中心
特朗普政府在2026年中期选举前扩大使用国土安全部SAVE项目,要求多州提交完整选民登记数据,以核查并清理被认定不合格的选民。真正的风险不在于核验本身,而在于用一个原本服务福利资格审查的系统集中处理选民敏感信息,可能放大误删、泄露和联邦越权争议。
欧盟机构账号迁入 W Social:数字主权不能只看服务器在哪
clearsky.app 的 ATproto 索引截图显示,欧盟委员会、冯德莱恩、欧洲央行和拉加德等账号已从 Bluesky 迁至 W Social 服务器。真正的争议不在于公共机构能否使用欧洲平台,而在于以“数字主权”之名迁入一个透明度不足的私营平台,可能把公共传播基础设施交给新的黑箱。
澳洲品牌短信要注册:ACMA 开始卡住“谁能用这个名字发消息”
ACMA 要求从 2026 年 7 月 1 日起,企业、组织、学校、社区团体和国际机构向澳大利亚用户发送带品牌发件人 ID 的短信/MMS 前完成注册。未注册不等于一律屏蔽,但消息可能出现送达中断或展示变化。关键变化不是审短信内容,而是把可随意伪装的品牌名称,变成需要备案、可追责的通信身份。
7.4 万台 Fortinet 防火墙凭据暴露:企业边界设备的旧账被翻出来了
研究人员发现一批俄语犯罪攻击者大规模攻破 Fortinet 防火墙,约 7.4 万台设备、2.1 万多个 IP、194 个国家受影响,规模据称接近互联网上暴露 Fortinet 防火墙的一半。受影响名单涉及 Oracle、Chevron、Lenovo、FedEx、Fortinet、北约防务承包商等,但“数据出现”不能等同于整网沦陷。真正危险的是:远程入口、弱口令、SSL VPN 哈希破解和 AD/Radius 等集中认证系统连成了一条内网入口链。