安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
霍尔木兹“加密通行费”骗局:当灰色收费遇上战区失序,诈骗就成了航运漏洞
霍尔木兹海峡的航运混乱里,骗子正冒充伊朗当局,向船公司索要比特币或 USDT“通行费”。至少一艘遭伊朗开火的商船疑似因此误信自己已获放行,但相关细节仍在核查。真正麻烦的,不是又一个加密骗局,而是灰色官方收费、战区信息混乱和匿名支付叠在一起后,诈骗已经能直接影响船舶决策。
微软紧急修补 ASP.NET Core 高危漏洞:补丁已发,但旧伪造会话未必会失效
微软紧急修复了 ASP.NET Core 中 Microsoft.AspNetCore.DataProtection 的高危漏洞 CVE-2026-40372,影响 10.0.0 到 10.0.6,重点在 macOS、Linux 等非 Windows 环境。问题出在加密签名与 HMAC 验证回归错误,未认证攻击者在特定前提下可伪造认证载荷并取得高权限。麻烦不只在升级到 10.0.7;如果漏洞窗口期里已经签发出长期令牌、API key 或密码重置链接,很多团队还得做轮换、撤销和审计,这才是最贵的部分。
Firefox 已修补 IndexedDB 指纹漏洞,但它暴露了隐私浏览最怕的实现失手
研究人员披露,Firefox 系浏览器里 `indexedDB.databases()` 的返回顺序会泄露一个进程级稳定标识,让网站在同一浏览器进程存活期间跨站关联用户。Firefox 150 与 ESR 140.10.0 已修复,Tor Browser 也因 Gecko 同源实现受影响。问题不在“读到了什么数据”,而在浏览器把内部状态漏成了可识别信号,直接削弱了隐私模式和 Tor 最看重的不可关联性。
苹果补上 iPhone 删除消息漏洞,但真正露底的是“删了就没了”这层幻觉
苹果更新了 iPhone 和 iPad 系统,修复一个会把通知内容意外保留在本地数据库里的漏洞;这让执法部门在设备取证时,可能读到本应已被 Signal 删除或自动消失的消息。真正重要的,不是 Signal 加密被破了,也不是苹果留了后门,而是“已删除”在移动操作系统层面一直比用户想象得脆弱。苹果这次是在补锅,但平台对数据残留的治理习惯,远没补完。
法国身份证件系统确认泄露:丢的不是一批数据,是公民长期身份风险
法国负责身份证、护照和移民证件管理的 ANTS 确认遭遇数据泄露,姓名、出生信息、地址、邮箱和电话等个人资料已被窃取,但官方仍未公布受影响人数。真正该警惕的,不是又一次“已通知、在调查”的事故通报,而是国家级身份系统高度集中后,安全失守的代价常被制度性低估。黑市愿意为这类数据买单,恰好说明它的真实价值远高于很多机构今天的防守标准。
FBI合并审视10起科学家失踪死亡案,但美国科研安全真正难看的是信息黑箱
白宫确认,FBI正合并审视至少10名涉核与航天背景科学家的失踪或死亡案件,重点看他们是否因接触机密信息或与外国行为体有关而成为目标。到目前为止,公开证据仍不足以证明这些案件彼此串联,部分案件案情也并不相同。更值得警惕的是,推动这轮国家安全叙事升温的核心材料,来自小报报道和国会施压,这暴露出美国涉密科研人员保护与信息通报机制的空心化。
Rituals确认会员数据遭未授权下载:41百万会员库背后,零售业最省的是事故透明度
荷兰美妆零售商 Rituals 确认会员数据库遭黑客未授权下载,已知泄露字段包括姓名、生日、性别、邮寄与邮箱地址、电话、偏好门店和账户类型,影响欧洲、英国及部分美国用户。公司会员库规模超过 4100 万,2025 年营收 24 亿欧元,但仍拒绝披露准确受影响人数,也未说明是否涉及支付信息或密码。问题不只是一家零售商被黑,而是会员体系长期把数据当增长资产囤积,出事后又把透明度当成本压缩。
OpenAI放出Privacy Filter:开源权重小模型落地隐私过滤,也在卡AI安全层入口
OpenAI 发布了 open-weight 的 Privacy Filter:一个可本地运行、支持 128k 上下文的文本 PII 检测与脱敏小模型,权重和文档以 Apache 2.0 许可开放,可商用、可微调。它面向的不是普通聊天场景,而是训练清洗、日志脱敏、检索索引、审查流水线这些企业脏活。我的判断是:这一步少见地做对了,但它卖的是更顺手的安全层,不是隐私免责牌,部署责任还在企业自己手里。
英国警告约100国已具手机入侵能力:企业还把这当小众风险,判断已经过时
英国国家网络安全中心警告,全球约100个国家已拥有可入侵手机和电脑的商业间谍软件能力,高于2023年英国估算的80个。重点不在数字多了20个,而在监控级黑客能力正被商业化出售,目标也从记者、异议人士扩到银行家、富裕商人、企业与关键基础设施。对英国企业和高风险行业来说,把手机入侵当成少数高危人物的问题,已经是过期的安全假设。
Brex 开源 CrabTrap:给 AI Agent 出口加闸,但这还不是安全答案
Brex 开源了 CrabTrap,一个部署在 AI agent 外部请求出口的 HTTP 代理,用静态规则加“LLM-as-a-judge”实时决定 allow 或 block。它重要,不是因为又多了个开源工具,而是它把问题点得很准:生产环境里最危险的往往不是模型说错,而是 agent 真去调 GitHub、Slack、邮件和内部 API。CrabTrap 很务实,但边界也很清楚:它管的是出口请求,不等于解决幻觉、数据泄漏、越权调用和权限设计这些老问题。
OkCupid 300万张照片喂给人脸AI,12年后才删:删库了,责任却没跟上
Clarifai已删除约300万张来自OkCupid的用户照片,以及基于这批数据训练的模型。问题不只是一批旧数据被清掉,而是2014年起,约会平台的亲密资料在投资关系和治理失守下流向了人脸识别训练。FTC最终推动了删库,但在首次违法通常难直接罚款的现实下,这更像迟到的止损,不是完整追责。
勒索谈判员认罪:当“帮你压价的人”靠抬价分成,问题就不只是内鬼
美国司法部披露,前 DigitalMint 员工 Angelo Martino 认罪,承认在至少五起勒索事件中把受害者保险额度和谈判策略泄给 ALPHV/BlackCat,帮助黑客抬高赎金并从中分成。Martino 面临最高 20 年刑期,司法部门已扣押 1000 万美元资产。刺眼的不是又一个坏员工落网,而是勒索谈判这门生意里的激励冲突:替客户止损的人,可能也在按损失抽成。
YouTube把AI“肖像检测”扩到明星:像Content ID,但先保护的是有经纪人的脸
YouTube把AI“肖像检测”工具扩展到娱乐业人士、经纪公司和管理公司,帮助他们发现并申请移除平台上的深度伪造视频。它更像是把Content ID的逻辑从版权延伸到“人脸”,但不是自动删光,讽刺和戏仿仍可能保留。问题不在功能有没有,而在平台终于开始把身份纳入治理,且优先照顾的是最有商业价值、最有代理体系的人。
Hugging Face借Mythos表态:AI安全的关键,不是更大模型,而是开放且可审计的系统
Anthropic发布Mythos与Project Glasswing后,Hugging Face很快把焦点拉回系统层:AI网络安全要靠算力、代码数据、安全脚手架和半自治协同,不是押注单一模型神话。真正的分歧也不只是“开源安不安全”,而是漏洞发现和修补进入AI速度战后,开放生态的分布式修补,是否比闭源厂商的单点控制更可靠。对高风险机构、企业安全团队和已引入AI编程工具的公司来说,这已经是采购、部署和治理问题。
FISA 702到期不等于美国监控停机:真正该盯的是后门能不能被堵上
美国国会正为《外国情报监视法》第702条是否续期僵持不下,表面节点是4月30日,实质争点却是要不要补上“无令搜美国人通信”和“购买美国人商业位置数据”这两个老后门。更关键的是,即便702名义上到期,因FISC年度认证,相关监控也可能继续跑到2027年3月。问题从来不只是续不续期,而是美国政治系统会不会再次把形式上的到期,演成实质上的续命。
索尼在英国和爱尔兰给 PS 社交功能加年龄验证:游戏还能玩,开麦和主机开播不行
索尼开始通知英国和爱尔兰的 PS4、PS5 用户:如果到 2026 年 6 月前未完成年龄验证,游戏还能继续玩,但语音聊天、消息、派对、第三方通信,以及从主机向 YouTube、Twitch 直播或分享 gameplay 会受限。验证由 Yoti 提供,可用手机号、人脸扫描或身份证件完成。真正该盯的不是“要不要保护未成年人”,而是主机平台正把社交和创作功能变成年龄验证入口,合规成本先落到普通用户身上。
Roblox 作弊工具拖垮 Vercel?目前还不能坐实,但风控链路失灵才是真风险
一篇网文声称,Vercel 的 Security Checkpoint 被 Roblox 作弊工具与某个 AI 工具联动触发,甚至波及平台可用性;但目前原文抓取失败并返回 429,公开可核查材料很少,关键事实远未坐实。现在能确认的重点,不是“整个平台是否被干崩”,而是疑似问题落在访问前置的安全检查链路。更值得警惕的是,一旦平台把关键入口交给自动化风控,再叠加外部工具行为,小异常就可能被放大成大面积误拦截或可用性事故。
2.9亿美元又没了:朝鲜黑客盯上的不只是加密货币,而是行业的松懈
Kelp DAO 周末遭盗超 2.9 亿美元加密资产,LayerZero 初步将矛头指向朝鲜黑客组织 TraderTraitor,这已是 2026 年目前最大一笔加密失窃案。更刺眼的不是金额,而是老问题重演:跨链桥、默认配置、单点审批,几乎把钱摆在门口。加密行业嘴上讲去中心化,现实里却一再输给最传统的安全常识。
我们不是“同意”了监控,而是被默认喂给了广告系统
一篇回看 DoubleClick、Google 收购和苹果 ATT 的文章,把互联网追踪史压成了一个刺眼事实:所谓“用户同意”,很多时候只是被设计出来的疲惫点击。真正重要的不是 Cookie 横幅有多烦,而是浏览器和平台本来有能力把跨站追踪设成默认拒绝,却长期选择了相反的方向。对普通用户来说,这笔账不只算在隐私里,还算在网页变慢、电量流失和广告产业对注意力的长期征税里。
Vercel 被拖下水:一次 OAuth 供应链失守,暴露的不是黑客多强,而是行业有多松
Vercel确认内部系统遭入侵,客户数据被盗,源头却指向另一家AI工具公司 Context AI 的 OAuth 漏洞。真正刺眼的不是单点失误,而是开发者基础设施行业把“连得更方便”长期置于“收得更安全”之前,结果一家出事,整条链条跟着冒烟。
Notion 公开页被指可枚举编辑者邮箱,问题不在“页面公开”,而在协作者身份被顺手公开
安全研究人员称,任何公开的 Notion 页面都可能通过未登录请求返回编辑者姓名、邮箱和头像。若这一说法成立,问题的性质就不是“公开内容被看到”,而是 Notion 把原本应受控的协作者身份信息一起暴露了出去。对依赖公开知识库、帮助中心和招聘文档的企业来说,这会直接抬高钓鱼和员工画像成本,影响的不只是安全团队,也会波及发布流程和采购判断。