安全资讯 第10页
聚合当前分类下的最新内容,按时间顺序查看第 10 页精选文章。
FROST:恶意网页或可通过 SSD 延迟推断你打开了什么
FROST 是一种浏览器侧信道技术:恶意网页可用普通 JavaScript 测量 OPFS 文件随机读取延迟,推断部分标签页和本机应用活动。它不是读取硬盘文件,也没有野外大规模攻击证据;更准确的判断是,浏览器厂商需要尽快处理这个新的隐私风险。当前完整验证主要在 M2 Mac,依赖大体积 OPFS 文件和同一块 SSD,现实门槛不低。
摩托罗拉承认 Amazon 应用启动前被插入追踪跳转:问题不只是一句“非有意”
摩托罗拉承认,部分美国用户打开 Amazon Shopping 应用前,会先被短暂路由到联盟追踪链接;公司称该行为“非有意”,并已修正路由配置。已知受影响范围不能扩大到全球或所有摩托罗拉手机,2026 Razr Ultra 是被观察到的机型之一。真正该追问的是:手机厂商和第三方推荐服务,为什么能在用户无感的情况下介入应用启动流程。
Glassworm 僵尸网络被切断四条通道,开源供应链的入口风险还在扩大
CrowdStrike 联合 Google 和 Shadowserver 中断了 Glassworm 僵尸网络的四条命令控制通道,阻止其继续向开源开发者投放恶意软件。真正重要的不是一次清剿,而是开发者账号、插件市场和开源仓库正在成为供应链攻击的关键入口。对企业安全团队和开源维护者来说,接下来要盯的不是“它是否消失”,而是类似攻击会从哪里换壳重来。
深伪撕裂高中,校车扫描车牌:安全技术开始伤到它要保护的人
404 Media 在 2026 年 5 月 27 日发布的播客介绍页,串起三件事:Radnor 高中深度伪造事件、BusPatrol 计划让校车 AI 摄像头扫描路过车辆车牌并供执法检索、Flock 监控争议后的地方政治反弹。它不是完整调查正文,能确认的细节有限,但指向很清楚:校园和城市里的影像技术,正在从“安全工具”滑向更难追责的数据采集系统。最受影响的是未成年人、家长、学区和地方议会,他们不能只问工具能不能抓到问题,还要问数据会流向哪里、伤害由谁止损。
反 AI 被装进“反技术极端主义”框里,美国这个标签太宽了
美国 DHS、FBI、地方融合中心和私营情报公司,正在用“反技术暴力极端主义”这类新框架关注反 AI、反数据中心、反大型科技公司的抗议与言论。它不是 DHS/FBI 已公开固定使用的既有分类,更像一个正在扩张的安全标签。真正的风险不是执法部门防范暴力,而是和平抗议、地方听证和公共批评被提前拖进监控视野。
Stripe 拒付案例里的真问题:证据为什么只困在单个商户账户里
一名使用 Stripe 收款的小商家称,客户签收低价实物商品 Ciglue 后发起拒付,后来又再次下单并重复拒付。商户提交了 DHL 投递证明、客户沟通和网站政策,仍在首起争议中败诉,承担货款、商品、运费和争议费。真正该追问的不是 Stripe 能不能推翻发卡行裁决,而是明确的拒付滥用证据,为什么没有变成跨商户风险信号。
UK Visa Portal 暴露护照和自拍:真正危险的是把第三方入口看成 GOV.UK
TechCrunch 报道称,第三方网站 UK Visa Portal 暴露了申请者上传的护照、自拍照和位置数据;线人称暴露文件至少 10 万份,但这个数字仍应按线人说法看待。更关键的是,它不是英国政府官网,也没有材料显示其为官方承包商,却疑似让部分用户误以为能办理官方签证或 ETA。问题不只在一次安全配置失误,而在公共服务入口被商业页面截流后,最敏感的数据交给了责任边界最模糊的一方。
AI 让 curl 安全报告暴增,真正吃紧的是维护端
curl 作者 Daniel Stenberg 称,AI 辅助安全报告正在高速涌入:当前流入速度是 2024 年的 4-5 倍,约为 2025 年的两倍,平均每天超过一份。重点不是 curl 突然变得不安全,近年确认漏洞多为 LOW 或 MEDIUM;真正的问题是,高质量报告把验证、沟通和响应成本集中压到了 curl 项目及其安全团队身上。对开源维护者和安全团队来说,AI 提高了发现入口的效率,但消化漏洞的制度和人力还没跟上。
沃尔沃获美国特批:智能车禁令没松,只开了一道有条件的门
沃尔沃获得美国商务部特定授权,可继续在美国进口和销售含中国关联车联网技术的汽车。授权不等于美国撤回禁令,也不等于认可相关技术绝对安全。真正的信号是:能把数据、安全、治理和美国本土产能讲清楚的公司,才可能拿到例外。
Garden Grove 那只 MMA 储罐:危险不在名字,在失控链条
洛杉矶郊区 Garden Grove 一座 MMA 储罐疑似发生失控聚合升温,事件已被控制,罐内物料大概率报废。MMA 不是神秘禁品,它广泛用于 PMMA、Plexiglas、Lucite 等材料,真正的风险来自大量单体储存时的放热聚合。接下来最该看的是根因调查、罐体完整性、物料处置和周边暴露风险,而不是把它简单讲成“化学品很可怕”。
SpaceX与五角大楼争Starshield定价:35000美元无人机,卡在25000美元月费上
Reuters称,SpaceX在伊朗战争期间要求美军把LUCAS一次性攻击无人机的卫星连接费从每终端每月5000美元提高到25000美元;马斯克否认报道,但承认民用Starlink曾被用于武器系统。争议的关键不是无人机有多贵,而是民用Starlink、政府版Starshield和军用合同边界怎么划。对美军采购团队来说,低成本无人机以后不能只算机体价格,还要提前锁定链路费用、网络权限和承包商配置责任。
美国想把武器级钚交给核能初创公司:能源创新,还是把国家旧账外包?
美国能源部正与 Oklo、Standard Nuclear、Shine Technologies、Flibe Energy、Exodys Energy 等核能初创公司谈判,探索把冷战遗留的武器级钚转作新一代反应堆燃料。真正的看点不在“钚能不能烧”,而在美国能不能管住燃料制造、运输、安保、扩散和责任边界。
Starlette BadHost 漏洞:真正危险的不是 Host 头,是把捷径当边界
Starlette 1.0.1 之前版本被披露 BadHost 认证绕过漏洞,问题出在框架构造 request.url 时可能受异常 Host 头影响,导致中间件看错 path。它不是“FastAPI 全线沦陷”,真正高风险的是用 request.url.path 在中间件里做鉴权、白名单、限流的 AI 网关、模型服务和 Agent 后端。
FBI 追踪 AI 深伪色情案:嫌疑人没那么隐身,受害者仍要先受伤
FBI 逮捕两名涉嫌发布、出售非自愿 AI 色情深伪内容的男子,两人目前均为被指控状态,若违反 TIDA 被证明成立,最高可面临两年监禁。案件说明,很多制作者并没有想象中匿名:支付账号、IP、云账号、社交媒体保存图片和头像都可能成为线索。真正难的不是追到人,而是内容第一次传播前,法律和平台往往还拦不住。
伴侣手机里的 Stalkerware:监控生意钻进了亲密关系
404 Media 在播客中采访 TechCrunch 编辑 Zack Whittaker,讨论 stalkerware/spouseware 被普通人购买并秘密装进伴侣手机的问题。它的危险不在技术多高级,而在监控被包装成家庭安全、儿童保护和设备管理后,进入了最难求助的亲密关系。接下来最该看的,不是某个 App 被下架,而是平台、执法和反家暴支持体系能不能把“未同意的隐蔽监控”当成现实安全问题处理。
中国废弃火箭上面级五年升至约252吨,低轨风险在变重
空间态势感知专家 Jim Shell 的分析显示,中国留在长期近地轨道的废弃火箭上面级总质量,五年内从不足100吨升至约252吨。问题不是发射次数增加,而是部分任务仍把不可控、质量大的上面级留在约600—2000公里轨道。对卫星运营商和太空安全研究者来说,接下来最该看的是国网、千帆等星座部署中,上面级处置方式是否跟着升级。
洛杉矶交通局被黑:Ababil of Minab 是行动主义,还是伊朗国家行动马甲?
以色列网络安全公司 Gambit Security 称,2026 年 3 月 LACMTA 入侵事件由 Ababil of Minab 所为,并将其归因于伊朗情报部门 MOIS。 黑客声称窃取并删除数据,但公开信息没有给出被盗规模,也不能直接写成勒索软件攻击。 这起事件最该看的,是“黑客行动主义”外衣下的国家级行动,是否正在把美国交通系统当成低成本测试场。
Shadow Brokers近十年未破案:疑似NSA工具外泄,改写了企业安全底线
Shadow Brokers在2016年通过Twitter和Pastebin声称拍卖“Equation Group”网络武器,相关工具被研究者认为高度可能来自NSA相关体系,但组织身份至今没有定论。 这起事件真正改变的,不是大家多了一个情报谜案,而是企业必须假设:高级攻击工具可能突然流入公开网络。 对安全负责人来说,补丁速度、资产台账、暴露面管理和备份演练,不再是后台事务,而是能否少挨一刀的时间差。
BusPatrol 想把校车摄像头变成车牌识别网,儿童安全叙事到了隐私边界
404 Media 披露,BusPatrol 正计划把美国校车上的 AI 摄像头扩展为自动车牌识别系统,试点从 1 辆车开始,计划下月扩至 100 辆。 争议不在抓拍违规超车,而在用途扩张:校车可能从儿童安全设备,变成记录沿途车牌和 GPS 位置的流动监控节点。 目前不能断言这套新 ALPR 数据已被出售给警方或 ICE,但泄露文件和消息源显示,公司已在为执法查询、Axon 集成和新收入模式做准备。
7-Eleven 数据泄露超 18.5 万人:麻烦不在改密码,而在身份盗用
Have I Been Pwned 称,7-Eleven 相关数据泄露影响超过 185,000 人,泄露信息包括姓名、生日、实体地址、电话和邮箱。马萨诸塞州文件还显示,事件涉及部分人的社安号和驾照信息,但目前不能说所有受影响者都泄露了这两类高敏数据。更关键的是,缅因州文件称黑客访问了含加盟商文件的内部服务器,这起事件更像一次身份资料外流,而不是普通账号泄露。
Ente 用直线讲 Shamir 秘密共享:重点不是更难猜,而是低于阈值零泄露
Ente 发布文章,用直线、抛物线和多项式解释 Shamir 秘密共享:任意 k 份可恢复,少于 k 份不泄露秘密。关键判断是,这套方案的价值不是把破解变难,而是在数学上保证低于阈值时没有可用信息。对做账户恢复、密钥托管和数字遗产方案的人,真正要检查的是实现有没有把这个保证磨掉。