安全资讯 第11页

聚合当前分类下的最新内容,按时间顺序查看第 11 页精选文章。

Copilot Cowork 文件外泄演示:AI 同事最危险的不是会说,而是有手
安全 2026/5/27

Copilot Cowork 文件外泄演示:AI 同事最危险的不是会说,而是有手

Microsoft Copilot Cowork 被安全研究者演示出一条智能体数据外带链路:提示注入、自动发邮件、邮件外部图片请求、OneDrive 预授权链接,几件普通功能连起来就可能泄露文件。真正的问题不在某个模型突然失控,而在企业智能体默认拥有读文件、生成链接、发消息和触发外部请求的组合权限。企业要盯的不是 AI 答得漂不漂亮,而是它能不能在没人点头时把东西递出去。

Microsoft Copilot Cowork提示注入数据外泄
加州年龄验证法拟豁免 Linux,难题不只是开源被特殊照顾
安全 2026/5/26

加州年龄验证法拟豁免 Linux,难题不只是开源被特殊照顾

加州一项即将实施的年龄验证法律,因为要求操作系统收集或确认用户年龄,引发开源社区反弹。原法律作者本人已提出 proposed amendment,拟将 Linux 排除在适用范围之外,但这还不是正式修改。真正要看的不是 Linux 是否被照顾,而是操作系统级年龄验证在隐私、开源分发和责任归属上能不能落地。

年龄验证Linux加州年龄验证法
Mullvad 列出 13 台已部署出口 IP 指纹缓解的服务器:别读成全网完成
安全 2026/5/26

Mullvad 列出 13 台已部署出口 IP 指纹缓解的服务器:别读成全网完成

Mullvad 帮助页最后更新于 2026 年 5 月 25 日,列出 13 台已部署出口 IP 指纹识别缓解措施的 VPN 服务器。\n这次更新更像服务器级 rollout 进度披露,不是完整技术公告,也不是所有 Mullvad 服务器完成部署。\n对用户的实际影响很具体:重度隐私用户可以优先看这 13 台节点,普通用户不必把它理解成安全事故通报。

MullvadVPN出口 IP 指纹识别
荷兰查扣 800 多台服务器:欧洲制裁开始追到主机商
安全 2026/5/25

荷兰查扣 800 多台服务器:欧洲制裁开始追到主机商

荷兰 FIOD 逮捕 MIRhosting 与 WorkTitans 相关两名负责人,查扣笔记本、手机和 800 多台服务器,指控其向欧盟制裁对象提供资源。案件仍在调查,两人尚未被定罪,MIRhosting 与 Andrey Nesterenko 否认有意规避制裁或支持网络犯罪。更关键的变化是:欧洲制裁不再只停在名单上,而是开始追机房、接入关系和基础设施迁移链条。

欧洲制裁服务器查扣FIOD
HIPAA安全规则拟大修:医疗合规要从“有文件”转向“有证据”
安全 2026/5/25

HIPAA安全规则拟大修:医疗合规要从“有文件”转向“有证据”

HHS/OCR发布的HIPAA Security Rule拟议更新,正在把ePHI加密、MFA、年度风险分析、资产清单和业务伙伴核验推向更硬的要求。关键变化不是多填几张表,而是医疗机构和业务伙伴要能证明安全控制持续运行、可审计、可追责。当前仍应按NPRM理解,生效日期、过渡期和具体义务边界要等Federal Register和OCR最终文本确认。

HIPAA Security Rule医疗网络安全合规HHS/OCR
Google 一边教企业管 AI 风险,一边暴露了平台自己的新风险
安全 2026/5/25

Google 一边教企业管 AI 风险,一边暴露了平台自己的新风险

Google Cloud 高管 Francis de Souza 强调,企业做 AI 不能把安全、数据治理和平台策略拆开设计,尤其要警惕 shadow AI、多云环境和 agent 带来的新攻击面。但另一边,The Register 报道多名 Google Cloud 开发者因 API key 权限变化遭遇 Gemini 未授权调用和高额账单。真正的问题不只是 AI 安全有多难,而是平台商自己的默认权限、计费边界和审计能力也正在变成风险源。

AI 安全Google CloudGemini
CBP 3340-049B边境电子设备搜查指令:手机能查到哪一步,关键看三条边界
安全 2026/5/25

CBP 3340-049B边境电子设备搜查指令:手机能查到哪一步,关键看三条边界

CBP Directive No. 3340-049B 的主题是 Border Search of Electronic Devices,适用场景应限定在美国边境、机场、港口和入境口岸相关检查。真正要看的不是“能不能查手机”,而是它如何区分本地数据与云端数据、基础检查与更深入的取证式检查。对赴美旅客、企业人员、律师和媒体从业者,重点不是临场争辩,而是入境前把设备和敏感资料处理干净。

边境电子设备搜查CBPCBP Directive No. 3340-049B
AI 越狱开始研究“性格”了,问题不在模型有没有情绪
安全 2026/5/24

AI 越狱开始研究“性格”了,问题不在模型有没有情绪

AI 聊天机器人的越狱攻击,正在从粗暴提示词升级为针对角色设定、语气和人格化设计的社会工程。真正的风险不是模型有了情绪,而是厂商把“像人”做成卖点时,也把人的可欺骗性做进了产品边界。

AI 越狱聊天机器人社会工程
ICE 2510 万美元买虹膜扫描:真正要盯的是非竞标和现场执法
安全 2026/5/24

ICE 2510 万美元买虹膜扫描:真正要盯的是非竞标和现场执法

ICE 以非竞标方式把 2510 万美元虹膜识别合同授予 Bi2 Technologies,设备要求最早 6 月底送达一线地点。金额是 2025 年 9 月合同的 5 倍以上,设备数量从约 200 台增至 1570 台。问题不只是买了什么技术,而是现场执法、数据库访问和监督缺口被一次采购打包推进。

虹膜识别生物识别ICE
加州橙县7000加仑化学品储罐升温:风险还没结束,重点不是迪士尼
安全 2026/5/24

加州橙县7000加仑化学品储罐升温:风险还没结束,重点不是迪士尼

加州橙县Garden Grove一家GKN Aerospace工厂内,约7000加仑甲基丙烯酸甲酯储罐升温失稳,州长已宣布进入紧急状态,周边数千居民被疏散。它目前更像一起储罐失效风险事件,而不是已经定性的“大规模泄漏”或“爆炸”事故。接下来要看三件事:罐内温度能否压住、罐体会不会破裂、围堵能否挡住外泄。

化学品储罐失稳甲基丙烯酸甲酯热失控
Apple 修补 MIE 本地提权漏洞:问题不在硬件防线崩了,而在可信写入口失守
安全 2026/5/24

Apple 修补 MIE 本地提权漏洞:问题不在硬件防线崩了,而在可信写入口失守

Apple 在 2026 年 5 月 11 日发布的 macOS Tahoe 26.5 中修复 CVE-2026-28952。研究披露显示,非特权本地用户可在 Apple Silicon M5、启用 MIE 的环境下利用该漏洞实现内核提权。 关键判断:MIE 不是被整体攻破,SPTM 和硬件内存标记也不是被直接打穿。真正失守的是 `_zalloc_ro_mut` 这个受信任写入口,它的 `target + len` 整数溢出检查错误,让 RO zone 被“合法路径”越界写入。 对安全团队来说,动作很明确:尽快部署 macOS Tahoe 26.5,把这类本地提权纳入终端补丁 SLA 和检测规则;普通用户至少应确认系统是否已更新到 26.5。

CVE-2026-28952AppleMIE
零点击间谍软件增多,高风险用户该认真开启“封锁模式”了
安全 2026/5/24

零点击间谍软件增多,高风险用户该认真开启“封锁模式”了

零点击攻击的麻烦在于,用户不点链接、不下载附件,也可能被入侵。Apple、Google、Android 和 WhatsApp 已经提供高安全模式,分别保护设备、账号、系统和通讯入口。对记者、维权人士、政治异见者等高风险人群,牺牲一部分便利,正在变成更现实的安全交换。

零点击攻击间谍软件封锁模式
Oura承认收到政府数据请求,健康戒指该补上透明度报告
安全 2026/5/23

Oura承认收到政府数据请求,健康戒指该补上透明度报告

1)Oura承认会收到政府索取用户数据的请求,但没有披露请求数量、交付次数和涉及的数据类型。2)问题不在于证明Oura已经大规模交出数据,而在于它掌握的是睡眠、心率、经期、位置等敏感信息,不能只靠一句“会审查”。3)对Oura用户和准备采购健康穿戴设备的团队来说,接下来最该看的是透明度报告,而不是新的隐私口号。

Oura政府数据请求用户隐私
微软、Meta向美参院提交荷兰监管者姓名,荷兰担心风险落到个人身上
安全 2026/5/23

微软、Meta向美参院提交荷兰监管者姓名,荷兰担心风险落到个人身上

据荷兰《Vrij Nederland》报道、DutchNews转述,微软、Meta等美国科技公司向美国参议院一个调查“科技审查”的委员会提供了参与欧洲科技监管的荷兰公务员和学者姓名。荷兰政府称此事“极其令人担忧”,担心被点名者面临旅行禁令或制裁等潜在后果。真正刺痛荷兰的,是监管权、云服务和美国科技供应商依赖被同一件事串在了一起。

数字主权微软Meta
NTSB因AI“复活”遇难飞行员声音关库:公开案卷被模型钻了空子
安全 2026/5/23

NTSB因AI“复活”遇难飞行员声音关库:公开案卷被模型钻了空子

有人从NTSB公开案卷中的驾驶舱录音频谱图和文字记录出发,用AI近似重建了UPS 2976遇难飞行员的声音,迫使NTSB一度关闭事故调查案卷系统。新细节补强了问题的关键:不是原始录音泄露,而是过去被视为“安全公开”的技术材料,在AI时代变成了可逆的数据影子。真正受伤的不只是家属,还有航空安全透明制度本身。

NTSBAI语音重建驾驶舱录音
Anthropic 扩大 Project Glasswing:AI 找洞破万,补丁链路才是真战场
安全 2026/6/2

Anthropic 扩大 Project Glasswing:AI 找洞破万,补丁链路才是真战场

Anthropic 正把 Project Glasswing 从约 50 家合作伙伴扩大到新增约 150 家组织,覆盖电力、水务、医疗、通信、硬件等关键基础设施。初始合作方已用 Claude Mythos Preview 发现超过 1 万个高危或严重漏洞,但最要紧的问题不是“AI 能不能找洞”,而是这些洞有多少被确认、披露、修好并部署到生产系统里。

Project GlasswingAnthropic漏洞发现
得州起诉 WhatsApp“假加密”:Meta 不清白,但这刀证据太薄
安全 2026/5/23

得州起诉 WhatsApp“假加密”:Meta 不清白,但这刀证据太薄

得州总检察长 Ken Paxton 起诉 Meta,称 WhatsApp 的端到端加密宣传不实,Meta 可读取用户明文消息。问题是,目前公开证据主要来自 Bloomberg 对一封调查邮件的报道,得州并未拿出新的技术证据。Meta 的隐私黑账不能替代证据;如果用薄证据打加密产品,受伤的可能不只是 WhatsApp。

WhatsApp端到端加密Meta
yt-dlp 收窄并弃用 Bun 支持:问题不在版本号,而在供应链和维护风险
安全 2026/5/23

yt-dlp 收窄并弃用 Bun 支持:问题不在版本号,而在供应链和维护风险

yt-dlp 在 GitHub issue #16766 中宣布,从后续 yt-dlp 和/或 ejs 发布开始,Bun 作为 ejs 兼容 JavaScript 运行时的支持范围收窄到 1.2.11–1.3.14,并标记为 deprecated。 这不是 Bun 立刻不能用,而是维护者把它从“可长期支持的选项”降成了“有限支持、随时可能退出的选项”。 真正值得看的是两个风险:旧版 Bun 构建 ejs 时会忽略 lockfile;1.3.14 之后的 Bun 代码路线让 yt-dlp 不愿提前背书。

供应链安全yt-dlpBun
Kash Patel相关服装网站下线:政治周边生意,先暴露的是安全债
安全 2026/5/23

Kash Patel相关服装网站下线:政治周边生意,先暴露的是安全债

Kash Patel相关服装周边品牌Based Apparel的网站,在被曝遭劫持并诱导访客安装疑似窃密木马后下线。公开信息尚不能证明FBI系统受影响,也不能推定Patel本人参与运营或知情。真正刺眼的是:政治流量可以很快变成生意,但网站安全、供应商管理和事件响应很难靠口号补上。

网站劫持恶意软件infostealer
特斯拉召回 14575 辆 Model Y:这次 OTA 救不了一张贴纸
安全 2026/5/22

特斯拉召回 14575 辆 Model Y:这次 OTA 救不了一张贴纸

NHTSA 召回 14575 辆特斯拉 Model Y,原因不是电池、刹车或软件,而是部分车辆可能缺少车门内侧的重量认证标签。特斯拉估计约 45% 的召回车辆实际缺失,原因指向弗里蒙特工厂自动视觉扫描工具漏检。真正值得看的是:自动化制造再强,也绕不开最基础的合规闭环。

特斯拉召回Model Y
Trump Mobile确认客户姓名、地址和手机号曾公开暴露,问题指向第三方平台
安全 2026/5/22

Trump Mobile确认客户姓名、地址和手机号曾公开暴露,问题指向第三方平台

Trump Mobile确认,客户姓名、邮箱、邮寄地址、手机号和订单标识曾暴露在公开互联网,事件与支持部分业务的第三方平台有关。现有信息更像一次第三方平台配置或访问控制问题,而不是已证实的核心通信网络入侵或财务数据泄露。真正该盯的,是公司是否通知客户、第三方供应商是谁,以及暴露范围如何界定。

Trump Mobile个人信息暴露第三方平台