安全资讯 第12页
聚合当前分类下的最新内容,按时间顺序查看第 12 页精选文章。
O.J. Simpson那笔5.8万美元判赔:DirecTV旧案里的版权执法样板
Ars Technica回顾了一桩冷门旧案:2001年FBI搜查O.J. Simpson迈阿密住宅,未发现毒品,却发现DirecTV盗看相关设备。DirecTV随后提起民事诉讼,2005年获简易判决胜诉,Simpson被判赔约5.8万美元。这个案子最有价值的地方,不是名人八卦,而是早期数字内容反盗版的真实打法:技术锁失灵后,公司会把调查、诉讼和威慑一起搬上桌。
First VPN 被渗透关停:黑产匿名服务的安全感,最后成了执法入口
First VPN 不只是被关停,后续披露的信息显示,执法机构还拿到了用户数据库、VPN 连接信息和部分犯罪流量线索,并将 506 名用户信息共享给国际伙伴。它暴露的不是“VPN 不安全”这么粗糙的结论,而是地下匿名服务最致命的软肋:用户把命交给一个更不透明的黑箱。
西雅图警方情报共享网:反恐工具为何盯上了抗议活动
Prism通过公开记录披露,西雅图警方运营的Seattle Shield向企业、联邦机构、地方执法和私营安保开放,成员曾包括亚马逊、Facebook、FBI、DHS相关人员、Washington State Fusion Center和ICE相关协作链条。 2020至2025年的多份通报显示,2025年内容几乎集中在抗议活动及其交通影响上。 这件事的关键不在于证明某家公司或机构已经做了什么,而在于反恐名义下的共享网络正在缺少透明监督时发生功能漂移。
老板装的监控软件,数据可能先流向广告平台
哥伦比亚法学院相关研究审查9款职场监控软件,发现样本中的全部产品都会向第三方平台传输部分员工信息,接收方包括Meta、Google、Microsoft及数据相关服务商。 关键问题不是Meta和Google主动窃取数据,而是bossware把姓名、邮箱、公司、IP、网页访问、在线活动乃至位置数据带出劳动场景。 对员工和管理者来说,这已经不是单纯的效率工具采购,而是一次隐私、合规和信任成本的重新结算。
宾州 Radnor 高中深伪案:五名女生受害后,学校还在卡“有没有图像”
宾州 Radnor 高中一名九年级男生被指使用 Movely 生成并传播五名 14 或 15 岁女同学的 AI 性化深伪内容,警方后来确认一名 juvenile offender 因 harassment 被处理。此案的关键不只是工具被学生滥用,而是学校和警方一度用“未发现图像或犯罪证据”的口径,让家长觉得伤害被缩小。对学校和家长来说,真正要补的是流程:AI 深伪一旦在校园内造成持续影响,就不能简单按“校外手机行为”处理。
微软官方通知邮箱被滥用:比垃圾邮件更麻烦的是信任通道失守
诈骗者已持续数月滥用微软合法通知邮箱 msonlineservicesteam@microsoftonline.com,向用户发送带诈骗链接的邮件。这个地址通常用于账号提醒、2FA 验证码等关键通知,危险点不在邮件多粗糙,而在官方可信通道被污染。接下来最该看微软是否收紧通知模板、链接权限和异常触发机制,而不是只看它删掉了多少封垃圾邮件。
美国不接回埃博拉暴露者:比病毒更刺眼的是这套防疫算盘
特朗普政府拟限制近期到过刚果(金)、乌干达、南苏丹的部分人员入境,并考虑把暴露或感染埃博拉的美国公民转至肯尼亚等第三国隔离治疗。真正的问题不只是两个医生去了欧洲,而是美国正在把公共卫生能力改写成边境管制和风险外包。
特朗普要10亿美元给白宫宴会厅防无人机:安全账单不能这么转
特朗普正推动国会批准10亿美元纳税人资金,用于给一座约4亿美元、称由私人捐助建设的白宫宴会厅做安保升级。无人机威胁是真的,争议在于预算规模、对象边界,以及私人政治工程如何接上公共财政。最该盯的是国会最终批不批、钱买什么、屋顶“无人机港”是否进入设计。
Google误公开未修复PoC:Chromium漏洞从内部工单变成公开风险
Google在Chromium漏洞尚未修复前,短暂公开了包含PoC利用代码的漏洞报告,随后删除,但内容已被归档。这个漏洞不等于电脑被完全接管,也没有证据显示已被大规模利用;真正麻烦在于它可由恶意网站触发,可能把浏览器变成受限代理节点。Chrome、Edge、Brave、Opera、Vivaldi、Arc用户和企业终端团队,应把它当成补丁窗口期风险来处理。
得州900人小镇停掉Flock摄像头,议员反手要“禁手机”
得州 Bandera 市议会以 3:2 终止 8 台 Flock AI 车牌识别摄像头合同后,支持项目的议员 Jeff Flowers 称将提出禁手机、GPS、互联网和电子记录的方案。居民反对的重点是政府联网车牌识别,不是反对现代技术。最该看的是下一次会议怎么处理这份提案,以及小镇是否会补上数据访问、保存、问责这些边界问题。
GitHub 3800 个内部仓库外泄:真正失守的,是开发者工具链的侧门
GitHub 确认,一名员工设备因安装恶意 VS Code 扩展遭入侵,约 3800 个内部代码仓库外泄;目前没有证据显示受影响仓库之外的客户数据被波及。比“GitHub 被攻破”更值得紧张的是:编辑器扩展已经从效率工具变成贴身攻击面,企业研发团队该重新审视插件准入、密钥管理和终端外传监控。
钱学森案的战略失误,不是1955年换俘
钱学森案的关键转折,不是1955年美国同意他离境,而是1950年撤销安全许可并把他推入长期限制。公开材料没有给出实质间谍证据,却足以让美国国家安全机器毁掉一条留才路径。真正的教训不是“一个天才改变历史”,而是恐惧驱动的审查会把人才、方法论和组织能力一起推向对手。
Meta在沙特、阿联酋做地理屏蔽:最危险的不是删号,是把审查做成开关
自2026年3月以来,Meta按沙特和阿联酋政府要求,在当地限制逾百个Facebook页面和Instagram账号访问,涉及ALQST、Democratic Diwan、研究者和人权活动人士。限制形式是地理屏蔽,不是全球删除;Meta称依据当地法律要求或政府请求,并表示做过法律和人权评估。真正的问题在于:当评估过程不透明,平台合规很容易变成政府审查的产品接口。
FBI 想采购一张准实时车辆行踪网,争议不在摄像头
FBI 5 月 14 日发布 RFP,计划向一家或多家供应商采购覆盖美国及属地的车牌识别数据访问能力,要求接近实时查询、检索和通知。它目前还不是已经落地的全国实时监控系统,但目标很清楚:把地方警务摄像头、商业平台和联邦情报需求接到同一套可搜索流程里。真正该盯的不是摄像头数量,而是地方同意、州法限制、访问审计和滥用责任能不能跟上。
Discord 默认加密语音和视频通话,真正反常的是“默认”
Discord 已向数亿用户默认启用语音和视频通话端到端加密,除 Stage channels 外无需手动开启,平台也无法监听通话内容。别误读:这不是全站消息加密,也不等于 Discord 拿不到任何元数据。放在 Meta 取消 Instagram 端到端加密、TikTok 不打算加密私信的背景下,这一步的价值在于平台愿意少看一点。
Google 扩大 CodeMender 外部测试:AI 网络安全开始变成大模型公司的硬生意
Google 在 I/O 2026 扩大 CodeMender 外部可用性,并邀请部分专家测试 API,但它还不是全面公开产品。它对标的是 Anthropic 的 Claude Mythos Preview,说明大模型公司正在把网络安全推向政府和企业采购场景。企业真正该看的不是宣传里的自动修漏洞,而是测试边界、补丁质量、审计记录和责任归属。
Gentoo 提醒内核提权漏洞连发:安全不等于所有内核包都已修好
Gentoo 称 Linux 内核近期连续曝出 Copy Fail、Dirty Frag、Fragnesia 等提权漏洞,并已为受支持内核包提供或集成修复。真正关键的不是“Gentoo 已修复”,而是用户是否正在使用受安全支持的内核包,并及时切到最新内核版本。
美国48小时下架新规生效:性深伪要快删,审查风险也来了
美国《Take It Down Act》下架条款已于2026年5月19日生效,平台收到有效投诉后,须在48小时内移除非自愿亲密影像及其已知相同副本。它不只针对AI深伪,也覆盖真实拍摄的非自愿亲密影像。真正的争议不是要不要打击这类伤害,而是高压快速下架会不会让平台先删后审,甚至被选择性执法利用。
CISA 凭据泄露到公开 GitHub:守门人丢的不是钥匙,是权限边界
CISA 承包商把 AWS GovCloud 密钥、GitHub 应用私钥和内部系统凭据放进公开 GitHub 账号,事件已引来美国国会质询。新的关键点不只是“误传文件”,而是高权限承包商长期把公开仓库当工作同步区,还绕开了部分凭据保护机制。真正的问题落在承包商治理、CI/CD 权限和政府云安全的责任链上。
20分钟、317个 npm 包:开源供应链的风险账不能再外包
Mini Shai-Hulud 供应链攻击仍在扩散:SafeDep 称,攻击者接管一个开发者账号,约 20 分钟内向 317 个 npm 包发布 630 多个恶意版本。目标不只是破坏代码,而是窃取密码管理器等服务凭据,再借这些凭据偷数据、继续传播。真正该紧张的是使用相关依赖的开发者、企业工程团队,以及把 CI/CD 和包管理链路交给默认信任的人。
伊朗盯上海底光缆,大厂开始给互联网买政治保险
伊朗威胁向经过霍尔木兹海峡的海底互联网光缆收费,并主张对部分维修维护拥有控制权,Meta、Google、Amazon、Microsoft 被点名。它不会让全球互联网立刻瘫痪,影响更集中在海湾地区连接、云服务和数据中心项目。真正的风险不是收费能不能落地,而是海底光缆正在被战争、维修瓶颈和地缘勒索重新政治化。