安全资讯 第16页
聚合当前分类下的最新内容,按时间顺序查看第 16 页精选文章。
硬件认证扩张:安全校验会不会变成设备门禁
GrapheneOS 称,Apple 和 Google 正在扩大硬件级认证机制的使用,并推动更多服务接入相关 API。 我更在意的是:硬件认证本来是反作弊、反篡改、反滥用工具,但一旦被服务方当成访问门槛,替代系统、第三方应用分发、非官方设备环境和普通 Web 用户都会被卷进去。 现在不能把它直接写成已被确认的垄断事实,但它确实把一个老问题推到台前:谁有权定义“可信设备”。
CVE-2024-YIKES 是假报告,但开源供应链的病是真的
CVE-2024-YIKES 不是一个真实 CVE,也不能当安全通报引用,它是一篇带强烈讽刺色彩的虚构事故报告。 它把 JS 依赖、Rust 库、Python 构建工具、CI/CD、2FA、AI 搜索和自动化修复串成一条荒诞链,刺中的是开源供应链的真实软肋。 最该紧张的不是普通用户,而是开发者、开源维护者,以及把开源当生产基础设施的企业。
Qubes OS 创始人重开博客:从系统安全走向人文难题
Qubes OS 创始人 Joanna Rutkowska 在沉寂约 7 年后开设新博客 Traces of Humanity,宣布写作重心从系统安全转向理性、自由、人文、爱与共同体之间的冲突。真正重要的不是 Qubes OS 有新动向,而是一位安全研究者公开承认:技术理性无法独自回答生活意义问题。她没有给出答案,反而把不确定和不完整视为人文主义的核心线索。
AMOC减弱警报:北大西洋暖流正在变成安全议题
越来越多研究认为,AMOC正在减弱,甚至可能接近临界点;但约20年直接观测仍不足以把“崩溃”写成定论。IPCC 2021判断本世纪前突然崩溃可能性不高,近年研究却给出更悲观信号,分歧本身已经构成风险。冰岛把AMOC关闭风险列为国家安全威胁,说明这件事已经越过论文边界,进入农业、能源、保险和供应链决策。
Rotten.com 被重新写进互联网史:早期网络自由的暗面,不只是猎奇
《The Paris Review》刊发回忆性长文,以作者1999年第一次访问 Rotten.com 为入口,重看早期互联网的血腥内容、AIM 聊天室恶作剧和审查争议。真正重要的不是怀旧,而是早期网络“绝对自由”如何同时给青少年提供身份试探空间,也让未成年人暴露在创伤性内容和陌生人风险中。
在日本被捕后,23天不是唯一风险:起诉前羁押怎样制造压力
一名作者自述在日本警署拘留设施内被关35天:第一次逮捕走完23天流程,随后因第二次逮捕又追加12天。真正需要看懂的不是个案八卦,而是日本起诉前羁押机制如何通过时间、隔离和规则给被捕者施压。对在日本旅行、留学、工作的人,最现实的动作是尽快要求联系律师和使馆,并提前准备基础日语表达。
FreeBSD 这个本地提权漏洞,危险在它太“朴素”
FreeBSD 披露 FreeBSD-SA-26:13.exec,CVE-2026-7270 影响所有受支持版本,可能让本地低权限用户通过 execve(2) 内核漏洞提权到 root。它不是远程代码执行,也没有已知在野利用证据,但无 workaround、涉及最高权限路径,足够让管理员马上排期升级和重启。
个人站封禁未知 Query String:反跟踪有理,照搬会出事
chrismorgan.info 作者 Chris Morgan 禁止本站未授权的 URL 查询参数,外部追加的 ref、utm 等字段可能被拒绝或不再兼容。 这件事的核心不是“query string 有罪”,而是个人站能否拒绝外部平台把自己的链接当成跟踪载体。 我的判断:个人站这样做有正当性;商业网站和复杂 Web 应用若照搬,容易伤到搜索、缓存、支付和正常功能。
GM 加州隐私和解:1275万美元不贵,真正贵的是刹车数据被明码标价
通用汽车同意支付1275万美元,和解加州关于出售司机位置和驾驶行为数据的隐私诉讼,并承诺五年内停止向数据经纪商出售客户信息。更关键的新增细节是:加州司机将可以阻止 OnStar 收集位置数据,注册和使用驾驶数据前也需要更清晰的告知与同意。钱只是合规成本,真正被收紧的是车企把车联网数据变成保险定价燃料的灰色通道。
欧盟年龄验证盯上 VPN:未成年人保护不能顺手削弱隐私工具
欧盟在推进在线年龄验证时,把 VPN 描述为可绕过限制的“漏洞”,释放出监管视线可能从内容平台延伸到隐私工具的信号。真正重要的不是“欧盟要禁 VPN”——目前没有这一事实,而是未成年人保护目标正在与匿名访问、加密连接和跨境办公等合法需求发生正面摩擦。
React2Shell 刺痛的不是 RCE,而是 RSC 把安全边界藏进了框架魔法
React2Shell 是一个与 React Server Components / Flight 机制相关的远程代码执行风险:Lachlan 于 2025 年 11 月 30 日报告给 Meta,Meta 12 月 3 日发布修复和 CVE-2025-55182 公告。真正麻烦的是,RSC 让客户端到服务端的调用看起来太顺,开发者容易把 TypeScript 类型、框架序列化和运行时输入校验混成一回事。对 React/Next.js 团队来说,动作很具体:按 Meta 公告升级,盘点 RSC 与 Server Functions 入口,把不可信输入重新拉回运行时校验。
汉坦病毒邮轮已疏散,美国接回18人:可怕,但还不是“新冠邮轮”
MV Hondius 邮轮安第斯汉坦病毒暴发处置有了更清晰边界:WHO确认病例升至9例,美国接回18名相关人员,其中3人进入生物隔离安排。真正该看的不是“病毒进了美国”这种标题,而是疑似人际传播是否被围住,以及那名美国乘客的“弱阳性”能否复核为确诊。
AI 加速 CVE 发现后,漏洞治理会卡在依赖图上
Flox 发文认为,Big Sleep、Microsoft Copilot、DARPA AIxCC 等案例说明 AI 正在加快漏洞发现,包级 CVE 的排查压力会继续上升。真正的问题不是谁能一键修漏洞,而是企业能不能证明哪些环境包含同一批依赖。Nix/Flox 的价值在于用可验证的依赖闭包减少重复 triage,但它只覆盖被固定和追踪的环境。
一个 u32 怎么把 io_uring 新特性打成 root
Linux 6.15–6.19 的 io_uring ZCRX 零拷贝接收子系统被曝 freelist 越界写漏洞,修复点是 commit 770594e。它不是远程漏洞,也不是人人可打;真正有意思的是,一个看似不起眼的 u32 小整数,在特定硬件、权限、堆布局和旧提权链条配合下,能被串成 root。
Google 新 reCAPTCHA 依赖 Play Services,去 Google 化 Android 用户可能过不了验证
Google 新一代 reCAPTCHA 的部分 Android 挑战验证,要求设备具备 Google Play Services 25.41.30 或更高版本;早期支持页曾显示 25.39.30。 影响不发生在所有访问场景,而是在系统判定可疑、要求挑战验证时。GrapheneOS 等去 Google 化 ROM 可能因此卡住。 争议不在于反机器人该不该做,而在于 Web 入口正在把 Google 专有框架变成一张隐性门票。
Copy Fail 补丁被看穿后,漏洞披露的时间差没了
Copy Fail 公布当天,Hyunwoo Kim 发现修复不足并提交补丁,同时把安全影响通报给 Linux 安全工程师闭门列表。但公开补丁很快被外部人员读出安全含义并发布,embargo 实际提前结束。AI 没有自动攻破 Linux,它正在压缩漏洞披露里最值钱的东西:时间差。
CyberSecQwen-4B 发布:安全 AI 不必总上云,小模型也能做硬活
Hugging Face 博客发布 CyberSecQwen-4B:一个基于 Qwen3-4B-Instruct-2507 微调的 4B 防御性网络安全模型,训练来自 AMD Developer Hackathon 项目,并以 Apache 2.0 发布。它的看点不是“4B 打赢大模型”,而是在 CWE 分类、CVE→CWE 映射、结构化 CTI 问答这些窄任务里,本地小模型可能比云端通用模型更容易进入安全流程。对安全运营和漏洞管理团队来说,最现实的动作不是立刻替换系统,而是把它放进低风险环节试点,并保留人工复核。
马斯克在法国被刑事调查:X 的问题不只是内容审核
法国检方已把针对 X、xAI、马斯克和 Linda Yaccarino 的调查升级为正式刑事调查,焦点包括未成年人性影像、性深伪、Grok 否认大屠杀内容、数据安全和非法交易。现在还不是定罪,也不等于必然受审,但法国检方已要求提出初步指控,或发出等同起诉的令状。关键不在“马斯克又和欧洲吵架”,而在平台老板还能不能用政治迫害叙事,绕开本地法律和内容治理责任。
5座水厂被黑:国家级冲突盯上地方旧账
波兰情报机构称,5座水处理厂遭黑客攻击,攻击者可能触及工业控制设备;最坏情况可能影响供水安全,但报告没有确认水质已被篡改。报告同时指控俄罗斯支持的破坏和黑客活动针对波兰军事设施、关键基础设施和民用目标,但没有把这5起水厂攻击明确归因给俄罗斯。真正该看的不是“又一起黑客事件”,而是低预算水厂、电网等地方基础设施,正在承受国家级冲突的压力。
一个网页不问你,也能拼出多少浏览器指纹
Since You Arrived 的“taken”页面展示了一件容易被忽略的事:网页打开瞬间,IP、时区、系统、屏幕、GPU、语言、字体和 Cookie 状态等信息就可能被读取。它自称不写入 Cookie、不存储信息,反而凸显了问题:多数网站未必会如此克制。真正的风险不是某个字段泄露,而是这些信号组合后,可以在无账号、无姓名、无 Cookie 的情况下形成浏览器指纹。
L3Harris 前高管把黑客工具卖给俄方中间人:网络军火生意最怕内部人
L3Harris 前网络安全高管 Peter Williams 因窃取监控与黑客工具,并以约 130 万美元卖给与俄罗斯政府有业务联系的中间人,被法院要求在此前 130 万美元赔偿之外再支付 1000 万美元。关键不只是商业秘密被盗,而是高权限内部人把网络武器当商品转手。对国防科技和网络安全团队来说,这件事该落到权限、离职、审计和中间人尽调上,而不是停在道德谴责。