安全资讯 第17页

聚合当前分类下的最新内容,按时间顺序查看第 17 页精选文章。

Haotian AI 被 404 Media 拿到后,视频会议的“看脸确认”该降级了
安全 2026/5/13

Haotian AI 被 404 Media 拿到后,视频会议的“看脸确认”该降级了

404 Media 在播客中称已获得中文界面的 Haotian AI 实时深伪软件,可用于 Microsoft Teams、WhatsApp、Zoom 等视频通话场景。相比单纯讨论深伪诈骗报道的取证难度,这条线索把风险指向了更具体的工作流:远程审批、视频核验、跨境沟通都不能再把“对方露脸”当强证明。

实时深伪Haotian AI视频会议安全
Cybertruck 便宜版只卖出 173 辆,也全量召回了
安全 2026/5/8

Cybertruck 便宜版只卖出 173 辆,也全量召回了

Tesla 正在召回已售出的全部 173 辆 RWD Cybertruck Long Range,故障点在制动盘螺柱孔,极端情况下车轮可能与轮毂分离。 目前只有 3 起可能相关保修索赔,Tesla 称没有相关碰撞、死亡或受伤报告;车主最该做的是核对召回通知并预约免费更换。 规模很小,但这是 Cybertruck 第 11 次召回。真正刺眼的是:激进设计、低价版本和制造一致性之间的账,还没算完。

CybertruckTesla召回
美国上线 UAP 解密页面:别急着找外星人,先看谁在控制叙事
安全 2026/5/8

美国上线 UAP 解密页面:别急着找外星人,先看谁在控制叙事

美国政府上线 PURSUE 页面,称将按总统指令分批查找、审查、解密并发布 UAP/UFO 相关记录,首批材料包括红外图像、军事报告截图和 Apollo 17 旧影像。\n这次公开目前不能证明外星飞船,也不能证明技术突破。更值得看的是:美国正在把 UAP 从民间奇谈,搬进国家安全、档案治理和政治传播的制度框架里。\n普通读者该做的不是追着模糊光点下结论,而是看后续材料怎么分类、哪些机构参与、哪些内容始终不放出来。

UAP/UFOPURSUE美国政府
芝加哥ICE抗议者起诉DHS:轻微逮捕能不能变成永久DNA档案
安全 2026/5/8

芝加哥ICE抗议者起诉DHS:轻微逮捕能不能变成永久DNA档案

4名在芝加哥Broadview ICE设施外被捕的抗议者起诉DHS和FBI,要求停止采集、上传和永久保存他们的DNA样本与基因档案。此案的核心不是一次抗议执法争议,而是联邦政府能否借轻微、撤销甚至未起诉的逮捕,把抗议者送进长期DNA检索体系。最受影响的是参加移民执法抗议的人,以及为他们提供法律和组织支持的人。

DNA采集生物识别DHS
OpenAI分级开放GPT-5.5网络安全能力:重点不是更强,而是谁能用
安全 2026/5/12

OpenAI分级开放GPT-5.5网络安全能力:重点不是更强,而是谁能用

OpenAI把GPT-5.5纳入Trusted Access for Cyber,并限量预览GPT-5.5-Cyber,面向已验证防御者和关键基础设施安全团队。真正的变化不是放开攻击能力,而是用身份验证、账户安全、访问分级和滥用监控来降低双用途风险。对企业安全负责人来说,GPT-5.5 with TAC更像默认起点,GPT-5.5-Cyber只适合少数授权红队和受控测试流程。

OpenAIGPT-5.5网络安全
ICE 探索智能眼镜:人脸识别可能从“举手机”变成“看一眼”
安全 2026/5/8

ICE 探索智能眼镜:人脸识别可能从“举手机”变成“看一眼”

404 Media 称,ICE 正在探索开发智能眼镜,用来补充其人脸识别应用 Mobile Fortify;DHS 回应称,目前尚未承诺任何智能眼镜资金。 关键不在于眼镜是否已经部署,而在于执法识别可能从手机扫描推进到可穿戴、实时化现场。 真正受影响的是街头被扫描者的知情、拒绝和纠错能力,尤其是移民社区、持签证者和容易被误识别的人。

人脸识别智能眼镜ICE
Model Y首个通过NHTSA新版ADAS测试:赢的是项目成绩,不是自动驾驶认证
安全 2026/5/9

Model Y首个通过NHTSA新版ADAS测试:赢的是项目成绩,不是自动驾驶认证

2026款后期批次Tesla Model Y成为首个通过NHTSA新版ADAS测试的车型,但适用范围很窄:仅限2025年11月12日及之后生产的车辆。这个结果利好特斯拉,也说明美国监管开始把辅助驾驶能力拆成可测试项目;但它不是FSD获批,更不是自动驾驶官方背书。

NHTSATesla Model YADAS
Canvas 两次被黑后“谈妥”了:学生数据不是赎金桌上的筹码
安全 2026/5/12

Canvas 两次被黑后“谈妥”了:学生数据不是赎金桌上的筹码

Instructure 称已和入侵 Canvas 的 ShinyHunters 达成协议,黑客承诺删除数据、不再勒索客户,但公司也承认没有完全确定性。比数据泄露更刺眼的是二次入侵和登录页篡改:教育 SaaS 的安全风险,已经从后台事故变成了校园秩序被公开劫持。

CanvasInstructureShinyHunters
Dirty Frag 本地提权漏洞链公开:Linux 管理员该先堵模块加载,而不是等 CVE
安全 2026/5/8

Dirty Frag 本地提权漏洞链公开:Linux 管理员该先堵模块加载,而不是等 CVE

Openwall oss-security 邮件列表披露 Dirty Frag Linux 本地提权漏洞链,报告者称其影响主流发行版,披露时没有 CVE,也没有发行版补丁。真正的风险不在“远程攻破所有 Linux”这种夸张说法,而在本地攻击者可能借无补丁窗口拿到 root 权限,管理员应优先做模块级临时缓解。

Dirty FragLinux 本地提权Linux 内核
PCPJack接管TeamPCP旧受害系统:云入侵后的风险还没结束
安全 2026/5/8

PCPJack接管TeamPCP旧受害系统:云入侵后的风险还没结束

SentinelOne报告称,未知团伙PCPJack正在入侵已被TeamPCP攻破的云系统,移除对方工具,并部署自传播代码窃取凭据。它不像白帽清理,更像另一批攻击者接管失陷资产,把凭据、初始访问权限和勒索机会重新变现。对企业云安全团队来说,重点不是围观黑产内斗,而是确认失陷环境是否真正重建、密钥是否彻底轮换。

PCPJackTeamPCP云安全
Firefox 271 个 AI 找洞样本:LLM 漏洞扫描终于有了硬信号
安全 2026/5/8

Firefox 271 个 AI 找洞样本:LLM 漏洞扫描终于有了硬信号

Mozilla 称 Anthropic Mythos 在两个月内辅助发现 271 个 Firefox 安全漏洞,并且“几乎没有误报”。这比单纯说 Firefox 修了多少漏洞更关键:AI 安全工具的价值,不在报告写得像不像,而在能不能接入真实测试链路,把怀疑变成可复现证据。

LLM漏洞扫描FirefoxMozilla
Yarbo 割草机器人改口移除默认后门:带刀片的设备,钥匙不能默认在厂商手里
安全 2026/5/12

Yarbo 割草机器人改口移除默认后门:带刀片的设备,钥匙不能默认在厂商手里

Yarbo 承诺改变机器人割草机的远程访问设计:默认不再安装远程后门,只有用户主动 opt-in 才启用临时诊断通道。这比单纯修漏洞更关键,因为问题的核心不是一次安全事故,而是联网硬件的默认控制权到底归谁。

Yarbo机器人割草机远程后门
Cloudflare复盘“Copy Fail”:一次Linux本地提权漏洞为何没有变成事故
安全 2026/5/7

Cloudflare复盘“Copy Fail”:一次Linux本地提权漏洞为何没有变成事故

Cloudflare披露了应对Linux内核本地提权漏洞“Copy Fail”(CVE-2026-31431)的全过程,称未影响其环境、服务和客户数据。真正有价值的不是“没出事”声明,而是它展示了云基础设施团队如何用检测、威胁狩猎和bpf-lsm临时限流,把一个需要重启修补的高危内核漏洞压到可控范围内。

Copy FailCVE-2026-31431Linux内核本地提权漏洞
404 Media 实测“昊天AI”:实时换脸开始变成诈骗工具服务
安全 2026/5/7

404 Media 实测“昊天AI”:实时换脸开始变成诈骗工具服务

404 Media 称,其通过 Telegram 购买并测试了中文实时换脸软件“昊天AI”,该工具可用于 WhatsApp、Teams、Zoom、TikTok、Instagram、YouTube 等平台的视频场景。 关键变化不是换脸更像了,而是它被包装成有报价、有远程安装、有定制模型、有稳定币收款的服务。 对企业风控和普通用户来说,“开视频确认一下”正在失去原来的安全含义,高风险转账、面试、开户和亲友借钱都需要二次核验。

实时换脸深伪诈骗昊天AI
reCAPTCHA 升级 Fraud Defense:Google 要给 AI 代理划通行规则
安全 2026/5/7

reCAPTCHA 升级 Fraud Defense:Google 要给 AI 代理划通行规则

Google Cloud 在 Next 2026 发布 Google Cloud Fraud Defense,reCAPTCHA 被升级为面向真人、传统机器人和 AI 代理的反欺诈信任平台。现有 reCAPTCHA 客户自动纳入,无需迁移、无需改集成,价格不变。真正的变化是:网站风控开始从“识别机器人”转向“判断谁有资格替人行动”。

Google Cloud Fraud DefensereCAPTCHAAI代理
Karakurt 案最刺眼的,是勒索软件背后的俄罗斯安全港
安全 2026/5/7

Karakurt 案最刺眼的,是勒索软件背后的俄罗斯安全港

美国司法部称,拉脱维亚黑客 Deniss Zolotarjovs 因参与 Karakurt 勒索软件攻击被判刑逾 8 年。比判刑更关键的是,检方指控该团伙使用俄罗斯政府数据库和执法关系施压受害者,并通过行贿逃税、逃避兵役。这个案子指向的不是单个黑客,而是网络犯罪、安全港和腐败资源之间的利益共生。

Karakurt勒索软件美国司法部
Braintrust 要求所有客户轮换 API 密钥:AI 工具链的密钥托管风险暴露
安全 2026/5/7

Braintrust 要求所有客户轮换 API 密钥:AI 工具链的密钥托管风险暴露

Braintrust 确认一个 AWS 云账户遭未授权访问,账户内包含客户用于访问云端 AI 模型的 API 密钥,并要求所有客户轮换存放在平台上的 keys。现在不能说所有客户密钥都已泄露,也不能说客户系统已被入侵;但对使用 Braintrust 的 AI 工程团队来说,密钥轮换、日志核查和权限收缩已经是现实工作。

API 密钥泄露Braintrust未授权访问
Chrome 给网站定位加了“大致位置”,隐私真正的考题才刚开始
安全 2026/5/7

Chrome 给网站定位加了“大致位置”,隐私真正的考题才刚开始

Android 版 Chrome 已支持向网站共享“大致位置”,用户不必在“精确定位”和“完全拒绝”之间二选一;桌面版会在未来几个月跟进,iOS 版是否上线还没公布。这个功能不大,但戳中了浏览器权限的老毛病:很多网站只需要区域信息,却长期默认索取更细的位置。更该看的不是按钮本身,而是开发者是否被要求解释精确定位的必要性,以及默认选项会不会真的偏向用户。

定位权限ChromeGoogle
Flock儿童体操房演示、ChatGPT论文撤稿与RightsCon:404 Media播客里的三条红线
安全 2026/5/6

Flock儿童体操房演示、ChatGPT论文撤稿与RightsCon:404 Media播客里的三条红线

404 Media 5月6日播客导览提到三件事:Flock把儿童体操房摄像头访问用于销售演示,Nature撤回一篇关于ChatGPT教育收益的论文,RightsCon取消或推迟与中国政府压力有关。它们分别卡在三条边界上:安全产品能不能拿敏感场景做销售,AI教育证据能不能撑住政策和采购,国际会议能不能扛住跨国政治压力。现在能下的判断不是谁已经违法、谁彻底失效,而是把关机制都被推到了压力面前。

隐私治理Flock儿童隐私
DENIC 短时中断 .de DNSSEC 解析:不是整个 .de 宕机,但运维仍该警惕
安全 2026/5/6

DENIC 短时中断 .de DNSSEC 解析:不是整个 .de 宕机,但运维仍该警惕

DENIC 于 2026 年 5 月 5 日晚报告 .de DNS 服务中断,影响所有启用 DNSSEC 签名的 .de 域名可达性,约两小时后宣布服务恢复。更准确的判断是:这不是整个 .de 顶级域全面失效,也不是全球 DNS 系统性故障,但它暴露了启用 DNSSEC 后对注册局签名链路稳定性的现实依赖。

DNSSEC.de 域名DENIC
nic.de 检测报错,不等于 .de 顶级域 DNSSEC 故障
安全 2026/5/6

nic.de 检测报错,不等于 .de 顶级域 DNSSEC 故障

Verisign DNSSEC Analyzer 在 2026-05-05 21:36:44 UTC 对 nic.de 的检测中,根区到 .de 的 DNSSEC 信任链验证通过,但查询 l.de.net 上的 nic.de/A 时出现截断的“Unknown ho...”异常。现有证据更像是 nic.de、单个权威服务器或检测工具路径上的局部解析问题,而不是 .de 顶级域 DNSSEC 失效。

DNSSECnic.de.de