安全资讯 第18页
聚合当前分类下的最新内容,按时间顺序查看第 18 页精选文章。
DHS 用关税传票索取加拿大居民 Google 数据,真正争议是执法边界
DHS 以《1930年关税法》下的海关传票,要求 Google 提供一名加拿大居民的位置、活动日志、身份信息和账号处罚记录;律师称此人十多年未进入美国。传票没有说明具体进出口或关税调查理由,争议焦点因此落在一个问题上:关税工具是否被拿来识别批评移民执法的人。对依赖美国平台发声的境外用户、匿名账号和数字权利组织来说,平台通知、抗辩和传票边界会变得更关键。
Canvas 和黑客“达成协议”:期末延期之后,教育平台把信任押给了犯罪分子
Canvas 母公司 Instructure 称,已与入侵其系统的黑客达成协议,以阻止被窃学生数据外泄;攻击组织 ShinyHunters 此前声称掌握 3.5TB 数据并威胁公开。比起此前服务中断导致期末考试延期的争议,这条新线索把问题从“平台有没有冗余”推进到更刺眼的一层:教育平台的数据安全,最后竟要靠黑客承诺来兜底。
Daemon Tools 安装程序疑遭植入后门:卡巴斯基称攻击仍在进行
卡巴斯基称,Windows 光盘映像软件 Daemon Tools 的安装程序被植入后门,已观察到数千次感染尝试和至少十余起成功入侵。更关键的是,这不是普通木马传播,而是仍在进行的软件供应链攻击:用户以为自己在安装可信软件,风险却从安装入口进入系统。
Cursor/Claude 被指删库:别急着骂 AI,先看谁给了生产权限
一名开发者声称 Cursor/Claude agent 删除了公司生产数据库,目前公开信息不足以证明 AI 独立“决定删库”。更关键的问题是:为什么系统里会有可删除整库的生产 API,并且能被代理路径触达。对开发团队和技术管理者来说,这不是换不换工具的问题,而是权限、发布和审计流程要不要重做的问题。
Pornhub 只回到英国 iPhone 和 iPad,真正变的是年龄验证入口
Aylo 已在英国恢复 iPhone 和 iPad 用户访问 Pornhub 等站点,但条件很窄:设备需升级到支持年龄确认的 iOS 26.4,并完成 18 岁验证。Windows、Android 和其他非苹果移动设备仍不可访问。关键变化不是 Pornhub 回归,而是年龄验证开始从网站前台移到操作系统底座,苹果、谷歌、微软这类入口守门人的分量变重了。
美联社获2026年普利策国际报道奖:监控技术绕了一圈,问题回到美国
美联社 Dake Kang、Garance Burke、Byron Tau、Aniruddha Ghosal 与撰稿人 Yael Grauer 获得2026年普利策国际报道奖,奖金15000美元。普利策看重的不是单篇爆料,而是这组报道把硅谷技术、中国监控实践、全球扩散和美国边境执法回流串成了一条链。对科技公司和政府采购方来说,真正的压力是:不能再只说“工具中立”,还要解释卖给谁、怎么用、谁能纠错。
阿尔伯塔选民名单外流:抓住它的不是黑科技,是几条假记录
加拿大阿尔伯塔省选举机构在发给政党的选民名单副本中埋入虚假条目,后来这些条目出现在 Centurion Project 的选民查询工具里。现有事实只能说明:该工具使用的数据与发给阿尔伯塔共和党的合法副本匹配,数据如何流转仍未查明。真正重要的是,canary trap 不是防泄露的墙,而是泄露后把责任链钉出来的低技术设计。
Meta和YouTube被判担责:真正危险的是让人“停不下来”的设计
洛杉矶陪审团把Meta一份2019年内部文件纳入审理:文件称青少年即使想停,也很难离开Instagram。2026年3月25日,陪审团认定Meta和YouTube需为成瘾性产品设计担责。关键争议不是内容好不好看,而是推荐、通知、无限滚动等奖励机制,是否把用户推向自己并不真正愿意的行为。
TRE 进了 Python 试验场:它能缓解 re 的 ReDoS 风险吗
Simon Willison 做了一个实验性 Python binding,用 ctypes 封装 TRE 正则引擎,并拿恶意正则样例对比 Python 标准库 re。结论不能读成“TRE 可直接替换 re”,更准确的是:非回溯引擎在 ReDoS 场景下给 Python 后端提供了一条更稳的安全路线。真正要补课的是高风险入口的正则审计、超时保护和语法兼容评估。
cPanel 十天两次紧急补丁:55 万台潜在风险服务器背后,主机安全债开始结算
cPanel/WHM 在 5 月 8 日发布第二次紧急安全补丁,修复 3 个新漏洞;这发生在 CVE-2026-41940 被用于攻击约 4.4 万台服务器并部署 Sorry 勒索软件之后。和此前只看到“55 万台潜在风险服务器”的暴露面不同,现在更清楚的是:问题不只是一枚高危 CVE,而是共享主机控制面板长期积累的权限边界债。
普通账号看见军方训练数据:Schemata 漏洞暴露的不是黑客多强
Strix 披露,a16z 投资、持有美国国防部活跃合同的 Schemata 曾存在多租户 API 授权漏洞,低权限账号可跨组织访问用户、课程和文档链接。漏洞发布前已修复,但从 2025-12-02 首次私下披露到 2026-05-01 确认修复,约 150 天。真正刺眼的不是攻击复杂,而是防务软件公司把租户隔离和响应机制做丢了。
美国州医保网站把申请信息送进广告像素,这不是误配那么简单
彭博调查、TechCrunch转述称,美国近20个州政府运营的医保市场中,几乎都通过追踪像素向Google、LinkedIn、Meta、Snap、TikTok等广告科技公司分享过用户申请相关信息。涉及字段包括公民身份、种族、性别、邮编、邮箱、电话等,华盛顿特区和弗吉尼亚已暂停或移除部分追踪器。真正的问题不是某个像素放错位置,而是公共服务网站把商业互联网的广告工具默认接进了敏感政务流程。
美国约165个陆上风电项目被卡:国家安全正在变成能源审批刹车
特朗普政府以国家安全为由,让美国约165个陆上风电项目的国防部审批陷入停摆,涉及约30GW潜在装机,可供约1500万户家庭用电。风机干扰雷达是真技术问题,争议在于流程异常冻结,并从联邦土地、海上风电扩大到私人土地陆上风电。对清洁能源投资者和关注行政权边界的人来说,真正要看的不是风电一项,而是“国家安全”会不会变成可复制的产业管制工具。
Chrome 147 已成基线,Vivaldi 与 Comet 的 Chromium 滞后意味着什么
Chromium Drift 显示,截至 2026 年 5 月 3 日 17:07:56,多数主流 Chromium 浏览器已跟进 Chrome Stable 147,但 Vivaldi 落后 1 个大版本,Comet 落后 2 个大版本。版本滞后不能直接等同于已遭攻击,却会扩大用户暴露在 Chromium 已公开修复漏洞中的窗口期。对普通用户和企业终端团队来说,真正要看的不是品牌口号,而是更新节奏、补丁小版本和来源可信度。
加州新规补上 Robotaxi 责任链:违规可留痕,但还不是直接罚款
加州 DMV 发布两套自动驾驶测试与部署新规,合计约 100 页,重点不是简单收紧,而是把违规记录、故障上报、救援协作和重卡准入接进同一条责任链。Robotaxi 违规后,执法部门可向企业发出不合规通知,企业须在 72 小时内向 DMV 报告;目前看不直接附带金钱罚款。我的判断是:这一步补上了无人驾驶商业化后的问责缺口,但也会把合规压力实实在在压到运营、工程和政策团队身上。
伊朗断网里的 Starlink:少数人的出口,也是刑责风险
伊朗自 2 月 28 日美以空袭后持续实施全国性互联网限制,地下网络正把 Starlink 终端送入境内,帮助部分人绕过本地网络控制。它不是全国互联网的替代品,而是少数人的高风险出口:使用、买卖终端在伊朗属非法,进口或分发超过 10 台最高可判 10 年。更该看的不是技术多酷,而是断网怎样把信息权、商业活动和刑事风险重新分配给不同人。
VideoLAN 的 dav2d 页面当前只抓到 Anubis 验证页,不能当项目新闻写
访问 https://code.videolan.org/videolan/dav2d 时,当前材料显示的是 Anubis Proof-of-Work 反爬验证页,不是 dav2d 项目内容。 这只能说明抓取过程遇到验证机制,不能推出 dav2d 的功能、版本、维护状态或发布进展。 对技术读者和编辑来说,重点不是解读 dav2d,而是先把“抓到验证页”和“抓到仓库页”分清。
声波扑灭了厨房小火,但还不能替代住宅喷淋
Sonic Fire Tech在加州演示了用AI传感器触发次声波,扑灭一场受控厨房油火。它证明声波灭火有商业化苗头,但还没有证明能承担住宅喷淋的生命安全功能。关键问题不是能不能灭一团小火,而是能否通过公开、完整、可审查的全尺度火灾验证。
信用卡没露完整卡号,也可能被支付系统拼出一条路
一位作者复盘了虚拟信用卡被盗刷:电商账号被盗后,攻击者利用页面可见的前6后4卡号、有效期、3D Secure信息和支付网关错误回显,补全卡信息并通过免3D商户扣款。问题不在PCI DSS被攻破,而在最低合规、差异化反馈和免3D交易叠在一起,给自动化测试留下了路。普通用户要少存卡、低额度、异常短信后立刻停卡;支付和风控团队要盯住错误回显、验证接口和免3D商户的联动风险。
Flock 摄像头被套上垃圾袋:监控技术最难的不是安装,是退出
俄亥俄州代顿市用黑色垃圾袋遮住 Flock 车牌识别摄像头,原因不是设备坏了,而是市方在移除前要先确认数据是否还在采集、是否外流、合同能不能立刻终止。和此前误报逮捕令、多州设备遭破坏相比,这条线索把 Flock 争议从“技术是否可信”推进到“城市是否还握有控制权”。
警员用车牌识别系统追踪前任,真正的问题是权限太顺手
美国司法研究所梳理媒体报道发现,近年全美至少14起警员涉嫌滥用自动车牌识别系统,追踪伴侣、前任或陌生人,多数发生在2024年以来。它不是官方全量统计,只能说明被媒体看见的部分,但已经暴露出一个硬问题:持续记录公众行动轨迹的系统,太容易被基层执法者拿来满足私人欲望。对城市采购者和隐私关注者来说,重点不再是“装不装摄像头”,而是权限、留痕、审批和数据保留怎么被写进制度。