安全资讯 第2页
聚合当前分类下的最新内容,按时间顺序查看第 2 页精选文章。
Vercel承认内部系统被入侵后,客户真正该排查的是密钥、令牌和部署链路
Vercel确认部分内部系统遭未授权访问,现阶段没有证据表明平台生产服务被全面控制,也没有看到大规模客户数据泄漏被证实。新增线索真正补强的,不是“是否宕机”,而是攻击可能触到员工账号、API key、GitHub 与 NPM 令牌、内部部署访问权这些更接近供应链的位置,因此客户接下来要做的是凭证排查、权限复核和日志审计。
欧盟数字身份钱包被公开追问:年龄验证规范,离“最少暴露”还差几条硬约束
欧盟数字身份钱包一个技术规范讨论帖,把年龄验证系统里最敏感的矛盾挑明了:口头上讲隐私,规范里却还没把“不能追踪、不能留存、不能串联”写死。真正重要的不是这条 GitHub Issue 本身,而是它暴露出欧洲数字身份项目在落地阶段的老问题——原则正确,工程约束不够硬。对普通用户来说,差别就在于“证明你成年”会不会悄悄变成“记录你去过哪”。
被制裁的俄系交易所被盗 1500 万美元:这更像黑吃黑世界里的规则清算
一家与俄罗斯关系密切、已被美国制裁的加密货币交易所 Grinex 在遭遇约 1500 万美元资产被盗后暂停运营,并把矛头指向“西方特殊部门”。问题的重点不在这句政治指控真假,而在于:一个长期服务高风险资金、靠换壳续命的平台,终究还是没逃过“高风险溢价”变成真实损失。对用户来说,这不是一场地缘政治大戏,而是资产托管风险被一次性兑现。
那些没写进依赖表的库,正在决定开源安全账单该由谁来买
FOSDEM 2026 上,研究者 Vlad-Stefan Harbuz 把“幽灵二进制依赖”推到台前:很多软件实际依赖了预编译库,但这些关系既不在 package.json,也不在 pyproject.toml 里。我的判断是,这不是一个冷门的打包细节,而是开源资金分配和供应链安全里的盲区;但它短期内也不会靠一份新标准自动解决,因为语言包管理器和系统包管理器长期各管一摊。
当耳机变成窃听器:一篇老论文,为什么今天仍值得重看
本-古里安大学团队提出的 SPEAKE(a)R 展示了一种容易被忽略的风险:电脑上的普通耳机,可能被恶意软件重新配置成“临时麦克风”。它真正重要的地方,不在于攻击有多新,而在于硬件可重定义接口这类设计,长期被当成功能便利,却很少按安全边界来管理。对普通用户来说,这不是“耳机都会偷听你”,而是再一次提醒:把摄像头贴住、把麦克风静音,并不等于彻底切断传感器风险。
美国国会只给 702 法案多争取了 10 天,真正该补的洞是“买数据+后门检索”
美国国会围绕 FISA 第702条的拉锯,焦点早已不只是是否续期,而是政府能否继续在没有个别搜查令的情况下检索美国人的通信,并通过数据经纪商购买位置等敏感信息。新线索补强了两个旧稿里还不够完整的部分:其一,702即便到期,监控能力也不会立刻停下;其二,真正扩张监控边界的增量,越来越来自商业数据市场和AI分析工具,而不只是法条本身。
给 C/C++ 套上“安全壳”:Fil-C 不是银弹,却可能是遗留代码最现实的止血方案
Fil-C 的意义,不在于它能把 C/C++ 变成另一种语言,而在于它试图用更低迁移成本,把内存安全这件事往前推一步。对那些背着几十万行、几百万行遗留代码的团队来说,这类方案未必完美,却可能比“等重写”更接近现实。真正值得关注的,是它是否能在性能、兼容性和工程改造成本之间,拿出一个企业愿意试点的平衡点。
“我犯了错”背后:一次炫耀式入侵,为何让美国政府系统更难堪
这起案件最刺眼的地方,不是黑客在法庭上说了句“我犯了错”,而是他此前几乎把“我攻进了政府系统”当成社交媒体人设来经营。真正让美国政府难堪的,不只是一次入侵,而是公共数字身份体系在最基础的认证环节上,依然可能被低成本、可复制的手法撬开。对普通人来说,这不是遥远的网络安全新闻,而是医疗、退伍军人福利、报税、贷款和身份信用都可能被连带拖下水的现实风险。
Windows 漏洞公开仅两周,攻击者就开始下场:这不是一次技术争论,而是一次现实世界的压力测试
两处尚未修补的 Windows 漏洞在被公开不到两周后,已经被攻击者用于入侵组织网络。事情的核心不只是“微软修得慢”或“研究员公开得太早”,而是安全行业再次被迫面对一个老问题:当漏洞细节先于补丁流入公开空间,最先付出代价的往往不是平台公司,而是医院、学校、地方机构和人手紧张的 IT 团队。
量子计算的闹钟突然提前了:谷歌、Cloudflare冲向2029,大厂加密迁移赛跑正式变味
后量子密码迁移原本像一场漫长而枯燥的基础设施升级,如今却被谷歌和Cloudflare硬生生拉成了“提前交卷”的高压竞赛。真正让行业紧张的,不再只是“未来某天旧数据会被解密”,而是量子计算一旦越线,今天依赖数字签名维持信任的互联网本身,可能会先出问题。
黑客也开始“自动驾驶”了:AutoProber 想把芯片探针台变成 AI 的机械手
GainSec 开源的 AutoProber,不只是一个会动的 CNC 小项目,而是一套把显微镜、示波器、探针和网页控制台串起来的硬件逆向自动化栈。它真正有意思的地方在于:AI 不再只分析代码和图片,而是开始通过机器“伸手”去碰真实世界里的电路板,这既让实验室效率暴涨,也把安全与边界问题推到了台前。
一个充电宝,为什么会变成定时炸弹?Casely 再次召回背后的锂电池安全警报
美国配件品牌 Casely 再次重申对一款无线充电宝的召回,原因已经不只是“发热风险”,而是现实中发生了爆炸、机舱起火,甚至导致一名 75 岁女性死亡。它提醒我们的,不只是别买杂牌充电宝,而是整个移动电源行业在“轻薄、磁吸、快充”狂奔时,电池安全仍然是最脆弱也最容易被忽视的一环。
欧洲警方给7.5万人群发邮件:别再花钱买DDoS攻击了
欧洲刑警组织这次的动作很特别:不是只抓平台经营者,而是直接给7.5万名疑似“下单打网站”的用户发邮件和信件,明着告诉他们“我们知道你是谁”。这说明网络执法正在从“打掉黑产工具”转向“震慑整条需求链”,而DDoS这种门槛极低的攻击方式,也正在进入更精细化的治理阶段。
“远程打工人”背后的国家级骗局:两名美国人帮朝鲜潜入上百家公司,最终获刑
美国司法部日前宣布,两名美国公民因协助朝鲜政府运作“假 IT 员工”计划而分别被判 7 年半和 9 年监禁。这起案件真正令人后背发凉的,不只是 500 万美元的非法收入,而是它揭示出:在远程办公和全球化招聘时代,企业的人力系统、设备管理和国家安全,已经被一条看似普通的“外包链路”悄悄打通了。
Bluesky“半宕机”:一次攻击,把去中心化社交的软肋和希望都照了出来
Bluesky 本周遭遇持续性服务异常,官方高管将原因指向拒绝服务攻击,用户最直观的感受是:页面时而能开,时而报错,热门信息流几乎“堵车”。这件事不只是一次短暂故障,它更像一场压力测试——去中心化社交是否真比传统平台更有韧性,现在到了该拿结果说话的时候。
人人都想拦住孩子上网,可年龄验证正在把整个互联网变成“查身份证”的门口
全球范围内打着“保护未成年人”旗号推进的年龄验证,正在迅速成为互联网基础设施的一部分。但问题在于,现有方案几乎没有一个足够靠谱:要么靠 AI 猜年龄,要么上传证件,要么把审查前移到应用商店,便利、安全和隐私三者很难同时成立。
一件衣服没送到,先把隐私送上网了:Express 订单漏洞敲响零售业警钟
美国服装零售商 Express 近日被曝因网站安全漏洞,将用户订单确认页直接暴露在互联网上,姓名、电话、地址和部分支付信息都可能被他人查看。这不是一场“黑客大片”式攻击,而是更让人无力的那种低级失误:系统设计不严谨、漏洞报告渠道缺失、企业回应也不够透明,而这恰恰是当下零售业最常见、也最危险的安全短板。
AI 不再只会写代码:Codex 被研究人员带进三星电视,真的拿到了 root
这不是一篇“AI 自动黑掉电视”的夸张标题党,而是一场更值得行业警惕的实验:研究人员给 Codex 搭好操作环境、开放真实设备和匹配源码后,它一步步把三星电视浏览器里的落脚点推进成了 root 权限。真正震撼的地方不在于某个漏洞本身,而在于 AI 已经开始具备“像安全研究员一样试错、修正、再推进”的能力。
当开源撞上 AI 攻击:Cal.com 关掉代码仓库,敲响了一个时代的警钟
日程预约平台 Cal.com 宣布从开源转向闭源,理由并不复杂:AI 正在把漏洞挖掘和攻击自动化,公开代码库越来越像把保险库结构图挂在门口。这不是一家公司的技术路线调整那么简单,它折射出一个更大的行业问题——在 AI 时代,开源的透明与安全的边界,正在被重新划定。
囚室天花板上的“黑客机房”:美国监狱这场离谱漏洞,暴露的不是犯人聪明,而是系统太松
美国俄亥俄州一所监狱里,囚犯竟利用回收拆解项目拼装出两台电脑,并悄悄藏进培训室天花板接入监狱网络。这起听上去像电视剧桥段的事件,真正刺眼的地方并不是犯人的“技术天赋”,而是监狱在数字化管理时代对设备、网络和权限的控制,脆弱得超乎想象。
Windows Recall 又被撬开一道门:微软把保险库锁紧了,却忘了看送货车
安全研究员最新发布的“TotalRecall Reloaded”表明,Windows 11 的 Recall 虽然在数据库加密和 Windows Hello 认证上补了大洞,但数据一旦被合法解锁,仍可能在传输链路上被“搭车”截取。微软认为这不算漏洞,但这恰恰暴露了 Recall 最大的尴尬:它的核心风险,从来不只是加密够不够强,而是它记录的内容本身太多了。