安全资讯 第20页
聚合当前分类下的最新内容,按时间顺序查看第 20 页精选文章。
FastCGI 30岁:HTTP 反代的老坑,不能只靠熟练工补
FastCGI 规范发布于 1996 年,30 周年节点上重新被讨论,焦点不是怀旧,而是反向代理到后端这段链路该不该继续默认用 HTTP。HTTP/1.1 的报文边界歧义和可信头混用,已经多次变成 desync / request smuggling 风险,近期 Discord media proxy 漏洞只是一个提醒。FastCGI 不适合替代公网 HTTP,也不是银弹;它更像一面镜子,照出内部协议选择里被低估的信任边界成本。
Claude Mythos 被关进小圈子:危险是真的,贵也是真的
Anthropic 没有把 Claude Mythos Preview 做成常规发布,而是通过 Project Glasswing 只开放给约 40 家受审机构,并承诺最高 1 亿美元 credits 给防御方先用。安全理由站得住:它被描述为具备发现并利用零日漏洞的能力;但新线索也把成本、算力和产品成熟度推到台前,说明“太危险所以不开放”不是完整答案。
CBP砸2.65亿美元买MQ-9B:边境无人机扩编,真正该盯住的是谁能调用
CBP计划动用超过2.65亿美元采购并维持更多MQ-9B高空长航时监视无人机,新增数量被涂黑。官方用途包括陆地和海上边境监视、非法活动侦测、灾害响应和搜救。真正敏感的地方不在机型参数,而在DHS其他未公开部门也可能借同一合同采购MQ-9,监督边界还没跟上能力扩散。
Great Ormond Street Hospital向Ferrari学交接:儿科ICU安全改进不该只靠“更小心”
Great Ormond Street Hospital团队借鉴Scuderia Ferrari的F1进站组织方式,重设计儿童术后从手术室转入ICU的交接流程。真正重要的不是“医疗向赛车学速度”,而是用人因工程把角色、顺序、清单和沟通固定下来,减少高风险交接中的错误叠加。
斯里兰卡又有62.5万美元付款失踪:漏洞不在邮箱,在政府付款链条
斯里兰卡政府披露,一笔约62.5万美元、原本应付给美国邮政署的款项失踪;几天前,另有250万美元财政部相关付款被黑客转入其他银行账户。两起事件目前被描述为独立事件,但都指向同一个硬伤:跨境公共支付的收款方核验太薄。对一个仍在从2022年债务危机中恢复的国家来说,300多万美元不是宏观灾难,却足够刺痛债权人、公众和合作方的信任。
Checkmarx 与 Bitwarden 被卷入 Trivy 攻击链:安全工具正在变成凭据跳板
Trivy 被攻破后,Checkmarx 和 Bitwarden 相继出现在同一攻击活动线索中;Checkmarx 的 GitHub 与 Docker Hub 发布渠道被用于投放恶意软件。攻击者盯上的不是单个终端,而是仓库 token、SSH key 等能继续打开下游系统的凭据。企业现在要做的不是恐慌换工具,而是压缩受影响窗口、轮换凭据、审计发布链和构建链。
OpenAI发布网络安全行动计划:AI防御要普及,边界才是关键
OpenAI Global Affairs 于 2026 年 4 月 29 日发布《智能时代网络安全》行动计划,提出五项支柱:普及网络防御、政企协调、加强前沿网络能力安全、保留部署可见性与控制权、帮助用户自我保护。重点不在于它推出了某个新安全产品,材料也没有披露预算、时间表、接口或量化效果。更像一次政策和产业站位:OpenAI 想把前沿模型能力放进政府、关键基础设施和企业安全体系,但前提是只服务可信防御者。
Meta 被欧盟初步认定违规:孩子填个假生日,就能进 Instagram
欧盟委员会初步认定,Meta 未能有效阻止 13 岁以下儿童注册和使用 Facebook、Instagram,涉嫌违反 DSA 儿童保护义务。最高约 120 亿美元只是理论罚款上限,不是已经处罚。真正的争议不是生日表单,而是平台增长激励长期压过未成年人保护。
Ubuntu 审计 Rust 版 coreutils:44 个 CVE 提醒系统编程别把安全全押给语言
Canonical 在 Ubuntu 26.04 LTS 前披露 uutils/coreutils 的 44 个 CVE,这批漏洞来自对 Rust 版 GNU coreutils 重写项目的外部审计。真正的信号不是“Rust 失败了”,而是 Rust 的内存安全优势挡不住 Unix 路径、权限、字节流和错误处理里的语义坑。
Forgejo 被展示 RCE 证据:开源代码托管不能只靠“可审计”背书
安全研究者称,2026 年 4 月 28 日,他因 Fedora 从 Pagure 迁移到 Forgejo 而审视 Forgejo,并在一晚内发现多类问题,部分可串成 RCE、密钥泄露、持久账户访问和 OAuth2 提权。 这不等于所有 Forgejo 实例都能被远程接管:原文提到 RCE 依赖开放注册和一个非默认配置项。但它足以提醒公开实例管理员和项目维护者,先降暴露面,再等官方审计与公告。
Comey 因“8647”贝壳照再遭起诉:真正危险的是谁来解释暗语
美国司法部再次起诉前 FBI 局长 James Comey,称他在 Instagram 发布的“8647”贝壳照片可能构成对特朗普的威胁。Comey 否认暴力意图,称自己以为那只是政治信息。真正的争议不在一串数字有多吓人,而在国家权力能否用最重语境读取社交媒体暗语。
GitHub 6 小时修好高危漏洞,但开源世界不能只靠它反应快
GitHub 上月修复了一个触及内部 git 基础设施的关键远程代码执行漏洞,40 分钟复现、不到 6 小时完成修复,目前没有发现被利用迹象。真正该紧张的不是“GitHub 已经失守”,而是代码托管、CI/CD、Secrets、企业版服务被压在同一个平台上后,任何一次基础设施级风险都会变成供应链风险。
12 美元、一个新域名,骗过联网 LLM 的不是冠军故事
一名作者注册 6nimmt.com,发布伪造新闻稿,再把它加进 Wikipedia 引用,虚构自己是“6 Nimmt! 世界冠军”。6 Nimmt! 是真实桌游,但作者称不存在官方世界冠军赛,自己也从未去慕尼黑参赛。更值得警惕的是:联网 LLM 的检索层,可能正在变成低成本、即时生效的信息投毒入口。
路过现场,也能被手机定位拖进搜查吗?
美国最高法院已听取 Chatrie v. United States 口头辩论,核心是警方能否用地理围栏令向科技公司索取案发地附近用户的位置数据。 这案子不该只按“破案效率”看。真正要定的是:手机时代,靠近现场能不能成为被政府批量筛查的理由。 Google 已在 2024 年调整 Location History 默认云端存储,但风险没有消失。Uber、Lyft、Snap 和大量应用仍可能保存位置数据,反向搜索也会扩展到别的数字记录。
Paragon被曝未回应意大利检方:Graphite案正在考验“道德间谍软件”叙事
据Wired Italy报道,Paragon此前承诺协助调查Graphite间谍软件攻击意大利记者和活动人士事件,但意大利检方经由以色列政府发出的正式信息请求,报道称约一年后仍未获回复。 这不等于Paragon已违法,也不能直接推定其故意阻挠调查;但它正在削弱Paragon长期主打的“更合规、更有道德”的供应商形象。 对网络安全和隐私政策读者来说,关键不只是查清一次攻击,而是商业间谍软件的审计、日志和跨境司法协助到底能不能落地。
Google要把开发者验证推向Android安装环节,侧载自由正在变窄
Google在2025年8月宣布,计划从2026年9月起要求Android应用开发者完成集中注册、提交身份信息并满足相关条件。争议点不只在Play Store,而在认证Android设备上的侧载、F-Droid和个人分发也可能被纳入验证范围。安全治理有现实理由,但如果“能不能安装”越来越取决于Google认可,Android相对开放的底层承诺就变了。
最高法院审地理围栏令:警方还能先撒网、后找嫌疑人吗?
美国最高法院正在审理 Chatrie v. United States,问题是警方能否用地理围栏令,从 Google 等公司的位置数据库里反向筛出案发地附近的人。争议核心不是 Chatrie 会不会翻案,而是第四修正案能不能约束“先搜索、后怀疑”的执法方式。外界更可能看到的是收窄规则,而不是全面禁用;真正受影响的是保存位置数据的平台、执法部门,以及每个带着手机经过敏感地点的人。
AI在OpenEMR发现38个CVE:医疗开源软件真正被考的是修复链路
AISLE称其AI安全分析器在2026年一季度于OpenEMR中发现38个CVE,占同期OpenEMR GitHub安全公告一半以上;主要修复随2月11日OpenEMR 8.0.0发布,剩余补丁在3月完成。更要紧的不是“AI会挖洞”,而是医疗机构能不能把升级、权限收敛和补丁验证做完。对维护者来说,AI适合提前发现重复型安全债,但不能替代业务权限审查和发布责任。
Scholly 创始人起诉 Sallie Mae:学生数据为何成了收购后的硬问题
Scholly 创始人 Chris Gray 起诉收购方 Sallie Mae,称自己因质疑学生数据出售和共享安排而遭非法解雇;Sallie Mae 否认关键指控,称其没有事实依据。 这起案子的关键不在创始人离职,而在奖学金工具被金融机构收购后,原有用户数据承诺是否还能兑现。 对教育科技和金融科技团队来说,收购后的数据迁移、第三方共享和未成年人信息处理,不能再当成后台小事。
TFH把Bruno Mars合作说错了,身份验证公司的信用先被验证了一次
TFH曾在4月17日活动和官网中提到Bruno Mars Romantic Tour与Concert Kit,4月22日被Bruno Mars管理团队和Live Nation联合否认。 后续信息显示,TFH与Bruno Mars及其巡演没有协议、没有关联;实际合作对象是Thirty Seconds to Mars的2027年欧洲巡演。 问题不在娱乐圈“撞名”,而在一家做身份验证的公司,先在合作核验上出了低级错。
Flo 经期数据案:最刺眼的不是泄露,而是把身体记录接进广告系统
Frasco v. Flo 案中,2025 年 8 月陪审团认定 Meta 对收集 Flo 用户敏感生殖健康数据并用于自身利益承担责任,集体诉讼覆盖约 1300 万用户。涉事数据包括月经周期、排卵、怀孕/备孕相关信息,争议时间主要在 2016-2019 年。真正要看的不是用户够不够谨慎,而是健康 App、广告 SDK 和隐私同意机制能不能被重新约束。