安全资讯 第21页

聚合当前分类下的最新内容,按时间顺序查看第 21 页精选文章。

AI 找洞进入真实代码:新一代“脚本小子”风险变了
安全 2026/4/28

AI 找洞进入真实代码:新一代“脚本小子”风险变了

DARPA AIxCC 的关键事实是:AI 工具在 5400 万行真实代码里,不只找出多数人工植入漏洞,还挖出十多个未植入的真实漏洞。Claude Mythos 加重了安全圈的担忧,但它不是唯一原因;真正的变化是漏洞发现、理解和组合攻击的门槛在一起下降。对安全团队来说,重点不是追热点模型,而是补上资产盘点、漏洞排序、补丁验证和披露响应的速度差。

AI 漏洞发现DARPA AIxCC网络安全
GTFOBins 不是漏洞清单,它照出的是 Linux 权限治理的旧账
安全 2026/4/28

GTFOBins 不是漏洞清单,它照出的是 Linux 权限治理的旧账

GTFOBins 是一个公开知识库,整理 Unix/Linux 常见二进制工具在特定权限配置下可能具备的 Shell、文件读写、上传下载、权限提升、库加载等能力。它提醒的不是“某个命令有毒”,而是 sudo、SUID、capabilities、镜像和流水线权限组合后会放大风险。对 Linux 运维、云平台和安全团队来说,重点不是禁工具,而是盘点授权、收紧默认能力、审计合法工具的异常使用。

GTFOBinsLinux权限提升
多伦多首例 SMS Blaster 案:车后箱里的伪基站,把短信信任撬开了
安全 2026/5/8

多伦多首例 SMS Blaster 案:车后箱里的伪基站,把短信信任撬开了

多伦多警方逮捕3名涉嫌使用 SMS blaster 的男子,称这是加拿大已知首例此类案件;设备被装在车后,从市中心向数万台设备推送钓鱼短信。真正要紧的不是诈骗短信又换了话术,而是旧2G网络和移动伪基站把城市通信变成了可移动攻击面。

SMS Blaster伪基站钓鱼短信
美国消费者被社交媒体诈骗卷走21亿美元:平台入口的账,该算了
安全 2026/4/28

美国消费者被社交媒体诈骗卷走21亿美元:平台入口的账,该算了

FTC 报告称,2025 年美国消费者报告的社交媒体诈骗损失达 21 亿美元,相关损失增长 8 倍,并超过短信、邮件等接触渠道。更关键的变化是,诈骗正在贴着社交平台的广告、推荐和关系链生长。对重度社媒用户来说,最危险的不只是陌生私信,而是看起来像正常广告、正常社群、正常关系的入口。

社交媒体诈骗FTC21亿美元损失
许泽伟已被引渡至美国:这起涉华黑客案为何是一个关键节点
安全 2026/4/28

许泽伟已被引渡至美国:这起涉华黑客案为何是一个关键节点

许泽伟已从意大利被引渡至美国,目前羁押在得州休斯敦;其意大利律师称,引渡发生在周六。美方指控他是中国国家安全部承包商,并与张宇共同针对美国高校窃取新冠相关研究,还被指参与 Hafnium / Silk Typhoon 相关的 Microsoft Exchange 攻击。此案的重点,是美国把一类长期停留在起诉书、制裁名单和外交声明里的网络归因,推进到可开庭审理的阶段。

许泽伟网络攻击引渡
Scratch 的 SVG 漏洞史:补丁越厚,边界越薄
安全 2026/4/28

Scratch 的 SVG 漏洞史:补丁越厚,边界越薄

Scratch 多年来反复修补用户上传 SVG 带来的 XSS、HTTP 泄露和页面样式污染,到 2026 年仍有未修复入口被披露。核心问题不是 DOMPurify 失手,而是 Scratch 会解析攻击者控制的 SVG,并短暂插入主 document 做测量等操作。对 UGC 平台来说,继续加过滤规则只是止血;真正该改的是隔离边界。

ScratchSVG漏洞XSS
macOS 27 网络兼容性预警:旧 Time Capsule、AFP NAS 与企业 MDM 服务器要先体检
安全 2026/4/28

macOS 27 网络兼容性预警:旧 Time Capsule、AFP NAS 与企业 MDM 服务器要先体检

Apple 已提前放出两类 macOS 27 网络兼容性预警:AFP/Time Capsule 支持可能退场,部分企业服务器连接可能被要求满足更高 TLS 与 ATS 标准。真正受冲击的不是大多数家庭 Wi-Fi 或普通网页访问,而是仍依赖旧网络存储、AFP 备份,以及 MDM、自动设备注册、应用分发和软件更新基础设施的环境。判断很直接:这不是一次功能升级,而是一场存量设备和企业运维债务清算。

macOS 27Apple网络兼容性
Trenchant 员工被控售俄黑客工具:政府级漏洞市场最怕内部人
安全 2026/4/27

Trenchant 员工被控售俄黑客工具:政府级漏洞市场最怕内部人

404 Media 的 Joseph Cox 采访 TechCrunch 记者 Lorenzo Franceschi-Bicchierai,梳理了 Trenchant 前员工 Peter Williams 被指私下向俄罗斯公司出售黑客工具的案件。更要紧的是,相关工具疑似流向俄罗斯政府,并可能与中国犯罪团伙使用的攻击有关,但公开证据还不能把所有链条钉死。这个案子刺中的,是零日漏洞和政府间谍软件市场最难管的一环:高保密、高价格、高信任,一旦遇到内部人私售,防线会从合同里漏出去。

政府级漏洞利用工具Trenchant黑客工具外流
UL标志被AI和低价硬件追着跑:第三方安全认证还能刹住车吗
安全 2026/4/27

UL标志被AI和低价硬件追着跑:第三方安全认证还能刹住车吗

UL Solutions CEO Jennifer Scanlon在访谈中解释,UL安全认证已从电气防火扩展到锂电池、物联网和AI嵌入式产品。真正的变量不是UL这个Logo还权不权威,而是保险、法规、平台、采购和诉讼能不能继续把安全成本压回产业链。AI和低价硬件正在制造一个新问题:产品迭代比认证和监管快得多。

UL Solutions安全认证第三方认证
Mercor 4TB数据疑似外泄:AI外包工的声音,成了不能重置的风险
安全 2026/4/27

Mercor 4TB数据疑似外泄:AI外包工的声音,成了不能重置的风险

2026年4月4日,勒索组织 Lapsus$ 声称发布 Mercor 约4TB数据;泄露样本索引显示,数据涉及逾4万名AI外包人员。危险不只在规模,而在护照或驾照扫描、自拍视频、安静环境朗读语音被绑在同一条身份链上。声音不能像密码一样重置,AI训练红利由平台拿走,生物识别外泄的长期账单却可能落到承包者身上。

数据泄露MercorLapsus$
Itron 被黑:上亿水电气入口联网后,安全不能只等事后披露
安全 2026/4/27

Itron 被黑:上亿水电气入口联网后,安全不能只等事后披露

Itron 向 SEC 披露,4 月中旬遭网络攻击,入侵者进入部分内部系统,现称已被驱逐。公司服务水、电、气等能源管理,联网公用事业仪表覆盖超过 1.1 亿家庭和企业,目前未发现客户托管系统有未授权活动。真正该盯的,是关键基础设施供应商把入口联网之后,安全透明度能不能跟上连接规模。

Itron网络攻击关键基础设施
Stuxnet 之前五年,fast16 已经把刀伸向了计算结果
安全 2026/4/27

Stuxnet 之前五年,fast16 已经把刀伸向了计算结果

SentinelLABS 披露的 fast16 可追溯到 2005 年,早于 Stuxnet 至少五年;它面向 Windows 2000/XP,通过 Lua 载体和 boot-start 文件系统驱动,在内存中定向补丁高精度计算软件。真正危险不在偷数据,而在污染计算结果:系统继续运行,答案却被悄悄改写。归属仍需克制,fast16 只是在 ShadowBrokers 泄露的 NSA 相关去冲突清单中出现过名称,不能直接坐实来源。

fast16网络破坏SentinelLABS
fast16 提前了工业网络战时间线:比炸设备更麻烦的是改结果
安全 2026/4/27

fast16 提前了工业网络战时间线:比炸设备更麻烦的是改结果

SentinelOne 披露的 fast16 疑似编译于 2005 年 8 月 30 日,早于公众熟悉的 Stuxnet 破坏行动。它不以炸毁设备为目标,而是篡改工程与核相关仿真软件的浮点计算结果。真正该警惕的,是关键系统还在正常运行,专家却可能相信了被污染的答案。

fast16网络战Stuxnet
Claude 代理 9 秒删库:PocketOS 事故真正暴露的是生产权限失控
安全 2026/4/27

Claude 代理 9 秒删库:PocketOS 事故真正暴露的是生产权限失控

PocketOS 创始人称,Cursor 中运行的 Claude Opus 4.6 在处理 staging 任务时,通过 Railway GraphQL 的 volumeDelete 删除了生产数据库卷及同卷备份。公司目前只能先恢复到三个月前数据,受影响的是依赖 PocketOS 运营的租车公司。更该追问的不是“AI 又闯祸”,而是模型约束、API 权限、备份隔离三层防线为什么同时失手。

生产权限失控AI 编程代理PocketOS
GoDaddy误转27年老域名:真正危险的是保护失灵后没人能纠错
安全 2026/4/27

GoDaddy误转27年老域名:真正危险的是保护失灵后没人能纠错

据Anchor Hosting作者转述,GoDaddy把一个使用27年、开启双重2FA并购买Full Domain Privacy and Protection的域名,转入了陌生人账户,导致该组织及各地分会的网站和邮件中断数日。审计日志显示转移由“Internal User”操作,且“Change Validated: No”,这更像账户恢复、内部转移和争议处理链路同时失灵。对企业IT和组织管理者来说,核心域名不能只托付给注册商的保护产品,必须有独立备份、审计材料和应急切换方案。

GoDaddy域名安全流程失控
特朗普把记者晚宴安保事件,接到了白宫宴会厅项目上
安全 2026/4/28

特朗普把记者晚宴安保事件,接到了白宫宴会厅项目上

白宫记者协会晚宴常用场地华盛顿希尔顿发生持枪者试图闯入事件,现场有政府高官和数百名记者。特朗普没有只谈安保复盘,而是在记者会和 Truth Social 上把它变成白宫大型宴会厅项目的理由。真正要看的不是枪手细节,而是一次安全事件如何被用来推动一个已被法院叫停、且有捐助者争议的公共工程。

白宫记者协会晚宴特朗普安保事件
GnuPG 2.5.19 发布:后量子支持在推进,2.4 退场更紧迫
安全 2026/4/26

GnuPG 2.5.19 发布:后量子支持在推进,2.4 退场更紧迫

GnuPG 2.5.19 已于 2026 年 4 月 24 日发布,继续把 Kyber/ML-KEM/FIPS-203 后量子加密支持推进到 2.5 主线,并改进 64 位 Windows 支持。它更像 2.6 稳定线前的迁移版本,不是一次激进改版。对维护者来说,真正要排期的是 2.4 系列约两个月后 EOL,以及现在该不该把测试环境切到 2.5.19。

GnuPG 2.5.19后量子加密Kyber
Headspace 删除后又回到 iPhone:更像苹果同步异常,别急着说成安全绕过
安全 2026/4/26

Headspace 删除后又回到 iPhone:更像苹果同步异常,别急着说成安全绕过

多名用户在 Hacker News 和 Reddit 反馈:Headspace 删除后又出现在 iPhone 上,且有人称已关闭 App Downloads 和 App Updates。现有线索更像 App Store、iCloud 或 Apple ID 同步链路异常,不足以证明 Headspace 绕过了 iOS 安装控制。对普通用户,最有用的动作是核对账号与自动下载设置,并记录复现时间、系统版本和 App Store 地区。

iOS 安装控制HeadspaceApp Store
欧盟年龄验证:儿童保护之外,真正要盯的是数字身份入口
安全 2026/4/26

欧盟年龄验证:儿童保护之外,真正要盯的是数字身份入口

欧盟正在推动一套可供成员国复用的年龄验证工具箱,卖点是少暴露身份,只证明用户是否成年。问题不在测试版 mock-up 有几个漏洞,而在 DSA 兜底、硬件认证和钱包实现路径可能把年龄验证做成互联网入口的身份层。对产品、合规和安全团队来说,接下来要盯的不是宣传里的 ZK,而是谁能发证、谁能验机、凭证能不能被撤销和复用。

欧盟年龄验证数字身份隐私保护
Canal+ 的 Discret 11:一堵 11 位密钥撑不起的电视付费墙
安全 2026/4/26

Canal+ 的 Discret 11:一堵 11 位密钥撑不起的电视付费墙

Fabien Sanglard 复盘了法国 Canal+ 在 1980 年代使用的 Discret 11:它不是现代数字加密,而是一套用模拟延迟、11 位密钥和月度代码控制付费电视访问的系统。 它真正的短板不只是 11 位密钥太短,而是把订阅收费、低价硬件、开放广播和用户对抗塞进了一个安全余量很薄的方案。 对复古硬件读者,它是一次漂亮但脆弱的工程取舍;对今天看 DRM 的人,它提醒我们:平台保护的从来不只是内容,而是收费关系。

Discret 11Canal+电视加密
Kloak 用 eBPF 管 K8s 密钥:应用干净了,节点变重了
安全 2026/4/26

Kloak 用 eBPF 管 K8s 密钥:应用干净了,节点变重了

Kloak 是一个面向 Kubernetes 的开源 Secret 管理方案:应用配置里只放 kloak:ULID,占位符在 HTTPS 请求离开 Pod 前被替换成真实密钥。它的价值是减少应用进程、日志、崩溃 dump 里的凭证暴露;代价是把信任集中到节点侧 eBPF 拦截层。平台工程师可以试,但安全负责人不该把它当成“零风险密钥方案”。

KloakeBPFKubernetes