安全资讯 第3页
聚合当前分类下的最新内容,按时间顺序查看第 3 页精选文章。
76名安全专家反对白宫限制Anthropic模型:别把AI防御工具先锁起来
76名网络安全专家要求白宫撤销对Anthropic Fable和Mythos的出口管制,理由是禁令会削弱防御方发现漏洞、修补代码和编写测试的能力。 政府给出的理由是国家安全,但具体依据没有公开;争议焦点是一份未公开的Amazon研究论文是否足以证明Fable被真正越狱。 这件事的关键不在AI模型要不要护栏,而在高能力模型的限制规则能否透明、可验证,并避免先伤到合规防御团队。
把网络安全课搬进派对:404 Media 播客里的 OPSEC 新实验
404 Media 最新一期播客邀请数字安全培训师 Imani Thompson,讨论 Cache Me Outside、去 Google 化派对和“自我 doxxing”rave。真正重要的不是这些活动有多酷,而是它们把隐私教育从孤立教程搬进了有信任关系的社区场景。平台把监控做成可爱产品和打卡机制,用户要摆脱依赖,也需要同样具体、可参与的替代路径。
NewCore 融资 6600 万美元:AI Agent 真上岗,身份系统先被考验
NewCore 从隐身模式发布,拿到 6600 万美元种子轮融资,投后估值 3 亿美元,主打为企业里的 AI agents 建立可认证、可授权、可撤销的身份系统。它押中的不是融资故事,而是一个更硬的问题:当 agent 被当成数字员工使用,企业 IAM 会不会先扛不住。NewCore 说中了真痛点,但还没证明自己能赢过 Okta、Microsoft Entra 这类旧平台。
英国拟禁16岁以下用主流社媒,真正难题是怎么验年龄
英国政府计划禁止16岁以下儿童使用Snapchat、TikTok、YouTube、Instagram、Facebook和X,WhatsApp、Signal等消息应用不在覆盖范围内。新规还会限制未成年人在网游、直播和AI伴侣聊天里的部分互动。它的核心不只是封几个App,而是把年龄验证推到儿童上网入口前面。
curl 2026 年 7 月暂停漏洞报告:开源安全值班表写不下去了
curl 项目将在 2026 年 7 月暂停接收和处理漏洞报告,HackerOne 和安全邮箱都暂停,8 月 3 日恢复;GitHub issue 和 PR 不受影响。 付费支持合同用户仍可获得完整服务,curl 8.22.0 发布顺延至 2026 年 9 月 2 日。 我的判断:这不是放弃安全责任,而是把免费维护、企业依赖和商业服务的边界摆到了明面上。
FBI 在亨茨维尔造了一座“假小镇”,网络安全训练开始离开纯软件沙盒
FBI 去年在美国阿拉巴马州亨茨维尔开放 Kinetic Cyber Range:一座约 2.2 万平方英尺的仿真小镇,用来训练和研究网络攻击场景。 它的重点不是“造城”,而是把便利店、加油站、医院、住宅和数据中心接进同一套演练环境。 这说明网络安全训练正在从虚拟机攻防,转向更接近关键基础设施的物理—数字联动演练。
英国拟禁16岁以下用社交媒体:儿童保护走到年龄门槛前
英国首相斯塔默据报将在周一演讲中披露未成年人社交媒体禁令,但政策尚未正式宣布,也不是已生效法律。 拟议方向是禁止16岁以下儿童使用广泛社交平台,并限制陌生人聊天、深夜刷屏、浪漫和性聊天机器人等功能。 我的判断是:英国更像是在儿童安全压力下复制澳大利亚模式,真正难题会落在年龄验证、隐私成本和执行效果上。
本田思域车机疑信任 AOSP test key:USB 漏洞背后,是量产安全纪律掉线
研究者发现,第十代本田思域车机 USB 更新链路疑似信任公开 AOSP test key;攻击者在能接触车内前置 USB 口、且车机有电的条件下,可能伪造更新包获得车机任意代码执行。它目前不是远程攻击,也没有证据证明可接管动力、制动或转向。真正刺眼的是:量产车机的更新信任链里,可能还留着消费电子时代早该清掉的测试钥匙。
美国商务部禁用统计“噪声注入”:更准确的名义下,普查数据可能更难用
美国商务部命令人口普查局和经济分析局在统计产品中禁用“噪声注入”,并要求优先使用粗化,抑制只能作为最后手段。它不是美国全面禁止差分隐私,但会削弱差分隐私等现代披露控制工具的使用空间。真正的风险是:官方统计仍要保密,却少了关键工具,数据可能变得更粗、更难用,或更容易暴露个体信息。
FBI造了一个假小镇:网络安全开始按真实灾难训练
FBI在阿拉巴马亨茨维尔建了一个2.2万平方英尺的封闭仿真小镇,用真实设备、隔离网络和200多台服务器训练执法人员。重点不在造景,而在网络攻击已经会拖垮医院、电力、企业和城市服务。训练是正道,但数字取证依赖未披露漏洞,也把政府破解能力的边界问题推到了台前。
AI 安全智能体在 FFmpeg 找到 21 个零日:真正变化是 PoC 成本降到约 1000 美元
depthfirst 称,其自主安全智能体在 FFmpeg 中发现 21 个零日漏洞,其中 8 个已分配 CVE,部分问题潜伏 15 至 20 年以上。更关键的是,它声称用约 1000 美元成本生成可复现 PoC,并验证了部分漏洞可达性。现在还不能把 21 个漏洞都视为已独立完整验证,也不能说它们都可 RCE,但自动化审计的成本线确实被压低了。
Palantir瑞士败诉:安全科技公司不能只躲在保密条款后面
据FT标题页可见信息,Palantir在针对一家瑞士调查性杂志的法律挑战中败诉;正文细节受限,不能补写法院名称、判决理由、赔偿金额或报道内容。真正值得看的是,政府数据与安全技术公司遇到调查报道时,商业保密和公共监督的边界怎么划。对采购方、媒体和纳税人来说,这不是产品口碑问题,而是公共权力外包后的问责问题。
Apple 用 Swift 重写 C 字体解释器:13% 提速背后,真正关键是安全迁移
Apple 将 TrueType 字体 hinting 解释器从 C 重写为内存安全的 Swift,已用于 2025 年秋季系统发布,并称平均比旧 C 实现快 13%。这不是“Swift 全面赢过 C”,而是一个安全关键、性能敏感、兼容包袱很重的老组件迁移案例。最该看的是测试规模、像素级兼容和性能优化路径,而不是语言口号。
Google 起诉 Outsider Enterprise:AI 让短信钓鱼变成订阅制生意
Google 起诉名为 Outsider Enterprise 的疑似中国网络犯罪网络,称其用 AI、短信群发和仿冒网站模板,大规模冒充 Google 及电信、金融、政府、零售服务。 更值得警惕的不是单个假网站,而是钓鱼诈骗正在被做成订阅软件:模板、域名、短信通道、目标名单和变现分工被平台化。 对普通用户来说,短信验证码不再只是安全门槛,也可能成为被实时接管账户的入口。
FISA 702 今夜到期,但美国监控真正的节点在 2027 年 3 月
美国国会未能赶在 2026 年 6 月 12 日午夜前延长 FISA Title VII/Section 702,但现有 FISA 法院认证有效至 2027 年 3 月,相关监控不会立刻停摆。 争议的核心不是美国是否“今晚失明”,而是政府能否继续无令状查询被附带收集的美国人通信。 对关注美国科技政策、隐私监管和企业合规的人来说,短期义务大体不变,真正要盯的是国会改革条款、服务商法律挑战和 2027 年 3 月这个硬节点。
Oracle PeopleSoft 高危零日遭勒索组织利用:高校成主要目标,临时缓解还不够
ShinyHunters 已利用 Oracle PeopleSoft 零日漏洞 CVE-2026-35273 攻击约 300 个端点,涉及约 100 家用户组织,但这不等于全部已确认被攻破。真正的风险在于:这是 CVSS 9.8 的远程 SSRF 漏洞,已被勒索组织规模化用于数据窃取,而 Oracle 目前仅发布临时缓解措施,尚未完整修补。
恶意软件把武器文本塞进代码:AI 拒答可能变成安全扫描盲区
据 John Scott-Railton(jsrailton)转述的 SocketSecurity 案例,有间谍软件把核武器、生物武器相关文本混入样本,目的更像是诱发 LLM 拒答,而不是传播武器知识。 真正的风险不在这些文本本身,而在安全扫描系统如果把“拒答”当成分析终点,攻击者就多了一个逃逸面。 对 AI 安全和恶意软件检测团队来说,关键动作是重做拒答后的处置流程,而不是简单要求模型更敢答或更会拒。
Google 起诉被指来自中国的诈骗网络:AI 短信钓鱼开始打基础设施战
Google 起诉名为 Outsider Enterprise 的网络,称其在诈骗活动中使用 AI,冒充 Google 等品牌发送短信,窃取密码和信用卡信息。关键不只是 AI 会写诈骗话术,而是短信、假网站、域名和运营商通道正在被打包成一套诈骗基础设施。能不能压住这类攻击,要看 Google、运营商和执法部门能否拆掉域名和分发链路,而不只是封号码。
Google 起诉钓鱼即服务团伙:Gemini 被拿去把诈骗做成模板工厂
Google 指控 Outsider Enterprise 通过 Telegram 提供“钓鱼即服务”,还指导诈骗者用 Gemini 批量生成仿冒网站和短信诈骗页面。案件涉及约 9000 个假网站、100 万个 URL,以及超过 250 万条发给 Android 用户的短信。真正刺眼的不是“坏人也用 AI”,而是通用大模型正在把低技术诈骗做成低成本流水线。
FCC 想给电话加 KYC:反诈别变成通信准入审查
FCC 正在征求意见,考虑强化语音服务商 KYC 规则;这还不是正式实施,但可能影响预付费 SIM、第三方销售渠道和普通电话开户。诈骗电话确实该治,问题是这套方案把成本压给守法用户,尤其是依赖预付费电话和匿名通信保护安全的人。接下来最该看三件事:KYC 范围、记录保存期限、按通话计罚会不会逼运营商过度审核。
Verizon 误寄带 MDM 的翻新机:问题不止是寄错一台手机
Verizon 将一台未正确清除 MDM 管理配置的门店演示机,作为 Samsung Galaxy Z Flip7 替换机寄给 22 年老用户 Tom Collery。设备随后疑似因 MDM 策略或远程指令被重置,用户称联系人、信息、照片、视频和文件被清空。更该追问的是:运营商翻新机在回收、擦除、MDM 解绑和出库复核上,是否有可审计的流程。