安全资讯 第3页
聚合当前分类下的最新内容,按时间顺序查看第 3 页精选文章。
瑞典热电厂险遭“破坏性”黑客攻击:当网络战开始瞄准锅炉、阀门和冬天的暖气
瑞典政府公开指责与俄罗斯情报和安全机构有关联的黑客,曾在 2025 年试图入侵一座热电厂并实施“破坏性”攻击,所幸被内置防护机制拦下。这件事真正让人不安的地方,不在于一次未遂入侵本身,而在于欧洲关键基础设施正在从“被骚扰”走向“可能被直接熄火”——网络攻击的目标,已经不只是数据,而是现实世界里的供暖、供电和日常生活。
美国想把“年龄门禁”装进手机系统:H.R.8250 把苹果谷歌推到未成年人保护前线
美国众议院新提出的 H.R.8250 法案,试图把“年龄验证”这件事从应用商店和社交平台,往上推到操作系统层面。它看起来像是在保护未成年人,实际上却可能重塑苹果、谷歌等系统厂商的责任边界,也把隐私、监管与技术实现之间最棘手的矛盾一下子摆到了台前。
FCC突然“放行”网件路由器:一场说不清的禁令,正在把美国家庭网络变成政策试验场
美国FCC突然给网件(Netgear)开了一张临时通行证,允许其继续向美国进口未来的消费级路由器、线缆猫和网关设备,但理由依然模糊。更尴尬的是,这项原本打着“国家安全”旗号的路由器禁令,如今看上去越来越像一场围绕制造地、而非真正网络安全的政策表演。
我想退出车牌监控系统,对方却让我去找“甲方”:Flock Safety 与隐私责任的踢皮球
美国监控科技公司 Flock Safety 最近因一封隐私请求回复引发争议:一位加州居民要求删除与自己及家人的数据,却被告知应去找购买服务的警方或机构。问题不只是这封邮件是否傲慢,而是当遍布街头的车牌识别系统把“谁在收集你的数据”变得越来越模糊时,个人隐私权可能正在被外包、切分,最后无处申诉。
30分钟攻破一家诊所系统:AI“氛围编程”把医疗数据送上了网
一位瑞士技术博主讲述了自己亲历的“AI 氛围编程”事故:一家医疗机构用 AI 代码代理匆忙搭建患者管理系统,结果把病历、录音和敏感隐私几乎裸奔在公网。它刺痛人的地方不只是安全漏洞本身,而是越来越多人把“AI 能写出来”误认为“系统就能上线”,尤其当数据是患者隐私时,这种误判的代价可能极其昂贵。
Lean 证明它没问题,结果 AI 还是挖出了漏洞:形式化验证没有失灵,只是边界露了出来
一位开发者把经过 Lean 形式化验证的 zlib 实现丢给 AI 和模糊测试器,跑了 1.05 亿次后,没有在已验证的应用代码里发现内存漏洞,却在 Lean 运行时里炸出了一个堆缓冲区溢出。这不是“形式化验证翻车”,恰恰相反,它清楚地展示了一个行业现实:证明很强,但证明永远有边界,真正危险的往往藏在你默认信任的那一层。
骗局公司最怕的不是警察,而是信用卡拒付:一场“用更多欺诈掩盖欺诈”的科技黑产案
美国一名技术支持公司老板因为拒付率太高,没去整顿诈骗业务,反而设计了一套“自己给自己刷单”的金融伪装系统,用更多假交易把真实受害者的投诉淹没。这个案子刺痛人的地方在于,它揭开了一个现实:很多网络诈骗并不靠高深黑客技术,靠的是支付链路、客服话术和平台监管缝隙的精密配合。
当 AI 开始接管邮箱和武器,真正的风险可能不是“失控”,而是“太多人都能用”
技术作者 Aphyr 最新一篇长文把 AI 安全问题说得相当刺耳:所谓“对齐”并不是护城河,反而可能只是给大模型产业争取时间的包装。更麻烦的是,今天最危险的未必是超级智能觉醒,而是一个会胡说八道、却已经被接上邮箱、代码库、支付系统,甚至半自动武器的语言模型生态。
一家SaaS被攻破,十几家公司一起挨刀:Anodot泄露事件把“云时代连坐风险”撕开了
Anodot遭入侵后,黑客不是只拿下一家公司,而是顺着认证令牌摸进十多家客户的云数据仓库,把一场单点故障演变成集体勒索。这起事件真正可怕的地方,不在于又一个SaaS厂商中招,而在于它再次证明:在云计算时代,最脆弱的地方往往不是数据本身,而是那些被默认信任的连接器、令牌和第三方服务。
Vercel 遭入侵后,真正该重看的不是云平台,而是 AI 工具拿走了多少权限
Vercel 证实发生安全事件,入口不是平台新功能本身,而是一款被攻破的第三方 AI 工具通过 Google Workspace OAuth 成了跳板。这让原本围绕“AI 时代卖云开发地皮的公司先受益”的叙事,多了一层更现实的约束:当 AI 开始深入开发和办公流程,最脆弱的地方往往不在主系统,而在那些被当作提效插件接入的工具层。
Roblox给孩子分层:这不是一次普通的账号改版,而是一场迟到的“儿童互联网”重建
Roblox宣布推出“Kids”和“Select”两类新账号,把不同年龄段的未成年人放进不同的游戏与聊天围栏里。这看上去像一次产品功能更新,但放在儿童安全诉讼、年龄核验全面铺开和平台治理承压的大背景下,它更像是Roblox对“孩子该如何上网”这个老问题,给出的一份迟到但必须交的答卷。
Rockstar再遭黑客盯上:这次官方说“没影响”,但游戏巨头的安全焦虑还远没结束
《GTA》开发商 Rockstar Games 确认遭遇第三方服务商数据泄露,并强调事件“不会对公司或玩家造成影响”,目前也没有迹象显示玩家数据被窃取。可在大型游戏公司越来越依赖云服务和外部工具的今天,这类事件真正刺痛行业的,不只是数据本身,而是供应链安全已经成了整个数字娱乐产业最脆弱的一环。
西班牙球赛一开,Docker 就拉不下来:一场反盗播封锁,正在误伤整个互联网
西班牙开发者最近发现,比赛一开始,连最基础的 `docker pull` 都可能失灵。表面上这是一起反盗版执法的技术误伤,实际上它暴露了一个更危险的趋势:当运营商和内容方用“封 IP”这种粗糙手段治理互联网时,被破坏的不只是看球盗播链路,还有云服务、开发基础设施,甚至普通人的安全设备。
当 AI 走进诊室:一场加州诉讼,把“看病隐私”重新推上手术台
加州患者起诉 Sutter Health 和 MemorialCare,指控其在未充分告知和取得同意的情况下,使用 Abridge AI 记录并处理医患对话。这起诉讼不只是隐私纠纷,更像是给医疗 AI 行业踩下了一脚急刹车:技术能替医生省时间,但不能默认替患者放弃秘密。
当匿名发言撞上大陪审团:美国政府为何盯上一个批评 ICE 的 Reddit 用户
这不是一起普通的平台取证事件,而是一次对“匿名政治表达”边界的正面试探。相比公开传票,动用大陪审团意味着政府把一场原本可见的法律争议,推进到了更隐秘、也更令人不安的轨道上。
美国国会又到“监控续命”时刻:FISA 702 能补上后门漏洞吗?
美国国会正在讨论是否续期FISA第702条,这项本应用于监控海外目标的情报工具,多年来却被批评成“绕过搜查令偷看美国人通信”的后门。眼下最微妙的地方在于:反对者横跨进步派民主党人与自由意志派共和党,而推动“无修改续期”的力量,则来自两党高层和白宫安全机器本身。
官方页面也会下毒?HWMonitor 疑似中招,PC 玩家最信任的下载入口正在失守
一则来自 Reddit 社区的高热帖,把老牌硬件监控工具 HWMonitor 推上了风口浪尖:有用户称,从 CPUID 官方页面下载的 HWMonitor 1.63 竟然带有病毒。这件事真正让人不安的,不只是某个安装包可能被污染,而是“官方下载=安全”的朴素共识,正在被现实一点点打碎。
女儿一句“我18岁了”,父亲被Discord客服困了四周:一场未成年账号事故,暴露了平台治理的尴尬
一名美国父亲在女儿Discord账号被黑后,花了四周时间才把账号救回来,期间不仅撞上机器人客服和自动关单的“迷宫”,还发现Discord其实早已在内部把女儿识别为13至17岁用户。这个案例最刺眼的地方,不只是孩子撒了个常见的年龄谎,而是平台一边越来越积极做年龄识别,一边却没有为真实的未成年人风险建立可靠的救援通道。
裁员两次后,Anjuna 为什么还能爬起来:一家安全创业公司的止血、复盘与重建
Anjuna 的故事并不新鲜:2021 年激进扩张,2022 年市场急转直下,两轮裁员接踵而至。但它的价值在于,这家公司没有把裁员包装成“战略升级”,而是把它当成一次代价高昂的经营失误来复盘,并试图用透明和克制把信任一点点捡回来。
当警徽碰上深度伪造:一名州警如何把驾照照片变成了AI色情素材
美国宾夕法尼亚州一名州警中士承认利用州政府数据库中的驾照照片和其他偷拍素材,生成了3000多张AI色情深度伪造图片。这起案件最可怕的地方,不只是技术被滥用,而是公权力、实名数据和廉价AI工具在同一个人手里叠加后,普通人几乎毫无防备。
170万月活也救不了自己:隐私通讯应用 Session 走到生死 90 天
主打去中心化和隐私保护的通讯应用 Session 宣布进入“最后 90 天”,若无法达成募资目标,运营主体将于 2026 年 7 月 8 日停止运作。这不是一个小众项目的偶发困境,而是整个隐私科技行业长期面对的老问题:用户需要隐私,但很少愿意为隐私基础设施持续买单。