安全资讯 第6页
聚合当前分类下的最新内容,按时间顺序查看第 6 页精选文章。
Meta 的 AI 客服没被黑,但 2 万个 Instagram 账号差点被流程送走
Meta 向缅因州提交的通知显示,一个与 AI 支持工具相关的密码重置漏洞,可能让最多 20,225 个未启用 2FA 的 Instagram 账号遭到未授权访问。漏洞不是 AI 模型被攻破,而是系统没有核验重置邮箱是否匹配原账号邮箱,导致重置链接可能被发到攻击者提供的邮箱。真正该盯的不是聊天机器人会不会答错,而是平台把账号恢复这种高风险流程自动化后,谁来守住身份校验这道门。
Cypherpunk Library:一个不卖、也尽量下不了架的加密老书架
Cypherpunk Library 做了一个个人整理的公共领域文本书架,核心姿态是“Nothing for sale, nothing to take down”。它不是商业书店,也不等于盗版库;它把公版文本自托管,把非公版资料指向 Anna’s Archive、LibGen 和 torrents。真正值得看的不是书单规模,而是它重新提醒了 cypherpunk 的老问题:隐私、现金、加密和知识分发,谁来控制。
第1000起泄露之后:为什么 HIBP 还在替企业先提醒用户
Troy Hunt 将第 1000 起数据泄露录入 Have I Been Pwned。更关键的问题不是数字本身,而是 Carnival、Zara 等案例里,数据已经公开扩散,用户却隔了数周才被正式通知。合规披露并不等于及时知情,企业更常先处理法律风险,而不是先帮用户降低被钓鱼、冒用和欺诈的风险。
2026年网络攻击盘点:最麻烦的不是丢数据,而是基础信任被打穿
TechCrunch盘点了2026年至今破坏性较强的一批网络安全事件,受影响对象包括美国社保数据疑云、欧洲水电设施、美国水务系统、FBI非机密网络、教育平台、开源工具链和身份文件库。核心变化是,攻击后果正在从“数据外泄”扩大到企业停摆、考试受阻、基础设施承压和身份认证失效。对企业管理层和开发团队来说,网络安全已经不只是合规成本,而是业务连续性和供应链选择问题。
百万美元 AI 枪支检测没报警:学校买到的是安全,还是免责凭证
纳什维尔 Antioch 高中枪击案幸存学生起诉 Omnilert,称学区花超 100 万美元部署的 AI 枪支检测系统未能识别枪手手枪。争议不只是识别准不准,而是厂商营销、部署条件和失败责任有没有讲清。对 AI 安防采购者来说,接下来该看的不是宣传页,而是失败边界、验收标准和责任条款。
100千瓦降到10瓦:WDGG传输线被盗割,暴露地方广播的脆弱点
肯塔基州 Ashland 牌照的 93.7 WDGG(FM)“The Dawg”主传输线被盗割,100,000W 主 FM 信号停播,目前只能靠备用发射机和辅助天线以约10W低功率播出。 这起事件的重点不只是盗铜,而是一个地方电台在传输线、备件、塔工、保险和站点防护上的真实压力。 对广播经营者和工程人员来说,最该复盘的是:关键馈线有没有替代路径,特殊线缆能不能快速采购,停播损失是否真能被保险覆盖。
OpenAI 推出 Lockdown Mode:降低提示注入风险,但不是安全万能键
OpenAI 正在向自助 ChatGPT Business 账户和符合条件的个人账户推出 Lockdown Mode,用关闭部分联网、网页检索和代理能力的方式,降低敏感数据外泄风险。它不是对提示注入的彻底修复,OpenAI 也明确说开启后仍可能受影响。对企业安全和合规团队来说,关键不是要不要追新功能,而是把敏感任务从高权限工作流里拆出来。
Meta确认Instagram AI找回漏洞:至少20225人被通知,问题卡在账号恢复权限
Meta向缅因州总检察长办公室提交的通知显示,Instagram的AI辅助账号找回系统被滥用,至少20,225名用户被通知受影响,其中缅因州30人。攻击者可让系统把验证码或重置链接发到自己控制的邮箱,前提包括目标账号未开启双因素认证。关键问题不是AI聊天机器人会不会胡说,而是账号恢复链路没有卡死邮箱与账号的绑定校验。
五角大楼把以色列反情报风险升至最高:美以裂缝先从决策安全感开始
NBC称,五角大楼下属DIA近期把以色列相关反情报风险上调至最高“critical”,消息源为两名现任美国官员和一名前官员。白宫和以色列均否认,五角大楼与ODNI未正面确认,报道也没有公开具体触发事件。关键不在盟友是否互相监听,而在美以围绕伊朗战争目标分叉后,情报同盟开始暴露利益边界。
GOG 邮件误用双写符文道歉:真正失控的是发送流程
GOG 在 6 月 5 日推广《The End of the Sun》的邮件中使用双写 Sowilō 符文,因外观联想到纳粹党卫军 SS 符号而道歉。 Sowilō 本身有“太阳”含义,也符合游戏的斯拉夫神话背景;争议焦点是双写、字体渲染和邮件语境。 更关键的是,GOG 称发送前已注意到德国地区风险,却仍向其他地区发送,这暴露的是跨地区内容审核和发布拦截失灵。
Benn Jordan 转向反监控调查:他怀念的不是旧设备,是用户还能做主
The Verge 的问答写的是 Benn Jordan 的近年转向:从 Flashbulb 音乐人、Benn and Gear 设备评测者,变成更关注科技与网络安全调查的 YouTuber。重点不在他换了兴趣,而在他把合成器评测里的拆解习惯,用到了摄像头、智能屏、机器狗和城市监控系统上。对普通用户来说,买智能设备不能只看功能和价格,还要看能不能本地控制、少追踪、少广告、出问题后厂商怎么回应。
智能电视成住宅代理出口:AI 抓取经济把手伸进了客厅
Include Security 披露,Bright Data 通过嵌入消费级 App 的 consent SDK,把手机、智能电视等设备接入住宅代理网络,用于包括 AI 数据抓取在内的大规模网络访问。 争议不该只停在“用户有没有点同意”。更关键的是,家庭 IP、带宽和含糊授权,正在被包装成可出售的网络基础设施。 对普通用户来说,最现实的动作是少装不必要的免费电视 App,看到“使用设备资源和 IP”这类授权要停一下;对 App 开发者和平台方来说,SDK 披露、带宽预算和退出机制会变成更难绕开的审查点。
GrapheneOS 被年龄验证标记?隐私手机正在变成合规系统的疑点
GrapheneOS 论坛用户转述 Reddit 讨论和 Imgur 截图,称年龄验证服务 Yoti 据称会标记运行 GrapheneOS 的设备,并报告给执法机构和安全团队;目前这仍是用户爆料,不是官方确认。真正刺眼的是:一个安全与隐私强化系统,可能在身份验证流程里被当成风险变量。对技术用户和普通用户来说,问题已经不是换不换系统,而是以后能不能不用“足够普通”的设备过关。
micropython-wasm:Python 插件沙箱摸到正路,但还不能托付生产
Simon Willison 发布 alpha 包 micropython-wasm:把 MicroPython 编译进 WASM,再用 wasmtime 嵌入 Python 应用,已接入 Datasette Agent 插件。它解决的是 Python 插件和 Agent 代码执行里最棘手的一层:怎么让第三方代码能跑,但别拿到完整权限。方向值得看,但现在仍是个人原型,不是经过审计的生产级安全边界。
OpenAI 给 ChatGPT 加了“断网模式”,代理时代的安全补课来了
OpenAI 推出 Lockdown Mode,通过限制联网、外部服务、Agent mode、Deep research 等能力,降低提示注入造成的数据外泄风险。它不是隐私模式,也不是万能防护,而是承认一个现实:AI 越像代理,越要先学会把出口关小。
ChatGPT Lockdown Mode 上线:它关的不是提示注入,而是数据外传口
OpenAI 已开始向符合条件的 Free、Go、Plus、Pro 个人账户,以及自助版 ChatGPT Business 账户推出 Lockdown Mode。它限制的是可能传出敏感数据的出站网络请求,不是清除提示注入本身。真正重要的判断是:这类确定性边界,比让模型自己判断恶意指令更可靠;也反向说明默认模式不能被当成高保证的数据外泄防线。
Creative 这台蓝牙音箱,为什么能被刷成攻击电脑的键盘
研究人员发现,Creative Sound Blaster Katana V2X 可在未配对、未认证的蓝牙范围内被刷入自定义固件,再通过 USB HID 冒充键盘向 Windows 主机输入命令。它不是互联网远程攻击,攻击者必须靠近音箱;但它暴露了一个更现实的问题:主机信任外设,外设自己的更新入口却未必同样受控。Creative 经 CERT Singapore 介入后回应称不认为这是漏洞,这不等于风险已被修复。
702条又卡住了:美国无证监控权力碰上了政治不信任
美国参议院以52比47否决FISA第702条三年续授权方案,距离6月12日到期只剩一周。真正卡住谈判的,不只是隐私改革分歧,还有特朗普让无安全许可的Bill Pulte出任代理国家情报总监人选后,国会对监控权力被政治化使用的担忧。
IBM 被前高管指控隐瞒入侵:安全巨头真正怕的是账本不清
前 IBM 威胁情报副总裁 William Barlow 在一份近期解封的诉讼中指控,IBM 及旗下 Trusteer、Truven 在 2010 年代遭外国黑客入侵后未充分披露。案件尚未被法院认定,司法部也未介入;但诉状提到的 APT 10、五眼警告、5.6 万次潜在入侵和日志缺失,把问题推向了供应商可信度。对政府采购和企业 CISO 来说,重点不是立刻判 IBM 输赢,而是重新审查安全供应商的日志留存、事件披露和合同审计条款。
ICE 想把扫脸工具交给地方警察,边境正在被搬到街头
404 Media 通过 FOIA 文件披露,ICE 计划把 TFM App 开放给 287(g) 项目下的地方执法机构,用人脸识别核验身份和移民状态。文件显示它会比对 DHS、国务院等超过 2.5 亿条记录,潜在覆盖 32 个州、2 个美国属地的 1,220 个参与机构,但尚未证实已全面推出。真正的问题不是多了一个 App,而是联邦移民执法被技术接口下沉到地方警务现场。
美国公民返美手机被扣:边境搜查的风险不只在入境那一刻
明尼苏达劳工组织者、美国公民 Janette Zahia Corcelius 从欧洲返美时被 CBP 问询,政治材料和手机被扣押;截至起诉时,手机仍未归还。争议焦点不是所有旅客都会被查手机,而是边境手机搜查是否正在被“国家安全/反恐”叙事推向政治活动者。对经常出入美国边境的人来说,现实风险是:人能回国,设备和数据可能被留下。