安全资讯 第7页
聚合当前分类下的最新内容,按时间顺序查看第 7 页精选文章。
假 IT 人员走进律所:勒索攻击正在把门禁也变成入口
Google Mandiant、Google Threat Intelligence Group 与 FBI 警告,Silent Ransom Group 今年 1 月至 5 月针对数十家机构发动攻击,重点包括律所。它不只发钓鱼邮件、打社工电话,还在部分案例中派人冒充 IT 支持进入办公室,用 USB 或远程访问工具窃取数据。更值得警惕的不是“勒索软件全面线下化”,而是数据泄露勒索正在把电话、屏幕共享、远程工具和现场接触拼成一条链。
GPS 那个 176-bit 字段:公开信号里,藏着一层军事用法
伦敦大学学院安全工程教授 Steven Murdoch 分析公开 GNSS 档案后认为,GPS 的 Subframe 4, Page 17 里,一个长期看似随机的 176-bit 字段,很可能承载了美军 OTAD/OTAR 远程密钥分发的加密流量。现有材料不支持“普通用户被监听”或“民用定位被破解”的说法,真正被照亮的是全球公共基础设施里的军事控制层和信息不对称。接下来该看的不是手机导航,而是 2022 年后新格式是否代表协议或基础设施更新。
404 Media 为什么要重画 Google 内部 AI 梗图
404 Media 在 Behind the Blog 栏目披露,Emanuel Maiberg 报道 Google 员工用内部 Memegen 吐槽 AI 产品时,没有刊发信源提供的原始截图,而是用 imgflip/memegenerator 重制近似梗图。核心问题不是梗图有多尖锐,而是截图这类低信息增量素材,也可能带着可追溯线索。对媒体和爆料者来说,少露一寸,有时比多放一张原图更专业。
New Glenn 静态点火爆炸之后,佛州发射场真正要重算的是安全半径
蓝色起源 New Glenn 在卡纳维拉尔角静态点火测试中爆炸,火箭和大量发射台设施被毁,但无人伤亡。更大的意义不在事故本身,而在它给美国东部靶场提供了罕见的甲烷/液氧大型火箭爆炸实测数据,未来 Starship 在佛州高频运行能否少“清场”,要看这些数据如何进入安全模型。
Anthropic 工程师据称进驻 NSA:Mythos 正被推向情报任务边缘
《金融时报》援引匿名信源称,Anthropic 已派约半打工程师进驻 NSA,协助其在特定情报或网络任务场景中使用 Mythos。 目前没有公开证据表明 Mythos 已参与实际黑客行动,但这件事已经触到一个更硬的问题:联邦禁令和供应链风险认定仍在,NSA 是否正在用例外路径推进实战化。 对 AI 安全、网络安全和国防科技从业者来说,接下来要盯的不是模型多强,而是豁免、边界和采购合规怎么落地。
ISS新泄漏触发Dragon避险:老空间站的安全账,开始压到商业航天身上
NASA称俄罗斯舱段发现新泄漏后,短暂要求5名ISS人员进入已对接的SpaceX Crew Dragon避险,约一小时后解除程序。原文指向的是预防性安全动作,不是太空救援。真正该看的,是ISS老化、俄美协作约束,以及商业载人飞船正在变成低轨安全冗余。
国际空间站俄舱段再漏气:5名乘员进入龙飞船避险,但不是撤离
国际空间站俄罗斯 Zvezda 服务舱转接通道 PrK 出现新的空气泄漏,Roscosmos 启动比以往补丁式处理更大范围的维修。NASA 要求4名 SpaceX Crew-12 成员和宇航员 Chris Williams 暂时进入对接的 Crew Dragon 飞船,这是预防性安全处置,不等于返航或紧急撤离。真正值得关注的是长期裂缝问题是否正在逼近 ISS 运行安全边界。
arXiv 论文把欧洲广域 GNSS 干扰指向太空平台:证据链强,但还不是定论
一篇 2026 年 6 月 2 日提交至 arXiv 的论文称,研究团队用 2019—2026 年地面 GNSS 参考站网络数据,识别出一个覆盖欧洲大陆、格陵兰和加拿大的强瞬态广域 GNSS 干扰源。 论文将来源指向俄罗斯 Molniya 轨道早期预警卫星星座。更重要的判断是:如果这类干扰来自太空平台,GNSS 风险就不再只是“某地有人开干扰器”的局部问题。 但它仍是预印本结论,不是官方定性,也没有证明具体动机或具体事故归因。
马斯克再求撤掉 FTC 审计,X 的隐私问题已经被 AI 放大
马斯克再次请求 FTC 撤销或缩短对 X 的长期隐私监管令,理由是 Twitter 已重组、责任人离职、已有隐私体系、合规成本达 1700 万美元,且 GDPR 已形成重复监管。FTC 尚未决定,目前只是征求公众意见,截止日期为 7 月 2 日。真正的争议不是 X 想省钱,而是一个同时握有社交数据、AI 训练需求和平台控制权的公司,能不能靠自证清白摆脱外部审计。
Dashlane 没被破解,但密码管理器最怕的门缝露出来了
Dashlane 遭遇针对新设备注册 API 的大规模 2FA spraying 攻击,少于 20 个个人用户的加密 vault 被下载。攻击者没有破解 Dashlane 加密系统,也没有拿到明文密码;真正的风险在于新设备注册、验证码风控和用户主密码强度之间的缝。受影响用户应更换主密码和重要凭据,未收到通知的用户不必恐慌式重置一切。
AT&T、Verizon 最高法院败诉:位置数据罚款案,保住的是 FCC 的执法牙齿
美国最高法院以 8:1 裁定,FCC 对 AT&T、Verizon 的位置数据罚款程序不侵犯陪审团审判权,并推翻第五巡回法院此前对 AT&T 有利的判决。关键不在运营商是否又输一场,而在 FCC 这类隐私执法罚单会不会被程序战先拖死。判决也留下边界:FCC 罚款令本身不能直接强制收钱,政府真要追缴,仍要去联邦法院接受重新审理和陪审团裁决。
Filtr 把 App 内广告拦截带到苹果设备,但别把它当万能清道夫
Wipr 开发者推出 Filtr,借助 iOS 26 和 macOS 26 的 URL filters,在网络层拦截多数 iPhone、iPad、Mac App 内广告请求。它的重点不是“广告全没了”,而是苹果设备用户第一次多了一种系统级切断广告网络的工具。限制也很硬:自家域名广告、内容流广告、强拦导致 App 异常,都不是 Filtr 能轻松解决的问题。
Anthropic 开源 Claude 安全扫描框架,但它不是一款漏洞扫描器
Anthropic 在 GitHub 开源了一个基于 Claude 的自主漏洞发现与修复参考框架,覆盖威胁建模、扫描、验证、报告和补丁生成。更准确的判断是:它给企业安全团队提供了一套可借鉴的工程样板,而不是可直接投产的通用漏洞扫描产品。
Meta监督委员会支持永久封号,但把矛头指向平台申诉黑箱
Meta监督委员会在一起针对记者暴力威胁的账号封禁案中支持Meta永久禁用账号,但批评其封号体系缺少清晰通知、人工复核和有效申诉。真正重要的不是这个账号是否该封,而是Facebook、Instagram等平台在自动化审核时代,能否给用户基本的解释、证据和救济入口。对创作者和商家来说,账号已是经营资产,平台治理不能只靠一封模糊通知和一个失效按钮。
CD、座机和白名单电脑:复古科技育儿不是怀旧,是家长夺回边界
一位既是技术从业者、也是家长的作者,分享了自己的“复古科技育儿”:用 CD/DVD、图书馆实体媒介、VoIP 固定电话、二手塔式 PC、Pi-hole 和域名白名单,给孩子搭一个更可控的数字环境。 这套做法的重点不是反科技,而是把孩子从广告、推荐流和监控机制里部分隔离出来。 它对高数字素养家庭有参考价值,但不能浪漫化:门槛、时间和家庭资源都是真成本。
哥大180万社安号泄露:比被黑更麻烦的是旧数据没删干净
哥伦比亚大学承认,2025年数据泄露暴露的180万条社安号,不只属于学生、申请者和员工,也包括部分与学校没有明确关系的人。更关键的问题是,哥大曾试图停用并删除旧社安号,却漏掉遗留数据库。对隐私读者和高校安全团队来说,这不是一次普通泄露,而是一次历史数据留存失败的样本。
五眼联盟警告:假猎头正在把招聘平台变成情报入口
FBI、MI5 及澳大利亚、加拿大、新西兰政府发布联合安全提示,称中国情报人员正通过 LinkedIn 等公开求职平台伪装成招聘方,接触并诱导西方目标提供非公开信息。 这不是 LinkedIn 被攻破,而是职业社交平台被滥用:公开履历、私信信任和长期沟通,正好适合识别、接近和培养信息源。 最该警惕的人不是普通求职者,而是安全许可持有者、军方和政府相关从业者,以及负责跨国安全与合规的企业团队。
AI 巨头联名要求国会管 DNA 订单:风险不在模型,在下单那一刻
OpenAI、Anthropic、微软、Google DeepMind、Meta 等竞争对手联名致信美国国会,要求强制合成 DNA/RNA 供应商筛查高风险序列订单。关键不是 AI 已经能独立制造生物武器,而是模型可能降低设计门槛,再接上合成生物供应链和实验环节。真正的变量是:规则会卡住高风险订单,还是把正常科研和小供应商一起拖慢。
英国媒体引用“军事专家”近六成未披露军工关联,问题不在退役而在透明度
AOAV调查称,2015年至2026年5月间,33名符合条件的英国退役高级军官中,有19人在被媒体引用评论国防议题时,至少一次未被披露其防务产业商业利益关联。真正的问题不是军官退役后进入防务行业,而是媒体把他们呈现为“独立专家”时,是否给了读者判断立场所需的信息。
花 1500 美元让 LLM Agent 攻击自建 App:结果比模型排名更有价值
一名安全研究员自建含 Firebase/Firestore 访问控制缺陷的 React Native/FastAPI 靶场应用,花约 1500 美元测试多款 LLM Agent 能否读取私有评论中的 flag。这个实验不能当作行业基准,但它暴露了一个更现实的问题:Agent 已能复现部分真实移动应用常见漏洞,失败时也常败在开发者最容易忽视的后端权限边界上。
得州让苹果验年龄:App Store 正在变成互联网门禁
苹果将从 6 月 4 日起在得州对新建 Apple 账户启用年龄验证,成年用户需用信用卡、政府 ID 或账户信息证明满 18 岁,未成年人必须加入 Family Sharing。重点不只是儿童保护,而是监管把责任前移到 App Store 入口。用户会多一道身份门槛,开发者要适配年龄段信号,苹果则在被动合规中继续巩固守门人位置。