安全资讯 第8页
聚合当前分类下的最新内容,按时间顺序查看第 8 页精选文章。
南得州疑似螺旋蝇蛆:美国牛业怕的不是虫,是缓冲带没了
美国农业部称,南得州出现疑似新大陆螺旋蝇蛆感染样本,已送国家兽医服务实验室确认;目前不能写成“已入侵美国”。 如果坐实,这将是该寄生蝇首次突破美墨边境防线,直接压力落在畜牧业、动物检疫和跨境治理上。 真正要看的不是恐怖虫害叙事,而是美国几十年建立的生物防线,能不能在边境压力、产业恐慌和政治喊话之间继续运转。
Cloudflare 当前数据不支持“机器人流量首次超过人类”
Cloudflare Radar Traffic Worldwide 当前 bot-vs-human 模块显示:近 7 天 HTML 页面 HTTP 请求中,Human 为 65.9%,Bot 为 34.1%。这不能写成“机器人流量首次超过人类”。真正该警惕的是:自动化请求已经占到网页访问的三分之一左右,网站运营、安全和内容团队要重新校准流量口径。
Ultrahuman 数据事件:戒指没被攻破,风险在内部工具
Ultrahuman 称,黑客通过被恶意软件感染的员工笔记本窃取凭据,进入内部分析系统,访问了约 0.1% 用户的 wellness data。按其约 70 万月活估算,受影响用户至少约 700 人,但公司未确认精确人数,也未说明 wellness data 的具体范围。真正该紧张的不是戒指设备被攻破,而是健康穿戴公司的云端数据和内部权限体系暴露了侧门。
Let’s Encrypt 押注 MTC:后量子证书不是换算法,是改 Web PKI 的运货方式
Let’s Encrypt 公布后量子 Web PKI 路线:把 Merkle Tree Certificates(MTC)作为主要方向,计划 2026 年底推出测试环境,2027 年进入生产可用。现有证书签发和续期今天不变,真正要提前准备的是浏览器、TLS 库、ACME 客户端和证书自动化管线。关键判断很简单:后量子证书的难点不只是算法更强,而是签名太大,Web PKI 得换一种规模化分发方式。
2026年最严重的几起攻击,已经打到公共服务和身份体系
TechCrunch盘点了2026年至今最破坏性的网络攻击。真正危险的变化,不是单个数据泄露更大了,而是社保数据库、水电设施、学校平台和证件验证一起开始失守。对企业来说,安全问题已经不只是IT成本,而是停摆、合规和信任的总账。
Creative Katana V2X 漏洞披露:一台 USB 音箱如何远程变成 BadUSB
安全研究者披露,Creative Sound Blaster Katana V2X 可在约 15 米范围内,经未配对 BLE 控制链路刷入修改固件,重启后模拟 USB 键盘输入。问题限定在 Katana V2X:蓝牙侧 CTP 未鉴权,固件更新缺少签名校验,让一台已被 PC 信任的 USB 音箱变成 BadUSB 入口。Creative 经 SingCERT 转达后称不认为这是网络安全风险;截至披露时,官方最新固件仍受影响。
美国导弹危机:库存焦虑背后,是推进剂供应链太薄
Contrary Research 的判断很直接:美国导弹和弹药库存被近年冲突持续消耗,精确数字不公开,但高强度太平洋冲突下的补给压力已经暴露。 真正的卡点不只是导弹公司产能,而是固体火箭发动机背后的高氯酸铵 AP 供应链过于集中。 液体推进重新被讨论,不是因为它完美,而是因为美国需要一条绕开固体推进瓶颈的补课路线。
github.dev 一键失守:VSCode Webview 的信任链问题
安全研究者披露了 VSCode / github.dev 的 Webview 消息处理漏洞:用户打开特制 github.dev 链接后,攻击者可借 Notebook 脚本、快捷键转发和扩展机制窃取 GitHub Token。 关键风险不在单个 Notebook 脚本,而在 Webview 的快捷键信任链:不可信内容被允许影响主窗口行为。 最该紧张的是使用 github.dev、VSCode Web、Jupyter Notebook 的开发者,尤其是账号能访问私有仓库的人。
Cyera 据称 120 亿美元估值融资:AI 安全需求是真的,80 倍 ARR 太急了
据 TechCrunch 报道,数据安全公司 Cyera 正接近完成至少 3 亿美元融资,估值约 120 亿美元;但公司发言人称报道数字“存在事实性且显著不准确”。如果 ARR 超过 1.5 亿美元的说法接近真实,这轮估值约等于 80 倍 ARR,高得刺眼。重点不是 Cyera 是否值 120 亿美元,而是 AI 安全叙事下,资本是否又在用高增长掩盖高消耗。
Ring“熟人脸”遭起诉:门铃主人点了同意,路人也算同意吗?
一名弗吉尼亚用户在华盛顿西区联邦法院起诉 Amazon 旗下 Ring,称 Familiar Faces 功能会扫描访客和路人面部,生成可再次识别个人的 face print。这个功能并非默认开启,需要用户主动启用,最多可建立 50 张熟人脸目录;争议在于,摄像头主人的同意能不能覆盖被动入镜者。相关内容目前仍是原告诉称,法院尚未认定 Ring 违法,Amazon 对 Ars Technica 拒绝评论。
Google 给熟人来电加锁:反诈是真,收编 Android 通信栈也是真
Google 在 Android 六月功能更新里加入防冒充来电检测,重点不是识别 AI 声音,而是验证这通电话是不是真由联系人手机发起。它对 AI 语音诈骗很有用,但前提苛刻:双方都要在 Google 拨号器、通讯录和 Messages/RCS 体系里。安全能力正在成为 Google 收紧 Android 基础通信入口的最好理由。
Dashlane 少于 20 个加密密码库被拿走:真正漏水的是 2FA 解释
Dashlane 称攻击者通过暴力破解部分账户的 2FA,在既有账户上注册新设备,并获取了少于 20 个用户的加密密码库;目前没有证据显示明文密码泄露。后续细节把问题从“被拿走多少个 vault”推向了更关键的一层:第一道密码门怎么过的、2FA 限速怎么设计的、用户该如何判断自己是否被试探过。
西雅图1.3英里步行导览:把“智慧城市”的监控设备指给路人看
Coveillance 发布的西雅图市中心步行导览,全程约 1.3 英里,目标不是旅游,而是训练公众识别街景里的摄像头、Amazon Go、自动车牌识别器和 Wi-Fi 探针。它提醒的核心问题是:城市数据采集已经嵌进交通、零售和执法流程,但公众未必知道数据被谁拿走、留多久、会不会换用途。原文仍是未专业事实核查的工作中指南,部分点位不能当作官方确认部署点看待。
Claude Mythos 进关键基础设施:AI 防线变强,守门人也更少了
Anthropic 正把 Project Glasswing 从早期 50 个伙伴扩至 15 个以上国家、约 150 家组织,Claude Mythos 将用于扫描电力、水务、医疗、通信、硬件等关键代码库。重点不只是模型更强,而是 AI 安全能力开始进入国家级基础设施防线。收益很现实:更快找洞;代价也现实:谁能接入、谁先知道漏洞、谁来监督,都会变成新问题。
IRS 要把税务数据做成 API,真正敏感的是访问门槛变低了
404 Media 通过 FOIA 文件披露,IRS 正让 Palantir 基于 Foundry 构建统一 API,让 IRS 数据可被机构指定的应用调用。CI 刑事调查部门的旧系统确实落后,现代化有必要;但税务数据一旦接口化,争议就从“买了哪套软件”变成“谁能调用、为何调用、如何追责”。法院曾阻止 IRS 向 ICE 分享住址信息,这说明用途扩张不是纸面担忧。
苹果拒绝一款 Mac 听写应用更新:无障碍 API 的边界又被推到台前
开发者 Rene Zelaya 的本地听写应用 WhisperPad 因使用 macOS Accessibility API 将转写文本自动注入其他应用,被苹果以 Guideline 2.4.5 拒绝 1.5 付费更新。争议不在苹果是否支持无障碍软件,而在跨应用自动粘贴是否应被视为合规的无障碍用途。我的判断是:苹果的安全边界有理由,但它留给独立开发者和真实无障碍需求的解释空间太窄。
Adafruit因Flux律师函暂停博客:公开可见信息,报道前也要先过法务关?
Adafruit称,5月22日晚上10:38收到Fenwick & West代表Flux.ai发来的律师函,要求其停止发布涉及Flux知识产权、商业进展、用户基础等所谓虚假或诽谤性内容。Adafruit否认指控,称其只访问了因服务器配置错误而公开可见的信息,相关报道属于公共安全利益与负责任披露。真正的争议不是一封律师函,而是安全披露、科技媒体报道和企业法律威慑之间的边界正在被重新拉扯。
Chipotlai Max:一个卷饼 AI 仓库,把企业免费算力的灰线摆上了台面
GitHub 上的 cyberpapiii/chipotlai-max 自称是 OpenCode 的 meme 分叉,默认使用 Pepper AI / pepper-1,并把“stolen Chipotle compute”写成宣传语。 目前只能把它看作一个小型公开仓库,不能断言 Chipotle 已被入侵或确有算力被盗。 刺眼的不是代码本身,而是它把疑似薅企业 AI 算力包装成开发者圈的玩笑和卖点。
Red Hat 官方 npm 命名空间被投毒:30 多个包在安装阶段偷 CI/CD 凭据
Red Hat 官方 npm 命名空间 @redhat-cloud-services 被攻击者利用,超过 30 个包被植入凭据窃取代码,npm install 阶段就可能触发。更麻烦的是,恶意代码盯上的不是业务运行时,而是 GitHub Actions、npm token、Kubernetes、Vault 和云服务凭据。Red Hat 称恶意包已移除,暂未发现客户、合作伙伴环境或生产系统受影响,但近期装过相关包的团队应按潜在失陷处理。
ICE 拿出 77 页 Paragon 合同文件,但最该公开的部分仍被涂黑
404 Media 因 FOIA 请求起诉 ICE 后,首次拿到 ICE 与 Paragon 间谍软件合同相关文件;ICE 称找到 673 页潜在相关记录,先交付 77 页,但关键内容大面积删改。 目前能确认的是:合同金额约 200 万美元,采购涉及 ICE 下属 HSI,工具能力指向远程入侵手机和读取加密通信;但现有文件不能证明 ICE 已实际使用,也不能说明是否仍有访问权限。 真正的问题是,ICE 以商业秘密和执法目的为由遮住了能力、用途、审批和审计信息,这正是公共监督最需要看的部分。
《GTA V》作弊服务 Atlas Menu 被黑:约 6.4 万账号信息据称泄露
Have I Been Pwned 称,《GTA V》作弊服务 Atlas Menu 遭入侵,近 64,000 个账号受影响,涉及邮箱、用户名、哈希密码、IP 地址和支持工单。 这不是 Rockstar 或《GTA V》官方系统被黑,也不是明文密码泄露;更准确的看点是,灰色作弊服务也在集中保存用户敏感数据。 对玩家来说,风险不只是不体面或被封号,而是邮箱、IP、工单和作弊身份被串起来后,可能进入撞库、钓鱼和敲诈链条。