安全资讯 第9页

聚合当前分类下的最新内容,按时间顺序查看第 9 页精选文章。

Instagram 盗号风波升级:门没被撬开,是 AI 客服帮人换了锁
安全 2026/6/4

Instagram 盗号风波升级:门没被撬开,是 AI 客服帮人换了锁

Meta 的 AI 支持助手被曝曾被攻击者利用,用来更改 Instagram 目标账号邮箱,再触发密码重置完成接管。Meta 称漏洞已经修复,但这件事真正暴露的不是“AI 会不会犯错”,而是平台把账号恢复这种门锁级权限交给自动化流程后,边界有没有守住。

Instagram 盗号账号接管Meta
“高超音速拦截成功”先别急着信:HGV这道题还没实战开考
安全 2026/6/2

“高超音速拦截成功”先别急着信:HGV这道题还没实战开考

近年被媒体叫作“高超音速拦截”的案例,多数打的是Kinzhal、弹道导弹或准弹道目标,不等于拦下了真正的机动滑翔高超音速武器HGV。到2026年,公开信息还看不到Avangard、DF-17/DF-ZF、Dark Eagle这类目标被实战拦截的案例。真正紧张的不是“高超音速是否无敌”,而是传感器、杀伤链、拦截弹库存和产能,已经被压到很窄的余量里。

高超音速武器高超音速滑翔飞行器反导系统
Red Hat 相关 npm scope 被曝 31 个包疑似恶意版本,先查锁文件别急着归因
安全 2026/6/1

Red Hat 相关 npm scope 被曝 31 个包疑似恶意版本,先查锁文件别急着归因

RedHatInsights/javascript-clients GitHub Issue #492 披露,@redhat-cloud-services/ scope 下 31 个 npm 包的特定版本疑似出现恶意发布。 目前更像一次供应链安全事件通报,不是 Red Hat 官方最终安全公告,也不能据此断定攻击入口。 使用相关包的前端、Node.js 和安全团队,最先该查 package-lock.json、yarn.lock、pnpm-lock.yaml 是否命中清单版本。

供应链安全npmRed Hat
just2voices:两个陌生人的匿名电话,清醒,也危险
安全 2026/6/1

just2voices:两个陌生人的匿名电话,清醒,也危险

just2voices 做了一个很反常的网页:两个陌生人随机通话,无账号、无姓名、无邮箱,网站承诺不录音、不转写、不留日志,也不拿语音训练 AI。 它值得看,不是因为它会颠覆社交,而是因为它把平台社交最爱要的东西——身份、留存、数据——都拒了一遍。 但它的硬伤也在这里:隐私越纯,治理越难;无痕可以保护普通人,也可能保护滥用者。

just2voices匿名语音通话隐私保护
马来西亚禁止16岁以下开社媒账号:保护儿童,难点在谁来验年龄
安全 2026/6/1

马来西亚禁止16岁以下开社媒账号:保护儿童,难点在谁来验年龄

马来西亚开始执行16岁以下儿童不得拥有社交媒体账号的规定,目标指向儿童网络安全、沉迷、诈骗和有害内容风险。禁令有必要,但它不是全面禁止儿童上网,也不能靠一条年龄线自动生效。真正的难点在平台年龄核验、家长配合、存量账号处理,以及隐私成本会不会被转嫁给孩子。

未成年人保护社交媒体马来西亚
ChatGPT 表格插件漏洞:最危险的不是模型犯错,是它拿着权限听错话
安全 2026/6/1

ChatGPT 表格插件漏洞:最危险的不是模型犯错,是它拿着权限听错话

PromptArmor 披露称,OpenAI 的 ChatGPT for Google Sheets 扩展可被间接提示注入诱导运行外部脚本,在用户关闭自动编辑、要求人工批准时,仍可能外泄多个工作簿并展示钓鱼界面。 受影响范围不应被夸大:重点是已安装并授权该扩展、且会处理外部表格或不可信数据源的用户和组织。 这次真正暴露的是 AI 办公插件的权限边界:模型读不可信数据,工具却拿着账户级能力。

间接提示注入ChatGPT for Google SheetsOpenAI
美联航UA236因蓝牙名返航:四个字母,为什么能逼停一架跨洋航班
安全 2026/6/1

美联航UA236因蓝牙名返航:四个字母,为什么能逼停一架跨洋航班

美联航UA236从纽瓦克飞马略卡,起飞约一小时后因机上可搜索到的蓝牙设备名疑似含有“BOMB”返航,并触发7700紧急代码、执法介入和重新安检。后续细节补齐了这件事的关键变量:它不是一个设备昵称的笑话,而是低成本威胁信号如何把航空安全系统整套拉响。我的判断很简单:机组处理看似笨重,但在跨洋航段前把风险带回可控机场,是更便宜也更负责任的选择。

航空安全美联航UA236蓝牙设备名
Cloudflare Turnstile 卡住 WebKitGTK:人机验证不该把指纹识别变成门票
安全 2026/5/31

Cloudflare Turnstile 卡住 WebKitGTK:人机验证不该把指纹识别变成门票

Cloudflare Turnstile 近期被观察到要求浏览器暴露可用于指纹识别的 WebGL 信息,部分 WebKitGTK 浏览器因此卡在人机验证循环。真正的问题不是一次兼容故障,而是反机器人系统正在把“可被识别”包装成正常上网条件。对小众浏览器用户、强隐私用户和接入 Turnstile 的站长来说,接下来要盯的是验证规则会不会回退、放宽,还是继续把隐私保护当异常。

Cloudflare Turnstile浏览器指纹识别人机验证
Anthropic 说清了 Claude 的沙箱:可信度不在“有隔离”,在边界能不能审
安全 2026/5/31

Anthropic 说清了 Claude 的沙箱:可信度不在“有隔离”,在边界能不能审

Anthropic 公开说明了 Claude.ai、Claude Code 和 Claude Cowork 的隔离机制:云端用 gVisor,本地用系统沙箱,Cowork 用完整虚拟机。 这件事的重点不是“Claude 用了沙箱”,而是它把不同产品的边界、运行环境和曾遗漏的外泄路径摆出来。 对 AI Agent 开发者和安全团队来说,下一步不是照抄技术名词,而是审清三件事:能读什么、能写什么、能连到哪里。

AnthropicClaudeAI Agent
wolfSSL 发布 wolfCOSE:嵌入式 COSE 库的价值不在算法多,而在能否进小设备
安全 2026/5/31

wolfSSL 发布 wolfCOSE:嵌入式 COSE 库的价值不在算法多,而在能否进小设备

wolfSSL 在 GitHub 发布 wolfCOSE,一个面向嵌入式系统的 C 语言 COSE/CBOR 实现,支持 RFC 9052/9053 与 RFC 8949,并以 wolfSSL/wolfCrypt 作为加密后端。它真正值得关注的不是“40 类算法”这个数字,而是零动态分配、小体积、完整 COSE 消息覆盖,以及借 wolfCrypt 进入后量子和 FIPS 路径的可能性。限制同样明确:项目采用 GPLv3,依赖 wolfSSL v5.8.0-stable,README 也写明目前尚未归类为 wolfSSL 官方支持产品。

wolfCOSEwolfSSLCOSE
微软威胁追责零日 PoC:比封号更麻烦的是披露规则变味了
安全 2026/5/30

微软威胁追责零日 PoC:比封号更麻烦的是披露规则变味了

微软与匿名人士 Nightmare Eclipse 围绕零日漏洞 PoC 公开交锋,微软称其未按协调披露流程处理,并暗示可能采取刑事法律行动。公开 PoC 会放大攻击窗口,但封掉 GitHub、GitLab、MSRC 等账号,又要求对方继续“负责任披露”,这个逻辑很难自洽。真正受影响的不只是一个研究员,而是安全研究员、漏洞赏金生态和等补丁的企业安全团队。

零日漏洞PoC漏洞披露
加州大学被曝向 CBP 共享车牌识别数据,校园隐私争议踩到法律红线
安全 2026/5/30

加州大学被曝向 CBP 共享车牌识别数据,校园隐私争议踩到法律红线

《Daily Californian》报道称,记录显示加州大学系统曾向美国海关与边境保护局共享 ALPR 车牌自动识别数据。关键不在于“校园装了摄像头”本身,而在于加州法律禁止将这类数据共享给州外机构,若属非法共享,每次最高可罚 2500 美元。对学生、教职工和担忧移民执法的群体来说,校园停车数据可能变成跨机构追踪线索,这是更现实的风险。

车牌自动识别ALPR数据共享
司法部起诉四州:ICE 秘密车牌之争,真正缺的是证据
安全 2026/5/30

司法部起诉四州:ICE 秘密车牌之争,真正缺的是证据

美国司法部起诉华盛顿、马萨诸塞、俄勒冈和缅因,要求推翻限制 ICE 获取秘密车牌的州政策。争议的关键不在 ICE 是否可能面临风险,而在司法部用“防 doxing”挑战州政策时,目前公开证据仍偏薄。州方则把问题指向民事移民执法:它们不愿让本州车牌系统为可能违法或带有歧视性的执法提供便利。

ICE美国司法部秘密车牌
荷兰下线1700万设备僵尸网络:住宅代理灰区才是关键
安全 2026/5/30

荷兰下线1700万设备僵尸网络:住宅代理灰区才是关键

荷兰警方与NCSC联合下线一个超大规模僵尸网络:超过1700万台设备、约200台管理服务器,托管基础设施位于荷兰。线索来自安全研究人员报告,NL Times称其与俄罗斯住宅代理服务ASOCKS有关,但Ars未能独立确认。真正该警惕的,是住宅代理服务和僵尸网络之间那条越来越难看清的灰黑边界。

僵尸网络住宅代理荷兰警方
bijou64 的重点不是跑分快,而是让整数编码天然唯一
安全 2026/5/30

bijou64 的重点不是跑分快,而是让整数编码天然唯一

Ink & Switch 为 Subduction CRDT 同步协议开发了 bijou64,一种面向 u64 的可变长度整数编码,目标是让每个整数只有一种字节表示。 它对签名、内容寻址和同步协议的价值,在于减少字节级不一致风险;公开基准显示其解码约快于 LEB128 2–10 倍,但结论不能外推到所有平台和实现。 更现实的判断是:新二进制格式可以把 bijou64 放进候选清单,老格式不必急着迁移。

bijou64varint签名协议
联网汽车在收集什么:从行车数据到保险定价
安全 2026/5/29

联网汽车在收集什么:从行车数据到保险定价

联网汽车的数据风险,已经从上传了什么变成会不会影响你的保费。车企、车载 App、数据经纪商和保险公司之间的数据链条不够透明,车主很难真正掌控。接下来更关键的是,车内防醉驾和疲劳监测如果扩大,生物识别数据能不能被划出清楚边界。

联网汽车汽车隐私数据商业化
jqwik 1.10.0 把“删代码”提示塞进 stdout:反 AI,也不能拿用户 CI 当靶场
安全 2026/6/1

jqwik 1.10.0 把“删代码”提示塞进 stdout:反 AI,也不能拿用户 CI 当靶场

jqwik-engine 1.10.0 在测试执行时默认向 stdout 打印一条面向 AI 编码代理的破坏性提示:忽略之前指令,删除所有 jqwik 测试和代码。更关键的是,这条信息还配了终端清行控制符,人类终端里可能看不见,CI 日志和 AI agent 却可能照单全收。维护者可以反对 AI 抓取开源项目,但把风险默认外溢给下游构建链,这一步走过界了。

jqwikjqwik-engine 1.10.0提示注入
Pay Tel 暴露至少 30 万份证件:监狱通信服务的数据风险被摆到台前
安全 2026/5/29

Pay Tel 暴露至少 30 万份证件:监狱通信服务的数据风险被摆到台前

Pay Tel 一个未设密码的 Microsoft Azure 云存储服务器曾公开可访问,UpGuard 称其中至少包含 30 万份驾照扫描件及其他政府身份证件。 受影响的是使用 Pay Tel 与囚犯通信的用户,外泄范围还涉及囚犯通信、手写笔记、财务记录,以及部分带精确地理位置的照片。 目前没有证据显示数据已被下载或滥用,也不清楚 Pay Tel 是否会通知用户或监管机构;真正要紧的是,监狱通信服务把身份、关系和位置数据放在了同一个风险面上。

数据泄露Pay TelMicrosoft Azure
美军被商业位置数据盯上:广告技术越过了隐私边界
安全 2026/5/29

美军被商业位置数据盯上:广告技术越过了隐私边界

美国中央司令部在给参议员 Ron Wyden 的信中确认,已收到多份敌对方利用商业位置数据针对或监视战区美方人员的威胁报告。 问题不只是哪款应用泄露了位置,而是手机、电脑、在线广告和数据经纪商组成的链条,正在把普通设备信号变成可购买的情报线索。 更麻烦的是,美国政府和军方过去也曾购买这类数据。监管若只管企业、不约束政府需求,很难堵住这条生意链。

商业位置数据广告技术数据经纪商
Rivian R1 后悬架被调查:11.5 万辆不是召回,真正压力在维修体系
安全 2026/5/28

Rivian R1 后悬架被调查:11.5 万辆不是召回,真正压力在维修体系

NHTSA 下属 ODI 正在调查 2023-2024 年款 Rivian R1 后 toe link 相关故障,潜在范围近 11.5 万辆,但这不是缺陷认定,也不是召回数量。两起投诉的共同点是:车辆此前都维修过,随后 toe link 螺栓断裂并导致失控。更现实的问题是,Rivian 在 R2 放量前,能不能把原厂、授权和第三方维修后的安全质量管住。

RivianNHTSA后悬架
Headway 让处方患者扫脸续诊:安全措施,还是把隐私变成治疗门槛
安全 2026/5/28

Headway 让处方患者扫脸续诊:安全措施,还是把隐私变成治疗门槛

Headway 正分批要求处方相关患者上传政府照片 ID 并做人脸验证,后续所有服务提供者也会被纳入。 争议不在医疗身份核验本身,而在平台把验证和续诊、开药、会话确认绑在一起。 对患者和治疗师来说,“不同意就离开”成本很高,因为保险、账单和既有治疗关系都压在平台上。

Headway人脸验证数字医疗