安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
SecurityBaseline.eu 给欧洲政府网站亮红灯:问题不止是技术配置
SecurityBaseline.eu 上线后公开监测欧洲政府网站基线安全:约 3000 个政府站点使用非法追踪 Cookie,1000 多个数据库管理界面公网可达,99% 政府邮件加密配置质量不佳。它没有证明这些系统已经被攻破,但足以说明公共数字基础设施缺少持续治理、责任归属和硬约束。对安全团队和数字政府从业者来说,这不是围观欧洲出丑,而是一份可对照的运维清单。
CSP 没被绕过:沙箱只是学会了让用户开一次门
Simon Willison 做了一个 CSP allow-list 实验:应用运行在 sandboxed iframe 里,默认 `default-src 'none'`,被拦截的 `fetch()` 请求交给父页面询问是否加入 `connect-src` 白名单。重点不是 CSP 被绕过,而是 Web 沙箱多了一种更细的权限交互:先拦住,再解释,再授权,再刷新生效。对插件平台、低代码工具、AI 代码沙箱来说,这比“全禁联网”或“全开网络”都更接近现实,但它仍只是实验,不是浏览器原生安全框架。
被解雇6分钟后删库:96个政府数据库暴露的是权限回收失败
美国双胞胎 IT 承包商 Muneeb 与 Sohaib Akhter 被解雇后,因一个账号漏停,牵出约 96 个政府数据库被删除、EEOC 文件和部分纳税人信息被获取的案件。重点不在“离职报复”有多离奇,而在解雇流程、最小权限、日志和备份机制同时被打穿。对企业和政府外包客户来说,最该改的是离职剧本:先撤权限,再通知解雇。
Meta让家长看见Instagram青少年算法兴趣,但看见的不等于看懂
Meta从周二起为Instagram Teen Accounts增加家长监督功能:家长可看到青少年互动过的算法兴趣大类,如篮球、时尚;未来青少年新增算法兴趣时,家长还会收到通知。 这提高了推荐系统的可见度,但没有开放浏览记录、私信、推荐权重或完整算法画像。 我更在意的是,Meta把一部分风险识别前移给家庭,同时把多款应用的家长控制集中到Family Center,这更像一次安全改进和合规交差的混合动作。
dnsmasq 一次披露 6 个严重漏洞:别等细节热闹,先把补丁链跑起来
CERT 已在 2026 年 5 月 11 日发布 6 个 dnsmasq 严重安全漏洞 CVE,维护者 Simon Kelley 同步说明:补丁已给出,2.92rel2 已应用修复。影响范围目前只被描述为“几乎所有非古老版本”,没有明确版本边界;发行版、固件和网络运维团队不该等完整漏洞故事再动手。真正的压力在下游:谁能更快完成回补、测试和发布,谁就少留一段无人看管的基础设施风险。
Exaforce 融资 1.25 亿美元:AI SOC 很热,但还没到交卷时
Exaforce 完成 1.25 亿美元 B 轮融资,估值升至 7.25 亿美元,累计融资达到 2 亿美元。它押注的是企业 SOC 用 AI 代理处理告警、调查和响应的需求。真正的考题还在后面:去年四季度才正式上市、约 20 家客户,离大规模客户验证仍有距离。
红海光缆难修,欧洲为什么又盯上北极备线
红海和波斯湾周边冲突让欧洲到亚洲的数据通道变得更难修、更贵、更不稳定,问题不在断缆本身,而在战区维修窗口被拉长。欧盟建议建设两条北极路线,Polar Connect 已获约 900 万欧元前期支持,但完整成本约 20 亿欧元,仍处早期规划和勘测阶段。我的判断是:北极光缆更像战略保险,不是短期能替代红海的商业主干线。
ICE 把 2000 万潜在目标放进 iPhone:Palantir 卖的是抓捕摩擦消失
404 Media 称,ICE 高官在边境安全展上表示,借助 Palantir 系统,一线执法人员可在 iPhone 上查询约 2000 万潜在拘押对象。关键不在 Palantir 是否“造出名单”,而在它把分散数据、地址置信分、地图和移动端界面拼成了可执行流程。现场提到的近 80% 定位率、0% 错配率都应审慎看,但方向很清楚:移民执法正在变得更快、更顺手,也更容易扩大误伤。
They Live Adblocker:广告不消失,变成黑白口号牌
GitHub 上的 They Live Adblocker 是 uBlock Origin Lite 的一个 fork,会把被屏蔽广告位替换成《极度空间》风格的白底黑字标语。 它的重点不是更强拦截,也不是新的隐私技术,而是把广告屏蔽做成一种可见的网页评论。 想尝鲜的用户需要从 GitHub Releases 下载 Chromium 版压缩包并手动加载;只想省心拦广告的人,成熟扩展仍是更稳选择。
TanStack npm 投毒复盘:42 个包中招,问题出在自动化发布的信任边界
2026 年 5 月 11 日,TanStack 有 42 个 @tanstack/* npm 包被发布 84 个恶意版本,安装端可能泄露云、GitHub、npm、SSH 等凭据。攻击没有盗走 npm token,也不是正常 publish step 被攻破,而是把 GitHub Actions、cache 和 OIDC trusted publishing 串成了发布通道。最该调整的是开源发布流水线的默认信任:fork PR、缓存复用、OIDC 权限不能再当作彼此无关的小便利。
Dirty Frag 不是“Linux 又翻车”,而是补丁时间差被打穿了
Linux 内核两周内曝出第二个严重本地提权漏洞 Dirty Frag,公开 PoC 已流出,低权限用户在部分环境中可提升到 root。真正该紧张的不是一句“Linux 不安全”,而是共享主机、虚拟机和容器平台对内核补丁链路的依赖,被稳定可复现的漏洞连续拷问。
TanStack Router 相关 npm 包疑似被投毒:真正麻烦的是自动发布链路
TanStack Router 相关多个 npm 最新版本被社区调查者指出疑似植入恶意依赖和混淆脚本,涉及 @tanstack/history、@tanstack/react-router、@tanstack/router-core、@tanstack/react-start 等包。现有线索指向 GitHub Actions OIDC trusted publisher 发布链路,风险不只在 npm token,而在 CI/CD 自动信任机制。依赖这些包的前端团队应先冻结升级、核查 lockfile 和发布工作流,不要在疑似受感染机器上粗暴吊销凭据。
Ubuntu 软件源被 DDoS 打断后,Cloudflare 站到了一个别扭位置
4 月 30 日,Canonical/Ubuntu 多个公共服务遭遇约 20 小时 DDoS,最关键的 security.ubuntu.com 与 archive.ubuntu.com 在切到 Cloudflare 后稳定。公开材料不能证明 Cloudflare 勒索或策划攻击,但同一家公司既代理攻击工具前台,又出售防护,已经让 DDoS 防护市场看起来像一种“保护费结构”。对 Ubuntu 用户、企业运维和镜像站维护者来说,真正的问题是:关键软件源不能只靠临时救火。
苹果给绿泡泡补上加密,但真正的压力还在 Siri 那边
苹果与 Android 之间的 RCS 聊天开始在最新系统 beta 中支持端到端加密,绿泡泡终于补上了最不该拖欠的一课。但它不是 iMessage 开放,也不是全量上线;更像苹果在监管、舆论和平台博弈夹击下,先把基础通信安全的账还一部分。真正能决定 WWDC 叙事成败的,仍是苹果能不能交出一个不再跳票的 AI Siri。
Starlink 将关闭隐藏定位接口:GPS 备份能力还在,钥匙被收回了
SpaceX 通知用户,2026 年 5 月 20 日后,Starlink 终端本地 API 将不再提供 dish location data。受影响最大的是房车、船只、海上用户,以及在 GPS 干扰或欺骗环境下把 Starlink 当备用定位来源的人。我的判断是:这不是低轨定位路线失败,而是平台开始收回一条可能变现、也可能带来责任的基础设施权限。
iOS 26.5 给 iPhone 和 Android 聊天补上加密,但蓝泡泡问题没变
苹果在周一发布的 iOS 26.5 中,以 beta 形式为信息 App 加入与 Android 用户之间的端到端加密 RCS 聊天。它真正改善的是跨平台短信内容在传输中的隐私,而不是让 iMessage 向 Android 全面开放。实际体验还取决于运营商支持和 Android 端 Google Messages 版本,短期内不会覆盖所有 iPhone 与 Android 对话。
Google拦下疑似AI零日攻击:AI不是黑客,但正在替黑客磨刀
Google Threat Intelligence Group称,犯罪黑客可能已经用AI辅助发现并武器化未知零日漏洞,攻击被拦下且未造成实际损害。更关键的变化是,AI辅助零日攻击不再停留在论文、演练和模型评测里,而是进入了真实恶意行动的证据链。别只盯着“AI黑客”这个热闹词,真正该紧张的是漏洞发现成本被压低后,企业旧系统和开源维护体系能不能跟上。
Netflix 被得州起诉:流媒体的“无广告、儿童友好”叙事撑不住了
得州总检察长 Ken Paxton 起诉 Netflix,指控其未经充分知情同意收集、披露并利用用户数据,涉嫌违反 Texas Deceptive Trade Practices Act。争议焦点不只是隐私条款,而是 Netflix 从订阅生意滑向广告和数据生意后,还能不能继续讲“无广告、儿童友好”的老故事。对家庭用户来说,最现实的动作是检查儿童档案、自动播放和广告方案,而不是等平台替你做选择。
110万台家用摄像头被曝可远程访问:白标硬件把一个密钥问题放大到118个国家
The Verge 报道称,安全研究者 Sammy Azdoufal 通过分析觅睿科技安卓应用,发现约 110 万台 Meari 及白标 Wi-Fi 摄像头理论上可被远程访问,设备覆盖 118 个国家。 这件事不能写成“黑客已经大规模偷窥”。更准确的判断是:低成本白标摄像头把同一套薄弱安全设计卖进了婴儿房、客厅和宠物看护场景。 对用户来说,最该做的是核对品牌、App、固件和远程访问设置;对行业来说,问题在于白标供应链里的安全责任不能继续被转手稀释。
Google 新账号验证被曝改用“手机发短信”:匿名注册的缝隙更窄了
Privacy Guides 论坛用户称,部分新建 Google/Gmail 账号时,验证方式从接收短信验证码变成扫码后由手机主动向 Google 发送短信。该变化不是 Google 官方公告,也不能判断已全球强制,但它会削弱 SMSpool 等接码服务的可用性。对普通用户影响有限,真正受影响的是隐私敏感用户,以及希望低关联创建 Google 账号的人。
《极限竞速:地平线6》发售前被盗版抢跑:155GB 未加密文件,把高级版卖点撞碎了
《极限竞速:地平线6》疑似因 Steam 预载文件短暂以未加密状态出现,发售前就被破解和传播。相比单纯“提前泄露”,更关键的细节是:这可能不是外部偷跑,而是数字发行链路自己的闸门没关好,直接伤到首发窗口和 120 美元高级版的提前游玩权益。