安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
Let’s Encrypt 押注 MTC:后量子证书不是换算法,是改 Web PKI 的运货方式
Let’s Encrypt 公布后量子 Web PKI 路线:把 Merkle Tree Certificates(MTC)作为主要方向,计划 2026 年底推出测试环境,2027 年进入生产可用。现有证书签发和续期今天不变,真正要提前准备的是浏览器、TLS 库、ACME 客户端和证书自动化管线。关键判断很简单:后量子证书的难点不只是算法更强,而是签名太大,Web PKI 得换一种规模化分发方式。
2026年最严重的几起攻击,已经打到公共服务和身份体系
TechCrunch盘点了2026年至今最破坏性的网络攻击。真正危险的变化,不是单个数据泄露更大了,而是社保数据库、水电设施、学校平台和证件验证一起开始失守。对企业来说,安全问题已经不只是IT成本,而是停摆、合规和信任的总账。
Creative Katana V2X 漏洞披露:一台 USB 音箱如何远程变成 BadUSB
安全研究者披露,Creative Sound Blaster Katana V2X 可在约 15 米范围内,经未配对 BLE 控制链路刷入修改固件,重启后模拟 USB 键盘输入。问题限定在 Katana V2X:蓝牙侧 CTP 未鉴权,固件更新缺少签名校验,让一台已被 PC 信任的 USB 音箱变成 BadUSB 入口。Creative 经 SingCERT 转达后称不认为这是网络安全风险;截至披露时,官方最新固件仍受影响。
美国导弹危机:库存焦虑背后,是推进剂供应链太薄
Contrary Research 的判断很直接:美国导弹和弹药库存被近年冲突持续消耗,精确数字不公开,但高强度太平洋冲突下的补给压力已经暴露。 真正的卡点不只是导弹公司产能,而是固体火箭发动机背后的高氯酸铵 AP 供应链过于集中。 液体推进重新被讨论,不是因为它完美,而是因为美国需要一条绕开固体推进瓶颈的补课路线。
github.dev 一键失守:VSCode Webview 的信任链问题
安全研究者披露了 VSCode / github.dev 的 Webview 消息处理漏洞:用户打开特制 github.dev 链接后,攻击者可借 Notebook 脚本、快捷键转发和扩展机制窃取 GitHub Token。 关键风险不在单个 Notebook 脚本,而在 Webview 的快捷键信任链:不可信内容被允许影响主窗口行为。 最该紧张的是使用 github.dev、VSCode Web、Jupyter Notebook 的开发者,尤其是账号能访问私有仓库的人。
Cyera 据称 120 亿美元估值融资:AI 安全需求是真的,80 倍 ARR 太急了
据 TechCrunch 报道,数据安全公司 Cyera 正接近完成至少 3 亿美元融资,估值约 120 亿美元;但公司发言人称报道数字“存在事实性且显著不准确”。如果 ARR 超过 1.5 亿美元的说法接近真实,这轮估值约等于 80 倍 ARR,高得刺眼。重点不是 Cyera 是否值 120 亿美元,而是 AI 安全叙事下,资本是否又在用高增长掩盖高消耗。
Ring“熟人脸”遭起诉:门铃主人点了同意,路人也算同意吗?
一名弗吉尼亚用户在华盛顿西区联邦法院起诉 Amazon 旗下 Ring,称 Familiar Faces 功能会扫描访客和路人面部,生成可再次识别个人的 face print。这个功能并非默认开启,需要用户主动启用,最多可建立 50 张熟人脸目录;争议在于,摄像头主人的同意能不能覆盖被动入镜者。相关内容目前仍是原告诉称,法院尚未认定 Ring 违法,Amazon 对 Ars Technica 拒绝评论。
Google 给熟人来电加锁:反诈是真,收编 Android 通信栈也是真
Google 在 Android 六月功能更新里加入防冒充来电检测,重点不是识别 AI 声音,而是验证这通电话是不是真由联系人手机发起。它对 AI 语音诈骗很有用,但前提苛刻:双方都要在 Google 拨号器、通讯录和 Messages/RCS 体系里。安全能力正在成为 Google 收紧 Android 基础通信入口的最好理由。
Dashlane 约 20 个账号被攻破:密码库没明文泄露,但风险已经上桌
Dashlane 披露,周末攻击中约 20 个用户账号被攻破,至少十几个加密密码库被下载;目前没有证据显示 Dashlane 自身系统被攻破,也不是明文密码泄露。关键风险在于,攻击者疑似通过暴力枚举 2FA 流程注册新设备,拿到加密 vault 后可离线尝试破解。对个人用户和企业 IT 来说,主密码强度、设备注册风控、2FA 限速,才是这次事件真正要追问的地方。
西雅图1.3英里步行导览:把“智慧城市”的监控设备指给路人看
Coveillance 发布的西雅图市中心步行导览,全程约 1.3 英里,目标不是旅游,而是训练公众识别街景里的摄像头、Amazon Go、自动车牌识别器和 Wi-Fi 探针。它提醒的核心问题是:城市数据采集已经嵌进交通、零售和执法流程,但公众未必知道数据被谁拿走、留多久、会不会换用途。原文仍是未专业事实核查的工作中指南,部分点位不能当作官方确认部署点看待。
Claude Mythos 进关键基础设施:AI 防线变强,守门人也更少了
Anthropic 正把 Project Glasswing 从早期 50 个伙伴扩至 15 个以上国家、约 150 家组织,Claude Mythos 将用于扫描电力、水务、医疗、通信、硬件等关键代码库。重点不只是模型更强,而是 AI 安全能力开始进入国家级基础设施防线。收益很现实:更快找洞;代价也现实:谁能接入、谁先知道漏洞、谁来监督,都会变成新问题。
IRS 要把税务数据做成 API,真正敏感的是访问门槛变低了
404 Media 通过 FOIA 文件披露,IRS 正让 Palantir 基于 Foundry 构建统一 API,让 IRS 数据可被机构指定的应用调用。CI 刑事调查部门的旧系统确实落后,现代化有必要;但税务数据一旦接口化,争议就从“买了哪套软件”变成“谁能调用、为何调用、如何追责”。法院曾阻止 IRS 向 ICE 分享住址信息,这说明用途扩张不是纸面担忧。
苹果拒绝一款 Mac 听写应用更新:无障碍 API 的边界又被推到台前
开发者 Rene Zelaya 的本地听写应用 WhisperPad 因使用 macOS Accessibility API 将转写文本自动注入其他应用,被苹果以 Guideline 2.4.5 拒绝 1.5 付费更新。争议不在苹果是否支持无障碍软件,而在跨应用自动粘贴是否应被视为合规的无障碍用途。我的判断是:苹果的安全边界有理由,但它留给独立开发者和真实无障碍需求的解释空间太窄。
Adafruit因Flux律师函暂停博客:公开可见信息,报道前也要先过法务关?
Adafruit称,5月22日晚上10:38收到Fenwick & West代表Flux.ai发来的律师函,要求其停止发布涉及Flux知识产权、商业进展、用户基础等所谓虚假或诽谤性内容。Adafruit否认指控,称其只访问了因服务器配置错误而公开可见的信息,相关报道属于公共安全利益与负责任披露。真正的争议不是一封律师函,而是安全披露、科技媒体报道和企业法律威慑之间的边界正在被重新拉扯。
Chipotlai Max:一个卷饼 AI 仓库,把企业免费算力的灰线摆上了台面
GitHub 上的 cyberpapiii/chipotlai-max 自称是 OpenCode 的 meme 分叉,默认使用 Pepper AI / pepper-1,并把“stolen Chipotle compute”写成宣传语。 目前只能把它看作一个小型公开仓库,不能断言 Chipotle 已被入侵或确有算力被盗。 刺眼的不是代码本身,而是它把疑似薅企业 AI 算力包装成开发者圈的玩笑和卖点。
Red Hat 官方 npm 命名空间被投毒:30 多个包在安装阶段偷 CI/CD 凭据
Red Hat 官方 npm 命名空间 @redhat-cloud-services 被攻击者利用,超过 30 个包被植入凭据窃取代码,npm install 阶段就可能触发。更麻烦的是,恶意代码盯上的不是业务运行时,而是 GitHub Actions、npm token、Kubernetes、Vault 和云服务凭据。Red Hat 称恶意包已移除,暂未发现客户、合作伙伴环境或生产系统受影响,但近期装过相关包的团队应按潜在失陷处理。
ICE 拿出 77 页 Paragon 合同文件,但最该公开的部分仍被涂黑
404 Media 因 FOIA 请求起诉 ICE 后,首次拿到 ICE 与 Paragon 间谍软件合同相关文件;ICE 称找到 673 页潜在相关记录,先交付 77 页,但关键内容大面积删改。 目前能确认的是:合同金额约 200 万美元,采购涉及 ICE 下属 HSI,工具能力指向远程入侵手机和读取加密通信;但现有文件不能证明 ICE 已实际使用,也不能说明是否仍有访问权限。 真正的问题是,ICE 以商业秘密和执法目的为由遮住了能力、用途、审批和审计信息,这正是公共监督最需要看的部分。
《GTA V》作弊服务 Atlas Menu 被黑:约 6.4 万账号信息据称泄露
Have I Been Pwned 称,《GTA V》作弊服务 Atlas Menu 遭入侵,近 64,000 个账号受影响,涉及邮箱、用户名、哈希密码、IP 地址和支持工单。 这不是 Rockstar 或《GTA V》官方系统被黑,也不是明文密码泄露;更准确的看点是,灰色作弊服务也在集中保存用户敏感数据。 对玩家来说,风险不只是不体面或被封号,而是邮箱、IP、工单和作弊身份被串起来后,可能进入撞库、钓鱼和敲诈链条。
Instagram 盗号风波升级:门没被撬开,是 AI 客服帮人换了锁
Meta 的 AI 支持助手被曝曾被攻击者利用,用来更改 Instagram 目标账号邮箱,再触发密码重置完成接管。Meta 称漏洞已经修复,但这件事真正暴露的不是“AI 会不会犯错”,而是平台把账号恢复这种门锁级权限交给自动化流程后,边界有没有守住。
“高超音速拦截成功”先别急着信:HGV这道题还没实战开考
近年被媒体叫作“高超音速拦截”的案例,多数打的是Kinzhal、弹道导弹或准弹道目标,不等于拦下了真正的机动滑翔高超音速武器HGV。到2026年,公开信息还看不到Avangard、DF-17/DF-ZF、Dark Eagle这类目标被实战拦截的案例。真正紧张的不是“高超音速是否无敌”,而是传感器、杀伤链、拦截弹库存和产能,已经被压到很窄的余量里。
Red Hat 相关 npm scope 被曝 31 个包疑似恶意版本,先查锁文件别急着归因
RedHatInsights/javascript-clients GitHub Issue #492 披露,@redhat-cloud-services/ scope 下 31 个 npm 包的特定版本疑似出现恶意发布。 目前更像一次供应链安全事件通报,不是 Red Hat 官方最终安全公告,也不能据此断定攻击入口。 使用相关包的前端、Node.js 和安全团队,最先该查 package-lock.json、yarn.lock、pnpm-lock.yaml 是否命中清单版本。