安全资讯
聚合当前分类下的最新内容,按时间顺序查看第 1 页精选文章。
FISA 702到期不等于美国监控停机:真正该盯的是后门能不能被堵上
美国国会正为《外国情报监视法》第702条是否续期僵持不下,表面节点是4月30日,实质争点却是要不要补上“无令搜美国人通信”和“购买美国人商业位置数据”这两个老后门。更关键的是,即便702名义上到期,因FISC年度认证,相关监控也可能继续跑到2027年3月。问题从来不只是续不续期,而是美国政治系统会不会再次把形式上的到期,演成实质上的续命。
索尼在英国和爱尔兰给 PS 社交功能加年龄验证:游戏还能玩,开麦和主机开播不行
索尼开始通知英国和爱尔兰的 PS4、PS5 用户:如果到 2026 年 6 月前未完成年龄验证,游戏还能继续玩,但语音聊天、消息、派对、第三方通信,以及从主机向 YouTube、Twitch 直播或分享 gameplay 会受限。验证由 Yoti 提供,可用手机号、人脸扫描或身份证件完成。真正该盯的不是“要不要保护未成年人”,而是主机平台正把社交和创作功能变成年龄验证入口,合规成本先落到普通用户身上。
Roblox 作弊工具拖垮 Vercel?目前还不能坐实,但风控链路失灵才是真风险
一篇网文声称,Vercel 的 Security Checkpoint 被 Roblox 作弊工具与某个 AI 工具联动触发,甚至波及平台可用性;但目前原文抓取失败并返回 429,公开可核查材料很少,关键事实远未坐实。现在能确认的重点,不是“整个平台是否被干崩”,而是疑似问题落在访问前置的安全检查链路。更值得警惕的是,一旦平台把关键入口交给自动化风控,再叠加外部工具行为,小异常就可能被放大成大面积误拦截或可用性事故。
2.9亿美元又没了:朝鲜黑客盯上的不只是加密货币,而是行业的松懈
Kelp DAO 周末遭盗超 2.9 亿美元加密资产,LayerZero 初步将矛头指向朝鲜黑客组织 TraderTraitor,这已是 2026 年目前最大一笔加密失窃案。更刺眼的不是金额,而是老问题重演:跨链桥、默认配置、单点审批,几乎把钱摆在门口。加密行业嘴上讲去中心化,现实里却一再输给最传统的安全常识。
我们不是“同意”了监控,而是被默认喂给了广告系统
一篇回看 DoubleClick、Google 收购和苹果 ATT 的文章,把互联网追踪史压成了一个刺眼事实:所谓“用户同意”,很多时候只是被设计出来的疲惫点击。真正重要的不是 Cookie 横幅有多烦,而是浏览器和平台本来有能力把跨站追踪设成默认拒绝,却长期选择了相反的方向。对普通用户来说,这笔账不只算在隐私里,还算在网页变慢、电量流失和广告产业对注意力的长期征税里。
Vercel 被拖下水:一次 OAuth 供应链失守,暴露的不是黑客多强,而是行业有多松
Vercel确认内部系统遭入侵,客户数据被盗,源头却指向另一家AI工具公司 Context AI 的 OAuth 漏洞。真正刺眼的不是单点失误,而是开发者基础设施行业把“连得更方便”长期置于“收得更安全”之前,结果一家出事,整条链条跟着冒烟。
Vercel 遭入侵,问题不只是一家云平台:AI 工具正变成企业安全的侧门
Vercel 证实发生安全事件,攻击入口来自一款被攻破的第三方 AI 工具,其 Google Workspace OAuth 应用可能牵连多家组织。真正重要的,不是 Vercel 又多了一次安全事故,而是企业正把权限交给越来越多 AI 插件和助手,新的薄弱点已经从主系统移到了“顺手接入”的工具层。
Notion 公开页被指可枚举编辑者邮箱,问题不在“页面公开”,而在协作者身份被顺手公开
安全研究人员称,任何公开的 Notion 页面都可能通过未登录请求返回编辑者姓名、邮箱和头像。若这一说法成立,问题的性质就不是“公开内容被看到”,而是 Notion 把原本应受控的协作者身份信息一起暴露了出去。对依赖公开知识库、帮助中心和招聘文档的企业来说,这会直接抬高钓鱼和员工画像成本,影响的不只是安全团队,也会波及发布流程和采购判断。
Vercel承认内部系统被入侵后,客户真正该排查的是密钥、令牌和部署链路
Vercel确认部分内部系统遭未授权访问,现阶段没有证据表明平台生产服务被全面控制,也没有看到大规模客户数据泄漏被证实。新增线索真正补强的,不是“是否宕机”,而是攻击可能触到员工账号、API key、GitHub 与 NPM 令牌、内部部署访问权这些更接近供应链的位置,因此客户接下来要做的是凭证排查、权限复核和日志审计。
欧盟数字身份钱包被公开追问:年龄验证规范,离“最少暴露”还差几条硬约束
欧盟数字身份钱包一个技术规范讨论帖,把年龄验证系统里最敏感的矛盾挑明了:口头上讲隐私,规范里却还没把“不能追踪、不能留存、不能串联”写死。真正重要的不是这条 GitHub Issue 本身,而是它暴露出欧洲数字身份项目在落地阶段的老问题——原则正确,工程约束不够硬。对普通用户来说,差别就在于“证明你成年”会不会悄悄变成“记录你去过哪”。
被制裁的俄系交易所被盗 1500 万美元:这更像黑吃黑世界里的规则清算
一家与俄罗斯关系密切、已被美国制裁的加密货币交易所 Grinex 在遭遇约 1500 万美元资产被盗后暂停运营,并把矛头指向“西方特殊部门”。问题的重点不在这句政治指控真假,而在于:一个长期服务高风险资金、靠换壳续命的平台,终究还是没逃过“高风险溢价”变成真实损失。对用户来说,这不是一场地缘政治大戏,而是资产托管风险被一次性兑现。
那些没写进依赖表的库,正在决定开源安全账单该由谁来买
FOSDEM 2026 上,研究者 Vlad-Stefan Harbuz 把“幽灵二进制依赖”推到台前:很多软件实际依赖了预编译库,但这些关系既不在 package.json,也不在 pyproject.toml 里。我的判断是,这不是一个冷门的打包细节,而是开源资金分配和供应链安全里的盲区;但它短期内也不会靠一份新标准自动解决,因为语言包管理器和系统包管理器长期各管一摊。
OpenClaw 的两面:一个爆红开源 AI 代理,正在把安全和维护推到极限
OpenClaw 在公众叙事里像是开源 AI 代理的胜利样本,但工程现场给出的画面冷得多:安全事件暴增、恶意贡献比例惊人,维护成本已经逼近失控。真正重要的不是它有多火,而是它提前暴露了一个行业问题——当“最快增长的开源项目”遇上代理式 AI,开源治理、供应链安全和社区协作规则都得重写。
当耳机变成窃听器:一篇老论文,为什么今天仍值得重看
本-古里安大学团队提出的 SPEAKE(a)R 展示了一种容易被忽略的风险:电脑上的普通耳机,可能被恶意软件重新配置成“临时麦克风”。它真正重要的地方,不在于攻击有多新,而在于硬件可重定义接口这类设计,长期被当成功能便利,却很少按安全边界来管理。对普通用户来说,这不是“耳机都会偷听你”,而是再一次提醒:把摄像头贴住、把麦克风静音,并不等于彻底切断传感器风险。
美国国会只给 702 法案多争取了 10 天,真正该补的洞是“买数据+后门检索”
美国国会围绕 FISA 第702条的拉锯,焦点早已不只是是否续期,而是政府能否继续在没有个别搜查令的情况下检索美国人的通信,并通过数据经纪商购买位置等敏感信息。新线索补强了两个旧稿里还不够完整的部分:其一,702即便到期,监控能力也不会立刻停下;其二,真正扩张监控边界的增量,越来越来自商业数据市场和AI分析工具,而不只是法条本身。
给 C/C++ 套上“安全壳”:Fil-C 不是银弹,却可能是遗留代码最现实的止血方案
Fil-C 的意义,不在于它能把 C/C++ 变成另一种语言,而在于它试图用更低迁移成本,把内存安全这件事往前推一步。对那些背着几十万行、几百万行遗留代码的团队来说,这类方案未必完美,却可能比“等重写”更接近现实。真正值得关注的,是它是否能在性能、兼容性和工程改造成本之间,拿出一个企业愿意试点的平衡点。
“我犯了错”背后:一次炫耀式入侵,为何让美国政府系统更难堪
这起案件最刺眼的地方,不是黑客在法庭上说了句“我犯了错”,而是他此前几乎把“我攻进了政府系统”当成社交媒体人设来经营。真正让美国政府难堪的,不只是一次入侵,而是公共数字身份体系在最基础的认证环节上,依然可能被低成本、可复制的手法撬开。对普通人来说,这不是遥远的网络安全新闻,而是医疗、退伍军人福利、报税、贷款和身份信用都可能被连带拖下水的现实风险。
Windows 漏洞公开仅两周,攻击者就开始下场:这不是一次技术争论,而是一次现实世界的压力测试
两处尚未修补的 Windows 漏洞在被公开不到两周后,已经被攻击者用于入侵组织网络。事情的核心不只是“微软修得慢”或“研究员公开得太早”,而是安全行业再次被迫面对一个老问题:当漏洞细节先于补丁流入公开空间,最先付出代价的往往不是平台公司,而是医院、学校、地方机构和人手紧张的 IT 团队。
当视频会议也要“验明正身”:Zoom 联手奥特曼的 World,对抗深度伪造上桌
Zoom 与 World 的合作,表面上是在给视频会议增加“真人认证”选项,实质上反映出一个更深的变化:在线协作平台的核心任务,正从“把人连起来”转向“先确认你真的是人”。这对企业财务审批、远程招聘、跨境外包协作尤其敏感,但它也把隐私、生物识别和平台权力的问题重新摆上桌面。对 Zoom 来说,这是安全补丁;对整个行业来说,这可能是一次身份基础设施前移的试探。
NIST不再“包打天下”:美国漏洞数据库开始放弃大多数CVE,这对整个安全行业意味着什么
美国国家标准与技术研究院(NIST)正式承认:它已经无力为越来越多的CVE漏洞逐条补全元数据。这个决定看上去像是一次退让,但某种意义上也是现实主义的胜利——当漏洞数量被AI和软件碎片化推向爆炸增长时,“所有漏洞都要精细分析”本身就成了一种昂贵幻觉。
你的手机每天都在“报点”:美国为何终于开始对精确定位数据下狠手
一份关于监控工具 Webloc 的最新调查,再次撕开了广告技术行业最隐秘也最肮脏的一角:手机定位数据正被打包售卖,流向执法机构、情报客户和各种买得起的人。问题早就不是“隐私会不会泄露”,而是一个社会是否愿意接受,自己的日常轨迹被当成商品批发。