安全资讯 第11页
聚合当前分类下的最新内容,按时间顺序查看第 11 页精选文章。
Lean 证明它没问题,结果 AI 还是挖出了漏洞:形式化验证没有失灵,只是边界露了出来
一位开发者把经过 Lean 形式化验证的 zlib 实现丢给 AI 和模糊测试器,跑了 1.05 亿次后,没有在已验证的应用代码里发现内存漏洞,却在 Lean 运行时里炸出了一个堆缓冲区溢出。这不是“形式化验证翻车”,恰恰相反,它清楚地展示了一个行业现实:证明很强,但证明永远有边界,真正危险的往往藏在你默认信任的那一层。
骗局公司最怕的不是警察,而是信用卡拒付:一场“用更多欺诈掩盖欺诈”的科技黑产案
美国一名技术支持公司老板因为拒付率太高,没去整顿诈骗业务,反而设计了一套“自己给自己刷单”的金融伪装系统,用更多假交易把真实受害者的投诉淹没。这个案子刺痛人的地方在于,它揭开了一个现实:很多网络诈骗并不靠高深黑客技术,靠的是支付链路、客服话术和平台监管缝隙的精密配合。
Vercel 遭入侵后,真正该重看的不是云平台,而是 AI 工具拿走了多少权限
Vercel 证实发生安全事件,入口不是平台新功能本身,而是一款被攻破的第三方 AI 工具通过 Google Workspace OAuth 成了跳板。这让原本围绕“AI 时代卖云开发地皮的公司先受益”的叙事,多了一层更现实的约束:当 AI 开始深入开发和办公流程,最脆弱的地方往往不在主系统,而在那些被当作提效插件接入的工具层。
Rockstar再上泄露名单:官方称影响有限,但Anodot事件把云令牌风险又撕开了一次
Rockstar Games出现在Anodot客户数据泄露事件的受影响名单中,官方称仅有少量、非实质性公司信息被访问,不影响运营和玩家。真正需要更新的判断是:这次问题不只是“又一家厂商被黑”,而是黑客借Anodot持有的认证令牌,顺着第三方连接器进入十多家客户的云数据环境,把单点失守放大成了集体勒索风险。
西班牙球赛一开,Docker 就拉不下来:一场反盗播封锁,正在误伤整个互联网
西班牙开发者最近发现,比赛一开始,连最基础的 `docker pull` 都可能失灵。表面上这是一起反盗版执法的技术误伤,实际上它暴露了一个更危险的趋势:当运营商和内容方用“封 IP”这种粗糙手段治理互联网时,被破坏的不只是看球盗播链路,还有云服务、开发基础设施,甚至普通人的安全设备。
当 AI 走进诊室:一场加州诉讼,把“看病隐私”重新推上手术台
加州患者起诉 Sutter Health 和 MemorialCare,指控其在未充分告知和取得同意的情况下,使用 Abridge AI 记录并处理医患对话。这起诉讼不只是隐私纠纷,更像是给医疗 AI 行业踩下了一脚急刹车:技术能替医生省时间,但不能默认替患者放弃秘密。
当匿名发言撞上大陪审团:美国政府为何盯上一个批评 ICE 的 Reddit 用户
这不是一起普通的平台取证事件,而是一次对“匿名政治表达”边界的正面试探。相比公开传票,动用大陪审团意味着政府把一场原本可见的法律争议,推进到了更隐秘、也更令人不安的轨道上。
FISA 702 续期争议升级:到期未必停机,真正漏洞在后门检索和买数据
美国国会围绕 FISA 702 续期继续僵持,但关键不只是 4 月 30 日会不会到期。最新线索把问题推得更具体:即便法条名义失效,FISC 既有认证也可能让相关监控项目继续运行到 2027 年 3 月;真正该看的,是国会能否限制无令检索美国人通信,并禁止政府购买美国人商业位置数据。
BBC采访揭开“乐高风AI宣传片”背后客户:伊朗政府为何用短视频打舆论战
BBC采访补上了关键事实:制作 viral 乐高风AI政治短片的 Explosive Media 代表承认,伊朗政府是其客户。这让事件不再只是一个爆款讽刺账号的内容实验,而是国家宣传机器进入算法推荐流的样本:低成本、高频率、强情绪,且更懂西方互联网语境。
官方页面也会下毒?HWMonitor 疑似中招,PC 玩家最信任的下载入口正在失守
一则来自 Reddit 社区的高热帖,把老牌硬件监控工具 HWMonitor 推上了风口浪尖:有用户称,从 CPUID 官方页面下载的 HWMonitor 1.63 竟然带有病毒。这件事真正让人不安的,不只是某个安装包可能被污染,而是“官方下载=安全”的朴素共识,正在被现实一点点打碎。
女儿一句“我18岁了”,父亲被Discord客服困了四周:一场未成年账号事故,暴露了平台治理的尴尬
一名美国父亲在女儿Discord账号被黑后,花了四周时间才把账号救回来,期间不仅撞上机器人客服和自动关单的“迷宫”,还发现Discord其实早已在内部把女儿识别为13至17岁用户。这个案例最刺眼的地方,不只是孩子撒了个常见的年龄谎,而是平台一边越来越积极做年龄识别,一边却没有为真实的未成年人风险建立可靠的救援通道。
裁员两次后,Anjuna 为什么还能爬起来:一家安全创业公司的止血、复盘与重建
Anjuna 的故事并不新鲜:2021 年激进扩张,2022 年市场急转直下,两轮裁员接踵而至。但它的价值在于,这家公司没有把裁员包装成“战略升级”,而是把它当成一次代价高昂的经营失误来复盘,并试图用透明和克制把信任一点点捡回来。
当警徽碰上深度伪造:一名州警如何把驾照照片变成了AI色情素材
美国宾夕法尼亚州一名州警中士承认利用州政府数据库中的驾照照片和其他偷拍素材,生成了3000多张AI色情深度伪造图片。这起案件最可怕的地方,不只是技术被滥用,而是公权力、实名数据和廉价AI工具在同一个人手里叠加后,普通人几乎毫无防备。
170万月活也救不了自己:隐私通讯应用 Session 走到生死 90 天
主打去中心化和隐私保护的通讯应用 Session 宣布进入“最后 90 天”,若无法达成募资目标,运营主体将于 2026 年 7 月 8 日停止运作。这不是一个小众项目的偶发困境,而是整个隐私科技行业长期面对的老问题:用户需要隐私,但很少愿意为隐私基础设施持续买单。
LinkedIn被控“偷看”浏览器插件:一场反爬虫之战,为什么会打到隐私红线上
LinkedIn因扫描用户浏览器扩展程序而在美国遭遇两起集体诉讼,争议焦点不在“有没有扫描”,而在“用户是否被清楚告知,以及数据究竟流向了谁”。这件事刺痛了当下互联网最敏感的神经:平台越来越想自保,用户却越来越不愿意让设备变成一间随时被翻看的房间。
白宫想看你的病历?特朗普政府大规模索取联邦雇员医疗数据,引爆美国隐私焦虑
特朗普政府正试图要求保险公司按月提交数百万联邦雇员及家属的详细医疗记录,范围可能覆盖处方、诊断、就诊摘要甚至医生备注。问题不只在于“要得太多”,更在于理由模糊、边界不清、保护措施缺席——当政府把“监管”与“读取最私密健康信息”画上等号,真正被测试的是美国医疗隐私制度的底线。
当黑客开始“外包”:一场瞄准安卓和 iCloud 的跨境监控生意浮出水面
一家被研究人员盯上的“黑客外包”团伙,正通过安卓间谍软件、钓鱼页面和 Signal 账号劫持,悄悄把记者、活动人士和官员变成数字猎物。比技术本身更让人不安的是,这类攻击正在变得更便宜、更隐蔽,也更像一门成熟生意。
霍尔木兹海峡冒出“加密通行费”骗局:真收费与假许可,正在一起挤压航运决策
霍尔木兹海峡的风险,已经从导弹、扣船和封锁,延伸到“谁有权收费、谁能保证安全”这层更难核验的灰区。最新预警显示,有人冒充伊朗当局,向船公司索要比特币或 USDT 通行费;问题在于,伊朗此前确实曾要求部分船只用加密货币缴费,这让骗局比普通诈骗更像真的。对船东和运营商来说,难点不只是付不付钱,而是付了钱也未必知道该信谁。
当警察档案也被“开盒”:洛杉矶警局数据泄露,敲响的是整个政府系统的警钟
黑客疑似窃取并泄露了洛杉矶警察局大量敏感内部文件,内容涉及警员人事档案、内部调查以及可能包含未删减个人信息的诉讼材料。比起一次普通的数据外泄,这更像是一场对政府协同系统、公共机构外包存储和数据治理能力的公开拷问:你以为没被攻破的是警局系统,结果真正失守的,可能是整个城市行政链条里最不起眼的那一环。
你家的旧路由器,可能正在替俄罗斯军方“打工”
俄罗斯军情系统关联黑客组织 APT28 被曝控制了全球 120 个国家数万台家用和小型办公路由器,用来劫持 DNS、窃取微软等账号的认证令牌。这件事真正可怕的地方,不只是攻击规模大,而是它再次证明:很多人以为“只是上网盒子”的路由器,早已成了网络战里最容易被忽视的一环。
一纸封禁卡住 VeraCrypt:当微软账户失效,开源加密软件的 Windows 生命线也被掐住了
VeraCrypt 开发者 Mounir Idrassi 近日披露,自己长期用于给 Windows 驱动和引导程序签名的微软账户被突然终止,且事前没有警告、事后也找不到人工申诉渠道。这不是一桩普通的账号事故,而是一次把开源软件命运绑在平台规则上的典型案例:当基础设施由巨头把关,隐私工具的更新权也可能在一夜之间蒸发。