安全资讯 第13页
聚合当前分类下的最新内容,按时间顺序查看第 13 页精选文章。
一根安全带,扯出造车新势力的老问题:Lucid召回超4000辆Gravity SUV
Lucid Motors宣布召回超过4000辆Gravity SUV,原因不是软件Bug,也不是电池,而是更基础也更要命的安全带焊接问题。这起事件提醒整个电动车行业:当新势力忙着讲性能、智能和豪华故事时,真正决定生死的,往往还是制造体系里最不起眼的那颗螺丝和那一道焊点。
孩之宝被黑,恢复要数周:当玩具巨头也成了网络攻击的“玩具”
美国玩具巨头孩之宝确认遭遇网络攻击,部分系统被迫下线,恢复可能持续数周。这不只是一起企业安全事故,更提醒所有依赖数字供应链的消费品牌:今天卖玩具、卖卡牌、卖IP,本质上也在经营一套高风险的信息系统。
互联网最脆弱的角落,终于开始补课了:BGP 安全正在从“口号”变成现实
Cloudflare 推出的“Is BGP safe yet?”页面,像一张全球网络运营商的安全成绩单:不少头部骨干网和云厂商已经补上了 BGP 安全机制,但仍有大量重要网络处在“部分安全”甚至“不安全”状态。对普通用户来说,这不是一项遥远的底层协议升级,而是决定你访问的网站会不会被劫持、绕路,甚至无声失联的基础工程。
一个 128 字节缓冲区,差点把 FreeBSD 内核交给远程攻击者
FreeBSD 最近披露的 CVE-2026-4747,不是那种“理论上可利用”的边角漏洞,而是研究者已经走通链路、能把远程 NFS 请求一路打进内核并拿到 root shell 的高危缺陷。它最刺眼的地方不在技术炫技,而在于老生常谈的边界检查缺失,居然仍然出现在内核网络认证路径里,也再次提醒企业:Kerberos 和 NFS 这类“传统基础设施”,从来不是安全盲区之外的净土。
一场开源组件失守,牵出 AI 招聘独角兽的安全软肋
AI 招聘公司 Mercor 证实遭遇网络安全事件,导火索指向开源项目 LiteLLM 的供应链攻击。这不是一家创业公司的倒霉个案,而是整个 AI 产业链正在集体面对的现实:当所有人都在狂奔接入模型时,最脆弱的那一环,往往是没人多看一眼的开源依赖。
泰格·伍兹车祸之后:手机不是借口,真正可怕的是“分心驾驶”早已日常化
高尔夫巨星泰格·伍兹在一次车祸后将原因归咎于看手机和调车载电台,但警方披露的信息显示,事情远不只是“低头几秒”那么简单。这起事件之所以值得科技媒体关注,不仅因为名人效应,更因为它再次照出一个被智能手机和车机系统共同放大的现实:分心驾驶,已经成了很多人习以为常的危险动作。
量子计算离“破密时刻”又近了一步:这次先紧张的,可能不只是币圈
两份最新白皮书给出的结论很扎眼:破解支撑互联网和加密货币安全的椭圆曲线加密,量子计算机所需资源比过去估算少了一个数量级,甚至更多。这不意味着“明天世界密码体系就崩了”,但它确实在提醒所有还没完成后量子迁移的企业和政府——Q Day 不是科幻设定,而是一场正在逼近的工程现实。
90秒逃生神话,可能该改写了:一项飞机撤离研究把“老人坐哪儿”变成了安全问题
一项针对空客 A320 的最新仿真研究发现,在更贴近现实的老龄化乘客场景下,飞机要在 FAA 要求的 90 秒内完成紧急撤离,几乎是不可能任务。真正刺痛行业的,不是某个模型算得多快,而是一个被长期回避的问题:今天的客舱设计和安全标准,可能仍建立在“年轻、灵活、听得清、跑得动”的理想乘客之上。
Chrome把yt-dlp拦下来了:一句“可疑下载”,暴露了浏览器安全权力的边界
一位 Hacker News 用户发现,最新版 Chrome 在下载 yt-dlp 时弹出“Suspicious Download(可疑下载)”警告,却没有给出足够解释。这看似只是一次普通的误报,背后却折射出浏览器厂商在“保护用户”与“替用户做决定”之间越来越微妙的权力扩张。
8小时足够掀翻一座医院的信息墙:CareCloud 医疗数据遭入侵,真正让人不安的不只是“是否被偷走”
美国医疗技术公司 CareCloud 确认,其一处电子病历存储环境在3月中旬遭黑客非法访问,持续超过8小时,涉及的可能是数以百万计患者背后的敏感医疗信息。比起“是否已经外泄”这个尚未确认的问题,这起事件更刺痛行业的一点在于:医疗数据基础设施正越来越像公共卫生系统里的隐形命门,一旦出事,影响远超一家公司的财报。
一年点名7655家受害者:勒索软件越来越像一门“稳定生意”了
最新统计显示,从 2025 年 3 月到 2026 年 3 月,129 个勒索软件组织在公开泄密站上共“点名”了 7655 家受害机构,平均每 71 分钟就新增一家。比数字更让人不安的是,这已经不是少数黑客团伙的突袭,而是一套分工成熟、覆盖全球、越打越散的地下产业链。
Google给安卓“验明正身”:开发者实名时代,终于还是来了
Google 正在把 Android 开发者验证推向所有开发者,这不是一次普通的后台流程更新,而是安卓开放生态走向“有限实名制”的关键一步。它试图在“人人可分发”与“恶意软件泛滥”之间找平衡:大多数用户几乎无感,但匿名传播恶意应用的空间会被明显压缩。
当AI员工开始登录公司系统:Okta CEO押注“智能体身份”,也是在对抗SaaS末日焦虑
Okta CEO Todd McKinnon最近公开承认,公司对所谓的“SaaS末日论”抱有强烈危机感。但他的应对方式并不是简单防守,而是试图把“身份管理”从人扩展到AI智能体,把下一代企业安全入口抢到手。这个判断很关键:未来企业最危险的账号,也许不是实习生的,而是那个被默许拥有一堆权限、还能24小时自动干活的AI代理。
当手机坐标成了商品:Webloc 曝光后,真正该被审判的是位置数据交易
Citizen Lab 对 Webloc 的调查把一件早已存在、但常被淡化的事说得更具体了:移动广告链路收集的精确位置数据,已经被做成可供执法和情报客户使用的商业产品。和以往泛泛谈“隐私泄露”不同,这条新线索补强的是交易链条、购买者类型,以及一个更现实的问题:位置数据一旦进入市场,就很容易绕开原本该有的司法门槛。
智能眼镜火了,法院先慌了:费城下周起全面禁止“会偷听的眼镜”
美国费城法院系统宣布,从下周起全面禁止所有带音视频录制能力的智能眼镜进入法院大楼,理由很直接:这类设备太隐蔽,足以让证人和陪审员感到被监视、被威胁。这不是一条小众规定,而是司法系统对AI可穿戴设备快速普及做出的第一波制度性反应——当“眼镜”越来越像摄像机,公共空间的规则也不得不重写。
你还没开口,系统先验明正身:ChatGPT 被曝用 React 状态配合 Cloudflare“查户口”
一项最新逆向分析显示,ChatGPT 每次发消息前,浏览器里都会悄悄运行一套 Cloudflare Turnstile 程序,不只看显卡、字体和屏幕,还会检查 ChatGPT 的 React 应用是否真的完整加载。它意味着今天的反机器人系统,已经从“你像不像浏览器”升级到“你到底有没有真正活在这个网页里”。
把 Linux 当解释器:一位黑客把操作系统写成了“套娃程序”
一篇看似极客自娱自乐的技术博客,实际上戳中了现代操作系统一个很少被大众讨论的真相:Linux 内核不只是“系统”,它也可以被理解为 initrd 的解释器。更妙的是,作者还用 kexec 做了一个会不断重启并执行自己的“递归 Linux”,这不是单纯炫技,而是在重新提醒我们:软件边界,远没有文件扩展名看起来那么清晰。
不上传、不注册也能改 PDF?BreezePDF 想把“隐私焦虑”变成生产力卖点
BreezePDF 试图用一句很直白的话打动用户:你的 PDF 不必再经过别人的服务器。它把编辑、签名、合并、转换等一整套 PDF 工具搬进浏览器本地运行,这不只是功能竞争,更是在当前“云端一切”的时代里,对隐私和控制权的一次重新定价。
欧盟委员会也被黑了:当欧洲最高行政机构的“云”开始漏水
欧盟委员会证实,其部分云基础设施遭遇网络攻击,黑客声称已从亚马逊云账户中窃取大量数据。这起事件真正刺眼的地方,不只是“被黑”本身,而是连监管科技巨头、制定数字规则的欧洲权力核心,也没能躲过云时代最典型的安全风险。
一枚被劫持的 Python 包,撕开了开源供应链最危险的一道口子
通信开发常用的 Python 包 telnyx 在 PyPI 上遭到投毒,看起来像是一起普通的软件供应链攻击,但它更像是一场持续蔓延的“自动化接管实验”。从 Trivy 到 npm,再到 PyPI,攻击者 TeamPCP 展示的不是单点破坏,而是把开发者信任链变成感染链的能力,这才是最让人不安的地方。
FBI局长私人Gmail疑遭伊朗黑客入侵:比“有没有被黑”更麻烦的,是旧邮件也能变成情报资产
Handala 宣称攻破 FBI 局长 Kash Patel 的私人 Gmail,FBI 也确认其个人邮箱信息遭到恶意行为者盯上,但强调不涉及政府系统与当前公务信息。新线索真正补强的地方,不是“私人邮箱被黑”这件事本身,而是两点:泄露样本里至少有部分邮件可被技术核验为真实,且邮件多为 2014 至 2019 年的历史材料,这让事件从单纯的账号入侵,转向更现实的情报拼图、舆论操控和高层数字卫生问题。