安全资讯 第15页
聚合当前分类下的最新内容,按时间顺序查看第 15 页精选文章。
OpenAI 披露百万级高风险信号后,AI 安全不能只剩“提醒”和“封号”
OpenAI 因枪击案家属起诉被推到台前,争议不只是 ChatGPT 有没有给过危机资源链接,而是模型在识别到用户危险状态后,究竟该不该继续对话。最新披露的每周约 120万至300万高风险信号,把问题从一个案件推成了平台治理问题:灾难风险有硬闸门,个人心理危机却常常只有软提醒。
Palantir员工质疑“法西斯化”:ICE合同、Maven争议和技术中立叙事的失灵
Palantir因加深参与DHS/ICE移民执法、军事打击和国家安全项目,遭遇内部员工在Slack和访谈中的伦理质疑。争议焦点不是公司有没有不同声音,而是它宣称的防滥权机制,能否约束政府客户的实际使用。对AI监控、军工技术和政府采购观察者来说,接下来要看合同边界、审计权限和海外客户反应。
FCC路由器禁令补了一刀:MiFi更难进美国,旧设备却能打补丁到2029
FCC把外国制造消费级路由器禁令扩到便携热点类设备,手机自带热点不在范围内,新型号审批会更难。新补上的关键变量是:存量外国路由器、无人机和关键部件的软件/固件更新豁免延到2029年,说明监管也承认,禁新硬件和维护旧设备不能混为一谈。
IBM Quantum 后端被换成 /dev/urandom:17-bit ECDLP 结果更像随机命中
一个约 59 行补丁只把 IBM Quantum 后端替换成 /dev/urandom,下游电路构造、提取流程和 d·G==Q 验证都保留,仍复现了多组 ECDLP 私钥恢复结果。 4-bit 到 10-bit 小挑战首跑成功,16-bit 为 4/5,17-bit 为 2/5;17-bit 还是拿到 1 BTC 奖励的案例。 这不能证明 IBM Quantum 无用,也不代表真实 ECC 被攻破。它说明的是:该提交的恢复结果目前看不出可测量的量子信号。
美国“金穹”太空拦截器开标:32亿美元买不到护身符,只买到一次高风险验证
美国太空军公布“金穹”天基拦截器首批12家承包商,20项早期研发和演示协议最高32亿美元,目标是在2028年前展示初始能力。32亿美元不是量产采购,也不是“金穹”总成本;真正要看的,是天基助推段拦截能否便宜、足量、可持续。若做不到规模化,这套方案就更像被战争焦虑、产业利益和政治时间表一起推高的昂贵幻象。
IRS 花 1.3 亿美元用 Palantir 查金融犯罪:查案提速,权力也在集中
据 The Intercept 披露,IRS 刑事调查部门自至少 2018 年起使用 Palantir 的 Lead and Case Analytics,合同累计约 1.3 亿美元。 这套工具用于聚合、分析跨联邦机构数据,帮助调查金融犯罪,强项是从海量记录和链接里找关系网络。 反金融犯罪站得住脚,但税务、执法和数据平台绑得越深,访问权限、日志留痕和外部监督就越不能含糊。
RODECaster Duo 被拆出默认 SSH:好用的音频接口,安全边界太松
一名用户拆解 RODECaster Duo 固件更新流程后发现:设备默认开启 SSH、内置用途不明的公钥,固件包可被捕获和修改,更新只靠 MD5 做完整性校验。材料没有证明存在公开远程攻击链,也不能说厂商已确认漏洞;真正的问题是消费级智能外设把“用户可控”和“默认暴露攻击面”混在了一起。对创作者用户,短期重点是网络隔离和观望官方回应;对硬件安全研究者,这是一条值得继续验证的固件信任链样本。
名校 .edu 子域名被接管:问题不在主站被黑,而在 CNAME 账本没人管
研究员 Alex Shakhov 称,至少 34 所大学的数百个子域名被滥用,部分出现在 Google 搜索结果中,用于色情内容和诈骗页面。核心机制是废弃 CNAME 记录未清理,攻击者注册旧目标域名后接管流量。它暴露的不是高深攻防,而是高校分散式 IT 治理的老账:子域名发得出去,退场没人管。
《降世神通》新片泄露嫌疑人被捕:粉丝不满不能给盗版开绿灯
派拉蒙新动画电影《Avatar Aang: The Last Airbender》上线前数月遭高清泄露,新加坡警方已逮捕一名26岁男子,称其涉嫌未授权远程访问服务器并上传影片。若最终定罪,嫌疑人最高可面临10年监禁和5万美元罚款。真正该看的不是“盗版又来了”,而是片厂内容供应链、流媒体发行决策和粉丝情绪开始硬碰硬。
Morpheus 伪装成安卓更新:意大利“合法监听”产业的灰区更清楚了
Osservatorio Nessuno 披露安卓间谍软件 Morpheus:它伪装成手机更新应用,疑似借运营商断网和短信诱导目标安装。 研究人员将 Morpheus 指向意大利合法监听厂商 IPS,依据包括基础设施 IP 注册信息和代码中的意大利语片段;IPS 未回应 TechCrunch 置评请求。 这不是安卓零点击漏洞事件。更要紧的是,低成本监控正在把运营商渠道、无障碍权限和用户对“官方通知”的信任串成一条攻击链。
SECURE Data Act来了:美国联邦隐私法若压低州法,用户可能先输
美国众议院共和党人提出 SECURE Data Act,想建立全国数据隐私标准,内容包括数据最小化、访问删除权、敏感数据 opt-in,并由 FTC 和州总检察长执法。争议点不在美国要不要联邦隐私法,而在这套联邦标准可能覆盖加州、马里兰、明尼苏达、康涅狄格等州更强规则。我的判断:如果统一标准是低水位统一,它更像给科技行业减负,不像给用户加权。
UK Biobank约50万志愿者健康数据被摆上阿里巴巴:科研公益最怕信任折价
BMJ 2026年4月24日报道,UK Biobank称4月20日在阿里巴巴发现3个出售其志愿者健康数据的列表,至少一个包含全部约50万名志愿者数据。泄露路径目前不明,不能直接写成UK Biobank内部系统被黑。更严重的是,健康、组学和疾病结局数据无法像密码一样重置,匿名化也不是绝对保险。
Mythos 找到 Firefox 高危漏洞:别把营销词当账本,也别低估这把刀
Mozilla 的最新披露让 Anthropic Mythos 不再只是发布会里的“AI 找洞”故事:它确实在 Firefox 这样的大型真实代码库里挖出了高危漏洞,甚至包括潜伏十多年的旧问题。但这不等于“AI 自动修好浏览器”,真正被改写的是安全团队的发现节奏,压力会从找洞转向定级、修复和披露管理。
首个后量子勒索软件 Kyber:技术没升级多少,恐吓话术升级了
Rapid7 确认,勒索软件 Kyber 的 Windows 版本使用 ML-KEM1024 封装 AES 密钥,成为首个已确认使用后量子密码的勒索软件家族。文件本体仍由 AES-256 加密,后量子算法不是拿来直接加密文件。真正的新东西不是破解难度,而是黑产把“后量子”做成赎金谈判里的心理筹码。
儿童社交媒体禁令扩散:15岁还是16岁,不是最难的问题
澳大利亚已在2025年底禁止16岁以下儿童使用多家主流社交平台,欧洲和亚洲多国正把未成年人社交媒体门槛推向15岁或16岁。核心争议不在“要不要保护儿童”,而在年龄验证会牺牲多少隐私、平台要承担多少责任、政府能管到哪一步。禁令不是万能药,但它正在迫使平台为成瘾设计付出制度成本。
Codex 挤进办公室后,OpenAI 终于把笼子拿出来了
Codex 的故事不再只是“AI 会写代码”,而是编码代理开始进入仓库、终端、企业工具和办公流程。OpenAI 新披露的内部安全实践补上了关键一块:沙箱、审批、网络策略和代理日志,决定它能不能在企业里被放心放权。
Sean Plankey请求撤回CISA提名:美国网络防线卡在人事和预算里
特朗普两次选中的CISA局长人选Sean Plankey请求撤回提名,理由是参议院不会确认他;白宫尚未立即回应是否接受。CISA继续由临时领导运转,叠加停摆、休假、裁员和超过7亿美元预算削减要求。真正危险的不是少一个名字,而是美国把民用网络防御机构拖进政治卡关和资源收缩。
GPT-5.5 网络安全测试追平 Mythos:OpenAI 上门禁,问题不只是“危险模型”
英国 AISI 的新测试把 GPT-5.5 和 Anthropic 的 Mythos Preview 放到同一张网络安全能力表里:前者在 CTF 任务平均通过率上略高,TLO 企业网络模拟也已经能成功跑通部分步骤。这个结果补强了一个更现实的判断:网络安全风险不是某个模型突然异变,而是前沿模型整体能力涨水后的副产品。OpenAI 限制 GPT-5.5 Cyber 访问权限不是小题大做,但“安全”也正在变成平台控制能力的一部分。
美国太空司令部:俄罗斯正把共轨反卫星从测试推向作战部署
美国太空司令部最新公开判断是:俄罗斯已不只是测试共轨反卫星系统,而是在把可快速接近美国高价值侦察卫星的卫星放到合适轨道上。现阶段没有公开攻击,也没有贴身逼近到极近距离,但轨道面对准和持续部署都说明,这件事已从“展示能力”走到“前置摆位”。更要命的是,它戳中的不是单颗卫星,而是美国高度依赖天基侦察、导航和预警的整套作战体系。
Polymarket天气赌局被指遭吹风机干预:3.4万美元争议后,链下传感器成了真正软肋
Polymarket巴黎气温合约此前因约3.4万美元结算引发争议,核心问题是结算依赖单点温度数据。后续公开讨论又出现更具体的指控:有人被称携带吹风机接近温度传感器,试图影响读数;目前这仍属指控或传闻,但它把预测市场最脆的一环暴露得更清楚——链上规则再硬,链下数据入口也可能被几美元成本撬动。
Bitwarden CLI 被植入恶意代码:失守的不是密码库,是 CI/CD 发布链
Bitwarden 的 npm CLI 包 `@bitwarden/cli` 2026.4.0 被确认植入恶意代码,目前已知影响边界集中在这一 npm 分发版本,不等于 Bitwarden 全线产品失陷。真正的风险在开发与 CI/CD 环境:攻击目标是 GitHub token、npm token、云凭证、SSH key 和环境变量,不是把 CLI 本身“搞坏”。这件事扎眼的地方在于,连安全产品也会倒在自动化发布链上,问题更像权限治理松散,而不是一次孤立投毒。