安全资讯 第2页
聚合当前分类下的最新内容,按时间顺序查看第 2 页精选文章。
PowerFox 给旧 Mac 补浏览器短板,但别把它当系统安全更新
PowerFox Browser 宣称支持 Mac OS X Tiger、Leopard、Snow Leopard,卖点包括 TLS 1.3、现代加密套件、WebGL、较新的 JavaScript 引擎、彩色 emoji、NPAPI 插件和多语言包。它对仍在使用 PowerPC、早期 Intel Mac 的人有实际价值,但更像浏览器层面的补位方案。真正要警惕的是:浏览器安全补丁不等于旧版 OS X 重新获得系统级维护。
ATProto 的钥匙问题:去中心化身份,默认可能仍由 PDS 控制
一篇技术博客指出,ATProto/Bluesky 用户的 PDS 默认可能持有 signing key,甚至持有 rotation key;前者可代用户为 repo commit 签名,后者可影响 DID 身份控制。风险不在公开数据泄露,而在跨应用身份被同一条密钥信任链绑定后,PDS 变成事实上的总钥匙保管人。普通用户该看自己是否有自控的 backup rotation key;开发者该把密钥归属、审计和迁移能力做成默认能力,而不是留给懂协议的人自己摸索。
Zoom 的 localhost 漏洞:CORS 不是报错,是边界
Zoom 2019 年的 localhost Web Server 漏洞,关键不在“本机起服务”本身,而在它用图片尺寸传状态,绕开了 AJAX/CORS 的读取限制。CORS 不是鉴权,也不会阻止所有请求发出;它真正管的是浏览器跨源读取边界。对 Web 开发者和技术负责人来说,这件事提醒的是:别把安全护栏当成产品体验的绊脚石。
Loupe 开源:iPhone 隐私的盲区,不在弹窗里
Mysk 开源了 Loupe,一款 iOS/iPadOS 隐私演示应用,用公开 API 展示普通原生 App 能读取哪些设备指纹信号。它不是 iOS 漏洞报告,也不会上传数据;刺痛点在于,很多可组合成指纹的信号本来就不需要用户授权。真正该看的不是“有没有弹窗”,而是苹果接下来怎么收默认暴露面、降精度和治理侧信道。
巴西“极端警报”误发:真正危险的是下一次没人信
巴西多个州手机用户收到未经授权的“Extreme Alert”,内容只有“misantropi4”。巴西国家民防称疑似黑客攻击,已临时关闭全国民防预警平台;圣保罗、巴拉那、里约地方民防均否认发布警报。比这条怪消息更麻烦的是信任成本:公共预警系统一旦被滥用,下一次真警报会先被用户打问号。
英国没说要封VPN,但儿童上网监管已经越过平台边界
英国政府将在7月向议会说明未成年人社交媒体限制的配套措施,VPN年龄门槛仍在研究中,并未宣布禁用VPN。真正的变化是,儿童网络保护正在从平台年龄验证外溢到VPN这类基础网络工具。接下来要看证据、隐私保护和执行边界,而不是只看一句“保护孩子”。
Aikido Code Audit:AI 代码安全的分水岭,不在扫描,在推理
Aikido 发布 Code Audit,用代理式模型在静态源代码里追踪跨文件、跨模块的复杂逻辑漏洞。它不替代 SAST,也不替代渗透测试,而是补二者之间那块昂贵、慢、难自动化的空档。厂商数据可以参考,但真正要看误报、复现和修复闭环。
年龄验证走出成人网站:儿童保护,还是全网实名入口
美国部分州、英国和美国联邦层面的讨论,正在把在线年龄验证从成人网站推向社交媒体,甚至推到操作系统和应用分发层。真正要警惕的不是“保护未成年人”这个目标,而是执行方式会不会变成证件、支付信息和设备可信状态绑定的上网通行证。RTA Header 这类客户端方案并不完美,但它提醒我们:年龄保护不必默认走向集中式实名数据库。
MCP的关键价值,可能不是“会调用工具”,而是把密钥挡在模型之外
Simon Willison 收录了 Sean Lynch 在 Hacker News 上的一条判断:MCP 相比 skills/CLI 的真正价值,可能是把认证流程隔离在 agent 上下文窗口之外。这个观点并非 MCP 官方定位,也谈不上行业共识,但它把争论从“工具怎么接”推向了更现实的安全边界问题。
英国拟禁 16 岁以下用社交媒体,麻烦不只在孩子
英国政府计划从 2027 年春季起,禁止 16 岁以下用户使用 Snapchat、TikTok、YouTube、Instagram、Facebook、X 等主要社交媒体。真正的争议不只是孩子能不能上网,而是平台为了执行禁令,可能要求所有年龄段用户证明自己不是未成年人。EFF 反对的核心理由很直接:目前没有一种可靠、普遍可用、又足够保护隐私的在线年龄验证方式。
Google Workspace 要 Firefox 用户改用 Chrome?先别急着下结论
2026 年 6 月 18 日,一名 Google Workspace Business Plus 用户在最新版 Firefox 和最新版操作系统中访问 Workspace 时,看到安全整改提示,要求下载 Chrome 并用工作账号登录。 这还不能证明 Google 已全面封锁 Firefox,因为当时 Firefox 仍可继续使用,后续是否会被阻断也未知。 真正值得企业 IT 和开发团队警惕的是:浏览器选择可能正在被安全合规流程改写。
Let’s Encrypt 服务降级:该盯紧续期任务,但别误读成全站宕机
Let’s Encrypt 状态页显示,生产环境 ACME v2 API 和门户服务在两个 High Assurance Datacenter 均为 Degraded Performance。 目前更准确的判断是:证书签发、续期链路可能变慢或不稳定,但不是 Let’s Encrypt 全站宕机。 依赖 ACME 自动续期的团队,应优先检查临期证书、续期日志和自动化任务重试情况。
Crypto Clipper:偷币木马回到 U 盘里,麻烦在后门化
Microsoft 发现一款名为 Crypto Clipper 的自传播恶意软件,通过 USB 盘里的 .lnk 文件扩散,监控剪贴板中的钱包地址和 12/24 词助记词,并经 Tor 回传数据。它目前不能被说成大规模爆发,也不是链上协议被攻破;真正麻烦的是,偷币、截图、Tor 通信和远程执行被拼成了一个低成本轻量后门。
印度封 Telegram 一周,用户用下载量投了反对票
印度因 NEET 重考舞弊风险临时限制 Telegram 至 6 月 22 日,结果 VPN、Signal、iMe 等工具下载暴涨,Telegram 的日活和 DNS 请求反而上升。它说明平台级封禁很容易把治理问题推向网络绕行,短期能表态,长期会训练用户绕过规则。
台湾66亿美元无人机预算:防务急单,也是外向型军工窗口
台湾防务部门提出2026至2031年投入66亿美元,采购本土无人机和无人水面艇,目标规模与现有约5000架无人机军备相比是数量级跃升。 这笔预算还不是采购结果,但已经给本土厂商一个明确信号:产能、认证和交付能力会变得更值钱。 台湾厂商正在借西方军工供应链“去中国化”进入美国、欧洲及乌克兰相关链条,但短板仍在AI、软件和作战系统。
MCP 企业授权扩展稳定:AI 工具进公司,不能再靠员工逐个点 OAuth
MCP 的 Enterprise-Managed Authorization(EMA)扩展已进入稳定版,核心变化是企业管理员可通过 IdP 集中授权 MCP 服务器访问。它不是替代 MCP 核心授权的强制升级,而是给企业治理、安全审计和账号边界补上标准化入口。能否成为企业默认方案,要看 Okta 之外的 IdP、更多 MCP 客户端和服务器是否跟进。
Elkjop 被罚 180 万欧元:会员同意不能再当营销门票
挪威 Datatilsynet 对 Elkjop 罚款 2000 万挪威克朗,约 180 万欧元,原因是会员资格与营销同意捆绑,且会员数据被继续用于广告和转化追踪。监管认定相关同意被强迫、不具体、告知不足,还涉及未做 GDPR 第 6(4) 条兼容性评估。真正受影响的不是一家零售商,而是所有把会员、CRM、邮件营销和广告归因绑成一条流水线的团队。
Beats Studio Buds 补上高危窃听漏洞,蓝牙耳机的安全债还在后面
Apple 已向 Beats Studio Buds 自动推送 1B211 固件,修复高危蓝牙认证漏洞 CVE-2025-20701,评分 8.8/10。攻击需要近距离、配对状态等条件,目前没有公开证据显示已被大规模利用,普通用户不必恐慌。真正要盯住的是 Airoha 芯片固件、耳机厂商补丁整合和自动配对体验背后的供应链安全债。
Android 开发者验证 2026 年先在四国执行:侧载没消失,但门槛变高了
Google 确认,Android 开发者验证将从 2026 年 9 月 30 日起先在巴西、印尼、新加坡、泰国执行,6 月起相关系统服务会下发到多数 Android 8 及以上的 Google 认证设备。 这不是全面禁止侧载,第三方商店和绕过流程仍在;但未注册开发者、独立 APK 分发和高级用户安装工具,都会遇到更高门槛。 我更在意的是:反诈骗能解释安全需求,却不能抹掉 Android 开放安装生态被重新收口的事实。
SpaceX上市前境外持股名单曝光:风险不在“偷技术”,而在谁能看见什么
ProPublica推动解封的法庭文件显示,SpaceX上市前曾有中国内地、香港、俄罗斯及卡塔尔相关投资人通过美国中介基金间接持股。现有材料不能证明SpaceX违法或投资人获取机密,但它暴露了敏感国防承包商在私募融资阶段的所有权透明度和信息边界问题。
MosaicLeaks 撕开的口子:研究型 Agent 越会查,越可能把机密带出门
ServiceNow 发布 MosaicLeaks,用 1,001 条受控多跳研究链测试深度研究 Agent 是否会在外部搜索查询里泄露企业私有信息。最关键的反常点是:只奖励任务成功,会把 Qwen3-4B 的成功率从 48.7% 拉到 59.3%,也把泄露率从 34.0% 推到 51.7%。PA-DR 把隐私写进奖励函数后,成功率保持在 58.7%,泄露率降到 9.9%,但这仍不是彻底解决方案。