安全资讯 第2页
聚合当前分类下的最新内容,按时间顺序查看第 2 页精选文章。
量子计算的闹钟突然提前了:谷歌、Cloudflare冲向2029,大厂加密迁移赛跑正式变味
后量子密码迁移原本像一场漫长而枯燥的基础设施升级,如今却被谷歌和Cloudflare硬生生拉成了“提前交卷”的高压竞赛。真正让行业紧张的,不再只是“未来某天旧数据会被解密”,而是量子计算一旦越线,今天依赖数字签名维持信任的互联网本身,可能会先出问题。
黑客也开始“自动驾驶”了:AutoProber 想把芯片探针台变成 AI 的机械手
GainSec 开源的 AutoProber,不只是一个会动的 CNC 小项目,而是一套把显微镜、示波器、探针和网页控制台串起来的硬件逆向自动化栈。它真正有意思的地方在于:AI 不再只分析代码和图片,而是开始通过机器“伸手”去碰真实世界里的电路板,这既让实验室效率暴涨,也把安全与边界问题推到了台前。
一个充电宝,为什么会变成定时炸弹?Casely 再次召回背后的锂电池安全警报
美国配件品牌 Casely 再次重申对一款无线充电宝的召回,原因已经不只是“发热风险”,而是现实中发生了爆炸、机舱起火,甚至导致一名 75 岁女性死亡。它提醒我们的,不只是别买杂牌充电宝,而是整个移动电源行业在“轻薄、磁吸、快充”狂奔时,电池安全仍然是最脆弱也最容易被忽视的一环。
欧洲警方给7.5万人群发邮件:别再花钱买DDoS攻击了
欧洲刑警组织这次的动作很特别:不是只抓平台经营者,而是直接给7.5万名疑似“下单打网站”的用户发邮件和信件,明着告诉他们“我们知道你是谁”。这说明网络执法正在从“打掉黑产工具”转向“震慑整条需求链”,而DDoS这种门槛极低的攻击方式,也正在进入更精细化的治理阶段。
“远程打工人”背后的国家级骗局:两名美国人帮朝鲜潜入上百家公司,最终获刑
美国司法部日前宣布,两名美国公民因协助朝鲜政府运作“假 IT 员工”计划而分别被判 7 年半和 9 年监禁。这起案件真正令人后背发凉的,不只是 500 万美元的非法收入,而是它揭示出:在远程办公和全球化招聘时代,企业的人力系统、设备管理和国家安全,已经被一条看似普通的“外包链路”悄悄打通了。
Bluesky“半宕机”:一次攻击,把去中心化社交的软肋和希望都照了出来
Bluesky 本周遭遇持续性服务异常,官方高管将原因指向拒绝服务攻击,用户最直观的感受是:页面时而能开,时而报错,热门信息流几乎“堵车”。这件事不只是一次短暂故障,它更像一场压力测试——去中心化社交是否真比传统平台更有韧性,现在到了该拿结果说话的时候。
人人都想拦住孩子上网,可年龄验证正在把整个互联网变成“查身份证”的门口
全球范围内打着“保护未成年人”旗号推进的年龄验证,正在迅速成为互联网基础设施的一部分。但问题在于,现有方案几乎没有一个足够靠谱:要么靠 AI 猜年龄,要么上传证件,要么把审查前移到应用商店,便利、安全和隐私三者很难同时成立。
一件衣服没送到,先把隐私送上网了:Express 订单漏洞敲响零售业警钟
美国服装零售商 Express 近日被曝因网站安全漏洞,将用户订单确认页直接暴露在互联网上,姓名、电话、地址和部分支付信息都可能被他人查看。这不是一场“黑客大片”式攻击,而是更让人无力的那种低级失误:系统设计不严谨、漏洞报告渠道缺失、企业回应也不够透明,而这恰恰是当下零售业最常见、也最危险的安全短板。
AI 不再只会写代码:Codex 被研究人员带进三星电视,真的拿到了 root
这不是一篇“AI 自动黑掉电视”的夸张标题党,而是一场更值得行业警惕的实验:研究人员给 Codex 搭好操作环境、开放真实设备和匹配源码后,它一步步把三星电视浏览器里的落脚点推进成了 root 权限。真正震撼的地方不在于某个漏洞本身,而在于 AI 已经开始具备“像安全研究员一样试错、修正、再推进”的能力。
当开源撞上 AI 攻击:Cal.com 关掉代码仓库,敲响了一个时代的警钟
日程预约平台 Cal.com 宣布从开源转向闭源,理由并不复杂:AI 正在把漏洞挖掘和攻击自动化,公开代码库越来越像把保险库结构图挂在门口。这不是一家公司的技术路线调整那么简单,它折射出一个更大的行业问题——在 AI 时代,开源的透明与安全的边界,正在被重新划定。
囚室天花板上的“黑客机房”:美国监狱这场离谱漏洞,暴露的不是犯人聪明,而是系统太松
美国俄亥俄州一所监狱里,囚犯竟利用回收拆解项目拼装出两台电脑,并悄悄藏进培训室天花板接入监狱网络。这起听上去像电视剧桥段的事件,真正刺眼的地方并不是犯人的“技术天赋”,而是监狱在数字化管理时代对设备、网络和权限的控制,脆弱得超乎想象。
Windows Recall 又被撬开一道门:微软把保险库锁紧了,却忘了看送货车
安全研究员最新发布的“TotalRecall Reloaded”表明,Windows 11 的 Recall 虽然在数据库加密和 Windows Hello 认证上补了大洞,但数据一旦被合法解锁,仍可能在传输链路上被“搭车”截取。微软认为这不算漏洞,但这恰恰暴露了 Recall 最大的尴尬:它的核心风险,从来不只是加密够不够强,而是它记录的内容本身太多了。
当 AI 成了“自动黑客”,开源还守得住吗?Cal.com 关源引发的一场安全路线之争
日程预约平台 Cal.com 宣布将核心代码从开源转向闭源,理由很直接:AI 已把漏洞挖掘和利用的成本压到几乎为零。可讽刺的是,提出反对意见的安全公司 Strix,恰恰就是这类“AI 安全代理”的代表,这让这场争论不再只是开源与闭源的选择题,而是软件行业如何面对 AI 攻防失衡的现实拷问。
瑞典热电厂险遭“破坏性”黑客攻击:当网络战开始瞄准锅炉、阀门和冬天的暖气
瑞典政府公开指责与俄罗斯情报和安全机构有关联的黑客,曾在 2025 年试图入侵一座热电厂并实施“破坏性”攻击,所幸被内置防护机制拦下。这件事真正让人不安的地方,不在于一次未遂入侵本身,而在于欧洲关键基础设施正在从“被骚扰”走向“可能被直接熄火”——网络攻击的目标,已经不只是数据,而是现实世界里的供暖、供电和日常生活。
别再指望别人先中招了:依赖“冷却期”为何不是供应链安全的终点
围绕开源供应链攻击,越来越多人开始推崇“依赖冷却期”——新版本发布后先等几天再升级。这个办法看似稳妥,实则建立在“让别人先踩雷”的逻辑上。Cal Paterson 的最新文章抛出一个更尖锐的主张:真正该加冷却的,不是每个开发者的项目配置,而是包管理平台本身的分发机制。
美国想把“年龄门禁”装进手机系统:H.R.8250 把苹果谷歌推到未成年人保护前线
美国众议院新提出的 H.R.8250 法案,试图把“年龄验证”这件事从应用商店和社交平台,往上推到操作系统层面。它看起来像是在保护未成年人,实际上却可能重塑苹果、谷歌等系统厂商的责任边界,也把隐私、监管与技术实现之间最棘手的矛盾一下子摆到了台前。
FCC突然“放行”网件路由器:一场说不清的禁令,正在把美国家庭网络变成政策试验场
美国FCC突然给网件(Netgear)开了一张临时通行证,允许其继续向美国进口未来的消费级路由器、线缆猫和网关设备,但理由依然模糊。更尴尬的是,这项原本打着“国家安全”旗号的路由器禁令,如今看上去越来越像一场围绕制造地、而非真正网络安全的政策表演。
OpenAI把“网络安全特权”发给更多人:当更强的AI来了,防守方也得先武装起来
OpenAI 正在把面向网络安全防守者的“可信访问”计划扩大到数千名个人研究员和数百个团队,同时推出更偏向防御用途的 GPT-5.4-Cyber。这个动作的关键不只是新模型本身,而是 OpenAI 明确承认:在 AI 已经加速攻防两端的当下,安全能力不能再靠一刀切限制,而要靠分层授权、身份验证和持续部署来平衡风险。
一场悄无声息的接管:数十个 WordPress 插件被植入后门,供应链安全再敲警钟
这不是一次普通的插件漏洞,而是一场典型的软件供应链攻击:攻击者疑似先买下插件,再慢慢把恶意代码送进成千上万个网站。更让人不安的是,WordPress 生态对“插件易主”几乎没有提醒机制,这意味着许多站长可能是在毫不知情的情况下,把自家网站钥匙交给了陌生人。
看球不只是卡顿了:西班牙电信把“封 IP”从足球扩到网球、高尔夫,整个互联网都可能陪跑
西班牙电信旗下的 Telefónica Audiovisual Digital 获得法院新授权,将动态封锁范围从西甲赛事进一步扩大到欧冠、网球、高尔夫,甚至影视内容。表面上这是版权保卫战,实质上却把越来越多无辜网站和普通用户拖进“误伤半径”:当打击盗版靠大面积封 IP,互联网的基础可达性正在为商业版权让路。
我想退出车牌监控系统,对方却让我去找“甲方”:Flock Safety 与隐私责任的踢皮球
美国监控科技公司 Flock Safety 最近因一封隐私请求回复引发争议:一位加州居民要求删除与自己及家人的数据,却被告知应去找购买服务的警方或机构。问题不只是这封邮件是否傲慢,而是当遍布街头的车牌识别系统把“谁在收集你的数据”变得越来越模糊时,个人隐私权可能正在被外包、切分,最后无处申诉。