安全资讯 第5页
聚合当前分类下的最新内容,按时间顺序查看第 5 页精选文章。

OpenAI 的 Daybreak 押错了吗?漏洞战场正在从发现转向修复
OpenAI 扩展 Daybreak,推出 Codex Security 更新版、限定给可信防御者的 GPT-5.5-Cyber,以及 Patch the Planet 开源修复计划。关键变化不是模型更会找洞,而是 OpenAI 想把漏洞验证、补丁生成、维护者协作和访问治理串成一条防御流水线。对安全团队和开源维护者来说,接下来要看的不是跑分,而是误报、补丁质量、合并成本和平台闸门。

OpenAI 给开源修漏洞:难点不是找洞,是别把维护者压垮
OpenAI 推出 Daybreak 旗下 Patch the Planet,联合 Trail of Bits,用前沿模型和人工安全审查帮关键开源项目找漏洞、验证漏洞、提交补丁。重点不在 AI 又能挖多少洞,而在它是否真能把复核、测试、披露和维护者控制权接成闭环。对开源维护者和安全工程师来说,这可能是减负工具,也可能是大模型公司伸进公共基础设施的新入口。

Rocket Lab低调发射Puma卫星,美军“响应式太空”演示进入在轨接近阶段
Rocket Lab在新西兰Māhia Peninsula低调发射Victus Haze Puma小卫星,公开轨道数据随后显示它在约8小时后接近True Anomaly的Jackal-0004至约100公里。真正重要的不是一次秘密感很强的发射,而是美太空军把“快速把卫星送上去”的演示,推进到“上去后能否追踪、接近并评估目标”的验证阶段。公开信息仍不足以证明成熟反卫星作战能力,只能说明一次更复杂的在轨演练已经启动。

年龄验证正在把所有人推向身份门禁
年龄验证的问题,不是要不要保护儿童,而是它常常要求所有用户先证明自己是谁。确认是否成年,和提交姓名、证件号、人脸扫描,是两种完全不同的东西。证件和生物特征一旦泄露,不能像密码一样重置,普通用户和科技团队都该重新评估这种门禁的代价。

Klue 被黑:一个旧凭据,拖出 SaaS 连接层风险
Klue 遭 Icarus 入侵,攻击者用被盗旧凭据访问其集成工具,并从多家客户连接到 Klue 的云端数据中窃取信息。被盗内容主要是商业联系人信息,不等于 Salesforce 被直接攻破,也不能夸大成密码泄露。更该盯住的是:企业把核心客户数据接给第三方中间层后,谁来负责钥匙、撤权和审计。

Vibe coding 能几小时上线应用,但安全门槛没一起降下来
The Verge 报道称,AI 辅助的 vibe coding 正让个人应用更快进入公网,但已有案例暴露 SQL 注入、生产数据库误删、演示应用遭攻击等风险。问题不只是 AI 会写错代码,而是缺少安全经验的开发者把未经审查的应用接入真实数据和线上环境。对个人开发者和小团队来说,部署前的安全检查不再是大公司流程,而是上线前的最低成本。

丹麦隐私活动人士称遭武装破门:个人信息泄露案里,警察能不能先关掉镜头
丹麦隐私活动人士、前警察 Lars Andersen 称,自己因隐晦发布首相社保号和电话号码,并在 WhatsApp 上追问加密与监控政策,被蒙面武装警察破门逮捕。现有信息主要来自 Andersen 在 X 上的单方陈述,不能直接认定警方违法。真正该看的,是个人信息泄露调查中,警方取证、断网和扣押摄像头是否仍能被外部验证。

PowerFox 给旧 Mac 补浏览器短板,但别把它当系统安全更新
PowerFox Browser 宣称支持 Mac OS X Tiger、Leopard、Snow Leopard,卖点包括 TLS 1.3、现代加密套件、WebGL、较新的 JavaScript 引擎、彩色 emoji、NPAPI 插件和多语言包。它对仍在使用 PowerPC、早期 Intel Mac 的人有实际价值,但更像浏览器层面的补位方案。真正要警惕的是:浏览器安全补丁不等于旧版 OS X 重新获得系统级维护。

ATProto 的钥匙问题:去中心化身份,默认可能仍由 PDS 控制
一篇技术博客指出,ATProto/Bluesky 用户的 PDS 默认可能持有 signing key,甚至持有 rotation key;前者可代用户为 repo commit 签名,后者可影响 DID 身份控制。风险不在公开数据泄露,而在跨应用身份被同一条密钥信任链绑定后,PDS 变成事实上的总钥匙保管人。普通用户该看自己是否有自控的 backup rotation key;开发者该把密钥归属、审计和迁移能力做成默认能力,而不是留给懂协议的人自己摸索。

Zoom 的 localhost 漏洞:CORS 不是报错,是边界
Zoom 2019 年的 localhost Web Server 漏洞,关键不在“本机起服务”本身,而在它用图片尺寸传状态,绕开了 AJAX/CORS 的读取限制。CORS 不是鉴权,也不会阻止所有请求发出;它真正管的是浏览器跨源读取边界。对 Web 开发者和技术负责人来说,这件事提醒的是:别把安全护栏当成产品体验的绊脚石。

Loupe 开源:iPhone 隐私的盲区,不在弹窗里
Mysk 开源了 Loupe,一款 iOS/iPadOS 隐私演示应用,用公开 API 展示普通原生 App 能读取哪些设备指纹信号。它不是 iOS 漏洞报告,也不会上传数据;刺痛点在于,很多可组合成指纹的信号本来就不需要用户授权。真正该看的不是“有没有弹窗”,而是苹果接下来怎么收默认暴露面、降精度和治理侧信道。

巴西“极端警报”误发:真正危险的是下一次没人信
巴西多个州手机用户收到未经授权的“Extreme Alert”,内容只有“misantropi4”。巴西国家民防称疑似黑客攻击,已临时关闭全国民防预警平台;圣保罗、巴拉那、里约地方民防均否认发布警报。比这条怪消息更麻烦的是信任成本:公共预警系统一旦被滥用,下一次真警报会先被用户打问号。

英国没说要封VPN,但儿童上网监管已经越过平台边界
英国政府将在7月向议会说明未成年人社交媒体限制的配套措施,VPN年龄门槛仍在研究中,并未宣布禁用VPN。真正的变化是,儿童网络保护正在从平台年龄验证外溢到VPN这类基础网络工具。接下来要看证据、隐私保护和执行边界,而不是只看一句“保护孩子”。

Aikido Code Audit:AI 代码安全的分水岭,不在扫描,在推理
Aikido 发布 Code Audit,用代理式模型在静态源代码里追踪跨文件、跨模块的复杂逻辑漏洞。它不替代 SAST,也不替代渗透测试,而是补二者之间那块昂贵、慢、难自动化的空档。厂商数据可以参考,但真正要看误报、复现和修复闭环。

年龄验证走出成人网站:儿童保护,还是全网实名入口
美国部分州、英国和美国联邦层面的讨论,正在把在线年龄验证从成人网站推向社交媒体,甚至推到操作系统和应用分发层。真正要警惕的不是“保护未成年人”这个目标,而是执行方式会不会变成证件、支付信息和设备可信状态绑定的上网通行证。RTA Header 这类客户端方案并不完美,但它提醒我们:年龄保护不必默认走向集中式实名数据库。

MCP的关键价值,可能不是“会调用工具”,而是把密钥挡在模型之外
Simon Willison 收录了 Sean Lynch 在 Hacker News 上的一条判断:MCP 相比 skills/CLI 的真正价值,可能是把认证流程隔离在 agent 上下文窗口之外。这个观点并非 MCP 官方定位,也谈不上行业共识,但它把争论从“工具怎么接”推向了更现实的安全边界问题。

英国拟禁 16 岁以下用社交媒体,麻烦不只在孩子
英国政府计划从 2027 年春季起,禁止 16 岁以下用户使用 Snapchat、TikTok、YouTube、Instagram、Facebook、X 等主要社交媒体。真正的争议不只是孩子能不能上网,而是平台为了执行禁令,可能要求所有年龄段用户证明自己不是未成年人。EFF 反对的核心理由很直接:目前没有一种可靠、普遍可用、又足够保护隐私的在线年龄验证方式。

Google Workspace 要 Firefox 用户改用 Chrome?先别急着下结论
2026 年 6 月 18 日,一名 Google Workspace Business Plus 用户在最新版 Firefox 和最新版操作系统中访问 Workspace 时,看到安全整改提示,要求下载 Chrome 并用工作账号登录。 这还不能证明 Google 已全面封锁 Firefox,因为当时 Firefox 仍可继续使用,后续是否会被阻断也未知。 真正值得企业 IT 和开发团队警惕的是:浏览器选择可能正在被安全合规流程改写。

Let’s Encrypt 服务降级:该盯紧续期任务,但别误读成全站宕机
Let’s Encrypt 状态页显示,生产环境 ACME v2 API 和门户服务在两个 High Assurance Datacenter 均为 Degraded Performance。 目前更准确的判断是:证书签发、续期链路可能变慢或不稳定,但不是 Let’s Encrypt 全站宕机。 依赖 ACME 自动续期的团队,应优先检查临期证书、续期日志和自动化任务重试情况。

Crypto Clipper:偷币木马回到 U 盘里,麻烦在后门化
Microsoft 发现一款名为 Crypto Clipper 的自传播恶意软件,通过 USB 盘里的 .lnk 文件扩散,监控剪贴板中的钱包地址和 12/24 词助记词,并经 Tor 回传数据。它目前不能被说成大规模爆发,也不是链上协议被攻破;真正麻烦的是,偷币、截图、Tor 通信和远程执行被拼成了一个低成本轻量后门。

印度封 Telegram 一周,用户用下载量投了反对票
印度因 NEET 重考舞弊风险临时限制 Telegram 至 6 月 22 日,结果 VPN、Signal、iMe 等工具下载暴涨,Telegram 的日活和 DNS 请求反而上升。它说明平台级封禁很容易把治理问题推向网络绕行,短期能表态,长期会训练用户绕过规则。