安全资讯 第7页
聚合当前分类下的最新内容,按时间顺序查看第 7 页精选文章。

苹果把隐藏邮箱改成 @private.icloud.com,问题不只是后缀
苹果在 2026 年 6 月 15 日的开发者新闻中公告:Sign in with Apple 和 iCloud+ Hide My Email 生成的邮箱别名,将转向 @private.icloud.com 子域名。功能没有被取消,但别名从“混在 iCloud 邮箱里”变成了更容易被识别、筛选、封禁的标签。对重度用户来说,真正变化不是能不能转发邮件,而是隐私别名的伪装性被削弱了。

FIFA 经纪人平台注册账号被指可触达转播系统,问题不只是一个网页漏洞
安全研究员 BobDaHacker 称,她通过注册 FIFA 官方球员经纪人账号,利用后端 API 授权校验缺陷访问了多个内部系统。最敏感的部分是转播相关系统:研究员称它可能控制世界杯比赛电视画面和解说员屏幕内容。现在没有证据显示转播被真实篡改,但这件事已经足够说明,大型赛事的权限边界不能只靠前端入口和账号身份来守。

佛州起诉 TikTok:儿童安全法开始逼平台交作业
佛罗里达州起诉 TikTok,指控其违反 HB3:仍允许 13 岁用户使用平台,也没有落实 14、15 岁用户的父母同意要求。TikTok 否认消极配合,称已善意沟通,并通知佛州 14 岁以下用户账号将被暂停。真正的硬问题是:平台增长依赖低摩擦入口,儿童保护却要求高摩擦验证,这笔成本不能再全推给家长。

M365 Copilot SearchLeak 漏洞已修复:企业 AI 仍卡在提示注入边界
微软已在 2026 年 6 月补丁中修复 M365 Copilot 一个最高危漏洞,Varonis 随后披露概念验证攻击 SearchLeak。它可诱导 Copilot 从用户有权访问的邮件、会议、SharePoint、OneDrive 等内容中提取 2FA 验证码等敏感信息。目前没有证据显示已发生大规模真实攻击,但这件事提醒企业:LLM 很难稳定分清用户指令和第三方内容里的恶意指令。

印度为防 NEET 重考作弊下令临时封禁 Telegram,问题是治理尺度
印度国家考试署下令全国临时封禁 Telegram 至 6 月 22 日,并要求其关闭消息编辑功能至 6 月 30 日,理由是防范 6 月 21 日 NEET(UG)重考作弊。 官方指称作弊团伙利用 Telegram 售卖假试卷、传播误导信息、事后伪造泄题证据,但报道发布时 Telegram 在印度仍可访问,编辑功能也仍正常。 我更在意的是:考试安全当然要守,但用封禁整个平台来处理具体作弊链条,比例和效果都要打问号。

Claude Fable 5 出口管制争议:把“修代码”当越狱,可能伤到防御者
Claude Fable 5 因被认为可通过“fix this code”类提示产出安全测试脚本而受到出口管制限制,Kate Moussouris 批评这是把防御性修复流程误判为越狱能力。真正关键不在于某个模型有多强,而在于政策是否把漏洞修复、补丁解释和测试验证一并视为高危能力;若边界划错,美国网络防御会先受损。

英国拟禁16岁以下用社交媒体:护幼之外,是一场年龄验证大考
英国计划从2027年春季起,禁止16岁以下儿童使用 TikTok、Instagram、YouTube、Snapchat、Facebook、X 等主流社交平台,WhatsApp、Signal 这类消息服务暂不在内。真正的难点不是口号,而是年龄验证:平台责任、儿童安全、隐私采集和数字身份基础设施会被重新分账。家长要看孩子会不会被赶去更危险的角落,隐私用户要盯住验证方案是否变成全民身份门槛。

LinkedIn 招聘邀约里的 npm 后门:面试流程正在被当成供应链入口
一名开发者收到 LinkedIn 工作邀约,对方让他检查 GitHub 项目的“deprecated Node modules issue”,真实目标更像是诱导他运行 npm install。仓库里的恶意代码藏在 app/test/index.js,并通过 npm prepare 脚本在安装后自动触发。最该警惕的不是陌生仓库本身,而是招聘身份、技术任务和安装脚本连在一起后的攻击链。

朱雀二号E上面级解体:低轨碎片不大,善后账不小
蓝箭航天朱雀二号E上面级在6月9日入轨后不久解体,LeoLabs专家估计可能产生100至150片碎片;美国太空军已确认事件,称目前对载人航天无威胁,仍在分析。碎片轨道约335×424公里、倾角54.5度,高度低,很多碎片预计数月内再入,但它经过ISS附近高度,也会增加低轨Starlink等卫星的交会评估压力。一次事故不算大祸,真正刺眼的是:发射能力上去了,上面级处置纪律还没完全跟上。

Chrome 151 关掉 MV2 后门:旧版 uBlock Origin 用户该换路了
Chrome 150/151 预计在 6 月底和 7 月陆续移除 Manifest V2 最后残留支持,Chrome 151 之后旧版 uBlock Origin 这类 MV2 广告拦截器将无法继续工作。 MV3 广告拦截器仍可运行,比如 uBlock Origin Lite,但它不是原版 uBlock Origin 的等价替代。 Google 的技术债和安全理由站得住;更刺眼的是,这次清理刚好把广告拦截能力收回到 Chrome 能控制的边界里。

英国拟禁16岁以下儿童用主要社媒,真正难题不是封号而是验龄
英国首相Keir Starmer于6月15日宣布,拟禁止16岁以下儿童使用主要社交媒体,最快可能在2027年春季落地,WhatsApp和Signal等消息服务不在范围内。 澳大利亚已在2025年底率先实施16岁以下社媒禁令,英国加入后,儿童社媒禁令正从单点试验变成多国政策选项。 我更在意的是执行问题:年龄验证会不会过度收集隐私,平台能不能真正挡住未成年人,以及禁令是否只是把孩子推向更隐蔽的角落。

Roblox 自拍验龄:13 岁勾选框退场,儿童平台开始重写入口
Roblox 正在用视频自拍和面部年龄估算替代“勾选已满 13 岁”,并按年龄段限制聊天和部分游戏访问。NBC 的演示里,孩子贴假胡子没能绕过系统;Roblox 高管称年龄估算通常能接近真实年龄 1.4 岁以内。真正的变化不是假胡子失效,而是儿童互联网开始把安全治理压到身份入口上。

英国拟禁16岁以下儿童用主要社交平台,难点不在划线在执行
英国首相斯塔默宣布,政府计划禁止16岁以下儿童使用Snapchat、TikTok、YouTube、Instagram、Facebook和X,最快明年春季实施。WhatsApp、Signal等即时通讯服务不在禁令范围内,AI“恋爱伴侣”聊天机器人则需限制为18岁以上用户使用。我的判断是:禁令能减少一部分家庭拉扯,但真正效果取决于年龄验证、平台责任和孩子是否会迁移到更难管的角落。

76名安全专家反对白宫限制Anthropic模型:别把AI防御工具先锁起来
76名网络安全专家要求白宫撤销对Anthropic Fable和Mythos的出口管制,理由是禁令会削弱防御方发现漏洞、修补代码和编写测试的能力。 政府给出的理由是国家安全,但具体依据没有公开;争议焦点是一份未公开的Amazon研究论文是否足以证明Fable被真正越狱。 这件事的关键不在AI模型要不要护栏,而在高能力模型的限制规则能否透明、可验证,并避免先伤到合规防御团队。

把网络安全课搬进派对:404 Media 播客里的 OPSEC 新实验
404 Media 最新一期播客邀请数字安全培训师 Imani Thompson,讨论 Cache Me Outside、去 Google 化派对和“自我 doxxing”rave。真正重要的不是这些活动有多酷,而是它们把隐私教育从孤立教程搬进了有信任关系的社区场景。平台把监控做成可爱产品和打卡机制,用户要摆脱依赖,也需要同样具体、可参与的替代路径。

NewCore 融资 6600 万美元:AI Agent 真上岗,身份系统先被考验
NewCore 从隐身模式发布,拿到 6600 万美元种子轮融资,投后估值 3 亿美元,主打为企业里的 AI agents 建立可认证、可授权、可撤销的身份系统。它押中的不是融资故事,而是一个更硬的问题:当 agent 被当成数字员工使用,企业 IAM 会不会先扛不住。NewCore 说中了真痛点,但还没证明自己能赢过 Okta、Microsoft Entra 这类旧平台。

英国拟禁16岁以下用主流社媒,真正难题是怎么验年龄
英国政府计划禁止16岁以下儿童使用Snapchat、TikTok、YouTube、Instagram、Facebook和X,WhatsApp、Signal等消息应用不在覆盖范围内。新规还会限制未成年人在网游、直播和AI伴侣聊天里的部分互动。它的核心不只是封几个App,而是把年龄验证推到儿童上网入口前面。

curl 2026 年 7 月暂停漏洞报告:开源安全值班表写不下去了
curl 项目将在 2026 年 7 月暂停接收和处理漏洞报告,HackerOne 和安全邮箱都暂停,8 月 3 日恢复;GitHub issue 和 PR 不受影响。 付费支持合同用户仍可获得完整服务,curl 8.22.0 发布顺延至 2026 年 9 月 2 日。 我的判断:这不是放弃安全责任,而是把免费维护、企业依赖和商业服务的边界摆到了明面上。

FBI 在亨茨维尔造了一座“假小镇”,网络安全训练开始离开纯软件沙盒
FBI 去年在美国阿拉巴马州亨茨维尔开放 Kinetic Cyber Range:一座约 2.2 万平方英尺的仿真小镇,用来训练和研究网络攻击场景。 它的重点不是“造城”,而是把便利店、加油站、医院、住宅和数据中心接进同一套演练环境。 这说明网络安全训练正在从虚拟机攻防,转向更接近关键基础设施的物理—数字联动演练。

英国拟禁16岁以下用社交媒体:儿童保护走到年龄门槛前
英国首相斯塔默据报将在周一演讲中披露未成年人社交媒体禁令,但政策尚未正式宣布,也不是已生效法律。 拟议方向是禁止16岁以下儿童使用广泛社交平台,并限制陌生人聊天、深夜刷屏、浪漫和性聊天机器人等功能。 我的判断是:英国更像是在儿童安全压力下复制澳大利亚模式,真正难题会落在年龄验证、隐私成本和执行效果上。

本田思域车机疑信任 AOSP test key:USB 漏洞背后,是量产安全纪律掉线
研究者发现,第十代本田思域车机 USB 更新链路疑似信任公开 AOSP test key;攻击者在能接触车内前置 USB 口、且车机有电的条件下,可能伪造更新包获得车机任意代码执行。它目前不是远程攻击,也没有证据证明可接管动力、制动或转向。真正刺眼的是:量产车机的更新信任链里,可能还留着消费电子时代早该清掉的测试钥匙。