/
"传感器监控":日常设备如何成为警方的数字线人
法学教授安德鲁·弗格森在新书中揭示,物联网已悄然演变为庞大的监控网络。从智能手机的基站定位数据(CSLI)到联网汽车的行驶遥测,再到Google的Sensorvault地理围栏令状,执法机构正将消费电子设备转化为调查工具。即便企业开始将数据本地化存储,政府仍可通过购买第三方数据绕过搜查令限制。作者指出,这种"传感器监控"正成为发达国家的默认状态,极易被滥用于政治压制。
Vibe编程催生新型恶意软件,网络安全防御策略亟需升级
"氛围编程"的阴暗面正在崛起。麦咖啡、Bitdefender等安全公司观察到AI生成恶意软件("vibeware")数量激增。爱尔兰科克大学研究发现,生成式AI可创建结构各异却功能相同的恶意软件变体,轻松规避基于特征匹配的静态检测。更令人担忧的是,仅需两条提示词即可完成恶意软件编写,大幅降低了攻击门槛。专家建议防御方转向行为分析,并以AI对抗AI,同时呼吁AI编程工具加强安全护栏。
Fractal操作系统:专为挖掘芯片硬件漏洞而生
MIT CSAIL研究人员从零开始构建了一款名为Fractal的定制化操作系统,专为硬件安全研究设计。与传统操作系统不同,Fractal剥除了所有干扰性防御机制,能够清晰呈现芯片的真实执行行为。借助该系统,研究人员首次在苹果M1芯片中发现了"幽灵推测执行"漏洞的存在证据。Fractal支持多权限并发测试、协作式多任务处理及统一内存映射等核心特性,已以MIT许可证开源发布。
GitHub Actions加强Checkout安全性,防御"pwn request"攻击
GitHub于6月18日发布actions/checkout v7,针对近期开发者环境中频发的网络攻击,主动拦截利用pull_request_target工作流触发器漏洞发起的"pwn请求"攻击。新版本在检测到不安全的分支代码获取行为时,会自动中断工作流执行。此次更新标志着GitHub进入"默认安全"新阶段,安全策略将由平台统一定义,而非依赖开发者个人判断。7月16日起,新默认设置将回溯至所有主要版本。
AWS Continuum:用AI帮助企业全流程修复代码漏洞
AWS推出名为Continuum的新服务,旨在帮助企业持续发现、调查并修复代码漏洞。该服务不仅能分析第一方代码、验证漏洞可利用性、生成修复建议,还支持威胁建模和第三方代码风险分析。用户可选择"强制模式"实现自动修复,或保留人工审核环节。分析师指出,Continuum的价值在于利用AI优先排序风险、加速响应,同时将改变CISO的工作重心,从管理告警转向治理自动化修复流程。
联邦后量子加密时间表激进,企业需提前备战
美国国防部宣布将建立后量子加密(PQC)集中监管架构,并更新网络安全成熟度模型认证(CMMC)以纳入PQC要求。一项行政令要求所有联邦承包商在2030年底前遵守NIST后量子密码标准。Gartner警告,目前不足10%的企业支持后量子加密,建议企业2026年启动PQC清单建设,2030年前完成高价值系统迁移,否则迁移成本将增加至少200%。
Cisco Unified CM高危漏洞遭攻击者积极利用
思科统一通信管理器(Unified CM)一个严重漏洞(CVE-2026-20230,CVSS评分8.6)在补丁发布约三周后遭到主动利用。威胁情报机构Defused于6月23日披露了相关攻击活动,攻击者利用公开的PoC代码发起SSRF攻击,可实现任意文件写入并将权限提升至root。该漏洞影响企业广泛部署的Unified CM和Unified CM SME产品,思科建议暂时禁用WebDialer服务作为缓解措施,并尽快升级至修复版本。
IBM、Red Hat 与 Palo Alto 联手保护开源软件安全
IBM、Red Hat与Palo Alto Networks宣布合作,帮助企业识别开源软件漏洞并应对AI生成的安全威胁。此次合作整合了Palo Alto的Prisma虚拟补丁技术与IBM/Red Hat的Project Lightwell开源软件修复方案。Project Lightwell是IBM和Red Hat投资50亿美元打造的安全项目,已吸引美国银行、花旗、高盛、摩根大通等金融机构参与。三方合作将实现漏洞覆盖、预防性保护及当日快速响应等关键能力,并计划建立跨厂商的漏洞信息共享机制。
苹果iCloud遭英国集体诉讼,4000万用户或获赔偿
英国4000万iCloud用户或可获最高77英镑赔偿,消费者组织Which?指控苹果违反英国竞争法,利用iCloud存储服务的捆绑策略"困住"用户。该案已获竞争上诉法庭批准进入审判程序,首次庭审定于2028年10月,预计历时9周。与此同时,意大利已依据欧盟《数字市场法》对苹果iCloud展开反垄断调查,其他欧盟成员国也可能跟进,苹果面临的监管压力持续升级。
白宫要求OpenAI因安全顾虑放缓新模型发布
据报道,OpenAI最新模型GPT 5.6的发布计划因特朗普政府介入而改变,将不会向公众开放,仅与少数合作伙伴共享。CEO萨姆·奥特曼表示,政府将在预览期内逐客户审批访问权限,若有限发布顺利,将于数周后扩大范围。参与此次审查的机构包括国家网络总监办公室和科技政策办公室。此前Anthropic的Claude Mythos模型也采取类似受限发布策略,引发业界对强大AI模型安全风险的广泛讨论。
国际联合行动打击网络犯罪"流水线",破获逾4700万美元非法资产
国际执法机构与多家科技公司联合开展"Endgame行动",成功打击以Amadey和StealC为核心的网络犯罪体系。Amadey是一款用于植入恶意载荷的恶意软件服务平台,StealC则专门窃取账号密码、加密钱包等敏感信息。微软借助AI分析发现两者共用底层基础设施,据此援引RICO法规,同步摧毁逾200台指挥控制服务器,解救1.8万台受感染电脑。Europol宣布缴获2700万条登录凭证及价值4700万美元的犯罪加密资产。
微软最新更新导致部分OLE自动化功能出现故障
微软6月9日发布的Windows更新导致部分Office应用程序出现故障,Word、Excel等软件在被第三方应用(如CCH Engagement、Zotero、Dentrix等)调用时无法正常打开,且不显示任何错误提示。问题根源在于更新影响了OLE自动化交互机制。此外,本次更新还引发了回收站确认对话框显示内部文件名而非原始文件名的小问题。微软表示已知晓上述问题并正积极修复中。
白宫大幅提前量子加密迁移截止日期,保护关键数据安全
白宫发布行政令,要求政府机构在2030年底前将"高价值资产"和"高影响系统"迁移至后量子密码体系,数字签名方案须在2031年底前完成过渡。新截止日期比原计划提前约五年,源于最新研究显示构建具备密码破解能力的量子计算机所需资源远低于此前预期。行政令同时建立全政府协调机制,并要求与NIST合作推动盟友国家采用后量子标准算法。
AI未能真正缓解网络安全人才短缺困境
最新调查显示,AI并未显著降低网络安全从业者的工作难度,近七成安全人员表示过去两年工作压力有增无减。超八成企业已在使用或计划使用AI辅助安全工作,但四分之一的企业在增加AI投入时缺乏明确的整合策略。近半数从业者有离职意向,职业倦怠、晋升空间不足及工作与生活失衡是主因。技能缺口持续扩大,44%的受访者表示同事频繁被临时抽调处理突发事件,导致战略性工作停滞。
供应商身份冒充欺诈已成为工业制造商的运营风险
随着工业制造日益数字化,机器人、自动化系统与互联供应链的深度融合在提升效率的同时,也引入了新型网络安全风险。供应商伪冒欺诈通过利用受信任的供应商关系,操控采购流程、篡改付款指令或注入虚假发票,已从单一安全事件演变为影响生产连续性的运营风险。制造商需部署SPF、DKIM、DMARC等邮件认证协议,并建立对整个供应商生态系统的持续监控,以防范此类威胁。
五眼联盟警告:AI网络攻击或在数月内成真
五眼联盟网络安全机构联合发出警告,前沿AI模型将在数月内显著提升网络攻击能力,威胁程度超出预期。声明指出,敌对势力已在利用AI加速网络攻击,企业和政府必须同步采用AI强化防御体系。GCHQ国家网络安全中心首席执行官Richard Horne强调,当前AI发展正重塑全球威胁格局,各组织从董事会到IT部门须协同应对,共同维护网络安全。
OpenAI携手Trail of Bits发起"修补星球"开源安全计划
OpenAI宣布启动"Patch the Planet"计划,与安全公司Trail of Bits合作,帮助开源项目提升网络安全防护能力。Trail of Bits的安全工程师将直接与开源维护者合作,审查潜在代码问题,并借助OpenAI的Codex Security等安全工具辅助修复流程。该计划旨在减轻开源维护者的安全负担,通过专业团队预审漏洞报告、协助开发补丁,并构建可复用的安全工作流,应对开源生态系统中长期存在的安全隐患。
AMD在用户抗议后恢复消费级CPU内存加密功能
AMD近期在未发出任何警告的情况下,悄然从消费级Ryzen 9000系列处理器中移除了透明安全内存加密(TSME/Memory Guard)功能。该功能可有效防御冷启动等物理攻击。此举引发用户强烈不满,批评者认为此举具有欺骗性,并怀疑AMD意图引导用户购买更贵的Pro版本。面对舆论压力,AMD宣布将于7月通过BIOS更新恢复该功能,但仍未解释最初移除的原因。
OpenAI扩展Daybreak计划:发布Patch the Planet与GPT-5.5-Cyber完整版
OpenAI正式扩展其Daybreak网络安全项目,推出开源补丁计划"Patch the Planet",联合Trail of Bits、HackerOne等机构,资助安全研究人员为curl、Python、Go等30余个主流开源项目修复漏洞。同步发布的GPT-5.5-Cyber完整版在CyberGym基准测试中得分85.6%,超越标准版的81.8%。此外,Daybreak合作伙伴计划吸引了Accenture、Cisco、CrowdStrike、IBM、Palo Alto Networks等企业加入。Codex Security已扫描超3000万次代码提交,逾7万个安全问题已被标记修复。
英国信息专员约翰·爱德华兹因HR调查宣布辞职
英国信息专员约翰·爱德华兹在经历一项内部人事调查后宣布辞职。他承认曾在某些场合表现出"判断失误",并发表过"不当言论"。调查结论认为虽无不当行为认定,但存在需要回应的情形。爱德华兹自2022年1月起担任信息专员,任期内推动了数据保护与AI监管工作。辞职声明中,他强调AI快速发展需要各国监管机构加强合作,以确保技术的安全性与公平性。ICO副专员保罗·阿诺德将临时接管其职责。
京公网安备 11010802021500号
