/
Reddit 要求可疑账户验证真人身份以对抗AI机器人
Reddit首席执行官宣布,平台将要求表现出"自动化或可疑行为"的账户验证其由真人运营。这项措施旨在应对AI机器人泛滥的挑战。验证过程仅针对疑似机器人账户,不会影响大多数用户。Reddit将使用第三方工具进行验证,包括通行密钥、生物识别服务等,确保用户隐私不被泄露。同时,获得许可的机器人账户将获得App标签。此举反映了Reddit保护平台真实性和商业价值的努力。
英国企业数字身份证距离实际应用更近一步
英国金融创新技术中心推进的数字企业身份认证项目取得重大进展,三个行业工作组联合巴克莱、万事达等市场参与者完成了金融服务入驻、供应商验证等核心应用场景开发,建立了信任治理框架并开发出可互操作的原型系统。该项目旨在解决企业重复身份验证的效率问题,超过80%的中小企业愿意为此付费。伦敦金融城将接手协调实施工作。
WorldCoin推出新服务:扫描眼球证明AI智能体背后的真实身份
山姆·奥特曼的WorldCoin公司宣布推出AgentKit测试版,通过眼球虹膜扫描技术为AI代理提供身份验证。该服务基于World ID系统,允许用户将其经过验证的身份委托给AI代理,以防止恶意行为者滥用AI技术。WorldCoin于2019年成立,目前已有1800万用户注册。随着加密货币热度下降,公司正寻求新的商业模式,AgentKit旨在为AI代理提供可信身份验证,防止垃圾信息和票务倒卖等滥用行为。
World发布智能体购物身份验证工具
由Sam Altman联合创立的World公司发布AgentKit测试版工具,旨在为快速增长的AI代理商务提供"人类身份证明"验证。该工具基于World ID系统,允许商业网站验证AI购物代理背后确实有真实用户授权。AgentKit与Coinbase和Cloudflare开发的x402协议集成,用户通过World虹膜扫描设备注册后,可让AI代理在其授权下进行在线购买。
微软身份验证器将在越狱和Root设备上删除Entra凭据
微软将从已越狱和获取Root权限的iOS和Android设备上移除Entra企业凭据。该过程自动执行且无法选择退出。当微软认证器检测到设备被破解时,会先显示警告,然后阻止访问,最终清除凭据。Android设备的清理已经开始,iOS设备将在2026年4月跟进。微软计划在2026年7月前完成整个流程,期间任何涉及企业账户的操作都会触发警告、阻止和数据清除。
OAuth钓鱼攻击让"检查链接指向"建议失效
微软警告称,钓鱼攻击者正在利用OAuth认证协议的内置行为来重定向受害者至恶意软件,使用指向合法身份提供商域名(如微软Entra ID和谷歌工作区)的链接。这些链接看似安全但最终会导向恶意页面。攻击者通过构造带有故意错误参数的OAuth授权端点URL,利用身份提供商在认证失败时的重定向机制,将用户导向攻击者控制的恶意页面,从而绕过传统的链接验证防护措施。
JumpCloud推出投资部门资助IT和网络安全初创企业
JumpCloud推出创投部门,旨在支持下一代IT和安全领域的初创企业。该举措反映了AI时代给IT和安全团队带来的新挑战,公司希望通过构建生态系统来应对。JumpCloud Ventures不仅提供资金支持,还将为投资组合公司提供运营经验和网络资源。随着远程招聘增加,验证求职者身份成为关键安全环节,AI深度伪造技术使恶意行为者更容易在面试阶段渗透企业。
Fortinet曝出新严重漏洞 SSO账户补丁后仍遭破解
Fortinet披露另一个关键FortiCloud SSO漏洞CVE-2026-24858,CVSS评分9.4分。尽管用户已针对早期漏洞打补丁,但攻击者仍通过替代路径成功入侵SSO账户。该认证绕过漏洞已被恶意利用,Fortinet已禁用受影响版本的FortiCloud SSO连接。FortiAnalyzer、FortiManager、FortiOS和FortiProxy用户需升级至推荐版本以恢复SSO服务,补丁仍在开发中。
Dashlane通行密钥报告显示企业IT必须为无密码未来做好准备
达世莲最新通行密钥报告显示,通行密钥不再是IT部门的未来项目,已成为用户日常生活的一部分。报告显示40%的达世莲客户至少存储一个通行密钥,较去年翻倍增长。谷歌将通行密钥设为个人账户默认选项,推动使用量增长超过350%。苹果在iOS26等系统中支持FIDO联盟通行密钥可移植标准,解决了企业面临的重大挑战,员工和IT团队可在不同密码管理工具间安全迁移凭证,为企业级无密码生态系统奠定基础。
1Password新增自动解锁功能:Mac登录时可同步解锁密码库
1Password为桌面应用推出新的"解锁体验"功能,允许用户设置在通过Face ID、Touch ID、PIN码或密码登录设备时自动解锁密码库。该功能让用户无需每次都输入主密码即可访问密码库,提供三种解锁设置选项。用户还可通过预览更改功能进一步自定义解锁体验,包括使用设备密码解锁、设备解锁时自动解锁等选项。选择灵活解锁选项的用户需要创建恢复代码。
GitHub强化npm安全措施应对钓鱼和恶意软件攻击
GitHub宣布将加强npm注册表安全措施以应对近期攻击。9月份npm遭遇多起钓鱼攻击和恶意软件感染,超过500个受损软件包被移除。GitHub将移除传统认证方式,包括经典令牌和一次性密码,缩短令牌生命周期,默认启用可信发布和双因子认证。可信发布通过OpenID Connect验证软件包来源并颁发短期令牌,目前仅支持GitHub Actions和GitLab CI/CD管道。
智能体身份验证初创公司Vouched获得1700万美元融资
身份验证初创公司Vouched获得1700万美元A轮融资,将重点从人类身份验证转向AI代理身份验证。该公司推出"了解你的代理"产品套件,包括Agent Shield和Agent Bouncer两大工具,帮助企业识别访问网站的AI代理并监控其行为。随着自主AI代理在网络上日益活跃,企业迫切需要能够识别和信任这些代理的解决方案,Vouched正是填补了这一市场空白。
API安全:将技术控制与业务风险保持一致
应用程序编程接口是业务流程自动化和企业间协作的基础,但也带来了新的安全风险。尽管有成熟的实施模式,许多组织仍依赖过时做法,如为外部API使用静态密码。文章阐述了如何通过风险矩阵评估API的严重性和可能性,将技术改进与企业业务风险相结合来获得资金支持。提出了两种降低API安全风险的策略:减少事件影响和降低事件发生可能性,并强调从设计阶段就应考虑API的安全性。
年中盘点:2023年最炙手可热的10家网络安全初创公司
2023年风险投资更难了,但风投对创新工具依然有浓厚的兴趣,很多网络安全初创公司还在持续蓬勃发展。特别是专注于云安全、应用安全和无密码身份验证等快速增长领域的初创公司,在今年上半年受到了合作伙伴和客户的极大关注。
盘点:2020年最炙手可热的10家云安全初创公司
我们挑选了自2014年以来成立的、外部融资金额至少在400万美元以上的10家云安全初创公司,除了融资金额之外,这些初创公司的与众不同还体现在发布了合作伙伴计划、关键产品升级或者更新。
展望2024年,谁将引领身份验证市场?
根据Gartner预测,由于对一体化数字身份平台的需求日益增长,到2027年全球对个人身份验证单点工具的需求将下降20%。随着对数字身份验证解决方案的需求不断升级,未来一年市场将迎来一场革命性的转变。
京公网安备 11010802021500号
