隐私安全

美国国防部长劳埃德·奥斯汀下令终止微软中国工程师参与国防云（Azure Government Cloud）的技术支持工作，质疑其“数字护航”机制的安全性。该机制允许中国工程师远程维护国防部云系统，尽管受美国公民监督，但监督者普遍缺乏技术能力。五角大楼已启动四项紧急措施，包括要求微软解释安全协议缺陷、委托第三方审计代码等。此次事件加剧了对微软安全能力的质疑，并 …

2025年1月5日，OneKey安全实验室披露支付宝“碰一碰”NFC支付设备存在芯片级安全漏洞。攻击者可通过物理篡改设备芯片，将支付链接替换为钓鱼地址，诱导用户向非法账户转账。该漏洞利用需物理接触设备且依赖多重条件，实际风险较低。支付宝已于2024年12月通过硬件更新修复漏洞，并建议使用旧终端的商户申请免费换新。金融安全专家建议商户定期检查设备完整性，消费者 …

中国智能设备制造商Mars Hydro因数据库安全配置错误，导致27亿条用户敏感数据暴露，包括Wi-Fi密码、API密钥和设备ID等。此次泄露使黑客能够入侵用户网络、劫持设备并渗透云基础设施。尽管公司迅速封锁数据库，但数据暴露时长和第三方窃取风险仍不明确。事件暴露了物联网行业在数据存储和供应链安全方面的系统性缺陷，用户需立即更换密码并检查设备安全。随着物联网 …

国际安全研究人员成功绕过DeepSeek V3大语言模型的安全防护机制，完整提取其核心系统提示词，揭示了大模型底层安全架构的脆弱性。泄露的提示词包含超过1500字符的行为规范，涵盖伦理准则、内容审查和任务处理三大模块。研究人员采用创新的“多阶提示注入链”技术穿透模型防护，引发对当前RLHF防护范式的质疑。DeepSeek团队迅速启动应急响应，包括动态指令混淆 …

卡巴斯基实验室揭露了一起名为SparkCat的恶意SDK攻击事件，该SDK通过光学字符识别（OCR）技术窃取用户加密货币钱包的助记词与恢复密钥。攻击波及Google Play和Apple App Store中的数十款应用，主要影响使用中文、日文、韩文及拉丁语系的用户。黑客通过伪造服务器域名隐藏数据回传行为，攻击机制包括静默扫描、OCR识别和资产窃取。卡巴斯基 …

近期，中国人工智能企业深度求索（DeepSeek）遭受大规模网络攻击，涉及分布式拒绝服务攻击（DDoS）、HTTP 代理渗透及僵尸网络协同作战。幕后黑手为 Mirai 僵尸网络变种 HailBot 和 RapperBot，利用物联网设备漏洞发起混合流量攻击。攻击导致服务器频繁宕机，用户数据泄露。黑产借机通过仿冒官网、虚假加密货币骗局及 IPO 股权诈骗牟利 …