Posts

2025年1月5日，OneKey安全实验室披露支付宝“碰一碰”NFC支付设备存在芯片级安全漏洞。攻击者可通过物理篡改设备芯片，将支付链接替换为钓鱼地址，诱导用户向非法账户转账。该漏洞利用需物理接触设备且依赖多重条件，实际风险较低。支付宝已于2024年12月通过硬件更新修复漏洞，并建议使用旧终端的商户申请免费换新。金融安全专家建议商户定期检查设备完整性，消费者支付后需核对收款方信息。

中国智能设备制造商Mars Hydro因数据库安全配置错误，导致27亿条用户敏感数据暴露，包括Wi-Fi密码、API密钥和设备ID等。此次泄露使黑客能够入侵用户网络、劫持设备并渗透云基础设施。尽管公司迅速封锁数据库，但数据暴露时长和第三方窃取风险仍不明确。事件暴露了物联网行业在数据存储和供应链安全方面的系统性缺陷，用户需立即更换密码并检查设备安全。随着物联网设备数量激增，厂商需加强数据最小化和零信任架构等安全措施。

国际安全研究人员成功绕过DeepSeek V3大语言模型的安全防护机制，完整提取其核心系统提示词，揭示了大模型底层安全架构的脆弱性。泄露的提示词包含超过1500字符的行为规范，涵盖伦理准则、内容审查和任务处理三大模块。研究人员采用创新的“多阶提示注入链”技术穿透模型防护，引发对当前RLHF防护范式的质疑。DeepSeek团队迅速启动应急响应，包括动态指令混淆机制和对抗性训练增强模块。事件凸显生成式AI安全的深层次矛盾，如透明度悖论和动态攻防困境，并预测未来大模型安全加固产业将快速增长。

卡巴斯基实验室揭露了一起名为SparkCat的恶意SDK攻击事件，该SDK通过光学字符识别（OCR）技术窃取用户加密货币钱包的助记词与恢复密钥。攻击波及Google Play和Apple App Store中的数十款应用，主要影响使用中文、日文、韩文及拉丁语系的用户。黑客通过伪造服务器域名隐藏数据回传行为，攻击机制包括静默扫描、OCR识别和资产窃取。卡巴斯基建议用户立即卸载受感染应用，转移资产并启用双因素认证。此次事件暴露了应用商店审核机制的漏洞，跨平台攻击或成未来主流威胁。

近期，中国人工智能企业深度求索（DeepSeek）遭受大规模网络攻击，涉及分布式拒绝服务攻击（DDoS）、HTTP 代理渗透及僵尸网络协同作战。幕后黑手为 Mirai 僵尸网络变种 HailBot 和 RapperBot，利用物联网设备漏洞发起混合流量攻击。攻击导致服务器频繁宕机，用户数据泄露。黑产借机通过仿冒官网、虚假加密货币骗局及 IPO 股权诈骗牟利。DeepSeek 已发布安全公告，建议用户通过官方渠道访问服务，并启用 DNS-over-HTTPS 及广告拦截插件。事件暴露了 AI 企业安全防护短板，警示行业需加强威胁情报共享与防护体系升级。

在最近的混沌通信大会（37C3）上，安全研究人员披露了一种名为“bitpixie”的新型攻击手法，可绕过Windows 11的BitLocker全盘加密机制，直接提取硬盘敏感数据。该漏洞源于UEFI安全启动机制的设计缺陷，攻击者通过物理接触设备，劫持引导加载程序，使系统回退至未修复的旧版安全协议，从而读取BitLocker加密密钥的明文副本。微软表示，受限于固件层硬件约束，需至2026年才能彻底修复。目前，微软计划分阶段发布临时方案、固件升级和根治方案来应对此漏洞。企业用户建议采取物理访问管控、禁用高危功能、多重认证加固和实时监控预警等防护措施。