Posts

2025年2月27日，Truffle Security披露DeepSeek训练数据集中存在严重安全漏洞，涉及11,908个实时有效的API密钥、身份凭证和认证令牌，主要来自公开网页抓取数据。泄露的敏感信息包括Mailchimp API密钥、AWS根密钥和Slack Webhooks，63%的密钥在多个域名重复使用。该漏洞引发三重安全风险：直接利用、AI模型继承漏洞和供应链攻击。72%的密钥在披露时仍活跃，攻击窗口期远超行业标准。报告建议全栈防护方案，包括训练数据清洗、自动密钥扫描和开发者教育。此事件凸显训练数据投毒为第二大威胁，欧盟《人工智能法案》将强制合规要求。

FastAPI 集成测试通过 pytest、httpx 和 asyncio 工具链模拟多模块交互，重点测试认证、数据库和外部服务。使用 unittest.mock 替换外部依赖，pytest-asyncio 管理异步事务回滚。测试模型涵盖认证、用户服务和支付模块的协同验证。实战案例展示了订单支付链路的测试流程，通过 fixture 隔离第三方支付服务，复用 TestClient 维护请求上下文。认证测试中，采用动态 Token 生成策略，避免硬编码风险，并通过 AuthContext 类管理认证流水线。

2025年2月24日，谷歌通过Google Play Store向Android 9及以上设备静默安装系统级应用SafetyCore，引发全球隐私争议。该应用使用本地机器学习模型扫描设备内容，声称不主动上传数据，但用户无法永久卸载，且预留云端接口，存在隐私泄露风险。隐私组织批评此举侵犯用户控制权，欧盟等监管机构已启动调查。谷歌未解释为何不提供可选安装机制，技术专家指出禁用流程复杂，普通用户难以操作。该事件正值全球强化数据主权立法期，相关法律可能限制此类行为。

OpenAI正在为GPT-4o图像生成功能预置水印机制，旨在通过可见或不可见水印标识AI生成内容，以应对版权滥用和内容溯源问题。水印可能仅限免费用户，付费用户或可享受无水印输出，引发安全公平性质疑。水印技术若嵌入用户身份信息，存在隐私泄露隐患，且黑客可能利用对抗样本攻击破坏水印识别。OpenAI需平衡商业与伦理，公开水印算法的抗攻击测试报告，并确保免费/付费用户的内容安全基线一致。

谷歌紧急修复了Android USB驱动程序中的零日漏洞（CVE-2024-53104），该漏洞已被以色列公司Cellebrite的间谍软件利用，攻击者可通过物理接触设备绕过锁屏，窃取敏感数据。漏洞影响Android 9及以上版本，攻击链包括绕过锁屏、静默安装间谍软件及全权控制设备。Cellebrite工具被指流向威权政府用于监控，塞尔维亚政府被曝利用该漏洞实施非法监听。谷歌已发布修复补丁，但相关漏洞仍存隐患。用户应尽快更新系统并加强物理防护。

微软威胁情报团队发现针对macOS生态系统的XCSSET恶意软件新变种，其攻击范围覆盖开发者与普通用户。新版XCSSET采用复合式代码混淆技术、系统级持久化机制及供应链攻击升级，显著提升攻击隐蔽性和破坏力。其恶意行为包括敏感信息窃取、远程控制与渗透、加密勒索模块激活。微软建议macOS用户进行开发环境审计、系统硬化配置及纵深防御部署。苹果公司已启动CVE漏洞追踪流程，预计在下一版Xcode更新中引入项目签名验证机制。