Posts

2025年6月26日，德国安全研究机构ERNW披露台湾络达科技（Airoha）蓝牙音频芯片存在三项高危漏洞（CVE-2025-20700至CVE-2025-20702）。这些漏洞允许攻击者远程访问设备内存和蓝牙通信协议，导致用户隐私数据泄露。影响范围涵盖索尼、Bose等十大品牌的29款高端耳机与音箱设备，波及数百万用户。漏洞涉及芯片底层调试接口未启用身份验证机制和蓝牙协议层设计缺陷，攻击者可在10米范围内窃取音频流并控制设备。由于漏洞存在于芯片固件层，传统软件更新无法修复，部分设备尚未发布安全补丁，高价值用户面临持续监听风险。

2025年6月，OpenAI因法院命令秘密保留用户已删除的聊天记录及临时会话数据，引发全球隐私安全争议。这一操作源于《纽约时报》的版权诉讼，法院要求保留可能涉及侵权的内容。尽管OpenAI声称数据已被隔离存储且仅供法律审查，但延迟披露和透明度缺失严重损害了用户信任。安全专家指出，此举暴露了AI系统的隐私漏洞，用户删除操作仅在前端生效，后端仍可能保留数据副本。受影响用户主要为个人免费版及未启用高级隐私协议的API用户，企业版和零数据保留端点客户则获得豁免。OpenAI CEO提出“AI特权”概念，试图平衡司法需求与隐私权，但遭隐私倡导组织质疑。欧盟已启动对OpenAI合规性的紧急审查，事件揭示了AI时代数据治理的结构性缺陷，亟需技术、法律和用户行动层面的全面改进。

美国国家核安全局（NNSA）的本地部署微软SharePoint平台遭黑客入侵，攻击者利用未公开的零日漏洞渗透系统，窃取管理员凭证并进行横向移动。此次漏洞涉及SharePoint Server 2013-2019版本，云服务未受影响。攻击者包括APT组织Linen Typhoon，目标为核设施管理文档和人员数据。微软已发布紧急补丁，NNSA启动应急机制并审查第三方访问权限。事件暴露本地化部署的安全短板，引发云迁移争议，全球1200多家机构面临蔓延风险。

OpenAI升级ChatGPT的安全监控机制，采用自动化扫描与人工审核结合的方式，识别并处理具有现实危害风险的内容，必要时向执法机关提交信息。新机制包括实时语义分析、高风险内容二次验证及隐私保护特殊条款。然而，技术漏洞导致在复杂对话中可能漏判有害指令。此举引发隐私与伦理争议，涉及监控权边界、算法偏见风险及平台责任界定。行业正从被动响应转向主动预防，但隐私与伦理问题仍是挑战。

“沉浸式翻译”浏览器扩展曝出重大安全漏洞，导致用户生成的翻译快照被搜索引擎公开索引，泄露敏感数据，包括加密货币私钥、企业合同和内部通信记录。漏洞源于第三方传输风险和快照保护缺失，快照链接无密码控制，易被爬虫抓取。事件与ChatGPT共享对话泄露类似，已泄露数据在暗网传播。平台紧急下线索引，部署密码访问机制，用户需自查敏感信息并更换密钥。事件凸显网络安全重要性，需加强端到端加密和动态访问控制。

捷克安全研究员 Marek Tóth 披露，Bitwarden、Proton Pass 等多款主流密码管理器存在点击劫持漏洞，黑客可通过 iframe 伪造网页元素，诱导密码管理器自动填充凭证，导致账号密码、信用卡数据甚至双因素认证验证码泄露。部分厂商已修复漏洞，但 1Password 和 LastPass 尚未采取行动。建议用户禁用自动填充功能，改用快捷键或右键菜单手动触发填充，并启用独立硬件安全密钥。此次事件凸显了密码管理领域便利性与安全性的矛盾，需遵循零信任原则重构信任边界。