印度塔塔集团日前向路透社证实该公司近期遭到网络攻击，黑客声称已经窃取来自塔塔集团的苹果和特斯拉机密文件，塔塔集团为诸多客户提供代工服务，苹果和特斯拉等公司都是塔塔集团的客户，不过目前塔塔集团并未透露泄露的详细数据情况，苹果和特斯拉也没有就此事发布回应。

早前丹麦制药公司诺和诺德遭到黑客攻击，诺和诺德就是知名减重药物司美格鲁肽的研发公司，所幸诺和诺德并未收集消费者信息所以没有消费者信息泄露，但对诺和诺德来说这回是损失惨重，因为该公司内部用于发掘药物的人工智能模型相关数据被窃取，如果竞争对手拿到这些数据可能会给诺和诺德的竞争力造成影响。

日本东京消息，日本科技巨头软银集团（SoftBank Group Corp.）宣布，将利用美国人工智能公司 OpenAI 的技术，在日本推出面向关键基础设施企业的网络安全“补丁服务”，以应对愈演愈烈的网络攻击威胁。

知名抗糖药 (和被用于减肥的) 司美格鲁肽研发制造商丹麦诺和诺德集团遭到黑客攻击，黑客从诺和诺德内部基础设施窃取海量数据，包括已经训练好的模型、专有数据集、完整训练代码库、训练日志、容器镜像等等，目前诺和诺德已经确认此次攻击，部分临床试验患者相关数据也被黑客窃取，诺和诺德已经通知丹麦监管机构并聘请外部网络安全专家进行调查。

美国司法部当地时间 6 月 12 日宣布，一名自爱尔兰被引渡至美国的乌克兰公民已就其参与 Conti 勒索软件行动的指控认罪。该男子名为 Oleksii Oleksiyovych Lytvynenko，现年 44 岁，就其在 2021 年至 2022 年间参与实施的多起 Conti 勒索攻击，承认共谋实施电信诈骗罪名成立。

Arch 用户仓库（Arch User Repository，简称 AUR）是由社区驱动的第三方软件源，为 Arch Linux 及其衍生发行版提供海量软件，一直被视为使用 Arch 的一大优势。 然而，Arch 社区近日披露，多个可疑账号向部分 AUR 软件包提交恶意修改，在安装受影响应用时暗中引入 NPM 包管理器，并进一步安装键盘记录器或信息窃取类恶意软件，引发供应链安全警报。

一位安全研究人员近日发现，近 98.5 万份护照、驾照等照片身份证明及相关个人信息，被一家为西班牙大麻俱乐部提供软件服务的公司以几乎零防护的方式暴露在公网上，任何技术水平一般的黑客都可以轻易获取。这批数据涉及来自世界各地的用户，包括约 3 万名美国访客，还有部分名人，他们在西班牙等地的大麻俱乐部登记身份信息、本人的自拍照、联系方式以及消费习惯等隐私内容，都可能已被悄然暴露。

美国网络安全巨头CrowdStrike近日警告称，中国相关黑客组织正在加大对美国科技企业的网络攻击力度，重点瞄准人工智能领域的关键资产，以缩小与美国在技术上的差距。

此前专注于 NPM 生态系统供应链攻击的黑客组织 TeamPCP 开源发布蠕虫病毒 Mini Shai-Hulud (迷你沙虫)，这类蠕虫病毒具有自我复制的特性，当成功窃取开发环境中的敏感凭据后，会直接调用凭据连接远程资源并继续进行感染和传播，最初迷你沙虫主要针对的是 NPM 生态系统。

法国政府数字事务总署（DINUM）近日发布安全通报称，黑客通过劫持一名合法用户账号，成功侵入法国政府内部加密通讯平台 Tchap，可能导致部分用户在对话中分享的个人信息遭到未授权访问。

微软已在 GitHub 上紧急下线数十个开源项目仓库，以调查黑客如何入侵这些项目并向其中注入窃取密码的恶意软件代码。 这些受影响的项目主要与微软云服务 Azure 以及一系列用于人工智能开发的工具有关，包括用于集成 Claude Code、Gemini 命令行界面以及 VS Code 等 AI 编码应用的相关组件。

早前有安全研究员爆出社交媒体集团 Meta 旗下的 Instagram 出现重大安全问题，该平台使用的 AI 账户恢复助手存在逻辑漏洞，黑客可以直接与 AI 账户恢复助手对话要求重置特定账户的密码并将绑定邮箱修改到黑客控制的邮箱，整个过程 AI 账户恢复助手不会要求发起者进行任何验证。

近日，X.Org 基金会披露，X.Org Server 及其 XWayland 组件在 6 月初被发现存在九个新的安全漏洞，其中八个由趋势科技的 TrendAI 零日挖掘计划借助人工智能技术发现，另一个则由红帽资深 X.Org 输入子系统开发者 Peter Hutterer 报告。 这表明，即便距十多年前安全研究者将 X.Org 服务器形容为“灾难、而且比看上去更糟”已经过去多年，这一老牌图形系统在安全层面的问题依然层出不穷。

昨天夜里多家网络安全公司先后检测到红帽公司在 NPM 平台发布多个带有恶意载荷的软件包，这些恶意载荷采用的是 Mini Shai-Hulud 开源蠕虫病毒的变种版本，进入开发环境后会收集并将各种敏感凭证加密上传到黑客控制的服务器，同时蠕虫还会利用这些凭证继续横向传播感染更多开发环境并窃取更多凭证。

黑客声称他们利用 Meta 的 AI 支持聊天机器人，成功入侵了多个高知名度的 Instagram 账号，方法是直接让机器人把目标账号关联的邮箱地址改成新的邮箱。相关说法与近期一系列社交媒体账号被接管事件相吻合，其中包括巴拉克·奥巴马白宫账号、美国太空军首席军士长的账号以及丝芙兰账号。

近期黑客正在积极利用 ChatGPT 和 Claude 等流行的人工智能工具进行钓鱼，黑客选择这些工具是因为搜索量高且可以通过插件或内容共享等方式复用官方域名，至少对大多数用户而言直接从Google搜索结果的置顶广告里看不出来这是钓鱼网站，因此黑客的钓鱼成功率要显著更高。

奥地利一支研究团队近日披露了一种全新的浏览器侧信道攻击方式，只需借助网页内运行的代码和设备存储硬件的微弱信号，就可能对用户的上网行为进行“窥探”，而无需依赖传统的 cookies、点击追踪脚本或常见的指纹识别技术。这种方法利用的是固态硬盘（SSD）在处理数据请求时的时间特性。

安全研究人员警告称，一场名为“巨齿鲨（Megalodon）”的大规模供应链攻击已通过自动化提交的方式，向超过5500个 GitHub 代码仓库注入恶意软件。 该攻击滥用 GitHub Actions 工作流，在持续集成环境中植入窃密载荷，目标包括凭证、CI 机密、密钥与令牌等敏感信息。

互联网名称与数字地址分配机构（ICANN）今日宣布，将于 2026 年 10 月 11 日对域名系统（DNS）的信任锚进行更换，此次变更被称为“密钥轮换”（rollover），被视为维护 DNS 长期安全性、稳定性和韧性的重要步骤。

致力于供应链攻击的黑客团队 TeamPCP 日前发布商业广告宣称要出售代码托管平台 GitHub 核心源代码和内部组织架构信息，该黑客团伙称此次交易并不是勒索而是独家直接销售，当然即便是勒索 GitHub 也不太可能会向黑客支付赎金以换取数据保密。

人工智能公司Anthropic已同意向各国主要财政部与央行，通报其最新人工智能模型所发现的全球金融体系网络安全防御漏洞。两名知情人士透露，此次安排源于英国央行行长安德鲁・贝利提出的请求。贝利同时担任金融稳定委员会主席，他希望Anthropic向该委员会成员介绍其全新ClaudeMythos预览版人工智能模型的各项能力。

一家安全公司近日证实，一款多年前被发现、却直到最近才被完整分析的恶意软件“Fast16”，曾被用于暗中干扰核武器爆炸模拟测试，目的不是直接摧毁武器，而是通过篡改测试数据，误导工程师认为核试验失败，从而拖慢核计划的推进。

一桩发生在美国联邦政府承包商内部的黑客案件，正在成为信息安全和人员审查方面的反面教材。 近日，34岁的双胞胎兄弟 Sohaib Akhter 和 Muneeb Akhter 因在被解雇后恶意删除联邦政府数据库并进行相关黑客活动，被联邦陪审团裁定罪名成立或提前认罪。

F5 旗下的 NGINX 是全球使用量极高的反向代理服务器，NGINX 也是全球互联网的关键基础设施，现在安全研究公司披露该软件出现的高危安全漏洞，该漏洞编号为 CVE-2026-42945，NGINX 脚本引擎中存在已经 18 年的堆缓冲区溢出问题。

昨天专注于供应链攻击的黑客团队 TeamPCP 开源发布用于 NPM 生态系统的蠕虫病毒 Shai-Hulud (名称取自科幻小说沙丘中的沙虫)，下游黑客只需要按需修改里面的部分选项和 C2 命令控制服务器后即可使用，例如拿来感染更多搜寻到的云开发环境等。

一家自称拥有全球最大恶意软件源代码收藏的研究团队 vx-underground 近日在社交平台 X 发帖称，其当前保存的恶意软件数据总量约为 30 TB（太字节）。不久后，在线多引擎病毒扫描服务 VirusTotal 创始人 Bernardo Quintero 在回复中表示，用户多年来提交到 VirusTotal 的恶意软件样本已经累计达到约 31 PB（拍字节）。按照常用换算，一拍字节约等于一千太字节，这意味着两者的数据规模已远超一般用户的直观想象。

国际货币基金组织（IMF）近日发布报告，称以Anthropic公司近期推出的Claude Mythos为代表的先进人工智能模型，正导致全球网络安全风险急剧上升。该机构强调，若不加以有效管控，由人工智能驱动的网络攻击或将严重威胁全球金融体系的稳定。

波兰情报部门近日披露，该国至少五座水处理厂遭到黑客攻击，入侵者一度有机会控制厂内工业设备，在极端情况下甚至可能篡改供水安全参数，对民用供水构成直接威胁。波兰方面警告，这类攻击不仅是对本国基础设施的挑战，也折射出全球水务系统在网络安全上的脆弱性。

在今年的“世界密码日”之际，安全厂商卡巴斯基发布的一项研究显示，使用单块高端 GPU，对通过 MD5 算法保护的密码哈希进行暴力破解时，有约 60% 的密码在一小时内就能被攻破，其中约 48% 甚至在一分钟内就可被破解，引发业内对传统密码安全性的再度担忧。

安全研究人员近日披露，广泛使用的虚拟光驱软件 DAEMON Tools 遭遇严重供应链攻击，其官方安装程序自 2026 年 4 月初起被植入后门并通过正规渠道分发，波及全球数千台设备。 根据卡巴斯基发布的调查结果，攻击者入侵了合法安装包，在经官方数字签名的二进制文件中注入恶意代码，使得恶意程序伪装成可信的软件更新进行投递。

据英国技术专家和开源倡导者特伦斯·伊登透露，英国国家医疗服务体系(NHS)正计划关闭几乎所有公开的源代码存储库，原因是担心人工智能带来的安全风险。伊登曾在英国政府数字服务部门负责开放标准工作，并参与了NHS新冠疫情追踪应用程序源代码的发布。他表示，这一消息来自NHS内部多个独立信源，这些知情人士对该决定感到震惊。

美国网络安全和基础设施安全局（CISA）已下令所有联邦机构在 5 月 3 日前，修补影响关键服务器与网站管理系统的一处严重安全漏洞 CVE-2026-41940。该漏洞存在于由 WebPros International 旗下 cPanel & WHM 产品中，这套基于 Linux 的网站托管控制面板被广泛用于管理网站与服务器，全球有数以百万计的域名依赖相关解决方案运行。

Meta近日悄然终止了与外包公司Sama的合作关系，此前该公司受托利用Ray‑Ban智能眼镜采集的影像数据为Meta的生成式AI系统提供训练素材。随后，Sama宣布裁撤1108名员工，其中部分员工称，他们是在向媒体披露所审阅视频涉及大量高度隐私内容后遭到“报复性”解雇。

根据电子前沿基金会(EFF)的消息，从下周起，犹他州将成为美国首个针对VPN用户实施限制的州。这一变化发生在该州实施成人网站年龄验证制度三年之后，而正是这一制度导致了VPN使用量的激增。

近期，一种针对Denuvo等DRM保护系统的虚拟机监控程序绕过方法出现，为游戏破解者提供了新的突破途径。这种绕过技术效果显著，以至于知名游戏重新打包者FitGirl宣称"所有单人游戏及非VR的Denuvo游戏现已被破解或绕过"。

英国政府网络安全技术主管机构——隶属于英国政府通信总部（GCHQ）的国家网络安全中心（NCSC）近日更新官方指导意见，正式建议消费者在各类数字服务中优先选择“通行密钥”（Passkeys）而非传统密码作为首选登录方式。这一表态于上周四对外公布，标志着英国官方在身份验证技术路线上的立场出现重要转变。

随着电动汽车快速普及，公共充电网络正逐步演变为关键基础设施，但其安全防护水平仍停留在普通消费级物联网设备的水准，存在被大规模恶意关停的风险。研究人员指出，可预测的设备编号以及薄弱的身份认证机制，可能让攻击者从“干扰一名司机”为起点，升级为让整座城市的公共充电网络集体离线。

安全研究员Impulsive披露，全球PC玩家广泛使用的硬件监控工具GPU-Z存在严重安全漏洞。其内置的TRIXX.sys驱动程序可在无需管理员权限的情况下，直接读写计算机物理内存，攻击者可借此获取系统最高访问权限。

“有人落水！”是船上最令人心惊的呼喊之一，结局往往以悲剧收场。如今，海事技术公司Zelim推出的ZOE“人落水”（MOB）机器视觉检测系统正式通过权威机构认证，被寄望于显著降低此类事故的死亡率。

以窃取信息并发起勒索为主要业务的黑客团队 ShinyHunter 日前拿下知名云开发平台 Vercel，该平台被攻击后泄露部分内部敏感信息和客户信息，目前平台正在通知受影响的客户立即轮换各类凭证并检查活动日志。

视频会议软件 Zoom 日前宣布与萨姆奥尔特曼领导的 World (前身为 Worldcoin) 合作，在视频会议中新增实时真人验证功能，经过验证的真实人类将会被添加标记让其他参会者可以看到真人说明。

以发布游戏成人Mod闻名的门户网站AyakaMods近日声称，正遭受女权组织Collective Shout的协同攻击。据网站管理层称，该组织的活动人士通过向杀毒软件及流量匿名化服务发起大量投诉，试图促使这些服务将网站标记为不安全并实施屏蔽。

DenuvOwO小组的管理员兼黑客之一的Magic，稍微透露了一些关于依旧坚持使用传统方式攻破D加密的“老一辈黑客”voices38目前工作内容的内部消息。

欧盟年龄验证应用程序因网络安全专家发现多处漏洞而引发争议。 这款宣称"技术已完备"且符合"最高隐私标准"的系统，在不到两分钟内即被攻破。安全顾问保罗·穆尔率先指出其薄弱环节，他在研究该应用程序的开源代码后，通过视频演示了绕过防护的具体操作流程。

印度政府已决定放弃要求苹果、三星等手机厂商预装该国生物识别身份应用程序Aadhaar的提案。此前，这一建议遭到了智能手机巨头的强烈反对。

一家位于加州的独立审计机构最新报告显示，过去几年在网站上铺天盖地出现、号称让用户“自主选择”是否被广告跟踪的 Cookie 同意弹窗，在相当多情况下实际上形同虚设——即便用户明确点击“拒绝”，包括Google、微软和 Meta 在内的大型广告技术公司仍会照常种下跟踪 Cookie，并将付出可能高达数十亿美元的罚款视为“成本更低”的选项。

Raspberry Pi 基金会近日发布 Raspberry Pi OS 6.2 版本，该版本基于 Debian Trixie，主要汇总了过去数月的安全修复和错误修正，同时对系统安全策略做出一项重要调整：默认关闭“免密码 sudo”功能。

上周知名硬件开发商 CPUID 网站遭到黑客攻击，黑客替换 CPU-Z 和 HWMonitor 等多款硬件监控软件的下载链接，当用户运行黑客投放的恶意版本时就会感染远程访问木马。平心而论，CPU-Z 等软件虽然非常知名，但 CPUID 团队并非大公司所以也没有能力进行详细安全调查，所以详细情况还是得看其他安全公司发布的报告，比如卡巴斯基。

Rockstar Games遭遇了黑客组织ShinyHunters发起的安全入侵事件，目前数据泄露的范围尚未明确。ShinyHunters威胁称，若Rockstar不支付赎金，就将公开相关数据;而Rockstar已在声明中确认了该事件的真实性：

知名硬件检测工具 CPU-Z 和硬件监控工具 HWMonitor 开发商 CPUID 网站日前遭到黑客攻击，黑客通过未知方式入侵该网站的服务器，然后在网站上随机显示恶意链接并诱导用户下载。

据调查网站 Bellingcat 报道，近 800 个匈牙利政府电子邮箱及其对应密码正在互联网上流传，涉事账户涵盖政府 13 个部委中的 12 个，以及驻外军人和公务员等敏感岗位人员。 这些数据泄露中部分包含电话号码、住址、出生日期、用户名和 IP 地址等个人信息。

Anthropic 周二宣布，将向全球多家顶尖网络安全与软件企业开放其全新人工智能模型，旨在遏制因人工智能落入黑客之手而引发的网络军备竞赛。亚马逊、苹果、思科、谷歌、摩根大通、微软等企业，现已获准使用 Anthropic 的Mythos 模型用于网络防御，包括查找自身软件中的漏洞，以及测试特定黑客攻击手段是否能对其产品奏效。

近期，备受争议的反篡改DRM软件Denuvo遭遇重大打击。该软件与Steam上一些最受欢迎的游戏捆绑发行，而如今破解者利用一种名为“虚拟机管理程序绕过”（Hypervisor Bypass）的新漏洞，成功实现了对多款游戏的“首发即破”。

汇丰银行（HSBC）印度近日向所有客户发出通知，自2026年4月6日起，网银登录密码中的所有英文字母将统一转为大写，例如原密码Test123将变为TEST123。这一操作在安全领域引发轩然大波，安全专家指出，这意味着汇丰印度长期以来以明文或可逆格式存储用户密码，严重违反现代安全标准。

昨日，Irdeto公司宣布将推出Denuvo加密更新，旨在封堵日益猖獗的虚拟机破解方式。官方表示，此次更新不会影响游戏性能。然而，DenuvOwO破解组成员KiriGiri迅速回应，称破解者早已备好后手。

美国玩具巨头孩之宝（Hasbro）确认遭遇网络攻击，并警告称，完全解决此次事件可能需要“数周时间”。根据孩之宝向美国证券交易委员会（SEC）提交的合规披露文件，企业于当地时间3月28日发现未经授权的入侵行为，随即关闭了部分系统，以遏制事件影响。 披露文件显示，孩之宝已启动并持续推进业务连续性计划，以便在应对安全事件的同时，继续“接收订单、发货及开展其他关键运营”。

昨天 Claude Code 源代码泄露在开发者社区引起狂欢，不过随后 A 社也发送 DMCA 通知要求 GitHub 删除超过 8100 个包含相关泄露源代码的仓库，理由是侵犯版权。

Anthropic旗下专有的 Claude Code 命令行工具（CLI）完整 TypeScript 源码，疑似因 npm 包配置失误，经由其 npm 注册表意外泄露。 事件最早由安全研究员邵超凡（Chaofan Shou）披露，他在社交平台 X 上发文称，“Claude Code 源代码通过其 npm 注册表中的 map 文件泄露”，并指向一份可直接下载的源码压缩包链接，该压缩包托管在 Anthropic 自身的 R2 云存储中。

流行的 HTTP 客户端库 Axios 在 NPM 平台的仓库被黑客攻击，黑客通过某种方式获得开发者管理员账号和密码，然后发布两个恶意版本 [email protected] 和 [email protected] 版。

近日，围绕Denuvo虚拟机破解的技术前景，几位知名破解者在网络上展开了一场唇枪舌战。事情的起因是voices38的一番言论。他表示自己在业余时间出于娱乐，找到了几种能封堵虚拟机破解的方法，而且这些方法“无法被绕过”。他进一步指出：“如果我能找到这种办法，那Denuvo肯定也能，我相信他们还会发现更多。”

日前美国联邦调查局 (FBI) 局长卡什帕特尔 (Kash Patel) 的个人Google邮箱遭到伊朗关联黑客组织汉达拉黑客团队 (Handala Hack Team) 的攻击，该黑客团队公开泄露帕特尔的个人照片、旧简历以及其他文档。

一支被指受伊朗政府支持的黑客组织“Handala”本周五在其网站上发文，声称已入侵美国联邦调查局（FBI）局长卡什·帕特尔的个人邮箱账户，并公开了一批据称来自其个人Google邮箱的文件和照片，试图借此在持续升级的美伊对抗中施压美国情报与安全机构。

最近，复旦大学计算与智能创新学院教授张军平的一段人脸识别视频提醒引发热议。原来人脸识别功能启动时，屏幕上显示的圆圈或者方框只是一个“定位器”，引导用户把人脸定位到这里，方便系统更加精确地捕捉脸部特征信息。

每月下载量超过 9500 万次的开源软件库 LiteLLM 在近期的供应链投毒事件中被黑，黑客篡改 1.82.7 和 1.82.8 版添加恶意代码，这些恶意代码会搜索环境中的所有敏感数据回传到黑客服务器。黑客编写的恶意代码还具有横向传播能力，即扫描目标环境和窃取凭证后再利用凭证继续攻陷其他设施，例如大量 k8s 集群就被攻陷，泄露的数据无法估量。

长久以来，游戏公司对内部泄密现象防不胜防，从《上古卷轴6》到《生化危机》系列，大量重磅作品的未公开信息屡屡提前曝光。如今，一项基于人工智能的新技术或许能为这一难题提供终极解决方案。

美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）当地时间3月20日发布联合公共安全通告称，与俄罗斯情报机构有关联的黑客正通过一场全球性网络钓鱼行动，入侵数以千计用户的商业即时通讯应用账户，其中包括Signal等加密通讯工具。 通告指出，此轮攻击的重点目标为现任及前任美国政府官员、政治人物、军方人员以及记者等高价值人群。

外媒The Information报道，就在上周，Meta内部发生了一场史上最惊心动魄的Sev 1级安全事故。两小时内，Meta帝国最核心的机密，包括涉及数亿用户的敏感数据，以及公司内部绝密文件，全部赤裸裸地暴露在成千上万名未经授权的员工面前。

生命在于运动？此前就有美军士兵佩戴智能手表并跑步然后分享跑步记录泄露军事基地的位置的事儿，没想到类似事件还能看到续集：法国戴高乐航母的某名年轻海军军官分享自己的跑步记录，然后让外界可以精确定位戴高乐航母的位置。

Google威胁情报小组 (GTIG) 日前发布深度安全分析报告，披露名为 DarkSword 的新型 iOS 全链路漏洞利用工具，该工具自 2025 年 11 月起已经被多个商业间谍软件开发商和疑似国家级黑客团队利用。

一款拥有逾百万用户的热门 Chrome 图片格式转换扩展程序“Save Image as Type”近日被曝遭到黑客接管并植入恶意代码，安全研究人员呼吁相关用户立即卸载该扩展。 Google已在本月早些时候将其下架，但在此之前，这款工具很可能已经在数周时间里静默篡改了成千上万名用户的浏览器行为。 调查显示，幕后团伙还与数十款被劫持的 Chrome 和 Edge 扩展有关联。

最近，复旦大学教授张军平提醒大家，说人脸验证时千万要穿衣服，尤其不要在洗澡的时候去做人脸识别，不然会被看光而泄露隐私。这个怎么说呢？四个字：胡(hai)说(jiao)八(shou)道(ne)。

据报道，八家美国科技巨头——包括谷歌、亚马逊和OpenAI——已签署一份新承诺书，承诺共享有关诈骗者滥用其服务的威胁情报。这些企业在奥地利举行的联合国全球欺诈峰会前夕，签署了全新的《反网络诈骗服务协议》。

今日下午，国家网络与信息安全信息通报中心通报OpenClaw安全风险预警，并给出5条风险防范建议。

3 月 9 日，OpenAI 宣布将收购人工智能安全平台 Promptfoo，并计划在交易完成后把该公司的技术全面集成到 OpenAI 的企业级智能体平台 OpenAI Frontier 中。Promptfoo 主要面向企业用户，在 AI 系统开发阶段帮助识别和修复各类安全漏洞，其工具目前已获得超过四分之一财富 500 强企业的采用，并通过开源 CLI 和库支持大语言模型应用的评估与红队测试。

据外媒GameGPU报道，反盗版技术公司Irdeto旗下Denuvo团队近期面临新的技术挑战——针对其保护机制的新型绕过方式引发行业关注。专家分析认为，开发商将通过系统算法更新来应对这一威胁。

Mozilla 基金会近日披露，其与 Anthropic 合作，在短短两周内通过 Claude AI 辅助的漏洞挖掘方法，在 Firefox 浏览器中发现了 100 余个安全与稳定性问题，其中包括 14 个被认定为高危的安全漏洞。所有高危漏洞已被分配 22 个独立的 CVE 编号，并在最新版 Firefox 148.0 中完成修复。

Google威胁情报小组最新年度报告显示，2025 年针对企业技术产品的零日漏洞利用达到了有记录以来的最高水平，其中商业间谍软件厂商以及与中国有关联的网络间谍组织是最活跃的攻击方。据该小组统计，2025 年共发现 90 个在野利用的零日漏洞，其中有 43 个直接命中企业软件和设备，占全部零日攻击的 48%，高于 2024 年的 36 个（占比 46%）。

是什么能够让近70岁的非遗专家、60多岁的退休航空技术工程师、怀抱2岁小孩的妈妈和只有9岁的四年级小学生都齐聚一堂抢着排队的？答案是最近火遍科技圈的OpenClaw（俗称“龙虾”）的免费安装现场。

美国国会两名议员近日致信政府问责局（GAO），要求调查现代电脑和手机是否仍然暴露在一种源于冷战时期的“物理辐射窃听”风险之下，再次将侧信道攻击这一老牌技术拉回公众视野。

Google威胁情报小组日前发布报告披露名为 Coruna 的间谍软件，这款间谍软件最初应该是某个国家级黑客团队开发的，但不知道什么原因导致其泄露到网上并开始遭到各路黑客的使用。

美国与欧洲执法机构近日联合宣布，已查封网络论坛 LeakBase 的数据库，并指其是“全球最大网络犯罪论坛之一”，长期用于分享被盗密码和各类黑客工具。 执法部门表示，本周早些时候他们已控制该网站，其数据库中登记的注册成员超过 14.2 万人，站内成员之间发送的消息数量也超过 21.5 万条。

目前越来越多的网友开始尝试部署 OpenClaw AI 机器人，这种基于人工智能技术的个人助理机器人使用体验非常好，但用户赋予的权限越高则潜在的安全风险也越高。

当地时间周六凌晨，包括首都德黑兰在内的伊朗多座城市遭到由美国和以色列主导的连续空袭，伊朗最高领袖阿里·霍梅尼以及多名高层领导人在袭击中身亡。有报道指出，军事行动同时伴随针对伊朗的信息战与网络攻击，其间全国互联网连接几乎瘫痪，一款在伊朗广受欢迎的手机祈祷应用疑似被黑客入侵，向用户大规模推送带有反政府内容的通知。

日前一名DIY爱好者试图用PS5游戏手柄控制自家大疆（DJI）Romo扫地机器人时，意外触发严重安全漏洞，导致全球约6700台该型号机器人遭未授权访问，可被查看实时摄像头画面、获取家庭2D楼层平面图，甚至定位设备位置。

亚马逊近日发出安全警告称，一名讲俄语的黑客在短短五周内，借助多种生成式 AI 服务，对 Fortinet FortiGate 防火墙发动大规模入侵行动，在 55 个国家成功攻陷了 600 余台设备。

据国际特赦组织（Amnesty International）本周二发布的最新调查报告显示，备受争议且遭受制裁的监控软件制造商Intellexa，其一名政府客户利用旗下的“掠食者”（Predator）间谍软件，成功入侵了安哥拉一名知名记者的iPhone手机。这一事件再次揭露了强力手机黑客软件被用于针对公民社会人士的严峻现状。

据安全厂商卡巴斯基披露，其在追踪此前被发现会预装在低价Android设备中的木马 Triada 时，进一步发现一种名为“Keenadu”的固件级后门，已在全球范围内感染大量设备，并被设计为在用户不知情的情况下深入Android系统底层运行。

日本成人用品制造商Tenga于周五向客户发送通知，称该公司遭遇数据泄露事件。公司表示"未经授权的第三方获得了我们一名员工的企业电子邮箱访问权限"，这使得黑客得以查看并窃取该员工收件箱中的内容。

7-Zip是很多人钟爱的压缩解压软件，高压缩比，开源免费，但是你知道它的官方网站吗？记住是7-zip.org，而不是7-zip.com之类的！

俄罗斯正在对境内使用的海外通讯应用发起新一轮全面打击行动，继宣布在全国范围内大幅放慢 Telegram 访问速度后，当局已将 WhatsApp 彻底封锁，意在迫使民众改用本土、由国家支持的通讯应用 Max，并进一步将俄罗斯互联网与全球网络隔离开来。

网络安全研究团队Howler Cell的专家发布报告称，近期发生针对盗版软件用户的大规模网络攻击。攻击者通过篡改热门游戏安装程序，在用户计算机中秘密植入恶意代码。已知被篡改的游戏包括《孤岛惊魂》《极品飞车》《FIFA》和《刺客信条》等热门作品。

美国网络安全和基础设施安全局（CISA）近日发布新一轮强制性网络安全指令，要求所有联邦文职机构全面排查并移除已停止厂商支持的边缘网络设备与软件，包括过时的路由器、防火墙、VPN 网关和交换机等。 监管部门强调，这类“寿命终结”的边缘设备已成为国家级黑客渗透政府网络的主要入口之一，必须在限定时间内完成整治。

日前，V2EX等多个社区用户反馈称，飞牛fnOS出现重大安全漏洞，可通过路径穿越访问NAS上任意文件，包括系统配置和用户存储文件。

挪威诺贝尔研究所近日公布内部调查结果称，去年诺贝尔和平奖得主玛丽亚·科琳娜·马查多（Maria Corina Machado）姓名在正式公布前被提前泄露，最有可能的原因是诺贝尔机构的计算机系统遭到黑客入侵。 调查认为，一名个人黑客或某个国家级行为体可能通过网络攻击非法获取了相关机密信息。 该项调查由研究所内部主导，并获得安全部门协助。

网络安全研究机构ESET披露，去年12月针对波兰电力系统的一起未遂破坏行动，系俄罗斯政府背景黑客所为，其身份被锁定为曾多次发动能源破坏行动的“沙虫”（Sandworm）组织。

苹果重要供应链伙伴立讯精密在去年12月遭遇严重勒索软件攻击，大量包含苹果在内多家科技企业的敏感资料被窃，并已被黑客在暗网兜售，相关文件被安全行业人士评估为高度可信。此次事件不仅再次暴露全球供应链在网络安全上的脆弱，也为苹果未来产品规划、知识产权保护以及潜在安全风险投下阴影。

Denuvo在行业内声名日渐衰败早已是不争的事实，许多工作室一旦加入D加密，往往都会遭遇玩家的强烈反弹。这套反篡改方案长期被指责会严重破坏游戏性能，而最新的一项分析则揭示了它究竟是如何“搞砸”一切的。

多名知情人士透露，英国与中国的安全官员已建立一项新的对话机制，就网络攻击相关议题展开沟通，此举是在一系列黑客指控导致双边关系趋紧的背景下做出的最新尝试。 伦敦与北京方面达成设立所谓“网络对话”（Cyber Dialogue）的共识，由双方安全官员参与，目标是管控彼此国家安全领域面临的网络威胁，该安排目前尚未公开。

美国近日在纽约联合国总部呼吁各成员国对朝鲜通过境外IT劳工计划和加密货币盗窃规避制裁的行为采取更强硬立场，并以一份去年秋季发布、长达140页的多边制裁监测小组报告为讨论基础。该报告系统梳理了平壤通过网络攻击和隐蔽就业等方式为其核与弹道导弹项目筹措资金的路径，将“朝鲜IT劳工计划”与数十亿美元规模的加密货币窃取活动直接关联起来。

近日，一名昵称为“1011”的黑客在暗网论坛上发帖声称自己成功入侵了荷兰光刻机巨头ASML的系统，并窃取了154个数据库，其中包含大量敏感公司信息，引起关注。而ASML官方已于当地时间7日发声辟谣。