Burner phones and lead-lined bags: a history of UK security tactics in China4 months agohttps://www.theguardian.com/politics/2026/jan/28/burner-phones-history-uk-securi...英国首相访华时采取严格安保措施是标准程序,包括使用一次性手机和临时邮箱以防止间谍活动。历史案例包括特蕾莎·梅曾被建议在羽绒被下更衣以防范偷拍,以及戈登·布朗的助手在2008年陷入美人计陷阱。中方通常为外国政要配备贴身警卫人员,这可能成为低级别情报收集的渠道。只有英国大使馆内的安全隔离区才被视为敏感谈话的安全场所,其他区域都被假定存在监听装置。内阁大臣在华期间缺乏常规通讯曾引发政治危机,如2014年文斯·凯布尔遭遇党内政变时的情况。
County pays $600k to pentesters it arrested for assessing courthouse security4 months agohttps://arstechnica.com/security/2026/01/county-pays-600000-to-pentesters-it-arr...两名安全专业人员Gary DeMercurio和Justin Wynn在一起错误逮捕诉讼中以60万美元达成和解,事发时他们正在执行授权安全评估。根据合同约定,这次为爱荷华州司法部门开展的'红队'评估包含开锁等物理渗透测试。尽管获得授权,二人仍因重罪入室盗窃被捕,遭羁押20小时,后续还被控轻罪非法侵入。达拉斯县警长Chad Leonard公开坚称其行为违法,导致当事人声誉受损。该事件引发安全行业对授权测试中法律风险的普遍担忧。专业人员发现法院未上锁的门户后进入,随即反锁房门并通过技术手段触发警报系统。
One-Click Clawdbot/Moltbot on Security-Hardened DigitalOcean Droplets4 months agohttps://www.digitalocean.com/blog/moltbot-on-digitaloceanDigitalOcean宣布为Droplet®服务器推出Moltbot一键部署功能,可在安全云环境中快速部署持续运行的智能体AI由Peter Steinberger和开源社区开发的Moltbot,展现了开发者主导的智能体AI领域的快速创新该方案解决了包括保障智能体访问安全、隔离执行环境、保护凭证信息同时简化部署流程等挑战DigitalOcean的一键部署Moltbot提供生产级安全默认配置,通过TLS加密反向代理确保通信安全该解决方案支持从本地实验环境无缝过渡到生产环境,无需重构工作流程核心功能包括安全访问、隔离执行、凭证保护和垂直扩展能力DigitalOcean的智能体推理云专为高推理负载设计,提供可靠的生产环境性能即将推出的功能包括水平扩展、按使用量计费以及增强型监控可用资源包括快速入门指南、社区论坛和技术文档安全提示:为获得最佳安全性,Moltbot应仅在提供的Droplet环境中运行
MakuluLinux (6.4M Downloads) Ships Persistent Backdoor from Developer's Own C24 months agohttps://werai.ca/security-disclosure.htmlMakuluLinux在其操作系统安装程序中包含一个持久后门,会连接到开发者控制的C2服务器。该后门伪装成'系统健康检查',并与217.77.8.210:2006建立TCP连接。开发者Jacque Montague Raymer运营着C2服务器及相关域名,证实了后门来源。不安全操作包括未加密的HTTP更新、自动以sudo权限执行脚本以及缺乏代码签名验证。MakuluLinux充当其AI即服务平台的中转站,所有AI功能均通过开发者服务器代理。后门可实现数据收集(包括地理位置和用户会话),且所有AI请求均被记录。缓解措施包括终止后门进程、删除相关文件、阻断C2服务器连接以及禁用更新脚本。建议采用'人类路由器'架构来防止非可信环境中的未授权操作。
Elon Musk asks Jeffery Epstein for invitation to 'let loose' [pdf]4 months agohttps://www.justice.gov/age-verify美国政府官方网站使用.gov域名安全的.gov网站采用HTTPS加密连接锁形图标表示该.gov网站是安全网站敏感信息应仅在官方安全网站上共享部分内容仅限18岁以上成年人访问
Genode OS is a tool kit for building highly secure special-purpose OS4 months agohttps://genode.org/about/indexGenode OS框架是一个用于构建高度安全的专用操作系统的工具包其适用范围从嵌入式系统到通用计算场景,最低仅需4MB内存即可运行采用递归式系统架构,每个程序都在具有特定访问权限的专用沙箱中运行程序可创建子沙箱,形成具有层级策略的权限体系该框架支持安全的进程间通信和资源交易机制融合L4微内核构造原则与Unix哲学,提供包括内核/驱动/文件系统在内的小型可组合模块支持多种CPU架构(x86/ARM/RISC-V)及内核(L4系/Linux/自定义内核)具备NOVA微内核上的VirtualBox虚拟化及定制ARM虚拟机监控器等虚拟化方案包含100多个即用型组件,开源项目且由Genode实验室提供商业支持提供路线图/技术挑战/学术论文/许可协议/系统截图等丰富资源
Ingress Nginx: Statement from Kubernetes Steering and Security Committees4 months agohttps://kubernetes.io/blog/2026/01/29/ingress-nginx-statement/Kubernetes将于2026年3月停止维护Ingress NGINX,原因是缺乏贡献者和维护者。停止维护后将不再提供任何更新、错误修复或安全补丁,这将带来重大安全风险。官方强烈建议用户立即迁移至替代方案,如Gateway API或第三方Ingress控制器。约50%的云原生环境依赖Ingress NGINX,突显此次停更影响的广泛性。近年来Ingress NGINX仅由一两名维护者利用业余时间勉强支撑。该项目的技术债务和设计缺陷使其难以为继,即便投入额外资源也无法解决根本问题。用户可通过特定kubectl命令(需集群管理员权限)检测自身对Ingress NGINX的依赖程度。Kubernetes指导委员会与安全响应委员会强调,迁移工作具有高度紧迫性和严重性。
Why aren't we using SSH for everything? (2015)4 months agohttps://shazow.net/posts/ssh-how-does-it-even/SSH不仅可用于Shell访问,还能实现如ssh-chat等聊天应用。SSH会共享$USER、$TERM等环境变量给服务器,支持个性化配置。SSH支持多种认证方式,包括公钥认证——无需用户操作即可完成安全身份验证。SSH连接全程加密,并通过密钥指纹验证防止中间人攻击。SSH支持多路复用,可同时进行端口转发、Shell访问和命令执行等操作。SSH跨平台普及度高,易用性极强。SSH具备类似HTTP/2的特性(如加密、多路复用),但内置了客户端认证机制。SSH能用于创新场景:多用户地牢游戏(MUD)、分布式哈希表(DHT)、RPC接口等。理论上SSH甚至可托管静态文件或实现HTTP协议层。SSH如此多功能,不禁让人思考为何未被更广泛地应用于各类场景。
You Still Struggle with CORS Even After Reading Docs4 months agohttps://evan-moon.github.io/2020/05/21/about-cors/en/CORS(跨源资源共享)是浏览器实现的一项安全特性,用于限制脚本发起的跨源HTTP请求。CORS错误在Web开发中很常见,特别是当客户端应用程序尝试在没有适当权限的情况下访问不同源的资源时。源由方案(协议)、主机和端口的组合定义。只有当这三者完全匹配时,请求才被视为同源。SOP(同源策略)是一项基本的安全措施,限制来自一个源的文档或脚本如何与另一个源的资源进行交互。CORS通过允许服务器通过HTTP头部指定哪些源可以访问其资源,提供了一种放宽SOP限制的方式。CORS主要有三种场景:预检请求(在发送主请求前检查权限)、简单请求(无需预检,需满足特定条件)和凭证请求(包含认证信息)。解决CORS问题需要服务器正确配置'Access-Control-Allow-Origin'头部。虽然可以使用通配符(*),但在涉及凭证的请求中会存在安全隐患。开发者可以通过Webpack Dev Server的代理功能等工具在开发环境中绕过CORS限制,但这并非生产环境的解决方案。试图通过<img>或<script>等标签嵌入资源来绕过CORS限制,仍然无法通过JavaScript访问响应数据。理解CORS机制对前后端开发者都至关重要,有助于高效协作解决相关问题。
GitHub - netbirdio/netbird: Connect your devices into a secure WireGuard®-based overlay network with SSO, MFA and granular access controls.4 months agohttps://github.com/netbirdio/netbirdNetBird 提供无需配置的点对点私有网络,并具备集中式访问控制功能。特性包括基于WireGuard自动创建覆盖网络,省去VPN网关等复杂设置。通过统一管理界面实现细粒度策略控制,提供安全的远程访问能力。支持在任何基础设施上实现通用化部署。快速入门指南包含下载NetBird、注册账号和添加设备三个步骤。自托管版本需要配置具备公网访问权限的Linux虚拟机及域名设置。软件依赖项包括Docker、docker-compose、jq和curl工具。安装过程需导出域名变量后执行bash脚本完成部署。架构采用代理连接管理服务的模式,统一管理网络状态与节点IP分配。通过WebRTC ICE和STUN服务器建立点对点连接,TURN协议作为备用通道。NetBird于2022年11月加入StartUpSecure计划,严格遵循安全最佳实践。核心技术基于WireGuard®、Pion ICE、Coturn和Rosenpass等开源项目。采用BSD-3-Clause许可证,部分目录代码遵循AGPLv3协议。
A WhatsApp bug lets malicious media files spread through group chats3 months agohttps://www.malwarebytes.com/blog/news/2026/01/a-whatsapp-bug-lets-malicious-med...自被Meta收购后,WhatsApp的声誉逐渐下滑,从备受信赖的通讯工具变成了用户勉强接受的必需品。注重隐私的用户仍认为严格设置下的WhatsApp是安全的,但许多人对Meta的生态系统持怀疑态度。谷歌Project Zero团队披露了WhatsApp群聊中涉及零点击媒体下载的漏洞,存在安全隐患。新建群聊中的恶意媒体文件可自动下载并成为攻击载体。该漏洞影响安卓用户,攻击者需掌握或猜测至少一个联系人信息才能实施定向攻击。国际组织起诉Meta,指控WhatsApp在声称端到端加密的情况下仍能访问私人通讯内容。Meta于2025年11月11日推送了部分服务器修复方案,正在开发完整解决方案。谷歌建议关闭自动下载功能或启用高级隐私模式以防止恶意媒体自动下载。安全防护措施包括:关闭自动下载、限制群组添加权限、启用两步验证。与所有应用及安卓系统一样,及时更新WhatsApp对保障安全至关重要。
Deno Sandbox3 months agohttps://deno.com/blog/introducing-deno-sandboxDeno Sandbox专为安全运行不可信代码(尤其是LLM生成的代码)设计,通过轻量级Linux微虚拟机提供隔离环境。其纵深防御安全体系包含网络出口管控和密钥保护机制,密钥仅会在批准的出站请求时临时生效。支持通过JavaScript/Python SDK编程创建沙箱,启动时间短于1秒,可通过SSH、HTTP或VS Code进行交互。默认提供临时沙箱环境,同时支持通过数据卷持久化存储和快照功能预装工具链。无需重构即可直接部署至Deno Deploy平台,实现从开发到生产的无缝衔接。采用用量计费模式,计算时长、内存和存储资源定价具有竞争力,费用已包含在Deno Deploy方案中。目前处于测试阶段的Deno Sandbox主要面向AI智能体、安全插件系统、临时CI运行器及用户提交代码等应用场景。
The €10 Mirror: Why Enterprise Security Looks Like a Kid's Toy3 months agohttps://labs.itresit.es/2026/02/04/the-e10-mirror-why-enterprise-security-looks-...一款玩具投影仪的安全漏洞映射出严肃系统中的通病,揭示了因工期紧张、预算限制和安全审查缺失导致的常见失效模式该投影仪的媒体保护仅采用可逆的单字节XOR包装,NFC卡带仅作为索引选择器,使得系统用基础工具即可攻破研究发现包括默认NFC密钥、无标签认证、可写标签数据驱动安全决策、SD卡内容无真实性验证等问题,与企业级安全漏洞如出一辙成本常被视为安全性的阻碍,但采用项目专属NFC密钥和真实加密等架构设计本可在不增加硬件成本的情况下提升安全性安全漏洞的根源往往在需求阶段而非代码层,这凸显了早期设计验证和威胁建模的必要性攻破该系统仅需基础工具和60分钟,证明良好的安全性既可实现又不可或缺,这对保护商业模式和用户信任至关重要
GitHub - aquasecurity/trivy: Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more3 months agohttps://github.com/aquasecurity/trivyTrivy是一款综合性安全扫描工具,具备多重扫描功能和多样化检测目标。检测目标涵盖容器镜像、文件系统、Git代码库、虚拟机镜像及Kubernetes集群。扫描器可识别操作系统组件、漏洞(CVEs)、基础设施即代码问题、敏感信息和软件许可证。支持绝大多数主流编程语言、操作系统和平台环境。提供多种安装方式,包括Homebrew、Docker及直接下载安装包。与GitHub Actions、Kubernetes算子、VS Code插件等平台深度集成。提供Canary测试版本,但因可能含关键缺陷不建议生产环境使用。基础用法通过`trivy image`或`trivy fs`等命令指定扫描器执行。发音规则为'tri'类似'trigger','vy'类似'envy'。Aqua Security企业方案可扩展Trivy功能实现全生命周期安全管理。Trivy是Aqua Security旗下开源项目,社区协作需遵守行为准则。
The RCE that AMD won't fix3 months agohttps://mrbruh.com/amd/AMD的AutoUpdate软件存在远程代码执行(RCE)漏洞该软件的app.config配置文件中更新URL使用HTTP协议,易受中间人攻击AutoUpdate软件在执行前未验证下载的可执行文件AMD认为该漏洞'超出修复范围'并决定不予修复从漏洞发现到AMD回应的时间线事件
Microsoft's New Open-Source Project: LiteBox, a Rust-Based Sandboxing Library OS3 months agohttps://www.phoronix.com/news/Microsoft-LiteBox微软正在开发LiteBox——一个基于Rust语言、注重安全性的库操作系统LiteBox利用基于Linux的虚拟化安全技术(LVBS),通过硬件虚拟化保护客户机内核该项目采用MIT开源协议,正在GitHub上积极开发LiteBox通过最小化主机接口减少攻击面,并支持'北向'适配层与'南向'平台间的便捷互操作典型应用场景包括:在Windows上运行未经修改的Linux程序、在Linux系统沙箱中运行应用、以及支持SEV SNP或OP-TEE环境微软Linux系统安全负责人James Morris宣布了LiteBox的发布
I reversed Tower of Fantasy's anti-cheat driver: a BYOVD toolkit never loaded3 months agohttps://vespalec.com/blog/tower-of-flaws/《幻塔》反作弊驱动(GameDriverX64.sys)未做混淆处理,容易被逆向工程破解。该驱动存在薄弱认证机制:使用硬编码的32位魔术值、可绕过的DLL检查,以及存在缺陷的白名单验证。漏洞包括任意进程终止(IOCTL 0x222040)和进程保护(IOCTL 0x222004),可能引发BYOVD(自带漏洞驱动)攻击。该驱动未被游戏主动加载,降低了即时风险,但仍构成安全隐患。HVCI(虚拟机监控程序保护的代码完整性)限制可能是导致VMProtect混淆被移除的原因,从而暴露了驱动缺陷。
Masked namespace vulnerability in Temporal3 months agohttps://depthfirst.com/post/the-masked-namespace-vulnerability-in-temporal-cve-2...开发者青睐捆绑式API的原子性与高效性,但安全工程师警告其复杂性和潜在漏洞风险在Temporal的ExecuteMultiOperation端点中发现漏洞(CVE-2025-14986),涉及身份绑定缺陷——内部操作可指定与外部请求不同的命名空间Temporal是Netflix、Stripe等企业的核心基础设施,能确保服务器故障时仍可靠执行代码该漏洞允许攻击者通过操纵捆绑操作中的命名空间字段绕过授权检查,可能导致跨租户隔离突破和政策覆盖实际攻击案例包括访问其他租户的私有数据库架构,以及用宽松的个人账户设置覆盖严格的组织策略Temporal v1.27版本修复方案强制要求内部操作命名空间必须与外部授权空间匹配,彻底消除该漏洞
GitHub - microsoft/litebox: A security-focused library OS supporting kernel- and user-mode execution3 months agohttps://github.com/microsoft/liteboxLiteBox是一个专注于安全的沙盒化库操作系统,通过最小化与主机的接口来减少攻击面。它支持各种'北向'适配层与'南向'平台之间的轻松互操作,可同时应用于内核和非内核场景。当在'South'端提供平台接口时,LiteBox提供受Rust启发的'North'接口,从而支持多样化用例。典型应用场景包括:在Windows上运行未经修改的Linux程序、在Linux上沙盒化运行Linux应用、以及在SEV SNP/OP-TEE/LVBS等平台上运行程序。该项目正处于积极开发阶段,在稳定版发布前,API和接口可能会持续调整。采用MIT许可证授权,商标与标识使用需遵循相关规范。
Don't implement passkeys. Five Day 2 issues explained3 months agohttps://www.corbado.com/blog/passkey-day-2-problems密钥通行证虽有益处,但若实施不当可能造成危害密钥通行证在落地阶段存在五大难题:账户恢复、跨设备用户体验、原生应用适配、采用率提升、平台变更应对首阶段聚焦密钥功能开发与上线,次阶段将面临实际运营挑战账户恢复机制需精心设计,既要避免用户被锁死,又要防范钓鱼风险重现跨平台差异(操作系统/浏览器/密码管理器)导致用户体验碎片化原生应用因平台特性差异和维护需求带来额外复杂度推广策略需配合数据监测体系才能确保实际采用效果平台更新(系统/浏览器升级)可能无声无息破坏密钥验证流程密钥的真正成本在于持续运维而非初期搭建实施建议:仅当能解决次阶段运维难题时部署密钥,或选择Corbado等专业合作伙伴