Aggregator

威胁行为者正在利用最近修补的一个安全漏洞，该漏洞影响 Gravity SMTP，这是一个安装在约 10 万个网站上的 WordPress 插件。 该漏洞编号为 CVE-2026-4020（CVSS 评分：5.3），是一个中等严重性的信息泄露漏洞，允许未认证的攻击者提取敏感数据，例如为插件电子邮件集成配置的配置数据、API 密钥、机密和 OAuth 令牌。 Wordfence 表示：“这...

一个关键的 Splunk Enterprise 漏洞在公开披露仅数日后便遭到攻击利用，各组织已被敦促立即打补丁。 该漏洞编号为 CVE-2026-20253，Splunk 的安全公告指出，未认证的攻击者可通过 PostgreSQL sidecar 服务端点利用该漏洞创建或截断任意文件。 Splunk 在公告中表示：“该漏洞的存在是由于 PostgreSQL sidecar 服务端点缺少...

Microsoft 警告称，一种基于 Windows 的加密货币剪贴板劫持器会建立一个轻量级后门，融合了数据窃取和远程代码执行（RCE）能力。 该恶意软件被命名为 CryptoBandits，自 2026 年 2 月以来一直在攻击中使用，它在受感染系统上部署便携版 Tor 客户端，并通过本地 SOCKS5 代理路由流量。 Microsoft 解释道：“该攻击活动中的剪贴板劫持器依赖 W...

网络安全公司 Huntress 和 Recorded Future 披露了一起供应链攻击的影响，该攻击针对的是市场情报平台 Klue。 攻击始于 6 月 11 日，影响了与软件平台集成相关的系统。黑客连接到 Klue 的后端服务器并执行了未授权命令，推送了一个代码更新以窃取客户 Klue 集成的 OAuth 令牌。 Klue 于 6 月 12 日将事件通知了客户，警告称其已停用所有客户的 OAut...

德克萨斯州公园与野生动物管理局（TPWD）披露，其许可证系统供应商发生数据泄露，导致超过 300 万人的个人信息被曝光。 德克萨斯州网络司令部发现了此次入侵并展开调查，以确定未授权访问的范围和影响。州政府机构发现，社会安全号码（SSN）、出生日期或任何财务信息（如信用卡）未受影响。 然而，威胁行为者可能已获取了与 3,087,721 名德克萨斯州狩猎和钓鱼许可证客户相关的个人身份信息，包括以下数据...

Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sleet，也称为 BlueNoroff。 此归因是在 Microsoft 本周早些时候首次披露攻击者劫持了一个 npm 维护者账户并利用它发布恶意软件包更新之后得出的。 “Microsoft 高度确信此活动可归因于 Sapphire Sleet，这...

最大预测市场 Polymarket 付费给数十名内容创作者制作了假的押注获胜视频。它搭建了与其网站几乎一模一样的假网站，指示内容创作者在假网站上进行虚假交易，隐瞒受雇于 Polymarket 的事实。在虚假获胜视频发布之后，Polymarket 再雇佣水军传播和扩散这些视频，营造很多人通过押注赚钱的假象。内容创作者称，他们一个月的收入最高为 2000-3000 美元。对假视频的分析显示，大部分押注都是在 Polymarket 工程师的测试环境中进行的。创作者称他们会将拍完的视频发送给 Polymarket 审核。如果视频不够吸引人，或者有明显造假痕迹，Polymarket 会要求重拍。

一直以来，Apple 和 Nike 之间的商业关系在公众视野里简单明了——早在 iPod 时代，双方就联合推出过 Nike+iPod Sport Kit，这套设备可以把用户的跑步资料导入 iPod，并

Мужчина за рулём настаивает, что он ни при чём. Но следствие ещё вынесет свой вердикт.

INC勒索软件2023年中旬首次现身，到现在不到两年，受害者数量已经超过800。这个团伙走的是RaaS路线。Acronis威胁研究单元最近披露的INC攻击事件里，最值得关注的战术变化是Windows和Linux/ESXi两个平台的加密器都已经用Rust完全重写。

Cybercrime / Artificial IntelligenceA new report from INTERPOL has revealed a "dramatic increase"

A new report from INTERPOL has revealed a "dramatic increase" in cybercrime in Asia and the South Pacific, fueled by rapid digitalization, internet penetration, new technologies, organized criminal networks, and a disparity in cybersecurity maturity. According to INTERPOL's 2025/2026 Asia and South Pacific Cyberthreat Assessment Report, phishing has emerged as the most widespread and

Canonical 宣布将为 Ubuntu 桌面加入语音文本转录 AI 功能，它正在征询用户对该功能的反馈。预计于今年 10 月发布的 Ubuntu 26.10 将包含被称为 Myna 的 AI 功能的早期版本。在 Myna 中，语音识别在名为 Canonical Inference Snap 的沙盒组件中进行，Speech Orchestrator 负责管理会话，Audio Adapter 处理麦克风拾取的音频，在音频到达模型前对其进行降噪和分块处理。语音识别将在本地进行，一旦安装相应模型后就不再需要连接互联网。音频数据也不会被长期保存，将在会话结束后立即被丢弃。Myna 暂时不会支持语音输入密码、持续监听、翻译等功能。

Canonical 宣布将为 Ubuntu 桌面加入语音文本转录 AI 功能，它正在征询用户对该功能的反馈。预计于今年 10 月发布的 Ubuntu 26.10 将包含被称为 Myna 的

In this interview with Help Net Security, Jaya Baloo, COO & CISO at Aisle, examines the debate over restricting access to cyber-capable AI models. She lays out the strongest argument for gating these tools, then explains where it breaks down for security teams who depend on the same capabilities for defense. Baloo argues that policymakers misread how attackers and defenders operate, that open-weight models cut both ways, and that limiting access can widen the gap … More →

The post Who pays when you gate cyber-capable AI models? appeared first on Help Net Security.

zipany 基于 Go 语言的跨平台目录打包压缩工具，支持 tar.gz 格式，提供灵活的文件过滤规则和预设配置。

微信AI已小范围灰度上线。部分网友微信主界面左上角已出现小眼睛式样图标，该图标即为AI助手“小微”测试版入口。据腾讯客服介绍，微信小微是微信团队在小范围内测的原生AI助手，小微支持通过文字或语音对话操

AI coding agents such as Claude Code, Codex CLI, Cursor, and Claude Cowork run on developer laptops, CI jobs, cloud environments, where they edit files, run commands, and call outside tools. Beacon, an open-source project from Asymptote Labs, configures telemetry for those runtimes and writes a normalized record of what each agent does across local, CI, and cloud-agent surfaces. What Beacon collects Beacon discovers supported local runtimes on a host and configures data collection for … More →

The post Agent Beacon: Open-source telemetry layer for AI agents appeared first on Help Net Security.