Meta 最近开始在美国员工电脑上安装追踪软件，捕捉员工鼠标移动、点击和按键数据以用于训练 AI 模型，此举是该公司构建能自动执行工作任务的 AI 智能体的大计划的一部分。被称为 Model Capability Initiative(MCI)的工具将在工作相关应用和网站上运行，会不定时截取屏幕内容的快照。本周二 Meta 员工在多个办公室散发传单抗议公司的跟踪软件。传单出现在办公室会议室、自动售货机和卫生纸架上，鼓励员工签署一份反对跟踪软件的在线请愿书。传单和请愿书援引了法律 U.S. National Labor Relations Act，称当选择组织起来改善工作条件时员工的行为受到法律保护。

欧盟考虑制定规则，限制成员国政府使用美国云平台处理敏感数据。欧盟委员会预计将于 5 月 27 日公布技术主权计划 Tech Sovereignty Package，该计划包含了一系列措施加强在数字领域的战略自主性。欧盟委员会内部讨论了限制敏感公共部门数据暴露于非欧盟云平台的问题。包括美国在内的云服务商可能会受到影响。欧盟委员会没有完全禁止非欧盟云平台竞标政府合同，而是根据敏感程度限制非欧盟云平台处理敏感数据。它讨论的敏感数据主要与金融、司法和医疗数据相关。

端对端加密消息应用 Signal 正在开发无需手机的独立桌面应用。此前 Signal 桌面应用需要智能手机用于初始设置和管理。Signal Desktop 源代码已经合并了相关补丁，但尚未正式推出。注册 Signal 桌面版仍然需要电话号码，电话号码可以是手机号码也可以是座机号码，功能机或智能手机都可以。未来没有智能手机的用户也能使用 Signal。

Mercor 是美国一家 AI 初创公司，主要业务是为其他 AI 公司提供专家帮助训练模型和聊天机器人。它招聘专家/合同工时要求对方提供护照或驾照扫描件、自拍和录制一段语音。本月初勒索组织 Lapsus$ 披露它从 Mercor 窃取了 4TB 语音样本。语音样本加上身份证件，引发了合同工们身份被盗用的担忧。已有至少五名合同工对 Mercor 提起了诉讼，指控该公司以训练数据的名义收集语音特征，但并未明确说明这些特征是永久性的生物识别标识符。现有的语音克隆技术只需要 15 秒钟的清晰参照音频，而 Mercor 要求合同工录制的语音长度达到了 2-5 分钟，足够实现语音克隆。

英国生物银行（UK Biobank）有 50 万参与者的健康数据泄漏，泄漏数据集在阿里巴巴上出售。英国科技大臣 Ian Murray 称英国生物银行运营机构已向政府通报了这起事件，泄露的信息不包含姓名、地址、联系方式或电话号码，但可能包括性别、年龄、出生年月、社会经济地位、生活习惯以及生物样本的测量数据。英国生物银行收集志愿者提供的健康数据，被用于帮助改进痴呆症、癌症和帕金森病的检测和治疗。有逾 1.8 万篇论文使用了英国生物银行的数据。阿里巴巴已经删除了数据，但相关数据又被上传到了 GitHub 上，英国生物银行向 GitHub 递交了大量 DMCA 删除通知。

在最近的一起涉及 ICE 的案件中，FBI 利用 iPhone 手机上储存的通知数据库数据恢复了已卸载的 Signal 应用消息。Signal 采用端对端加密，除了接收双方，其他人本来无法查看消息，但 iPhone 的通知功能提供了消息的预览，相关信息还会储存在通知数据库中。苹果现在释出了更新 iOS 26.4.2 和 iPadOS 26.4.2，修复了标记为删除的信息仍然保留在设备通知数据库里的 Bug。

公司内部备忘录显示，Meta 正在美国员工电脑上安装追踪软件，捕捉员工鼠标移动、点击和按键数据以用于训练 AI 模型，此举是该公司构建能自动执行工作任务的 AI 智能体的大计划的一部分。被称为 Model Capability Initiative(MCI)的工具将在工作相关应用和网站上运行，会不定时截取屏幕内容的快照。备忘录表示此举旨在改进公司 AI 模型，使其在难以模拟人机交互领域如下拉菜单选择和使用快捷键上表现更出色。耶鲁法学教授Ifeoma Ajunwa 表达了员工被实时监控的担忧，称美国在这方面缺乏监管。加拿大法学教授 Valerio De Stefano 称欧洲法律会禁止此类监控。

RKS Global 的专家发现，30 款俄罗斯最流行 Android 应用​有 22 款能检测 VPN，其中 19 款会将 VPN 状态发送至服务器。这些应用包括：Yandex Browser、Yandex Maps、VKontakte、My MTS、Sberbank Online、T-Bank、VK Video、Wildberries、 Kinopoisk、Ozon、Samokat、RuStore、VTB Online、Yandex Music、Avito、Alfa-Bank、2GIS、MegaMarket、Odnoklassniki、MAX、Rutube 和 VK Music。俄罗斯数字发展部已经要求大型企业从 4 月 15 日起限制那些在设备上启用了 VPN 的用户的访问。调查发现，Avito 应用会检测设备上是否安装了逾 200 种外国应用，其中包括银行、加密货币钱包和 IM 等。

在最近一起涉及在德州 Alvarado ICE Prairieland Detention Facility 放烟花和破坏财产案件中，FBI 利用 iPhone 手机上储存的通知数据库数据恢复了已删除的 Signal 消息。Signal 采用端对端加密，除了接收双方，其他人本来无法查看消息，但 iPhone 的通知功能能提供消息的预览，相关信息还会储存在通知数据库中。要避免消息被预览和保存，Signal 用户可以启用禁止预览，或者修改 iPhone 的设置 > 通知 > 通知内容 > 显示：“仅名称”或“不显示名称或内容”。在本案中，被告没有修改相关设置，导致即使应用卸载之后其消息仍然能被恢复。

LinkedIn 与爱沙尼亚软件公司 Teamfluence 之间的法律纠纷暴露了这家职业社交网络扫描浏览器扩展的行为，并因此面临用户的集体诉讼。Teamfluence 开发了一个抓取 LinkedIn 用户数据的扩展，LinkedIn 以违反用户协议为由关闭了其账号。Teamfluence 随后在德国提起诉讼寻求恢复账号，声称 LinkedIn 违反了多项欧盟法律。Teamfluence 还通过 Fairlinked 的名义发布报告 BrowserGate，指控 LinkedIn 扫描用户的浏览器以收集扩展信息，Fairlinked 称 LinkedIn 使用隐蔽的 JavaScript 程序扫描浏览器，检测是否安装了 6,222 种扩展之一，其中包括微软的竞争对手 Salesforce、HubSpot 和 Pipedrive。因为扫描的扩展还包含 “伊斯兰内容过滤器”、“反犹太复国主义政治标签”等，LinkedIn 被控收集用户的政治观点或宗教立场，根据欧盟的法律收集此类信息需要获得用户的明确同意。LinkedIn 没有否认它扫描扩展的行为，但强调它扫描扩展是为了识别哪些扩展违反了其条款。

Reddit CEO 兼联合创始人 Steve Huffman 周三宣布开始推出验证用户是否是人类的检查机制，声称会以保护用户隐私作为首要原则，只是为了确认用户是人类而不是具体哪个人。Reddit 表示只有在检测到用户账号可疑时才会要求对该账号进行验证，不会要求网站所有用户进行验证。账号可疑的信息包括了撰写或发布内容的速度。 为了验证账户是否为人类所有，Reddit 将利用第三方工具如苹果、Google、YubiKey 的 passkeys，第三方生物识别服务如 Face ID 甚至 Sam Altman 的 World ID，或者在部分国家要求政府颁发的身份证件。

微软旗下的代码托管平台 GitHub 宣布更新 GitHub Copilot 交互数据使用政策。从 4 月 24 日起，除非用户主动选择退出，否则微软/GitHub 将使用 GitHub Copilot 交互数据训练 AI 模型。微软默认启用了数据收集，此举被认为违反了欧盟的通用数据保护法规 GDPR，GDPR 强制要求默认选择退出。

台师大计算机科学和信息工程系学生苏恩立（Su En-Li，NZ）成功说服学校设立了首个校园 Tor 中继节点。Tor 中继节点与出口节点不同，它只是中继加密的流量而不直接向用户传输内容，因此风险较低。苏恩立通过公开正规的行政流程与学校的网络管理员、教授和系主任进行邮件沟通，最终成功在管理严密的学术网络 TANet 内设立了首个 Tor 中继节点。苏恩立还通过组织一系列活动帮助人们理解匿名网络≠犯罪工具。

Reddit CEO Steve Huffman 透露该社交网站正探索不同方法去验证用户是真人还是机器人。他说，最简单的方法是使用 Face ID 或 Touch ID 之类的生物识别技术，这些方法都需要真人参与；更复杂的方法包括了身份识别验证。Huffman 说，我们对用户的承诺是，我们不知道你的名字，但我们希望知道你是个人。他表示将会采取循序渐进的方法，每个平台都要找到恰当的平衡点。

根据海量数据训练并能快速检索相关信息的大模型大幅降低了网络开盒（或叫去匿名化）的成本。一个人可仅仅通过少数特征被个别界定，比如仅通过邮政编码、出生日期和性别，87% 的美国人口即可被个别界定。根据发表在预印本平台 arXiv 的一篇论文，大模型能用于大规模的去匿名化，能高精度的识别网络上的匿名用户。研究人员设计了一个攻击流程：提取身份特征，搜索候选匹配，通过推理验证匹配结果减少误判。传统的去匿名工作需要专业调查人员花费数小时或更长时间，大模型不仅花费时间更少，而且可以大幅扩大规模。利用大模型，以关联 Hacker News 匿名账号和 LinkedIn 实名账号为例，系统能在维持 99% 精度的情况下，将回索率从 0.1% 大幅提升至 45.1%。回索率（Recall）被用于衡量模型找回所有相关信息的能力。研究人员指出，保护网民匿名性的旧方法不再有效。

美国多个州都要求成人网站验证访客年龄，但验证年龄的常用方法如扫描脸部或提供身份证件都存在泄露隐私的问题。加州以及科罗拉多州计划要求在操作系统层级验证年龄，然后通过 API 与应用共享。加州去年通过了 AB 1043 法案，要求操作系统开发商创建一种让设备所有者注册其年龄段的方法，该法律将于 2027 年 1 月 1 日生效。科罗拉多州的议员提出了类似的法案 SB26-051，该法案的共同提出者参议员 Matt Ball 表示，他们的目的通过一个以注重隐私的年龄验证框架为儿童的网络安全提供周全的保障。

因用户的强烈反对，Discord 推迟但并没有取消年龄验证的实施时间。年龄验证原计划下个月推出，如今推迟到下半年。Discord 联合创始人兼 CTO Stanislav Vishnevskiy 表示该公司并无计划要求每一位用户扫描脸部或上传身份证件。它会使用自动化系统，九成用户不会注意到变化。系统将根据帐户信号估算用户年龄，而所谓帐户信号包括了帐户的注册时间、付款是否已经存档、用户属于什么类型的服务器以及其它帐户活动的一般模式。消息、对话或帖子不会作为年龄确定的一部分进行审查。Vishnevskiy 强调 Discord 在倾听用户的意见。

Discord 宣布下个月推出年龄验证，用户将被默认设置为青少年，除非通过脸部扫描或身份证件证明是成年人。未验证为成年人的用户将无法访问有成人内容的服务器和频道，无法在 Discord 直播频道上发言，会过滤掉成人内容，陌生用户的私信将被自动过滤到单独收件箱。身份证件将由第三方供应商验证，Discord 表示证件照片会在年龄确认后立即删除。

安全研究员 Anurag Sen 发现，乌兹别克斯坦的汽车牌追踪监控系统在没有密码保护的情况下暴露在互联网上。数据显示，该系统的数据库于 2024 年 9 月设置，交通监控则始于 2025 年中期。该系统由乌兹别克斯坦内政部公共安全局运营，由深圳公司 Maxvision 开发，该公司的外国客户包括布基纳法索、科威特、阿曼、墨西哥、沙特阿拉伯和乌兹别克斯坦。

黑客据报道大规模入侵了韩国各地的联网监控探头，然后制作视频出售。一大原因是很多联网探头使用了弱密码或者基本上不会去更改默认密码。警方相信，一名嫌疑人入侵了 6.3 万个联网探头，制作了 545 段视频，以加密货币出售给一家海外网站，获利 3500 万韩元。另一名嫌疑人入侵了 7 万台联网探头，制作了 648 段视频，以 1800 万韩元出售给同一家网站。另有两名嫌疑人被控分别入侵了 1.5 万个探头和 136 个探头，收集视频素材供私人收藏。