劳工保护组织 More Perfect Union 公开了扎克伯格（Mark Zuckerberg）上月底回答员工有关设备监控提问的六分钟录音。Meta 上个月通知员工将使用名为 Model Capability Initiative 的监控工具监控员工的鼠标点击和按键，此举旨在收集数据训练 AI 模型。扎克伯格在回答中为监控员工辩护，称如果想训练模型的编程能力，那么让内部员工去开发一些工具，或者去解决一些任务，以此来教模型如何写代码——这种方式能让模型在编程能力上实现飞跃。这种速度是行业内其他对手无法企及的，因为他们的公司没有成千上万名顶尖工程师，“这只是一个例子。我们的系统还需要非常擅长的一点就是‘操作电脑’。而要让一个系统学会熟练操作电脑，最有效的办法就是让它去观察极其聪明的人是如何操作电脑的。这基本上就是我们目前正在做的事情的核心本质。”扎克伯格表示不会监视员工的工作行为，MCI 数据不会用于绩效评估。因为欧盟的 GDPR 法律，Meta 位于欧洲的员工据报道不用参与该计划。Meta 并非唯一一家通过员工获取 AI 训练数据的科技公司，微软和 xAI 也在利用内部员工生成和完善训练数据集。

在 openSUSE 之后，Fedora 发行版移除了深度桌面环境包（Deepin Desktop）。2025 年初 SUSE 安全团队在一次例行审查中发现深度桌面环境有名叫 deepin-feature-enable 的软件包，该软件包是在 2021 年 4 月加入的，并没有咨询或通知 SUSE，它包含了一个“许可协议对话框（license agreement dialog）”，基本上说讲因为 openSUSE 的安全规定，它禁用了 deepin-api 和 deepin-daemon 需要的所有 dbus 和 polkit 功能，这可能导致 Deepin Desktop 不能正常工作，部分功能无效。如果用户不在意这些安全问题，可选择点击确认，之后会自动安装缺少的 dbus 和 polkit。安全团队的调查发现，deepin-daemon 中的核心组件从未递交进行安全审查，它们被悄悄的引入到了 openSUSE 中。鉴于 Deepin 社区过去几年多次违规，openSUSE 决定移除 Deepin Desktop。Fedora 项目随后也对深度桌面环境包展开安全审查，期间开发者发现难以联系部分深度软件包的维护者，因为安全担忧和软件包缺乏维护，它最终决定移除深度桌面环境。

以保护青少年的名义，英国考虑限制 VPN 的使用，阻止青少年使用 VPN 绕过年龄验证系统。Mozilla 对此表达了反对意见。它的 Firefox 浏览器提供了 VPN 服务。Mozilla 在官方博客上表示，其使命是基于以下信念：互联网必须保持开放，人人可访问；在线隐私和安全是基本人权。保护青少年的在线安全是当今最紧迫且最具挑战性的问题之一，但强制性年龄验证和限制访问 VPN 等生硬的干预措施，不能有效改善青少年的网络安全，反而会损害所有用户的基本权利。VPN 是各年龄段用户重要的隐私和安全工具。通过隐藏用户的 IP 地址，VPN 帮助保护用户的位置信息，减少追踪，避免基于 IP 地址的个人信息剖析。人们出于不同原因使用 VPN：远程连接到学校或雇主的网络、规避审查，或者仅仅是为了保护自己的在线隐私和安全。VPN 能提升所有人的在线安全防护水平。Mozilla 认为，监管机构与其限制青少年使用 VPN，不如通过追究平台的责任、鼓励负责任的使用家长控制功能、投资于数字技能以及采取全社会参与的数字健康方法，从根本上解决网络危害。

Meta 最近开始在美国员工电脑上安装追踪软件，捕捉员工鼠标移动、点击和按键数据以用于训练 AI 模型，此举是该公司构建能自动执行工作任务的 AI 智能体的大计划的一部分。被称为 Model Capability Initiative(MCI)的工具将在工作相关应用和网站上运行，会不定时截取屏幕内容的快照。本周二 Meta 员工在多个办公室散发传单抗议公司的跟踪软件。传单出现在办公室会议室、自动售货机和卫生纸架上，鼓励员工签署一份反对跟踪软件的在线请愿书。传单和请愿书援引了法律 U.S. National Labor Relations Act，称当选择组织起来改善工作条件时员工的行为受到法律保护。

欧盟考虑制定规则，限制成员国政府使用美国云平台处理敏感数据。欧盟委员会预计将于 5 月 27 日公布技术主权计划 Tech Sovereignty Package，该计划包含了一系列措施加强在数字领域的战略自主性。欧盟委员会内部讨论了限制敏感公共部门数据暴露于非欧盟云平台的问题。包括美国在内的云服务商可能会受到影响。欧盟委员会没有完全禁止非欧盟云平台竞标政府合同，而是根据敏感程度限制非欧盟云平台处理敏感数据。它讨论的敏感数据主要与金融、司法和医疗数据相关。

端对端加密消息应用 Signal 正在开发无需手机的独立桌面应用。此前 Signal 桌面应用需要智能手机用于初始设置和管理。Signal Desktop 源代码已经合并了相关补丁，但尚未正式推出。注册 Signal 桌面版仍然需要电话号码，电话号码可以是手机号码也可以是座机号码，功能机或智能手机都可以。未来没有智能手机的用户也能使用 Signal。

Mercor 是美国一家 AI 初创公司，主要业务是为其他 AI 公司提供专家帮助训练模型和聊天机器人。它招聘专家/合同工时要求对方提供护照或驾照扫描件、自拍和录制一段语音。本月初勒索组织 Lapsus$ 披露它从 Mercor 窃取了 4TB 语音样本。语音样本加上身份证件，引发了合同工们身份被盗用的担忧。已有至少五名合同工对 Mercor 提起了诉讼，指控该公司以训练数据的名义收集语音特征，但并未明确说明这些特征是永久性的生物识别标识符。现有的语音克隆技术只需要 15 秒钟的清晰参照音频，而 Mercor 要求合同工录制的语音长度达到了 2-5 分钟，足够实现语音克隆。

英国生物银行（UK Biobank）有 50 万参与者的健康数据泄漏，泄漏数据集在阿里巴巴上出售。英国科技大臣 Ian Murray 称英国生物银行运营机构已向政府通报了这起事件，泄露的信息不包含姓名、地址、联系方式或电话号码，但可能包括性别、年龄、出生年月、社会经济地位、生活习惯以及生物样本的测量数据。英国生物银行收集志愿者提供的健康数据，被用于帮助改进痴呆症、癌症和帕金森病的检测和治疗。有逾 1.8 万篇论文使用了英国生物银行的数据。阿里巴巴已经删除了数据，但相关数据又被上传到了 GitHub 上，英国生物银行向 GitHub 递交了大量 DMCA 删除通知。

在最近的一起涉及 ICE 的案件中，FBI 利用 iPhone 手机上储存的通知数据库数据恢复了已卸载的 Signal 应用消息。Signal 采用端对端加密，除了接收双方，其他人本来无法查看消息，但 iPhone 的通知功能提供了消息的预览，相关信息还会储存在通知数据库中。苹果现在释出了更新 iOS 26.4.2 和 iPadOS 26.4.2，修复了标记为删除的信息仍然保留在设备通知数据库里的 Bug。

公司内部备忘录显示，Meta 正在美国员工电脑上安装追踪软件，捕捉员工鼠标移动、点击和按键数据以用于训练 AI 模型，此举是该公司构建能自动执行工作任务的 AI 智能体的大计划的一部分。被称为 Model Capability Initiative(MCI)的工具将在工作相关应用和网站上运行，会不定时截取屏幕内容的快照。备忘录表示此举旨在改进公司 AI 模型，使其在难以模拟人机交互领域如下拉菜单选择和使用快捷键上表现更出色。耶鲁法学教授Ifeoma Ajunwa 表达了员工被实时监控的担忧，称美国在这方面缺乏监管。加拿大法学教授 Valerio De Stefano 称欧洲法律会禁止此类监控。

RKS Global 的专家发现，30 款俄罗斯最流行 Android 应用​有 22 款能检测 VPN，其中 19 款会将 VPN 状态发送至服务器。这些应用包括：Yandex Browser、Yandex Maps、VKontakte、My MTS、Sberbank Online、T-Bank、VK Video、Wildberries、 Kinopoisk、Ozon、Samokat、RuStore、VTB Online、Yandex Music、Avito、Alfa-Bank、2GIS、MegaMarket、Odnoklassniki、MAX、Rutube 和 VK Music。俄罗斯数字发展部已经要求大型企业从 4 月 15 日起限制那些在设备上启用了 VPN 的用户的访问。调查发现，Avito 应用会检测设备上是否安装了逾 200 种外国应用，其中包括银行、加密货币钱包和 IM 等。

在最近一起涉及在德州 Alvarado ICE Prairieland Detention Facility 放烟花和破坏财产案件中，FBI 利用 iPhone 手机上储存的通知数据库数据恢复了已删除的 Signal 消息。Signal 采用端对端加密，除了接收双方，其他人本来无法查看消息，但 iPhone 的通知功能能提供消息的预览，相关信息还会储存在通知数据库中。要避免消息被预览和保存，Signal 用户可以启用禁止预览，或者修改 iPhone 的设置 > 通知 > 通知内容 > 显示：“仅名称”或“不显示名称或内容”。在本案中，被告没有修改相关设置，导致即使应用卸载之后其消息仍然能被恢复。

LinkedIn 与爱沙尼亚软件公司 Teamfluence 之间的法律纠纷暴露了这家职业社交网络扫描浏览器扩展的行为，并因此面临用户的集体诉讼。Teamfluence 开发了一个抓取 LinkedIn 用户数据的扩展，LinkedIn 以违反用户协议为由关闭了其账号。Teamfluence 随后在德国提起诉讼寻求恢复账号，声称 LinkedIn 违反了多项欧盟法律。Teamfluence 还通过 Fairlinked 的名义发布报告 BrowserGate，指控 LinkedIn 扫描用户的浏览器以收集扩展信息，Fairlinked 称 LinkedIn 使用隐蔽的 JavaScript 程序扫描浏览器，检测是否安装了 6,222 种扩展之一，其中包括微软的竞争对手 Salesforce、HubSpot 和 Pipedrive。因为扫描的扩展还包含 “伊斯兰内容过滤器”、“反犹太复国主义政治标签”等，LinkedIn 被控收集用户的政治观点或宗教立场，根据欧盟的法律收集此类信息需要获得用户的明确同意。LinkedIn 没有否认它扫描扩展的行为，但强调它扫描扩展是为了识别哪些扩展违反了其条款。

Reddit CEO 兼联合创始人 Steve Huffman 周三宣布开始推出验证用户是否是人类的检查机制，声称会以保护用户隐私作为首要原则，只是为了确认用户是人类而不是具体哪个人。Reddit 表示只有在检测到用户账号可疑时才会要求对该账号进行验证，不会要求网站所有用户进行验证。账号可疑的信息包括了撰写或发布内容的速度。 为了验证账户是否为人类所有，Reddit 将利用第三方工具如苹果、Google、YubiKey 的 passkeys，第三方生物识别服务如 Face ID 甚至 Sam Altman 的 World ID，或者在部分国家要求政府颁发的身份证件。

微软旗下的代码托管平台 GitHub 宣布更新 GitHub Copilot 交互数据使用政策。从 4 月 24 日起，除非用户主动选择退出，否则微软/GitHub 将使用 GitHub Copilot 交互数据训练 AI 模型。微软默认启用了数据收集，此举被认为违反了欧盟的通用数据保护法规 GDPR，GDPR 强制要求默认选择退出。

台师大计算机科学和信息工程系学生苏恩立（Su En-Li，NZ）成功说服学校设立了首个校园 Tor 中继节点。Tor 中继节点与出口节点不同，它只是中继加密的流量而不直接向用户传输内容，因此风险较低。苏恩立通过公开正规的行政流程与学校的网络管理员、教授和系主任进行邮件沟通，最终成功在管理严密的学术网络 TANet 内设立了首个 Tor 中继节点。苏恩立还通过组织一系列活动帮助人们理解匿名网络≠犯罪工具。

Reddit CEO Steve Huffman 透露该社交网站正探索不同方法去验证用户是真人还是机器人。他说，最简单的方法是使用 Face ID 或 Touch ID 之类的生物识别技术，这些方法都需要真人参与；更复杂的方法包括了身份识别验证。Huffman 说，我们对用户的承诺是，我们不知道你的名字，但我们希望知道你是个人。他表示将会采取循序渐进的方法，每个平台都要找到恰当的平衡点。

根据海量数据训练并能快速检索相关信息的大模型大幅降低了网络开盒（或叫去匿名化）的成本。一个人可仅仅通过少数特征被个别界定，比如仅通过邮政编码、出生日期和性别，87% 的美国人口即可被个别界定。根据发表在预印本平台 arXiv 的一篇论文，大模型能用于大规模的去匿名化，能高精度的识别网络上的匿名用户。研究人员设计了一个攻击流程：提取身份特征，搜索候选匹配，通过推理验证匹配结果减少误判。传统的去匿名工作需要专业调查人员花费数小时或更长时间，大模型不仅花费时间更少，而且可以大幅扩大规模。利用大模型，以关联 Hacker News 匿名账号和 LinkedIn 实名账号为例，系统能在维持 99% 精度的情况下，将回索率从 0.1% 大幅提升至 45.1%。回索率（Recall）被用于衡量模型找回所有相关信息的能力。研究人员指出，保护网民匿名性的旧方法不再有效。

美国多个州都要求成人网站验证访客年龄，但验证年龄的常用方法如扫描脸部或提供身份证件都存在泄露隐私的问题。加州以及科罗拉多州计划要求在操作系统层级验证年龄，然后通过 API 与应用共享。加州去年通过了 AB 1043 法案，要求操作系统开发商创建一种让设备所有者注册其年龄段的方法，该法律将于 2027 年 1 月 1 日生效。科罗拉多州的议员提出了类似的法案 SB26-051，该法案的共同提出者参议员 Matt Ball 表示，他们的目的通过一个以注重隐私的年龄验证框架为儿童的网络安全提供周全的保障。

因用户的强烈反对，Discord 推迟但并没有取消年龄验证的实施时间。年龄验证原计划下个月推出，如今推迟到下半年。Discord 联合创始人兼 CTO Stanislav Vishnevskiy 表示该公司并无计划要求每一位用户扫描脸部或上传身份证件。它会使用自动化系统，九成用户不会注意到变化。系统将根据帐户信号估算用户年龄，而所谓帐户信号包括了帐户的注册时间、付款是否已经存档、用户属于什么类型的服务器以及其它帐户活动的一般模式。消息、对话或帖子不会作为年龄确定的一部分进行审查。Vishnevskiy 强调 Discord 在倾听用户的意见。