Shawn the R0ck 写道：“Memory safety 近年来成为热门话题。但在讨论“memory safety”时，我们需要先明确究竟在探讨什么、追求什么目标。你是在关注通过编译器完成静态分析（如 Clang Static Analyzer、rustc 等）来在编译阶段捕获潜在问题，还是更信任编译器让代码顺利编译，通过运行时机制（比如 Go 或 Java 中的垃圾回收）来解决所有问题？或者，你仅仅关注于安全加固的最终目标——即防止系统遭受攻击？内存安全问题的复杂性正反映了安全领域的本质：安全是一门交叉学科，融合了计算机科学和复杂性理论，这使得要完全掌控其复杂性变得异常困难。因此，企图通过单一或者几种 “memory-safe language” 重写现有软件，从而彻底杜绝所有安全隐患，并非现实可行的方案。
一门编程语言在设计时可能就倾向于提供内存安全机制，例如自动垃圾回收、数组边界检查等，这些机制在规范层面上勾画了一个理想状态。但在现实中，不同的实现者会出于需求和性能指标的考虑采取不同的策略。例如，虽然 Lisp 通常配备垃圾回收机制、支持灵活的数据操作和动态类型系统，但这并不意味着所有 Lisp 解释器都能完全消除内存安全问题。如果由于特定需求或追求性能而对部分安全检查作出妥协，那么内存越界或非法指针访问等安全隐患依然有可能出现。
同样，C/C++ 被长期视为“不安全”的语言，因为它允许程序员直接操作内存和执行指针运算。然而，通过严谨的工程化手段（如静态分析工具、严格的代码审查、运行时检测机制等），使得 C/C++ 在特定环境下无限接近无 Bug 状态也是可能的。本文将以 HardenedLinux 过去数十年中在对抗系统复杂性、提升内存安全方面的一些做法为背景进行探讨。总体来看，内存安全不仅关乎编译器或运行时单一环节的责任，而是需要在语言设计、工具支持、工程实践等多方面协同努力，以实现最终“系统不被攻陷”的安全目标。本文不涉足强制访问控制，沙箱，Linux内核加固等议题。”

美国前国家安全顾问 Mike Waltz 使用的修改版 Signal 因可能遭到黑客入侵而暂停服务。TeleMessage 是一家以色列公司，2024 年被一家美国公司 Smarsh 收购。TeleMessage 能访问和存档 Signal 消息。Waltz 因 Signal 泄密事件而备受质疑，他在上周晚些时候被免职，特朗普提名他担任联合国大使。他在上周的内阁会议上被摄像机拍摄到使用 TeleMessage Signal 应用。该应用能捕捉和存档 Signal 通话、消息和已删除内容。匿名黑客声称入侵 TeleMessage 只花了 15 到 20 分钟，称它没有使用端对端加密。

Google Threat Intelligence Group (GTIG)报告，2024 年检测到 75 个 0day，低于 2023 年的 98 个。其中 Windows 最多从 16 个增加到 22 个，Safari 和 iOS 的 0day 从 2023 年的 11 个和 9 个分别降至 3 个和 2 个。Android 7 个和 2023 年持平，Chrome 也是 7 个。Firefox 一个，俄罗斯黑客组织 CIGAR 利用 CVE-2024-9680 针对 Firefox 和 Tor 浏览器窃取用户数据。Google 表示成功追踪了 75 个 0day 中的 34 个，大部分攻击来自政府支持的组织，主要是窃取情报而不是出于经济动机，其中包括中国和朝鲜。

安全研究人员在 4 月 28 日发现一笔价值 3.307 亿美元比特币疑似被盗。黑客从受害者盗取比特币之后立即通过六家即时交易所洗白，兑换成以私密性著称的门罗币（XMR）。如此规模的兑换导致门罗币币值在短时间内上涨了 50%，一度达到 1 XMR 兑换 339 美元。之后币值回落但仍然达到 280 美元左右。研究人员认为这次黑客攻击与朝鲜无关，而是独立黑客所为。门罗币等隐私币的可使用范围远低于比特币等主流加密货币，很多交易所都不再支持隐私币。

俄罗斯安全公司 Dr.Web 披露了针对前线军人的新 Android 间谍软件。该间谍软件会窃取感染设备的联系人信息并跟踪他们的位置。间谍软件隐藏在修改版的地图软件 Alpine Quest 中，该软件的用户包括了在乌克兰前线作战的俄罗斯军人。软件可以显示各种地形图，可以离线或在线使用。植入了间谍软件的 Alpine Quest 通过 Telegram 频道和非官方的 Android 应用库推广。Dr.Web 的研究人员将其恶意模块命名为 Android.Spy.1292.origin 中，它窃取的信息包括：手机号码及其账户、通讯录、当前日期、当前地理位置、存储文件相关信息——如果存在攻击者感兴趣的文件他们会进行窃取。

Certification Authority Browser Forum (CA/Browser Forum)成员以五人弃权无人反对的投票结果通过了受争议的缩短证书有效期决议。该结果将分阶段实施，到 2029 年将证书有效期从今天的一年缩短至 47 天。支持者认为此举有助于改进 Web 安全，反对者则认为该组织成员将受益于更短的证书有效期。根据实施方案，一年后的 2026 年 3 月 15 日，TLS 证书最长有效期将缩短至 200 天。到 2027 年 3 月 15 日 TLS 证书最长有效期将缩短至 100 天。2029 年 3 月 15 日 TLS 证书最长有效期将缩短至 47 天。苹果公司推动了这一改变，它认为这有助于减少证书不正确验证的风险及其存在的时间。

ActiveX 某种程度上还没死。微软官方博客宣布，Microsoft 365 将默认禁用 ActiveX，从本月起 Windows 版 Microsoft Word、Microsoft Excel、Microsoft PowerPoint 和 Microsoft Visio 将默认禁用所有 ActiveX 控件。微软解释说，ActiveX 是一项强大的技术，能在 Microsoft 365 应用内实现丰富的交互，但它对系统资源的深层访问增加了安全风险。

Google 开始推送 Play Services(v25.14)更新，将对系统功能进行了一系列调整和改进，其中包括改进手机的安全性。如果用户好几天没有碰手机，手机将会自动重启以锁定设备，此举旨在更好的保护用户的个人数据。 Play Services v25.14 更新可能需要一周或更长时间才会覆盖所有 Android 设备。

知名匿名讨论版 4chan 被黑客入侵，攻击者恢复了已删除的 /QA/ 板块，泄漏了管理员邮箱地址，公开了源代码。黑客利用的是 4chan 所使用的过时代码中的漏洞：4chan 部分板块允许上传 PDF，但没有对 PDF 进行验证确认是 PDF，上传的文件会使用 2012 年版的 Ghostscript 生成缩略图，攻击者通过上传带有 PostScript 命令的 PDF 获得了服务器的 shell access 访问权限。

特朗普在其第一任期间曾说如果停止检测新冠那么就会停止发现新病例，同样的逻辑大概也可以应用于安全领域。美国将于本周三开始停止资助全球漏洞披露项目 CVE(Common Vulnerabilities and Exposures)。有 25 年历史的 CVE 项目在漏洞管理中起到了举足轻重的作用，它负责分配和管理漏洞的唯一 CVE ID 编号，确保在提及特定漏洞和补丁时针对的是同一个漏洞。非营利组织 MITRE 与美国国土安全部签订了运营 CVE 项目的合同，MITRE 周二确认，合同没有续签。这意味着从 4 月 16 日（星期三）起美国政府将停止资助 CVE。安全行业人士担心在其他人接手前漏洞管理上将会出现巨大混乱。CVE Naming Authority 机构 VulnCheck 表示预留了 1000 个 1000 个 CVE 用于 2025 年的漏洞。MITRE 每月发布 300-600 个 CVE，预留的编号只够用 2-3 个月。

Firefox Application Security Team 安全团队在其博客 Attack & Defense 上发表文章，介绍了在加固 Firefox 前端上所做的工作。Firefox 的大部分 UI 是使用标准 Web 技术如 HTML、CSS 和 JavaScript 实现的，这么做的好处是可以在所有桌面操作系统上使用浏览器引擎渲染前端，缺陷是容易受到注入攻击。最常见的注入攻击是跨站脚本（Cross-Site Scripting 简写 XSS）攻击。为缓解 Firefox UI 的 XSS 和其它注入攻击，安全团队重写了逾 600 个 JavaScript 事件处理程序。这些代码将应用于 Firefox 下一个版本 v138(目前的稳定版本是 Firefox 137)。安全团队表示通过消除一整类攻击类型，他们大幅提高了攻击者利用 Firefox 的门槛。

微软在宣布释出四月例行安全更新时披露黑客正在利用一个 Windows 0day 攻击美国 IT 和房地产公司。该漏洞编号 CVE-2025-29824，属于 Windows Common Log File System (CLFS)提权漏洞，被称为 Storm-2460 的组织正利用该漏洞部署勒索软件。被攻击的目标包括了美国的 IT 和房地产公司，委内瑞拉的金融公司、西班牙的一家软件公司以及沙特阿拉伯的零售商。

过去十年，朝鲜黑客窃取了逾 60 亿美元的加密货币，没有其它国家能与之匹敌。调查人员说，朝鲜的黑客既耐心又毫无顾忌。为了入侵一家企业的网络，黑客会仔细查看该公司员工的 Facebook 和 Instagram 页面，编故事诱骗这些员工点击钓鱼链接。部分朝鲜黑客甚至成为了员工，欺骗美国公司聘请他们作为远程 IT 工作人员，从而获得网络访问权限。一旦窃取到加密货币，黑客会立即将其分散，然后保持低调，等待数个月甚至数年将窃取的加密货币兑换为传统货币。今年 2 月，朝鲜黑客从加密货币交易所 Bybit 窃取到了 15 亿美元，这是至今金额最高的加密货币盗窃案。

上周六晚上 10 点左右，一辆小米 SU7 轿车以每小时 100 公里的速度，撞上了一条高速公路上的混凝土护栏，随后发生的火灾导致车上三名大学生死亡。小米通过其官方微博账号证实，事故发生前车辆处于 NOA 智能辅助驾驶状态。事发路段因施工修缮，用路障封闭自车道、改道至逆向车道。车辆检测出障碍物后发出提醒并开始减速。随后驾驶员接管车辆进入人驾状态，持续减速并操控车辆转向，随后车辆与隔离带水泥桩发生碰撞，碰撞前系统最后可以确认的时速约为 97km/h。小米 CEO 雷军在自己的微博账号上发文，向死者家属表示哀悼，表示“将持续配合警方调查，跟进事情处理的进展，并尽最大努力回应家属和社会关心的问题”。

法国航空公司过去两个月两次因乘客手机遗失而被迫返航。上周一架飞往加勒比海的法航航班因乘客手机找不到而在起飞两小时后返回了巴黎。维修班组在检查之后找到了手机，这架搭乘 375 名乘客、12 名机组人员和 2 名飞行员的波音 777 客机随后重新起飞。客机对手机丢失如临大敌是因为锂离子电池可能会过热而引发火灾事故。美国联邦航空管理局去年收到了 85 起涉及烟雾、火灾或极端高温的锂电池航空事故报告。

1 月 19 日，旧金山发生了首起涉及完全自主驾驶汽车的致命车祸。涉及的无人驾驶汽车来自 Waymo，但车祸不是 Waymo 的错。是人类司机高速追尾导致六车连环相撞，造成一人死亡五人受伤，一条狗也在事故中死亡。这是典型的 Waymo 车祸。绝大多数车祸中它都严格遵守交通规则，但人类司机却违反规则、超速、闯红灯、偏离车道诸如此类。自 2020 年以来，Waymo 报告了约 60 起严重到触发安全气囊或造成伤害的事故，而 Waymo 的行驶里程至今超过了 5000 万英里。根据 Waymo 的估计，如果是人类司机，那么相似的里程人类的车祸频率要高得多严重得多。

Pillar Security 研究人员报告，通过分发恶意规则配置文件，GitHub Copilot 和 Cursor 等 AI 编程助手能被操纵生成包含后门、漏洞和其它安全问题的代码。AI 编程智能体（AI agent）使用规则文件指导在生成或编辑代码时的行为。例如规则文件可能包含指示助手遵循某些编程最佳实践、使用特定格式或以特定语言输出响应的指令。Pillar 研究人员的攻击技术被称为“规则文件后门（Rules File Backdoor）”，通过向规则文件注入人类用户不可见但 AI 智能体可读的指令，武器化规则文件。一旦将含毒的规则文件导入 GitHub Copilot 或 Cursor，AI 智能体在帮助受害者编程的同时阅读并遵循攻击者的指令。

开源软件开发平台 SourceHut 创始人兼 CEO Drew DeVault 通过其个人博客抨击 AI 公司不尊重 robosts.txt 而大肆抓取数据导致 SourceHut 服务中断。KDE GitLab 基础设施因被阿里巴巴的 AI 爬虫淹没导致开发者在短时间内无法访问。为了阻止 AI 公司的爬虫抓取数据，GNOME 项目部署了工作量证明工具 Anubis，Anubis 向浏览器展示一个网页，要求浏览器花时间执行数学运算并将结果返回给服务器，如果答案正确，就可以访问该网站。GNOME 系统管理员 Bart Piotrowski 在 Mastodon 上公开了一些数据：两个半小时内收到了 81k 个请求，其中只有 3% 通过了 Anubi 的工作量证明，意味着 97% 的流量来自机器人爬虫，这是一个疯狂的数字。LWN 的主编 Jonathan Corbet 警告，由于 AI 爬虫的 DDoS 攻击，网站可能偶尔会出现访问缓慢的情况，他表示网站访问流量只有很小一部分来自人类读者，AI 爬虫有时会从数百个 IP 地址同时发动相当于 DDoS 攻击 的请求，AI 爬虫唯一不抓取的内容是 robosts.txt。Fedora 项目系统管理员 Kevin Fenzi 因难以区分 AI 爬虫而屏蔽了整个巴西的 IP 地址。Inkscape 项目也面临类似的攻击。AI 爬虫的访问频率非常高，它们每隔几小时就会再次尝试抓取数据。开源项目相比闭源项目受到更大的影响，因为整个项目的基础设施是公开的，它们的资源也更有限。

CDN 和安全服务商 cloudflare 报告，密码重复使用攻击泛滥成灾。密码复用攻击指的是用户在一个网站使用的密码泄漏，攻击者利用窃取的密码尝试登陆该用户在其它网站上的账号。避免此类攻击的方法就是不要重复使用密码。cloudflare 的流量监测发现，2024 年 9 月至 11 月期间，在受 Cloudflare 保护的网站上，41% 的成功登录涉及到密码泄露。cloudflare 的数据显示，95% 涉及泄露密码的登录尝试来自机器人程序，表明它们是撞库攻击（或凭证填充攻击）行动的一部分。 WordPress、Joomla 和 Drupal 等流行 CMS 平台是主要攻击目标。其中 WordPress 份额最大，原因当然是它是最大的 CMS 平台。

tj-actions 维护者账号遭到入侵，攻击者推送了恶意更新。这是最新一起扰乱互联网的供应链攻击，tj-actions 被 2.3 万家组织使用的，其中包括很多大企业。上周五左右，tj-actions/changed-files 所有版本的源代码都收到了未经授权的更新，改变了开发者指向特定代码版本的“标签”。标签指向了一个公开的文件，文件会复制服务器的内部内存，搜索凭证，将其写入日志。tj-actions 维护者周六表示，攻击者窃取了 @tj-actions-bot 的凭证，获得了源码库的访问权限。维护者表示，他们不知道攻击者是如何窃取到 @tj-actions-bot 的凭证，该账号的密码已经修改，并使用了 passkey 保护。Github 表示没有证据表明该公司或其平台遭到入侵。安全公司 Wiz 的监测显示，至少数十名 tj-actions 用户受到了这次供应链的真正伤害。