今天想要应聘麦当劳工作的人可能首先需要在 McHire.com 平台上与 AI 聊天机器人 Olivia 聊一聊。Olivia 会询问应聘者个人信息和简历，进行性格测试。该聊天机器人由 Paradox.ai 公司提供。安全研究员 Ian Carroll 和 Sam Curry 在听闻麦当劳使用 AI 聊天机器人筛选应聘者后好奇之下对 McHire.com 进行了一番研究，结果意外发现该平台的管理员用户名和密码都是 123456。登陆管理员面板之后，他们可以访问 Paradox.ai 账户，查询该公司保存的所有 McHire 用户与 Olivia 聊天记录的数据库。数据库包含了多达 6400 万条记录，包括了应聘者的姓名、电子邮件地址和电话号码。麦当劳表示 Paradox.ai 需要对该漏洞负责。Paradox.ai 确认并在一天内修复了漏洞。

一款帮助开发者选择颜色并获得 Google 验证徽章的取色器 (color pickers) 扩展看似无害，但安全研究人员称它会劫持浏览器会话、追踪网络活动，在受害者浏览器上植入后门。这款名为 Geco 扩展的下载量逾 10 万次，有 800 条评论，获得 4.2/5 星评价，安全公司 Koi Security 的研究人员称这是名为 RedDirection 的劫持浏览器的网络攻击行动的一部分，该行动涉及 18 个恶意扩展，逾 230 万 Chrome 和 Edge 用户受到影响。研究人员称，这些扩展最初不包含恶意代码，因此能获得 Google 的认证，它们是在后续更新中加入恶意代码的。

Legacy Update 是帮助 Windows 7 用户继续从微软获取更新的工具，上周用户开始报告检查更新时报错。开发者在调查之后发现，原来是 Microsoft Update 使用的一个文件的数字签名于 2025 年 7 月 1 日过期。该签名的签发日期是 2017 年 12 月 1 日，也就是说 Microsoft Update 不是第一次因为签名过期而罢工。最新的问题直到数天后由微软员工通过更新签名解决。新的签名过期时间是 2033 年 7 月 1 日。

研究人员展示了一种攻击人工智能计算机视觉系统的新方法，使其能够控制人工智能“看到”的内容 。研究表明，这种名为 RisingAttacK 的新技术能有效操纵所有最广泛使用的人工智能计算机视觉系统 。RisingAttacK 由一系列操作组成，目标是对图像进行最少的更改，从而允许用户操纵视觉 AI“看到”的内容 。首先，RisingAttacK 识别图像中的所有视觉特征 。该程序还运行一个操作，以确定哪些特征对于实现攻击目标最重要。RisingAttacK 随后计算人工智能系统对数据变化的敏感度，并确定人工智能对关键特征数据变化的敏感度 。研究人员称，“最终结果是，两张图片在人眼看来可能一模一样，我们可能清楚地看到两张图片中都有一辆车。但由于 RisingAttacK，人工智能会在第一张图片中看到一辆车，但在第二张图片中却看不到一辆车” 。研究人员针对四种最常用的视觉人工智能程序：ResNet-50、DenseNet-121、ViTB 和 DEiT-B 对 RisingAttacK 进行了测试 。该技术对所有四种程序都有效 。

手机已经成为日常生活的一部分，它储存了用户大量的敏感私密信息，而针对手机的攻击也日益常见，其中一种攻击方法被称为 Stingrays，利用假基站引诱手机连接，从而泄漏用户私人通信信息。假基站还可以发动降级攻击，引诱手机使用低安全性的通信方式如 2G，攻击者能拦截通话和消息。Google 已经在 Android 16 中尝试解决该安全，问题主要在于缺乏硬件支持。要识别假基站，Android 手机需要搭载 Google IRadio 硬件抽象层的 v3.0 版本，即使是 Google 最新的 Pixel 系列手机也不支持该功能。今年晚些时候推出的 Android 16 手机如 Pixel 10 将能识别假基站，能向用户发出警告。

在安全公司 CrowdStrike 的错误更新导致全世界 850 万台电脑崩溃近一年之后，微软正采取行动确保此类的事件不再发生，它采取的措施是将杀毒软件移出 Windows 内核。微软的新 Windows 终端安全平台正与安全公司如 CrowdStrike、Bitdefender、ESET、趋势科技等合作构建。以前微软允许安全公司的杀毒软件运行在 Windows 的内核层，不受限制的访问系统内存和硬件。CrowdStrike 去年的错误更新突出了内核驱动容易错误而导致系统蓝屏死机。微软准备释出了一个不对外公开的预览版，供安全公司测试，在多次迭代之后，完成将杀毒软件移出内核的工作。

在安克（Anker）等多个充电宝品牌宣布召回存在自燃风险的移动电源后，问题根源被认为与电芯有关，而电芯供应商是安普瑞斯（Amprius）无锡公司。安普瑞斯是移动电源最大的电芯供应商，其客户包括了安克、罗马仕、小米、绿联、倍思、麦多多、傲基、电友等，目前宣布召回产品的主要是安克和罗马仕。报道称，安普瑞斯在未经客户允许下，私自使用未送检的隔膜材料，导致更换后的隔膜无法和之前送测的样品有相同的强度。安普瑞斯的 11 个 3C 证书自 6 月 10 日起变更为“已暂停”状态，该公司目前处于停产状态。

Windows 10 将于今年 10 月 14 日终止支持，微软最新的官方博客继续向 Windows 10 用户推销 Windows 11（需要购买新 PC），但面对数量可能多达数亿的 Windows 10 用户，微软也表现出了妥协姿态，为 Windows 10 用户提供为期一年的扩展安全更新（Extended Security Updates）。获得扩展安全更新有三种选择：支付 30 美元，支付 1000 Microsoft points，注册登陆 Windows Backup 同步系统设置到微软云端（该选项某种意义上是免费的，代价是用户需要使用 OneDrive 云储存，微软会掌握用户的部分数据）。扩展安全更新通常只提供给企业级客户，这是首次提供给普通客户，

技术支持骗局层出不穷。安全公司 Malwarebytes 报告，骗子使用 Google 广告在苹果、微软等知名公司的网站注入假的技术支持电话号码。骗子首先在微软、苹果、惠普、PayPal、Netflix 等知名公司的 Google 搜索结果页面购买在顶部展示的广告，Google 只允许广告展示类似 https://www.microsoft.com 之类的链接，但允许在链接右侧添加不可见的参数，骗子就是利用这一漏洞在广告上添加了假的电话支持号码，类似给苹果网址加入参数 /kb/index?page=search&q=☏☏Call%20Us%20%2B1-805-749-2108%20AppIe。用户点击该链接会进入官网的一个有关电话技术支持号码搜索查询页面，显示无该结果。略懂一点技术的人能很轻松识别骗局，但此类骗局本就是针对不怎么了解技术的老年人。

2023 年 6 月旅游观光公司 OceanGate 的深海潜艇泰坦号在水下解体，五名乘客全部遇难。遇难者包括了公司创始人兼 CEO Stockton Rush。早期披露的信息显示灾难发生的一个重要原因是 CEO 的刚愎自用，无视安全问题。这场灾难本可以预防的。Netflix 上周上映的纪录片《Titan: The OceanGate Disaster》揭露了泰坦号潜艇事故的更多细节：泰坦号最早使用的碳纤维船壳在出现明显裂纹后替换为第二个碳纤维船壳；第二个船壳的三个缩小模型未通过测试，然而 OceanGate 决定不管继续建造；潜艇在潜水中多次传出巨大声响，CEO 不以为然的称之为“风干（seasoning）”；提出安全问题的员工或者解雇或者主动辞职；Rush 想让公司会计 Bonnie Carl 担任潜艇驾驶员，她是一位有经验的潜水员，她拒绝去驾驶潜艇而选择了辞职，她说疯了吗我是会计。

伊朗网络安全部门禁止官员使用联网设备，原因是担心遭到以色列的跟踪或黑客攻击。伊朗官方通讯社 Fars 通讯社报道，伊朗官员及其保镖已被告知不得使用任何连接公共互联网或电信网络的设备。

2025 年 4 月 29 日苹果通知部分 iOS 用户，称他们成为先进间谍软件的攻击目标。加拿大多伦多大学公民实验室对两位欧洲记者 iPhone 手机进行的分析证实，他们遭到了以色列公司 Paragon 的间谍软件 Graphite 的攻击。苹果表示它已经释出了 iOS 18.3.1 缓解了部署间谍软件利用的零点击攻击，该漏洞被分配了编号 CVE-2025-43200。被攻击的两名欧洲记者一人要求匿名，另一人是意大利记者 Ciro Pellegrino。攻击发生在 2025 年 1 月到 2 月初之间，当时 iPhone 运行的是 iOS 18.2.1系统。Pellegrino 的同事、Fanpage.it 网站编辑 Francesco Cancellato 于 2025 年 1 月收到 WhatsApp 通知称遭到 Graphite 间谍软件的攻击。这起攻击可能与意大利政府有关。

安克（Anker）宣布召回逾百万台有起火风险的移动电源 PowerCore 10000（型号 A1263）。美国消费者产品安全委员会 (USCPSC) 称它收到了 19 起火灾和爆炸报告，这些事故造成了轻微烧伤和总计逾 60,700 美元的财产损失。召回的产品总数约 1,158,000 台，于 2016 年 6 月到 2022 年 12 月期间通过亚马逊、新蛋和 eBay 在线出售。如果美国客户的产品在受影响范围内，他们可以选择获得 30 美元礼品卡或者免费更换型号为 A1388 的移动电源，具体信息可访问安克官网。

研究人员发现了两个能完全绕过 Secure Boot 的漏洞利用，而微软在本周二的例行安全更新中只给一个（CVE-2025-3052）打上补丁。CVE-2025-3052 的原因是 DT Research 所售设备主板用于刷固件的工具存在一个高危漏洞。问题模块使用了 Microsoft Corporation UEFI CA 2011 签名，微软在安全补丁中屏蔽了相关工具。第二个漏洞 CVE-2025-47827 与 Linux 内核模块 IGEL 相关，它也使用了微软签名。但微软尚未撤销该签名。

Telegram 创始人兼 CEO Pavel Durov 今年早些时候声称，在该应用 12 年历史中从未披露一字节私人消息。但 Telegram 并非端对端加密，要获取其私人消息，也许只要中间人并不需要 Telegram 的“配合”？IStories 的调查发现，45 岁的俄罗斯网络工程师 Vladimir Vedeneev 控制着 Telegram 的网络基础设施，法庭文件显示，他被赋予了对部分 Telegram 服务器的独家访问权限，甚至还能代表 Telegram 签署合同（以首席财务官的身份）。没有证据表明他的公司与俄罗斯合作或向其提供数据。但与 Vedeneev 有密切联系的两家公司其客户之一是俄罗斯联邦安全局（FSB）。匿名乌克兰 IT 专家声称俄罗斯军方在控制了 Telegram 的网络基础设施之后能对乌克兰进行中间人级别的监控。他表示俄罗斯对用户的通信内容不感兴趣，元数据——IP 地址、用户位置和通信联络人——的分析能透露更多情报。Telegram 用户之间的聊天默认并不启用端对端加密，即使启用了，该应用使用的 MTProto 协议在加密消息前都会添加一个未加密字段 auth_key_id。这一字段让识别特定用户设备成为可能。

企业采用 AI 的比例只有 10%。Chatterbox Labs CEO Danny Coleman 和 CTO Stuart Battersby 认为一个重要原因是安全性。Colema 说，麦肯锡称 AI 是一个价值 4 万亿美元的市场，但如果你不断推出不仅安全性未知，而且企业或社会影响都未知的产品，你如何推动市场发展？AI 的兴趣和投资在增长，但普及却相对缓慢。Battersby 说，不要轻信大模型供应商的花言巧语，因为他们总是会说模型是无比安全的。传统的网络安全和 AI 安全在相互碰撞，而大多数信息安全团队尚未跟上发展。

阿里云服务的核心域名 aliyuncs.com 于 2026 年 6 月 6 日凌晨 02:57 出现域名解析异常，一度被重定向到非盈利安全组织 Shadowserver Foundation 的 sinkhole.shadowserver.org。阿里云官方称，4 点左右工程师初步确认导致域名解析出现异常的原因并正在紧急处理中。受影响的云产品主要有对象存储OSS、内容分发网络CDN、容器镜像服务ACR、云解析DNS等。9 点左右受影响云产品已全部恢复。但由于 DNS 缓存，客户的影响可能会持续更长时间。此次事故因涉及阿里云核心服务而影响范围极大，其 DNS 解析异常直接导致客户业务大面积停摆。其中 cnblogs 全国访问瘫痪，大量企业级应用陷入“404地狱”，影响甚至波及海外用户。

Google 以合规、未兑现改进承诺以及响应披露等问题撤销了对中华电信和匈牙利 Netlock CA 的信任，Chrome 浏览器在 7 月 31 日之后将停止信任中华电信和 Netlock 颁发的证书。跟踪 CA 和证书的研究员 Ryan Hurst 称，在一年多时间里 Netlock 未向数据库 Common CA Database 披露一个中间证书；Netlock 未能撤销一个错误颁发的证书；Netlock 未能按要求每周提供安全事件更新；中华电信推迟撤销一个错误颁发的证书；中华电信错误颁发了 247 个主题域名结构不正确的证书。

印度便利店应用 KiranaPro 的 CEO Deepak Ravindran 声称，一位攻击者蓄意删除了该公司在 GitHub 的代码库以及亚马逊 AWS 上的资源。日志信息显示是攻击者是内部人士。删库事件发生在上周，此后该应用一直无法运行。KiranaPro 允许消费者通过印度各地的便利店 Kirana 购买商品，用户下单之后，KiranaPro 将单子发送给用户附近的便利店竞标，获胜者将负责发货，从下单到发货的时间通常不超过 20 分钟。该应用每天处理逾 2000 份订单。

一位自称 GangExposed 的神秘告密者公开了勒索软件组织 Conti 和 Trickbot 背后的关键成员身份。他表示自己对获得美国联邦政府开出的千万美元悬赏不感兴趣，他只想打击这一全球知名的有组织犯罪团伙。GangExposed 称，Conti 和 Trickbot 的领导人 Stern 是 36 岁的俄罗斯人 Vitaly Nikolaevich Kovalev，德国警方之后证实了 Stern 的身份；自称 Professor 的 Conti 关键成员是 39 岁的俄罗斯人 Vladimir Viktorovich Kvitko，他以及其他 Conti 核心成员在 2020 年移居阿联酋的迪拜。GangExposed 称 Kvitko 生活比较简朴，相比下另一位关键成员 Target 则过着相当奢侈的生活，旗下拥有法拉利和两辆迈巴赫。美国政府悬赏 1000 万美元征集Conti 核心成员 Professor 和 Target 等人的身份信息。GangExposed 表示他接下来将锁定 Target，称自己通过暗网等来源收集情报。