在最近的一起涉及 ICE 的案件中，FBI 利用 iPhone 手机上储存的通知数据库数据恢复了已卸载的 Signal 应用消息。Signal 采用端对端加密，除了接收双方，其他人本来无法查看消息，但 iPhone 的通知功能提供了消息的预览，相关信息还会储存在通知数据库中。苹果现在释出了更新 iOS 26.4.2 和 iPadOS 26.4.2，修复了标记为删除的信息仍然保留在设备通知数据库里的 Bug。

公司内部备忘录显示，Meta 正在美国员工电脑上安装追踪软件，捕捉员工鼠标移动、点击和按键数据以用于训练 AI 模型，此举是该公司构建能自动执行工作任务的 AI 智能体的大计划的一部分。被称为 Model Capability Initiative(MCI)的工具将在工作相关应用和网站上运行，会不定时截取屏幕内容的快照。备忘录表示此举旨在改进公司 AI 模型，使其在难以模拟人机交互领域如下拉菜单选择和使用快捷键上表现更出色。耶鲁法学教授Ifeoma Ajunwa 表达了员工被实时监控的担忧，称美国在这方面缺乏监管。加拿大法学教授 Valerio De Stefano 称欧洲法律会禁止此类监控。

RKS Global 的专家发现，30 款俄罗斯最流行 Android 应用​有 22 款能检测 VPN，其中 19 款会将 VPN 状态发送至服务器。这些应用包括：Yandex Browser、Yandex Maps、VKontakte、My MTS、Sberbank Online、T-Bank、VK Video、Wildberries、 Kinopoisk、Ozon、Samokat、RuStore、VTB Online、Yandex Music、Avito、Alfa-Bank、2GIS、MegaMarket、Odnoklassniki、MAX、Rutube 和 VK Music。俄罗斯数字发展部已经要求大型企业从 4 月 15 日起限制那些在设备上启用了 VPN 的用户的访问。调查发现，Avito 应用会检测设备上是否安装了逾 200 种外国应用，其中包括银行、加密货币钱包和 IM 等。

在最近一起涉及在德州 Alvarado ICE Prairieland Detention Facility 放烟花和破坏财产案件中，FBI 利用 iPhone 手机上储存的通知数据库数据恢复了已删除的 Signal 消息。Signal 采用端对端加密，除了接收双方，其他人本来无法查看消息，但 iPhone 的通知功能能提供消息的预览，相关信息还会储存在通知数据库中。要避免消息被预览和保存，Signal 用户可以启用禁止预览，或者修改 iPhone 的设置 > 通知 > 通知内容 > 显示：“仅名称”或“不显示名称或内容”。在本案中，被告没有修改相关设置，导致即使应用卸载之后其消息仍然能被恢复。

LinkedIn 与爱沙尼亚软件公司 Teamfluence 之间的法律纠纷暴露了这家职业社交网络扫描浏览器扩展的行为，并因此面临用户的集体诉讼。Teamfluence 开发了一个抓取 LinkedIn 用户数据的扩展，LinkedIn 以违反用户协议为由关闭了其账号。Teamfluence 随后在德国提起诉讼寻求恢复账号，声称 LinkedIn 违反了多项欧盟法律。Teamfluence 还通过 Fairlinked 的名义发布报告 BrowserGate，指控 LinkedIn 扫描用户的浏览器以收集扩展信息，Fairlinked 称 LinkedIn 使用隐蔽的 JavaScript 程序扫描浏览器，检测是否安装了 6,222 种扩展之一，其中包括微软的竞争对手 Salesforce、HubSpot 和 Pipedrive。因为扫描的扩展还包含 “伊斯兰内容过滤器”、“反犹太复国主义政治标签”等，LinkedIn 被控收集用户的政治观点或宗教立场，根据欧盟的法律收集此类信息需要获得用户的明确同意。LinkedIn 没有否认它扫描扩展的行为，但强调它扫描扩展是为了识别哪些扩展违反了其条款。

Reddit CEO 兼联合创始人 Steve Huffman 周三宣布开始推出验证用户是否是人类的检查机制，声称会以保护用户隐私作为首要原则，只是为了确认用户是人类而不是具体哪个人。Reddit 表示只有在检测到用户账号可疑时才会要求对该账号进行验证，不会要求网站所有用户进行验证。账号可疑的信息包括了撰写或发布内容的速度。 为了验证账户是否为人类所有，Reddit 将利用第三方工具如苹果、Google、YubiKey 的 passkeys，第三方生物识别服务如 Face ID 甚至 Sam Altman 的 World ID，或者在部分国家要求政府颁发的身份证件。

微软旗下的代码托管平台 GitHub 宣布更新 GitHub Copilot 交互数据使用政策。从 4 月 24 日起，除非用户主动选择退出，否则微软/GitHub 将使用 GitHub Copilot 交互数据训练 AI 模型。微软默认启用了数据收集，此举被认为违反了欧盟的通用数据保护法规 GDPR，GDPR 强制要求默认选择退出。

台师大计算机科学和信息工程系学生苏恩立（Su En-Li，NZ）成功说服学校设立了首个校园 Tor 中继节点。Tor 中继节点与出口节点不同，它只是中继加密的流量而不直接向用户传输内容，因此风险较低。苏恩立通过公开正规的行政流程与学校的网络管理员、教授和系主任进行邮件沟通，最终成功在管理严密的学术网络 TANet 内设立了首个 Tor 中继节点。苏恩立还通过组织一系列活动帮助人们理解匿名网络≠犯罪工具。

Reddit CEO Steve Huffman 透露该社交网站正探索不同方法去验证用户是真人还是机器人。他说，最简单的方法是使用 Face ID 或 Touch ID 之类的生物识别技术，这些方法都需要真人参与；更复杂的方法包括了身份识别验证。Huffman 说，我们对用户的承诺是，我们不知道你的名字，但我们希望知道你是个人。他表示将会采取循序渐进的方法，每个平台都要找到恰当的平衡点。

根据海量数据训练并能快速检索相关信息的大模型大幅降低了网络开盒（或叫去匿名化）的成本。一个人可仅仅通过少数特征被个别界定，比如仅通过邮政编码、出生日期和性别，87% 的美国人口即可被个别界定。根据发表在预印本平台 arXiv 的一篇论文，大模型能用于大规模的去匿名化，能高精度的识别网络上的匿名用户。研究人员设计了一个攻击流程：提取身份特征，搜索候选匹配，通过推理验证匹配结果减少误判。传统的去匿名工作需要专业调查人员花费数小时或更长时间，大模型不仅花费时间更少，而且可以大幅扩大规模。利用大模型，以关联 Hacker News 匿名账号和 LinkedIn 实名账号为例，系统能在维持 99% 精度的情况下，将回索率从 0.1% 大幅提升至 45.1%。回索率（Recall）被用于衡量模型找回所有相关信息的能力。研究人员指出，保护网民匿名性的旧方法不再有效。

美国多个州都要求成人网站验证访客年龄，但验证年龄的常用方法如扫描脸部或提供身份证件都存在泄露隐私的问题。加州以及科罗拉多州计划要求在操作系统层级验证年龄，然后通过 API 与应用共享。加州去年通过了 AB 1043 法案，要求操作系统开发商创建一种让设备所有者注册其年龄段的方法，该法律将于 2027 年 1 月 1 日生效。科罗拉多州的议员提出了类似的法案 SB26-051，该法案的共同提出者参议员 Matt Ball 表示，他们的目的通过一个以注重隐私的年龄验证框架为儿童的网络安全提供周全的保障。

因用户的强烈反对，Discord 推迟但并没有取消年龄验证的实施时间。年龄验证原计划下个月推出，如今推迟到下半年。Discord 联合创始人兼 CTO Stanislav Vishnevskiy 表示该公司并无计划要求每一位用户扫描脸部或上传身份证件。它会使用自动化系统，九成用户不会注意到变化。系统将根据帐户信号估算用户年龄，而所谓帐户信号包括了帐户的注册时间、付款是否已经存档、用户属于什么类型的服务器以及其它帐户活动的一般模式。消息、对话或帖子不会作为年龄确定的一部分进行审查。Vishnevskiy 强调 Discord 在倾听用户的意见。

Discord 宣布下个月推出年龄验证，用户将被默认设置为青少年，除非通过脸部扫描或身份证件证明是成年人。未验证为成年人的用户将无法访问有成人内容的服务器和频道，无法在 Discord 直播频道上发言，会过滤掉成人内容，陌生用户的私信将被自动过滤到单独收件箱。身份证件将由第三方供应商验证，Discord 表示证件照片会在年龄确认后立即删除。

安全研究员 Anurag Sen 发现，乌兹别克斯坦的汽车牌追踪监控系统在没有密码保护的情况下暴露在互联网上。数据显示，该系统的数据库于 2024 年 9 月设置，交通监控则始于 2025 年中期。该系统由乌兹别克斯坦内政部公共安全局运营，由深圳公司 Maxvision 开发，该公司的外国客户包括布基纳法索、科威特、阿曼、墨西哥、沙特阿拉伯和乌兹别克斯坦。

黑客据报道大规模入侵了韩国各地的联网监控探头，然后制作视频出售。一大原因是很多联网探头使用了弱密码或者基本上不会去更改默认密码。警方相信，一名嫌疑人入侵了 6.3 万个联网探头，制作了 545 段视频，以加密货币出售给一家海外网站，获利 3500 万韩元。另一名嫌疑人入侵了 7 万台联网探头，制作了 648 段视频，以 1800 万韩元出售给同一家网站。另有两名嫌疑人被控分别入侵了 1.5 万个探头和 136 个探头，收集视频素材供私人收藏。

在引发公众强烈抗议后，印度政府撤回了要求智能手机制造商在新手机上预装网络安全应用 Sanchar Saathi 的命令。这一命令于上个月底传达给智能手机制造商，本周一公开。该命令遭到了厂商的抵制和安全专家的强烈反对。印度电信部长 Jyotiraditya Scindia 否认该应用是为了加强监控。印度电信部称，迄今已有 1400 万用户下载了该应用，每天报告 2000 起诈骗案件。仅周二一天就有 60 万新用户注册——十倍增长。

Google 被发现默认启用了“在 Gmail、Chat 和 Meet 中启用智能功能”选项，默认启用“Google Workspace 智能功能”。根据 Google 的说明，“启用此设置即表示您同意 Gmail、Google Chat 和 Google Meet 使用您在这些产品中的内容和活动记录，为您提供智能功能和个性化体验”，以及“启用此设置即表示您允许 Google Workspace 使用您的 Workspace 内容和活动记录，从而在 Workspace 中为您提供个性化体验。Workspace 包含适用于企业和学校的多个应用，例如 Gmail、Chat、Meet、云端硬盘等。”用户需要手动选择才能取消这些 AI 功能，方法是 Gmail ——> 设置 ——> 查看所有设置——> 智能功能，去除“在 Gmail、Chat 和 Meet 中启用智能功能”勾选框，在重启应用之后，在智能功能下打开“管理 Google Workspace 智能功能设置”，去除所有勾选框。

Tor 浏览器项目释出了 v15.0 版本，该版本是首个基于 Firefox ESR 140 的稳定版本，整合了 Firefox 上游版本一年来的更新，包括垂直标签页，统一搜索按钮等新功能和可用性改进。Tor 开发者称他们审查并解决了约 200 个可能对 Tor 浏览器用户的隐私和安全造成负面影响的 Bugzilla 问题，移除了被认为不具有可审计性的 AI 功能。

主要通过赌博网站传播的寰宇浏览器（Universe Browser）号称是“全网权威安全认证，值得信赖的浏览器”，安全公司 Infoblox 发现该浏览器会将流量理由经过中国境内的服务器，会秘密安装多个在后台静默运行的程序，它们的功能类似恶意程序，包括键盘记录、秘密连接和更改设备网络连接。研究人员表示，寰宇浏览器与赌博网站 BBIN（aka 寶盈集團）相关，研究人员将该组织命名为 Vault Viper，他们是在研究柬埔寨一赌场的系统时发现了 Vault Viper 相关的独特 DNS 指纹。研究人员逆向工程了寰宇浏览器，发现了很多类似恶意软件的功能，它还会试图逃避杀毒软件的检测。在浏览器启动时，它会立即检查用户的位置、语言以及是否在虚拟机中运行。它安装了两个扩展：其中一个允许上传屏幕截图。Infoblox 认为寰宇浏览器是识别富有玩家并获取其设备访问权限的完美工具。

加州圣迭戈（UC San Diego）和马里兰大学的研究人员发现，约半数地球静止卫星信号在传输敏感数据时没有加密。研究团队用了三年时间花了 800 美元在大学屋顶上安装了一个卫星接收器，拦截从他们的位置可见的卫星通信。他们只用 9 个小时就记录到了逾 2700 名 T-Mobile 用户的通话和短信。研究人员还收集到航班乘客使用机载 Wi-Fi 的数据，电力公司和海上油气平台的通信数据，以及泄露军人位置和设备信息的美国和墨西哥军方通信数据。泄露的数据源于电信公司利用卫星将远程基站信号中继到核心网络。在研究人员警告之后，大部分公司对卫星传输进行了加密。