Forwarded from Yummy 😋
Bitwarden CLI 遭遇供应链攻击
应用安全公司表示,受影响的软件包版本似乎为
这次攻击似乎利用了 Bitwarden CI/CD 管道中被入侵的 GitHub Action,行为模式与本次活动中其他受影响的代码仓库相同。
在 X 上的一篇帖子中,JFrog 表示该恶意版本的软件“会窃取 GitHub/npm 的令牌、.ssh 文件、.env 文件、历史命令记录、GitHub Actions 和云密钥,然后将数据泄露到私有域名以及 GitHub 的提交记录中。”
虽然现在已经无法从 npm 下载到该恶意版本,但 Socket 表示这次入侵使用的仍是与 Checkmarx 活动中发现的相同的 GitHub Actions 供应链攻击手法。
在这次攻击中,威胁方利用被盗的 GitHub 令牌注入了一个新的 GitHub Actions 工作流程。该工作流程会窃取运行期间可用的密钥和凭证,并用获取到的 npm 凭证将被篡改的恶意版本包发布到 npm,从而把恶意软件传播给下游用户。
安全研究员阿德南·汗表示,攻击者利用一个恶意的工作流发布了带有恶意代码的 Bitwarden CLI。他补充道:“我认为这是首次出现利用 NPM 的受信任发布机制来入侵软件包的情况。”
据推测,名为“TeamPCP”的攻击者是此次针对 Checkmarx 发起的最新攻击的幕后黑手。截至本文撰写之时,“TeamPCP”的 X 账号因违反平台规则已被暂停使用。
OX 安全公司在对此次攻击的详细分析中表示,他们在该包裹中发现了“Shai-Hulud: The Third Coming”这一字符串,这表明这很可能就是去年曝光的供应链攻击行动的下一阶段。
🗒 标签: #Bitwarden #供应链攻击
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
根据 JFrog 和 Socket 的最新发现,Bitwarden 的命令行工具(CLI)在一起新发现且仍在进行的 Checkmarx 供应链攻击中被入侵。
应用安全公司表示,受影响的软件包版本似乎为
@bitwarden/cli@2026.4.0,恶意代码出现在包含在包内的名为“bw1.js”的文件中。这次攻击似乎利用了 Bitwarden CI/CD 管道中被入侵的 GitHub Action,行为模式与本次活动中其他受影响的代码仓库相同。
在 X 上的一篇帖子中,JFrog 表示该恶意版本的软件“会窃取 GitHub/npm 的令牌、.ssh 文件、.env 文件、历史命令记录、GitHub Actions 和云密钥,然后将数据泄露到私有域名以及 GitHub 的提交记录中。”
虽然现在已经无法从 npm 下载到该恶意版本,但 Socket 表示这次入侵使用的仍是与 Checkmarx 活动中发现的相同的 GitHub Actions 供应链攻击手法。
在这次攻击中,威胁方利用被盗的 GitHub 令牌注入了一个新的 GitHub Actions 工作流程。该工作流程会窃取运行期间可用的密钥和凭证,并用获取到的 npm 凭证将被篡改的恶意版本包发布到 npm,从而把恶意软件传播给下游用户。
安全研究员阿德南·汗表示,攻击者利用一个恶意的工作流发布了带有恶意代码的 Bitwarden CLI。他补充道:“我认为这是首次出现利用 NPM 的受信任发布机制来入侵软件包的情况。”
据推测,名为“TeamPCP”的攻击者是此次针对 Checkmarx 发起的最新攻击的幕后黑手。截至本文撰写之时,“TeamPCP”的 X 账号因违反平台规则已被暂停使用。
OX 安全公司在对此次攻击的详细分析中表示,他们在该包裹中发现了“Shai-Hulud: The Third Coming”这一字符串,这表明这很可能就是去年曝光的供应链攻击行动的下一阶段。
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 风向旗参考快讯
Meta将裁员10%:全球约8000人受影响
Meta平台公司计划裁减约10%的员工,涉及约8000个岗位,旨在精简运营并为AI领域的巨额投资提供资金。根据周四Meta向员工发布的一份内部备忘录,此轮裁员将从 5月20日开始,公司同时将取消原计划招聘的6000个空缺岗位。该公司首席人力资源官珍妮尔·盖尔表示,裁员是必要的,目的是让公司更高效地运营,并抵消其在人工智能领域的投资成本。"这不是一个容易做出的取舍,这意味着要送走那些曾在Meta公司任职期间做出过重要贡献的人。Meta公司最新一轮大规模裁员,是继此前数轮较小规模裁员之后的进一步行动。公司表示,此举旨在提升运营效率,同时将资源集中投向生成式AI领域。
—— 财联社、彭博社
Meta平台公司计划裁减约10%的员工,涉及约8000个岗位,旨在精简运营并为AI领域的巨额投资提供资金。根据周四Meta向员工发布的一份内部备忘录,此轮裁员将从 5月20日开始,公司同时将取消原计划招聘的6000个空缺岗位。该公司首席人力资源官珍妮尔·盖尔表示,裁员是必要的,目的是让公司更高效地运营,并抵消其在人工智能领域的投资成本。"这不是一个容易做出的取舍,这意味着要送走那些曾在Meta公司任职期间做出过重要贡献的人。Meta公司最新一轮大规模裁员,是继此前数轮较小规模裁员之后的进一步行动。公司表示,此举旨在提升运营效率,同时将资源集中投向生成式AI领域。
—— 财联社、彭博社
Forwarded from 科技圈🎗在花频道📮
分析者质疑自建订阅验证机制:终身订阅的“终身”由谁定义?
昨晚,某知名软件突发服务器故障,导致正常订阅用户无法正常使用软件的本地服务。某分析者在 GitHub 发布了一份开源分析项目对此类 App 订阅验证机制进行技术性深度探讨 并向频道投稿,我们总结摘要如下:
报告通过逆向工程还原了某软件的订阅鉴权架构:
报告中最具争议的发现是:二进制中硬编码了逻辑——“连续验证失败 N 次,清除授权缓存”,意味着一旦自建服务器不可用,应用将主动撤销本地订阅状态,用户的终身订阅(_canPurchaseLifeTime)也将随之失效。
分析者观点认为,苹果 App Store 的内购凭证本身已可在本地验证,当服务商停止运营时,依赖自建服务器的架构将使已付费用户——尤其是终身订阅用户——面临无法恢复的权益损失,且无任何托底机制。
分析者希望我们传达以下观点:当用户购买了“终身订阅”或“永久解锁”服务时,这个“终身”究竟是指用户的生命周期,还是应用服务器的生命周期?
Github
🌸 在花频道|茶馆讨论|投稿通道
昨晚,某知名软件突发服务器故障,导致正常订阅用户无法正常使用软件的本地服务。某分析者在 GitHub 发布了一份开源分析项目对此类 App 订阅验证机制进行技术性深度探讨 并向频道投稿,我们总结摘要如下:
报告通过逆向工程还原了某软件的订阅鉴权架构:
该应用采用”服务器为主、StoreKit 2 为辅”的混合验证模式。用户的订阅状态(isSubscribed、isEarlyBird 等字段)由开发者自建服务器统一存储与下发,本地 WCDB 数据库与 Keychain 仅作为服务器状态的缓存副本。
报告中最具争议的发现是:二进制中硬编码了逻辑——“连续验证失败 N 次,清除授权缓存”,意味着一旦自建服务器不可用,应用将主动撤销本地订阅状态,用户的终身订阅(_canPurchaseLifeTime)也将随之失效。
分析者观点认为,苹果 App Store 的内购凭证本身已可在本地验证,当服务商停止运营时,依赖自建服务器的架构将使已付费用户——尤其是终身订阅用户——面临无法恢复的权益损失,且无任何托底机制。
分析者希望我们传达以下观点:当用户购买了“终身订阅”或“永久解锁”服务时,这个“终身”究竟是指用户的生命周期,还是应用服务器的生命周期?
该投稿由分析者本人提交相关材料后,编辑总结技术实现后排版,相关观点由社区发出,我们不做任何主观性评论,欢迎其他观点的讨论投稿。
Github
🌸 在花频道|茶馆讨论|投稿通道
Forwarded from 科技圈🎗在花频道📮
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 科技圈🎗在花频道📮
OpenAI 开源模型监控评估套件,助力提升 AI 系统安全监测能力
OpenAI 近日开源了与其研究论文《Monitoring Monitorability》配套的评估套件,旨在提供标准化工具以提升 AI 模型行为的可监测性。该套件涵盖干预、过程及结果属性三大类评估模型,包含 AIME、GPQA 和 WMDP 等 12 项公开数据集。开发者可利用其中的评估逻辑与提示词模板,分析模型在受到干扰或执行复杂逻辑任务时的表现。
受版权及隐私限制,FrontierMath 等涉及私有数据的评估项未在此次发布之列。OpenAI 披露,由于在 Anti-Scheming 等评估项中发现技术局限,目前正结合 GPT 5.4 Thinking 系统反馈进行迭代优化。该套件遵循 Apache-2.0 协议开源,旨在通过社区协作完善 AI 安全监控标准。
Openai
🌸 在花频道|茶馆讨论|投稿通道
OpenAI 近日开源了与其研究论文《Monitoring Monitorability》配套的评估套件,旨在提供标准化工具以提升 AI 模型行为的可监测性。该套件涵盖干预、过程及结果属性三大类评估模型,包含 AIME、GPQA 和 WMDP 等 12 项公开数据集。开发者可利用其中的评估逻辑与提示词模板,分析模型在受到干扰或执行复杂逻辑任务时的表现。
受版权及隐私限制,FrontierMath 等涉及私有数据的评估项未在此次发布之列。OpenAI 披露,由于在 Anti-Scheming 等评估项中发现技术局限,目前正结合 GPT 5.4 Thinking 系统反馈进行迭代优化。该套件遵循 Apache-2.0 协议开源,旨在通过社区协作完善 AI 安全监控标准。
Openai
🌸 在花频道|茶馆讨论|投稿通道
Forwarded from 每日消费电子观察 (septs)
OpenAI开源发布1.5B的隐私过滤模型 可以精确识别文本中包含的个人隐私信息
https://www.landiannews.com/archives/112793.html
人工智能公司 OpenAI 日前开源发布参数规模只有 1.5B 的隐私过滤模型 Privacy Filter,与常规大型语言模型不同,这个新模型主要是用来识别并自动清除用户提交内容中的个人信息,让其他 AI 系统处理数据时更加安全和可控。
Privacy Filter 模型经过自回归预训练,架构与 GPT-OSS 开源模型类似但规模更小,理论上说还可以在常规消费级设备上运行,例如集成到浏览器里用于自动清除用户提交的敏感信息。
注意:这个模型本身只是用于标记,开发者还需要搭配其他规则或模型将成功匹配出来的隐私内容清除,这个模型本身不会直接清除隐私内容并生成不含隐私内容的文本。
目前 OpenAI Privacy Filter 模型可以识别并清除如下个人隐私信息:姓名、地址、电话号码、邮箱地址、日期信息、账号、银行账号、URL 链接、密码、API 凭证等,模型会在处理过程中扫描整段文本,然后对敏感信息进行标记以方便后续进行遮蔽或替换。
https://www.landiannews.com/archives/112793.html
人工智能公司 OpenAI 日前开源发布参数规模只有 1.5B 的隐私过滤模型 Privacy Filter,与常规大型语言模型不同,这个新模型主要是用来识别并自动清除用户提交内容中的个人信息,让其他 AI 系统处理数据时更加安全和可控。
Privacy Filter 模型经过自回归预训练,架构与 GPT-OSS 开源模型类似但规模更小,理论上说还可以在常规消费级设备上运行,例如集成到浏览器里用于自动清除用户提交的敏感信息。
注意:这个模型本身只是用于标记,开发者还需要搭配其他规则或模型将成功匹配出来的隐私内容清除,这个模型本身不会直接清除隐私内容并生成不含隐私内容的文本。
目前 OpenAI Privacy Filter 模型可以识别并清除如下个人隐私信息:姓名、地址、电话号码、邮箱地址、日期信息、账号、银行账号、URL 链接、密码、API 凭证等,模型会在处理过程中扫描整段文本,然后对敏感信息进行标记以方便后续进行遮蔽或替换。
Forwarded from Solidot
特朗普模因币导致投资者损失数十亿美元
2026-04-23 22:58 by 天空的孩子
2025 年 1 月总统就职典礼前特朗普推出了官方模因币,成为首位发行个人加密货币的总统。分析认为特朗普家族从中获利逾 2.8 亿美元,但投资该模因币的散户则损失了逾 43 亿美元。大部分特朗普模因币掌握在内部人士手中,通过关键时刻抛售和收集手续费,他们没有损失,反而获利逾 6 亿美元。特朗普代币最初定价 28.73 美元,如今的价格不到 3 美元,币值跌了 93%。第一夫人 Melania Trump 的官方模因币则更惨,币值相比峰值跌了 99%。特朗普家族的加密货币公司 World Liberty Financial 则为其带来了约 50 亿美元的财富。
https://arstechnica.com/tech-policy/2026/04/investors-lost-billions-on-trumps-memecoin-another-gala-wont-fix-that/
#比特币
2026-04-23 22:58 by 天空的孩子
2025 年 1 月总统就职典礼前特朗普推出了官方模因币,成为首位发行个人加密货币的总统。分析认为特朗普家族从中获利逾 2.8 亿美元,但投资该模因币的散户则损失了逾 43 亿美元。大部分特朗普模因币掌握在内部人士手中,通过关键时刻抛售和收集手续费,他们没有损失,反而获利逾 6 亿美元。特朗普代币最初定价 28.73 美元,如今的价格不到 3 美元,币值跌了 93%。第一夫人 Melania Trump 的官方模因币则更惨,币值相比峰值跌了 99%。特朗普家族的加密货币公司 World Liberty Financial 则为其带来了约 50 亿美元的财富。
https://arstechnica.com/tech-policy/2026/04/investors-lost-billions-on-trumps-memecoin-another-gala-wont-fix-that/
#比特币
Forwarded from Solidot
Ubuntu 26.04 LTS 释出
2026-04-24 13:56 by 艾米七号
Canonical 释出了代号为 Resolute Raccoon 的 Ubuntu 26.04 LTS。同时释出的还有衍生版本 Edubuntu、Kubuntu、Lubuntu、Ubuntu Budgie、Ubuntu Cinnamon、Ubuntu Kylin、Ubuntu Studio、Ubuntu Unity 和 Xubuntu。Ubuntu Desktop、Ubuntu Server、Ubuntu Cloud、Ubuntu WSL 和 Ubuntu Core 将获得五年的支持,其余版本获得三年的支持,付费扩展支持 ESM (Expanded Security Maintenance)为十年 。Ubuntu 26.04 采用最新的 Linux 7.0 kernel,GNOME 50 桌面环境,引入了基于 TPM 的全盘加密,GStreamer 1.28,沙盒图形加载,Chrony 4.8,等等。
https://discourse.ubuntu.com/t/ubuntu-26-04-resolute-raccoon-lts-released/80833
#Ubuntu
2026-04-24 13:56 by 艾米七号
Canonical 释出了代号为 Resolute Raccoon 的 Ubuntu 26.04 LTS。同时释出的还有衍生版本 Edubuntu、Kubuntu、Lubuntu、Ubuntu Budgie、Ubuntu Cinnamon、Ubuntu Kylin、Ubuntu Studio、Ubuntu Unity 和 Xubuntu。Ubuntu Desktop、Ubuntu Server、Ubuntu Cloud、Ubuntu WSL 和 Ubuntu Core 将获得五年的支持,其余版本获得三年的支持,付费扩展支持 ESM (Expanded Security Maintenance)为十年 。Ubuntu 26.04 采用最新的 Linux 7.0 kernel,GNOME 50 桌面环境,引入了基于 TPM 的全盘加密,GStreamer 1.28,沙盒图形加载,Chrony 4.8,等等。
https://discourse.ubuntu.com/t/ubuntu-26-04-resolute-raccoon-lts-released/80833
#Ubuntu
Forwarded from Solidot
英国生物银行 50 万参与者健康数据泄漏
2026-04-24 22:12 by 超时空碎片
英国生物银行(UK Biobank)有 50 万参与者的健康数据泄漏,泄漏数据集在阿里巴巴上出售。英国科技大臣 Ian Murray 称英国生物银行运营机构已向政府通报了这起事件,泄露的信息不包含姓名、地址、联系方式或电话号码,但可能包括性别、年龄、出生年月、社会经济地位、生活习惯以及生物样本的测量数据。英国生物银行收集志愿者提供的健康数据,被用于帮助改进痴呆症、癌症和帕金森病的检测和治疗。有逾 1.8 万篇论文使用了英国生物银行的数据。阿里巴巴已经删除了数据,但相关数据又被上传到了 GitHub 上,英国生物银行向 GitHub 递交了大量 DMCA 删除通知。
https://www.bbc.com/news/articles/cpvxgl3n138o
https://www.ukbiobank.ac.uk/news/a-message-to-our-participants-uk-biobank-data-security-update/
https://news.ycombinator.com/item?id=47875843
#安全
2026-04-24 22:12 by 超时空碎片
英国生物银行(UK Biobank)有 50 万参与者的健康数据泄漏,泄漏数据集在阿里巴巴上出售。英国科技大臣 Ian Murray 称英国生物银行运营机构已向政府通报了这起事件,泄露的信息不包含姓名、地址、联系方式或电话号码,但可能包括性别、年龄、出生年月、社会经济地位、生活习惯以及生物样本的测量数据。英国生物银行收集志愿者提供的健康数据,被用于帮助改进痴呆症、癌症和帕金森病的检测和治疗。有逾 1.8 万篇论文使用了英国生物银行的数据。阿里巴巴已经删除了数据,但相关数据又被上传到了 GitHub 上,英国生物银行向 GitHub 递交了大量 DMCA 删除通知。
https://www.bbc.com/news/articles/cpvxgl3n138o
https://www.ukbiobank.ac.uk/news/a-message-to-our-participants-uk-biobank-data-security-update/
https://news.ycombinator.com/item?id=47875843
#安全
Forwarded from 科技圈🎗在花频道📮
Android 推出已验证邮箱注册,免输 OTP
Google 为 Android 的 Credential Manager API 加入“已验证邮箱”功能,用户用邮箱注册新应用时,可直接调用存储在设备上的加密验证邮箱凭证,不再需要跳转邮箱收取魔法链接或一次性验证码。
这项功能目前仅支持个人 Gmail 账号,Workspace、受管账号及非 Gmail 地址仍可能需要额外验证。Google 称,它还可用于账号找回和敏感操作再认证,支持 Android 9 及以上、且 Google Play 服务版本为 25.49.xx 及以上的设备。
Android Authority
🌸 在花频道|茶馆讨论|投稿通道
Google 为 Android 的 Credential Manager API 加入“已验证邮箱”功能,用户用邮箱注册新应用时,可直接调用存储在设备上的加密验证邮箱凭证,不再需要跳转邮箱收取魔法链接或一次性验证码。
这项功能目前仅支持个人 Gmail 账号,Workspace、受管账号及非 Gmail 地址仍可能需要额外验证。Google 称,它还可用于账号找回和敏感操作再认证,支持 Android 9 及以上、且 Google Play 服务版本为 25.49.xx 及以上的设备。
Android Authority
🌸 在花频道|茶馆讨论|投稿通道
❤1
Forwarded from 每日消费电子观察 (horo)
神秘交易员篡改巴黎机场气象站数据?Polymarket异常押注引发调查
========
优秀的交易者洞悉趋势,伟大的交易者创造趋势
阿川:亲手画k线才是未来
https://cn.wsj.com/articles/unusual-weather-bets-on-polymarket-spur-french-investigation-1556da73
========
阿川:亲手画k线才是未来
https://cn.wsj.com/articles/unusual-weather-bets-on-polymarket-spur-french-investigation-1556da73
华尔街日报中文网
神秘交易员篡改巴黎机场气象站数据?Polymarket异常押注引发调查
近几个月来,预测市场屡屡爆出欺诈指控,从政客涉嫌内幕交易,到乌克兰战争相关押注疑似遭到操纵,种种乱象不一而足。
Forwarded from 风向旗参考快讯
挪威即将禁止16岁以下青少年使用社交媒体
挪威政府计划限制16岁以下儿童使用社交媒体,加入越来越多的国家行列,以应对儿童在网上可能面临伤害的担忧。该法案是在公众 “压倒性” 的要求之后提出的,挪威社交媒体年龄限制法有望在今年推出,政府计划在今年年底前将该立法提交议会。该限制将适用至儿童年满16岁那年的1月1日,科技公司负责年龄验证,政府表示。首相乔纳斯·加尔·斯托尔在声明中表示:“我们希望孩子们拥有一个可以尽情享受童年的童年。玩耍、友谊和日常生活不能被算法和屏幕所占据。”挪威数字化部长卡里安娜·通表示:“不能让孩子们独自承担远离他们不被允许使用的平台的责任。这个责任在于提供这些服务的公司。”
—— 彭博社
挪威政府计划限制16岁以下儿童使用社交媒体,加入越来越多的国家行列,以应对儿童在网上可能面临伤害的担忧。该法案是在公众 “压倒性” 的要求之后提出的,挪威社交媒体年龄限制法有望在今年推出,政府计划在今年年底前将该立法提交议会。该限制将适用至儿童年满16岁那年的1月1日,科技公司负责年龄验证,政府表示。首相乔纳斯·加尔·斯托尔在声明中表示:“我们希望孩子们拥有一个可以尽情享受童年的童年。玩耍、友谊和日常生活不能被算法和屏幕所占据。”挪威数字化部长卡里安娜·通表示:“不能让孩子们独自承担远离他们不被允许使用的平台的责任。这个责任在于提供这些服务的公司。”
—— 彭博社