- 第一步:开启开发者模式
- 第二步:主动确认不是被人诱导关闭安全保护
- 第三步:重启手机,重新验证身份
- 第四步:等待24小时冷静期
- 第五步:用指纹、面容或设备PIN确认安
量子计算对现有公钥密码体系(RSA、ECC)的潜在威胁,正在从理论走向现实。NIST 在 2024 年正式发布了后量子加密(PQC)标准,包括模块-格密码算法 ML-DSA(Module-Lattice Digital Signature Algorithm),标志着全球加密体系进入迁移周期。
Google 是这场迁移的重要推动者。2026 年初,W
近期围绕 Apifox 的供应链攻击事件,官方终于给出了一份正式安全公告。
根据公告内容,Apifox 公网 SaaS 版桌面客户端在运行过程中动态加载的一个外部 JavaScript 文件遭到恶意篡改,因此形成了供应链攻击风险。公告给出的受影响时间窗口是 2026 年 3 月 4 日至 3 月 22 日,并明确指出私有化版本不受这次事件影响,SaaS Web 版用户也不在这次影响范围内。
从公开截图和公告内容看
Apifox 桌面端被曝遭遇一次供应链投毒。按公开还原分析,问题不在用户自己导入了什么接口文档,而在桌面端加载的一段 CDN 事件统计脚本被篡改;一旦代码在 Electron 环境里跑起来,拿到的就是开发机上的敏感信息。
研究者 phith0n 公开的恶意载荷还原代码显示,这段脚本会先收集设备指纹、系统信息、用户名、主机名,并尝试读取 Apifox 本地登录态,再调用官方用户接口获取账户邮箱和昵称。更危险的是,它还会向远端域名请求加密载荷,解密后直接执行,给后续继续下发恶意代码留了口子。
GrapheneOS 公开表示,其操作系统会继续向全球任何用户开放使用,不要求个人信息、身份证明或注册账号;相关服务也会继续在国际范围内提供。如果因为当地监管要求,导致 GrapheneOS 设备无法在某些地区销售,它也接受这个结果。
这条表态有分量,关键不在语气强硬,而在它把边界说得很直白:基础操作系统不该先变成身份核验入口。对一个一直把隐私和安全当核心卖点的项目来说,这等于公开说明,哪怕
OpenAI 最近公开了一套它们内部已经在运行的编码代理监控系统。
按官方说法,这套系统会在一次代理交互结束后 30 分钟内回看完整轨迹,范围包括对话、工具调用、动作,以及模型的思考链,重点筛查两类问题:一类是是否偏离用户原始意图,另一类是是否触碰内部安全、合规和权限边界。
这件事之所以值得看,不只是因为它披露了一组看上去“还算稳”的数字,更因为它说明,大模型公司的安全工作已经开始从
苹果于 2026 年 3 月 19 日发出安全警告:所有运行 iOS 13 或 iOS 14 的 iPhone 存在严重漏洞风险,日常网页浏览即可触发攻击,导致个人数据暴露。
漏洞机制恶意网页内容可利用旧版 iOS 的 WebKit 引擎漏洞发动攻击。用户无需主动下载任何文件,只要访问受感染网站或点击来源不明的链接,攻击即可完成。苹果已将中招后的影响明确
Google本周公布了Android安装未验证开发者应用的"高级流程"。用户需要依次完成:开启开发者模式、确认并非在他人诱导下关闭安全保护、重启手机并重新验证身份,然后等待一次性的24小时冷静期,之后用指纹、面容或设备PIN确认,才能继续安装。安装完成后,可将该权限设为7天或长期
Android用户注意了:Google给侧载未验证应用新增了一道"高级流程",以后安装没那么随便了。
新流程是什么简单说,就是一个高摩擦冷却机制:
Google Threat Intelligence Group 披露了一条名为 DarkSword 的 iOS 攻击链。它最值得普通用户警惕的地方,不是技术有多复杂,而是入口非常轻:在 Safari 打开恶意网页,设备就可能在静默过程中被完整拿下。
按 Google 的说法,这条链路自 2025 年 11 月起已被多类攻击者在沙特、土耳其、马来西亚和乌克兰的行动中使用,影响 iOS 18.4 至 18.7,串联 6 个漏洞,并在成功利用后投放 GHOSTBLADE、GHOSTKNIFE、GHOSTSABER 等后续载荷。
![DarkSword 时间线](https://linlog.t