- 入侵是通过一个次要功能的侧边 API 实现
谷歌 Chrome 浏览器在 Windows 版 146 更新中正式引入了 DBSC(Device Bound Session Credentials,设备绑定会话凭据),macOS 版本也将在后续更新中加入。该技术将身份验证会话与物理设备进行加密绑定,从根本上遏制 InfoStealer 恶意软件通过窃取 Cookie 劫持用户账户的攻击链路。
Cookie 盗取:当前最紧迫的认证威胁Web 认证模型依赖浏览器 Cookie 维持登录状态。一旦恶意软件(如 LummaC2、RedLine、Raccoon 等 InfoStealer 家族)感染用户设备,可在数秒内导出浏览器中存储的
知名 PC 硬件监测工具 CPU-Z 和 HWMonitor 的开发商 CPUID 证实,其官网在 4 月 9 日至 10 日凌晨期间遭到黑客入侵,入侵持续约 6 小时,导致部分下载链接被重定向至恶意服务器。
事件经过多名 Reddit 用户发现从 CPUID 官网下载的 CPU-Z、HWMonitor 被 Windows Defender 报毒。进一步调查后发现,官网的下载链接在入侵期间被随机重定向至其他服务器,被替换的 .exe 文件被植入了恶意代码。
官方回应CPUID 负责人 Doc TB 在 X 平台发文确认:
Claude 曝出"身份混淆"缺陷:AI 代理或因误认指令触发安全风险
Bug 描述开发者 Gareth Dwyer 近日发文披露,Claude 在使用 Claude Code 等自动化工具时会出现"身份混淆"(who said what)错误——模型将自己的内部推理或往期输出误认为是用户的当前指令,并基于这些虚假授权执行高危操作。
并非幻觉Dwyer 强调,这个 bug
Solayer 创始人 Chaofan Shou 联合 UCSB、UCSD 等机构发布论文《Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain》,揭示了 LLM 代理依赖的第三方 API 路由器存在系统性安全隐患。
核心数据研究团
使用 Claude Code 时,每次向 Anthropic API 发出的请求都会包含一个特殊的 system 块:
{
"type": "text",
"text": "x-anthropic-billing-header: cc_version=2.1.37.fbe; cc_entrypoint=cli; cch=a112b;"
}
这不是 system prompt,而是被伪装成文本的请求元数据。其中 cch 字段是请求完整性校验值——算错了,API 直接返回错误;算对了,fast mode 等功能才
2026 年 3 月 31 日,安全机构 StepSecurity 发现 JavaScript 生态中下载量最大的 HTTP 客户端库 axios 遭遇供应链攻击。攻击者劫持了 axios 首席维护者的 npm 账号(jasonsaayman),手动发布了两个恶意版本——[email protected] 和 [email protected]——分别投放到 1.x 和 0.x 两条 release 分支。
这两个版本绕过了项目正常使用的 GitHub Actions CI/CD 流程,也未绑定 npm 的 OIDC Trusted Publisher 机制。npm registry 上的发布
苹果发言人向 TechCrunch 确认:自 2022 年推出"锁定模式"(Lockdown Mode)以来,没有任何开启该功能的 Apple 设备被雇佣型间谍软件成功入侵。
独立验证这一结论并非苹果单方面宣称。Amnesty International 的安全实验室和多伦多大学 Citizen Lab 均独立进行了研究,未发现任何 iPhone 在攻击发生时已启用锁定模式却仍被成功攻破的证据。
3 月 27 日,国际民航组织(ICAO)宣布对航班充电宝使用实施限制:每位旅客最多携带 2 个充电宝,飞行途中禁止充电。新规作为机上设备使用要求的一部分,周五起立即生效。
这是 ICAO 针对客舱锂电池安全问题的首次全球性量化限制。与以往走 193 个成员国逐步审批的标准程序不同,此次规定绕过常规流程直接生效,反映出监管层对锂电池热失控风险的紧迫判断。
背景:从个案到全球响应新规的直接背景是近期频发