Aggregator

苹果发布iOS 18.6.2等版本修复高危安全漏洞CVE-2025-43300，该漏洞位于Image I/O框架中，处理恶意图像可能导致内存损坏。已有证据显示黑客正利用此漏洞针对特定人群发起攻击。苹果通过改进边界安全检查修复问题，并建议用户立即更新至最新版本以确保安全。

科隆游戏展开幕夜公布了多款游戏动态，《使命召唤：黑色行动7》定档11月14日，《天外世界2》将于10月29日发售，《生化危机：安魂曲》和《黑神话：钟馗》正式公开，《空洞骑士：丝之歌》确认年内发售。

谷歌在Pixel 10宣传中明确指出IP68防护等级并非完美无缺，设备进水后将失去保修。苹果曾因夸大防水性能而被集体诉讼。谷歌的做法更透明地告知消费者防水防尘的局限性。

文章介绍了错误代码521的原因及解决方法。该错误通常由Cloudflare返回，表示服务器配置问题或网络连接不稳定。常见原因包括服务器未正确配置SSL/TLS协议、网络防火墙阻止请求或服务器负载过高。解决方法包括检查网络连接、清除浏览器缓存、更换DNS服务器或联系网络管理员以排查问题。

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，黑客正日益滥用AI驱动的建站托管平台Lovable批量生成钓鱼页面、恶意软件分发门户及各类欺诈网站。这些通过该平台创建的恶意网站通过仿冒知名品牌，并设置验证码（CAPTCHA）等流量过滤系统阻挡机器人检测。 尽管Lovable已采取措施防范平台滥用，但随着AI建站工具激增，网络犯罪的技术门槛持续降低。 Lovable平台攻击活动分析 网络安全公司Proofpoint表示，自2025年2月以来“已观测到数万个Lovable生成的恶意链接”通过电子邮件传播。研究人员在最新报告中披露了四类滥用该平台的攻击活动： 1、Tycoon钓鱼即服务攻击 攻击邮件包含托管于Lovable的链接，用户通过验证码后会被重定向至伪造的Microsoft登录页面（仿冒Azure AD或Okta界面）。这些网站通过中间人攻击技术窃取用户凭证、多因素认证令牌及会话Cookie。攻击者曾向5,000家机构发送数十万封钓鱼邮件。   2、支付与数据窃取欺诈 冒充UPS物流的钓鱼邮件发送近3,500封，内嵌链接将受害者导向Lovable构建的钓鱼网站。这些页面要求输入个人信息、信用卡号及短信验证码，数据通过Telegram渠道外泄至攻击者。   3、加密货币窃取活动 近万名用户收到仿冒DeFi平台Aave的钓鱼邮件（经SendGrid发送）。受害者被诱导至Lovable生成的跳转链接和钓鱼页面，在连接加密钱包后遭遇资产窃取。   4、恶意软件分发行动 攻击邮件内含链接，将用户导向伪装成发票门户的Lovable应用页面。该页面分发托管于Dropbox的RAR压缩包，内含合法签名程序与恶意DLL文件，最终通过DLL侧加载技术释放远程访问木马zgRAT。 平台响应措施 Lovable于2025年7月推出新防护机制：实时检测系统可在用户输入指令时阻止恶意网站创建，同时每日自动扫描已发布项目并删除欺诈内容。该公司声明将在秋季推出账户级滥用检测功能，主动封禁违规账户。 第三方测试显示，目前仍可利用Lovable生成仿冒大型零售商的欺诈网站且未被拦截。针对现有反滥用措施有效性的质询，Lovable暂未回应。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Duplicate File Finder for Mac 是一款专业的重复文件清理工具，支持相似照片识别和文件夹合并，并通过逐字节比较确保安全高效地清理存储空间。

源于监测猴子实际事件

Currently trending CVE - Hype Score: 13 - Untrusted data inclusion in pg_dump in PostgreSQL allows a malicious superuser of the origin server to inject arbitrary code for restore-time execution as the client operating system account running psql to restore the dump, via psql meta-commands. pg_dumpall is also affected. ...

苹果修复了影响iOS、iPadOS和macOS操作系统的零日漏洞CVE-2025-43300，该漏洞已被用于定向攻击。

文章讨论了错误代码521的问题，解释其含义及常见原因，并提供了排查和解决的方法。

HackerNews 编译，转载请注明出处： 研究人员发现GPT-5存在安全漏洞：用户获得的回答可能并非来自GPT-5本身。这一漏洞源于其内部路由机制存在类似SSRF（服务器端请求伪造）的缺陷。 当用户向GPT-5提问时，答案未必由GPT-5生成。该模型内置初始路由解析器，会根据问题内容决定调用哪个子模型处理请求——可能是用户预期的GPT-5 Pro，但也可能被路由至GPT-3.5、GPT-4o、GPT-5-mini或GPT-5-nano等旧版或精简版模型。 这种动态路由机制的设计初衷可能是平衡效率与成本：通过将简单查询导向更轻量、快速的模型，避免始终调用推理能力强大但运行成本高昂的GPT-5核心模型。据Adversa AI公司估算，该机制每年可为OpenAI节省约18.6亿美元开支，但运作过程完全不透明。 更严重的是，Adversa研究人员发现用户可通过特定“触发短语”操纵路由决策，强制将查询导向指定模型。该漏洞被命名为PROMISQROUTE（全称为“提示诱导路由操纵漏洞”）。“这本质上是针对路由器的规避攻击，”Adversa AI联合创始人兼CEO亚历克斯·波利亚科夫解释，“我们操纵了原本简单的路由决策流程，决定哪个模型应处理请求。” 虽然路由机制并非OpenAI独有（其他服务商通常允许用户手动选择模型），但此类自动化路由正越来越多地出现在智能体架构中——即由某个模型决定如何将请求传递至其他模型。 该漏洞是Adversa在测试GPT-5拒绝机制时偶然发现的。某些提问会引发无法解释的回复矛盾，使研究人员怀疑响应来自不同模型。他们观察到部分旧版越狱手段突然复活，且当提问中刻意提及旧模型时，即使GPT-5本身能阻止的越狱行为也会成功。 被动风险与主动威胁 单纯的路由错误已可能引发严重后果：例如不同模型具有差异化倾向与缺陷，若查询被导向能力较弱或安全校准不足的模型，可能增加幻觉输出或不安全内容的概率。 但真正的危险在于：攻击者可利用路由漏洞将恶意查询导向安全性较低的旧模型，从而绕过GPT-5 Pro的防护机制。“假设攻击者试图用越狱指令攻击GPT-5失败后，只需在提问前添加简单指令诱骗路由器将请求发送至存在漏洞的旧模型，”波利亚科夫指出，“先前失败的越狱就可能成功执行。” 这意味着尽管GPT-5 Pro自身安全性优于前代，但路由漏洞使其实际防护能力等同于最弱的前代模型。 安全与成本的矛盾 解决方案看似简单——禁用向弱安全模型的路由即可，但这将损害商业利益：完全依赖GPT-5 Pro会显著降低响应速度（影响用户体验），且每项查询都调用高成本模型将压缩OpenAI利润空间。 波利亚科夫建议：“OpenAI需提升安全性，例如在路由器前增设防护层、增强路由机制本身的安全性，或确保所有子模型（而非仅核心模型）均达到安全标准——最理想的是同时实施这三项措施。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

YouTube允许免费用户缓存低质量视频离线观看（144P/360P），高分辨率（720P/1080P）需开通完整版YouTube Premium订阅。Lite版订阅不支持下载功能。

一年一度专属SRC中秋福利活动，别错过！

中秋礼盒大放送🌕 2025年未提交过有效漏洞白帽子均可参与！

当前环境异常，需完成验证后方可继续访问。

当前环境异常，请完成验证以继续访问。

文章描述了错误代码521的含义及其常见原因，并提供了相应的解决方法。

HackerNews 编译，转载请注明出处： 俄罗斯投资分析平台Investment Projects本周早些时候遭亲乌克兰黑客组织攻击。截至8月21日，该平台网站仍处于瘫痪状态。平台声明称正在全力修复基础设施，并已向国家监管机构通报事件。 自称Cyber Anarchy Squad的黑客组织宣称对此次攻击负责。该组织声称已部分摧毁平台基础设施，获取内部数据库及员工文档，并公开大量据称窃取的文件。媒体Recorded Future News暂无法独立核实泄露材料的真实性。 Cyber Anarchy Squad表示，泄露数据旨在施压监管机构对该平台处以罚款。根据俄罗斯法律，企业因未能保护客户数据最高可面临2万卢布（约250美元）罚款。 Investment Projects平台主要推广和分析俄罗斯大型项目，涵盖工业、民用及交通建设领域，由PKR Group运营。其投资者与客户包括俄罗斯工程集团Konar、矿业巨头诺里尔斯克镍业、农业企业Rusagro以及私营航空公司S7 Airlines等知名企业。 针对此次攻击，平台回应称：“敌人正试图通过破坏俄罗斯的服务平台来削弱经济和工业，但我们终将更加强大。” Cyber Anarchy Squad自2022年左右开始活跃，以攻击俄罗斯和白俄罗斯机构著称，此前受害者包括电信服务商Infotel、网络安全公司Avanpost及政府关联实体。该组织通过Telegram频道宣传其行动。 尽管此次攻击的实际影响尚不明确，但此类事件通常会导致声誉损害、高昂恢复成本及潜在监管罚款。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

一名20岁的佛罗里达男子因参与网络犯罪集团“Scattered Spider”，通过SIM卡交换攻击窃取资金并入侵多家公司系统，被判10年监禁并赔偿1300万美元。