日本核能监管机构宣布取消了中部电力公司两座反应堆的安全审查，原因是该公司伪造了地震风险数据。自 2011 年福岛核事故后，日本只有不到四分之一商业核反应堆处于运行状态。日本中部电力公司申请重启滨冈核电站 3、4 号机组，而滨冈核电站地处南海海槽大地震的设想震源区域。监管机构原子能规制委员会去年 2 月接到举报，中部电力公司多年来伪造了两座反应堆的地震风险数据。中部电力公司已经承认了此事，它给出了说明，“在制定基准地震动时从不同计算条件的 20 组地震动选出最接近平均值的波作为“代表波”，然而事实上存在蓄意选择代表波的嫌疑。这一做法在 2018 年以前就已存在。”社长林欣吾表示考虑对核能部门实施彻底重组。

根据 Linux kernel 的 git 历史，内核至今修复了 125,183 个 bug，平均每个 bug 在引入 2.1 年之后才会被发现。不同子系统的 bug 存活时间有差异，其中 CAN 总线驱动 bug 平均要 4.2 年才会被发现，而 SCTP 网络平均是 4 年。存活时间最长是 ethtool 的一个缓冲区溢出 bug，存活了 20.7 年。内核的安全性过去几年有了显著提升，2010 年引入的 bug 平均需要近 10 年才会被发现，而 2024 年引入的 bug 仅 5 个月就会被发现——或者 2010 年引入的 bug 在当年发现的比例是 0%，而 2022 年这一比例提升到了 69%。

黑客行动主义者在上月底德国举行的年度混沌计算机俱乐部会议 39C3 上现场删除了三个白人至上主义者的网站——WhiteDate、WhiteChild 和 WhiteDeal。化名为 Martha Root 的黑客身穿《恐龙战队(Power Rangers)》中粉红战士的服装，在删站前还抓取了 WhiteDate 的数据。三个白人至上网站的管理员都通过其社媒账户证实了攻击事件，网站至今没有恢复。Root 表示这些网站的安全性极度匮乏，嘲讽他们自诩优等种族（master race）但却连网站安全都做不好，在统治世界之前他们应该先学着熟练托管 WordPress。泄露数据包括用户的个人资料如姓名、头像、个人简介、年龄、位置（包含精确坐标以及用户设置的国家和州）、性别、语言、种族等。根据泄露数据，WhiteData 有逾 6500 名用户，其中 86% 为男性，14% 为女性。

去年 12 月 27 日，《彩虹六号：围攻X》服务器遭到入侵，黑客向所有玩家赠送了逾 20 亿虚拟点数和稀有皮肤。12 月 29 日育碧对此次攻击采取了回滚操作。本周玩家再次报道黑客入侵了游戏服务器，这一次黑客没有送礼物，而是送出了封禁，封禁日期是 67 天——67 是著名的网络模因。根据育碧官方服务器状态页，《彩虹六号：围攻X》的 PC、PS4/5、Xbox Series X/S 和 Xbox One 服务器都报告遭遇计划外问题（unplanned issues）。有数以千计的玩家报告账号被封禁，其中包括游戏主播 VarsityGaming——其 YouTube 账号有 143 万粉丝。

Palo Alto Networks 首席安全情报官 Wendi Whitmore 认为，AI 智能体将成为企业在 2026 年最大的内部威胁。企业安全团队面临需要尽快部署新技术的巨大压力，他们承受着巨大的压力和工作量，需要快速完成采购流程、安全检查，了解新 AI 应用是否足够安全，能满足企业实际应用场景。根据 Gartner 的估计，到 2026 年底，40% 的企业应用将集成特定任务的 AI 智能体，而 2025 年该比例不到 5%。Whitmore 指出这种激增是一把双刃剑。根据其配置和权限，AI 智能体可能拥有敏感数据和系统的访问权限，这使得 AI 智能体成为极具吸引力的攻击目标。

MongoDB 服务器软件在圣诞节前曝出了一个高危漏洞，影响自 2017 年以来发布的所有版本。该漏洞被称为 MongoBleed aka CVE-2025-14847。MongoDB 在 12 月 24 日释出了补丁，声称没有证据表明有人利用该漏洞。12 月 27 日，育碧热门游戏《彩虹六号：围攻X》的服务器遭到入侵，黑客向全服赠送了 21 亿游戏虚拟货币以及极其罕见的皮肤，其中包括开发者专属皮肤。此次攻击迫使育碧将整个游戏服务器下线，直到 12 月 29 日才重新上线，回滚黑客送出的虚拟币和皮肤。有报道称，黑客就是利用刚刚曝出但育碧没有及时修复的 MongoDB 漏洞入侵和接管游戏系统，同时还窃取了育碧几乎所有游戏的源代码——但这一消息尚未得到育碧官方证实。

域名停放（Domain parking）是指过期或休眠的域名，或者是热门网站的常见拼写错误。当用户因为拼写错误而意外访问域名停放公司的网页时，上面通常会展示第三方的付费链接。2014 年安全研究人员的分析显示，不到 5% 的域名停放网页会将用户重定向到恶意内容，也就是大部分链接是合法的。但如今比例发生了逆转。安全公司 Infoblox 的最新研究发现，大部分停放域名网站会将用户重定向到恶意内容。研究人员发现，逾九成的域名停放链接会将用户引导至非法内容、诈骗网站、恐吓软件、杀毒软件订阅服务或恶意软件。

苹果和 Google 最近都释出了紧急更新去修复正被利用的 0day。苹果向 iPhone、iPad 和 Mac 释出更新修复两个 WebKit bug，苹果表示漏洞可能被用于对特定目标发动复杂攻击，它没有披露细节。Google 释出 Chrome 更新修复了多个安全漏洞，其中包括正被利用 0day CVE-2025-14174，该 bug 属于越界内存访问漏洞。两家公司都没有透露细节，但看起来是相关的，Google 将 CVE-2025-14174 的发现归功于苹果的安全工程团队和 Google 的安全团队 Threat Analysis Group。目前看来该 0day 是被间谍软件利用。苹果 2025 年至今修复了 9 个 0day，Google 今年至今修复了 8 个 Chrome 0day。

韩国电商巨头酷澎（coupang）多达 3370 万个用户的个人信息被泄露。该事件由酷澎中国籍前员工所为，酷澎服务器从今年 6 月 24 日至 11 月 8 日遭到入侵。泄露信息范围包括用户姓名、电邮、电话号码、地址，甚至包括住宅楼门禁密码。韩国警察厅已通过国际刑警组织向淘宝发函，要求其删除涉及“售卖韩国人账号”的相关内容。公司董事长朴大俊已引咎辞职。涉嫌泄密的中国员工曾担任公司身份验证系统软件开发者，他在一年前已经离职，但仍然秘密持有内部身份验证密钥，能不受限制的访问酷澎的用户信息。入侵利用了海外服务器，通过使用登录凭证，嫌疑人伪装成公司员工访问内部系统。

本月初安全研究人员披露了编号为 CVE-2025-55182、危险等级 10/10 的 React Server 高危漏洞，该漏洞利用的成功率几乎能达到 100%，攻击者可以远程执行代码。在漏洞披露几个小时内，中国、伊朗、朝鲜的黑客组织以及网络犯罪组织就开始大规模利用该漏洞远程执行代码、部署后门和挖掘加密货币。亚马逊的安全团队称，中国黑客组织 Earth Lamia 和 Jackpot Panda 在利用该漏洞。Palo Alto Networks 的 Unit 42 称受害者超过 50 个。地下黑客论坛有大量关于 CVE-2025-55182 的讨论，有分享扫描工具链接、概念验证攻击代码(PoC) 以及相关工具的经验帖。

亲俄罗斯黑客组织 Cyber​​Volk 在沉寂数月之后推出了基于 Telegram 的勒索软件即服务 CyberVolk 2.x(aka VolkLocker)。基于 Telegram 的服务降低了准入门槛，但好消息是开发者在测试程序时失误，导致主密钥硬编码在可执行文件中。这意味着受害者无需支付赎金就能解密被加密的文件。VolkLocker 不会动态生成加密密钥，硬编码的主密钥以明文写入 %TEMP% 文件夹。勒索软件被发现使用 AES-256-GCM(Galois/Counter Mode)对文件进行加密。

Notepad++ 发布安全警告，它遭遇了流量劫持，部分地区的更新程序被植入恶意程序。调查发现，Notepad++ 更新程序 WinGUp 的流量被劫持到恶意服务器，下载恶意可执行文件。更新程序使用版本检查功能查询 URL“https://notepad-plus-plus.org/update/getDownloadUrl.php”并评估返回的 XML 文件。更新程序使用 XML 文件中列出的 Download-URL，将文件保存到 %TEMP% 文件夹并执行。任何能拦截和篡改此流量的攻击者都可以更改 Download-URL。Notepad++ v8.8.7 之前的版本使用了自签名证书，允许攻击者创建篡改后的更新并将其推送给受害者。从 v8.8.7 开始 Notepad++ 使用了来自 GlobalSign 签发的合法证书进行签名。

Cozy Mk IV 是一款实验性的可以购买零部件在家自组装的轻型飞机。3 月 18 日一架 Cozy Mk IV 飞机在英国 Staverton 的 Gloucestershire 机场发生了坠机事故，机上只有一名飞行员，他只受到了轻伤。英国航空事故调查局（AAIB）的调查发现，事故原因是 3D 打印的进气弯管使用了不合适的材料制造，在引擎产生的高温下受热后软化，导致结构变形。飞行员当时发现发动机完全失去动力。AAIB 表示未来将会加强对 3D 打印零部件的检查。

安全公司 Wiz 周三披露了危险等级 10/10 的 React Server 高危漏洞。React Server 被网站和云环境广泛使用，安全研究人员督促管理员尽快打上补丁，因为漏洞极其容易被利用（成功率差不多 100%）。漏洞利用代码已经公开，攻击者可利用漏洞远程执行代码。约 6% 的网站和 39% 的云环境使用 React。受影响的 React 版本包括 v19.0.1、v19.1.2 或 v19.2.1，受影响的第三方组件包括 Vite RSC、Parcel RSC、React Router RSC、RedwoodSDK、Waku 和 Next.js 等。漏洞编号为 CVE-2025-55182，存在于 React Server Components 的 Flight 协议中，源自于不安全的反序列化。

一辆 Waymo 无人驾驶出租车在旧金山碾过了一只未拴绳的狗，而几周前该公司的另一辆无人驾驶出租车撞死了一只备受邻居喜爱的猫。目前不清楚狗的状况。事故发生在 Scott 和 Eddy 街的交叉路口附近。一名自称是乘客的 Reddit 用户发帖称其孩子目睹了整个过程，表示当时他们一家参加完一场圣诞树点灯仪式后回家。美国国家公路交通安全管理局的记录显示，自 2021 年以来 Waymo 无人驾驶出租车至少卷入了 14 起动物碰撞事故。Waymo 发言人对此事表达了遗憾，表示会吸取教训，同时强调该公司的事故伤亡率远低于人类司机。人类司机每年都会在驾车过程中撞到数百万只动物。

Let’s Encrypt 宣布到 2028 年将证书有效期从现在的 90 天缩短至 45 天。此举是为了遵守今年早些时候 Certification Authority Browser Forum (CA/Browser Forum)通过的缩短证书有效期决议。决议要求到 2026 年 3 月 15 日 TLS 证书最长有效期将缩短至 200 天；到 2027 年 3 月 15 日 TLS 证书最长有效期将缩短至 100 天；2029 年 3 月 15 日 TLS 证书最长有效期将缩短至 47 天。Let’s Encrypt 还将缩短验证域名控制权后允许为该域名签发证书的时间间隔，从目前的 30 天缩短至 7 小时。为减少对用户的影响，新的变更将分阶段实施：2026 年 5 月 13 日可选配置有效期 45 天，2027 年 2 月 10 日默认配置有效期 64 天，2028 年 2 月 16 日有效期进一步缩短为 45 天。

韩国电商巨头酷澎发生了 3000 余万个用户账号信息遭泄事件。遭泄的个人信息包含用户姓名、电子邮箱、电话号码、地址，甚至包含部分订购记录。根据韩国 《个人信息保护法》，若企业违反相关法律，可以被处以最多相当于销售额 3% 的罚款。酷澎今年前三季度累计销售额为 36.3 万亿韩元。若从中减去与个人信息泄露案关联度不高的业务部门业绩等，销售额为 31 万亿韩元。若再将其折算为年销售额，罚款或达 1.2 万亿韩元。根据酷澎递交给警方的报告，用户信息泄露非因遭黑客攻击，而由公司中国籍员工外泄所致。该员工早已离职并离境。

SmartTube 开发者上周宣布数字签名泄漏，他发布了使用新签名的新版本应用，督促用户切换到新版本。SmartTube 是 Android TV 和 Fire TV 设备上 YouTube 应用的流行替代。开发者透露，他用于构建官方 APK 文件的计算机遭到入侵，导致部分 APK 版本植入了恶意程序。暂时不清楚哪个版本的 APK 最早包含了恶意程序。APKMirror 上的 SmartTube v30.43 和 30.47 都被标记为感染恶意程序。开发者表示，所有旧版本 SmartTube 都已经从项目的 GitHub 库中移除，感染恶意程序的计算机也进行了处理，旧数字签名被弃用。SmartTube v30.56 是使用新签名在干净计算机上构建的首个版本。

Google Threat Intelligence Group(GTIG) 通过官方博客曝光了 APT24 间谍组织使用的 BadAudio 恶意程序。APT24 过去三年在受害者网络部署了此前未有记录的 BadAudio——一种高度混淆的第一阶段下载工具，用于建立持久访问权限。APT24 利用了供应链入侵、多层社会工程攻击以及滥用合法云服务如 Google Drive 和 OneDrive，展示了其攻击能力的持续演进。举例来说，从 2024 年 7 月起，APT24 多次入侵了一家台湾的数字营销公司，该公司为客户网站提供了 JS 库。APT24 通过入侵该公司，将恶意的 JS 代码注入到该公司的一个广泛使用的 JS 库，它还使用误植域名（Typosquatting）冒充合法 CDN 的域名。

在邮件列表上，Xubuntu 项目披露网站被入侵细节。Xubuntu 官网是在上个月中旬被入侵植入了名为 Xubuntu-Safe-Download.zip 的恶意文件，开发者称攻击者是利用 WordPress 的一个存在弱点的组件使用暴力破解的方式获得了网站访问权限，这次事件只涉及下载站及其提供的 Torrent 链接，其它都未受影响，Xubuntu 的构建系统、软件包或其它组件都未受到影响。如果用户下载了 Xubuntu-Safe-Download.zip 建议立即删除，使用安全软件扫描系统。