企业采用 AI 的比例只有 10%。Chatterbox Labs CEO Danny Coleman 和 CTO Stuart Battersby 认为一个重要原因是安全性。Colema 说，麦肯锡称 AI 是一个价值 4 万亿美元的市场，但如果你不断推出不仅安全性未知，而且企业或社会影响都未知的产品，你如何推动市场发展？AI 的兴趣和投资在增长，但普及却相对缓慢。Battersby 说，不要轻信大模型供应商的花言巧语，因为他们总是会说模型是无比安全的。传统的网络安全和 AI 安全在相互碰撞，而大多数信息安全团队尚未跟上发展。

阿里云服务的核心域名 aliyuncs.com 于 2026 年 6 月 6 日凌晨 02:57 出现域名解析异常，一度被重定向到非盈利安全组织 Shadowserver Foundation 的 sinkhole.shadowserver.org。阿里云官方称，4 点左右工程师初步确认导致域名解析出现异常的原因并正在紧急处理中。受影响的云产品主要有对象存储OSS、内容分发网络CDN、容器镜像服务ACR、云解析DNS等。9 点左右受影响云产品已全部恢复。但由于 DNS 缓存，客户的影响可能会持续更长时间。此次事故因涉及阿里云核心服务而影响范围极大，其 DNS 解析异常直接导致客户业务大面积停摆。其中 cnblogs 全国访问瘫痪，大量企业级应用陷入“404地狱”，影响甚至波及海外用户。

Google 以合规、未兑现改进承诺以及响应披露等问题撤销了对中华电信和匈牙利 Netlock CA 的信任，Chrome 浏览器在 7 月 31 日之后将停止信任中华电信和 Netlock 颁发的证书。跟踪 CA 和证书的研究员 Ryan Hurst 称，在一年多时间里 Netlock 未向数据库 Common CA Database 披露一个中间证书；Netlock 未能撤销一个错误颁发的证书；Netlock 未能按要求每周提供安全事件更新；中华电信推迟撤销一个错误颁发的证书；中华电信错误颁发了 247 个主题域名结构不正确的证书。

印度便利店应用 KiranaPro 的 CEO Deepak Ravindran 声称，一位攻击者蓄意删除了该公司在 GitHub 的代码库以及亚马逊 AWS 上的资源。日志信息显示是攻击者是内部人士。删库事件发生在上周，此后该应用一直无法运行。KiranaPro 允许消费者通过印度各地的便利店 Kirana 购买商品，用户下单之后，KiranaPro 将单子发送给用户附近的便利店竞标，获胜者将负责发货，从下单到发货的时间通常不超过 20 分钟。该应用每天处理逾 2000 份订单。

一位自称 GangExposed 的神秘告密者公开了勒索软件组织 Conti 和 Trickbot 背后的关键成员身份。他表示自己对获得美国联邦政府开出的千万美元悬赏不感兴趣，他只想打击这一全球知名的有组织犯罪团伙。GangExposed 称，Conti 和 Trickbot 的领导人 Stern 是 36 岁的俄罗斯人 Vitaly Nikolaevich Kovalev，德国警方之后证实了 Stern 的身份；自称 Professor 的 Conti 关键成员是 39 岁的俄罗斯人 Vladimir Viktorovich Kvitko，他以及其他 Conti 核心成员在 2020 年移居阿联酋的迪拜。GangExposed 称 Kvitko 生活比较简朴，相比下另一位关键成员 Target 则过着相当奢侈的生活，旗下拥有法拉利和两辆迈巴赫。美国政府悬赏 1000 万美元征集Conti 核心成员 Professor 和 Target 等人的身份信息。GangExposed 表示他接下来将锁定 Target，称自己通过暗网等来源收集情报。

微软、CrowdStrike、Palo Alto Networks 和 Google 周一宣布将创建一个公共词汇表，规范国家支持黑客组织和网络犯罪分子的绰号，以减少不同公司为同一个黑客组织起不同绰号所引发的混淆。安全公司都制定了自己的命名规范，以微软为例，它将来自中国的黑客组织都起了 Typhoon 的姓，但其他安全公司如 CrowdStrike 可能会将同一个组织冠上 Panda 的姓。安全行业的部分人士对微软和 Google 等公司的标准化尝试不以为然。

俄罗斯正在翻新其核武器基地，它直接将基地的敏感资料包含在采购数据库中。Danwatch 和 Der Spiegel 的记者利用位于俄罗斯、哈萨克斯坦和白俄罗斯的代理服务器绕过网络限制访问了公共采购数据库，抓取并分析了逾 200 万份文件，这些文件披露了俄罗斯核设施的详细细节，包括掩体、导弹发射井的平面图和内部结构、电网、IT 系统、警报配置、传感器位置以及加固结构等等。泄露的文件显示，最近一批文件是 2024 年夏天发布的，其中披露了俄众多新建的设施。

安全公司 GreyNoise 的研究人员报告，数千台华硕制造的家用和小型办公路由器感染了一种隐蔽的后门，该后门能在设备重启和固件更新后仍然存在。研究人员猜测攻击者可能有国家背景。研究人员目前跟踪到有约 9,000 台被植入了后门，感染数量还在继续增长，不过攻击者尚未利用这些被感染的设备。攻击者利用的一个漏洞是 CVE-2023-39780，华硕已在最近释出的固件更新中修复。感染设备会显示能通过端口 53282 使用 SSH 登陆。

微软官方博客宣布与全球执法机构合作，破坏了 Lumma 恶意程序使用的网络基础设施。Lumma 恶意程序被网络罪犯用于窃取机密信息如密码、信用卡、银行账户和加密货币钱包，帮助网络罪犯勒索赎金、清空银行账户以及中断关键服务。在获得法庭命令之后，微软查封了 Lumma 基础设施使用的 2300 个域名，其中逾 1300 个被重定向到微软的 Microsoft sinkholes。微软称，它的调查显示 2025 年 3 月 16 日至 2025 年 5 月 16 日期间全世界有逾 39.4 万台 Windows 计算机感染了 Luma 恶意软件。感染恶意程序的计算机大部分位于北美、南美、欧洲 和南亚，中国大陆也有少数计算机感染。

Tor 项目宣布了命令行工具 oniux，使用 Linux 命名空间为第三方应用提供 Tor 网络隔离，路由通过 Tor 网络去实现匿名网络连接。Oniux 能为每个应用程序创建一个完全隔离的网络环境，能防止数据泄漏，即使应用程序是恶意的或者错误配置。Linux 命名空间是一项内核功能，允许进程在隔离的环境中运行，oniux 的命名空间不提供系统级网络接口如 eth0 的访问，而是提供自定义网络接口 onion0。oniux 处于实验阶段，它依赖的软件如 Arti 和 onionmasq 仍在开发中。

杀毒软件会使用 Windows Security Center (WSC) API 通知 Windows 已安装并执行实时保护。为避免操作系统同时运行多个安全软件导致冲突，Windows 会禁用系统自带的安全软件 Microsoft Defender。研究员 es3n1n 开发了名为 Defendnot 的工具滥用了该 API，通过注册虚假的杀毒软件去禁用 Microsoft Defender。Defendnot 是基于一个已删除的项目 no-defender，no-defender 使用了第三方杀毒软件的代码去伪造 WSC 注册，在该杀毒软件开发商递交了 DMCA 删除申请后，开发者从 GitHub 下架了 no-defender。Defendnot 利用虚假的杀毒软件 DLL 规避了版权问题。WSC API 受到 Protected Process Light (PPL)、有效数字签名和其他功能的保护。Defendnot 通过将 DLL 注入到已由微软签名并信任的系统进程 Taskmgr.exe 中绕过了这些要求。

以廉价织物印花机（fabric printing）知名的深圳公司 Procolored 被发现官方驱动含有恶意程序。YouTube 主播 Cameron Coward 在为一台售价 7,000 美元的 Procolored UV 打印机安装配套软件和驱动时，其杀毒软件对 Floxif USB 蠕虫病毒发出了警告。安全公司 G Data 的研究人员随后展开的调查发现，恶意程序在 Procolored 官方软件包中至少存在了 6 个月时间。而 Procolored 在收到警告后认为是杀毒软件误报。调查发现，Procolored 至少有六个型号的打印机（F8、F13​​、F13 Pro、V6、V11 Pro 和 VF13 Pro）及其托管在 Mega 文件共享平台上的配套软件含有恶意软件。分析发现 39 个文件感染了恶意程序 XRedRAT 以及窃取加密货币的 SnipVex，其中 SnipVex 使用的钱包地址有约 9,308 个 BTC，价值近 100 万美元。Procolored 承认它可能使用了感染 Floxif 的 U 盘将文件上传到 Mega.nz，相关软件已经下架，并启动了内部调查。

安全公司趋势科技报告，朝鲜黑客组织正使用俄罗斯网络基础设施发动攻击。朝鲜黑客组织 Void Dokkaebi aka Famous Chollima 使用了俄罗斯 Khasan 和 Khabarovsk 两个小镇的两家公司的 IP 地址，Khasan 距离两国边界只有一英里，而 Khabarovsk 与朝鲜也有经济和文化上的渊源。安全研究人员猜测朝鲜可能在两地派遣了 IT 工作人员。Void Dokkaebi 的攻击目标主要是加密货币、Web3 和区块链技术有兴趣的软件工程师，目的是要窃取他们电脑上的加密货币。网络在朝鲜属于稀缺资源，整个国家网络只被分配到 1,024 个 IP 位址。

安全研究员报告，网名 Machine1337 的黑客正在暗网论坛出售包含 8900 万条 Steam 用户记录的数据库。Valve 官网发表声明，称它检查了泄漏的样本，确认不是来自 Steam 系统。黑客出售的数据库主要是 Steam 用户二步验证短信的旧日志。Valve 称短信在传输过程中是不加密的，在发送到手机过程中会路由经过多个服务提供商，因此确定数据来源有点复杂。泄漏的数据没有将手机号码与 Steam 帐户、密码信息、支付信息或其他个人数据关联起来，因此无法用于入侵用户的账号。用户无需为此更改密码或手机号码。

因违反打包政策 openSUSE 项目移除了 Deepin 桌面环境。Deepin 项目通过官方论坛发表声明表示将改进安全响应和修复安全问题。声明称，“过去几年，openSUSE安全团队指出的相关安全隐患，由于社区在安全响应机制上的不足，部分问题未能及时修复。对此，我们向 openSUSE 团队、下游打包者及所有受影响的用户郑重致歉，并承诺以此次事件为契机，全面推进系统性的优化改进。在收到openSUSE团队的声明后，我们已经在第一时间和openSUSE团队及openSUSE的deepin桌面环境的软件包维护贡献者进行了沟通，也将我们后续的改进措施同步到了openSUSE安全团队。”Deepin 项目表示将全面整改。

Shawn the R0ck 写道：“Memory safety 近年来成为热门话题。但在讨论“memory safety”时，我们需要先明确究竟在探讨什么、追求什么目标。你是在关注通过编译器完成静态分析（如 Clang Static Analyzer、rustc 等）来在编译阶段捕获潜在问题，还是更信任编译器让代码顺利编译，通过运行时机制（比如 Go 或 Java 中的垃圾回收）来解决所有问题？或者，你仅仅关注于安全加固的最终目标——即防止系统遭受攻击？内存安全问题的复杂性正反映了安全领域的本质：安全是一门交叉学科，融合了计算机科学和复杂性理论，这使得要完全掌控其复杂性变得异常困难。因此，企图通过单一或者几种 “memory-safe language” 重写现有软件，从而彻底杜绝所有安全隐患，并非现实可行的方案。
一门编程语言在设计时可能就倾向于提供内存安全机制，例如自动垃圾回收、数组边界检查等，这些机制在规范层面上勾画了一个理想状态。但在现实中，不同的实现者会出于需求和性能指标的考虑采取不同的策略。例如，虽然 Lisp 通常配备垃圾回收机制、支持灵活的数据操作和动态类型系统，但这并不意味着所有 Lisp 解释器都能完全消除内存安全问题。如果由于特定需求或追求性能而对部分安全检查作出妥协，那么内存越界或非法指针访问等安全隐患依然有可能出现。
同样，C/C++ 被长期视为“不安全”的语言，因为它允许程序员直接操作内存和执行指针运算。然而，通过严谨的工程化手段（如静态分析工具、严格的代码审查、运行时检测机制等），使得 C/C++ 在特定环境下无限接近无 Bug 状态也是可能的。本文将以 HardenedLinux 过去数十年中在对抗系统复杂性、提升内存安全方面的一些做法为背景进行探讨。总体来看，内存安全不仅关乎编译器或运行时单一环节的责任，而是需要在语言设计、工具支持、工程实践等多方面协同努力，以实现最终“系统不被攻陷”的安全目标。本文不涉足强制访问控制，沙箱，Linux内核加固等议题。”

美国前国家安全顾问 Mike Waltz 使用的修改版 Signal 因可能遭到黑客入侵而暂停服务。TeleMessage 是一家以色列公司，2024 年被一家美国公司 Smarsh 收购。TeleMessage 能访问和存档 Signal 消息。Waltz 因 Signal 泄密事件而备受质疑，他在上周晚些时候被免职，特朗普提名他担任联合国大使。他在上周的内阁会议上被摄像机拍摄到使用 TeleMessage Signal 应用。该应用能捕捉和存档 Signal 通话、消息和已删除内容。匿名黑客声称入侵 TeleMessage 只花了 15 到 20 分钟，称它没有使用端对端加密。

Google Threat Intelligence Group (GTIG)报告，2024 年检测到 75 个 0day，低于 2023 年的 98 个。其中 Windows 最多从 16 个增加到 22 个，Safari 和 iOS 的 0day 从 2023 年的 11 个和 9 个分别降至 3 个和 2 个。Android 7 个和 2023 年持平，Chrome 也是 7 个。Firefox 一个，俄罗斯黑客组织 CIGAR 利用 CVE-2024-9680 针对 Firefox 和 Tor 浏览器窃取用户数据。Google 表示成功追踪了 75 个 0day 中的 34 个，大部分攻击来自政府支持的组织，主要是窃取情报而不是出于经济动机，其中包括中国和朝鲜。

安全研究人员在 4 月 28 日发现一笔价值 3.307 亿美元比特币疑似被盗。黑客从受害者盗取比特币之后立即通过六家即时交易所洗白，兑换成以私密性著称的门罗币（XMR）。如此规模的兑换导致门罗币币值在短时间内上涨了 50%，一度达到 1 XMR 兑换 339 美元。之后币值回落但仍然达到 280 美元左右。研究人员认为这次黑客攻击与朝鲜无关，而是独立黑客所为。门罗币等隐私币的可使用范围远低于比特币等主流加密货币，很多交易所都不再支持隐私币。

俄罗斯安全公司 Dr.Web 披露了针对前线军人的新 Android 间谍软件。该间谍软件会窃取感染设备的联系人信息并跟踪他们的位置。间谍软件隐藏在修改版的地图软件 Alpine Quest 中，该软件的用户包括了在乌克兰前线作战的俄罗斯军人。软件可以显示各种地形图，可以离线或在线使用。植入了间谍软件的 Alpine Quest 通过 Telegram 频道和非官方的 Android 应用库推广。Dr.Web 的研究人员将其恶意模块命名为 Android.Spy.1292.origin 中，它窃取的信息包括：手机号码及其账户、通讯录、当前日期、当前地理位置、存储文件相关信息——如果存在攻击者感兴趣的文件他们会进行窃取。