安全
关注网络安全、软件供应链安全等领域的最新技术、理念的发展和实践
AI Agent 是长期运行的“风险系统”,如果你还只在防 Prompt Injection,说明已经落后一代了
CyberArk 如何通过指令检测与历史感知校验机制保护 AI Agent。
在美国法律管辖权受到质疑之际,亚马逊云科技推出了欧洲主权云服务
亚马逊云科技(AWS)已将其欧洲主权云服务(European Sovereign Cloud)推向全面可用,该服务在物理和逻辑上分离的基础设施上投资了 78 亿欧元。该服务现已在德国勃兰登堡州提供,旨在应对欧洲的监管要求以及对美国访问数据的日益增长的地缘政治担忧。尽管 AWS 强调,该云服务将完全由欧盟居民在新的德国母公司结构下运营,但关于这种分离是否真的能抵御美国政府的数据请求,仍存在重大疑问。
揭秘 Uber 跨区域数据湖与灾难恢复机制:350PB 数据、数百万事件、单一系统
Uber 构建了 HiveSync,这是一个分片式批量复制系统,能够使 Hive 和 HDFS 数据在多个区域之间保持同步,它每天处理数百万个 Hive 事件。
解决移动分析碎片化困局:Uber 的平台引领之道
为了标准化 iOS 和 Android 平台的事件工具,Uber 工程团队重新设计了其移动分析架构,解决了所有权分散、语义不一致和跨平台数据不可靠的问题。
Cloudflare 通过左移安全实践扩展基础设施即代码
Cloudflare 通过实施基础设施即代码和自动化策略执行,消除了数百个生产账户中的手动配置错误,每天处理大约 30 个合并请求,并在部署前而不是事件发生后捕捉安全违规。
测试人员可以做些什么来确保软件安全
Sara Martinez 在 Online TestConf 上的演讲“确保软件安全”中说到,一个安全的软件开发生命周期意味着将安全融入到计划、设计、构建、测试和维护各个阶段,而不是在最后阶段才匆忙添加。
InfoQ Dev Summit 慕尼黑站:五个常见的 AI 安全误区被打破
Jarmul 指出,当前的 AI 安全方法过度依赖技术手段,却忽视了根本性风险。
Cloudflare 被 React 坑了!两周内二次“翻车”:沉睡 15 年的老代码一招 KO 全球互联网,安全升级反酿史诗级宕机
Cloudflare 又双叒宕机了
25000 美元卖公司内部截图,丢了饭碗还要吃牢饭!大厂百万年薪抢招“内鬼分析师”,围剿下一个“自己人”
全球大厂抢着招“内鬼分析师”?
Anthropic 研究发现:仅需少量污染文档即可对 LLM 实施投毒
Anthropic 发布针对大语言模型训练过程投毒的研究,发现决定攻击成功与否的主导因素是污染样本的绝对数量,而非占比。
Pixnapping:侧信道漏洞使安卓应用可窃取敏感屏幕数据
安卓设备上出现了一种新的攻击类型,允许恶意应用使用一种名为像素窃取的技术从其他应用的屏幕上窃取信息,这种攻击被称为 Pixnapping。它利用了之前已知的侧信道漏洞,几乎所有的应用都受到了影响,包括 Signal、Google Authenticator、Venmo 等。
HashiCorp 警告称传统密钥扫描工具日渐落伍
HashiCorp 发出了警告,称传统的密钥扫描工具未能跟上现代软件开发的现实情况。
OPPO 发布多项新举措完善开发者生态与安全体系
OPPO 发布了全新的“OPPO 隐私安全智护体系”,并宣布对平台的开发者合作策略进行升级,包括向个人开发者开放应用上传权限、上线“一键出海”等新功能。
GitHub 新增后量子 SSH 密钥交换算法,保障 Git 数据传输安全.
,GitHub 推出了一种后量子安全密钥交换混合算法,用于通过 SSH 访问 Git。新算法名为 sntrup761x25519-sha512(又名 sntrup761x25519-sha512@openssh.com),融合了精简版 NTRU Prime(一种后量子加密方案)和经典曲线算法 X25519。这一调整旨在防范未来量子计算机破译当前记录的 SSH 会话,从而保障 Git 数据安全。
GitHub 新增后量子 SSH 密钥交换算法,保障 Git 数据传输安全
GitHub 推出了一种后量子安全密钥交换混合算法,用于通过 SSH 访问 Git。新算法名为 sntrup761x25519-sha512(又名 sntrup761x25519-sha512@openssh.com),融合了精简版 NTRU Prime(一种后量子加密方案)和经典曲线算法 X25519。这一调整旨在防范未来量子计算机破译当前记录的 SSH 会话,从而保障 Git 数据安全。
AI 安全新范式:京东 JoySafety 开源项目深度解析
京东于 2025 年 9 月 25 日在京举办的 JDD 大会上正式开源了大模型安全项目——JoySafety。该项目已在京东内部广泛应用,覆盖 AI 导购、物流客服、医疗问诊等数百个场景,日均调用量达亿级,攻击拦截率超过 95%,致力于为企业提供一套高效、免费、可落地的安全防护体系。
Anthropic 公布 Claude 性能问题根源:三大基础设施漏洞
Anthropic 近日发布故障报告,揭示近期 Claude 模型输出质量间歇性下降的根源在于三个独立的基础设施漏洞。Anthropic 表示目前已解决所有问题,且在改进内部流程以防类似事件发生。
你给 AI 智能体的权限,正被黑客利用,OWASP 警告:真正的危机才刚刚开始
OWASP 将“工具滥用”列为自主智能体 AI 的关键威胁。
ARMO 研究揭示:io_uring Rootkit 技术可绕过 Linux 安全工具
ARMO 的安全研究人员发现了 Linux 运行时安全工具中的一个重要漏洞,这个漏洞源于 io_uring 接口,这是一种异步 I/O 机制,可以完全绕过传统的系统调用监控。研究表明,攻击者可以利用这个盲点在大多数现有安全解决方案无法检测到的情况下进行操作。
谷歌开源秘钥扫描工具 Veles
谷歌开源秘钥扫描工具 Veles,属于谷歌 OSV-SCALIBR(软件成分分析库)生态系统的一部分。
构建面向大模型的安全治理体系和应用实践
随着大模型技术的飞速发展和广泛应用,其带来的安全风险也日益凸显。传统的安全防御体系在应对大模型所引发的全新挑战时,正面临着巨大的压力。
供应链安全:来源工具正在成为开发者平台的标准配置
随着组织寻求保护其供应链免受篡改的方法,并遵守 SLSA 等新兴标准,软件来源正获得新的重要性。在最近的一篇博客文章中,HashiCorp 强调了其 HCP Packer 服务如何捕获构建元数据和 SBOMs,以支持软件构件供应链安全级别(SLSA) 1 级合规性。
NASA 是如何测试航天飞机和猎户座 MPCV 的软件的
美国国家航空航天局(NASA)通过使用多重测试级别、独立验证、标准化、安全社区和工具来确保安全性。
Kubernetes 引入后量子支持的 TLS
Kubernetes 推出重要增强功能,旨在为集群安全抵御量子计算威胁奠定基础。
微盟与腾讯云深化技术合作,构建私域多活架构与全链路防护体系
小程序成私域消费核心渠道,其安全保障也备受关注。
大模型安全挑战与实践:构建 AI 时代的安全防线
在 InfoQ 举办的 QCon 全球软件开发大会(北京站)上,京东信息安全部 AI 安全负责人 Sunny Duan 带来了题为《大模型安全挑战与实践:构建 AI 时代的安全防线》的演讲,她介绍了大模型安全领域的关键风险,以及京东利用大模型对安全场景的赋能及实践。
Have I Been Pwned 2.0 添加了新的数据泄露监控工具
在接受 InfoQ 采访时,Hunt 强调自动化、家庭账户注册和改进的企业工作流程是接下来的重点,同时呼吁整个行业加强泄露披露的规范。
大模型狙击黑产:挚文集团社交生态攻防实战全揭秘
大模型在面向生态对抗性问题中的解决方案
GitHub 遭入侵凸显 CI/CD 供应链风险
数千个代码库使用的一个流行 Github 动作最近出现了安全风险,暴露了开源 Actions 在发布和使用方式上的严重缺陷。
GitHub 如何利用 CodeQL 保障代码安全
GitHub 通过开发 CodeQL 工具大规模检测和修复漏洞,保障代码安全,并分享方法供其他组织学习。
