上周曝光的 Trellix 源代码库遭攻击事件，已被威胁组织勒索屋（RansomHouse）认领，该组织泄露了一组少量图片作为入侵证据。 昨日，该威胁行为者在其数据泄露网站上发布了截图，显示能够访问这家网络安全公司的设备管理系统。然而，BleepingComputer 无法证实这些数据的真实性。 Trellix 是一家国际网络安全公司，客户包括全球财富 100 强企业。2025 年，该公司在 185 个国家拥有超过 5.3 万名客户和 3500 名员工。...

安全研究人员披露了 Linux 内核中一个尚未修复的新漏洞，代号为 “Dirty Frag”。该漏洞可让无特权的本地用户在大多数主流 Linux 发行版上获取完全的 root 权限， “Dirty Frag” 与 “Dirty Pipe” 系列漏洞相关，但独立于 “复制失败”（Copy Fail）缓解措施，这意味着已应用 algif_aead 黑名单的系统仍完全暴露在风险中。...

波兰国内安全局（ABW）记录显示，2024 年至 2025 年间，针对工业控制系统（ICS）及其他运营技术（OT）基础设施的网络攻击显著升级，国家支持的威胁行为者愈发倾向于对关键服务进行实质破坏。 2025 年 8 月，一位波兰官员透露，一场网络攻击险些导致一座城市供水中断，但该攻击最终被挫败，当时未公布相关技术细节。 波兰国内安全局的新报告（波兰语撰写）提供了更多该国水行业此类攻击的信息。...

据数据泄露通知服务平台 “我是否被入侵”（Have I Been Pwned）消息，入侵西班牙快时尚零售商 Zara 数据库的黑客，窃取了超过 19.7 万名顾客的数据。 Zara 在全球拥有 1500 多家公司直营和特许经营门店，是全球最大的时尚分销集团之一 Inditex 集团的旗舰品牌。Inditex 集团还拥有 Bershka、Zara Home、Oysho、Pull&Bear、Massimo Dutti、Stradivarius 和 Uterqüe...

NVIDIA 在给 BleepingComputer 的一份声明中证实，GeForce NOW 用户信息在一次数据泄露事件中被曝光。 这家游戏与硬件巨头澄清称，受影响范围仅限于亚美尼亚，事件起因是其一家区域合作伙伴运营的基础设施遭到破坏。 该公司还补充表示，自身网络未受此次事件影响。...

链接：https://arxiv.org/html/2604.25486v1 一、核心问题：分词歧义让隐写 “一错全错”

生成式语言隐写靠大模型生成文本，把秘密信息藏在 token 选择中。但 BPE 等子词分词存在歧义：同一段文字，发送端和接收端可能分出不同 token 序列。

只要出现一次分词不匹配，就会导致收发状态失同步，...

消息来源：securityaffairs.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

澳大利亚网络安全中心（ACSC）向各组织发出警报，一场正在进行的恶意软件攻击活动，正利用 ClickFix 社会工程技术来分发 Vidar Stealer 信息窃取恶意软件。

ClickFix 是一种社会工程攻击技术，诱使用户执行恶意命令，...

消息来源：bleepingcomputer.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

消息来源：bleepingcomputer.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...