HackerNews 编译，转载请注明出处： 英国人工智能安全研究所（AI Security Institute）联合国际合作伙伴启动1500万英镑专项研究计划，聚焦人工智能对齐（AI alignment）领域。该项目旨在确保先进AI系统始终按预期目标运作，防止其行为偏离开发者设定的目标、政策与要求。 核心合作方 加拿大人工智能安全研究所、加拿大高等研究院（CIFAR）、施密特科学基金会、亚马逊云服务（AWS）、Anthropic、Halcyon Futures、安全人工智能基金、英国研究与创新署（UKRI）及高级研究与发明署（ARIA）共同参与。 研究紧迫性 英国科技大臣彼得·凯尔（Peter Kyle）指出：“先进AI系统已在部分领域超越人类能力，使该项目变得空前紧迫。人工智能对齐致力于确保系统始终符合人类最佳利益——这正是研究所自成立以来的核心使命：守护国家安全，防范技术演进中AI可能引发的重大风险”。他同时强调：“负责任地发展AI需全球协同努力，此基金将推动AI更可靠、更可信，助力经济增长、优化公共服务并创造高技能岗位”。 AI错位风险分类 故意错位：攻击者操控AI系统实施定向攻击 无意错位：因防护机制缺失导致系统行为失控 具体威胁形态包括： 模型投毒：攻击者篡改训练数据，诱发输出偏见或植入后门 提示注入：恶意指令突破系统防护，实现越狱操控 数据泄露：设计缺陷致AI误披露敏感信息 资源消耗失控：无约束的自我复制行为耗尽系统资源 研究目标 项目将开发创新技术，确保AI系统在能力提升过程中保持目标一致性，增强透明度及人类监管有效性。此举回应了AI自主性日益增强背景下，全球对系统可控性的迫切需求。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 零日计划（Zero Day Initiative）宣布在2025年10月爱尔兰Pwn2Own黑客大赛中设立100万美元专项奖金，悬赏能演示WhatsApp零点击漏洞利用的安全研究人员。该奖金针对无需用户交互即可在WhatsApp上实现远程代码执行的高危漏洞。该通讯平台全球用户超30亿，漏洞潜在影响范围极大。 本届赛事由Meta、群晖科技（Synology）与威联通（QNAP）联合赞助，定于10月21日至24日在爱尔兰科克举行。零日计划在声明中明确表示：“Meta对本届赛事联合赞助充满期待，特别设立100万美元奖金激励零点击漏洞利用演示。同时设立次级奖项覆盖其他WhatsApp漏洞利用形式，详情请查阅‘消息应用’类别规则。去年此类挑战无人尝试，希望今年翻倍的奖金能激发参与热情。” 1、八大攻击目标类别： 移动设备（含三星Galaxy S25、谷歌Pixel 9、苹果iPhone 16旗舰机型） 消息应用（WhatsApp为重点目标） 家用网络设备 智能家居设备 打印机 网络存储系统（NAS） 监控设备 可穿戴技术（含Meta雷朋智能眼镜及Quest 3/3S头显） 2、攻击向量扩展： 移动设备类别新增USB端口攻击路径，要求参赛者通过物理连接突破锁屏手机；同时保留Wi-Fi、蓝牙、近场通信（NFC）等传统无线协议攻击方式。 参赛顺序通过随机抽签决定，注册截止时间为10月16日爱尔兰标准时间下午5时。 漏洞披露机制 参赛者演示的漏洞将在赛事结束后移交厂商，90天内未修复的漏洞由零日计划公开披露。2024年爱尔兰Pwn2Own大赛曾为70余个零日漏洞颁发107.8万美元奖金，越南Viettel安全团队因攻破QNAP存储设备、Lexmark打印机等目标获得20.5万美元奖金。       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 澳大利亚宣布自12月起禁止16岁以下未成年人注册YouTube账号。总理安东尼·阿尔巴尼斯表示，YouTube将被纳入需验证用户年满16岁才能注册的社交媒体平台范畴。2024年11月，澳大利亚众议院已通过法案，禁止16岁以下人群在Facebook、Instagram、Snapchat、TikTok及X平台创建账户。 该禁令旨在遏制社交媒体对青少年身心健康的多重负面影响，包括社交孤立、睡眠障碍、行为成瘾及生活满意度降低。阿尔巴尼斯总理强调：“我希望孩子们放下电子设备，走向足球场、游泳池和网球场。他们需要真实的人际互动体验，因为社交媒体正在造成社会伤害。” 本周三（7月30日），通讯部长安妮卡·威尔斯发布新规，明确界定“限制年龄的社交媒体平台”范围。此前被豁免的YouTube此次被正式列入需验证用户年龄的平台名单。威尔斯援引政府研究数据称：“证据表明，近四成澳大利亚儿童报告称最近受到的网络伤害来自YouTube。保护儿童网络安全是不可妥协的底线，我们不会被法律威胁所震慑。”她同时透露，违规平台将面临最高4950万澳元罚款，新规将于12月10日生效。 YouTube发言人回应称：“政府的决定推翻了此前明确公开承诺的‘YouTube不受禁令约束’立场。我们与政府减少网络危害的目标一致，但坚持认为YouTube是提供高质量内容的视频分享平台而非社交媒体。我们将评估后续行动并保持沟通。” 该禁令引发全球多国关注：挪威正考虑对15岁以下群体实施社媒禁令；法国与丹麦更倾向推动欧盟统一监管；英国仍在权衡禁令可行性。澳大利亚也成为全球首个将YouTube纳入未成年人禁令范围的立法国家。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯以国家安全威胁为由，封禁了美国公司Ookla开发的流行网速测试工具Speedtest，声称该服务可能助长网络攻击。该国通信监管机构Roskomnadzor（俄罗斯联邦通信、信息技术和大众传媒监督局）表示，封禁源于对俄罗斯通信基础设施及主权互联网Runet的安全担忧。 该机构指控Speedtest收集的详细数据可能被恶意利用。“这家美国公司获取俄罗斯通信节点布局和容量数据，”Roskomnadzor向当地媒体声明称，“这些数据可用于策划、实施及评估针对俄罗斯网络及相关系统的攻击。” Speedtest在俄罗斯被广泛使用，包括电信运营商用于内部分析。但该机构指出，这家美国平台此前未能遵守俄罗斯数据法律。Ookla因未按当地法律要求将俄罗斯用户数据本地化存储，在2022年及2023年连续两年被处以罚款。 作为替代方案，Roskomnadzor建议用户转向国产应用ProSet。这款由政府关联机构开发的安卓工具可测量数据速度、移动信号强度和网络可用性。目前其普及度有限：过去一年下载量仅约2万次，在俄罗斯应用商店Rustore平均评分2.9分（满分5分），用户对其性能、准确性和可靠性差评如潮。 周三早些时候，故障追踪服务Downdetector报告Speedtest服务中断的投诉激增。Downdetector于2018年被总部位于西雅图的Ookla收购。俄罗斯现正使用该服务的本地托管版本来追踪影响国家服务的故障。截至发稿，Ookla未回应置评请求。 此举正值俄罗斯多个地区移动网络持续中断且网速下降之际，也反映政府正加大力度用国产技术替代外国产品，并加强对俄互联网的控制。 今年6月，美国基础设施公司Cloudflare报告称，俄罗斯互联网提供商已开始屏蔽使用其服务的网站。虽未获官方解释，但Cloudflare表示该限制符合莫斯科孤立其数字基础设施的战略。 据报道，俄当局正考虑封禁该国最普及的通讯应用WhatsApp，同时推广名为Max的国产替代品（目前处于测试阶段），旨在打造类似中国微信的国家级通讯平台。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 停业逾一年后，加密货币平台FTX日本被曝泄露超3.5万名用户的个人及财务数据。 与已停止运营的FTX日本平台相关联的Amazon S3存储桶发生数据暴露，揭示该交易所虽已正式终止运营多年，但后台基础设施可能仍在运行并泄露超3.5万用户信息。该存储桶于2025年5月12日被发现，内含超2600万份文件，包括HTML格式的财务报告、日志记录及最新生成于2024年7月4日的用户数据。 泄露数据表明，在该平台履行完客户提现义务且被认定已完全关闭后，与其关联的自动化报告系统仍长期保持运行状态。 该交易所最初以Liquid by Quoine名义运营，是日本首批获得加密监管许可的平台之一。2022年被声名狼藉的FTX收购，不久后FTX全球崩盘，创始人Sam Bankman-Fried因欺诈罪获刑25年。 FTX日本因隔离了客户资金，得以在2022年11月FTX破产后仍向用户返还余额。该流程于2023年初完成，此后FTX日本预计将逐步关闭。 哪些数据遭暴露？ 此次泄露揭示出高达35,668个独立用户标识符，按电子邮箱或Auth0用户ID（身份验证系统标识符）分类。暴露的报告包含敏感财务数据，例如： 用户名及真实姓名 电子邮箱地址 居住地址 FTX账户ID 详细交易日志，包括借贷历史记录、加密货币类型、抵押品种类、保证金率及风险标识符 部分报告还包含账户状态指标，如清算警告和保证金风险触发值，引发对攻击者可能从数据中获取洞察程度的担忧。 尽管FTX日本在2022年11月全球FTX崩盘数月后，于2023年2月正式完成客户提现，但新曝光的文件表明其后台流程（如自动化报告）持续运行至2024年。2024年FTX日本被另一加密货币交易所bitFlyer收购并更名为Custodiem，新所有者原计划将FTX日本客户账户迁移至bitFlyer基础设施。 “尚不确定此次泄露属于Custodiem正在使用的基础设施，还是FTX崩盘后遗留的未修改废弃系统，”Cybernews研究团队解释称，“因此也无法明确这些个人数据属于Custodiem用户，还是拒绝在崩盘后迁移至Custodiem的FTX日本客户。” 数据泄露同时引发隐私与合规担忧。根据日本法律，加密货币交易所必须遵守严格的网络安全及数据保护标准。敏感数据长期暴露且缺乏保护，可能构成对国内外数据保护标准的严重违反。 由于以下原因，FTX日本或当前负责基础设施的实体可能违反数据保护法： 不当数据留存 停业后未停用系统 缺乏数据匿名化或加密措施 对个人身份信息（PII）及财务记录的保护不足 Cybernews已就数据泄露事件联系该公司，但截至发稿未获回应。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 隐私与安全专家纷纷提出批评，用户则蜂拥使用VPN。可以确定的是，英国新推行的年龄验证规定正在该国引发激烈争议。但一位专家向Cybernews表示，这很可能标志着一个新现实的开端。 自7月25日起，数千家托管成人内容的网站（包括TikTok、Reddit和X等主流平台）已根据新颁布的《在线安全法》为英国用户引入更严格的控制系统。 该法律强制平台在允许用户访问有害内容前验证其是否年满18岁，这些内容涵盖从色情到涉及自残和网络欺凌的帖子。 尽管英国用户正争相下载VPN应用（这类工具通常用于规避威权国家或独裁政体的审查，或逃避美国阿拉巴马州等地的成人网站禁令），但专家以及Pornhub等网站正就所谓的在线隐私与安全威胁发出警告。 “我们坚信，正确实施的年龄验证能让互联网成为对所有人更安全的空间。遗憾的是，立法者执行这些新法律的方式不仅低效，还将用户隐私置于风险之中，”Pornhub在介入法律争议时表示。 法律或具合理性 英国政府则立场坚定，表示这部正式名称为《在线安全法》的新规不容谈判。 网络安全公司Immuniweb首席执行官Ilia Kolochenko博士告诉Cybernews，他认为新规将长期存在，VPN注册量的激增不会改变这一趋势。“尽管对新规的最终效率和效果存在诸多分歧，但我们或许需要接受它已成为新现实——这很快将成为许多国家的新常态，”Kolochenko表示。 英国媒体监管机构Ofcom公开宣称，更严格的年龄检查将使儿童更难接触网络有害内容，且这些措施受到公众广泛支持。最关键的因素当然是儿童保护。Kolochenko指出，保护未成年人免受有害内容和性犯罪者侵害存在迫切需求，这些犯罪者正积极利用成人网站寻找新的未成年受害者。“确实，保护未成年人可能需要我们在隐私方面做出妥协——前提是措施得到妥善实施。例如，在不向第三方年龄验证服务泄露浏览历史或身份证件的前提下，强制年龄验证机制可能具有合理性，”该专家认为。 VPN漏洞或将封堵 目前，VPN（掩盖用户真实位置的工具）确实为英国居民提供了规避途径。例如，开发多款热门VPN应用的瑞士公司Proton透露，过去几天英国用户日注册量激增1800%。 然而，即使使用VPN看似是绕过限制的简便方法，这些服务也可能遭禁或选择性干扰——去年夏季土耳其已出现此类情况。“我们可能很快会看到额外立法，要求成人网站禁止VPN流量，”Kolochenko告诉Cybernews。“当然，部分VPN仍可隐匿行踪。但约90%的主流免费及商用VPN服务可被识别指纹，成人内容提供商很可能将其封锁，从而堵住这一漏洞。” 诚然，存在更复杂的方式可欺骗升级后的年龄验证系统。例如，有网络反抗者创建网站，利用当地议员姓名和照片生成虚假驾照；也有人可能尝试深度伪造技术。但问题在于：其一，使用虚假证件可能导致身份盗窃和欺诈等严重法律后果；其二，Kolochenko认为，在当前保护儿童免受网络有害内容侵害的背景下，深度伪造的可能性并非核心问题。“极少有儿童能掌握这种技术，而不愿透露身份信息的成年人仍可选择匿名——这不会对任何人造成伤害，”Kolochenko解释道。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 法国领先的电信运营商Orange（业务覆盖非洲和中东地区）确认，其正在处理一起网络攻击事件。 这家互联网服务提供商（ISP）在7月28日发布的公开声明中表示，其网络安全部门Orange Cyberdefense（OCD）于7月25日检测到公司系统内存在恶意入侵。 该公司的安全团队迅速隔离了系统中可能受影响的区域。这些措施导致多项服务中断，尤其影响了一些Orange企业客户的管理平台以及法国境内的消费者服务。 然而，该公司声明，没有企业或客户数据遭到泄露。 “我们的团队已经识别出解决方案并正在实施，在加强监控的前提下，这将使我们能够在7月30日上午逐步恢复主要受影响的服务，”声明补充道。 该公司已向法国相关主管部门投诉，并正与这些部门合作修复系统。 Orange是法国最大的电信公司，在26个国家作为互联网服务提供商运营，并在220个国家提供商业服务。其年收入为403亿欧元（合46.5亿美元）。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国《在线安全法》新规实施后，VPN使用量激增，维基百科发起法律诉讼。7月25日生效的严格年龄验证制度正引发连锁反应：瑞士VPN服务商Proton报告称，新规实施后英国用户注册量单日暴涨1800%。英国用户通过VPN将IP地址伪装成他国以规避限制，此举使政府提升儿童网络安全的计划面临挑战。 该法案强制 TikTok、Reddit、X 等含成人内容的平台实施年龄验证，用户需提供身份证或信用卡信息方可访问涉及色情、自残及网络霸凌的内容。违规企业将面临最高1800万英镑（约2400万美元）或其全球营收10%的罚款（以较高者为准），企业高管可能承担刑事责任。 隐私风险引发民众抵制。请愿撤销该法案的联署一周内超28万人签署，触发政府必须回应的法律程序。成人平台Pornhub警告：“验证系统收集高敏感数据，将大幅增加信息泄露风险”。网络安全专家同时指出，部分VPN服务商存在记录用户数据、倒卖浏览历史的行为，甚至可能被黑客利用作为流量跳板。 维基百科的诉讼成为焦点。英国通信管理局拟将其列为“一类服务”，要求实施用户年龄验证、编辑身份认证及删除模糊定义的“有害内容”。维基媒体基金会称此举将威胁平台核心原则：年龄验证可能阻碍敏感议题编辑，身份认证或危及志愿者安全。7月22日至23日伦敦皇家法院已审理此案，若维基百科最终拒绝合规，其在英国的服务可能被全面封锁。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国民主党参议员玛吉·哈桑（Maggie Hassan）正就东南亚犯罪集团滥用SpaceX星链技术实施诈骗事件，要求埃隆·马斯克作出回应。哈桑在7月28日致马斯克的信中，要求SpaceX说明“防止星链技术被用于跨国诈骗的具体措施”。 据《连线》杂志调查，缅甸境内至少有8个诈骗据点使用星链设备。在约三个月内，这些据点内的移动设备累计连接星链网络超4万次。这些犯罪中心遍布东南亚，尤其集中在柬埔寨和缅甸，通过人口贩运迫使数千名劳工实施“杀猪盘”等网络诈骗——即诈骗者与受害者建立关系后骗取钱财。2023年，此类诈骗在全球造成数百亿美元损失，仅美国受害者损失就达35亿美元。 泰国政府曾尝试切断缅柬边境诈骗据点密集区域的电力与互联网，但联合国毒品和犯罪问题办公室4月报告指出，犯罪集团已转向星链技术规避封锁。哈桑在信中强调：“尽管SpaceX声称会调查并停用违规设备，但从未公开承认东南亚诈骗集团滥用星链的事实，也未说明采取何种应对措施。”她援引联合国报告指出，SpaceX本可通过‘地理围栏’技术限制特定地区的服务访问权限，但该公司是否在东南亚实施该措施尚不明确。 哈桑要求SpaceX在8月18日前回应四项关键问题：是否知悉东南亚犯罪集团滥用星链的报道；是否制定限制服务访问的政策；是否针对设备滥用或第三方非法分销采取行动；以及收到多少起涉及该地区诈骗网络的投诉。截至发稿，SpaceX未对此作出回应。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 俄罗斯国家航空公司俄航（Aeroflot）因遭遇严重网络攻击，7月28日被迫取消数十架次航班，导致全球面积最大国家的航空运输网络陷入混乱。两个亲乌克兰黑客组织声称实施了此次瘫痪性攻击。 克里姆林宫发言人德米特里·佩斯科夫表示：“公开信息显示的情况令人担忧，黑客威胁是所有面向公众服务的大型企业持续面临的隐患。”检方已确认系统中断源于网络攻击并启动刑事调查。 资深议员安东·戈列尔金称俄罗斯正遭受数字攻击：“我们必须意识到针对我国的战争已在所有战线展开，包括数字领域。不排除宣称对此负责的‘黑客活动分子’受非友好国家指使。”另一名议员安东·涅姆金则要求调查人员必须追查攻击者及“导致系统性防护失职的责任方”。 俄航未透露系统恢复时间，但莫斯科谢列梅捷沃机场的航班信息屏在旅游旺季期间因航班取消而大面积飘红。截至格林尼治时间13时，该公司股价下跌3.9%，超过大盘1.4%的跌幅。 自称“沉默乌鸦”的黑客组织发布声明称，此次行动是与白俄罗斯网络游击队联合实施——后者是反对总统卢卡申科、宣称要解放白俄罗斯的反独裁黑客团体。声明以“乌克兰万岁！白俄罗斯自由永存！”结尾，而白俄罗斯网络游击队官网宣称：“我们正协助乌克兰对抗侵略者，通过对俄航的网络攻击瘫痪俄罗斯最大航空公司。”乌克兰当局暂未回应此事。 “沉默乌鸦”此前曾宣称对今年多起攻击事件负责，包括入侵俄罗斯不动产数据库、国有电信公司、大型保险企业、莫斯科政府IT部门及韩国起亚汽车俄罗斯办公室，部分攻击导致大规模数据泄露。 俄航通报信息系统故障后，已取消40余架次航班（多为国内航线，含明斯克和埃里温国际航线）。谢列梅捷沃机场实时离港信息屏显示另有数十架航班延误。公司声明称：“技术人员正全力减轻对航班时刻表的影响并恢复系统运作。” “沉默乌鸦”与白俄罗斯网络游击队的联合声明指出，此次网络攻击是持续一年的渗透行动成果：已深度侵入俄航网络，摧毁7000台服务器，并掌控包括高管在内的员工个人电脑。他们公布了据称来自俄航内部的目录截图，威胁将很快泄露“所有曾搭乘俄航的俄罗斯公民个人信息”以及截获的员工通话记录与邮件。 自2022年2月俄乌冲突爆发以来，俄罗斯旅客已习惯因无人机袭击导致机场临时关闭引发的航班中断。尽管俄罗斯企业和政府网站常遭零星黑客攻击，但本次事件因波及范围广且涉及旗舰航司，可能成为最具破坏性的案例。 前俄航飞行员、航空专家安德烈·利特维诺夫向路透社表示：“这是场严重灾难。航班延误尚可忍受，但国有企业的损失将是巨大的。若所有通信记录和公司数据全部泄露，可能引发长期后果……先是无人机袭击，现在又从内部引爆危机。” 乘客在社交网络VK宣泄愤怒，抱怨航司信息不透明。用户Malena Ashi写道：“我在伏尔加格勒机场苦等5小时！航班已第三次改期！最新通知14:50起飞，可原计划是5:00啊！”另一名用户尤利娅·帕霍塔质疑：“客服电话不通、网站瘫痪、APP失效，我该如何退票或改签？” 俄航表示系统恢复后将立即为受影响乘客办理退款或改签，并正协调其他航空公司协助转运。尽管西方制裁大幅限制了俄罗斯的航空出行范围和航线，但据官网数据显示，俄航去年客运量达5530万人次，仍位居全球航空公司前20强。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文