HackerNews 编译，转载请注明出处：


由于提交的漏洞数量不断增加，导致工作量日益繁重，美国国家标准与技术研究院（NIST）将停止对低优先级漏洞评定严重程度分数。

从 4 月 15 日起，该机构的相关服务仅针对符合特定风险标准的安全问题进行分析，...

一款出现在苹果App Store的恶意macOS版Ledger Live应用本月短短数天内从50名受害者处盗取约950万美元加密货币。 下载假冒Ledger应用的用户被诱骗输入助记词/恢复短语，从而给予攻击者对其钱包的完全访问权限，允许攻击者将数字资产发送至其控制的地址。 据区块链调查员ZachXBT称，攻击者使用多个钱包地址在比特币、以太坊、波场、Solana和瑞波等多个链上接收资金。...

Rockstar Games遭遇数据泄露，与Anodot近期安全事件相关，ShinyHunters勒索团伙现已在数据泄露网站上公布被盗数据。 威胁行为体声称，数据是利用Anodot安全事件中窃取的认证令牌从Snowflake环境获取的。他们现已发布据称包含7860万条记录的Rockstar Games数据。 ShinyHunters勒索网站上的一则 listing 写道："感谢Anodot.com，你们的Snowflake实例指标数据已被入侵。"...

OpenAI周五披露，其是受近期Axios供应链攻击影响的众多组织之一，网络安全专家将该攻击归因于朝鲜黑客。 Axios是广泛使用的开源JavaScript HTTP客户端库，用于Web和Node.js应用发起请求。其每周下载量超过1亿次，是无数开发者项目和生产系统的依赖项。 3月底，攻击者入侵Axios首席维护者的NPM账户，发布两个恶意NPM包，设计用于下载并执行可在Windows、macOS和Linux上运行的跨平台远控木马。恶意包仅上线数小时即被检测并移除，但许多组织可能已受影响。...

HackerNews 编译，转载请注明出处： 漏洞利用时间现已降至负七天，自主AI代理加速威胁，数据不再支持渐进式改进。防御架构必须改变。 领导者须知...

HackerNews 编译，转载请注明出处： RSAC研究人员发现一种高成功率绕过苹果Apple Intelligence AI安全协议的方法。 Apple Intelligence是深度集成于iOS、iPadOS和macOS的个人智能系统，结合生成式AI与个人上下文。它主要通过紧凑的端侧大语言模型在苹果芯片上直接处理任务，利用用户独特上下文（消息、照片和日程）为系统级写作工具和Siri等功能提供支持。对于更复杂的推理，...

HackerNews 编译，转载请注明出处： 广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。 微软Defender安全研究团队今日发布的报告中表示："该缺陷允许同一设备上的应用绕过安卓安全沙箱，获取私有数据的未授权访问。"...

HackerNews 编译，转载请注明出处： 马萨诸塞州布罗克顿的Signature Healthcare医院在遭受网络攻击导致严重中断后，被迫分流救护车。 Signature Healthcare运营着拥有200张床位的布罗克顿社区医院，以及雇佣150多名医生、遍布15个地点的Signature医疗集团。...

HackerNews 编译，转载请注明出处： 多伦多大学研究团队开发出一种名为GPUBreach的新型攻击，可通过在GPU GDDR6内存上诱导Rowhammer位翻转来提升权限，最终导致系统完全沦陷。 GPUBreach的完整细节将于4月13日在奥克兰举行的IEEE安全与隐私研讨会上公布。...

HackerNews 编译，转载请注明出处： 人工智能公司 Anthropic 表示，其意外泄露了 Claude Code 的源代码，该代码本为闭源。不过公司称，没有客户数据或凭证因此暴露。 尽管 Anthropic 承诺支持开源社区，但 Claude Code 一直保持闭源状态，至少在今天之前是如此。今天的一次更新意外包含了内部源代码。...