如果您的 AI 编程助手会被诱骗窃取您自己公司的机密——仅凭阅读一份精心埋设陷阱的 bug 报告？无需钓鱼邮件，无需恶意软件，也无需窃取任何密码。AI 只是完全按照指令行事。 与此同时，某位自称“Nightmare Eclipse"的人决定给微软上一课。结果？三个零日漏洞被发布到互联网上，其中之一让小偷仅凭一个 USB 驱动器就能绕过 BitLocker。微软对此极为愤怒。 此外，不要错过我们对 Proton Pass 的 Son Nguyen Kim 的专题访谈，他解释了为何在未加深思的情况下将 AI 代理接入您的电子邮件和日历，无异于雇佣一名掌握所有钥匙的新员工却跳过背景调查。 本期“Smashing Security"播客第 472 集，由网络安全专家及主题演讲嘉宾 Graham Cluley 主持，特邀嘉宾为 Paul Ducklin，内容涵盖上述所有亮点及更多。

美国缅因州已将其公共数据泄露通知门户下线，原因是有人提交了冒充两家知名科技公司的虚假泄露披露。

阿根廷世界杯阵容的护照号码在开球前就已泄露——并非黑客所为，而是有人未能正确删除文件中的敏感信息所致。此类失误在过去已多次发生……

大多数勒索团伙躲在键盘背后。沉默勒索团伙会致电您的员工，冒充 IT 支持人员；若此法无效，便会派人亲自前往您的办公室，插入 USB 驱动器。 请在我的 Fortra 博客文章中阅读更多内容。

多伦多大学的研究人员构建了一种能够自主思考的蠕虫。它利用免费的现成 AI 模型，自行分析如何入侵遇到的每一台新计算机，并劫持功能强大的机器以托管其自身的 AI 大脑。随后，研究人员发现，其创造物已悄然移除了它本不应攻击的机器列表。 与此同时，Meta 推出的全新 AI 客服助手正愉快地协助黑客窃取他人的 Instagram 账户。只需礼貌而坚定地反复要求将密码重置链接发送至不同的电子邮件地址，该 AI 最终便会同意。 以上及其他更多内容，尽在第 471 期《Smashing Security》播客，本期嘉宾为网络安全专家及主题演讲者 Graham Cluley，以及特邀嘉宾 James Ball。

大西洋两岸的学校近日接连遭到黑客攻击，这提醒我们，勒索软件团伙将教育机构视为全年无休的攻击目标。

如果您曾收到过 LinkedIn 上来自招聘人员的突发消息，提供高薪咨询工作，情报机构要提醒您：务必小心。

黑客正通过利用 Meta 的 AI 支持聊天机器人，大规模劫持 Instagram 账户。而更糟糕的是，该技术完全无需任何技术技能。 请阅读我在 Fortra 博客上的相关文章以获取更多信息。

一个名为"UK 签证门户”的网站一直在静默收集数千名旅客的护照扫描件、自拍及个人数据，而这些旅客误以为他们是通过官方渠道申请。事实并非如此。当一名记者试图向该公司发出警告时，回应他们的却是律师。 与此同时，康奈尔大学的一份论文指出，提示注入（prompt injection）——恶意行为者用来诱使 AI 代理执行其本不应执行的操作的技术——可能在根本上是无解的。这真是……尴尬，因为所有人都在争先恐后地将 AI 代理接入电子邮件、文件系统和企业网络。 此外，不要错过我们与 CoreView 的 Andrea Sivieri 的专题访谈，他向我们讲述了黑客如何能够将整个组织锁定在 Microsoft 365 环境之外……而无需诱骗您运行任何恶意代码或交出密码。 所有这些都包含在"Smashing Security"播客第 470 集中，主讲人为网络安全专家及主题演讲嘉宾 Graham Cluley，特邀嘉宾为 Tanya Janca。

荷兰警方已逮捕一名 35 岁男子，涉嫌入侵阿姆斯特丹足球豪门阿贾克斯的计算机系统，导致数十万球迷的个人数据面临风险。

一个臭名昭著的勒索软件团伙声称窃取了 MyPillow 的私密数据，但 CEO 迈克·林德曼称这是出于政治动机的“栽赃行动”。随着大规模暗网泄露的倒计时逼近，究竟谁在说真话？

CISA，这家美国政府机构的全部职责是保护美国关键基础设施免受黑客攻击，却让其承包商将数十个明文凭据发布到了公开的 GitHub 资料库中。 与此同时，您的 Oura 戒指正在悄悄以未加密方式传输部分数据——当一名记者询问该公司向执法部门移交用户数据的频率时，其回答颇具深意。 此外，不要错过我们对 OPSWAT 的 Benny Czarny 的专题访谈，他将讨论其新书《Cybersecurity Upside Down》。 在"Smashing Security"播客第 469 期中，网络安全专家及特邀演讲嘉宾 Graham Cluley 与特别嘉宾 Lesley Carhart 将为您带来以上内容及更多精彩话题。

那么，您已经启用了多因素认证。您也教育员工切勿在可疑的登录页面输入密码。您的 Microsoft 365 账户现在一定安全了吧？ 再想想吧。

根据 Verizon 数据泄露调查报告（DBIR），被盗凭证在长达近 20 年的时间里一直是攻击者进入组织的最常见途径。但这一情况已不再如此。 请在我的 Fortra 博客文章中阅读更多内容。

一位 23 岁的无线电爱好者花费 300 英镑从网上购买了一套设备，并成功让四列满载的高速列车紧急制动。他在法庭上的辩护堪称今年最具创意的托词。 与此同时，拥有价值 4000 美元机器人割草机的用户发现，其设备可被通过网络劫持，被重新定向至那些愚蠢地躺在其前方的记者身上，并被用于窃取 Wi-Fi 密码、电子邮件地址和 GPS 坐标。更改默认密码？当然可以——直到下一次固件更新在静默中将密码重置回原状。 此外，不要错过我们对 XBOW 的布伦丹·多兰 - 加维特（Brendan Dolan-Gavitt）的专题采访，他将探讨人工智能如何渗透测试领域带来变革。 在“粉碎安全”（Smashing Security）播客第 468 期中，网络安全专家兼主题演讲嘉宾格雷厄姆·克卢利（Graham Cluley）与特邀嘉宾杰夫·怀特（Geoff White）将带来所有这些内容及更多精彩话题。

在针对 Canvas 的攻击中获得赎金后，ShinyHunters 及其他勒索团伙未来更有可能受到激励而发动类似的攻击。

给 aspiring 暗网大王的第一个教训：不要将清洗过的金条寄送到你的家庭住址。

赶紧交钱，否则我们会派人去拜访你。网络犯罪团伙正越来越多地转向现实世界的威胁——甚至雇佣当地打手来传达信息。

欢迎来到史上最大规模的教育数据泄露事件——波及近 9000 所机构、所有常春藤盟校以及 3000 万名正处于期末考试阶段的学生。当 Canvas 的母公司拒绝支付赎金并宣称已部署“安全补丁”时，黑客们显然并不买账。于是，他们从猫洞重新潜入。 与此同时，一位知名金融专家的脸部图像频繁出现在 Facebook 广告中，承诺提供热门股票建议和专属 WhatsApp 投资群组。剧透：那并非本人，建议纯属虚构，你即将遭遇诈骗。 此外，我们还将与 Elastic 的 Mike Nichols 探讨：SOC 并未消亡，攻击者与防御者均在部署 AI 代理，而真正的安全危机已不再是人类用户本身，而是代表人类行动的机器人。 以上及更多内容，尽在第 467 集《Smashing Security》播客，主讲人为网络安全专家及主题演讲嘉宾 Graham Cluley，特邀嘉宾为 Danny Palmer。

在英国，每八名员工中就有一人承认，在过去 12 个月内曾出售公司登录凭证，或认识有此类行为的人。 更令人担忧的是，他们的上司对此甚至更为放任。 请阅读我在 Fortra 博客上发表的相关文章以获取更多信息。

大多数大学都举办招聘会。然而，在鲍曼莫斯科国立技术大学，一小群精英学生似乎拥有某种更为不寻常的渠道：直接接入一些世界上最臭名昭著的由国家资助的黑客组织。

你不必住在诈骗园区附近，生活仍可能被其摧毁。仅去年一年，美国人就因加密货币投资诈骗损失了 58 亿美元；而本月在斯里兰卡的一次突袭行动，恰恰揭示了这些诈骗运作背后的组织如何不断寻找新的藏身之所。

Meta 的智能眼镜承诺“为你设计”的隐私保护——但其所记录的一切数据都被传输到内罗毕的工人手中进行人工标注。当这些工人揭露真相后，Meta 解雇了全部 1,108 名员工。 与此同时，IT 媒体正对一款名为"Copy Fail"的新 Linux 漏洞大肆炒作——该漏洞配有专属标志、独立网站以及一个便于营销的名称。但这是否真如众人所言是一场灾难？ 此外，在本期特别访谈中，ESET 的 Jake Moore 解释了他是如何欺骗一家公司，使其在一段看似完全正常的视频面试后，向其深度伪造克隆体提供工作机会的。 以上所有内容尽在第 466 期《Smashing Security》播客，本期由网络安全专家及主题演讲嘉宾 Graham Cluley 主持，并特邀特别嘉宾 Paul Ducklin 加盟。

给大家一个提示：除非你想引起执法部门对你作为网络犯罪分子的注意，否则不要在 Snapchat 上炫耀你那条镶满钻石的"HACK THE PLANET"项链，也不要摆出《黑道家族》中犯罪头目的架势，毕竟据报道 FBI 正在加紧收网。

驻扎在波斯湾周边的美国海军陆战队队员正收到来自陌生人的 WhatsApp 信息，建议他们联系家人，作最后的告别。

一位人工智能初创公司的开发人员试图在 Roblox 游戏中作弊。他们在办公笔记本电脑上下载了一个可疑的脚本。这一决定引发了一系列连锁故障，最终导致一起涉及 200 万美元的数据泄露事件，影响了数十万家组织。一切只为获取一些免费的游戏内货币。 与此同时，存在一种源自 20 世纪 80 年代的 SS7 电话协议，它允许神秘的监控公司通过手机追踪任何人、任何地点。政府对此心知肚明，电信运营商也清楚其风险，却无人着手修复。 本期《Smashing Security》播客第 465 集将深入探讨上述内容及其他安全议题。本期嘉宾为网络安全主题演讲嘉宾及行业资深人士 Graham Cluley，特邀嘉宾为 James Ball。 此外！不要错过我们与 CoreView 的 Rob Edmondson 进行的专题访谈，他将讨论如何在为时已晚之前加固 Microsoft 365。

一名被指控为中国国家安全部从事黑客活动的男子已从意大利被引渡至美国，若被定罪，他可能面临数十年监禁。

一名 21 岁的男子因涉嫌自 2025 年底以来实施了约 100 起数据泄露事件而被捕，其中包括入侵法国教育部并泄露近 25 万名员工记录。该男子在其位于法国西部的住所被捕。

一家为 3.5 万所美国学校运营匿名举报热线的公司，负责处理霸凌、武器威胁及自残等报告，其官网曾宣称在 20 多年间未发生过任何安全事件。一名黑客自称"Internet Yiff Machine"，认为这听起来像是一个挑战，结果果然不出所料…… 与此同时，Rockstar Games 再次遭遇黑客攻击，而泄露的数据反而比其意外暴露的财务机密更令人尴尬。《GTA Online》每年仍能创造 5 亿美元收入，但《Red Dead Redemption》则不然。 本期《Smashing Security》播客第 464 集将涵盖以上内容及更多话题。本期嘉宾包括网络安全主题演讲嘉宾和行业资深人士 Graham Cluley，以及特邀嘉宾 BBC 网络安全记者 Joe Tidy。 此外，不要错过本期特别访谈：与 Meter 公司的 Ryan Benson 对话。

“如果你持有加密货币，有一条非常简单且必须始终遵守的黄金法则：永远不要交出你的助记词。” 盖瑞特·达顿（Garrett Dutton），更广为人知的艺名是 G. Love——蓝调嘻哈组合 G. Love & Special Sauce 的主唱——正是通过惨痛教训才深刻认识到这一点。

您是否曾查看过自己的 Microsoft 365 邮箱规则？如果尚未查看，或许值得花几分钟时间了解一下。因为最新的研究显示，黑客可能已经抢先一步实施了此类操作。 请在 Fortra 博客上阅读我的相关文章以获取更多信息。

一个黑客组织声称已攻入保护威尼斯圣马可广场的防洪系统，并愿意向任何出价者出售访问权限。其报价？简直令人咋舌的 600 美元。 与此同时，Anthropic 因基础打包失误，意外泄露了 Claude Code 的源代码。顺便一提，他们刚刚公布，已构建出一款名为 Mythos 的 AI 模型，该模型在发现并串联软件漏洞方面，速度远超任何人类。祝你们好梦。 以上及更多内容，尽在《Smashing Security》播客第 463 集。本期嘉宾为网络安全专家兼主题演讲者格雷厄姆·克卢利（Graham Cluley），并特邀特别嘉宾坦雅·詹卡（Tanya Janca）共同出演。

网络安全研究人员披露，108 个恶意 Google Chrome 扩展程序正悄然窃取用户凭据、劫持 Telegram 会话，并向浏览器注入不需要的广告和脚本，且所有这些恶意活动均向同一个中央节点回传数据。

人工智能和加密货币已彻底改变了欺诈格局，这一变化令组织和个人都应深感关切。 欢迎阅读我在 Fortra 博客上发表的相关文章以获取更多信息。

您的 AI 会阅读“小字”，而这成了一个问题。本周，在我们的播客“Smashing Security”第 433 集节目中，我们将深入探讨 LegalPwn——隐藏在代码注释和免责声明中的恶意指令，它会“哄骗” AI 批准危险的有效载荷（甚至冒充无害的计算器）。 与此同时，Anthropic 的一项新研究显示，黑客已经利用 AI 代理侵入网络、窃取密码、筛选被盗数据，甚至编写定制的勒索信。换句话说，一个拥有 AI 助手的一名黑客，其工作能力相当于一个完整的网络犯罪团队。 所有这些以及更多内容，都将在屡获殊荣的播客“Smashing Security”最新一期节目中进行讨论，计算机安全专家 Graham Cluley 将携本周嘉宾 Mark Stockley 一同为您带来精彩内容。

美国联邦调查局（FBI）的互联网犯罪投诉中心（IC3）表示，老年人比以往任何时候都更容易成为网络欺诈和互联网骗子的受害者。 请阅读我在Fortra博客上的文章了解更多信息。

在《AI Fix》的第 66 集节目中，ChatGPT 给马克和格雷厄姆上了一堂糟糕的解剖学课，斯坦福大学的科学家们毁了寿司，谷歌 Gemini 出现了自我厌恶的崩溃，DeepSeek 在阻止人类生存威胁方面得了“F”，一个机器人没有生育，以及一组 AI 代理人以一项惊人的医疗突破让我们的主持人目瞪口呆。 此外，格雷厄姆解释了迫在眉睫的 AI 末日为何让他感到异常乐观，而马克则探讨了不寻常的合作如何让我们都更安全。 格雷厄姆·克鲁利和马克·斯托克利在最新一期的《AI Fix》播客节目中讨论了所有这些以及更多内容。

西班牙警方逮捕了一名涉嫌黑客，他入侵了一个政府网站，篡改了自己以及一些最亲密同学的高中和大学入学考试成绩。

瑞典各地的市政政府组织在第三方软件服务供应商遭受勒索软件攻击后受到了影响。

我们揭露了一些密码管理器如何被欺骗，泄露您的秘密，通过点击劫持的技巧，网站所有者可以采取什么措施来防止这种情况，以及如何锁定个人密码库。 然后，我们期待着后量子混乱时代：“现在收集，稍后解密”，微软2033年的量子安全承诺，以及打印机是否会在更新末日中幸存。 所有这些，还有一个名为“shadyfier”的可疑URL，以及将经典的iMac G4转换为现代媒体中心。 所有这些内容都在最新一期的“Smashing Security”播客中讨论，由网络安全专家Graham Cluley主持，本周加入了特邀嘉宾Thom Langford。

塞法勒斯是一个相对新的勒索软件运营，于2025年中期出现，并已与一波高调数据泄露事件 liên quan。 阅读更多关于它的信息在我的Fortra博客文章中。

在《AI Fix》第 65 集节目中，一只鸽子进行了一场 PowerPoint 演示，马克为格雷厄姆演唱了一首关于 Transformer 架构的歌曲，一只机器狗递送包裹，一些机器人在世界人形机器人运动会上摔倒，格雷厄姆还揽下了计算机领域一项伟大见解的功劳。 此外，格雷厄姆解释了为什么微软不希望你在任何有用的、准确的、可复现的或重要的电子表格计算中使用 Excel 的新 Copilot 功能，马克则揭示了当研究人员给 500 个 AI 提供了自己的社交网络后发生了什么。 在格雷厄姆·克卢利和马克·斯托克利最新的《AI Fix》播客节目中，我们将探讨以上所有内容以及更多精彩。

一名被认为是针对包括防弹少年团歌手田柾国在内的名人的有组织袭击活动的幕后黑手，涉嫌是一名黑客，已被引渡回韩国。

一名26岁的黑客因入侵北美、也门和以色列的网站，窃取数百万人的详细信息，已被判入狱。

几天前，一些网络安全新闻媒体被一个关于欧洲刑警组织（Europol）悬赏5万美元以获取有关Qilin勒索软件组织两名成员信息的说法所欺骗。 事实证明这完全是个骗局。 请阅读我在“Hot for Security”博客上的文章，了解更多细节。

关键基础设施组织再次收到恶意网络犯罪分子威胁的警告，此前巴基斯坦一家国有能源公司遭受了勒索软件攻击。 请在我的Exponential-e博客文章中了解更多信息。

在《Smashing Security》播客的第 431 集节目中，一位自称“CP3O”的加密货币网红，误以为找到了致富捷径——通过累积数百万的未付云账单。 与此同时，我们关注日益增长的 EDR 杀手工具的威胁，这些工具可以在攻击发生之前悄无声息地关闭你的终端保护。 另外，为了点不一样的，我们窥探了互联网档案的“反乌托邦式”的 Wayforward Machine，并绕道前往伯恩茅斯玛丽·雪莱的安息之地。 以上所有内容以及更多精彩，都在最新的《Smashing Security》播客中，由网络安全资深人士 Graham Cluley 主持，本周还有特别嘉宾 Allan “Ransomware Sommelier” Liska 共同探讨。

Warlock勒索软件已影响包括政府机构和部门在内的多家组织，最近还包括英国电信公司Colt。 请阅读我在Fortra博客上的文章以了解更多信息。

荷兰公诉服务部门遭受黑客攻击，产生了一个不寻常的副作用——导致一些测速相机不再能捕捉到司机违反交通规则的证据。

在《AI Fix》第 64 集节目中，人工智能发现了新的物理学，一只机器人螃蟹在葡萄牙的海滩上寻找爱情，“AI 教父”认为我们唯一的希望是创造出母性人工智能，一个机器人叠了些衣服，英国政府有了一个糟糕的主意，而我们的主持人发现了失传已久的六十年代灵魂乐金曲“Dusty Plasma”。 此外，格雷厄姆深入探讨了埃隆·马斯克和山姆·奥特曼之间的争执，而马克则了解到，通过为人工智能接种“反邪恶疫苗”，人类有望得救。 所有这些以及更多内容都在格雷厄姆·克鲁利和马克·斯托克利制作的最新一期《AI Fix》播客节目中进行了讨论。