16 个公开 CVE 撕开汽车安全盲区:开源小组件,也能变成大风险
CAN、UDS、ISO-TP、J1939 背后,最容易被忽视的不是大系统,而是那些安静跑在供应链里的长尾组件。 一辆车的软件供应链里,最容易被低估的,往往不是云平台、移动 App、账号系统这些显眼入口。 更容易被忽略的,是一个小型协议库、一段解析代码、一个 CAN 网关工具、一个车辆监控项目里的导入模块。 它们不出现在发布会主屏幕上,不会被销售材料重点介绍,也很少被管理层单独拿出来问:这个组件谁在...
8 周零广告从 0 涨至 1.5 万活跃用户:Claude+AEO+SEO 完整获客套路
我搭建了一个面向 AI 智能体技能的微型 SaaS 交易平台。可以理解为应用商店,但专门用于存放SKILL.md技能配置文件,能让 Claude p、Cursor、px 命令行工具在各类专项任务中能力更强。 我本身没有技术背景,是独立创始人。整套产品完全依靠 Lovable 平台和 Claude AI 开发完成。 本文不聊产品本身,只分享零广告投入,8 周做到 1.5 万月活跃用户的流量分发增长策...
快手 KroWork 做个桌面软件的四个实测,第三个最实用
KroWork介绍 今天快手发布了桌面端通用 AI 智能体 KroWork(官网 https://www.krowork.com/ ) 可以自主规划步骤、在安全沙箱中执行,然后把结果交给你,除了其他 Agent 能做的,比如写报告、做分析等常见的办公任务外,还能帮你把重复性工作写成应用,并安装到桌面。 与龙共弈第一时间实测了一下 1、KroWork制作PPT 交付的结果,只能说是平平无奇 2、Kr...
Dirty Frag:通用 Linux 本地权限提升漏洞
Linux 新高危本地提权漏洞 Dirty Frag,属于 Dirty Pipe 家族衍生漏洞,影响 2017 年至今近九年的 Linux 内核版本,漏洞为纯逻辑缺陷、无需竞态条件、利用成功率百分百,普通本地无特权用户即可稳定提升至 root 权限。 该漏洞包含 xfrm-ESP 和 RxRPC 两个可独立利用的子漏洞,前者依赖用户命名空间权限、覆盖 2017 年后所有内核,后者针对 2023 年...
OA系统结合宁盾双因素身份认证实现商用密码改造
OA系统、企业私有云等信息系统及关键信息基础设施在商用密码应用安全性评估(密评)过程中不合格以及需进一步提高的环节,需要对其进行密码改造(密改)。密码改造产品主要包括服务器密码机、安全网关、签名验签服务器等。其中,安全网关能为用户提供可信身份认证、访问控制、传输加密等密码安全服务,而常见的动态口令、生物识别等均属于可信身份认证技术(双因素身份认证)的一种。 什么是双因素身份认证动态口令? 在OA系...
Linux Kernel “Copy Fail” 提权漏洞 (CVE-2026-31431) 分析与安全声明
日,安全研究团队Xint Code公开披露了Linux内核高危本地提权漏洞 CVE-2026-31431(又称“Copy Fail”漏洞)。该漏洞影响范围广泛,攻击者可在本地低权限环境下直接获取 root 权限。盛邦安全烽火台实验室第一时间跟进分析,并联合公司内部产品线及太行实验室完成全面排查,确认盛邦安全旗下所有产品均不受此漏洞影响。现将漏洞机制、影响范围与安全建议同步如下。 一、Copy Fa...
伊朗黑客组织曝光2379名驻中东美军完整个人信息
当地时间4月28日,据伊朗法尔斯通讯社报道,伊朗“汉达拉黑客”组织对外宣称,已在网络公开2379名驻扎中东地区美国海军陆战队员的完整个人信息,针对性向美方释放网络威慑信号。 该黑客组织表态,此次公开美军人员信息仅为自身监控与网络攻防能力的冰山一角,此番操作是对美方发出一次明确的小小警告,后续保留进一步采取网络行动的相关权限。事件发酵后,美国五角大楼已第一时间启动专项调查,经初步核查研判,此次泄露的...
面向主动防御的铁路网络空间安全技术保障体系研究及应用
当前网络安全已成为保障运输安全、服务国家战略的重要基石。随着铁路数字化、智能化的快速发展,铁路网络空间面临的安全威胁日益复杂,传统“被动修补式”防御体系难以应对新型攻击和威胁。根据网络安全实战化、体系化、常态化思路,项目团队以保护数据和个人信息为核心,构建了面向主动防御的网络空间安全技术保障体系,攻克了多元异构安全大数据分析、集中安全管理、大规模终端安全统一管理、基于云环境的全栈应用安全防护等难题...
铁路领域重要信息系统一体化 安全保障示范工程
铁路是国民经济大动脉、国家重要基础设施、大众化交通工具和民生工程,在经济社会发展中的作用至关重要。随着铁路信息化建设和应用的不断深入,铁路运输对网络和信息系统的依赖程度越来越高,网络安全保障作用日渐突出。 为加强铁路网络安全管理、强化铁路网络安全保障,项目立足铁路行业特性与安全需求,突破传统防护局限,在技术架构、管理模式、平台建设等方面实现四大核心创新,重塑铁路网络安全防护体系。 一、主要科技创新...
主流开源APM:Zipkin/Pinpoint/SkyWalking全面对比
链路追踪在很多公司已经有大量的实践,开源领域能够开箱即用的产品也不少,主流的包括Zipkin、Pinpoint、SkyWalking、CAT等,这里重点对比以下三种优秀的开源APM组件。 Zipkin:由Twitter公司开放源代码的调用链分析系统,基于spring-cloud-sleuth得到广泛使用,非常轻量。 Pinpoint:由韩国Naver研发团队开源,专注于链路分析和应用性能监控系统,...
医疗机构日志留存合规最佳实践
在当前以数据安全与个人信息保护为核心的合规体系下,网络安全日志已从“辅助记录”转变为“合规基础设施”。依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》及《中华人民共和国个人信息保护法》的要求,医疗卫生机构不仅要“有日志”,更要实现日志全覆盖、可追溯、可分析、可审计、可问责。因此,必须从“设备日志生成—集中审计—安全运营”三个层面,构建全流程日志合规体系。 首先,在网络产品与信息系统自身...
AI 自主挖漏洞、写利用、提权一条龙!Anthropic 最新模型让网络安全圈不淡定了
Claude Mythos Preview 安全评估报告全文翻译 | 27年漏洞、17年RCE、浏览器链式逃逸,AI 已能自主挖掘零日漏洞 原文地址:https://red.anthropic.com/2026/mythos-preview/ 作者:Anthropic 安全团队(Nicholas Carlini 等)、翻译/整理:游侠安全网 一句话核心 Claude Mythos Preview ...
微软强制用户升级至Windows 11 25H2版本,24H2支持即将结束
微软近日开始向运行Windows 11版本24H2的非托管设备推送25H2更新,目的是确保用户在旧版本支持终止前迁移至受支持的系统。根据微软的更新文档,Windows 11版本24H2将于2026年10月停止对家庭版和专业版等普通消费者的支持,届时相关设备将不再获得安全补丁、技术支持或新功能更新。为防止用户停留在不受支持的版本,微软启动了强制自动更新机制。 这一强制更新策略目前仅适用于普通消费级电...
Linux服务器监控神器:5款可视化工具,让运维效率翻倍(附安装命令)
关键词: Linux系统监控、可视化工具、btop、Glances、Netdata、Cockpit、Linux-Dash、服务器性能监测、开源运维工具、Ubuntu监控、CentOS监控 为什么你需要可视化监控? 作为一名Linux服务器管理员,你是否还在用top看CPU、free看内存、df看磁盘?这些命令行工具虽然强大,但信息分散、不够直观。当服务器出现性能瓶颈时,你需要在多个终端窗口间来回切...
南非统计局遭勒索软件攻击,45 万份文件泄露,黑客限期索要 10 万美元赎金
新华社开普敦3月30日电(记者王雷 王晓梅)南非统计局日前发表声明确认遭遇了一次黑客组织勒索软件攻击,后者窃取了超过45万份文件,并向该机构索要10万美元赎金。 据南非媒体报道,一个名为XP95的黑客组织宣称制造了针对南非统计局系统的这次网络攻击,窃取了超过45万份文件,数据总量达154吉字节。该组织要求南非统计局在4月20日前支付10万美元赎金,否则就将公布所窃数据,但遭到南非统计局拒绝。 南非...
