IT之家 5 月 6 日消息,科技媒体 BornCity 今天(5 月 6 日)发布博文,报道称德国域名注册机构 DENIC 昨日在执行 DNSSEC 密钥轮换时发生操作失误, 导致 .de 域名出现大面积解析故障。 本次事件可以追溯到国际标准时间 5 月 5 日 20 点 58 分(IT之家注:北京时间 5 月 6 日 4 点 58 分),持续约 1.5 小时。 在受影响期间,用户报告 amazon.de 、 dhl.de 等多个知名网站无法访问,DNS 查询返回 SERVFAIL 错误。 本次故障原因,在于 DENIC 执行 DNSSEC ZSK 轮换时的操作失误。DENIC 使用 Keytag 33834 的新密钥对区域数据完成签名,但未在 DNSKEY 记录中发布该密钥。验证解析器无法获取公钥验证签名,将所有响应标记为“DNSSEC Bogus”并拒绝返回结果。 Cloudflare 在国际标准时间 5 日 21 点 20 分识别问题后采取应急措施,临时禁用 1.1.1.1 公共解析器的 DNSSEC 验证功能。 这一操作绕过了签名校验,让 .de 域名恢复解析,但同时也削弱了安全防护。Quad9 的 9.9.9.10 解析器因默认不强制验证 DNSSEC,成为用户临时替代方案。 DENIC 于北京时间今天凌晨 5 点 43 分发布推文,发布声明承认 DNS 服务中断,技术团队介入排查。故障修复后,DNS 记录传播预计需要约 2 小时完成全球同步。 在北京时间今天早上 7 点 43 分,官方发布动态,宣布已修复故障。截至IT之家发稿前,.de 域名解析已基本恢复正常。
IT之家 4 月 29 日消息,医疗科技大厂 Medtronic(美敦力)当地时间 24 日发布公告, 确认有未经授权的第三方访问了其某些企业 IT 系统中的数据 。 美敦力称:“目前尚未发现此次事件对我们的产品、患者安全、与客户的联系、制造和分销运营、财务报告系统或我们满足患者需求的能力造成任何影响。” 支持该公司企业 IT 系统、产品以及制造和分销运营的网络相互独立。而医院客户的网络与美敦力 IT 网络保持分离,并由客户自身的 IT 团队负责安全防护和管理。 ▲ 美敦力产品示例 根据网安领域外媒 Bleeping Computer 当地时间 27 日的报道, 臭名昭著的数据勒索组织 ShinyHunters 此前声称成功入侵美敦力系统 ,还盗取了超过 900 万条包括个人身份信息的记录和数 TB 的企业内部数据。
IT之家 4 月 29 日消息,安全机构 Wiz Research 昨日(4 月 28 日)发布博文,披露 GitHub 存在严重漏洞 CVE-2026-3854。攻击者仅需一条标准 git push 命令, 即可触发远程代码执行,进而访问数百万公共和私有仓库。 该漏洞追踪编号为 CVE-2026-3854,任何经过身份验证的用户只需执行标准的 git push 命令,就能在 GitHub 后端服务器上执行任意代码。 GitHub 远程代码执行漏洞 CVE-2026-3854 该漏洞源于 GitHub 内部 X-Stat 标头的注入缺陷。X-Stat 是一个用分号分隔的协议,负责在内部服务间传递安全元数据。 当用户运行带有选项的 git push 命令后,GitHub 的 babeld 代理会直接将用户提供的字符串嵌入 X-Stat 标头,且未过滤分号。 由于标头解析器采用“最后写入生效”逻辑,攻击者只需注入分号和字段名,就能悄悄覆盖服务器已设定的安全配置。研究员将三个注入字段串联,成功实现完整的远程代码执行。 根据博文披露的攻击路径,为了绕过生产沙箱,攻击链首先覆盖 rails_env 字段,接着通过 custom_hooks_dir 重定向钩子脚本目录。 最后,攻击者利用 repo_pre_receive_hooks 投递路径遍历有效载荷,迫使系统以 git 服务用户身份执行任意安装文件,从而获取完整的文件系统访问权限。 在 GitHub 企业版服务器(GHES)上,这会导致服务器完全沦陷。而在 GitHub.com 上,攻击者注入额外标志触发企业模式行为后,同样能入侵共享存储节点。这些节点托管着数百万账户仓库,攻击者借此可读取任意代码数据。 GitHub 在接获报告后 6 小时内修复了云端平台,并发布 GHES 补丁。然而 Wiz 警告,目前仍有 88% 的 GHES 实例未升级,管理员必须立即更新至 3.19.3 或更高版本。 此次漏洞挖掘过程使用了 AI 辅助逆向工程工具 IDA MCP,这是安全界首次利用 AI 工具在闭源安装文件中发现如此严重的底层漏洞,证明 AI 技术正在重塑复杂的安全研究工作流。 IT之家附上参考地址 Securing GitHub: Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise Server (CVE-2026-3854)
IT之家 4 月 28 日消息,微软官方账号 @MSFT365Status 今天(4 月 28 日)在 X 平台发布推文,确认其 Microsoft 365 部分服务出现故障, 影响使用 iOS 邮件应用访问 Outlook,用户可能遇到间歇性登录失败、“请求过多”错误或意外退出。 IT之家援引微软官方状态页面,本次故障自世界协调时间 4 月 27 日周一上午 8 点 45 分(北京时间 27 日 16 点 45 分)开始,持续约 11 个小时,在世界协调时间 4 月 27 日周一晚上 7 点 16 分(北京时间 28 日 3 点 16 分)结束。 微软 365 服务健康状态网站将此次事件标为 "service degradation"(服务降级)。这意味着服务并非完全中断,但稳定性下降,用户可能在登录 Outlook.com 时反复失败,或者看到 "too many requests"(请求过多)错误提示。 根据官方公告,在上述受影响期间内, iOS 用户无法通过默认邮件应用访问 Outlook 和 Hotmail。 为了缓解影响,微软正在回滚一项近期引入的变更。公司表示,将观察回滚完成后是否能降低故障影响,同时继续分析客户报告,并密切监控服务遥测数据,以决定下一步修复方案。 从用户场景看,这类故障会直接影响邮件收发前的身份验证。即使邮箱内容本身未必丢失,用户仍可能无法进入 Outlook.com ,企业用户也可能因此错过邮件确认、会议通知或外部联系信息。
IT之家 4 月 22 日消息,彭博社昨日(4 月 21 日)发布博文,报道称 少数未经授权的用户访问了 Anthropic 最新研发的 Claude Mythos AI 模型 ,Anthropic 官方已确认正在调查此事。 Mythos 模型于 4 月 7 日发布,Anthropic 此前曾公开表示,该模型具备极强的网络安全攻击能力,能识别并利用主流操作系统和浏览器的漏洞。出于安全考量,公司仅允许苹果、亚马逊等少数获批企业通过“Glasswing 项目”进行测试,用于排查系统漏洞。 Anthropic 发言人证实,公司正在调查关于通过第三方供应商环境未授权访问 Claude Mythos Preview 的报告。虽然目前未发现未授权活动对 Anthropic 自身系统造成影响,但已确认攻击路径。 IT之家援引博文介绍,此次泄露发生在 Anthropic 宣布限量测试计划的同一天,涉事组织属于一个专注于搜寻未发布 AI 模型的 Discord 频道,他们根据 Anthropic 过往模型的格式规律,对 Mythos 的在线位置做出了“有根据的猜测”,从而绕过防线。 该组织向媒体提供了截图及现场演示,证明他们已持续使用该工具数周,并声称目的仅在于测试新模型而非制造破坏。为避免触发安全警报,该小组并未尝试网络攻击类指令,而是执行了搭建简单网站等低风险任务。
IT之家 4 月 17 日消息,AI 编程如今无处不在,任何人都可以在掌握提示词(prompt)的能力下成为 Vibe Coding(氛围编程)开发者。如今 ChatGPT、Claude、Gemini 等工具甚至能直接将一个点子转化为完整应用,并发布到商店。 据科技媒体 PhoneArena 今天报道,AI 智能体确实可以高效开发移动 App,但模型从训练到实际使用往往存在时间差,导致 AI 往往无法掌握 Android 系统的最新变化。这就导致 AI 开发出的应用可能存在 Bug、安全隐患,不符合最新规范。 为解决上述问题,谷歌昨天向 AI 智能体开放最新 Android 开发指南访问权限,同时应用一系列新工具, 帮助 AI 掌握如何构建高质量 Android 应用 。 IT之家附上谷歌官方发言如下: 现在 AI 智能体已经可以通过持续更新的知识库,在 Android 开发文档、Firebase、Google Developers 以及 Kotlin 文档中寻找最新开发规范。即使某些大语言模型的训练数据已经过时一年,经过训练后仍能开发符合当前框架的应用。
IT之家 4 月 17 日消息,科技媒体 BornCity 今天(4 月 17 日)发布博文,微软在 17 个小时内, 紧急修复 Chrome 147 浏览器无法正常使用 Microsoft 365 服务问题。 根据官方发布的紧急通知,微软确认部分 Chrome 147 浏览器用户无法访问 Microsoft 365 服务,问题涵盖 Microsoft 365 管理中心无法正常加载界面元素、无法通过网页打开 Excel 或 PowerPoint 文件,以及 OneDrive 和 Planner 等应用访问异常。 网友反馈在 Chrome 147.0.7727.102 版本中,访问 purview.microsoft.com 和 security.microsoft.com 网址显示空白页面,但同一设备上的 Firefox 和 Edge 浏览器均可正常访问。 IT之家附上相关截图如下: 微软在事件编号 MO1281730 中披露初步根因:Google Chrome 针对 DigiCert Global Root CA(G1)实施广泛的证书信任变更,不再信任特定认证配置。 微软此前已将大部分 Microsoft 365 服务迁移至备用认证配置,但少数服务未完成过渡,导致 Chrome 更新后认证配置被拒绝,进而引发访问故障。 此次故障始于世界协调时间 4 月 15 日 19:00(北京时间 16 日凌晨 3 点),持续约 17 小时,于 4 月 16 日 11:56(北京时间 16 日 19:56)完成修复。 微软表示已采取缓解措施,遥测数据显示问题已解决,用户刷新浏览器页面即可生效。桌面客户端全程未受影响,用户可通过本地应用继续使用相关服务。 相比之下,Microsoft Edge 和 Firefox 因采用不同的证书信任机制,在此次变更中未受波及。
IT之家 4 月 16 日消息,欧盟委员会 4 月 15 日发布公报称,已向美国元宇宙平台公司(Meta)发出补充异议声明,初步认定该公司在调整了限制第三方人工智能(AI)助手接入其旗下即时通信应用程序 WhatsApp 的相关措施后,仍违反欧盟反垄断规则, 拟要求该公司恢复第三方 AI 助手对 WhatsApp 的访问权限 。 IT之家从公告中获悉,2025 年 10 月 15 日,Meta 宣布更新《WhatsApp 商业解决方案条款》,自 2026 年 1 月 15 日起, 实质上禁止第三方通用 AI 助手接入该应用 。 2025 年 12 月 4 日,欧盟委员会就此正式启动调查程序;2026 年 2 月 9 日,欧盟委员会向 Meta 发送异议声明,告知其行为初步涉嫌违反欧盟竞争法规,并拟采取临时措施。2026 年 3 月 2 日,Meta 就该异议声明提交了回应材料。 2026 年 3 月 4 日,Meta 公布修订版政策,撤销此前禁令, 但对第三方通用 AI 助手增设收费框架 。 在最新的补充异议声明中,欧盟委员会告知 Meta,修订后的政策仍会产生将第三方 AI 助手排除出 WhatsApp 的效果,初步涉嫌违反欧盟竞争法规。为避免对市场竞争造成严重且不可挽回的损害,委员会拟下令 Meta 按 2025 年 10 月 15 日前的原有条件, 恢复第三方 AI 助手的访问权限 ,直至就 Meta 行为作出最终裁决。
英国国王查尔斯周二会见了美国科技界领袖,这是他对美国为期四天国事访问的一部分。双方讨论了早期创业公司面临的挑战,因为英国正努力将自身打造成为科技公司的理想目的地。查尔斯会见的科技界领袖包括亚马逊创始人杰夫·贝索斯、苹果CEO蒂姆·库克、英伟达CEO黄仁勋、AMD首席执行官苏姿丰、Salesforce首席执行官马克·贝尼奥夫以及Alphabet总裁露丝·波拉特。(新浪财经)
盟委员会周一正式向谷歌发布了一系列拟议措施,详细说明这家科技巨头应如何为AI竞争对手提供其安卓移动操作系统的核心功能访问权限,以遵守欧盟《数字市场法案》。监管机构指出,谷歌目前将其安卓系统中的关键能力(如语音唤醒、后台运行以及与系统应用的深度交互)保留给自家的Gemini AI服务。根据最新提案,谷歌必须向第三方AI助手提供与其自有Gemini服务“同等有效”的访问权限。(新浪财经)
人工智能领域传来安全警报。据报道,一群未授权用户通过第三方承包商环境成功访问了Anthropic公司最新发布的高危AI模型“Mythos Preview”。Anthropic发言人在声明中证实:“我们正在调查一份声称通过第三方供应商环境对Claude Mythos Preview进行未授权访问的报告。”目前尚未发现该未授权行为对Anthropic系统造成影响。(新浪财经)