IT之家 6 月 9 日消息,据工信部官网消息,随着“618”各类电子商务促销活动不断增多,部分 App 在开屏和弹出的信息窗口中,采用违规方式诱导用户点击,或通过高灵敏度“摇一摇”等方式误导触发跳转。对此,工业和信息化部信息通信管理局及时组织召开专题会议,指导督促相关互联网平台和智能终端企业,强化 App 信息窗口呈现方式的规范管理,严禁违规呈现信息窗口。 会议通报了在日常巡查中发现的相关问题线索,要求各相关企业立即开展自查整改,对已上线或即将上线的各类信息窗口样式进行全面审核。建立完善在线巡查机制,及时下线违规信息窗口样式。坚持严守合规边界,完善内部审核和合规管理机制,规范服务行为,优化用户体验,有效杜绝违规行为的发生,切实保护用户合法权益。 后续,工业和信息化部信息通信管理局将持续开展常态化检测监测,对发现的违规行为,依法予以约谈、通报、下架 App 等处置,全力营造放心安全的消费环境。
IT之家 6 月 7 日消息,快手平台现已发布《2026 年度未成年人保护报告》,过去一年里快手持续加强未成年人相关内容治理能力建设,平台全年累计清理涉未成年人违规信息 82 万条。 针对网络欺凌、诱导打赏、不良社交、虚假信息等重点风险场景,快手平台持续加强内容巡查与专项治理。在未成年人模式内容安全治理方面,平台建立“机器审核 + 人工抽检 + 人工审核 + 专项审核”多层次审核机制。 针对未成年人的直播行为,平台实行分级、从严管理。具体来看:对 16 岁及以下的未成年人,平台坚持“零容忍”原则,严禁开播,一经发现,将立即关停直播、回收直播权限;针对疑似 17 至 18 岁的用户,平台要求完成成年人身份核验后方可开播,同时严格限制涉及未成年人身心健康风险的内容,禁止诱导未成年人参与打赏、充值等。 同时,快手持续升级技术,迭代优化智能预警能力,加强对未成年人的网络安全守护。2025 年平台累计开展未成年人社会救助 8425 例, 通过研判识别存在轻生倾向的风险并触发报警机制,全年成功干预挽救 87 名未成年人 。 平台还持续聚焦危害未成年人身心健康的突出问题。报告显示,平台针对“危险驾驶”“隔空猥亵”“售卖未成年人情色资源”“爆破盗窃”等违法违规内容开展专项治理,专项处置涉未成年人违规账号 16762 个,并主动向公安机关移交风险线索 718 例。依托用户举报和专项研判机制,平台梳理形成 28 起典型案件,升级 36 项风控策略,举报处置涉未成年人违规账号 13476 个。 同时,平台持续加强与全国公安机关的协同打击力度,协助侦破多个冒充平台客服及公检法人员实施诈骗的犯罪团伙, 抓获犯罪嫌疑人 35 名,打掉涉案公会 5 家,涉案金额达 1190 万元 。 快手安全相关负责人表示,平台将持续完善未成年人保护体系,不断提升产品安全能力、内容治理能力,积极推动平台治理、家庭教育、学校引导与社会协同深度融合,让未成年人得到更好守护。
原文链接: https://mp.weixin.qq.com/s/NmHlXIyTKYMVx4NiUKlf7g 摘抄了部分原文内容: 小红书此次同步披露了近期金融生态治理进展,公告显示: 针对近期“抓紧港美股开通分享贴”相关违规行为线索,平台已处置非法诱导跨境投资等违规笔记 539 条、评论 146 条。 这些被点名的方向,几乎都对应近年来金融内容平台中最容易形成流量的领域。 港美股开户分享背后,连接的是境内投资者跨境交易需求与非法展业风险; 外资投行研报低价倒卖背后,是研究资源版权、信息合规和投资者误导问题;债务重组类内容则直接指向个人债务焦虑下的灰产营销;黄金投资内容在金价持续受到关注的背景下,也容易被包装成高收益、低风险的营销入口。但金融信息与普通消费内容不同,一旦越过资质边界,就可能从内容分享变成非法金融营销,甚至进一步演变为导流、诈骗或非法经营。 从这次公告看,小红书对金融类专业号的治理方向,已经从单篇笔记违规扩展到账号主体、内容匹配和矩阵行为。 平台将视违规性质与程度采取预警提示、功能限制、取消认证、账号封禁等措施,相关措施还可合并执行。这意味着, 金融账号一旦通过多账号矩阵规避监管,或者以不匹配身份持续发布金融营销内容,后续面临的不只是单篇内容下架,而可能是商业化权限、认证权益乃至账号本身的损失。
原文链接: https://mp.weixin.qq.com/s/NmHlXIyTKYMVx4NiUKlf7g 摘抄了部分原文内容: 小红书此次同步披露了近期金融生态治理进展,公告显示: 针对近期“抓紧港美股开通分享贴”相关违规行为线索,平台已处置非法诱导跨境投资等违规笔记 539 条、评论 146 条。 这些被点名的方向,几乎都对应近年来金融内容平台中最容易形成流量的领域。 港美股开户分享背后,连接的是境内投资者跨境交易需求与非法展业风险; 外资投行研报低价倒卖背后,是研究资源版权、信息合规和投资者误导问题;债务重组类内容则直接指向个人债务焦虑下的灰产营销;黄金投资内容在金价持续受到关注的背景下,也容易被包装成高收益、低风险的营销入口。但金融信息与普通消费内容不同,一旦越过资质边界,就可能从内容分享变成非法金融营销,甚至进一步演变为导流、诈骗或非法经营。 从这次公告看,小红书对金融类专业号的治理方向,已经从单篇笔记违规扩展到账号主体、内容匹配和矩阵行为。 平台将视违规性质与程度采取预警提示、功能限制、取消认证、账号封禁等措施,相关措施还可合并执行。这意味着, 金融账号一旦通过多账号矩阵规避监管,或者以不匹配身份持续发布金融营销内容,后续面临的不只是单篇内容下架,而可能是商业化权限、认证权益乃至账号本身的损失。
安全研究者披露,攻击者可能通过诱导用户点击 github.dev 链接,利用 VSCode Webview 的键盘事件处理问题安装扩展,从而读取 GitHub API Token,并访问用户有权限的仓库,包括私有仓库。 该问题也存在于桌面版 VSCode,但利用门槛更高。研究者建议清除 github.dev 的站点数据;如果已运行 PoC,还应卸载相关测试扩展。 Ammar’s Blog 1 个帖子 - 1 位参与者 阅读完整话题
IT之家 6 月 2 日消息,BOSS 直聘官方今天发布《整治虚假线上兼职专项公告》。 BOSS 直聘表示,在暑期即将到来的节点上,线上兼职凭借时间灵活、居家可做、可日结的特点,吸引了不少学生、宝妈和有副业需求的求职者。然而,一些不法分子也趁机将刷单引流等违法违规行为包装成兼职职位,诱导求职者交费或提供身份证号、银行卡号等敏感信息,给求职安全带来隐患。 同时,BOSS 直聘还在公告中公布 5 起典型案例,IT之家附详情如下: 类型 1:招测试实为 App 拉新 某个体户(软件工程开发工作室)发布“测试”职位,正规测试职责应为参与功能验证、缺陷排查等,该职位描述却为“零门槛 App 兼职招新”,用人要求也极为简单,以“全程手机操作,无需经验,一学就会”“学生党、上班族、宝妈均可轻松赚生活费”为噱头。经 AI 大模型综合研判,该职位涉嫌诱导求职者提供个人敏感信息注册各类陌生 App 进行“充场”。该职位在发布前就被系统拦截,招聘者账号被封禁。 类型 2:AI 漫剧编剧 某招聘者以“AI 漫剧兼职编剧”为名发布招聘信息,在沟通过程中以“初创公司”“小白也能上手带教”等话术吸引求职者关注。但在站外沟通中,并未和求职者讨论实际工作内容,而是要求先支付 1000 元剧本押金,并按指定剧本制作样片,声称样片通过后可退还,同时自行承担 AI 软件会员费用。该岗位未明确约定固定薪资,仅口头承诺后续按“五五分成”进行收益分配。经核实,相关违规账号已被平台封禁。 类型 3:兼职买手 随着电商大促常态化,部分不法分子打着“代拍下单”“转卖赚差价”“抢到即返佣”等旗号招聘买手。这类兼职表面看似合理,实际可能涉及刷单、虚假交易、套取平台补贴等违法违规环节。一旦求职者被引导至站外沟通,还可能被要求提前垫付资金或者提供个人账户,进而面临资金损失和信息泄露风险。 公开司法案例显示,曾有商家在参与电商平台“百亿补贴”活动期间,组织刷手虚假下单、发空包裹,骗取平台补贴款,相关人员最终因诈骗罪被判刑并处罚金。 案例 1 电商买手(垫资转卖型) 专项治理期间,平台发现有不法分子发布“兼职买手”职位,在添加求职者联系方式后,以“第一个月就卖了 20 多个包,利润能有 3 万元”为诱饵,声称求职者可先购买指定商品,再通过二手交易平台转卖赚取差价。求职者按照要求垫资 2659 元,在其指定店铺购买所谓的“奢侈品包”。但下单后,由于同款包定价明显高于市场价,商品迟迟无法转卖。求职者要求退款时,不法分子失联。求职者收到的商品实为假冒伪劣商品,无法正常转卖,最终只能自行承担损失。经核实,相关违规账号已被平台封禁。 案例 2 招聘大学生买茅台酒(实名代抢型) 某招聘者发布“学生兼职”,职位描述中表示“会在电商平台买东西就行”“一单提成 20-200 都有,一天赚点生活费不是问题”。在站外沟通时,该招聘者诱导求职者实名注册 App,并提供虚假收货地址, 再借用求职者本人账号配合外挂软件违规抢购茅台 。此过程中,求职者存在个人信息泄露风险。经核实,相关违规账号已被平台封禁。 类型 4:兼职电商运营 专项治理中,平台发现有不法分子发布跨境电商运营职位,在微信或 QQ 初步介绍岗位内容和薪资待遇后,以“跟进客户订单全过程”“对接店铺运营系统”等理由,将求职者二次引流至监管更宽松的第三方沟通平台。随后,不法分子逐步诱导求职者下载诈骗 App,并以开店、接单、垫付货款等名义诱导求职者充值。经核实,相关违规账号已被平台封禁。 类型 5:兼职游戏代练 某招聘者发布游戏代练职位。添加求职者联系方式后,该招聘者虚假承诺保证稳定接单,收取求职者 365 元的服务费,随后失联。经核实,相关违规账号已被平台封禁。 2026 年 1—5 月,在前置的职位审核环节,BOSS 直聘累计前置拦截风险职位超 2 万个,处置相关违规账号超 6000 个。同时在专项治理中,安全团队在职位发布后的沟通环节,利用 AI 大模型开展实时动态巡检并逐步扩大范围,当前日均识别并处置风险职位 1100 个。
近期黑客正在积极利用 ChatGPT 和 Claude 等流行的人工智能工具进行钓鱼,黑客选择这些工具是因为搜索量高且可以通过插件或内容共享等方式复用官方域名,至少对大多数用户而言直接从Google搜索结果的置顶广告里看不出来这是钓鱼网站,因此黑客的钓鱼成功率要显著更高。 恶意利用插件功能进行钓鱼: ChatGPT Canvas 功能可以用来创建类似网页的画布,在最新被发现的钓鱼活动中黑客就是利用这个功能创建仿冒的 ChatGPT 官方网站,在画布里黑客称当前访问量太高要求用户下载桌面版继续访问,而这个桌面版下载按钮其实指向黑客提供的恶意安装包。 这种钓鱼方式有多种显著特点:1. 黑客使用 ChatGPT 画布创建内容并分享,因此内容链接依然是 ChatGPT.com;2. 黑客在Google搜索里投放广告,广告显示的地址也是 ChatGPT.com,这可以降低用户的戒备心;3. 用户点击广告进入落地页后地址栏也依然显示的是 ChatGPT.com,而且这个网站是不会被安全软件拦截的。 对 OpenAI 来说也不太可能对用户创建的内容进行分享审核,所以未来此类钓鱼攻击应该会显著增加,对用户而言直接安装广告拦截扩展程序将Google搜索或其他搜索引擎的广告屏蔽可能是不错的选择。 Claude 中也有类似钓鱼案例: 此前已经有用户注意到 Claude 相关的钓鱼网站也出现在Google搜索广告里,其钓鱼手法与 ChatGPT 案例类似,也是利用 Claude.Ai 的内容分享功能,黑客首先利用 Claude 创建恶意对话,里面包含指向黑客控制的钓鱼网站或恶意软件下载链接,黑客提前制作针对多种热门软件的内容分享,例如当用户搜索 CPU-Z 时首页置顶广告就会引导用户跳转到 Claude.Ai 的分享内容,然后再诱导用户点击链接下载恶意软件。 Anthropic 显然也不会对用户分享的内容进行审核,所以这种钓鱼方式其实很难彻底斩断,这也是为什么说直接屏蔽各种搜索引擎广告可能是最佳做法的原因。 via Jan 查看评论
平时用这些国产shit都很小心 而且之前一直没更新 今天一着急就中招了,简直无语了 第一次是在这里,点击购买之后 这里选其他支付,然后没想到吧,还会来一次 而且这交互是真的有大病,要点击4次才能用自己正常的方式付款。。 4 个帖子 - 4 位参与者 阅读完整话题
广泛使用的开源压缩工具 7-Zip 再次被曝存在严重安全漏洞,攻击者只需诱导用户打开特制压缩包,就可能在受害系统上执行恶意代码。研究人员和安全机构警告,受影响范围或覆盖全球数以亿计的终端设备,普通用户和系统管理员应尽快升级到最新版本以降低风险。 此次新披露的安全问题被编号为 GHSL-2026-140,并登记为 CVE-2026-48095。漏洞与 7-Zip 处理基于 NTFS 的卷镜像文件方式有关,属于典型的堆内存缓冲区溢出,即在处理动态分配内存时出现越界写入,导致内存数据被破坏,从而为攻击者执行任意代码提供条件。 威胁情景相对简单:攻击者在压缩包中嵌入恶意构造的 NTFS 镜像文件,当用户在受影响版本的 7-Zip 中打开该压缩包时,程序在计算缓冲区大小时出现异常,错误分配了过小的内存空间,进而覆盖相邻堆区数据,触发未定义行为。安全公司 SOC Prime 指出,在不同平台和内存状态下,这一漏洞既可能被用来远程执行代码,也可能导致应用崩溃或形成拒绝服务攻击。 CVE-2026-48095 漏洞于 4 月被发现并私下通报给 7-Zip 开发团队。开发者随后发布了 26.01 版本,对相关问题进行了修复。几天前,官方安全公告正式公开,同时还出现了可利用该漏洞的 Python 概念验证脚本(PoC),这意味着攻击利用门槛进一步降低,增加了漏洞被快速武器化的风险。 安全研究人员强调,7-Zip 的用户基数和生态扩散效应是该漏洞风险“放大器”。作为一款免费开源的压缩软件,7-Zip 多年来已累计被下载数亿次,除桌面图形界面版本外,其命令行工具和底层库也被广泛嵌入到各类系统和应用中,用于支持多种压缩格式。这意味着,无论是在 Windows 还是 Linux 环境中,运行旧版本 7-Zip 的大量系统都有可能成为潜在攻击目标,一旦被利用,后果难以预估。 目前来看,唯一有效的缓解措施是尽快升级至 7-Zip 26.01 或更新版本。专家建议,终端用户应主动检查本机 7-Zip 版本号,及时从官方渠道下载并安装最新版本;企业和机构管理员则需要尽快梳理内部系统、脚本和服务中使用的 7-Zip 组件,统一部署更新,并评估相关资产可能面临的攻击面。鉴于公开 PoC 已经出现,留给未打补丁系统的“缓冲期”可能相当有限。 查看评论
最明显的一点就是不会再一个劲的要诱导你继续问问问。感觉舒服了很多。 整个的风格也很成熟稳重 不会再特别侧重你的倾向,中立了很多,感觉也很好。 大伙有没有体会到?
最明显的一点就是不会再一个劲的要诱导你继续问问问。感觉舒服了很多。 整个的风格也很成熟稳重 不会再特别侧重你的倾向,中立了很多,感觉也很好。 大伙有没有体会到?
IT之家 5 月 7 日消息,科技媒体 cyberkendra 今天(5 月 7 日)发布博文,指出 Ubuntu 的官方 X 账号可能遭到黑客劫持,诱导用户前往 ai-ubuntu.com 网站, 并推广名为 Numbat 的虚假 Solana AI 智能体,以及欺诈性的 $UM 加密货币。 IT之家发稿前访问 @ubuntu 账号,相关推文已被移除。不过根据该媒体分享的截图,该推文声称“Numbat”是 Ubuntu 构建的最新 AI 智能体,并引导用户访问钓鱼网站 ai-ubuntu.com ,企图窃取用户资产。 诈骗网站设计极具欺骗性,攻击者直接盗用 Ubuntu 官方 AI 文档内容,涉及 Charmed Kubeflow、英伟达合作伙伴关系及 MLOps 工作流等真实信息。 网站通过嵌入“$UM 加密货币”空投奖励和倒计时机制,营造紧迫感,诱导受害者进行“资格检查”,实则是为了窃取钱包连接权限或个人数据。 安全分析显示,该域名于 2026 年 5 月 6 日注册,注册商为 NICENIC INTERNATIONAL GROUP CO., LIMITED。 攻击手法属于典型的品牌冒充,利用技术术语和真实合作伙伴 Logo(如 TensorFlow、PyTorch)降低受害者警惕。Canonical 官方尚未对此事发表声明。
近期发现有 v 友购买了正价 Claude/Openai 订阅后,疑似被卖家诱导将账号用于反向代理(反代转 API )。提醒大家:将账号反代为 API 使用属于严重违反 TOS 的行为,一经检测账号将被封禁(返回 401 )。相关帖子见楼下,请大家提高警惕,避免被套路。 建议 拼车时要求对方提供独立邮箱登录 + 2FA / OAuth 权限,而不是只收到一个 API 地址——后者很可能是套壳中转,并非你真正持有的账号。 https://www.v2ex.com/t/1210577 https://www.v2ex.com/t/1210117 https://www.v2ex.com/t/1209362 https://www.v2ex.com/t/1208090 https://www.v2ex.com/t/1203227 https://www.v2ex.com/t/1199792 https://www.v2ex.com/t/1197753 https://www.v2ex.com/t/1156031 这里不是说所有发帖人都是商家,也不是说所有人都是故意违规。很多人可能只是想给自己或小团队省钱、稳定使用,结果被“正价账号 + 私人反代 / OAuth / 号池”的话术带偏。最终抱怨 Claude/Openai 无故封号。 Openai 提供 Free 账号也有使用 Codex 中所有模型的权限,额度是 Plus 的一半,同时提供新注册账号 Plus 订阅首月免费试用,建议先体验后购买
近期发现有 v 友购买了正价 Claude/Openai 订阅后,疑似被卖家诱导将账号用于反向代理(反代转 API )。提醒大家:将账号反代为 API 使用属于严重违反 TOS 的行为,一经检测账号将被封禁(返回 401 )。相关帖子见楼下,请大家提高警惕,避免被套路。 建议 拼车时要求对方提供独立邮箱登录 + 2FA / OAuth 权限,而不是只收到一个 API 地址——后者很可能是套壳中转,并非你真正持有的账号。 https://www.v2ex.com/t/1210577 https://www.v2ex.com/t/1210117 https://www.v2ex.com/t/1209362 https://www.v2ex.com/t/1208090 https://www.v2ex.com/t/1203227 https://www.v2ex.com/t/1199792 https://www.v2ex.com/t/1197753 https://www.v2ex.com/t/1156031 这里不是说所有发帖人都是商家,也不是说所有人都是故意违规。很多人可能只是想给自己或小团队省钱、稳定使用,结果被“正价账号 + 私人反代 / OAuth / 号池”的话术带偏。最终抱怨 Claude/Openai 无故封号。 Openai 提供 Free 账号也有使用 Codex 中所有模型的权限,额度是 Plus 的一半,同时提供新注册账号 Plus 订阅首月免费试用,建议先体验后购买
因为最近看到挺多在 抽奖贴 下面 提问 ,但是又确实说明了自己需要这个东西的回复。 会诱导别人脱离实际主题去回复 ,甚至出现重复发帖。 还是说提问是合规的,但是想要回复的人只能通过boost的方式进行回复。 总之直接提问的,应该是直接脱离主题的,因为看不出他真的需要这个东西。 8 个帖子 - 5 位参与者 阅读完整话题
IT之家 4 月 22 日消息,苹果近期对 MyFitnessPal 旗下的饮食记录应用 Cal AI 展开整顿,表明这家科技巨头仍在严格执行 App Store 关于外部支付使用的相关规定。苹果向 TechCrunch 表示,这款卡路里计算应用上周曾短暂从 App Store 下架,原因是该应用试图规避苹果的应用内购买准则,且采用了诱导性营销手段。 目前开发者已整改相关问题,该应用已重新上架苹果 App Store。 上周,Cal AI 被 App Store 拒发上架资格的消息在社交媒体上引发热议。苹果此举显然是拿该公司“杀鸡儆猴”。Cal AI 最初由两名高中生创立,在今年 3 月被 MyFitnessPal 收购前,其年度经常性收入已达 5000 万美元(IT之家注:现汇率约合 3.42 亿元人民币)。 起初外界担忧,苹果下架该应用仅仅是因为其采用网页支付而非苹果自家的应用内购买(IAP)服务,尽管如今这种做法已被允许。 受 Epic Games 起诉苹果一案的法院判决影响, 当前苹果 App Store 准则允许美国地区开发者跳转至外部支付系统 。不过在多数情况下,应用仍需在提供外部支付链接的同时,保留苹果应用内购买选项。(主要例外情况为苹果定义的“阅读器类应用”,即提供书籍、音频、音乐、视频流媒体等数字内容订阅服务的应用,而 Cal AI 并不符合该例外条件。) 苹果在回应置评请求时称,该应用被短暂下架是因多项违规行为, 包括绕过苹果应用内购买流程、采用欺诈性计费设计及其他诱导性手段 。这一事件表明,即便 Epic 案的判决放宽了部分此前的限制,苹果仍在积极监管开发者的网页支付实施方式。 苹果表示,最主要的违规行为是 Cal AI 通过接入第三方支付服务(本次为 Stripe)搭建嵌入式应用内支付流程,以此解锁数字内容权限,完全绕开了苹果应用内购买,在结算环节未向用户提供该选项。这违反了苹果应用审核准则 3.1.1 条款, 该条款要求应用必须同时提供应用内购买和外部链接两种支付方式。 此外,苹果称 Cal AI 还存在欺诈性计费行为,违反了准则 3.1.2c 条款,其付费弹窗设计刻意误导、迷惑消费者。具体而言,该弹窗将折算后的周度定价突出展示,却弱化用户实际需支付的总金额;同时设置免费试用开关,却模糊隐藏订阅自动续费的相关信息。 苹果还指出,Cal AI 因采用“诱导性手段”违反了开发者行为准则 5.6 条款,遭到进一步处罚。其中一项问题是,用户拒绝首次订阅优惠后,应用会立刻弹出另一套不同的订阅购买流程引导消费。此外,该应用收到大量用户差评,不少人因第三方支付选项的展示方式,指责其为诈骗应用。 苹果证实,被下架后,Cal AI 已完成问题整改,得以重新上架。 在苹果与 Epic Games 诉讼案判决后,Cal AI 试图试探苹果应用审核团队的执法力度,而苹果的此次行动无疑是一则警示:即便可能损失这款热门应用的收入分成,这家科技巨头仍在严格监管其 App Store ,目前该应用在苹果 App Store 健康与健身类榜单中位列第四。
IT之家 4 月 18 日消息,安全研究团队 OX Security 本周(4 月 15 日)发现,Anthropic 创建、维护的行业标准 AI 通信协议 MCP(IT之家注:Model Context Protocol)存在设计缺陷, 可导致服务器被诱导执行任意代码(RCE) 。 据介绍,该漏洞并非普通的疏忽,而是架构层面的设计缺陷并存在于官方 MCP SDK 中。影响 Python、TypeScript、Java 和 Rust 等所有支持语言,等于说任何基于 MCP 构建的项目都存在这一风险。 研究人员主要识别出未认证 UI 注入攻击、安全加固绕过、提示词注入、恶意插件分发等四种主流攻击路径,并在多个真实生产环境中成功利用漏洞。 目前,该机构已在 LiteLLM、LangChain、IBM LangFlow 等主流项目中发现关键漏洞, 目前已分配 10 个 CVE 编号且仍在不断增加 ,均属“严重”级别。 研究团队透露,他们曾多次联系 Anthropic 并希望修复漏洞。 但对方拒绝修改架构 ,并称该行为属于“预期设计”。 团队随后告知公司,将公开研究成果。对方未提出异议。 团队建议,所有用户都不应该将大语言模型、AI 工具等暴露在公网环境,并且将 MCP 输入直接视为不可信数据,防止提示词注入。同时启用沙箱环境运行服务并时刻更新最新软件,将权限锁住。
IT之家 4 月 14 日消息,Anker 安克在微博发布公告,称近期有不法分子在小红书、微博等社交平台冒用公司商标及品牌名义,伪造官方身份,以 " 抽奖活动 " 为由诱导消费者付款入群。 对此,安克表示, 公司官方活动仅通过官网(填写)及官方认证账号发布 ,请认准官方渠道。IT之家随附官方公告如下: 我司从未在任何社交平台组织过需要先行付款、拉群的抽奖活动; 任何未经我司官方授权以我司名义开展的活动均与我司无关; 我司已通过合法途径固定证据,并将依法追究相关侵权方的法律责任; 如遇类似情况,请广大消费者提高警惕,避免财产损失,并及时向公安机关报案。
IT之家 4 月 13 日消息,安全公司 Noma 发布研究报告,披露开源监控与数据可视化平台 Grafana 的 AI 助手功能中存在一项名为“GrafanaGhost”的安全漏洞,允许黑客利用“间接提示注入”(Indirect Prompt Injection)方式诱导 AI 助手泄露企业敏感数据至外部服务器。 据介绍,Grafana 内置的 AI 助手支持用户通过自然语言查询与分析监控数据。 但研究人员发现,黑客可以在 Grafana 可访问的外部网页中嵌入恶意指令 。当 AI 助手解析这些内容时,可能被误导绕过既有安全机制,并触发对外请求,将敏感信息以 URL 参数形式发送至黑客控制的服务器,由于整个过程不会产生明显报错提示,用户往往难以及时察觉异常。 对此,安全媒体 Hackread 援引 Grafana 开发方 Grafana Labs 首席安全官 Joe McManus 的说法称, 公司在收到通报后已迅速修复相关问题 。同时其强调,该漏洞并不属于“零点击”(zero-click)或“自主攻击”(autonomous exploit)类型,黑客本身需要先获得用户端权限,才能主动与 AI 助手交互,同时需要多次触发才能实现恶意操作。 Grafana Labs 进一步表示,目前没有证据表明该漏洞已被实际利用,也未发现 Grafana Cloud 有数据泄露的情况。相应问题属于特定条件下、由用户操作触发的风险场景,而非完全自动化、无感知的 AI 攻击,因此呼吁平台用户无需紧张。
小红书从6月3日起,对金融领域认证专业号开展专项治理行动。依据相关法律法规及平台规则,金融类认证仅向持有合规牌照的机构发放,平台认证专业号的昵称命名须与认证主体实际业务范围严格匹配,不得以虚假、误导性信息获取认证标识。近一周,小红书已经处置1500余个违规金融专业号,并将持续、全面加固对公验证校验机制,展开专项针对存量账号的常态化巡查及处置。工作人员介绍,5月以来,小红书平台共处置涉金融领域违规及无金融相关资质营销账号3.1万个,包括针对非法诱导跨境投资问题,共处置非法诱导跨境投资等违规笔记539条、评论146条;针对外资投行研报低价倒卖行为,共处置相关违规笔记141篇,冻结相关商品132件。此外,平台还处理涉嫌黄金金融营销宣传信息、境外平台境内展业宣传等涉嫌违规信息130余条。(证券时报)