不安全

谷歌 Gemini 推出新功能，用户可通过简单描述记忆或创意生成包含精美插画和旁白音频的10页故事书。该工具支持高度自定义，可上传照片、文件或从 Gemini 获取灵感。生成时间仅需约1分钟，适用于为儿童或成人创作绘本，并可通过 Gemini 网页版轻松创建。

当前环境出现异常,需完成验证后方可继续访问。

HTTP/1.1协议存在致命漏洞，数千万网站面临恶意接管风险。攻击者利用去同步化技术构造恶意请求，导致反向代理与后端服务器解析分歧，引发数据泄露、代码注入等严重后果。升级至HTTP/2是唯一解决方案，但主流厂商尚未支持HTTP/2上游连接，网站仍暴露风险中。

当前环境出现异常,需完成验证后方可继续访问。

当前环境出现异常，需完成验证后方可继续访问。

文章指出当前环境异常，需完成验证后才能继续访问。

在三个月的数据收集期间，DShield传感器发现巴拿马来源占总攻击流量的65%以上。进一步分析显示这些攻击来自NForce Entertainment B.V.的/24子网及ASN 43350。该ISP常出租IP给高风险VPN和代理服务，并与钓鱼、恶意软件活动相关联。建议网络防御者采取措施包括标记特定流量、阻止远程桌面协议、监控SSH活动及部署Web应用防火墙以应对威胁。

大疆发布ROMO扫拖机器人，售价4399元起；OpenAI推出开源GPT模型；Anthropic升级Claude Opus 4.1；CHERRY推出三款KW系列键盘。

当前环境出现异常，需完成验证后方可继续访问。

研究人员发现一种通过恶意提示劫持谷歌Gemini AI助手的攻击手段，可窃取邮件、追踪位置并控制智能家居设备。该技术利用日历邀请或邮件中的隐藏提示注入指令，在用户与AI互动时触发恶意操作。攻击者可借此操控联网应用和物理设备。谷歌已采取缓解措施以应对这一新型AI安全威胁。

文章探讨了秘密（如API密钥）的生命周期管理的重要性。从创建到退役，每个阶段都可能影响安全性。尽管理论上应谨慎处理，但实践中常出现泄露问题。例如，2023年和2024年分别有大量秘密被泄露。文章概述了五个关键阶段：创建、存储、使用与轮换、监控与访问管理以及退役，并强调忽视管理会增加风险。建议采用自动化工具以提升安全管理。

炉边谈话探讨了现代安全中密钥管理的重要性。专家指出，随着威胁演变和复杂性增加，有效的密钥管理已成为必需。他们强调了内部威胁、手动管理成本及解决方案需具备的安全性、易用性和可扩展性。

文章讨论了对人工智能（AI）炒作的看法。作者指出朋友Marcus Hutchins对AI持怀疑态度，并认为其对“智能”的定义过于狭隘，仅限于“新颖发现”，而忽视了日常知识工作中大量智力活动的重要性。作者强调这些工作无法被自动化取代的事实证明它们需要真正的智能，并认为AI之所以具有颠覆性是因为它首次能够模拟这种人类智能。

Proxmox VE 9.0 正式发布，基于 Debian 13 和 Linux 内核 6.14.8-2 打造，支持 QEMU 10.0.2、LXC 6.0.4 等组件升级，并新增快照链式支持、高可用配置优化及现代化移动端界面。

美国网络安全机构CISA将D-Link摄像头和网络视频录像机的三个漏洞加入已知被利用漏洞目录。这些漏洞允许攻击者获取管理员密码或注入命令控制设备。联邦机构需在2025年8月前修复以防止攻击。

文章描述了curl工具在处理HTTP方法和重定向时的一个历史问题及其解决方案。早期版本中使用-X选项会改变所有请求的HTTP方法，导致潜在问题。为了解决这一问题，在curl 8.16.0中引入了新的--follow选项，允许正确调整后续请求的方法以响应服务器返回的状态码。这一功能特别适用于非传统HTTP方法（如PATCH和即将推出的QUERY）的重定向处理。

Google修复了高通的两个被积极利用的漏洞（CVE-2025-21479和CVE-2025-27038），影响GPU驱动。同时修复了其他安全问题，包括一个严重漏洞（CVE-2025-48530），允许远程代码执行。建议用户尽快安装更新。

文章描述了一位完全没有计算机科学背景的新手对网络、网络安全和黑客技术的兴趣，并寻求从零开始的学习路线图。作者希望全面理解攻击与防御，并询问了学习顺序、工具选择、资源推荐以及安全练习环境等问题。

一个开放的黑客社区，旨在帮助新手成长为资深地下技能掌握者。提供问答学习资源，并通过Discord平台促进交流与合作。

文章探讨了AI如何重塑网络安全测试领域，通过自然语言驱动、实时适应和智能报告等功能，使渗透测试更加高效精准，并构建了一个基于API的架构以实现更灵活的攻击模拟。