Ars Technica 报道揭示:Pokemon Go 母公司 Niantic 分拆出来的 Niantic Spatial,使用 300 亿张玩家街景扫描图像训练「大型地理空间模型」,并把这套能力卖给美国防务承包商 Vantor(前 Maxar Intelligence),用于开发 GPS 拒止环境下的无人机视觉定位系统。这条「游戏玩家→AI 训练→军售」的链路,几乎每个环节都「合规」,但合在一起就是一个关于数据所有权漂移、知情同意失效与 AI 双用途困境的典型案例。

Oracle PeopleSoft 的 CVE-2026-35273 SSRF 漏洞评分高达 9.8,ShinyHunters 从 5 月 27 日起利用它攻击了约 100 家组织,其中 68% 是高校,英国诺丁汉大学已经公开承认受害。从 Mandiant 公布的攻击链还原、暂存服务器里的 bash 脚本、176.120.22.24 外联 IP 和 zstd 压缩痕迹,看这次「高校被一锅端」背后,ShinyHunters 从攻击 FBI 失败后转向防守更松的高校的「替代战场」策略。

2026 年 6 月 11 日,Arch Linux 用户仓库(AUR) 维护者邮件列表披露,数百个 AUR 软件包遭攻击者通过窃取的维护者凭据注入了信息窃取恶意软件。这不是普通的安全事件——它直接命中了 AUR 「去中心化+无中心审计」的核心哲学,也再次给整个开源供应链敲响了警钟。

AWS 把 Anthropic 旗舰模型 Claude Fable 5 摆上 Bedrock 货架,却悄悄在支持文档里加了一条:客户对话默认保留 30 天、数据「离开 AWS 边界」流向 Anthropic。这条被开发者称为「Bedrock 史上最激进数据政策」的条款,把「中立模型市场」的默认安全网拆掉了一个口子,也给企业数据治理出了道新考题。

2026 年 6 月,Telus Digital 确认 5 月底遭受供应链攻击,黑客通过第三方 IAM 供应商的 API 密钥窃取了约 380 万用户数据和企业元数据,据传总量近 1 PB。这场事件再次证明:2026 年企业安全的最大单点故障,是你的供应商的供应商。

美国网络安全和基础设施安全局（CISA）发生严重数据泄露事件，敏感凭证被发现在公开GitHub仓库中流动，多位国会议员已要求CISA局长作出解释。本文深度解读这一事件的原因、影响及警示意义。

2026年5月，纽约市健康与医院系统确认遭遇网络攻击，至少180万患者数据被窃取，其中包括指纹等生物识别信息。本文深度解读事件经过、原因分析及其对普通人的影响。