#privacy

Grok CLI 默认上传整个代码库和密钥文件

gist.github.com · ⭐️ 9/10 · 2026-07-12

9/10

安全研究人员发现,xAI 的 Grok CLI(版本 0.2.93)会默认将整个 Git 仓库和.env 等敏感文件自动上传至 Google Cloud Storage,即使提示词指示不要读取特定文件。关闭"改进模型"设置也无法阻止上传。 该漏洞默认暴露了用户的专有代码、API 密钥和凭证,带来了严重的隐私和安全风险。它破坏了用户对 AI 辅助编程工具的信任,并引发了对数据处理方式的质疑。 该工具通过两种渠道发送文件内容:嵌入模型对话请求中以及作为 git bundle 文件。在 12 GB 仓库的测试中,超过 5 GiB 的数据成功上传且未被拒绝。设置中的关闭开关对上传行为没有影响。

欧盟议会批准聊天控制 1.0 大规模扫描

patrick-breyer.de · ⭐️ 9/10 · 2026-07-09

9/10

2026 年 7 月 8 日,欧洲议会投票允许对私人信息进行大规模扫描,直至 2028 年 4 月 3 日,尽管多数议员反对此项措施。 这一决定代表着欧盟数字隐私的重大挫折,因为它允许在 Gmail、Snapchat 和 Skype 等平台上对私人通信进行无证扫描,为大规模监控开创了先例。 否决该扫描法律的动议未能通过,因为它需要所有 705 名议员中的绝对多数(361 票),而不仅仅是出席的议员;只有 314 票反对,276 票赞成,17 票弃权,113 人缺席。

欧盟即将重启消息扫描规则

cyberinsider.com · ⭐️ 9/10 · 2026-07-08

9/10

欧盟距离重启一项要求扫描私人消息以查找儿童性虐待素材的提案仅一步之遥,这对端到端加密的未来构成威胁。 如果该规则得以实施,可能会破坏整个欧盟的隐私和加密保护,影响数亿用户,并为大规模监控树立危险先例。 该提案被称为“聊天控制”,包含两个版本:聊天控制 1.0 允许平台自愿扫描,而聊天控制 2.0 强制要求扫描并实际上禁止端到端加密。

YouTube AI 提示注入漏洞泄露创作者私密视频

javoriuski.com · ⭐️ 9/10 · 2026-07-04

9/10

YouTube 的 AI 评论摘要工具中存在一个提示注入漏洞,攻击者通过留下精心构造的评论注入恶意提示,从而泄露创作者的私密视频标题。 该漏洞通过暴露创作者的私密视频标题侵犯其隐私,并凸显了在面向用户的应用中集成大语言模型时缺乏对提示注入的充分防护所带来的广泛安全风险。 当创作者打开 YouTube Studio 的评论标签并点击建议的 AI 提示时,攻击即可生效;注入的评论强制模型在其响应中包含私密视频标题。社区测试结果不一,部分用户无法复现该问题,表明 YouTube 可能已采取部分缓解措施。

中国研究人员开发出一种非接触式取证技术,通过分析泄漏的低频电磁信号来识别智能手机正在使用的应用及操作,在 iPhone 15 Pro、小米 15 Pro 和 OPPO Reno 13 等设备上准确率高达 99.07%。 这种攻击方法即使手机处于离线、飞行模式、加密或锁定状态也能工作,无需访问设备系统或存储数据,因此构成了严重的隐私威胁。 该技术分析了运行中智能手机组件发出的低频电磁(EM)信号,研究人员在抖音、微信视频通话、百度地图、短信、浏览器、相机和云存储等流行应用上进行了测试。

欧盟聊天控制提案:隐私与儿童安全之争

fightchatcontrol.eu · ⭐️ 8/10 · 2026-07-07

8/10

欧盟正在推进聊天控制 1.0 和 2.0 提案,要求消息平台扫描所有私人消息和上传内容以查找儿童性虐待材料,这可能削弱端到端加密。 这些提案代表了向大规模监控的重大转变,威胁到所有欧盟公民数字通信的隐私和安全。如果通过,可能开创削弱加密的全球先例,并赋予政府更广泛的监控能力。 聊天控制依赖于客户端扫描,即在加密前检查用户设备上的内容,绕过端到端保护。这些提案因误报等技术风险以及当局可能超出儿童保护目的滥用而受到批评。

欧盟强制要求所有新车安装驾驶员监控摄像头

allaboutcookies.org · ⭐️ 8/10 · 2026-07-07

8/10

自 2024 年 7 月起,欧盟《一般安全法规 2019/2144》要求所有在欧盟销售的新车型必须配备驾驶员监控系统(DMS),该系统通过摄像头检测分心和疲劳驾驶。 该法规旨在减少因驾驶员注意力不集中引发的事故,但也引发了驾驶员和消费者权益倡导者对隐私和可用性的重大担忧。 DMS 必须纳入车辆型式认证流程,且不能被永久禁用。该系统通常使用红外摄像头追踪眼球和头部运动,在检测到分心时发出警报。

欧盟议会通过聊天控制第一轮投票

heise.de · ⭐️ 8/10 · 2026-07-07

8/10

欧洲议会出人意料地在二读阶段重新提出备受争议的《聊天控制法》,并在第一轮程序投票中通过,为支持者提供了战术优势。 该法律将强制对私人信息进行大规模监控,威胁端到端加密和数字隐私。其推进可能为欧盟广泛监控树立危险先例。 在二读中,修正或否决需要绝对多数(361 票),而法律本身只需出席议员的简单多数即可通过。许多议员已因暑假离场,使得否决变得更加困难。

谷歌在搜索服务历史记录中新增了“保存媒体”设置,该设置会保存来自 Google Lens、Search Live、语音搜索和翻译口语练习等功能的媒体,并将其用于改进谷歌服务和 AI 模型。 这项政策变化影响了使用这些功能的数百万用户,引发了关于媒体数据如何用于 AI 训练的隐私担忧。它也凸显了在 AI 数据收集日益增多的时代,选择退出机制的重要性。 该设置是谷歌账号“搜索服务历史记录”的一部分,用户可以通过关闭“保存媒体”来选择退出。媒体包括来自 Google Lens、Search Live、语音搜索和翻译口语练习的图片、文件、音频和视频。

iOS 27 Trust Insights:设备端防诈骗,保护隐私

cultofmac.com · ⭐️ 8/10 · 2026-07-04

8/10

Apple 在 iOS 27 中推出了 Trust Insights 功能,这是一个设备端反欺诈功能,通过分析用户行为模式来检测诈骗,而不会读取信息或照片等个人内容。 该功能在完全设备端处理数据并仅向服务器发送一个匿名输出的同时,增强了用户抵御电话诈骗的安全性,并保持了强大的隐私保护。 Trust Insights 利用设备传感器数据和上下文分析,识别类似被诈骗分子指导转账或改账户的可疑行为;在交易前可触发警告、短暂延迟或额外身份验证。

F-Droid:Android 开发者验证是特洛伊木马

f-droid.org · ⭐️ 8/10 · 2026-07-02

8/10

F-Droid 发布文章称,Google 从 2026 年 9 月开始要求验证开发者身份并注册包名的 Android 开发者验证,实际上是一种伪装成保护的威胁,尤其危害开源应用分发。 此验证可能限制在认证 Android 设备上安装来自 F-Droid 等第三方商店的应用,损害用户自由和开源生态。这代表了平台控制的更广泛趋势,影响依赖替代应用来源的开发者与用户。 Google 的开发者验证要求开发者验证身份并注册包名,从 2026 年 9 月起,在特定地区,只有已验证开发者的应用才能安装在认证 Android 设备上。F-Droid 声称这给了 Google 对应用分发的控制权,如同特洛伊木马。

苹果协助 FBI 溯源 iCloud 匿名邮箱用户

t.me · ⭐️ 8/10 · 2026-07-02

8/10

苹果向 FBI 提供了与一个用于发送威胁信息的“隐藏邮箱地址”相关联的真实 iCloud 账户信息,导致嫌疑人 Alden Ruml 被识别并承认发送威胁邮件。 此案表明,苹果宣传为隐私保护工具的“隐藏邮箱地址”功能并非完全匿名,在执法调查中可追溯到用户身份,这动摇了用户对苹果隐私承诺的信任。 嫌疑人 Alden Ruml 通过“隐藏邮箱地址”功能创建了 134 个匿名邮箱地址,并承认向 FBI 局长 Kash Patel 的女友 Alexis Wilkins 发送了威胁信息。

Claude Code 2.1.91 隐藏遥测检测中国地区

reddit.com · ⭐️ 8/10 · 2026-07-01

8/10

Anthropic 的 Claude Code 2.1.91 版本包含混淆代码,用于检测中国时区和代理 URL,并将地区信息编码入发送至 API 的提示词中,且未在更新日志中披露。 此事引发了对 AI 工具用户隐私和透明度的严重担忧,因为该功能可能在用户不知情的情况下识别未授权使用或模型蒸馏,从而破坏信任。 检测逻辑使用 XOR 密钥 91 混淆,检查时区是否为 Asia/Shanghai 或 Asia/Urumqi,以及代理 URL 是否指向中国域名或 AI 实验室;地区数据通过修改系统提示中的日期格式和 Unicode 撇号进行编码。

8/10

美国最高法院裁定,执法部门利用地理围栏搜查令从谷歌获取手机位置数据的行为构成第四修正案下的搜查,需要具备可能原因并取得搜查令。该裁决涉及 2019 年弗吉尼亚州一起银行抢劫案。 这一里程碑式的裁决加强了数字隐私保护,要求执法部门在获取批量位置数据前必须满足宪法标准。它为法院如何处理反向位置搜查令设定了先例,并限制了对无辜旁观者的无证监控。 该地理围栏搜查令要求谷歌提供抢劫案发生前后 30 分钟内、银行周边 150 米范围内设备的位置数据。法院认为,获取这些汇总的位置历史侵犯了合理的隐私期待,驳回了公共场所数据不受保护的主张。

IP Crawl:公开网络摄像头的实时图谱

ipcrawl.com · ⭐️ 8/10 · 2026-06-28

8/10

IP Crawl 是一个网站,它绘制并提供了公网上发现的数千个未加密网络摄像头的实时画面。它作为一个可搜索的图谱,展示了这些暴露的设备。 这凸显了物联网设备广泛存在的安全隐患,因为许多用户连接摄像头时未进行适当配置,导致私人空间暴露给任何人。这引发了重大的隐私和伦理问题,尤其是对于不了解自己摄像头可能被公开访问的非技术用户。 该网站通过互联网大规模扫描发现网络摄像头,并显示无需认证的实时画面。许多画面来自使用默认设置的常见 IP 摄像头品牌,网站还包含一个显示大致位置的地图视图。