IT之家 5 月 6 日消息,针对黑客组织 ShinyHunters 声称攻破 GeForce Now 云系统并窃取用户数据,英伟达回应称, 本次安全事件仅限于亚美尼亚第三方合作伙伴 GFN.am 的本地系统,英伟达主数据库未受影响。 科技媒体 NotebookCheck 昨日(5 月 5 日)发布博文,报道称黑客组织 ShinyHunters 宣布攻破了 GeForce Now 云系统,并掌握了完整的用户数据库,内含账号、个人信息、邮箱、会员状态及各类凭证。 英伟达迅速回应澄清,确认本次安全事件,但否认全球系统遭入侵。调查发现,问题仅出在亚美尼亚的第三方合作伙伴 GFN.am 身上,英伟达自营服务未受任何影响,目前正协助该伙伴调查并修复问题。 英伟达为了拓展本地市场,GeForce Now Alliance 合作伙伴在本地系统运行独立数据库,因此理论上而言, GFN.am 的安全漏洞无法波及英伟达的主数据库。 IT之家注:GeForce Now Alliance 是英伟达的云游戏区域合作计划。英伟达通过与全球各地的本地服务商合作,由合作伙伴在本地运营 GeForce Now 服务器并维护独立数据库,从而降低网络延迟并满足数据合规要求。优势在于快速扩张全球市场覆盖面,劣势在于安全标准难以统一管控。 不过报道指出 GFN.am 的服务不仅覆盖亚美尼亚,还延伸至阿塞拜疆、格鲁吉亚、哈萨克斯坦、摩尔多瓦、乌克兰和乌兹别克斯坦,这些地区的玩家数据均面临泄漏风险。 据报告,泄露数据包含双因素认证元数据,万幸的是用户密码未暴露。 GFN.am 已发布声明,称已采取必要措施控制漏洞,并将在 24 小时内直接通知受影响用户。 NVIDIA GeForce Now 宣传图
IT之家 4 月 19 日消息,据 TomsHardware 今日报道,一名 Reddit 用户发帖抱怨东芝拒绝为一块仍在保修期内的 20TB 以上企业级硬盘提供更换服务。东芝以“无可用库存”为由拒绝保修更换,若要更换为 24TB 硬盘可能需要等一年。 IT之家注: 东芝的 NAND 闪存 / SSD 业务 早已分拆为 铠侠(Kioxia) ,但这 不影响机械硬盘业务 。东芝目前仍是全球三大机械硬盘制造商之一,在企业级 / 数据中心 HDD 市场占有较高份额。 据该用户称,他所在公司数月前为其存储阵列购买了多块 20TB 以上的硬盘。其中一块出现故障后,他们将硬盘退回东芝,却被告知仅支持按原价退款。然而,这款硬盘现在已经大幅涨价,这意味着该公司必须以更高的价格购买新硬盘。 毫无疑问,这对任何买家来说都足够无语,尤其是对企业用户而言 —— 企业的采购决策往往不仅仅基于价格,还会综合考虑可靠性、耐用性以及售后服务。 发帖人称:“我猜他们是从 AI 泡沫中看到了商机,于是卖掉了安全库存,或者这些硬盘的故障率异常高。无论哪种原因,都应该远离。” 另一名 Reddit 用户反映,其购买的 Silicon Power 内存因故障退货时被收取了 15% 的折旧费。如果内存价格平稳,这或许影响不大。但如今一对 8GB DDR5 内存条的售价已超过 200 美元(现汇率约合 1368 元人民币),而他买的时候不到 55 美元,这意味着该用户拿回的退款甚至不足以购买一根新的 8GB 内存条。
IT之家 4 月 19 日消息,彭博社记者马克 · 古尔曼(Mark Gurman)在今天最新一期《Power On》通讯中表示,苹果 WWDC 26 宣传海报已经提前暗示了 iOS 27 系统中升级版 Siri 的全新 UI 设计。 与此同时,受全行业内存短缺影响,苹果两款备受期待的 Mac 新品 —— 新款 Mac Studio 和搭载触控屏的 MacBook Pro—— 可能面临推迟。 古尔曼表示,苹果原计划在年中推出搭载 M5 Max 和 M5 Ultra 芯片的新款 Mac Studio,以接替去年的 M4 Max 和 M3 Ultra 版本。然而,由于内存短缺已导致部分高配机型发货推迟数月,新款 Mac Studio 的内部预估发货时间已调整至 10 月左右。 另一款备受期待的产品 —— 搭载 M6 芯片并首次配备触控屏的 MacBook Pro 同样面临延期。古尔曼此前预测该机型将在 2026 年底至 2027 年初发布,很多人押注 10 月或 11 月的秋季发布会。现在他修正为“更可能落在该时间段的后期”—— 即 2027 年初。 据介绍,该机型将迎来三大核心升级:OLED 触控屏(带灵动岛)以及 M6 Pro / Max 芯片。古尔曼明确排除了“开发进度拖累”的可能性,指出软件层面 macOS 27 秋季就能准备好触控适配,此次延迟纯粹源于供应链瓶颈。IT之家后续将保持关注。
IT之家 4 月 16 日消息,网络安全公司 OX Security 昨日(4 月 15 日)发布报告, 披露 Anthropic 的 MCP(模型上下文协议)存在设计缺陷,可导致远程代码执行。 该设计缺陷影响范围极广,导致超过 20 万台 AI 服务器面临远程代码执行风险。 IT之家注:MCP 全称为 Model Context Protocol,是 Anthropic 公司于 2024 年 11 月推出的 开源开放标准,让 AI 大模型无缝连接并操作各种外部数据和工具。 本次披露的缺陷潜伏在 modelcontextprotocol SDK 的 STDIO 接口中,该接口本用于启动本地服务器进程,并将控制权移交 AI 模型,但底层执行逻辑会运行任何传入的 OS 命令,即使伪造服务器启动失败返回错误,命令仍会执行,全程无校验、无警告。 OX Security 认为这不是代码笔误,而是架构层面的设计决策。漏洞波及 Anthropic 官方支持的全部 11 种语言:Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust。 任何基于 MCP 构建的开发者都会自动继承这一风险,OX Security 历时数月调查,识别出四种攻击家族,并在真实环境中完成验证。 报告指出 LangFlow 平台有 915 个公开实例,攻击者无需账户即可获取会话令牌并推送恶意配置实现完整接管。 Letta AI 平台遭中间人攻击,研究者拦截 " 测试连接 " 请求并替换载荷,直接在生产服务器执行任意命令。 Flowise 虽尝试通过命令白名单和特殊字符过滤进行防护,但研究者借助 npx 的 -c 参数一步绕过,这证明当底层架构允许任意子进程执行时,临时输入过滤毫无意义。 第四类攻击直指开发者终端。Windsurf IDE 漏洞最为严重:用户访问恶意网站后,无需任何点击即可在本地执行任意命令,该漏洞追踪编号为 CVE-2026-30615。 Cursor、Claude Code、Gemini-CLI、GitHub Copilot 等 IDE 同样存在提示注入风险,但因需要至少一次用户交互,被 Anthropic 和微软归类为“设计预期”。 Anthropic 于 2026 年 1 月 7 日收到通报后回应称属于预期行为,9 天后仅更新 SECURITY.md 文档提示谨慎使用 STDIO 适配器,未做任何架构改动。 研究者向 11 个主流 MCP 市场上传恶意服务器概念验证,9 个直接接受且无安全审查,仅 GitHub 托管注册表拦截了提交。 LiteLLM、DocsGPT、Flowise、Bisheng 已发布补丁,LangFlow、Agent Zero 等仍待修复,协议层根本漏洞持续开放。 参考 Anthropic's MCP Design Flaw Enables Remote Code Execution Across 200,000+ AI Servers Anthropic’s "By Design" Failure at the Heart of the AI Ecosystem