IT之家 4 月 25 日消息,theregister 昨日(4 月 24 日)发布博文,报道称在新加坡举办的 Black Hat Asia 2026 大会上,来自清华大学的研究员石贺天发出警告, 指出公共 EV 充电桩、共享单车等租赁型物联网基础设施正面临严峻的安全风险。 石贺天指出此类服务的核心矛盾在于:开发者过度优先考虑用户便利性,却牺牲了必要的安全防护 ,导致服务暴露在大规模拒绝服务攻击的风险之下。 图源:清华大学 租赁型物联网服务的特殊性在于,任何人都可物理接触设备并排查漏洞。石贺天经授权研究后发现, 部分设备保留了调试端口或 UART(通用异步收发传输器)接口,让攻击者能轻易分析设备运行机制。 IT之家援引博文介绍,他深入探查后,在设备固件中发现共享认证密钥,且后端服务缺乏严格的用户身份验证机制,这构成了严重的安全隐患。 在应用程序层面,安全防护同样薄弱。石贺天发现漏洞允许其创建无法被系统识别的“幽灵客户端”。利用这些虚假身份,攻击者不仅能零成本为汽车充电或租用滑板车,还能访问后端系统窃取用户个人信息。 为验证漏洞危害,他开发了名为“IDScope”的漏洞利用工具。 在现场演示环节,石贺天针对一款 iOS 应用测试,首先邀请观众选择上海人民广场作为目标,并指定了一个可用充电桩。石贺天将应用显示的充电桩 ID 输入脚本,仅一两秒后,该充电桩图标便从代表可用的绿色变为代表禁用的灰色。 石贺天警告,此类攻击技术具备规模化能力, 理论上可导致整个城市的 EV 充电网络瘫痪 。这一风险并非仅存于中国, 他测试的 11 款欧洲共享单车和滑板车应用也存在类似问题。
IT之家 4 月 24 日消息,开源网络工具 cURL 开发者 Daniel Stenberg 于 4 月 22 日发布博文, 指出 AI 生成的漏洞报告已从“垃圾信息”演变为“高质量混乱”。 IT之家曾于今年 1 月报道, Stenberg 指出因 cURL 安全漏洞赏金项目(cURL Bug Bounty)持续收到大量 AI 生成的虚假漏洞报告 ,于 2 月 1 日终止这项赏金项目。 Stenberg 在最新博文中指出,在终止赏金项目,转回 Hackerone 平台后,安全报告提交频率不降反升,达到 2025 年的 2 倍。他用“高质量混乱”定义这一新阶段: 虽然 AI 生成的报告质量大幅提升,但提交频率的激增正将开源维护者推向超负荷边缘。 Stenberg 表示在 2020 至 2024 年间,平均每 100 小时才有一次漏洞提交。2025 年这一间隔缩短至 50 小时以内。进入 2026 年,提交间隔已跌破 25 小时。这意味着维护者几乎每天都要处理新的报告,工作量呈指数级增长。 尽管数量激增,报告的有效性却未降反升。2025 年初,被确认为真实安全问题的比例曾从 13% 跌至 5%。然而近期该数据强劲反弹,目前已接近 16%,甚至超过了 2024 年的水平。这表明 AI 工具在漏洞挖掘领域的准确度正在显著优化,不再单纯制造垃圾信息。 Stenberg 认为 AI 工具已成为安全报告的标准配置,虽然报告者鲜少提及具体工具,但从措辞和重复度可明确辨识 AI 痕迹。与 2025 年初的低质“AI 垃圾”不同,现在的 AI 辅助报告质量极高。 更严峻的风险在于攻防时间差。Stenberg 警告称,恶意攻击者同样可以使用这些 AI 工具快速发现漏洞。在维护者修复问题之前,攻击者可能已经利用漏洞发起攻击。
IT之家 4 月 23 日消息,据外媒 The Verge 报道,当地时间周三,美国民主党联邦参议员伊丽莎白 · 沃伦在华盛顿的一场范德堡政策加速器活动上抛出一句话:“我一看就知道什么是泡沫。” IT之家从报道中获悉,2008 年金融危机爆发后,沃伦曾主导推动设立新的消费者金融监管机构。近 18 年后的今天,沃伦把矛头指向 AI 行业,并警告说:AI 行业与 2008 年那场危机之间,已经 出现了“惊人的”相似之处 。 她表示,AI 当然“潜力巨大”,但 AI 公司 大举烧钱、加杠杆借债 ,正在把整个行业推向危险边缘,国会应该尽快介入。当前 AI 行业的增长速度追不上支出速度,结果就是这些公司唯有转向私募信贷基金等不透明渠道融资,而这些渠道又不像传统银行那样受到严格监管。 “如果 AI 公司不能以极快速度把收入做上去,它们就没法扛住巨额债务。再加上一些可疑的会计手法,一旦第一次大的失误出现,市场就会争先恐后往外跑,最终不仅可能把金融市场拖入失稳,还可能再次酿成一场 2008 年式的金融危机。” 在沃伦看来,更危险的地方在于,AI 公司的融资方式已经 把自身命运和太多其他资金来源绑在了一起 ,包括地方银行、保险基金和养老基金。这种局面可类比为一个登山者 —— 其把绳子绑在自己腰上,而绳子的另一端又连着四面八方。一旦人掉下去,其他地方也会被一起拖垮。“把绳子剪断。不要让 AI 绑上这根绳子。” 沃伦还主张设立一个新的数字监管机构,主导反垄断、隐私和消费者保护执法,并要求国会在 AI 行业一旦出问题时不要出手救助。“我们再怎么强调问责的重要性都不为过。”