Discord 偵探獲得 Anthropic Mythos AI 工具的未授權訪問權限

正當研究人員與從業者在爭論新型 AI 模型對網路安全的影響時，Mozilla 週二表示，其利用 Anthropic Mythos Preview 的早期存取權限，在新的 Firefox 150 瀏覽器版本中發現並修復了 271 個漏洞。與此同時，研究人員發現一群表現尚可的北韓駭客正利用 AI 進行各種活動，從編寫具備「氛圍感」（vibe coding）的惡意軟體到創建虛假公司網站，在三個月內竊取了高達 1,200 萬美元。

研究人員終於破解了名為 Fast16 的破壞性惡意軟體，該軟體早於 Stuxnet 出現，且可能曾被用於針對伊朗的核計畫。它創建於 2005 年，很可能是由美國或其盟友部署的。

非營利組織美國消費者聯盟（Consumer Federation of America）正起訴 Meta，指控其在 Facebook 和 Instagram 上刊登詐騙廣告，並涉嫌在公司打擊詐騙的努力上誤導消費者。一項允許 FBI 在無需搜索令的情況下查看美國人通訊內容的美國監控計畫即將到期續約，但立法者在下一步行動上陷入僵局。一項旨在解決立法者日益增長擔憂的新法案雖然提出，但缺乏實質內容。

如果您想深入了解，WIRED 調查了知名隱私與安全導向行動作業系統 GrapheneOS 背後長達數年的恩怨。此外，我們還關注了中國如何監視美國花式滑冰運動員劉美賢（Alysa Liu）及其父親的奇特故事。

還有更多消息。每週，我們都會彙整那些我們未深入報導的安全與隱私新聞。點擊標題即可閱讀完整故事。請注意安全。

Discord 偵探非法獲取 Anthropic Mythos AI 工具存取權限

Anthropic 的 Mythos Preview AI 模型被吹捧為發現軟體和網路安全漏洞的極其強大工具，其強大程度使得開發者對其發布進行了嚴格限制。但 Discord 上的一群業餘偵探發現了他們自己相對簡單的方法——不需要 AI 駭客技術——就獲得了這項令人垂涎的數位獎賞：Mythos 本身的非法存取權限。

儘管 Anthropic 努力控制誰可以使用 Mythos Preview，但一群 Discord 用戶透過一些直接的偵查工作獲得了該工具的存取權：他們檢查了最近 Mercor（一家與開發者合作的 AI 訓練初創公司）遭入侵的數據，並「根據對 Anthropic 其他模型格式的了解，對該模型的在線位置進行了推測」——根據率先報導此事的《彭博社》（Bloomberg）報導，許多觀察家推測這句話指的是一個網頁 URL。

據報導，該人員還利用了他們因在 Anthropic 承包商公司工作而擁有的現成權限來存取其他 Anthropic 模型。然而，由於他們的探測，據稱他們不僅獲得了 Mythos 的存取權，還獲得了其他尚未發布的 Anthropic AI 模型。幸運的是，根據《彭博社》報導，存取 Mythos 的群體到目前為止僅將其用於建立簡單的網站——這一決定旨在防止被 Anthropic 發現——而不是用來駭入全球網路。

監控公司利用存在一年的電信漏洞進行間諜活動

安全研究人員長期以來一直警告，被稱為 7 號信令系統（SS7）的電信協議（負責管理電話網路如何相互連接以及路由通話和簡訊）容易受到濫用，從而允許秘密監控。本週，數位權利組織 Citizen Lab 的研究人員透露，至少有兩家營利性監控供應商實際上利用了這些漏洞——或下一代電信協議中的類似漏洞——來監視真實受害者。Citizen Lab 發現，兩家監控公司基本上充當了流氓電信業者，利用對三家小型電信公司（以色列電信商 019Mobile、英國手機供應商 Tango Mobile 以及位於英吉利海峽澤西島的 Airtel Jersey）的存取權限來追蹤目標手機的位置。Citizen Lab 的研究人員表示，有「知名人士」被這兩家監控公司追蹤，但拒絕透露公司或目標的名稱。研究人員還警告，他們發現濫用這些協議的兩家公司可能並非個案，全球電信協議的脆弱性仍然是全球手機監控的一個非常真實的管道。

兩名涉嫌東南亞詐騙園區的管理員被起訴

美國執法部門對東南亞各地由人口販運驅動的擴張性詐騙園區產業進行了日益嚴厲（儘管遲來）的打擊，司法部本週宣布對兩名中國男子提出指控，指控他們涉嫌協助管理緬甸的一個詐騙園區，並試圖在柬埔寨開設第二個園區。據檢察官稱，蔣文傑（Jiang Wen Jie，音譯）和黃星山（Huang Xingshan，音譯）今年早些時候在泰國因移民指控被捕，現在面臨指控，涉嫌經營龐大的詐騙業務，利用虛假工作機會將人口販運受害者誘騙至園區，然後強迫他們透過加密貨幣詐騙投資，騙取包括美國人在內的受害者數百萬美元。司法部表示，它還「限制」了屬於該行動的 7 億美元資金——基本上是凍結資金以備沒收——並沒收了檢察官稱用於誘騙和奴役販運受害者的通訊軟體 Telegram 頻道。司法部的聲明聲稱，黃星山親自參與了對一個園區工人的體罰，而蔣文傑曾一度監督從一名美國詐騙受害者手中竊取 300 萬美元的過程。

50 萬份英國健康記錄在阿里巴巴上架出售

英國政府和非營利組織英國生物樣本庫（UK Biobank）本週透露，三家科學研究機構被發現正在阿里巴巴上出售英國公民的健康資訊。在過去的二十年裡，超過 50 萬人與英國生物樣本庫分享了他們的健康數據——包括醫學影像、遺傳資訊和醫療保健記錄——該機構允許全球科學家存取這些資訊以進行醫學研究。然而，該慈善機構表示，數據洩漏涉及三家組織簽署的「違反合約」行為，其中一個待售數據集被認為包含所有 50 萬名研究對象的數據。該機構未詳細說明待售數據的完整類型，但表示已暫停那些涉嫌出售資訊者的生物樣本庫帳戶。該數據的廣告也已被移除。

Apple 修復了允許 FBI 從 Signal 獲取推送通知的漏洞

本月早些時候，404 Media 報導稱，FBI 能夠從被告的 iPhone 中獲取 Signal 訊息副本，因為這些在 Signal 內部加密的訊息內容被保存在 iOS 推送通知資料庫中。在這種情況下，即使 Signal 已從手機中刪除，訊息副本仍然可以存取——儘管此問題影響所有發送推送通知的應用程式。

本週，針對此問題，Apple 發布了 iOS 和 iPadOS 安全更新以修復該漏洞。Apple 的 iOS 26.4.2 安全更新指出：「標記為刪除的通知可能會意外地保留在設備上。已透過改進數據脫敏解決了日誌記錄問題。」

雖然問題已修復，但更改設備通知中顯示的內容仍然值得。對於 Signal，您可以打開應用程式，進入「設定」、「通知」，然後將通知切換為「僅顯示名稱」或「不顯示名稱或內容」。這再次提醒人們，雖然像 Signal 這樣的應用程式是端到端加密的，但這僅適用於數據在設備之間傳輸時：如果有人能實體接觸並解鎖您的手機，他們就有可能存取您設備上的所有內容。