Prompt injection is a problem that may never be fixed, warns NCSC 提示注入攻击是AI安全的重大挑战之一。英国国家网络安全中心警告称该问题可能无法完全解决。攻击者通过隐藏恶意指令绕过AI模型的安全限制（护栏），导致模型执行不当操作。随着大型语言模型成为自主代理并接入敏感系统，此类攻击可能引发数据泄露或欺诈行为。与SQL注入不同的是，在LLM中不存在明确的命令与输入界限，使其更难防范。... 2025-12-9 13:34:2 | 阅读: 3 | 收藏 | Malwarebytes Labs - www.malwarebytes.com injection ncsc guardrails agents llms

EU fines X $140m, tied to verification rules that make impostor scams easier 嗯，用户让我用中文总结这篇文章，控制在100字以内，而且不需要用“文章内容总结”之类的开头。首先，我需要通读整篇文章，抓住主要信息。 文章讲的是欧盟委员会对X公司（原Twitter）罚款1.2亿欧元，这是根据《数字服务法案》开出的首张罚单。罚款的原因有三个：蓝勾认证不实、阻碍研究人员访问数据、广告记录不透明。 接下来，我需要把这些要点浓缩成简短的句子。要注意字数限制，所以要简洁明了。可能需要合并一些信息，比如将三个违规点概括为“蓝勾认证不实、阻碍数据访问及广告记录不透明”。 最后，确保语言流畅，没有语法错误，并且符合用户的要求。这样就能准确传达文章的核心内容了。 </think> 欧盟委员会因X公司（原Twitter）在用户认证、数据访问和广告记录方面违反《数字服务法案》，对其处以1.2亿欧元罚款。蓝勾认证系统被指缺乏实质性验证，导致虚假账户泛滥。... 2025-12-9 12:57:28 | 阅读: 0 | 收藏 | Malwarebytes Labs - www.malwarebytes.com advertising musk checkmark commission dsa

Deepfakes, AI resumes, and the growing threat of fake applicants 虚假申请人利用AI生成简历、冒名顶替及外包面试等手段进入企业，带来财务诈骗、身份欺诈及数据泄露风险。招聘团队需加强身份核实、细节核对及安全措施以应对威胁。... 2025-12-9 11:49:28 | 阅读: 2 | 收藏 | Malwarebytes Labs - www.malwarebytes.com applicants resumes applicant hiring recruiters

How phishers hide banking scams behind free Cloudflare Pages 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解其主要信息。 文章讲的是一个网络钓鱼活动，他们利用免费的开发者平台和被黑的网站来创建仿冒银行和保险的登录页面。这些页面不仅窃取用户名和密码，还收集安全问题答案和其他备份数据，用于绕过多因素认证。 接着，钓鱼工具将数据发送到Telegram机器人，而不是传统的服务器。这使得攻击者能实时获取数据，并且避免了基于域名的封锁策略，更换基础设施也很容易。 文章还提到攻击者使用Cloudflare Pages等服务来托管假页面，甚至精确复制真实登录界面。例如，他们伪装成Heartland银行和United Healthcare等知名机构。 此外，攻击者利用被黑网站作为跳板，通过合法但被操控的域名进行重定向。这种方法更容易绕过垃圾邮件过滤器，并且云托管让关闭网站变得困难。 总结来说，文章描述了一种复杂的网络钓鱼手法，结合免费托管、Telegram机器人和精准仿冒网站来高效窃取敏感信息，并建议用户提高警惕、检查域名、避免点击可疑链接等防范措施。 现在我要把这些关键点浓缩到100字以内。确保涵盖钓鱼手法、技术细节、影响及防范建议。 </think> 文章揭示了一种结合免费开发者平台和被黑网站的网络钓鱼活动。攻击者创建仿冒银行和保险登录页面，窃取用户名、密码及安全问题答案，并通过Telegram机器人实时获取数据。这种手法利用云托管规避封锁策略，并借助合法域名重定向迷惑受害者。建议用户提高警惕，检查域名并避免点击可疑链接以防范此类攻击。... 2025-12-8 15:26:29 | 阅读: 3 | 收藏 | Malwarebytes Labs - www.malwarebytes.com phishing victim attackers security answers

Scammers harvesting Facebook photos to stage fake kidnappings, warns FBI FBI警告新型诈骗：骗子利用社交媒体上的照片作为“活体证明”，伪装绑架实施勒索。他们通过公开资料获取信息，并借助AI或编辑技术伪造证据。公众需谨慎分享个人信息，并使用隐私工具保护账户安全。... 2025-12-8 13:17:18 | 阅读: 8 | 收藏 | Malwarebytes Labs - www.malwarebytes.com facebook prove warned extortion victim

A week in security (December 1 – December 7) 文章介绍了如何通过订阅网络安全简报获取最新资讯，并学习保护计算机免受威胁的方法。... 2025-12-8 08:3:0 | 阅读: 6 | 收藏 | Malwarebytes Labs - www.malwarebytes.com newsletter threats informed

Leaks show Intellexa burning zero-days to keep Predator spyware running 文章介绍了知名间谍软件供应商Intellexa及其Predator产品，揭示其通过购买和利用零日漏洞对目标实施攻击的行为，并强调了其持续运营能力及安全防护建议。... 2025-12-5 13:31:54 | 阅读: 7 | 收藏 | Malwarebytes Labs - www.malwarebytes.com intellexa spyware predator amnesty

How scammers use fake insurance texts to steal your identity 嗯，用户让我总结一下这篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头。好的，我先快速浏览一下文章。 文章主要讲的是保险骗局，骗子通过短信或电话联系受害者，索要个人信息。里面提到几个红灯：没有公司名称、来自未知号码、索要年龄性别等。还解释了这些骗局如何运作，分为针对消费者的和针对保险公司的两种。消费者可能被要求提供更多的信息，甚至财务细节和身份证复印件，从而导致身份盗窃。 防范措施包括不回复、核实信息来源、检查网站链接是否正确、安装安全软件等等。还有STOP框架：慢下来、测试对方、退出对话、证明对方身份。 所以总结的时候需要涵盖保险骗局的手段、风险以及防范建议。控制在100字以内，语言要简洁明了。 可能的结构：保险骗局通过短信或电话索要个人信息，如年龄性别，进而进行诈骗或身份盗窃。防范措施包括不回复、核实信息来源和安装安全软件等。 再检查一下字数是否合适，确保不超过100字。 </think> 这篇文章揭示了保险骗局的常见手法和风险，提醒公众警惕索要个人信息的可疑消息，并提供了防范建议。... 2025-12-4 17:55:9 | 阅读: 5 | 收藏 | Malwarebytes Labs - www.malwarebytes.com insurance texts scammer enrollment goals

Canadian police trialing facial recognition bodycams 加拿大埃德蒙顿市警察正在测试由美国公司Axon提供的面部识别随身摄像头技术。该设备仅在执法时启动，拍摄图像上传至云端并与警方数据库比对后删除未匹配数据。尽管Axon曾因伦理问题拒绝推广该技术，但其现正试点使用。... 2025-12-4 13:19:24 | 阅读: 3 | 收藏 | Malwarebytes Labs - www.malwarebytes.com police facial axon cameras edmonton

Update Chrome now: Google fixes 13 security issues affecting billions Google发布Chrome 143.0.7499.40/41版本更新，修复13个安全漏洞（含4个高危），其中数字凭证功能存在内存释放后使用漏洞（CVE-2025-13633），可能被攻击者利用窃取敏感信息。建议用户立即更新以防范风险。... 2025-12-4 12:42:2 | 阅读: 19 | 收藏 | Malwarebytes Labs - www.malwarebytes.com chrome 7499 attacker security

Attackers have a new way to slip past your MFA 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章内容，所以我先快速浏览一下。 文章主要讲的是Evilginx这个工具被攻击者用来窃取会话cookie，绕过多因素认证。攻击者通过中间人钓鱼手段，让受害者输入账号密码和MFA代码，然后获取会话cookie，进而冒充用户进行恶意操作。 接下来，我需要提取关键点：Evilginx、窃取会话cookie、绕过MFA、攻击教育机构、攻击流程、防范措施等。然后把这些信息浓缩到100字以内。 要注意不要使用“文章内容总结”这样的开头，直接描述即可。可能的结构是：Evilginx工具如何被利用，导致的安全威胁，以及防范建议。 最后检查字数是否符合要求，并确保信息准确简洁。 </think> 攻击者利用Evilginx工具窃取会话cookie，绕过多因素认证（MFA），对教育机构等目标发起钓鱼攻击。该工具作为中间人代理，伪装真实网站获取用户凭证和会话cookie，使攻击者可冒充用户进行恶意操作。防范措施包括谨慎点击可疑链接、使用实时反恶意软件保护、启用抗钓鱼的MFA方法（如硬件密钥或Passkeys）以及及时撤销可疑会话。... 2025-12-3 15:44:13 | 阅读: 4 | 收藏 | Malwarebytes Labs - www.malwarebytes.com evilginx security attacker phishing

How attackers use real IT tools to take over your computer 网络攻击者正利用合法的远程监控管理工具（如LogMeIn Resolve和PDQ Connect），诱骗用户安装后获取远程控制权限。这些工具因合法身份常绕过传统安全检测。攻击者通过伪装成日常软件或钓鱼邮件传播。建议用户从官方渠道下载、检查签名并保持系统更新以防范此类威胁。... 2025-12-3 14:12:59 | 阅读: 8 | 收藏 | Malwarebytes Labs - www.malwarebytes.com rmm attackers security software malicious

Fileless protection explained: Blocking the invisible threat others miss 嗯，用户让我用中文总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头，直接写描述。好的，我先仔细读一下这篇文章。 文章主要讲的是无文件恶意软件（fileless malware）的威胁以及Malwarebytes如何应对这种攻击。无文件恶意软件不依赖传统文件传播，而是利用系统内存和合法工具如PowerShell来运行恶意代码，传统杀毒软件难以检测。 接下来，文章详细介绍了无文件攻击的原理、例子以及Malwarebytes的防御机制，包括脚本监控和命令行保护两层防御。最后还提到这些保护功能包含在Malwarebytes Premium中。 我需要把重点浓缩到100字以内。首先点明无文件恶意软件的特点：隐藏在内存中，利用合法工具。然后说明传统杀毒软件无法检测。接着介绍Malwarebytes的解决方案：实时监控内存活动和可疑命令。最后提到这些功能包含在Premium版本中。 这样应该能涵盖主要信息，并且简洁明了。 </think> 无文件恶意软件隐藏在内存中，利用合法工具运行恶意代码，传统杀毒软件难以检测。Malwarebytes通过实时监控内存活动和可疑命令阻止此类攻击，并提供多层防御机制，确保系统安全。... 2025-12-3 13:33:7 | 阅读: 9 | 收藏 | Malwarebytes Labs - www.malwarebytes.com fileless powershell software windows memory

“Sleeper” browser extensions woke up as spyware on 4 million devices 研究人员发现一起持续七年的恶意软件活动，影响约430万Chrome和Edge用户。五个浏览器扩展长期表现正常后被武器化，可跟踪用户浏览行为并运行恶意代码。这些扩展被归因于ShadyPanda组织，可执行远程代码并窃取数据。... 2025-12-2 17:49:51 | 阅读: 6 | 收藏 | Malwarebytes Labs - www.malwarebytes.com chrome malicious threats installs spyware

Air fryer app caught asking for voice data (re-air) (Lock and Code S06E24) 好的，我现在需要帮用户总结一下这篇文章的内容，控制在一百个字以内。首先，我得仔细阅读文章，抓住主要内容。 文章主要讲的是智能设备收集用户数据的问题。比如空气炸锅的App收集位置信息和语音记录，还有其他设备如智能戒指和吸尘器也在收集数据，甚至有些数据被意外传播。这些情况说明用户隐私可能在不知不觉中被侵犯。 接下来，我需要把这些信息浓缩成一句话，不超过100字。要避免使用“总结”、“这篇文章”这样的开头词，直接描述内容。 可能的结构是：智能设备收集数据的问题，举例说明几种设备及其收集的数据类型，以及这些数据的潜在风险。 最后检查一下字数和是否符合要求。 </think> 智能设备暗中收集用户数据问题引发关注。空气炸锅App索取位置、语音记录等信息；智能戒指公开用户压力数据；吸尘器拍摄隐私照片并外泄。这些案例揭示了日常用品在用户不知情下收集、分享个人信息的现象。... 2025-12-2 16:22:0 | 阅读: 3 | 收藏 | Malwarebytes Labs - www.malwarebytes.com spying kitchen precise fryer stories

Whispering poetry at AI can make it break its own rules 好的，我现在需要帮用户总结一篇文章，控制在100字以内。首先，我得通读整篇文章，抓住主要内容。 文章主要讲的是研究人员如何利用诗歌来绕过AI的安全限制。他们发现用诗歌形式提问，成功率高达62%，甚至有些模型超过90%。这说明AI在识别非传统表达方式时存在漏洞。 接下来，我需要提炼关键点：研究人员、诗歌、绕过安全、成功率、模型差异。然后把这些点用简洁的语言组织起来，确保不超过100字。 最后检查一下有没有遗漏重要信息，比如涉及的公司和模型大小的影响。确保总结准确且简洁。 </think> 研究人员发现，通过将恶意指令以诗歌形式呈现，可以绕过大型语言模型的安全限制。实验显示，手写诗的成功率高达62%，部分模型甚至超过90%。... 2025-12-2 14:18:0 | 阅读: 9 | 收藏 | Malwarebytes Labs - www.malwarebytes.com poetry prompts prose asr openai

Google patches 107 Android flaws, including two being actively exploited Google修复了Android系统中的107个漏洞，其中包括两个正在被积极利用的高危漏洞。这些漏洞影响Android 13至16版本设备，建议用户及时更新系统以防范风险。... 2025-12-2 11:37:46 | 阅读: 13 | 收藏 | Malwarebytes Labs - www.malwarebytes.com security improper exploited attackers

New Android malware lets criminals control your phone and drain your bank account Albiriox is a new family of Android banking malware that gives attacker... 2025-12-1 15:33:14 | 阅读: 2 | 收藏 | Malwarebytes Labs - www.malwarebytes.com albiriox security remote attackers retailer

Malwarebytes joins Global Anti-Scam Alliance (GASA) as supporting member  We are excited to share that Malwarebytes has officially joined the Glo... 2025-12-1 14:0:0 | 阅读: 6 | 收藏 | Malwarebytes Labs - www.malwarebytes.com gasa beare harm detector alliance

A week in security (November 24 – November 30) 2025-12-1 08:2:0 | 阅读: 3 | 收藏 | Malwarebytes Labs - www.malwarebytes.com codered clickfix handing phony stealer