2025 年 5 月 19 日,安全研究员 Bob Dyachenko 与 Cybernews 团队发现一个容量达 631 GB 的 MongoDB 数据库因未设置密码保护而完全暴露在公网上,导致超过 40 亿条中国用户记录泄露,成为迄今已知最大规模的中国个人数据泄露事件。
该数据库包含 16 个数据集,涵盖从社交通信到金融支付的全方位个人信息。其中最大的「wechatid_db」集合包含 8.05 亿条微信 ID 数据,「address_db」存储 7.8 亿条带地理标识的住址信息,「bank」集合则含有 6.3 亿条银行卡号、姓名、生日等金融数据。名为「三要素校验」的数据集收录 6.1 亿条身份证、手机号、用户名信息,「wechatinfo」集合的 5.77 亿条记录疑似包含微信元数据、通讯日志甚至聊天内容。
支付宝相关数据同样大量泄露,「zfbkt_db」集合包含 3 亿条支付宝卡片及 Token 信息。其余数据集还涵盖赌博、车辆登记、就业、养老保险等多领域信息,甚至包括标注为「tw_db」的台湾相关数据。
研究团队指出,如此海量且多样的数据类型表明这极可能是一个集中式聚合枢纽,用于为几乎任何中国公民建立详尽的行为、经济与社会画像。数据规模之大意味着威胁行为者可将其用于钓鱼诈骗、敲诈勒索、金融欺诈,甚至国家级情报收集与信息操控。
数据库在被发现后于 5 月 20 日迅速下线,但研究团队无法确认数据库所有者身份。
MongoDB 至今仍采用无密码的默认设置,导致大量监听公网的数据库处于「裸奔」状态,为此类大规模泄露事件埋下隐患。
本频提醒,读者务必注意 MongoDB 默认配置的安全隐患。非必要不暴露在公网,且必须做好鉴权设置。
(Cybernews)
2025 年 6 月 6 日凌晨,阿里云核心域名 aliyuncs.com 发生解析异常,导致多项云服务在全球范围内无法访问。
北京时间 6 月 6 日凌晨 2 时 57 分,阿里云监控发现 aliyuncs.com 域名解析出现异常。受影响的服务包括对象存储 OSS、内容分发网络 CDN、容器镜像服务 ACR、云解析 DNS 等多项核心云产品。
凌晨 4 时 4 分,阿里云工程师初步确认导致域名解析异常的原因并开始紧急处理。阿里云同时向客户发送通知邮件,建议将本地 DNS 服务器指向 223.5.5.5 和 223.6.6.6 以降低业务影响,并提供了负载均衡等服务的临时解决方案。
上午 8 时 11 分,阿里云宣布解析异常问题已完成修复,受影响云产品开始逐步恢复。上午 9 时左右,所有受影响的云产品已全部恢复正常运行。
——————
根据技术社区分析,此次异常的直接原因是 aliyuncs.com 域名的 NS 记录被修改,指向了 Shadowserver 基金会的 DNS 服务器。Shadowserver 是国际知名的非营利网络安全组织,通常协助执法机构接管恶意域名进行流量监测。
由于 NS 记录控制着域名的权威解析服务器,这一变更导致所有对 aliyuncs.com 及其子域名的 DNS 查询都被导向错误的服务器,进而造成解析失败。
阿里云在故障通告中确认了域名解析异常,但未公布具体原因。事件修复后,阿里云为该域名增加了包括禁止转移、禁止更新、禁止删除在内的锁定措施。
受 DNS 缓存机制影响,即使在官方宣布修复后,部分地区的完全恢复仍需要额外时间等待缓存刷新。目前未发现客户数据泄露的证据。
截至发稿,阿里云尚未发布详细的事故调查报告。
(综合媒体报道)
Anthropic 为 Claude Project 功能添加了上下文检索工具支持,使 Project 内可以放入更多内容,无需受到模型上下文窗口限制(200k Tokens)。
OpenAI 的 ChatGPT 早在同类功能上线之初就采用类似方案。
早前,Anthropic 还将 AI 编程助手 Claude Code 下放给 Cluade Pro 用户而无需按量付费,但 Pro 用户使用的是轻量化的版本,也面临更严格的速率限制。
OpenAI 的 ChatGPT 早在同类功能上线之初就采用类似方案。
早前,Anthropic 还将 AI 编程助手 Claude Code 下放给 Cluade Pro 用户而无需按量付费,但 Pro 用户使用的是轻量化的版本,也面临更严格的速率限制。
6 月 6 日,通义千问(Qwen)团队正式发布 Qwen3-Embedding 系列模型。该系列模型基于 Qwen3 基础模型训练,支持超过 100 种自然语言及多种编程语言。
该系列模型架构灵活,提供 0.6B、2B、8B 三种参数规模。
训练方面,Embedding 模型采用三阶段训练范式:首先利用超大规模弱监督数据进行对比学习预训练,随后基于高质量标注数据进行监督训练,最后通过模型融合提升整体性能。
Reranker 模型则直接基于高质量标注数据进行监督训练。值得一提的是,Embedding 模型在弱监督阶段通过多任务适配的 Prompt 体系,动态生成大规模弱监督文本对,突破了传统数据获取方式的局限。
Qwen3-Embedding 系列已在 Hugging Face、ModelScope 和 GitHub 平台开源。
(通义千问)
该版本新增支持「thinking budget」(推理预算),允许用户控制思考成本/响应时长。
5 月 29 日,德国 AI 初创公司 BlackForestLabs (BFL) 正式发布 FLUX.1 Kontext。
FLUX.1 Kontext 包含两个核心模型:Kontext [pro] 专为迭代编辑工作流设计,支持局部编辑、场景变换和多步骤细化,同时保持角色和风格一致性;Kontext [max] 则提供最高性能,在提示遵循、高级排版处理和渲染质量方面表现出色,且不影响生成速度。
该模型的核心创新在于将传统的文本生图与图像编辑功能融合在单一的「流匹配架构」中,用户可以通过简单的文本指令对现有图像进行精确修改,无需微调或复杂的编辑工作流。
FLUX.1 Kontext 的主要能力包括:角色一致性保持(在不同场景中保持角色身份特征)、局部编辑(针对特定元素进行修改而不影响其他部分)、风格迁移(保持参考图像的独特风格生成新场景)以及交互式的多轮迭代编辑。
目前 Kontext [pro] 和 [max] 模型已通过 BFL API 及 KreaAI、Freepik、Lightricks、LeonardoAI、Replicate、FAL、TogetherAI 等合作平台提供服务,在 Replicate 平台的推理费用约为每张图像 0.04 美元。BFL 还计划推出开放权重的 Kontext [dev] 版本,目前正在进行定向测试。
Chrome 出现高危零日漏洞 CVE-2025-5419
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
另外,通过设置页面新增的网络调试功能,用户可以自主选择是否使用 HTTP/2,这对部分代理场景有兼容性提升。
OpenAI 发布连接器和记录模式,助力企业场景
北京时间 6 月 5 日凌晨,OpenAI 发布了两项ChatGPT 企业功能更新:连接器 (Connectors) 和记录模式 (Record Mode),标志着 ChatGPT 开始深度融入企业工作流程 。
连接器功能可将 ChatGPT 直接连接到企业内部系统,目前支持 Outlook、Microsoft Teams、Gmail、Google Drive、Linear、SharePoint、Dropbox、Box 等主流企业工具 。结合深度研究功能,用户可以通过自然语言指令让 ChatGPT 自动跨平台搜索、分析数据并生成结构化报告。系统严格遵循用户权限体系,仅调用用户有权访问的文档,确保数据安全 。
记录模式首先在 macOS 版 ChatGPT 上线,支持一键录音转写、自动生成会议纪要和提取关键决策要点 。用户可通过自然语言检索会议内容,并要求 ChatGPT 基于历史会议记录生成汇报材料或分析文档 。
企业还可通过模型上下文协议 (Model Context Protocol, MCP) 构建自定义连接器,将私有数据库和内部系统接入 ChatGPT。HubSpot 已成为首个通过 MCP 发布官方连接器的合作伙伴 。
这些功能已向 ChatGPT Team、Enterprise、Edu 用户开放,Plus 和 Pro 用户可使用部分功能。受 GDPR 限制,欧盟地区用户暂时无法使用连接器功能。OpenAI 承诺企业和教育用户的数据不会用于模型训练 。
(综合媒体报道)
北京时间 6 月 5 日凌晨,OpenAI 发布了两项ChatGPT 企业功能更新:连接器 (Connectors) 和记录模式 (Record Mode),标志着 ChatGPT 开始深度融入企业工作流程 。
连接器功能可将 ChatGPT 直接连接到企业内部系统,目前支持 Outlook、Microsoft Teams、Gmail、Google Drive、Linear、SharePoint、Dropbox、Box 等主流企业工具 。结合深度研究功能,用户可以通过自然语言指令让 ChatGPT 自动跨平台搜索、分析数据并生成结构化报告。系统严格遵循用户权限体系,仅调用用户有权访问的文档,确保数据安全 。
记录模式首先在 macOS 版 ChatGPT 上线,支持一键录音转写、自动生成会议纪要和提取关键决策要点 。用户可通过自然语言检索会议内容,并要求 ChatGPT 基于历史会议记录生成汇报材料或分析文档 。
企业还可通过模型上下文协议 (Model Context Protocol, MCP) 构建自定义连接器,将私有数据库和内部系统接入 ChatGPT。HubSpot 已成为首个通过 MCP 发布官方连接器的合作伙伴 。
这些功能已向 ChatGPT Team、Enterprise、Edu 用户开放,Plus 和 Pro 用户可使用部分功能。受 GDPR 限制,欧盟地区用户暂时无法使用连接器功能。OpenAI 承诺企业和教育用户的数据不会用于模型训练 。
(综合媒体报道)
