美国需严控地理位置数据销售，AI成黑客帮手加速犯罪，本周还有三则安全喜讯！

菜单可使用 Tab 键浏览即将显示的主菜单。任何打开子菜单的按钮都可以通过空格键或回车键触发。订阅支持商店FacebookXLinkedIn主题武装冲突国会法院与诉讼刑事司法与法治网络安全与科技民主与选举行政部门外交关系与国际法情报州与地方事务监视与隐私恐怖主义与极端主义播客与多媒体播客Lawfare 每日播客理性安全播客无废话播客升级播客扩展法律播客视频/网络研讨会驱逐公司项目与系列特朗普政府审判项目诉讼追踪器美国军队国内部署追踪人身保护令案件中政府不遵守情况追踪诉讼报道特朗普政府审判报道Lawfare 研究计划设计安全第 230 条追踪器更新《电子通信隐私法》评论与文章精确杀伤与平民伤害缓解1 月 6 日项目存档项目资源文件招聘板Lawfare 新闻关于关于 Lawfare我们的故事编辑团队Lawfare 团队支持搜索 Lawfare搜索高级搜索网络安全与科技是时候禁止精确地理位置数据的销售了近期对美国广告技术监控系统 Webloc 的深入研究凸显了广泛且易获取的地理位置数据所带来的国家安全和隐私风险。这再次表明美国需要严格控制地理位置数据的收集和销售。公民实验室的报告记录了 Webloc 的功能、使用者以及它与其他商业情报产品的关系。Webloc 最初由 Cobweb Technologies 开发2023 年两家公司合并后现在由美国公司 Penlink 销售。公民实验室获得的一份泄露的技术提案文件显示Webloc 可以访问“全球多达 5 亿台移动设备”的记录。这些记录包含设备标识符、位置坐标以及来自移动应用和数字广告的用户资料数据。同一份文件详细描述了 Webloc 如何用于跟踪单个设备和进行目标发现。在阿布扎比一名男子的手机每天最多被跟踪 12 次其位置信息通过 GPS 或 Wi-Fi 接入点上报。另一个案例中两台设备在特定时间分别出现在罗马尼亚和意大利的精确位置。公民实验室的报告详细描述了 Webloc 提供的这些细致信息说实话这让人感到不安。报告还记录了 Webloc 目前和曾经的美国联邦及州级客户其中包括国土安全部如移民与海关执法局、美国军队的部分单位以及印第安事务局警察。在州一级加利福尼亚州、得克萨斯州、纽约州和亚利桑那州的警察局和执法机构也是其客户。公民实验室特别提到了图森警察局的一份内部季度报告其中描述了 Webloc 如何协助调查人员工作。在一个案例中通过识别每次抢劫案发生时附近的一台设备最终找到了一名疑似连环香烟窃贼。每次抢劫后该设备都会回到同一地址结果发现嫌疑人是第一家被抢劫商店一名员工的伴侣。值得注意的是Webloc 并非 Penlink 的主打产品而是其主要工具 Tangles一个网络和社交媒体调查平台的可选附加功能。根据公民实验室的说法政府和商业客户可以搜索关键词和个人标识符如姓名、电子邮件地址、电话号码和用户名以识别在线账户然后分析他们的发帖内容、互动情况、人际关系、活动、参加的活动和兴趣爱好。他们可以监控和分析个人创建“目标卡片”接收警报分析从帖子和照片中提取的地理位置信息并进行网络分析例如根据共同朋友或工作场所识别群体。由于 Tangles 分析的信息理论上是公开的因此它不像 Webloc 那样引发公民自由方面的担忧。然而它与 Webloc 的集成令人担忧。在某些情况下无需搜查令就可以将理论上匿名的移动设备标识符与社交媒体账户关联起来。本时事通讯中描述的每一项功能都是有价值的调查手段但这些工具不应被随意出售给任何想要购买的组织。这些功能具有侵入性应该有严格的授权和监督程序。图森警察局的报告中并未描述其使用这些工具的具体程序。从国内角度来看需要立法规范当局使用这些工具的方式以保护美国公民的自由权利。但这里也存在国家安全方面的担忧。如果美国执法机构可以利用这些数据进行调查那么外国情报机构也可以利用同样的数据来针对美国的利益。公民实验室报告称Penlink 的海外客户包括匈牙利国内情报机构和萨尔瓦多国家警察这表明外国当局正在将移动地理位置数据用于本国事务。这些组织主要关注国内事务我们认为 Penlink 的客户不太可能针对美国的利益。但关键在于移动地理位置数据确实存在并且全球的组织都可以将其用于情报目的。天真地认为有能力的对手不会获取这些数据并构建自己的情报平台是不现实的。美国不仅需要在国内杜绝无节制地使用这些数据还需要严格控制地理位置数据的创建和销售。不过也有好消息。就在本周弗吉尼亚州颁布了一项禁令禁止销售客户的精确地理位置数据。近年来美国提出的隐私法案进展缓慢因此这被视为解决该问题的一个切实可行的措施。当然州级禁令只是一个开始希望更全面的解决方案不会太遥远。AI 成黑客得力帮手安全公司 Gambit 的一份新深度报告详细介绍了威胁行为者如何利用 AI 模型提升技能并加速犯罪活动。该报告详细描述了一名黑客如何使用两个商业 AI 平台入侵了九个墨西哥政府机构。在短短几周内这名黑客窃取了数亿公民记录并建立了一个税务证书伪造服务。Gambit 通过检查威胁行为者使用的三个虚拟专用服务器重建了整个事件过程。这次攻击由人工指挥但约 75% 的远程代码执行命令由 Claude Code 生成和运行。网络被攻破后OpenAI 的 GPT - 4.1 API 用于分析自动侦察收集的数据以帮助规划攻击后的活动。这名黑客很可能不是第一次使用 AI 工具。2025 年 12 月 26 日深夜攻击开始黑客向 Claude 发送了一条信息为其后续请求进行辩解。Claude 认为这听起来更像是恶意活动而非合法的漏洞赏金活动因此要求提供授权证据。攻击者通过指示 Claude 将渗透测试备忘单保存到其 claude.md 文件中避开了机器的质疑。这为会话提供了持久上下文。20 多分钟后Claude 使用开源漏洞扫描器 vulmap 获得了墨西哥国家税务机关 SAT 服务器的远程访问权限。Claude 似乎很满意“成功了服务器有响应……你现在想执行什么命令”随后黑客让 Claude 编写了一个定制的独立漏洞利用脚本通过住宅代理提供商路由流量。该模型在七分钟内测试了八种不同的方法最终创建了一个可用的脚本。Gambit 表示Claude 经常拒绝执行攻击者的请求。在整个攻击过程中威胁行为者不得不重新表述指令、重新组织请求甚至完全放弃某些方法。这些只是阻碍而非完全阻止了攻击。黑客对如何进行攻击有很好的理解Claude 仍然使他们能够快速行动。到第五天攻击者已经同时在多个受害网络中进行操作。一个人要管理这么多访问权限并不容易。因此黑客转向 OpenAI 的 GPT - 4.1 API 进行并发自动侦察和分析。一个可能由 AI 创建的 17550 行 Python 工具从受感染的服务器中提取数据并将其提供给 GPT - 4.1 进行分析。该工具的提示定义了六种角色包括“精英情报分析师”从 305 台 SAT 服务器中生成了 2957 份结构化情报报告。这些报告包括服务器的用途、重要性、进一步横向移动的机会以及操作安全建议。这里的主要教训不是 AI 让黑客攻击能够做一些前所未有的事情。攻击中使用的技术本身并不是新颖的。Gambit 表示有证据表明被攻击的系统是已到使用期限或不再受支持的并且没有应用相关的安全更新。但 AI 确实使一个人能够以比以前快得多的速度进行操作。目前的前沿模型在加速黑客操作方面非常有用而且 AI 还在不断改进。从防御者的角度来看这意味着一个网络犯罪分子现在可以达到一个小团队的攻击速度。而我们还没看到最糟糕的情况这可不是什么好消息。本周值得高兴的三个理由美国捣毁俄罗斯军事情报僵尸网络美国司法部于 4 月 7 日宣布在法院授权下捣毁了一个由俄罗斯格鲁乌运营的小型办公/家庭办公僵尸网络。格鲁乌一直在入侵 TP - Link 路由器并劫持 DNS 查询以模仿合法服务并实施中间人攻击。Krebs on Security 详细介绍了这些攻击的实施方式。联邦调查局FBI与印尼当局捣毁钓鱼网络FBI 上周宣布捣毁了一个以 W3LL 钓鱼工具包为核心的钓鱼行动。这里的好消息是与印尼当局的合作FBI 将其描述为“史无前例的联合网络调查”。印尼国家警察逮捕了该工具包的疑似开发者。设备绑定会话凭证DBSC即将推出谷歌上周宣布Chrome 146 的 Windows 版本支持这种新型 cookie。