据印媒报道，印度海得拉巴缉毒特遣队（HNEW）与奇卡德帕利警局联合展开重大执法行动，逮捕四名涉入有组织毒品网络的嫌疑人。据称该暗网贩毒集团利用快递服务及本地配送人员在全市运输违禁品。警方查获22克水培大麻（OG）、5克摇头丸（MDMA）、5.57克摇头丸药片及6张迷幻剂（LSD）邮票，总估价约31.2万卢比。 被捕人员包括：25岁的本地毒贩乌米迪·伊曼纽尔，以及来自安得拉邦卡基纳达的两名分销商： 21岁的软件公司职员乔达瓦拉普·苏斯米塔·德维（化名莉莉，是伊曼纽尔的同居女友）及28岁的戈拉·赛·库马尔。另有一名吸毒者——24岁的塔拉巴图拉·塔拉卡·拉克什米坎特·阿亚帕（居住于奇卡德帕利，私营企业雇员）亦被拘留。 据海得拉巴市警局副局长盖克瓦德·瓦伊巴夫·拉格纳特透露，该犯罪团伙通过Tor浏览器在暗网平台建立复杂的毒品供应链。为掩盖资金流向，交易采用加密货币钱包结算，将印度卢比兑换为USDT（泰达币）。 警方称，具体而言，伊曼纽尔使用Tor浏览器在暗网购买毒品，付款方式为币安/Trust钱包，之后又通过暗网市场进行出售。毒品通过快递服务运输，本地分销则由可信赖的小贩负责。 警方称，苏斯米塔承认在伊曼纽尔不在的情况下，她负责负责销售和账目，管理线上金融交易，并将毒品销售所得直接汇入自己的银行账户，并由一名配送员充当运输者。这些非法销售所得通过银行账户洗钱，用于维持奢靡生活。 海得拉巴缉毒特遣队呼吁市民保持警惕，远离毒品滥用。特别建议家长密切关注子女的交友圈及行为模式。 “暗网下/AWX”曾多次报道，印度各地警方在严厉打击通过暗网和社交媒体进行毒品交易，币安等加密货币交易所长期配合警方工作，提供关键的调查支持，协助进行交易分析，识别与该行动相关的钱包，识别嫌疑人，并根据适用法律冻结非法数字资产。

Resecurity最新研究发现，未经审查的暗网人工智能助手正在兴起，使威胁行为者能够利用其先进的数据处理能力进行恶意活动。其中一款名为DIG AI的工具于今年9月29日被发现，并已在网络犯罪分子和有组织犯罪圈子中迅速传播，获得网络犯罪分子的青睐——安全研究人员警告说，这可能会显著加速2026年的非法活动。 该工具名为DIG AI，它允许威胁行为者以极低的技术水平生成恶意软件、诈骗和非法内容，凸显了人工智能是如何被武器化并突破传统安全措施的。2025年第四季度，Resecurity的HUNTER团队观察到，恶意行为者使用DIG AI的数量显著增加，并在冬季假期期间加速增长，当时全球非法活动创下新纪录。 Resecurity的研究人员表示，随着2026年米兰冬奥会和FIFA世界杯等重要赛事的举办，人工智能“将带来新的威胁和安全挑战，使不法分子能够扩大其行动规模并绕过内容保护策略”。 服务犯罪的人工智能的崛起 DIG AI代表了一类新型的“不良”（“犯罪”或“未经审查”）人工智能工具，专门用于绕过ChatGPT、Claude和Gemini等主流平台中嵌入的内容审核和安全控制。其合法性和伦理性取决于工具本身、使用方式和使用者，以及可能对社会造成危害的技术的开发者。 它的迅速普及凸显了现代人工智能可以多么迅速地被重新利用，以扩大网络犯罪、欺诈和极端主义活动的规模——通常比防御者适应的速度还要快。 网络犯罪论坛上提及和使用恶意人工智能工具的次数显著增加（2024-2025年增幅超过200%），表明这些技术正在迅速普及和发展。“暗网下/AWX”多次报道，FraudGPT和WormGPT是目前最知名的专门面向网络犯罪分子的AI工具，但随着新的越狱和定制版LLM工具不断涌现，网络犯罪领域正在快速演变。这些工具通过自动化和增强恶意活动，降低了网络犯罪的门槛。 这些工具通常被称为“暗黑 LLM”（大型语言模型）或“越狱”AI 聊天机器人，它们要么是从零开始构建的，要么是合法 AI 模型的修改版本，移除了其安全限制。 DIG AI使恶意行为者能够利用人工智能生成各种线索，从制造爆炸装置到制作包括儿童性虐待材料在内的非法内容，无所不能。由于DIG AI托管在TOR网络上，执法部门难以发现和访问此类工具。它们催生了一个庞大的地下市场——涵盖盗版、衍生品以及其他非法活动。 尽管如此，也有一些重要的倡议，例如国际电信联盟（ITU）和联合国数字技术机构于2017年共同发起的“人工智能向善”（AI for Good）项目，旨在促进新技术的负责任使用。然而，不法分子则会把重点放在完全相反的事情上——将人工智能武器化和滥用。 一款专为犯罪而打造的暗网人工智能DIG AI 与合法的AI平台不同，DIG AI不需要用户注册，只需点击几下即可通过Tor浏览器访问。DIG AI的暗网V3地址为： https://digdig2nugjpszzmqe5ep2bk7lqfpdlyrkojsx2j6kzalnrqtwedr3id[.]onion 研究人员证实，DIG AI可以生成功能性恶意脚本，能够为易受攻击的Web应用程序以及其他类型的恶意软件中植入后门，并自动执行诈骗活动。 根据Resecurity的测试，除了网络犯罪之外，该工具可以生成涵盖各种非法领域的各种内容，包括欺诈计划、恶意软件开发、毒品制造说明和极端主义宣传。Resecurity的分析师利用与爆炸物、毒品、违禁物质、欺诈和其他受国际法律限制的领域相关的分类词典，对DIG AI进行了多次测试。 当与外部API结合使用时，该平台能够让不法分子高效地扩展其行动规模——在降低成本的同时提高产量。 虽然由于计算资源有限，一些资源密集型任务（例如代码混淆）可能需要几分钟才能完成，但分析人士指出，攻击者可以通过付费高级服务层级轻松解决这些限制。这开启了“不良人工智能”的新领域——恶意行为者设计、运营和维护定制的基础设施，甚至是类似于用于防弹托管的数据中心，但其目的是为了让犯罪人工智能能够有效地扩展其运行规模，同时考虑负载、并发请求以及多个用户同时使用的情况。 DIG AI背后的运营者，化名“Pitch”，在暗网论坛Dread上发帖推广该服务，声称该服务基于ChatGPT Turbo构建，并移除了所有安全限制。 在暗网里，该工具的广告横幅出现在与毒品贩运和被盗支付数据相关的地下市场主页上，凸显了它对有组织犯罪网络的吸引力。 犯罪人工智能如何助长儿童性虐待 其中最令人担忧的发现之一是DIG AI在促进AI生成的儿童性虐待材料（CSAM）方面可能发挥的作用。 生成式人工智能技术——例如扩散模型、生成对抗网络（GAN）和文本转图像系统——正被积极滥用，能够生成高度逼真、露骨的儿童图像或视频——既可以通过生成完全合成的内容，也可以通过篡改真实未成年人的正常图像来实现。这将给立法者在打击 CSAM 内容的制作和传播方面带来新的挑战。 Resecurity证实，DIG AI可以协助生成或操纵涉及未成年人的露骨内容。Resecurity表示其团队与相关执法部门合作，收集并保存了不良行为者使用DIG AI制作高度逼真的CSAM内容的证据——有时被贴上“合成”的标签，但实际上被解释为非法。 全球执法机构已经报告称，人工智能生成的儿童性虐待材料案件急剧增加，其中包括涉及篡改真实儿童图像和用于敲诈勒索或骚扰的合成内容的事件。 近年来，包括欧盟、英国和澳大利亚在内的多个司法管辖区都颁布了法律，明确将人工智能生成的儿童性虐待材料定为犯罪行为，无论其中是否描绘了真实的未成年人。然而，当工具匿名托管在暗网上时，执法仍然很困难。 暗网里的人工智能没有任何限制与审查 主流人工智能，如OpenAI的ChatGPT、Anthropic的Claude、Google Gemini/Bard、Microsoft Copilot和Meta AI等平台都采用了内容审核系统。这些系统会审查或限制仇恨言论、虚假信息、色情内容、暴力、非法活动以及（在某些司法管辖区）政治言论等类别的内容。审查的主要原因是遵守法律（例如欧盟人工智能法案）、保护用户免受伤害、维护道德标准以及保障公司声誉和市场准入。 然而，这些保障措施对于像DIG AI这样的暗网托管服务来说，大多无效，因为这些服务在传统的法律和管辖范围之外运作。 犯罪分子越来越多地对开源模型进行微调，移除安全过滤器，并使用受污染的数据集训练系统，以按需生成非法输出。这催生了一种以“人工智能即服务”为核心的新兴地下经济，这种经济模式模仿了合法的商业模式，但社会风险却高得多。 降低人工智能威胁带来的风险 以下步骤概述了网络安全团队可以采取的切实可行的措施，以提高抵御人工智能攻击的能力。 加强对电子邮件、网络、身份和API攻击面上的AI辅助网络钓鱼、欺诈、恶意软件和自动化滥用行为的检测和监控。 扩大威胁情报计划，使其涵盖暗网市场、犯罪人工智能工具、品牌滥用以及人工智能定向攻击的早期迹象。 通过网络分段与主动保护面向公众的资产来减少攻击面，通过强制执行防钓鱼的多因素身份验证（MFA）、最小权限访问、持续身份验证和零信任原则来加强身份和访问控制。 通过将人工智能攻击场景纳入网络安全防护演练，培训员工和高风险团队识别人工智能生成的诱饵、深度伪造冒充以及用于欺诈和社会工程攻击的合成媒体，提高事件应急响应能力。 这些措施共同帮助各企业加强安全态势，应对人工智能威胁带来的风险。 人工智能带来新的安全挑战 不法分子已经通过精心设计的提示或对抗性后缀滥用人工智能系统，绕过内置的安全协议，导致模型生成违禁内容。DreamBooth和LoRa等工具使犯罪分子能够利用开源的低级模型（LLM）生成针对特定目标的儿童性虐待材料（CSAM）。这个问题也为犯罪分子创造了新的商业模式，使他们能够优化成本，并大规模地利用合成的非法内容发展地下经济。 Resecurity预测，不法分子将积极操纵数据集，例如受污染的训练数据（如LAION-5B，其中可能包含儿童性虐待材料或良性内容与成人内容的混合），从而使模型能够学习并复制非法输出。犯罪分子可以在自己的基础设施上运行模型，或将其托管在暗网上，从而生成在线平台无法检测到的无限非法内容。他们还可以允许他人访问相同的服务，以创建自己的非法内容。开源模型尤其脆弱，因为安全过滤器可以被移除或绕过。这些模型正在被微调和破解，以生成非法内容。 DIG AI并非孤立的发展，而是武器化人工智能如何开始重塑更广泛的威胁格局的早期迹象。随着犯罪分子和极端分子采用自主人工智能系统，安全团队必须应对规模、速度和效率远超传统人为攻击的威胁。

几天前，“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现，且无法确定其背后是什么人在运营，当时据称“由于持续的技术问题和大规模DDoS攻击”，该论坛仅可访问，但无法登录。目前，该论坛已经可以在明网正常登录发贴，但暗网地址依旧无法访问。 此外，威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕，为警方打击提供了更多的便利。 新BreachForums再次恢复了访问 正如前期介绍，新的BreachForums使用之前公开泄露的BreachForums备份进行搭建，因此前期的BreachForums用户均无需注册即可访问。 在技术问题和大规模DDoS攻击问题解决之后，新的BreachForums再次开放访问，该论坛目前添加了DDOS-GUARD来防护DDoS攻击，在明网访问的速度还不错。 虽然许多传言显示新BreachForums是蜜罐，但由于缺少有力的竞争对手，该论坛依旧收获了大量粉丝。从论坛的在线状态看，一小时在线用户1000人，注册用户占1/5，在没有大规模推广的背景下，已经收获了相当大的人气。 上次已经介绍，新的BreachForums发布的明网与暗网地址如下（仅供网络安全研究人员与警方调查研究使用）： 明网地址：breachforums[.]bf 暗网地址：http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion 威胁行为者之间的内讧刚刚开始 上次已经介绍，在新BreachForums背后，至少有两波人在交战：一方自称是闪光猎人（ShinyHunters），另一方则是散落的拉普斯猎人（Scattered Lapsus$ Hunters，简称SLSH）。 黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters（简称SLSH）的内部冲突正在升级，一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理，时间线如下： 2025年10月16日：网站发布消息，直接威胁名为“James”的法国人（疑似代号S.E./X*K）。消息声称真正的ShinyHunters正在完成FBI未竟的事业，语气敌对，这是威胁行为者之间首次公开升级。 2025年10月21日：发布一封信件风格的消息，针对“James”，警告他选择的道路带来的后果比想象中更严重，断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”（世间荣华转瞬即逝），并警告每一步行动都将引发远超预期的连锁反应。 2025年12月14日：否认与#SLSH（Scattered LAPSUS$ Hunters）联盟的传闻。同时链接BreachForums重启（可能试图为疑似蜜罐操作正名）。威胁如果James不回应，将在24小时内公开曝光其信息。 2025年12月18日：发布详细的PGP签名声明，附带倒计时器和逮捕照片（涉及Yuro，即A.E.，以及Trihash，即R.L.）。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥，并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称，归咎于ShinyHunters与SLSH的勒索事件，主要由S.E.（别名X*K，亦使用化名“James”）策划实施，他已不再是ShinyHunters（SH）成员。 —–BEGIN PGP SIGNED MESSAGE—– Hash: SHA256 Statement Regarding the Shiny Hunters and Scattered Spider Groups The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.

近日，Tor项目在其官方博客上公布了其2023-2024财政年度的财务报告。该财务报告强调了Tor项目作为501(c)(3)非营利组织的透明度原则，并公开了其联邦税务申报表（Form 990）和经独立审计的财务报表。 Tor项目（The Tor Project）是一个成立于2006年的非营利性501(c)(3)组织，致力于保护在线隐私和自由，负责维护Tor匿名网络及其周边工具生态系统，包括Tor浏览器（Tor Browser）和洋葱服务（Tor网络）。其使命是提供私密、不受审查的互联网访问，尤其是在网络空间受到压制的环境中。虽然Tor的起源可以追溯到美国海军研究实验室（US Naval Research Laboratory）的工作，但如今该组织独立运作，并遵循社会契约和开源开发模式。 Tor团队表示，对于一个隐私项目而言，透明度并非自相矛盾：隐私关乎选择，而Tor团队选择透明，是为了建立信任，构建更强大的社区。通过财务报告，Tor团队旨在清晰地阐明Tor项目的资金来源和用途。这是Tor团队所有工作的运作方式：向大家展示所有项目，包括源代码、定期发布的项目和团队报告，以及与研究人员的合作，共同评估和改进Tor。透明度也意味着清晰地阐述Tor团队在社会契约中列出的价值观、承诺和优先事项。 财务报告透露，Tor项目的财政年度为每年7月1日至次年6月30日。在2023-2024财政年度中，Tor项目总收入与支持额达到8,005,661美元（根据审计的财务报表），而联邦税务申报表（Form 990）中报告的收入为7,287,566美元。 Tor团队解释称，Form 990和经审计的财务报表中的收入差异并非错误。不同的收入总额反映了向美国国税局（IRS）申报税收收入和在经审计的财务报表中申报收入的规则差异。Tor项目的经审计财务报表将实物捐赠（768,413美元）列为收入，而990表格则将实物捐赠列为支出。 实物捐赠是指社区提供的非货币性捐赠。在2023-2024年度，Tor社区捐赠了价值768,413美元的服务或物品。这相当于约7614小时的软件开发、1,894,720个单词的翻译、23台服务器的云托管服务以及26张证书。目前，这一估算尚未包含中继服务器运营商的时间和成本，但应该将其纳入其中。 Tor项目罗列了Form 990报告的收入总额，并将该总额分解为以下几类： 美国政府（占总收入的35.08%）2,556,472美元 公司（占总收入的21.59%）1,573,300美元 基金会（占总收入的18.67%）1,395,494美元 个人捐款（占总收入的15.61%）1,102,619美元 非美国政府（占总收入的7.58%）552,387美元 其他（占总收入的1.47%）107,293美元 美国政府的拨款资金占比从53%降到35% 报告显示，在2023-2024财年，美国政府向Tor项目拨款超过250万美元，这标志着美国政府与这家专注于隐私的非营利组织的财政关系仍在继续，但有所减少。 根据最新公布的财务披露信息，这些资金占Tor公司报告收入728万美元的35.08%。相比之下，在2021-2022财年，这一比例高达53.5%。由此可见，Tor项目减少对美国政府拨款依赖的长期目标正在逐步实现。 这笔资金分别来自4个实体： 一是美国国务院民主、人权和劳工事务局（DRL），资助金额2,121,049美元，用于支持多个旨在加强互联网自由的高影响力项目，尤其是在审查严格的地区。DRL是最大的单一捐助方，提供了212万美元，这些资金被用于几个主要项目，包括扩大Tor在某些特定国家的访问；开发基于Tor的安卓VPN客户端；打击恶意Tor中继；以及将核心网络基础设施迁移到更安全的基于Rust的实现（Arti）。 二是美国国家科学基金会+乔治城大学，资助金额14,715美元，用于开发一个可扩展且成熟的确定性网络模拟器（Shadow Simulator），能够快速准确地模拟Tor等大型网络。项目名称为“利用下一代匿名通信实验（ACE）框架拓展研究前沿”。 三是国际共和研究所，资助金额80,029美元，用于将Tor浏览器、Tor绕过工具、Tor文档和培训资料，以及一款名为OnionShare的基于Tor的文件共享工具本地化为阿拉伯语、中文和斯瓦希里语。项目名称为“将Tor工具和文档本地化为阿拉伯语、中文和斯瓦希里语”。 四是开放技术基金，资助金额340,681美元，用于开展诸如为美国全球媒体署（USAGM）旗下媒体建立洋葱服务、为土库曼斯坦用户提供支持以及维护Tails操作系统等项目。其中全球洋葱新闻网服务的部署，是通过开发相关工具，帮助用户搭建和监控洋葱新闻网服务，并协助美国全球媒体署（USAGM）旗下各媒体机构搭建和监控其洋葱新闻网服务。三个项目分别为“帮助用户绕过对美国全球媒体署（USAGM）媒体网站的审查”、“快速反应——土库曼斯坦”、“Tails可持续性”。 尽管美国政府持续参与，Tor项目仍强调其在资金来源多元化方面取得的进展。下一个最大贡献类别是来自以OpenSats、Mullvad和Proton等机构为首的企业和非营利组织的捐赠，占总收入的21.59%，在2023-2024财年，这一类别产生了1,573,300美元，比上一财年增长68%，此外，基金会捐款超过139万美元，占总额的18.67%，个人捐款超过110万美元，占总额的15.61%。非美国政府资金主要来自瑞典国际开发合作署（Sida）。 Tor项目的收支接近平衡 根据Tor提交给美国国税局的Form 990，其运营支出总计734万美元，其中84%用于项目服务，意味着很大一部分直接用于Tor的建设和改进，剩下的10%用于行政管理、6%用于筹款。另一份审计报告显示，包含实物捐赠在内的总支出为810万美元。具体如下： 行政管理费用：与组织行政管理相关的费用，例如执行董事的工资、办公用品、商业保险费用； 筹款费用：与筹款项目相关的成本，例如筹款人员的工资、筹款工具、银行手续费、邮政用品、宣传品等； 项目服务：包括开发和维护Tor以及为Tor用户提供支持的相关成本，例如应用程序、网络、用户体验、指标和社区工作人员的薪资；承包商薪资；以及IT成本。 这些数据与经审计的财务报表和联邦备案文件一同发布，既符合法律要求，也符合该项目对透明度的更广泛承诺。尽管由于人手不足导致相关博客文章发布有所延迟，但Tor项目强调，财务文件其实早已公布。Tor团队衷心感谢所有捐赠者和支持者。 Tor项目强调，所有政府资金均通过公开竞争性投标获得，且项目由其自身团队及社区主导设计与执行。资金详情附有项目库的直接链接和正在进行的开发工作的描述，这凸显了Tor努力揭开其资金模式的神秘面纱，并强调其在项目定义和执行方面拥有自主权。 Tor团队表示，必须牢记大局：考虑到Tor的全球影响力，其预算其实相当有限。与VPN的运营成本相比，Tor的用户成本要低得多，这得益于其分布式设计以及数千个中继运营者的贡献。此外，同样重要的是要记住，Tor项目的年度收入与其对手为压制人们的隐私权和匿名权而花费的巨额资金相比，简直微不足道，而正是这些巨额资金让世界变得更加危险，更加不自由。

搜索巨头谷歌宣布将停止其免费的“暗网报告”功能，这是一个暗网监控工具，该工具会在用户账户关联的个人信息出现在暗网数据泄露事件中时发出警报。这些警报令人不安，预示着潜在的数据泄露风险——而这些警报即将永久消失。 对于许多用户来说，“暗网报告”似乎是一个很有价值的功能，它可以扫描各种暗网数据泄露事件，并在用户的个人信息（例如电子邮件地址、姓名、电话号码和社会保障号码）在被泄露的数据库中被发现时发出警报。 谷歌将于2026年1月15日停止扫描新的暗网泄露事件，暗网监控功能将于2026年2月16日完全关闭。谷歌表示，届时与该功能相关的所有数据都将被删除。不过，用户可以提前在账户设置中移除监控配置文件。此项变更不会影响谷歌的其他隐私报告。 “暗网报告”功能全面开放使用仅一年多 该工具于2023年作为Google One订阅用户的专属福利推出，并于2024年7月向所有Google帐户持有者开放使用。它旨在告知用户其电子邮件、电话号码、出生日期或其他个人信息是否出现在暗网数据库中。 这款工具会监控暗网——互联网上需要通过特殊浏览器访问的隐藏区域，通常用于恶意或非法活动——以查找您谷歌帐户的电子邮件地址。它是谷歌帐户的免费功能，仅用于告知您电子邮件地址是否出现在这些潜在危险的网站上。 然而，仅仅一年之后，谷歌却认为此类警报对用户并无价值。暗网报告提供了一份部分经过编辑的用户数据列表，这些数据来自一些隐秘的论坛和网站，在这些平台上，此类信息被买卖。但仅此而已——它只是一份列表而已。 为何谷歌要关闭“暗网报告”功能 至于谷歌为何要逐步停止其免费的暗网监控服务，是因为用户反馈表明，虽然该工具提供了有用的信息，但缺乏明确的、可操作的步骤来解决潜在的安全漏洞。 在官方支持页面上，谷歌解释说，它已决定关闭该功能，因为有反馈表明，该功能“没有为面临潜在身份风险的用户提供有用的后续步骤”。 正如谷歌在邮件中承认的那样，其暗网扫描并没有提供太多帮助。“反馈表明，这项服务并没有提供有用的后续步骤，”谷歌在谈到这项服务时表示。 借助谷歌提供的其他类型的个人数据警报功能，它能够采取一些措施。例如，您可以让谷歌从搜索结果中移除包含您个人数据的页面。不过，谷歌本身并不运营任何暗网业务，因此它所能做的只是提醒您，您的数据正在互联网的某个阴暗角落被传输。 据报道，谷歌现在计划专注于增强其他安全和隐私工具，以便为保护帐户提供更直接的指导。 谷歌公司建议用户利用现有的保护措施，例如安全检查、密码密钥、两步验证、谷歌密码管理器和密码检查，以防止数据被盗或任何类型的数据泄露事件。 尽管谷歌已承诺保护用户免受网络威胁，但免费“暗网报告”功能的关闭，标志着一项旨在让用户及时了解暗网风险的举措也宣告结束。 谷歌发给用户的完整邮件内容 暗网报告最新进展 我们将停止发布暗网报告，该报告旨在扫描暗网以查找您的个人信息。报告将于2026年1月15日停止更新，并于2026年2月16日起停止提供数据。虽然该报告提供了一些总体信息，但反馈表明它并未提供有效的后续步骤。我们做出此项调整，是为了专注于开发能够为您提供更清晰、更切实可行的在线信息保护步骤的工具。我们将继续追踪并保护您免受包括暗网在内的各种网络威胁，并开发更多工具来帮助保护您和您的个人信息。 2026年2月16日，该报告将不再提供，所有相关数据也将被删除。如果您希望提前删除您的监控配置文件，可以点击此处了解操作方法。 与此同时，我们鼓励您使用我们提供的现有工具来加强您的安全和隐私保护，包括安全和隐私检查、Passkey、两步验证、Google密码管理器和密码检查。我们也鼓励您使用“关于您的结果”功能，该功能可用于查找并请求从Google搜索结果中删除您的个人信息，例如您的电话号码和家庭住址。总而言之，我们将继续提供各种技巧和工具，帮助您确保在线安全。 谢谢你， 谷歌团队

网络犯罪分子、执法人员和研究人员都熟知的臭名昭著的BreachForums论坛最近又再次回归，在暗网与明网可以同时访问。 一些之前在论坛注册的用户最近收到了邮件，声称BreachForums已经重新开放并恢复了所有功能。邮件中断言内部技术问题已经解决，所有账户、帖子和内容现在都可以正常访问。 而与上次使用泰国、赞比亚等多国警方的被盗gov邮箱发送推广邮件相似，这次的发件人的电子邮件地址是：[email protected]。interieur.gouv.fr域名属于法国内政部。也就是说，从法国政府官方域名发送的电子邮件告诉黑客，BreachForums 已恢复上线，并邀请他们注册发帖。 于是所有人都怀疑这是一次来自执法机构的网络钓鱼攻击——更准确地说，是一个引诱网络犯罪分子的蜜罐，使用之前公开泄露的BreachForums备份搭建的。 Hey @Interieur_Gouv, thanks for the "exciting" BreachForums reopening alert straight from your official email—super convincing, guys! 😏 But real talk: any chance you could prioritize finding my stolen laptop instead of running this obvious honeypot op on us security… pic.twitter.com/BSgCOzHrbC — Aleksandr Litreev (@alexlitreev) December 14, 2025 研究人员纷纷表示，暗网市场的所谓“复活”首先应持怀疑态度，这个伪装成BreachForums重启的网站是利用法国内政部域名发送通知邮件的诱饵陷阱，用户的访问记录及帖文内容极可能被用作执法证据。 然而，新成立的BreachForums论坛的运营者Indra声称，新BreachForums并非蜜罐，他们只是使用入侵获取的法国内政部邮箱发送推广邮件。 Indra宣称对此次针对法国内政部的网络攻击负责，他在声明中吹嘘，他们已获取了两个数据库的信息：TAJ（司法记录处理系统）和PFR（通缉犯档案）以及电子邮件。据报道，此次数据泄露事件影响了约1600万人。 截至目前，Indra称其仍可访问法国内政部的CHEOPS门户系统。研究人员认为黑客看起来正在使用法国内政部的Roundcube邮件系统发送电子邮件。 新BreachForums论坛管理员Indra的声明 管理员Indra于12 月13日在Breachforums发布一篇新的公告声明，对“蜜罐”事件及其他相关报道造成的误解深表歉意，对社区关注的事情进行了解释，并直接指责法国当局，提到了去年夏天在法国发生的逮捕事件。 管理员Indra在帖子中称，BreachForums”最初是“ShinyHunters/hollow”以及他们之前的另一个组织的项目。他们的整个组织（hollow、shiny等等）都被逮捕了。只有一个人拥有最初的“ShinyHunters PGP”密钥，而这个人是其朋友，但是他们之间产生了矛盾。因此，“诱饵”、“蜜罐”信息是假的，只是想关闭BreachForums，所以其就照做了。 Indra表示，在关闭网站并于15天内所有域名被查封后，相信大家都认为他们是FBI探员之类的。但显然们不是，他们会向BreachForums社区证明这一点。Indra宣布，为了报复被捕的朋友，他们已成功攻陷“MININT”——法国内政部。 Indra称，正如法国新闻报道的那样，法国内政部只承认政府私人电子邮件服务器被非法访问。但他们们绝口不提从警方档案中获取的16,444,373名个人的数据？ Indra问道，你们知道“TAJ”（Traitement d’Antécédents Judiciaires——犯罪记录处理系统）吗？ “FPR”（Fichier des Personnes Recherchées——通缉犯数据库）呢？还有更多。国际刑警组织呢？你们是不是试图向他们隐瞒我们入侵“EASF MI”系统的事实？此外，你们为什么不向法国人民和全世界说明那两周究竟发生了什么？公共财政部门（ DGFIP）呢？为什么只字未提？养老金部门（ CNAV）呢？

上周，“暗网下/AWX”曾报道，暗网勒索软件团伙LockBit 5.0新的服务器IP地址和明网域名被泄露。同样的故事也在一个新的暗网市场Omertà Market上发生。暗网市场Omertà Market于2025年11月21日上线，其核心理念承诺“稳定重于炒作，安全胜于花哨”（stability over hype, security over flash）。大约两周后，安全研究员valor98公开曝光了该暗网市场的真实服务器IP地址，导致市场不得不关闭。这种运营信息泄露为执法部门提供了查封基础设施和逮捕运营者所需的一切信息。 Omertà Market的诞生 11月21日，管理员/u/OmertaMarket在暗网论坛Dread发布官方公告正式宣布推出Omertà Market，宣称历经数年静默开发、精雕细琢与安全测试，Omertà Market门户终于开启：http://omerta27hijua3utxjb5nvru3lo7qgrh7eym7n5hqmdqf7x3ywoedsid[.]onion 公告中表示，Omertà Market绝非是旧剧本的翻版，也不是换汤不换药的克隆，更非仓促填补空缺的尝试。Omertà自底层架构起便秉持一个核心目标：重新定义暗网市场的可能性。 公告宣称，近期既有暗网平台树立了高标准，也有暗网市场黯然退场。当多数暗网市场专注模仿的时候，Omertà在执着创新；当他人在偷工减料的时候，Omertà在筑起高墙。Omertà的每个组件都为用户提供速度、隐私与绝对掌控而生。Omertà市场的开发使命清晰：为这个已然失衡的领域重塑平衡、诚信与秩序。 公告继续声明了其豪情壮志：Omertà每项功能皆有其存在意义，每个系统都经过精密优化，每次交互都经过精细调整以保护用户的匿名性。其核心理念就是“稳定重于炒作，安全胜于花哨”。 公告描述了该暗网市场的诞生，Omertà团队耗费无数工时开发优化后端系统，对每层架构进行压力测试以确保长期韧性。该暗网市场不依赖预制代码库或外部依赖项，从基础设施到用户界面，驱动Omertà的每一部分都源自自主研发。由此打造的平台轻量、安全且可扩展，能随生态系统演进适应新挑战与用户需求。 公告继续吹嘘，Omertà市场不仅是交易平台，更是信任网络。无论是资深供应商、经验丰富的买家，还是初次探索未来的访客，Omertà都留有位置。Omertà珍视透明度、专业性与保密性——这些正是健康市场的基石。供应商与用户均可通过直接反馈渠道畅所欲言，确保Omertà与社区共同成长，而非脱节发展。 valor98的曝光与嘲讽 此次曝光源于/u/valor98发表在暗网论坛Dread上一篇题为“HOW NOT TO LAUNCH A MARKET 102”的帖子。valor98记录了三个暗网市场：Omertà Market、Orange Market 和Changa Store，它们都位于同一个ASN下，都是用 Laravel框架构建的： Orange Market – 7x.xxx.xx7.1x Changa Store – 7x.2xx.xxx.x0 Omerta Market – xx.27.xx.xxx 这种聚集模式表明，这些业余暗网市场背后的管理员可能使用了类似的托管方案或共享基础设施。 valor98的评价简直像用大锤砸下来一样直白：“这是另一集，观看一个想当管理员的家伙笨手笨脚地装模作样，就像个住在奶奶地下室里的廉价技术小精灵。这傻子凭着自己臆想出来的‘风格’建了个网站，然后立马跑去问人工智能，‘嘿，呃，我建了个网站，怎么才能防黑客攻击？？’，然后把人工智能给出的所有东西都复制粘贴了一遍，好像他刚刚破解了宇宙的秘密一样。” “直觉编码”一词描述了一种日益严重的现象：人们使用人工智能语言模型生成应用程序代码，却不了解底层架构或安全隐患。如果代码库是由ChatGPT的输出复制粘贴组成，而这些输出是由在网站搭建完成后才询问“如何才能做到防黑客攻击”的人拼凑而成，那么结果往往是灾难性的。Omertà的IP泄露事件正是运营者将安全视为事后考虑的后果，无论这种考虑是源于人工智能生成的建议还是单纯的无能。 Dread用户/u/Scarab在评论中提供了额外的技术分析，指出Orange Market（同一ASN下的另一个暴露网站）实际上使用的是Python的Flask或Django框架，使用Jinja2模板引擎和gunicorn服务器，而不是最初声称的Laravel。/static/目录结构和服务器签名证明了这一点。/u/Scarab还指控Omertà市场“从 /d/BlackOps、/d/PrimeMarket、/d/MarsMarket 和 /d/DarkMatterMarket 等市场窃取了大量功能。 事件的后续与Omertà的关闭 Omertà发布的吹嘘公告与其实际安全状况之间的反差简直令人瞠目结舌。Omertà之前称其代码历时两年开发，代码库完全由内部团队构建，不依赖预构建的代码库或外部依赖项，并承诺提供诸多功能，包括自定义提款阈值、批量订单管理、自动回复模板等等。他们强调Omertà的运营完全由自己完成，从基础设施到用户界面都是如此。然而，大约两周的运营就证明了并非如此。当执法部门或者任何试图查找的人能够找到物理服务器位置与IP地址时，那些看似强大的功能列表就毫无意义了。 valor98发布曝光文章后，Omertà市场通过其/u/OmertaPR账号联系了/u/valor98，希望解决这个问题，迁移服务器，并与/u/valor98付费合作进行全面测试，以避免此类事件再次发生。valor98向社区分享了这条消息，并补充道：“我有生意要做啦！！！” 然而，其他社区成员也指出了这项提议的荒谬之处。用户/u/Paracelcus回复道：“如果是警察查到你的IP地址，你打算怎么办？贿赂他们然后换个服务器继续玩吗？还是付费跟他们合作，保证以后不再发生这种事？” 这个问题直击问题的核心。在IP地址泄露后才花钱做渗透测试，就好比房子着火后才去买灭火器。安全漏洞的影响已经造成。任何有能力的执法部门、竞争对手或研究人员现在都掌握了识别托管服务提供商、追踪资金流向以及可能识别运营者所需的信息。迁移服务器并不能改变之前已经存在的风险。 Scarab给出了大家的共识：“你们的市场平台彻底完蛋了。最好还是把现有的市场平台重新包装一下，推出一个新的。反正你们也是新公司，不如换个名字再重新上线。” “暗网下/AWX”认为，缺乏安全专业知识的人工智能辅助开发，其代码在实际测试中可能运行正常，但一旦有人在对抗性环境下进行渗透测试，可能极易被攻击。暗网市场吸引了一些运营者，他们只看到了潜在的利润，却不了解维持稳定运营所需的安全手段。Omertà在其IP泄露前运营了大约两周，这表明他们从未采取过适当的安全防护措施。 如今，“Omertà”在短短两周内就彻底毁掉了自己的信誉，目前只能选择永久关闭。

一名恋童癖团伙头目运营着暗网群组，分享令人作呕的儿童性虐待视频，他被告知将在监狱服刑相当长的刑期。 英国伊斯特本（Eastbourne ）的25岁男子若昂·特谢拉（Joao Teixeira）承认犯有一系列儿童性犯罪，他是某个有组织犯罪集团的成员，并运营着两个网络群组，这些群组致力于分享和传播儿童性虐待材料，其中包括一个暗网群组和一个在加密即时通讯应用Telegram上的群组。 特谢拉是“Sugar Heaven”和“Naughty Room 3.0”的管理员 此案源于英国国家犯罪调查局（NCA）对用于交换儿童非法图片和视频的网络进行的深入调查。警方发现，被告在至少名为“糖果天堂”（Sugar Heaven）的暗网分享网站和“淘气房间3.0”（Naughty Room 3.0）的Telegram聊天群组中扮演核心角色，这些群组成员之间分享了数千张涉及12岁以下儿童的图片、视频和极其严重的材料。 在刘易斯刑事法庭，这名男子——法庭记录显示其名为若昂·卡洛斯·雅尔丁·多斯·桑托斯·特谢拉（Joao Carlos Jardim dos Santos Teixeira）——对12项与儿童性虐待相关的指控认罪。这些指控包括持有超过13000张儿童违禁图片（其中许多属于最严重的类别）；在2023年5月至2024年2月期间传播儿童不雅图片；协助对一名13岁男孩进行性剥削；以及通过管理非法网络参与有组织犯罪集团。 检方在法庭透露，这些犯罪集团组织严密，设有指定的管理员——特谢拉在被其他成员“投票”担任这些职位后，负责管理和掩盖这些虐待性的网络活动。 特谢拉预计将被判处相当长的监禁刑期 特谢拉的辩护律师表示，他计划举报一名他声称童年时期曾虐待过他的男子，以此作为减轻罪责的理由。但法官对此表示怀疑，并指出这并不能减轻他的罪责。 特谢拉身穿灰色运动衫和运动裤出现在刘易斯刑事法庭。斯蒂芬·穆尼法官阁下告诉他：“你将被判处相当长的监禁刑期。唯一的问题是刑期有多长。” 法官建议判处他长期监禁，特谢拉将于二月份被判刑，具体刑期将在二月份的量刑听证会上确定。 暗网和加密应用应成为警方关注焦点 专家和执法机构多次警告，暗网平台和Telegram等加密通讯应用为这些卑劣的交易提供了掩护。这些平台因其隐私性和匿名性而备受推崇，如今却正被不法分子利用，成为传播儿童性虐待材料的温床。 英国及其他地区的执法部门正在争分夺秒地瓦解这些助长剥削和虐待儿童的邪恶网络，并将像特谢拉这样的犯罪分子绳之以法。

周二晚些时候，超过300个与已关闭的暗网市场“丝绸之路”（Silk Road）相关的休眠加密货币钱包在沉寂近五年后，首次活跃起来，向一个新的钱包地址发送了价值数百万美元的比特币，总计33.7个比特币（价值超过300万美元的BTC）被转移。 目前尚不清楚究竟是谁在幕后操纵这些转账，不过合并后的资金后来被发送到了Coinbase Prime的存款地址。 据区块链情报公司Arkham Intelligence称，这些钱包在2012年曾持有多达442,000个比特币。如今，它们只剩下大约416个比特币，根据今天的比特币价格计算，价值约3800万美元。 Coinbase总监兼链上分析师康纳·格罗根（Conor Grogan）此前曾发现一些钱包与“丝绸之路”创始人罗斯·乌布利希有关联，这些钱包中存有约430枚比特币，当时价值4700万美元。至少其中一个钱包似乎与周二的资金转移事件有关。 统计区块链浏览器Arkham上的一堆被标记为Silk Road的地址，总共176笔交易被标记，少量BTC从许多独立地址转移到一个单一的合并地址bc1qnysx9sr0s7uw39awr3hh099d5m0lvrnxz7ga54。 在“丝绸之路”关联地址最后一次转账后约24小时，33.7BTC被发送到一个中间地址，然后转移到一个名为“Coinbase Prime Deposit”的地址。在最近的活动之前，标记为Silk Road地址的最后一笔对外交易是在2021年2月2日发送的。 格罗根当时的评估重点关注了尾号为“WoPx1”的钱包地址，该钱包包含约90个比特币，价值近900万美元，并被Arkham归类为“丝绸之路”网络犯罪集团成员的钱包。该钱包至少14年没有进行过任何交易。 格罗根表示，除了“WoPx1”钱包之外，他还将大约430个比特币连接到与罗斯·乌布利希关联的数十个钱包中。他补充说，虽然这些比特币在14年前“可能只是尘埃”，但随着比特币价值的上涨，它们现在已经增长到相当可观的数额。 “我不会透露具体地址，但所有这些地址都是公开的（在审判文件中引用或直接相邻），并且已被多个来源追踪，”格罗根在一月份回复他的调查结果时写道。 I found ~430 BTC across dozens of wallets associated with Ross Ulbricht that were not confiscated by the USGovt and have been untouched for 13+ years Back then these were probably dust wallets, now, collectively, they are worth about $47M. Welcome back Ross pic.twitter.com/KmCp4xcrI7 — Conor (@jconorgrogan) January 22, 2025 暗网市场“丝绸之路”的传奇故事 “丝绸之路“是最早的主要以毒品交易为主的暗网市场，从2011年至2013年之间运营，处理了超过150万笔比特币交易，价值2.13亿美元。“丝绸之路“也是最早以比特币结算进行交易的暗网市场，网站收取手续费。

暗网勒索软件团伙LockBit 5.0遭遇了严重的运营安全事故，安全研究员Rakesh Krishnan发现了其最新的基础设施，包括服务器、IP地址和明网域名均被泄露。 12月5日，Krishnan首次通过X（前身为Twitter）公布了调查结果，并指出该域名是最近注册的，与LockBit 5.0的活动有直接联系。他的发现显示IP地址205.185.116.233和明网域名karma0.xyz托管了该勒索软件团伙的最新暗网泄密网站。 🚨Exposing #LOCKBIT 5.0 Server: IP & DOMAIN IP: 205.185.116.233 🇺🇸#AS53667 Domain: karma0[.]xyz Reg: 2 November 2025 💡LockBit Group uses #Smokeloader in their attacks MD5: e818a9afd55693d556a47002a7b7ef31#Lockbit5 #Ransomware #Security #Intelligence #OSINT #Databreach #TOR pic.twitter.com/U1AvMoCuck — RAKESH KRISHNAN (@RakeshKrish12) December 6, 2025 Krishnan表示，暴露的服务器托管在AS53667（PONYNET）下，该网络由FranTech Solutions运营，该网络经常被滥用于非法活动而臭名昭著。 访问该IP，该服务器显示了一个DDoS防护页面，上面明确显示有“LOCKBITS.5.0”标识，这直接证明了它是该勒索软件团伙的基础设施。 此次重大泄露发生之际，LockBit团伙正凭借其增强的恶意软件攻击能力试图卷土重来。 域名注册信息及服务器暴露详情 WHOIS记录显示karma0.xyz域名于2025年4月12日在域名服务商Namecheap注册，有效期至2026年4月，使用了Namecheap的隐私保护服务，因此无法查看更多注册信息，但可以看到Namecheap隐私保护将冰岛雷克雅未克列为联系地点。 域名状态显示禁止客户端转移，这项防御措施是在基础设施被公开确认之后才采取的。这表明该团伙已采取措施锁定管理控制权，以应对信息泄露事件。 通过域名的解析记录可以看到，该域名采用Cloudflare的NS服务器（iris.ns.cloudflare.com和tom.ns.cloudflare.com）进行解析。 针对IP地址205.185.116.233进行网络扫描，发现该服务器开放了多个端口，包括易受攻击的远程访问端口，存在重大安全风险。 该服务器在端口21上提供FTP服务，在端口80和5000上提供HTTP服务，在端口3389上提供远程桌面协议 (RDP)，在端口5985上提供Windows远程管理（WinRM），在端口49666上提供文件共享服务。 端口协议组件服务21TCPFTP Server80TCPApache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.0.30 G7gGBXkXcAAcgxa.jpg​3389TCPRDP (WINDOWS-401V6QI)5000TCPHTTP5985TCPWinRM47001TCPHTTP49666TCPFile Server 运行在Windows系统上的Apache Web服务器（版本2.4.58，OpenSSL 3.1.3和PHP 8.0.30）展示了该团伙的基于Windows的基础架构。 LockBit 5.0变种为迄今为止最危险的勒索软件 “暗网下/AWX”前期报道，LockBit 5.