近日，有黑客在暗网论坛上发布帖子称以1美元的价格出售大型加密货币交易所Kraken后台管理面板的只读访问权限，该帖子声称，访问权限允许查看用户个人资料、交易历史记录和完整的KYC文件，包括政府颁发的身份证、自拍照、地址证明和申报的资金来源。这引发了人们对Kraken客户数据可能泄露的担忧。 卖家名为“ransomcharger”，声称该访问权限有效期为一到两个月，无IP限制，通过Kraken的系统代理，该后台可以显示用户个人资料和与支持工单关联的交易记录，并包含生成支持工单的功能。专家警告说，即使没有完全的系统控制权，黑客也可以冒充Kraken员工进行网络钓鱼攻击或定向诈骗。 一些网络安全专家对该信息的真实性仍持怀疑态度。一位网友评论道：“几乎可以肯定是假的。”另一位网友警告说：“如果这是真的，那将对Kraken的客户造成重大的数据泄露和网络钓鱼风险。Kraken的安全和执法团队必须立即介入调查。” 然而，目前尚无法证实该消息的真实性，Kraken交易所也未承认或表现出任何未经授权访问其内部系统的迹象。就官方交易所而言，它尚未对这些暗网指控发表评论。这不禁令人质疑，这究竟是一则误导性广告，还是意在制造恐慌。 加密货币交易所成为黑客主要攻击目标 业内过往的案例表明，加密货币交易所管理员后台遭到入侵并非罕见。Mt . Gox、Binance、KuCoin、Crypto.com和FTX等大型加密货币交易所近年来都曾遭遇过类似问题。 多家加密货币交易所曾在2025年遭遇过一次社会工程攻击，当时攻击者贿赂了多家交易所的客服人员，该攻击成功入侵了Coinbase，但由于Kraken和Binance拥有更严格的访问控制措施，成功阻止了这些攻击。 Kraken首席安全官Nick Percoco此前曾强调，该交易所利用人工智能和机器学习技术来检测异常行为并实时干预。然而，对于最新的暗网指控，Kraken至今仍未作出明确回应，引发了越来越多的担忧。 安全专家建议用户采取安全措施 安全专家建议用户启用基于硬件的双因素身份验证，锁定账户设置并启用提现地址白名单。对于持有大量资金的用户来说，硬件钱包是更安全的选择。 此外，用户应警惕任何声称来自Kraken客服的电子邮件或消息。如果攻击者获取了交易详情，他们可能会利用个人信息欺骗用户。建议用户密切关注SIM卡交换尝试和意外的密码重置事件。

我们大多数人都听说过“暗网”和“欺诈”，因为身份盗窃仍然是2026年消费者和企业面临的最大问题之一。 暗网是深网的一部分，深网包含一些不会出现在标准搜索引擎结果中的网页。当你登录网上银行、Netflix 或电子邮件时，你就是在接触“深网”。 要访问暗网网站，你需要一个特殊的浏览器（例如 Tor 或洋葱路由器），它可以加密你的身份并匿名化你的数据。由于其匿名性，暗网已成为网络犯罪和诈骗的中心，包括交易被盗的个人信息。 仅经过两个月的调查，一种名为Lumma Stealer的恶意软件就在近 40 万台电脑上被发现。这种信息窃取程序会窃取密码、信用卡号、银行账户信息和加密货币钱包登录信息等个人凭证，最终在微软和执法机构的共同努力下被关闭。 这款信息窃取程序已经存在多年，由于其高效性和有效性，仍然深受网络犯罪分子的青睐。更令人担忧的是，这种恶意软件以及其他类似恶意软件的新变种层出不穷。 由于大多数被盗凭证最终都会在暗网上出售，因此对于企业而言，集成能够检测和防止数据泄露的暗网监控工具变得至关重要。 正如Javelin Strategy & Research的网络安全总监特蕾西·戈德堡（Tracy Goldberg）在报告《暗网威胁情报：现代网络安全的关键支柱》中概述的那样，采用这些工具只是组织保护其运营免受日益增长的信息窃取威胁的第一步。 大量用户个人信息被盗取 一种名为数字窃取器的恶意软件变种常被用于电子商务应用程序中，在结账过程中窃取支付卡数据。相比之下，信息窃取器则可以窃取与购买相关的所有可用浏览数据。 这种广泛的访问权限使得信息窃取者成为一种特别有害的威胁，因为他们可以收集更多的数据，而且规模更大。 戈德堡说：“假设你有浏览历史记录。如果你不定期清除浏览数据——我认为我们大多数人都不会这样做——这些信息窃贼就能窃取你的Cookie。有些窃贼甚至可以窃取你的自动填充数据。一旦他们获得了浏览历史记录的访问权限，他们就能入侵各种类型的账户。” “窃取你的电子钱包和信用卡数据只是冰山一角，一些新兴的信息窃取者甚至能够截取屏幕截图，”她说。“即使你之后清除了浏览历史记录，一旦信息窃取者入侵并截取了屏幕截图——除非你修改了浏览数据中被保存的密码——否则他们就掌握了你的信息。” 由于具备这些能力，分析人士估计，信息窃取者已经窃取了数十亿条个人凭证。他们收集的数据很容易被不法分子汇总，并经常在暗网上拍卖。 虽然个人数据元素有时会被零散地出售，但令人担忧的是，现在出现了一种将完整的个人数据包一起出售的趋势。 戈德堡说：“信息窃取工具之所以对网络犯罪分子如此有吸引力，是因为它们可以将数据打包。它们可以打包你的出生日期、常用密码、用户名、信用卡信息和社保号码。所有这些信息都可以打包出售，从而轻易地盗用你的身份，或者利用你的部分信息创建一个虚假身份。” 人们必须减少对密码的依赖 为了保护客户，金融机构必须采取多管齐下的策略。抵御旨在窃取凭证的恶意软件威胁的最重要方法之一，就是减少凭证的使用。 戈德堡说：“我们必须摆脱用户名和密码。消费者需要做的身份验证越少，我们就越安全。能够用于验证个人或设备身份的后端分析越多，我们就越安全——因为人永远是最薄弱的环节。” 终端用户的脆弱性是近年来网络钓鱼攻击如此猖獗的原因之一。不法分子现在可以利用复杂的技术伪造看似来自合法来源的信息。例如，最近许多消费者都收到了声称来自政府机构的关于未缴通行费的虚假短信。 犯罪分子会将这些极具说服力的信息与社会工程学技巧相结合，迫使用户采取紧急行动。这些策略——网络钓鱼和社会工程学技巧——是许多诈骗攻击的基础，信息窃取者也不例外。 由于这些攻击变得越来越有效，因此必须摒弃传统的用户名/密码模式。然而，目前对登录凭证的广泛依赖使得这种转变在短期内不太可能发生。 戈德堡表示：“对银行和信用社来说，最重要的启示是，我们必须开始着眼未来，搭建一座桥梁，连接我们现在使用用户名和密码的时代和未来，最终摆脱用户名和密码的束缚。这意味着要采用多因素身份验证，并利用行为生物识别和分析技术来补充用户名和密码。” “最终，我们可以完全取消用户名和密码，”她说。“另一个弥补漏洞的措施是确保密码强度，并要求客户和会员定期更改密码——至少每90天一次。” 暗网威胁情报非常重要 除了加强身份验证方法外，企业与金融机构还必须采取措施，查明哪些数据可能已被泄露。这需要利用暗网威胁情报平台，这些平台持续监控暗网，查找任何可能泄露机构客户或会员信息的内容。 戈德堡说：“假设他们的客户是美国银行，那么暗网威胁情报提供商就会去搜索暗网——甚至包括公开网络、社交媒体帖子等等——看看是否有任何与美国银行有关的信息。” 她表示：“通常情况下，美国银行作为客户，也会向暗网服务提供商提供任何可能帮助他们发现已被盗用的账户的数据。然后，暗网威胁情报提供商会想方设法防止这些数据泄露。” 许多暗网威胁情报平台的一项主动功能是部署分析师，让他们伪装成网络犯罪分子潜入暗网。这些分析师监控威胁行为者的通信，以检测新出现的威胁或安全漏洞。 在某些情况下，他们甚至可以从暗网上重新购买被盗数据，并在造成进一步损害之前将泄露的凭证或信息归还给客户。 随着欺诈损失和系统影响的加剧，越来越多的机构意识到恶意软件的潜在危害。然而，信息窃取行为带来的额外影响意味着金融机构必须立即实施强有力的防御措施。 戈德堡表示：“其中一个重要结论是，仍然有一些企业对暗网威胁情报的相关性持观望态度。这些信息窃取者并非新生事物，它们已经存在一段时间了。但它们仍在不断演变，我们不断看到新的、更强大的变种出现。” “如果你之前还不相信，现在你应该相信暗网威胁情报至关重要，因为它能帮助你在网络安全方面更加积极主动、更具预测性，而不是在欺诈发生后才被动应对，”她说。 什么是暗网监控工具 暗网监控工具是一种用于搜索暗网的工具。暗网是互联网的一部分，未被标准搜索引擎收录，其用途是查找个人数据或凭证等信息。这些扫描器可以帮助个人和组织检测其敏感信息是否已在暗网上泄露或交易。 简而言之，暗网扫描器是一种能够识别和扫描买卖和共享被盗数据的网站的服务。被盗身份数据可能包含敏感信息，例如个人身份信息 (PII)、非公开信息、加密和密码保护的非法内容，以及发布在暗网上的其他敏感数据。 身份盗窃的类型有很多，需要警惕。从网络钓鱼邮件诈骗到数据泄露，再到电脑上的恶意软件，所有这些都可能将用户的个人信息（信用卡号、CVV码或社会安全号码）暴露给黑客。 暗网监控工具会使用用户的个人信息（例如用户的电子邮件地址）来扫描暗网，查找任何匹配项。大多数监控工具首先会搜索缺乏完善隐私保护措施的非法市场或论坛。 尽管暗网监控工具覆盖范围广，但没有任何一款能够扫描到所有因犯罪活动而散布在整个暗网上的被盗数据。这是因为很多被盗数据都是私下交易的。不过，如果用户怀疑自己的个人信息已被泄露，暗网扫描可以有效地帮助用户消除疑虑。 本文“暗网下/AWX”将介绍一些常见暗网监控工具的主要功能。 10款值得使用的暗网监控工具 一、Firefox Monitor Firefox监控工具是Mozilla自家的安全漏洞检测服务，完全免费。它会使用用户的邮箱地址扫描暗网，查找已知的安全漏洞，并在用户的信息泄露后及时通知。 主要功能： 1、强有力的泄露数据搜索 Firefox的这项服务允许用户搜索知名的数据泄露事件。它还会列出近期发生的泄露事件以及泄露的信息。 2、全面的安全提示 Mozilla向用户普及与网络安全和数据泄露相关的各种主题——黑客的工作原理、如何避免黑客攻击、如何创建强密码等等。 3、实时数据泄露警报 此功能允许用户设置警报，以便在扫描器在暗网上发现用户的信息时收到通知。如果用户遭遇数据泄露，用户将收到通知，其中包含有关泄露源头和泄露信息的内容。Firefox还允许用户设置多邮件监控。 二、Aura Aura的一体化数字健康解决方案包括暗网监控、信用警报、账户监控等功能。Aura的家庭套餐也是保护用户的孩子和家人免受身份盗窃侵害的顶级解决方案。所有Aura套餐均包含100万美元身份盗窃保险、对潜在可疑活动的快速警报以及24/7/365全天候客户支持。 主要功能： 1、在线账户和个人信息监控 Aura会持续监控用户的在线信息，并会在发生任何未经授权的访问或可能的数据泄露时及时通知。 2、暗网监控（个人信息和社保号码监控） Aura还会在发现有其他人在网上使用用户的社保号码或其他敏感信息时通知用户。这包括任何人使用其身份证件开设新账户或信用额度。 3、身份验证监控

印度缉毒局（NCB）科钦分局已于12月23日向埃尔讷古勒姆地区法院提交起诉书，指控“Ketamelon”贩毒集团成员通过暗网销售毒品。调查人员认定“Ketamelon”是印度最大的暗网毒品贩卖集团，其活动中心位于喀拉拉邦，该集团被控通过暗网策划复杂的毒品交易。随着起诉书的提交，NCB已启动对两名目前居住在英国和澳大利亚的在逃嫌疑人发出红色通缉令，以便将其引渡回国。 这份起诉书列出了四名被告，其中包括据称的主犯埃迪森·巴布（Edison Babu）及其助手阿伦·托马斯（Arun Thomas），两人均来自穆瓦图普扎（Muvattupuzha），目前已被拘留；以及两名海外行动人员：居住在英国的北帕拉沃尔居民桑迪普·萨吉夫（Sandeep Sajeev）和居住在澳大利亚的哈里克里希南·阿吉·纳瓦斯（Harikrishnan Aji Nawas）。 印度缉毒局（NCB）在一份声明中表示：“一起重大案件涉及一名在迪拜活动的地下钱庄经营者的身份识别和逮捕，该经营者协助印度和斯里兰卡之间的毒品走私。被告在试图逃离该国时被捕，其非法获得的价值2000万卢比的资产已于2025年4月被冻结。 暗网毒品供应商“Ketamelon”声名显赫 今年早些时候，印度缉毒局（NCB）启动了名为“甜瓜行动”（Operation Melon）的全国性暗网毒品贩运调查，缴获了超过1100张LSD邮票、131克氯胺酮以及价值900万卢比的加密货币资产，此后该集团便受到密切关注。行动中，调查人员发现Ketamelon是印度唯一一家“四级”暗网供应商，在印度各地都有联系，这意味着其在暗网生态系统中处于顶级地位，并已活跃供应LSD和氯胺酮近两年。 该犯罪团伙据称从与英国有关联的网络获取高品质LSD，并通过邮政和快递渠道将其分销到印度各大城市和旅游中心。6月份的打击行动中，警方在埃迪森的住所查获了847张LSD邮票、131.66克氯胺酮以及加密货币资产。另一起同期从邮包中查获毒品的案件仍在调查中。 据印度缉毒局（NCB）称，桑迪普·萨吉夫（Sandeep Sajeev）是北帕拉武尔人，现居英国赫尔市，从事物流行业。消息人士称，他利用自己的专业知识接收毒品，主要是埃迪森通过暗网平台订购的LSD，然后重新包装以逃避侦查，最后将毒品转运到印度。 NCB的调查显示，埃迪森通过暗网订购的毒品以包裹的形式从国外运抵，并经过精心隐藏，以躲避国际邮局海关的检查。官员称，这些毒品随后被分销到印度各地，并被运往国外。 哈里克里希南（Harikrishnan）是卡卡纳德人，现居澳大利亚，据称负责该团伙的洗钱工作。该机构称，他最初出国是为了从事酒店管理工作，后来转行做了DJ。他被控将加密货币支付兑换成法定货币，并将资金转移到埃迪森在印度的账户，并从中收取佣金。 调查显示，埃迪森在其位于穆瓦图普扎的住所运营着一套高频发货系统。据称，该团伙每周至少四次通过科塔亚姆、埃尔讷古勒姆和伊杜基三个地区的多个邮局以及私人快递公司寄送包裹，以避免留下明显的作案痕迹。 为了最大限度地降低风险，该团伙每个包裹只装两到三张LSD邮票。印度缉毒局（NCB）消息人士称，阿伦·托马斯主要负责处理这些包裹的寄送。 NCB还就与埃迪森公司有关联的线下氯胺酮走私团伙提起了另一项指控。该团伙涉及伊杜基的一家度假村经营者迪奥尔·K·瓦尔格斯及其妻子安珠·戴维斯，两人于2022年被捕，当时他们涉嫌试图将半公斤氯胺酮走私到澳大利亚。 在调查Ketamelon团伙的过程中，NCB发现了他们与埃迪森公司的关联。然而，该机构澄清，尽管埃迪森、迪奥尔、安珠和哈里克里希南涉嫌合作向澳大利亚运送氯胺酮，但这对夫妇并不知晓埃迪森在暗网上的LSD交易。在2022年涉及这对夫妇的查获案件中，埃迪森并未被列为被告。 印度缉毒局发起红色通缉令，启动对国外涉案人员的引渡程序 印度缉毒局（NCB）正在追查氯胺酮的来源。据NCB称，这些毒品主要来自英国一家名为 GungaDin 的供应商，该供应商是苏斯博士（又名 Tribe Seuss）的同伙，而苏斯博​​士被认为是世界上最大的 LSD 供应商之一。 此外，有情报显示，一名位于瓦拉纳西的供应商被确认为“普拉迪普·巴伊”。尽管埃迪森声称他不知道该供应商的真实身份，但NCB表示已掌握大量线索，此人尚未被正式起诉。 消息人士称，提交起诉书是将国际通缉令从蓝色通缉令升级为红色通缉令的必要条件。满足这一要求后，印度缉毒局（NCB）正通过国际刑警组织引渡桑迪普·萨吉夫和哈里克里希南，同时对更广泛的犯罪网络进行进一步调查。

威胁行为者”AlphaGhoul“开始在暗网推广一款名为NtKiller的新型恶意工具，该工具旨在悄无声息地关闭杀毒软件和终端检测工具，可用于勒索软件攻击和初始访问代理。 该工具发布在一个地下论坛上，犯罪分子聚集在该暗网论坛买卖黑客服务。威胁行为者发布的广告称，NtKiller可以帮助攻击者在受感染的计算机上运行恶意软件时避免被杀毒软件及端点防御系统检测到。 NtKiller的出现对依赖传统安全工具的组织来说是一个重大挑战。 威胁行为者声称该工具可以对抗许多流行的安全解决方案，包括Microsoft Defender、ESET、Kaspersky、Bitdefender和Trend Micro。 更令人担忧的是，有说法称该恶意软件在激进模式下可以绕过企业级EDR解决方案。KrakenLabs分析师指出，该恶意软件能够利用早期启动持久化机制保持隐蔽，一旦激活，安全团队就很难检测和清除它。 KrakenLabs的研究人员发现，NtKiller采用模块化定价结构，核心功能定价为500美元，而rootkit功能和UAC绕过等附加功能则分别需要额外支付300美元。 🚨 New underground tool advertised: #NtKiller The threat actor #AlphaGhoul is promoting NtKiller, a utility designed to stealthily terminate antivirus and EDR solutions. The advertisement was published on an underground forum forum, positioning the tool as a defensive bypass… pic.twitter.com/1lbfw1bD0r — KrakenLabs (@KrakenLabs_Team) December 23, 2025 整个软件包定价为1100美元，这种定价模式表明，该工具已经过改进，可以面向网络犯罪分子群体进行商业销售。 该工具声称的功能不限于简单的进程终止，还包括支持高级规避技术，体现了当今地下恶意软件经济中常见的专业级开发和维护水平。安全研究人员指出，NtKiller的模块化设计和商业风格的呈现方式体现了网络犯罪工具日益复杂的趋势，模糊了渗透测试工具和恶意软件之间的界限。 NtKiller的技术能力高超 NtKiller所具备的技术能力使其在经验丰富的攻击者手中尤其危险。 卖家的描述声称，NtKiller可以静默地禁用Windows环境中的多层保护，包括那些采用Hypervisor保护的代码完整性（HVCI）、基于虚拟化的安全（VBS）和内存完整性加固的保护。 这些保护措施通常可以防止恶意或未签名的驱动程序执行，这使得所宣传的兼容性显得尤为重要。 该工具的早期启动持久化机制的工作原理是在系统启动期间建立自身，此时许多安全监控系统尚未完全激活。这种时间优势使得恶意载荷能够在检测能力极弱的环境中执行。 此外，反调试和反分析保护措施阻止研究人员和自动化工具检查恶意软件的行为，从而造成了对其实际功能与营销宣传之间存在重大的知识差距。 静默绕过用户帐户控制（UAC）选项是另一项关键技术特性。绕过UAC允许恶意软件在不触发标准Windows提示（这些提示可能会提醒用户注意可疑活动）的情况下获得更高的系统权限。结合rootkit功能，攻击者可以对受感染的系统保持持续访问，同时还能躲过标准安全监控。 KrakenLabs表示，NtKiller除了能够绕过安全系统的警报外，还支持虚拟机监控程序保护的代码完整性 （Hypervisor-Protected Code Integrity）、基于虚拟化的安全性（Virtualization-based Security）和内存完整性（Memory Integrity），这表明它可能被用于自带漏洞驱动程序（BYOV）攻击技术。

近日，以色列利库德集团议员塔利·戈特利夫和摩西·萨阿达向以色列议会安全部门报告称，他们的个人手机遭到黑客攻击。据称，从手机中窃取的信息已被发布到暗网上。 这两位议员表示，一位曾在警局工作、现从事网络安全工作的退役警官向他们通报了此次数据泄露事件，并告知他们从议员们的个人手机中提取的数据已被发布到暗网上。接到警告后，两位议员立即通知了议会安全官员。 就在几天前，一个与伊朗有关联的黑客组织声称成功入侵了以色列前总理纳夫塔利·贝内特的个人手机。以色列官员认为，这是伊朗针对以色列高级官员日益加强的网络攻击行动的一部分。 目前尚不清楚泄露的数据有哪些，也不知道泄露范围有多广，更无法知晓戈特利布和萨达被攻击的事件是否与此前报道的贝内特遭受的攻击直接相关。关于黑客身份或泄露材料的真实性，官方尚未发布任何确认信息。 以色列议会安全官员和相关网络安全机构正在调查这些指控。如果属实，这将标志着针对以色列民选官员的网络攻击企图又一次严重升级，引发人们对个人隐私、政治胁迫以及潜在国家安全问题的担忧。 以色列安全机构多次警告议员和高级官员，外国网络活动日益增多，特别是来自伊朗及其附属黑客组织的活动，其目的是收集情报、开展影响行动和恐吓公众。 以色列前总理手机被伊朗黑客入侵 上周，伊朗黑客组织“汉达拉”（Handala）声称入侵了以色列前总理纳夫塔利·贝内特的私人手机。根据最新发布的一份声明，他们据称从贝内特的一部iPhone 13手机中获取了联系人列表、与阿维亚·萨西的聊天记录、几张照片、两段视频和一段录音。泄露的联系人姓名和电话号码中包括阿联酋总理穆罕默德·本·拉希德·阿勒马克图姆和法国总统埃马纽埃尔·马克龙。贝内特的办公室回应称，他们的手机已经过检查，并未发现被黑客入侵的情况。 贝内特办公室发表声明称：“此事已交由安全部门处理。以色列的敌人会不惜一切代价阻止我再次担任总理，但这不会让他们得逞。没有人能阻止我为以色列国和犹太民族而行动和奋斗。经进一步调查，虽然我的手机本身并未被黑客入侵，但我的Telegram账户却以各种方式被非法访问。我手机通讯录中的内容，以及真假照片和聊天记录（包括一张我与本·古里安的合影）都被传播开来。这些内容系非法获取，其传播构成刑事犯罪。”

据印媒报道，印度海得拉巴缉毒特遣队（HNEW）与奇卡德帕利警局联合展开重大执法行动，逮捕四名涉入有组织毒品网络的嫌疑人。据称该暗网贩毒集团利用快递服务及本地配送人员在全市运输违禁品。警方查获22克水培大麻（OG）、5克摇头丸（MDMA）、5.57克摇头丸药片及6张迷幻剂（LSD）邮票，总估价约31.2万卢比。 被捕人员包括：25岁的本地毒贩乌米迪·伊曼纽尔，以及来自安得拉邦卡基纳达的两名分销商： 21岁的软件公司职员乔达瓦拉普·苏斯米塔·德维（化名莉莉，是伊曼纽尔的同居女友）及28岁的戈拉·赛·库马尔。另有一名吸毒者——24岁的塔拉巴图拉·塔拉卡·拉克什米坎特·阿亚帕（居住于奇卡德帕利，私营企业雇员）亦被拘留。 据海得拉巴市警局副局长盖克瓦德·瓦伊巴夫·拉格纳特透露，该犯罪团伙通过Tor浏览器在暗网平台建立复杂的毒品供应链。为掩盖资金流向，交易采用加密货币钱包结算，将印度卢比兑换为USDT（泰达币）。 警方称，具体而言，伊曼纽尔使用Tor浏览器在暗网购买毒品，付款方式为币安/Trust钱包，之后又通过暗网市场进行出售。毒品通过快递服务运输，本地分销则由可信赖的小贩负责。 警方称，苏斯米塔承认在伊曼纽尔不在的情况下，她负责负责销售和账目，管理线上金融交易，并将毒品销售所得直接汇入自己的银行账户，并由一名配送员充当运输者。这些非法销售所得通过银行账户洗钱，用于维持奢靡生活。 海得拉巴缉毒特遣队呼吁市民保持警惕，远离毒品滥用。特别建议家长密切关注子女的交友圈及行为模式。 “暗网下/AWX”曾多次报道，印度各地警方在严厉打击通过暗网和社交媒体进行毒品交易，币安等加密货币交易所长期配合警方工作，提供关键的调查支持，协助进行交易分析，识别与该行动相关的钱包，识别嫌疑人，并根据适用法律冻结非法数字资产。

Resecurity最新研究发现，未经审查的暗网人工智能助手正在兴起，使威胁行为者能够利用其先进的数据处理能力进行恶意活动。其中一款名为DIG AI的工具于今年9月29日被发现，并已在网络犯罪分子和有组织犯罪圈子中迅速传播，获得网络犯罪分子的青睐——安全研究人员警告说，这可能会显著加速2026年的非法活动。 该工具名为DIG AI，它允许威胁行为者以极低的技术水平生成恶意软件、诈骗和非法内容，凸显了人工智能是如何被武器化并突破传统安全措施的。2025年第四季度，Resecurity的HUNTER团队观察到，恶意行为者使用DIG AI的数量显著增加，并在冬季假期期间加速增长，当时全球非法活动创下新纪录。 Resecurity的研究人员表示，随着2026年米兰冬奥会和FIFA世界杯等重要赛事的举办，人工智能“将带来新的威胁和安全挑战，使不法分子能够扩大其行动规模并绕过内容保护策略”。 服务犯罪的人工智能的崛起 DIG AI代表了一类新型的“不良”（“犯罪”或“未经审查”）人工智能工具，专门用于绕过ChatGPT、Claude和Gemini等主流平台中嵌入的内容审核和安全控制。其合法性和伦理性取决于工具本身、使用方式和使用者，以及可能对社会造成危害的技术的开发者。 它的迅速普及凸显了现代人工智能可以多么迅速地被重新利用，以扩大网络犯罪、欺诈和极端主义活动的规模——通常比防御者适应的速度还要快。 网络犯罪论坛上提及和使用恶意人工智能工具的次数显著增加（2024-2025年增幅超过200%），表明这些技术正在迅速普及和发展。“暗网下/AWX”多次报道，FraudGPT和WormGPT是目前最知名的专门面向网络犯罪分子的AI工具，但随着新的越狱和定制版LLM工具不断涌现，网络犯罪领域正在快速演变。这些工具通过自动化和增强恶意活动，降低了网络犯罪的门槛。 这些工具通常被称为“暗黑 LLM”（大型语言模型）或“越狱”AI 聊天机器人，它们要么是从零开始构建的，要么是合法 AI 模型的修改版本，移除了其安全限制。 DIG AI使恶意行为者能够利用人工智能生成各种线索，从制造爆炸装置到制作包括儿童性虐待材料在内的非法内容，无所不能。由于DIG AI托管在TOR网络上，执法部门难以发现和访问此类工具。它们催生了一个庞大的地下市场——涵盖盗版、衍生品以及其他非法活动。 尽管如此，也有一些重要的倡议，例如国际电信联盟（ITU）和联合国数字技术机构于2017年共同发起的“人工智能向善”（AI for Good）项目，旨在促进新技术的负责任使用。然而，不法分子则会把重点放在完全相反的事情上——将人工智能武器化和滥用。 一款专为犯罪而打造的暗网人工智能DIG AI 与合法的AI平台不同，DIG AI不需要用户注册，只需点击几下即可通过Tor浏览器访问。DIG AI的暗网V3地址为： https://digdig2nugjpszzmqe5ep2bk7lqfpdlyrkojsx2j6kzalnrqtwedr3id[.]onion 研究人员证实，DIG AI可以生成功能性恶意脚本，能够为易受攻击的Web应用程序以及其他类型的恶意软件中植入后门，并自动执行诈骗活动。 根据Resecurity的测试，除了网络犯罪之外，该工具可以生成涵盖各种非法领域的各种内容，包括欺诈计划、恶意软件开发、毒品制造说明和极端主义宣传。Resecurity的分析师利用与爆炸物、毒品、违禁物质、欺诈和其他受国际法律限制的领域相关的分类词典，对DIG AI进行了多次测试。 当与外部API结合使用时，该平台能够让不法分子高效地扩展其行动规模——在降低成本的同时提高产量。 虽然由于计算资源有限，一些资源密集型任务（例如代码混淆）可能需要几分钟才能完成，但分析人士指出，攻击者可以通过付费高级服务层级轻松解决这些限制。这开启了“不良人工智能”的新领域——恶意行为者设计、运营和维护定制的基础设施，甚至是类似于用于防弹托管的数据中心，但其目的是为了让犯罪人工智能能够有效地扩展其运行规模，同时考虑负载、并发请求以及多个用户同时使用的情况。 DIG AI背后的运营者，化名“Pitch”，在暗网论坛Dread上发帖推广该服务，声称该服务基于ChatGPT Turbo构建，并移除了所有安全限制。 在暗网里，该工具的广告横幅出现在与毒品贩运和被盗支付数据相关的地下市场主页上，凸显了它对有组织犯罪网络的吸引力。 犯罪人工智能如何助长儿童性虐待 其中最令人担忧的发现之一是DIG AI在促进AI生成的儿童性虐待材料（CSAM）方面可能发挥的作用。 生成式人工智能技术——例如扩散模型、生成对抗网络（GAN）和文本转图像系统——正被积极滥用，能够生成高度逼真、露骨的儿童图像或视频——既可以通过生成完全合成的内容，也可以通过篡改真实未成年人的正常图像来实现。这将给立法者在打击 CSAM 内容的制作和传播方面带来新的挑战。 Resecurity证实，DIG AI可以协助生成或操纵涉及未成年人的露骨内容。Resecurity表示其团队与相关执法部门合作，收集并保存了不良行为者使用DIG AI制作高度逼真的CSAM内容的证据——有时被贴上“合成”的标签，但实际上被解释为非法。 全球执法机构已经报告称，人工智能生成的儿童性虐待材料案件急剧增加，其中包括涉及篡改真实儿童图像和用于敲诈勒索或骚扰的合成内容的事件。 近年来，包括欧盟、英国和澳大利亚在内的多个司法管辖区都颁布了法律，明确将人工智能生成的儿童性虐待材料定为犯罪行为，无论其中是否描绘了真实的未成年人。然而，当工具匿名托管在暗网上时，执法仍然很困难。 暗网里的人工智能没有任何限制与审查 主流人工智能，如OpenAI的ChatGPT、Anthropic的Claude、Google Gemini/Bard、Microsoft Copilot和Meta AI等平台都采用了内容审核系统。这些系统会审查或限制仇恨言论、虚假信息、色情内容、暴力、非法活动以及（在某些司法管辖区）政治言论等类别的内容。审查的主要原因是遵守法律（例如欧盟人工智能法案）、保护用户免受伤害、维护道德标准以及保障公司声誉和市场准入。 然而，这些保障措施对于像DIG AI这样的暗网托管服务来说，大多无效，因为这些服务在传统的法律和管辖范围之外运作。 犯罪分子越来越多地对开源模型进行微调，移除安全过滤器，并使用受污染的数据集训练系统，以按需生成非法输出。这催生了一种以“人工智能即服务”为核心的新兴地下经济，这种经济模式模仿了合法的商业模式，但社会风险却高得多。 降低人工智能威胁带来的风险 以下步骤概述了网络安全团队可以采取的切实可行的措施，以提高抵御人工智能攻击的能力。 加强对电子邮件、网络、身份和API攻击面上的AI辅助网络钓鱼、欺诈、恶意软件和自动化滥用行为的检测和监控。 扩大威胁情报计划，使其涵盖暗网市场、犯罪人工智能工具、品牌滥用以及人工智能定向攻击的早期迹象。 通过网络分段与主动保护面向公众的资产来减少攻击面，通过强制执行防钓鱼的多因素身份验证（MFA）、最小权限访问、持续身份验证和零信任原则来加强身份和访问控制。 通过将人工智能攻击场景纳入网络安全防护演练，培训员工和高风险团队识别人工智能生成的诱饵、深度伪造冒充以及用于欺诈和社会工程攻击的合成媒体，提高事件应急响应能力。 这些措施共同帮助各企业加强安全态势，应对人工智能威胁带来的风险。 人工智能带来新的安全挑战 不法分子已经通过精心设计的提示或对抗性后缀滥用人工智能系统，绕过内置的安全协议，导致模型生成违禁内容。DreamBooth和LoRa等工具使犯罪分子能够利用开源的低级模型（LLM）生成针对特定目标的儿童性虐待材料（CSAM）。这个问题也为犯罪分子创造了新的商业模式，使他们能够优化成本，并大规模地利用合成的非法内容发展地下经济。 Resecurity预测，不法分子将积极操纵数据集，例如受污染的训练数据（如LAION-5B，其中可能包含儿童性虐待材料或良性内容与成人内容的混合），从而使模型能够学习并复制非法输出。犯罪分子可以在自己的基础设施上运行模型，或将其托管在暗网上，从而生成在线平台无法检测到的无限非法内容。他们还可以允许他人访问相同的服务，以创建自己的非法内容。开源模型尤其脆弱，因为安全过滤器可以被移除或绕过。这些模型正在被微调和破解，以生成非法内容。 DIG AI并非孤立的发展，而是武器化人工智能如何开始重塑更广泛的威胁格局的早期迹象。随着犯罪分子和极端分子采用自主人工智能系统，安全团队必须应对规模、速度和效率远超传统人为攻击的威胁。

几天前，“暗网下/AWX”报道了新的暗网论坛BreachForums再次出现，且无法确定其背后是什么人在运营，当时据称“由于持续的技术问题和大规模DDoS攻击”，该论坛仅可访问，但无法登录。目前，该论坛已经可以在明网正常登录发贴，但暗网地址依旧无法访问。 此外，威胁行为者之间的战争仍在持续。闪光猎手组织在shinyhunte[.]rs网站上发布了更多人肉线索与内幕，为警方打击提供了更多的便利。 新BreachForums再次恢复了访问 正如前期介绍，新的BreachForums使用之前公开泄露的BreachForums备份进行搭建，因此前期的BreachForums用户均无需注册即可访问。 在技术问题和大规模DDoS攻击问题解决之后，新的BreachForums再次开放访问，该论坛目前添加了DDOS-GUARD来防护DDoS攻击，在明网访问的速度还不错。 虽然许多传言显示新BreachForums是蜜罐，但由于缺少有力的竞争对手，该论坛依旧收获了大量粉丝。从论坛的在线状态看，一小时在线用户1000人，注册用户占1/5，在没有大规模推广的背景下，已经收获了相当大的人气。 上次已经介绍，新的BreachForums发布的明网与暗网地址如下（仅供网络安全研究人员与警方调查研究使用）： 明网地址：breachforums[.]bf 暗网地址：http://breachedmw4otc2lhx7nqe4wyxfhpvy32ooz26opvqkmmrbg73c7ooad[.]onion 威胁行为者之间的内讧刚刚开始 上次已经介绍，在新BreachForums背后，至少有两波人在交战：一方自称是闪光猎人（ShinyHunters），另一方则是散落的拉普斯猎人（Scattered Lapsus$ Hunters，简称SLSH）。 黑客团伙ShinyHunters与勒索软件团伙Scattered LAPSUS$ Hunters（简称SLSH）的内部冲突正在升级，一方宣称可以向联邦调查局、BL2C、国际刑警组织免费提供另一方的犯罪线索。根据对shinyhunte[.]rs网站更新内容的整理，时间线如下： 2025年10月16日：网站发布消息，直接威胁名为“James”的法国人（疑似代号S.E./X*K）。消息声称真正的ShinyHunters正在完成FBI未竟的事业，语气敌对，这是威胁行为者之间首次公开升级。 2025年10月21日：发布一封信件风格的消息，针对“James”，警告他选择的道路带来的后果比想象中更严重，断绝后路绝非明智之举。引用拉丁语短语“sic transit gloria mundi”（世间荣华转瞬即逝），并警告每一步行动都将引发远超预期的连锁反应。 2025年12月14日：否认与#SLSH（Scattered LAPSUS$ Hunters）联盟的传闻。同时链接BreachForums重启（可能试图为疑似蜜罐操作正名）。威胁如果James不回应，将在24小时内公开曝光其信息。 2025年12月18日：发布详细的PGP签名声明，附带倒计时器和逮捕照片（涉及Yuro，即A.E.，以及Trihash，即R.L.）。指控法国人“James”通过滥用信任窃取Trihash的PGP密钥，并未经其他成员同意便实施了针对Salesforce的攻击行动。声明称，归咎于ShinyHunters与SLSH的勒索事件，主要由S.E.（别名X*K，亦使用化名“James”）策划实施，他已不再是ShinyHunters（SH）成员。 —–BEGIN PGP SIGNED MESSAGE—– Hash: SHA256 Statement Regarding the Shiny Hunters and Scattered Spider Groups The Shiny Hunters group includes several members, one of whom goes by the name “James.” Following the arrests of Yuro (A.E.) and, more recently, Trihash (R.L.), this individual has been attempting to divert investigators’ attention by leading them toward false trails.

近日，Tor项目在其官方博客上公布了其2023-2024财政年度的财务报告。该财务报告强调了Tor项目作为501(c)(3)非营利组织的透明度原则，并公开了其联邦税务申报表（Form 990）和经独立审计的财务报表。 Tor项目（The Tor Project）是一个成立于2006年的非营利性501(c)(3)组织，致力于保护在线隐私和自由，负责维护Tor匿名网络及其周边工具生态系统，包括Tor浏览器（Tor Browser）和洋葱服务（Tor网络）。其使命是提供私密、不受审查的互联网访问，尤其是在网络空间受到压制的环境中。虽然Tor的起源可以追溯到美国海军研究实验室（US Naval Research Laboratory）的工作，但如今该组织独立运作，并遵循社会契约和开源开发模式。 Tor团队表示，对于一个隐私项目而言，透明度并非自相矛盾：隐私关乎选择，而Tor团队选择透明，是为了建立信任，构建更强大的社区。通过财务报告，Tor团队旨在清晰地阐明Tor项目的资金来源和用途。这是Tor团队所有工作的运作方式：向大家展示所有项目，包括源代码、定期发布的项目和团队报告，以及与研究人员的合作，共同评估和改进Tor。透明度也意味着清晰地阐述Tor团队在社会契约中列出的价值观、承诺和优先事项。 财务报告透露，Tor项目的财政年度为每年7月1日至次年6月30日。在2023-2024财政年度中，Tor项目总收入与支持额达到8,005,661美元（根据审计的财务报表），而联邦税务申报表（Form 990）中报告的收入为7,287,566美元。 Tor团队解释称，Form 990和经审计的财务报表中的收入差异并非错误。不同的收入总额反映了向美国国税局（IRS）申报税收收入和在经审计的财务报表中申报收入的规则差异。Tor项目的经审计财务报表将实物捐赠（768,413美元）列为收入，而990表格则将实物捐赠列为支出。 实物捐赠是指社区提供的非货币性捐赠。在2023-2024年度，Tor社区捐赠了价值768,413美元的服务或物品。这相当于约7614小时的软件开发、1,894,720个单词的翻译、23台服务器的云托管服务以及26张证书。目前，这一估算尚未包含中继服务器运营商的时间和成本，但应该将其纳入其中。 Tor项目罗列了Form 990报告的收入总额，并将该总额分解为以下几类： 美国政府（占总收入的35.08%）2,556,472美元 公司（占总收入的21.59%）1,573,300美元 基金会（占总收入的18.67%）1,395,494美元 个人捐款（占总收入的15.61%）1,102,619美元 非美国政府（占总收入的7.58%）552,387美元 其他（占总收入的1.47%）107,293美元 美国政府的拨款资金占比从53%降到35% 报告显示，在2023-2024财年，美国政府向Tor项目拨款超过250万美元，这标志着美国政府与这家专注于隐私的非营利组织的财政关系仍在继续，但有所减少。 根据最新公布的财务披露信息，这些资金占Tor公司报告收入728万美元的35.08%。相比之下，在2021-2022财年，这一比例高达53.5%。由此可见，Tor项目减少对美国政府拨款依赖的长期目标正在逐步实现。 这笔资金分别来自4个实体： 一是美国国务院民主、人权和劳工事务局（DRL），资助金额2,121,049美元，用于支持多个旨在加强互联网自由的高影响力项目，尤其是在审查严格的地区。DRL是最大的单一捐助方，提供了212万美元，这些资金被用于几个主要项目，包括扩大Tor在某些特定国家的访问；开发基于Tor的安卓VPN客户端；打击恶意Tor中继；以及将核心网络基础设施迁移到更安全的基于Rust的实现（Arti）。 二是美国国家科学基金会+乔治城大学，资助金额14,715美元，用于开发一个可扩展且成熟的确定性网络模拟器（Shadow Simulator），能够快速准确地模拟Tor等大型网络。项目名称为“利用下一代匿名通信实验（ACE）框架拓展研究前沿”。 三是国际共和研究所，资助金额80,029美元，用于将Tor浏览器、Tor绕过工具、Tor文档和培训资料，以及一款名为OnionShare的基于Tor的文件共享工具本地化为阿拉伯语、中文和斯瓦希里语。项目名称为“将Tor工具和文档本地化为阿拉伯语、中文和斯瓦希里语”。 四是开放技术基金，资助金额340,681美元，用于开展诸如为美国全球媒体署（USAGM）旗下媒体建立洋葱服务、为土库曼斯坦用户提供支持以及维护Tails操作系统等项目。其中全球洋葱新闻网服务的部署，是通过开发相关工具，帮助用户搭建和监控洋葱新闻网服务，并协助美国全球媒体署（USAGM）旗下各媒体机构搭建和监控其洋葱新闻网服务。三个项目分别为“帮助用户绕过对美国全球媒体署（USAGM）媒体网站的审查”、“快速反应——土库曼斯坦”、“Tails可持续性”。 尽管美国政府持续参与，Tor项目仍强调其在资金来源多元化方面取得的进展。下一个最大贡献类别是来自以OpenSats、Mullvad和Proton等机构为首的企业和非营利组织的捐赠，占总收入的21.59%，在2023-2024财年，这一类别产生了1,573,300美元，比上一财年增长68%，此外，基金会捐款超过139万美元，占总额的18.67%，个人捐款超过110万美元，占总额的15.61%。非美国政府资金主要来自瑞典国际开发合作署（Sida）。 Tor项目的收支接近平衡 根据Tor提交给美国国税局的Form 990，其运营支出总计734万美元，其中84%用于项目服务，意味着很大一部分直接用于Tor的建设和改进，剩下的10%用于行政管理、6%用于筹款。另一份审计报告显示，包含实物捐赠在内的总支出为810万美元。具体如下： 行政管理费用：与组织行政管理相关的费用，例如执行董事的工资、办公用品、商业保险费用； 筹款费用：与筹款项目相关的成本，例如筹款人员的工资、筹款工具、银行手续费、邮政用品、宣传品等； 项目服务：包括开发和维护Tor以及为Tor用户提供支持的相关成本，例如应用程序、网络、用户体验、指标和社区工作人员的薪资；承包商薪资；以及IT成本。 这些数据与经审计的财务报表和联邦备案文件一同发布，既符合法律要求，也符合该项目对透明度的更广泛承诺。尽管由于人手不足导致相关博客文章发布有所延迟，但Tor项目强调，财务文件其实早已公布。Tor团队衷心感谢所有捐赠者和支持者。 Tor项目强调，所有政府资金均通过公开竞争性投标获得，且项目由其自身团队及社区主导设计与执行。资金详情附有项目库的直接链接和正在进行的开发工作的描述，这凸显了Tor努力揭开其资金模式的神秘面纱，并强调其在项目定义和执行方面拥有自主权。 Tor团队表示，必须牢记大局：考虑到Tor的全球影响力，其预算其实相当有限。与VPN的运营成本相比，Tor的用户成本要低得多，这得益于其分布式设计以及数千个中继运营者的贡献。此外，同样重要的是要记住，Tor项目的年度收入与其对手为压制人们的隐私权和匿名权而花费的巨额资金相比，简直微不足道，而正是这些巨额资金让世界变得更加危险，更加不自由。

搜索巨头谷歌宣布将停止其免费的“暗网报告”功能，这是一个暗网监控工具，该工具会在用户账户关联的个人信息出现在暗网数据泄露事件中时发出警报。这些警报令人不安，预示着潜在的数据泄露风险——而这些警报即将永久消失。 对于许多用户来说，“暗网报告”似乎是一个很有价值的功能，它可以扫描各种暗网数据泄露事件，并在用户的个人信息（例如电子邮件地址、姓名、电话号码和社会保障号码）在被泄露的数据库中被发现时发出警报。 谷歌将于2026年1月15日停止扫描新的暗网泄露事件，暗网监控功能将于2026年2月16日完全关闭。谷歌表示，届时与该功能相关的所有数据都将被删除。不过，用户可以提前在账户设置中移除监控配置文件。此项变更不会影响谷歌的其他隐私报告。 “暗网报告”功能全面开放使用仅一年多 该工具于2023年作为Google One订阅用户的专属福利推出，并于2024年7月向所有Google帐户持有者开放使用。它旨在告知用户其电子邮件、电话号码、出生日期或其他个人信息是否出现在暗网数据库中。 这款工具会监控暗网——互联网上需要通过特殊浏览器访问的隐藏区域，通常用于恶意或非法活动——以查找您谷歌帐户的电子邮件地址。它是谷歌帐户的免费功能，仅用于告知您电子邮件地址是否出现在这些潜在危险的网站上。 然而，仅仅一年之后，谷歌却认为此类警报对用户并无价值。暗网报告提供了一份部分经过编辑的用户数据列表，这些数据来自一些隐秘的论坛和网站，在这些平台上，此类信息被买卖。但仅此而已——它只是一份列表而已。 为何谷歌要关闭“暗网报告”功能 至于谷歌为何要逐步停止其免费的暗网监控服务，是因为用户反馈表明，虽然该工具提供了有用的信息，但缺乏明确的、可操作的步骤来解决潜在的安全漏洞。 在官方支持页面上，谷歌解释说，它已决定关闭该功能，因为有反馈表明，该功能“没有为面临潜在身份风险的用户提供有用的后续步骤”。 正如谷歌在邮件中承认的那样，其暗网扫描并没有提供太多帮助。“反馈表明，这项服务并没有提供有用的后续步骤，”谷歌在谈到这项服务时表示。 借助谷歌提供的其他类型的个人数据警报功能，它能够采取一些措施。例如，您可以让谷歌从搜索结果中移除包含您个人数据的页面。不过，谷歌本身并不运营任何暗网业务，因此它所能做的只是提醒您，您的数据正在互联网的某个阴暗角落被传输。 据报道，谷歌现在计划专注于增强其他安全和隐私工具，以便为保护帐户提供更直接的指导。 谷歌公司建议用户利用现有的保护措施，例如安全检查、密码密钥、两步验证、谷歌密码管理器和密码检查，以防止数据被盗或任何类型的数据泄露事件。 尽管谷歌已承诺保护用户免受网络威胁，但免费“暗网报告”功能的关闭，标志着一项旨在让用户及时了解暗网风险的举措也宣告结束。 谷歌发给用户的完整邮件内容 暗网报告最新进展 我们将停止发布暗网报告，该报告旨在扫描暗网以查找您的个人信息。报告将于2026年1月15日停止更新，并于2026年2月16日起停止提供数据。虽然该报告提供了一些总体信息，但反馈表明它并未提供有效的后续步骤。我们做出此项调整，是为了专注于开发能够为您提供更清晰、更切实可行的在线信息保护步骤的工具。我们将继续追踪并保护您免受包括暗网在内的各种网络威胁，并开发更多工具来帮助保护您和您的个人信息。 2026年2月16日，该报告将不再提供，所有相关数据也将被删除。如果您希望提前删除您的监控配置文件，可以点击此处了解操作方法。 与此同时，我们鼓励您使用我们提供的现有工具来加强您的安全和隐私保护，包括安全和隐私检查、Passkey、两步验证、Google密码管理器和密码检查。我们也鼓励您使用“关于您的结果”功能，该功能可用于查找并请求从Google搜索结果中删除您的个人信息，例如您的电话号码和家庭住址。总而言之，我们将继续提供各种技巧和工具，帮助您确保在线安全。 谢谢你， 谷歌团队