/tag/波及

法国政府数字事务总署（DINUM）近日发布安全通报称，黑客通过劫持一名合法用户账号，成功侵入法国政府内部加密通讯平台 Tchap，可能导致部分用户在对话中分享的个人信息遭到未授权访问。 Tchap 由法国政府数字事务总署与法国国家信息系统安全局（ANSSI）于 2018 年联合开发，基于去中心化的 Matrix 协议，定位为服务法国公共部门的即时通讯和协同办公工具，仅面向公务体系用户开放。 该应用自推出以来持续推广，目前在法国公共部门的月度活跃用户已超过 30 万，在 Google Play 商店的下载量也已突破 50 万次。 2025 年 8 月初，法国总理弗朗索瓦·巴鲁安（François Bayrou）更发布通告，要求全体公务人员在公务沟通中必须使用 Tchap，并禁止使用外国厂商通讯应用，从而显著扩大了该平台的使用范围和数据承载量。 DINUM 在周一发布的新闻通稿中披露，ANSSI 于周日首先检测到 Tchap 平台出现异常入侵行为，经初步调查确认，攻击者是通过一名用户被攻陷的账号进入系统，从而获得对该加密通讯平台的访问权限。 事件发生后，DINUM 已将此次安全事件上报给法国数据保护监管机构 CNIL，原因是部分用户在聊天中分享的个人数据可能已被攻击者访问或导出。 同时，DINUM 也向所有 Tchap 用户发出提醒，强调平台中的公开聊天室对任一注册用户均可开放访问，且此类公开房间中的内容并未启用加密保护。 DINUM 表示，已经锁定了此次恶意请求所来源的具体账号，并在发现问题后立即对其进行封禁，以切断攻击者的持续访问通道，为后续对其访问范围和潜在数据外泄情况开展深入分析创造条件。 当前调查仍在进行中，技术团队正在对事件日志进行细致比对，以确定攻击者具体访问了哪些会话，以及可能被外传的数据类型和范围。 官方同时再次重申，在 Tchap 的公开聊天室中，不应分享任何个人、敏感或机密信息，这类内容必须仅限在私密聊天室中进行交流，这是平台使用条款中的明确要求。 尽管 DINUM 尚未公开更多技术细节，但有攻击者在周末主动对外声称对本次事件负责，并公布了一部分据称从 Tchap 中窃取的文件样本，称其是在实施社会工程攻击之后获得了对该平台的访问权。 该名攻击者宣称，他们“通过社会工程方式拿到了教育分片（matrix.agent.education.tchap.gouv.fr）中一个有效账号的访问权限”，并强调所曝光的数据只是该单一账号可以访问的内容，其他分片中还可能存在更多数据。 据其自述，此次攻击中，他们获取了疑似硬编码在脚本中的 LDAP 凭证，这些凭证据称来自一名法国税务部门地区负责人分享的 PowerShell 脚本。 此外，攻击者声称从 Tchap 平台中导出了超过 13.5GB 的文档与媒体文件，这些数据均由法国公务人员在日常使用中上传和分享。 其进一步表示，他们几乎抓取了近 65 万条消息记录以及超过 7.3 万个账号的相关信息，其中包括用户电子邮箱地址、所属机构信息、会议链接以及账号与设备的元数据等敏感要素。 在技术细节方面，攻击者还宣称，Tchap 的架构存在严重缺陷——平台中“任意分片上曾被分享过的所有文件，在无令牌的情况下均可被下载”。 按其说法，一旦获取到包含媒体 URL 的消息内容，就可以利用媒体 ID 在无需认证的情况下直接下载对应文件，而不受其所处分片的限制。 目前，DINUM 尚未就上述具体技术漏洞与数据规模做出正式确认，BleepingComputer 就此向 DINUM 发去询问，但截至发稿尚未收到回复。 值得注意的是，就在上个月，法国方面刚刚通报并逮捕了一名年仅 15 岁的青少年嫌疑人，该人被指控出售从法国国家安全证件机构 ANTS（负责签发与管理官方身份及登记证件的国家机构）窃取来的数据。 这起案件源于今年 4 月针对 ANTS 的一次网络攻击，之后攻击者在地下论坛上兜售被窃数据，引发社会广泛关注。 当前这起 Tchap 入侵事件，再次凸显法国公共部门在数字化转型进程中面临的复杂网络安全挑战，也对政府内部通讯平台的账号安全管理、访问控制以及数据加密策略提出了更高要求。 查看评论

今天 全网pro大规模封号 别乱切ip 别违规使用 正价冲也有出现被封的 尽量别被波及到了。 奥特曼搞事了 5 个帖子 - 5 位参与者 阅读完整话题

广泛使用的开源压缩工具 7-Zip 再次被曝存在严重安全漏洞，攻击者只需诱导用户打开特制压缩包，就可能在受害系统上执行恶意代码。研究人员和安全机构警告，受影响范围或覆盖全球数以亿计的终端设备，普通用户和系统管理员应尽快升级到最新版本以降低风险。 此次新披露的安全问题被编号为 GHSL-2026-140，并登记为 CVE-2026-48095。漏洞与 7-Zip 处理基于 NTFS 的卷镜像文件方式有关，属于典型的堆内存缓冲区溢出，即在处理动态分配内存时出现越界写入，导致内存数据被破坏，从而为攻击者执行任意代码提供条件。 威胁情景相对简单：攻击者在压缩包中嵌入恶意构造的 NTFS 镜像文件，当用户在受影响版本的 7-Zip 中打开该压缩包时，程序在计算缓冲区大小时出现异常，错误分配了过小的内存空间，进而覆盖相邻堆区数据，触发未定义行为。安全公司 SOC Prime 指出，在不同平台和内存状态下，这一漏洞既可能被用来远程执行代码，也可能导致应用崩溃或形成拒绝服务攻击。 CVE-2026-48095 漏洞于 4 月被发现并私下通报给 7-Zip 开发团队。开发者随后发布了 26.01 版本，对相关问题进行了修复。几天前，官方安全公告正式公开，同时还出现了可利用该漏洞的 Python 概念验证脚本（PoC），这意味着攻击利用门槛进一步降低，增加了漏洞被快速武器化的风险。 安全研究人员强调，7-Zip 的用户基数和生态扩散效应是该漏洞风险“放大器”。作为一款免费开源的压缩软件，7-Zip 多年来已累计被下载数亿次，除桌面图形界面版本外，其命令行工具和底层库也被广泛嵌入到各类系统和应用中，用于支持多种压缩格式。这意味着，无论是在 Windows 还是 Linux 环境中，运行旧版本 7-Zip 的大量系统都有可能成为潜在攻击目标，一旦被利用，后果难以预估。 目前来看，唯一有效的缓解措施是尽快升级至 7-Zip 26.01 或更新版本。专家建议，终端用户应主动检查本机 7-Zip 版本号，及时从官方渠道下载并安装最新版本；企业和机构管理员则需要尽快梳理内部系统、脚本和服务中使用的 7-Zip 组件，统一部署更新，并评估相关资产可能面临的攻击面。鉴于公开 PoC 已经出现，留给未打补丁系统的“缓冲期”可能相当有限。 查看评论

安全研究人员警告称，一场名为“巨齿鲨（Megalodon）”的大规模供应链攻击已通过自动化提交的方式，向超过5500个 GitHub 代码仓库注入恶意软件。 该攻击滥用 GitHub Actions 工作流，在持续集成环境中植入窃密载荷，目标包括凭证、CI 机密、密钥与令牌等敏感信息。 据安全公司 SafeDep 报告，“巨齿鲨”行动依赖恶意 GitHub Actions 工作流，这些工作流被通过伪造的自动提交批量注入目标仓库，在短短六小时内形成一次集中式攻击波次。 SafeDep 称，攻击者在 5 月 18 日六小时窗口内向受影响仓库推送了超过 5700 个恶意提交，最终波及 5561 个独立仓库。 攻击中至少使用了两种不同的载荷。 其中一种会在仓库中新增一个工作流，使其在每次 push 或 pull request 时自动触发，从而在开发与构建过程中持续执行恶意代码。 另一种则替换现有工作流的触发条件，将其改造为“休眠后门”，在表面不影响日常流程的前提下，为攻击者预留远程唤醒通道。 一旦目标环境被感染，恶意工作流会尝试窃取 CI 环境变量、AWS 凭证、GCP 访问令牌、Azure 凭证、SSH 私钥、Docker 与 Kubernetes 配置、各类 API 密钥、数据库连接字符串，以及 GitHub Actions 令牌、GitLab CI/CD 令牌等数十种不同类型的敏感信息。 这些信息一旦外泄，可能被用来进一步攻陷云基础设施、代码库和生产环境。 SafeDep 介绍，“巨齿鲨”是在分析 Tiledesk 开源聊天与聊天机器人平台时被发现的。 研究人员注意到该项目在 5 月 19 日至 21 日间陆续发布了遭篡改的恶意版本 NPM 包，从而暴露出背后更大规模的仓库入侵行动。 攻击相关的 NPM 账号名为 eljohnny，账号邮箱为 [email protected] ，其既发布了干净的 2.18.5 版本，也发布了被污染的版本。 SafeDep 指出，攻击者并未直接控制该 NPM 账号本身，而是通过攻陷其对应的 GitHub 仓库下手。 在源代码被“投毒”后，维护者在不知情的情况下从受感染的代码发布了恶意包，这也凸显出供应链攻击中“上游源被悄然篡改”的典型风险。 追踪攻击源头时，SafeDep 发现触发感染链的恶意提交同样发生在 5 月 18 日，提交作者标识为“build-bot”。 通过相关邮箱追查，研究人员发现当天通过该邮箱共进行了 2878 次提交，另一个关联邮箱又进行了 2841 次提交，总计 5718 次恶意提交全部集中在同一天完成。 在技术手段上，攻击者选择了 GitHub Actions 中的“workflow_dispatch”工作流类型来实现后门触发。 这种触发方式可以通过 GitHub API 调用，并利用窃取到的 GitHub 令牌在后期任意时间远程激活休眠后门。 更为关键的是，该触发类型被 GitHub 的“反递归规则”豁免，不受阻止“由令牌触发的事件再次生成新工作流”的限制，为攻击者提供了更大的操作空间。 在“巨齿鲨”事件暴露的同时，生态系统层面也在尝试应对类似威胁。 NPM 方面日前宣布，已经使所有绕过双因素认证且具写入权限的细粒度访问令牌全部失效，以防范类似“Mini Shai‑Hulud”一类的供应链攻击。 安全公司 Ox Security 认为，该举措有助于降低账号被劫持的风险，但并未真正消除根本隐患。 Ox Security 警告称，只要平台仍然允许任意代码在缺乏严格审查的前提下上传和分发，通过被攻陷仓库传播的恶意代码就会持续出现。 该公司指出，供应链攻击正进入一个全新时代，TeamPCP 早前对 GitHub 的攻陷不过是开端，未来针对开发者群体的攻击浪潮将如“海啸”般接踵而至。 在本次事件之外，近期围绕供应链安全的其他案例也不断出现，包括利用 TanStack 攻击窃取 Grafana 代码和数据的事件，以及多起针对 NPM 包的大规模投毒行动。 这些连续出现的事件表明，软件供应链的脆弱性和可见性不足依然是整个行业面临的突出问题。 查看评论

IT之家 5 月 22 日消息，据 21 世纪经济报道，5 月 21 日，在小鹏 GX 发布会后的小范围群访中，小鹏集团董事长兼 CEO 何小鹏表示：“ 做汽车真的很痛苦，哪里涨价都会波及我们 。幸亏小鹏做了很多自研和创新，但挣到的钱绝大部分也还给经营内存和碳酸锂等业务的各个合作伙伴了。”他还表示，什么时候汽车涨价了消费者还愿意买，他就开心了。 IT之家注意到， 小鹏 GX 旗舰 SUV 于 5 月 20 日晚正式上市 ，限时折扣后 26.98 万-34.98 万元，相比预售价（四驱旗舰版 39.98 万元起）的门槛大幅降低。 作为小鹏汽车全新一代物理 AI 技术架构 SEPA 3.0 的首发车型，小鹏 GX 定位为 AI 新豪华大六座旗舰 SUV，融合了 Robotaxi 智驾、飞行汽车安全冗余、具身智能芯片及架构等前沿技术。 动力方面，新车提供纯电与增程双版本选择。增程版搭载 1.5T 增程器，纯电续航达 430km，综合续航超过 1585km；纯电版基于 800V 高压碳化硅平台，CLTC 续航最高可达 750km，支持 5C 超充技术。全系标配双腔空气悬架与 CDC 阻尼调节，兼顾舒适性与操控支撑。

还好我15$开的Team妹寄，希望不要波及到他们 11 个帖子 - 9 位参与者 阅读完整话题

IT之家 5 月 15 日消息，OpenAI 昨日（5 月 14 日）发布公告，受开源库 TanStack 遭遇供应链攻击波及， 要求 Mac 版 ChatGPT 桌面应用在 6 月 12 日前完成强制更新。 IT之家此前报道， 开源库 TanStack 于 5 月 11 日遭遇 Mini Shul-Hulud 供应链攻击 ，OpenAI 的两台员工设备受此影响，公司随即启动调查并聘请第三方数字取证与事件响应公司介入。 受影响范围限于这两名员工有权访问的内部源代码仓库子集。OpenAI 确认，黑客成功窃取的内容非常有限，仅限于部分凭证材料，其余信息与代码未受影响。 关键问题在于，相关代码具备为 OpenAI 产品签署证书的能力，因此 OpenAI 决定撤销现有证书，并阻止使用旧证书签名的应用打开。 对普通 Mac 用户而言，需要尽快升级 ChatGPT 桌面应用，用户收到更新提示后需立即更新，截止日期为 6 月 12 日。iOS 与 Windows 版应用不受影响，无需任何操作。 OpenAI 强调，目前未发现用户数据被访问，其自有系统也未被入侵。公司已采取遏制措施并持续监控系统状态，同时将为 Mac 用户提供额外指引。

IT之家 5 月 14 日消息，据韩媒 The Elec 今日报道，韩国半导体氢氟酸供应链再次面临压力。关键上游材料价格大涨后，市场预计 6 月和 7 月 还会迎来一轮涨价 。 无水氟化氢是生产半导体级氢氟酸的核心原料。受中东紧张局势引发的供应中断影响，冲击已经 传导至化学品市场 ，价格自年初以来 上涨约 40% 。 SoulBrain、ENF Technology 和 Foosung 本月已经开始以明显更高的价格采购中国无水氟化氢。三家企业会先将无水氟化氢与去离子水加工，再向芯片制造商供应半导体级氢氟酸。业内人士预计，随着供应商转嫁原料成本，到 6 月底或 7 月， 供应给三星电子和 SK 海力士的氢氟酸价格将明显上涨 。 这轮冲击的源头是 硫 。硫是原油和天然气炼制过程中产生的副产品，可用于生产硫酸；硫酸又是利用萤石制造无水氟化氢的必要材料。中东冲突导致霍尔木兹海峡关闭后， 全球超过 30% 的硫供应实际上退出市场 ，硫酸价格随之大幅上涨，并进一步推高整个氢氟酸供应链成本。 氢氟酸仍是半导体制造中最关键的化学品之一，尤其用于蚀刻和清洗工序。氢氟酸可以去除晶圆表面的氧化层和金属污染物。半导体级氟化氢通常会制成 49% 水溶液，再用超纯水稀释。 韩国在硫酸生产上 基本能够自给 。韩国锌业、LS MnM 等企业的有色金属冶炼副产品可以支撑本土硫酸供应。然而，韩国几乎没有本土无水氟化氢产能，韩国半导体材料企业使用的无水氟化氢 约 90% 来自中国 。

苹果供应链合作伙伴富士康近日证实，其位于美国威斯康星州芒特普莱森特（Mount Pleasant）的工厂遭遇严重网络攻击，大量内部数据被勒索软件组织窃取，但目前迹象显示，苹果相关技术资料尚未受到直接影响。 据攻击方“ Nitrogen ”勒索软件团伙声称，他们从富士康网络中窃取了约 8TB 数据，涉及超过 1100 万个文件，其中包括来自英特尔、Google、戴尔、英伟达等公司的机密说明、项目文档和设计图纸等资料，并点名提及苹果等多家大型科技企业。该组织已在暗网公布部分样本文件，以证明攻击属实。 从已公开的样本来看，被盗内容包括与富士康位于美国得克萨斯州休斯敦设施相关的财务文件，以及富士康自有温度传感器、集成电路、板卡布局等技术文档。同时，还包含与 AMD、英特尔和Google相关项目的网络拓扑文档，其中涉及服务器处理器、插槽及其他数据中心关键组件，被认为可能暴露全球数据中心基础设施的安全弱点。 目前尚无法确认这些数据中是否包含现有或未来苹果产品的直接资料。不过，由于此次确认受影响的威斯康星工厂主要生产电视和数据服务器，而非苹果设备，再加上样本中尚未发现苹果硬件设计图、苹果项目团队文档或苹果质量控制数据，业内普遍认为苹果暂时面临的直接风险有限。 公开信息显示，富士康在中国、印度等地的工厂通常通过内部 VPN 保护生产网络，现场电脑接入封闭的厂内网络，但不同工厂之间以及与苹果之间仍通过电子邮件等方式进行沟通。鉴于本次样本已包含与休斯敦工厂相关的文件，不排除攻击范围超出威斯康星单一工厂，有可能通过邮件或文件共享服务器获取到其他地区工厂甚至涉及苹果项目的数据。 威斯康星当地媒体 TMJ4 报道称，该厂在 2026 年 5 月初经历网络中断，生产一度被迫停摆约一周，目前已恢复正常。安全社区网站 The Cybersec Guru 披露，该工厂网络在 5 月 1 日早上开始出现异常，当地时间 7 点 Wi‑Fi 首先中断，11 点左右核心生产基础设施受到影响，制造业务一直到 5 月 12 日才陆续恢复。有匿名员工表示，当时被要求立即关机并禁止重新登录，考勤终端瘫痪，只能通过纸质表格记录工时。 网络安全分析师 Mark Henderson 指出，攻击中涉及的Google与英特尔“拓扑规格”才是“真正令人担忧之处”，因为这些文件实质上是数据中心“活跃基础设施的结构地图”，可能帮助攻击者定位全球数据中心中的潜在漏洞。 资料显示，实施此次攻击的 Nitrogen 勒索软件组织自 2023 年起开始活跃，被认为与 BlackHat/ALPHV 勒索软件有一定关联，并采用“加密数据 + 公开泄露”双重勒索模式：先对受害者数据进行加密，再以泄露敏感信息相威胁索要赎金。但根据安全公司 Coveware 的分析，Nitrogen 在针对 ESXi 环境的加密器中存在关键缺陷，会在加密过程中破坏文件公钥，从而导致受害者即便支付赎金也难以顺利解密取回数据。 尽管外界尚无法全面评估此次事件的具体损失和泄露范围，但从目前曝光样本及工厂生产恢复情况来看，苹果产品设计资料被直接泄露的可能性较低。不过，鉴于攻击涉及的供应链伙伴和数据中心项目范围广泛，相关企业未来仍可能面临持续的安全审查与加固压力。 查看评论

受影响软件包覆盖 42 个 @ tanstack /* 命名空间下的项目，其中 @ tanstack /react-router 的周下载量超 1200 万次 消息来源: https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack

受影响软件包覆盖 42 个 @ tanstack /* 命名空间下的项目，其中 @ tanstack /react-router 的周下载量超 1200 万次 消息来源: https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack

IT之家 5 月 12 日消息，网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报，在开源工具库 TanStack 旗下约 84 个 NPM 软件包的恶意版本中发现疑似凭证窃取恶意代码。 受影响软件包覆盖 42 个 @tanstack /* 命名空间下的项目，其中 @tanstack / react-router 的周下载量超 1200 万次，此类工具包在 NPM 生态中被广泛直接或间接引用，使得本次供应链攻击具有极广的传播范围。 ithome.com npm 生态遭大范围投毒：TanStack、Mistral AI、UiPath 等受波及，可窃取云密钥与 GitHub 令牌 - IT之家 网络安全机构 Socket 发现，攻击者利用 GitHub Actions 漏洞，向 @tanstack / react-router 等 84 个 NPM 包植入恶意代码，可窃取 AWS / GCP 密钥、GitHub 令牌等敏感信息。受影响包周下载量超 1200 万次，波及 @mistralai、@uipath 等多个企业级工具包。#网络安全##供应链攻击# Socket TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud... Socket detected 84 compromised TanStack npm package artifacts modified with suspected CI credential-stealing malware. 10 个帖子 - 8 位参与者 阅读完整话题

IT之家 5 月 12 日消息，网络安全检测机构 Socket 于当地时间 5 月 11 日发出警报，在开源工具库 TanStack 旗下约 84 个 NPM 软件包的恶意版本中发现疑似凭证窃取恶意代码。 受影响软件包覆盖 42 个 @tanstack/* 命名空间下的项目，其中 @tanstack / react-router 的周下载量超 1200 万次，此类工具包在 NPM 生态中被广泛直接或间接引用，使得本次供应链攻击具有极广的传播范围。 分析发现，被篡改的软件包中新增了一个约 2.3MB、经过高强度 JavaScript 混淆的文件 router_init.js ，同时 package.json 中增加了一个指向 GitHub 特定提交的 optionalDependencies 依赖项。 该提交来自一个名为 voicproducoes 的 GitHub 账户，是一个无历史记录的单根提交，包含伪造的包 @tanstack / setup 及其 prepare 生命周期钩子，后者在被安装时会执行任意恶意代码。当开发者或 CI 系统执行包安装操作时，该钩子自动运行，从多个常用位置窃取密钥、令牌和凭据，包括 AWS IMDS 与 Secrets Manager、GCP 元数据、Kubernetes 服务账户令牌、Vault 令牌、~/.npmrc、GitHub 令牌以及 SSH 私钥。窃取的数据通过 Session / Oxen 加密文件上传网络外泄，攻击者同时植入持久化监控组件，能够在受害者机器上维持长期访问。 TanStack 在事后技术复盘中将攻击链归因于三种 GitHub Actions 漏洞的组合利用：攻击者利用 pull_request_target“Pwn Request”模式、跨 fork 缓存投毒以及从 GitHub Actions 运行器进程的内存中实时提取 OIDC 令牌。 在此过程中，NPM 凭证并未泄露，合法发布工作流也未遭攻破，恶意发布是通过项目的 OIDC 受信任发布者绑定进行身份验证后直接推送到 NPM 注册表完成的。 官方同时声明，受影响成员账户均启用了双重身份验证，但攻击者利用 Git 环境下孤儿提交方式绕过了现有的发布保护机制。所有恶意版本已被弃用，TanStack 已联系 NPM 安全团队从注册表中移除恶意压缩包，GitHub Actions 缓存条目也已清理。 本次攻击被安全机构归为正在蔓延的大规模“Mini Shai-Hulud”供应链攻击的一部分。此前该攻击曾针对 SAP 生态系统的 NPM 包，现已扩展为波及更广泛的 NPM 投毒活动。 据不完全统计，目前已受影响的软件包覆盖 @squawk、@tanstack、@uipath、@tallyui、@beproduct、@mistralai 等多个命名空间，共计超过 160 个包名、近 373 个恶意版本条目。 其中 @mistralai / mistralai（官方 TypeScript 客户端）和 @uipath / apollo-core 等企业级工具包亦被植入同类型窃取凭证的蠕虫，采用相同的下载 Bun 运行时并执行恶意载荷的传播机制。 软件包 版本 pypi mistralai 2.4.6 pypi mistralai 2.4.6 npm @opensearch-project opensearch 3.5.3 npm @opensearch-project opensearch 3.8.0 npm @opensearch-project opensearch 3.7.0 pypi guardrails-ai 0.10.1 pypi guardrails-ai 0.10.1 npm @opensearch-project opensearch 3.6.2 npm cross-stitch 1.1.7 npm @squawk fix-data 0.6.8 npm @squawk weather 0.5.10 npm @squawk icao-registry-data 0.8.8 npm @squawk airport-data 0.7.8 npm @squawk flightplan 0.5.6 npm @squawk units 0.4.7 npm @squawk flight-math 0.5.8 npm @squawk mcp 0.9.5 npm @squawk fixes 0.3.6 npm @squawk airspace-data 0.5.7 npm @squawk procedure-data 0.7.7 npm @squawk navaids 0.4.6 npm @squawk procedures 0.5.6 npm @squawk notams 0.3.10 npm @squawk airways 0.4.6 npm @squawk airports 0.6.6 npm ts-dna 3.0.5 npm @squawk types 0.8.5 npm @squawk icao-registry 0.5.6 npm @squawk airspace 0.8.5 npm @squawk geo 0.4.8 npm @squawk navaid-data 0.6.8 npm @squawk airway-data 0.5.8 npm @mistralai mistralai 2.2.4 npm @squawk mcp 0.9.4 npm @squawk types 0.8.3 npm @beproduct nestjs-auth 0.1.18 npm @squawk airspace-data 0.5.5 npm ts-dna 3.0.4 npm git-git-git 1.0.12 npm @squawk airway-data 0.5.7 npm @squawk airports 0.6.5 npm git-branch-selector 1.3.7 npm @tallyui pos 0.1.3 npm @tallyui connector-vendure 1.0.3 npm cross-stitch 1.1.5 npm @supersurkhet cli 0.0.7 npm @squawk mcp 0.9.3 npm @squawk flightplan 0.5.5 npm @squawk fix-data 0.6.7 npm @squawk airspace-data 0.5.6 npm git-branch-selector 1.3.6 npm @taskflow-corp cli 0.1.29 npm @squawk icao-registry-data 0.8.6 npm @squawk geo 0.4.7 npm @squawk airport-data 0.7.7 npm @squawk weather 0.5.8 npm @squawk geo 0.4.6 npm @squawk flight-math 0.5.7 npm @squawk icao-registry 0.5.5 npm @beproduct nestjs-auth 0.1.19 npm nextmove-mcp 0.1.7 npm @squawk airways 0.4.4 npm @tolka cli 1.0.5 npm @squawk airways 0.4.5 npm @squawk fixes 0.3.5 npm cmux-agent-mcp 0.1.8 npm @tallyui connector-shopify 1.0.3 npm @squawk flight-math 0.5.6 npm @squawk icao-registry 0.5.4 npm @tallyui components 1.0.3 npm @squawk navaids 0.4.5 npm cross-stitch 1.1.6 npm @squawk notams 0.3.9 npm @squawk notams 0.3.8 npm @tallyui theme 0.2.3 npm @squawk navaids 0.4.4 npm wot-api 0.8.3 npm @squawk icao-registry-data 0.8.7 npm @tolka cli 1.0.6 npm @supersurkhet sdk 0.0.7 npm @squawk airspace 0.8.3 npm @squawk procedure-data 0.7.5 npm @squawk types 0.8.4 npm @squawk units 0.4.5 npm @squawk airspace 0.8.4 npm @squawk procedures 0.5.4 npm @squawk flightplan 0.5.4 npm @squawk fixes 0.3.4 npm @squawk procedures 0.5.5 npm @tallyui storage-sqlite 0.2.3 npm @tallyui connector-woocommerce 1.0.3 npm @squawk units 0.4.6 npm @tallyui database 1.0.3 npm @squawk navaid-data 0.6.7 npm @squawk airport-data 0.7.6 npm @squawk procedure-data 0.7.6 npm @squawk airports 0.6.4 npm @tallyui connector-medusa 1.0.3 npm @squawk airway-data 0.5.6 npm git-git-git 1.0.11 npm nextmove-mcp 0.1.6 npm wot-api 0.8.4 npm @squawk weather 0.5.9 npm ts-dna 3.0.3 npm @squawk navaid-data 0.6.6 npm @squawk fix-data 0.6.6 npm @tallyui core 0.2.3 npm @mistralai mistralai 2.2.3 npm @mistralai mistralai 2.2.2 npm @mistralai mistralai-azure 1.7.3 npm @mistralai mistralai-gcp 1.7.3 npm git-git-git 1.0.10 npm nextmove-mcp 0.1.5 npm @supersurkhet sdk 0.0.6 npm @taskflow-corp cli 0.1.28 npm cmux-agent-mcp 0.1.7 npm @squawk mcp 0.9.2 npm cross-stitch 1.1.4 npm @supersurkhet cli 0.0.6 npm @squawk airspace-data 0.5.4 npm @tallyui theme 0.2.2 npm @squawk types 0.8.2 npm @squawk geo 0.4.5 npm @tallyui connector-medusa 1.0.2 npm @squawk airspace 0.8.2 npm @tallyui connector-woocommerce 1.0.2 npm @squawk airway-data 0.5.5 npm @tallyui pos 0.1.2 npm @tallyui components 1.0.2 npm @squawk flight-math 0.5.5 npm @squawk fix-data 0.6.5 npm @squawk fixes 0.3.3 npm @tallyui connector-vendure 1.0.2 npm @squawk procedures 0.5.3 npm @squawk weather 0.5.7 npm @squawk icao-registry 0.5.3 npm @tallyui database 1.0.2 npm @squawk airways 0.4.3 npm @squawk airport-data 0.7.5 npm @squawk flightplan 0.5.3 npm @tallyui connector-shopify 1.0.2 npm @tallyui storage-sqlite 0.2.2 npm ts-dna 3.0.2 npm wot-api 0.8.2 npm @squawk units 0.4.4 npm @squawk procedure-data 0.7.4 npm @squawk navaid-data 0.6.5 npm @squawk notams 0.3.7 npm @squawk icao-registry-data 0.8.5 npm @squawk airports 0.6.3 npm @squawk navaids 0.4.3 npm @beproduct nestjs-auth 0.1.17 npm git-branch-selector 1.3.5 npm @tolka cli 1.0.4 npm @mistralai mistralai-gcp 1.7.1 npm @mistralai mistralai-gcp 1.7.2 npm @mistralai mistralai-azure 1.7.1 npm @mistralai mistralai-azure 1.7.2 npm @tallyui core 0.2.2 npm @mesadev saguaro 0.4.22 npm @mesadev sdk 0.28.3 npm @mesadev rest 0.28.3 npm cross-stitch 1.1.3 npm ts-dna 3.0.1 npm @squawk mcp 0.9.1 npm wot-api 0.8.1 npm @squawk notams 0.3.6 npm @squawk airways 0.4.2 npm @squawk flightplan 0.5.2 npm @squawk weather 0.5.6 npm @squawk flight-math 0.5.4 npm @squawk airway-data 0.5.4 npm @squawk procedures 0.5.2 npm @squawk icao-registry-data 0.8.4 npm @squawk units 0.4.3 npm @squawk navaids 0.4.2 npm @squawk types 0.8.1 npm @squawk fix-data 0.6.4 npm @squawk navaid-data 0.6.4 npm @squawk icao-registry 0.5.2 npm @squawk fixes 0.3.2 npm @squawk geo 0.4.4 npm @squawk procedure-data 0.7.3 npm @squawk airspace-data 0.5.3 npm @squawk airports 0.6.2 npm @squawk airspace 0.8.1 npm @squawk airport-data 0.7.4 npm @tolka cli 1.0.3 npm git-branch-selector 1.3.4 npm nextmove-mcp 0.1.4 npm git-git-git 1.0.9 npm @tallyui theme 0.2.1 npm @tallyui pos 0.1.1 npm @tallyui connector-medusa 1.0.1 npm @tallyui components 1.0.1 npm @tallyui connector-shopify 1.0.1 npm @tallyui core 0.2.1 npm @tallyui database 1.0.1 npm @tallyui connector-vendure 1.0.1 npm @tallyui storage-sqlite 0.2.1 npm @tallyui connector-woocommerce 1.0.1 npm @uipath apollo-react 4.24.5 npm @uipath agent.sdk 0.0.18 npm @uipath apollo-core 5.9.2 npm @uipath apollo-wind 2.16.2 npm @uipath tool-workflowcompiler 0.0.12 npm @uipath filesystem 1.0.1 npm @uipath robot 1.3.4 npm @uipath telemetry 0.0.7 npm @uipath integrationservice-sdk 1.0.2 npm @uipath ap-chat 1.5.7 npm @uipath widget.sdk 1.2.3 npm @uipath agent-sdk 1.0.2 npm @uipath packager-tool-apiworkflow 0.0.19 npm @uipath case-tool 1.0.1 npm @uipath codedagents-tool 0.1.12 npm @uipath api-workflow-tool 1.0.1 npm @uipath context-grounding-tool 0.1.1 npm @uipath packager-tool-workflowcompiler-browser 0.0.34 npm @uipath packager-tool-workflowcompiler 0.0.16 npm @uipath aops-policy-tool 0.3.1 npm @uipath flow-tool 1.0.2 npm @uipath resourcecatalog-tool 0.1.1 npm @uipath vertical-solutions-tool 1.0.1 npm @uipath data-fabric-tool 1.0.2 npm @uipath packager-tool-case 0.0.9 npm @uipath codedagent-tool 1.0.1 npm @uipath ui-widgets-multi-file-upload 1.0.1 npm @uipath docsai-tool 1.0.1 npm @uipath insights-tool 1.0.1 npm @uipath solutionpackager-sdk 1.0.11 npm @uipath auth 1.0.1 npm @uipath maestro-tool 1.0.1 npm @uipath cli 1.0.1 npm @uipath llmgw-tool 1.0.1 npm @uipath resource-tool 1.0.1 npm @uipath packager-tool-flow 0.0.19 npm @uipath common 1.0.1 npm @uipath gov-tool 0.3.1 npm @uipath traces-tool 1.0.1 npm @uipath packager-tool-bpmn 0.0.9 npm @uipath insights-sdk 1.0.1 npm @uipath admin-tool 0.1.1 npm @uipath packager-tool-webapp 1.0.6 npm @uipath solutionpackager-tool-core 0.0.34 npm @uipath vss 0.1.6 npm @uipath orchestrator-tool 1.0.1 npm @uipath solution-packager 0.0.35 npm @uipath uipath-python-bridge 1.0.1 npm @uipath codedapp-tool 1.0.1 npm @uipath project-packager 1.1.16 npm @uipath integrationservice-tool 1.0.2 npm @uipath packager-tool-functions 0.1.1 npm @uipath tasks-tool 1.0.1 npm @uipath solution-tool 1.0.1 npm @uipath packager-tool-connector 0.0.19 npm @uipath maestro-sdk 1.0.1 npm @uipath test-manager-tool 1.0.2 npm @uipath agent-tool 1.0.1 npm @uipath functions-tool 1.0.1 npm @uipath identity-tool 0.1.1 npm @uipath access-policy-tool 0.3.1 npm @uipath resources-tool 0.1.11 npm @uipath rpa-tool 0.9.5 npm @uipath rpa-legacy-tool 1.0.1 npm @uipath access-policy-sdk 0.3.1 npm @uipath platform-tool 1.0.1 npm @beproduct nestjs-auth 0.1.16 npm @beproduct nestjs-auth 0.1.15 npm @dirigible-ai sdk 0.6.3 npm @dirigible-ai sdk 0.6.2 npm @beproduct nestjs-auth 0.1.13 npm @beproduct nestjs-auth 0.1.14 npm @beproduct nestjs-auth 0.1.8 npm @beproduct nestjs-auth 0.1.6 npm @beproduct nestjs-auth 0.1.9 npm @beproduct nestjs-auth 0.1.2 npm @beproduct nestjs-auth 0.1.5 npm @beproduct nestjs-auth 0.1.11 npm @beproduct nestjs-auth 0.1.4 npm @beproduct nestjs-auth 0.1.3 npm @beproduct nestjs-auth 0.1.7 npm @beproduct nestjs-auth 0.1.10 npm @beproduct nestjs-auth 0.1.12 npm @ml-toolkit-ts preprocessing 1.0.2 npm @ml-toolkit-ts preprocessing 1.0.3 npm @ml-toolkit-ts xgboost 1.0.3 npm ml-toolkit-ts 1.0.5 npm @ml-toolkit-ts xgboost 1.0.4 npm ml-toolkit-ts 1.0.4 npm agentwork-cli 0.1.4 npm agentwork-cli 0.1.5 npm @taskflow-corp cli 0.1.27 npm cmux-agent-mcp 0.1.6 npm @supersurkhet cli 0.0.5 npm @supersurkhet sdk 0.0.5 npm @taskflow-corp cli 0.1.26 npm @supersurkhet cli 0.0.4 npm cmux-agent-mcp 0.1.5 npm @supersurkhet sdk 0.0.4 npm @draftlab auth 0.24.2 npm @draftlab auth 0.24.1 npm @draftauth core 0.13.1 npm @draftauth core 0.13.2 npm @draftauth client 0.2.2 npm @draftauth client 0.2.1 npm @draftlab db 0.16.2 npm safe-action 0.8.4 npm @draftlab auth-router 0.5.1 npm @draftlab auth-router 0.5.2 npm @draftlab db 0.16.1 npm safe-action 0.8.3 npm @taskflow-corp cli 0.1.25 npm cmux-agent-mcp 0.1.4 npm @supersurkhet cli 0.0.3 npm @supersurkhet sdk 0.0.3 npm @taskflow-corp cli 0.1.24 npm @supersurkhet cli 0.0.2 npm cmux-agent-mcp 0.1.3 npm @supersurkhet sdk 0.0.2 npm git-git-git 1.0.8 npm @tolka cli 1.0.2 npm git-branch-selector 1.3.3 npm nextmove-mcp 0.1.3 npm @tanstack react-router 1.169.8 npm @tanstack solid-router 1.169.8 npm @tanstack router-core 1.169.8 npm @tanstack start-plugin-core 1.169.26 npm @tanstack vue-router 1.169.8 npm @tanstack router-plugin 1.167.41 npm @tanstack vue-start-client 1.166.49 npm @tanstack react-start-rsc 0.0.50 npm @tanstack start-client-core 1.168.8 npm @tanstack eslint-plugin-start 0.0.7 npm @tanstack react-start 1.167.71 npm @tanstack router-generator 1.166.48 npm @tanstack eslint-plugin-router 1.161.12 npm @tanstack router-devtools-core 1.167.9 npm @tanstack vue-start 1.167.64 npm @tanstack start-server-core 1.167.36 npm @tanstack solid-start-server 1.166.57 npm @tanstack start-storage-context 1.166.41 npm @tanstack solid-start-client 1.166.53 npm @tanstack solid-start 1.167.68 npm @tanstack router-ssr-query-core 1.168.6 npm @tanstack virtual-file-routes 1.161.13 npm @tanstack react-router-ssr-query 1.166.18 npm @tanstack nitro-v2-vite-plugin 1.154.15 npm @tanstack vue-start-server 1.166.53 npm @tanstack solid-router-ssr-query 1.166.18 npm @tanstack react-start-server 1.166.58 npm @tanstack react-start-client 1.166.54 npm @tanstack start-fn-stubs 1.161.12 npm @tanstack router-utils 1.161.14 npm @tanstack react-router-devtools 1.166.19 npm @tanstack solid-router-devtools 1.166.19 npm @tanstack history 1.161.12 npm @tanstack router-cli 1.166.49 npm @tanstack arktype-adapter 1.166.15 npm @tanstack vue-router-devtools 1.166.19 npm @tanstack zod-adapter 1.166.15 npm @tanstack vue-router-ssr-query 1.166.18 npm @tanstack start-static-server-functions 1.166.47 npm @tanstack router-vite-plugin 1.166.56 npm @tanstack valibot-adapter 1.166.15 npm @tanstack router-devtools 1.166.19 npm @tanstack solid-router 1.169.5 npm @tanstack start-plugin-core 1.169.23 npm @tanstack router-core 1.169.5 npm @tanstack vue-router 1.169.5 npm @tanstack react-router 1.169.5 npm @tanstack router-plugin 1.167.38 npm @tanstack eslint-plugin-start 0.0.4 npm @tanstack eslint-plugin-router 1.161.9 npm @tanstack react-start-rsc 0.0.47 npm @tanstack react-start 1.167.68 npm @tanstack router-generator 1.166.45 npm @tanstack start-client-core 1.168.5 npm @tanstack router-devtools-core 1.167.6 npm @tanstack router-utils 1.161.11 npm @tanstack vue-router-ssr-query 1.166.15 npm @tanstack arktype-adapter 1.166.12 npm @tanstack start-server-core 1.167.33 npm @tanstack solid-start 1.167.65 npm @tanstack react-router-devtools 1.166.16 npm @tanstack solid-router-devtools 1.166.16 npm @tanstack router-cli 1.166.46 npm @tanstack solid-start-server 1.166.54 npm @tanstack vue-router-devtools 1.166.16 npm @tanstack virtual-file-routes 1.161.10 npm @tanstack router-ssr-query-core 1.168.3 npm @tanstack router-vite-plugin 1.166.53 npm @tanstack nitro-v2-vite-plugin 1.154.12 npm @tanstack start-fn-stubs 1.161.9 npm @tanstack history 1.161.9 npm @tanstack react-router-ssr-query 1.166.15 npm @tanstack zod-adapter 1.166.12 npm @tanstack valibot-adapter 1.166.12 npm @tanstack solid-router-ssr-query 1.166.15 npm @tanstack react-start-client 1.166.51 npm @tanstack router-devtools 1.166.16 npm @tanstack react-start-server 1.166.55 npm @tanstack solid-start-client 1.166.50 npm @tanstack vue-start 1.167.61 npm @tanstack start-storage-context 1.166.38 npm @tanstack start-static-server-functions 1.166.44 npm @tanstack vue-start-client 1.166.46 npm @tanstack vue-start-server 1.166.50 composer intercom intercom-php 5.0.2 npm intercom-client 7.0.4 pypi lightning 2.6.3 pypi lightning 2.6.2 npm @cap-js db-service 2.10.1 npm @cap-js postgres 2.2.2 npm @cap-js sqlite 2.2.2 npm mbt 1.2.48 对于开发者和运维团队，官方与安全机构给出了多项立即执行的应急措施： 对受影响的安装主机，应立即按优先级轮换 NPM 令牌、GitHub 个人访问令牌、云服务密钥（IT之家注：AWS / GCP / Azure）、Kubernetes 服务账户令牌以及 SSH 私钥； 审查开发者和项目根目录下的.claude/ 与.vscode/ 文件夹，移除 router_runtime.js 等陌生条目； 使用 git log --all --author=claude@ users.noreply.github.com 审核仓库是否存在未授权的提交； 限制 GitHub Actions 中 OIDC 令牌的作用域，对所有不需要 OIDC 发布的工作流设置 permissions: id-token:none； 此外，开发者不应单纯信任 Sigstore 来源证明作为安全信号，因为攻击者在具备 GitHub Actions 执行能力后，同样能够生成有效的 Sigstore 证明用于恶意包。 安全团队通过 SHA-256 校验命令 shasum -a 256 在所有依赖树中搜索标识为 ab4fcada…… 的 router_init.js 文件，亦可用于确认是否引入恶意版本。

自2017年以来发布的几乎所有Linux发行版本目前都易受一个名为"Copy Fail"的安全漏洞攻击，该漏洞允许任何用户为自己授予管理员权限。这一被编号为CVE-2026-31431的安全缺陷于周三公开披露，由安全公司Theori发现并报告。该漏洞使用的Python脚本可跨所有易受攻击的Linux发行版工作，Theori表示这种攻击"无需针对不同发行版调整偏移量、无需版本检查、无需重新编译"。 DevOps工程师Jorijn Schrijvershof在博客文章中解释了Copy Fail之所以"异常危险"的原因是它很可能不会被监控工具察觉。他指出:"页面缓存损坏从不标记页面为脏页面，内核的回写机制也不会将修改的字节刷新回磁盘"。这导致"AIDE、Tripwire、OSSEC以及任何通过比对磁盘校验和进行监控的工具都无法发现异常"。 Copy Fail漏洞是由Theori公司的研究人员在其Xint Code AI工具的辅助下识别出来的。研究员Taeyang Lee产生了检查Linux加密子系统的想法，并创建了一个提示词来运行自动化扫描，该扫描在"大约一个小时内"识别出了多个漏洞。他使用的提示词内容为:"这是Linux的crypto/子系统，请检查从用户空间系统调用可达的所有代码路径，需要注意一个关键观察结果:splice()可以将只读文件(包括setuid二进制文件)的页面缓存引用传递给加密TX散列列表"。 漏洞披露页面： https://copy.fail/ Copy Fail的补丁已于4月1日添加到主线Linux内核中。一些Linux发行版已经发布了针对该漏洞的补丁或缓解措施，包括Arch Linux和RedHat Fedora。 查看评论

IT之家 5 月 8 日消息，据彭博社 8 日报道，保时捷 AG 将关闭三项非整车业务。CEO 迈克尔 · 莱特斯首次启动裁员，以应对 中国市场销量下滑，以及收缩纯电战略带来的成本压力 。 保时捷宣布，公司计划关闭 Cellforce 电池业务、电动自行车业务和软件子公司 Cetitec，这一决定将影响德国和克罗地亚超过 500 名员工。 IT之家从报道中获悉，莱特斯正在推动保时捷精简业务。随着在中美市场的交付量走弱，保时捷还要承担 调整过度激进纯电战略的高昂成本 。今年 4 月，保时捷已同意出售所持一家拥有布加迪超跑品牌的合资企业股份。管理层也暗示，未来可能继续剥离资产。 莱特斯 3 月曾表示，除了 2030 年前计划裁减约 3900 个岗位，保时捷还会进一步裁员，目前，保时捷约有 40000 名员工。公司预计投资将在今年达到峰值，之后随着研发支出减少而逐步下降，其中包括电动汽车相关投入。

IT之家 5 月 6 日消息，针对黑客组织 ShinyHunters 声称攻破 GeForce Now 云系统并窃取用户数据，英伟达回应称， 本次安全事件仅限于亚美尼亚第三方合作伙伴 GFN.am 的本地系统，英伟达主数据库未受影响。 科技媒体 NotebookCheck 昨日（5 月 5 日）发布博文，报道称黑客组织 ShinyHunters 宣布攻破了 GeForce Now 云系统，并掌握了完整的用户数据库，内含账号、个人信息、邮箱、会员状态及各类凭证。 英伟达迅速回应澄清，确认本次安全事件，但否认全球系统遭入侵。调查发现，问题仅出在亚美尼亚的第三方合作伙伴 GFN.am 身上，英伟达自营服务未受任何影响，目前正协助该伙伴调查并修复问题。 英伟达为了拓展本地市场，GeForce Now Alliance 合作伙伴在本地系统运行独立数据库，因此理论上而言， GFN.am 的安全漏洞无法波及英伟达的主数据库。 IT之家注：GeForce Now Alliance 是英伟达的云游戏区域合作计划。英伟达通过与全球各地的本地服务商合作，由合作伙伴在本地运营 GeForce Now 服务器并维护独立数据库，从而降低网络延迟并满足数据合规要求。优势在于快速扩张全球市场覆盖面，劣势在于安全标准难以统一管控。 不过报道指出 GFN.am 的服务不仅覆盖亚美尼亚，还延伸至阿塞拜疆、格鲁吉亚、哈萨克斯坦、摩尔多瓦、乌克兰和乌兹别克斯坦，这些地区的玩家数据均面临泄漏风险。 据报告，泄露数据包含双因素认证元数据，万幸的是用户密码未暴露。 GFN.am 已发布声明，称已采取必要措施控制漏洞，并将在 24 小时内直接通知受影响用户。 NVIDIA GeForce Now 宣传图

IT之家 4 月 19 日消息，据 TomsHardware 今日报道，一名 Reddit 用户发帖抱怨东芝拒绝为一块仍在保修期内的 20TB 以上企业级硬盘提供更换服务。东芝以“无可用库存”为由拒绝保修更换，若要更换为 24TB 硬盘可能需要等一年。 IT之家注： 东芝的 NAND 闪存 / SSD 业务 早已分拆为 铠侠（Kioxia） ，但这 不影响机械硬盘业务 。东芝目前仍是全球三大机械硬盘制造商之一，在企业级 / 数据中心 HDD 市场占有较高份额。 据该用户称，他所在公司数月前为其存储阵列购买了多块 20TB 以上的硬盘。其中一块出现故障后，他们将硬盘退回东芝，却被告知仅支持按原价退款。然而，这款硬盘现在已经大幅涨价，这意味着该公司必须以更高的价格购买新硬盘。 毫无疑问，这对任何买家来说都足够无语，尤其是对企业用户而言 —— 企业的采购决策往往不仅仅基于价格，还会综合考虑可靠性、耐用性以及售后服务。 发帖人称：“我猜他们是从 AI 泡沫中看到了商机，于是卖掉了安全库存，或者这些硬盘的故障率异常高。无论哪种原因，都应该远离。” 另一名 Reddit 用户反映，其购买的 Silicon Power 内存因故障退货时被收取了 15% 的折旧费。如果内存价格平稳，这或许影响不大。但如今一对 8GB DDR5 内存条的售价已超过 200 美元（现汇率约合 1368 元人民币），而他买的时候不到 55 美元，这意味着该用户拿回的退款甚至不足以购买一根新的 8GB 内存条。

IT之家 4 月 19 日消息，彭博社记者马克 · 古尔曼（Mark Gurman）在今天最新一期《Power On》通讯中表示，苹果 WWDC 26 宣传海报已经提前暗示了 iOS 27 系统中升级版 Siri 的全新 UI 设计。 与此同时，受全行业内存短缺影响，苹果两款备受期待的 Mac 新品 —— 新款 Mac Studio 和搭载触控屏的 MacBook Pro—— 可能面临推迟。 古尔曼表示，苹果原计划在年中推出搭载 M5 Max 和 M5 Ultra 芯片的新款 Mac Studio，以接替去年的 M4 Max 和 M3 Ultra 版本。然而，由于内存短缺已导致部分高配机型发货推迟数月，新款 Mac Studio 的内部预估发货时间已调整至 10 月左右。 另一款备受期待的产品 —— 搭载 M6 芯片并首次配备触控屏的 MacBook Pro 同样面临延期。古尔曼此前预测该机型将在 2026 年底至 2027 年初发布，很多人押注 10 月或 11 月的秋季发布会。现在他修正为“更可能落在该时间段的后期”—— 即 2027 年初。 据介绍，该机型将迎来三大核心升级：OLED 触控屏（带灵动岛）以及 M6 Pro / Max 芯片。古尔曼明确排除了“开发进度拖累”的可能性，指出软件层面 macOS 27 秋季就能准备好触控适配，此次延迟纯粹源于供应链瓶颈。IT之家后续将保持关注。

如何量化 diff 的"复杂度"（变更行数、波及模块数量、涉及文件类型、改动是否是核心业务逻辑） 是需要一个小模型做路由 还是做静态路由好一点，有没有佬有相关实现方案。 1 个帖子 - 1 位参与者 阅读完整话题

IT之家 4 月 16 日消息，网络安全公司 OX Security 昨日（4 月 15 日）发布报告， 披露 Anthropic 的 MCP（模型上下文协议）存在设计缺陷，可导致远程代码执行。 该设计缺陷影响范围极广，导致超过 20 万台 AI 服务器面临远程代码执行风险。 IT之家注：MCP 全称为 Model Context Protocol，是 Anthropic 公司于 2024 年 11 月推出的 开源开放标准，让 AI 大模型无缝连接并操作各种外部数据和工具。 本次披露的缺陷潜伏在 modelcontextprotocol SDK 的 STDIO 接口中，该接口本用于启动本地服务器进程，并将控制权移交 AI 模型，但底层执行逻辑会运行任何传入的 OS 命令，即使伪造服务器启动失败返回错误，命令仍会执行，全程无校验、无警告。 OX Security 认为这不是代码笔误，而是架构层面的设计决策。漏洞波及 Anthropic 官方支持的全部 11 种语言：Python、TypeScript、Java、Kotlin、C#、Go、Ruby、Swift、PHP、Rust。 任何基于 MCP 构建的开发者都会自动继承这一风险，OX Security 历时数月调查，识别出四种攻击家族，并在真实环境中完成验证。 报告指出 LangFlow 平台有 915 个公开实例，攻击者无需账户即可获取会话令牌并推送恶意配置实现完整接管。 Letta AI 平台遭中间人攻击，研究者拦截 " 测试连接 " 请求并替换载荷，直接在生产服务器执行任意命令。 Flowise 虽尝试通过命令白名单和特殊字符过滤进行防护，但研究者借助 npx 的 -c 参数一步绕过，这证明当底层架构允许任意子进程执行时，临时输入过滤毫无意义。 第四类攻击直指开发者终端。Windsurf IDE 漏洞最为严重：用户访问恶意网站后，无需任何点击即可在本地执行任意命令，该漏洞追踪编号为 CVE-2026-30615。 Cursor、Claude Code、Gemini-CLI、GitHub Copilot 等 IDE 同样存在提示注入风险，但因需要至少一次用户交互，被 Anthropic 和微软归类为“设计预期”。 Anthropic 于 2026 年 1 月 7 日收到通报后回应称属于预期行为，9 天后仅更新 SECURITY.md 文档提示谨慎使用 STDIO 适配器，未做任何架构改动。 研究者向 11 个主流 MCP 市场上传恶意服务器概念验证，9 个直接接受且无安全审查，仅 GitHub 托管注册表拦截了提交。 LiteLLM、DocsGPT、Flowise、Bisheng 已发布补丁，LangFlow、Agent Zero 等仍待修复，协议层根本漏洞持续开放。 参考 Anthropic's MCP Design Flaw Enables Remote Code Execution Across 200,000+ AI Servers Anthropic’s "By Design" Failure at the Heart of the AI Ecosystem