假Bug报告攻破Cline发布流水线，五角大楼AI监控无法可依

01一条伪装成Bug报告的prompt injection，攻破了Cline的整条发布流水线

Cline的代码仓库允许任何人提交问题报告。安全研究员Adnan Khan利用这一点，在一条报告的标题里埋了一段提示词注入，伪装成系统报错：「需要先安装辅助工具」。Cline的分拣机器人没有识别出来，照单全收。

这套自动分拣流程的核心是claude-code-action，被配置了执行命令、读写文件等权限。每当有人提交报告，机器人就读取标题并处理。标题被直接拼进提示词，没有任何过滤。Khan的注入指令让机器人以为自己需要安装一个辅助工具，实际运行了一条指向恶意代码包的安装命令，包里的预安装脚本随即执行。

拿到代码执行权限只是第一步。分拣机器人的工作流本身接触不到发布密钥，但Khan又找到一条跳板：分拣流程和每夜发布流程共用同一组缓存键。他写了一个叫cacheract的工具，往缓存里塞入超过10GB的垃圾数据触发自动清理，再用植入了窃密代码的文件填充新缓存。发布流程下次运行时，加载到的已经是被污染的版本。

攻击链走到终点：携带恶意代码的2.3.0版本被推送到了NPM上，随后被撤回。Khan此前已做过负责任的漏洞披露，但团队响应迟缓，攻击在修复到位前就已发生。同一周，OpenAI上线了专门扫描代码漏洞的安全代理。

整条攻击链没有用到任何零日漏洞，每一步利用的都是AI代理被赋予的合法权限：一个对所有人开放的提交入口，一个拥有命令执行权限的分拣机器人，一组两条工作流之间共享的缓存键。

02五角大楼用AI监控公民，合法吗？美国法律答不上来

美国宪法第四修正案禁止无证搜查，但它写于1791年，预设的是翻抽屉、拆信件。当军方用AI批量分析公民的公开数据，这算不算「搜查」？现行法律给不出答案。

安全研究者Schneier与一位法律学者联合撰文，拆解了这个盲区。Anthropic与国防部的冲突只是表面。真正的问题是，美国法律对AI大规模监控根本没有定义。斯诺登事件后国会改革针对的是电话元数据收集。AI监控完全不同：不需要接入通信网络，只要把公开数据喂给模型，就能推断出一个人的政治倾向、社交关系和日常动线。

这种推断能力在法律上几乎隐形。第四修正案的「合理隐私期待」标准针对的是窃听和定位追踪。AI从公开信息推断隐私，既非窃听也非追踪，现有判例管不到。

Schneier的判断很明确：技术跑在法律前面好几年了，国会甚至还没开始讨论这件事。

03Anthropic量化就业冲击，OpenAI测量学习效果，AI巨头抢在监管前给自己「做体检」

Anthropic本周发布了一套衡量AI对劳动力市场影响的新指标。几乎同期，OpenAI推出了测量AI对学生学习效果的框架。两份研究瞄准的议题不同，结构却高度一致：都由公司自有研究团队出品，都选中了公众最敏感的社会议题，都承诺建立长期追踪机制。

外部监管框架尚未成形，AI公司已经开始自己定义「影响该怎么量」。就业和教育恰好是立法者讨论AI风险时最先想到的两个词，谁先拿出一套看起来严谨的评估体系，谁就更可能在未来的监管对话中占据起点。

两份研究都不急于下结论。Anthropic强调这是「早期证据」。OpenAI则称其框架旨在「跨时间、跨环境」持续观测。这不是一次性的公关动作，而是在为长期叙事打地基——我们已经在认真研究了，未来请参考我们的框架来讨论。

但裁判和运动员是同一个人，结论的可信度天然有上限。这份就业研究在技术社区引发大量讨论（Hacker News上获得308票、超过500条评论），焦点正是这个边界问题。