01Claude Code泄露代码被黑客投毒分发,AI开发工具成新攻击面
一个开发者在论坛上看到了Claude Code的泄露源码链接,点进去,下载,解压。代码看起来是真的,但夹带的恶意程序已经在本地跑起来了。
Wired报道,黑客正在将此前泄露的这款闭源工具源码重新打包,植入恶意软件后在多个渠道分发。泄露事件发生后,开发者社区弥漫着好奇——想亲眼看看这个热门工具的内部实现。攻击者精准利用了这种心理:在真实泄露代码中埋入恶意载荷,包装成「原始泄露包」,等目标自己上门。手法不复杂,但在AI工具生态里格外有效,因为开发者下载和运行陌生代码的门槛本来就低。
同一周,热门agent工具OpenClaw又从不同方向暴露了安全问题。据Ars Technica报道,这款工具存在未授权管理员访问漏洞,攻击者无需任何身份验证就能静默获取管理员权限。
两条路径截然不同,但瞄准的是同一批人。泄露投毒在分发渠道截获开发者,在他们拿到工具之前就已得手;OpenClaw的漏洞则在运行时打穿权限边界,工具装好之后后门才洞开。这两类工具日常都能深入访问系统和代码库,一旦被攻破,攻击者拿到的不只是一个账号,而是整个开发环境。Ars Technica给出的建议只有一句:「假定自己已经被入侵。」
02Trump力推AI数据中心,自家关税成最大绊脚石
白宫把AI基建当作赢过中国的国家工程:要建得多,建得快。但近半数数据中心项目正在延期,卡住它们的不是技术瓶颈,而是同一届政府加征的关税。
数据中心的电力基础设施依赖变压器、开关设备等关键组件,中国恰好是主要供应方。关税推高了采购成本,更直接打断了供应链节奏,项目方拿到了地、签好了电力协议,却等不到设备交付。
地面建设受阻,替代路径走向了另一个极端。SpaceX近期认真讨论了把数据中心部署到太空轨道上,不是科幻畅想,团队将其作为地面电力和设备瓶颈的现实备选项来评估。
而堵住地面这条路的,正是白宫自己。关税的打击目标是中国,但美国AI基建的电力设备供应链绕不开中国。一手签行政令加速数据中心审批,另一手对建设所需的核心设备加税,两道指令出自同一届政府。
03Microsoft有80个产品叫Copilot,Grammarly的AI把文章改烂了
Microsoft旗下叫Copilot的产品有80个。一位博主逐个清点后发现,它们覆盖了应用、功能、平台、键盘按键和笔记本品类,甚至包括专门用来造更多Copilot的工具。翻遍官网和文档都凑不齐完整清单:「试着找命名规律,没找到。」
这篇清点在Hacker News上收到784票。开发者共鸣的背后是一个结构性问题:当同一个品牌名覆盖80种东西,它就不再传递任何信息。
Grammarly暴露了同一问题的另一面。The Verge记者造了个词「sloppelganger」来形容它:AI学了你的写作风格,然后批量吐出低质量仿品。靠「帮你写得更好」起家的工具,加了AI反而拉低了写作质量。
底层逻辑一样:AI竞赛压力下,公司把助手功能铺满产品线,扩张速度超过产品能维持的连贯性。Microsoft自己的文档追踪不了Copilot到底指什么,Grammarly自己的AI维持不了它赖以立足的质量标准。
Apple批准Nvidia外接显卡驱动,Arm Mac首次获得Nvidia GPU支持 Apple通过了一款驱动程序,使Nvidia eGPU可以在Arm架构的Mac上运行,打破了Apple Silicon平台长期不兼容Nvidia显卡的局面。 twitter.com
Suno版权过滤形同虚设,受保护歌曲可被轻松翻唱 The Verge调查发现,AI音乐平台Suno声称禁止使用版权素材,但其识别拦截系统漏洞百出,用户能轻松绕过限制生成他人歌曲的AI翻唱版本。 theverge.com
日本将实验性机器人推上真实岗位,填补无人愿做的工作 受劳动力持续短缺驱动,日本正将physical AI从试点推进到实际部署阶段,机器人开始进入农业、制造等长期招不到人的岗位。 techcrunch.com
Google Maps集成Gemini,可自动规划全天行程 Google Maps中的Gemini功能已可根据用户需求自动生成一日出行安排,包括地点推荐和路线串联。 theverge.com