YOMOO

每日AI快送

2026-04-11
收听音频版
下载 MP3

YOMOO 每日AI快送 · 2026年4月11日

今日速览

供应链攻击进入新纪元——三月份Trivy和Axios两大开源工具接连被投毒,朝鲜国家级黑客与年轻犯罪团伙不约而同选择同一攻击范式,超万家组织凭证泄露,影响将持续数月。与此同时,Windows Defender爆出零日漏洞BlueHammer,安全工具本身反而成为最大攻击面。Sam Altman家中遭燃烧弹袭击,他罕见发长文将AGI比作"魔戒"。

守门人变内鬼:供应链攻击的范式转移

我们之前多次报道过供应链安全事件——从三月的LiteLLM投毒到Axios遭社工攻击,再到TeamPCP利用Trivy发动连锁攻击。今天The Register发布的深度调查文章,终于将这些碎片拼成了一幅完整的全景图。结论令人不寒而栗:攻击者不再瞄准终端用户,而是直接污染开发者赖以生存的安全工具本身。

先说Trivy事件。Trivy是一款拥有超过10万用户的开源漏洞扫描器,嵌入在数千条CI/CD流水线(持续集成/持续部署,软件自动化构建发布管道)中。二月底,一个叫TeamPCP的犯罪团伙攻破了Trivy,三月中旬往扫描器里注入了窃取凭证的恶意代码。想象一下——你请来检查门锁的锁匠,其实是小偷的同伙。这个恶意代码疯狂收割CI/CD密钥、云凭证、SSH密钥和K8s配置文件,还植入了持久后门。

更可怕的是连锁反应。TeamPCP用从Trivy偷来的CI/CD密钥,又接连感染了静态分析工具KICS、LiteLLM和Telnyx的PyPI包——多米诺骨牌一倒就是一串。Mandiant首席技术官Charles Carmakal透露,超过一万家组织的凭证被盗,被盗数据的利用将持续数月发酵。这个团伙甚至开始在暗网向其他犯罪分子兜售这些凭证,因为量太大自己用不完。

两周后,另一起完全独立的攻击命中了Axios——一个每周一亿次下载量的JavaScript HTTP客户端库。Google威胁情报将其归因于朝鲜关联黑客UNC1069,他们劫持了维护者账号,在三个小时内将RAT(远程访问木马)塞进了两个看似正常的版本发布中。

Wiz威胁情报负责人Ben Read的观察很精辟:TeamPCP是一群受YouTuber文化影响的年轻人,风格是"砸了就跑",四次开源攻击都在12小时内被发现。他们在区块链C2基础设施里藏彩蛋写着"感谢你不是一个氛围研究员",在恶意域名里指向Rick Roll视频——这不是严谨的APT(高级持续性威胁),而是一群自带表演欲的混乱势力。

但不要因此低估危险。两股截然不同的力量——国家级黑客和街头混混——不约而同选择了同一攻击范式,说明这条路径已被验证为高效且可复制。Cisco Talos的Nick Biasini警告:AI正在降低社工攻击门槛,开发者环境文档齐全反而成了LLM辅助攻击的温床。SBOM(软件物料清单)从"最佳实践"变成了生存必需品。

BlueHammer:Windows Defender零日漏洞全链条公开

安全工具变攻击面的主题在桌面端同步上演。一名化名Chaotic Eclipse的研究员公开了名为BlueHammer的Windows Defender零日漏洞利用代码——完整源码直接挂在GitHub上。

这个漏洞不需要任何传统的内存损坏或shellcode,而是将五个完全合法的Windows组件串联成攻击链:Defender更新签名时创建卷影副本→利用云文件API注册同步提供程序→对特定文件加锁冻住Defender→从快照中读取SAM数据库(存储所有本地账户密码哈希的文件)→解密哈希、提权到SYSTEM→擦除痕迹。整个过程不到一分钟,从普通用户直达最高权限。

研究员公开漏洞的原因是与MSRC(微软安全响应中心)的矛盾——据称微软要求提交视频演示才处理报告,研究员拒绝后报告被关闭。微软目前只推了一个检测原始编译二进制的签名更新,重新编译即可绕过。目前无CVE编号、无补丁。GitHub仓库已获300星、100+fork。

Altman家遭燃烧弹:AGI已成"魔戒"

Sam Altman旧金山豪宅凌晨遭20岁男子投掷燃烧弹,所幸被外墙弹开无人受伤。嫌疑人随后在OpenAI办公楼外扬言纵火被捕。Altman罕见公开全家福并发长文,将AGI比作"魔戒"——"不是AGI本身是那枚魔戒,而是那种'要成为控制AGI的那个人'的极权主义思想"。他呼吁AI民主化,权力不能集中在少数实验室手中。这反映了美国社会对AI的焦虑正从线上情绪演变为线下暴力,此前已有多次大规模反AI游行。

快讯

  • AI创业公司Yupp关闭:拿下a16z领投2.2亿元种子轮仅22个月即停服。AI从Chatbot转向Agent,让其"评估哪个模型回答更好"的商业逻辑瞬间过时。此前我们报道的AI泡沫担忧正在逐一应验。
  • 匈牙利政府近800条凭证泄露:Bellingcat调查发现国防部一名"信息安全"上校用"FrankLampard"当密码,NATO相关账户密码翻译过来是"可爱"。
  • SQLite 3.53.0发布:修复WAL重置数据库损坏bug,新增ALTER TABLE约束管理、json_array_insert函数,CLI全面改版采用Unicode画表格。
  • FBI通过推送通知获取Signal加密消息:即使删除Signal,通知内容仍存于手机内存中。建议设置仅显示"无名称无内容"。
  • 法国政府弃Windows转Linux:此前已报道,称美国科技为"战略风险",数字主权战略持续推进。
  • Nvidia RTX神经纹理压缩实测:VRAM占用最高减少85%,RTX 5090表现最佳,但需DLSS配合消除噪声。
  • Apollo 11源码开源:NASA将登月代码以公有领域发布至GitHub,AGC仅3840字节RAM、每秒8.5万条指令。

值得关注

  • Linux内核正式发布AI编程助手政策:AI不得添加Signed-off-by标签,人类须对所有AI生成代码负全责,贡献需标注Assisted-by标签。这可能成为开源社区AI治理的标杆模板。
  • Agent Experience(AX)概念成型:少数派万字长文系统阐述了AI代理的三层交互设计——用户意图输入、Agent内部状态管理、外部世界操作。上下文污染被识别为核心挑战,动态压缩和MemGPT架构是前沿方向。随着AI代理从概念走向落地,AX可能成为继UX、DX之后的下一个设计范式。
PODCAST SCRIPT

大家好,欢迎来到2026年4月11日的 YOMOO 每日AI快送。

你请了一个锁匠来检查你家门锁安不安全,结果这个锁匠本身就是小偷的同伙。听起来荒唐对吧?但这恰恰就是三月份全球开源安全圈正在发生的事情。一款拥有超过十万用户的开源漏洞扫描工具Trivy,被人悄悄塞进了恶意代码。你想想看,这玩意儿嵌在几千条自动化构建发布管道里,每天帮无数公司检查代码有没有漏洞。结果呢?守门人自己变成了内鬼。

事情是这样的。二月底,一个叫TeamPCP的犯罪团伙攻破了Trivy,三月中旬往扫描器里注入了窃取凭证的恶意代码。这段代码像个贪婪的吸尘器,疯狂收割CI/CD密钥、云凭证、SSH密钥、K8s配置文件,还顺手种了个持久后门。然后更可怕的事情来了,多米诺骨牌效应。他们用从Trivy偷来的密钥,又接连感染了静态分析工具KICS、LiteLLM和Telnyx的包。一倒就是一串。安全公司Mandiant的首席技术官透露,超过一万家组织的凭证被盗,被盗数据的利用将持续数月发酵。这帮人偷得太多自己都用不完,开始在暗网上像批发商一样往外兜售。

你以为这就完了?两周后,另一波完全独立的攻击命中了Axios。Axios是什么?一个每周一亿次下载量的JavaScript HTTP客户端库,几乎是前端开发者的标配。Google威胁情报查出来,这次是朝鲜关联黑客干的。他们劫持了维护者账号,三个小时内就把远程访问木马塞进了两个看似正常的版本更新里。

我跟你说最有意思的一点。TeamPCP这帮人,他们不是什么老练的国家级间谍。Wiz威胁情报负责人说,这就是一群受YouTuber文化影响的年轻人,风格是砸了就跑。他们在恶意代码里藏彩蛋,在恶意域名里指向Rick Roll视频,四次攻击全在12小时内被发现。但你看,一边是朝鲜国家黑客,一边是街头混混式的年轻人,两股完全不同的力量,不约而同选择了同一条攻击路径。这说明什么?说明这条路已经被验证了,高效、可复制、门槛还在被AI不断拉低。以前你要搞社工攻击得花大量时间研究目标,现在开发者环境文档齐全,大语言模型一分析就知道从哪下手。所以专家们说了,软件物料清单,也就是SBOM,从最佳实践变成了生存必需品。你得清清楚楚知道你的代码里到底引用了哪些东西。

说到安全工具变成攻击面这个话题,桌面端也在同步上演。一名化名Chaotic Eclipse的安全研究员,直接在GitHub上公开了一个Windows Defender的零日漏洞利用代码,名叫BlueHammer。注意,这个漏洞不需要任何传统的内存溢出或者shellcode,它把五个完全合法的Windows组件串成了一条攻击链。怎么做的呢?先利用Defender更新签名时创建的卷影副本,然后注册云文件同步提供程序,接着对特定文件加锁把Defender冻住,再从快照里读取存储所有本地账户密码哈希的SAM数据库,解密哈希、提权到最高权限SYSTEM,最后擦除痕迹。整个过程不到一分钟,从普通用户直达系统最高权限。

你可能会问,这么严重的漏洞为什么不是悄悄报给微软而是直接公开?因为研究员和微软安全响应中心闹翻了。据说微软要求他提交视频演示才愿意处理报告,研究员拒绝后报告被直接关闭。目前微软只推了一个检测原始编译二进制的签名更新,重新编译一下就能绕过。没有CVE编号、没有补丁。而GitHub上这个仓库已经被三百多人点了星,fork了一百多次。这事儿还在发酵。

咱们说回人物新闻。Sam Altman家凌晨被扔了燃烧弹。一个二十岁的年轻人向他旧金山的豪宅投掷了燃烧弹,所幸被外墙弹开,无人受伤。嫌疑人随后跑到OpenAI办公楼外面扬言纵火,然后被逮捕了。Altman罕见地公开了全家福,还发了一篇长文,把AGI比作魔戒。他说的原话很值得品味,他说不是AGI本身是那枚魔戒,而是那种要成为控制AGI的那个人的极权主义思想才是。他呼吁AI要民主化,权力不能集中在少数实验室手中。你看,美国社会对AI的焦虑已经从线上的情绪讨论演变成了线下的暴力行为,之前已经有过多次大规模反AI游行了。

接下来几条快讯快速过一下。AI创业公司Yupp关了。这家拿下a16z领投两亿两千万种子轮的公司,仅仅二十二个月就停服。它的商业逻辑是评估哪个AI模型回答更好,结果AI从聊天机器人转向Agent之后,这个逻辑瞬间就过时了。咱们之前聊的AI泡沫担忧,正在一个一个应验。

匈牙利政府被曝近八百条凭证泄露,调查记者发现国防部一名信息安全上校用的密码是足球明星的名字FrankLampard,NATO相关账户的密码翻译过来是可爱。这安全意识,我真是无话可说。

技术层面,SQLite发布了3.53.0版本,修了一个WAL重置导致数据库损坏的bug,新增了约束管理和json相关函数,命令行界面全面改版。FBI被曝通过推送通知获取Signal加密消息,即使你删了Signal,通知内容可能还存在手机内存里。建议大家把通知设置成仅显示无名称无内容。法国政府弃Windows转Linux的消息持续推进,称美国科技为战略风险。Nvidia RTX神经纹理压缩实测出来了,显存占用最高减少百分之八十五,RTX 5090表现最好,但需要DLSS配合。还有一个很浪漫的消息,NASA把Apollo 11登月源代码以公有领域发布到了GitHub上,当年的计算机只有3840字节内存,每秒8.5万条指令,就是靠这个把人送上了月球。

最后说两个值得持续关注的方向。Linux内核正式发布了AI编程助手政策,明确规定AI不得添加签名标签,人类必须对所有AI生成的代码负全责,贡献需要标注Assisted-by标签。这很可能成为整个开源社区AI治理的标杆模板。另一个是Agent Experience也就是AX这个概念正在成型,少数派发了万字长文系统阐述AI代理的三层交互设计,上下文污染被识别为核心挑战。随着AI代理从概念走向落地,AX可能成为继用户体验UX、开发者体验DX之后的下一个设计范式。

好了,以上就是今天的内容。如果你想通过阅读文字版更快地获取每日的AI快送信息,欢迎免费订阅我们的mail list,地址在视频描述里。如果您觉得我们的节目对您有帮助,请帮忙分享、转发给您的朋友。好了,今天就到这里,我们明天见!