安全研究人员发现攻击者通过伪装 Obsidian 插件分发 PHANTOMPULSE 远程访问木马，可窃取笔记中的敏感信息。本文梳理事件经过、影响范围和防范建议。

美国白宫正在考虑在AI模型公开发布前进行审查，这一政策可能对AI行业产生深远影响。

Anthropic宣布将Claude AI平台部署到AWS，为企业用户提供更便捷的AI服务接入方式。

Google最新报告显示，犯罪黑客组织已经开始使用AI工具来发现软件中的安全漏洞，这标志着AI在网络犯罪中的应用进入新阶段。

CVE-2024-YIKES 是一篇讽刺文章，虚构了一个影响所有 npm 和 Python 包的供应链攻击。虽然事件是假的，但它揭示的供应链安全风险完全真实。

OpenCode 曝出高危 RCE 漏洞 CVE-2026-22812，影响 v1.1.10 之前版本。漏洞允许未授权远程代码执行，攻击者可通过网页或本地进程在用户机器上执行任意命令。

软件工程专家分析：AI 编程助手让代码产出翻倍，但如果不相应降低维护成本，2.5 年后 50% 时间都在维护。当前证据显示 AI 增加了而非降低了维护成本，开发者需要关注长期可持续性。

Hacker News 热文讨论：开发者不该把所有 AI 功能都接到云端 API。本地设备的神经引擎大部分时间闲置，设备端模型已经能胜任摘要、分类、提取等常见任务，还天然解决隐私和成本问题。

Anthropic Mythos AI 安全扫描工具在 curl 代码库中发现 1 个真实漏洞（严重等级低），另外 4 个为误报。curl 开发者 Daniel Stenberg 详细披露了测试过程，结论是 Mythos 被过度宣传但 AI 代码...

马里兰州居民可能被迫为AI数据中心的20亿美元电网升级买单。AI热潮背后隐藏的巨大社会成本，利润归企业、成本归公众的模式引发广泛批评。