Socket 的研究人员发现,Bitwarden CLI 在 Checkmarx 供应链攻击中被攻破。Bitwarden 是一个开源密码管理器,服务于超过 1000 万用户和 50000 多家企业。此次攻击利用了 Bitwarden CI/CD 流水线中的一个被攻破的 GitHub Action,恶意代码被发布在 bw1.js 文件中。目前调查仍在进行中,建议使用者检查 CI 日志并旋转可能暴露的秘密。此事件显示了供应链攻击的复杂性和潜在影响,强调了在软件开发过程中加强安全措施的重要性。
安全研究人员揭露了两个利用全球电信基础设施漏洞进行监控的活动。这些活动通过伪装成合法的移动网络运营商,滥用SS7和Diameter协议的已知漏洞,追踪目标的手机位置。SS7协议因缺乏认证和加密,长期以来被认为是不安全的,而Diameter协议虽然设计用于4G和5G网络,但由于实施不当仍存在被利用的风险。这些发现表明,全球电信网络的安全性仍需加强,以防止此类监控活动的泛滥。
这篇论文探讨了大型语言模型(LLM)在推理过程中过度依赖外部工具的现象。研究发现,这种现象普遍存在于不同的LLM中,主要是因为模型错误地判断了其内部知识的边界,导致不必要的工具使用。为解决这一问题,研究提出了一种基于直接偏好优化的知识边界对齐策略,减少了82.8%的工具使用,同时提高了准确性。此外,研究还发现奖励结构与工具使用行为之间存在因果关系,调整奖励信号可以减少66.7%(7B模型)和60.7%(32B模型)的不必要工具调用,而不影响准确性。该研究为理解工具过度使用提供了理论依据。
MIRROR是一个用于评估大语言模型能否利用自我知识做出更好决策的基准,包含八个实验,涵盖四个元认知层次。研究评估了来自八个实验室的16个模型,涉及约25万次评估实例。结果显示,模型在多领域任务中无法准确预测自身表现,且即使具备领域特定的自我知识,也无法将其转化为合适的行动选择。外部元认知控制可以显著降低自信失败率,而提供模型自身的校准分数并未带来显著改善。这表明,外部元认知结构而非改进的自我知识是实现更安全自主AI系统的路径。
OpenAI 发布了其最新的语言模型 GPT-5.5。该模型被描述为迄今为止最智能的版本,具有更快的处理速度和更强的能力,专为复杂任务而设计,如编程、研究和数据分析。GPT-5.5 的推出标志着在人工智能模型开发方面的又一重大进步,可能会对各行业的自动化和效率提升产生深远影响。此版本的改进可能会推动更多创新应用,进一步巩固 OpenAI 在 AI 领域的领先地位。
OpenAI发布了GPT-5.5模型,这一模型在漏洞检测方面表现出色,与Anthropic的Mythos相当,但不同的是GPT-5.5向公众开放。XBOW团队在实际渗透测试任务中对该模型进行了评估,发现其在发现漏洞、登录应用程序和生成最终报告方面表现优异。GPT-5.5的发布标志着在开放源代码模型中实现了显著的性能提升,尤其是在攻击性安全能力方面。该模型的广泛可用性可能会对网络安全行业产生深远影响,因为它为更多开发者和安全专家提供了强大的工具来识别和修复安全漏洞。
Claude Code v2.1.119版本带来了多项重要更新和改进。配置设置现在可以持久化到`~/.claude/settings.json`,并参与项目、本地和策略覆盖优先级。新增`prUrlTemplate`设置,允许将PR徽章指向自定义代码审查URL。支持GitLab、Bitbucket和GitHub Enterprise的PR URL。PowerShell工具命令在权限模式下可自动批准,匹配Bash行为。新增`PostToolUse`和`PostToolUseFailure`钩子输入,包括工具执行时间。插件版本约束自动更新,Vim模式改进了插入模式下的行为。安全性方面,`blockedMarketplaces`现在正确执行`hostPattern`和`pathPattern`条目。这些改进提升了工具的可用性和安全性,对开发者而言,意味着更高效的开发流程。
OpenClaw 2026.4.22版本引入了多项新功能和改进。新增图像生成、文本转语音和语音转文本支持,包括多种格式和实时语音通话转录。支持Deepgram、ElevenLabs和Mistral的语音通话流转录,ElevenLabs还增加了Scribe v2批量音频转录。终端聊天新增本地嵌入模式,支持在没有网关的情况下运行。首次运行配置时自动安装缺失的插件,简化了设置过程。OpenAI的响应模型在启用网络搜索时自动使用本地`web_search`工具。这些更新增强了OpenClaw的多媒体处理能力和用户体验,对开发者和用户都具有重要意义。