# 开源软件
美国AI实验室Anthropic宣布推出新型模型Mythos Preview,该模型可发现包括主流操作系统和浏览器在内的高危安全漏洞,并具备生成利用代码的能力。目前该模型仅向约50家关键软件企业开放,项目名为Project Glasswing。网络安全专家指出,AI在漏洞发现方面已超越人类能力,但修复漏洞仍需人类判断。开源项目维护者如cURL和Linux内核团队已开始利用AI提升安全性,然而AI的滥用风险引发担忧,特别是开源权重模型可能被恶意复制并移除限制,进而用于攻击。美国国防部将Anthropic列为供应链风险,引发争议。
开源VPN项目WireGuard的开发者Jason Donenfeld因被微软封锁开发者账户,无法为Windows用户推送软件更新或签署驱动程序。该事件系微软对Windows硬件计划参与者实施强制身份验证所致,相关账户未在2024年4月前完成验证即被暂停。Donenfeld称未收到任何通知,且已提交身份证明文件但仍未恢复权限。类似情况也发生在加密软件VeraCrypt及Windscribe等公司。微软尚未对此事作出公开回应。
微软突然终止了加密工具VeraCrypt开发者Mounir Idrassi用于签署Windows驱动程序和启动加载器的账户,导致VeraCrypt无法发布Windows平台的更新。开发者称未收到任何预警或解释,仅收到一封说明其公司IDRIX未通过验证的邮件。该事件对依赖Windows系统的多数用户造成重大影响,项目未来发布前景存疑。VeraCrypt为开源数据加密工具,支持创建加密分区和隐藏卷,广泛用于数据安全保护。
互联网漏洞赏金计划(Internet Bug Bounty)于近日宣布暂停接收新漏洞提交。该计划自2012年启动,由多家领先软件公司资助,累计已向研究人员发放超150万美元奖励。其中80%用于奖励新漏洞发现,20%用于支持修复工作。随着人工智能辅助研究加速漏洞发现,HackerOne表示,漏洞发现与修复能力之间的平衡已发生实质性变化,因此暂停提交以重新评估激励机制。受影响项目包括Node.js,其将不再支付奖励,但仍接受漏洞报告。谷歌上月也已停止接受AI生成的漏洞提交。该计划强调,将与项目维护者和研究人员共同探索新方案,确保漏洞发现能转化为持久的修复成果。
两名软件研究人员近日展示,现代AI工具可在数分钟内复制整个开源项目,生成具有独立法律地位的专有版本。他们开发的工具malus.sh通过少量费用即可“重建任意开源项目”,声称生成的代码“无需署名、无需Copyleft、无法律问题”。该演示引发对知识产权法与AI自动化冲突的讨论,尤其挑战了19世纪以来版权法保护表达而非思想的原则。传统“洁净室”设计需数月人力与法律监督,而AI实现该过程仅需几条提示词,引发对“独立创作”与“合理使用”界限的质疑。
Linux内核维护者Greg Kroah-Hartman在接受The Register采访时表示,AI驱动的代码审查能力近期显着提升,已能生成真实有效的漏洞报告。他指出,过去一个月内AI工具出现‘拐点’,目前不仅Linux项目,几乎所有开源项目都在接收AI生成的高质量安全报告。尽管AI尚未成为主要代码作者,但已在审查和辅助开发中发挥重要作用。Kroah-Hartman分享了其使用AI生成补丁的实验:60个补丁中约三分之二正确,部分即使错误也指向真实问题。此外,AI正被整合至内核审查基础设施,如Google捐赠给Linux基金会的工具Sashiko,标志着开源开发模式的转变。
一个名为TeamPCP的黑客组织近期发起大规模网络攻击,利用自传播恶意软件感染开源工具,包括广泛使用的漏洞扫描器Trivy。攻击者通过入侵Aqua Security的GitHub账户,在Trivy多个版本中植入后门,实施供应链攻击。该恶意软件名为CanisterWorm,具备蠕虫功能,可自动传播。最新版本新增针对伊朗系统的擦除程序Kamikaze,感染时检测目标是否位于伊朗时区或配置为伊朗使用,一旦确认即触发数据擦除。目前暂无证据显示已造成实际破坏,但存在大规模影响风险。该组织此前以经济动机为主,现或转向提升知名度。
美国网络安全公司Aikido研究人员查理·埃里克森(Charlie Eriksen)披露,一种名为CanisterWorm的自传播恶意软件已从网络下架,该软件曾可感染开发者的CI/CD管道,通过npm包传播。恶意软件更新后新增了针对伊朗的擦除功能,名为Kamikaze,若设备位于伊朗时区或配置为伊朗使用,则触发系统擦除指令。该行为与TeamPCP此前以经济利益为目的的攻击模式不符,或意在提升组织曝光度。此次攻击源于2月底对Aqua Security的供应链入侵,导致Trivy漏洞扫描工具被篡改。目前尚未有证据显示实际造成伊朗系统损坏,但潜在影响巨大。
2026年,全球软件股票市值蒸发近万亿美元,对冲基金在Salesforce、HubSpot和Atlassian等SaaS企业上做空获利数十亿美元。与此同时,开源社区面临挑战与机遇:cURL项目维护者Daniel Stenberg因AI生成的大量无效漏洞报告被迫关闭漏洞赏金计划。HackerNoon一篇分析文章指出,商业SaaS或因经济因素而非意识形态转向开源,举例Proxmox取代VMware、Holosign以19美元/月平价复制DocuSign模式。文章警告,拒绝使用AI工具的项目维护者可能被AI驱动的团队分叉或从零复制,开源生态正面临技术演进的深刻变革。
谷歌计划自2026年9月起,要求所有在巴西、新加坡、印度尼西亚和泰国分发Android应用的开发者,无论是否通过Google Play Store,均需注册并支付25美元费用,提供政府身份证明。该政策将逐步推广至全球。此举被指与谷歌和Epic Games的和解谈判相关,若美国法院不批准允许第三方应用商店进入Play Store,谷歌可能通过强制注册方式维持对Android生态的控制。F-Droid等开源应用分发平台因此面临“生存威胁”,因其应用签名机制与谷歌要求的单一签名冲突。开源社区已发起抵制,包括EFF、自由软件基金会等组织签署公开信,呼吁开发者拒绝参与谷歌早期访问计划,并通过安装F...
随着美欧关系紧张及俄罗斯网络攻击增加,欧洲多国将数字主权视为国家生存关键。埃斯特尼亚部长称需增强对开源技术的依赖,法国计划2027年前部署国产视频会议系统,德国将数字主权列为政府核心目标。Gartner预测欧洲主权云基础设施支出将在2027年达到230亿美元。