同时关联该项目与事件的快讯
美国政府对 Anthropic 模型 Fable 5 / Mythos 5 的出口管制与访问限制,部分源于亚马逊的网络安全研究以及 AWS CEO Andy Jassy 与白宫的沟通推动。据悉,亚马逊提交的研究指出,通过一系列提示词测试,研究人员能够诱导 Fable 5 输出可能被用于网络攻击的敏感信息,从而引发安全担忧,随后 Andy Jassy 将相关发现上报美国政府层面,促使白宫采取进一步限制措施,包括禁止外国用户访问该模型。同时,前美国商务部官员 Kate Koren 透露,白宫对 Anthropic 的既有政策立场也可能影响了此次决策判断,因为 Anthropic 在 AI 安全边界问题上与白宫存在分歧,包括拒绝将模型用于大规模监控或致命自主武器系统。尽管双方在今年早些时候一度缓和并扩大合作,但此次事件可能再次加剧双方紧张关系。(华尔街日报)
据链上分析师 PeckShield(@PeckShieldAlert)监测,SlowMist 旗下威胁情报系统 MistEye 检测到一起针对开发者的跨注册表供应链攻击,恶意包已扩散至 npm、PyPI 和 Crates.io 三大注册表,涉及 34 个以上恶意包及 384 个以上相关版本。 攻击目标覆盖加密货币、DeFi、Solana、Sui/Move 及 AI 开发者社区,可能导致加密钱包、SSH 密钥、云凭据、GitHub/AWS 令牌、浏览器数据及开发者机密信息遭窃。部分恶意载荷还尝试通过 .cursorrules、CLAUDE.md、Git hooks、cron、systemd 及 SSH 等方式实现持久化驻留。SlowMist 建议立即移除受影响包、隔离受影响系统、轮换暴露凭据,并从干净镜像重建 CI 环境及开发者机器,同时全面审查 GitHub、云端、SSH 及钱包相关活动。
Wasabi Protocol 发布安全事件更新,其中指出攻击者利用其 AWS 基础设施中的 Spring Boot Actuator 配置漏洞,窃取了控制 EVM 智能合约的私钥,并从相关合约中盗取约 480 万美元用户资金及 90 万美元协议金库资金,总损失约 570 万美元。 攻击链起始于一台用于分析的公网服务器,其 Actuator heap dump 未受到正常密码保护,导致攻击者获取了另一服务器凭证,并最终获得智能合约私钥控制权,此次事件仅影响 EVM 部署,包括以太坊、Base、Blast及 Berachain 上的部分金库,Solana 部署及 Prop AMM 未受影响。目前尚未就用户赔付方案给出最终更新方案,但“让所有受损用户得到补偿”仍是团队最高优先事项,未来将于 Discord 社群发布调查进展更新。
PrimePiper 推出面向 AI agent 的企业级 prime broker 平台,旨在解决 AI 自动化交易过程中账户管理分散、风控缺失、「无法跨场所对账」及合规审计不足等问题。据介绍,在基础设施方面,PrimePiper 支持多交易场所统一接入,已覆盖 Hyperliquid、OKX、Tiger Brokers、IBKR 等主流平台;在风控机制方面,提供企业级 API Key 管理、支出限额与熔断机制,以约束 AI agent 交易行为;在执行层面,支持通过 SDK 或 MCP 协议实现策略自动执行;在合规与审计方面,面向基金与交易员提供审计级报告能力。 PrimePiper 已入选最新一期 Founders Inc 孵化器,目前产品处于 Alpha 阶段。团队成员来自 Galois Capital、Kraken、DRW 及 AWS。
Vercel CEO Guillermo Rauch(@rauchg)发文披露,Vercel 正就 2026 年 4 月安全事件展开深入调查。调查显示,攻击者最初通过初创公司 Context.ai 的账户入侵,但实际活动范围已远超该起事件。威胁情报显示,攻击者通过分发恶意软件的方式窃取 Vercel 账户及其他服务商的 API 密钥,随后利用这些密钥对非敏感环境变量进行快速、大规模的枚举访问。Vercel 已处理近 1PB 的网络与 API 日志以追溯根因,并已联合微软、AWS、Wiz 等行业伙伴协同应对,同时主动通知其他疑似受害方建议轮换凭证并采用安全最佳实践。