同時關聯該項目與事件的快訊
美國政府對 Anthropic 模型 Fable 5 / Mythos 5 的出口管制與訪問限制,部分源於亞馬遜的網絡安全研究以及 AWS CEO Andy Jassy 與白宮的溝通推動。據悉,亞馬遜提交的研究指出,通過一系列提示詞測試,研究人員能夠誘導 Fable 5 輸出可能被用於網絡攻擊的敏感信息,從而引發安全擔憂,隨後 Andy Jassy 將相關發現上報美國政府層面,促使白宮採取進一步限制措施,包括禁止外國用戶訪問該模型。同時,前美國商務部官員 Kate Koren 透露,白宮對 Anthropic 的既有政策立場也可能影響了此次決策判斷,因爲 Anthropic 在 AI 安全邊界問題上與白宮存在分歧,包括拒絕將模型用於大規模監控或致命自主武器系統。儘管雙方在今年早些時候一度緩和並擴大合作,但此次事件可能再次加劇雙方緊張關係。(華爾街日報)
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,SlowMist 旗下威脅情報系統 MistEye 檢測到一起針對開發者的跨註冊表供應鏈攻擊,惡意包已擴散至 npm、PyPI 和 Crates.io 三大註冊表,涉及 34 個以上惡意包及 384 個以上相關版本。 攻擊目標覆蓋加密貨幣、DeFi、Solana、Sui/Move 及 AI 開發者社區,可能導致加密錢包、SSH 密鑰、雲憑據、GitHub/AWS 令牌、瀏覽器數據及開發者機密信息遭竊。部分惡意載荷還嘗試通過 .cursorrules、CLAUDE.md、Git hooks、cron、systemd 及 SSH 等方式實現持久化駐留。SlowMist 建議立即移除受影響包、隔離受影響系統、輪換暴露憑據,並從乾淨鏡像重建 CI 環境及開發者機器,同時全面審查 GitHub、雲端、SSH 及錢包相關活動。
Wasabi Protocol 發佈安全事件更新,其中指出攻擊者利用其 AWS 基礎設施中的 Spring Boot Actuator 配置漏洞,竊取了控制 EVM 智能合約的私鑰,並從相關合約中盜取約 480 萬美元用戶資金及 90 萬美元協議金庫資金,總損失約 570 萬美元。 攻擊鏈起始於一臺用於分析的公網服務器,其 Actuator heap dump 未受到正常密碼保護,導致攻擊者獲取了另一服務器憑證,並最終獲得智能合約私鑰控制權,此次事件僅影響 EVM 部署,包括以太坊、Base、Blast及 Berachain 上的部分金庫,Solana 部署及 Prop AMM 未受影響。目前尚未就用戶賠付方案給出最終更新方案,但“讓所有受損用戶得到補償”仍是團隊最高優先事項,未來將於 Discord 社羣發佈調查進展更新。
PrimePiper 推出面向 AI agent 的企業級 prime broker 平臺,旨在解決 AI 自動化交易過程中賬戶管理分散、風控缺失、「無法跨場所對賬」及合規審計不足等問題。據介紹,在基礎設施方面,PrimePiper 支持多交易場所統一接入,已覆蓋 Hyperliquid、OKX、Tiger Brokers、IBKR 等主流平臺;在風控機制方面,提供企業級 API Key 管理、支出限額與熔斷機制,以約束 AI agent 交易行爲;在執行層面,支持通過 SDK 或 MCP 協議實現策略自動執行;在合規與審計方面,面向基金與交易員提供審計級報告能力。 PrimePiper 已入選最新一期 Founders Inc 孵化器,目前產品處於 Alpha 階段。團隊成員來自 Galois Capital、Kraken、DRW 及 AWS。
Vercel CEO Guillermo Rauch(@rauchg)發文披露,Vercel 正就 2026 年 4 月安全事件展開深入調查。調查顯示,攻擊者最初通過初創公司 Context.ai 的賬戶入侵,但實際活動範圍已遠超該起事件。威脅情報顯示,攻擊者通過分發惡意軟件的方式竊取 Vercel 賬戶及其他服務商的 API 密鑰,隨後利用這些密鑰對非敏感環境變量進行快速、大規模的枚舉訪問。Vercel 已處理近 1PB 的網絡與 API 日誌以追溯根因,並已聯合微軟、AWS、Wiz 等行業夥伴協同應對,同時主動通知其他疑似受害方建議輪換憑證並採用安全最佳實踐。