Arch Linux 暂停 AUR 新用户注册,审核发现超 1500 个软件包遭投毒,这是 Linux 24 年来首次因安全原因全仓暂停。这背后是 AI 时代供应链投毒成本从「专家级」降到「脚本小子级」的结构性转折:当 LLM 帮你写 payload、掩护更新、维护话术,任何依赖社区贡献的开源基础设施都可能成为下一个 Arch。本文用 4 个时间节点(6/11-6/16)还原事件经过,拆解攻击链的「工程美学」,并指出被中文媒体最少报道的洞察:orphaned 比例超过 10% 的开源仓库,都已经在「潜在受害者」清单上。

curl 项目维护者 Daniel Stenberg 宣布 7 月 1 日至 8 月 3 日暂停接收所有漏洞报告,把这种「夏休」命名为「curl summer of bliss」,并把 8.22.0 推迟两周。表面上是一次集体休假,实际是开源核心基础设施首次以「暂停免费通道 + 维护付费支持」的清晰产品分层,正面回应 AI 时代漏洞发现速度跑赢维护者消化速度的结构性危机。

Oracle PeopleSoft 的 CVE-2026-35273 SSRF 漏洞评分高达 9.8,ShinyHunters 从 5 月 27 日起利用它攻击了约 100 家组织,其中 68% 是高校,英国诺丁汉大学已经公开承认受害。从 Mandiant 公布的攻击链还原、暂存服务器里的 bash 脚本、176.120.22.24 外联 IP 和 zstd 压缩痕迹,看这次「高校被一锅端」背后,ShinyHunters 从攻击 FBI 失败后转向防守更松的高校的「替代战场」策略。

过去 24 小时值得知道的 25 条新闻:OpenAI 战略博客与 IPO 进展、WWDC 2026 把 Apple Intelligence 与 Gemini 深度互嵌、Cognition FrontierCode IDE、HuggingFace OpenEnv 框架、IBM 100 亿美元量子计划、Meta 智能眼镜退场、Waymo 收购 Apple 测试场、Microsoft 供应链攻击再发、SparkToro 零点击研究、阿尔茨海默触发新机制、刚果埃博拉疫情、H-1B 裁决、马萨诸塞州隐私法案、SBF 特赦申请等。

安全研究人员公开披露BitLocker全磁盘加密的YellowKey零日漏洞，攻击者只需获取USB设备上的特定文件即可绕过BitLocker保护解锁加密磁盘。这一发现对Windows企业用户和隐私保护者敲响警钟——微软至今尚未确认该漏洞是故意留的后门还是编码错误。

Linux 内核一周内连续曝光两个严重安全漏洞，全球大多数服务器和云计算基础设施受影响。开源项目安全审查流程引发质疑，云服务商紧急响应。