IT之家 4 月 29 日消息,安全机构 Wiz Research 昨日(4 月 28 日)发布博文,披露 GitHub 存在严重漏洞 CVE-2026-3854。攻击者仅需一条标准 git push 命令, 即可触发远程代码执行,进而访问数百万公共和私有仓库。 该漏洞追踪编号为 CVE-2026-3854,任何经过身份验证的用户只需执行标准的 git push 命令,就能在 GitHub 后端服务器上执行任意代码。 GitHub 远程代码执行漏洞 CVE-2026-3854 该漏洞源于 GitHub 内部 X-Stat 标头的注入缺陷。X-Stat 是一个用分号分隔的协议,负责在内部服务间传递安全元数据。 当用户运行带有选项的 git push 命令后,GitHub 的 babeld 代理会直接将用户提供的字符串嵌入 X-Stat 标头,且未过滤分号。 由于标头解析器采用“最后写入生效”逻辑,攻击者只需注入分号和字段名,就能悄悄覆盖服务器已设定的安全配置。研究员将三个注入字段串联,成功实现完整的远程代码执行。 根据博文披露的攻击路径,为了绕过生产沙箱,攻击链首先覆盖 rails_env 字段,接着通过 custom_hooks_dir 重定向钩子脚本目录。 最后,攻击者利用 repo_pre_receive_hooks 投递路径遍历有效载荷,迫使系统以 git 服务用户身份执行任意安装文件,从而获取完整的文件系统访问权限。 在 GitHub 企业版服务器(GHES)上,这会导致服务器完全沦陷。而在 GitHub.com 上,攻击者注入额外标志触发企业模式行为后,同样能入侵共享存储节点。这些节点托管着数百万账户仓库,攻击者借此可读取任意代码数据。 GitHub 在接获报告后 6 小时内修复了云端平台,并发布 GHES 补丁。然而 Wiz 警告,目前仍有 88% 的 GHES 实例未升级,管理员必须立即更新至 3.19.3 或更高版本。 此次漏洞挖掘过程使用了 AI 辅助逆向工程工具 IDA MCP,这是安全界首次利用 AI 工具在闭源安装文件中发现如此严重的底层漏洞,证明 AI 技术正在重塑复杂的安全研究工作流。 IT之家附上参考地址 Securing GitHub: Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise Server (CVE-2026-3854)
IT之家 4 月 24 日消息,科技媒体 9to5Mac 昨日(4 月 23 日)发布博文,报道称 MacWhisper 推出 13.20 版本更新, 新增命令行工具 mw,支持用户在 Terminal(终端)中运行 AI 转录工作流。 IT之家注:MacWhisper 是 Mac 平台一款优秀的语音转录工具,此前版本中主要为 GUI 图形界面,而本次发布的 13.20 版本进一步扩展工作流,引入名为 mw 的命令行工具,让 Mac 用户能够通过 Terminal 驱动应用。 新工具的核心优势在于无缝集成与自动化。mw 通过本地套接字与运行中的 MacWhisper 应用通信,直接调用用户在图形界面中配置的引擎、模型和设置。用户可借此列出模型、切换配置、转录文件,并将结果通过管道传递给其他程序。 在功能层面,该工具支持处理本地及云端模型,不仅能转录和流式传输媒体文件,还能结合 LLM(大语言模型)优化转录文本。 对于开发者与技术爱好者而言,这一更新解决了重复性转录任务效率低下的痛点。用户无需频繁点击界面,即可通过脚本串联转录流程,将输出结果直接接入后续处理环节。
IT之家 4 月 21 日消息,科技媒体 Linuxiac 昨日(4 月 20 日)发布博文,报道称代码版本控制工具 Git 更新至 2.54 版本, 最大创新是引入实验性的 git history 命令,可以简化历史重写(history-rewriting)任务。 该命令目前支持 reword 和 split 两种操作,开发者无需依赖复杂的交互式 rebase,即可直接更新提交信息或拆分 commits。 Git 2.54 打破了以往仅能依赖 .git/ hooks 目录脚本的限制,引入了基于配置文件的钩子定义方式。开发者可在用户、系统或仓库级别灵活配置钩子行为,极大提升了跨仓库复用的便捷性。 新版智能化升级仓库维护策略,将几何重整设为手动维护的默认策略,git maintenance run 命令采用更增量的重整方式。相比旧策略,新方案能有效降低维护成本,对于大型仓库或长期克隆的用户而言,可以实质性提升使用体验。 新版还优化 HTTP 传输与交互式工作流,可以智能处理 HTTP 429 “请求过多”响应,依据服务器头信息自动重试而非报错退出。交互式命令 git add -p 增强了可见性,新增--no-auto-advance 选项防止自动跳转。实验性的 git backfill 命令支持修订范围参数,实现精准获取缺失数据。 IT之家附上参考地址 Highlights from Git 2.54
IT之家 4 月 16 日消息,北京时间今天上午,据彭博社报道,马斯克正推动一项名为 Terafab 的芯片制造计划,其团队已接触应用材料、东京 TEL 公司和泛林集团等关键设备供应商,试图切入先进半导体制造领域。 知情人士表示,特斯拉与 SpaceX 联合项目团队近期已向多类设备厂商询价,其中涵盖了 光掩模、基板、刻蚀、沉积、清洗和测试设备 ,并开始了解交付周期。同时,团队还向三星寻求支持,但三星提出的方案,是在其位于得克萨斯州泰勒的工厂为特斯拉提供更多产能。 这一系列动作表明,尽管半导体行业普遍持怀疑态度,马斯克仍在推进 Terafab。该项目目标是重塑芯片制造格局,使其进入目前由台积电主导的领域。英特尔也已表示将参与该计划,CEO 陈立武此前发布了马斯克访问公司圣克拉拉办公室的照片。 在执行方式上,马斯克团队要求供应商快速报价,不过提供的信息极为有限。有知情人士表示,团队曾在假期周五要求供应商于下周一提交报价,并强调 项目推进需要达到“光速” 。 Terafab 设想的规模极为庞大,目标是实现每年 1 太瓦计算能力。项目计划从奥斯汀的一条试验产线起步,利用特斯拉现有工厂及基础设施,未来规模可能远超当前全球芯片产能。 该项目拟生产的芯片将用于 支持 xAI、人形机器人以及太空数据中心等业务 ,这些方向在半导体行业中并未被普遍看好。项目最终规模、是否扩展至得克萨斯州以外,甚至是集中于单一超大工厂还是分布式布局,目前仍不明确。 知情人士表示,Terafab 愿意在报价基础上支付溢价,以换取优先供货,但目前尚未下达正式订单,因为技术路线及生产地点仍未确定。初期计划建设一条 月产 3000 片晶圆的产线 ,目标在 2029 年开始硅片制造并逐步扩大规模。 伯恩斯坦分析师估算,该项目资本支出可能高达 5 万亿至 13 万亿美元(IT之家注:现汇率约合 34.16 万亿至 88.82 万亿元人民币)。