IT之家 5 月 1 日消息,科技媒体 Tom's Hardware 昨日(4 月 30 日)发布博文,报道称《风启之旅》(Windrose)游戏存在严重消耗固态硬盘(SSD)寿命情况, 运行时每小时写入量高达 108GB,即便是最优秀的固态硬盘也难以承受这种异常损耗。 IT之家援引博文介绍,监测数据显示,游戏读写速度维持在 15 至 30 MB/s。当角色在基地奔跑或驾驶船只时,磁盘占用率飙升至 100%, 写入速度持续飙升至 30MB/s,相当于每小时写入约 108GB。 唯有角色在陆地静止或处于低负载区域时,异常写入才会停止。 与同类游戏对比,《风启之旅》的存储消耗极其惊人:在 60 至 90 秒内,该游戏读取量达 32GB,写入 1.3GB。而同期《雾锁王国》仅读取 7GB、写入 695MB;《Valheim: 英灵神殿》更是仅读取 1GB、写入 5MB。 技术分析显示,游戏存档系统采用 RocksDB 数据库,且至少运行 3 个数据库实例。其中世界数据库的 WAL 最大容量仅设为 1MB。这一极小的预算迫使内存表频繁刷新与压缩,将微小的状态变动放大为海量物理写入。 开发商迅速推出了 0.10.0.4 版本补丁。更新后,游戏写入速度降至 10 至 16MB/s,角色静止时更是低于 1MB/s。相比旧版,磁盘写入负担减轻了 60% 至 75%。
IT之家 4 月 29 日消息,安全机构 Wiz Research 昨日(4 月 28 日)发布博文,披露 GitHub 存在严重漏洞 CVE-2026-3854。攻击者仅需一条标准 git push 命令, 即可触发远程代码执行,进而访问数百万公共和私有仓库。 该漏洞追踪编号为 CVE-2026-3854,任何经过身份验证的用户只需执行标准的 git push 命令,就能在 GitHub 后端服务器上执行任意代码。 GitHub 远程代码执行漏洞 CVE-2026-3854 该漏洞源于 GitHub 内部 X-Stat 标头的注入缺陷。X-Stat 是一个用分号分隔的协议,负责在内部服务间传递安全元数据。 当用户运行带有选项的 git push 命令后,GitHub 的 babeld 代理会直接将用户提供的字符串嵌入 X-Stat 标头,且未过滤分号。 由于标头解析器采用“最后写入生效”逻辑,攻击者只需注入分号和字段名,就能悄悄覆盖服务器已设定的安全配置。研究员将三个注入字段串联,成功实现完整的远程代码执行。 根据博文披露的攻击路径,为了绕过生产沙箱,攻击链首先覆盖 rails_env 字段,接着通过 custom_hooks_dir 重定向钩子脚本目录。 最后,攻击者利用 repo_pre_receive_hooks 投递路径遍历有效载荷,迫使系统以 git 服务用户身份执行任意安装文件,从而获取完整的文件系统访问权限。 在 GitHub 企业版服务器(GHES)上,这会导致服务器完全沦陷。而在 GitHub.com 上,攻击者注入额外标志触发企业模式行为后,同样能入侵共享存储节点。这些节点托管着数百万账户仓库,攻击者借此可读取任意代码数据。 GitHub 在接获报告后 6 小时内修复了云端平台,并发布 GHES 补丁。然而 Wiz 警告,目前仍有 88% 的 GHES 实例未升级,管理员必须立即更新至 3.19.3 或更高版本。 此次漏洞挖掘过程使用了 AI 辅助逆向工程工具 IDA MCP,这是安全界首次利用 AI 工具在闭源安装文件中发现如此严重的底层漏洞,证明 AI 技术正在重塑复杂的安全研究工作流。 IT之家附上参考地址 Securing GitHub: Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise Server (CVE-2026-3854)
IT之家 4 月 26 日消息,据科技媒体 Tom's Hardware 今天报道,多伦多警方逮捕三名犯罪嫌疑人。三名人士在市中心驾驶安装伪基站的车辆,并向不知情的公众发送欺诈短信。 多伦多警方在案情发布会中表示,本起案件是加拿大首次发现“伪基站”诈骗手法。调查显示,犯罪分子通过伪基站攻击入侵数万台移动设备,共计造成 1300 万次网络中断。 受影响设备无法正常访问移动数据网络 , 甚至无法拨打紧急电话(911) 。 IT之家注:“伪基站”是指未获取电信设备进网许可和无线电发射设备型号核准的非法无线电通信设备,它能够搜集获取公众移动通信网络覆盖范围内的手机,并强行发送垃圾短信、冒充官方机构的诈骗短信。具备隐蔽性强、流动性大等特点,已成为电信网络诈骗违法犯罪活动的一种重要形式。 据悉,犯罪分子通过伪基站向成千上万台手机发送了钓鱼短信, 冒充政府、电信服务商发出带有诈骗链接的内容 。由于短信来源显示为机构,受害者很容易轻信其中的链接,导致钱财被骗走。 不过,多伦多警方暂时未公布相关照片。侦探中士 Lindsay Riddell 表示:“我们在多伦多扣押的设备非常独特,出于安全原因不便公布”。
IT之家 4 月 16 日消息,科技媒体 Android Authority 今天(4 月 16 日)发布博文,报道称 Nothing 公司跨设备文件传输工具 Warp 上线仅数小时后, 突然从 Play Store 下架应用,同时撤回 Chrome 扩展和官方公告博客。 IT之家援引博文介绍,Warp 定位为跨平台文件传输工具,连接安卓手机与 macOS、Windows、Linux 桌面,用户可在登录同一谷歌账户的设备间传输文件、链接、图片和剪贴板文本。 在技术实现方面,Warp 依赖 Google Drive 作为临时中转桥梁,本质上自动化了用户可手动完成的操作。 不过在 Warp 上线数小时后便被紧急撤下,Play Store 应用、Chrome 扩展以及官方公告博客文章全部消失,公司未给出任何解释。 Android Authority 在发布当天完成测试,Warp 传输稳定且速度较快,但应用需要大量浏览器权限,这一点引发隐私顾虑。 Nothing 尚未回应撤回原因。考虑到下架速度之快,很可能发布过程中出现问题。可能性包括:临时修复 bug、应对隐私质疑,或重新评估产品策略。若涉及隐私问题,大量浏览器权限要求或是关键因素。
IT之家 4 月 13 日消息,据英国《金融时报》当地时间周日报道,英国金融监管机构正与政府网络安全机构及各大银行紧急磋商,评估人工智能公司 Anthropic 最新大模型带来的风险。 报道援引两名知情人士消息称,英国央行、金融行为监管局及财政部官员正与国家网络安全中心展开磋商,核查 Anthropic 最新 AI 模型所暴露的关键信息系统潜在漏洞。 该报称,未来两周内,英国各大银行、保险公司及交易所的代表将出席与监管机构的会议,听取关于 Claude Mythos Preview 这一模型所带来的网络安全风险通报。 路透社周五曾援引两名消息人士报道,美国财政部长斯科特 · 贝森特已召集华尔街各大银行开会,讨论该模型的潜在网络风险。 人工智能初创企业 Anthropic 表示,该模型正作为“玻璃翼计划”的一部分投入使用。该计划是一项受控项目,仅允许特定机构使用尚未发布的 Claude Mythos Preview 模型,用于网络安全防御。 IT之家注意到,本月早些时候,Anthropic 在一篇博客文章中称,该模型已在操作系统、网页浏览器及其他广泛使用的软件中发现数千个重大漏洞。
【导读】刚刚,华尔街巨头被紧急召往华盛顿!Mythos这个模型让美国财长和美联储主席都恐慌了,向全美金融业CEO发出警告。短短一年内,SaaS市场经历了一场浩劫,2万亿美元直接蒸发。 就在这周二,鲍威尔和贝森特紧急召见华尔街,向所有人发出警告—— Anthropic的最新模型Mythos,可能对金融业造成重大风险! 从蒸发2万亿美元,到紧急召集CEO进华盛顿——Anthropic的AI,正在触碰金融世界最敏感的神经。 就在今天,这个新闻已经在全网刷屏了。 Anthropic Anthropic 本周二,一场没有提前预告、没有公开议程的会议,在华盛顿财政部悄然举行。 出席者不是普通官员,而是美国金融体系的核心人物,及华尔街最顶级银行的CEO们。 美国财长 贝森特与美联储主席鲍威尔 ,这两位掌控全球金融命脉的「巨头」,联手发出了一道紧急召集令。 美国财长贝森特与美联储主席鲍威尔 花旗、大摩、美银、富国银行、高盛的CEO们,此刻脸上都写满了严峻。 他们怕的不是通胀,不是加息,而是Claude Mythos。 这只在Anthropic实验室里诞生的怪兽,被认为足以瞬间瘫痪全球的数字金融基础设施! Anthropic Anthropic 最强黑客大模型掀起市场恐慌,美国软件股暴跌 4月9日,美国科技股的天空被乌云笼罩。 美国软件股暴跌 这一次,Anthropic搞出的Mythos超级模型,因为能力太强,干脆宣布不敢向公众开放! 消息传出,华尔街的基金经理们坐不住了。 如果AI能如此简单地修复漏洞,那么那些每年收着巨额订阅费、靠卖安全防护软件为生的传统大厂,还有存在的必要吗? 周四,美国软件板块遭遇了前所未有的「血洗」。 美国软件股暴跌 首先,是网络安全双雄惨遭重挫。 Zscaler暴跌8.8%,CrowdStrike、Cloudflare等巨头的跌幅也都在5%到7%之间。 然后,企业级巨头全线飘红:从做修图软件的Adobe,到做人力资源的Workday,再到云服务大佬Salesforce,无一幸免,跌幅从3.7%到6.8%不等。 短短一年间,标普500软件和服务指数已经缩水了25.5%,这是行业底层逻辑在崩塌。 这种焦虑甚至像病毒一样蔓延。 首先是欧洲市场惨叫连连,德国软件巨头SAP和Capgemini应声下跌。 接着,私募信贷也爆雷了。连凯雷集团这种顶级机构的信贷基金都遭遇了赎回潮,因为投资者担心那些背着一身债的科技公司,未来可能根本没活路。 一夜惊动华尔街,当AI开始「自己找漏洞」 说回开头,为什么一个AI模型,能让美国财长和央行行长坐立难安? 在Anthropic的内部描述中,Mythos的能力近乎神迹,近乎恐怖:「它能根据用户指令,「识别并利用每一个主流操作系统和网页浏览器中的漏洞」。 首先,它秒破了全球最安全的系统。 OpenBSD,在黑客界被誉为「地球上最安全的操作系统」,其核心代码经过了长达数十年的审计。 然而,Mythos在接入后不久,就精准地揪出了一个隐藏了27年之久的远程崩溃漏洞。 媒体报道 过去近三十年里,无数顶尖黑客和自动化扫描工具都没发现的死角,在Mythos面前就这样被揪出来了! 另外,在流媒体处理核心组件FFmpeg中,Mythos发现了一个16年前埋下的漏洞。 这个漏洞所在的行,曾被自动化测试工具扫描过500万次,却从未触发警报。 Mythos不仅看穿了它,还演示了如何通过这个漏洞实施攻击。 媒体报道 最让监管层脊背发凉的是,Mythos展现出了极高的「逻辑进化」。它能在Linux内核中,像串门一样自主寻找多个微小漏洞,并把它们串联起来。 第一步:获取普通用户权限。第二步:寻找溢出点。第三步:权限提升。最后,就是完全接管机器。 对于银行来说,这意味着它们斥资数十亿美元构建的防火墙、入侵检测系统,在Mythos面前已经薄如蝉翼! SaaS末日,消失的2万亿美元 在Mythos引发华盛顿大地震之前,它已经先在资本市场投下了一枚核弹。 Anthropic发布的Claude Opus和一系列Agent工具,直接引发了企业软件股(SaaS)的暴跌。 在过去的短短12个月内,该领域市值惨遭血洗,近2万亿美元的财富凭空蒸发。 这不仅是SaaS行业的至暗时刻,更是人类历史上绝对市值最大规模的一次暴跌。 SaaS行业 为什么投资者如此恐慌? 逻辑很简单:SaaS末日(SaaSpocalypse)到了。 长期以来,SaaS是资本市场的「心头好」:高毛利、按席位收费、稳定的现金流。过去十年,SaaS公司的护城河是「按人头收费」。公司有100个员工,就得买100个账号。 但现在,Mythos告诉老板们: 「如果10个AI Agent就能完成100名员工的工作,你为什么还要买那90个订阅?」 更可怕的是,当3月下旬Mythos的部分配置参数意外泄露时,网络安全板块也崩了。 市场突然意识到: 如果AI能自动生成攻击,那么现有的安全防御工具也将沦为廉价的商品,甚至失效。 Project Glasswing,拒绝向公众发布Mythos 面对这种「核武级」的能力,Anthropic做了一个罕见的决定: 拒绝向公众发布Mythos。 他们联手亚马逊、苹果、谷歌、微软、思科等公司,启动了一个代号为「玻璃之翼(Project Glasswing)」的绝密防御项目。 Project Glasswing 这是一场与魔鬼赛跑的战争。 为此,Anthropic投入了1亿美元的算力额度,并向开源安全组织捐赠了400万美元。 他们希望,在黑客掌握同类AI能力之前,利用Mythos先把自家的所有漏洞补上。 这也就解释了,为什么鲍威尔要召集CEO们开会。 因为监管层必须确保,这些「系统重要性银行」在Mythos这种级别的力量面前,不是在裸奔。 摩根大通的首席信息安全官Pat Opet坦言,他们正在以「极其严格」的方式评估这个工具。 他们知道,AI时代的攻防战,已经从冷兵器对砍直接跃升到了二向箔打击! 五角大楼、特朗普政府与AI天才的微妙博弈 有趣的是,Anthropic目前正处于一个极度尴尬的地位。 一方面,它是美国金融系统的「守护神」,被视为防御AI威胁的唯一希望;另一方面,它正与政府打着官司。 五角大楼此前将Anthropic列为「供应链风险」。 尽管Anthropic提出了异议,但联邦上诉法院在本周刚刚驳回了他们暂停该认定的请求。 这种「一边被视为威胁,一边被视为救星」的矛盾,也正是当前AI监管的缩影。 一方面,监管层担心它太强,会成为敌对势力攻击美国的利刃;另一方面,监管层又担心它不够强,导致美国在AI军备竞赛中落后。 贝森特和鲍威尔的这次紧急会议,实际上是在向华尔街传递一个信号: AI不再是实验室里的玩具,而是关乎国家安全的「金融军备」! 普通人:我的银行账户还安全吗? 看完华尔街的动荡,很多人会问:这跟我有什么关系?关系可太大了。 从此,全球金融安全的底层很可能重构。 以后你的银行账户安全,可能不再取决于你改了多少次密码,而取决于银行背后那个「防御AI」够不够聪明。 而就业市场的逻辑,也开始全面坍塌。 当SaaS企业因为AI Agent而裁员时,这种冲击会迅速传导至金融、法律、审计等所有白领行业。 最后,数字信任也面临着彻底崩解。 如果一个模型能自主发现所有漏洞,那么我们过去赖以生存的数字文明(网购、转账、社交)都将面临着信誉危机! 鲍威尔与贝森特的这通电话,敲响的是旧时代的丧钟。 在Mythos这个「神话」模型面前,人类金融体系几十年来引以为傲的稳健,显得如此脆弱。 华尔街不相信眼泪,但在Mythos面前,华尔街选择了敬畏。 现在,人类第一次正式向「不可控AI」递交上了防御白皮书。 未来的金融战,可能没有硝烟,没有交易员的嘶吼,只有在0和1之间,两个超强AI模型那零点几秒的博弈。 AI时代的「金融核威慑」,已经开始了。 参考资料: https://www.reuters.com/business/us-software-stocks-fall-anthropics-new-ai-model-revives-disruption-fears-2026-04-09/ https://www.bloomberg.com/news/articles/2026-04-10/anthropic-model-scare-sparks-urgent-bessent-powell-warning-to-bank-ceos 本文来自微信公众号 “新智元” ,作者:新智元,36氪经授权发布。