TechCrunch 2026-06-18 报道:Texas DPS 数据泄露 3,030,422 名德州居民的驾照、护照、SSN 等敏感数据,持续 11 周未被发现。BlackCat/ALPHV 勒索软件团伙索要 3,000 万美元赎金。攻击入口是 Tyler Technologies 6 个月未打补丁的 CVE-2025-47892 API 漏洞。这起事件揭开了「政府 IT 第三方供应商管理」这个被所有人忽略的「第三类风险」。

SecurityDiscovery 6 月 17 日公开 1,847 个面向互联网的管理后台明文凭据泄露清单,涉及 1,200+ 组织的 7,400+ 账号。其中 312 个医疗系统 + 278 个政府系统 + 195 个工业控制系统前端,最敏感的是俄亥俄州某市水务 SCADA 系统。CISA 当晚发布紧急指令 ED 26-06-15 要求联邦机构 6 月 20 日前自查。根本原因是 Salesforce/Workday/Okta 等 SaaS 厂商创造的「影子管理员账户」——IT 团队根本看不见的「第三类权限」。

Arch Linux 暂停 AUR 新用户注册,审核发现超 1500 个软件包遭投毒,这是 Linux 24 年来首次因安全原因全仓暂停。这背后是 AI 时代供应链投毒成本从「专家级」降到「脚本小子级」的结构性转折:当 LLM 帮你写 payload、掩护更新、维护话术,任何依赖社区贡献的开源基础设施都可能成为下一个 Arch。本文用 4 个时间节点(6/11-6/16)还原事件经过,拆解攻击链的「工程美学」,并指出被中文媒体最少报道的洞察:orphaned 比例超过 10% 的开源仓库,都已经在「潜在受害者」清单上。

curl 项目维护者 Daniel Stenberg 宣布 7 月 1 日至 8 月 3 日暂停接收所有漏洞报告,把这种「夏休」命名为「curl summer of bliss」,并把 8.22.0 推迟两周。表面上是一次集体休假,实际是开源核心基础设施首次以「暂停免费通道 + 维护付费支持」的清晰产品分层,正面回应 AI 时代漏洞发现速度跑赢维护者消化速度的结构性危机。

Oracle PeopleSoft 的 CVE-2026-35273 SSRF 漏洞评分高达 9.8,ShinyHunters 从 5 月 27 日起利用它攻击了约 100 家组织,其中 68% 是高校,英国诺丁汉大学已经公开承认受害。从 Mandiant 公布的攻击链还原、暂存服务器里的 bash 脚本、176.120.22.24 外联 IP 和 zstd 压缩痕迹,看这次「高校被一锅端」背后,ShinyHunters 从攻击 FBI 失败后转向防守更松的高校的「替代战场」策略。

过去 24 小时值得知道的 25 条新闻:OpenAI 战略博客与 IPO 进展、WWDC 2026 把 Apple Intelligence 与 Gemini 深度互嵌、Cognition FrontierCode IDE、HuggingFace OpenEnv 框架、IBM 100 亿美元量子计划、Meta 智能眼镜退场、Waymo 收购 Apple 测试场、Microsoft 供应链攻击再发、SparkToro 零点击研究、阿尔茨海默触发新机制、刚果埃博拉疫情、H-1B 裁决、马萨诸塞州隐私法案、SBF 特赦申请等。

安全研究人员公开披露BitLocker全磁盘加密的YellowKey零日漏洞，攻击者只需获取USB设备上的特定文件即可绕过BitLocker保护解锁加密磁盘。这一发现对Windows企业用户和隐私保护者敲响警钟——微软至今尚未确认该漏洞是故意留的后门还是编码错误。

Linux 内核一周内连续曝光两个严重安全漏洞，全球大多数服务器和云计算基础设施受影响。开源项目安全审查流程引发质疑，云服务商紧急响应。