这一周，AI 能自动写浏览器漏洞了，而你的 npm 依赖可能已经被投了毒

这一周最值得记住的一件事，和模型能力无关，和功能更新无关。

Anthropic 发布了 Claude Mythos Preview——一个能够自主发现并利用操作系统、浏览器、NFS 服务等核心组件高危漏洞的模型。然后他们说：这个模型太危险了，不能公开发布。

这周同时发生的事：Python 生态的 litellm 被发现带有恶意 .pth 文件，安装即中招；axios 的维护者被一场精心策划的好莱坞式社会工程骗走了发布令牌；微软的政府云安全审计被内部人直接评价为"一堆屎"，FedRAMP 还是盖章通过了。

把这些事放在一起看，一个很清晰的趋势在浮现：

AI 正在同时改变攻防两端，而中间的灰色地带——供应链、开发环境、开发者自己的设备——正在变成主战场。

1、Claude Mythos：AI 攻防进入"模型级竞赛"

• 链接：https://simonwillison.net/2026/Apr/7/project-glasswing/#atom-everything
• 补充：https://www.anthropic.com/research/claude-mythos-preview

Anthropic 没有把 Claude Mythos 当普通产品发布。他们启动了 Project Glasswing，把模型限制在"经过筛选的安全研究伙伴"范围内使用。

原因很具体：Mythos Preview 已经在所有主流操作系统和浏览器中找到了数千个高危漏洞。在一个内部测试中，Claude Opus 4.6 对 Firefox 漏洞的利用成功率接近 0%，而 Mythos 成功了 181 次。

Nicholas Carlini（Anthropic 安全研究员）的原话："过去几周发现的 bug 比我这辈子加起来还多。"他们扫了一遍 OpenBSD，找到了一个存在了 27 年的 TCP SACK 漏洞——发了数据包就能让服务器崩溃。

这件事的几个关键点：

第一，它证明 AI 已经从"辅助安全审计"进化到了"自主漏洞利用链构建"。Mythos 不只是找 bug，它能自动把 3~5 个独立漏洞串联成一条完整的攻击链。

第二，Anthropic 的应对方式——$100M 使用额度 + $4M 直接捐赠给开源安全组织——说明他们认为这需要行业级别的响应，而不只是关起门来自己处理。

第三，Linux 内核维护者 Greg Kroah-Hartman 几周前就说："几个月前我们还在嘲笑 AI 生成的安全报告。一个月前，世界变了。现在所有开源项目都在收到 AI 生成的真实报告，而且质量很高。"

这件事最大的影响不在技术本身，而在时间窗口：Anthropic 争取到了一段缓冲期，但这个能力迟早会扩散。开源社区需要在这段时间内把防御能力建起来。

2、litellm 投毒：安装一个 Python 包就够

• 链接：https://www.schneier.com/blog/archives/2026/04/python-supply-chain-compromise.html

Python 生态的 litellm 包 1.82.8 版本被发现包含恶意代码。恶意文件是一个 .pth 文件，会被 Python 解释器在每次启动时自动执行——不需要显式 import 任何东西。

也就是说，只要这个版本存在于你的环境里，它就会在后台静默运行。

这件事单独看已经够严重了。但和上一条 Glasswing 新闻放在一起，一个更深的担忧浮出水面：

AI 正在让漏洞发现变得更容易。如果攻击者用 AI 扫描开源依赖，发现一个可以注入恶意代码的入口，然后再用 AI 生成绕过审计的伪装——整个攻击链都可以被自动化。

litellm 事件提醒的是：你的依赖清单里有几百个包，每一个都可能成为下一个投毒目标。SBOM、SLSA、SigStore 这些"无聊但必要"的基础设施，真到了该认真对待的时候了。

3、axios 投毒：好莱坞级别的社会工程

• 链接：http://www.ruanyifeng.com/blog/2026/04/weekly-issue-392.html

axios 每周下载量接近 1 亿次。上周，它的发布令牌被黑客拿走了。

最值得关注的不是"又一起 npm 投毒"，而是攻击手法。阮一峰在周刊里详细还原了整个过程：

攻击者为 axios 的首席维护者 Jason Saayman 量身定制了一套完整的剧本：

1. 冒充某公司创始人，克隆了该公司的外貌和网站
2. 邀请他加入一个精心布置的 Slack 工作区，里面有虚假团队成员和其他开源维护者的账号
3. 安排在 Microsoft Teams 上开视频会议，多人参与
4. 会议中暗示他的系统组件过时了，发给他一个"更新包"
5. 他安装了。那是一个远程木马。

发布令牌一秒钟就丢了。中毒后的影响范围极广——官方清除说明要求，一旦中毒，机器上所有密钥、令牌和凭证全部作废。

这件事和上周的 Open VSX 恶意扩展、Claude Code 泄源码后的钓鱼仓库，是同一个趋势的不同面相：

开发者正在成为高价值攻击目标。

4、Schneier：即时软件时代的安全观

• 链接：https://www.schneier.com/blog/archives/2026/04/cybersecurity-in-the-age-of-instant-software.html

Bruce Schneier 本周发了一篇长文，讨论 AI 时代的"即时软件"（instant software）带来的安全范式变化。

核心论点：AI 正在让软件从"长期产品"变成"按需生成、用完即弃"的一次性工具。这种模式改变了攻防博弈的底层逻辑。

几个值得记住的判断：

• 对攻击方：AI 自动化漏洞发现的能力正在快速提升。AI 不需要理解漏洞原理，只需要能利用它。这意味着低技术水平的攻击者突然获得了高级能力。
• 对防御方：同样的 AI 能力也帮助写补丁。如果 AI 能可靠地写出无漏洞的代码，防御方将占据长期优势。但今天 AI 写的代码充满了安全缺陷——训练数据本身就不够安全。
• 对开源软件：是最脆弱的目标，因为源码公开，更容易被分析。但开源也有优势——补丁可以更快分发。
• 对 IoT：尤其危险。设备固件质量低，更新困难，很多根本无法修补。

Schneier 提到了一个乐观的设想：AI 驱动的"自愈网络"——持续扫描、自动修补、协调共享。但他也承认，这是"Unknown No. 5"级别的难题：防御 AI 本身可能被渗透、投毒、操控。信任链的起点问题，暂时无解。

5、ChatGPT voice mode 背后是一个更弱的模型

• 链接：https://simonwillison.net/2026/Apr/10/voice-mode-is-weaker/#atom-everything

Andrej Karpathy 发了一条推，指出 OpenAI 的语音模式跑在一个远落后于最新模型的版本上。你问它知识截止日期，它会告诉你：2024 年 4 月——GPT-4o 时代。

这件事本身不算新闻。但 Karpathy 的判断值得展开：

"OpenAI 免费的语音模式和付费的 Codex 模型之间的能力差距，已经大到让人很难相信它们来自同一家公司。"

这指向一个正在形成的分化：同一公司的模型，不同入口之间的能力差距可能越来越大。 免费语音模式、普通对话、代码生成、安全研究——它们可能在跑完全不同等级的模型。

对普通用户来说，这意味着你以为在用"AI"，实际上可能只是在用"某个特定场景下的 AI 切片"。你不知道你面对的是哪个版本，也不知道它能力的上限在哪里。

6、微软政府云被批"一堆屎"，FedRAMP 还是过了

• 链接：https://www.schneier.com/blog/archives/2026/04/on-microsofts-lousy-cloud-security.html

ProPublica 曝光了美国政府内部对微软政府云（GCC High）的安全审计结果。审计团队的结论：微软缺乏足够的安全文档来评估系统整体安全态势。一位团队成员的直接评价：

"这东西就是一堆屎。"

但 FedRAMP 还是授权通过了。微软由此继续经营价值数十亿美元的政府云业务。

这件事在 Schneier 的安全博客和阮一峰的周刊里同时出现，说明安全圈对"合规通过 ≠ 安全"这个共识的失望程度。

7、香港新规：警察可以强制你交出加密密钥

• 链接：https://www.schneier.com/blog/archives/2026/04/hong-kong-police-can-force-you-to-reveal-your-encryption-keys.html

美国驻港总领事馆发出安全提醒：2026 年 3 月 23 日起，香港警方修订了国安法执行规则，现在可以要求个人提供手机、笔记本电脑等电子设备的密码和加密密钥。拒绝配合构成刑事犯罪。过境机场也在管辖范围内。

这是一个标志性事件。它把"加密密钥保护"从技术讨论推到了法律现实层面。

本周真正该记住的判断

这一周有两条主线：

第一条：AI 同时抬升了攻防天花板。 Mythos 证明了 AI 可以自主完成从漏洞发现到利用链构建的全流程；开源社区已经在收到大量 AI 生成的真实安全报告。攻防双方都获得了新武器，但攻击方的使用门槛更低——因为 AI 让低技术能力的攻击者也能利用高复杂度的漏洞。

第二条：供应链和开发者设备正在成为新的主战场。 litellm 的恶意 .pth 文件、axios 的社会工程投毒、Open VSX 的恶意扩展——这些攻击的共同目标是开发者日常工作的工具链。AI 工具越流行，围绕它的恶意生态就越容易形成。

以后评估一个 AI 工具或开源依赖，应该先看三件事：

• 它的分发链路是否透明可审计？
• 它的维护者是否有可能被社会工程定向攻击？
• 它的依赖树里有没有被投毒的先例？

安全圈有句话：攻击者只需要成功一次，防御者需要每次都对。AI 正在让"成功一次"变得越来越容易。

本周链接

1. Anthropic Project Glasswing / Claude Mythos 安全研究限制发布
   https://simonwillison.net/2026/Apr/7/project-glasswing/#atom-everything

2. Python 供应链投毒：litellm 1.82.8 恶意代码
   https://www.schneier.com/blog/archives/2026/04/python-supply-chain-compromise.html

3. axios 投毒事件完整还原
   http://www.ruanyifeng.com/blog/2026/04/weekly-issue-392.html

4. Schneier：即时软件时代的安全观
   https://www.schneier.com/blog/archives/2026/04/cybersecurity-in-the-age-of-instant-software.html

5. ChatGPT 语音模式使用的是更弱的模型
   https://simonwillison.net/2026/Apr/10/voice-mode-is-weaker/#atom-everything

6. 微软政府云安全审计：FedRAMP 在"一堆屎"上盖章
   https://www.schneier.com/blog/archives/2026/04/on-microsofts-lousy-cloud-security.html

7. 香港：警察可强制要求交出加密密钥
   https://www.schneier.com/blog/archives/2026/04/hong-kong-police-can-force-you-to-reveal-your-encryption-keys.html

8. Meta 发布 Muse Spark 模型，meta.ai 内置丰富工具链
   https://simonwillison.net/2026/Apr/8/muse-spark/#atom-everything

9. GLM-5.1 开源：754B 参数，MIT 协议
   https://simonwillison.net/2026/Apr/7/glm-51/#atom-everything

10. SQLite 3.53.0 发布：ALTER TABLE 支持增删约束
    https://simonwillison.net/2026/Apr/11/sqlite/#atom-everything