Breakdown of the Trivy GitHub Actions attack, including workflow misconfigurations, token theft, and supply chain exposure.

Anthropic 的模型上下文协议（MCP）被发现存在架构级安全漏洞。 漏洞影响超3.2万个代码仓库和20万台服务器。 攻击者可窃取用户数据、数据库、API密钥及聊天记录。 Anthropic 认为此为“预期设计范畴”，未采取实质行动。 漏洞细节： 漏洞存在于 Anthropic 官方支持的 10 种编程语言 SDK 中。 MCP 通过 STDIO 执行配置命令时，未校验命令是否用于启动服务器， ...

我不敢说21世纪是不是生物的世纪，但2026年，绝对是AI统治大伙视线的一年。 程序员被裁，一人公司爆火，龙虾入侵全世界，AI圈的狂欢，换来的是普通人越来越深的焦虑。

带着这个好奇，差评君和几位来自不同高校、还在学AI的本、硕、博学生聊了聊。出乎意料的是，在这座被外界无限拔高的象牙塔里，并没有那么多成竹在胸的时代弄潮儿。他们其实也和普通人一样，在现实的框架下磕磕绊绊地摸索。