IT之家 4 月 30 日消息,科技媒体 cyberkendra 昨日(4 月 29 日)发布博文,报道称 Linux 内核爆出高危漏洞 Copy Fail,追踪编号为 CVE-2026-31431, 仅需一个 732 字节的 Python 脚本,就能攻破几乎所有主流 Linux 发行版本,提权至最高的 root 权限。 IT之家援引博文介绍,大多数 Linux 提权漏洞需要满足于竞态条件、内核版本匹配、以及编译好的有效载荷等,而本次曝光的 Copy Fail 漏洞完全消除了这些条件,是一个简单的直线逻辑缺陷。 该漏洞的根源涉及 AF_ALG 加密接口、splice () 系统调用以及 2017 年引入的一项代码优化。这三者结合导致攻击者能将恶意数据写入内核页缓存,进而篡改 / usr / bin / su 等可信二进制文件。相较于历史上的 Dirty Cow 或 Dirty Pipe,此漏洞利用更稳定、更简单,成功率极高。 漏洞影响范围极广,涵盖 2017 年至补丁发布前构建的内核版本。特别值得注意的是,由于 Linux 页缓存在容器边界间共享,受感染的容器或 Pod 可利用此机制篡改宿主机缓存文件,从而实现容器逃逸。攻击者可能利用这一特性,威胁云原生环境及多租户架构。 研究人员利用该漏洞编写了一个 732 字节的 Python 脚本,在 Ubuntu、Amazon Linux、RHEL 及 SUSE 四个主流 Linux 发行版上,测试发现 Linux 6.12、6.17 和 6.18 均存在问题,每次都成功获取了 root shell。 发现过程结合了人类洞察与 AI 工具。研究员 Taeyang Lee 识别出攻击面后,利用 AI 辅助审计工具 Xint Code 扫描 crypto / 子系统,仅耗时约 1 小时便定位到这一最高严重性漏洞。 针对该漏洞的修复补丁(提交号 a664bf3d603d)已发布,主要回退了 2017 年的优化代码。若无法立即更新,管理员可通过禁用 algif_aead 内核模块或配置 seccomp 策略阻止 AF_ALG 套接字创建来缓解风险。
IT之家 4 月 28 日消息,Anthropic 今天(4 月 28 日)回应 Claude Pro 争议文档,称该信息源于过时支持文章, Claude Pro 用户依然保留访问 Opus 系列模型权限。 IT之家援引 xda-developers 媒体报道,Anthropic 近期更新官方支持文档,显示 Claude Pro 用户在使用 Claude Code 时, 若想使用强大的 Opus 模型,必须启用并购买额外使用额度。 不少用户认为这项调整,让原本包含在订阅中的 Opus 访问权,被移到了付费墙外。 Anthropic 随后通过官方 ClaudeOfficial Reddit 账号发布声明, 澄清该信息来自一份过时的支持文章。 官方解释,在 Opus 4.5 引入 Pro 计划前,页面确实存在相关限制提示,但在模型正式纳入订阅后,该提示框未被及时删除。互联网档案馆的记录也证实,在 Opus 4.6 和 4.7 版本更新时,这条过时信息依然保留在页面上,显然是一次维护疏忽。 Anthropic 随后确认,Pro 用户无需额外付费,将继续保留对 Opus 模型的访问权限。
IT之家 4 月 17 日消息,AI 编程如今无处不在,任何人都可以在掌握提示词(prompt)的能力下成为 Vibe Coding(氛围编程)开发者。如今 ChatGPT、Claude、Gemini 等工具甚至能直接将一个点子转化为完整应用,并发布到商店。 据科技媒体 PhoneArena 今天报道,AI 智能体确实可以高效开发移动 App,但模型从训练到实际使用往往存在时间差,导致 AI 往往无法掌握 Android 系统的最新变化。这就导致 AI 开发出的应用可能存在 Bug、安全隐患,不符合最新规范。 为解决上述问题,谷歌昨天向 AI 智能体开放最新 Android 开发指南访问权限,同时应用一系列新工具, 帮助 AI 掌握如何构建高质量 Android 应用 。 IT之家附上谷歌官方发言如下: 现在 AI 智能体已经可以通过持续更新的知识库,在 Android 开发文档、Firebase、Google Developers 以及 Kotlin 文档中寻找最新开发规范。即使某些大语言模型的训练数据已经过时一年,经过训练后仍能开发符合当前框架的应用。
盟委员会周一正式向谷歌发布了一系列拟议措施,详细说明这家科技巨头应如何为AI竞争对手提供其安卓移动操作系统的核心功能访问权限,以遵守欧盟《数字市场法案》。监管机构指出,谷歌目前将其安卓系统中的关键能力(如语音唤醒、后台运行以及与系统应用的深度交互)保留给自家的Gemini AI服务。根据最新提案,谷歌必须向第三方AI助手提供与其自有Gemini服务“同等有效”的访问权限。(新浪财经)
据三位知情人士透露,Anthropic计划很快向欧洲的银行开放其Mythos人工智能模型的使用权限。在美国大型银行已率先获得该模型的初步使用权限后,全球各大银行正争相测试这项技术。一位知情人士向路透透露,Anthropic计划将Mythos AI的接入范围扩展至欧洲和英国的银行及其他机构。该消息人士匿名表示,这一过程包括一系列审查,以确保推广以安全方式进行。另一位知情消息人士表示,欧洲的银行可能在数日内获得接入权限,而第一位知情人士则称,推广过程可能需要数天或数周时间。(新浪财经)
4月17日消息,据报道,Anthropic公司正与美国政府商讨向包括财政部在内的多个机构开放其新型Mythos模型的使用权限。美国官员一直在敦促白宫测试这款新模型,Anthropic公司称该模型在识别网络安全漏洞方面拥有更强大的能力。(界面)