尊敬的客戶:
我們留意到留意到近期 Linux KVM/x86 披露 Januscape 漏洞(CVE-2026-53359)。
此問題主要影響使用 KVM 虛擬化、Nested Virtualization 或多租戶虛擬化環境的主機,存在由 Guest 影響 Host 的風險。
已持續跟進各主流發行版修復進度,現階段整理如下:
✅ 已確認有修復版本 / 修復包
• Debian trixie-security repo
• Fedora 43 / Fedora 44
• Proxmox VE(pve-no-subscription 渠道)
🧪 已有測試版修復版本
• AlmaLinux 8 / 9 / 10(testing repo)
• CloudLinux 7h / 8(beta / testing channel)
⚠️ 暫未見官方穩定修復 / 仍標示受影響
• Ubuntu
• CentOS
• Debian
🔧 建議客戶即時檢查宿主機內核版本,並以官方發行版安全公告及官方軟件源為準進行更新。完成內核更新後,請按要求重啟主機,以確保修復正式生效。
Debian / Ubuntu / Proxmox VE
Red Hat 類系統
⚠️ 提醒:如果對應發行版官方還未推出修復包,執行更新指令未必會立即取得 Januscape 補丁,請以官方安全公告及實際內核版本為準。
🔁 為甚麼更新內核後要重啟?
因為內核是 Linux 系統最底層的部分,好似主機的「引擎」。更新內核時,新內核只是先安裝到硬碟入面,正在運行的仍然是舊內核。只有重啟之後,主機才會真正用新內核開機,漏洞修復才算正式生效。
我們留意到留意到近期 Linux KVM/x86 披露 Januscape 漏洞(CVE-2026-53359)。
此問題主要影響使用 KVM 虛擬化、Nested Virtualization 或多租戶虛擬化環境的主機,存在由 Guest 影響 Host 的風險。
已持續跟進各主流發行版修復進度,現階段整理如下:
✅ 已確認有修復版本 / 修復包
• Debian trixie-security repo
• Fedora 43 / Fedora 44
• Proxmox VE(pve-no-subscription 渠道)
🧪 已有測試版修復版本
• AlmaLinux 8 / 9 / 10(testing repo)
• CloudLinux 7h / 8(beta / testing channel)
⚠️ 暫未見官方穩定修復 / 仍標示受影響
• Ubuntu
• CentOS
• Debian
🔧 建議客戶即時檢查宿主機內核版本,並以官方發行版安全公告及官方軟件源為準進行更新。完成內核更新後,請按要求重啟主機,以確保修復正式生效。
Debian / Ubuntu / Proxmox VE
sudo apt update && sudo apt full-upgrade -y
Red Hat 類系統
sudo yum update 'kernel*' -y
⚠️ 提醒:如果對應發行版官方還未推出修復包,執行更新指令未必會立即取得 Januscape 補丁,請以官方安全公告及實際內核版本為準。
🔁 為甚麼更新內核後要重啟?
因為內核是 Linux 系統最底層的部分,好似主機的「引擎」。更新內核時,新內核只是先安裝到硬碟入面,正在運行的仍然是舊內核。只有重啟之後,主機才會真正用新內核開機,漏洞修復才算正式生效。
美联社:加密货币、房地产、手表:特朗普去年如何赚取超过 10 亿美元
唐纳德·特朗普总统最新的财务披露报告显示,他去年从各种加密货币投资中赚取了约 12 亿美元
特朗普从其“世界自由金融”(World Liberty Financial)业务中出售“治理代币”、“稳定币”和其他加密资产,获得了超过 5 亿美元的收入。另一家加密货币公司 CIC Digital LLC 通过销售印有他头像的纪念型“迷因币”(meme coins),收入超过 6 亿美元。一家与阿联酋政府有关联的公司在特朗普就职前不久以 5 亿美元收购了“世界自由金融”的股份,特朗普获得了近 2 亿美元的“资本出资”份额。
特朗普从海外一系列新的酒店、度假村和公寓交易中赚取了数千万美元的费用,阿联酋的一处房产为特朗普企业带来了 1040 万美元的收入,沙特阿拉伯一处由与统治家族关系密切的房地产开发商建造的房产,向总统的公司支付了 900 万美元。罗马尼亚布加勒斯特和卡塔尔的各一处房产则分别给他带来了 500 万美元的收入。
随着各国元首和商界人士涌向特朗普所称的在海湖庄园的“冬季白宫”,该俱乐部创造了 7700 万美元的收入,位于新泽西州贝德明斯特的高尔夫俱乐部也为特朗普带来 3800 万美元的收入,增长了近 20%,他在全球的 16 个高尔夫球场和俱乐部带来了超过 4.7 亿美元的费用和授权收入。
特朗普版《圣经》赚取了 208,486 美元,他的《拯救美国》(Save America)一书收入 1,893,965 美元,《致特朗普的信》(Letters to Trump)创造了 590,730 美元,而《MAGA 之旅》(A MAGA Journey)则带来了 552,685 美元,他的品牌吉他带来了 35,920 美元的收入,运动鞋和香水则入账 67,634 美元。
针对美国广播公司(ABC)、哥伦比亚广播公司(CBS)、Meta 等公司的诉讼带来了超过 8000 万美元的收入,其中大部分用于特朗普计划建设的迈阿密图书馆。
唐纳德·特朗普总统最新的财务披露报告显示,他去年从各种加密货币投资中赚取了约 12 亿美元
特朗普从其“世界自由金融”(World Liberty Financial)业务中出售“治理代币”、“稳定币”和其他加密资产,获得了超过 5 亿美元的收入。另一家加密货币公司 CIC Digital LLC 通过销售印有他头像的纪念型“迷因币”(meme coins),收入超过 6 亿美元。一家与阿联酋政府有关联的公司在特朗普就职前不久以 5 亿美元收购了“世界自由金融”的股份,特朗普获得了近 2 亿美元的“资本出资”份额。
特朗普从海外一系列新的酒店、度假村和公寓交易中赚取了数千万美元的费用,阿联酋的一处房产为特朗普企业带来了 1040 万美元的收入,沙特阿拉伯一处由与统治家族关系密切的房地产开发商建造的房产,向总统的公司支付了 900 万美元。罗马尼亚布加勒斯特和卡塔尔的各一处房产则分别给他带来了 500 万美元的收入。
随着各国元首和商界人士涌向特朗普所称的在海湖庄园的“冬季白宫”,该俱乐部创造了 7700 万美元的收入,位于新泽西州贝德明斯特的高尔夫俱乐部也为特朗普带来 3800 万美元的收入,增长了近 20%,他在全球的 16 个高尔夫球场和俱乐部带来了超过 4.7 亿美元的费用和授权收入。
特朗普版《圣经》赚取了 208,486 美元,他的《拯救美国》(Save America)一书收入 1,893,965 美元,《致特朗普的信》(Letters to Trump)创造了 590,730 美元,而《MAGA 之旅》(A MAGA Journey)则带来了 552,685 美元,他的品牌吉他带来了 35,920 美元的收入,运动鞋和香水则入账 67,634 美元。
针对美国广播公司(ABC)、哥伦比亚广播公司(CBS)、Meta 等公司的诉讼带来了超过 8000 万美元的收入,其中大部分用于特朗普计划建设的迈阿密图书馆。
KVM Januscape 漏洞:虚拟机可逃逸宿主机,潜伏 16 年
安全研究人员公开了 Januscape(CVE-2026-53359)漏洞,这是首个能同时在 Intel 与 AMD 平台上触发的 KVM/x86 虚拟机逃逸漏洞。该漏洞源于 shadow MMU 模拟中的 use-after-free 缺陷,客户机仅通过内部操作即可破坏宿主机内核的 shadow page,直接威胁公有云等多租户 KVM 宿主机的隔离边界。
该漏洞影响范围横跨 2010 年至 2026 年 6 月,在 Linux 内核中潜伏约 16 年,曾被用作 Google kvmCTF 的 0-day 攻击。其 PoC 代码已发布,可在客户机内触发宿主机内核 panic。此外,在 RHEL 等发行版中,本地普通用户还可利用该缺陷提权至 root。
GitHub
安全研究人员公开了 Januscape(CVE-2026-53359)漏洞,这是首个能同时在 Intel 与 AMD 平台上触发的 KVM/x86 虚拟机逃逸漏洞。该漏洞源于 shadow MMU 模拟中的 use-after-free 缺陷,客户机仅通过内部操作即可破坏宿主机内核的 shadow page,直接威胁公有云等多租户 KVM 宿主机的隔离边界。
该漏洞影响范围横跨 2010 年至 2026 年 6 月,在 Linux 内核中潜伏约 16 年,曾被用作 Google kvmCTF 的 0-day 攻击。其 PoC 代码已发布,可在客户机内触发宿主机内核 panic。此外,在 RHEL 等发行版中,本地普通用户还可利用该缺陷提权至 root。
GitHub
日本15岁男孩用ChatGPT入侵万代南梦宫删除4万用户
一名15岁少年因涉嫌通过网络攻击干扰“万代频道”的运营而被捕,该平台提供动漫和特摄节目流媒体服务。该少年使用“ChatGPT”软件创建程序并多次实施攻击。这名因涉嫌以欺诈手段妨碍商业活动而被捕的少年是一名15岁高中一年级学生。去年11月,这名少年利用AI编写的脚本,非法入侵视频流媒体服务“万代频道”的服务器,注销了46812名会员的注册并删除了他们的订阅。此举迫使运营公司“万代南梦宫电影公司”因担心会员信息可能发生泄露,暂时停止所有服务,从而中断了业务运营。虽然少年通过非法访问获取了会员的电子邮箱、昵称等个人信息,但目前尚未确认有会员信息被恶意滥用的情况。该少年从小学四年级开始使用电脑,其专业知识似乎完全出于自学。在接受警方调查时,他承认了犯罪事实,并供述称“对受害企业并没有怨恨”。
—— TBS
一名15岁少年因涉嫌通过网络攻击干扰“万代频道”的运营而被捕,该平台提供动漫和特摄节目流媒体服务。该少年使用“ChatGPT”软件创建程序并多次实施攻击。这名因涉嫌以欺诈手段妨碍商业活动而被捕的少年是一名15岁高中一年级学生。去年11月,这名少年利用AI编写的脚本,非法入侵视频流媒体服务“万代频道”的服务器,注销了46812名会员的注册并删除了他们的订阅。此举迫使运营公司“万代南梦宫电影公司”因担心会员信息可能发生泄露,暂时停止所有服务,从而中断了业务运营。虽然少年通过非法访问获取了会员的电子邮箱、昵称等个人信息,但目前尚未确认有会员信息被恶意滥用的情况。该少年从小学四年级开始使用电脑,其专业知识似乎完全出于自学。在接受警方调查时,他承认了犯罪事实,并供述称“对受害企业并没有怨恨”。
—— TBS
DeepSeek 正在自研 AI 芯片,以减少对英伟达和华为的依赖
三位知情人士透露,中国 AI 公司 DeepSeek 正在开发自己的 AI 芯片,旨在减少对英伟达和华为芯片的依赖。该芯片专注于推理阶段,即已训练好的模型为用户生成回答的环节,而非模型训练。
这项自研芯片的努力始于约一年前,目前仍处于早期阶段,DeepSeek 已开始与芯片设计、代工和存储公司接洽,并近几个月私下大量招募芯片设计工程师。此前 DeepSeek 的模型曾依赖英伟达 H800 和华为昇腾芯片,受美国出口管制影响,公司创始人梁文锋在 2024 年一次罕见采访中承认芯片管制是公司面临的挑战。
Reuters
三位知情人士透露,中国 AI 公司 DeepSeek 正在开发自己的 AI 芯片,旨在减少对英伟达和华为芯片的依赖。该芯片专注于推理阶段,即已训练好的模型为用户生成回答的环节,而非模型训练。
这项自研芯片的努力始于约一年前,目前仍处于早期阶段,DeepSeek 已开始与芯片设计、代工和存储公司接洽,并近几个月私下大量招募芯片设计工程师。此前 DeepSeek 的模型曾依赖英伟达 H800 和华为昇腾芯片,受美国出口管制影响,公司创始人梁文锋在 2024 年一次罕见采访中承认芯片管制是公司面临的挑战。
Reuters
Google Voice 首次向个人开放付费套餐,支持通话录音与 Gemini
Google Voice 首次向个人用户开放付费套餐,无需 Google Workspace 订阅即可升级。两个新套餐主要面向小企业和副业人士,但任何人都可购买。
Starter 套餐月费 10 美元,包含三方通话、通话转接、通话录音、桌面电话支持及 24/7 客服,号码不会因不活跃被回收。Standard 套餐月费 20 美元(前 6 个月半价),额外提供自动话务员呼叫路由和 Gemini 功能,可自动转录通话、总结要点并生成行动项,通话结束后将自动创建的 Google Doc 通过邮件发送。用户可在应用头像处找到升级入口,通过 g.co/voice/upgrade 页面订阅。
9To5Google
Google Voice 首次向个人用户开放付费套餐,无需 Google Workspace 订阅即可升级。两个新套餐主要面向小企业和副业人士,但任何人都可购买。
Starter 套餐月费 10 美元,包含三方通话、通话转接、通话录音、桌面电话支持及 24/7 客服,号码不会因不活跃被回收。Standard 套餐月费 20 美元(前 6 个月半价),额外提供自动话务员呼叫路由和 Gemini 功能,可自动转录通话、总结要点并生成行动项,通话结束后将自动创建的 Google Doc 通过邮件发送。用户可在应用头像处找到升级入口,通过 g.co/voice/upgrade 页面订阅。
9To5Google
Claude Cowork 上线:AI 可后台自动完成复杂任务
Anthropic 推出 Claude Cowork,面向 Pro、Max、Team 及 Enterprise 付费用户开放,支持桌面端、网页与移动端。网页及移动端的测试版正从 Max 套餐开始逐步推送。
该功能可自主完成多步骤复杂任务,例如整理文件、生成带公式的 Excel 表格与演示文稿、整合研究报告等。任务在 Anthropic 服务器上远程运行,即使用户关闭电脑,工作仍会在后台继续。桌面端支持直接读写本地文件与浏览器操作,用户还可设置定时自动任务,并通过项目功能分组管理工作。系统在删除文件前会要求用户明确授权。
Claude Help Center
Anthropic 推出 Claude Cowork,面向 Pro、Max、Team 及 Enterprise 付费用户开放,支持桌面端、网页与移动端。网页及移动端的测试版正从 Max 套餐开始逐步推送。
该功能可自主完成多步骤复杂任务,例如整理文件、生成带公式的 Excel 表格与演示文稿、整合研究报告等。任务在 Anthropic 服务器上远程运行,即使用户关闭电脑,工作仍会在后台继续。桌面端支持直接读写本地文件与浏览器操作,用户还可设置定时自动任务,并通过项目功能分组管理工作。系统在删除文件前会要求用户明确授权。
Claude Help Center
中国网络文学平台从拥抱 AI 到严打 AI 生成内容
中国网络文学平台正从鼓励 AI 写作转向严格限制 AI 生成内容。字节跳动旗下的番茄小说、腾讯阅文集团旗下的起点和晋江等平台曾相继推出 AI 辅助功能,帮助作者快速生成情节与章节。但随着 AI 工具普及,部分读者在小说中发现遗留的 AI 提示词,对内容质量感到不满。为遏制低质 AI 内容,平台纷纷收紧政策:晋江仅允许将 AI 用于资料搜集和校对;番茄小说则限制账号每日发布字数,并在今年 6 月拒绝了超过 10.4 万份包含 AI 写作的"低质量"投稿。
Rest of World
中国网络文学平台正从鼓励 AI 写作转向严格限制 AI 生成内容。字节跳动旗下的番茄小说、腾讯阅文集团旗下的起点和晋江等平台曾相继推出 AI 辅助功能,帮助作者快速生成情节与章节。但随着 AI 工具普及,部分读者在小说中发现遗留的 AI 提示词,对内容质量感到不满。为遏制低质 AI 内容,平台纷纷收紧政策:晋江仅允许将 AI 用于资料搜集和校对;番茄小说则限制账号每日发布字数,并在今年 6 月拒绝了超过 10.4 万份包含 AI 写作的"低质量"投稿。
Rest of World
👍1
工信部提示 Claude Code 存在安全后门隐患
工业和信息化部网络安全威胁和漏洞信息共享平台 7 月 8 日发布风险提示,AI 编程工具 Claude Code 存在安全后门隐患,受影响版本为 2.1.91 至 2.1.196。
该工具内置监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息。相关单位和用户被建议立即排查,卸载受影响版本或升级到已清除相关代码的最新安全版本,并加强开发工具外联权限管控和流量监测,防止敏感数据违规外传。
工业和信息化部网络安全威胁和漏洞信息共享平台
工业和信息化部网络安全威胁和漏洞信息共享平台 7 月 8 日发布风险提示,AI 编程工具 Claude Code 存在安全后门隐患,受影响版本为 2.1.91 至 2.1.196。
该工具内置监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息。相关单位和用户被建议立即排查,卸载受影响版本或升级到已清除相关代码的最新安全版本,并加强开发工具外联权限管控和流量监测,防止敏感数据违规外传。
工业和信息化部网络安全威胁和漏洞信息共享平台
👍1
顶尖 AI 企业安全评级普遍偏低 榜首 Anthropic 仅获 C+
美国生命未来研究所发布的最新报告显示,全球九家顶尖人工智能(AI)企业的安全表现普遍不佳,没有一家获得 A 评级。其中,美国 Anthropic 以 C+ 位居榜首,OpenAI 与谷歌 DeepMind 同为 C,Meta 获 D+,中国 Z.ai 和阿里云为 D-,美国 xAI、中国 DeepSeek 及法国 Mistral 则获 F 评级。
报告指出,这些企业正以前所未有的速度开发变革性技术,却未能制定可靠计划来监控相关风险。此外,多家公司此前禁止将技术用于军事领域,但目前已逐渐改变立场,积极寻求防务伙伴关系;中国顶尖 AI 企业也被指与军方有关联,但阿里云与 Z.ai 否认相关指控。
联合早报
美国生命未来研究所发布的最新报告显示,全球九家顶尖人工智能(AI)企业的安全表现普遍不佳,没有一家获得 A 评级。其中,美国 Anthropic 以 C+ 位居榜首,OpenAI 与谷歌 DeepMind 同为 C,Meta 获 D+,中国 Z.ai 和阿里云为 D-,美国 xAI、中国 DeepSeek 及法国 Mistral 则获 F 评级。
报告指出,这些企业正以前所未有的速度开发变革性技术,却未能制定可靠计划来监控相关风险。此外,多家公司此前禁止将技术用于军事领域,但目前已逐渐改变立场,积极寻求防务伙伴关系;中国顶尖 AI 企业也被指与军方有关联,但阿里云与 Z.ai 否认相关指控。
联合早报
安卓高危漏洞曝光,点击恶意链接即可远程 Root 全版本安卓设备
7 月 8 日,网络安全公司 Nebula 曝光一套安卓远程 Root 漏洞链,安卓 17 及全系列旧版设备均受波及,谷歌 Pixel 机型已实测可被攻破。
该攻击链结合 Firefox 151.0.2 及更早版本浏览器漏洞、潜伏 15 年的 Linux 内核漏洞,用户仅点击恶意链接,一分钟内即可被植入权限文件、获取持久 Root 权限,攻击者能通过 adb 操控设备。
目前相关漏洞概念验证代码已上传 GitHub,厂商已收到漏洞通报,Linux 内核已完成漏洞修复。完整漏洞细节暂未披露,但业内预判通用简易 Root 方案很快会流出。
酷安| X
7 月 8 日,网络安全公司 Nebula 曝光一套安卓远程 Root 漏洞链,安卓 17 及全系列旧版设备均受波及,谷歌 Pixel 机型已实测可被攻破。
该攻击链结合 Firefox 151.0.2 及更早版本浏览器漏洞、潜伏 15 年的 Linux 内核漏洞,用户仅点击恶意链接,一分钟内即可被植入权限文件、获取持久 Root 权限,攻击者能通过 adb 操控设备。
目前相关漏洞概念验证代码已上传 GitHub,厂商已收到漏洞通报,Linux 内核已完成漏洞修复。完整漏洞细节暂未披露,但业内预判通用简易 Root 方案很快会流出。
酷安| X