近日，安全研究员 Ammar Askar 公开了一条利用 VSCode 漏洞一键窃取 GitHub Token 的完整攻击链。攻击者无需密码、无需下载恶意程序，只要诱导用户打开一个特制链接，就有机会获取 GitHub Token，并获得对私有仓库的读写权限。 更具争议的是，在披露漏洞的同时，Askar 还公开炮轰微软安全响应中心（MSRC），称其长期低估 VS Code 安全问题，甚至曾在未给予任 ...

IT之家 6 月 3 日消息，安全研究员 Ammar Askar 昨日（6 月 2 日）发布推文，公开了一个概念验证（PoC）漏洞，指出 GitHub 浏览器版 VS Code 存在安全漏洞，用户点击链接后，GitHub OAuth t ...

原文标题：《一文读懂微软Build 2026开发者大会：“Agent优先”时代到来，一口气发七款自研模型》 文丨李海伦 编辑丨徐青阳 美国当地时间6月2日，微软Build ...

昨天，在中国台北英伟达 GTC 大会上，英伟达 CEO 黄仁勋再次将话题聚焦于AI产业的发展方向。 与两年前重点讨论生成式AI浪潮不同，这一次黄仁勋给出了一个新的判断： “生成式AI已经到来，实用AI已经到来。” 实用AI时代已经到来 ...

在AI编程助手加速软件开发的背景下，OWASP旗下开源项目CVE Lite CLI另辟蹊径，坚持以确定性算法而非AI进行依赖漏洞检测。该工具专注于JavaScript和TypeScript本地锁文件分析，支持npm、pnpm和Yarn，能在开发者编写代码时即时发现依赖风险，而非等到CI流水线失败后才报警。工具提供直接与传递性漏洞分离、修复路径推荐等功能，现已成为OWASP官方项目。

Claude最新旗舰Opus 4.8发布。 也有人补充了与Mythos已知数据的对比，Opus 4.8在部分能力上甚至超过Mythos。 官方特别强调，Opus 4.8可以长时间执行任务，人类不用经常回来检查它的工作。 Cursor的CEO确认Opus 4.8在CursorBench上的表现超越了此前所有Opus模型。

中新经纬5月25日电 微信号“国家网络安全通报中心”25日发文称，主流JavaScript软件包管理平台npm遭供应链投毒攻击。监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”(Shai-Hulud) ...

人民财讯5月25日电，国家网络安全通报中心监测发现，全球主流JavaScript软件包管理平台npm遭“沙虫”（Shai-Hulud）供应链投毒攻击。攻击者攻陷了npm官方维护者账户，并在短时间内批量投放大量恶意软件包，涉及300余个独立程序包的600余个恶意版本，影响多个热门开源项目。当开发者安装恶意依赖包后，程序会自动在本地主机 ...

由于恶意软件具备蠕虫式传播能力，可自动重新发布受害者维护的其他软件包，因此共享开发环境的其他用户，以及依赖同一维护者发布软件包的用户，也可能面临间接感染风险。 二是排查依赖文件。

TanStack 发布了一份详细的事件回顾报告，描述了一次复杂的供应链攻击。此次攻击仅用六分钟就攻破了 42 个 npm 包，并发布了 84 个恶意包版本，使开发人员和 CI/CD 系统面临凭证被盗和恶意软件传播的风险。该攻击利用了 GitHub Actions 缓存投毒、不安全的 pull_request_target ...

Claude 3.5上新的“工坊模式”（Artifacts）再次更新，写完的网页应用支持一键分享了！ 不用自建服务器，不用部署后台程序，点一下就能自动获得链接。 而且被分享的应用还能一键导入自己的对话，分分钟魔改个新版本出来。 除了官方通告外，Anthropic提示词工程师、开发者关系负责人Alex Albert也在推特上宣布了这一消息。 Alex一边介绍，一边展示了用Claude制作的一个飞船小 ...

在技术迅速发展的今天，编程语言的流行趋势不仅反映了开发者的偏好，更是市场需求和行业变革的直接映射。近日，GitHub发布了2024年度“Octoverse现状”报告，引发了广泛关注。报告显示，Python在今年成功超越Java，成为GitHub最受欢迎的编程语言，这一变化意义 ...