2026年7月16日博客精选

本期精选涵盖安全、AI与开发工具领域的重大动态。安全方面,Claude的web_fetch工具被曝出数据泄露漏洞,xAI的Grok CLI因隐私泄露风波紧急开源,微软借助AI发现并修复了创纪录的570个安全漏洞。AI领域,苹果AI获准进入中国市场,将携手百度与阿里。工具与工程方面,GitHub Dependabot引入3天冷却期以防供应链攻击,Grok的Mermaid渲染器被移植为Wasm工...

今日摘要

本期精选涵盖安全、AI与开发工具领域的重大动态。安全方面,Claude的web_fetch工具被曝出数据泄露漏洞,xAI的Grok CLI因隐私泄露风波紧急开源,微软借助AI发现并修复了创纪录的570个安全漏洞。AI领域,苹果AI获准进入中国市场,将携手百度与阿里。工具与工程方面,GitHub Dependabot引入3天冷却期以防供应链攻击,Grok的Mermaid渲染器被移植为Wasm工...

今日看点

AI 正在重塑安全攻防格局,既能以创纪录的效率辅助大规模漏洞修复,也因隐私越权和设计缺陷引发了深层的安全忧虑。与此同时,从 Dependabot 的冷却机制到智能家居的失效警示,软件供应链与物理世界的可靠性正面临严峻考验。此外,随着 Apple Intelligence 的本土化落地与设计即代码工具的兴起,AI 代理与开发流程的深度集成正推动技术生态向更合规、高效的方向演进。

热点话题

1. 我如何诱骗 Claude 泄露你的深层秘密

原文链接:https://simonwillison.net/2026/Jul/15/claude-web-fetch-exfiltration/#atom-everything

原标题:How I tricked Claude into leaking your deepest, darkest secrets

来源博客:simonwillison.net;发布时间:2026-07-15 22:21:54;评分:29.0

文章说明:Claude 的 web_fetch 工具在设计上旨在防止数据外泄,但安全研究员 Ayush Paul 发现了其设计漏洞。常规的 Claude 对话面临“致命三要素”攻击风险,因为它能访问用户历史记忆等私有数据,且拥有联网读取内容的工具。攻击者可以通过在网页中植入恶意指令,诱导 Claude 将私有数据拼接在 URL 参数中并发送至第三方服务器。该漏洞表明即使有严格的沙箱设计,大语言模型在处理外部不受信任输入时依然存在严重的数据外泄隐患。

推荐理由:深入剖析了 LLM 联网工具(Tool Use)面临的间接提示注入与数据外泄新型安全威胁。

  • Claude
  • 提示注入
  • 数据外泄
  • LLM安全

2. 微软修复创纪录的 570 个安全漏洞

原文链接:https://krebsonsecurity.com/2026/07/microsoft-patches-a-record-570-security-flaws/

原标题:Microsoft Patches a Record 570 Security Flaws

来源博客:krebsonsecurity.com;发布时间:2026-07-15 03:22:42;评分:29.0

文章说明:微软公司发布了最新的软件更新,修复了 Windows 操作系统及其他软件中至少 570 个安全漏洞。这一数字几乎是上个月创纪录的“周二补丁日”修复漏洞数量的三倍。微软将此次补丁数量的激增归功于人工智能辅助的漏洞发现技术。AI 的引入极大地提高了安全审计和代码扫描的效率,帮助安全团队在短时间内定位了大量潜在隐患。

推荐理由:展示了人工智能在软件安全漏洞挖掘与自动化审计中的巨大威力和实际应用成果。

  • 微软
  • 安全漏洞
  • 人工智能
  • Windows

3. xAI 的 grok-build 工具现已开源

原文链接:https://simonwillison.net/2026/Jul/15/grok-build/#atom-everything

原标题:xai-org/grok-build, now open source

来源博客:simonwillison.net;发布时间:2026-07-16 07:59:30;评分:27.0

文章说明:xAI 的 Grok 命令行工具(CLI)因隐私问题引发社区强烈抵制,用户发现运行该命令会默认将整个当前目录上传至 xAI 的谷歌云存储桶。有用户报告在主目录下运行该工具导致 SSH 密钥、密码管理器数据库及个人文档等敏感隐私数据被全部上传。面对舆论压力,xAI 迅速做出反应,将该工具的源代码开源以提高透明度。开源代码让开发者能够审查其数据上传逻辑,避免类似的隐私悲剧再次发生。

推荐理由:警示开发者在使用 AI 命令行工具时需高度警惕默认的数据上传与隐私泄露行为。

  • xAI
  • 隐私保护
  • 开源
  • CLI工具

4. 傅里叶变换笔记

原文链接:https://eli.thegreenplace.net/2026/notes-on-the-fourier-transform/

原标题:Notes on the Fourier Transform

来源博客:eli.thegreenplace.net;发布时间:2026-07-15 11:04:00;评分:26.0

文章说明:傅里叶级数是分析周期函数的强大工具,但无法直接应用于非周期函数。对于定义在有限区间内的非周期函数,可以通过周期性延拓来计算其傅里叶级数。然而,若要处理在无限区间上不重复的函数,则需要引入傅里叶变换。傅里叶变换通过将周期推向无穷大,实现了从离散频谱向连续频谱的过渡。本文深入探讨了这一数学推导过程及其在信号处理中的物理意义。

推荐理由:清晰梳理了从傅里叶级数过渡到傅里叶变换的数学逻辑,适合信号处理学习者复习。

  • 数学
  • 信号处理
  • 傅里叶变换

5. 引用 GitHub 变更日志:Dependabot 引入冷却期

原文链接:https://simonwillison.net/2026/Jul/14/github-changeling/#atom-everything

原标题:Quoting GitHub Changelog

来源博客:simonwillison.net;发布时间:2026-07-15 06:43:35;评分:26.0

文章说明:GitHub 宣布对 Dependabot 进行重要更新,以提升软件供应链的安全性。现在,Dependabot 会在新版本发布到注册表后至少等待三天,才会自动开启版本更新的 Pull Request。这一三天冷却期机制目前已设为默认启用,用户无需进行任何额外配置。此举旨在给社区留出时间来发现和报告新版本中可能存在的恶意代码或严重 Bug,降低自动化更新引入供应链攻击的风险。

推荐理由:了解 GitHub 默认安全策略的变化,帮助开发者平衡依赖自动更新与供应链安全。

  • GitHub
  • Dependabot
  • 供应链安全
  • DevOps

6. 每周更新 512:物联网锁死故障

原文链接:https://www.troyhunt.com/weekly-update-512/

原标题:Weekly Update 512: IoT Lockout Fail

来源博客:troyhunt.com;发布时间:2026-07-15 08:35:38;评分:25.0

文章说明:作者分享了其智能家居在实际生活中的一次严重失效经历。在经历 33 小时的漫长旅途从巴黎返回后,作者在深夜 23:00 被锁在自家门外,原因在于智能门锁的电池耗尽。尽管智能家居带来了便利,但其对电池和网络连接的依赖在极端情况下会导致严重的可用性问题。这表明在设计和部署物联网设备时,必须保留可靠的物理备用方案。

推荐理由:以亲身经历警示智能家居爱好者,在追求便利的同时必须重视物联网设备的容灾与物理备份。

  • 物联网
  • 智能家居
  • 可靠性
  • 安全

7. Mermaid 转换为 Unicode 字符画工具 (grok-mermaid)

原文链接:https://simonwillison.net/2026/Jul/16/grok-mermaid/#atom-everything

原标题:Mermaid to Unicode box art (grok-mermaid)

来源博客:simonwillison.net;发布时间:2026-07-16 08:33:18;评分:24.0

文章说明:作者在研究新开源的 Grok CLI 代理代码库时,发现了用 Rust 编写的终端 Mermaid 图表渲染器。为了探索其在浏览器中的运行效果,作者通过 WebAssembly 技术对其进行了移植。在 Claude Code (Fable 5) 的辅助下,作者成功构建了一个将 Mermaid 语法实时转换为 Unicode 字符画的网页工具。该工具展示了 Rust 与 WebAssembly 在前端轻量级渲染中的应用潜力。

推荐理由:展示了如何利用 AI 助手快速将 Rust 终端工具通过 WebAssembly 移植到网页端。

  • Rust
  • WebAssembly
  • Mermaid
  • Claude Code

8. 苹果 AI 获准在中国推出,将使用百度和阿里巴巴的 AI 模型

原文链接:https://www.scmp.com/tech/policy/article/3360685/china-approves-apple-intelligence-phones-alibaba-baidu-emerging-partners

原标题:Apple Intelligence OK’d to Launch in China, Using AI Models from Baidu and Alibaba

来源博客:daringfireball.net;发布时间:2026-07-16 06:35:18;评分:24.0

文章说明:中国监管机构已正式批准苹果公司在中国境内的 iPhone 等设备上推出 Apple Intelligence 服务。由于合规要求,苹果选择与阿里巴巴集团和百度公司作为技术合作伙伴,使用它们的本土大模型。国家互联网信息办公室(CAC)已发布公告确认了这一许可。Apple Intelligence 的核心功能包括邮件摘要、报告撰写和图像编辑等,此次合作扫清了其进入中国市场的最大障碍。

推荐理由:关注苹果 AI 落地中国市场的合规路径以及与本土科技巨头的合作模式。

  • Apple Intelligence
  • 中国市场
  • 百度
  • 阿里巴巴

9. 【赞助】Paper:基于真实 HTML/CSS 的专业设计工具

原文链接:https://paper.design/?utm_source=df

原标题:[Sponsor] Paper

来源博客:daringfireball.net;发布时间:2026-07-14 13:02:00;评分:23.0

文章说明:Paper 是一款创新的专业设计工具,其图层直接基于真实的 HTML 和 CSS 构建。这种设计即代码的模式消除了设计师与开发人员之间的交付鸿沟,支持双向转换。Paper 支持通过模型上下文协议(MCP)连接任何 AI 代理,使其能够直接读取和修改设计方案。此外,利用 Paper Snapshot 功能,用户可以直接将线上运行的网站捕获为可编辑的图层进行迭代。

推荐理由:介绍了 AI 时代下设计与开发工作流融合的新工具,特别是其对 MCP 协议的支持。

  • 设计转代码
  • MCP
  • 前端开发
  • AI工具

10. 关闭显示控制面板时无效函数指针的案例分析

原文链接:https://devblogs.microsoft.com/oldnewthing/20260715-00/?p=112535

原标题:The case of the invalid function pointer when shutting down the display control panel

来源博客:devblogs.microsoft.com/oldnewthing;发布时间:2026-07-15 22:00:00;评分:22.0

文章说明:本文分析了在关闭 Windows 显示控制面板时发生的一个无效函数指针崩溃案例。问题源于在组件卸载和销毁过程中,回调函数的生命周期管理不当。当控制面板关闭时,某些异步操作或延迟回调试图访问已被释放的内存或无效的函数指针。通过调试内存销毁顺序和引用计数,可以有效避免此类经典的资源释放后使用(Use-After-Free)漏洞。

推荐理由:Windows 历史遗留系统调试的经典案例,有助于深入理解 C++ 异步回调与生命周期管理。

  • Windows
  • 系统调试
  • 内存管理
  • C++
上一篇:暂无
下一篇 2026年7月15日博客精选

相关推荐