每日科技新闻速递

1. What ClickUp’s mass layoff tells us about the future of work

  • 标题:What ClickUp’s mass layoff tells us about the future of work
  • 摘要:TechCrunch 报道称,ClickUp CEO Zeb Evans 在裁员 22% 后,把这次调整解释为推进 AI-first 工作方式,而不只是削减成本;报道还转述了公司内部已有约 3,000 个 AI agents 辅助员工工作,并讨论高影响员工的百万美元薪酬带。更稳妥的理解是:这是 ClickUp 个案和管理层表态,说明 AI 正被部分 SaaS 公司用来重塑组织效率叙事,但不能直接等同于所有公司的未来工作趋势。
  • 链接:原始报道 / ClickUp CEO 公告

2. Everyone is navigating AI security in real time – even Google

  • 标题:Everyone is navigating AI security in real time – even Google
  • 摘要:TechCrunch 采访 Google Cloud COO Francis de Souza,重点是企业采用 AI 时需要同步处理数据治理、安全策略、审计能力和 shadow AI 风险。报道也引用 The Register 与 Aikido 对 Google API key、Gemini 计费和撤销传播延迟的案例分析;这更准确地反映出 AI 平台和企业客户都还在实时补齐安全边界,而不是单一厂商已经给出最终答案。
  • 链接:原始报道 / Aikido 分析

3. Anthropic’s restricted Claude Mythos model may be coming to Claude Code

  • 标题:Anthropic’s restricted Claude Mythos model may be coming to Claude Code
  • 摘要:BleepingComputer 报道称,Claude Code 与 Claude Security 中出现了 Mythos 相关引用和短暂开关,显示 Anthropic 可能在为 Claude Code 接入受限安全模型做准备。这里必须保留“可能/迹象”措辞:Anthropic 官方此前确认的是 Project Glasswing 和 Claude Mythos Preview 的受限防御性使用,并未正式宣布 Mythos 已向 Claude Code 普遍开放。
  • 链接:原始报道 / Anthropic Project Glasswing

4. FBI warns of Kali365 phishing service targeting Microsoft 365 accounts

  • 标题:FBI warns of Kali365 phishing service targeting Microsoft 365 accounts
  • 摘要:BleepingComputer 根据 FBI PSA 报道,Kali365 phishing-as-a-service 平台正在滥用 Microsoft OAuth device code flow,在受害者完成登录和 MFA 后获取访问令牌,从而劫持 Microsoft 365 账号并绕过后续 MFA 挑战。FBI 称该平台 2026 年 4 月出现,通过 Telegram 分发,并提供 AI 生成钓鱼诱饵、自动化模板、实时受害者追踪和 token capture 等能力;企业防护重点包括限制 device code flow、审计异常登录和保留钓鱼证据。
  • 链接:原始报道 / FBI IC3

5. Ghost CMS SQL injection flaw exploited in large-scale ClickFix campaign

  • 标题:Ghost CMS SQL injection flaw exploited in large-scale ClickFix campaign
  • 摘要:BleepingComputer 报道称,攻击者正在利用 Ghost CMS 的 CVE-2026-26980 SQL 注入漏洞读取 admin API key,并向文章页面注入恶意 JavaScript,引导访客进入 ClickFix 社工流程。XLab 称该活动已影响 700 多个域名;NVD 信息显示受影响范围为 Ghost 3.24.0 至 6.19.0,修复版本为 6.19.1,站点管理员应升级并轮换可能暴露的密钥。
  • 链接:原始报道 / NVD CVE-2026-26980 / Ghost v6.19.1

简短结论

今天的主线不是单个模型发布,而是 AI 进入组织、平台和安全攻防后的真实摩擦:ClickUp 把 AI agents 放进组织效率叙事,Google Cloud 强调企业 AI 安全治理,Anthropic Mythos 让高能力安全模型的开放边界继续受关注。与此同时,Kali365 和 Ghost CMS ClickFix 活动提醒企业,身份认证流程、API key、CMS 补丁和浏览器端社工链路仍然是最现实的攻击面。