每日科技新闻速递

1. OpenAI 扩展 Daybreak,并把 Patch the Planet 指向开源修复协作

  • 标题:Daybreak: Tools for securing every organization in the world
  • 摘要:OpenAI 6 月 22 日宣布扩展 Daybreak,包含 Codex Security 更新、面向 trusted defenders 的 GPT-5.5-Cyber full version limited release、Cyber Partner Program,以及与 Trail of Bits 等合作的 Patch the Planet。Patch the Planet 的重点是让专家安全研究、AI 辅助分析和开源维护者协作从“发现漏洞”走向“验证并落地修复”;这里应理解为受控安全计划和维护者支持,不是开放给所有人的攻击能力发布。
  • 链接:OpenAI Daybreak / Patch the Planet / Trail of Bits 公告 / Hacker News 讨论

2. Google Cloud 扩展面向 AI 的 Confidential Computing 能力

  • 标题:Verifiable, private AI: Google Cloud expands Confidential Computing frontiers
  • 摘要:Google Cloud 6 月 23 日发布 Confidential Computing 更新,围绕 AI 工作负载强调硬件 TEE、远程证明、Confidential G4 VM/GKE Nodes、Prompt Encryption SDK、Confidential Space 等能力。它更像是云安全和隐私基础设施组合的扩展,目标是保护数据使用中状态和跨方协作场景;不应写成新的通用 AI 模型或单一产品发布。
  • 链接:Google Cloud 官方博客 / Prompt Encryption SDK / Confidential Space 文档

3. GitHub Code Quality findings REST API 进入 public preview

  • 标题:Fetch Code Quality findings via REST API
  • 摘要:GitHub 6 月 23 日宣布仓库级 Code Quality findings REST API 进入 public preview,新增按 finding ID 读取单条结果和列出仓库 findings 的只读端点,并支持过滤、分页和外部工具集成。GitHub 把它定位为支持自定义报表、内部开发者平台和 agentic remediation workflows 的接口;限制也要写清:目前是 github.com public preview,不支持 GitHub Enterprise Server。
  • 链接:GitHub Changelog / GitHub Code Quality 文档

4. Dependabot 可自动读取已授权的 GitHub-hosted registries

  • 标题:Automatic Dependabot access to GitHub-hosted registries
  • 摘要:GitHub 6 月 23 日宣布,Dependabot 在读取 *.pkg.github.comghcr.io 上的私有包时,可复用包设置中 “Manage Actions access” 授予仓库的 Read access,并由 GITHUB_TOKEN 请求 packages: read。这能减少为 GitHub-hosted registries 单独维护 PAT 的需求,但前提是包已给运行 Dependabot 的仓库授权;不能泛化为所有私有 registry 都不再需要凭据。
  • 链接:GitHub Changelog / GitHub Packages 访问控制文档 / Dependabot 私有 registry 文档

5. Microsoft 复盘 Mastra npm 供应链攻击,并归因 Sapphire Sleet

  • 标题:From package to postinstall payload: Inside the Mastra npm supply chain compromise by Sapphire Sleet
  • 摘要:Microsoft 6 月 17 日发布、6 月 19 日更新对 Mastra npm 供应链攻击的分析,称 140+ mastra@mastra 作用域包受到影响,攻击源于 ehindero npm maintainer 账号被接管,并通过 easy-day-js typosquat 包引入 postinstall payload。Microsoft 后续表示以高置信度将该活动归因给 Sapphire Sleet;这是一篇 6 月中旬事件的威胁情报复盘,不是 6 月 24 日刚发生的新攻击。
  • 链接:Microsoft Security Blog / Mastra GitHub Issue

简短结论

今天的科技主线集中在“AI 能力进入更严肃的安全与治理周期”。OpenAI Daybreak 和 Patch the Planet 把模型能力放进受控防御、人工审查和开源维护协作里;Google Cloud 的 Confidential Computing 更新则从云基础设施层面处理 AI workload 的数据使用中保护。GitHub 的 Code Quality API 与 Dependabot registry 访问更新继续补齐开发者平台的治理接口,而 Microsoft 对 Mastra npm 事件的复盘提醒团队:AI 与 JS 生态再热,供应链账号、postinstall 脚本和 CI/CD 凭据仍然是必须防守的基础面。

本文基于公开来源整理,并通过 Chrome 打开 ChatGPT 做辅助真实性评估;已根据核查结果把 OpenAI、Google 和 Microsoft 三条收窄为“近日更新 / 安全复盘”,补充 GitHub public preview、GitHub-hosted registries、包授权和 Microsoft 高置信归因等限制条件,避免把厂商口径、旧事件或受控能力写成更大事实。