每日科技新闻速递
1. OpenAI 扩展 Daybreak,并把 Patch the Planet 指向开源修复协作
- 标题:Daybreak: Tools for securing every organization in the world
- 摘要:OpenAI 6 月 22 日宣布扩展 Daybreak,包含 Codex Security 更新、面向 trusted defenders 的 GPT-5.5-Cyber full version limited release、Cyber Partner Program,以及与 Trail of Bits 等合作的 Patch the Planet。Patch the Planet 的重点是让专家安全研究、AI 辅助分析和开源维护者协作从“发现漏洞”走向“验证并落地修复”;这里应理解为受控安全计划和维护者支持,不是开放给所有人的攻击能力发布。
- 链接:OpenAI Daybreak / Patch the Planet / Trail of Bits 公告 / Hacker News 讨论
2. Google Cloud 扩展面向 AI 的 Confidential Computing 能力
- 标题:Verifiable, private AI: Google Cloud expands Confidential Computing frontiers
- 摘要:Google Cloud 6 月 23 日发布 Confidential Computing 更新,围绕 AI 工作负载强调硬件 TEE、远程证明、Confidential G4 VM/GKE Nodes、Prompt Encryption SDK、Confidential Space 等能力。它更像是云安全和隐私基础设施组合的扩展,目标是保护数据使用中状态和跨方协作场景;不应写成新的通用 AI 模型或单一产品发布。
- 链接:Google Cloud 官方博客 / Prompt Encryption SDK / Confidential Space 文档
3. GitHub Code Quality findings REST API 进入 public preview
- 标题:Fetch Code Quality findings via REST API
- 摘要:GitHub 6 月 23 日宣布仓库级 Code Quality findings REST API 进入 public preview,新增按 finding ID 读取单条结果和列出仓库 findings 的只读端点,并支持过滤、分页和外部工具集成。GitHub 把它定位为支持自定义报表、内部开发者平台和 agentic remediation workflows 的接口;限制也要写清:目前是 github.com public preview,不支持 GitHub Enterprise Server。
- 链接:GitHub Changelog / GitHub Code Quality 文档
4. Dependabot 可自动读取已授权的 GitHub-hosted registries
- 标题:Automatic Dependabot access to GitHub-hosted registries
- 摘要:GitHub 6 月 23 日宣布,Dependabot 在读取
*.pkg.github.com和ghcr.io上的私有包时,可复用包设置中 “Manage Actions access” 授予仓库的 Read access,并由GITHUB_TOKEN请求packages: read。这能减少为 GitHub-hosted registries 单独维护 PAT 的需求,但前提是包已给运行 Dependabot 的仓库授权;不能泛化为所有私有 registry 都不再需要凭据。 - 链接:GitHub Changelog / GitHub Packages 访问控制文档 / Dependabot 私有 registry 文档
5. Microsoft 复盘 Mastra npm 供应链攻击,并归因 Sapphire Sleet
- 标题:From package to postinstall payload: Inside the Mastra npm supply chain compromise by Sapphire Sleet
- 摘要:Microsoft 6 月 17 日发布、6 月 19 日更新对 Mastra npm 供应链攻击的分析,称 140+
mastra与@mastra作用域包受到影响,攻击源于ehinderonpm maintainer 账号被接管,并通过easy-day-jstyposquat 包引入 postinstall payload。Microsoft 后续表示以高置信度将该活动归因给 Sapphire Sleet;这是一篇 6 月中旬事件的威胁情报复盘,不是 6 月 24 日刚发生的新攻击。 - 链接:Microsoft Security Blog / Mastra GitHub Issue
简短结论
今天的科技主线集中在“AI 能力进入更严肃的安全与治理周期”。OpenAI Daybreak 和 Patch the Planet 把模型能力放进受控防御、人工审查和开源维护协作里;Google Cloud 的 Confidential Computing 更新则从云基础设施层面处理 AI workload 的数据使用中保护。GitHub 的 Code Quality API 与 Dependabot registry 访问更新继续补齐开发者平台的治理接口,而 Microsoft 对 Mastra npm 事件的复盘提醒团队:AI 与 JS 生态再热,供应链账号、postinstall 脚本和 CI/CD 凭据仍然是必须防守的基础面。
本文基于公开来源整理,并通过 Chrome 打开 ChatGPT 做辅助真实性评估;已根据核查结果把 OpenAI、Google 和 Microsoft 三条收窄为“近日更新 / 安全复盘”,补充 GitHub public preview、GitHub-hosted registries、包授权和 Microsoft 高置信归因等限制条件,避免把厂商口径、旧事件或受控能力写成更大事实。
