2026年5月16日科技早报，📋 今日要点

📋 今日要点

• Linux 7.1-rc4新增多款Logitech蓝牙键盘支持

• Cloud Hypervisor 52支持AMD SEV-SNP虚拟机

• Cerebras Systems上市首日股价翻倍，市值达1000亿美元

• 微软Edge浏览器将停止启动时加载明文密码

• Anthropic发布Claude for Legal开源项目

• DwarfStar 4基于DeepSeek-v4-Flash实现高效本地推理

• 《极限竞速：地平线6》媒体均分92，获“不得不玩”评价

• 《神陨之地》Steam发售，国区售价30元

Linux 7.0.8发布修复ssh-keysign-pwn漏洞

Linux 7.0.8版本发布，修复了影响所有内核版本至2026年5月14日的ssh-keysign-pwn漏洞。该漏洞允许非特权用户读取根用户文件。更新包含Linus Torvalds提交的ptrace补丁，改进get_dumpable()逻辑。同时发布多个LTS内核版本：6.18.31、6.12.89、6.6.139、6.1.173、5.15.207及5.10.256，均仅含此安全修复。所有更新通过稳定分支推送，适用于长期支持系统。

ZimaCube 2发布：搭载Intel CPU的个人云/NAS设备

ZimaCube 2为个人云/NAS设备，采用Intel Core i3 1215U或i5 1235U处理器，支持6个HDD/SSD驱动器和4个NVMe SSD插槽。配备40 Gbps Thunderbolt 4接口、双2.5 GbE与10 GbE以太网口，搭载256GB NVMe系统盘，最高支持64GB DDR5内存。设备外壳为铝制，含USB-A 3.0（4个）、USB-C 3.0/Thunderbolt（1个）及DisplayPort/HDMI视频输出。主板支持PCIe 4.0 x4与3.0 x2扩展槽，内部结构可拆卸。运行ZimaOS系统，亦支持自定义Linux发行版安装。

Rocky Linux推出可选安全仓库加速补丁获取

Rocky Linux发布可选安全仓库，用于提前获取关键安全补丁。针对Dirty Frag、Fragnesia等漏洞，该仓库允许在RHEL官方未发布修复前推送更新。用户可通过命令sudo dnf --enablerepo=security update启用。此机制不改变默认更新路径，仅作为可选加速通道，提升系统响应速度。

Cloud Hypervisor 52新增对AMD SEV-SNP虚拟机支持

Cloud Hypervisor 52发布，新增对AMD SEV-SNP安全虚拟机的支持，可在KVM上基于EPYC处理器启动加密虚拟机。支持测量启动及安全嵌套页功能。修复了VirtIO-Block异步I/O路径的use-after-free漏洞，新增iommufd/vfio-cdev设备直通、多连接TCP热迁移、支持IO_uring的异步QCOW2后端，以及vCPU线程的新调度选项。版本可通过GitHub获取。

Linux 7.1-rc4新增对多款Logitech蓝牙键盘支持

Linux 7.1-rc4新增对Logitech Signature K650、MX Keys S、K950、Keys-To-Go 2、Pop Icon Keys等型号的支持。通过更新logitech-hidpp驱动，实现完整HID++功能，包括电池管理、固件升级及高级配置。同时，内核合并多项HID核心补丁，强化输入数据sanitization，防范恶意输入设备攻击。相关变更已集成至Linux 7.1-rc4发布版本。

Vulkan 1.4.352引入NVIDIA专属扩展VK_NV_cooperative_matrix_decode_vector

Vulkan 1.4.352发布，引入NVIDIA专属扩展VK_NV_cooperative_matrix_decode_vector。该扩展扩展了VK_NV_cooperative_matrix2的解码回调功能，支持单次调用解码多个矩阵元素。针对量化权重格式通常以组形式存储的特点，此改进提升解码效率，减少函数调用开销，优化性能。NVIDIA已推出对应Windows（596.54）和Linux（595.44.08）的Vulkan beta驱动，支持该功能。

新AMD Dynamic EPP功能在Linux 7.1中暴露出性能问题

Linux 7.1中新增的AMD Dynamic EPP功能在早期使用中暴露出性能异常。该功能根据电源状态自动调整EPP值，但存在未解决的性能问题。开发者已提交补丁，移除Kconfig默认启用选项，需通过amd_pstate.dynamic_epp=1内核参数手动开启。相关修复包括改进错误处理、允许在状态未变更时写入动态EPP。预计Linux 7.2版本将恢复默认启用。

MSI Claw配置驱动v2补丁提交至Linux内核邮件列表

MSI Claw配置驱动（hid-msi-claw）的v2补丁已提交至Linux内核邮件列表，代码约600行。该驱动由Derek Clark主导开发，基于Denis Benato与Zhouwang Huang的前期工作，支持在Linux系统中调整游戏手柄模式、M键行为及重置功能。开发过程中，Claude Code（claude-sonnet-4.6）参与了初始代码审查。驱动当前处于主线合并前的测试阶段，旨在提升MSI Claw系列手持设备的Linux兼容性。

Raindrop推出开源工具Workshop支持本地AI代理调试

Raindrop AI推出开源工具Workshop，支持开发者本地调试与评估AI代理。该工具以轻量级SQL数据库文件（.db）存储所有操作轨迹，包括token、工具调用和决策过程，实时同步至本地仪表板（默认localhost:5899）。支持macOS、Linux、Windows，可通过一行命令安装，或基于Bun运行时从GitHub构建。具备“自愈评估循环”功能，可自动读取错误轨迹并修复代码。兼容TypeScript、Python、Rust、Go等语言，集成Vercel AI SDK、OpenAI、Anthropic、LangChain、LlamaIndex、CrewAI等框架，适配Claude Code、Cursor、Devin、OpenCode等编码代理。采用MIT许可证，保障开源与数据自主性。发布当日提供限量实体周边，需执行特定“drip”命令领取。

Cerebras Systems上市首日股价翻倍，市值达1000亿美元

Cerebras Systems在纳斯达克上市，首日股价达350美元，接近其185美元IPO价格的两倍，市值在数小时内突破1000亿美元。公司通过出售3000万股股份筹集55.5亿美元。其第三代Wafer-Scale Engine-3（WSE-3）芯片含4万亿晶体管、90万计算核心、44GB片上内存，面积为Nvidia B200芯片的58倍，内存带宽为2625倍。公司于2024年8月推出云推理服务，2025年云收入达1.516亿美元，同比增长94%。与OpenAI达成200亿美元算力合作，获10亿美元工作资本贷款及3340万股期权。2026年3月与AWS签署协议，在其数据中心部署CS-3系统，采用解耦推理架构。公司运营加州、俄克拉荷马州、加拿大数据中心，计划拓展国际。2025年营收达5.1亿美元，较2023年7870万美元增长。非GAAP净亏损7570万美元，毛利率降至39%，主要因数据中心成本上升。面临TSMC代工依赖、客户集中度高及基础设施扩张挑战。

Claude Code引入/goals功能分离任务执行与评估

Claude Code引入/goals功能，将任务执行与评估分离。用户定义目标后，每步操作由评估模型（默认Haiku）检查是否达成条件。若未满足，代理继续运行；达标则记录并清除目标。该机制避免代理过早终止，提升可靠性。目标需包含可测量结果、验证方式及约束条件。相比其他平台需手动配置评估节点，Anthropic提供默认集成方案，减少对外部可观测系统依赖。Google ADK等也支持类似模式，但需开发者自行设计逻辑。此方法适用于测试通过、构建成功等确定性任务，对需设计判断的复杂任务仍需人工介入。

Avada Builder WordPress插件存在两个严重漏洞

Avada Builder WordPress插件存在两个漏洞，影响约100万活跃站点。CVE-2026-4782为任意文件读取漏洞，需订阅者权限，可读取wp-config.php等敏感文件，获取数据库凭证。CVE-2026-4798为无认证SQL注入，需曾启用并已禁用WooCommerce插件且其数据表未清除。攻击者可借此提取密码哈希等信息。安全研究员Rafie Muhammad通过Wordfence漏洞赏金计划报告问题，分别获3386美元和1067美元奖励。官方已发布3.15.3版本修复全部问题，建议用户立即更新。

微软Edge浏览器将停止启动时加载明文密码

微软Edge浏览器将停止在启动时将保存的密码加载至内存明文。此前，安全研究员Tom Jøran Sønstebyseter Rønning发现，Edge在启动时会解密所有存储的凭据并长期驻留于内存，即使未使用。该行为被证实可被拥有管理员权限的攻击者利用，通过工具提取其他用户密码。尽管微软最初称此为“设计使然”，但已于2026年5月15日宣布，未来版本将不再在启动时加载明文密码。该修复已部署于Edge Canary渠道，并将在后续更新中推送至所有支持版本（Build 148及以上）。

REMUS infostealer演变为MaaS平台，聚焦会话窃取

REMUS infostealer从2026年2月至5月持续活跃，演变为恶意软件即服务（MaaS）平台。早期侧重浏览器凭证窃取、Discord与Telegram令牌抓取，回调率高达90%。3月起引入工人追踪、日志统计、重复过滤与Telegram交付优化。4月增加SOCKS5代理支持、反虚拟机开关、游戏平台目标与IndexedDB收集功能，涵盖1Password、LastPass、Bitwarden。会话持久化成为核心，支持恢复流程与代理辅助令牌恢复。该活动展示结构化开发周期、运营可视化仪表板与多操作员协作。重点从基础凭证窃取转向已认证会话捕获与密码管理器数据提取，反映网络犯罪向维持直接访问环境的趋势。

微软推出云驱动恢复功能自动回滚故障驱动

微软推出云驱动恢复功能，可自动回滚通过Windows Update分发的故障驱动。该功能基于硬件开发中心的驱动船运评估，当驱动被判定存在质量问题时，系统将直接触发回滚至前一稳定版本或可用最佳版本，无需硬件厂商或用户干预。恢复通过现有Windows Update基础设施完成，不需新增客户端工具。测试期为2026年5月至8月，正式启用从9月起。此前微软已宣布将定期移除旧版驱动以降低安全风险。

微软紧急通告Exchange零日漏洞被利用

微软发布紧急通告，指出Exchange Server存在高危零日漏洞（CVE-2026-42897），攻击者可通过伪造邮件在用户打开Outlook网页版时执行任意JavaScript代码。该漏洞影响Exchange Server 2016、2019及订阅版，利用跨站脚本（XSS）实现远程代码执行。目前尚未提供永久性补丁，但微软已通过Exchange应急缓解服务（EEMS）为在本地部署的服务器自动应用临时缓解措施。管理员可使用最新版Exchange本地缓解工具（EOMT）手动部署缓解方案，命令为：`.

EOMT.ps1 -CVE "CVE-2026-42897"`。启用EEMS或运行缓解脚本后，可能影响OWA打印日历、内联图片显示及轻量版界面功能。微软计划在后续更新中修复此问题，但仅对参与Period 2 ESU项目的客户开放Exchange 2016和2019的更新支持。

Subnautica 2 Early Access销量破两百万

Subnautica 2 Early Access在发售12小时内售出超两百万份，首小时销量达一百万。游戏登陆PC与Xbox Series via Steam、Epic Games Store、Microsoft Store，支持Game Pass。峰值并发玩家数达65.1万人，Steam平台单独达46.7万人。Twitch峰值观看人数41.3万人，位居全球第一。YouTube Live达10.9万人峰值，位列游戏类首位。续作采用Unreal Engine 5，含新外星生态系统，新增最多四人合作模式。

《Momento》将于2026年6月登陆多平台

游戏《Momento》将于2026年6月登陆PlayStation 5、Xbox Series、Switch 2、Switch及PC平台。Xbox Series版本为新增发布信息。游戏由Silver Lining Interactive发行，Fat Alien Cat与Nomo Studio开发。核心玩法为自由装饰房间，通过选择保留物品影响剧情走向，支持多结局与创意模式。可互动元素包括宠物、灯光、书籍等。游戏采用温馨画风，支持昼夜变化与多种场景切换。Steam页面已开放预购。

《My Merry May with be》remaster版将登陆PS4

《My Merry May with be》remaster版将于6月25日登陆PS4平台，同步推出Switch版本。游戏包含2002年首发的《My Merry May》、2003年续作《My Merry Maybe》，以及新增的“Beginning”“Metempsychosis”“Epilogue”三段剧情。本作由MAGES.发行，为科学幻想题材的视觉小说合集，支持数字下载。官方已发布新宣传片。

《Expelled from Paradise: The Stellar Angel》宣布登陆Switch与PC

视觉小说《Expelled from Paradise: The Stellar Angel》宣布登陆Switch与PC平台，将于今年冬季发售。游戏由Toei Animation发行，Studio51开发，支持英文与日文。故事承接剧场版动画《Expelled from Paradise》，以科幻题材为背景，通过文字叙事与沉浸式演出展开剧情。游戏将采用全规模视觉小说形式呈现。

《One Move Away》将于5月28日登陆多平台

游戏《One Move Away》将于5月28日登陆PS5、Xbox Series、Switch 2、Switch及PC（Steam）平台。新增Switch 2与Switch版本，支持第一人称解谜叙事玩法。玩家将操控三位角色，通过整理物品展开三个交织的故事线，体验搬家过程中的情感变化。游戏包含20余关卡，采用简约操作与温馨美术风格，强调个性化打包方式与情绪化叙事。

《Moss: The Forgotten Relic》宣布2026年夏季发售

Polyarc宣布《Moss: The Forgotten Relic》将于2026年夏季登陆PS5、Xbox Series、Switch 2、Switch及PC平台。游戏整合了前作《Moss》与《Moss: Book II》的剧情，以沉浸式故事书世界为背景，玩家将引导小鼠英雄Quill穿越被自然侵蚀的废墟王国，解决手绘风格的环境谜题，探索隐藏秘密。新增功能包括“智能跟随”镜头系统、重制过场动画、全部“暮光花园”DLC内容及“跳过战斗”可访问性选项。游戏基于Steam页面信息，支持多平台同步发布。

《Marvel Rivals》开发细节披露：聚焦快速进入战斗

NetEase Games与Marvel Games联合开发的《Marvel Rivals》在2026年GDC Festival of Gaming上披露开发细节。项目核心目标为实现“快速进入战斗”体验，团队聚焦于降低新手门槛。开发中采用跨区域协作模式，全球社区管理覆盖多语言支持。玩家反馈机制嵌入开发流程，推动内容迭代。游戏基于Unity引擎构建，支持PC与主机平台同步发布。角色设计融合原作设定与动态技能系统，强调视觉表现力与操作流畅性。上线前完成超120次内部测试，重点优化网络延迟与匹配算法。

Velotric Discover 3电动自行车发布

Velotric Discover 3电动自行车搭载定制中置电机与Shimano Cues电子套件，配备扭矩传感器，实现更自然的助力响应。采用8速后变速系统，齿轮间距合理，换挡顺畅。支持Class 1、2、3三类法规模式，通过按钮一键切换，throttle仅在Class 1和3时禁用，符合法律要求。标配液压碟刹、UL认证电池，续航60-80英里（约100公里）。配备前后挡泥板、后货架、可调前避震及减震座管，提升舒适性。车把控制器含七键操作区，支持转向灯与手机App联动，集成Find My定位功能。屏幕信息清晰，设置同步于车载与手机端。重量约60磅（27公斤），适合城市通勤。提示：扭矩感应器会频繁建议换挡，无法关闭。

AMD将改进版FSR 4超分辨率技术扩展至旧款GPU

AMD将改进版FSR 4超分辨率技术扩展至旧款GPU。2026年7月起，RDNA3及RDNA3.5架构的显卡（如RX 7000系列）将支持该功能，包括Radeon 890M、8060S集成显卡。2027年初，RDNA2架构显卡（如RX 6000系列、Steam Deck GPU）也将获得支持。该技术需适配INT8硬件，而非RDNA4的FP8格式，可能导致性能下降10%至20%。驱动更新将提供官方支持，部分游戏可强制启用FSR 4。

零日漏洞YellowKey可绕过Windows 11 BitLocker保护

零日漏洞YellowKey可绕过Windows 11默认BitLocker加密保护。攻击者通过含自定义FsTx文件夹的USB设备，物理接入目标机后，按Ctrl键进入Windows恢复环境，即可在数秒内获得CMD命令行访问权限，直接读取加密磁盘内容。该漏洞利用Transactional NTFS机制，使一个卷上的FsTx目录影响另一卷的WinRE启动流程，导致winpeshl.ini被篡改，跳过BitLocker恢复密钥验证。微软已确认调查此问题。该漏洞仅影响TPM-only配置的BitLocker，建议启用PIN或BIOS密码增强防护。

Cisco报告Q3营收158亿美元并宣布裁员近4000人

Cisco报告 fiscal Q3 2026 营收为158亿美元，同比增长12%。公司宣布裁员少于4000人，占总员工基数不足5%，生效日期为5月14日。裁员与资源重新分配至硅、光学、安全与AI领域相关。Cisco预计最高产生10亿美元税前支出，其中4.5亿美元计入FY ’26 Q4。本财年AI基础设施销售额达53亿美元，预计订单达90亿美元，营收达40亿美元。受影响员工将获得按比例发放的奖金及一年内访问Cisco U学习项目的权利。

Project Zero披露Pixel 10 0-click漏洞链

Project Zero披露针对Pixel 10的0-click漏洞链。Dolby解码器漏洞（CVE-2025-54957）在Pixel 10上通过更新内存偏移实现复用，利用dap_cpdp_init函数绕过RET PAC保护。原用于Pixel 9的BigWave驱动未在Pixel 10中存在，取而代之的是VPU驱动，该驱动直接暴露Chips&Media Wave677DV芯片的MMIO寄存器接口。其mmap处理函数未校验映射大小，允许用户空间映射超出范围的物理内存，可直接访问内核镜像。因内核固定物理地址，无需扫描即可定位。利用此漏洞仅需5行代码实现任意内核读写，完整exploit开发耗时不足一天。该漏洞于2025年11月24日报告，71天后在2月安全公告中修复，较此前同类问题响应更快。项目组指出，尽管修复速度提升，但驱动层仍存在严重安全缺陷，需加强代码审计与安全开发实践。

13,000份技术手册被数字化上传至互联网档案馆

13,000份来自2015年仓库抢救行动的技术手册已被数字化并上传至互联网档案馆。该收藏涵盖1940年代至2000年代的技术文档，排除HP与Tektronix材料，后者由其母公司独立扫描。数字化由个人捐赠者与业余无线电通信数字图书馆（DLARC）资助，后者承担了无线电相关手册的费用。扫描仍在进行中，提供全文搜索与下载功能。项目正在进行最后筹资，以完成全部数字化工作。

纯OCaml实现的CCSDS协议栈在轨成功启动

2026年4月23日，纯OCaml实现的CCSDS协议栈“Borealis”在低地球轨道成功启动。该系统部署于DPhi Space的ClusterGate-2载荷模块，采用端到端加密与后量子密钥轮换机制。协议栈覆盖从物理层到Bundle Protocol的安全扩展，所有数据以BPv7格式封装并经BPSec加密。卫星通过文件系统模拟延迟容忍网络，命令与遥测数据以加密包形式存储和传输。系统使用ML-DSA-65后量子签名算法，支持空中密钥更新（OTAR），为首次公开在轨演示。飞行代码基于OCaml 5.3.0，静态链接，体积5-10MB，运行于Arm SoC平台。后续将引入OxCaml编译器分支，通过栈分配优化降低每包处理延迟至9纳秒，消除垃圾回收压力。核心组件源自MirageOS，具备类型安全、形式化验证与跨平台一致性。

Zenith：基于Pan-STARRS数据的实时本地天文馆

Zenith 是一个实时本地优先的固定视口天文馆，基于夏威夷 Pan-STARRS 望远镜2010–2014年采集的数据。通过约180倍放大，视场缩小至约4.33角分（相当于一粒米在手臂长度处的视角），使地球自转导致的星空运动在30秒内横跨屏幕。系统使用Leaflet.js实现图像瓦片与坐标网格叠加，依赖STScI服务器直接加载Pan-STARRS图像，不存储用户位置数据。星体名称来自SIMBAD数据库，坐标网格精度为0.5角分。图像经白边去除与强噪声滤波处理，但中等亮度恒星仍存在过曝问题，绿色光斑难以修复。项目采用纯客户端JavaScript实现，无服务器组件。

新书揭示Steve Jobs在NeXT时期的领导历程

Steve Jobs从1985年至1997年领导NeXT Computer，期间虽硬件项目失败，但推动了软件重大进展。公司率先采用面向对象编程，开发了首个在NeXT电脑上运行的应用商店。其操作系统成为苹果现代系统的基石。Jobs在此时期转向软件，学习纪律与市场契合。他还收购Pixar，通过尊重创作自主权取得成功，促成《玩具总动员》问世并实现IPO。NeXT的遗产在于其对苹果操作系统演进的基础作用及对软件开发实践的影响。

亚马逊员工为虚增AI使用率创建冗余任务

亚马逊员工被要求提升AI使用率，部分人通过创建无实际用途的AI代理来虚增AI令牌消耗。内部工具MeshClaw允许员工在本地运行AI模型，有员工利用其特性生成冗余任务以满足使用指标。尽管公司称无统一AI使用考核标准，也未设立内部排名，但多名匿名员工表示，管理层仍在关注使用数据，导致行为扭曲。该现象与另一款类似工具OpenClaw引发的安全问题存在关联，后者曾因失控导致用户邮箱被清空。

DwarfStar 4（DS4）基于DeepSeek-v4-Flash模型实现高效本地推理

DwarfStar 4（DS4）基于DeepSeek-v4-Flash模型，采用2/8比特混合量化技术，在96GB至128GB内存设备上实现高效本地推理。项目发布一周内获11.5万次浏览，开发周期仅一周，依赖近期本地AI技术积累与模型优化。支持多场景专用版本，如ds4-coding、ds4-legal、ds4-medical，按需加载。当前已具备替代云端主流模型的实用能力，支持向量引导增强交互自由度。后续计划包括质量基准测试、集成编码代理、家庭硬件CI环境搭建、多平台移植及分布式推理（串行与并行）。

whichllm工具自动推荐适配本地硬件的大模型

工具名为whichllm，可自动检测硬件配置并基于实时基准测试数据，为用户推荐适配本地设备的最优本地大模型。支持NVIDIA、AMD、Apple Silicon及CPU-only环境，依据VRAM容量、推理速度、模型规模与多源评测分数综合评分。推荐结果包含模型名称、参数量、量化格式、基准得分与每秒生成词数（t/s）。支持命令行模拟不同GPU配置，提供一键运行与Python代码片段功能。数据来源包括LiveBench、Chatbot Arena ELO、Open LLM Leaderboard等，采用证据分级机制过滤虚假或继承性评分。支持GGUF、AWQ、GPTQ、FP16等多种格式，输出可直接用于脚本集成。项目采用MIT许可证，通过uv、pip或Homebrew安装。

NanoTDB：专为边缘设备设计的嵌入式时序数据库

NanoTDB 是一个专为资源受限设备（如 Raspberry Pi、边缘节点、IoT 网关）设计的嵌入式时序数据库，无运行时外部依赖，所有数据存储于单一根目录下的普通文件中。核心架构包含 Engine、Database 三层存储：WAL（写前日志）、Catalog（指标注册表）、Data 文件（压缩页）。数据通过 Line Protocol 格式写入，支持整数与浮点类型，首次写入确定类型，后续禁止混用。WAL 采用紧凑 v2 格式，热路径仅需 11 字节，支持按天/月/年分区，数据文件为不可变压缩页，S2 压缩率可达 3–4 倍。引擎启动时自动重放 WAL 恢复内存状态。支持查询范围、批量导入导出、滚动聚合（rollup），可配置保留策略与持久性级别（strict/balanced/throughput）。提供 nanotdb 服务端与 nanocli 命令行工具，兼容 VictoriaMetrics 查询协议。

苹果M5芯片上首次公开macOS内核内存破坏漏洞利用

苹果M5芯片上首次公开的macOS内核内存破坏漏洞被成功利用。该漏洞链针对macOS 26.4.1（25E253）系统，从普通用户权限出发，通过正常系统调用实现本地提权至root。攻击依赖两个漏洞及多项技术，运行于启用MIE（内存完整性强制）硬件保护的裸金属M5设备上。攻击过程由团队在四天内完成，工具开发由Josh Maine主导，Bruce Dang发现初始漏洞，Dion Blazakis参与协作。Mythos Preview模型协助识别漏洞并加速开发。该 exploit为首个公开的MIE环境下macOS内核攻击实例。完整技术报告将在苹果发布补丁后公布。

Codex现已接入ChatGPT移动应用

Codex现已接入ChatGPT移动应用，支持iOS和Android设备。用户可通过手机远程连接本地或远程开发环境，实时查看终端输出、测试结果、代码差异及截图，完成审批、指令调整与任务推进。支持通过SSH连接企业级远程环境，实现跨设备协同。新功能包括程序化访问令牌、钩子（Hooks）及HIPAA合规支持，适用于企业工作区。所有计划用户均可使用预览版，Windows移动端连接功能即将上线。

NGINX开源版本存在关键堆缓冲区溢出漏洞

CVE-2026-42945为NGINX开源版本0.6.27至1.30.0及NGINX Plus R32至R36中的关键堆缓冲区溢出漏洞，源于ngx_http_rewrite_module的两阶段处理缺陷。攻击者可利用rewrite指令中含?的重写规则，通过构造特定URI触发缓冲区溢出，实现未授权远程代码执行。漏洞利用通过跨请求堆布局（heap feng shui）篡改ngx_pool_t的清理指针，指向伪造的ngx_pool_cleanup_s结构，在池销毁时调用system()执行任意命令。修复版本为NGINX 1.31.0、1.30.1及对应NGINX Plus补丁版本。PoC工具包含poc.py和setup.sh，需在Ubuntu 24.04.3 LTS环境下运行Docker容器进行测试。

2026年开源安全进入“剥削开采期”

2026年开源安全进入“剥削开采期”，LLM驱动的自动化扫描工具批量发现代码漏洞。Metabase报告每月安全提交量从10例增至每周10例，多数为低危问题，但质量显著提升。漏洞发现者多通过AI生成报告，部分以SaaS服务形式推广扫描结果。开源项目面临持续高压，需立即修复所有漏洞，因任何缺陷均可能被快速复现。用户应假设依赖库每季度均有新漏洞披露，强化依赖监控、频繁更新、最小权限原则及多层防御机制。企业需警惕源码泄露风险，闭源项目亦受威胁。长期看，漏洞暴露加速推动代码安全性提升，但短期将带来高强度维护压力。

Anthropic发布Claude for Legal开源项目

Anthropic发布Claude for Legal开源项目，提供覆盖商业、公司、隐私、产品、雇佣、诉讼、AI治理、知识产权等领域的法律工作流插件。项目包含20余个具体功能模块，如供应商协议审查、DSAR响应、专利侵权筛查、合同修订追踪、合规提醒等。所有插件支持通过Claude Cowork或Claude Code直接安装，亦可通过Managed Agents API部署至企业内部系统。核心能力包括基于实践模板的个性化配置、与iManage、DocuSign、CourtListener等15种法律系统集成的MCP连接器，以及支持Word/Excel输出的文档处理功能。项目采用Apache 2.0许可证，代码以Markdown和JSON格式组织，无需编译。

Mullvad VPN出口IP存在可预测性风险

Mullvad VPN分配出口IP具有可预测性。其基于WireGuard密钥，每1–30天轮换一次。测试显示3,650个公共密钥在9个服务器上仅产生284个唯一IP组合，远低于8.2万亿种可能。IP选择使用种子随机数生成器，密钥作为种子，池大小为边界。由于Rust的random_range函数特性，相同种子在不同池中产生成比例IP位置，形成可推断比率（如~81st百分位）。这允许通过IP日志关联用户身份。工具可估算浮点范围，实现基于IP集合的去匿名化。用户可通过限制服务器切换频率和强制密钥轮换来降低风险。

Tesla Wall Connector固件降级保护被绕过

Tesla Wall Connector固件更新机制在版本24.44.3中引入ratchet检查，防止降级。但其bootloader（boot2）不强制执行该检查，仅验证签名与CRC。攻击者通过以下步骤绕过：1) 写入有效固件至被动槽并运行0x201设置分区布局；2) 重新运行0xFF00擦除已验证固件但保留分区表；3) 写入旧版已签名固件至同一槽；4) 通过0x202重启。由于分区表完整，bootloader启动旧固件，规避反降级保护。Tesla已在后续OTA更新中修复该漏洞。

七个新稳定内核发布修复CVE-2026-46333

Linux内核7.0.8、6.18.31、6.12.89、6.6.139、6.1.173、5.15.207、5.10.256发布。均包含对CVE-2026-46333的修复补丁，该漏洞由Qualys安全团队报告，Jann Horn于2020年提出修复方案。已公开PoC利用代码。部分版本含其他漏洞修复。建议用户及时升级。

“高达 SPRING 2026”发布会公布多项企划

“高达 SPRING 2026”发布会公布多项企划：《机动战士高达 SEED FREEDOM ZERO》将作为剧场版上映；4月7日被日本周年纪念协会正式认定为“高达日”；《新机动战记高达W》将推出新影像，时长较长；2027年1月将在幕张国际展览中心举办“GUNDAM-Con”，以“与粉丝共同创作”为核心理念；2029年东京国立博物馆将举办“富野由悠季作品展（暂定名）”；初代《机动战士高达》重制版预计2029年发售；等身独角兽高达雕像将于2026年8月底结束台场展出；真人电影版《GUNDAM（暂定）》由万代南梦宫影视工作室、Netflix、传奇影业联合制作，吉姆·米柯担任导演。

“金海豚×好游快爆游戏开发大赛”正式启动

2026年“金海豚×好游快爆游戏开发大赛”启动，设八大奖项，总奖金超百万元。最高奖为最佳游戏奖，金奖15万元，银奖12万元，铜奖10万元，提名奖1万元。其他奖项包括最佳创意奖（8万元）、最佳人气奖（5万元）、最佳学生奖（3万元）、海峡之星特别奖（3万元）。报名期为2026年5月15日至6月15日，开发期21天，主题于6月16日公布。参赛作品将获千万级曝光、真实用户反馈、上架快速通道及AI智能体运营支持。

《文字游戏世界》首波音乐联动上线

《文字游戏世界》上线首波音乐联动，新增12首来自《节奏医生》《苏丹的游戏》《三相奇谈》《活侠传》的原声音乐。玩家可在关卡编辑器中调用这些曲目，为自创关卡增添音乐元素。同步推出的“多重语奏”专属关卡已开放，玩家可进入虚拟音乐舞台，通过DJ点播或吧台特调体验经典BGM氛围。开发团队Team9表示，后续将推进更多游戏IP联动内容，持续扩展“文字宇宙”。

办公室转椅竞速游戏《Need for Seat》Steam页面公开

办公室转椅竞速游戏《Need for Seat》Steam页面已公开。游戏由Deadleg Production开发，玩家可操控办公椅、总裁椅、电竞椅等不同型号，在办公室走廊、超市等场景进行竞速。驾驶员体型影响过弯灵活性与最高速度，需搭配合适椅子以优化性能。游戏支持多角色选择，强调“椅子”与“驾驶员”的组合策略。目前游戏尚未公布具体发售日期。

视觉小说《乐园追放 -The Stellar Angel-》2026年冬季发售

视觉小说《乐园追放 -The Stellar Angel-》定于2026年冬季发售，登陆Nintendo Switch与Steam平台。本作为2014年动画电影《乐园追放 -Expelled from Paradise-》的后日谈，延续原作世界观。制作团队包括导演水岛精二、编剧虚渊玄及角色设计斋藤将嗣，配乐由NARASAKI负责。续作剧场版《乐园追放心之共鸣》将于2026年11月13日上映，主创阵容一致。游戏主线剧情与角色设定将逐步公开。

《宝可梦官方全国图鉴1996-2026》8月7日发售

书籍《宝可梦官方全国图鉴1996-2026》由Over-lap出版，B5开本，448页，全彩印刷，8月7日发售，定价2750日元（含税）。收录自1996年系列诞生至2026年3月底的1025种宝可梦，包含属性、分类、身高、体重、特性、隐藏特性及图鉴资料等最新数据，并标注英文名，解释“超级进化”“极巨化”等术语。

Xbox精英手柄3原型机曝光：新增滚轮按钮

巴西国家电信监管机构Anatel泄露的文件显示，Xbox精英手柄3疑似原型机配备可拆卸电池，方向键设计优化，底部新增两个未知用途的滚轮按钮。手柄还引入全新配对按钮，支持本地与云模式切换，旨在降低Xbox云游戏串流延迟。图片及文档信息来自Tecnoblog，尚未有官方确认。

国产类银河恶魔城《神陨之地》Steam发售，国区售价30元

国产类银河恶魔城游戏《神陨之地》已登陆Steam，国区标准售价30元。游戏采用正统类银河恶魔城架构，支持四段跳、瞬身、守御等五类神力系统，角色机动性高，战斗强调连续压制与技能衔接。提供简单、标准、折磨及可跳过四种难度选项，地图探索节奏快，能力解锁反馈直接。内置Boss Rush模式，支持多维度难度调节，玩家可自由调整敌人血量、敏捷与技能频率。游戏以人性化设计为核心，降低重复跑图负担，提升探索流畅度。

《最终幻想战略版：伊瓦利斯编年史》将支持简体中文

Square Enix宣布，《最终幻想战略版：伊瓦利斯编年史》将于6月17日推出v.1.5.0免费更新，新增简体中文、繁体中文及韩文支持。游戏支持Nintendo Switch™ 2、Nintendo Switch™、PlayStation®5、PlayStation®4、Xbox Series X|S及Steam平台。此前游戏销量已突破100万份。

《极限竞速：地平线6》媒体均分92，获“不得不玩”评价

《极限竞速：地平线6》媒体均分92，获“不得不玩”评价。游戏由Playground Games开发，以日本为背景，含550辆以上真实车辆，地图细节丰富，画面表现达系列新高。IGN给出满分，称赞其运行稳定、驾驶手感出色；GameSpot评8分，认可其视觉体验与多样化玩法；LevelUp给9.5分，肯定其对日本场景的还原与探索乐趣。部分评测指出驾驶深度不足，对日本汽车文化呈现较浅，但整体仍被视为当前最成熟的街机赛车游戏之一。