Risky Business #839
1. TeamPCP 入侵 GitHub:端到端的失败
本期最大的新闻来自 GitHub。这家微软旗下的代码托管平台确认发生了安全事件——TeamPCP,这个在 2026 年持续肆虐供应链的攻击组织,通过一个被植入后门的 VS Code 扩展成功入侵了 GitHub 的内部网络。
事件的讽刺之处在于每一层都归微软所有:Microsoft Marketplace(扩展市场)、VS Code(代码编辑器)、GitHub(代码托管平台)。正如 James Wilson 所说:"This is brilliant vertical integration of the failure stack, if nothing else."
"It's just so end to end and yet still this degree of wreckage can happen. They own the failure end to end." — James Wilson
GitHub 确认有 3,800 个内部仓库被盗。当被问及这个数字时,GitHub 发言人的回应解锁了企业公关用语的新高度——这个数字是 "directionally consistent" 的。这个措辞在节目中引发了长时间的讨论和嘲笑。
2. 3,800 个仓库的连锁反应
GitHub 强调"所有被入侵的仓库都是内部仓库,客户数据未受影响"。但问题不止于此。James 的比喻一针见血:
"Give a man a fish, he eats for a day. Give a man 3,800 repos, he hacks for who knows how long." — James Wilson
TeamPCP 以从每次入侵中学习并应用到下一次行动而闻名。3,800 个内部仓库中包含的信息——内部工具、基础设施配置、安全实践——将为他们的下一次行动提供丰富的情报。
这个故事还延伸到 Grafana 和 TanStack 的供应链攻击。Grafana 事后发布的更多细节揭示了一些令人不安的问题:为什么 CI 工作流拥有访问所有仓库的凭证?为什么 TanStack 依赖没有被固定到特定版本?
Patrick 总结道:"These shouldn't be terminal sins, but this is the contemporary sort of threat environment in 2026." AI 驱动的攻击工具意味着任何弱点都会被系统性地利用——这在以前是不可想象的。
3. AI 漏洞发现:Mythos 的真实数字
Anthropic 发布了一份关于 Mythos(其自动化漏洞发现系统)的后续报告。关键数字令人瞩目:超过 10,000 个软件漏洞被发现,其中约 2,800 个被标记为严重级别。
James 承认这些数字比他预期的要大。在 Mythos 尚未公开可用的情况下,人们一直在质疑这到底有多少是营销炒作。这些数字给出了一个明确的答案:这是真实的。
但 Adam Boileau 提出了一个更深层的担忧——代码编写的速度远远超过了漏洞修复的速度:
"The velocity of number of lines of code being written on this planet has wildly increased in the last two years. And the velocity of bugs that we fix has also wildly increased. But the first number is going up a lot faster than the second." — Adam Boileau
Patrick 引用 The Grugq 在之前节目中的评论来为讨论画上句号:"Infinity minus 270 is still infinity. You cannot patch yourself to secure software." 20 年来这个观点没有改变。
4. Apple 内存完整性:最令人失望的漏洞
当 Mythos 被发现绕过了 Apple 的内存完整性保护时,最初的震惊是巨大的。人们预期这会是一个复杂的漏洞利用——可能是 PAC 绕过或内存标记攻击。
现实令人失望。补丁发布后,在研究人员能够发表成果之前,有人逆向分析了补丁,发现只是一行汇编代码的修改。漏洞本身?一个复制内存例程中的整数溢出。
"I think this was actually my biggest disappointment of the week. And the bar is actually pretty high for that this week." — James Wilson
这引出了 Patrick 的团队的亲身经历。他们用 Claude 和 Codex 开发的内部工具出现了一个看似无害的 bug:从列表中删除文章后再拖拽排序,会导致不可预测的效果。这不是安全漏洞——但安全漏洞就是这么来的。AI 生成的代码中的逻辑缺陷,恰恰是 AI 不擅长发现的那类问题。
5. 开源漏洞洪流
CISA 代理局长 Nick Anderson 公开表达了对开源项目处理 AI 漏洞发现洪流能力的担忧。这期节目中讨论的一个关键动态是:有资金支持的活跃项目(如 Authentik)尚能应对,但大多数开源项目是"已完成"的——偶尔修复一个 bug 是可以的,但面对 AI 工具工业化规模的漏洞发现则完全没有准备。
James 的点评虽然是在喝咖啡之前写的,但切中要害:"Every paragraph I was like: yes, but WHAT? Give me something tangible." Anderson 指出"美国没有在应该投资的地方进行投资",但除了问题陈述之外,几乎没有提出任何具体解决方案。
6. CISA KEV 列表:开放的代价
CISA 上线了一个网页表单,允许安全从业者报告在野利用的漏洞,以便加入 KEV(已知被利用漏洞)列表。Patrick 认为这是个好主意——美国政府的可见度有限,如果某家银行正在被 KEV 列表中不存在的漏洞攻击,应该有途径上报。
但分诊是一个巨大的挑战。Adam 指出,KEV 最初的价值在于它是一个"短小精悍"的列表。当列表膨胀到 20,000 条时,它就不再是有效的优先级工具。
"If the triage process is good, this will be a good thing. And my goodness that is a hell of a load bearing IF right now." — James Wilson
7. MCP 与 AI 基础设施的安全债
Akamai 的研究人员扫描了 300 个 MCP 官方服务器,聚焦认证、授权、工具和后端集成。他们发现的漏洞类别令人震惊:SQL 注入、认证绕过、过期依赖——这些都是本不该在 2026 年出现的安全问题。
James 提出了一个根本性的批评。MCP 协议本身是有价值的——它让 LLM 知道工具的输入/输出 schema。但是 "MCP 服务器" 这个概念,即创建新的 API 表面来封装已有的 API,是一个错误的转向。
"This is moving too fast and not enough checks in it. It's creating these mistakes like SQL injection. This is the class of things that we should have not been creating for a long time now." — James Wilson
Starlette(被 FastAPI 等服务广泛使用的 Python 底层库)的漏洞也同样简单:改变 Host header 的一个字符就能使所有认证处理失效。这些组件被 AI Agent 大量使用来构建后端服务,而基础层面的安全性却被忽视了。
8. DigiCert 入侵事件
Airlock Digital 的 CTO Daniel Schell 详细复盘了 DigiCert 的安全事件。攻击路径是这样的:客服代表通过 Web Chat 被说服运行一个恶意屏保文件 → 攻击者获得 DigiCert 门户的客服代表视图 → 找到已完成验证但尚未激活的 EV 证书订单 → 获取 IV(初始化向量)码 → 使用 DigiCert 的软件激活硬件令牌。
关键的技术细节:DigiCert 从不持有硬件令牌的私钥,但他们控制着播种和启动令牌的过程。这就是被劫持的环节。
"The biggest surprise is that DigiCert could be vulnerable to something like this. they are such an important part of the internet sort of trust." — Daniel Schell
最令人担忧的泄露证书属于 Tencent Technology(腾讯)。Airlock 在 VirusTotal 上找到了使用这个证书签名的恶意软件样本,文件名伪装成 mstsc.exe(Windows 终端服务客户端),零个杀软检出。
"To me it looks like they used their best cert in the best way." — Daniel Schell
9. 微软自摆乌龙
与 DigiCert 事件几乎同期,发生了一件完全独立但同样令人震惊的事:5 月 3 日,约 4% 的 Windows Defender 用户收到一个名为 "CertDigEnt" 的木马检测。这个检测不仅没有针对性,反而将 DigiCert 的根证书(Short-lived Intermediate CA 和 Trusted Root G4 CA)从受影响机器的证书存储中完全移除。
结果是:浏览中断——用户无法访问使用 DigiCert 证书的网站;代码签名失效——所有 DigiCert 签名的软件无法通过信任链验证。幸运的是,微软在环部署中及时发现了错误,问题没有扩散到所有用户。
微软的事后报告含糊其辞:"是的,这是个错误,我们将来会增加更多验证。"——没有解释具体发生了什么。
10. Airlock 的意外韧性
这个故事有一个意想不到的结局。Airlock 的 allow-listing 产品出于性能原因缓存了成功执行的记录。当 Microsoft Defender 删除 DigiCert 根证书时,Airlock 客户没有受到影响——之前已验证通过的文件仍在缓存中。
全球范围内只有一两个客户询问是否受到影响。Daniel 将此归功于"工程上的巧合",但也指出即使没有缓存,Airlock 也提供了多种恢复路径。
节目还介绍了 Airlock V7 中的新功能——Application Context(内部代号 Bin Chicken)。这是一项启发式应用识别技术,可以自动扫描企业文件存储,识别正在运行的应用及其依赖关系。"Bin Chicken"的命名来源于澳洲白鹮——这种鸟因在悉尼翻垃圾桶而闻名。
11. 更多故事
Chromium Fetch API Bug——Google 意外将一个有 42 个月历史的私有 Chromium bug 设为公开。头条新闻暗示 Google 放任漏洞不管,但 Adam 的分析表明这根本不是安全漏洞,而是浏览器 Service Worker 按预期工作的行为。Chromium 团队指出这个 API 每天全球仅使用约 17 次。
npm 社交工程 + Karoona Exploit Kit——攻击者精心策划社交工程获取一个 npm 包的控制权,然后植入 Karoona Exploit Kit——一个只影响 iOS 17.3 以下版本的古老漏洞利用工具包。Adam 将其比作"把法拉利引擎塞进现代 Excel"。
Discord E2E 加密 & Texas AG 起诉 Meta——Discord 宣布跨平台端到端加密。与此同时,Texas 总检察长起诉 Meta,声称 WhatsApp 的 E2E 是虚假宣传——唯一证据是一篇 Bloomberg 文章。Adam 指出,你总是必须信任通信平台的提供者——如果他们想看你的消息,他们可以做到,因为他们控制着你端点上的软件。
Trump Mobile 数据泄露——一位澳大利亚 IT 人士发现直接对象引用漏洞:订单号是连续的,任何登录用户都可以查看任意订单详情。
Kimswot 僵尸网络被捕——Brian Krebs 的人肉搜索导致在加拿大逮捕。OpSec 失败的原因:犯罪账户和包含真名的邮箱使用了相同密码。