∞ AMD被指拖延四个月修补漏洞 事后改规则拒付一万美元漏洞奖金
近日,一名安全研究员指责AMD在处理其上报的安全漏洞时做法不当,不仅用时124天才完成修补,还在事后修改漏洞奖励计划条款,以此为由拒绝向其支付原本应当获得的一万美元奖金,引发业界广泛质疑。
据报道,这名网名为“MrBruh”的安全研究员在自己新组装的游戏PC上频繁看到AMD更新程序控制台窗口弹出,因而对该自动更新软件产生怀疑,并着手进行逆向分析。 分析结果显示,虽然AMD更新程序会通过HTTPS协议获取更新列表,但真正用于下载更新可执行文件的链接却使用了明文HTTP,且在执行前并未进行有效的证书验证或签名校验。 这意味着,只要有攻击者能位于同一网络环境或控制上游链路,就有机会通过中间人攻击将AMD的更新文件替换为恶意可执行程序,而更新程序本身拥有高权限运行,从而可能导致远程代码执行风险。
MrBruh于1月27日发现漏洞,并在2月6日通过AMD的漏洞奖励计划正式提交报告。 AMD方面随后却以该问题属于“计划范围之外”为由关闭了报告,理由是这涉及中间人攻击场景且影响的是“可选工具”,因此不予发放奖金。 然而,此后该漏洞被正式编号为CVE-2026-40677,并获得CVSS 4.0 7.7分的评分,表明其严重程度并不低。 从报告到修补和解禁的全过程持续了124天,披露禁令于6月9日结束。
在AMD初步否定之后,MrBruh公开发表了技术分析文章,引发Hacker News等社区关注。 随着舆论发酵,AMD内部的产品安全事件响应团队(PSIRT)重新与他取得联系,表示问题仍在评估中,并要求其暂时下架公开文章,称其披露行为似乎不符合漏洞奖励计划的相关条款。
硬件媒体Gamers Nexus的调查显示,AMD随后对其漏洞奖励计划的规则措辞进行了调整,新条款明确规定:即便某一安全报告被认定为不符合奖励条件或不在计划范围内,研究员也不得在未取得AMD书面同意的情况下公布漏洞信息。 换言之,AMD被指控是先以旧规则拒绝漏洞有效性和奖金,再在事后修改规则,并回过头来指责研究员违反了一条当时尚未写入的条款。
目前,AMD在其官方安全公告中已公开承认这一漏洞的存在,并在文中对MrBruh给予了署名致谢。 公告称,AMD Ryzen Master 2.14.3、AMD µProf 5.3以及 AMD Management Console 14.0.0 等版本已经完成缓解。 AMD对研究员表示,现在所有更新通信已全面改用HTTPS,并在更新过程中加入签名验证流程。 不过,MrBruh在复测后指出,他虽确认了HTTPS的使用,但在下载的可执行文件上仅发现了CRC32校验,而这并不构成安全意义上的加密签名验证。
此外,研究员还提到,更新程序中另有一处重定向相关的缺陷,可能导致其自身更新过程无法正常进行。 基于以上问题,MrBruh建议用户彻底卸载当前AMD相关软件,并直接从AMD官网手动下载最新版本,以降低潜在风险。
这起事件不仅暴露出AMD在自动更新机制设计上的安全隐患,也引发了关于大型厂商如何对待安全研究群体的讨论。 外界批评认为,从最初将问题排除在奖励计划之外,到事后修改规则限制披露,AMD的处置方式可能损害安全社区对其漏洞披露体系的信任。
∞ 苹果更新开发者设计资源文档 详解Liquid Glass最新视觉规范
苹果已在开发者网站更新一套涵盖 iOS 27 与 macOS Golden Gate 等主要平台的最新设计资源,为开发者适配新版 Liquid Glass 视觉风格提供完整参考。这批资源细化到了按钮、箭头、对话框等界面元素,方便第三方应用在外观上更贴近系统原生体验。
与 2025 年在 macOS Tahoe 首次推出 Liquid Glass 时类似,苹果此次同样通过设计资源库集中发布最新规范,开发者可以直接查阅并复用各种 UI 组件,以在应用中实现与系统一致的层次感与透明质感效果。文章指出,所有与新版 Liquid Glass 相关的改动,基本都已经被整合进这批新文档之中。
在图标方面,资源库详细展示了全新的 Liquid Glass 图标样式,包括此前在发布会上重点演示的 Apple 地图应用新图标,开发者可以看到其具体的分层效果与光影处理方式。苹果自家应用图标在库中提供了三种版本:默认版、深色版以及 Light Clear 版本,为不同外观模式下的呈现提供标准参考。同时,苹果还给出了最新通知角标(红色圆点)的样式规范,便于第三方应用统一提醒视觉风格。
目前,这批设计元素以 Sketch 资源库形式提供,恰逢苹果 WWDC 周接近尾声时更新。过去苹果也曾提供 Figma 版本的资源库,因此外界普遍预计这次也会在稍后时间推出对应版本,但目前尚未发布具体时间表。
需要注意的是,苹果暂未为 visionOS 27、watchOS 27 和 tvOS 27 提供对应的 Liquid Glass 设计资源库,相关平台仍处于缺位状态。不过,在同一设计资源站点中,苹果已经为 visionOS 提供了用于创建视差或沉浸式图像的 Photoshop 工具,以及适用于 Apple Pay 支持标识等各种徽章资源。此外,还包括从 Apple Watch 到 iPhone 在内的各类硬件设备模板,方便开发者进行界面与宣传素材的布局设计。
字体与图标方面,开发者可以在该资源库下载多种苹果官方字体,以及 Apple 自家 SF Symbols 符号库。SF Symbols 目前已收录超过 7000 个图标,涵盖分享等大量通用功能符号,是构建与系统统一人机界面语言的重要基础资源之一。通过本次更新,苹果将 Liquid Glass 的一系列视觉调整系统化地公开给开发者,为即将到来的 iOS 27 和 macOS Golden Gate 应用生态奠定了更统一的设计标准。
了解更多:
∞ SpaceX上市点燃航天投资热潮 塞拉太空、公理航天等筹备IPO
万众期待的时刻终于到来!SpaceX 于周四正式敲定 IPO 发行价,每股 135 美元,对应企业估值约 1.75 万亿美元。这场长达半年、打破诸多传统上市规则的资本狂欢迎来收官。若本次 SpaceX 上市行情火爆,航天赛道很快将迎来一波上市潮。
2023 年塞拉太空公司技术人员调试 “追梦者” 太空飞机
两名知情人士透露,塞拉太空(Sierra Space)已启动 IPO 筹备工作,最快今年就能挂牌上市。这家总部位于科罗拉多州的卫星企业 2021 年从航空巨头塞拉内华达集团分拆独立,最新估值 80 亿美元,上市将让早期投资方快速实现大额退出。
不止塞拉太空一家航天企业计划紧随 SpaceX 登陆资本市场。
知情人士称,总部位于洛杉矶、专注商业空间站研发的瓦斯特太空(Vast Space),正在洽谈上市事宜,上市窗口定在今年年末或明年年初。该企业 2021 年成立,今年 3 月完成 5 亿美元融资,资金用于研发近地轨道、月球、火星轨道空间站。
另有消息表示,总部位于得州、致力于打造全球首个商用空间站的公理航天(Axiom Space),目标在一年内完成 IPO。公司去年估值 25 亿美元,投资方包括卡塔尔投资局、小唐纳德・特朗普旗下 1789 资本。
不过上述几家企业的具体上市时间均未最终敲定。
航天企业扎堆谋划上市并不出人意料:火箭制造、卫星发射赛道都需要巨额资金持续投入。
以塞拉太空为例,截至去年年底,为美国国家航空航天局研发 “追梦者” 太空飞机的 17 亿美元融资已消耗大半。今年 3 月,在科图资本、贝莱德、泛大西洋投资集团的支持下,公司再融 5.5 亿美元,业务重心转向美国太空军等国防军工订单。
SpaceX 本次 IPO 募资规模达 750 亿美元,创下历史纪录,为其余民营航天初创企业打开面向公众投资者的融资窗口。
SpaceX 的上市还为后续航天标的定下了估值营收倍数标准 —— 这一估值溢价极高,该公司去年全年营收尚不足 190 亿美元。投行可参照这一倍数为后续航天企业定价,但其余公司几乎不可能拿到马斯克旗下企业同等的估值溢价。
若 SpaceX 上市后股价大涨,资金将涌向其他航天标的。这一热潮不仅会吸引二级市场股民,私募投资机构也会加大对航天初创企业的投入,尤其青睐由 SpaceX 前员工创立的创业公司。
反之,若 SpaceX 上市后股价表现疲软,市场对航天赛道的投资热情将快速降温。数年前大批航天企业借壳 SPAC 特殊目的收购公司上市,众多普通投资者因此亏损,前车之鉴犹在。
当下航天赛道投资站在分水岭:要么像火箭一飞冲天迎来黄金时代,要么泡沫破裂、行情急转直下。
∞ 英国监管机构警告:亚马逊、eBay仍在售可能致命的假冒手机充电器
英国消费者权益组织 Which? 近日警告称,尽管相关风险早在七年前就已被揭露,但“可能致命”的山寨充电器仍在多个主流电商平台上流通。 该机构最新调查从七个在线市场购入了 15 款 USB 手机充电器,结果发现这些产品缺少关键标识和信息,因而不符合在英国合法销售的要求。
Which? 表示,这批充电器分别来自亚马逊(包括 Amazon Haul)、AliExpress、B&Q Marketplace、Debenhams Marketplace 和 eBay 等平台。 调查人员认为,这些产品做工极差,使用者可能面临触电风险,其中有一半以上还存在起火甚至爆炸隐患。
在被购买的充电器中,有一款被伪装成苹果 USB-C 35W 电源适配器,外包装上还印有苹果标志,以误导消费者。 但测试显示它实际上是假货,使用仅 10 秒后就出现电弧声,而这种现象可能引发火灾、爆炸或触电事故。 该充电器制造商甚至在内部塞入建模黏土,以增加重量,让它看起来更结实、更像正品。
Which? 还指出,并非所有涉事充电器都存在明显技术故障,但部分产品缺少必要的包装、标识和文件,因此同样无法在英国合法销售。 该组织目前正与一批安全机构和企业联手推动新法规,要求在线市场对其上架商品的安全性承担责任。
Which? 同时呼吁英国政府尽快动用去年 7 月通过的《产品监管与计量法》相关权力,通过次级立法向电商平台施加安全要求,但相关进展目前仍然滞后。 该机构提醒消费者,无论身处哪个国家,购买充电器时都应仔细核实来源,只选择正品,以降低火灾风险。
了解更多:
∞ Kimi发布并开源Kimi K2.7 Code编程模型:平均token消耗减少30%
6月12日,月之暗面Kimi发布并开源Kimi K2.7 Code编程模型。官方表示,内外部基准评估显示,Kimi K2.7 Code相比K2.6模型显著提升了长上下文编程场景的指令遵循能力、长程编程任务的性能表现,并且大幅改善了在长程任务中的过度思考倾向,平均token消耗减少30%。
在评估代码能力的内外部基准测试中,K2.7 Code相比K2.6性能显著提升:Kimi Code Bench v2提升21.8%、Program-Bench提升11%、MLS Bench Lite提升31.5%。
在评估Agent自主化执行能力的Kimi Claw 24/7 Bench、MCP Atlas和MCP Mark Verified基准测试中,性能提升10%左右。
K2.7 Code即日起通过Kimi API开放平台和Kimi Code Plan提供服务。1M token标准输入和输出价格与K2.6一致(6.5元和27元),缓存输入价为1.3元。此外,6月15日将推出K2.7 Code高速版,输出速度约为普通版5-6倍(常规场景约180 token/s,短上下文达260 token/s),定价为普通版的2倍。
