吴说获悉，据网络安全公司 Socket 披露，5 月 11 日，开源工具库 TanStack 旗下 42 个 @ tanstack/* npm包（共计 84 个版本）遭黑客恶意篡改。相关版本被植入了窃取 CI / CD 凭证的恶意代码，目标涵盖 GitHub Actions、AWS、Kubernetes 等核心环境，官方建议受影响用户立即轮换相关凭证。Socket 指出，此次事件属于正在扩大的“Mini Shai-Hulud”供应链攻击的一部分，目前开源 AI 平台 Mistral AI、自动化软件 UiPath 等多个知名命名空间也已确认受到波及。

OpenAI 也推出安全研究 AI 模型 GPT-5.4-Cyber，好消息是个人安全研究员经过身份验证后也可以申请使用。该模型经过微调可以用于发掘漏洞、修复漏洞、对恶意软件进行逆向等，模型安全边界比较宽松，可以帮助企业提高网络安全防御能力。查看详情：

欧盟中国商会（CCCEU）周三表示，欧盟拟通过逐步淘汰中国供应商的设备来加强网络安全，此举可能在未来五年内给欧盟造成超过4000亿美元的损失，其中近一半的损失德国将承担。 根据新的网络安全规则，欧盟计划逐步淘汰关键行业​​中“高风险”供应商的零部件和设备。中国电信巨头华为对此举表达不满，因为该公司也将受到波及。 北京方面希望从拟议规则中删除有关“构成网络安全隐患的国家”和“高风险”的定义条款，并于上周威胁称，如果欧盟不做出实质性修正，将采取反制措施。 毕马威会计师事务所受欧盟竞争与消费者委员会（CCCEU）委托进行的一项研究指出，欧盟在18个关键行业强制更换中国供应商，将在2026年至2030年间给欧盟造成3678亿欧元的损失。报告称，欧盟将不得不更换硬件、减记资产，并应对效率下降和数字化进程延缓等问题。 受影响最严重的两个行业是能源和电信，这两个行业是欧盟计划中的数字化和绿色转型的重要支柱。 6个欧盟成员国将面临超过100亿欧元的损失，分别是德国、法国、意大利、西班牙、波兰和荷兰。其中，德国的损失将高达1708亿欧元。 欧盟各国政府和欧洲议会目前正处于漫长的立法程序初期，该程序旨在使新规成为法律，而这一过程中很可能会出现修改。 欧盟委员会周一还建议限制欧盟资金用于涉及“高风险供应商”提供的电力逆变器的项目，欧盟委员会表示，这些项目可能会导致欧盟成员国的电网被远程关闭。

5月7日。Canvas （Instructure） 遭遇全球性宕机： Instructure（Canvas 母公司）正在应对一起重大网络安全事件，被黑客组织ShinyHunters 攻击/勒索。Canvas、Canvas Beta、Canvas Test 全部下线，全美包括哈佛、宾大、宾州州立、俄克拉荷马州立等几千所学校都受影响，已经有近一万人在 Downdetector 上报告问题。登录失败都是这个原因。 图二是黑客组织直接贴在 Canvas 页面上的勒索信。

硅谷的AI模型战争，目前主要在OpenAI和Anthropic之间？在最硬核、最前沿的Agent(智能体)执行力和长程规划(如网络安全渗透)方面，基本只有这两家的顶级模型能打。OpenAI的GPT-5.5 ，依然是“全能王”，在代码、数学和多模态整合(文字、声音、视频)，上保持着极高的市场占有率和品牌统治力。 Anthropic的Mythos，走的是“精英安全”路线。目前的行业数据显示，在新业务合同(尤其是金融、法律等对安全和上下文窗口要求极高的领域)中，Anthropic已经拿下了近70%的新份额，成为了OpenAI最大的威胁。OpenAI和Anthropic确实是硅谷最核心的双雄，但2026年的战况比以往更复杂。 Google的Gemini 3.1 Pro依然统治着长上下文(Long Context)领域，其2M甚至更高的上下文窗口在处理海量文档分析时仍有护城河。Meta的Llama 4的开源力量不容小觑。由于其推理成本极低且可私有化部署，大量不希望被闭源模型“绑架”的企业正在流向Meta的阵营。 亚洲金融(@AsiaFinance)分析，GPT-4o等老模型仅能处理基础侦察。现在的焦点已不再单纯是“谁更聪明”，而是“谁更便宜”。Perplexity等公司正证明，利用这些大模型可以实现极高的营收人效比(高营收、极低员人数)。随着Token消耗增加，AI的长程规划和复杂攻击链路能力呈指数级增长。网络安全攻防的逻辑正在被彻底重写。

国家网信办：“剪映”“猫箱”App及“即梦AI”网站存在未有效落实人工智能生成合成内容标识规定要求等问题，违反《网络安全法》《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》等法律规定。对上述网站平台采取约谈、责令改正、警告、从严处理责任人等处置处罚措施。

#讨论# Anthropic是绝对不会给中国的政府机构、银行等金融系统，以及一些大型网络平台服务商Mythos的访问权限的，假设Mythos真的有超强的网络安全攻击能力（可能被作为国家级的战略武器使用），那么中国该如何应对？

上个月在新加坡，卡内基国际和平基金会组织的一场闭门会议间隙，一名中国智库代表向 Anthropic 提出请求：希望开放其最强模型 Claude Mythos 的访问权限。 Anthropic 当场拒绝。 事件传回华盛顿后，白宫国家安全委员会高度警觉，将其视为中国在 AI 领域持续施压的信号。 Mythos 是 Anthropic 迄今最强模型，但不对公众开放。它在内部测试中自主发现了数千个零日漏洞，覆盖所有主流操作系统和浏览器，部分漏洞已存在长达 27 年。SWE-bench 验证评分 93.9%，前代 Opus 4.6 为 80.8%。 Anthropic 将其限定在「Project Glasswing」网络安全防御框架内，仅向约 40 家美英机构开放，合作方包括亚马逊、苹果、微软、英伟达、摩根大通等。 Anthropic 明确将中国列为「对抗性国家」（adversarial nation），Mythos 的受限发布将中国机构排除在外。 现实困境是，中国众多银行、能源企业和政府机构运行的底层软件，与 Mythos 发现漏洞的那些系统高度重叠。漏洞被发现了，但中国拿不到这张防御牌。 Mythos 发布后，奇安信、深信服、三六零等中国网安上市公司股价连续多日上涨，市场比任何声明都反应得快。IDC 预测中国 AI 网络安全行业规模将从 2025 年的 15.8 亿元增长至 2030 年的 593.5 亿元，增幅超过 37 倍。 与此同时，特朗普政府内部正围绕 AI 监管展开博弈。国安系统推动 AI 模型发布前由情报机构做安全评估，商务部想把评估权留在自己手里。 特朗普本周访华，AI 议题预计在讨论范围内。但大西洋理事会高级主任 Melanie Hart 提醒：此前拜登时期，中方在 AI 安全对话中主要是「收集美方信息，而非认真讨论 AI 防护」。 一个闭门会上的请求被拒，牵出的是一整条链：最强 AI 模型的武器化属性、中美技术脱钩的加深、以及中国关键基础设施在 AI 网安升级中被排除在外的现实。

A 社推出 #Claude# Opus 4.7，模型可以稳定处理长时间运行的任务以及严格遵循既定指令。 基准测试显示该模型在编码能力上已经领先于 GPT-5.4，不过与不公开的 Claude Mythos 模型相比仍然差很多，而 4.7 也同样内置严格的安全机制用来识别和阻止高风险网络安全用途的请求。 👉🏻

大盘在跌，servicenow和salesforce你们两个是什么意思哈哈哈哈。硬件股一片红（拿mu举个例子，盘前706，我看跌目标一个是daily ema 20 633（这个位置必有反弹），一个是更深一点回调到parallel channel上方突破回踩的位置580。软件股一部分在涨，一部分在跌。还有昨天说的网络安全也表现还行。 再说一些可以做波段的机会 $MU ：上面说的跌的第一目标633，第二目标580，都是机会。 $RKLB ：上周我123卖的很多人问我为什么不直接拿到spacex上市前，我很明确说了因为这周看回调，上周访华利好出尽sell the news，然后这周nvidia这个财报季最后一个最重要的财报也是利好出尽看回调到210。等回调看点位117，109和100这三个位置。到了后可以买然后拿到spacex上市前。6月12号目标位140左右，spacex上市前全跑。 $CRCL ：如果跌破daily ema 20 112.47，几乎是必补缺口100的位置的。上周四我也说了btc和circle周四clarity act通过后会sell the news，果然也跌了。下一步就是在缺口位置100抄底结合大盘和btc点位，大盘以标普为例第一目标7250，第二目标7070，7250 daily ema 20也是必有反弹。 还有太多股票的机会，我就先说这么多。Oracle， Microsoft，Marvell，nokia，ceg，Sofi，Hood还有很多我慢慢分享。