夜雨聆风
API泄露、私钥泄露、源码泄露…AI时代,安全饭碗还在?
2026最佳开源项目
别误会,这不是什么开源社区的年度评选,而是「年度大型翻车现场」——所谓的“最佳开源”,全是本该锁在保险柜里的核心资产,被企业用各种离谱到没边的操作,免费送给了全世界。
2026开年,安全圈的“开源盛宴”,全是人祸
1. 高通Android BootLoader:手机的“启动锁”,直接焊死了“开锁键”
高通骁龙8至尊版的安卓引导加载程序(ABL),相当于你家防盗门的锁芯——它是手机启动的第一道防线,没它验证,谁都别想碰系统。
结果2026年3月,安全圈直接曝出惊天漏洞:这锁芯根本没做数字签名校验!等于你家防盗门从外面一拉就开,不管你有没有钥匙。小米、一加、realme等几乎所有用高通芯片的安卓机型,直接集体“裸奔”:BootLoader想解就解,刷机、root、植入恶意程序,全无障碍。
更离谱的是,这不是什么复杂的0day漏洞,是低级到不能再低级的代码逻辑错误——等于锁厂造了个锁,忘了装锁舌。
2. *60Claw共享SSL证书:把自家泛域名的大门钥匙,塞在安装包里送用户
安全龙虾不安全,360把“保险柜钥匙”拴在门把手上
*60新推出的AI安全工具「*60安全龙虾」,直接把 *.myclaw.*60.cn的泛域名SSL证书私钥,明文打包进了公开安装包。
懂行的都知道:SSL私钥是HTTPS加密的命根子。有了它,你可以直接伪造*60的域名,监听所有用户的流量,甚至给用户钓鱼等。最后只能紧急吊销证书,给全网安全人送了个大乐子。
3. *米Mone API密钥:把AI接口的钥匙,直接贴在输入法的“关于”里
*米新推出的输入法,用户点几下版本号,就能直接看到某AI模型的API密钥。
等于人家直接把AI大模型的调用权限给你了,想怎么用就怎么用,花的还是*米的钱。更离谱的是,这个密钥没有做任何权限限制,外部直接就能调用,等于*米给全网免费开了个AI接口。这哪是输入法,这是AI公益项目啊
4. Claude Code CLI:51万行核心代码,直接裸奔给全世界看
Anthropic的Claude Code CLI,是当下最火的AI编程工具核心,结果因为npm包的map文件泄露,51万行源代码直接被全网扒了个底朝天。
等于闭源软件直接被“开源”了,所有逻辑、漏洞、甚至潜在的后门,全暴露在阳光下。AI时代最火的编程工具,核心代码直接裸奔,这操作,也是没谁了。
期待后续国产自研的企业级AI编程工具 (:
AI时代,网安饭碗没了?
很多人说:AI时代,网安的活会被AI替代,网安人要失业了?
别扯了。
AI时代,企业疯狂砸钱做AI产品,抢市场、抢风口,把“安全”两个字踩在脚下。 AI产品上线比抢春运票还急,安全测试?那是什么,能当KPI吗? 网安团队提的风险?直接打回,“别耽误AI产品上线”。
结果呢?一个个低级到离谱的漏洞、泄露,最后还是要网安人来擦屁股,来补窟窿,来扛锅。
你说网安饭碗没了?
因为AI产品越复杂,迭代越快,漏洞就越多,风险就越大,就越需要专业的网安人来把关,来兜底。
网安人的饭碗,从来不是靠AI抢来的,是靠一个个漏洞、一个个泄露事件,靠一次次给企业擦屁股,靠一次次把企业从悬崖边拉回来,撑起来的。 AI时代,网安人不是要被AI替代,而是要成为AI时代的「守门人」,守住企业的安全底线,守住用户的隐私,守住整个数字世界的秩序。
所以,来学习
