全球AI日报|Vercel因第三方AI工具遭入侵,供应链安全敲响警钟

全球AI日报 | 2026年4月20日（周一）Vercel因第三方AI工具遭入侵，供应链安全敲响警钟
💡 今日判断
AI工具正从”效率加速器”变成”攻击入口”。Vercel因接入的第三方AI工具OAuth被攻破导致数据泄露，这不是个例——当企业把AI嵌入核心工作流，每个AI集成点都是一个新的攻击面。安全团队需要立即审计所有AI工具的OAuth权限范围和数据访问边界。
⚡ 30秒速览
1. 🔴 Vercel确认安全事件：第三方AI工具OAuth被攻破，用户数据外泄
2. 💰 Cursor融资$20亿，估值超$500亿，AI编码赛道史上最大单轮
3. 🧪 Claude Opus 4.6→4.7系统提示词变化解析：新增Chrome/Excel/PPT Agent
4. ⚗️ 溴素瓶颈：中东冲突威胁全球内存芯片生产，韩国97.5%溴进口依赖以色列
5. 🤖 TRELLIS.2：图片转3D模型在Mac Silicon上运行，无需Nvidia GPU

—
🔥 头条：Vercel因第三方AI工具被入侵
云开发平台Vercel（Next.js母公司）4月19日确认安全事件。攻击源头：一个第三方AI工具的Google Workspace OAuth应用被攻破，黑客通过该入口进入Vercel内部系统。部分客户数据受影响，黑客声称正在出售窃取的数据。
为什么重要： 这是首个大规模”AI供应链攻击”案例。企业接入AI工具时授予的OAuth权限，正在成为新的攻击面。CEO Guillermo Rauch已公开事件细节并建议所有用户轮换密钥。

—
🤖 模型与能力
· Claude Opus 4.7系统提示词更新：Simon Willison逐行对比发现新增Claude in Chrome（浏览Agent）、Claude in Excel、Claude in PowerPoint三大工具，Claude Cowork可调用所有Agent。儿童安全段落大幅扩展· TRELLIS.2 图片→3D：开源项目实现Mac Silicon本地运行，无需Nvidia GPU。3D资产生成门槛进一步降低· Browser-use推出”证明你是机器人”CAPTCHA：为AI Agent设计的验证系统，Agent需证明自己是机器人才能访问API——反向CAPTCHA时代来了
🛠 产品与落地
· Cursor融资$20亿，估值超$500亿（CNBC 4/19）：AI编码赛道史上最大单轮。超Figma（$200亿）、Canva（$400亿），逼近Stripe。市场对AI原生开发平台的估值已脱离”工具”框架· Anthropic Claude Design（Opus 4.7驱动）：从提示词到设计原型一步到位，付费订阅者可用研究预览版· Playdate禁止生成式AI：独立游戏掌机Panic宣布游戏目录禁用AI生成的美术/音频/音乐/文本，仅允许AI辅助编码（需标注）
⚡ 基础设施
· 溴素瓶颈暴露内存芯片脆弱供应链：韩国DRAM/NAND制造依赖的氢溴酸气体，97.5%溴原料进口自以色列死海。中东冲突若升级，全球存储芯片产能将直接受限。新建转化产能需数年· HBM内存2027年底仅满足60%需求（The Verge）：算力瓶颈从GPU转向内存，AI训练/推理的内存带宽成为下一个卡脖子环节· 破产AI公司前CEO/CFO被控欺诈（Reuters 4/17）：AI创业泡沫的另一面开始清算
🌏 生态与格局
· Pro-Trump AI虚假账号泛滥社交平台（NYT）：数百个AI生成的”网红”账号在Instagram/TikTok/Facebook推动保守派中期选举议程，AI深度伪造+批量账号工厂成本越来越低· NSA获得Anthropic Mythos访问权：尽管被标记为供应链风险，美国情报机构仍接入了Anthropic的网络安全专用模型· SimpleClosure出售倒闭公司数据训练AI：催生”强化学习健身房”新产业，用真实企业数据构建模拟环境训练AI Agent