夜雨聆风
2026年04月13日 · 星期一💼 IT行业每日必读
你项目里用的Axios,被人投毒了。这不是演习,是国家网络安全通报中心发的那种红头通知。与此同时,AI融资这边也炸了:生数科技一口吞下20亿,开源中国拿下数亿,钱往头部聚的速度比你们老板画饼还快。
今日要闻速览
国家网络安全通报中心:供应链投毒集中爆发——Apifox、Python库LiteLLM、JavaScript库Axios同时被攻击,Axios投毒因大量AI应用依赖直接波及终端用户。「做交付的,赶紧查你项目的依赖链,别等甲方查你」
生数科技完成近20亿元B轮融资,阿里云领投——这家做多模态大模型的公司宣布"通用世界模型"战略,钱在AI视频生成赛道加速向头部集中。「估值到这个量级,说明视频大模型的窗口期快关了」
开源中国完成数亿元C+轮融资——上海国投先导基金领投,重点投向信创核心技术、AI基础设施、自主可控。Gitee在金融、政务、军工行业市占率领先。「信创这条线又有弹药了,做政企的别装没看见」
第二批625亿元国补资金已下达——超长期特别国债支持消费品以旧换新,今年两批已累计超千亿。「钱到位了,跟客户聊以旧换新方案的时候腰杆可以硬一点」
阿里调整AI组织架构,千问"深度研究"新增财经分析模块——「阿里在AI上开始从大而全转向场景落地,这个信号比模型参数重要」
精选解读
1. Axios被投毒:你项目里的定时炸弹响了
事件: 国家网络安全通报中心4月10日通报,近期集中爆发多起供应链投毒攻击事件,攻击目标包括API研发工具Apifox、Python开发库LiteLLM以及JavaScript HTTP库Axios。其中Axios投毒事件影响最广——因为OpenClaw等大量AI应用及插件生态直接依赖该库,风险通过依赖链向终端用户蔓延。攻击可造成凭据遭窃取、远程代码执行和敏感数据泄露。
跟你的关系: Axios是前端和Node.js项目的标配,你给甲方做的那个系统十有八九用了它。这次投毒不是什么小众库出事,是基建级组件被黑了。更关键的是,AI应用的依赖链比传统软件深得多——你用的AI工具可能间接拉了三层依赖,投毒的包藏在你根本没看过的地方。做交付的项目经理、做方案的销售,客户的合规和安全部门迟早会问你这事儿。
行动建议:
做开发的:今天就跑一遍 npm audit和依赖树扫描,重点查Axios和相关传递依赖的版本做销售/售前的:赶紧把"供应链安全"写进你的解决方案话术里,这周就能跟客户提——“最近国家通报的供应链投毒您看了吧?我们方案里是怎么防护的……” 做甲方的:问问你的供应商有没有做过软件物料清单(SBOM),没有的话,这是个好时机要求他们补上
2. 生数科技20亿+开源中国数亿:钱在往两个方向跑
事件: 4月10日同一天,两条融资消息同时炸出来——生数科技完成近20亿元B轮融资(阿里云领投),开源中国完成数亿元C+轮融资(上海国投先导基金领投)。生数科技做的是多模态通用大模型,旗下Vidu视频模型已经实现声画同出和电影级画质,公司宣布进军"通用世界模型"。开源中国的Gitee代码平台则在金融、政务、军工等关键行业市占率领先,本轮融资重点投向信创核心技术突破和AI基础设施建设。
跟你的关系: 两条融资看似无关,其实指向同一个趋势——钱不再撒胡椒面了。AI视频生成的钱在往头部集中,信创的钱在往有政企渠道的基础设施商集中。如果你还在给客户讲"大模型赋能一切"这种空话,你会发现客户的预算已经精准地流到了两类玩家手里:要么是生数这种能拿出世界模型演示的头部,要么是开源中国这种卡住信创咽喉的基础设施。中间层的生存空间在收窄。
行动建议:
做AI应用集成的:赶紧跟生数这类头部大模型厂商建立合作渠道,客户要的不是"我们也能做大模型",是"我们用的就是最顶的那家" 做政企IT的:Gitee在信创赛道的卡位已经很明显了,如果你有政府、金融、军工客户,把Gitee-DevSecOps方案摸一遍,这可能是你下一个竞标亮点 做独立开发的:别想着自己做大模型了,世界模型这种20亿起步的游戏跟你没关系,找准细分场景做应用层才是出路
3. 低空经济正式成为"新兴支柱产业"
事件: 低空经济连续三年被写入政府工作报告,2026年首次被明确为"新兴支柱产业"。蓝色向量(eVTOL企业)半年完成4轮融资,近两月融资近2亿元;地瓜机器人完成1.5亿美元B2轮融资,B轮累计2.7亿美元。与此同时,深圳"中国造"全尺寸人形机器人完成全身复杂动作演示,全球首个多尺度脑机接口AI算法云平台在深圳发布。
跟你的关系: "新兴支柱产业"这五个字意味着什么?意味着政策、资金、试点项目会像开闸一样涌出来。低空经济不是一个技术概念了,是一个有预算、有考核、有时间表的产业方向。做信息化集成的人注意——低空经济的基础设施建设(通信、导航、监控、调度平台)全是IT活儿,而且这些项目现在还处于"甲方不太懂、供应商也不太懂"的阶段,恰恰是最好切入的窗口。
行动建议:
做智慧城市/数字政府的:立刻研究低空经济相关的信息化需求——低空监控平台、飞行调度系统、eVTOL运维管理平台,这些都将是新一轮招标的重点 做机器人赛道的:智元机器人发布Genie Envisioner 2.0、中鼎股份人形机器人下线,具身智能的落地在加速,关注制造业和服务业的机器人替代方案机会 想找新赛道的:低空经济+机器人的交叉领域(比如无人机巡检机器人、低空物流调度)现在还是蓝海,先占坑比后卷价强
这周有活儿
🔥 625亿国补已到账——超长期特别国债第二批消费品以旧换新资金下达,做智能硬件、办公设备、IT基础设施替换的,这周就可以跟客户确认以旧换新补贴方案了
🔥 供应链安全成刚需——国家网络安全通报中心刚发了投毒预警,这周所有甲方安全部门都会过一遍自家依赖链。如果你有DevSecOps或供应链安全方案,赶紧预约客户的技术负责人聊
🔥 信创赛道弹药充足——开源中国融资+Gitee在金融政务军工的市占,说明信创替代的钱和信心都在,这周关注各省市信创招标信息
🔥 低空经济政策落地期——被明确为新兴支柱产业后,各地低空经济试点项目的招标预计会加速,盯一下发改委和工信部的项目公示
年会倒计时
5天后,楚享会年会见。
楚享会以 IT 厂商和企事业单位为中心、以经验分享经济为发展理念,聚焦企业数字化转型实践经验分享,帮企事业单位解决数字化转型实践中的痛点,使企业少走弯路,帮助更多 IT 从业者、生涯发展得更快更好更强,为企业和IT服务商牵线搭桥,共建共赢。
