过去一年，开源供应链攻击模式发生变化，攻击者通过窃取API密钥等秘密发布恶意包。GitHub建议启用CodeQL审查工作流，避免在pull_request_target上触发工作流，并使用OpenID Connect令牌进行授权，同时与OpenSSF合作支持可信发布。未来将加速提升GitHub Actions的安全能力，确保开源安全。

数字海洋推出云安全态势管理（CSPM），提供无代理的仪表板视图，帮助团队识别风险、优先处理问题并快速修复。所有用户可享受无限免费扫描，付费用户可获得高级规则和自动化指导，从而简化安全管理，提高操作效率。

EmDash是一个开源CMS，旨在替代WordPress，解决插件安全问题。它使用TypeScript编写，支持无服务器架构，插件在独立沙箱中运行，确保安全性。EmDash兼容WordPress功能，但不使用其代码，允许开发者自由选择插件许可，并内置x402支付标准，方便内容创作者收费。

OpenClaw v2026.3.31 实现了从“默认信任”到“零信任”的安全模型，强化了权限控制和插件安全，确保所有操作必须经过授权，以提升系统安全性。

知名大模型工具LiteLLM遭遇供应链攻击，版本1.82.7和1.82.8被植入恶意代码，导致用户敏感信息泄露。攻击者通过篡改依赖工具Trivy窃取密钥并发布恶意包。维护者已删除受影响版本并更换所有密钥，建议用户检查和更换相关凭证，凸显软件供应链安全的严峻形势。

德国nanocosmos推出nanoStream Control，增强实时互动流的安全性，防止滥用和未经授权访问。该功能支持实时监控、异常检测和高级分析，帮助运营商优化流媒体质量和用户体验。

本文介绍了GitHub的安全工具，如秘密扫描、Dependabot和代码扫描，帮助开发者识别和修复代码漏洞。通过使用GitHub高级安全功能，用户可以有效管理依赖项并保护敏感信息，确保代码安全。

量子安全消息传递市场预计将从2024年的1.423亿美元增长至2034年的127.026亿美元，年均增长率为56.7%。北美市场占49.2%，软件应用占主导地位。人工智能在提升安全性方面发挥重要作用，企业需求推动市场发展，前景乐观。

随着Agentic AI的兴起，AI的自主性与失控风险并存。文章探讨了通过源头对齐、边界重构和结果保障来构建安全框架，以应对智能体自主行动带来的挑战，强调思维链监控和动态边界控制的重要性，以确保智能体在复杂环境中的安全运行。

openclaw-superpowers是一个提升OpenClaw智能体安全性和稳定性的技能库，旨在解决其运行中的缺陷。通过安全防护、资源控制和自我进化能力，智能体从实验品转变为可靠的生产级系统，确保长期稳定运行，避免资源浪费和安全风险。

Claude在90分钟内发现Ghost CMS和Linux内核的多个高危漏洞，显示出大模型在安全领域的快速进化。研究者Nicholas Carlini指出，AI的漏洞挖掘能力将改变安全格局，同时也带来新的安全隐患，需重视大模型的安全问题。

GitHub Agentic Workflows 通过隔离、受限输出和全面日志记录，确保智能体在 CI/CD 中安全运行。设计中嵌入安全性，采用分层架构和严格权限控制，以防止敏感信息泄露和不当操作。