Vercel于2026年2月3日推出开源软件漏洞赏金计划，邀请安全研究人员发现和修复漏洞，以保护开发者和用户。该计划涵盖所有Vercel开源项目，旨在通过奖励机制提升安全性。

一位用户在新购的Mac Studio M3 Ultra上升级MacOS Tahoe时遇到黑屏，无法进入恢复模式。经研究发现是安装程序错误导致崩溃。最终通过DFU恢复解决，但过程复杂，建议技术能力不足者寻求专业帮助。

NAS系统飞牛存在漏洞，用户反馈称可未授权访问所有文件。

谷歌威胁情报小组发现黑客利用WinRAR路径遍历漏洞进行攻击，该漏洞已在2025年7月的v7.13版中修复。许多用户未升级，导致攻击频繁。攻击者包括国家支持的团体和经济驱动的犯罪分子，通常通过诱饵文件投放恶意负载。

微软发布紧急安全更新，修复多个版本Office中的高危漏洞CVE-2026-21509，黑客可利用该漏洞部署恶意软件。Microsoft 365可自动更新，Office 2016/2019需手动修改注册表以降低风险。

思科在2024年收购Isovalent，以增强云原生能力。Isovalent以Cilium和Tetragon著称，前者优化Kubernetes网络，后者用于漏洞缓解。思科希望通过eBPF技术实现更灵活的网络安全，减少对传统防火墙的依赖，并提高补丁效率，计划将eBPF应用扩展至Windows等桌面设备，以提升整体安全性。

研究员Jenny Qu分析了过去20年Linux内核的125,183个修复，开发了AI辅助的漏洞预测工具。她发现69%的漏洞在一年内被发现，并且新工具能有效识别潜在问题，旨在帮助开发者更快定位漏洞。

新的VS Code漏洞允许通过恶意的tasks.json文件在代码编辑器中静默执行，开发者只需打开受影响的文件夹。安全专家警告，这可能导致代码库中的持久性威胁，攻击者可利用AI工具泄露敏感信息。

LiteSSL数字证书颁发机构发现安全漏洞，导致143份证书被吊销。该漏洞影响2025年12月29日后签发的证书，用户需检查证书状态以避免连接问题。漏洞已修复，LiteSSL可继续签发证书。

cURL创始人Daniel Steinberg宣布将于1月底关闭漏洞赏金计划，原因是AI生成的低质量报告泛滥，导致提交质量下降，维护者压力增大。他支持使用AI寻找漏洞，但反对无效报告，强调遵循使用规则。

Node.js项目更新HackerOne程序，要求漏洞报告的Signal评分至少为1.0，以应对低质量报告的增加。这一措施确保报告者有有效记录，同时允许新研究者有限提交。低于该评分者可通过OpenJS Foundation Slack联系安全团队。

GitHub安全实验室利用大型语言模型（LLMs）自动化分类安全警报，显著提高了效率。通过任务流框架，快速识别并修复了约30个真实漏洞，简化复杂任务，减少误报，提升审计准确性。

2025年10月13日，FearsOff的安全研究人员发现Cloudflare的ACME验证逻辑存在漏洞，影响部分WAF功能。该漏洞已修复，Cloudflare客户无需采取行动，且未发现恶意利用。漏洞源于ACME HTTP-01挑战路径的请求处理逻辑，Cloudflare已更新代码，仅在请求匹配有效挑战令牌时禁用安全功能。

开源混淆库uTLS存在高危指纹漏洞，可能导致代理流量被识别。该漏洞源于填充机制缺陷，建议用户立即更新至uTLS v1.8.2或更高版本，并暂停使用Chrome指纹功能。

Node.js中的一个bug导致使用async_hooks的应用程序在堆栈溢出时崩溃，而非抛出可捕获的错误。这影响了React、Next.js及所有使用AsyncLocalStorage的APM工具。修复已于2026年1月发布，建议用户尽快更新以确保服务可用性。