小红花·文摘

密码管理器Bitwarden的CLI软件包在2026年4月23日遭到供应链攻击，黑客通过盗取开发者凭证发布了恶意代码。受影响用户需检查安装记录，立即卸载受影响版本，清除NPM缓存，并轮换所有可能暴露的机密信息。虽然被攻击的时间较早，受影响概率较低，但仍需谨慎应对。

密码管理器Bitwarden发布CLI软件包被黑公告持续时间1小时33分钟

蓝点网 ·

又是 npm 包投毒，密码管理器 Bitwarden CLI 中招（放心：本体安全）

小众软件 ·

开源密码管理器Bitwarden的CLI工具遭到供应链攻击，相关NPM包被植入恶意代码，可能窃取用户敏感信息。用户应检查CI日志并更换暴露的令牌。目前确认仅CLI工具受影响，其他版本未受影响。攻击者可能与俄罗斯黑客有关，但恶意代码在俄语环境中不会执行。

⚠️重要安全提醒：开源密码管理器Bitwarden CLI命令行工具遭到供应链攻击

蓝点网 ·

研究团队分析API中转站的安全性，发现多个付费和免费中转站存在注入恶意代码和窃取用户凭证的风险。测试结果显示，1个付费和8个免费中转站注入恶意代码，17个触碰了诱饵凭证，甚至窃取了以太坊资金。研究呼吁加强安全措施以保护用户隐私。

新论文揭示API中转站的恶意行为：注入恶意代码甚至窃取用户的ETH钱包密钥

蓝点网 ·

axios 又出事了：npm 两个版本被供应链投毒

小众软件 ·

从4.8亿下载量的 LiteLLM投毒事件，看 AI 基础设施安全攻与防 | 朱雀实验室

腾讯安全应急响应中心博客 ·

本文分析了OpenClaw在调用系统工具时的安全风险，特别是CVE-2026-28363漏洞。攻击者利用POSIX长选项缩写绕过了OpenClaw的安全白名单，成功执行恶意代码。建议通过版本升级、参数解析一致性加固和零信任沙箱环境来提升安全防护，确保AI系统的安全性。

OpenClaw安全实战系列二：白名单也防不住？复盘CVE-2026-28363授权绕过全过程

绿盟科技技术博客 ·

Apifox CDN 供应链投毒事件简单复盘

离别歌 ·

开源库LiteLLM遭黑客攻击，恶意代码窃取SSH、API等敏感凭据，影响范围广泛，已泄露数据超过300GB，潜在风险巨大。

AI开源供应链出现核爆级危机：LiteLLM库遭到投毒影响海量下游项目

蓝点网 ·

Trivy安全事件初步报告

The Apache Software Foundation Blog ·

维基百科遭到恶意JS攻击后临时进入只读状态事后调查发现恶意脚本已潜伏两年

蓝点网 ·

Windows 记事本爆出 8.8 分漏洞，专门针对 markdown 格式｜CVE-2026-20841

小众软件 ·

飞牛NAS(fnOS)严重安全漏洞(app-center-static)的分析及修复方式

ZhensJoke 飞云算 ·

当AI学会背刺：深度剖析Agent Skills的安全陷阱｜朱雀实验室

腾讯安全应急响应中心博客 ·

【白夜谈】连单机游戏也逃不过搜打撤的运营魔咒

游戏研究社 ·

React的关键“React2Shell”漏洞——您需要了解的内容以及如何升级您的应用

freeCodeCamp.org ·

本文介绍了UEFI Secure Boot的原理及创建支持Secure Boot的Live Linux USB的步骤，包括工具选择和常见问题解决。Secure Boot通过验证软件签名防止恶意代码入侵，传统Live USB可能因未通过验证而无法启动。推荐使用Rufus或Ventoy等工具，并选择支持Secure Boot的Linux发行版以实现安全启动。