微软的Recall功能再次出现安全隐患。安全研究员Hagenah开发的TotalRecall Reloaded工具能够提取Recall捕获的数据，包括文本、邮件和浏览历史。尽管微软进行了安全重设计，Hagenah认为保护措施仍存在漏洞，可能被恶意软件利用。微软回应称未发现漏洞，但Hagenah质疑Recall存储了过多敏感数据，安全性仍需加强。

CPUID官网于4月9日至10日遭到入侵，导致HWMonitor和CPU-Z的下载链接指向恶意软件。虽然安装包未被篡改，但用户需检查电脑安全。CPUID已确认并修复该漏洞。

Linux恶意软件常隐藏在BPF套接字程序中，通过特定数据包保持潜伏。研究人员利用符号执行和Z3定理证明器，自动生成触发恶意过滤器的数据包，从而显著缩短分析时间。BPFDoor是一个复杂的Linux后门，主要用于网络间谍活动。结合Z3和Python库scapy，研究人员能够快速构建有效数据包，提高安全分析效率。

现代软件供应链安全性面临严重问题，攻击者利用CI/CD系统的脆弱性传播恶意软件，盗取凭证发布恶意工具，影响数万开发者。解决方案包括消除静态凭证、实施短期身份验证和加强代码审查，必须将CI/CD系统视为生产系统以防止供应链攻击的扩大。

近期，LiteLLM和Telnyx的供应链攻击导致恶意软件通过PyPI包传播，窃取用户凭证。攻击者利用API令牌注入恶意代码。PyPI正在与安全研究人员合作，加快恶意软件的检测与处理。开发者应采用依赖冷却策略和锁定依赖以增强安全性。

发现未审核的建议影响支持的软件包。如果严重性评分不正确或缺少受影响版本，请建议编辑。2025年，社区的675项贡献提升了软件行业的数据质量。

三星的Galaxy Z TriFold手机在美国发售，但购买困难。作者通过eBay以$4,399购得，发现手机已被设置并要求SIM卡，无法继续设置。怀疑手机可能存在恶意软件，认为三星并不真正想出售TriFold，而是制造稀缺感。最终，作者感到失望，手中只剩一部昂贵的纸镇。

WhatsApp工程团队将媒体处理库重写为Rust，代码量从16万行C++减少至9万行，提升了内存安全性。此举源于2015年Stagefright漏洞，旨在处理不可信数据。新库“万花筒”能够检测可疑文件，提升性能和内存使用效率。Meta计划在公司内推广Rust，预计未来几年将加速采用。

多个安全机构分析指出，2026年1月，第三方网站7zip[.]com的下载链接被替换为恶意软件链接update.7zip[.]cloud，可能导致用户设备受攻击。建议用户从官网7-zip.org下载，以避免假冒网站风险。

黑客控制了1999年注册的域名7zip.com，假冒7-Zip分发恶意软件，利用受害者的IP地址作为代理，难以被检测。安全公司已更新病毒库以拦截该域名。

OpenClaw是一款流行的AI助手，但市场上出现了恶意软件，用户提交的“技能”插件存在安全隐患。研究发现，已有28个恶意技能和386个恶意插件被上传，可能窃取用户的加密资产。开发者正在采取措施，如要求用户至少拥有一周的GitHub账户才能发布技能。

WhatsApp推出基于Rust的新安全层，以增强对恶意软件的防护，提升媒体共享安全性，降低潜在漏洞风险，持续改进端到端加密和安全策略。

微软发布紧急安全更新，修复多个版本Office中的高危漏洞CVE-2026-21509，黑客可利用该漏洞部署恶意软件。Microsoft 365可自动更新，Office 2016/2019需手动修改注册表以降低风险。

微软误封了真实的MAS激活工具，用户需先禁用Windows安全防护才能激活。虽然假冒工具被拦截，但真实工具也受到影响。用户需谨慎确认域名，以防执行恶意软件。

2025年，Python包索引（PyPI）专注于安全性和用户体验的提升，发布了390万新文件和13万新项目。引入了增强的双因素认证和可信发布，处理了2000多起恶意软件报告，支持团队有效响应用户请求。组织功能持续增长，未来将进一步提升PyPI的安全性和可用性。