微软发布了 .NET 10 的紧急安全更新 10.0.7，以修复 Microsoft.AspNetCore.DataProtection 中的严重权限提升漏洞（CVE-2026-40372）。该漏洞可能导致攻击者篡改数据并提升权限。微软建议所有受影响的开发者立即更新。

A社的Claude Mythos模型遭到未经授权访问，Discord群组成员通过猜测命名规则和凭证成功进入该模型。虽然声称仅用于测试，此事件暴露了A社外包公司管理问题，可能引发安全隐患。A社已知晓并展开调查。

微软发布了.NET 10.0.7版的紧急安全更新，修复了一个评分为9.1的权限提升漏洞。该漏洞允许攻击者伪造身份验证Cookie，可能导致服务器被接管。微软建议所有使用.NET 10.0.0至10.0.6版本的用户立即升级。

Google的Zanzibar系统提供了一种统一的权限管理模型，克服了传统RBAC和ABAC在复杂权限关系下的局限性。Zanzibar通过关系元组存储，支持跨产品的权限共享，简化权限配置。其核心是关系基础访问控制（ReBAC），实现动态、细粒度的权限管理。Zanzibar设计强调一致性和性能，采用Zookie令牌确保权限检查的快照一致性，适用于协作型SaaS和多租户平台。

授权系统设计面临“角色爆炸”问题，RBAC模型在需求变化后难以应对复杂权限管理。本文分析了RBAC、ABAC和ReBAC三种模型的优缺点，强调混合模型的必要性，以适应动态授权和资源级控制的需求。选择合适的模型需考虑组织结构、合规性和性能等因素。

B2B SaaS 的权限模型复杂，涉及多层次的租户隔离和角色管理。每个企业客户拥有独立的员工和角色体系，需确保数据安全与审计。文章探讨了租户隔离模型、RBAC 和 ReBAC 的结合、超级管理员权限设计，以及行级和列级权限的实现，强调自助权限管理的重要性，并分析了 GitHub 和 Slack 的权限管理策略。

谷歌为 Google One 和 Google AI Pro 订阅用户推出 YouTube Premium 半价优惠，活动至2026年4月29日，适用于美国、加拿大、巴西、德国、法国和日本。用户需一次性年度订阅，且每月费用超过10美元。已有 YouTube Premium 订阅的用户需先取消后再订阅。

本文介绍了如何通过注册表修改关闭 Windows 11 连接 RDP 时的警告和默认隔离权限。用户可以选择使用 PowerShell 命令或手动编辑注册表来回滚到旧版安全设置，避免频繁手动授权。修改后无需重启系统即可生效，提升用户体验。

微软在2026年4月更新中增强了RDP远程桌面的安全性。首次打开RDP文件时会弹出警告，用户需手动授权权限。更新默认隔离剪切板、摄像头等设备，以防数据泄露。具有数字签名的RDP文件可记住权限，未签名文件需谨慎处理。

PostgreSQL 19引入了新的pg_get_*_ddl()函数，包括pg_get_database_ddl()、pg_get_role_ddl()和pg_get_tablespace_ddl()，用于生成重建数据库、角色和表空间的DDL语句。这些函数支持格式化输出和其他选项，返回的结果包含创建和修改语句，用户需具备相应权限才能调用。

我们将更新服务，限制应用程序修改非草稿邮件的敏感属性（如主题和正文）。只有具备特定权限的应用才能进行修改，新的限制将于2026年12月31日生效。建议开发者尽快申请更高权限，以确保顺利过渡。

美团因与第三方SDK冲突，未获用户同意自动删除相册照片。美团已表示将协助用户恢复数据并提供赔偿，建议用户不要授予APP完整相册访问权限以保护隐私。