今日科技圈最重磅的消息,无疑是安全研究员曝光的一个 VSCode 严重漏洞:攻击者只需一个巧妙的技巧,即可在一键之间窃取用户的 GitHub Token,无需任何用户交互。此消息在 HackerNews 上迅速飙升,获得 582 点,引发全球开发者社区的强烈关注。
漏洞详情:一键 Token 窃取如何实现?
据安全博客 Ammar Askar 的披露,该漏洞利用 VSCode 的扩展机制,当用户在 VSCode 中打开特制的恶意仓库时,攻击者可以在用户毫无察觉的情况下,通过一个看似无害的操作(如点击某个按钮或触发某个事件),将用户的 GitHub 认证 Token 窃取并发送到远程服务器。
值得注意的是,该漏洞不需要用户安装任何额外的恶意扩展,纯粹依赖 VSCode 本身的默认行为。一旦攻击者诱导开发者打开特定仓库,Token 便会通过 HTTP 请求被悄悄外传。由于整个过程没有任何权限申请提示,用户几乎无法察觉自己的凭证已经泄露。
影响范围:哪些人最危险?
任何使用 VSCode 并在编辑器中登录 GitHub 账号的开发者都可能受到影响。这包括:在 VSCode 中使用 GitHub 扩展进行代码同步的开发者、使用 GitHub Copilot 等依赖 GitHub 认证的 AI 编程助手用户,以及在 VSCode 中管理 GitHub Actions 和 CI/CD 流水线的 DevOps 工程师。
GitLab 裁员 14%,AI 转型浪潮中的裁员潮仍在持续
就在安全漏洞引发关注的同时,GitLab 宣布裁员 14%,以应对 AI 驱动的工作负载变化。据 TechCrunch 报道,GitLab 正在将其平台扩展以服务 AI 工作负载,但与此同时也进行了人员调整,约涉及 140-150 名员工。这是继多家科技公司之后,又一家因 AI 战略调整而裁员的企业。
Let’s Encrypt 迈向后量子时代
在网络安全领域,另一则重要消息来自 Let’s Encrypt:这家全球最大的免费 SSL 证书提供商宣布其正式迈向后量子密码学时代。Let’s Encrypt 于 6 月 3 日发布了后量子证书,为未来的量子计算威胁做准备。随着量子计算机的快速发展,传统 RSA/ECC 加密算法面临被破解的风险,Let’s Encrypt 的这一举措标志着互联网基础设施安全升级的重要一步。
Meta 允许员工退出工作追踪 30 分钟
据 BBC 报道,Meta 宣布其员工可以选择退出被追踪的时间段,每次最多 30 分钟。这项政策被描述为某种”数字断联权”的尝试,但批评者指出,30 分钟的退出窗口对于需要深度专注工作的员工来说远远不够。此举也反映出科技巨头在监控文化与员工隐私之间持续拉锯的现状。
Instagram 警告用户:AI 聊天机器人攻击事件曝光
Instagram 近日向部分用户发出安全警告,称他们在一次由 AI 聊天机器人发起的大规模定向攻击中被黑客盯上。攻击者利用 AI 生成的高度个性化的钓鱼消息,诱导用户点击恶意链接并泄露凭据。Meta 建议所有收到警告的用户立即更换密码并启用双因素认证。
OpenAI 推出 Codex:AI 进军白领编程市场
OpenAI 宣布推出新的 Codex 工具,专门面向白领工作场景的自动化编程需求。Codex 基于 GPT-4 系列的代码生成能力,旨在帮助非技术背景的用户完成数据处理、文档生成等日常编程任务。这是继 GitHub Copilot 之后,OpenAI 在编程辅助领域的又一次重要出击。
用 speaker 也能黑你的 PC?超声波攻击新玩法
如果你以为断网就能防止黑客入侵,那可能要重新思考了。一篇来自安全博客的技术文章详细描述了如何利用扬声器(speaker)通过超声波信号向 PC 传输攻击载荷,整个过程完全不需要物理接触或网络连接。这种”隐蔽通道”攻击让传统的网络安全防护手段面临新的挑战。
总结
本周科技圈的核心主题可以概括为两个关键词:安全与AI 转型。VSCode Token 漏洞再次提醒我们,工具越强大,一旦被攻破,破坏力也越大;GitLab 的裁员则折射出 AI 正在深刻重塑软件工程的工作方式。在这场大潮中,每个开发者都需要不断更新自己的安全意识,才能在变局中站稳脚跟。
新闻来源:HackerNews (news.ycombinator.com)、TechCrunch,更新于 2026-06-04
