技术日报|Linux 移除 strncpy、Anthropic 引发出口管制讨论

Linux 7.2 内核正式移除 strncpy:历经 6 年、360+ 补丁的漫长告别

经过六年多的持续推进,Linux 7.2 内核终于在合并窗口期间将 strncpy() 从所有子系统彻底移除。这个 C 语言字符串复制函数长期以来被内核官方文档标注为"actively dangerous"(主动危险),此次清退标志着内核安全加固的又一重要里程碑。

strncpy 的问题在于其非直觉的填充行为:当源字符串长度小于目标缓冲区时,它会用 null 字节填充剩余空间,这既浪费性能,又容易导致安全漏洞。内核开发者六年来逐步用更安全的替代品(如 strscpy)替换了所有调用点,共提交了超过 360 个补丁。


Rust 生态迎来首位 AI 安全工程师:应对 AI 生成代码的新型威胁

Rust Foundation 本周宣布推出 "AI Security Engineer in Residence" 项目,专门应对 AI 生成代码引入的安全挑战。随着基于大语言模型的代码补全工具(如 GitHub Copilot)大量涌入开源生态,传统的安全审计方法已难以覆盖新型风险。

该项目将重点关注:AI 生成依赖链中的漏洞传播、模型训练数据引入的许可证合规问题,以及 AI 辅助代码审查工具本身的安全边界。Rust 基金会表示,这一角色的设立意味着安全响应从被动修补转向主动防御。


Anthropic 的 AI 危险论反噬:可能推动美国出口管制讨论

据 Financial Times 报道(由 Ars Technica 转引),Anthropic 多年来对 AI 系统危险的公开警告,可能意外推动了美国政府针对 AI 技术出口管制的政策讨论。

Anthropic 相比 OpenAI 更频繁、更激进地公开讨论 AI 灭世级风险,包括发布系统性研究论证 AI 可能带来的生存威胁。然而,这种策略性透明被认为让监管机构更倾向于认为前沿 AI 模型具有战略敏感性,从而为出口限制提供了依据。


微软发现新型自我传播木马:专门窃取加密货币

微软安全团队披露了一款新型轻量级后门程序,该木马具有自我传播能力,专门针对加密货币用户。攻击者通过钓鱼邮件和恶意下载站传播,感染后会在受害者设备上建立持久化后门,窃取加密货币钱包密钥并转移资产。

该木马的技术特点在于其模块化设计和低资源占用,能在不被主流杀毒软件检测的情况下长期运行。微软建议加密货币用户启用硬件钱包离线签名,并警惕来历不明的软件安装请求。


Apple 紧急修复 Beats Studio Buds 高危窃听漏洞

Apple 发布紧急更新,修复 Beats Studio Buds 中一个严重安全漏洞。该漏洞允许攻击者利用配对过程中的缺陷,在用户不知情的情况下将耳机变成远程窃听设备。

受影响的固件版本覆盖 Beats Studio Buds 和 Beats Studio Buds+。Apple 建议用户立即通过 Beats 应用或 iOS 系统更新固件至最新版本。这是 Apple 生态中罕见的高危音频设备漏洞,凸显了固件安全的重要性。


Canonical 推出 Ubuntu AI 工具:动动嘴就能管系统

Canonical 宣布即将为 Ubuntu 引入对话式 AI 助手,允许用户通过自然语言语音指令完成系统管理操作。该工具基于本地运行的 LLM,用户无需将命令发送至云端,在隐私和延迟上都有优势。

支持的场景包括软件包管理、系统服务控制、日志查询等日常运维操作。Ubuntu 表示,这一工具将首先在服务器版 LTS 中测试,之后进入桌面版。


systemd 新增 birth date 字段引发社区分裂:有人直接 fork

Linux 初始化系统 systemd 近期引入了一个新字段——用户账户的出生日期(birth date),用于更精细的账户生命周期管理。然而,这一改动引发了部分社区成员的强烈反对。

一位开发者认为该字段侵犯隐私且并无实际运维价值,直接创建了 systemd 的 fork 版本,在其中移除了该字段。该事件再次折射出 systemd 在 Linux 社区中长期存在的争议——既被视为功能完备的工程典范,也被视为过度设计的典型。


来源:Ars Technica、Slashdot、36氪 | 时间:2026-06-22