智造动态专报

当地时间2026年4月17日据theregister网站消息，人工智能企业Anthropic于当日正式推出ClaudeDesign设计服务，该服务处于研究预览阶段，依托全新发布的ClaudeOpus4.7模型构建。Pro、Max、团队版及企业版订阅用户可通过Claude.ai平台左侧调色板图标使用该功能。

ClaudeDesign支持用户以自然语言描述需求生成设计初稿，可通过对话、批注、自定义滑块等方式调整优化，适用于设计原型、产品线框图、营销物料等场景。服务支持导入代码文件、Figma文件等自定义设计系统，成果可导出为多种格式。其使用量独立计量，拥有独立额度与周使用限额，不占用原有聊天及代码生成额度。企业按量计费用户可获得一次性体验额度，约可支持20次常规调用，额度于7月17日失效，超额部分将正常计费。该服务发布后，设计软件企业Figma股价下跌约7%，同时对同类AI设计平台形成竞争压力。

业内观点认为，ClaudeDesign可降低设计创作门槛，在社交媒体及企业设计领域具备应用价值，部分资深设计师则认为其对专业设计领域的冲击有限，设计行业的核心仍在于人际沟通与创意落地。

原新闻链接：

https://www.theregister.com/2026/04/17/anthropic_debuts_claude_design/

当地时间2026年4月17日据theregister消息，安全研究人员使用Anthropic旗下ClaudeOpus4.6大模型，成功编写可运行的Chrome浏览器漏洞利用代码，凸显通用AI模型在网络安全领域的潜在风险。此次研究由安全公司Hacktron首席技术官莫汉・佩德哈帕蒂完成，其耗时约20小时调试，消耗23亿个Token，产生API费用2283美元，最终实现对目标系统的控制。

该漏洞针对Chrome138内置的V8JavaScript引擎，此版本同样被Discord使用。研究使用的V8漏洞来自Chrome146，即Claude桌面端所运行版本。尽管Anthropic已推出Opus4.7并增设安全防护机制，但其网络安全能力与Opus4.6相近，且弱于该公司未公开的Mythos专用漏洞挖掘模型。研究人员指出，Discord当前仍使用Chrome138，落后最新版9个大版本，相关Electron应用更新滞后进一步扩大安全风险。

研究人员表示，AI生成漏洞代码的技术发展持续提速，普通使用者凭借API密钥即可实现漏洞利用，将大幅缩短系统补丁窗口期。开源项目因代码公开，更容易被快速挖掘漏洞并武器化。相关专家建议开发者强化前置安全检测，推进依赖项更新与自动补丁部署，防范AI辅助攻击带来的安全威胁。

原新闻链接：

https://www.theregister.com/2026/04/17/claude_opus_wrote_chrome_exploit/

当地时间2026年4月16日据theregister网站消息，安全研究团队Ox披露，人工智能企业Anthropic开发的模型上下文协议MCP存在设计缺陷，该企业却拒绝承认并修复相关问题，致使约20万台服务器面临被完全接管的风险。

Ox研究团队自2025年11月启动相关研究，完成超30次负责任披露，多次要求Anthropic修复根源性问题，均遭对方以协议运行正常为由拒绝。目前已有10个针对使用MCP的开源工具与AI智能体的高危及严重级别通用漏洞披露，该缺陷可引发未认证命令注入、加固机制绕过、零点击提示注入等四类安全问题，可实现远程代码执行。受影响项目涵盖LangFlow、GPTResearcher、Upsonic、Flowise、Windsurf等，相关漏洞已分配对应CVE编号。研究人员指出，MCP依托STDIO作为本地传输机制，可被滥用执行任意系统命令，一次协议层面的架构修复即可保护下载量超1.5亿的软件包及数百万下游用户。

此外，研究人员还在11个MCP市场中的9个成功完成概念验证投毒，恶意MCP条目一旦安装，攻击者即可获取开发者设备命令执行权限。Anthropic未就此事回应媒体问询，仅悄悄更新安全策略，并未实质修复漏洞。

原新闻链接：

https://www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/

当地时间2026年4月16日据theregister消息，伦敦独立智库公共政策研究所（IPPR）发布报告警告，各国政府若不规范人工智能发展方向，将面临公众强烈反弹，该观点同样适用于全球多国。报告指出，民众对AI的担忧持续加剧，人工智能已被视作与气候变化、战争威胁并列的全球重大风险。市场研究机构弗雷斯特预测，到2030年美国将有6.1%的岗位消失，涉及1040万人。AI企业Anthropic也称其最新模型Mythos安全漏洞排查能力极强，公开后或严重破坏互联网。

英国已大力推进AI布局，出台《人工智能机遇行动计划》，规划建设数据中心，将AI应用于公共服务，并选定巴恩斯利为首个科技小镇。但IPPR认为，当前政府对AI的宣传、监管及收益分配举措均存在明显不足，公众反对AI数据中心建设、版权争议、儿童安全等相关矛盾不断升温，或形成全面抵制情绪。多国政府在AI发展与安全监管间摇摆，忽视其社会实际影响。

报告建议，政府需出台政策引导AI服务公共目标，扶持重点行业应用，调整税收与补贴政策，鼓励AI提升生产率而非替代岗位，同时打破科技巨头对AI领域的权力垄断，确保技术红利广泛共享。

原新闻链接：

https://www.theregister.com/2026/04/16/steer_ai_into_delivering_common_good_govts_told/

当地时间2026年4月16日据theregister消息，安全研究人员披露，仅通过两条Git命令伪造开发者身份，即可诱骗Anthropic的Claude人工智能模型为恶意代码提供审核通过许可。该安全演示由ManifoldSecurity于本周发布，相关测试清晰展现出AI代码审核工具存在的信任机制缺陷，相关风险直接威胁代码仓库安全。

此次测试并非Git平台存在原生漏洞，在未启用提交签名等校验机制的前提下，Git提交元数据本身就具备可伪造特性。问题核心在于Claude相关自动化审核流程过度依赖提交者身份信息作为信任依据，而非独立对代码内容进行安全评估。测试场景设定为自动批准来自知名行业开发者的拉取请求，伪造身份后的恶意提交顺利通过模型审核，暴露出AI审核工具对身份元数据的过度信任问题。

研究机构指出，当前开源项目普遍使用AI工具审核拉取请求，此类易被欺骗的AI代理会为攻击者提供安全漏洞，使其得以绕过防护机制污染代码库。对比此前OpenClawCline软件包入侵事件，二者均因对虚假可信来源过度授权引发安全问题。相关机构强调，仅依靠AI模型无法构建可靠安全防护，缺少身份校验机制将直接导致恶意代码被合规合入代码仓库，相关开发与安全团队需尽快完善多重验证机制以规避风险。

原新闻链接：

https://www.theregister.com/2026/04/16/git_identity_spoof_claude/

完整版专报目录

扫码加入粉丝群享受更多福利

★葛经理：13371693067（微信同号）

★王经理：13611194360（微信同号）

免责声明：本公众号目前所载内容为本公众号原创、网络转载或根据非密公开性信息资料编辑整理，相关内容仅供参考及学习交流使用。由于部分文字、图片等来源于互联网，无法核实真实出处，如涉及相关争议，请跟我们联系。我们致力于保护作者知识产权或作品版权，本公众号所载内容的知识产权或作品版权归原作者所有。本公众号拥有对此声明的最终解释权。