logo

1. Vercel 被黑:一个 AI 工具的 OAuth 权限搞垮了整条供应链

Vercel 安全事件供应链攻击示意

一句话: Context AI 的 OAuth 应用被攻破,黑客借此横向渗透进 Vercel 内部系统,部分客户凭证泄露。

4 月 19 日,Vercel CEO Guillermo Rauch 发长文确认:公司内部系统遭未授权访问。攻击链说白了就是——一个员工装了 Context AI 的 Chrome 插件并授权了 Google OAuth,黑客先打下 Context AI,再通过这个 OAuth token 拿到该员工的 Google 账户,然后一路摸进 Vercel 的内部系统。

最坑的是什么?Vercel 的环境变量模型里,没标"sensitive"的凭证默认是明文可读的。只要内部权限被突破,客户存在 Vercel 上的 API key、数据库密码就全暴露了。ShinyHunters 团伙已经在暗网以 200 万美元叫卖这批数据。

对开发者的影响非常直接:如果你用 Vercel 部署项目,现在就该去 rotate 所有环境变量里的密钥。更深层的问题是——我们日常装的那些 AI 助手、Chrome 插件,随便给个 OAuth 权限就可能变成攻击入口。这不是个例,这是整个 AI 工具生态的系统性风险。

> 来源: TechCrunch

---

2. DeepSeek 破天荒融资:100 亿美元估值,为 V4 模型和留人做准备

DeepSeek 首轮融资新闻

一句话: 梁文锋打破"不融资"传统,DeepSeek 首轮外部融资目标 3 亿美元,估值超 100 亿美元。

DeepSeek 一直靠母公司幻方量化输血,从来不接外部资本。但 4 月 17 日多家媒体确认,他们终于要融资了。

为什么突然改主意?两个原因很实际:第一,V4 旗舰模型月底就要发布,算力开销需要更多弹药;第二,核心技术骨干被大厂挖角严重——没有市场化估值,期权就是白条,留不住人。这轮融资的核心目的之一就是给公司定个价,让员工的股权激励有真实市场锚点。

对国内开发者来说,DeepSeek 的 V4 如果延续 V3 的开源路线,又是一波免费的高质量 base model 可以拿来 fine-tune。但这次融资意味着商业化压力也来了,未来 API 定价、开源策略可能都会调整。

> 来源: CnTechPost

---

3. GPT-5.5 "Spud" 本周发布?Polymarket 给出 75% 概率

OpenAI GPT-5.5 Spud 模型即将发布

一句话: 预训练 3 月 24 日完成,Sam Altman ���"几周内发布",预测市场押注 4 月 23 日上线。

OpenAI 代号"Spud"的下一代模型已经训练完了快一个月。到底叫 GPT-5.5 还是 GPT-6?官方还没定——取决于和 GPT-5.4 比性能跳跃有多大。Greg Brockman 的原话是"这不是渐进式改进,是我们思考模型开发方式的根本变化"。

泄露的测试截图显示 Spud 能实时生成可交互的 3D 世界,原生支持文本+图像+音频+视频的统一多模态输入输出。OpenAI 的产品策略是把 ChatGPT、Codex、Deep Research、Memory、Agent 能力全塞进一个"超级应用"。

Polymarket 目前给 4 月 23 日发布的概率是 75.5%,4 月底前发布 78%。如果你在做 AI 相关产品,这周值得密切关注——新模型的能力跳跃可能直接淘汰一批当前的 wrapper 产品。

> 来源: Polymarket

---

4. ChatGPT 全球宕机 90 分钟,数千万用户受影响

ChatGPT 服务宕机

一句话: 4 月 20 日上午 ChatGPT 对话、登录、语音、图片生成全挂,OpenAI 用了 90 分钟修复。

4 月 20 日美东时间 10:05 开始,ChatGPT 大面积故障。DownDetector 上报告数几分钟内飙到数万。对话功能、登录、Voice Mode、图片生成——基本全部不可用。

OpenAI 官方状态页标注"正在监控恢复进度",大约 90 分钟后服务陆续恢复。没有给出具体的故障原因说明。

这种规模的宕机对重度依赖 ChatGPT 的开发者是一记警钟。说白了就是——如果你的工作流里 ChatGPT 是不可替代的环节,你需要有 fallback 方案。Claude、Gemini、或者本地跑的开源模型,至少得有一个 backup。对 JR Academy 的同学来说,这也是为什么我们一直建议学多个 AI 工具而不是只会用 ChatGPT。

> 来源: Tom's Guide

---

5. Meta Muse Spark 落地电商:AI 购物功能上线 Facebook 和 Instagram

Meta Muse Spark AI 电商功能

一句话: Muse Spark 发布两周后,Meta 把它塞进了购物场景——AI 帮你挑商品、试穿、比价。

4 月 8 日 Meta 发布 Muse Spark 时大家的注意力都在"多模态推理能力追上 GPT-5.4"上。但 4 月 16 日 Retail Brew 报道的后续动作才是重点:Meta 正在用 Muse Spark 重构 Facebook 和 Instagram 的购物体验。

具体功能包括:用自然语言描述你想要的东西,AI 在商品库里帮你找;上传一张图让 AI 找同款或搭配;还有虚拟试穿。说白了就是把电商搜索从"关键词匹配"升级到"对话式购物助手"。

这对做电商的同学有直接参考价值。Meta 有 30 亿月活用户,Muse Spark 的电商整合一旦铺开,消费者会习惯"跟 AI 说话买东西"这种模式。如果你在做电商产品或者学全栈,现在就可以开始研究 conversational commerce 的技术栈了。

> 来源: Retail Brew

JR Academy · Blog职业洞察

AI 日报 2026-04-21:Vercel 被黑暴露 AI 工具供应链风险,DeepSeek 首融估值破百亿美元

今日 AI 五大热点:Vercel 供应链攻击波及数万开发者、DeepSeek 100亿美元估值首轮融资、GPT-5.5 Spud 本周发布概率达75%、ChatGPT 全球宕机90分钟、Meta Muse Spark 落地电商

发布日期
阅读时长1 分钟
作者

快速导航

1. Vercel 被黑:一个 AI 工具的 OAuth 权限搞垮了整条供应链

Vercel 安全事件供应链攻击示意

一句话: Context AI 的 OAuth 应用被攻破,黑客借此横向渗透进 Vercel 内部系统,部分客户凭证泄露。

4 月 19 日,Vercel CEO Guillermo Rauch 发长文确认:公司内部系统遭未授权访问。攻击链说白了就是——一个员工装了 Context AI 的 Chrome 插件并授权了 Google OAuth,黑客先打下 Context AI,再通过这个 OAuth token 拿到该员工的 Google 账户,然后一路摸进 Vercel 的内部系统。

最坑的是什么?Vercel 的环境变量模型里,没标"sensitive"的凭证默认是明文可读的。只要内部权限被突破,客户存在 Vercel 上的 API key、数据库密码就全暴露了。ShinyHunters 团伙已经在暗网以 200 万美元叫卖这批数据。

对开发者的影响非常直接:如果你用 Vercel 部署项目,现在就该去 rotate 所有环境变量里的密钥。更深层的问题是——我们日常装的那些 AI 助手、Chrome 插件,随便给个 OAuth 权限就可能变成攻击入口。这不是个例,这是整个 AI 工具生态的系统性风险。

> 来源: TechCrunch

---

2. DeepSeek 破天荒融资:100 亿美元估值,为 V4 模型和留人做准备

DeepSeek 首轮融资新闻

一句话: 梁文锋打破"不融资"传统,DeepSeek 首轮外部融资目标 3 亿美元,估值超 100 亿美元。

DeepSeek 一直靠母公司幻方量化输血,从来不接外部资本。但 4 月 17 日多家媒体确认,他们终于要融资了。

为什么突然改主意?两个原因很实际:第一,V4 旗舰模型月底就要发布,算力开销需要更多弹药;第二,核心技术骨干被大厂挖角严重——没有市场化估值,期权就是白条,留不住人。这轮融资的核心目的之一就是给公司定个价,让员工的股权激励有真实市场锚点。

对国内开发者来说,DeepSeek 的 V4 如果延续 V3 的开源路线,又是一波免费的高质量 base model 可以拿来 fine-tune。但这次融资意味着商业化压力也来了,未来 API 定价、开源策略可能都会调整。

> 来源: CnTechPost

---

3. GPT-5.5 "Spud" 本周发布?Polymarket 给出 75% 概率

OpenAI GPT-5.5 Spud 模型即将发布

一句话: 预训练 3 月 24 日完成,Sam Altman ���"几周内发布",预测市场押注 4 月 23 日上线。

OpenAI 代号"Spud"的下一代模型已经训练完了快一个月。到底叫 GPT-5.5 还是 GPT-6?官方还没定——取决于和 GPT-5.4 比性能跳跃有多大。Greg Brockman 的原话是"这不是渐进式改进,是我们思考模型开发方式的根本变化"。

泄露的测试截图显示 Spud 能实时生成可交互的 3D 世界,原生支持文本+图像+音频+视频的统一多模态输入输出。OpenAI 的产品策略是把 ChatGPT、Codex、Deep Research、Memory、Agent 能力全塞进一个"超级应用"。

Polymarket 目前给 4 月 23 日发布的概率是 75.5%,4 月底前发布 78%。如果你在做 AI 相关产品,这周值得密切关注——新模型的能力跳跃可能直接淘汰一批当前的 wrapper 产品。

> 来源: Polymarket

---

4. ChatGPT 全球宕机 90 分钟,数千万用户受影响

ChatGPT 服务宕机

一句话: 4 月 20 日上午 ChatGPT 对话、登录、语音、图片生成全挂,OpenAI 用了 90 分钟修复。

4 月 20 日美东时间 10:05 开始,ChatGPT 大面积故障。DownDetector 上报告数几分钟内飙到数万。对话功能、登录、Voice Mode、图片生成——基本全部不可用。

OpenAI 官方状态页标注"正在监控恢复进度",大约 90 分钟后服务陆续恢复。没有给出具体的故障原因说明。

这种规模的宕机对重度依赖 ChatGPT 的开发者是一记警钟。说白了就是——如果你的工作流里 ChatGPT 是不可替代的环节,你需要有 fallback 方案。Claude、Gemini、或者本地跑的开源模型,至少得有一个 backup。对 JR Academy 的同学来说,这也是为什么我们一直建议学多个 AI 工具而不是只会用 ChatGPT。

> 来源: Tom's Guide

---

5. Meta Muse Spark 落地电商:AI 购物功能上线 Facebook 和 Instagram

Meta Muse Spark AI 电商功能

一句话: Muse Spark 发布两周后,Meta 把它塞进了购物场景——AI 帮你挑商品、试穿、比价。

4 月 8 日 Meta 发布 Muse Spark 时大家的注意力都在"多模态推理能力追上 GPT-5.4"上。但 4 月 16 日 Retail Brew 报道的后续动作才是重点:Meta 正在用 Muse Spark 重构 Facebook 和 Instagram 的购物体验。

具体功能包括:用自然语言描述你想要的东西,AI 在商品库里帮你找;上传一张图让 AI 找同款或搭配;还有虚拟试穿。说白了就是把电商搜索从"关键词匹配"升级到"对话式购物助手"。

这对做电商的同学有直接参考价值。Meta 有 30 亿月活用户,Muse Spark 的电商整合一旦铺开,消费者会习惯"跟 AI 说话买东西"这种模式。如果你在做电商产品或者学全栈,现在就可以开始研究 conversational commerce 的技术栈了。

> 来源: Retail Brew

作者
一键分享或复制链接

相关文章推荐

AI 工具 OAuth 授权安全指南:从 Vercel 被黑事件学到的 5 个教训

NotebookLM 实战手册:用 AI 吃透任何文档 — NotebookLM 常见问题 FAQ:定价、限制和选型建议

NotebookLM 实战手册:用 AI 吃透任何文档 — 进阶玩法:开发者工作流和 API 集成

NotebookLM 实战手册:用 AI 吃透任何文档 — NotebookLM 核心功能详解:从引用聊天到 AI 播客

NotebookLM 实战手册:用 AI 吃透任何文档 — 快速上手:5 分钟创建你的第一个 AI 知识库

NotebookLM 实战手册:用 AI 吃透任何文档 — NotebookLM 是什么:Google 的 AI 文档研究助手

查看全部文章 →