2026年4月10日有三项规模各异的公告:OpenAI发布了关于与Axios库相关的安全事件的完整分析,GitHub Copilot CLI在第三方模型支持和离线模式方面迈出重要一步,ElevenLabs则以完全本地化部署完善了其企业级产品。同时,Anthropic宣布Claude for Word进入测试版并推出advisor tool,GitHub增强了其Copilot云代理,而Google的Lyria 3则向所有人开放长音轨创作。
OpenAI:通过 Axios 的供应链入侵
2026年4月10日 — OpenAI发布了对一起涉及 Axios 的安全事件的回应。Axios 是一个第三方 JavaScript 库,遭遇了更大范围的软件供应链攻击(supply chain attack)。
事件经过
在 2026年3月31日(UTC),一个恶意版本的 Axios(v1.14.1)被下载并由一个用于OpenAI macOS应用签名流程的 GitHub Actions 工作流执行。该工作流可访问用于签署四款应用的签名证书和公证材料:ChatGPT Desktop、Codex App、Codex CLI 和 Atlas。
“We found no evidence that OpenAI user data was accessed, that our systems or intellectual property was compromised, or that our software was altered.”
🇨🇳 我们没有发现任何证据表明 OpenAI 用户数据被访问、我们的系统或知识产权遭到入侵,或我们的软件被篡改。 — OpenAI 在 X 上
已采取的措施
OpenAI 已委托第三方数字取证与事件响应(digital forensics and incident response)公司,吊销并更新了 macOS 签名证书,发布了所有受影响应用的新版本,并修复了 GitHub Actions 的错误配置——该工作流使用了浮动标签而不是特定的提交哈希,这一漏洞使恶意版本得以被注入。
所需最低版本(新证书)
| 应用 | 最低版本 |
|---|---|
| ChatGPT Desktop | 1.2026.051 |
| Codex App | 26.406.40811 |
| Codex CLI | 0.119.0 |
| Atlas | 1.2026.84.2 |
从 2026年5月8日 起,OpenAI macOS 应用的旧版本将不再接收更新,并可能变得无法使用。OpenAI建议仅通过内置机制更新——不要通过电子邮件、广告或第三方网站安装。
GitHub Copilot CLI:BYOK、本地模型与离线模式
2026年4月7日 — GitHub Copilot CLI 向所有模型开放:开发者现在可以连接自己的提供商(Bring Your Own Key, BYOK),或运行完全本地的模型,以替代 GitHub 托管路由。
三种新模式
| 模式 | 描述 |
|---|---|
| 外部提供商 | Azure OpenAI、Anthropic,或任何兼容 OpenAI 端点的环境变量 |
| 本地模型 | 兼容 Ollama、vLLM、Foundry Local — 在本机进行推理 |
| 离线模式 | COPILOT_OFFLINE=true 禁用所有 GitHub 连接和遥测 |
离线模式与本地模型结合后,可实现完全与网络隔离的工作流——适用于高安全环境(air-gapped)。使用自己的提供商时,GitHub 身份验证变为可选;GitHub 登录仍可用于访问 /delegate、GitHub Code Search 和 GitHub MCP 服务器。
要求: 模型必须支持 tool calling 和流式传输。建议最低上下文:128k tokens。
ElevenLabs:本地部署的语音 AI(on-premise 和 on-device)
2026年4月9日 — ElevenLabs 宣布其语音合成技术现已提供完全本地化部署,补充现有的云 API 和 VPC 模式。
四种部署模式
| 模式 | 基础设施 | 理想用途 |
|---|---|---|
| Cloud API | ElevenLabs 标准平台 | 通用使用 |
| VPC | AWS SageMaker | 将数据保留在其云中的组织 |
| On-Premise | 自有服务器 / 数据中心 / Confidential Computing | 政府机构、无已验证云区域的地区 |
| On-Device | 直接在硬件上推理,无需网络 | 汽车、可穿戴设备、边缘计算 |
on-device 模式尤其值得注意:推理在离线状态下直接在硬件上运行。集成车载语音 AI 的汽车制造商是主要目标,此外还有可穿戴设备制造商以及任何需要在无连接条件下提供语音响应的用例。
通过这四种模式,ElevenLabs 如今覆盖了企业环境的整个谱系——包括传统上对纯云解决方案持保留态度的国防、医疗和交通等行业。
Anthropic:Claude for Word 测试版与 advisor tool
Claude for Word — Team 和 Enterprise 计划的测试版
2026年4月10日 — Claude for Word 已在 Team 和 Enterprise 计划上提供测试版。该插件安装在 Microsoft Word 的侧边栏中,可直接从界面编写、修改和审阅文档。Claude 会保留现有格式,修改会以跟踪更改(tracked changes)的形式显示,便于在最终确认前进行人工审阅。
有一项功能使该插件区别于其他 Office 集成:Claude for Word 会与 Claude for Excel 和 Claude for PowerPoint 共享上下文,这使得 Claude 能够在一个对话中同时处理多个已打开的 Office 文档。Claude for Word 因而与 Claude for Excel(已可用)和 Claude for PowerPoint 一起完善了 Claude 的 Office 套件。
🔗 Claude for Word · @claudeai 的推文
Advisor tool — 顾问-执行者策略 API 测试版
2026年4月9日 — Anthropic 在 Claude Platform 上推出 advisor tool 测试版,这是在 Messages API 中对顾问-执行者策略(advisor strategy)的原生实现。
其原理颠覆了常见的编排模式:Sonnet 或 Haiku 扮演执行者角色(端到端处理任务、调用工具、维护记忆),而 Opus 被指定为顾问。执行者可以按需向 Opus 进行复杂决策咨询,而无需将整个任务委托给它。
| 基准测试 | 改进 |
|---|---|
| SWE-bench Multilingual | +2.7 pts |
| BrowseComp | 有所提升 |
| Terminal-Bench 2.0 | 有所提升 |
| 每项任务成本 | -11.9 % |
实现方式: 将 advisor_20260301 声明在工具列表中,并带上测试版头 anthropic-beta: advisor-tool-2026-03-01。Opus tokens 按 Opus 费率单独计费。
在 BrowseComp 上,Haiku + Opus advisor 甚至超过了单独使用 Sonnet,这为在复杂任务上实现更低成本且不损失质量的架构铺平了道路。
🔗 Advisor 策略 — Anthropic 博客 · advisor tool 文档
Claude Cowork — 正式可用与 Enterprise 控制
2026年4月9日 — Claude Cowork 在所有付费计划(Pro、Max、Team、Enterprise)上正式可用,支持 macOS 和 Windows。
对于 Enterprise 部署,Anthropic 引入了一组组织控制功能:
| 功能 | 描述 |
|---|---|
| 基于角色的访问控制 | 通过手动或 SCIM 管理的用户组 |
| 按组支出限额 | 可从管理控制台配置的团队预算 |
| 使用分析 | 管理员仪表板和 Analytics API 中的 Cowork 活动 |
| 扩展的 OpenTelemetry 支持 | 工具调用、读取/修改的文件、使用的技能等事件 |
| 按 MCP 连接器的控制 | 按连接器限制组织范围内的操作 |
| Zoom MCP 连接器 | Zoom 为 Cowork 推出专用连接器 |
与 PayPal 的部署网络研讨会定于 2026年4月16日举行。
🔗 面向 Enterprise 的 Claude Cowork
GitHub Copilot:云代理与安全
Copilot Pro+ — 退役 Opus 4.6 Fast 与新的速率限制
2026年4月10日 — 随着使用量快速增长,GitHub Copilot Pro+ 引入了新的速率限制。将逐步部署两类限制:全局服务可靠性限制(在当前会话结束时重置)以及按模型或模型家族划分的限制(可能切换到替代模型或 Auto 模式)。
同时,Opus 4.6 Fast 模型自 2026年4月10日起从 Copilot Pro+ 中移除。标准版 Opus 4.6 仍可使用。GitHub 强调,这些限制旨在为所有用户保证快速且可靠的体验。
🔗 新的限制与 Opus 4.6 Fast 退役 — GitHub
Copilot cloud agent — 验证工具速度提升 20%
2026年4月10日 — Copilot cloud agent 的验证工具(CodeQL、GitHub Advisory Database、secret scanning、Copilot code review)现在并行而非串行执行,将验证时间缩短 20%。这些工具可从仓库设置中配置(Copilot → Cloud agent 部分)。
Copilot cloud agent — 使用指标与正式重命名
2026年4月10日 — Copilot usage metrics API 新增三个字段,用于跟踪 enterprise 和组织层面的 Copilot cloud agent 采用情况:
daily_active_copilot_cloud_agent_usersweekly_active_copilot_cloud_agent_usersmonthly_active_copilot_cloud_agent_users
这些字段可在 1-day 和 28-day 报告中使用。GitHub 还正式完成重命名:“Copilot coding agent” 在整个文档和 API 中将变为 “Copilot cloud agent”——现有数据字段将在未来几周内更新。
在安全评估中询问 Copilot
2026年4月9日 — 组织管理员和安全负责人(security managers)现在可以直接从 secret risk assessment 或 Code Security risk assessment 结果中向 Copilot 提问,而无需离开 GitHub 安全仪表板。该集成提供上下文说明和指导步骤,以便根据结果采取行动。
Google Gemini:Lyria 3 与 Google Finance
Lyria 3 — 免费长音轨与 1 亿首歌曲
2026年4月9日 — Gemini App 向所有用户(包括免费用户)推出使用 Lyria 3 创建长音乐轨道的功能。此前仅限订阅用户的长音轨现在每周可免费创建 5 条。该公告还伴随着一个里程碑:通过 Gemini App 在 50 天内生成了 1 亿首歌曲。
开始使用:在桌面或移动设备上打开 Gemini,在工具栏中选择 “Create music”,描述曲目并生成。
通过 Gemini App 在 100+ 个国家/地区使用 Google Finance
2026年4月10日 — 集成到 Gemini App 中的 Google Finance 工具现已在超过 100 个国家/地区 可用,具备改进的图表以及扩展的实时数据,可在聊天中进行金融分析。此前仅在有限地理范围内可用。
OpenAI Codex:“Build macOS Apps” macOS 插件
2026年4月10日 — OpenAI 正式宣布为 Codex 推出 “Build macOS Apps” 插件,该插件由 Thomas Ricouard 设计,他是一位于 2026年3月加入 OpenAI 团队的 iOS/macOS 开发者。该插件为 Codex 提供默认参数,用于构建原生 macOS 应用,并使用 SwiftUI 和 AppKit,让它学习特定于桌面的惯例(desktop-native),而不是将 macOS 视为一个通用 Swift 目标。
| 需求 | 默认配置的工具 |
|---|---|
| 构建与打包 | xcodebuild, swift build, App Store Connect CLI |
| 调试 | Logger, log stream, swift test, xcodebuild test |
| 分发 | Xcode 归档 + 脚本化公证 |
Thomas Ricouard 展示了 Codex 借助新插件构建 TetrisBar——一个可在 macOS 菜单栏中游玩的俄罗斯方块。
🔗 面向 macOS 的构建 — Codex 用例 · @OpenAIDevs 的推文
Runway:Seedance 2.0 与 Big Ad Contest ### Seedance 2.0 现已适用于所有付费方案
2026年4月9日 — Runway 将 Seedance 2.0 向其所有付费方案开放访问,美国用户也包括在内。该视频生成模型接受多种输入类型:图像、现有视频、文本描述或音频片段。优惠码 SEEDANCE:新订阅用户可享 3 个月 50% 折扣。
Big Ad Contest — 已公布 25 位获奖者
2026年4月10日 — Runway 公布了其 “Big Ad Contest for Products That Don’t Exist” 的 25 位获奖者,这是这项面向社区开放的创意竞赛的首届活动。数千个广告以不同的类型、brief 和格式提交。排名前 5 的广告以视频形式发布。
🔗 推文 @runwayml — Big Ad Contest
这意味着什么
4 月 10 日这一天体现了两种正在巩固的趋势。第一是 AI 的企业级成熟:ElevenLabs on-device、带有 SCIM 控制和 OpenTelemetry 的 Claude Cowork GA、带有跟踪指标的 Copilot cloud agent——工具链正在为受限环境中的大规模部署(国防、医疗、汽车行业)而成形。第二是 CLI 的开放:Copilot CLI BYOK 和离线模式意味着开发者不再被单一供应商绑定,并且可以构建完全 air-gapped 的工作流。
OpenAI 发生的 Axios 事件也再次提醒了一个已被充分记录的系统性风险:在 CI/CD 流水线中,如果依赖项固定的是浮动标签而不是提交哈希,就会暴露于此类注入风险。技术修复(在 GitHub Actions 工作流中切换为特定提交哈希)很简单——但这一事件说明,即便是大型组织也会忽略这一点。
来源
- OpenAI — 对 Axios 开发者工具遭入侵的回应
- X 线程 @OpenAI — Axios
- GitHub Copilot CLI — BYOK 和本地模型
- ElevenLabs — 本地部署的企业级语音 AI
- Claude for Word
- 推文 @claudeai — Claude for Word
- The Advisor Strategy — Anthropic
- advisor 工具文档
- 推文 @claudeai — Advisor Strategy
- 面向 Enterprise 的 Claude Cowork
- 推文 @claudeai — Cowork GA
- Copilot Pro+ — 新限制与 Opus 4.6 Fast 退役
- Copilot cloud agent — 验证工具快 20%
- Copilot cloud agent — API 使用指标
- 在安全评估中使用 Ask Copilot
- 推文 @GeminiApp — Lyria 3
- TGIF 回顾 @GoogleAI — Google Finance 覆盖 100+ 国家/地区
- 为 macOS 构建 — Codex
- 推文 @OpenAIDevs — macOS 插件
- 推文 @runwayml — Seedance 2.0
- 推文 @runwayml — Big Ad Contest
该文档已使用 gpt-5.4-mini 模型从 fr 版本翻译为 zh 语言。有关翻译过程的更多信息,请参阅 https://github.com/jls42/ai-powered-markdown-translator