Fortinet製品に管理者認証を迂回される重大欠陥が確認され、FortiCloud SSO設定によっては未認証で侵入され得るとして注意が促されている。脆弱環境では機器の管理権限が奪取される危険がある。早急な対応が必要だ。設定確認も欠かせない。管理者は注意すべきだ。

問題はSAMLメッセージ署名の検証不備にあり、細工されたSAMLを受理してしまうことで攻撃者が管理権限を取得できる点にある。FortiCloud SSOは標準で無効だが、GUIでFortiCare登録を行うと「FortiCloud SSOによる管理者ログイン」が自動的に有効化され、明示的に無効化しなければ脆弱な状態となる。当局は最新バージョンへの更新を強く推奨しており、即時適用が難しい場合はFortiCloudログイン機能を無効化することで一時的にリスクを軽減できる。運用環境では設定変更の見落としが被害拡大につながる可能性があり、管理者は構成点検と早期パッチ適用を徹底する必要がある。
https://t.co/uGY20mUieE December 12, 2025

#4 @GuiBibeau
Dear Gui, thank you for inviting us to Breakpoint.
Let's make next year's Hackathon a huge success!!!

ギー、私たち学生をBreakpointに招待してくれてありがとう。ハッカソン成功させるぞ!!! https://t.co/ETt1TTNz6d https://t.co/rh7cE3k0C3 December 12, 2025

豆包围城 破局者登场！

AutoGLM深夜开源，千千万万个手机Agent要站起来了，终结大厂对AI手机的“围墙花园”控制权。

简单说，这就是一套能让 AI 像人一样操作手机的框架。它不仅开源了模型，还把整套操作手机的工具链都放了出来。

为什么之前的 AI 助手总被拦截

大家可能注意到之前“豆包”在手机上遇到的一些兼容性问题，特别是在微信和支付宝里。

这背后的技术冲突其实很直接。AI Agent 想要自动执行任务，通常需要 INJECT_EVENTS 这种系统级权限。但在金融和通讯 App 看来，任何非自然人的高权限操作都是高危风险。基于“零信任”的安全原则，它们会直接拦截。

这也是目前端侧 AI 最大的难点：要干活就得有权限，有权限就会触发风控。

AutoGLM 的解决思路

AutoGLM 尝试用两点来绕过这个问题。

1.不依赖接口。它不调 App 的 API，而是基于视觉识别。模型直接“看”屏幕截图，理解 UI 界面，然后模拟人类的手指点击。这种方式兼容性比较好，理论上人能操作的界面它都能试着点。

2.引入了云端沙盒。在 2.0 架构里，Agent 运行在云手机或者虚拟桌面上。这样不仅物理真机的屏幕不会被强行占用，而且所有操作都在隔离环境里。对企业开发来说，这能解决一部分数据安全顾虑。

开发者能拿到什么

这次开源对开发者比较友好的是协议和控制权。

代码用了 Apache-2.0 协议，模型是 MIT 协议。这意味着你可以把它部署在自己的私有服务器上，完全断网运行也没问题。对于想做自动化测试或者内部工具的团队，数据隐私都在自己手里。

目前仓库里已经提供了 50 多个主流 App 的运行示例，包括微信、淘宝、美团这些高频应用。

如果你想试着跑一下，核心逻辑其实就是初始化环境，然后给 Agent 下达自然语言指令。

Python

# 伪代码示例：大概的调用逻辑
from autoglm import MobileAgent

# 初始化连接
agent = MobileAgent(device="android_device_01")

# 直接下达指令，不需要写具体的点击坐标
https://t.co/SQJ2iITDfm("帮我在美团点一杯冰美式，送到公司")
它目前虽然还做不到 100% 的成功率，特别是复杂的金融支付环节为了安全暂时做了限制，但作为一个通用的 GUI 操作框架，底子已经搭好了。

想研究源码或者自己改功能的，可以去 GitHub 看看。
GitHub 地址：首回复中 December 12, 2025