Säkerhetsverktyget Trivy komprometterades två gånger på tre veckor efter att Aqua Security misslyckades med att rotera alla stulna uppgifter efter det första intrånget. Angriparna skrev om 75 av 76 versionstaggar i GitHub Actions och spred skadlig kod som stjäl molnuppgifter och nycklar från CI/CD-miljöer — och attacken har redan nått npm-ekosystemet via en självspridande mask.
Att attacken redan nått npm-ekosystemet via en självspridande mask tyder på att kaskadeffekterna bara har börjat, och varje organisation som körde Trivy under det niotimmarsfönstret måste nu anta att alla hemligheter i pipelinen är exponerade. För Aqua Security, som säljer just den typ av molnsäkerhet de själva misslyckades med, blir de kommande månaderna en trovärdighetskris.
I dagens nyhetsbrev:
Säkerhetsverktyget Trivy komprometterat två gånger på tre veckor — attacken sprider sig till npm
Amazons Trainium-chipp driver nu både Anthropic och OpenAI — och pressar Nvidias marginaler
Palantir får tillgång till brittisk finansunderrättelsedata mitt under politisk storm om företagets kontrakt
Nvidias Huang vill att ingenjörer ska få halva lönen i AI-tokens — kritiker kallar det uppblåst kompensation
Säkerhetsverktyget Trivy hackat två gånger på tre veckor
Hotgruppen TeamPCP har komprometterat sårbarhetsskannern Trivy i vad som är den andra attacken mot projektet på tre veckor. Angriparna utnyttjade stulna inloggningsuppgifter som överlevde en ofullständig rotation efter det första intrånget i februari och publicerade en bakdörrad version av skannern (v0.69.4) som stjäl molnuppgifter, SSH-nycklar och Kubernetes-token från CI/CD-miljöer. Attacken har redan spridit sig vidare till npm-ekosystemet via en självspridande mask kallad CanisterWorm, och organisationer som kört drabbade versioner bör behandla alla hemligheter i sina pipelines som exponerade.
Quick points:
Angriparna skrev om 75 av 76 versionstaggar i trivy-action och alla sju taggar i setup-trivy, vilket innebär att befintliga arbetsflöden automatiskt körde skadlig kod utan att något ändrats i arbetsflödesfilerna. Över 10 000 arbetsflöden på GitHub refererar till den drabbade åtgärden.
Den skadliga koden läser processminne, sveper filsystemet efter inloggningsuppgifter och krypterar datan med AES-256 och RSA-4096 innan den skickas till en server bakom en Cloudflare Tunnel. På utvecklarmaskiner skapar den dessutom persistent åtkomst via en systemd-tjänst.
CrowdStrike upptäckte attacken genom avvikande skriptexekvering hos flera kunder och konstaterade att den skadliga koden körs tyst före den riktiga skannern, vilket gör att arbetsflöden ser normala ut. Säkerhetsteam bör låsa GitHub Actions till specifika commit-SHA:er och sluta använda versionstaggar.
Quick take: Att säkerhetsbolaget bakom Trivy misslyckades med att skydda sitt eget byggsystem — två gånger på tre veckor — blottlägger ett systemfel: säkerhetsverktyg körs med hög behörighet men granskas sällan lika noggrant som annan kod i pipelinen. Att attacken redan spridit sig vidare till npm tyder på att det fulla omfånget fortfarande växer.
Quick number | ChatGPT är femte mest besökta sajten i världen
Besök per månad (miljarder):
Jan 2024 ▓░░░░░░░░░ 0,6 mdr
Apr 2024 ▓▓░░░░░░░░ 1,8 mdr
Jan 2025 ▓▓▓▓░░░░░░ 3,8 mdr
Apr 2025 ▓▓▓▓▓▓▓▓▓░ 5,1 mdr
Jan 2026 ▓▓▓▓▓▓▓▓▓▓ 5,5 mdr ← #5 i världen
Sajter som ChatGPT passerade under 2025:
- Reddit (5,1 mdr besök)
- Wikipedia (4,3 mdr)
- X/Twitter (3,8 mdr)
En sajt som inte existerade i november 2022 är nu en av världens fem mest besökta – större än uppslagsverket som internet byggdes kring, och forumet som Google-sökningar länge ledde till.Källa: Visual Capitalist, Visual Capitalist
Amazons egna AI-chipp utmanar Nvidias grepp om marknaden
AWS Chip lab (Källa: TechCrunch/Julie Bort)
Amazon bygger ut sin egen chippkapacitet i snabb takt och har nu 1,4 miljoner Trainium-chipp i drift över tre generationer. Anthropics Claude körs redan på över en miljon av dem, och som del av Amazons 550 miljarder kronor stora investering i OpenAI har bolaget åtagit sig att leverera 2 gigawatt Trainium-kapacitet till OpenAIs arbetsbelastningar. Senaste generationen Trainium3 tillverkas i 3-nanometerprocess av TSMC och använder vätskekylning för att hantera den ökade effekttätheten.
Quick points:
Trainium2 hanterar redan merparten av inferenstrafiken på Amazon Bedrock, tjänsten som företagskunder använder för att bygga AI-applikationer med modeller från flera leverantörer. AWS säger att Bedrock en dag kan bli lika stort som EC2.
Nya Trainium3-baserade UltraServers med upp till 144 chipp är enligt AWS upp till 50 procent billigare att köra än jämförbara GPU-baserade servrar, och över fyra gånger mer energieffektiva än föregående generation.
Övergångströskeln har sänkts kraftigt genom stöd för PyTorch och Hugging Face via AWS Neuron SDK. Amazon beskriver bytet som en omkompilering snarare än en omskrivning, vilket gör det enklare för utvecklare att testa alternativet till Nvidia.
Quick take: Nvidias dominans har hittills överlevt varje utmanare, men ingen tidigare konkurrent har kunnat visa att de två mest krävande AI-labben i världen faktiskt kör produktion på alternativ hårdvara. Varje månad som Trainium hanterar Anthropics och OpenAIs trafik utan problem gör det svårare för Nvidia att motivera sitt prispåslag.
Quick click | Veo 3
Quick prompt | Nano Banana 2
REFERENCE: [uploaded image of person]
Dramatic telenovela scene featuring the person from the reference image. Peak Latin American soap opera aesthetic.
CRITICAL LIKENESS: The person must be IMMEDIATELY RECOGNIZABLE but glamorized to telenovela perfection. Their distinctive features (face shape, eyes, hair, facial hair, glasses) preserved but elevated with dramatic lighting. This is THAT person as a Mexican or Brazilian soap opera protagonist.
THE MOMENT: The dramatic revelation scene. They have just discovered a devastating secret: a hidden twin, a faked death, a betrayal. Frozen in shock, one hand raised to chest or mouth, eyes glistening with unshed tears. Time has stopped.
EXPRESSION: Eyes wide with shock, filling with tears but not yet spilling. Mouth slightly open in disbelief. Brow furrowed in anguish. Maximum emotional intensity. The frame right before "¡NO PUEDE SER!"
STYLING: Hair immaculate, makeup flawless. Elegant clothing: silk shirt, blazer, or flowing dress. Jewelry catching light: gold chain, watch, ring. Looking wealthy even in crisis.
LIGHTING: Dramatic three-point lighting. Key light creating glamorous shadows. Soft backlight halo on hair. Catch lights in tearful eyes. The lighting that makes everyone look beautiful while crying.
SETTING: Luxurious hacienda living room, or rain-streaked window at night, or hospital corridor (someone in coma), or wedding altar (objection just raised).
STYLE: Soft focus bloom effect. Slightly oversaturated colors. Dramatic music implied. 150 episodes of buildup in one expression.
MOOD: "¿Por qué me hiciste esto?" Betrayal, heartbreak, revelation. The moment before the slap.Palantir får tillgång till känslig brittisk finansdata i nytt avtal
(Källa: Palantir)
Storbritanniens finansinspektion FCA har gett det amerikanska dataföretaget Palantir ett tremånaders testuppdrag värt över 400 000 kronor i veckan för att analysera intern underrättelsedata om bedrägerier och penningtvätt. Palantirs AI-system Foundry får tillgång till känsliga ärenden, rapporter om misstänkta bedrägerier, konsumentklagomål och inspelningar av telefonsamtal från de 42 000 finansbolag som FCA övervakar. Avtalet har väckt intern oro inom myndigheten, rapporterar Guardian.
Quick points:
Palantir har nu brittiska offentliga kontrakt värda över 5,5 miljarder kronor, inklusive ett NHS-avtal på 3,6 miljarder och ett försvarskontrakt på 2,6 miljarder kronor. FCA-avtalet utökar företagets roll till att omfatta även finansiell tillsyn.
FCA kräver att Palantir enbart fungerar som databehandlare, att myndigheten behåller krypteringsnycklarna och att all data lagras i Storbritannien och raderas efter försöksperioden. Trots det har källor inom FCA ifrågasatt om Palantir kan anförtros information om penningtvättshot.
Amnesty International och brittiska läkarförbundet BMA kräver redan att NHS-kontraktet avslutas vid nästa granskning i februari 2027 på grund av Palantirs kopplingar till Israels militär och USA:s migrationsmyndighet ICE. Vetenskapsminister Patrick Vallance har sagt att framtida avtal ska göras annorlunda.
Quick take: Palantir har nu avtal med brittisk hälsovård, försvar och finanstillsyn — tre samhällspelare som tillsammans ger en närvaro som blir svår att riva upp oavsett politisk vilja. Att FCA tecknar avtalet mitt under en pågående parlamentsdebatt om just beroendet av Palantir visar att den operativa logiken väger tyngre än den politiska retoriken.
Tokenbudgetar blir Silicon Valleys nya anställningsförmån
Nvidias vd Jensen Huang föreslog på GTC-konferensen att ingenjörer bör få AI-tokens värda ungefär hälften av sin grundlön, uppskattningsvis runt 2,7 miljoner kronor om året för toppfolk. New York Times rapporterar (archive.ph) att trenden redan är verklighet: ingenjörer på Meta och OpenAI tävlar på interna topplistor som mäter tokenförbrukning, och generösa tokenbudgetar håller på att bli en standardförmån i branschen. En Ericsson-ingenjör i Stockholm uppgav för tidningen att han förmodligen spenderar mer på Claude än han tjänar i lön.
Quick points:
Riskkapitalisten Tomasz Tunguz på Theory Ventures skrev redan i februari att startups börjar räkna inferenskostnader som en fjärde kompensationskomponent vid sidan av lön, bonus och aktier. Med en medellön på cirka 4,1 miljoner kronor och en tokenbudget på 1,1 miljoner innebär det att ungefär en femtedel av ersättningen redan går till beräkningskraft.
Trenden drivs av agentbaserad AI som OpenClaw, en AI-assistent som körs dygnet runt och automatiskt utför uppgifter medan användaren sover. En ingenjör som styr flera agenter kan bränna igenom miljontals tokens om dagen utan att skriva ett ord.
Kritiker varnar att hög tokenförbrukning ofta speglar ineffektiva prompter eller okontrollerade agentflöden snarare än faktisk produktivitet. Finansexperten Jamaal Glenn påpekar att tokenbudgetar kan vara ett sätt att blåsa upp kompensationspaket utan att höja kontantlön eller aktier, de delar som faktiskt växer i värde över tid.
Quick take: Tokenbudgetar som kompensation låter som en förmån, men till skillnad från lön och aktier kan tokens varken sparas eller säljas — de förbrukas och försvinner. Att Nvidias vd förespråkar modellen är ungefär lika förvånande som att en bilhandlare tycker alla borde ha tjänstebil.
A quick tool | Vozo
Vozo är ett AI-verktyg som översätter och dubbar videor i över 110 språk. Du laddar upp en video, väljer målspråk och får tillbaka en version med klonад röst, synkade läpprörelser och översatt text på skärmen. Röstkloningsmotorn återskapar talarens röst med bibehållen känsla, läppsynken justerar munrörelserna så de matchar det nya språket, och grafik och textplattor i videon byggs om i översatt version med bevarad layout. En inbyggd redigerare låter dig finjustera översättningen och lägga till ordlistor för enhetlig terminologi.
Gratisplanen ger ungefär sex minuters dubbning. Creator-planen kostar cirka 270 kr i månaden och räcker till runt 50 minuters dubbning. Studio kostar cirka 925 kr i månaden, ger betydligt mer kapacitet och plats för tre användare. Årsbetalning ger 25 procent rabatt på samtliga planer.
Prompt Agency kombinerar strategisk rådgivning med AI-driven produktion och utbildning. Vi hjälper företag att automatisera, effektivisera och skala sin content- och kommunikationsproduktion — utan att kompromissa med kvalitet.
Vi är din produktionspartner med byråkvalitet i AI-hastighet.
Nyfiken? Kontakta [email protected]
Quick links
TikTok spärrade 20 konton efter att en BBC-utredning avslöjat ett nätverk av sexualiserade AI-genererade karaktärer som föreställde svarta kvinnor och användes för att locka användare till externa sajter med explicit innehåll.
DoorDash lanserade Tasks, en plattform där gigarbetare kan tjäna pengar på korta uppdrag som att fotografera maträtter eller filma vardagliga moment — data som sedan används för att träna AI- och robotsystem.
Cursor erkände att kodmodellen Composer 2 bygger på kinesiska Moonshot AIs öppna modell Kimi 2.5, men först efter att en utvecklare hittade modell-ID:t i API-trafiken — något företaget inte nämnde vid lanseringen.
