1. iTerm2에서 임의 코드 실행이 가능한 취약점 발견
보안 연구원들이 사용자가 `cat readme.txt`와 같은 명령으로 악성 파일을 터미널에 출력할 때 임의 코드가 실행될 수 있는 iTerm2의 취약점을 공개했습니다. 이 취약점은 터미널 이스케이프 시퀀스를 통해 터미널이 가짜 원격 스크립트와 통신하도록 유도하는 iTerm2의 SSH 통합 기능을 악용합니다. 프로젝트 저장소에 패치가 커밋되었으나 아직 안정 버전에는 반영되지 않았으므로, 업데이트가 배포될 때까지 신뢰할 수 없는 파일 내용을 터미널에 출력할 때 주의가 필요합니다.
2. Anthropic, Claude Design 출시
Anthropic이 새로운 Claude Opus 4.7 비전 모델을 기반으로 한 전용 애플리케이션인 Claude Design을 출시했습니다. 이 도구를 통해 사용자는 텍스트 프롬프트와 인라인 편집 컨트롤을 사용하여 UI 프로토타입, 웹사이트 디자인, 프레젠테이션을 생성할 수 있습니다. 개발자는 디자인을 표준 형식으로 내보내거나 패키징된 번들을 Claude Code로 직접 전달하여 구현할 수 있습니다. 현재 Pro, Max, Team, Enterprise 구독자를 대상으로 배포 중입니다.
3. Qwen, Qwen3.6-35B-A3B 비전-언어 모델 출시
Qwen 팀이 총 350억 개의 파라미터 중 30억 개가 활성화되는 희소 Mixture-of-Experts(MoE) 비전-언어 모델인 Qwen3.6-35B-A3B를 오픈 소스로 공개했습니다. 이 모델은 에이전트 기반 코딩 능력을 갖추고 있으며 GSM8K와 같은 표준 벤치마크에서 높은 성능을 기록했습니다. Red Hat AI는 LLM Compressor를 사용하여 즉시 배포 가능한 NVFP4 양자화 체크포인트를 동시 공개했습니다. 개발자들은 로컬 또는 클라우드 환경에서 코딩 및 비전 작업을 위해 이 효율적인 모델을 활용할 수 있습니다.
4. 휴대용 가상 머신을 위한 Smol machines 도구 출시
Smol machines는 개발자가 1초 미만의 콜드 스타트로 커스텀 Linux 가상 머신을 로컬에서 관리하고 실행할 수 있게 해주는 새로운 CLI 도구입니다. Docker 데몬 없이도 macOS나 Linux에서 실행 가능한 단일 휴대용 파일로 상태 저장형 VM을 패키징합니다. 선택적 네트워킹을 지원하는 하드웨어 격리 샌드박싱을 제공하여 신뢰할 수 없는 AI 생성 코드를 안전하게 실행하는 데 적합하며, virtio ballooning을 통한 탄력적 메모리 할당으로 호스트 자원 소모를 최소화합니다.
5. NIST, 취약점 정보 보강 범위를 제한하는 CVE 정책 변경
미국 국립표준기술연구소(NIST)가 국가 취약점 데이터베이스(NVD)의 메타데이터 보강 작업을 고위험 보안 결함으로 제한한다고 발표했습니다. 앞으로 NIST는 CISA의 '알려진 악용 취약점(KEV)' 목록, 연방 기관 사용 소프트웨어, 운영체제 및 방화벽과 같은 주요 소프트웨어의 CVE만 보강할 예정입니다. 이번 정책 변경으로 수천 개의 하위 우선순위 취약점들이 상세 정보 없이 남게 됨에 따라, 자동화된 의존성 스캔 도구에 의존하는 개발자들은 보안 파이프라인 조정이 필요할 수 있습니다.
6. Windsurf 2.0 출시, 에이전트 커맨드 센터 및 Devin 통합 추가
Windsurf 2.0이 새로운 에이전트 커맨드 센터와 자율 소프트웨어 엔지니어링 에이전트 Devin과의 네이티브 통합을 포함하여 출시되었습니다. 이번 업데이트는 로컬 및 클라우드 기반 에이전트 세션을 관리할 수 있는 칸반 스타일의 인터페이스를 도입하여 개발자가 진행 상황을 추적하고 작업을 관리할 수 있게 합니다. 사용자는 이제 에디터에서 직접 클라우드 기반 Devin VM에 복잡한 디버깅, 테스트, 배포 워크플로우를 위임할 수 있습니다. Devin 액세스는 모든 Windsurf 플랜에 포함되며 순차적으로 배포됩니다.
7. NanoClaw 및 Vercel, 에이전트 정책 도구 출시
NanoCo와 Vercel이 협력하여 자율 AI 에이전트를 위한 표준화된 인프라 수준의 승인 시스템을 출시했습니다. 이 프레임워크는 에이전트에게 직접 API 키와 광범위한 권한을 부여하는 대신, 구조화된 정책 설정과 승인 대화창을 도입합니다. 15개의 메시징 앱과 통합되어 개발자가 권한 없는 작업의 위험 없이 클라우드 인프라 관리와 같은 작업에 에이전트를 안전하게 배포할 수 있도록 지원합니다. 이를 통해 에이전트를 제한된 샌드박스에서 실제 운영 환경으로 안전하게 전환할 수 있는 경로를 제공합니다.
8. Fish Audio, S2 Pro 텍스트 음성 변환 모델 출시
Fish Audio가 멀티 스피커 및 멀티 턴 생성 기능을 갖춘 새로운 오픈 가중치 텍스트 음성 변환(TTS) 모델인 S2 Pro를 출시했습니다. 이 모델은 [whisper]나 [laughing]과 같은 자연어 태그를 사용하여 인라인으로 감정과 운율을 제어할 수 있습니다. 초당 51자를 처리하며, 100만 자당 15달러의 유료 API로 이용 가능합니다. 개발자는 Hugging Face에 공개된 가중치와 파인튜닝 코드를 사용하여 모델을 직접 호스팅할 수도 있습니다.
9. Perplexity, Personal Computer 플랫폼 출시
Perplexity가 복잡한 워크플로우를 위한 OS 수준의 오케스트레이터 역할을 하도록 설계된 AI 플랫폼 'Personal Computer'를 배포하기 시작했습니다. 이 시스템은 로컬 파일, 네이티브 애플리케이션, 웹 리서치를 통합하여 자율적으로 추론 경로를 평가하고 다단계 목표를 완료합니다. 감사 가능한 작업 기록과 사용자 킬 스위치를 포함한 보안 샌드박스 환경에서 작동합니다. 현재 Perplexity Max 구독자를 대상으로 우선 배포 중이며 Mac mini 환경에 최적화되어 있습니다.