Claude Fable 5 是 Anthropic 推出的全新 Mythos 级模型，现已集成至 GitLab Duo Agent 平台。这是一项重大升级，使模型能够完成此前 AI 难以应对的复杂多步骤任务，同时缩短迭代周期。Claude Fable 5 凭借其增强的能力，提升了 Duo Agentic Chat 及基础代理的功能。该模型可通过 AI Gateway 在所有 GitLab 层级和部署模式中访问。其关键优势在于针对复杂问题实现了可衡量的首射准确率提升，显著缩短开发时间。Claude Fable 5 在技术图像和截图的解读方面也表现出卓越性能。该模型具备长视界自主性，可在长时间跨度和数百万 token 的范围内维持高效产出，使代理工作流无需人工干预即可完整执行；Claude Fable 5 能够自我修正并管理并行子代理。工程领导者将受益于人工监督成本的降低以及分配更具挑战性问题的能力。缺陷检测与事件响应亦得到改进，得益于更深层的代码推理和更具可操作性的审查评论。用户被鼓励在最具挑战性的未解难题中充分利用 Claude Fable 5。Claude Fable 5 将于 2026 年 6 月 9 日起在 GitLab Duo Agent 平台上线。

GitLab 漏洞研究团队发现了一起针对 PyPI 的协调供应链攻击，该攻击利用了一种 Shai-Hulud 恶意软件变体。共发现五个恶意包：其中四个是对 Flask、Requests 和 NumPy 等流行库的域名抢注（typosquat），第五个则是被武器化的合法项目 mflux-streamlit。这些包在安装时即执行代码，无需导入，并采用自我传播的凭证窃取器。恶意软件针对各大云服务商的 CI/CD 环境，试图窃取来自 GitHub、AWS、Azure、GCP 等的凭证。此外，它还针对数据库和 Vault，甚至尝试在 CI 运行器上提升权限。该攻击利用 Python 的 .pth 文件机制进行初始执行，下载并运行 Bun JavaScript 运行时以执行混淆后的负载。该负载包含 Shai-Hulud 蠕虫，能够收集敏感信息。该蠕虫同样具备自我传播能力，会将恶意文件提交至仓库并发布更多投毒包。GitLab 确认其自身系统未受影响，并分享调查结果以协助更广泛的安全社区。所有恶意包均源自同一个 PyPI 账户 elitexp，该账户此前曾发布过合法项目。建议用户移除受影响的包、轮换凭证，并审计系统以排查可疑活动。GitLab Ultimate 用户可利用依赖扫描功能检测此类漏洞。

Anthropic 最新推出的 Claude Opus 4.8 模型现已集成至 GitLab Duo Agent 平台，旨在提升智能体在处理复杂任务时的性能。该模型擅长在较长周期内自主执行复杂的、多步骤的智能体序列。Opus 4.8 具备卓越的推理与规划能力，从而产出更清晰的结果并减少人工干预。它增强了指令理解能力，使既定智能体工作流中的结果更加高效且准确。除编程外，该模型在文档起草、数据分析及结构化知识任务方面同样表现优异。其关键特性之一是支持对话中途的系统提示，允许动态更新指令，从而避免重新初始化提示缓存，在应对不断变化的条件时尤为高效。Opus 4.8 现已可在 GitLab Duo Agent 平台中使用，并消耗 GitLab Credits。用户可通过 GitLab 的各级别订阅启动免费试用或访问智能体平台。现有 Premium 或 Ultimate 订阅用户可使用其包含的 GitLab Credits。

演示通常展示编码代理快速生成拉取请求，却未能解决提交后的问题，如 CI/CD 失败。此类失败往往源于缺乏平台上下文，导致返工而非加速交付。将编码代理与 GitLab 等平台集成，后者提供问题、流水线和安全策略上下文，有助于避免失败。GitLab 教程展示了如何通过增加代理的上下文来提升代码质量、安全性和审查周期。代理受益于仓库、问题和合并请求的上下文，以与团队标准和计划保持一致。 当代理在合并请求内工作时，审查周期缩短，合并时间得以改善。平台团队定义代理的访问权限和验证流程，使平台而非代理成为安全代码交付的关键。随着代理生成的代码增多，安全性变得愈发关键，瓶颈从漏洞发现转移至修复审批。具备上下文的代理可根据实际暴露情况对漏洞进行优先级排序。 `AGENTS.md` 文件中的自定义指令通过标准化项目结构和期望，提升代理输出质量。GitLab 等平台提供的结构化且相关的上下文，因上下文窗口限制，优于原始数据转储。代理通过在合并请求中处理审查反馈，同时维持现有控制措施，从而加速修订。要开始代理式编码，请修复一个真实缺陷，使用 `AGENTS.md` 进行文档化，并专注于高效交付上下文。

第三方代码依赖引入了显著的安全风险，而 AI 生成代码的漏洞进一步加剧了这些风险。传统的依赖扫描器已无法满足现代应用安全需求。GitLab 19.0 引入了基于软件物料清单（SBOM）的依赖扫描功能，以有效应对这些挑战。该功能对项目依赖进行清单化管理，识别应用程序实际使用的易受攻击包。扫描过程追踪传递性依赖至其源头，提供关键上下文信息。同时，系统根据代码可达性对漏洞进行优先级排序，提升防护重点。系统持续扫描新漏洞，确保持续保护。GitLab 的 SBOM 扫描器支持多种包生态系统，现已简化新语言和文件格式的添加。安全配置配置文件可简化跨项目的部署与执行。团队可一次性配置依赖扫描，并通过策略广泛应用。新的依赖扫描功能面向 GitLab Ultimate 用户开放，并提供迁移指南。详细的操作说明和文档便于快速部署与使用。

随着组织规模扩大，CI/CD 平台在大规模保障代码管道安全方面面临可扩展性挑战。在 AI 驱动的代码交付速度不断提升的背景下，手动为各项目配置扫描器变得难以管理。GitLab 19.0 引入安全配置配置文件（Security Configuration Profiles）以应对这一挑战。这些配置文件是集中式设置，用于定义安全扫描器的运行方式和时机。通过消除在每个项目文件中配置扫描器的需求，从而简化了安全运维。配置文件使各项目从第一天起即可启用 SAST、依赖项扫描和密钥检测。这些配置文件自动在合并请求和分支管道中执行 SAST 和依赖项扫描。密钥检测还包括推送保护，以实时捕获密钥。其优势包括实现标准化覆盖、在发布前发现漏洞以及防止依赖项被篡改。安全配置配置文件可通过 GitLab 的安全清单（Security Inventory）轻松实施，需要 GitLab Ultimate 许可，并可应用于单个项目或整个组。在迁移期间，基于配置文件的设置与遗留配置可共存。

GitLab 的 CI/CD 目录允许团队发布和共享可复用的流水线组件。这些组件部署后，难以追踪其使用情况和版本管理。GitLab 19.0 在 CI/CD 目录中引入了组件分析（Components Analytics），以解决这一可见性缺失问题。该功能为所有 CI/CD 组件提供采用数据和用量统计。概览视图（所有版本均支持，包括免费版）显示每个组件的最新版本及使用该项目数量。GitLab Ultimate 用户可访问下钻视图，揭示哪些项目使用了特定组件版本。这有助于识别过时组件及潜在安全风险。组件分析提供了对所用组件及其版本的清晰理解，使团队能够优先安排维护工作、规划弃用策略并提升安全响应速度。组件分析提供的原生可见性超越了 GitHub Actions、CircleCI 和 Jenkins 等其他平台的能力，确保 CI 标准得到执行，并使平台投资获得回报。随着 AI 生成更多流水线，CI/CD 目录与组件分析协同工作，以扩展自动化工作流。自托管和专用版客户同样受益于组件镜像功能。