一句话看懂:2026 年 6 月 8 日,Spring 生态大规模更新:Spring Boot、Security、AMQP 等发布增量版本,Spring AI 2.0 与 Spring Data 2026.0.0 正式推出,同时修复了多项安全漏洞,尤其是 LDAP、Kafka 和 HATEOAS 中的关键 CVE。
事件核心:发生了什么
本周 Spring 生态发布了多个组件的增量版本(多数为 4.1.0 或 7.1.0),以及两个正式版:Spring AI 2.0.0 和 Spring Data 2026.0.0。具体亮点包括:Spring Boot 4.1.0 支持 Spring gRPC 并优化内存;Spring Security 7.1.0 新增 InetAddressMatcher 功能接口;Spring Integration 7.1.0 调整跨域处理方式;Spring Modulith 2.1.0 引入 Namastack 与 JobRunr 事件支持以及 @ModuleSlicing 切片测试注解。Spring AI 2.0.0 更新了 Google GenAI 模型枚举,废弃旧模型并新增 GEMINI_3_1_PRO_PREVIEW。安全方面,重要修复包括:LDAP 允许空密码通过认证(CVE-2026-41720)、Kafka 的恶意头导致资源耗尽与重试错乱(CVE-2026-41726、CVE-2026-41727、CVE-2026-41731),以及 HATEOAS 的 Jackson 绕过漏洞和缓存无边界问题(CVE-2026-41006、CVE-2026-41007)。
为什么重要
这一周更新展示了 Spring 在 AI 集成与安全加固两端的投入。Spring AI 2.0 的正式发布意味着企业级 Java 开发者可以更紧密地将大模型功能(如 Google Gemini 系列)嵌入现有应用,这与之前靠社区中间件的模式不同。另一方面,本周修复的多项 CVE 指向了常见的反序列化、鉴权绕过和资源耗尽问题——尤其 LDAP 空密码漏洞与 Kafka 头注入,对高安全要求场景是直接风险。Spring 团队通过从 Jackson 转换器移除通配符、引入“不信任任何人”默认原则,表明生态正收紧默认安全策略。
对用户/开发者/创作者的影响
对使用 Spring 构建生产系统的开发团队来说,本周更新建议按优先级处理:
1. 立即关注 LDAP(CVE-2026-41720)和 Kafka(CVE-2026-41726/41727/41731)的修复,存在实际威胁;
2. 需要用大模型能力做应用集成的团队,Spring AI 2.0 提供了更规范的 API 和模型枚举,建议升级;
3. Spring Modulith 的切片测试注解 @ModuleSlicing 将帮助微服务架构团队在模块级别做更精细的测试隔离;
4. 使用 Jackson 序列化的项目,注意 HATEOAS 的 CVE-2026-41006 可能暴露敏感属性。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
1. Spring AI 2.0 后续是否会引入更多闭源模型厂商(如 Anthropic、Cohere)的原生支持,还是继续以 Google 和 OpenAI 为主。
2. Spring Security 新增的 InetAddressMatcher 和 AllRequiredFactorsAuthorizationManager.anyOf() 是否会被更广泛的微服务安全框架采纳。
3. 本周安全漏洞的补丁节奏与 CVSS 评分更新,尤其是 LDAP 空密码问题是否影响 Spring Security 的认证抽象层设计。
来源:InfoQ CN
