2022年5月23日，fastjson 官方发布安全通报，1.2.80及以下版本存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击，漏洞等级为高危，风险影响较大。

7-Zip是一款拥有极高压缩比的开源压缩软件。4月16日，研究人员披露了流行的开源压缩管理器7-Zip中的一个本地权限提升漏洞（CVE-2022-29072）。

2022年04月01日，天问平台新增推出了Spring Framework 远程代码执行漏洞纯离线检测工具：“天蚕3.0-Spring漏洞离线专查版”。该专查工具所有分析检测过程全部在被测主机上离线完成，不需要将任何信息回传服务器，解决了敏感信息泄露的担忧。

2022年3月17日12时许，天问Python供应链威胁监测模块捕获到六个可疑包，它们在代码中import相同依赖包seccache的操作引起了我们的注意，我们立马对这六个包及其依赖包进行了分析，发现这六个恶意包实为通过import的方式触发依赖包seccache中的反弹shell

2022年3月9日，天问Python供应链威胁监测模块捕获到一个typosquatting攻击aiohttp-proxy的恶意Python包aiohttp-proxies，这是自2月21日以来第三次监测到类似攻击手法。

在刚刚过去的一个月内（2022.1.7至2022.2.9），奇安信技术研究院星图实验室自研的天问软件供应链安全分析平台npm监测模块捕获了536个npm恶意包，这些恶意包的行为大多都是获取用户本地的敏感信息并回传，攻击者通过自动化的方式，发布大量的此类恶意包来对目标进行探测，所获取的信息为攻击者的下一步攻击行为提供参考。