漏洞概述 近日披露的 Thymeleaf 模板注入漏洞 (CVE-2026-40478) 被评为 CVSS 9.1 分，引起广泛关注。该漏洞源于攻击者利用制表符 (Tab) 绕过 Thymeleaf 沙箱的关键字过滤，进而可能导致远程代码执行 (RCE)。 漏洞成因 该漏洞的核心在于沙箱对表达式解析的限制被绕过，但其前提条件极为关键：只有当开发者在代码中直接将用户输入传递给 Thymeleaf 表达式引擎（而非将其作为数据模型处理）时，该漏洞才可被利用。这种模式通常属于对框架的错误使用。 修复与建议 立即升级：无论是否确认受影响，建议尽快将 Thymeleaf 升级至 3.1.4 或更高版本，或更新 Spring Boot Starter 至最新版本。 代码审查：检查是否存在动态构建模板字符串或根据用户输入解析视图的情况。如果存在此类“误用模式”，应从代码层面进行修复。 防御性编程：确保用户输入始终与模板逻辑分离，严禁将未经过滤的用户输入直接解析为表达式。

JetBrains 发布了 IntelliJ IDEA 2026.1.2 版本，重点针对多项已知问题进行了修复与优化。本次更新解决了包括 Gradle 项目导入、Java 代码格式化、Windows 系统下快捷键冲突以及拖拽代码导致消失等问题。此外，该版本还修复了 MCP 服务器路径解析错误、工作区功能异常以及导致 IDE 卡死的多个性能故障。用户可通过 IDE 内置更新、Toolbox App 或官网下载渠道获取该版本。

JetBrains 宣布更新 Kotlin Multiplatform (KMP) 的默认项目结构。此次调整旨在使模块职责更加清晰，更好地符合构建系统惯例，并适配 Android Gradle Plugin 9.0 的变更。核心变化在于将原有的单一模块结构拆分为独立的共享逻辑库模块（shared）和各平台的应用入口模块（如 androidApp、desktopApp 等）。这一改动不仅提升了项目的一致性，还简化了后续的模块化扩展。开发者可以通过 Kotlin Multiplatform 向导创建新项目，或参考官方提供的迁移指南更新现有项目。

背景与目的 随着人工智能技术的飞速发展，AI辅助编程工具正深刻改变开发者的工作流。为了深入了解Kotlin开发者在实际应用中的体验、痛点及需求，JetBrains正式启动了一项关于AI辅助Kotlin开发的社区问卷调查。 参与反馈 通过参与本次调查，开发者可以分享真实的使用反馈，从而帮助塑造Kotlin生态的未来。完成问卷的参与者将有机会赢取亚马逊礼品卡或JetBrains全产品订阅包。此外，KotlinConf 2026的参会者在完成调查后，还可前往注册台与团队交流并领取纪念礼品。

本期概览 本期Java每周资讯涵盖了从架构治理到AI辅助编程的广泛话题。重点推荐了Netflix关于利用ArchUnit与Nebula ArchRules进行大规模架构规则管理的实践分享。此外，内容还涉及了JDK 27的预览特性（如结构化并发、模式匹配）、AI对代码定义的深层思考，以及关于开发新编程语言的经验教训。本期还汇总了包括Spring AI、Hibernate Search、Quarkus等主流框架的最新版本更新，以及多场关于Java安全与系统架构的播客与讲座推荐。

版本更新亮点 Compose Multiplatform 1.11.0 已正式发布，此次更新重点提升了 iOS 和 Web 平台的体验，并优化了 UI 测试流程。 主要改进 iOS 原生文本输入：引入了基于 UIView 的实验性原生文本输入实现，提供更精准的光标控制、原生手势及系统菜单支持（如自动填充、翻译等）。 性能优化：iOS 平台的并发渲染功能现已设为默认开启，无需额外配置即可提升渲染性能。 UI 测试升级：全面支持 v2 版 ComposeUiTest API，采用 StandardTestDispatcher 作为默认调度器，使测试行为更具可预测性，同时废弃了旧版测试 API。 Web 滚动优化：重构了 Web 端的触摸处理逻辑，显著提升了滚动流畅度，使其更接近原生平台体验。

核心内容摘要 本文记录了开发者在MelodyMatrix项目中与BentoFX库作者Matt Coley共同排查UI布局问题的过程。主要探讨了以下核心议题： BentoFX布局机制：深入解析了BentoFX作为JavaFX停靠布局库的运作逻辑，包括树状容器结构及自动修剪（Pruning）机制，并指出开发者常因误解库的内部逻辑而导致冲突。 调试工具的应用：强调了Scenic View在JavaFX开发中的重要性，通过实时查看场景图（Scene Graph）和布局属性，能有效定位CSS样式冲突及偏移问题。 对AI辅助编程的反思：文章指出AI生成的代码虽然能解决短期问题，但往往存在脆弱性且缺乏对库内部机制的深入理解。建议开发者在进行代码审查时，应优先考虑资深开发者的经验建议，而非过度依赖AI生成的方案。 问题解决经验：通过移除冗余的宽度管理和动画代码，简化了项目结构，并发现了BentoFX库本身存在的潜在Bug。

核心概念 WebDriverManager 是一个 Java 库，旨在自动化管理 Selenium 项目中的浏览器驱动程序。它通过自动检测已安装的浏览器版本、下载匹配的驱动二进制文件并进行配置，解决了手动维护驱动路径和版本兼容性的痛点。 主要功能 自动解析与下载：程序化处理驱动生命周期，无需手动下载和更新。 本地缓存：支持驱动程序本地缓存，避免重复下载，提升测试执行效率。 跨浏览器支持：提供一致的接口来管理 Chrome、Firefox、Edge 等不同浏览器的驱动。 动态配置：支持在运行时根据配置动态加载驱动，适用于 CI/CD 流水线及复杂测试环境。 使用优势 相较于传统的 System.setProperty 手动配置方式，WebDriverManager 显著增强了代码的可移植性和可维护性，减少了因驱动版本不匹配导致的运行时错误。

本文介绍了如何利用Spring AI框架与MongoDB Atlas向量搜索功能构建自动化代码审查助手。文章详细阐述了项目架构的核心步骤，包括定义审查模式模型、构建服务层、配置REST接口，以及如何利用Spring AI生成嵌入向量并实现高效的模式检索，从而提升代码审查的智能化水平。