📊 绩隐金日报 · 第47期

专注数据库前沿，为DBA提供实战视角 2026年6月30日｜精选5条全球重磅新闻

01｜OceanBase发布"湖库一体"AI数据库：一套引擎替代交易库+数仓+向量库+数据湖

6月29日，OceanBase正式发布面向AI时代的湖库一体AI数据库，提出以"湖库一体"为核心架构，将数据湖的开放与海量存储能力、数据库的事务处理与分析能力，以及多模态数据处理能力统一到一套强一致的数据底座上，帮助Agent（智能体）一次获取完整业务上下文。

核心判断：OceanBase CEO杨冰认为，AI落地瓶颈正从"模型会不会思考"转向"是否理解业务"。数据使用者正从"人"变为"Agent"，数据形态也从结构化走向多模态，两者叠加，数据库必须从架构层重构而非叠加修补。

五大技术特点：

湖库一体：将结构化、半结构化和非结构化数据纳入同一套元数据、权限、事务管理体系；
多模表与AI列：向量、文本、图片、音视频等在同一张表语义下统一管理，AI列可自动生成摘要、标签、向量等语义结果；
Agent友好：原生支持Agent记忆、上下文、状态与行动记录的存储与检索，通过混合搜索提供精准上下文；
开放生态：支持S3兼容对象存储与Iceberg开放表格式，可对接Spark、Ray等计算引擎；
一体化设计：一套系统承载事务处理、实时分析和AI负载，TCO降低30%-50%。

落地验证：已在蚂蚁阿福、灵光等AI场景完成验证，其中灵光累计生成数千万个"闪应用"，验证了湖库一体架构在千万级Agent场景下的可行性。

OceanBase CTO杨传辉表示："真正的一体化，必须发生在架构层。湖库一体不是数据库和数据湖的简单拼接，而是在同一套引擎中统一管理多模态数据，打通在线与离线处理。"

DBA视角：OceanBase"湖库一体"直接回应了DBA在AI时代最头疼的问题------数据分散在多套系统（交易库+数仓+向量库+数据湖）带来的运维复杂度和数据一致性问题。过去DBA需要在多套系统间维护ETL管道、保障数据一致性、管理不同引擎的监控告警；现在Lakebase在一套引擎内统一处理。TCO降低30%-50%的数据，为DBA在做技术选型时的成本论证提供了量化依据。多模表和AI列的设计，也意味着DBA需要学习多模态数据建模和向量索引维护的新技能。
CTO视角：OceanBase的判断------"AI落地瓶颈从模型转向数据"------与当前行业共识高度吻合。Lakebase+DataStudio+DataPilot三件套覆盖了从数据引擎、数据治理到业务入口的全链路，为CTO规划AI数据架构提供了一个"All-in-One"选项。已在蚂蚁阿福等真实场景完成千万级Agent验证，降低了选型风险。
投资人视角：OceanBase从"分布式数据库替代"向"AI数据基础设施"的战略升级路径清晰。杨冰提出的"从跟随者走向共同定义者"，是国产数据库产业成熟的关键信号。叠加OceanBase连续三年金融分布式市场第一的业绩，AI数据库有望成为其估值重构的核心变量。

02｜DB-Engines 2026年6月排名：PostgreSQL逼近SQL Server，传统三巨头集体失速

DB-Engines 2026年6月全球数据库排名显示，数据库头部格局正经历近20年来最剧烈的结构性变化。

关键数据：

数据库	2026年6月得分	月度变化	年度变化	与上一名分差
Oracle	1140.04	-3.24	-90.35	---
MySQL	856.29	-0.21	-97.29	283.75
SQL Server	698.04	-2.95	-78.71	158.25
PostgreSQL	688.23	+5.55	+7.58	9.81

核心观察：

Oracle、MySQL、SQL Server三大传统商业/半商业数据库延续下滑态势，年度合计流失超过260分；
PostgreSQL是唯一实现月度和年度双增长的头部数据库，与SQL Server的差距已从一年前的86.29分急剧缩小至9.81分，预计2026年Q4将超越SQL Server，登顶全球第三；
pgvector下载量突破1亿次，超过80%的RAG应用选择PostgreSQL作为向量数据库。

分析认为，PostgreSQL的增长源于三大驱动力：社区驱动的技术创新、完美适配云原生、以及pgvector在AI时代的爆发式增长。

DBA视角：PostgreSQL距离SQL Server仅剩9.81分，意味着"开源数据库超越商业数据库"的历史性拐点即将到来。对DBA而言，这不仅是技术趋势，更是职业信号的明确指向------PostgreSQL技能正在从"加分项"变成"必选项"。pgvector下载量突破1亿次，说明向量检索能力已成为数据库标配，DBA需加速补齐向量索引维护和RAG场景优化的技能短板。
CTO视角：传统三巨头年度合计流失超260分，说明企业数据库选型的天平正在不可逆地倒向开源。PostgreSQL在金融、医疗、电商等领域已实现大规模替代（招商银行、字节跳动、Netflix等均已迁移）。CTO在规划技术路线时，应默认将PostgreSQL作为评估基准，而非仅作为备选。

03｜一周安全漏洞聚焦：Redis Lua脚本RCE、Splunk预认证RCE链、Aix-DB未授权SQL查询

本周多个数据库相关高危安全漏洞集中披露，需引起DBA高度关注：

Redis Lua脚本远程代码执行（CVE-2026-23631） ：CVSS 8.1，影响Redis 7.2.x至8.6.x多个版本。经过身份验证的攻击者可利用主从数据同步机制，在禁用只读模式的副本服务器上触发内存管理缺陷，通过构造特定Lua脚本操作导致内存错误引用，最终实现远程代码执行并完全控制目标系统。PoC和EXP均已公开。受影响版本范围广泛，建议立即升级至7.2.14、7.4.9、8.2.6、8.4.3或8.6.3以上版本。

Splunk Enterprise预认证RCE漏洞链（CVE-2026-20253） ：CVSS 9.8，影响Splunk Enterprise 10及后续版本。漏洞源于新版Splunk引入的PostgreSQL Sidecar Service组件，在AWS云部署中默认启用。攻击者可通过Splunk主Web界面发送特制HTTP请求访问内部API端点，利用目录遍历和PostgreSQL连接字符串注入实现任意文件写入，最终在目标系统执行任意命令。AWS上的Splunk Enterprise用户需优先修补。

Aix-DB未授权SQL查询（CVE-2026-8335） ：影响Aix-DB 1.2.4及更早版本。"/llm/process_llm_out"端点缺少身份验证检查，允许未经身份验证的客户端执行任意SELECT SQL查询并检索数据库数据。

Oracle MySQL NDB Cluster权限漏洞（CVE-2026-46861） ：影响8.0.11至9.7.0版本，低权限攻击者可通过网络访问获得创建、删除、修改或读取关键数据的权限。

DBA视角 ：Redis漏洞的PoC/EXP已公开，建议立即排查Redis版本并升级。尤其注意检查副本服务器的replica-read-only配置------该漏洞利用的核心条件之一即此配置被设为no。Splunk漏洞的特殊之处在于攻击面是"数据库中间件层"，而非数据库内核本身------PostgreSQL Sidecar Service的认证缺陷被作为跳板实现RCE。这一模式提醒DBA：数据库周边的辅助服务（Sidecar、代理、迁移工具）正成为新的攻击入口。Aix-DB的未授权SQL查询漏洞则说明：AI数据库/LLM相关的新兴数据库组件，其安全成熟度仍然堪忧。CVE-2026-46861覆盖MySQL NDB Cluster 9.7.0及以下版本，9.7 LTS用户也需关注。
CTO视角：Redis和Splunk两个高危漏洞同日披露，且均已有公开PoC/EXP，安全团队应将其列为紧急处置对象。Splunk漏洞在AWS云环境中默认启用，对使用Splunk的云部署企业影响较大。

04｜腾讯云PostgreSQL内核更新：tencentdb_ai支持DeepSeek-V4，pgvectorscale持续进化

腾讯云数据库PostgreSQL近期发布内核版本更新（v18.4_r1.8、v17.10_r1.18等）。核心更新包括：

tencentdb_ai插件增强 ：新增TokenHub后端支持，可通过OpenAI兼容协议调用大模型广场上的多种模型，新增对DeepSeek-V4-Flash、DeepSeek-V4-Pro模型的支持；
安全修复：修复CVE-2026-6473、CVE-2026-6475、CVE-2026-6477、CVE-2026-6637等多个安全漏洞；
主备切换稳定性：修复备机startup进程在删除failover slot时LWLock递归获取导致WAL回放永久卡死的问题。

此前版本（v18.1_r1.5）已新增pgvectorscale 0.9.0插件能力，支持DiskANN向量索引。

DBA视角：腾讯云PG内核tencentdb_ai插件新增DeepSeek-V4模型支持，意味着在PostgreSQL数据库内即可通过SQL调用国产大模型进行嵌入生成和推理，无需在数据库和AI服务之间搭建额外的数据管道。pgvectorscale的持续迭代，为DBA在云上PostgreSQL中部署DiskANN向量索引提供了生产级选择。
CTO视角：腾讯云PG内核的AI能力迭代速度值得关注。从tencentdb_ai支持NL2SQL到pgvectorscale产品化，再到TokenHub对接DeepSeek-V4，腾讯云正在将PostgreSQL打造成"AI数据库"的完整拼图。

05｜PostgreSQL 14停服倒计时：距EOL不足5个月，生产环境需立即规划升级

PostgreSQL 14将于2026年11月12日正式停止接收修复更新。距离EOL仅剩不到5个月。

建议：仍在生产环境运行PG 14的企业需立即制定升级计划，迁移至PG 17/18等受支持版本。此前PG 14已发布最后一个版本14.23（5月14日），后续不再有安全补丁和Bug修复。

DBA视角 ：PG 14 EOL倒计时不足5个月，DBA需立即启动升级评估。建议使用pg_upgrade --check进行兼容性预检，重点关注扩展模块依赖和postgresql.conf参数差异。PG 18是当前LTS推荐版本，支持周期至2031年5月。
CTO视角：PG 14 EOL与PG 18稳定化形成清晰的升级窗口。建议制定Q3分批次升级计划，优先迁移非核心环境验证兼容性后，再推进生产核心系统。

📚 SQL小知识点

本期知识点：什么是"湖库一体"？

"湖库一体"是OceanBase在AI时代提出的数据库架构新范式------将数据湖（Data Lake）的开放存储能力与数据库（Database）的事务处理、分析能力统一到同一套引擎中。

传统架构 vs 湖库一体：

维度	传统多系统架构	湖库一体
系统数量	交易库+数仓+向量库+数据湖	一套引擎
数据一致性	多系统间ETL同步，有延迟	原生一致
运维复杂度	多套系统独立维护	统一管理
AI支持	需额外搭建向量检索组件	内置多模态+向量检索
TCO	高	降低30%-50%

OceanBase Lakebase的五大技术特点：

湖库一体：统一元数据、权限、事务和生命周期管理；
多模表与AI列：结构化、文本、图片、向量在同一张表语义下管理；
Agent友好：统一存储Agent记忆、上下文与行动记录；
开放生态：支持S3兼容对象存储与Iceberg开放表格式；
一体化设计：一套系统承载事务、分析和AI负载。

对DBA的意义：湖库一体意味着DBA将从"维护多套系统"的繁重工作中解放出来，但同时也要求DBA具备多模态数据建模、向量索引维护和混合负载调优的新技能。

绩隐金团队出品 口号：绩优隐于内，金石启新程 | Hidden deep. Merit bold. Forge ahead.