From 37 items, 14 important content pieces were selected
- 字节跳动拟在海外部署 3.6 万枚英伟达 B200 芯片以加速 AI 研发 ⭐️ 9.0/10
- 卡塔尔氦气停产使全球芯片供应链面临两周倒计时 ⭐️ 8.0/10
- Anthropic 为 Claude Opus 4.6 和 Sonnet 4.6 全面开放 100 万上下文窗口,按标准定价收费 ⭐️ 8.0/10
- Shopify CEO 使用 AI autoresearch 实现 Liquid 模板引擎性能提升 53% ⭐️ 8.0/10
- AppArmor 关键漏洞允许本地提权至 root 并发动拒绝服务攻击 ⭐️ 8.0/10
- Linux 内核页缓存中发现新的时序侧信道漏洞 ⭐️ 8.0/10
- Lemonade v10 新增 Linux NPU 支持并扩展多模态 AI 功能 ⭐️ 8.0/10
- 上海首例脑机接口手术进展:瘫痪患者实现“意念”喝水 ⭐️ 8.0/10
- 我能在本地运行 AI 吗?本地 AI 部署实用指南 ⭐️ 7.0/10
- 调查揭露美国年龄验证法案背后的企业协同推动 ⭐️ 7.0/10
- Reddit 讨论质疑学术会议中 LLM 基准测试论文的价值 ⭐️ 7.0/10
- 盲人用户寻求本地 LLM 替代 Claude Code 和 Codex 以完成无障碍任务 ⭐️ 7.0/10
- 苹果或将全球下调 App Store 佣金至 20% ⭐️ 7.0/10
- 研究称支付宝 DeepLink 与 JSBridge 漏洞可致个人信息外泄 ⭐️ 7.0/10
字节跳动拟在海外部署 3.6 万枚英伟达 B200 芯片以加速 AI 研发 ⭐️ 9.0/10
字节跳动正与东南亚云服务商 Aolani Cloud 合作,计划在马来西亚部署约 500 套 Nvidia Blackwell 计算系统,总计约 3.6 万颗 B200 芯片,相关硬件投入可能超过 25 亿美元。字节跳动计划将这批算力用于境外 AI 研发,并支撑全球 AI 服务需求。 这是对 AI 基础设施的重大战略投资,显著加剧了全球 AI 竞争,尤其是在中国科技公司通过海外部署寻求获取先进 AI 芯片的背景下。这一大规模硬件投入展示了字节跳动在 AI 发展方面的雄心,并可能重塑全球 AI 服务的竞争格局。 英伟达 B200 芯片具备 90GB 显存,功耗高达 1200W,相比前代产品有显著提升。通过马来西亚的 Aolani Cloud 进行部署,使得字节跳动能够获取先进 AI 硬件,尽管出口限制影响了中国公司的直接采购。
telegram · zaihuapd · Mar 13, 08:45
背景: 英伟达的 Blackwell 架构是该公司最新的 GPU 微架构,接替了 Hopper 和 Ada Lovelace 架构。Blackwell 平台提供了显著的性能改进,英伟达声称其性能比当前的 Hopper 系列提升 4 倍。Aolani Cloud 是一家总部位于马来西亚的云服务提供商,专门提供以 AI 为中心的云基础设施和高性能计算解决方案。
参考链接
标签: #AI Hardware, #Nvidia, #ByteDance, #Cloud Computing, #AI Infrastructure
卡塔尔氦气停产使全球芯片供应链面临两周倒计时 ⭐️ 8.0/10
卡塔尔液化天然气生产停产导致全球约 30%的氦气供应中断,可能在两周内扰乱全球半导体制造。主要芯片制造商如 SK 海力士已实现供应多元化,而台积电正在监测情况但预计不会立即受到影响。 此次中断凸显了半导体供应链的关键脆弱性,氦气等关键材料的地缘政治集中度造成了系统性风险。韩国和台湾各占全球半导体产能的 18%,任何生产放缓都可能产生连锁经济和技术后果,尤其影响 AI 内存芯片需求。 氦气因其低温特性、导热性和化学惰性对半导体制造至关重要,特别是在晶圆冷却方面没有可行的替代品。虽然一些公司正在探索回收方法和长期合同以提高韧性,但全球供应立即减少 30%给芯片制造商寻找替代来源创造了紧迫的时间窗口。
hackernews · johnbarron · Mar 13, 12:31
背景: 氦气是天然气开采的副产品,主要在液化天然气生产过程中获得。卡塔尔通过卡塔尔天然气公司和罗斯卡塔尔公司运营着全球最大的氦气处理设施,使其成为全球主要供应商。在半导体制造中,氦气因其独特的物理特性被用于整个生产线的冷却、吹扫和载气,能够在芯片制造过程中实现精确的温度控制和污染预防。
参考链接
社区讨论: 社区评论反映了多样化的担忧,包括因芯片短缺导致个人电脑更换成本的担忧、供应链依赖的地缘政治影响,以及关于制造中氦气回收的技术问题。一些用户提到了美国在 2024 年战略氦气储备的剥离,而其他人则强调了氦气之外更广泛的供应链脆弱性,如氮肥。
标签: #semiconductors, #supply-chain, #manufacturing, #geopolitics, #materials-science
Anthropic 为 Claude Opus 4.6 和 Sonnet 4.6 全面开放 100 万上下文窗口,按标准定价收费 ⭐️ 8.0/10
Anthropic 已为 Claude Opus 4.6 和 Claude Sonnet 4.6 模型全面开放 100 万 token 的上下文窗口,在整个 100 万窗口范围内均适用标准定价,不收取长上下文溢价。这与 OpenAI 和 Gemini 等竞争对手形成对比,后者对超过特定 token 阈值(GPT-5.4 为 272,000,Gemini 3.1 Pro 为 200,000)的提示会收取额外费用。 此举显著降低了长上下文 AI 应用的成本门槛,使开发者和企业能够更经济地处理大型文档、代码库或复杂对话,而无需担心溢价层级。这代表了 LLM 市场的竞争格局变化,Anthropic 正通过定价透明度和长上下文用例的价值来差异化自身。 Opus 4.6 和 Sonnet 4.6 先前支持 20 万上下文窗口,100 万 token 窗口处于测试阶段,但现在 100 万上下文已全面开放。根据 Anthropic 的文档,Opus 4.6 支持最大 12.8 万输出 token,而 Sonnet 4.6 支持最大 6.4 万输出 token,两者都具备扩展思考能力。
rss · Simon Willison · Mar 13, 18:29
背景: 上下文窗口指的是 LLM 在单个提示中能够处理的 token(文本单元)数量,决定了模型一次性能考虑多少信息。更长的上下文窗口使模型能够处理更大的文档、维持更长的对话或更有效地分析复杂代码库。许多 LLM 提供商实施分层定价,超过特定上下文阈值的用量会产生更高的每 token 成本,从而对扩展输入形成’长上下文溢价’。
参考链接
标签: #llms, #ai, #pricing, #anthropic, #generative-ai
Shopify CEO 使用 AI autoresearch 实现 Liquid 模板引擎性能提升 53% ⭐️ 8.0/10
Shopify CEO Tobias Lütke 向 Liquid Ruby 模板引擎仓库提交了一个拉取请求,通过使用 Andrej Karpathy 的 autoresearch AI 系统变体发现的数十项微优化,实现了解析+渲染性能提升 53%,内存分配减少 61%。优化过程在两天内运行了约 120 个自动化实验,产生了 93 次提交,具体改进包括用 byteindex 搜索替换 StringScanner 以及缓存小整数转换。 这展示了像 autoresearch 这样的 AI 辅助开发工具如何能在成熟、广泛使用的开源项目中发掘显著的性能改进,这些项目已经过数百名贡献者数十年的优化。这种方法可能影响软件工程实践,使系统化的性能优化更加普及,特别是对于高干扰角色的开发者,他们可以利用编码代理来维持高效的工作流程。 优化包括用 String#byteindex 替换 StringScanner 分词器(搜索速度提升 40%,解析时间减少 12%),实现纯字节解析以消除昂贵的 StringScanner 重置,以及缓存 0-999 整数的 to_s 转换以避免内存分配。该项目利用了包含 974 个单元测试的健壮测试套件,并使用 Pi 编码代理和自定义的 pi-autoresearch 插件来执行基准测试驱动的实验。
rss · Simon Willison · Mar 13, 03:44
背景: Liquid 是 Shopify 创建的开源模板语言,使用 Ruby 编写,最初于 2005 年开发,灵感来自 Django 模板。自 2006 年以来一直在 Shopify 生产环境中使用,并广泛用于 Ruby on Rails 应用程序中渲染动态内容。Autoresearch 是 Andrej Karpathy 的系统,使 AI 编码代理能够运行数百个半自主实验以发现有效技术,最初为优化 nanochat 等模型的训练而开发。
标签: #performance-optimization, #ruby, #ai-assisted-development, #open-source, #template-engines
AppArmor 关键漏洞允许本地提权至 root 并发动拒绝服务攻击 ⭐️ 8.0/10
Qualys 披露了 AppArmor 中的多个关键漏洞,统称为’CrackArmor’,其中包括一个混淆代理(confused-deputy)漏洞,允许非特权用户通过伪文件操纵安全配置文件、绕过用户命名空间限制并在内核中执行任意代码。这些漏洞通过与 Sudo 和 Postfix 等工具的复杂交互,促成本地提权至 root,同时还能通过栈耗尽发动拒绝服务攻击,并通过越界读取绕过内核地址空间布局随机化(KASLR)。 此事至关重要,因为 AppArmor 是一个广泛使用的 Linux 安全模块,部署在许多基于 Debian 的发行版和其他 Linux 系统中,用于对应用程序实施强制访问控制。成功利用这些漏洞可能允许攻击者从非特权的本地位置获得完整的系统控制权(root 访问权限),破坏容器隔离,并通过拒绝服务攻击扰乱系统可用性,影响众多生产环境和云部署。 这些漏洞具体涉及通过伪文件操纵安全配置文件,这可以绕过容器环境中通常使用的用户命名空间保护。KASLR 绕过技术利用越界读取来击败内核地址随机化,而栈耗尽攻击则通过消耗所有可用栈内存来使系统崩溃。
rss · LWN.net · Mar 13, 14:02
背景: AppArmor 是一个 Linux 安全模块(LSM),通过安全配置文件将程序限制在一组有限的资源内,从而实现强制访问控制。混淆代理(confused-deputy)漏洞发生在具有提升权限的组件(代理)被诱骗代表非特权用户执行操作时,导致未经授权的访问。内核地址空间布局随机化(KASLR)是一种安全功能,通过随机化内核内存地址,使攻击者无法知道特定代码的位置,从而增加利用难度。
参考链接
标签: #security, #vulnerabilities, #AppArmor, #Linux, #privilege-escalation
Linux 内核页缓存中发现新的时序侧信道漏洞 ⭐️ 8.0/10
研究人员 Sudheendra Raghav Neela、Jonas Juffinger、Lukas Maar 和 Daniel Gruss 于 2026 年 3 月发现了 Linux 内核页缓存中的新时序侧信道漏洞。这些漏洞允许与 2019 年部分修复的攻击相同类型的攻击,包括通过 2023 年添加的 cachestat()系统调用实现的攻击。 这很重要,因为页缓存是 Linux 性能的基础,并在不同权限级别之间共享,使得攻击者可以访问时序信息并利用它进行严重的安全破坏。这些漏洞可能使攻击者能够绕过地址空间布局随机化(ASLR)或推断击键时序以重建输入的文本,突显了保护共享内核资源的持续挑战。 这些漏洞源于对 mincore()系统调用和较新的 cachestat()系统调用的不完整修复,这些调用泄露了页面存在和访问的时序信息。此外,即使没有特定的系统调用,也可以通过测量页面读取延迟的基本时序来利用漏洞,因为不在缓存中的页面读取时间更长。
rss · LWN.net · Mar 13, 13:59
背景: 时序侧信道攻击利用执行时间的差异来推断敏感信息,如加密密钥或内存访问模式。Linux 页缓存将最近访问的文件数据存储在 RAM 中以加速读写,但其在进程间共享的特性可能泄露时序数据。mincore()系统调用允许程序检查页面是否在缓存中,2019 年的先前修复旨在防止其泄露未映射页面的信息。
标签: #Linux Kernel, #Security, #Side-Channel Attacks, #Page Cache, #Systems Research
Lemonade v10 新增 Linux NPU 支持并扩展多模态 AI 功能 ⭐️ 8.0/10
本周发布的 Lemonade v10 引入了对 AMD NPU(神经处理单元)的 Linux 支持,并扩展了多模态功能,包括可通过单一基础 URL 访问的图像生成/编辑、转录和语音生成。该版本还包含一个用于管理模型和后端的控制中心 Web 和桌面应用,并全面支持 Ubuntu、Arch、Debian、Fedora 和 Snap。 这很重要,因为它使本地 AI 应用能够在 Linux 系统上利用 AMD NPU 硬件加速,显著提升图像和语音处理等多模态 AI 任务的性能和效率。它通过简化可移植、跨平台应用的部署,增强了本地 AI 生态系统,减少了对云服务的依赖。 Linux NPU 支持在 Ubuntu 24.04 上需要特定的设置步骤,包括安装 rocm-dkms/rocm-utils、使用 ‘options amdgpu npt=3’ 配置 amdgpu 模块,以及设置 HIP_VISIBLE_DEVICES=0 和 LEMONADE_BACKEND=npu 等环境变量。该版本基于四个月前 Lemonade v9 的 C++ 实现构建,并是 AMD Lemonade 开发者挑战的一部分,该挑战提供高端 Strix Halo 笔记本电脑作为奖品。
reddit · r/LocalLLaMA · jfowers_amd · Mar 13, 17:49
背景: Lemonade 是一个本地 AI 框架,支持在个人设备上运行语言模型和多模态 AI 应用,无需依赖云端。NPU(神经处理单元)是一种专为 AI 推理任务设计的硬件加速器,例如 AMD 客户端 APU 中的 NPU,相比通用 CPU 或 GPU 能提供更好的性能和效率。多模态 AI 结合了文本、图像和音频等不同数据类型,以增强决策和用户交互。
参考链接
社区讨论: 社区评论表达了对 Linux NPU 支持的兴奋和感谢,用户分享了 Ubuntu 的技术设置技巧,并询问了针对 Strix Halo 硬件的优化方法。有用户请求提供模型转换到 Hybrid 模式的指南,并与其他工具如 LM Studio 进行比较,这突显了实际关切和对进展的热情。
标签: #Linux, #NPU, #Local AI, #Multi-modal AI, #AMD
上海首例脑机接口手术进展:瘫痪患者实现“意念”喝水 ⭐️ 8.0/10
在世界脑机接口联合会议上,复旦大学附属华山医院院长毛颖教授披露,上海首例脑机接口手术成功让一名瘫痪患者通过“意念”控制手套喝水。手术采用了术中功能定位技术,大幅缩短了手术时间。 这代表了神经假肢技术的重要进展,通过脑机接口技术为瘫痪患者实现了现实世界的功能恢复。术中定位技术缩短手术时间,可能使此类手术在全球范围内更易实施且更安全。 该系统包括一枚硬币大小的植入体,置于患者颅骨外以采集感觉运动皮层的神经信号,配合外部手套设备由脑电信号控制。患者因车祸导致颈椎错位已瘫痪四年。
telegram · zaihuapd · Mar 13, 09:30
背景: 脑机接口(BCI)采集大脑信号并将其转换为外部设备的指令,无需使用正常的神经肌肉通路。术中功能定位技术如功能磁共振成像和皮层映射帮助外科医生在手术中精确定位大脑区域,提高准确性并缩短手术时间。神经假肢将 BCI 与辅助设备结合,为神经系统疾病患者恢复丧失的功能。
参考链接
标签: #brain-computer interface, #medical technology, #neurosurgery, #assistive technology, #neuroprosthetics
我能在本地运行 AI 吗?本地 AI 部署实用指南 ⭐️ 7.0/10
关于在本地运行 AI 模型的讨论已经出现,重点关注硬件要求、模型选择和实际实施挑战。对话包括关于 MoE 与密集模型等架构的技术见解,以及使用本地部署工具的实际经验。 这很重要,因为本地 AI 部署在 2025 年正成为主流,相比基于云的解决方案,它能显著节省成本(每月可节省高达 300-500 美元的 API 费用),同时提供更好的隐私保护、定制化和更低的延迟。这影响到希望在不依赖外部 API 的情况下实施 AI 的开发者、研究人员和组织。 讨论强调,与密集模型相比,像 GPT-OSS-20B 这样的 MoE 模型在相同硬件上每秒能生成更多令牌,因为它们每个令牌只激活一部分参数。然而,它们仍然需要足够的 VRAM 来容纳整个模型大小,这在性能和内存要求之间形成了权衡。
hackernews · ricardbejarano · Mar 13, 12:46
背景: 本地 AI 部署指的是直接在个人或组织硬件上运行机器学习模型,而不是通过基于云的 API。这种方法因隐私问题、成本节约以及简化设置的 Ollama 和 LocalAI 等开源工具的可用性而越来越受欢迎。关键考虑因素包括硬件规格(尤其是 VRAM)、模型架构选择以及每秒令牌数等性能指标。
参考链接
社区讨论: 社区成员分享了本地 AI 部署的实际经验,包括推荐 Qwen3.5:9B 等小型模型用于嵌入式应用,以及对缺乏基于硬件限制的模型选择明确指导的挫败感。一些人建议改进工具,例如添加对更高内存配置的支持和反向查询功能,以比较不同模型的硬件性能。
标签: #AI, #Local Deployment, #Machine Learning, #Hardware, #Open Source
调查揭露美国年龄验证法案背后的企业协同推动 ⭐️ 7.0/10
一位 Reddit 用户发布了一项广泛调查,追踪了美国各州年龄验证法案背后的公司,揭露了一个利用 IRS 990 申报文件和 WHOIS 查询等公共记录进行的协同影响力操作。调查发现,该操作正在操作系统层面构建监控基础设施,而其背后的公司自身平台却无需承担任何新要求。 这很重要,因为它揭露了企业利益如何塑造隐私立法以创建监控基础设施,同时逃避责任,可能在儿童保护的幌子下为广泛的数字监控树立先例。这些发现凸显了对数字隐私权和技术政策立法过程完整性的重大影响。 该调查使用包括参议院游说披露、州道德数据库和 Wayback Machine 档案在内的多种数据源,分析了 20 亿美元的非营利资助和 45 项州法案。一个关键发现是,推动这些法案的公司尽管在立法中倡导监控基础设施,但其自身平台却无需承担任何新要求。
rss · LWN.net · Mar 13, 14:09
背景: 年龄验证法案是要求在线平台验证用户年龄的拟议立法,通常通过政府 ID 或生物识别数据,据称是为了保护儿童免受有害内容侵害。IRS 990 申报文件是非营利组织必须向 IRS 提交的年度纳税申报表,提供可揭示资金来源和活动的财务和运营细节。WHOIS 查询通过查询数据库来识别域名注册者,而 Wayback Machine 档案保存网站的历史版本,两者都可用于跟踪组织变化和影响力活动。
参考链接
标签: #privacy, #surveillance, #policy, #investigation, #age-verification
Reddit 讨论质疑学术会议中 LLM 基准测试论文的价值 ⭐️ 7.0/10
Reddit 的 r/MachineLearning 版块发起了一场讨论,对 NeurIPS 和 ICLR 等主要会议中大量出现的 LLM 基准测试论文表示担忧,质疑其实用性,因为模型更新迅速导致结果在发表时已过时。讨论特别指出,专有 LLM 每月更新,使得论文中测试的模型在发表时已被弃用甚至无法获取。 这一批评很重要,因为它挑战了学术出版生态系统对快速发展的 AI 研究的处理方式,传统出版时间线与技术快速进步之间存在冲突。它引发了关于研究质量、’不发表就出局’文化以及这类论文是否提供有意义的科学贡献而非仅为科技公司营销的疑问。 讨论指出,虽然论文中的基准测试排名很快过时,但为这些基准创建的数据集对从业者测试自己的模型和发现性能退化仍然有用。然而,一个关键限制是大多数基准测试孤立地评估模型,而实际生产工作负载涉及多步骤链式任务,错误会在此过程中累积。
reddit · r/MachineLearning · casualcreak · Mar 13, 04:21
背景: NeurIPS(神经信息处理系统会议)和 ICLR(国际学习表征会议)是机器学习领域三大高影响力会议中的两个,另一个是 ICML。LLM 基准测试涉及在特定任务或数据集上评估大型语言模型,以衡量准确性、速度或效率等能力。OpenAI、Anthropic 和 Google 等公司对专有 LLM 的快速迭代意味着模型可能每月更新或替换,这对传统上出版周期较长的学术研究构成了挑战。
参考链接
社区讨论: 社区情绪普遍对当前基准测试实践持批评态度,用户描述许多论文信噪比低,主要服务于发表要求而非推动科学进步。关键观点包括:一些用户认为这些论文本质上是’产品评测’而非科学贡献;其他人指出虽然论文排名会过时,但数据集对于实际测试可能有用;还有关于什么构成有意义的基准测试与测试’随机无关数据集’的讨论。
标签: #LLM, #Benchmarking, #Academic Publishing, #Machine Learning, #Research Critique
盲人用户寻求本地 LLM 替代 Claude Code 和 Codex 以完成无障碍任务 ⭐️ 7.0/10
一位盲人用户分享了 AI 如何改变其技术无障碍体验,使其能够获得准确的图像描述、文档朗读和编程辅助,但对 Claude Code Pro 和 Codex Pro 等云服务的高昂成本表示担忧。他们正在调查本地 LLM 是否能为构建无障碍会计软件等任务提供可比的精度和生产就绪能力。 这凸显了 AI 在提升残障人士无障碍体验方面的关键作用,特别是在减少信息和技术获取障碍方面。寻找经济实惠的本地替代方案反映了 AI 工具民主化的更广泛趋势,成本效益高的解决方案可以使更多用户在不依赖昂贵云服务的情况下,利用 AI 开发个性化的辅助技术。 社区推荐包括用于图像和视频描述的 Qwen3.5 模型,特别提到了用于编程任务的 Qwen3.5-Coder-Next 和用于图像支持的 Kimi K2.5。然而,评论指出,本地 LLM 目前无法完全匹配 Claude Code 等云服务的精度和性能,除非投入大量硬件资源,如多块高端 GPU 或具有大容量统一内存的 Apple Silicon Mac。
reddit · r/LocalLLaMA · Mrblindguardian · Mar 13, 17:54
背景: 本地 LLM 是在个人硬件而非云服务器上运行的大型语言模型,具有潜在的成本节约和隐私优势,但通常需要大量的计算资源。Claude Code 和 Codex 分别是由 Anthropic 和 OpenAI 开发的专有 AI 模型,以在编码和多模态任务中的高性能而闻名,但通过基于订阅的云服务访问。AI 的无障碍应用包括图像描述、文档朗读和编程辅助,这些可以显著增强盲人和视障用户的独立性。
参考链接
社区讨论: 社区讨论呈现了平衡的观点,一些用户推荐特定的本地模型,如用于图像描述和编程任务的 Qwen3.5 和 Kimi K2.5,而另一些用户则警告说,没有昂贵的硬件投资,本地替代方案无法完全与 Claude Code 等云服务匹敌。大家一致认为,像 OpenRouter 这样的基于云的选项提供了一个更实惠的中间方案,但也强调了硬件考虑因素,如使用 Apple Silicon Mac 以提高效率。
标签: #Accessibility, #Local LLMs, #AI Applications, #Cost-Benefit Analysis, #Assistive Technology
苹果或将全球下调 App Store 佣金至 20% ⭐️ 7.0/10
苹果上周在欧盟推出了复杂的 App Store 新条款,条款细节暗示公司可能将标准佣金从 30%降至 20%,且这一变化可能推广至全球市场。这将是苹果首次为所有开发者降低 30%的标准抽成比例。 这一潜在的全球佣金下调可能显著影响应用开发者的收入和盈利能力,可能重塑移动应用经济格局。这标志着苹果长期 App Store 政策的重大转变,该政策近年来在全球范围内面临日益增加的监管审查和开发者批评。 新条款被描述为极其复杂,连苹果设计奖得主 Ryan Jones 都表示没有开发者朋友能理解具体含义。分析师认为,如果苹果仅在欧盟实施 20%佣金而全球其他地区维持 30%,这种差异化定价并不合理,暗示全球调整即将到来。
telegram · zaihuapd · Mar 13, 01:49
背景: 苹果 App Store 传统上对应用内购买和订阅向开发者收取 30%的佣金,对年收入低于 100 万美元的小型企业则适用 15%的优惠费率。这一佣金结构一直是反垄断调查和法律纠纷的核心争议点,特别是欧盟《数字市场法案》要求苹果允许替代应用商店和支付系统。App Store 作为 iOS 应用的独家分发平台,使苹果对 iOS 生态系统拥有显著控制权。
标签: #App Store, #Apple, #Tech Policy, #Mobile Development, #Digital Economy
研究称支付宝 DeepLink 与 JSBridge 漏洞可致个人信息外泄 ⭐️ 7.0/10
安全研究机构 Innora AI Security Research 发布技术分析称,在支付宝 com.eg.android.AlipayGphone v10.8.26.7000 和 v10.8.30.8000 版本中,DeepLink 与 WebView JSBridge 组合可形成攻击链,用户点击链接后外部页面即可调用部分 AlipayJSBridge API。报告称 iOS 有 18 个可用 API,高于 Android 的 13 个,涉及 tradePay、getLocation 等接口,API 被利用可导致网络和位置信息泄露。 该漏洞影响全球用户超 10 亿的最大移动支付平台之一,可能通过看似正常的应用功能泄露敏感金融和位置数据。此次披露凸显了移动应用生态系统中持续存在的安全挑战,其中 DeepLink 和 JavaScript 桥接技术虽然提升了用户体验,但如果安全防护不当可能形成攻击面。 研究团队已按负责任披露流程向蚂蚁集团提交多轮报告,蚂蚁集团于 2026 年 3 月 10 日回复相关问题属于“正常功能”。编辑注指出原文明确展示的“漏洞”仅有定位权限获取和直达支付弹窗两者,提示可能存在内容夸大。
telegram · zaihuapd · Mar 13, 11:43
背景: DeepLink(深度链接)允许移动应用从外部链接直接打开特定内容或功能,常用于实现网页与应用间的无缝用户体验。JSBridge(JavaScript 桥接)使 WebView 组件中加载的网页内容能与原生应用代码通信,允许 JavaScript 调用原生功能。AlipayJSBridge 是支付宝的具体实现,为应用内的网页内容提供支付、定位等服务的 API。当这些技术结合不当时,可能允许外部页面访问本应仅限于受信任域名的敏感 API。
参考链接
标签: #Security, #Mobile Security, #Alipay, #JSBridge, #Privacy