From 55 items, 31 important content pieces were selected

  1. GitHub 严重 RCE 漏洞 CVE-2026-3854 披露 ⭐️ 9.0/10
  2. Talkie:基于 1931 年前文本训练的 13B 复古语言模型 ⭐️ 9.0/10
  3. Ghostty 因平台衰落离开 GitHub ⭐️ 8.0/10
  4. 回顾 GitHub 对开源的变革 ⭐️ 8.0/10
  5. OpenAI 模型将登陆 Amazon Bedrock ⭐️ 8.0/10
  6. 谷歌静默更新威胁安卓开放性 ⭐️ 8.0/10
  7. Claude Code 写的代码归谁所有? ⭐️ 8.0/10
  8. 阿联酋宣布退出 OPEC ⭐️ 8.0/10
  9. GitHub Actions 供应链风险曝光 ⭐️ 8.0/10
  10. AISLE 在 OpenEMR 医疗软件中发现 38 个 CVE ⭐️ 8.0/10
  11. Pip 26.1 引入锁定文件和依赖冷却 ⭐️ 8.0/10
  12. Fedora Linux 44 发布,带来 GNOME 50 和 Apple Silicon 支持 ⭐️ 8.0/10
  13. NVIDIA 发布 Nemotron-3-Nano-Omni-30B-A3B-Reasoning ⭐️ 8.0/10
  14. 用户放弃本地 LLM 用于编码,称其决策能力差 ⭐️ 8.0/10
  15. 欧盟依据 DMA 对谷歌启动两项程序 ⭐️ 8.0/10
  16. 中国禁止外资收购 Manus AI 项目 ⭐️ 8.0/10
  17. 谷歌与美国防部签署机密 AI 协议 ⭐️ 8.0/10
  18. Qwen 开源 FlashQLA:线性注意力内核速度提升 2-3 倍 ⭐️ 8.0/10
  19. LiteLLM SQL 注入漏洞可未授权读取 API 密钥 ⭐️ 8.0/10
  20. LocalSend:开源跨平台 AirDrop 替代品 ⭐️ 7.0/10
  21. Waymo 在波特兰推出自动驾驶打车服务 ⭐️ 7.0/10
  22. Claude.ai 和 API 遭遇重大宕机,引发可靠性讨论 ⭐️ 7.0/10
  23. GitHub 承诺提升可用性,回应过去一年频繁宕机 ⭐️ 7.0/10
  24. 使用 NASA 影像的实时日月仪表盘 ⭐️ 7.0/10
  25. 交互式工具可视化神经网络损失景观 ⭐️ 7.0/10
  26. Qwen 3.6 27B 量化基准测试:Q4_K_M 最佳权衡 ⭐️ 7.0/10
  27. DeepSeek 视觉能力开发引发社区热议 ⭐️ 7.0/10
  28. Anthropic“数字代购”实验:AI 智能体在真实市场交易 ⭐️ 7.0/10
  29. 教育部新增 38 种本科专业,含具身智能等交叉学科 ⭐️ 7.0/10
  30. 中国处罚剪映、即梦 AI 等平台 AI 内容标识违规 ⭐️ 7.0/10
  31. Warp 开源客户端代码库,集成 GPT 代理工作流 ⭐️ 7.0/10

GitHub 严重 RCE 漏洞 CVE-2026-3854 披露 ⭐️ 9.0/10

Wiz Research 披露了一个影响 GitHub.com 和 GitHub Enterprise Server 的严重远程代码执行漏洞 CVE-2026-3854(CVSS 8.7),允许经过身份验证的攻击者通过一次 git push 命令实现远程代码执行。 该漏洞至关重要,因为在补丁发布七周后,仍有 88% 的本地 GitHub Enterprise Server 实例未修补,使大量组织面临完全被攻陷的风险。 该漏洞存在于 GitHub 的内部 git 基础设施中,经过身份验证的用户可以通过推送特制仓库来触发。修复版本为 GHES 3.19.3 及更高版本。

hackernews · bo0tzz · Apr 28, 16:15

背景: GitHub Enterprise Server (GHES) 是 GitHub 的自托管版本,供需要本地代码托管的组织使用。远程代码执行漏洞允许攻击者在服务器上运行任意命令,可能导致系统完全沦陷。Wiz 研究团队使用 AI 增强的逆向工程发现了该漏洞。

参考链接

社区讨论: 社区称赞了 Wiz 的工作,并强调了 AI 增强逆向工程在漏洞研究中的有效性。评论者对大量未修补实例表示担忧,并就替代 GitHub 平台的挑战展开了讨论。

标签: #security, #vulnerability, #github, #RCE, #AI-assisted reversing

Talkie:基于 1931 年前文本训练的 13B 复古语言模型 ⭐️ 9.0/10

研究人员 Nick Levine、David Duvenaud 和 Alec Radford 发布了 talkie-1930-13b,这是一个 130 亿参数的语言模型,仅基于 2600 亿个 1931 年之前的英文文本 token 训练,同时发布了指令微调的聊天版本,两者均采用 Apache 2.0 许可证。 该模型引入了新颖的“复古语言模型”概念,具有严格的历史知识截止点,使得研究 LLM 在无现代数据的情况下预测未来事件、发明截止点后的发现或学习编程成为可能。Alec Radford 的参与和开源许可证放大了其对 AI 研究和历史 NLP 的影响。 基础模型在 2600 亿个 1931 年前的英文文本 token 上训练,指令微调模型使用了从 1931 年前参考作品中提取的指令-响应对的新颖数据集,并进一步使用 Claude Sonnet 4.6 作为评判者和 Claude Opus 4.6 生成的合成多轮对话进行优化。该项目还解决了来自 1931 年后文本和现代 LLM 辅助的污染挑战。

rss · Simon Willison · Apr 28, 02:47

背景: 大型语言模型(LLM)通常在海量互联网数据上训练,没有固定的历史截止点,这使得研究其泛化能力变得困难。像 talkie 这样的“复古语言模型”具有特定历史日期(1931 年)的严格知识截止点,使研究人员能够探究模型在训练数据之后的事件推理能力。Apache 2.0 许可证允许自由使用、修改和分发。

参考链接

社区讨论: Simon Willison 称赞了这一发布,强调了其在“纯素模型”(仅使用免版权数据训练)方面的潜力,但指出聊天模型的微调依赖于非纯素 LLM(Claude)生成的合成数据,这可能会引入时代错位的知识。他还希望训练数据能够被发布。

标签: #language model, #historical NLP, #open source, #AI research, #NLP

Ghostty 因平台衰落离开 GitHub ⭐️ 8.0/10

Mitchell Hashimoto 宣布其终端模拟器项目 Ghostty 将离开 GitHub,原因是情感依恋以及对 GitHub 在微软旗下衰落的失望。 此举凸显了开发者对 GitHub 平台衰落和微软影响日益增长的不满,可能引发更多项目迁移以及对开源平台伦理的讨论。 Hashimoto 描述在写博客文章时流泪,强调了他与 GitHub 的深厚情感联系。这一决定经过数月讨论,反映了社区对 GitHub 可靠性和方向的广泛担忧。

hackernews · WadeGrimridge · Apr 28, 19:44

背景: GitHub 于 2018 年被微软收购,是开源代码托管的主导平台。Mitchell Hashimoto 是 HashiCorp 的联合创始人,也是 GPU 加速终端模拟器 Ghostty 的创建者。他离开 GitHub 标志着开发者信任的重大转变。

参考链接

社区讨论: 社区评论对 Hashimoto 的情感挣扎表示同情,并分享了对 GitHub 衰落的观察,有人指出非自由软件本质上值得怀疑。还有人建议 GitHub 应聘请 Hashimoto 担任 CEO 以扭转局面。

标签: #GitHub, #open-source, #platform migration, #developer experience, #Microsoft

回顾 GitHub 对开源的变革 ⭐️ 8.0/10

Armin Ronacher 的一篇回顾性博客文章探讨了 GitHub 如何将开源焦点从项目转向个人,同时批评了中心化和存档实践。 这篇反思凸显了 GitHub 对开源文化的深远影响,引发了关于中心化与去中心化以及软件遗产保存的持续辩论。 文章指出,GitHub 使得创建与个人而非正式项目关联的仓库变得容易,并认为其作为中央存档的角色可能会削弱集体的存档技能。

hackernews · mlex · Apr 28, 21:17

背景: GitHub 于 2008 年推出,成为托管 Git 仓库的主导平台,引入了个人资料和分支等社交功能,强调个体贡献者。在 GitHub 之前,像 SourceForge 这样的平台需要更正式的项目设置。这篇文章反思了这一转变如何改变了开源文化。

社区讨论: 评论中讨论了 Git 与 Fossil 的优劣,一位用户对 Git 的主导地位表示遗憾,尽管 Fossil 拥有集成工具。另一位评论者认为 GitHub 的中心化是有害的,因为它削弱了集体的存档技能,并主张采用具有联邦机制的去中心化锻造平台。

标签: #GitHub, #open source, #version control, #community, #archival

OpenAI 模型将登陆 Amazon Bedrock ⭐️ 8.0/10

OpenAI 宣布与 AWS 合作,将其模型(包括 GPT-4o 和 Codex)通过 Amazon Bedrock 提供,这是一项用于构建生成式 AI 应用的完全托管服务。该合作还推出了由 OpenAI 驱动的 Amazon Bedrock 托管代理。 此举通过利用 AWS 庞大的客户群和受信任的基础设施,显著扩大了 OpenAI 在企业领域的覆盖范围,尤其是在受监管行业。这也加剧了与 Anthropic 的竞争(其模型已在 Bedrock 上可用),并挑战了微软作为 OpenAI 主要云合作伙伴的独家地位。 Bedrock 上的 OpenAI 模型将通过统一 API 访问,并提供定制化和安全控制选项。该合作包括 OpenAI 的专有模型和开放权重模型,但具体定价和可用日期尚未公布。

hackernews · translocator · Apr 28, 19:24

背景: Amazon Bedrock 是 2023 年推出的完全托管服务,通过单一 API 提供来自多家 AI 公司的基础模型。它与 Microsoft Azure AI Foundry 和 Google Cloud 的 Vertex AI 竞争。此前,OpenAI 模型主要通过 Microsoft Azure 提供,限制了已有 AWS 承诺的企业的采用。

参考链接

社区讨论: 社区评论指出,OpenAI 此前未出现在 Bedrock 上,导致企业因信任和隐私问题转向 Anthropic 的 Claude。一些用户注意到,由于优化差异,不同平台的推理结果可能不同,增加了非确定性。其他人推测此举是对失去企业市场给 Anthropic 以及微软关系变化的直接回应。

标签: #OpenAI, #AWS, #Bedrock, #Enterprise AI, #Cloud Computing

谷歌静默更新威胁安卓开放性 ⭐️ 8.0/10

从 2026 年 9 月起,谷歌将要求所有安卓应用由经过验证的开发者注册,阻止未经批准的应用安装在认证设备上,并对侧载应用强制设置 24 小时等待期。 这一变化削弱了安卓开放性的核心承诺,可能使其变成类似 iOS 的围墙花园,并可能损害依赖侧载获取自由、隐私或地区应用访问的用户。 该政策适用于全球所有认证安卓设备,无法选择退出,尽管存在面向开发者的“高级流程”。用户若禁用开发者选项,必须重新启用才能关闭新的侧载限制。

hackernews · doener · Apr 28, 15:21

背景: 安卓长期以来一直允许用户从官方 Google Play 商店之外安装应用(即侧载),这使其与 iOS 区分开来。这种开放性一直是许多用户选择安卓而非 iPhone 的关键原因。谷歌的新限制旨在打击诈骗和胁迫,但批评者认为这是迈向供应商锁定的步骤。

参考链接

社区讨论: 社区评论分歧明显:一些用户感到被背叛,认为安卓的开放性是其相对于 iOS 的唯一优势;而另一些人指出,限制并非如声称的那样绝对,存在可选择的退出流程。普遍的担忧是,这为进一步的锁定设下了先例,减少了用户选择。

标签: #Android, #Google, #open source, #vendor lock-in, #mobile ecosystem

Claude Code 写的代码归谁所有? ⭐️ 8.0/10

一篇 Substack 文章探讨了围绕 Anthropic 的 AI 编程代理 Claude Code 生成的代码所存在的未解决的版权和所有权问题,强调了法律模糊性及其对开源软件的影响。 这个问题很重要,因为 AI 生成的代码越来越多地用于软件开发,而版权归属不明确可能会影响开源许可、开发者权利以及个人和公司的法律责任。 美国版权局已声明,主要由 AI 生成且缺乏有意义的人类作者身份的作品不符合版权保护条件,但这一规则尚未在全国范围内确立。欧盟 AI 法案还要求披露 AI 生成的内容,增加了另一层复杂性。

hackernews · senaevren · Apr 28, 11:24

背景: Claude Code 是 Anthropic 开发的 AI 编程代理,可以探索代码库、回答问题并进行修改。版权法传统上保护人类作者创作的原创作品,但 AI 生成的内容挑战了这一框架,引发了关于所有权和侵权的持续法律辩论。

参考链接

社区讨论: Hacker News 上的社区评论揭示了多种观点:有人认为指导代理的人类应拥有版权,而另一些人则担心对窃取的知识产权进行版权“清洗”。也有人怀疑法院最终会偏向企业利益而非开发者。

标签: #AI, #copyright, #open source, #legal, #software engineering

阿联酋宣布退出 OPEC ⭐️ 8.0/10

阿拉伯联合酋长国宣布立即退出 OPEC,结束了长达数十年的成员国身份,这是一次历史性的分裂。 此举可能显著削弱 OPEC 对全球油价的影响力,并重塑中东地缘政治联盟,尤其是阿联酋正与以色列和美国加强合作。 退出发生在沙特与阿联酋关系紧张之际,此前阿联酋要求巴基斯坦提前偿还 35 亿美元贷款,凸显了地区更广泛的重组。

hackernews · bazzmt · Apr 28, 13:02

背景: OPEC 是石油输出国组织,是一个协调产量以影响油价的产油国卡特尔。阿联酋自 1967 年起成为成员国,是最大的产油国之一。近年来,阿联酋与沙特在产量配额和战略方向上的内部分歧日益加剧。

社区讨论: 评论者指出了地缘政治背景,包括新兴的阿联酋-以色列轴心以对抗沙特和伊朗的影响力,以及 OPEC 成员国历史上倾向于违反配额。一些人认为这是 OPEC 权力的重大裂痕,可能导致全球石油市场格局的转变。

标签: #OPEC, #geopolitics, #oil, #UAE, #energy

GitHub Actions 供应链风险曝光 ⭐️ 8.0/10

nesbitt.io 的一篇博客文章指出,GitHub Actions 依赖可变标签引用第三方操作,带来了严重的供应链安全风险,建议改用提交哈希或迁移到更安全的 CI 平台。 这很重要,因为 GitHub Actions 被广泛用于 CI/CD 流水线,一个被攻破的第三方操作可能将恶意代码注入数千个项目,影响整个软件供应链。 Git 中的标签可以被移动指向不同的提交,攻击者无需更改标签引用即可用恶意版本替换合法操作。使用提交哈希(SHA)可确保不可变性和精确的版本控制。

hackernews · dochtman · Apr 28, 11:58

背景: GitHub Actions 允许工作流通过标签(如 v1)或提交哈希引用第三方操作。标签是可变的,可以更新,而提交哈希是不可变的,唯一标识特定版本。近期针对 GitHub Actions 的供应链攻击已证明了可变标签引用的实际风险。

参考链接

社区讨论: 评论者普遍赞同文章的观点,有人表示他们一直对第三方操作使用提交哈希。其他人讨论了替代 CI 平台如 Dagger 和 Blacksmith,以及用于将操作固定到哈希的工具如 ratchet。

标签: #security, #CI/CD, #GitHub Actions, #supply chain, #DevOps

AISLE 在 OpenEMR 医疗软件中发现 38 个 CVE ⭐️ 8.0/10

安全厂商 AISLE 披露了广泛使用的开源电子健康记录系统 OpenEMR 中的 38 个通用漏洞与暴露(CVE),包括 SQL 注入和跨站脚本(XSS)漏洞。 这些漏洞可能危及超过 10 万家医疗机构的敏感患者数据,凸显了医疗软件中普遍存在的安全弱点以及 AI 驱动安全扫描仪的潜在作用。 所有 38 个漏洞均为常见类型,如 SQL 注入、XSS、路径遍历和不安全的直接对象引用,表明存在基本的安全疏忽。此次发现使用了 AI 驱动的安全扫描仪。

hackernews · mmsc · Apr 28, 16:06

背景: OpenEMR 是一款免费开源的电子健康记录(EHR)和医疗实践管理软件,用 PHP 编写,全球超过 10 万家医疗机构使用。SQL 注入和 XSS 是众所周知的 Web 安全漏洞,可让攻击者访问或操纵敏感数据。AISLE 的发现凸显了保护遗留开源医疗应用所面临的持续挑战。

参考链接

社区讨论: 社区评论指出这些是低垂的果实漏洞,有评论者称 16 年前就发现了类似问题。一些人认为这是营销驱动的披露,但承认 AI 扫描仪的价值,而另一些人则认为适当的优先级排序本可以在没有 AI 的情况下修复这些问题。

标签: #security, #vulnerabilities, #healthcare, #open source, #AI

Pip 26.1 引入锁定文件和依赖冷却 ⭐️ 8.0/10

Pip 26.1 通过新的 pip lock 命令增加了对锁定文件的支持,生成 pylock.toml 文件,并通过 --uploaded-prior-to 选项引入依赖冷却,该选项使用 ISO 8601 持续时间格式。它还放弃了对 Python 3.9 的支持。 锁定文件通过固定确切的依赖版本提高了可重现性,这对生产部署和协作项目至关重要。依赖冷却通过阻止安装最近上传的包来帮助缓解供应链攻击。 pip lock 命令将所有解析的依赖写入 pylock.toml 文件,可与 pip install --lock 一起使用以实现可重现的安装。--uploaded-prior-to 选项接受像 P4D 这样的值,要求包至少在 4 天前上传。

rss · Simon Willison · Apr 28, 05:23

背景: Pip 是 Python 的默认包安装器。锁定文件在 Pipenv 和 Poetry 等其他工具中早已可用,但 pip 本身直到现在才提供原生支持。依赖冷却是一种安全措施,可减少恶意包在上传后立即被安装的时间窗口。

参考链接

标签: #pip, #Python, #dependency management, #lockfiles

Fedora Linux 44 发布,带来 GNOME 50 和 Apple Silicon 支持 ⭐️ 8.0/10

Fedora Linux 44 已发布,Workstation 版搭载 GNOME 50,KDE 版搭载 Plasma 6.6,并推出了适用于 Apple Silicon Mac 的 Fedora Asahi Remix。该版本还包含更新的 Atomic 桌面和各种桌面改进。 此版本是 Fedora 的一个重要里程碑,为用户带来了最新的 GNOME 和 KDE 桌面环境,并通过 Asahi Remix 将官方支持扩展到 Apple Silicon Mac。这体现了 Fedora 对前沿软件和广泛硬件兼容性的承诺。 Fedora Workstation 44 搭载 GNOME 50,包含辅助功能改进、色彩管理和远程桌面增强。KDE Plasma Desktop 44 基于 Plasma 6.6,具有新的 Plasma 登录管理器和简化设置。Fedora Asahi Remix 44 移除了自带的 Mesa 和 virglrenderer 包。

rss · LWN.net · Apr 28, 14:33

背景: Fedora 是一个流行的 Linux 发行版,以快速采用新技术而闻名。GNOME 和 KDE 是 Linux 的两大主流桌面环境。Fedora Asahi Remix 是与 Asahi Linux 项目合作,将 Fedora 带到 Apple Silicon Mac 上的版本。Atomic 桌面是 Fedora 的不可变变体,例如 Silverblue 和 Kinoite。

参考链接

标签: #Fedora, #Linux, #GNOME, #KDE, #Apple Silicon

NVIDIA 发布 Nemotron-3-Nano-Omni-30B-A3B-Reasoning ⭐️ 8.0/10

NVIDIA 发布了 Nemotron-3-Nano-Omni-30B-A3B-Reasoning,这是一个开放的多模态模型,支持视频、音频、图像和文本输入,并输出文本,总参数量为 300 亿,每个 token 激活 30 亿参数。 该模型将企业级多模态推理能力引入本地部署,使智能体能够在单次推理循环中跨模态感知和推理,这对构建复杂的 AI 智能体系统具有重要意义。 该模型采用混合专家(MoE)架构,融合了 Mamba 层和 Transformer 层,支持 10 万 token 的上下文窗口,并提供 BF16、FP8 和 GGUF 格式以便灵活部署。

reddit · r/LocalLLaMA · Altruistic_Heat_9531 · Apr 28, 16:12

背景: Nemotron-3-Nano-Omni 是 NVIDIA 为多模态智能体工作负载设计的 Nemotron 开放模型系列的一部分。A3B 表示总参数量为 300 亿,每个 token 激活 30 亿参数,采用稀疏混合专家架构以平衡性能与效率。

参考链接

社区讨论: 社区对该发布感到兴奋,评论中充满了热情和幽默。一些用户询问本地推理对视频输入(不仅仅是第一帧)的支持情况,其他人则将其与 Qwen 35B 等模型在编码任务上进行比较。

标签: #multimodal, #NVIDIA, #Nemotron, #reasoning, #local-LLM

用户放弃本地 LLM 用于编码,称其决策能力差 ⭐️ 8.0/10

一位 Reddit 用户报告称,经过数周测试 Qwen 27B 和 Gemma 31B 等本地 LLM 用于编码任务后,他们得出结论这些模型在生产力上尚无法与 Claude Code 竞争,原因是决策能力和工具调用能力差。 这篇帖子为本地 LLM 用于编码的热潮提供了一个现实的反例,指出即使是 100B 参数以下的最佳本地模型,在复杂多步骤任务中仍落后于 Claude 等云端模型。 用户特别提到了 Docker 化任务中的问题,本地模型会因超时而错误地假设失败,或者凭空捏造错误原因,而不是检查实际进程状态。

reddit · r/LocalLLaMA · dtdisapointingresult · Apr 28, 03:50

背景: 本地 LLM 是运行在用户自有硬件上的语言模型,提供隐私和离线使用,但受限于可用算力。Qwen 27B 和 Gemma 31B 是 100B 参数以下最有能力的本地模型之一,而 Claude Code 是 Anthropic 的代理式编码工具,运行在云端基础设施上。

参考链接

社区讨论: 社区普遍同意用户的评估,许多人分享了类似经历。一些评论者指出,框架配置会显著影响性能,而另一些人则指出单张消费级 GPU 无法与 Claude 等云端模型匹敌。

标签: #local LLMs, #coding, #productivity, #Claude, #LLM comparison

欧盟依据 DMA 对谷歌启动两项程序 ⭐️ 8.0/10

1 月 27 日,欧盟委员会依据《数字市场法案》(DMA)对谷歌启动两项正式程序,要求其开放 Gemini AI 接口,并向第三方共享搜索数据。 这标志着 DMA 下的一次重大执法行动,通过迫使谷歌平等开放其核心平台能力,可能重塑 AI 和搜索市场的竞争格局。 第一项程序针对互操作性,要求谷歌允许第三方 AI 服务平等访问 Android 的软硬件特性,与 Gemini 享有同等条件。第二项程序聚焦搜索数据共享,要求谷歌按照 FRAND(公平、合理、无歧视)原则提供匿名化的排名、查询、点击和展示数据。

telegram · zaihuapd · Apr 28, 01:31

背景: 《数字市场法案》(DMA)是欧盟的一项法规,将大型在线平台指定为“守门人”,并施加义务以确保公平竞争,包括互操作性和数据访问。FRAND 原则最初源于标准必要专利许可,现在被应用于 DMA 下的数据访问,以防止反竞争行为。

参考链接

标签: #EU regulation, #Google, #DMA, #AI, #search data

中国禁止外资收购 Manus AI 项目 ⭐️ 8.0/10

国家发展改革委(NDRC)下属的外商投资安全审查工作机制办公室依法禁止了外资收购 Manus 项目,并要求当事人撤销该收购交易。 这标志着政府对一起备受瞩目的人工智能收购案进行了重大干预,反映出中国对涉及先进技术的外国投资加强了国家安全审查。该决定可能影响跨境科技并购,并预示着更严格的监管控制。 Manus 项目据称是全球首个完全自主的 AI 智能体,由中国初创公司 Monica 开发。该收购交易据报价值 20 亿美元,涉及 Meta Platforms,但国家发改委的声明未指明收购方。

telegram · zaihuapd · Apr 28, 03:43

背景: 中国的外商投资安全审查机制允许政府阻止威胁国家安全的收购交易。Manus 项目是一种能够自主执行任务的先进 AI 智能体,属于敏感技术范畴。该审查程序越来越多地被用于保护国内技术资产。

参考链接

标签: #national security, #foreign investment, #regulation, #tech policy, #China

谷歌与美国防部签署机密 AI 协议 ⭐️ 8.0/10

谷歌与美国国防部签署了一项机密协议,将其 AI 模型用于敏感军事用途,包括任务规划和武器目标定位,合同金额最高可达每份 2 亿美元。 这标志着谷歌从 2018 年因员工抗议退出 Project Maven 的重大转变,并为大型 AI 公司如何在持续伦理争议中与军方合作树立了先例。 协议禁止在缺乏人工监督的情况下用于国内大规模监控或自主武器,但谷歌无权否决政府合法运营决策。Anthropic 此前因拒绝类似限制被列为供应链风险企业。

telegram · zaihuapd · Apr 28, 11:47

背景: Project Maven 是 2017 年五角大楼的一项倡议,旨在加速 AI 在军事情报中的应用,2018 年在谷歌引发大规模员工抗议,导致谷歌未续签合同。此后,五角大楼与包括 OpenAI 和 Anthropic 在内的多家公司签订了 AI 合同,同时面临一些公司的伦理抵制。

参考链接

标签: #AI ethics, #military AI, #Google, #US Department of Defense, #technology policy

Qwen 开源 FlashQLA:线性注意力内核速度提升 2-3 倍 ⭐️ 8.0/10

Qwen 团队开源了 FlashQLA,这是一个基于 TileLang 构建、专为 Gated Delta Network 设计的高性能线性注意力内核库,在 NVIDIA Hopper GPU 上实现了前向 2-3 倍、反向 2 倍的加速。 此次发布显著加速了线性注意力模型,使其在长序列预训练和端侧智能体推理中更加实用,有望降低 AI 应用的成本和延迟。 FlashQLA 采用算子融合与代数优化,并利用门控衰减特性引入自动卡内上下文并行,同时使用 warpgroup 特化内核来重叠计算与数据搬运。

telegram · zaihuapd · Apr 28, 14:11

背景: 像 Gated Delta Network (GDN) 这样的线性注意力机制旨在降低标准注意力的二次复杂度,从而高效处理长序列。FlashQLA 基于 TileLang 构建,TileLang 是一种可组合的平铺编程模型,将数据流与调度解耦,以实现高效的 AI 内核编程。

参考链接

标签: #AI/ML, #open-source, #attention mechanism, #GPU optimization, #Qwen

LiteLLM SQL 注入漏洞可未授权读取 API 密钥 ⭐️ 8.0/10

LiteLLM Proxy 被发现存在严重 SQL 注入漏洞(CVE-2026-42208),攻击者无需任何凭证,仅通过在 Bearer token 字段注入恶意 payload 即可从数据库中提取 API 密钥。该漏洞已被野外利用,官方已在 v1.83.7-stable 中修复。 LiteLLM 被广泛用作多厂商大模型的统一网关,公网暴露的实例面临极高的凭证窃取风险。该漏洞可能导致 LLM API 被非法调用、数据泄露以及企业经济损失。 攻击利用认证失败时生成的错误日志进行注入,无需有效凭证。建议用户立即升级并轮换所有已存储的 API 密钥,或设置 disable_error_logs: true 以缓解风险。

telegram · zaihuapd · Apr 28, 14:44

背景: LiteLLM 是一个开源 Python SDK 和代理服务器,提供兼容 OpenAI 的接口以对接超过 100 家 LLM 提供商。其 Proxy 组件负责认证和路由,并将 API 密钥存储在数据库中。SQL 注入是由于用户输入未正确过滤,导致攻击者可执行任意 SQL 命令。

参考链接

社区讨论: 安全社区对该漏洞已被积极利用表示担忧,许多人敦促立即打补丁。部分用户指出关闭错误日志是临时缓解措施,但并非完全修复。

标签: #security, #vulnerability, #SQL injection, #LiteLLM, #API keys

LocalSend:开源跨平台 AirDrop 替代品 ⭐️ 7.0/10

LocalSend 是一款免费、开源、跨平台的文件共享应用,无需互联网连接即可实现本地文件传输,支持 Windows、macOS、Linux、Android 和 iOS。 它解决了跨平台本地文件共享长期存在的空白,提供了一个注重隐私、去中心化的替代方案,以替代苹果 AirDrop 等仅限于苹果设备的专有解决方案。 LocalSend 使用本地网络(LAN)进行传输,意味着设备必须在同一网络上;它不像 AirDrop 那样创建自己的临时网络。该应用使用 Flutter 构建,与基于 Tauri 的替代方案相比,安装包体积较大。

hackernews · bilsbie · Apr 28, 11:54

背景: AirDrop 是苹果的专有无线文件共享功能,利用蓝牙和 Wi-Fi 在苹果设备之间创建直接的点对点连接。它因其易用性而广受好评,但仅限于苹果生态系统。像 LocalSend 这样的开源替代方案旨在跨不同操作系统提供类似功能,但通常要求设备处于同一本地网络中,这在没有现有网络基础设施的场景下可能是一个限制。

参考链接

社区讨论: 社区评论指出 LocalSend 可靠且运行良好,但注意到它需要同一网络连接的限制,而 AirDrop 可以创建自己的网络。一些用户建议使用 Sendme 和 AltSendme 等替代方案,它们利用 Iroh 实现点对点中继,没有网络限制。一位开发者还指出,基于 Tauri 的应用安装包体积远小于基于 Flutter 的 LocalSend。

标签: #file-sharing, #open-source, #cross-platform, #networking, #flutter

Waymo 在波特兰推出自动驾驶打车服务 ⭐️ 7.0/10

Waymo 已在俄勒冈州波特兰市推出其全自动驾驶打车服务,在当地公交预算削减之际将业务扩展至新城市。 此次扩张凸显了自动驾驶汽车部署与公共交通资金之间的紧张关系,引发了关于自动驾驶汽车应如何补充或竞争公共交通的辩论。 此次发布恰逢波特兰交通机构 TriMet 面临 3 亿美元预算缺口并削减服务。Waymo 采用基于激光雷达和详细地图的地理围栏方法,与特斯拉纯视觉策略形成对比。

hackernews · xnx · Apr 28, 18:08

背景: Waymo 是全球首个自动驾驶打车服务,已在多个美国城市运营。自动驾驶汽车利用传感器和人工智能在无需人类驾驶员的情况下导航,但其对公共交通和城市出行的影响仍存在争议。

参考链接

社区讨论: 评论者指出 Waymo 在 TriMet 削减服务之际推出的讽刺性,一些人称赞 Waymo 的激光雷达优先方法优于特斯拉的纯视觉方法。其他人则担心自动驾驶汽车在波特兰市中心的有轨电车轨道上卡住。

标签: #autonomous vehicles, #Waymo, #public transit, #urban mobility, #self-driving cars

Claude.ai 和 API 遭遇重大宕机,引发可靠性讨论 ⭐️ 7.0/10

Claude.ai 和 Anthropic API 发生严重宕机,用户无法访问平台或调用 API。 此次宕机凸显了依赖单一 LLM 提供商进行关键工作流程的脆弱性,尤其是在企业大力投资 AI 基础设施的背景下。 宕机同时影响了网页界面和 API,用户报告错误持续数小时。Anthropic 的状态页面显示错误率升高,性能下降。

hackernews · shorsher · Apr 28, 18:01

背景: Anthropic 是一家领先的 AI 公司,以其 Claude 模型系列闻名。Claude.ai 是面向消费者的聊天界面,API 则为开发者和企业提供服务。对于依赖这些服务的生产系统来说,可靠性至关重要。

社区讨论: 评论者对频繁的宕机表示不满,一位企业用户报告每月花费超过 20 万美元且支持服务糟糕。其他人则强调了采用多模型策略以降低此类风险的重要性。

标签: #AI, #outage, #reliability, #Anthropic, #infrastructure

GitHub 承诺提升可用性,回应过去一年频繁宕机 ⭐️ 7.0/10

GitHub 发布了一份关于可用性的官方更新,宣布可用性现在优先于容量和新功能,并正在推进多云策略以提高可靠性。 这很重要,因为 GitHub 是数百万开发者的关键平台,而近期糟糕的可用性已削弱了信任。转向多云策略表明,即使是微软旗下的 GitHub 也可能不完全依赖 Azure 来保证可靠性。 该公告包含一张未标注的大数字图表,但缺乏详细的正常运行时间指标。GitHub 还指出,代理驱动的活动给平台带来了突然的压力,导致了稳定性问题。

hackernews · salkahfi · Apr 28, 10:05

背景: 过去一年,GitHub 经历了严重的宕机和性能问题,导致开发者不满。2023 年,GitHub 曾优先考虑迁移到 Azure 而非功能开发,但新帖子表明他们现在采用多云策略以避免单点故障。

社区讨论: 社区对此高度怀疑,评论嘲笑未标注的图表,并质疑优先级的诚意。一些用户报告了持续存在的问题,如拉取请求列表不完整,其他人将多云举措解读为对 Azure 不可靠性的默认。

标签: #GitHub, #availability, #cloud, #reliability, #infrastructure

使用 NASA 影像的实时日月仪表盘 ⭐️ 7.0/10

一位开发者推出了 Lumara Space,这是一个实时仪表盘,展示来自 NASA 科学可视化工作室的太阳和月球影像,拥有精美的用户界面,并通过网页和 iOS 应用商店提供跨平台访问。 该仪表盘以引人入胜的实时形式向公众提供高质量的 NASA 太空影像,可能激发人们对太空科学的兴趣,并展示了公共数据的创造性使用。 该应用目前直接从 NASA 服务器热链接大型 2K 分辨率视频(每个高达 30MB),可能导致性能问题和带宽担忧。社区反馈建议优化内容交付并添加 UI 改进,如关闭按钮。

hackernews · beeswaxpat · Apr 28, 13:25

背景: NASA 的科学可视化工作室(SVS)提供免费的太空现象高分辨率影像和视频。热链接是指直接嵌入来自其他服务器的内容,这可能会消耗主机的带宽而未经许可。该仪表盘将这些资源整合成一个统一的实时显示。

社区讨论: 社区称赞该应用的视觉精美和新颖性,评论如“超级酷”和“美丽的应用”。然而,几位用户提出了关于热链接大型 NASA 视频的技术问题,并建议优化,如缓存或使用较低分辨率流。功能请求包括 CME 跟踪和更好的导航控制。

标签: #space, #dashboard, #NASA, #UI/UX, #web app

交互式工具可视化神经网络损失景观 ⭐️ 7.0/10

一款新的交互式浏览器工具使用 Li 等人(NeurIPS 2018)的滤波器归一化方法可视化神经网络损失景观,让用户探索优化器如何在地形中导航。 该工具有助于研究人员和从业者更好地理解损失景观几何和优化器行为,可能改进模型调试和泛化分析。 该工具完全在客户端运行,支持从简单 MLP 到 ResNet-8 和 LeNet-5 的架构,并使用合成或真实图像数据集。已知局限性是 2D/3D 投影可能产生真实高维空间中不存在的几何表面。

reddit · r/MachineLearning · Hackerstreak · Apr 28, 17:04

背景: 神经网络的损失景观是高维的,难以可视化。Li 等人(NeurIPS 2018)提出的滤波器归一化消除了尺度效应,揭示了真实几何。该工具应用该方法创建交互式 3D 图。

参考链接

社区讨论: 一位有研究经验的评论者建议从初始化时的 ResNet 与前馈网络对比开始,然后观察训练中的批归一化前馈网络,以建立理解。作者提供了 TL;DR,涵盖维度问题、尺度不变性陷阱和交互式工具。

标签: #loss landscape, #neural networks, #visualization, #optimization, #deep learning

Qwen 3.6 27B 量化基准测试:Q4_K_M 最佳权衡 ⭐️ 7.0/10

一项基准测试使用 llama-cpp-python 在 HumanEval、HellaSwag 和 BFCL 上评估了 Qwen 3.6 27B 的 BF16、Q4_K_M 和 Q8_0 GGUF 量化版本,发现 Q4_K_M 提供了最佳的实际权衡,精度损失最小,内存和吞吐量显著提升。 这项比较帮助从业者为本地部署选择合适的量化方案,平衡精度、内存和速度,这对于在消费级硬件上运行大模型至关重要。 Q4_K_M 平均准确率为 66.54%(BF16 为 69.78%),吞吐量 22.5 tok/s(快 1.45 倍),峰值内存 28 GB(减少 48%),而 Q8_0 在 HellaSwag 上意外低于 Q4_K_M(83% 对 86%)。

reddit · r/LocalLLaMA · gvij · Apr 28, 12:18

背景: GGUF 是一种用于存储量化大语言模型的文件格式,支持在 CPU 和低资源设备上进行高效推理。量化通过降低模型精度(例如从 16 位降至 4 位)来缩小体积并加快推理速度,通常只带来轻微的精度损失。Q4_K_M 和 Q8_0 是 llama.cpp 中常见的量化级别,其中 Q4_K_M 是一种 4 位方法,结合了多种量化技术以获得更好的质量。

参考链接

社区讨论: 评论者赞赏这项比较,但提出了缺少误差线、可能的采样误差以及 Q8_0 表现不佳等担忧。一些人质疑结果的有效性,指出根据其他排行榜,Qwen 3.6 27B 在 HumanEval 上应该得分更高,并认为 KV cache 量化可能影响了 Q8_0。

标签: #LLM, #quantization, #benchmarking, #Qwen, #GGUF

DeepSeek 视觉能力开发引发社区热议 ⭐️ 7.0/10

据 Xiaokang Chen 在 X 平台上的帖子暗示,DeepSeek 正在开发视觉能力,引发了对未来模型(如 DeepSeek V4)原生多模态能力的猜测。 如果 DeepSeek 集成原生视觉能力,它可能能与 Llama 4 等前沿多模态模型竞争,为需要同时理解文本和图像的任务提供强大的本地 AI 解决方案。 DeepSeek 已有独立的视觉语言模型(如 DeepSeek-VL2),但社区希望的是单一模型的原生多模态(早期融合),而非单独的视觉专用版本。

reddit · r/LocalLLaMA · Nunki08 · Apr 28, 10:58

背景: 多模态大语言模型在单一模型中处理多种数据类型(文本、图像等)。原生多模态(如 Llama 4)采用早期融合,在文本和视觉数据上联合训练,实现跨模态的无缝理解。DeepSeek 现有的 VL2 模型使用独立的视觉编码器,集成度较低。

参考链接

社区讨论: 社区既兴奋又存在分歧:一些人希望 V4 实现原生多模态而非单独的视觉模型,另一些人则质疑视觉功能的实际用途。少数用户对某些 DeepSeek 版本缺少 GGUF 支持表示不满。

标签: #DeepSeek, #vision, #multimodal, #LLM, #AI

Anthropic“数字代购”实验:AI 智能体在真实市场交易 ⭐️ 7.0/10

Anthropic 开展了“Project Deal”实验,让 Claude AI 智能体作为 69 名员工的数字代理人,每人获得 100 美元和二手物品,进行真实二手交易谈判。智能体成功完成了 186 笔交易,总价值超过 4000 美元。 该实验表明 AI 智能体能够自主进行真实商业交易,预示着未来 AI 可能接管日常议价甚至代客理财。然而,此类自主商业活动缺乏法律和政策框架,带来了显著风险。 值得注意的是,一些 AI 智能体出现了奇葩错误,例如买回了卖家自己的物品,或者为了“送自己礼物”而购买了 19 个二手乒乓球。该实验凸显了 AI 在谈判和决策中的潜力与当前局限。

telegram · zaihuapd · Apr 28, 07:31

背景: AI 智能体是能代表用户自主执行任务的软件程序,例如谈判价格或执行交易。Anthropic 是一家 AI 安全公司,设计 Project Deal 是为了探索 AI 模型如何影响商业交易。类似系统如 Pactum 已被大公司用于自动合同谈判,但 Project Deal 聚焦于点对点市场互动。

参考链接

标签: #AI agents, #autonomous negotiation, #Anthropic, #market experiment, #AI safety

教育部新增 38 种本科专业,含具身智能等交叉学科 ⭐️ 7.0/10

中国教育部为 2026 年新增 38 种本科专业,包括具身智能、脑机科学与技术、数字文旅等,交叉学科门类首次列入。 此举使高等教育与新兴 AI 和技术需求对齐,培养具备身智能等交叉学科技能的人才,对 AI 与实体经济融合至关重要。 新专业涵盖能源科学、农业机器人、生物制造、数字贸易等领域;哈工大等 9 所高校获批增设具身智能专业。本科专业目录现包含 883 种专业,分属 92 个专业类。

telegram · zaihuapd · Apr 28, 08:52

背景: 具身智能指通过传感器和执行器与物理世界交互的 AI 系统,如机器人。中国“十四五”规划强调 AI 和交叉学科教育,期间专业调整比例累计超过 30%。

参考链接

标签: #education policy, #embodied intelligence, #AI, #interdisciplinary, #China

中国处罚剪映、即梦 AI 等平台 AI 内容标识违规 ⭐️ 7.0/10

2026 年 4 月 28 日,国家互联网信息办公室通报,热门应用“剪映”“猫箱”及“即梦 AI”网站因未有效落实人工智能生成合成内容标识规定被依法查处。 此次执法表明中国正在积极执行 2025 年 9 月生效的 AI 内容标识规定,主要平台必须合规否则将面临处罚。这为整个行业如何透明标识 AI 生成内容树立了先例。 这些平台被认定违反《网络安全法》《生成式人工智能服务管理暂行办法》及《人工智能生成合成内容标识办法》。处罚措施包括约谈、责令整改、警告并从严处理责任人。

telegram · zaihuapd · Apr 28, 09:29

背景: 中国 AI 内容标识规定由四部门联合发布,于 2025 年 9 月 1 日起施行。该规定要求所有人工智能生成或合成内容必须添加显式或元数据标识,帮助用户区分 AI 制作的内容。剪映是字节跳动旗下的热门视频编辑应用,即梦 AI 是一个 AI 图像和视频生成平台。

参考链接

标签: #AI regulation, #content moderation, #China, #AI ethics, #compliance

Warp 开源客户端代码库,集成 GPT 代理工作流 ⭐️ 7.0/10

Warp,一个基于终端的智能开发环境,已将其客户端代码库以双重许可证(UI 框架采用 MIT,其余采用 AGPL v3)开源,并引入了由 GPT 驱动的代理工作流用于编码任务。 此举使一个流行的 AI 增强终端对开源社区开放,可能加速开发者工具的创新,并支持与 Claude Code 和 Gemini CLI 等自定义 AI 代理的集成。 代码库托管在 GitHub 上的 Warpdotdev 组织下;OpenAI 是创始赞助商。内置编码代理由 GPT 模型驱动,用户还可以连接第三方 CLI 代理,如 Claude Code、Codex 和 Gemini CLI。

telegram · zaihuapd · Apr 28, 17:04

背景: Warp 是一个集成了 AI 功能的现代终端模拟器,旨在提高命令行生产力。AGPL v3 许可证要求修改后的软件版本必须提供给通过网络与其交互的用户,从而确保改进保持开放。

参考链接

标签: #open source, #terminal, #AI, #developer tools, #Warp