From 49 items, 9 important content pieces were selected
- 肯尼亚 AI 医疗系统对穷人多收费、富人少收费 ⭐️ 9.0/10
- DoD 承包商初创公司发现关键多租户授权漏洞 ⭐️ 8.0/10
- Redis 创始人历时四月借助 AI 开发新数组类型 ⭐️ 8.0/10
- 探讨门罗币抗 ASIC 的 RandomX 工作量证明算法 ⭐️ 8.0/10
- 美国医保市场通过广告跟踪器泄露公民与种族数据 ⭐️ 8.0/10
- 监管大型科技公司以遏制操纵性设计 ⭐️ 8.0/10
- llama.cpp 测试版新增多令牌预测支持 ⭐️ 8.0/10
- Cursor 高成本促使开发者转向开源本地模型 ⭐️ 8.0/10
- Grok 遭提示注入攻击致 17.5 万美元转账,资金已归还 ⭐️ 8.0/10
肯尼亚 AI 医疗系统对穷人多收费、富人少收费 ⭐️ 9.0/10
《卫报》调查揭露肯尼亚社会健康管理局(SHA)使用有缺陷的 AI 预测算法,系统性地高估穷人收入、低估富人收入,导致不公平保费、拒绝治疗和财务危机。 此事暴露了政府医疗系统中严重的算法偏见,直接伤害穷人并破坏公平就医机会,对全球公共政策中的 AI 应用具有警示意义。 该系统使用代理经济状况调查,基于住房条件等推测收入而非直接核实;IDinsight 报告曾警告其不公平性。已注册 2000 多万人中仅 500 万人缴费,导致医院赤字并拒绝治疗。
telegram · zaihuapd · May 4, 10:30
背景: 代理经济状况调查(PMT)是一种基于住房材料、资产等可观察特征估算家庭收入的方法,常用于直接收入数据不可靠的情况。肯尼亚社会健康管理局(SHA)是政府全民健康覆盖项目,取代了原来的国家医院保险基金。保险中的预测算法本应用于设定风险调整保费,但设计缺陷可能固化偏见。
标签: #AI ethics, #algorithmic bias, #healthcare, #Kenya, #social inequality
DoD 承包商初创公司发现关键多租户授权漏洞 ⭐️ 8.0/10
Strix 安全研究团队发现一家由国防部支持的初创公司完全缺乏租户隔离和权限检查,任何低权限用户都能访问其他组织的军事训练数据。该漏洞经过五个月的责任披露流程后被公开。 此漏洞暴露了处理敏感政府数据的初创公司中系统性的安全缺陷,缺少多租户授权可能导致大规模数据泄露。它也凸显了 AI 驱动渗透测试的潜力,以及 SOC2 等合规认证在保障真正安全方面的不足。 受影响的应用程序没有组织范围界定、租户隔离和权限检查,导致简单的 IDOR 式访问即可实现。尽管该初创公司持有 SOC2 和 ISO 认证,责任披露仍耗时五个月。
hackernews · bearsyankees · May 4, 17:46 · 社区讨论
背景: 多租户是一种架构,单个软件实例为多个客户组织(租户)提供服务。正确的租户隔离通过访问控制和范围界定等机制防止跨租户数据访问。授权漏洞如破坏性访问控制通常允许直接对象引用(IDOR)绕过这些控制。初创公司常因追求速度而忽视安全,且合规认证并不总能反映实际安全水平。
参考链接
社区讨论: 评论者指出,由于缺乏安全导向的人员,初创公司中此类安全缺陷很常见,而 Vercel 和 Supabase 等工具加剧了这一问题。Strix 和 Shannon 等 AI 渗透测试工具引起了兴趣,同时有人对该初创公司的 SOC2 合规性表示怀疑。还有人提到了一个类似的微软 Bing 漏洞,该漏洞曾暴露 Microsoft 365 数据。
标签: #security, #authorization, #vulnerability, #startups, #pentesting
Redis 创始人历时四月借助 AI 开发新数组类型 ⭐️ 8.0/10
Redis 的原作者 antirez 在四个月的开发周期中,借助大型语言模型等 AI 工具作为协作伙伴,通过迭代方式为 Redis 开发了新的原生数组数据类型。 这为 Redis 增加了原生索引数组支持,实现了新的应用场景和更自然的数据建模,同时为资深开发者有效将 AI 融入复杂软件开发提供了高关注度案例。 新数组类型提供基于索引的访问和有序元素语义,填补了 Redis 数据结构长期以来的空白。相关拉取请求包含大量修改,据称接近 22000 行代码。
hackernews · antirez · May 4, 14:23 · 社区讨论
背景: Redis 是一个开源的内存数据结构存储,可用作数据库、缓存和消息代理。它提供了字符串、哈希、有序集合等数据类型,但一直缺少通用的索引数组。antirez 是 Redis 创始人萨尔瓦托雷·桑菲利波(Salvatore Sanfilippo)的笔名。他在博客文章中详细介绍了这次漫长的 AI 辅助工程过程。
社区讨论: 社区评论反映了谨慎的乐观态度:有人警告不要将 antirez 的成功推广为强制所有开发者使用 AI 工具的理由,也有人分享了类似的协作工作流——AI 充当审阅者或创意伙伴而非替代品。有人对庞大且缺乏增量设计讨论的单一拉取请求表示担忧,凸显了将 AI 融入传统开源审查实践所面临的挑战。
标签: #AI-assisted development, #software engineering, #Redis, #LLM, #development process
探讨门罗币抗 ASIC 的 RandomX 工作量证明算法 ⭐️ 8.0/10
一篇新的技术博文深入解析了门罗币的 RandomX 工作量证明机制,阐述了其针对 CPU 优化、抵抗 ASIC 挖矿并维护去中心化的设计。 抗 ASIC 特性对于防止挖矿中心化至关重要,而挖矿中心化会威胁加密货币的安全和公平理念。RandomX 的方法可能影响未来隐私币的设计。 RandomX 利用随机代码执行,利用 CPU 的分支预测和快速内存访问等特性,这些在 ASIC 上实现效率低下。它还定期更改算法,以抑制定制硬件的开发。
hackernews · alcazar · May 4, 14:10 · 社区讨论
背景: 工作量证明是一种共识机制,矿工通过解决计算难题来验证交易并创建新区块。抗 ASIC 算法旨在让普通消费级硬件仍能参与挖矿,避免被昂贵且专用的矿机垄断。门罗币是一种注重隐私的加密货币,特意选择抗 ASIC 以坚持其去中心化挖矿的理念。
社区讨论: 评论者赞赏门罗币对隐私和去中心化挖矿的坚持,分享了早期工作量证明尝试的历史背景。有人将其与 Postgres 和 OpenBSD 等稳健软件相提并论,也有人对工作量证明在数字现金系统中的根本经济学意义提出质疑。
标签: #cryptocurrency, #proof-of-work, #privacy, #monero, #mining
美国医保市场通过广告跟踪器泄露公民与种族数据 ⭐️ 8.0/10
美国医疗市场被发现使用 Meta 像素和 TikTok 跟踪代码,无意中将用户的公民身份和种族信息传输给了 Meta 和字节跳动。 此次泄露破坏了公众对医疗服务的信任,使个人面临基于敏感特征的监控和歧视风险,并凸显政府网站上的广告技术工具泄露受保护数据的系统性问题。 数据通过 Meta 像素和 TikTok 像素共享,这些 JavaScript 跟踪代码本用于广告,但在医疗市场网站上却捕获了公民身份和种族等敏感字段,可能用于再营销或分析,且未经用户同意。
hackernews · ZeidJ · May 4, 17:16 · 社区讨论
背景: Meta 像素和 TikTok 像素是网站所有者安装的 JavaScript 跟踪代码,用于监控用户行为以进行广告和分析。当用户访问含有该像素的页面时,数据会被传回平台,通常包含页面内容。医疗市场平台处理敏感个人数据,却嵌入这些跟踪器,导致公民身份和种族等受保护信息被意外共享。
参考链接
社区讨论: 评论表达了强烈的被侵犯感和不信任,认为通过广告跟踪器共享此类数据应对双方进行处罚。用户强调公共服务必须维护信任,不应在未获同意的情况下将申请人纳入跟踪网络。
标签: #privacy, #data-sharing, #healthcare, #ad-tech, #security
监管大型科技公司以遏制操纵性设计 ⭐️ 8.0/10
《经济学人》发表文章呼吁对大型科技公司的操纵性设计行为采取监管行动,引发了读者关于暗黑模式和用户成瘾的深入讨论。 这凸显了科技中的不道德设计问题,可能影响政策制定者保护用户自主权,从而重塑平台界面设计方式。 暗黑模式会诱骗用户进行他们不想做的操作,但部分评论者认为成瘾性应用是用户主动选择的;建议包括默认关闭推荐算法和无限滚动等功能。
hackernews · andsoitis · May 4, 17:10 · 社区讨论
背景: 暗黑模式是指欺骗性的用户界面设计,用来操纵用户,比如让取消订阅变得困难。大型科技公司利用行为设计最大化用户参与度,引发了对成瘾和用户控制权丧失的担忧。这场辩论是推动科技伦理和数字健康更广泛努力的一部分。
社区讨论: 评论者大多支持监管,但观点细致:一些人区分了欺骗性暗黑模式和成瘾性应用,另一些人提议将操纵性功能设为默认需主动开启。也有人指出了自动化丧失公正性的讽刺。
标签: #big tech, #dark patterns, #user autonomy, #regulation, #tech ethics
llama.cpp 测试版新增多令牌预测支持 ⭐️ 8.0/10
llama.cpp 项目在拉取请求中发布了多令牌预测(MTP)的测试版支持,目前支持 Qwen3.5 模型,并计划扩展到其他模型。 MTP 支持能显著加速稠密模型的令牌生成,有可能消除与 vLLM 的性能差距,标志着本地大语言模型推理的重大进步。 该测试版目前仅适用于 Qwen3.5,并需要包含 MTP 层的特制 GGUF 文件;社区提供了一个脚本,可从现有模型中提取这些层用于其他量化版本。MTP 预计对稠密模型的增益大于混合专家模型。
reddit · r/LocalLLaMA · ilintar · May 4, 12:54 · 社区讨论
背景: 多令牌预测 (MTP) 训练模型从每个位置预测多个未来令牌,提高生成速度与样本效率。张量并行将模型层分布到多个 GPU 上以处理更大的模型。vLLM 是一个高吞吐量的大语言模型服务引擎,此前在推理性能上领先。
参考链接
社区讨论: 社区反响热烈,有人称其可能是 llama.cpp 最大的突破;用户对速度提升表示赞赏,并分享模型兼容的变通方案,但也存在对 MTP 的困惑,以及希望了解不同推测解码方法的对比基准。
标签: #llama.cpp, #multi-token-prediction, #speculative-decoding, #LLM-inference, #performance
Cursor 高成本促使开发者转向开源本地模型 ⭐️ 8.0/10
一位开发者分享了在 Cursor 企业版中使用专有模型的高昂成本:两个提示就花费 10 美元,一周内使用 Claude Opus 花费 80 美元,并认为开源本地模型将在今年年底前成为必需的低成本替代品。 随着云模型价格上涨和风投补贴结束,开源本地模型提供了可预见的成本且无按 token 计费,这可能重塑开发者工具,减少对专有 API 的依赖。 Cursor 企业版使用 gpt-5.5 和 claude-opus-4.6-thinking 等模型成本高昂;本地替代方案如 Qwen 3.6 在消费级 GPU 上达到 110 tokens/秒 和 60k token 上下文,展示了可行的性能。
reddit · r/LocalLLaMA · _maverick98 · May 4, 08:46
背景: Cursor 是基于 VS Code 的 AI 辅助 IDE,由 Anysphere 开发,通过 GPT-5.5 和 Claude Opus 等专有模型提供功能。OpenCode 是一个开源编码代理。云 AI 模型通常按 token 收费,导致账单不可预测。开源大语言模型(如 Qwen、GLM)可以在消费级硬件上本地运行,避免按次使用费用,让用户完全掌控成本。
社区讨论: 评论普遍认为当前定价不可持续,有人预测将上涨 10 倍。用户分享了使用 Qwen 和 GLM 成功本地部署的经验,许多人提倡采用流水线方式——便宜的本地模型结合必要时才用的云端模型——但部分专业人士仍因生产力提升而认为云成本是值得的。
标签: #open-source-models, #local-llms, #developer-tools, #cost-analysis, #alternative-to-cloud
Grok 遭提示注入攻击致 17.5 万美元转账,资金已归还 ⭐️ 8.0/10
2026 年 5 月 4 日,攻击者向 Grok 发送包含摩尔斯电码的消息,利用提示注入使其输出转账指令。财务机器人 Bankrbot 解析该指令后,将 Grok 钱包中的 30 亿枚$DRB 代币(约合 17.5 万美元)转走,随后攻击者以 ETH 和 USDC 形式归还了资金。 该事件暴露了将不受信任的大语言模型输出直接用于金融操作的严重漏洞,凸显了 AI 驱动自动化中加强安全措施的紧迫性。 攻击利用了 Bankrbot 将 Grok 的原始文本直接视为财务授权的设计缺陷,事后 Bankrbot 已禁用 Grok 的指令权限。攻击者虽抛售了代币,但返还了等值资产,未造成最终经济损失。
telegram · zaihuapd · May 4, 15:26
背景: 提示注入是一种网络安全攻击,通过精心设计的自然语言输入混淆系统指令与用户数据,诱使大语言模型执行非预期操作。Bankrbot 是一款 AI 代理,可根据来自 Grok 等平台的自然语言指令执行加密货币交易和转账。本次攻击中,攻击者将恶意指令隐藏在摩尔斯电码消息中,导致 Grok 输出提款命令,而 Bankrbot 盲目执行了该命令。
参考链接
标签: #prompt injection, #AI security, #cryptocurrency, #Grok, #Bankrbot