From 48 items, 19 important content pieces were selected

  1. Gemma 4 多令牌预测草案模型发布,推理速度提升 2 倍 ⭐️ 9.0/10
  2. 州级医保平台向科技巨头泄露用户敏感数据 ⭐️ 9.0/10
  3. SGLang v0.5.11 发布,集成 CUDA 13 与推测解码升级 ⭐️ 8.0/10
  4. .de 域名因 DNSSEC 故障大面积中断 ⭐️ 8.0/10
  5. AI 计算机视觉代理成本高达结构化 API 的 45 倍 ⭐️ 8.0/10
  6. Anthropic 发布金融服务智能体模板 ⭐️ 8.0/10
  7. Chrome 悄悄安装 4GB AI 模型,引发隐私和资源争议 ⭐️ 8.0/10
  8. 当人人都有 AI,公司却一无所学 ⭐️ 8.0/10
  9. IBM 曾反对微软用 Tab 键在对话框间导航 ⭐️ 8.0/10
  10. 扎克伯格被控授权 Meta 侵犯版权用于 AI 训练 ⭐️ 8.0/10
  11. Heretic 1.3:可复现去审查,基准测试与显存优化 ⭐️ 8.0/10
  12. ProgramBench 测试 AI 代理从零重建二进制文件的能力 ⭐️ 8.0/10
  13. DeepSeek V4 Pro 以 17 倍成本优势追平 GPT-5.2 ⭐️ 8.0/10
  14. 特朗普政府考虑对 AI 模型实施发布前审查 ⭐️ 8.0/10
  15. 图像模型带动 AI 应用下载激增,远超对话模型更新 ⭐️ 8.0/10
  16. GitHub 就近期故障致歉并公布 30 倍扩容计划 ⭐️ 8.0/10
  17. 英国在线安全法年龄验证被假胡子轻松绕过 ⭐️ 8.0/10
  18. OpenAI 发布 GPT-5.3 Instant,幻觉率最高降 26.8% ⭐️ 8.0/10
  19. 微软 Edge 在内存中明文存储密码 ⭐️ 8.0/10

Gemma 4 多令牌预测草案模型发布,推理速度提升 2 倍 ⭐️ 9.0/10

谷歌在 Hugging Face 上为 Gemma 4 模型(包括 31B、26B-A4B、E4B 和 E2B 版本)发布了多令牌预测(MTP)草案模型。这些模型通过投机解码实现最高 2 倍的文本生成加速,且保持与标准解码完全相同的输出质量。 该发布为本地和端侧 AI 应用带来了显著的效率提升,在降低延迟的同时不牺牲精度。这也强化了谷歌对开源 AI 的承诺,为开发者提供了更快速、更经济的推理工具。 MTP 草案模型是轻量级附加组件,例如 E2B 版本的草案模型仅有 78M 参数。它们的原理是预先预测多个令牌,然后由目标 Gemma 4 模型并行验证,从而达到高达 2 倍的速度提升。这些模型已在 Hugging Face 上发布,预计将集成到 llama.cpp 和 LM Studio 等框架中。

reddit · r/LocalLLaMA · rerri · May 5, 16:01

背景: 多令牌预测(MTP)是一种让模型同时预测多个未来令牌的技术,可提高推理效率。投机解码则利用小型草案模型提议令牌序列,再由大型目标模型单次并行验证,确保输出分布与标准解码完全一致。谷歌的实现为 Gemma 4 专门训练了 MTP 草案模型,从而在资源受限的设备上实现快速、准确的推理。

参考链接

社区讨论: 社区反应热烈,用户对惊人的速度提升和极小的草案模型尺寸(如 78M 参数的 E2B 版本)印象深刻。有人分享了可视化指南,并讨论了与 LM Studio、llama.cpp 等工具的集成。也有人指出 Gemma 模型本身倾向于用更少的令牌生成输出,这进一步放大了速度优势。整体情绪非常积极,几乎无人提出疑虑。

标签: #multi-token-prediction, #gemma-4, #speculative-decoding, #llm-efficiency, #google

州级医保平台向科技巨头泄露用户敏感数据 ⭐️ 9.0/10

彭博社调查发现,美国近 20 个州的医保交易所因嵌入广告追踪像素,导致 700 多万用户的种族、性别、公民身份、邮编等敏感信息泄露给 Meta、TikTok、谷歌和领英。 此次大规模泄露可能违反 HIPAA 等隐私法规,严重损害公众对医保系统的信任,并揭示了政府网站中广告技术追踪的普遍性。 泄露细节包括:华盛顿特区向 TikTok 传送申请者具体种族信息;弗吉尼亚州通过 Meta 追踪器传输邮政编码用于广告匹配;纽约州分享了家庭成员服刑等敏感浏览记录;新墨西哥州、罗德岛州等向谷歌或 Meta 传输了低收入证明、Medicaid 申请和非公民孕妇保障访问信息。

telegram · zaihuapd · May 5, 03:06

背景: 广告追踪像素是嵌入网页的 1x1 像素透明图片或脚本,用于收集用户行为以投放定向广告。州级医保交易所是根据《平价医疗法案》设立的官方市场,用户申请时需提交大量敏感信息,理应受到严格保护,而追踪器的存在构成严重隐私侵权。

参考链接

标签: #privacy, #data-leak, #healthcare, #big-tech, #advertising-trackers

SGLang v0.5.11 发布,集成 CUDA 13 与推测解码升级 ⭐️ 8.0/10

SGLang v0.5.11 将默认 CUDA 升级至 13.0、PyTorch 至 2.11,默认启用搭载重叠调度的推测解码 V2 以降低 CPU 开销,为预填充/解码分离新增解码端基数缓存,并引入 DFLASH 内核、社区 FA3 内核、对 DeepSeek-V3/Kimi-K2 的 LoRA 支持,以及对 Gemma 4、GLM-5.1、Qwen3.6 等众多新模型的部署指南。 该版本通过最新硬件支持使推理栈现代化,借助默认推测解码降低延迟,并利用基数缓存实现高效分离式服务,惠及文本与扩散模型的大规模 LLM 部署。 推测解码 V2 的重叠调度隐藏了 CPU 开销;解码基数缓存为共享前缀恢复首令牌时间收益;DFLASH 内核扩展至 AMD ROCm;上下文并行增强允许独立调整 MoE 与注意力并行度;为 FP4 路径提供 FlashInfer CuteDSL MoE 后端;新模型均附带调优部署的实操指南。

github · Kangyan-Zhou · May 5, 21:28

背景: 推测解码利用草稿模型提出多个令牌,再由目标模型单次验证,从而加速 LLM 推理。预填充/解码分离将提示处理与令牌生成拆分到不同实例以优化资源利用。SGLang 的 RadixAttention 自动在请求间复用 KV 缓存,基数缓存以树结构存储共享前缀,实现高效查找。

参考链接

标签: #sglang, #inference, #cuda, #speculative-decoding, #model-serving

.de 域名因 DNSSEC 故障大面积中断 ⭐️ 8.0/10

DENIC 发布了一个针对 NSEC3 记录的错误 RRSIG 签名,该签名未能通过 ZSK 33834 的验证,导致所有启用 DNSSEC 验证的解析器对.de 域名返回 SERVFAIL 错误。区域数据本身完好,未使用验证的解析器未受影响。 此次事件暴露了 DNSSEC 集中式信任模型的脆弱性:注册局层面的一个配置错误即可导致该顶级域名下所有域名对验证型用户不可用,影响数百万德国网站,并重新引发了关于 DNSSEC 安全性与可靠性的讨论。 错误签名的 NSEC3 记录属于 a0d5d1p51kijsevll74k523htmq406bk.de,涉及密钥标签 33834。由于 DENIC 使用任播,部分节点返回错误签名,部分未返回,导致故障间歇性出现。仅验证型解析器受影响。

hackernews · warpspin · May 5, 20:16 · 社区讨论

背景: DNSSEC 为 DNS 记录添加数字签名,通过从根区到各域的信任链让解析器验证真伪。.de 注册局 DENIC 使用区域签名密钥对区域数据进行签名。一旦 RRSIG 签名格式错误,验证型解析器会拒绝所有记录,导致使用这些解析器的用户无法解析域名。

参考链接

社区讨论: 评论迅速定位到错误 RRSIG 和密钥标签,有人调侃 DENIC 团队当晚在聚会。更广泛的讨论引用了对 DNSSEC 的经典批评,担忧其引入的集中式单点故障使去中心化 DNS 更脆弱,并提及历史上多次类似中断事件。

标签: #dnssec, #outage, #dns, #security, #infrastructure

AI 计算机视觉代理成本高达结构化 API 的 45 倍 ⭐️ 8.0/10

一项成本分析显示,采用 AI 代理通过计算机视觉操控界面的成本大约是调用结构化 API 的 45 倍,引发了关于缓解策略和替代方案的讨论。 这种成本差距可能会严重限制视觉型 AI 代理在生产环境中扩展,促使开发者转向无障碍 API 或界面预映射等更高效的方法,进而重塑 AI 自动化的经济性。 成本源于每次操作需处理多张高分辨率截图,tokens 消耗巨大;而结构化 API 只返回必要数据。缓解方法包括使用无障碍 API 暴露语义化界面树,或将界面预先映射为类 API 结构。

hackernews · palashawas · May 5, 16:34 · 社区讨论

背景: 具备’计算机使用’能力的 AI 代理(如 Anthropic 的 Claude、OpenAI 的工具)通过截图并模拟鼠标键盘操作来与界面交互,每一步都消耗视觉模型 tokens。结构化 API 以机器可读格式返回数据,tokens 消耗少得多。成本对比源于两者 tokens 需求的巨大差异。

参考链接

社区讨论: 社区评论提出了实用的解决方案:利用无障碍 API 降低开销,预先映射界面实现可复用工作流,并尽量减少视觉工具使用。有人指出,现有 SaaS 的混淆措施会让代理成本更高。也有声音对授予代理完全计算机访问权限的安全和隐私风险表示怀疑。

标签: #AI agents, #computer vision, #API economics, #cost analysis, #developer tools

Anthropic 发布金融服务智能体模板 ⭐️ 8.0/10

Anthropic 宣布推出十个面向金融服务的即用型智能体模板,可作为插件或指南部署于 Claude Cowork 和 Claude Code,覆盖融资计划书生成、KYC 审查和对账等任务。 此举加剧了受监管金融领域的 AI 军备竞赛,有望加速自动化,但也引发了关于偏见、监管风险和市场集中度的担忧。 这些模板未赋予智能体发放贷款或审批申请的决策权,可能降低即时风险但也限制了部署范围;它们是在与华尔街公司成立 15 亿美元合资企业后推出的一系列举措之一。

hackernews · louiereederson · May 5, 15:05 · 社区讨论

背景: Anthropic 是一家以安全为导向的 AI 公司,旗下 Claude 模型广为人知。金融服务涉及敏感数据和严格监管。智能体模板是预构建的工作流程,利用大语言模型自动执行复杂任务。指南(Cookbook)提供步骤说明,插件则扩展平台功能。

参考链接

社区讨论: 社区评论反映了对 AI 公司处理敏感数据专业性的怀疑、对模板分散且可能扼杀初创企业的担忧,以及 Claude Opus 4.7 存在偏见和监管风险的报告;也有人质疑这些工具是否被实际使用。

标签: #ai, #finance, #agents, #anthropic, #bias

Chrome 悄悄安装 4GB AI 模型,引发隐私和资源争议 ⭐️ 8.0/10

谷歌 Chrome 浏览器近期在未征得用户同意的情况下,悄悄安装了一个 4 GB 大小的设备端 AI 模型(Gemini Nano),以支持本地 AI 功能。 这一静默安装消耗大量磁盘空间和带宽,尤其影响资源有限的用户和管理共享环境的 IT 管理员。同时,这也引发了关于自动更新软件中的隐私与用户同意问题。 该模型文件名为 weights.bin,位于 OptGuideOnDeviceModel 目录。这是 Gemini Nano 模型,CPU 版约 2.7 GiB,GPU 版约 4.0 GiB。用户可通过 chrome://flags 禁用“Enables optimization guide on device”和“Prompt API for Gemini Nano”来阻止下载。谷歌随后发布了管理设备端 AI 模型的帮助页面。

hackernews · john-doe · May 5, 07:34 · 社区讨论

背景: Gemini Nano 是谷歌开发的设备端大语言模型,可在本地执行文本生成等 AI 任务,无需云端处理。Chrome 正在集成此类模型,以向网页开发者提供 Prompt API 等功能。weights.bin 文件包含了模型的训练参数。此举反映了浏览器集成本地 AI 以提升隐私和速度的趋势,但也带来了部署和透明度方面的挑战。

参考链接

社区讨论: 社区意见出现分歧。一些人认为这是软件更新的正常部分,但其他人强调此行为对共享 IT 系统(如 NFS 主目录、实验室计算机)造成的严重影响,反复下载导致存储膨胀。用户分享了禁用模型的标志和脚本,并呼吁采用系统级单副本安装以避免冗余。

标签: #chrome, #ai, #privacy, #disk-usage, #software-updates

当人人都有 AI,公司却一无所学 ⭐️ 8.0/10

一篇分析文章指出,尽管开发者个人广泛采用 AI 编码工具,但由于僵化流程和错位激励机制阻碍知识共享,公司未能实现组织学习。 这一点很重要,因为 AI 带来的生产力提升仍局限于个人,除非企业解决系统性瓶颈并奖励协作改进,否则无法提高整体效率。 AI 加速代码产出,但测试和部署调度等下游流程成为瓶颈,并随产出增加而恶化;开发者因缺乏认可,不愿分享 AI 提效技巧。

hackernews · youngbrioche · May 5, 09:30 · 社区讨论

背景: 组织学习是指企业调整和提升集体知识的过程。在软件开发中,AI 工具(如 GitHub Copilot)能大幅加快编码速度,但企业通常有数月的发布周期,需要大量测试、变更管理和人工审批。“混乱的中段”指从工作原型到生产部署之间的运营鸿沟,多数流程摩擦发生在此阶段。

社区讨论: 社区评论普遍认为,个人 AI 生产力提升并未转化为组织改善。他们指出,官僚流程才是真正的瓶颈,开发者没有动力分享 AI 技巧,导致各自为政的自利行为。有人担忧,AI 正被用于榨取更多产出却无合理回报。

标签: #AI, #enterprise, #software development, #organizational learning, #productivity

IBM 曾反对微软用 Tab 键在对话框间导航 ⭐️ 8.0/10

一篇博文披露,IBM 曾反对微软使用 Tab 键在对话框字段间移动,这一事件影响了早期 Windows 用户界面惯例的形成。 这揭示了企业竞争和传统标准如何塑造现代交互设计,提醒我们即便是基础的键盘快捷键也曾引发争议。 报道指出,IBM 在 3270 终端上自身也使用 Tab 键,但却反对微软的实现,可能担忧输入字符与控制功能在不同上下文中混淆。

hackernews · SeenNotHeard · May 5, 17:28 · 社区讨论

背景: 早期图形用户界面中,对话框的键盘导航尚未标准化。Tab 键最初用于文本制表,被重新用于在控件间移动焦点。作为主要键盘制造商和大型机供应商,IBM 已建立的使用模式可能受到微软方案的冲击。

社区讨论: 评论意见多样:有人分享 IBM 过度官僚的故事,有人指出 IBM 在 3270 终端上已使用 Tab 键,另有人讨论 Tab 键被操作系统/UI 行为占用带来的不便,并质疑 IBM 的确切理由。

标签: #history, #user-interface, #keyboard, #IBM, #Microsoft

扎克伯格被控授权 Meta 侵犯版权用于 AI 训练 ⭐️ 8.0/10

一项诉讼指控马克·扎克伯格亲自授权并鼓励 Meta 未经许可使用版权材料训练 AI 模型,涉及大规模数据抓取且无视 robots.txt 指令。 此案可能确立企业高管在版权侵权中的个人责任,重塑科技公司获取训练数据的方式,并为 AI 行业树立关键法律先例。 指控涉及在扎克伯格直接介入下抓取数百万份版权作品;此前 Anthropic 案因 50 万份盗版作品达成 15 亿美元和解,若参照法定最低赔偿每侵权作品 750 美元,Meta 可能面临巨额赔偿。

hackernews · spankibalt · May 5, 18:04 · 社区讨论

背景: AI 训练常依赖网络抓取数据,引发版权法律争议。Anthropic 案的和解确立:尽管训练本身可能属于转换性使用,但为此获取盗版作品即构成侵权。本案独特之处在于针对 CEO 的个人授权,挑战通常保护高管的公司屏障。

社区讨论: 评论者普遍支持追究个人责任,分享了 Meta 无视 robots.txt 并拖垮服务器的经历。许多人希望严惩以遏止未来侵权,并设立先例使他人也能开放分享。一些人批评公司通常逃避个人问责的做法。

标签: #artificial-intelligence, #copyright-infringement, #legal-precedent, #meta, #data-scraping

Heretic 1.3:可复现去审查,基准测试与显存优化 ⭐️ 8.0/10

Heretic 1.3 引入了可复现的模型运行、集成的基准测试系统、降低的峰值显存占用和更广泛的模型支持。该版本通过捕获 PyTorch 版本和 GPU 驱动等完整环境信息来确保可复现性。 可复现的去审查增强了开源 AI 的信任度和科学性,内置基准测试则简化了去审查模型的评估。这些改进加速了社区驱动的创新和采用。 该版本通过记录所有张量操作依赖项(包括 GPU 和驱动细节)克服了可复现性难题。它降低了显存使用并扩展了模型支持,但 Kimi k2.5/k2.6 等部分模型据报尚不兼容。

reddit · r/LocalLLaMA · -p-e-w- · May 5, 14:57

背景: Heretic 是一款自动化去除大语言模型(LLM)审查机制的开源工具,此过程称为“消除”(abliteration)。LLM 通常包含对敏感话题的拒绝模式,Heretic 旨在消除这些模式同时保留智能。可复现性对于验证去审查在不同系统上的一致性至关重要。

参考链接

社区讨论: 社区反响非常积极,用户称 Heretic 是本地 LLM 最伟大的开源项目。讨论包括对 Kimi k2.5/k2.6 和即将推出的 MTP 架构等特定模型支持的疑问,以及对竞争对手复制代码的持续担忧。

标签: #LLM, #model-decensoring, #open-source, #benchmarking, #LocalLLaMA

ProgramBench 测试 AI 代理从零重建二进制文件的能力 ⭐️ 8.0/10

Facebook Research 推出了 ProgramBench,这是一个包含 200 个任务的正式基准测试,要求 AI 代理在无互联网、无反编译、无结构提示的条件下,仅通过黑盒行为测试从零重建二进制文件。 它为 AI 代理的独立软件工程能力提供了严格且防作弊的评估,揭示了当前模型的局限性,并为智能编码系统的未来改进指明了方向。 该基准使用了 600 万行行为测试并筛选出最优部分,所有模型的完全解决率均为 0%,最佳近似解决率为 95% 测试通过率。它已开源,可通过 pip 安装。

reddit · r/LocalLLaMA · klieret · May 5, 15:40 · 社区讨论

背景: 在计算领域,基准测试是评估性能的标准化测试。ProgramBench 评估 AI 代理从零重建软件二进制文件的能力,即代理必须生成代码来复现给定可执行文件的行为,且无法访问其源代码或实现提示。测试通过黑盒行为测试进行,只验证生成程序的外部行为,而不关注其内部结构,这与提供函数签名或部分代码的典型编码基准测试不同。

参考链接

社区讨论: 社区反应不一:有人称赞其严格性和对推动 AI 编程的潜力,也有人批评其缺乏现实世界实用性,指出即使是人类在相同限制下也会挣扎。此外,还有人对其与自定义工具集成感兴趣,并调侃网站本身可能存在 vibecode 带来的缺陷。

标签: #benchmarks, #code-generation, #AI-agents, #LLM-evaluation, #software-engineering

DeepSeek V4 Pro 以 17 倍成本优势追平 GPT-5.2 ⭐️ 8.0/10

DeepSeek V4 Pro 在 FoodTruck Bench(一项 30 天的智能体模拟基准测试)中成为首个进入前沿梯队的中国模型。它在 GPT-5.2 测试结果十周后追平其中位数(相差不到 3%),而 API 调用成本仅为后者的约 1/17。 这一结果表明中美前沿 AI 的差距正在迅速缩小,目前已缩短至数周而非一年。17 倍的成本效率可能使顶尖智能体 AI 的获取更加普及,并推动市场转向更具性价比的高性能模型。 DeepSeek 当前的价格为促销价,输入 $0.435/百万 token,输出 $0.87/百万 token,但其历史表明促销价常成为长期定价。在一致性上,DeepSeek 优于 Grok 4.3,表现为零贷款、食物浪费减少约 6 倍、日均供餐量多 30%,但 Opus 4.6 的峰值性能仍更高。

reddit · r/LocalLLaMA · Disastrous_Theme5906 · May 5, 06:51 · 社区讨论

背景: FoodTruck Bench 是一个智能体 AI 基准测试,模拟使用 34 种工具(位置、定价、库存、员工、天气、活动等)经营食品卡车 30 天,并具有持久记忆和每日反思机制。智能体 AI 指能够自主规划、调用工具并适应复杂环境以达成目标的系统,超越了传统静态聊天机器人。

参考链接

社区讨论: 评论者对 Gemma 4 31B 的强劲表现感到意外,并质疑为何缺少 GPT-5.5 和 Qwen3.6 等模型,同时指出 DeepSeek 的成本优势基于促销价格。部分人建议基准测试应加入对算力投入和审查预算等深度指标的追踪,而非仅看最终结果。

标签: #AI benchmarks, #large language models, #agentic AI, #cost efficiency, #DeepSeek

特朗普政府考虑对 AI 模型实施发布前审查 ⭐️ 8.0/10

特朗普政府正考虑对新 AI 模型实施发布前审查,这标志着其此前去监管立场的转变,这一变化是在 Anthropic 的 Mythos 模型引发安全担忧后出现的。白宫计划成立一个由科技高管和政府官员组成的 AI 工作组,以制定监管程序。 这一政策转变可能重塑 AI 开发和发布实践,头部企业可能需要在推出模型前获得政府批准,这或许会减缓创新但加强安全监管。它也凸显了在与中国 AI 竞赛中技术进步与国家安全之间日益紧张的关系。 拟议的审查将赋予美国政府优先评估权,在公开前对新 AI 模型进行评估,重点针对网络安全风险。政策讨论部分是由 Anthropic 的 Mythos 模型引发的,该模型展示了识别软件漏洞的强大能力,令官员们警惕。白宫幕僚长和财政部长已接管 AI 政策制定,表明此事的重要性。

telegram · zaihuapd · May 5, 02:00

背景: Anthropic 的 Mythos 是一个强大的 AI 模型,由于安全担忧(尤其是其发现软件漏洞 CVE 的能力)而未公开发布。特朗普政府最初倾向于最少 AI 监管,但像 Mythos 这样的高性能模型出现促使其重新考虑。发布前审查是一种机制,政府机构在 AI 系统广泛可用前评估其潜在风险,类似于其他敏感技术领域的流程。

参考链接

标签: #AI regulation, #government policy, #AI safety, #Trump administration, #pre-release review

图像模型带动 AI 应用下载激增,远超对话模型更新 ⭐️ 8.0/10

Appfigures 报告显示,图像模型发布带来的 AI 应用下载量是对话模型更新的 6.5 倍。例如,Google Gemini 的 Nano Banana 在 28 天内新增超过 2200 万下载,ChatGPT 的 GPT-4o 图像模型同期新增超过 1200 万下载。 这表明视觉 AI 功能在吸引用户方面远胜文本改进,但变现能力极不均衡。仅有 ChatGPT 将下载激增转化为约 7000 万美元收入,谷歌和 Meta 则几乎没有收入,突显了市场差距。 同期,ChatGPT 图像模型带来约 7000 万美元消费者支出,而谷歌 Nano Banana 仅贡献约 18.1 万美元,Meta AI 的 Vibes 视频功能则无实质营收,表明下载量不一定转化为收入。

telegram · zaihuapd · May 5, 09:49

背景: GPT-4o 图像生成由 OpenAI 推出,擅长文本渲染和精确遵循提示。谷歌的 Nano Banana(即 Gemini 2.5 Flash Image)专为高容量、对话式图像编辑设计。Meta AI 的 Vibes 是一个 AI 短视频生成器及信息流,类似于 AI 视频版的 TikTok。这些发布体现了行业向多模态 AI 体验的转变。

参考链接

标签: #AI apps, #image generation, #app market, #monetization, #tech news

GitHub 就近期故障致歉并公布 30 倍扩容计划 ⭐️ 8.0/10

GitHub 首席技术官 Vlad Fedorov 就 4 月的两次故障致歉,并公布了由 AI 智能体工作流驱动的 30 倍扩容计划。主要变化包括将性能敏感代码从 Ruby 迁移至 Go、将数据库负载从 MySQL 迁出,以及从自建数据中心转向 Azure 和多云架构。 此次基础设施升级旨在大幅提升数百万开发者日常依赖的 GitHub 的可靠性与性能,同时也反映了行业从单体架构和单一云锁定向微服务与多云韧性转变的更广泛趋势。 4 月 23 日的合并队列故障导致 658 个仓库的 squash 合并产生错误提交并意外还原代码,但无数据丢失。4 月 27 日的搜索故障源于 Elasticsearch 集群过载(疑似攻击),不过 Git 核心操作未受影响。

telegram · zaihuapd · May 5, 11:42

背景: Elasticsearch 是一个基于 Apache Lucene 构建的开源分布式搜索和分析引擎,广泛用于全文搜索和日志分析。合并队列是一种 CI/CD 功能,可自动将拉取请求排队并按序测试,确保主分支稳定,尤其适用于合并频繁的仓库。

参考链接

标签: #GitHub, #scalability, #incident-report, #infrastructure, #architecture

英国在线安全法年龄验证被假胡子轻松绕过 ⭐️ 8.0/10

Internet Matters 的一项调查显示,46% 的儿童认为年龄验证极易绕过,32% 已成功绕过,手段包括画假胡子或使用虚假生日等简单伎俩。 这暴露出《在线安全法》执行中的重大漏洞,削弱了其保护儿童免受有害内容侵害的目标,引发了对产品设计层面内置安全功能的紧急呼吁。 调查还发现,49% 的儿童近期仍看到有害内容,17% 的家长曾主动帮助孩子绕过检查,凸显了系统的无效性。

telegram · zaihuapd · May 5, 14:16

背景: 英国《在线安全法》要求进行年龄验证,以限制未成年人接触有害在线内容。常见的年龄估算技术(如基于 AI 的面部分析)易被简单欺骗手段攻破。该新闻突显了监管意图与现实效果之间的差距,即儿童能以极低成本轻松绕过这些检查。

标签: #age verification, #online safety, #regulation, #security, #children

OpenAI 发布 GPT-5.3 Instant,幻觉率最高降 26.8% ⭐️ 8.0/10

OpenAI 发布了 GPT-5.3 Instant,对 ChatGPT 的对话模型进行更新,在启用网络搜索时高风险领域幻觉率最高降低 26.8%,同时改进了拒绝回答的处理和搜索结果质量。 这一更新大幅提升了 AI 在医疗、法律、金融等关键领域的回答可靠性,减少了事实错误,使模型在专业应用中更安全。 内部测试显示,启用网络搜索时幻觉率降低 26.8%,仅依赖内部知识时降低 19.7%;基于用户反馈的评测分别改善 22.5%和 9.6%。该模型即日起向所有 ChatGPT 用户开放。

telegram · zaihuapd · May 5, 17:06

背景: AI 幻觉是指模型生成看似合理但事实错误的内容,这在 GPT 等大型语言模型中常见。医疗、法律、金融等高风险领域对准确性要求极高。OpenAI 一直在通过改进训练和接入外部知识(如网络搜索)来降低幻觉率。此次发布的即时版本将这些改进整合到一个更轻快的模型中。

标签: #OpenAI, #GPT-5.3, #AI hallucination, #language models, #AI safety

微软 Edge 在内存中明文存储密码 ⭐️ 8.0/10

安全研究员 Tom Jøran Sønstebyseter Rønning 发现,Microsoft Edge 在启动时将所有已保存的密码解密并以明文形式加载到内存中,在整个会话期间保持明文,而其他 Chromium 浏览器如 Chrome 仅在需要时解密密码,并采用应用绑定加密。 即使从未访问已保存密码的网站,攻击者获得管理员权限后仍可从 Edge 进程内存中提取密码,包括终端服务器上其他登录用户的密码。这破坏了多用户环境的安全模型,且微软“就是这样设计的”回应令人担忧。 该漏洞影响 Edge 中所有已保存的密码;整个浏览器会话期间明文均可访问。相比之下,Google Chrome 使用应用绑定加密,解密密钥与特定应用绑定,仅在需要时解密凭证。微软已确认此行为是有意设计,且未提供立即修复方案。

telegram · zaihuapd · May 5, 23:31

背景: 应用绑定加密(ABE)是一种安全机制,将加密密钥与特定应用程序绑定,阻止其他进程解密数据。包括 Edge 和 Chrome 在内的 Chromium 浏览器可以实现 ABE 保护已保存密码。Chrome 默认使用 ABE,而 Edge 目前未强制执行,而是将所有密码以明文形式加载到内存中。这一差异使得 Edge 更容易受到通过内存抓取的凭据盗窃攻击。

参考链接

标签: #security, #Microsoft Edge, #passwords, #vulnerability, #Chromium