2025-12-18

25 篇热帖

Gemini 3 Flash: Frontier intelligence built for speed 780 points | 402 comments | by meetpateltech

Gemini 3 Flash:速度与智能并存的新模型发布总结 (Gemini 3 Flash: Summary of the New Model Release Combining Speed and Intelligence)

谷歌发布了Gemini 3 Flash,这是一个专为速度和效率设计的最新模型,旨在帮助用户更快地学习、构建和规划。Gemini 3 Flash 结合了Gemini 3 Pro 的推理能力与Flash级别的速度和更低的成本,尤其适用于编码、复杂分析和快速响应的交互式应用。

主要特点与功能:

  • 速度与智能兼具: Gemini 3 Flash 在保持高智能水平的同时,实现了更快的速度和更低的成本。
  • 广泛可用性: 该模型已在全球范围内推出,可通过以下平台访问:
    • 开发者: Google AI Studio、Gemini CLI、Google Antigravity、Vertex AI、Gemini Enterprise、Android Studio。
    • 普通用户: Gemini 应用和 Google 搜索中的 AI 模式。
  • 卓越性能: 在各种基准测试中表现出色,例如 GPQA Diamond (90.4%) 和 Humanity's Last Exam (33.7%),甚至超过了 Gemini 2.5 Pro。在 MMMU Pro 上,其表现与 Gemini 3 Pro 相当 (81.2%)。
  • 效率提升: Gemini 3 Flash 能够根据任务复杂程度调整思考深度,平均使用比 2.5 Pro 少 30% 的 tokens,同时提升性能。
  • 编码能力: 在编码基准测试 SWE-bench Verified 上,Gemini 3 Flash 获得 78% 的分数,优于 Gemini 2.5 系列和 Gemini 3 Pro。
  • 多模态能力: 强大的多模态能力使其能够处理视频分析、数据提取和视觉 Q&A 等复杂任务。
  • 默认模型: Gemini 3 Flash 已成为 Gemini 应用和 Google 搜索 AI 模式的默认模型。
  • AI 模式升级: AI 模式利用 Gemini 3 Flash 的推理能力,更准确地解析问题,提供更全面和视觉化的回答,并整合实时信息和链接。

定价:

  • 输入 tokens:$0.50/1M
  • 输出 tokens:$3/1M
  • 音频输入 tokens:$1/1M

应用场景:

  • 快速构建应用和原型。
  • 复杂的数据分析和推理。
  • 实时视频和图像理解。
  • 智能助手和 A/B 测试实验。
  • 规划行程和学习复杂概念。

总而言之,Gemini 3 Flash 代表了谷歌在人工智能领域的重要进步,它在速度、成本和智能之间取得了平衡,为开发者和普通用户提供了更强大的工具。

AWS CEO says replacing junior devs with AI is 'one of the dumbest ideas' 754 points | 419 comments | by birdculture

亚马逊AWS CEO就AI取代初级开发者发表的观点总结

亚马逊AWS CEO Matt Garman 明确指出,公司不应将削减初级开发者岗位作为降低成本的手段,因为“他们实际上是与AI工具最熟悉的人”。 他在 WIRED 的访谈节目中,阐述了三点理由,反对将AI视为取代初级开发者的工具。

核心观点: Garman 认为,短视的成本削减策略可能会对企业造成长期的损害,并强调了培养和训练新人才的重要性。

三点理由:

  1. 初级开发者更熟悉AI工具: 许多初级员工比资深员工更擅长使用AI工具。他们通常是技术的早期采用者,能更快地适应新功能,并能从AI代理中获得最佳效果。 2025年Stack Overflow开发者调查显示,55.5%的初级开发者每天使用AI工具进行开发,高于资深开发者。

  2. 初级员工并非最佳成本优化目标: 初级员工通常薪资较低,因此将其作为成本优化的首要目标并不明智。真正的成本优化需要对整个公司进行评估,而不是仅仅针对初级员工。 许多公司在裁员后反而增加了开支,并且不得不重新招聘。

  3. 削减初级开发者会破坏人才培养体系: 公司需要不断注入新鲜血液。初级员工带来了新的思维方式和创新动力,并为公司未来的发展奠定了基础。 如果公司停止招聘初级员工,就会切断自身的人才培养体系,导致未来缺乏领导者。 Deloitte 的报告也指出,技术劳动力预计将以比整体美国劳动力快两倍的速度增长,强调了对技术人才的需求。

总结:

Garman 认为,AI 将提高生产力,并创造更多的就业机会,但同时也需要开发者更快地适应新技术。 他强调,计算机科学学位仍然至关重要,因为扎实的基础知识对于未来高价值角色的胜任至关重要。 最终,他表达了对AI创造更多就业机会的信心。

Gut bacteria from amphibians and reptiles achieve tumor elimination in mice 434 points | 105 comments | by Xunxi

日本 JAIST 研究所研究团队发现新型抗癌细菌,有望开创癌症治疗新途径

摘要: 日本先进科学技术研究所 (JAIST) 的宫古英次郎教授领导的研究团队,从日本树蛙的肠道中分离出了一种名为 Ewingella americana 的细菌,该细菌表现出惊人的抗癌活性。该研究成果已发表在国际期刊《Gut Microbes》上,为癌症治疗提供了全新的思路。

主要发现:

  • 完全肿瘤消除: 单次静脉注射 E. americana 细菌,在小鼠结直肠癌模型中实现了 100% 的完全肿瘤消除 (CR)。
  • 双重抗癌机制: E. americana 具有直接杀死癌细胞和激活免疫系统的双重作用机制。
    • 直接细胞毒性: 该细菌在肿瘤缺氧微环境中积聚,直接破坏癌细胞。
    • 免疫激活: 该细菌能有效刺激免疫系统,招募 T 细胞、B 细胞和中性粒细胞,并通过释放促炎细胞因子(TNF-α、IFN-γ)进一步增强免疫反应,诱导癌细胞凋亡。
  • 肿瘤特异性积聚: E. americana 仅在肿瘤组织积聚,未在正常器官中定植,具有高度的肿瘤特异性。其特异性积聚机制包括:肿瘤缺氧环境、肿瘤细胞表达的 CD47 蛋白造成的局部免疫抑制、肿瘤血管渗漏以及肿瘤特有的代谢异常。
  • 安全可靠: 细菌清除迅速(半衰期约为 1.2 小时),24 小时后完全无法检测到;未在肝脏、脾脏、肺脏、肾脏和心脏等正常器官中定植;仅出现短暂的轻微炎症反应,72 小时内恢复正常;在 60 天的观察期内未出现慢性毒性。
  • 优于现有疗法: E. americana 的抗癌效果显著优于目前常用的免疫检查点抑制剂(抗 PD-L1 抗体)和脂质体多柔比星 (化疗药物)。

研究背景与方法:

研究团队从日本树蛙、日本火腹新两栖动物和日本草蜥的肠道中分离了 45 种细菌。经过筛选,9 种细菌表现出抗肿瘤活性,其中 E. americana 表现出最卓越的治疗效果。研究表明,与以往侧重于肠道菌群调节或粪便菌群移植等间接方法的癌症治疗研究不同,该研究采用了一种全新的策略:分离、培养并直接静脉注射单个细菌菌株来攻击肿瘤。

未来展望:

研究团队计划进一步研究:

  • 扩展到其他癌症类型: 验证 E. americana 在乳腺癌、胰腺癌、黑色素瘤等其他恶性肿瘤中的疗效。
  • 优化给药方法: 开发更安全有效的给药方法,例如剂量分批和肿瘤内注射。
  • 联合治疗开发: 探索与现有免疫治疗和化疗的协同作用。

该研究表明,未被探索的生物多样性蕴藏着开发新型医疗技术的巨大潜力,有望为难治性癌症患者提供新的治疗选择。

关键词: 抗癌细菌、肠道菌群、肿瘤微环境、免疫激活、Ewingella americana

A Safer Container Ecosystem with Docker: Free Docker Hardened Images 278 points | 55 comments | by anttiharju

Docker Hardened Images (DHI) 概述 (Summary of Docker Hardened Images)

以下是对 Docker Hardened Images (DHI) 相关内容的总结:

核心问题与解决方案:

软件供应链攻击日益严重,造成的损失巨大。为了解决这个问题,Docker 推出 Docker Hardened Images (DHI),这是一个安全、精简、生产就绪的镜像集合,旨在为全球开发者提供一个安全的软件构建基础。

DHI 的主要特点:

  • 开源免费: DHI 采用 Apache 2.0 许可证,完全免费、开放,可供所有开发者使用、分享和构建。
  • 安全加固: DHI 已经加固了超过 1000 个镜像和 Helm Charts,并采用 distroless 运行时,减少攻击面。
  • 透明公开: DHI 包含完整的 SBOM(软件物料清单)、SLSA Build Level 3 provenance 信息,并公开透明地处理漏洞信息。
  • 兼容性强: 基于广泛使用的 Debian 和 Alpine 基础镜像,易于团队采用。
  • 持续安全更新: DHI Enterprise 提供 7 天内修补关键 CVE 的承诺,并计划缩短至一天或更短。
  • 可定制化: DHI Enterprise 允许用户自定义镜像,并利用 Docker 的构建基础设施进行管理。
  • 扩展生命周期支持 (ELS): DHI ELS 提供最长 5 年的安全更新,即使上游支持已结束。
  • 扩展生态系统: DHI 不仅包括镜像,还包括 Hardened Helm Charts 和 Hardened MCP Servers,并计划扩展到整个软件栈,包括库和系统包。

DHI 的不同版本:

  • Docker Hardened Images (免费): 基础版本,提供安全、精简的镜像。
  • Docker Hardened Images (DHI) Enterprise (商业): 提供更严格的安全保障,包括快速漏洞修复、FIPS/STIG 认证、定制化能力等。
  • DHI Extended Lifecycle Support (ELS) (商业): 延长安全更新周期,提供最长 5 年的安全支持。

合作伙伴与支持:

DHI 获得了包括 Google、MongoDB、CNCF 等众多合作伙伴的支持,并与 Snyk、JFrog Xray 等安全平台集成,共同构建安全的软件供应链。

如何开始使用:

  • 参加发布网络研讨会。
  • 立即开始使用免费的 Docker Hardened Images。
  • 查阅文档。
  • 加入合作伙伴计划。

Docker 的愿景:

Docker 致力于让 DHI 成为所有开发者构建软件的默认选择,并持续创新,为容器安全贡献力量。

TikTok unlawfully tracks shopping habits and use of dating apps? 200 points | 116 comments | by doener

TikTok 数据共享及访问请求处理不当问题申诉总结 (Summary of Complaints against TikTok, AppsFlyer and Grindr)

以下是对 noyb 向奥地利数据保护机构 (DSB) 提交的两份申诉的总结,涉及 TikTok、AppsFlyer 和 Grindr 的数据处理行为。

核心问题:跨应用非法追踪及数据共享

  • 非法追踪: TikTok 涉嫌通过追踪用户在其他应用程序中的使用情况进行数据收集,这是一种非法行为。用户通过访问请求发现,他的 Grindr 使用数据(包括可能泄露其性取向和性生活的信息)被发送到了 TikTok,很可能通过以色列数据公司 AppsFlyer 作为中介。
  • 敏感数据处理: Grindr 的数据包含受 GDPR 第 9 条 保护的敏感个人数据,只有在特殊情况下才能处理。TikTok、AppsFlyer 和 Grindr 均未提供在 GDPR 框架下数据共享和处理的合法依据,且用户并未明确同意此类数据共享。
  • 数据共享协同: AppsFlyer 疑似作为中介,从 Grindr 接收用户数据并传递给 TikTok,进一步助长了非法数据共享的行为。

TikTok 访问请求处理不当

  • 信息隐瞒: TikTok 最初在回复用户访问请求时,隐瞒了其追踪其他应用数据的行为,违反了 GDPR 第 15 条
  • 不完整的数据下载工具: TikTok 指导用户使用一个“下载工具”获取个人数据,但后来承认该工具仅提供 TikTok 认为“相关”的数据,并非用户所有个人数据的完整副本。即使在多次催促后,TikTok 仍未提供关于数据处理目的和具体处理方式的完整信息,违反了 GDPR 第 12 条GDPR 第 15 条
  • 结构性违规: noyb 认为 TikTok 的“下载工具”存在结构性的缺陷,可能导致数千用户无法获得完整的数据副本。

申诉内容与要求

  • 针对 TikTok 的申诉: 针对 TikTok 回复访问请求不完整的问题。
  • 针对 TikTok、AppsFlyer 和 Grindr 的申诉: 针对 TikTok 跨应用数据处理、AppsFlyer 和 Grindr 数据共享缺乏合法依据以及违反 GDPR 第 9(1) 条 的问题。
  • 要求:
    • TikTok 必须向用户提供所有缺失的信息。
    • TikTok、AppsFlyer 和 Grindr 必须停止非法的数据处理行为。
    • 建议 DSB 依据 GDPR 第 83 条 处以“有效、相称且具有威慑力”的罚款,以防止未来发生类似违规行为。

总而言之,noyb 指出 TikTok 及其合作方通过非法追踪和数据共享,侵犯了用户的隐私权,并对 TikTok 的数据访问请求处理方式提出了质疑。

I got hacked: My Hetzner server started mining Monero 192 points | 162 comments | by jakelsaunders94

总结:我如何意识到“我不使用 Next.js”并不意味着我的依赖项不使用 Next.js

这篇文章讲述了作者 Jake Saunders 经历的一次服务器安全事件,以及从中吸取的教训。

事件经过:

  • Jake 收到 Hetzner 的邮件,警告他的服务器可能存在攻击行为,并要求提供攻击原因和解决方案,否则将面临服务器被封禁的风险。
  • 检查服务器负载时,发现 CPU 使用率异常高,并发现运行着名为 javae 和多个 xmrig (Monero 挖矿软件) 的进程。
  • 调查发现,Umami 统计工具的容器被入侵,黑客利用 Next.js 的一个安全漏洞 (CVE-2025-66478) 在容器中安装了挖矿软件,并运行了 10 天。
  • 作者起初认为自己不需要担心 Next.js 的安全问题,因为他并没有直接使用 Next.js,但后来意识到 Umami 是基于 Next.js 构建的。
  • 幸运的是,挖矿软件被容器隔离,没有逃逸到主机系统,作者得以避免更严重的损失。

技术细节:

  • 攻击方式: 黑客利用 Next.js 的 React Server Components 序列化漏洞,通过发送恶意 HTTP 请求,在 Umami 容器中执行任意代码,进而下载并运行挖矿软件。
  • 容器隔离: Umami 容器以非 root 用户运行,没有特权访问权限或主机挂载,这使得挖矿软件无法访问主机文件系统,从而限制了其破坏范围。
  • 漏洞: CVE-2025-66478 是 Next.js 中一个不安全的序列化漏洞,攻击者可以利用此漏洞在服务器上执行任意代码。

吸取到的教训:

  1. 依赖项安全: “我不使用 X”并不意味着我的依赖项不使用 X。需要了解并关注使用的第三方工具的构建技术,以及它们可能存在的安全风险。
  2. 容器隔离: 容器隔离技术在配置正确的情况下可以有效保护主机系统,但不能完全依赖容器隔离来保证安全。
  3. 安全意识: 攻击者可能使用复杂的手段来隐藏恶意行为,需要保持警惕,并采取多层次的安全措施。
  4. 防御纵深: 单一的安全措施不足以应对所有威胁,需要构建多层次的安全防御体系,包括防火墙、入侵检测、监控和定期安全更新等。

后续行动:

  • 作者删除了受感染的 Umami 容器。
  • 开启了防火墙 (UFW)。
  • 计划审计所有第三方容器的安全配置。
  • 加强 SSH 认证,并设置 fail2ban。
  • 完善服务器监控,及时发现并响应安全事件。
  • 定期更新软件,及时修复安全漏洞。

总而言之,这篇文章强调了在现代云环境中,理解依赖项的安全风险、正确配置容器安全以及构建多层次安全防御体系的重要性。

Germany: Amazon is not allowed to force customers to watch ads on Prime Video 171 points | 70 comments | by febed

亚马逊 Prime 视频广告问题:法院判决消费者胜诉

核心内容: 德国慕尼黑地方法院判决亚马逊(Amazon)不能单方面更改 Prime Video 服务的合同条款,并在视频中插入广告,除非消费者同意并支付额外费用。

关键细节:

  • 背景: 亚马逊于 2024 年初通知 Prime Video 用户,将会在视频中有限地播放广告,并要求不希望观看广告的用户每月支付 2.99 欧元。
  • 法院裁决: 法院认为亚马逊的这种做法违反了公平竞争原则,邮件通知具有误导性,亚马逊错误地认为自己有权单方面更改合同条款。法院认为,用户在订阅时期望的是一个无广告的 Prime Video 服务,亚马逊不能随意更改这一条款。
  • 亚马逊的回应: 亚马逊表示尊重法院的决定,但不同意其结论,并声称已按照法律规定,提前并透明地通知用户关于广告更新。他们保留对该判决提出上诉的权利。
  • 消费者协会的观点: 消费者协会表示,这是一个重要的判决,表明亚马逊 Prime Video 的额外广告不能在未经消费者同意的情况下进行,并认为会员应继续享受无广告的 Prime 服务,且无需额外付费。
  • 后续措施: 亚马逊需要向 Prime Video 用户发送一份“更正函”。
  • 判决是否生效: 该判决目前尚未最终生效,亚马逊可能提出上诉。

总结: 该判决对亚马逊 Prime Video 的广告策略构成重大挑战,强调了企业在修改服务条款时需要尊重消费者权益的重要性。

After Ruining a Treasured Water Resource, Iran Is Drying Up 125 points | 85 comments | by YaleE360

Iran is looking to relocate the nation’s capital because of severe water shortages that make Tehran unsustainable. Experts say the crisis was caused by years of ill-conceived dam projects and overpumping that destroyed a centuries-old system for tapping underground reserves. 

The State of AI Coding Report 2025 124 points | 100 comments | by dakshgupta

A cross-industry study on recent trends in AI software development. Explore engineering team velocity, AI tool adoption, model growth trends, and performance benchmarks.

OBS Studio Gets a New Renderer 114 points | 27 comments | by aizk

Starting with OBS Studio 32.0.0 a new renderer backend based on Apple's Metal graphics API is available for users to test as an experimental alternative to the existing OpenGL …

Why do commercial spaces sit vacant? 110 points | 126 comments | by NaOH

Instead of letting their commercial buildings sit empty, surely it would be better for landlords to lower the rent and got some use out of the building, right? Wrong. Here’s why.

Cloudflare Radar 2025 Year in Review 104 points | 38 comments | by ksec

The Cloudflare Radar 2025 Year In Review features interactive charts, graphs, and maps you can use to explore what changed on the Internet Worldwide throughout 2025.