From 30 items, 7 important content pieces were selected
- lightning PyPI 供应链攻击窃凭证并毒化仓库 ⭐️ 9.0/10
- Ladybird 2026 年 4 月浏览器引擎更新 ⭐️ 8.0/10
- VideoLAN 发布 dav2d AV2 解码器 ⭐️ 8.0/10
- VS Code 提交尾注引发 Copilot 争议 ⭐️ 8.0/10
- 白宫反对 Anthropic 扩大 Mythos 访问范围 ⭐️ 8.0/10
- 阿尔忒弥斯二号激光链路从月球传回 484GB 数据 ⭐️ 8.0/10
- DeepSeek-V4 预览版上线并开源 ⭐️ 8.0/10
lightning PyPI 供应链攻击窃凭证并毒化仓库 ⭐️ 9.0/10
Socket 报告称,PyPI 上的 lightning 2.6.2 和 2.6.3 版本被植入恶意代码,这些代码会在导入时自动运行,下载并执行混淆的 JavaScript 载荷,窃取 GitHub token、云凭证和环境变量。被窃取的权限随后被用于向仓库注入伪造提交,并毒化本地 npm 包,其行为模式类似 Shai-Hulud 蠕虫。 这是一次影响很大的供应链事件,因为 lightning 是广泛使用的深度学习包,受感染安装可能暴露开发者账号、云基础设施和下游项目。攻击者还能利用窃取的凭证继续进行仓库投毒,这会增加在软件和机器学习生态中进一步扩散的风险。 该恶意代码会在正常导入包时触发,而不是需要单独执行,这使得检测更困难,也更容易在无意中泄露凭证。建议立即移除 2.6.2 和 2.6.3 版本,降级到 2.6.1,并轮换所有可能受影响的密钥和 token。
telegram · zaihuapd · May 2, 00:36
背景: PyPI 是 Python 的主要包索引,许多项目会直接从中安装依赖,用于开发或部署。供应链攻击正是利用这种信任,把恶意行为隐藏在看起来正常的包里,并在安装、导入或运行时触发。在这起事件中,报告称该包还试图窃取凭证并修改仓库,这可能让一次入侵演变成多次扩散。
参考链接
标签: #supply-chain security, #PyPI, #machine learning, #credential theft, #malware
Ladybird 2026 年 4 月浏览器引擎更新 ⭐️ 8.0/10
Ladybird 的 2026 年 4 月通讯更新了其从零开始开发的浏览器引擎进展。此次更新显示,该项目仍在持续推进一个基于网页标准、而不是 Chromium、Firefox 或 WebKit 代码的独立浏览器栈。 Ladybird 是少数几个认真尝试独立构建现代浏览器引擎的项目之一,这很重要,因为浏览器引擎决定了网页兼容性、安全行为和标准落地方式。若它逐步成熟,可能会成为由少数引擎主导的浏览器市场中的重要替代方案。 Ladybird 将自己描述为一个从零开始构建的新浏览器引擎,而不是分支项目,并表示不会使用 Blink、WebKit、Gecko 或其他浏览器引擎的代码。该项目还强调其资金来自捐赠和赞助,没有广告、搜索合作或数据收集。
hackernews · richardboegli · May 2, 20:46
背景: 浏览器引擎是负责渲染网页、处理布局、管理导航,并执行安全策略和脚本交互等行为的核心软件。现代网站依赖网页标准,但现实中的兼容性很复杂,因为浏览器往往还需要支持非标准行为和特定网站的特殊处理。因而,从零开始构建新的引擎是一个长期工程,尤其是当项目希望兼容现代网页时。
参考链接
社区讨论: 评论区整体对 Ladybird 的进展持乐观态度,有人认为它已经变得“相当可用”,并把它的开发节奏类比为游戏模拟器的更新。也有人提出现实担忧,尤其是浏览器竞争中的“人为兼容性”门槛、网站只允许 Chromium、以及 Widevine 等 DRM 让新浏览器很难真正参与竞争。
标签: #browser-engine, #web-standards, #open-source, #systems-software, #hacker-news
VideoLAN 发布 dav2d AV2 解码器 ⭐️ 8.0/10
VideoLAN 已发布 dav2d,这是一款面向 AV2 视频编解码标准的早期开源 CPU 解码器。该项目主打体积小、可移植、速度快,并在关键路径上使用了性能关键的汇编代码。 AV2 是 AV1 的下一代继任标准,因此 VideoLAN 提前发布解码器,说明生态正在为这一格式做准备。快速的软件解码器对播放器、流媒体工具以及在硬件支持普及前需要 AV2 支持的基础设施都很重要。 这个项目是基于 CPU 的,而不是依赖硬件加速;维护者强调在性能关键路径上使用汇编来尽可能提高速度。AV2 规范目前仍处于早期阶段,因此 dav2d 应被视为进行中的解码器,而不是最终的生产基线。
hackernews · dabinat · May 2, 17:32
背景: AV2 是开放媒体联盟(Alliance for Open Media)推出的下一代视频编码规范,该联盟也是 AV1 的制定者。和 AV1 一样,AV2 旨在保持免专利费,并提升压缩效率,也就是在更低码率下提供相近的视频质量。解码器负责把压缩后的视频比特流还原成可播放的画面,因此解码器是否可用是标准被采用的重要前提。VideoLAN 以 VLC 闻名,并且曾推出过高度优化的媒体组件,例如面向 AV1 的 dav1d。
参考链接
社区讨论: 评论者总体上对这次发布持积极态度,并指出在性能关键路径上使用汇编延续了 dav1d 的成功模式。也有人把 AV2 看作下一个重要的视频编码里程碑,同时提醒说该编解码器仍不成熟,而且一个可用的编码器可能还需要一段时间。
标签: #AV2, #video codecs, #systems programming, #performance optimization, #open source
VS Code 提交尾注引发 Copilot 争议 ⭐️ 8.0/10
VS Code 的一个拉取请求看起来会默认在 Git 提交中添加“Co-Authored-by Copilot”,即使实际上并没有使用 Copilot。这个改动引发了争议,因为它影响到开发者期望真实反映作者信息的提交元数据。 Git 提交信息属于技术记录的一部分,因此自动把工作归到 Copilot 名下会引发对信任和完整性的担忧。此次争议也反映出开发者工具领域的一个更大矛盾:AI 品牌推广目标与标准化、准确的项目历史记录之间的冲突。 这场讨论围绕 Git 提交尾注展开,例如用于在提交历史中标注贡献者的“Co-Authored-by”行。根据评论,这个 PR 虽然获得了批准,但后来因在默认开启前缺乏充分验证而受到批评;还有评论指出配置默认值与运行时回退行为之间存在不一致。
hackernews · indrora · May 2, 19:57
背景: 在 Git 中,提交元数据用于记录是谁做了改动以及如何完成的,尽管“co-author”本身是约定俗成的写法,并不是 Git 的核心功能。像 VS Code 和 Copilot 这样的工具在生成或辅助提交时,可能会显示或插入这些尾注。由于开发者经常依赖提交历史进行审计、定位责任和追踪变更,归属行为的改变会带来很大的影响。
参考链接
社区讨论: 评论区整体上批评声音很强,许多人认为在提交中插入 Copilot 归属信息具有误导性,并损害开发者日志的可信度。一位批准该 PR 的审阅者为默认开启这一功能道歉,另有评论指出 Copilot 本身据称还提醒过这次改动存在代码一致性问题。
标签: #VS Code, #Git, #Copilot, #AI ethics, #developer tools
白宫反对 Anthropic 扩大 Mythos 访问范围 ⭐️ 8.0/10
据报道,Anthropic 提议将其 Mythos AI 模型的访问范围从约 50 家实体扩大到约 120 家,但白宫以国家安全为由反对这一计划。官员还担心,现有算力不足以同时满足新增实体和政府需求。 这反映出政府对能够帮助发现软件漏洞的先进 AI 模型的审查正在加强,尤其是在更广泛开放访问可能增加滥用风险的情况下。它也表明,AI 的部署决策正逐渐成为国家安全问题,而不只是产品或企业政策问题。 报道称,Mythos 具备发现并利用软件漏洞的能力,这在最近几周引发了安全担忧。该模型此前仅向关键基础设施运营方和部分政府机构开放,而报道还称,特朗普政府正试图扩大政府使用范围,但围绕军方使用 AI 的争议仍使双方关系紧张。
telegram · zaihuapd · May 2, 01:48
背景: 能够发现软件漏洞的模型可以帮助防御方在攻击者之前找到缺陷,但同样的能力也可能被滥用来发起攻击。这种“双重用途”特性,使得这类模型的访问通常会受到严格控制,尤其是在它们强到足以识别并利用零日漏洞时。
参考链接
标签: #AI policy, #national security, #model safety, #cybersecurity, #Anthropic
阿尔忒弥斯二号激光链路从月球传回 484GB 数据 ⭐️ 8.0/10
据报道,NASA 在阿尔忒弥斯二号任务中使用猎户座阿尔忒弥斯二号光通信系统(O2O),以最高 260 Mbps 的速度从月球向地球传回了 484GB 数据。该系统在短时间内通过地面站接收了大量月球数据,包括高带宽媒体内容。 这展示了深空光通信的重要进展,因为它比传统射频链路能传输更多数据。若未来任务能够持续采用这类技术,将有助于提升近实时科学回传、支持更丰富的载人通信,并让月球和火星探测任务更高效地传输图像和视频。 O2O 系统由 MIT 林肯实验室开发,地面站包括 NASA 喷气推进实验室、白沙综合设施以及澳大利亚国立大学的斯特罗姆洛山天文台。报道还称,其中一个地面站在不到一小时内接收了 26GB 数据,显示出该系统很高的吞吐能力。
telegram · zaihuapd · May 3, 00:50
背景: 光通信使用激光束而不是无线电波来传输数据,因此通常能够提供更高的带宽。在空间任务中,这意味着航天器可以在更短时间内回传更多图像、视频和科学测量数据,前提是激光束能够被精确指向并在地球上成功接收。
参考链接
标签: #NASA, #laser communications, #space systems, #deep space networking, #Artemis II
DeepSeek-V4 预览版上线并开源 ⭐️ 8.0/10
DeepSeek-V4 的预览版本据称已经正式上线并同步开源,DeepSeek-V4-Pro 相比前代模型的 Agent 能力明显增强。消息还提到 DeepSeek-V4-Flash,这是一款更小、更快的变体,主打更便宜的 API 调用。 如果属实,这意味着开发者将获得一个更适合 Agent 工作流、数学、STEM 和竞赛编程任务的开源模型。更便宜的 Flash 版本也可能降低大规模部署 LLM 应用的成本,尤其适合关注延迟和 API 开销的团队。 该消息称,DeepSeek-V4-Pro 在数学、STEM 和竞赛编程测评中超过了目前已公开评测的开源模型,并接近头部闭源模型的能力。V4-Flash 则被描述为参数和激活更小,因此可以提供更快、更经济的 API 服务。
telegram · zaihuapd · May 3, 02:21
背景: LLM 指的是大语言模型,而 Agent 是围绕 LLM 构建的系统,它可以采取动作、使用工具,并以一定的自主性朝着目标执行任务。“Agentic” 模型尤其适合编程助手、任务自动化以及需要多步推理的工作流。数学、STEM 和编程基准常用于判断模型是否不仅能生成流畅文本,还能完成更复杂的推理任务。
标签: #LLM, #open-source AI, #agentic systems, #model release, #benchmarking