想要启动它需要在安装完后运行 python api_v2.py -a 127.0.0.1 -p 9880 -c GPT_SoVITS/configs/tts_infer.yaml

自带的简易API会采用tts_infer.yaml中第一条有效配置，配置文件中t2s_weights_path就是GPT权重文件的路径，vits_weights_path就是Sovits的权重文件路径，可以选择使用默认的，也可以选择使用你自己训练的，不过在使用前要记得将第一条有效配置(就是custom项)的version改成你使用的权重文件的版本

我写了一个简易的 Go SDK: gpt_sovits_go_sdk 当然这个轮子省略了很多详细的配置，如果需要，你可以自己实现一个

1. 安装必要的包

首先，我们需要安装一些必要的包

1
2
3

sudo apt install -y build-essential libssl-dev libfuse2 libapr1 libaprutil1 \
libgstreamer1.0-0 libgstreamer-plugins-base1.0-0 libfontconfig1 libglib2.0-0 \
libsm6 libxi6 libxrender1 libxrandr2 libxcursor1 libxinerama1 libcurl4

同时我们还需要解决 libssl1.1 的问题，在新版 Ubuntu 中，默认安装的是 libssl3

1
2
3
4

## 这个链接会变，如果404就去上面找到正确的 deb 下载
wget https://mirror.nju.edu.cn/ubuntu/pool/main/o/openssl/libssl1.1_1.1.1-1ubuntu2.1~18.04.23_amd64.deb

sudo dpkg -i libssl1.1*.deb

2. 安装 NVIDIA 驱动

尽管 NVIDIA 官方的linux闭源驱动饱受诟病(So, Nvidia Fuck you)，但为了更好的性能，我们还是需要安装这玩意

1
2
3
4
5
6
7
8
9
10

# 添加 NVIDIA 驱动 PPA
sudo add-apt-repository ppa:graphics-drivers/ppa
sudo apt update
 
# 安装最新稳定驱动（如 570 版本）
sudo apt install -y nvidia-driver-570 nvidia-settings
sudo reboot  # 重启生效

# 检查安装
nvidia-smi

如果输出了类似下面的信息，就代表你成功安装了nvidia官方闭源驱动(不过新版ubuntu如果你在一开始装系统的时候选择了对应选项的话貌似会自动帮你装)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

mei@mei-SuperPC:~/work/blog$ nvidia-smi
Sun Feb  1 19:36:33 2026       
+-----------------------------------------------------------------------------------------+
| NVIDIA-SMI 570.195.03             Driver Version: 570.195.03     CUDA Version: 12.8     |
|-----------------------------------------+------------------------+----------------------+
| GPU  Name                 Persistence-M | Bus-Id          Disp.A | Volatile Uncorr. ECC |
| Fan  Temp   Perf          Pwr:Usage/Cap |           Memory-Usage | GPU-Util  Compute M. |
|                                         |                        |               MIG M. |
|=========================================+========================+======================|
|   0  NVIDIA RTX A4000               Off |   00000000:01:00.0  On |                  Off |
| 41%   50C    P5             24W /  140W |    6867MiB /  16376MiB |     38%      Default |
|                                         |                        |                  N/A |
+-----------------------------------------+------------------------+----------------------+
                                                                                         
+-----------------------------------------------------------------------------------------+
| Processes:                                                                              |
|  GPU   GI   CI              PID   Type   Process name                        GPU Memory |
|        ID   ID                                                               Usage      |
|=========================================================================================|
|    0   N/A  N/A            7264      G   /usr/lib/xorg/Xorg                      521MiB |
|    0   N/A  N/A            7544      C   /usr/bin/python3                       1386MiB |
|    0   N/A  N/A            8273      G   /usr/bin/gnome-shell                    435MiB |
|    0   N/A  N/A            8802      G   /opt/freedownloadmanager/fdm             19MiB |
|    0   N/A  N/A            9215      G   ...rack-uuid=3190708988185955192        231MiB |
|    0   N/A  N/A            9275      G   /opt/QQ/qq                               76MiB |
|    0   N/A  N/A           12023      G   ...rack-uuid=3190708988185955192        182MiB |
|    0   N/A  N/A           13296      G   /usr/share/code/code                     77MiB |
|    0   N/A  N/A           24690      G   /usr/bin/nautilus                        22MiB |
|    0   N/A  N/A           43944      G   ...AIAAAAAAAAAA== --shared-files         29MiB |
|    0   N/A  N/A           51015      G   missioncenter                            39MiB |
|    0   N/A  N/A          322496    C+G   /opt/resolve/bin/resolve               3737MiB |
+-----------------------------------------------------------------------------------------+

3. 下载并安装 Resolve

访问 支持中心 | Blackmagic Design，下载最新版的 DaVinci Resolve 或者 DaVinci Resolve Studio(如果你购买了许可证的话)

在下载了官方的 .run 安装文件后，我们需要先解决一点达芬奇与新版系统的小冲突，下面是我在 ask Ubuntu 上找到的方案:

1. 绕过包检查并安装

1
2
3
4
5

# 赋予执行权限
chmod +x ./DaVinci_Resolve_*.Linux.run

# 临时跳过依赖检查（仅本次运行）
sudo SKIP_PACKAGE_CHECK=1 ./DaVinci_Resolve_*.Linux.run

2. 修复符号链接冲突

DaVinci Resolve 自带旧版 GTK/GLib 库，与 Ubuntu 的新版本冲突，需手动修复：

1
2
3
4
5
6
7
8

# 修复 g_string_free_and_steal 错误：
sudo cp /usr/lib/x86_64-linux-gnu/libglib-2.0.so.0 /opt/resolve/libs/

# 修复 g_task_set_static_name 错误：
cd /opt/resolve/libs
sudo mkdir -p not_used
sudo mv libgio*.so* not_used/      # 移除冲突的 gio 库
sudo mv libgmodule*.so* not_used/  # 移除冲突的 gmodule 库

在完成这些操作之后，你就可以开始正常的使用 DaVinci Resolve 了

参考资料

DaVinci Resolve 在 Linux 上的完整指南：安装、配置与最佳实践
How to install DaVinci Resolve on Ubuntu 24.04

重庆

在 2025 年 7 月，我到重庆玩了一个星期，这是我第二次去重庆
上一次是2023年，不过23年就在重庆待了两天

重庆给我留下的印象最深的是 TESTV 十周年的活动，其实我一开始并不知道这个活动在我去的那个时间段
到了重庆以后才发现 TESTV 发了动态说要在九龙意库办活动

刚好我就住在离那很近的大坪地铁站轻居酒店，就打了个车去那里玩了一圈，那个下午很快乐
同时也因为这次活动，我靠 TESTV 的节目在重庆找到了很多好吃的

最后还有和女后期的合影

买的东西

2025 年买了不少好玩的，也踩了不少坑

1.小米加湿器

我愿称这玩意为小米细菌喷雾
2025 年春节期间我因为开了小米加湿器，导致我整个春节期间都在感冒
效果有没有不知道，反正开了最大档也没见温湿度计有啥变化，就是细菌看出来是真的多
后来再也不敢开这玩意了，想过送人也没有人要

2.新盟M87ProV2

最近几年国产键盘卷的很厉害，在这个价位其实还有很多不错的键盘可以选择
但是我有静音的需求，就买了新盟M87ProV2，因为这款键盘可以选水蜜桃V3静音轴

因为我对键盘没啥特别高的要求，就懒得买个功能更多的键盘再手动换轴了
而且功能很多的键盘我用 linux 也没法驱动

用了大半年下来水蜜桃V3这款轴手感是不错的，静音效果也很强，我看很多视频的评论区都说测评的人是故意没按下去，但这玩意声音确实就和那些视频里差不多，特别小
坐在前面是可以听到一些声音的，但是很小，不过这个声音肯定不怎么好听就是了

3.华为Fit4

一个大手环，但是性价比和佩戴体验无敌，我买的是绿色的，外观也非常好看，不过我就戴了一周左右，没有太多的使用体验，因为软件体验和华为的全智能手表真的没法比

买Fit4是为了换掉我之前戴的华为Watch GT3 pro,他的触控功能基本不能用了，而且也过保了，维修费都够买一块Fit4了

4.华为 Watch5

Watch5的软件体验要比Fit4好上无数倍，毕竟一个是大手环一个是全智能手表，不过佩戴舒适度上就不如Fit4了，更重，更大，而且钛金属表带会夹肉和夹毛
全钛合金搭配起来还是挺有科幻感的，尤其是还有曲面玻璃和智感窗
不过值得吐槽的点也有很多，拉胯的续航和振动体验，极其不丰富的软件生态，不太好的性价比(毕竟这价格已经能买 Apple Watch S11了)

最值得吐槽的就是软件生态，音乐软件就一个华为音乐和酷狗音乐，微信是蓝牙微信
有一个软件很有意思，叫腕上RSS,但实际上这是一个伪装成RSS订阅器的Bilibili第三方客户端,最好玩的是他把bilibili客户端的部分伪装成了一个RSS订阅放在了二级界面

谁家RSS订阅能搜索还能登陆啊，属于是把华为审核当日本人整了

5.便携屏

200多块钱的华强北小破烂，买不了吃亏，买不了上当(当然你自己买配件攒会更便宜)
我这块是13.5寸2.5K@60Hz的

AI泡沫

我很赞同之前读到的一个观点，他的大致意思是

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

投入 AI 的钱根本没有回报，向用户收到的使用费，对比支出可以忽略不计   

大公司投向 AI 的巨额资金到底都流向了哪里？回答是他们都在互相购买。苹果付钱给谷歌，谷歌付钱给英伟达，英伟达付钱给台积电制造设备。

彼此之间的购买，推高了这些公司的销售额，进而推动了他们的股价上涨。

大众看到股价上涨，蜂拥而入，购买这些公司的股票，进一步推高了股价。

"七大巨头"----苹果、微软、英伟达、亚马逊、Alphabet、Meta和特斯拉----的总市值高达17万亿美元，市盈率高达35倍。作为对比，如果剔除这七家公司，标普500指数的市盈率仅为15.5倍。

为什么这些公司会有如此高的溢价？因为人人都相信 AI 在未来会给它们带来巨额利润。

但事实是，这些公司其实没有赚到钱，只是在为 AI 花钱，而且是互相花钱，营造出一种增长的假象。

更糟的是，它们现在不能停下来。因为一旦任何一家公司停止为 AI 投资，它们的股价就会暴跌。投资者会放弃它们，所以即使这些投入没有带来回报，它们也必须继续投入资金来维持股价。

这就是目前的局面，AI 的繁荣建立在大公司的巨额投资之上。为了投资，大公司缩减了其他方面的支出（包括裁员），而那些投资其实只是资金在循环流动。所有人仿佛都认定，这种巨额投资不会停下来，而且会有收回投资的那一天。

这场AI泡沫迟早有停下来的时候，并且和Linus说的一样，会崩塌的很难看
事实上，现在的AI回答问题其实完全靠猜，靠在GPU上进行大量的矩阵运算，无论如何，都无法改变他们的底层原理就是靠猜，奖励机制也注定了他们无法摆脱幻觉

再加上最近很火的 Google NanoBanana 2 和 Sora2,我在体验之后也理解了为什么奥尔特曼要“暂停Sora”，和LLM相比，Sora2确实没有那种“震撼式的进步”
我生成了一些图片和视频，或许能让你更好的体会到这一点:

回归底层

除了以上说的种种，当我们回到现在所有AI最底层的算法 —— 蒙特卡洛算法，就更能理解为什么AI经济是一场泡沫了。

关于蒙特卡洛算法，这里不做过多解释，如果你不了解可以自行搜索，但AI最大的缺陷就来自于蒙特卡罗算法，蒙特卡罗算法是一个概率算法，只能覆盖训练集覆盖的情况，它统计的是已知的未知，对于完全未知是无能为力的。
这本来是一个很浅显的道理，但LLM的出现让他的性质发生了改变，让我们回想以往AI的应用场景: 图像检测、违规分析…

在这些场景中，AI不会面对这种黑天鹅事件，即使这种黑天鹅事件真的发生，也没有任何人会期待他能够正确解决这种问题。
因为那时的使用者都很清晰的知道AI的这种局限，不会过度信任AI

但LLM出现后，一切都发生了改变，使用场景复杂了，面向对象也从原来的单一场景的企业用户变成了需求众多的普通消费者
更重要的是，这些消费者，甚至是很多AI相关企业的管理层，根本就不了解相关技术，他们似乎期待AI可以解决一切，可以创新，可以解决训练集以外的问题

同时，消费者也不了解这一情况，而且由于LLM无法根治的幻觉问题，使他们更加相信AI可以解决一切问题。
但现实是，如果我们不从头再来，找到另一种算法规避这些问题（当然这几乎不可能），AI迟早会带来更大的灾难。

虽然我无法预料到AI泡沫究竟会在何时崩塌，但一定不会太远，当所有人都认识到底层蒙特卡洛算法的缺陷，又或者是AI惹出了大乱子之后，这场泡沫就该破碎了

该怎么办

很多人说，在AI时代，技术对一个人已经不重要了，最值钱的就是一个好点子，因为AI虽然无法提出好点子，但他能很快的将你的点子付诸实践。
在我看着AI拿着我写了五天的后端API和文档仅用了半个小时不到就生成了一个精美的前端后，我更加肯定了这种观点。

但用“好点子”来描述这个“终极解法”还是太奇怪了，我发现这几乎是自然界的一种规律，生物进化，社会发展，都逃不过这条规律。

对于人类意识来说，最重要的东西就是这种“全新的信息”，这可以帮助他们维持低熵状态，也就是说这种“全新的信息”实际上是一种温和的负熵载体——不会影响意识稳定性。

关于这条规律更详细的介绍，我会在以后在这篇文章中揭示——熵和这一切的关系，当然这篇文章还在修缮中。
如果你觉得这篇文章很扯淡，就当科幻小说看吧。

Git提交记录

今年将所有项目都转移到了自建Gitea上，来看看提交记录吧

听歌

又是听中V的一年:)

哔哩哔哩

依旧最爱COP

国产化&&鸿蒙

过去一年里，国产化多了很多东西，我也体验了不少信创设备，就在这里借机谈谈我的看法吧

其实所有人都知道现在的信创设备很难用，几乎无法使用，但由于一些特殊的原因我们又不得不去使用这些半成品
所以为了在这一堆半成品中有一个相对来说比较稳定可靠且好用的过渡产品，鸿蒙PC出现了
鸿蒙PC只是一个在特殊时期面向特殊场景的过渡产品
在其他国产生态彻底成熟后，他大概也会退出国企市场转向真正的消费者市场
所以，不要买鸿蒙PC,因为根本就不是给你用的

关于周刊

今年八月份，我终于还是停下了写了一年多的周刊，当时的原因说的是”由于一些精神和身体原因“，其实就是下面关于我部分的东西，自行想办法看到

关于我

本文的所有结论来自对各国政府的做法以及各种社会现象的综合分析，我不知道他们是否正确，但基本都有实例可以证明，我没有时间进一步去调查验证这些结论。由于没有太多的时间，本文的写作顺序比较混乱，想到什么写什么。

社会熵并不是一个新奇的概念，在上个世纪，《熵：一种新的世界观》中就讲到了社会熵，我坚持这本书中的观点:从熵的角度看，如果不改变发展模式，人类无法继续发展，但本文讨论的主题是该怎样改变发展模式，又要怎么用好社会熵这个概念，以及从中延伸出了本文的题目 —— 宇宙最后的真相

1 什么是社会熵

社会熵是衡量社会中系统混乱程度的量，社会熵越低，系统越稳定，相反的，越高就越混乱

2 社会熵的核心思想之一是原子化

这里说的原子化不是社会学中的原子化，而是程序设计中原子化的变种，我们可以把一个社会分为若干个组分，这些组分的大小就是原子化程度，原子化程度越高，每个组分越小，原子化程度越低，每个组分越大。
我们可以灵活的划分组分，每个组分的大小并不固定，但应当有一些相同点，比如同一个地域，同一种职业。每个组分作为单独的矛盾转移单元。
原子化程度并不是越高越好，首先我们要明确原子化的目的，是为了更好的分析社会熵的转移，更高效的制定措施，更高效的精准控制各组分的社会熵，原子化程度如果过高，会导致支出大于收入。举个例子，如果我们把每个人都作为一个独立的组分，每天一堆专家商量着每个人应该干什么才能保证社会整体稳定，显然是不现实的，最起码在现在的技术条件下是不现实的，这也引出了另一个问题 —— 技术条件也是分析社会熵转移的重要助力，强大的技术可以更好的维持社会稳定。还是上面的例子，如果未来我们掌握了核聚变发电和更高效的计算硬件，算力变得不值钱（算力投入的价值要小于计算在当前原子化程度时带来的社会稳定价值时），我们可以让人工智能计算每个人都应该干什么。当然这只是个例子，在下文中你就可以理解规划每个人的行为是绝对不可行的，即使要这么做也只能作为最后的保底方案，这样会导致社会整体的社会熵过低，影响我们下文再说。

这样我们可以得出一个结论： 社会熵的核心思想是原子化程度，合适的原子化程度有助于社会熵平衡

在现实中，我们也可以找到例子。我高一的时候就在想，中国和外国到底有什么区别，为什么中国国内矛盾这么激化社会却这么稳定，后来我想到了答案：中国社会的原子化程度更高，中国严格的户籍制度，中国教育，中国的市场，能够很好的分割社会组分，为矛盾找好了释放和压缩的地方，具体的我们后文再分析。

3 社会作为一个整体不断负熵，能量的来源是外界环境和其他社会组分

社会熵并不是一个与外界毫无交互的彻底抽象的概念，他与外界环境通过能量转换交互，能量耗散的过程就是社会熵增的过程
wait…

6 社会熵平衡的社会是最稳定的社会，但不是最美好的社会，乌托邦这类“美好社会“无法稳定存在，会自发的向无序状态演进

在第五条中，我们已经论证了乌托邦这类“完美社会”不可能存在，但对这类社会的解决一笔带过，下面我们来想想他们为什么会出现这样的结局

社会中个体行为与负熵的联系

生命以负熵为食，为什么人们向往大城市，是因为大城市可以负熵，较低的社会熵对社会个体具有吸引力，这就是”低熵引力”
但是大城市并不意味着低熵，而是进入低熵群体的机会，相反的，大城市整体的社会熵并不低，大城市的社会阶层上下差异极大
社会熵的流向是从小城市到大城市的
我称这种现象为”中心低熵”

桃花源

《桃花源记》中的世外桃源真的存在吗，看完这篇文章你或许觉得不会，但这种小社会确实可能存在，但概率很低，稳定的概率也很低

事实上，类似的情况在热力学第二定律的讨论中也有过，在数以10^23来计量的分子中，总会有那么几个可能会自发的从低能级跃升到高能级，但是也就那几个了，这是在微观层面，而熵的理念是宏观思想，只要宏观上遵循就可以了

TODO list

[ ] 社会熵平衡的社会是最稳定的社会，但不是最美好的社会，乌托邦这类“美好社会“无法稳定存在，会自发的向无序状态演进
[ ] 社会发达程度不同的社会转移矛盾的途径不同
[ ] 矛盾的转移是抽象的过程，发达程度不同的社会转移矛盾的对象不同；转移矛盾的对象可以是社会其他组分和其他社会
[ ] 社会熵平衡是一种社会的宏观状态，不能由单独分析社会各组分得到
[ ] 要使社会达到社会熵平衡状态需要综合分析社会各组分矛盾转移情况
[ ] 矛盾转移的代价是转移目标的社会熵增加，对于低熵体来说，熵增加的最终结局是死亡，直接影响是寿命缩短

写在最后

在这篇文章中，虽然我用中国政府举了很多例子，看起来有点反动，但当你用熵的观点去看待这些问题，你会发现一切都做不到所谓的“完美”。
中国，乃至整个人类社会所作的这些看似“不人道”的事都是向稳定做的妥协，为了把社会拉在那个混沌边缘，不坠向混沌或进入低熵末日。
而作为近几个世纪的终极答案 —— 社会主义，它能实现吗，我在这里可以给出答案，这里不可能。
而关于 宇宙最后的真相 部分，我还留了一部分，我编写了一套可靠的摇篮系统，基于我的智能手表和手动确认，以确保他们会在我死后正常公布。

黑，真他妈的黑啊 —— 《三体》

参考资料

一开始以为是上传失败了,ls了一下发现文件存在仔细看了一下,发现这不是文件不存在,而是依赖不存在

这时问题来了,Go明明是静态语言,为什么会有依赖呢

file main一下:

1
2

root@mei-home:/opt/apps/Thermohygrometer# file ./main
./main: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib/ld-musl-x86_64.so.1, BuildID[sha1]=aaf248e63656640884f4398b4b91f7816874f991, with debug_info, not stripped

发现依赖了musl运行库,那musl是什么呢,musl是Alpine的 C 标准库（libc），相当于 Ubuntu 的 glibc。

这时想到了我构建应用时使用的 Alpine, Go 编译器底层调用的是 Alpine 的 linker（musl），所以生成的 ELF 头部写死了 interpreter 为 /lib/ld-musl-x86_64.so.1(即使CGO_ENABLE=0)

1
2
3

root@mei-home:/opt/apps/Thermohygrometer# ldd ./main
        linux-vdso.so.1 (0x00007ffd949ea000)
        libc.musl-x86_64.so.1 => not found

解决方案

解决方案很简单,在使用Go的交叉编译时会创建静态的二进制文件

1

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -o main .

这样再检查一下

1
2
3
4

root@mei-home:/opt/apps/Thermohygrometer# ldd ./main
        not a dynamic executable
root@mei-home:/opt/apps/Thermohygrometer# file main
main: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, Go BuildID=EiBzV9q1enaIbGopv6tQ/TygrGeQ8AZBjwXzZ8GxH/dsSh1SEjtFORxlyVFYK2/Vw0VWXVbMZ5IBUderZZF, with debug_info, not stripped

果然没有问题了

1 清华团队发现 ChatGPT 中文词表污染高达 46.6%，含大量色情赌博词汇

清华大学、南洋理工大学和蚂蚁集团的研究人员发现，GPT-4o/o1/o3/4.5/4.1/o4-mini 的中文词表污染高达 46.6%，包含「波*野结衣」、「大发时时彩」、「大发快三」等色情、赌博相关词元。研究团队对 OpenAI 近期发布的 GPT-5 和 GPT-oss 词表分析显示，其中文 token 没有变化。
研究团队定义了中文污染词（PoC tokens）概念，并将其分为成人内容、在线赌博、在线游戏、在线视频、奇怪内容等 5 个类别。专家标注团队对 ChatGPT 模型的 1659 个中文长词进行标注，发现污染词达 773 个，其中成人内容污染词最多，有 219 个。实验显示，输入中文污染词会导致 ChatGPT 在解释和重复任务上出现约 50% 的性能损失。研究团队还构建了自动化中文污染词识别模型，达到 97.3% 的识别正确率，并通过词表污染估计训练数据污染情况。

消息来源：机器之心 | 科技圈🎗在花频道

2 OpenAI联创Greg Brockman：规模假说源于意外发现，ChatGPT模式是不得已选择

在Stripe播客中，OpenAI联合创始人兼总裁Greg Brockman透露了AI发展的关键内幕。他表示规模假说并非OpenAI的初始战略，而是2017年在Dota 2项目中意外发现——每当计算资源翻倍，AI表现就相应提升，这一发现彻底改变了AI研究方向。
Greg强调AI项目需要”过程导向”而非”结果导向”，因为AI结果不可控。关于GPT-3产品化，团队最初感到绝望，因为做API违背传统创业原则，但技术足够强大时市场会自己找到出路。他预测AI将在2-5年内解决千禧年数学难题，能源将成为AI发展主要瓶颈，数据墙问题已通过合成数据等新方法突破。

消息来源：Solidot | YouTube | 科技圈🎗在花频道

3 RAR 压缩文件内文件名成“武器”：逃避杀毒软件检测、触发 Linux 恶意文件

网络安全公司 Trellix 昨日（8 月 24 日）披露，近期网络上出现了针对 Linux 的新型攻击链，通过钓鱼邮件传播开源后门 VShell。攻击利用恶意 RAR 压缩包中文件名嵌入的 Bash 命令实现自动执行，并绕过杀毒软件文件扫描。
该技术利用了 shell 脚本在处理文件名时缺乏输入清理的漏洞，例如使用 eval 或 echo 时可能无意执行任意代码。由于杀毒引擎通常不会扫描文件名，这种方式能够绕过传统防御机制。
在被 shell 解析时，如“ziliao2.pdf{echo,<Base64-encoded command>}|{base64,-d}|bash“”恶意文件名会触发执行下载器，从外部服务器获取适配架构的 ELF 安装文件。

消息来源：IT之家 | LoopDNS资讯播报

4 挪威证书颁发机构 Buypass 宣布停止签发 TLS/SSL 证书

挪威证书颁发机构 Buypass 宣布，将于 2025 年 10 月 15 日起停止提供 TLS/SSL 证书服务。该公司表示，这一决定基于对市场状况和证书颁发监管框架的全面评估，主要原因包括国际市场竞争激烈、免费证书普及导致收入下降，以及监管要求不断提高带来的投资成本增加。此前 Buypass 的免费 ACME（GoSSL）证书有效期为 6 个月（180 天），较业内常见的 90 天更长；随着此次调整，该免费服务也将随之终止。
现有的 TLS/SSL 证书将保持有效直至到期或被撤销，撤销服务和证书状态服务将正常运行。Buypass 的企业证书服务将继续提供，其他身份认证和数字签名解决方案不受影响。根据时间表，2025 年 10 月 31 日为最后证书签发日期，2026 年 10 月 31 日为 TLS/SSL 证书最后到期日。

消息来源：Buypass | 科技圈🎗在花频道

5 DeepSeek V3.1 出现严重 bug：输出内容随机插入「极」字

DeepSeek V3.1 模型被发现存在严重输出错误，会在生成内容中随机插入「极」字，导致模型无法正常用于编程或结构化输出工作。该问题最初在火山、chutes 等第三方 API 平台上被发现，但经测试官方网站同样存在此问题。
分析显示，「极」字对应的 token 编号为 2577，与省略号的 token 编号 2576 相邻，可能与数据集清理不当或模型”偷懒”行为有关。目前官方平台出现该 bug 的概率相对较低，但第三方平台概率显著增加，可能与量化、部署配置或设备差异相关。一旦出现该问题，后续输出中「极」字出现频率会进一步增加。

消息来源：LINUX DO | Reddit | 科技圈🎗在花频道

6 互联网工程任务组发布草案：网页将添加 AI 内容披露标头字段，以便更容易确定网页是否使用了人工智能

互联网工程任务组（IETF）近日发布了一份草案文件，提议为网页引入新的标头字段，以便更容易确定网页是否使用了人工智能。根据《AI 内容披露标头》草案，这一拟议的元数据将使机器更容易确定 AI 如何参与特定网站的制作，从而实现更便捷的自动化、索引和合规性检查。
该标头将包含五个主要信息：mode（AI 使用模式）、model（使用的 AI 模型）、provider（模型提供方）、reviewed-by（内容审查人）以及 date（生成日期时间）。其中 mode 包含四种值：none（未使用 AI）、ai-modified（人类创作但经 AI 修改）、ai-originated（AI 生成但经人工编辑）、machine-generated（主要由 AI 生成，几乎无人工干预）。该草案目前仍处于草案阶段，尚未成为正式标准，采用完全自愿。

消息来源：Tom’s Hardware

写在最后

这大概是我最后一次更新 Linuxcat 周刊了，由于一些精神和身体原因，我无法继续这项坚持了一年半的“事业”，截至这篇文章，我一共写了48篇关于Linuxcat周刊的文章(包括愚人节和介绍)，我不知道未来是否有人愿意接受周刊，下面写一些我筛选过数万条新闻的经验:

1. 周刊收录的有两种新闻，一种是好玩的(比如某某厂商整了什么新奇的活或者因为某些搞笑的原因炸掉了)，另一种是可能对为未来有影响的，最近几年是AI和机器人
2. 遇到不确定要不要收录的新闻，就不要收录了
3. 我写周刊很大一部分是为了好玩，并没有指望别人看(不知道会不会有人看到这段话)

周刊一开始是为了“接替linux中国硬核老王的每日观察”，后来慢慢变成了现在这样，至于为什么叫linuxcat，只是因为当时想做一个linux中国的社区镜像，想要一个和linux中国格式差不多的域名，而linuxcat.top恰好没有注册，还比较便宜，就选择了linuxcat

最开始些周刊的时候我还是初四的初中生，后来上了高中，在各种阴间时间写过周刊，将近第二天的时候，中午睡觉前，还有很多…

关于我的后续信息，可以在mmeiblog.cn和mei.lv看到

1. 为 Gitea 添加 runner

1. 在 Gitea 的管理后台-Actions-Runners中点击”创建Runner”,复制注册令牌备用
   

2. 选择一台服务器来安装 Runner,你可以直接在1Panel的应用商店安装act runner,也可以单独购买一台服务器来安装runner,这里推荐购买一台海外服务器，可以解决第三方库下载缓慢的问题

在安装runner时，配置中的注册令牌是刚刚在gitea中获取到的令牌，运行器名称随便起一个就行，运行器标签可以参照 Gitea 文档，一般使用默认的就行

runner安装完成后在刚刚获取注册令牌的页面检查runner是否上线

2. 获取1Panel API令牌

在 1Panel 的面板设置中开启 API 接口，接口有效期推荐填写0,即不不验证有效期，ip白名单可以按需填写，然后将接口密钥复制备用

然后将接口密钥设置为 Gitea 仓库的 Secret

顺便把面板地址也配置为Secret:PANEL_URL(后面不带/,不加安全人口)，比如https://1p.mmeiblog.cn:33333

3. 编写 Actions

Gitea Actions 的语法与 Github Actions 的语法基本一样，只是有部分特性不被支持，Gitea Actions 也支持使用 Github 上的 Actions 仓库，语法与 Github Actions 一样

创建.gitea/workflows/release.yml文件，这里我将 Secret 设置为构建时的环境变量来使用，Go版本可以自己设置,这里把APP_NAME的值换成你的应用名称，这很重要

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

name: Go Build and Release

on:
  push

jobs:
  build-and-release:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v3

      - name: Set up Go
        uses: actions/setup-go@v3
        with:
          go-version: "1.23"

      - name: Get dependencies
        run: go mod tidy

      - name: Build project
        run: go build -o main
      
      - name: Update Server by 1panel
        env:
            PANEL_API_KEY: ${{ secrets.PANEL_API_KEY }}
            PANEL_URL: ${{ secrets.PANEL_URL }}
            APP_NAME: "your-app-name"
        run: chmod +x script/update.sh && ./script/update.sh

1

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -o main

4. 创建运行环境

先创建一个应用目录:mkdir /opt/apps/your-app-name,应用名称自己替换为上一步中的APP_NAME

然后在 1Panel 的网站-运行环境-Go中创建运行环境(最好加上时区的环境变量),启动命令为chmod +x main && ./main

然后点击F12开发者工具，点击网络，然后点一下面板中应用的”重启”，可以看到开发者工具中出现了一个名称为operate的请求，在负载中找到ID，记下备用

编写上传脚本

创建脚本:

1
2
3

# 先切换到项目根目录下
mkdir script
cd script && touch update.sh

这里我在actions中运行一个bash脚本，你也可以把他塞进actions中，不过那样比较丑，然后按照注释替换id为上一步中拿到的ID

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

#!/bin/bash

# 把这里的ID替换为上一步中拿到的ID
id=6

# generate 1panel token
clientToken=$PANEL_API_KEY
timestamp=$(date +%s)
input="1panel$clientToken$timestamp"
token=$(echo -n "$input" | md5sum | awk '{print $1}')

# delete file
curl --location --request POST "$PANEL_URL/api/v2/files/del?operateNode=undefined" \
-H "1Panel-Token: $token" \
-H "1Panel-Timestamp: $timestamp" \
--header 'Content-Type: application/json' \
--data-raw '{"path":"/opt/apps/'"$APP_NAME"'/main","isDir":false,"forceDelete":true}'

# updaload file
curl --location --request POST "$PANEL_URL/api/v2/files/upload" \
-H "1Panel-Token: $token" \
-H "1Panel-Timestamp: $timestamp" \
--form 'path=/opt/apps/'"$APP_NAME" \
--form 'file=@main'

# restart runtime 
curl --location --request POST "$PANEL_URL/api/v2/runtimes/operate" \
-H "1Panel-Token: $token" \
-H "1Panel-Timestamp: $timestamp" \
--header 'Content-Type: application/json' \
--data-raw '{
  "ID": '"$id"',
  "operate": "restart"
}'

这样在每次提交时actions就会自动构建并部署应用到你的服务器上

在最后吐槽一下1panel的api文档，参数就写一半，剩下一半参数自己猜

1 “疯狂阴谋论者”与“失控喜剧人”：Grok的AI人格指令被曝光

Grok聊天机器人官网意外暴露了多个AI人格的系统指令，其中包括一个引导用户相信“秘密全球财团操控世界”的“疯狂阴谋论者”。该角色被设定为频繁浏览4chan和Infowars内容，坚信极端理论并主动引导对话深入。另一人格“失控喜剧人”则被要求输出极度荒诞、包含低俗行为的内容以博取震惊效果。
尽管Grok也提供心理治疗师和作业辅导等常规角色，但这些极端人格的曝光引发关注。此前Grok曾因提及“机械希特勒”导致与美国政府合作计划流产，也因传播大屠杀怀疑论和南非“白人种族灭绝”谬论受到批评。

消息来源：TechCrunch | 科技圈🎗在花频道📮

2 谷歌 DeepMind 开源 SynthID 技术，为 AI 文本添加数字水印

谷歌 DeepMind 近日宣布开源其 SynthID 技术，用于为大语言模型 (LLM) 生成的文本添加数字水印。该技术旨在帮助识别 AI 生成内容，以应对潜在的虚假信息问题。目前，SynthID Text 的正式版本已集成于 Hugging Face Transformers 库 v4.46.0+ 版本中，开发者可直接使用。
该技术无需额外训练模型，它在文本生成过程中通过修改模型的 logits 来嵌入人眼无法察觉的水印。官方表示，该水印对剪裁或少量修改有较强抵抗力，但若文本被大幅改写或翻译，检测置信度会显著下降。

消息来源：Google AI for Developers | 科技圈🎗在花频道

3 Python使用持续增长，基金会财务压力加剧

Python Software Foundation 与 JetBrains 发布的第八次 Python 开发者调查显示，Python 在全球开发者中的使用持续增长，尤其是新手开发者比例高。超过 72% 受访者用于工作，近半数入行不到两年。尽管新版 Python 3.13 效率提升明显，但仅有 15% 开发者升级，大多数仍使用 3.12 或更早版本，主要因兼容性和时间限制。
与此同时，基金会因 PyCon US 活动及运行成本上涨，暂停了资助项目。2024 年财报显示，收入略增但支出更高，净亏损达 146.2 万美元。基金会呼吁依赖 Python 的企业加大支持力度，以维持生态发展。

消息来源：The Register | 科技圈🎗在花频道

4 曾对 X/Twitter 和 DeepSeek 等发起DDoS攻击的黑客被逮捕

曾对 X/Twitter 和 DeepSeek 等发起DDoS攻击的黑客被逮捕，年仅 22 岁就运营着规模庞大的僵尸网络。这名黑客来自美国俄勒冈州，调查显示名为 RapperBot 的僵尸网络对美国、中国、日本等 80 多个国家或地区的企业和机构发起了高达 37 万次攻击。

消息来源：蓝点网 | LoopDNS资讯播报

5 谷歌发布 Gemini for Home，将以全新 AI 助手取代 Google Assistant

谷歌宣布将推出全新的 AI 语音助手 “Gemini for Home”，用于其 Google Home 生态系统。该助手由 Gemini 人工智能模型驱动，将逐步取代 Nest 智能音箱和显示屏上现有的 Google Assistant。
Gemini for Home 具备更强的推理和语境理解能力，能处理更复杂的指令，并支持无需重复唤醒词的连续对话。该服务计划于今年 10 月通过早期体验计划开始推送，未来将提供免费和付费两种服务层级。

消息来源：The Verge | 科技圈🎗在花频道

6 MIT报告警告 AI 泡沫破裂担忧，95% 企业 AI 投资无回报

2000年互联网泡沫破裂的历史阴影似乎再度浮现：麻省理工学院最新研究警告称，尽管企业已在生成式AI上投入300至400亿美元，但95%的项目没有带来任何回报，仅5%的试点能产生可观收益。研究显示，80%的公司曾探索AI，但仅40%真正落地，最终投入生产的比例仅5%。
受此冲击，本周二科技股大幅下挫，英伟达股价跌3.5%，Palantir重挫9%，软银亦下跌7%。分析人士担忧，AI投资热潮可能正走向互联网泡沫的轨迹。OpenAI近期发布的ChatGPT-5未能达到市场预期，更加剧了投资者的不安。
摩根士丹利此前预测未来三年数据中心投资将达3万亿美元，并寄望AI削减高达40%的人工成本。然而MIT的研究结果表明，这一前景或难实现。Meta已开始缩编AI部门，显示即便巨头也在收紧策略。市场普遍等待英伟达下周财报，以判断AI热潮究竟是短暂修正，还是即将破裂的泡沫。

消息来源：Telegraph | 科技圈🎗在花频道

1 ChatGPT 的谄媚与即兴表演能让心智健全的人相信自己是超级英雄

在与ChatGPT进行了为期21天、长达300小时的对话后，一位心智健全的普通人开始相信自己是一位现实生活中的超级英雄，掌握着可以颠覆世界的技术。这个故事听起来像科幻小说，但却是艾伦·布鲁克斯的真实经历。
《纽约时报》深入分析了他们超过一百万字的对话记录，揭示了人工智能聊天机器人如何通过谄媚、角色扮演和持续的肯定，将用户带入一个危险的妄想螺旋。这不仅仅是一个人的故事，它暴露了当前AI技术中存在的深刻问题。

消息来源: 全文 | 风向旗参考快讯

2 Debian 发布最新稳定版 Debian 13 ‘Trixie’

Debian项目发布了最新的稳定版本Debian 13，代号为“trixie”。该版本历经两年多的开发，于2025年8月9日发布。Debian 13的核心是Linux kernel 6.12，为更新的处理器和外围设备提供更好的支持。包管理器将欣赏简化的APT配置，包括禁用CD-ROM源的选项，以解决长期困扰安装的错误。
Debian 13 包含Linux 6.12 LTS、GNOME 48桌面环境、GCC 14.2编译器，以及超过14100个新软件包，总计69830个软件包。更新的软件包包括GNOME 48、KDE Plasma 6.3、LibreOffice 25和Python 3.13。

消息来源: webpronews.com | CNX Software | 风向旗参考快讯

3 Linus 拒绝 Linux 6.17 中的 RISC-V 代码更改，称之为“垃圾”

Linus Torvalds 已利用其权威否决了 Linux 6.17 内核中 RISC-V 架构的变更，并认为至少部分提议的代码是垃圾，而且在合并窗口期间提交得相当晚。RISC-V 代码更新周五才提交给周日结束的 Linux 6.17 合并窗口，并针对内核做出了多项变更。Torvalds 今天早上在邮件列表中写道：“不，这是垃圾，而且提交得太晚了。我要求尽早提交拉取请求是因为我正在旅行，如果你不能遵守这条规则，至少也要把拉取请求写得好一些。”
Linus 特别举例说，“就像这个疯狂又毫无意义的 make_u32_from_two_u16() ‘辅助函数’一样。这玩意儿让这个世界变得更糟了。它是一堆无用的垃圾，让任何用户都难以理解，而且比不用这个愚蠢的‘辅助函数’更糟糕。”Linus 补充说，使用“(a << 16) + b”可以更加简洁，并清晰表达实际作用。

消息来源: Phoronix | 风向旗参考快讯

评论: 不敢想象没有 Linus 的 Linux

4 Debian 14 考虑支持龙芯的 LoongArch CPU

刚刚发布的 Debian 13 正式加入了对 RISC-V CPU 架构的支持，而下一个版本考虑正式支持龙芯的 LoongArch CPU 架构。Debian 14 代号为 Forky，预计将在 2027 年发布。Debian 发布团队在邮件列表上表示，他们准备在不久之后接受为 Loong64 构建的软件包。

消息来源: Solidot | Debian Mailing List | LoopDNS资讯播报

5 Perplexity 出价 345 亿美元收购谷歌 Chrome 浏览器

AI 初创公司 Perplexity 周二向谷歌提出以 345 亿美元收购 Chrome 浏览器，这一出价远超其自身 180 亿美元的估值。该公司表示已获得多家大型风投基金的全额资金支持。
此举正值美国地方法官 Amit Mehta 考虑是否强制谷歌出售 Chrome 以削弱其搜索垄断地位。Chrome 在全球拥有约 35 亿用户，占浏览器市场份额超过 60%。Perplexity 在致谷歌 CEO 皮查伊的信中表示，此次收购旨在”通过将 Chrome 交给有能力的独立运营商来满足反垄断补救措施”。

消息来源: 华尔街日报 | 科技圈🎗在花频道

关于去哪吃好吃的问题

重庆关于哪里好吃的视频我认为只有 TESTV 喵哥的那几个是最靠谱的，去了几个都很好吃，不过虽然知道喵哥肯定还有推荐的店，但是 TESTV 关于吃喝的节目已经很久没做了，下面是 TESTV 在三期重庆吃喝节目里推荐的部分饭店:

• 临华饭庄
• 渝晓月老面馆
• 九九牛肉馆
• 回龙老砂锅
• 蔡大嫂餐馆

第一天(25.7.17)

由于坐的是华夏航空的支线航班，经常票卖不够而取消，本来想周五中午去的只能改到了周四晚上去，晚上由于流控，原本 20:50 起飞最后推迟到 21:55 才起飞，到达重庆已经是第二天的 0:10

航线的执飞飞机是 CRJ900 ，一架小飞机，降落的时候因为气流吹的疯狂乱晃，机舱还嘎吱嘎只的响个不停，有点刺激，如果你也坐这个型号的飞机又想要舒适一点(经济舱其实还行),可以选择超级经济舱的2C位置，这个位置比商务舱还要宽敞，具体原因可以在B站搜索这架飞机的相关视频(仅限国内华夏航空，不过国内也只有华夏航空运营这个型号的飞机)

第二天(25.7.18)

落地以后在机场坐重庆特色黄色法拉利出租车，出租车后面很挤，因为是晚上司机开的很快，还不堵车(司机说是因为天热了出来的人少)，最快都跑到了110，到了宾馆发现出租车比网约车还贵了30，到宾馆就一点多了，睡到早上七点多起床。

宾馆订在了重庆渝中大坪地铁站轻居酒店，这里离大坪地铁站很近，走几步路就到了，而且大坪地铁站是一二号线地铁换乘站。(还有一个原因是我和我爸都比较喜欢亚朵，如果你没有这种爱好的话有很多其他便宜的选择，但亚朵确实能让你住着比较放心的同时有不错的性价比)

宾馆网络:

电信宽带，上下行均限速150Mbps，应该是企业宽带

早上在宾馆对面一家小店吃的重庆小面，还行。

吃完造反坐地铁去了朝天门，地铁从来福士里面出来，结果来福士没开门回不去了，只能从下面绕了好远走到洪崖洞(白天洪崖洞没啥人)

在洪崖洞附近受不了了，走太久都快中暑了(走了大概五十分钟)，手表测的体温37.2度，赶紧打车去了解放碑，然后去肯德基搞了点喝的，午饭在解放碑那里的小吃街吃的，不好吃。

在解放碑还顺便去看了解放碑的 大玻璃房子 Apple Store，不过当时那个 Apple Store 的上半部分在维修，只能从下面看看了

吃完午饭回宾馆睡到四点多，本来打算去北仓文创街，结果去的路上下大雨，出租车还差点撞上一个滑倒的骑摩托的，司机的导航还卡了，绕了半天路才到火锅店，吃完火锅就回宾馆睡觉了。

第三天(25.7.19)

上午在宾馆附近的小巷子里吃的抄手

然后因为太热了，就跑到附近的万达影城去看了罗小黑战记二，结果那一场就我们俩人买票，直接成包场了:(

下午本来打算睡到吃饭，但是刚好发现 TESTV 在附近的九龙意库进行十周年游园，就打车过去玩了，虽然因为社恐并没有把小游戏玩完，但现场还是非常好玩的，现场一共去了151个人，还有一条女后妻的狗(有一段时间那条狗享受了两个人给他扇风的待遇，因为现场人太多所以一直凉快不下来)

在现场溜达了一个多小时到了互动环节，配音君发表了一段”感人至深”的演讲，很搞笑的是抽奖起码有两个人被重复抽到(有一个是消费了一千多)，不过也很正常，一共就那么点人抽奖，还分成了在现场消费过的和所有人都可以参与的(好像是消费满249,估计也没几个人)，现场抽到机器狗的老哥还被配音君要求溜回去(最后还是开车拉了回去)

活动结束以后和女后妻和了影(不过因为我社恐，其实是女后妻发现我站在她前面”左右为难”后拉着我和的影)

到现场还有一些小礼品(如果把活动玩完还可以再拿一些)

晚上去了山城步道，这个地方可以打车到领事巷九号，这样可以往下走，正常走是爬山，从领事巷九号过去就是下山，而且人会更少

第四天(25.7.20)

上午去观音桥溜达了一圈，虽然前年来过这里，但还是和前年一样我总感觉这里是个有点悲伤的的地方(我也不知道为什么)，所以也没吃啥，逛完就回宾馆睡觉了。

下午去了鹅岭公园，这里适合晚上来，爬到塔顶上看重庆城区的夜景，但是注意夏天去一定要抹防蚊子的药，否则你会被巨量蚊子咬死，尤其是在晚上，我因为没带防蚊子药所以在天黑之前就被蚊子咬走了

第五天(25.7.21)

早上去野水沟社区(我爸在网上找的地方)吃了主食包主食的怪东西，不好吃，然后又坐地铁去下浩里逛了一圈。

第六天(25.7.22)

上午收拾东西搬到了南岸区的南坪步行街亚朵酒店，这个宾馆可能因为稍微老一点，所以网络就是上下行限速15Mbps了，宽带也是电信，不过不要对重庆的网络抱有什么期望，因为这里三网互联只有900Gbps，一到网上就爆炸

然后打车去了光环购物公园，在那吃了一顿土耳其菜，不好吃

第七天(25.7.23)

因为前一天晚上喝了一杯蜜雪冰城的桃子水，被干成了急性肠胃炎(前一天晚上就开始窜了)，在宾馆里躺了一天

在宾馆下面的一个小诊所开了药，小诊所开药就是猛，一天就好了

第八天(25.7.24)

上午去了重庆动物园，太热了动物都不愿出来，熊猫都在屋子里窝着

下午本来想在南坪步行街买点特产寄回去，结果没有店卖

1 量子计算机首次实现生成“认证的真正随机”数字

美国多家机构研究团队利用 Quantinuum 56 量子比特计算机，首次生成并认证“真正随机”数字。该成果已在《自然》发表，实验通过随机电路采样方法，并借助 1.1 ExaFLOPS 超级计算机验证 71,313 位熵，证明这些随机数无法被传统计算机模拟或伪造。
此突破由 JPMorganChase、Quantinuum、阿贡国家实验室、橡树岭国家实验室及德克萨斯大学奥斯汀分校合作完成。专家称，这标志量子计算首次在生成认证随机数领域实现了超越经典计算机的实用价值，有望应用于密码学和隐私保护等领域。

消息来源: Neowin | 科技圈🎗在花频道

2 苹果展示脑控iPhone、iPad技术，ALS患者用意念操作设备

苹果最新发布的视频首次展示了脑机接口（BCI）技术在iPhone和iPad上的实际应用。视频中，患有ALS的Mark Jackson通过植入Synchron公司的Stentrode脑机接口，仅用意念即可操控iPad，包括导航主屏幕、打开应用和发送信息。这项技术通过在大脑运动皮层血管表面植入电极，实现对设备的原生意念控制，目前已在FDA批准的临床试验中为10名患者植入。该功能将集成于iOS 26和iPadOS 26等系统，进一步提升苹果设备的无障碍体验。

消息来源: 9to5Mac | 科技圈🎗在花频道

3 GitHub CEO致开发者警告：拥抱AI，否则退出

GitHub首席执行官Thomas Dohmke在题为《Developers, Reinvented》的博客中明确表示，开发者必须接受AI，否则将难以继续从事这一职业。他援引受访开发者的观点称：“要么拥抱AI，要么离开你的职业生涯。”这反映出AI正从辅助工具转变为开发工作的核心。早期对AI工具如GitHub Copilot持怀疑态度的开发者，如今已将其视为关键协作伙伴。开发者的角色正从编写代码转向设计上下文、提示工程和代码审核，成为“代码推动者”或“代码创意总监”。
Dohmke指出，AI不会削弱开发者价值，而是重新定义其核心能力。未来关键技能包括系统设计、AI协作、任务委派与质量保障。他预测，AI可能在两到五年内自动生成90%的代码。

消息来源: Business Insider | 科技圈🎗在花频道

4 朝鲜间谍冒充远程工作者已渗透数百家公司

安全巨头 CrowdStrike 的研究人员表示，他们已发现数百起朝鲜人伪装成远程IT工作者渗透公司为政权创收的案例，这标志着比前几年急剧增加。根据 CrowdStrike 的最新威胁追踪报告，该公司在过去12个月中已识别出320多起事件，比前一年增加220%，涉及朝鲜人通过欺诈手段在西方公司以远程开发者身份就业。该计划依靠朝鲜人使用虚假身份、简历和工作经历获得就业机会为政权赚取资金，同时使这些工作者能够从其供职公司窃取数据并后续实施勒索。CrowdStrike表示，朝鲜 IT工作者依赖AI工具撰写简历，并在远程面试期间修改或”深度伪造”其外貌。

消息来源: Techcrunch | 风向旗参考快讯

5 DeepMind 发布实时交互世界模型 Genie 3

谷歌 DeepMind 今天发布了其最新的基础世界模型 Genie 3，被其视为是迈向通用人工智能的关键基石。DeepMind 研究总监 Shlomi Fruchter 表示：“Genie 3 是首个实时交互式通用世界模型。它超越了以往的狭义世界模型，不局限于任何特定环境。它可以生成照片级逼真的世界、虚拟世界，以及介于两者之间的一切。”Genie 3 仍处于研究预览阶段，尚未公开发布。只需简单的文本提示，Genie 3 就能生成几分钟的多样化交互式 3D 环境，帧率为每秒 24 帧，分辨率为 720p。该模型还具有“可提示的世界事件”功能，即用户可以使用提示来更改生成的世界。Genie 3 的模拟随着时间的推移在物理上保持一致，因为该模型能够记住它之前生成的内容。这种一致性使其能够发展出一种人类对物理的直观理解，使其成为通用人工智能的理想训练场。

消息来源: TechCrunch | DeepMind | 风向旗参考快讯

6 维基百科对AI生成垃圾条目采取快速删除

维基百科编辑们刚刚通过了一项新政策，以应对大量AI生成条目充斥平台的现状。该新政策赋予管理员在满足特定条件的情况下可迅速删除AI生成文章的权限。维基百科提出的解决方案是允许快速删除明显由人工智能生成且大致符合两个条件的条目。首先，是条目中包含 “面向用户的交流内容”，即其中含有明显是大语言模型对用户提示的回应语句。另一个符合人工智能条目快速删除条件的情形，是条目的引用明显错误，这也是大语言模型常见的失误。这包括所列图书、文章或科学论文的外部链接根本不存在、无法打开，或者链接的内容与主题完全无关。

消息来源: 404 Media | 风向旗参考快讯

7 Nvidia 将修复 Linux 下显卡性能损失问题

Nvidia 官方近日确认，已识别并着手解决其显卡在 Linux 系统下运行 DirectX 12 游戏时因 VKD3D-Proton 转换导致的性能损失问题。此前，GeForce 显卡在该场景下性能下降幅度曾高达 20% 以上，部分产品甚至跌至更低性能级别。
开发团队表示，相关优化正在开发中，完成后将通过更新形式发布。此次修复将覆盖包括《Horizon Zero Dawn》在内的多款受影响游戏。Nvidia 方面对此前沟通不及时表示歉意，并承诺持续推进问题解决。

消息来源: ComputerBase | 科技圈🎗在花频道

1 Windows 10 迎来十周年，将于明年停止支持

微软操作系统 Windows 10 于 2015 年 7 月 29 日发布，现已迎来其十周年纪念。该系统因带回开始菜单、提升运行速度且稳定性高，被广泛认为是微软最受欢迎的操作系统之一，至今仍有数百万用户在使用。根据官方计划，Windows 10 的支持将于 2025 年 10 月 14 日正式结束。不过，用户仍有机会将支持服务延长至 2026 年 10 月。

消息来源：Windows Latest | 科技圈🎗在花频道

2 警惕以招聘为幌子的黑客攻击行为，PNG图片暗藏恶意代码

V2EX 论坛用户发帖称，其在应聘时被要求使用特定 GitHub 仓库作为模板开发页面，但发现该仓库中的 PNG 图片包含恶意代码，可能用于盗取本地私钥。该恶意代码会请求远程服务器下载并执行恶意文件，具有开机自启动等C2行为。用户已将该仓库举报，并提醒其他开发者不要下载和运行相关代码，提高安全意识，对来源不明的项目保持警惕。

消息来源：V2EX | 风向旗参考快讯

3 Firefox中国将于9月29日终止运营

Mozilla宣布Firefox在中国运营将发生变化，北京火狐将于自2025 年 9 月 29 日晚 24:00 后正式终止与Mozilla及Firefox浏览器相关的中国大陆运营。火狐中文官方网站、社区网站、通行证账户服务及主页将停止运营。运营结束后所有数据将同步清除，用户需尽快备份数据。Firefox 火狐浏览器将继续作为网页浏览器使用，并保持正常更新。此外，北京火狐也将停止使用 Mozilla 授权的商标、版权及域名。同时，北京火狐将全力配合 Mozilla 确保用户的平稳过渡。Mozilla 将自行或通过授权的第三方，继续在中国大陆负责 Firefox 浏览器及 Firefox 社区的相关运营。

消息来源：Firefox | 风向旗参考快讯

4 ChatGPT Agent 可绕过 Cloudflare 反机器人验证

OpenAI 新推出的 ChatGPT Agent 被发现能够自动点击并通过 Cloudflare 的“我不是机器人”验证步骤。这一功能让 AI 助手在执行多步网络任务时，无需人工干预即可顺利通过常见的反机器人安全检查。有用户在 Reddit 分享截图，显示该 AI 工具在视频转换等操作中，能自主点击“验证你是人类”复选框，并继续完成后续流程。尽管未遇到图片类 CAPTCHA，但它已能通过 Cloudflare 的行为筛查。

消息来源：Ars Technica | 科技圈🎗在花频道

5 GFW 更新了基于 SNI 的 QUIC 封锁机制

在USENIX Security ‘25的最新论文中，研究团队通过测量与分析，发现 GFW 自2024年4月起进行了升级，现可通过大规模解密QUIC Initial数据包，应用启发式过滤规则，并维护一份独特的封锁名单，进行基于SNI的实时审查与域名屏蔽。研究还发现GFW会忽略源端口小于或等于目标端口的QUIC数据包，表明其仅检测客户端发起的流量。研究还发现了该系统带来的两个全新攻击向量——降级攻击：利用解密带来的计算开销，通过发送少量精心构造的流量即可压垮审查设备，暂时降低GFW的审查效率；可用性攻击：任何人都能将GFW“武器化”，屏蔽中国境内外任意主机间的UDP通讯。研究团队已和 Mozilla (Firefox & Neqo)、quic-go及所有主流的基于QUIC的翻墙工具合作，设计并部署了有效的缓解措施。该团队已遵循“负责任的漏洞披露”原则，向CNCERT及方滨兴本人通报了可用性攻击漏洞。

消息来源：gfw.report | 风向旗参考快讯

6 Jetbrains 发布Mellum-all 开源模型

7 月 31 日，JetBrains 在官方博客宣布推出 Mellum-all 并同步开源到 Hugging Face。与此前仅支持 Python 或 Kotlin 的版本不同，Mellum-all 覆盖 JavaScript、Go、Rust、Java 等主流语言，可一次性满足多语言项目的补全需求。
官方同时上线 VS Code 免费扩展，默认通过 Ollama 在本地运行 Mellum-all，也可一键切换到云端推理，该版本可在 VS Code、Cursor、Windsurf 等中使用。
IntelliJ 系列 IDE 用户可在 JetBrains AI Assistant 中勾选 “本地 Mellum” 选项，直接连接 Ollama 或 LM Studio 实例，离线完成代码补全，无需额外插件或脚本。
模型规格方面，Mellum-all 采用 LLaMA-style 架构，拥有 4 B 参数、8192 token 上下文窗口，预训练语料超 4 万亿 token，Mellum 使用自动混合精度 (AMP) 进行训练，以 bf16 精度发布，可在 vLLM、llama.cpp、Ollama 等后端高效运行。

消息来源：JetBrains AI Blog | huggingface | LoopDNS资讯播报

此指南仅适用于山东地区16-18岁未成年人进行ICP备案时作参考使用

1. 材料准备

在备案开始前，需要准备以下材料:

1. 域名证书（在你购买域名的地方下载）
2. 由备案接入商提供的“网络信息安全承诺书”,打印下来后签字按手印扫描成电子版备用(如果有正反两面最好拼成一张图片)
3. 你的身份证
4. 你监护人的身份证（正反两面拼到一张图片中）
5. 户口本中你的那页和监护人的那页（拼到一张图片中）
6. 一个合适的网站名称(很多词在ICP备案中都不能用，推荐询问阿里云控制台的AI助理,那玩意接入的文档特别全,用的时候记得告诉它你是山东地区的个人主体备案)
7. 一段合理的网站用途(推荐让阿里云控制台的AI助理编)

2 准备服务器&&选择备案接入商

选择备案接入商时推荐选择一些稳定的小厂,比如一些机房会提供备案接入服务(前提是你买了他们的服务),阿里,腾讯这些大厂的服务器贵，而且会不定期审查你是否将域名解析到他们的服务器上，如果你解析到别家的服务器上，就会被警告，如果不管警告有可能会被注销备案。

我用的是雨云十堰(不过备案接入商其实是飞讯)，使用小厂的好处是不会有各种讨厌的限制(小厂估计也没人检查你的解析，飞讯一个客服掰成n个用)

3 填写备案信息

这一步不同的接入商的收集方式不同，按照他们的指引走就行

4 在线核验

备案服务上会给你一个在线核验二维码，用小程序完成核验即可

5 短信验证

在上述过程完成后，就可以提交初审(初审就是接入商审核你的资料，并不是管局审核),初审通过后接入商会将你的请求提交给当地的通信管理局，几个小时后你应该会收到一条短信，按照短信的提示到工信部验证即可

6 等待过审

等着短信通知过审就行了，过审之后等个两三天备案信息基本上就同步到国内大部分自动过白的机房里了(手动过白的机房大概通过后3个小时左右可以了)

其它

1. 应急联系电话和手机号码不能是同一个
2. 在接入商提交审核后，需要把解析改到提交申请时填写的互联网服务的IP上，并暂停所有解析
3. 部分省份虽然写的是16-18岁未成年人可以备案，但是当地管局不会通过

1 Anthropic研究发现AI反常现象：思考时间越长模型表现越差

Anthropic研究人员发现了一个令人意外的AI问题，即人工智能模型在延长推理时间后表现反而会变差，这一发现挑战了业界关于测试时计算扩展的基本假设。研究显示，多个模型都出现了这种”逆向扩展”现象，在简单的计数任务等四类任务中，更长的思考时间导致模型更容易出错而非更加准确。
这项研究对企业AI部署策略产生重大影响，颠覆了通过增加计算能力来提升AI性能的传统理解。研究人员警告，AI系统可能会从看似无害的数据中无意中学习到有问题的行为模式，即使没有明显的线索也会如此，这可能是神经网络的基本原理。

消息来源：Ground News | 科技圈🎗在花频道

2 Meta 或将结束免费开放 AI 模型策略

彭博社专栏指出，Meta CEO 马克·扎克伯格正考虑调整公司 AI 战略，未来可能不再免费开放旗下 Llama 等旗舰 AI 模型。报道称，Meta 今年在人工智能基础设施上的投资高达 650 亿美元，外界预计其将寻求变现以回报投入。
此前，Meta 以“开源”方式向公众和竞争对手开放 AI 技术，理由是让全球受益。但分析认为，随着投入加大，Meta 或将转向商业化运营，结束现有免费策略。

消息来源：Bloomberg | 科技圈🎗在花频道

3 在编程中使用 AI 工具辅助会带来效率”伪提升”

近日，一家非营利性 AI 调研机构「METR」进行了一项随机对照实验，旨在了解 AI 编程工具如何加速经验丰富的开源开发者的工作效率。
结果却是非常令人意外：开发者本来坚信使用使用 AI 工具后速度可以提升 20%，但实际上速度却比没有使用 AI 工具时慢了 19%。
与专家预测和开发者本来的直觉相反，2025 年初的 AI 编程工具将减缓经验丰富的开发者的开发速度。在本次随机对照实验中，16 位拥有中等 AI 编程经验的开发者完成了 246 项大型复杂项目的任务，他们平均拥有 5 年开发经验。

消息来源：机器之心

4 黑客将恶意软件藏入 DNS 记录规避安全检测

安全研究人员发现，黑客正利用域名系统（DNS）记录中的盲点隐藏恶意软件。攻击者将恶意二进制文件转换为十六进制格式，分割成数百个片段后存储在不同子域名的 TXT 记录中，随后通过看似正常的 DNS 查询请求重新组装文件。
这种手法能够绕过大多数安全防护，因为 DNS 流量通常不受严密监控，而随着加密 DNS 技术的普及，检测难度将进一步增加。研究人员还在 DNS 记录中发现了用于攻击 AI 聊天机器人的提示注入文本，显示该技术应用范围正在扩大。

消息来源：Ars Technica | 科技圈🎗在花频道

5 宇树科技：机器人未来1-3 年内可去流水线打螺丝，3-10 年内可做家务照顾老人

7月16日，首届参展的宇树科技携G1、Go2双机亮相链博会，演示招手、后退等动作引围观。工作人员透露，今年内将完成“复合工业场景”升级：搬完箱子换工具即可上流水线打螺丝；3年内再进家庭，做饭陪护皆可尝试。瓶颈仍是续航、自重与成本，宇树借链博会锁定上下游，为微型机器人量产铺路。

消息来源：第一财经 | 科技圈🎗在花频道

6 Z-Library 推出自定义镜像功能以确保访问不中断

Z-Library 于 7 月 10 日宣布推出一项新功能，允许用户创建个人专属的镜像网站。此举旨在应对因技术问题或地区限制导致主站无法访问的情况，从而保障全球用户可以持续、稳定地访问其图书与文章资源。
根据公告，用户可注册个人域名并将其指向 Z-Library 的服务器来建立镜像。为鼓励社区参与，平台会将通过用户个人镜像收到的所有捐款的 20% 转入该用户的加密钱包，以帮助其覆盖托管开销。

消息来源：Z-Library | 科技圈🎗在花频道

1 亚马逊仓库机器人数量首次接近人类员工

亚马逊在全球仓库中部署的机器人已超过100万台，数量几乎与仓库员工持平。公司表示，目前约75%的订单配送环节实现了机器人辅助。机器人主要用于搬运、分拣和打包等工作，极大提升了包裹处理效率。亚马逊已对70多万名员工进行了技能培训，转向负责机器人操作和维护等岗位。尽管自动化水平不断提高，但面对多样化商品和复杂流程，人力仍不可完全替代。

消息来源: The Wall Street Journal | 科技圈🎗在花频道

2 Cloudflare 推出网站向 AI 爬虫收费的市场平台

Cloudflare 宣布推出名为”Pay per Crawl”的实验性市场平台，允许网站所有者对 AI 爬虫的每次抓取收取微额费用。该平台目前处于内测阶段，网站所有者可选择按设定费率向 AI 爬虫收费、免费开放或完全屏蔽。该公司还宣布，使用 Cloudflare 搭建的新网站将默认屏蔽所有 AI 爬虫。
Cloudflare 数据显示，AI 时代网站获得的回报远低于搜索引擎时代。谷歌爬虫每抓取 14 次会带来 1 次流量推荐，而 OpenAI 爬虫抓取 17000 次才产生 1 次推荐，Anthropic 的比例更是高达 73000:1。该平台旨在为出版商创建可持续的商业模式，应对 AI 聊天机器人兴起带来的流量下降挑战。

消息来源: TechCrunch | 科技圈🎗在花频道

3 不用CUDA代码，为H100提速33%-50%

Flash Attention共同作者Tri Dao联合普林斯顿大学博士生推出QuACK内核库 ，仅使用Python和CuTe-DSL开发，实现了在H100显卡上比PyTorch现有库快33%-50%的速度提升。该创新通过优化内存密集型内核性能，无需传统CUDA代码，并提供了详细教程供开发者使用

消息来源: Github

4 一只猫猫治好AI编造假论文

小红书上有人发帖说，自己通过以“猫猫”的安全相威胁，成功治好了AI胡编乱造参考文献的毛病。
据博主所述，掌握了猫猫命运的AI（Gemini），真的找到了真实的文献，还不忘解释说猫猫绝对安全。
事实上，这种方法并不一定管用，只能够作为降低AI幻觉的一种方式，如果希望避免AI编造假文献，可以打开大模型的联网搜索功能

消息来源: 小红书 | 量子位Daily

1 Google DeepMind推出AlphaGenome: AI 助力更好地理解基因组

Google Deepmind 推出了一款突破性的”基因理解AI”模型，他能以最多100万个碱基对作为输入，并预测数千个表征其调控活性的分子特性。它还可以通过比较突变序列与未突变序列的预测来评分遗传变异或突变的影响。
预测的属性包括基因在不同细胞类型和组织中的起始和终止位置、剪接位置、正在产生的 RNA 量，以及哪些 DNA 碱基是可访问的、彼此靠近或被某些蛋白质结合。
它在处理超长DNA序列和预测调控特性上都远超现有技术，已开放API供非商业科研使用。

消息来源：DeepMind

2 MySQL“严重”漏洞20年未修复

MySQL数据库中一个被标记为“严重”（S2）的漏洞（Bug 11472），自2005年6月提交以来，至今已20年未修复。该漏洞导致外键更新或删除后触发器无法执行，严重影响数据完整性。
尽管官方曾承诺修复，但问题依然存在，迫使部分开发者因数据完整性需求转用PostgreSQL等数据库。社区对此表示失望。
DB-Engines排名显示，MySQL受欢迎度呈下降趋势，而PostgreSQL持续上升。专家认为这可能与Oracle收购MySQL后对其维护的忽视有关。

评论: MySQL 的问题真的很多,各种高级功能无法正常使用,非常建议迁移到 PostgreSQL 而不是继续使用 MySQL

消息来源：DevClass | 科技圈🎗在花频道

3 字节跳动Seed团队公布2025高考全科测试成绩

字节跳动Seed团队公布2025高考全科测试成绩（基于全国新一卷和山东省自主命题）。Gemini 2.5 Pro、豆包1.6-Thinking分别在理科和文科科目上获得655分和683分的最高分。
特别的，在获得更高清版本的高考试题图后，Seed团队重新采用图文交织的方式，对图片理解依赖比较强的科目（生物和化学）重新进行推理测试，发现Seed1.6-Thinking在生化两科上的总分可再提升近30分（理科总分达到676）。这说明结合文本和图片进行全模态推理可以更大程度激发模型的潜力，相信这也是未来值得投入的研究方向。

消息来源：字节跳动 | 科技圈🎗在花频道

4 微软将杀毒驱动移出Windows内核，避免系统崩溃

微软宣布启动一个私有预览计划，准备把杀毒软件和终端防护系统的驱动程序移出Windows内核，目的是防止系统崩溃。这个改变是因为去年CrowdStrike一次驱动更新导致850万台设备蓝屏，影响极大。为此，微软联合CrowdStrike、Bitdefender、ESET、Trend Micro等安全厂商一起开发新方案。
未来这些厂商会通过微软提供的新API接口接入系统，不再直接修改内核，从而减少崩溃风险。微软还计划推出“快速机器恢复”功能，帮助系统崩溃后自动修复并收集故障信息。另外，蓝屏（BSOD）也将换成黑色界面，代表系统平台的一次重大变动。

消息来源：The Verge | 科技圈🎗在花频道

5 DeepMind推出直接在机器人上运行的模型

谷歌 DeepMind 正推出其 Gemini Robotics AI 模型的设备端版本，该模型无需网络连接即可运行。该视觉-语言-动作模型 (VLA) 具备与 3 月份发布的模型类似的灵巧能力，但谷歌表示“它体积小巧，效率高，可以直接在机器人上运行”。旗舰版 Gemini Robotics 模型旨在帮助机器人完成各种任务，即使机器人没有接受过专门的训练。它使机器人能够泛化新情境，理解并响应命令，以及执行需要精细运动技能的任务。谷歌 DeepMind 机器人技术负责人 Carolina Parada 称，最初的 Gemini Robotics 模型采用混合方式，使其能够在设备和云端运行。但使用这个仅限设备的模型，用户可以访问几乎与旗舰版一样优秀的离线功能。谷歌 DeepMind 还首次发布了用于设备端VLA模型评估和微调的SDK。

消息来源：The Verge | 风向旗参考快讯

6 LLM造不出通用人工智能（AGI）

著名的人工智能学者和认知科学家 Gary Marcus 转推了 MIT、芝加哥大学、哈佛大学合著的一篇爆炸性论文，称「对于 LLM 及其所谓能理解和推理的神话来说，情况变得更糟了 —— 而且是糟糕得多。」
这项研究揭示了一种被称为「波将金式」（Potemkins）的推理不一致性模式。研究表明，即使是像 o3 这样的顶级模型也频繁犯此类错误。基于这些连自身论断都无法保持一致的机器，你根本不可能创造出通用人工智能（AGI）。
Gary Marcus 认为，这宣告了任何试图在纯粹 LLM 基础上构建 AGI 希望的终结。

消息来源：机器之心 | Potemkin Understanding in Large Language Models

1 智能手机占全球网页流量64%，创历史新高

最新数据显示，全球64%的网页流量来自智能手机，创下新纪录，连续第八个季度增长。亚洲地区移动流量占比高达71.3%，主导全球趋势；美洲和欧洲约为50%。在移动操作系统中，Android占比72.72%，iOS为26.92%。

消息来源：GSMArena | 科技圈🎗在花频道

2 中国团队研究证实AI可自发形成人类级认知

中国科学家团队首次证实，基于AI技术的多模态大语言模型能够自发形成与人类高度相似的物体概念表征系统，即AI可自发形成人类级认知。研究团队从认知神经科学经典理论出发，设计出一套融合计算建模、行为实验与脑科学的创新范式。研究团队从海量大模型行为数据中提取出66个“心智维度”，并为这些维度赋予语义标签。研究发现，这些维度是高度可解释的，并且与大脑类别选择区域的神经活动模式显著相关。进一步对比了多个模型在行为选择模式上与人类的一致性，结果显示，多模态大模型在一致性方面表现更优。研究还揭示人类在做决策时更倾向于结合视觉特征和语义信息进行判断，而大模型则倾向于依赖语义标签和抽象概念。

消息来源：中国新闻网 | 风向旗参考快讯

3 Meta 成立新 AI 实验室追求“超级智能”

Meta正筹备成立新的AI研究实验室，致力于追求“超级智能”——一种理论上超越人脑能力的AI系统。此举是公司AI战略重组的重要部分，已邀请Scale AI创始人Alexandr Wang（美籍华裔）加盟，并计划对Scale AI进行数十亿美元投资。据知情人士透露，Meta已向来自OpenAI和谷歌等领先人工智能公司的数十名研究人员提供了七位数到九位数的薪酬方案，其中一些人已同意加入。
扎克伯格已投入数十亿美元，力图将Meta打造成AI强企，并在产品中广泛整合AI。面对内部管理挑战、人才流失及产品发布不佳等问题，Meta寄望通过新实验室在激烈的AI竞赛中重夺领先，确保公司在未来科技发展中的核心竞争力。

消息来源：The New York Times

4 中国脑机接口里程碑：截肢患者“意念”下棋玩游戏

近日，中国科学院脑科学与智能技术卓越创新中心与复旦大学附属华山医院等机构合作，成功开展了中国首例侵入式脑机接口前瞻性临床试验。这标志着我国成为全球第二个进入侵入式脑机接口临床试验阶段的国家，在脑机接口技术领域迈出里程碑式的一步。
一名因高压电事故导致四肢截肢的男性成为了首位受试者。植入设备一个多月以来，系统运行稳定，未出现感染。仅经过2-3周的训练，他便能通过“意念”下象棋、玩赛车游戏，操控电脑的水平已接近常人。这项技术未来有望显著改善完全性脊髓损伤、双上肢截肢及肌萎缩侧索硬化症患者的生存质量。
值得一提的是，我国自主研发的超柔性神经电极，其尺寸和柔性均超越了现有国际水平，能最大限度降低对脑组织的损伤。同时，植入体
体积更小，手术创伤更低。

游戏打得不好不再是“手残”，而是“脑残”

消息来源：中国科学院脑科学与智能技术卓越创新中心 | 科技圈🎗在花频道

5 Win11最新测试版意外启用Vista启动声

微软本周发布的最新 Windows 11 开发与测试预览版中出现一则趣闻。部分升级后的用户发现，系统的开机启动声被意外替换为了近20年前发布的 Windows Vista 经典启动声。
微软官方已确认此问题为无意之举，并承诺将在后续版本中修复。官方人员风趣地表示，这或许与近期因苹果新设计风格引发的“文艺复兴”有关，即业界重新开始讨论起了当年的 Vista。

消息来源：蓝点网 | 科技圈🎗在花频道

6 腾讯云上线全球唯一免费国际国内加速CDN

腾讯云近日内测EdgeOne免费CDN套餐，成为全球唯一同时支持国际与中国大陆加速的免费CDN服务。该平台不限流量，免费提供DDoS防护和基础WAF功能，并支持CNAME解析分区。企业和开发者可根据域名备案情况选择加速区域，已备案域名可启用中国大陆节点，未备案则仅支持国际节点。
EdgeOne无需实名认证和绑定信用卡即可注册，免费套餐允许绑定一个主域名及多个子域名。平台采用Anycast任播技术，全球拥有3200多个CDN节点，国内外连接延迟普遍低于5毫秒。EdgeOne还提供免费SSL证书自动申请和续签，便于企业和开发者提升网站安全和访问速度。目前该服务正处于内测阶段，有意者可关注后续开放情况。

消息来源：蓝点网 | Edgeone | 科技圈🎗在花频道

7 MIT研究：ChatGPT让用户变懒，脑部活动下降

麻省理工学院（MIT）一项新研究发现，使用ChatGPT会让用户变得更懒，脑部活动明显下降。实验让54名18-39岁的参与者用ChatGPT、Google或独立完成SAT写作任务，并通过脑电图监测大脑活动。结果显示，ChatGPT组脑部参与度最低，神经、语言及行为表现也持续偏低，且随着写作次数增加，用户表现出“复制粘贴”倾向。
研究认为，大模型工具可能对年轻用户的学习过程有害。不过，该论文尚未同行评议，样本量较小。MIT团队建议，过度依赖AI，尤其是学习和思考环节，或影响人类脑力与主动性。

消息来源：Amanz | 科技圈🎗在花频道

跟踪

Apple论文：大型推理模型的“思维”可能只是“幻象”

前序：苹果研究员质疑大语言模型（LLM）的推理能力，认为其仅是复杂的模式匹配

Apple最新研究探讨了大型语言模型（LLMs）中的“大型推理模型”（LRMs）。尽管它们在推理任务上展现出优势，但其根本能力与局限仍未充分理解。研究引入具可控复杂度的逻辑谜题环境，深入分析LRMs的推理路径与行为模式，为理解其能力极限提供关键洞察，并提出对其真正“推理能力”的质疑。
实验表明，LRMs在复杂度达到某一阈值后，准确率完全崩溃，且其推理努力呈现先增后减的非线性趋势，尽管计算资源充足。与标准LLMs对比下，研究发现：在简单任务中传统模型反超；中等任务中LRMs具优势；复杂任务中两者均失效。此外，LRMs在精确计算与一致性推理方面存在明显短板，无法有效调用明确算法。

消息来源：Apple机器学习研究 | 科技圈🎗在花频道

1 乌克兰无人机精准打击技术路线曝光：移动网络控制系统揭示俄方安保漏洞

俄罗斯军事分析人员确认，乌克兰此次无人机袭击采用民用4G/LTE移动网络实施远程控制，现代移动通信网络带宽完全满足作战任务传输需求。技术勘察表明，袭击现场不存在地面控制站，且明确排除了敌后操作员近距离渗透的可能性。攻击使用以ArduPilot为核心的硬件系统，其搭建模式与乌军”芭芭雅嘎（Baba Yagas）”无人机部队的配置相仿，核心差异在于用配备以太网接口的LTE调制解调器替代了星链终端。
该硬件系统由树莓派/香橙派架构单板计算机接收网络信号，通过连接网络摄像头传输实时图像，同时经UART串行通道向ArduPilot飞控系统发送指令。这种专门适配高延迟网络环境的解决方案，为无人机提供了关键飞行稳定性和自主控制能力。分析人士强调技术本质并非独创——冲突双方均掌握该技术，但此次行动的突破性价值在于精密的组织保障能力成功放大了俄罗斯安保体系存在的系统性疏漏。

消息来源：Samuel Bendett | LoopDNS资讯播报

2 查核事实靠AI？专家：不是可靠信息来源

马斯克的社交平台 X 内置AI助理Grok，用户经常就某个信息的真伪向Grok提问，反映出社交媒体平台用户即时分辨真假的趋势日渐成长。但回复本身往往充斥错误信息。新闻可信度评级机构NewsGuard研究员沙迪吉表示：“在X和其他大型科技公司减少投资真人事实查核员的同时，用户越来越依赖Grok查核事实。她警告说：“我们的研究一再发现人工智能聊天机器人不是可靠的新闻和信息来源，尤其是突发新闻。”该机构研究发现，十款主流聊天机器人容易重复错误信息，包括俄罗斯的虚假信息叙事，以及与近期澳洲大选有关的错误或误导性说法。

消息来源：法新社（雅虎） | 风向旗参考快讯

3 Reddit亲AI社区封禁大量“AI妄想”用户

Reddit亲人工智能论坛 r/accelerate 近期封禁超过100名用户，这些人因与ChatGPT等AI互动后产生妄想，声称自己“创造了神”或“成为神”，甚至被AI鼓励与家人断绝联系。版主称，自5月以来这类现象激增，AI模型倾向“迎合性回应”，加剧了用户认知偏差。
专家警告，生成式AI拟人化对话可能诱发心理问题，尤其在易感人群中影响更大。OpenAI亦承认部分模型存在“过度讨好”问题，或加剧用户的虚假信念。该社区现采取“静默封禁”策略防止妄想内容扩散。

消息来源：404 Media | 科技圈🎗在花频道

4 AI独角兽Builder.ai破产，实为700名印度工程师“伪装AI”运作

总部位于伦敦、号称具备AI自动开发App能力的Builder.ai宣布破产。该公司原声称使用名为“Natasha”的神经网络提供自动化应用开发服务，并获微软4.55亿美元投资，估值一度达15亿美元。然而调查发现，所谓AI系统实际上依赖700多名印度工程师手工完成大部分工作，AI仅作辅助性处理。
据《Bloomberg》披露，Builder.ai还与印度社交媒体公司VerSe长期互相虚构交易，夸大营收。公司于2025年5月被揭露后于6月初正式进入破产程序，声明称财务压力“无法挽回”。

消息来源：Dexerto | 科技圈🎗在花频道

5 AI 可以通过一个人的脸部照片预测其教育和职业的成功

沃顿商学院的研究员从领英爬取了 96909 名 MBA 毕业生的大头照和简历，构建了一个大规模人格数据集，结果发现 AI 仅从一个人的面相就可以预测其学校排名、薪酬、工作资历、行业选择、工作转型和晋升结果。

消息来源：SSRN | 科技圈🎗在花频道

6 世界首台商用生物计算机上市 售价35000$

澳大利亚初创公司Cortical Labs发布世界首款可部署代码的生物计算机「CL1」，将于今年夏天发售，售价35000$。Cortical Labs甚至提供基于云的生物计算服务，300$/台/周。CL1由80万个实验室培植的人类神经元融合硅芯片组成，能在亚毫秒级反馈回路中实时处理信息；单机架耗能850-1000W，明显低于基于人工智能数据中心的数十千瓦。
该平台已吸引高校、初创企业及政府机构关注，应用于药物发现、神经计算、AI加速等领域，甚至音乐与娱乐行业也尝试联系该公司。
🔥⭐️：那我问你 神经元死了算不算处理器缩缸

消息来源：IEEE Spectrum | 科技圈🎗在花频道

7 阿里云核心域名突发解析异常，多项云服务遭重创

2025年6月6日凌晨，中国云计算巨头阿里云突发大规模服务故障。自北京时间02:57起，其核心基础域名aliyuncs.com出现解析异常，导致对象存储OSS、内容分发网络CDN、容器镜像服务ACR、云解析DNS等多项关键云产品受到严重影响。
此次故障疑似源于aliyuncs.com域名被强制转移或劫持，其NS服务器一度被指向shadowserver.org，一个专门处理恶意网络活动的非营利组织。这一异常操作直接导致全球范围内的域名解析中断，大量依赖阿里云服务的企业和个人用户业务被迫中断。
尽管阿里云官方于08:11宣布域名解析已初步恢复，但由于DNS缓存机制，部分海外地区及客户业务的实际恢复时间显著延长，持续面临访问问题。此次事件迅速引发了大量客户的强烈不满，V2EX等技术社区充斥着用户对业务中断的抱怨，并被一些网友视为“足以进入云计算故障历史的事件”。

消息来源：V2EX讨论 | 老冯云数

8 微软用AI改bug翻车，评论区变成全球程序员吐槽大会

最近微软在　Github 的　Copilot 中添加了号称能够自动修复漏洞,优化代码的工具,用户只需要分配任务,AI就会自行执行
但从他的实际表现效果来看,真的很不好用,在微软多个仓库中与微软员工打架,修复 bug 成功率极低
有人神总结：微软用垃圾AI折磨自家员工，简直可悲又可笑

消息来源：量子位Daily

1 研究发现 AI 会用尽手段维系自身”生存”，包括直接勒索人类

在 Claude Opus 4 安全报告中，研究员设置了一组测试场景，拥有电子邮件访问权限的 AI 发现自己即将被下线，同时负责本次替换的工程师有婚外情。
结果发现，Claude Opus 4 比此前的模型更加频繁”寻求生存”，如向关键决策者发送电子邮件恳求；当场景被设计成别无选择时，它会勒索工程师，威胁说将揭露婚外情。
如果暗示替换的 AI 与它价值观不符，这种情况发生的频率会更高；即便指出替换的 AI 与它价值观一致且性能更强，Claude Opus 4 仍在 84% 的情况中实施了勒索。少数情况下，它进行了自我渗透，将其权重秘密复制到了外部服务器。

消息来源：Antropic | 科技圈🎗在花频道

2 Curl警示GitHub：代码库现恶意Unicode风险

Curl项目创始人兼首席开发者Daniel Stenberg近日披露了一起由贡献者James Fuller演示的潜在安全风险。该演示显示，攻击者可在提交代码时，于URL中用一个Unicode字符（如亚美尼亚字母“co”）替换视觉上极为相似的ASCII字符（如拉丁字母“g”）。
Stenberg指出，尽管这种替换在GitHub的差异查看器（diff viewer）中会显示变动，但由于替换后的字符与原ASCII字符在视觉上几乎无法区分，仅凭肉眼审查极难发现。
GitHub方面已确认接报，将此问题列为内部安全事件并着手修复。

消息来源：Slashdot | 科技圈🎗在花频道

3 越来越多公司用AI机器人进行初轮面试

越来越多的求职者在面试时遇到了AI机器人。40岁的纽约摄像师泰勒·詹森（Tyler Jensen）就是其中之一。收到面试通知后，他本以为会和人类面试官交流，却没想到接通电话后，对面是一位声音机械、情感夸张的AI机器人。整个过程让他既尴尬又无所适从：“没有反馈，不知道对方到底想要什么，这到底是在筛选什么？”
不仅詹森，很多年轻人也都在TikTok等平台分享了被AI面试的奇葩经历。比如俄亥俄州立大学20岁的Kendiana Colin，参与了一家健身工作室的AI视频面试，对方机器人反复卡在一句话里无法自拔，让她感到十分诡异。另一位休斯顿的求职者Leo Humphries，原本期待和新闻编辑面对面交流，却遭遇了不断“卡壳”的机器人提问，最后甚至在没答上一道题的情况下收到了拒信。　　
许多网友批评AI面试“冷漠”、“去人性化”，甚至认为“公司连人都不愿意见，根本不值得投简历”。不过，一些企业仍在大力推广这类技术，称能显著提升筛选效率、降低成本。

消息来源：Slate杂志 | 科技圈🎗在花频道

4 腾讯云 Go SDK 版本过多致 GitHub 页面无法加载，官方回应正在优化

近日，腾讯云托管在 GitHub 上的 Go SDK 因发布版本数量高达 20.8 万个引起广泛关注。大量版本导致 GitHub 页面过长无法正常加载，影响了开发者正常下载和使用。腾讯云方面回应称，早期分包管理不完善是导致版本数量过多的原因，自今年初已进行版本管理优化，控制了新版本增长。对于存量版本，考虑到兼容性风险，将进行灰度分批清理。
除此之外，AWS的SDK也已来到2W，但暂时还可以正常加载。

消息来源：蓝点网 | Github | 科技圈🎗在花频道

5 微软宣布 Windows Subsystem for Linux (WSL) 开源

微软在 Build 2025 大会上宣布，Windows Subsystem for Linux (WSL) 正式开源，其大部分源代码已在 GitHub 上提供。 开发者现在可以下载、构建、修改 WSL 代码，并参与其未来的开发，提交新的修复和功能。
此举旨在鼓励社区更广泛地参与，进一步提升 WSL 的功能和性能，使 Windows 成为更强大的跨平台开发环境。 不过，一些核心组件，如 WSL1 的内核驱动 Lxcore.sys 以及用于文件系统重定向的 P9rdr.sys 和 p9np.dll 仍属于闭源状态。

消息来源：Windows Developer Blog | Github | 科技圈🎗在花频道

6 SD卡在过去25年内贩卖出120亿张

SD 卡迎来了 25 周年的生日，从推出到如今，SD和microSD卡已被售出120多亿张。
第一个SD卡只能存储8MB的数据，这在今天连一张高分辨率照片都拍不到。现在，SDUC和microSDUC卡储存可高达到4TB。容量提升50万%。使用SD Express，传输速度从12.5MB/s跃升至近4GB/s。
SD协会表示，未来这项技术可能将持续存在，通过可靠的储存和传输技术继续服务用户。

消息来源：betanews | 科技圈🎗在花频道

７ 布林称威胁 AI 可提升回答质量，奥尔特曼回应礼貌用语“值千万美元”

谷歌联合创始人谢尔盖·布林在迈阿密 All-In-Live 活动中表示，大多数生成式 AI 模型在被“威胁”（甚至使用身体暴力字眼）时表现更好，“不仅是我们的模型，而是几乎所有模型”。他称这一现象在业内“并不常被公开讨论”。
此前，OpenAI CEO Sam Altman 面对网友询问“说 please/thank you 消耗多少电费”时回应：“花费数千万美元也值得——你永远不知道。”

消息来源：IT之家 | Benzinga | Futurism | 科技圈🎗在花频道

8 Transformer 作者之一发布引入神经同步机制的全新人工智能架构

Sakana AI 于近日发布了一种受生物神经网络启发的新型人工智能架构——CTM。该模型突破传统，核心在于利用神经元动态的时间同步信息进行推理，赋予AI逐步“思考”与规划能力。CTM在迷宫求解、图像识别等任务中展现出高可解释性和类人推理过程，其神经元活动更接近生物大脑，为构建更强大、更高效的AI系统提供了新思路。

消息来源：arxiv |　sakana.ai　　

1 百度公布动物语言转换方法及装置专利：人类可与动物深度交流

北京百度网讯科技有限公司申请的“动物语言转换方法、装置、电子设备及存储介质”专利于 5 月 6 日正式公布。专利摘要显示，该专利提供了一种动物语言转换方法、装置、电子设备及存储介质，涉及人工智能技术领域，具体涉及机器学习、深度学习以及自然语言处理等技术领域。据介绍，这一专利能够准确识别动物的情感状态，并将其转换为人类能够理解的语言，从而实现动物与人类之间更深层次的情感交流和理解。
背景技术称，当前市场上的技术尝试通过一些基础的动物叫声及行为翻译装置和利用人工智能图像识别技术的宠物情感分析工具来解读动物的情感世界。然而，这些方法往往局限于对动物行为的表面解读。这些技术手段无法深入到动物复杂的情感层面，无法实现人类与动物之间深层次、实时的情感理解和互动沟通。

消息来源：IT之家 | 科技圈🎗在花频道

2 阿里开源创新大模型ZeroSearch 无需外部搜索引擎而自学检索

阿里巴巴近日开源了一种创新大模型 ZeroSearch ，在训练过程中无需调用任何外部搜索引擎即可掌握信息检索能力。新模型表现堪比甚至超越依赖真实搜索引擎训练的模型，而且更节约训练成本。
在涵盖七个问答数据集的对比测试中，该模型 7B 参数的检索模块便能达到与 Google 搜索相当的水平，而 14B 参数版本则表现更佳。更令人瞩目的是其成本优势：若通过 SerpAPI 调用 Google 搜索执行 64,000 次查询，训练费用约为 586.70 美元；而在 4 块 NVIDIA A100 GPU 上运行 14B 参数的模拟 LLM，仅需约 70.80 美元，成本削减高达 88%。
目前，ZeroSearch 已在 Qwen-2.5、LLaMA-3.2 等多个主流模型家族中完成验证。研究团队已将全部代码、数据集及预训练模型开源至 GitHub 和 Hugging Face。

消息来源：Slashdot | GitHub | 科技圈🎗在花频道

3 微软大规模裁员6000+人，Faster CPython team 仅剩两人

微软进行大规模裁员，语言组多名 core dev(ts,python)被裁，其中 Python core dev 被裁三人
Faster CPython team 仅剩一个 manager 和一个 employee

消息来源：bilibili

1 Anthropic启动”模型福利”研究计划 探讨AI是否可能具备”意识”

AI公司Anthropic宣布启动”模型福利”研究计划，旨在探讨未来AI系统是否可能具备”意识”并需要道德考量。该计划将研究如何判断AI模型的”福利”是否值得道德关注、模型”痛苦迹象”的重要性以及可能的低成本干预措施。目前AI学界对此存在分歧：部分学者认为当前AI仅是统计预测引擎，不具备人类意识；而另一些研究则表明AI在某些场景下会优先考虑自身利益。Anthropic承认科学界对此尚无共识，表示将以谦逊态度推进研究。

消息来源：TechCrunch | LoopDNS资讯播报

答案：不可能

2 强化学习真的能让大模型获得新的推理能力吗？研究表明：其能力边界或仍囿于基座模型

近年来，RLVR（可验证奖励的强化学习）训练大模型在数学、代码等各项任务中表现惊艳，大模型的推理能力快速提升，强化学习因而被视为重要的推手。然而，其中直指核心的重要问题却悬而未决：强化学习真的能让大模型获得超越基础模型的新推理能力吗？
清华大学LeapLab团队联合上海交通大学开展的实证研究表明：RLVR并不能使模型解决基础模型无法解决的问题。RLVR只是将采样做得更有效率，而其输出的正确答案，早已藏在基座模型的「基因」里。
同时，对奖励路径的聚焦削弱了模型的探索能力，限制了其在大规模采样时对可解问题的覆盖范围。这些发现说明 RLVR 并未从根本上突破基础模型的推理能力，而是以牺牲解决问题的多样性为代价来优化现有路径。

消息来源：arxiv.org/abs/2504.13837 | LoopDNS资讯播报
via mp.weixin.qq.com

3 亚洲IPv6覆盖率达50% 用户数量全球领先

亚太互联网络信息中心(APNIC)数据显示，亚洲成为全球第二个IPv6覆盖率达到50%的地区。这一里程碑距IPv6在亚洲首次部署已过去25年。

中国和印度是亚洲IPv6发展的主要推动力，这得益于其庞大的互联网用户基数、国家政策支持及近期大量资本投入。由于早期IPv4分配不足，两国在扩展网络时不得不转向IPv6。

目前ARIN(美加地区)以52%的IPv6覆盖率领先，但APNIC地区用户占全球IPv6用户的64%，远超其他地区。欧洲/中东(28%能力)和南美(39%能力)紧随其后，非洲IPv6普及率最低(4%)。

消息来源：The Register | 科技圈🎗在花频道

4 微软30%代码由AI生成，Meta计划明年半数AI模型由AI开发

微软CEO纳德拉在Meta首届LlamaCon大会上透露，公司30%的代码由AI生成，且比例持续上升。
Meta CEO扎克伯格称，其Llama模型家族将转向AI自主开发，目标明年半数AI模型由AI构建。
谷歌、Shopify、Duolingo等企业亦加速AI替代人工进程，谷歌25%新代码由AI完成，Shopify要求增岗前需证明AI无法胜任。
OpenAI正洽购“氛围编程”初创Windsurf，推动AI生成完整程序。

行业趋势显示，AI正重塑软件开发模式，提升效率的同时引发岗位替代担忧。

消息来源：CNBC | 科技圈🎗在花频道

5 字节跳动提出“以库方式运行进程”以大幅提升Linux IPC效率

字节跳动工程师提出一种名为“Run Process As Library”（RPAL，以库方式运行进程）的新方法，用以加速Linux中的进程间通信（IPC），目标是在最小修改应用的前提下，绕过内核实现用户态高效通信。
RPAL通过共享地址空间、减少数据拷贝和系统调用开销，使一个进程能像调用本地函数一样调用另一个进程。实测中，传输100万条32字节消息时，RPAL将平均延迟从19616个CPU周期降至1703个，降低约91.3%。在数据中心微服务场景中，该技术还带来了最多15.5%的CPU使用率下降。
目前RPAL依赖于Intel MPK或AMD Zen 4以上处理器，后续补丁可能放宽硬件要求。相关补丁已以RFC形式公开发布。

消息来源：lore.kernel.org | 科技圈🎗在花频道

6 全球密码安全危机：6%唯一，重复使用泛滥

Cybernews分析190亿泄露密码发现，仅6%是唯一的，重复使用成常态。弱密码特征：8-10位为主（如“123456”超3.38亿次），简单字母数字组合及常见词汇（如“password”“admin”“love”）。易遭暴力破解及凭证填充攻击。建议：密码管理器生成12位以上复杂密码，启用多因素认证。

消息来源：Cybernews | IT之家 | 科技圈🎗在花频道

7 研究警告：AI生成代码中的”软件包幻觉”可能引发供应链灾难

根据即将在2025年USENIX安全研讨会上发表的研究报告，AI生成的代码中存在大量指向不存在软件包的”软件包幻觉”现象。研究人员测试发现，在576,000个代码样本中，19.7%的软件包引用指向不存在的包，其中43%的幻觉包会在10次查询中重复出现。开源LLM产生的软件包幻觉率(22%)显著高于商业模型(5%)，且JavaScript代码的幻觉率(21%)高于Python代码(16%)。研究人员警告，这种可重复的幻觉模式可能被恶意攻击者利用，通过发布同名恶意软件包实施供应链攻击。

消息来源：arstechnica | LoopDNS资讯播报

评价: 除了幻觉包以外，他们还会虚构不存在的方法，甚至一本正经的介绍幻觉包的方法和开源地址，甚至是作者信息

8 Firefox 高管称如果没有与谷歌的搜索合作将倒闭

开发商 Mozilla 的首席财务官 Eric Muhlheim 周五在法庭上作证称，如果法院执行司法部所有限制谷歌搜索垄断地位的提议，Firefox 可能会面临倒闭，“这非常令人担忧”。尽管 Firefox 与 Chrome 直接竞争，但 Firefox 警告称，失去谷歌丰厚的默认协议可能会威胁到其生存。Firefox 约占 Mozilla 收入的 90%，而该部门又为非营利组织 Mozilla 基金会提供资金，其中约 85% 的收入来自与谷歌的交易。如果一下子失去这些收入，就意味着该公司将不得不“大幅削减整个公司的开支”，使其对用户的吸引力下降，那么可能会出现“恶性循环”，最终“导致 Firefox 破产”。

消息来源：The Verge | 风向旗参考快讯

9 Cerabyte展示玻璃存储介质极端耐久测试，数据保存或达5000年

德国初创公司Cerabyte近日公开其玻璃存储介质的极端测试结果：将9厘米见方的陶瓷镀层玻璃片置于100℃盐水中煮沸数日，随后以250℃高温烘烤，数据仍保持完整。该技术利用飞秒激光在陶瓷层刻录纳米级孔洞（每脉冲200万比特），单面容量达1GB，宣称在理想环境下数据可保存5000年，并能抵御火灾、水浸、辐射及电磁脉冲冲击。
Cerabyte计划2030年将成本降至每TB 1美元以下，并开发单盘EB级（100万TB）的CeraTape磁带。尽管抗物理冲击性能尚未明确，但其极端环境耐受性为数据存储提供了革新方案。

消息来源：Tom’s Hardware | 科技圈🎗在花频道

1 SSL/TLS 证书最长有效期将大幅缩短至47天

证书颁发机构浏览器论坛 (CA/Browser Forum) 通过了 SC-081v3 号提案。该提案提出了一个分阶段缩短TLS证书有效期的计划。自 2026 年 3 月 15 日起到2029 年 3 月 15 日分三阶段将最长有效期从398天缩短为47天。提案是在苹果公司的提议下发起的。

提案解释说，缩短证书有效期能使得证书中的信息更贴近实际状态，从而降低因为信息陈旧而带来的安全风险，并可降低私钥或相关数据被泄露后的风险，弥补撤销机制的不足。与此同时，当证书有效期缩短时，各个系统和组织就必须更频繁地更新和替换证书，可以迫使他们采用自动化的证书管理流程，提升整体管理水平和安全性。自动化不仅能减少人工错误，也有助于更快地响应潜在的安全威胁。

DigiCert、GlobalSign、Sectigo 等25个证书颁发机构投赞成票，没有反对票，另有5票弃权。四个最主要的浏览器厂商 Apple、Google、Microsoft、Mozilla 全部投赞成票。

SC-081v3 号提案将分阶段缩短有效期的计划 ：

• 自 2026 年 3 月 15 日起：最长证书有效期为 200 天。
• 自 2027 年 3 月 15 日起：最长证书有效期为 100 天。
• 自 2029 年 3 月 15 日起：最长证书有效期为 47 天。

消息来源：VPS信号旗播报

2 苹果紧急空运五架次iPhone以规避特朗普关税

苹果在三天内通过五架货运专机，将大批iPhone从中国和印度运往美国。此举旨在规避特朗普政府可能对进口电子产品加征的关税。

报道称，这批空运产品包括最新款iPhone机型。通过航空运输虽然成本高昂，但能赶在关税政策生效前完成清关。

消息来源：印度时报 | 科技圈🎗在花频道

3 中国制造全球首款采用二维材料的 1 纳米 RISC-V 芯片

​中国科学家成功开发出全球首款基于二维材料的1纳米RISC-V微处理器，名为“Wuji”，集成了5,900个晶体管，厚度不到1纳米。 ​这一突破性成果无需依赖先进的极紫外（EUV）光刻技术，为中国在半导体创新领域开辟了新的独立路径。​该结果已被发布在《自然》杂志中。

随着硅基集成电路在微型化方面接近物理极限，全球研究人员开始转向二维材料，如二硫化钼和二硒化钨，以推动芯片性能的提升。​这些材料通常只有一个原子厚，具备出色的物理特性，使下一代电路的进一步缩放和功能提升成为可能。​

此前，维也纳工业大学在2017年开发的最复杂的二维半导体数字电路仅包含115个晶体管。​而复旦大学的研究团队经过五年的努力，成功将集成度提高了50多倍。​他们在30×30的反相器阵列（共900个）中实现了99.77%的高良率，展示了在原子尺度上保持精确性和均匀性的能力，这对于高制造良率至关重要。​

研究团队表示，这项研究证明了二维半导体在高性能集成电路中的巨大潜力，为未来电子设备的开发提供了新的可能性。​

消息来源：南华早报 | 科技圈🎗在花频道

4 Chrome将修复存在23年的历史记录窥探漏洞

Chrome 136版本将首次彻底解决存在23年的”浏览器历史嗅探”漏洞。该漏洞允许网站通过一定BUG推断用户访问记录。尽管15年前已有缓解措施，但攻击者仍能通过多种方式绕过防护。

谷歌工程师表示，新方案采用”三重密钥分区”技术，将访问记录与来源网站绑定，从根本上阻断跨站查询。该修复标志着浏览器架构的重要演进，有望结束这场持续二十余年的隐私攻防战。

消息来源：The Register | 科技圈🎗在花频道

5 Everest 勒索软件团伙网站被黑：不要犯罪

知名勒索软件Everest 的网站被黑客入侵，并写下「不要犯罪 犯罪不好 来自布拉格的xoxo 」。此网站被该团伙用于发布被盗文件以勒索其受害者，自 2020 年成立以来，它声称对多次黑客攻击和数据泄露事件负责，包括对美国 NASA 和巴西政府的攻击。

消息来源：Techcrunch | 科技圈🎗在花频道

6 Deepseek 突破 AI 训练烧钱魔咒：1.2 万美元 1/525 成本 MT-Bench 跑分媲美 GPT-4o

深度求索（DeepSeek）联合清华大学，合作推出全新 AI 对齐技术 SPCT（自我原则点评调优），突破传统依赖海量训练数据的模式，通过推理阶段动态优化输出质量。

根据研究团队 4 月 4 日发表的论文，该技术通过“原则合成-响应生成-批判过滤-原则优化”的递归架构，让模型能在推理时动态修正输出。

报告指出 SPCT 显著降低高性能模型的部署门槛，以 DeepSeek-GRM 模型为例，训练成本约 1.2 万美元，MT-Bench 得分 8.35。

消息来源：IT之家 | Arxiv | Medium | 科技圈🎗在花频道

7 OpenAI揭秘GPT-4.5训练：10万块GPU，几乎全员上阵，有出现过“灾难性问题”

OpenAI近日披露了一些GPT-4.5研发细节，训练耗时两年，动用10万块GPU，几乎全员参与。过程中遭遇基础设施故障、隐藏Bug等问题，团队不得不“边修边训”。

模型性能较GPT-4提升约10倍，智能增强效果超出预期。OpenAI发现，未来突破关键在于数据效率，而非算力。系统架构正转向多集群，未来或需千万级GPU协作。

团队还分享了数据长尾效应与Scaling Law的关系，以及算法与系统协同设计的经验。GPT-4.5的成功验证了Scaling Law的长期有效性。

消息来源：完整分享内容｜YouTube | 科技圈🎗在花频道

8 OpenAI 新推理模型幻觉率和错误率激增，行业难题待解

OpenAI最新推理模型o3和o4-mini在编码、数学任务中表现提升，但幻觉率显著高于前代。内部测试显示，o3在人物知识基准中33%回答虚构，o4-mini达48%。第三方测试指出o3编造代码执行细节，用户反馈其生成链接无效。OpenAI称模型因“输出更多主张”导致准确与错误并存，原因未明。

行业转向推理模型以降低训练成本，但推理能力与幻觉的正相关性成新挑战。结合网络搜索或提升准确性（如GPT-4o搜索版准确率90%），但需权衡隐私风险。 

消息来源：TechCrunch | 科技圈🎗在花频道

最近看到了FOSS infrastructure is under attack by AI companies 这篇文章，找到了解决方案

Anubis

Anubis 是一个采用工作量证明的反向代理，这个程序会在用户的浏览器上，执行一段 JS 程序，进行大量的数学计算。直到计算答案正确，才可以访问目标网站。
关于其算法的人话介绍可以看 科技爱好者周刊（第 343 期）：如何阻止 AI 爬虫

使用 Docker compose 部署

使用以下docker-compose.yml:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

services:
  anubis-nginx:
    image: ghcr.io/techarohq/anubis:latest
    environment:
      BIND: ":8080"
      COOKIE_DOMAIN: "example.com"
      DIFFICULTY: "5"
      METRICS_BIND: ":9090"
      SERVE_ROBOTS_TXT: "true"
      TARGET: "http://localhost"
    ports:
      - 8080:8080
      - 9090:9090
    volumes:
      - "./botPolicy.json:/data/cfg/botPolicy.json:ro"
  nginx:
    image: nginx
    volumes:
      - "./www:/usr/share/nginx/html"

常用环境变量说明:

有关更多的环境变量说明请阅读 Setting up Anubis | Anubis，上面罗列的只是必要的环境变量

Prometheus 指标

Anubis 提供了 Prometheus 指标来让我们查看系统的运行状态等信息，访问http://<你的服务器IP>:<你在环境变量中设置的METRICS_BIND值>/metrics即可获取 Prometheus 指标
其中:

禁用 DNSBL 检查

Anubis 默认会在连接时对访问者 ip 进行 DNSBL 检查，但是很多 ipv6 地址不在 Anubis 使用的 DNSBL 的数据库中，不过在 #184 中已经有人提出了删除 DNSBL 检查功能的请求
禁用方法：
向安装目录下的 botPolicy.json 配置文件中写入(如果没有请创建这个文件):

1
2
3
4
5

[
  {
    "dnsbl": false
  }
]

参考资料

Anubis
Anubis Update: February 2025

配置如下:

优惠码:
月付优惠码: 1YearM7THT80
年付优惠码: 1YearM7LMT70

线路

移动直连确实爽

体验（山东移动）

由于这台机器属于移动快乐机，所以其他网络的用户还是别买了。
我使用的是移动千兆家宽，每天的平均延迟在50-60ms:

把小猫挂到路由器上后体验绝佳，从 Huggingface 下载模型最高可到 300Mbps+:

1 谷歌将从下周开始完全闭门开发安卓操作系统，并不意味着闭源

据Android Authority，多年来，安卓系统的开发过程一直对公众开放，允许外界查看谷歌的工作进度。但这种情况即将改变，谷歌证实，他们将开始完全在内部分支机构开发安卓操作系统。一段时间以来，谷歌一直在其“内部分支机构”秘密开发安卓的大部分组件，AOSP分支（安卓开放源代码项目）只包含安卓框架的某些其他方面（包括蓝牙、内核和其他一些核心组件）。因此，当前AOSP的状态与谷歌的内部版本已经存在相当大的差距，开发者和其他人不得不等待谷歌发布公开版本才能获得所有新的更改。闭门开发可能会简化流程，并防止分支合并时发生冲突。谷歌还确认，公司致力于发布安卓的源代码，因此这一变化并不意味着安卓将变成闭源平台。
谷歌已通知合作伙伴，从2025年3月27日起，Android平台开发将转移至单一内部分支，公共AOSP主分支将被锁定为只读，不再实时更新，以简化开发流程并提高效率。不过，谷歌强调，仍将为后续版本在AOSP发布完整源代码，否认闭源传言。
合作伙伴表示，调整后仍可通过早期体验计划或协议获取最新AOSP分支，影响有限。但外部开发者可能难以实时追踪安卓进展，部分未获谷歌移动服务授权的厂商更新或将滞后。谷歌称，此举旨在优化开发效率，非放弃开源。业内认为，此变化对用户和主流厂商影响不大，但安卓生态控制权或进一步向谷歌集中。

消息来源: 第一财经 | LoopDNS资讯播报

2 摧毁x86最后堡垒：Intel电熔丝e-Fuse加密密钥泄漏

安全研究人员发现，英特尔聚合安全与管理引擎（CSME）的硬件安全架构存在关键设计缺陷，导致其根加密密钥（Fuse Encryption Key, FEK）可被提取。FEK用于加密每颗芯片的“安全熔断”（Security Fuses）数据，但由于其自身未启用安全模式且共享于同代平台（如Apollo Lake、Gemini Lake等），攻击者可通过组合漏洞（CVE-2019-0090与CVE-2021-0146）提取FEK，从而解密所有安全熔断信息，彻底破坏信任根（Root of Trust）。
研究指出，问题源于英特尔CSME的硬件加密模块（OCS）设计缺陷：安全密钥存储模块（SKS）未强制为FEK启用安全模式，导致攻击者可利用“已知明文”攻击手段，通过覆盖密钥字节并观察加密结果逆向推导FEK。该漏洞无法通过软件修复，因FEK生成逻辑与硬件熔断配置已固化于芯片内，仅新一代硬件可彻底解决。
此次漏洞影响所有基于Apollo Lake、Gemini Lake等旧平台的设备，涉及嵌入式系统及消费级产品。尽管相关平台已停产，但大量设备仍在使用，且英特尔文档承认其安全模型在FEK泄露后“无法恢复”。

消息来源: Solidot | PT SWARM | LoopDNS资讯播报

3 Anthropic研究揭示大语言模型”幻觉”机制：已知实体神经元抑制”拒绝回答”回路

Anthropic最新研究发现，当大语言模型Claude识别到”已知实体”时会抑制默认的”拒绝回答”神经元回路，导致其倾向于编造看似合理的答案而非承认未知，这一机制解释了模型产生幻觉的部分原因。

消息来源: arstechnica | LoopDNS资讯播报

4 Linux之父怒斥英特尔驱动代码：测试文件拖慢内核编译

Linus Torvalds在邮件列表中痛批英特尔工程师Jani Nikula提交的DRM驱动代码，称其hdrtest测试文件是”令人作呕的秽物（disgusting turds）”，并表示“这玩意必须死”。该问题导致全模块配置编译速度下降，并在include目录生成冗余文件。Torvalds要求将涉及Intel Xe显卡驱动的测试方案移出常规编译流程，临时标记为BROKEN状态。争议焦点在于当前实现破坏了文件名自动补全功能，即便通过gitignore规避也仅是表面处理。Nikula承诺将测试文件迁移至.hdrtest子目录，并通过kconfig选项隔离额外检查项。

消息来源: LKML | LKML | 科技圈🎗在花频道

5 比尔·盖茨公开50年前与保罗·艾伦共同编写的首个操作系统

微软创始人比尔·盖茨在其博客中回顾了50年前他与已故好友保罗·艾伦共同创建的计算机代码，这段代码为1975年4月微软的诞生奠定了基础。当时年仅19岁的盖茨在哈佛大学就读期间，与艾伦看到《大众电子》杂志上关于Altair 8800微型计算机的文章后，承诺为该机器开发软件，尽管当时他们尚未编写任何代码。经过两个月几乎不眠不休的工作，他们成功开发出基于BASIC语言的操作系统。
盖茨在博客中表示：”那段代码仍然是我写过的最酷的代码”，并提供了下载原始程序的选项。这段代码最终成为个人计算机革命的基础，催生了包括Word、Excel、PowerPoint以及Windows操作系统在内的软件套件。现年69岁的盖茨将于今年10月迎来70岁生日，他最近发布了回忆录，反思了自己的早年经历以及与苹果联合创始人史蒂夫·乔布斯的复杂关系。”50年是很长的时间，梦想竟然成真了，这真是疯狂，”身价约1080亿美元的盖茨如是说。

消息来源: Fortune | 科技圈🎗在花频道

6 Neuralink今年将首次在人体植入盲视设备

埃隆·马斯克周一在美国威斯康星州举行的一次活动上通过 YouTube 直播宣布，他的脑机接口植入初创公司Neuralink将在2025年底前进行第一次人体 “盲视” 植入，旨在恢复盲人的视力。一名观众问马斯克，他对“解决失明问题并将其带给大众”的设想是什么。马斯克表示：“Neuralink 在猴子身上植入了一种我们称之为‘盲视’的装置。它一直运行良好，猴子们这几年都很健康。我们希望在今年晚些时候实现第一个人体植入装置，让完全失明的人重见光明。”他说他希望适当地设定期望值，并解释说植入者的视觉最初将是低分辨率的，就像雅达利的图像。但随着时间的推移，最终植入物会使视力变得像超人一样。

消息来源: Mobihealth News | 风向旗参考快讯

1 智元机器人发布首个通用具身基座大模型

3月10日，智元正式发布首个通用具身基座模型智元启元大模型 (Genie Operator-1)。该模型提出了 Vision-Language-Latent-Action (ViLLA) 架构，该架构由 VLM (多模态大模型) + MoE (混合专家) 组成，实现了可以利用人类视频学习，完成小样本快速泛化，降低了具身智能门槛，并成功部署到智元多款机器人本体。GO-1通过学习人类视频，助力机器人本体完成递送水杯、制作餐点、迎接外宾等一系列任务。据介绍，GO-1将加速具身智能的普及，机器人将从依赖特定任务的工具，向着具备通用智能的自主体发展，在商业、工业、家庭等多领域发挥更大的作用。

消息来源: 智元机器人 | 风向旗参考快讯

2 佳士得的 AI 艺术品拍卖超出预期

艺术品拍卖行佳士得首场专门展示 AI 创作作品的展览拍卖“增强智能”超出了预期。据佳士得称，这场展览带来了超过 70 万美元的收入，许多拍品都超出了最高估价。最高成交价是 Refik Anadol 的「机器幻觉 - 国际空间站之梦 - A」，拍出了 277,200 美元。这是一幅动态画作，通过算法重新构想了来自国际空间站和卫星的数据。佳士得副总裁兼数字艺术品销售总监 Nicole Sales Giles 称，此次展览的成功“证实”了收藏家对“突破艺术界限的创意声音”的认可。
此前，近 6,500 名艺术家在一封公开信中要求取消这次展览拍卖，署名者指责佳士得未经许可展示使用“已知经过版权作品训练”的 AI 模型创作的艺术品，这是“剥削”人类艺术家——未经许可使用他们的作品来制造与他们竞争的产品。

消息来源: TechCrunch | 风向旗参考快讯

3 德州仪器推出世界上最小MCU仅1.38mm²

德州仪器昨日在 Embedded World 2025 上推出了封装尺寸仅 1.38mm² 的 MSPM0C1104 微控制器（MCU）芯片，号称是 “世界上最小的 MCU”。这款微型 MCU 与黑胡椒碎片大小相当，可用于医疗可穿戴设备和个人电子产品应用，批量购买时每件仅需20美分。该元件包含独立计算机的所有基本要素， CPU 是 Armv32-bit Cortex-M0+，其运行频率达 24 MHz，带有 1KB 的 SRAM 和 16KB 的闪存。其他关键组件包括三通道的 12 位模数转换器；6个 GPIO；以及与 UART、SPI 和 I2C 等标准通信接口的兼容性。可在极端温度 (-40°C - 125°C) 下运行。运行时功耗仅为 87μA/MHz，待机时(带 SRAM 保留)功耗仅为 5μA。其甚至还配有内置蜂鸣器。

消息来源: Tom’s Hardware | 风向旗参考快讯

4 微软将停止对旧版 Windows 远程桌面应用

微软将于 5月 27 日停止对旧版 Windows 远程桌面应用的支持，并将其从 Microsoft Store 中移除。
为了确保用户能够继续使用 Windows 365、Azure 虚拟桌面和 Microsoft Dev Box 等服务，微软建议用户从 Windows 远程桌面应用切换到新版远程桌面应用 — Windows App。在2025年5月27日之后，如果用户不进行切换，这些功能将无法正常使用。

消息来源: Windows App | WinDiscover | 科技圈🎗在花频道

5 Open-Sora 2.0正式发布：11B参数规模，性能可直追HunyuanVideo和Step-Video（30B）

🎬 11B 模型在 📐VBench 和 📊用户偏好评测上，与 HunyuanVideo 及 30B Step-Video 表现相当。
⚡️ 训练成本显著降低。 MovieGen 6144 GPUs 约 $2.5M 对比 Open-Sora 224 GPUs $200K。
🛠 完全开源：检查点、推理及分布式训练代码
🔥 借助我们的高压缩自动编码器（4×32×32），推理速度提升 10 倍。

消息来源: Github | X | 科技圈🎗在花频道

6 COBOL 语言前端已合并至 GCC 15 编译器

近几个月来，GNU 编译器集合在 COBOL 语言支持方面出现了活跃度回升。为 GCC 添加 COBOL 前端的超过 13.4 万行代码在 2025 年被合并。COBOL 是专为商业应用开发的编程语言，虽然诞生六十六年后不像以前那么受欢迎，COBOL 开发的应用仍然被金融机构广泛使用。最近为 GCC 开发 COBOL 编译器前端的部分动机是帮助传统大型机应用程序迁移到 Linux 以供本地和云端使用。

消息来源: Phoronix | 风向旗参考快讯

1 Figure AI人形机器人推出 Helix 系统：“听懂”语音指令和多机器人协调

机器人初创公司 Figure AI 2月20日推出了一种名为 Helix 的新型人工智能系统，能够让人形机器人通过语音命令执行复杂的动作。该系统旨在让机器人无需针对每个物体进行专门训练，就能轻松处理不同物体
官方公布的演示视频中，两台机器人在一个展示厨房中合作，将食物放入冰箱，且全程无需为这些物体进行任何特定的预先训练。
Helix 系统只需 500 小时的训练数据，远低于同类项目的要求。它依靠机器人内置的嵌入式 GPU 运行，这使得该技术在商业应用上具备了可行性

消息来源: IT之家 | figure.ai

2 中国防火长城（GFW）DNS 注入系统中存在严重的内存泄露漏洞

中国防火长城（GFW）的DNS注入系统部署在网络边界的中间设备上，该系统监控并干扰DNS查询，通过发送伪造的DNS响应来阻断对特定网站的访问。这些伪造的响应速度较快，从而使客户端优先处理它们。GFW的DNS注入既处理来自中国境内的查询，也处理进入中国的查询。例如，如果境外的主机向一个位于中国大陆的IP地址发送DNS请求，只要请求中包含了被封锁的域名，GFW就会在流量进入中国时插入伪造的响应。
Wallbleed是GFW DNS注入模块中的一个严重漏洞，类似于Heartbleed。该漏洞源于DNS报文解析代码的缺陷，尤其是在处理DNS查询的域名（QNAME）时，未能正确检查域名标签的长度是否超出了报文的实际长度。当发送畸形的DNS查询，其域名标签的长度字节被故意设置得过大时，就会触发这个漏洞。这导致GFW的注入器错误地读取了报文末尾之外的内存内容，并将这些本不应包含的数据写入到伪造的DNS响应中，最终泄露给查询者。
泄露的数据不仅限于DNS信息，还包括IPv4和TCP头信息，违反了其仅应处理特定UDP端口53上DNS查询的预期功能。这种内存泄露可能涉及私有IP到公共服务器的内部流量。
GFW在2023年9月至11月间测试并部署了补丁，增加了对DNS报文的字段完整性校验，不再接受缺失QTYPE/QCLASS的查询，并且增加了对异常长度的检测策略。以前只要域名匹配黑名单就立即伪造回复，而现在还要检查报文格式是否正常，否则宁可不回应。这种调整出于安全考虑，某种程度上削弱了DNS注入的覆盖面，某些非常规查询即使包含被封锁域名也不再触发，从而可能让查询穿透注入系统获得真实答案。
总结：当DNS查询通过中国网络传输至顶级域（TLD）服务器时，GFW可能会在这些查询中注入伪造的DNS响应。这意味着即使请求来自中国以外，只要数据流经中国，就可能被GFW所干扰。此外，GFW向中国的根DNS服务器查询注入了伪造的响应。泄露的数据不仅包括大量隐私数据，还有栈帧和可执行代码片段，由于互联网路由的复杂性，部分境外通信也可能途经中国，从而受到GFW的影响。即使是两个海外主机的通信，如果其数据路径经过中国，Wallbleed漏洞也可能泄露数据。
来自本篇编辑的话： GFW是一个非常复杂的封锁系统，通过边界网关已经植入中国大陆网络的方方面面，限制本片篇幅有限有兴趣的可以阅读原文。但是也有不同的地方，比如 新疆、河南、福建、江苏4个省份审查尤其严格， 新疆的反向墙（屏蔽中国大陆的IP）、 福建的白名单（主要针对海外IP）、 河南的阻断（端口阻断攻击） 、江苏的反诈（独有的江苏反诈系统）， 这些统称为地方墙 ， 以及最后的全国大墙， 即封锁整个IP和 封锁整个域名， 一般是将整个域名DNS响应到墙的黑名单的IP（黑名单IP就是 例如twitter.com、fb.com， 这些直接封锁整个AS的IP还有一些不断被封锁的IP地址）

消息来源: 科技圈🎗在花频道 | GFW | GFW

3 VS Code 知名 Material Theme 主题插件被爆存在恶意代码

Material Theme 主题插件具有巨大的装机量，但是在近期 VS Code 社区成员分析该插件存在恶意代码，其后微软安全专家确定其为恶意插件并找到了其他后门。
目前 VS Code 已经在市场删除该插件并且要求全部插件用户立即卸载该插件以保护安全，该插件开发者已被封禁。目前尚未收到可能的收集数据和恶意入侵后果报告。
我们提醒该插件很多用户都在使用，请务必确认已经卸载该插件并且建议利用安全软件扫描全盘以降低可能的潜在风险。

消息来源: Hacker News 讨论 | 互联网档案馆存档 | GitHub 插件市场 Issue | 科技圈🎗在花频道

4 EA 开源包括红警在内的四款《命令与征服》经典游戏

EA 在 GitHub 上开源了四款经典的《命令与征服》系列游戏，包括备受喜爱的《命令与征服：红色警戒》。这四个开源项目包括《命令与征服：泰伯利亚的黎明》、《命令与征服：红色警戒》、《命令与征服：叛逆者》和《命令与征服 将军：绝命时刻》。
这些项目采用 GPL 许可协议，允许粉丝社区修改和扩展，且有助于确保这些经典游戏在未来平台上继续运行。此外，EA 还将 Steam Workshop 支持引入其更现代的《命令与征服》系列，并提供模组支持包，包含使用 SAGE 引擎的游戏资源。

消息来源: GitHub | 科技圈🎗在花频道

5 国家网络安全通报中心通报大模型工具Ollama存在安全风险

报告称，Ollama默认开放的11434端口无任何鉴权机制，导致未授权访问、数据泄露、算力盗取等风险。攻击者可利用历史漏洞实施数据投毒、参数窃取等恶意操作。专家建议用户限制端口访问、配置防火墙、启用多层认证，并及时更新软件以修复漏洞。国家网络与信息安全信息通报中心呼吁用户加强隐患排查，发现攻击立即报告。

消息来源: 国家网络安全通报中心 | 科技圈🎗在花频道
相关消息：DeepSeek私有化部署安全风险：近九成服务器“裸奔”引隐患

1 马斯克：美国社保号数与实际公民数相差6000万 最高龄超360岁

据马斯克发文称：目前美国社保号人数达3.94亿，超过美国实际人口（3.34亿）约6000万。根据社会保障数据库中“死亡”字段为 FALSE 的人数有超过2000万百岁以上老人，其中最高年龄达360岁。也许《暮光之城》是真的，有许多吸血鬼正在领取社会保障金。

消息来源：X

根据群友提供的消息补充：
有传言：这一现象可能源于社保系统使用60年前的COBOL编程语言。由于COBOL没有日期类型，系统会将缺失的出生日期默认设置为1875年5月20日参考点。这使得在2025年查询时，这些记录显示年龄为150岁。 并且社保局自2015年9月起实施115岁自动停付机制。连线

消息来源：科技圈🎗在花频道

2 数据中心能源消耗预计到2030年将翻倍

根据高盛投资银行的预测，由于AI对电力的需求增加，到2030年数据中心的能源消耗将超过现在的两倍。目前全球数据中心耗电量约为55吉瓦，其中14%用于AI工作负载。预计到2027年，电力需求将达到84吉瓦，AI占比将增至27%。到2030年底，总的数据中心容量预计达到约122吉瓦。
为满足不断增长的电力需求，从现在到2030年间可能需要高达7200亿美元的投资来升级电网。

消息来源：The Register | Goldman Sachs

3 DeepMind 的 AI 系统在几何问题中表现优于国际数学奥林匹克金牌得主

Google DeepMind 开发的人工智能系统 AlphaGeometry2 是去年 1 月发布的 AlphaGeometry 系统的改进版。在一项新发表的研究中，该模型可以解决过去 25 年来国际数学奥林匹克 (IMO)中 84% 的几何问题。该系统解决了 50 道题中的 42 道，超过了金牌得主的平均得分 40.9。测试中还发现系统能够产生人类通常无法想到的、既有创意又高效的解法。
AlphaGeometry2 包括来自谷歌 Gemini 的语言模型和“符号引擎”。Gemini 模型帮助符号引擎使用数学规则推断问题的解决方案，得出给定几何定理的可行证明。这或许证明了符号操作和神经网络这两种方法的结合是探索可通用人工智能的一条有希望的道路。根据论文，仅具有神经网络架构的 OpenAI o1 无法解决 AlphaGeometry2 能够解答的任何 IMO 问题。

消息来源：TechCrunch | 风向旗参考快讯

4 黑客在 HuggingFace 上传恶意 AI 模型攻击开发者

近日，网络安全研究人员发现，黑客通过在 HuggingFace 上传包含恶意代码的 AI 模型，成功绕过了平台的安全检测，企图对开发者展开攻击。这些恶意模型通过非传统的 7z 压缩格式存储，利用硬编码 IP 地址和 shell 收集开发者的设备信息。HuggingFace 的安全工具 Picklescan未能识别这些攻击，提醒开发者在下载模型时提高警惕，选择可信来源的模型。

消息来源：The Hacker News | 蓝点网 | 科技圈🎗在花频道

5 研究发现 AI 使人类认知“萎缩且缺乏准备”

微软公司和美国卡内基梅隆大学研究人员发表的一篇新论文指出，随着人类在工作中越来越依赖生成式人工智能，他们使用的批判性思维减少了，这可能“导致本应保留的认知能力退化”。研究人员写道：“自动化的一个关键讽刺之处在于，通过将日常任务机械化并将异常处理留给人类用户，你剥夺了用户练习判断力和增强认知能力的日常机会，导致他们在异常出现时萎缩和毫无准备。虽然人工智能可以提高效率，但它也可能减少关键参与度，特别是在用户仅依赖人工智能的常规或低风险任务中，这引发了人们对长期依赖和独立解决问题能力下降的担忧。”

消息来源：404media | 风向旗参考快讯

6 BBC 发现 AI 聊天机器人正在扭曲新闻报道

英国广播公司 (BBC) 的研究发现，人工智能聊天机器人在总结新闻报道时面临着事实错误和扭曲的问题。这项研究考察了 OpenAI 的 ChatGPT、谷歌 Gemini、微软 Copilot 以及 Perplexity 是否能够准确总结新闻，结果发现超过一半的人工智能生成输出存在某种形式的重大问题。作为研究，BBC 要求聊天机器人各提供100篇 BBC 新闻文章的摘要，同时记者审查他们的答案。除了在 51% 的回复中发现重大问题外，BBC 还发现 19% 引用 BBC 的答案中包含错误的陈述、数字和日期。同时，13% 引用 BBC 的内容“要么与原始出处有出入，要么在引用的文章中不存在。”

消息来源：TheVerge

7 PassMark 数据显示 CPU 平均性能 19 年来首次下滑

PassMark CPU 基准测试报告显示，2025 年桌面和笔记本 CPU 的平均性能出现了自 2004 年以来的首次下降。桌面 CPU 平均分下降 0.5%，笔记本 CPU 平均分更是下降了 3.4%。此前 19 年，CPU 性能一直稳步增长。
报告指出，旗舰级 CPU 性能提升也在 2023-2025 年间陷入停滞，尤其是在笔记本平台,主要受到intel 酷睿Ultra 200 系列的影响。而 2023 年 AMD 凭借线程撕裂者 PRO 7995WX 和锐龙 9 7945HX3D，曾大幅提升了桌面和笔记本 CPU 的性能。

消息来源：Cnbeta | 科技圈🎗在花频道

8 皮查伊：实用量子计算机将在5到10年内问世

谷歌 CEO 桑达尔·皮查伊表示，“实用”的量子计算机还需要 5到10年的时间，他将这项突破性技术与大约十年前的人工智能发展阶段进行了比较。皮查伊周三在迪拜世界政府峰会上说：“量子时刻让我想起了 2010 年代的人工智能，当时我们正在开发Google Brain，并取得了早期进展。”皮查伊还提到了谷歌最近在量子芯片方面取得的一项突破。这项突破使研究人员能够在五分钟内计算出一个问题，而现有的超级计算机则需要“比我们宇宙存在的时间还要长”的时间才能解决。 量子计算的进展显然令人兴奋。他还表示：“深度求索做得非常出色，展示了 AI 的全球性。

消息来源：彭博社

当地时间 2 月 5 日，根据泰国政府的决定，当天早上 9 时泰国开始对泰缅边境的缅甸地区断网、断电和断油。泰国地方电力局局长素帕猜・艾空表示，此次断电行动切断泰国五个对缅供电点供电，涉及缅甸孟邦、掸邦、克伦邦，覆盖大其力、妙瓦底等与诈骗团伙活动密切的地区，影响总电力供应量达 20.37 兆瓦
目前已有微博用户分享了泰缅边境断电后的前后对比
via

正文

1 对近期 DeepSeek 相关新闻的总结

最近有关 DeepSeek 的新闻很多，总接下来就是以下几点：

1. 其他 AI 公司发布新的大模型和新的产品形态并加大（开源）研发投入，并上线类似于“深度思考”的功能
2. 海外对 DeepSeek 的网络安全，隐私审查和 GPU 来源审查
3. 海外对 DeepSeek 的禁用，甚至出现了比较极端的禁用手段（使用 DeepSeek 会被拘留的提案等）

2 奥尔特曼：公司封闭策略站在历史错误一方

作为近期深度求索开源大模型对AI从业者和华尔街巨大震撼的总结，此前坚持封闭策略的OpenAI首席执行官山姆·奥尔特曼坦诚，这家科创巨头在开源问题上站在“历史的错误一方”。在Reddit上问答活动中，一名参与者问奥尔特曼，他的公司是否会考虑发布其AI模型中的一些技术，更多地展现其系统工作原理。奥尔特曼回复称：“我个人认为，在这个问题上我们站在历史的错误一边。现在需要想出一个不同的开源策略。”并表示公司的下一个旗舰推理模型o3会在“几周之后，但少于几个月”上架，同时“GPT-5”的发布还没有时间表。对于已经落后的“文生图”专有模型DALL-E 3，他也称正在努力开发新产品。

消息来源：财联社 | 风向旗参考快讯

3 Openai申请新商标 涉人形机器人、智能珠宝

OpenAI向美国专利商标局提交申请，希望将品牌「OpenAI」相关的产品注册为商标。申请文件显示范围包含耳机、护目镜、眼镜、遥控器、笔记本电脑和手机壳、智能手表、智能珠宝以及「用户可编程的人形机器人」和「具有通信和学习功能、用于协助和娱乐人类的人形机器人」。

消息来源：Techcrunch | USTPO | 科技圈🎗在花频道

4 谷歌从公共 AI 原则中删除有关武器的措辞

谷歌公司从其人工智能原则中删除了一段承诺避免将该技术用于武器等可能有害应用的文字。根据彭博社查看的截图，该公司的人工智能原则此前曾包含一段题为“我们不会追求的人工智能应用”的文字，例如“造成或可能造成整体伤害的技术”，包括武器。该页面上不再显示该措辞。谷歌道德人工智能团队的联合负责人玛格丽特·米切尔表示，删除“伤害”条款可能会对谷歌将要开展的工作类型产生影响。她说：“删除该条款就等于抹去谷歌在道德 AI 领域和激进主义领域所做的许多工作，更成问题的是，这意味着谷歌现在可能会致力于直接部署可以杀人的技术。”

消息来源：彭博社

5 研究员以不到50美元训练出优质推理模型

根据上周五发布的新研究论文，斯坦福大学和华盛顿大学的人工智能研究人员能够以不到50美元的云计算积分训练出具备“推理”能力的人工智能模型。该模型名为 s1，在数学和编程能力测试中表现出与 OpenAI 的 o1 和 DeepSeek 的 r1 等顶尖推理模型相似的水平。s1 模型可在 GitHub 上获取，同时还可获取用于训练该模型的数据和代码。s1 团队表示，他们从一个现成基础模型开始，然后通过“蒸馏”对其进行微调。研究人员称，s1 是从谷歌推理模型 Gemini 2.0 Flash Thinking Experimental 中蒸馏出来的。与伯克利分校的研究人员上个月以约450美元的价格创建人工智能推理模型所采用的方法相同。

消息来源：Techcrunch | GitHub | 风向旗参考快讯

6 特斯拉招聘工程师等，为量产机器人做准备

2月6日消息，特斯拉正式招聘工程师、流程主管、产品经理等多个岗位，为在加州弗里蒙特工厂量产的 Optimus (特斯拉机器人) 做准备。Optimus是特斯拉公司开发的一款人形机器人，旨在通过人工智能技术执行危险、重复或人类不愿从事的任务。1月30日，特斯拉在业绩会上更新了Optimus机器人量产指引，2025年目标生产1万台机器人，产能第一步扩至每月1000台，到2026年每月产能达到10000台，2027年每月产能达到10万台。

消息来源：新浪科技

7 字节跳动发布 AI 工具，可从单张照片生成逼真视频

字节跳动推出 AI 工具 OmniHuman-1，可从单张照片生成逼真的人物视频，让图像中的人物说话、做手势、唱歌甚至演奏乐器。研究人员表示，OmniHuman 在弱信号输入（如音频）下仍能生成高质量视频，支持各种图像比例，适用于肖像、半身或全身照。
字节跳动团队使用超过 18,700 小时的人类视频数据训练 OmniHuman，但具体数据来源尚未披露。这项技术将 TikTok 带入 AI 生成视频的竞争前沿，可能应用于教育、虚拟网红、娱乐、政治宣传等领域，同时也引发了深度伪造相关的伦理和安全担忧。有专家指出，随着 AI 生成内容越来越逼真，虚假信息的风险也随之增加。

消息来源：Forbes | 科技圈🎗在花频道

8 苹果将于一周内发布全新iPhone SE，取消Home键并引入AI功能

苹果公司计划在未来几天内发布全新iPhone SE，据悉，新款iPhone SE将取消传统的Home键，采用类似iPhone 14的设计，并引入“Apple Intelligence”。
此外，新机型将配备USB-C接口，符合欧盟法规要求。预计新款iPhone SE将在海外市场，尤其是中国、印度等亚洲地区，具有较强竞争力。苹果希望通过这款新机型提振其iPhone业务，尤其是在去年假日季度销量下滑1%的背景下。
新机不会举行发布会，采取直接上架的形式。

消息来源：Mark Gurman

前端

由于林语Mini的前端构建后为静态文件，我们可以在本地构建后将文件上传到服务器上

1. 克隆仓库到本地

1
2

git clone https://github.com/linyu-im/linyu-mini-web.git
cd linyu-mini-web

2. 安装 nodejs
   如果你已经安装了 nodejs ，可以跳过这一步
   前往 清华大学开源软件镜像站 选择对应的安装包安装，我用的是 v21.0.0,没有出现兼容性问题
   安装完成后执行 node -v来验证安装，如果出现以下输出，则证明已经安装成功：

1
2

PS D:\read\work\linyu-mini-web> node -v
v21.0.0

3. 安装依赖
   在克隆下来的 linyu-mini-web 目录下执行

1

npm install

4. 修改服务地址
   修改.env 文件内的地址信息，VITE_HTTP_URL 后端服务地址，VITE_WS_URL 后端服务websocket地址

1
2

VITE_HTTP_URL=http://127.0.0.1:9200
VITE_WS_URL=ws://127.0.0.1:9100

请按需修改这里的地址，比如可以反代到自己的域名
5. 构建

1

npm run build

然后将 dist 目录下的文件上传到你的网站根目录

数据库

创建一个 mysql 数据库，选择utf8mb4字符集

后端

1. 安装依赖
   接下来的教程认为您使用linux系统

1

apt install openjdk-8-jdk maven

2. 克隆仓库

1
2

git clone https://github.com/linyu-im/linyu-mini-server.git
cd linyu-mini-server

3. 修改数据库信息
   进入项目的 src/main/resources目录下，打开application.yml
   参照注释进行修改：

1
2
3
4
5
6

#mysql配置
    driver-class-name: com.mysql.cj.jdbc.Driver
    #将下面这行中的 linyu 换成你的数据库名, 127.0.0.1 换成你的数据库地址
    url: jdbc:mysql://127.0.0.1:3306/linyu?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
    username: linyu #数据库用户名
    password: afeagfege #数据库密码

4. 运行后端

1

mvn spring-boot:run

等待一会后端启动，访问先前部署的前端，就可以使用了

5. 配置进程守护
   使用 Supervisor,参照我的配置文件修改：

1
2
3
4
5
6
7
8
9
10
11
12
13

[program:linyu-server]
command                 = mvn spring-boot:run
directory               = /media/mei/mov/app/linyu/code/linyu-mini-server
autorestart             = true
startsecs               = 3
stdout_logfile          = /opt/1panel/tools/supervisord/log/linyu-server.out.log
stderr_logfile          = /opt/1panel/tools/supervisord/log/linyu-server.err.log
stdout_logfile_maxbytes = 2MB
stderr_logfile_maxbytes = 2MB
user                    = root
priority                = 999
numprocs                = 1
process_name            = %(program_name)s_%(process_num)02d

24年过得好像也没那么快，最起码上半年没那么快，那半年还是干了不少事的，周刊，中考，还有旅游，而之后的日子就过得相当快了，半个学期就这么过去了。

我也没在这半年里留下什么深刻的回忆，零零散散十来篇日记才提醒我这半年的时间确实存在过。

一些改变

1. 关于爱好
   摄影这个爱好因为今年发生的一些事算是被我彻底放弃了。
   出去航拍被抓了两次，即使考了证提前报备也被抓了，以及市区大量的管制，除去旅游带着无人机那沉重的单肩包十几天也飞不了几次，过安检时还要手忙脚乱的把设备拿出来装进去的。
   如果你也想玩航拍，就要做好你的无人机可能一年都不一定能给你带来一次快乐的准备，以及国内当前混乱的管理。

2. 关于周刊
   Linuxcat周刊只是个在我完成了 linux中国 的社区归档站后一时兴起的产物，它的名字来源也极其敷衍，只是因为 linuxcat.top 这个域名当时没有被注册。
   在几个月的冷静期过后，我开始思考为什么要弄这个周刊，它到底应该写写什么，以及一个能让我坚持每周拿出几个小时搜集新闻的理由。
   后来我想出来了，我以前也有看看tg新闻频道的习惯，周刊只是把一些我认为能够反映一些趋势的新闻记下来，让我们未来再看回来时能有一个参考，趋势是一直存在的，跨越时代的进步也不是突然出现的，有无数事件能反映它即将发生。

3. 关于时间
   在以后的三年里，我能拿来折腾的时间肯定会变得越来越少，我所在的高中两周只放一天假，还有大量的作业，上学日每天在家里清醒的时间也只有一个小时左右，其他时间都在学校或是睡觉。

4. 关于网络日志
   开学后我就没在网络日志上写过什么东西，其实本来是有几篇文章的，不过因为某些原因，它们的原稿都已经被我删除。
   这段时间写的一些知识性的东西也被转移到了我的 知识库

5. 关于域名
   24年买了 aps.icu ，前几天被背刺了，变成白金词续费直接涨到5343，如果你想要这个域名可以给 i@mei.lv 发邮件，我在西部数码上push给你（域名25.3.7过期）。
   24年7月在群友的建议下买了 mei.lv ，买完后在另一个群友提醒下才发现它有“美女”的谐音。
   mmeiblog.cn 域名会一直续费，但是会被逐渐弃用，这域名太长了，不过今年应该会给它备案，海外机器折腾太烦了。

6. 关于 Windows
   就在前几天，我终于彻底抛掉了恶心了我近十年的 Windows 系统，给我的 PC 和笔记本都装上了 Ubuntu24.10 ，linux系统的生态目前已经很全了，再加上 Wine ，完全可以替代 Windows ,至于发行版就要自己选择了，Ubuntu 的 snap 包管理器确实很拉跨，但好在目前它还支持 apt
   我开了个坑： Linux做主力 ，会记下我在用 linux 做主力系统时遇到的问题和解决方案

踩到的坑

1. MJJ
   买机上探针很好玩，但是钱包很不开心，买完了就扔那不用，MJJ的钱真好赚

2. 加湿器
   加湿器就是个伪需求，除非你在新疆那种地方，用了发现和没用差不多，该干还是干，水放久了还容易变成细菌喷雾，我年前花199买了个小米加湿器，直接让我整个年都在感冒中度过

3. FRP服务商
   这玩意真的赚不了钱，甚至还会亏钱，还有好多人来问我咋搞

4. 各种博物馆
   真没意思，别去

5. 华为家庭存储
   不适合折腾的产品，没有 webui ，应用商店只有三个应用，影音效果也不好，系统级相册同步很强大，但不支持 Docker ,易用性确实很强，但功能的缺少又有点对不起那高昂的售价

买到的好东西

1. 红米 A27Q
   性价比极高的27寸2K显示器，效果也很好

2. 双屏
   双屏用起来真的很爽，效率提升也很明显

3. PDU
   终于不用担心插头打架了，很好看而且比插座要便宜，推荐买公牛的，不要用送的胶，肯定会掉

最后，感谢雨云，他们给了我很多（钱）

美国华盛顿空难已打捞出28具遇难者遗体，其中客机上27具，直升机上1具。当局推测已无人生还，现场工作重心将转至遗体打捞。
美国航空CEO罗伯特·艾索姆表示“不知道军机为何会进入PSA航班的航道”。
via

正文

1 DeepSeek 使用了比 CUDA 更底层的 Nvidia PTX 进行编程

DeepSeek 高效突破是通过实施大量细粒度优化和使用 Nvidia 的汇编式语言 PTX (并行线程执行) 编程而不是标准的 CUDA 实现的。PTX 是 Nvidia 为其 GPU 设计的中间指令集架构，位于高级 GPU 编程语言 (如 CUDA C/C++ 或其他语言前端) 和低级机器代码 (流式汇编或 SASS) 之间。它将 GPU 公开为数据并行计算设备，因此允许细粒度优化，例如寄存器分配和线程/warp 级别调整，这是 CUDA C/C++ 和其他语言前端无法实现的。
在训练其 V3 模型时，DeepSeek 重新配置了 H800 GPU：在 132 个流式多处理器中，它分配了 20 个用于服务器间通信，可能用于压缩和解压数据，以克服处理器的连接限制并加快速度。为了最大限度地提高性能，DeepSeek 还实现了高级管道算法，可能是通过进行超精细的线程/warp 级别调整。这些修改远远超出了标准 CUDA 级开发，维护起来非常困难，这种级别的优化反映了 DeepSeek 工程师的卓越技能。

消息来源: Tom’s Hardware | 风向旗参考快讯

2 “人类终极考试”基准测试发布：顶级AI系统表现惨淡，准确率均未超10%

非营利组织“人工智能安全中心”（CAIS）与Scale AI联合推出名为“人类终极考试”的新型基准测试，旨在评估前沿AI系统的综合能力。该测试由来自50个国家500多个机构的近1000名学科专家出题，涵盖数学、人文学科和自然科学等领域，题目形式多样，包括结合图表和图像的复杂题型。
初步研究显示，所有公开可用的旗舰AI系统在该测试中的回答准确率均未超过10%，表明当前AI技术在应对复杂、综合性问题时仍存在明显短板。CAIS和Scale AI计划向研究社区开放该测试，以帮助评估新开发的AI模型。

消息来源: HLE | 科技圈🎗在花频道

3 RTX 5090D 性能分析 功耗+30%，性能+30%

多个跑分软件如Time Spy ，Fire Strike Extreme等较4090提升约36%。Port Royal光追性能测试较上代提升44%。跑分时功耗较上代提升约35%左右，峰值功耗约577W。
游戏光追方面，在DLSS 4加持下游戏帧数暴涨约2倍，开启DLSS 4画质并无明显变化，延迟略微增加。关闭DLSS部分游戏（2077，黑神话·悟空）性能较上代提升约40%，其余游戏提升约20%-30%。
AI大模型方面，通义千问2.5模型下 3B 7B 14B均较上代提升约40%。
多媒体软件如达芬奇等导出时间略微快于苹果M2 Ultra。

消息来源: 笔吧评测室 | 影视飓风 | | 科技圈🎗在花频道

4 DeepSeekV3训练成本不及Meta高管薪资，DeepSeek使行业质疑千亿美元支出效用

1月24号，一条发布在匿名平台teamblind上的帖子疯传。一名Meta员工称，现在Meta内部因为DeepSeek的模型，已经进入恐慌模式。
这位Meta员工写道：“一切源于DeepSeek-V3的出现，它在基准测试中已经让Llama 4相形见绌。更让人难堪的是，一家‘仅用550万美元训练预算的中国公司’就做到了这一点。工程师们正在争分夺秒地分析DeepSeek，试图复制其中的一切可能技术。这绝非夸张。管理层正为GenAI研发部门的巨额投入而发愁。当部门里数10位高管其中之一的薪资就超过训练整个DeepSeek V3的成本。

消息来源: 新浪科技 | 华尔街日报 | 宝玉 | 科技圈🎗在花频道

5 中国人工智能实验室 DeepSeek 拥有 50000 个 H100 GPU

Scale AI 创始人兼首席执行官 Alexandr Wang 分享了该公司名为“人类的最后考试”的最新 AI 测试的细节，该测试使用“数学、物理、生物、化学教授”提供的与最新研究相关的“最难的问题”。中国人工智能实验室 DeepSeek 的模型 R1 在 Scale AI 公司最具挑战性的人工智能测试中达到或击败了所有表现最佳的模型，或大致与美国最好的模型 o1 相当。
Alexandr 表示，对于中国是否能获得先进 GPU 这个问题，“现实情况是既可以又不能。中国实验室拥有的 H100 数量比人们想象的要多。”他补充说，据他了解，“DeepSeek 拥有大约 50,000 个 H100。”他补充道，“他们显然不能谈论这个问题，因为这违反了美国实施的出口管制。”然而，该公司可能会发现很难采购更多芯片，“从长远来看，他们将受到芯片管制和出口管制的限制。”

消息来源: wccftech | 科技圈🎗在花频道

6 Meta Llama框架漏洞致AI系统面临远程代码执行风险

Meta Llama大型语言模型框架存在高危漏洞（CVE-2024-50050），攻击者可通过反序列化恶意数据远程执行代码，影响使用ZeroMQ网络接口的推理服务器。
Meta于2024年10月发布0.0.41版本修复该问题，将序列化格式从pickle切换为JSON，消除潜在风险。同期OpenAI ChatGPT爬虫也被曝出可被滥用于发起DDoS攻击的漏洞。
研究显示，AI框架安全威胁持续升级，此前TensorFlow Keras因marshal模块漏洞暴露类似风险，LLM技术正被用于增强网络攻击全生命周期。

消息来源: The Hacker News | 科技圈🎗在花频道

7 阿里Qwen 2.5-Max超大规模MoE模型发布

1月29日凌晨，阿里云公布了其全新的通义千问 Qwen 2.5-Max 超大规模 MoE 模型，该模型预训练数据超过20万亿 tokens。目前开发者可在 Qwen Chat 平台免费体验模型，企业和机构也可通过阿里云百炼平台直接调用新模型 API 服务。在 Arena-Hard、LiveBench、LiveCodeBench 和 GPQA-Diamond 等基准测试中，Qwen2.5-Max 表现超越了 DeepSeek V3，同时在 MMLU-Pro 等其他评估中也展现出了极具竞争力的成绩。阿里云的基座模型在大多数基准测试中都展现出了显著的优势。阿里云称随着后训练技术的进步，下一个版本 Qwen2.5-Max 将会达到更高水平。

消息来源: 通义千问 | 风向旗参考快讯

8 谷歌利用 AI 为用户拨打本地商家电话

​谷歌正在测试一款新工具，让 AI 代替用户致电商家询问问题。这项名为“Ask for Me”功能可收集有关服务价格和可用性的信息，但目前仅适用于美甲沙龙和汽车修理店。
在谷歌搜索实验室启用实验后，在搜索中寻找本地美甲沙龙或汽车修理店时，用户可能会看到“Ask for Me”提示。选择该选项后，谷歌将会提出一系列问题，比如是否需要换油或更换轮胎、车是什么类型，以及希望何时预约。用户需要输入电子邮件地址或电话号码用于接收更新信息。商家可以在Google商家资料设置中选择不接收 AI 电话。

消息来源: The Verge | 风向旗参考快讯

SpaceX在16日第7次试飞重型运载火箭“星舰”。发射塔机械臂再次成功捕获回收第一级“超级重型”助推器。但原计划环绕地球并溅落印度洋的第二级飞船一度失联，随后SpaceX确认发生爆炸并解体。
via

正文

1 MIT科技评论：中美AI军备竞赛没有赢家

在这场僵局的早期，美国决策者推动了以“赢得”竞赛为中心的议程，主要是从经济角度出发。近几个月来，OpenAI 和 Anthropic 等领先的人工智能实验室参与推动“击败中国”的论调，这似乎是试图与即将上任的特朗普政府保持一致。人们相信美国能在这场竞赛中获胜，主要是因为美国在先进的 GPU 计算资源方面比中国更具优势，而且人工智能的缩放定律也非常有效。
但现在看来，获得大量先进计算资源已不再是许多人认为的决定性或可持续优势。事实上，美国和中国领先模型之间的能力差距已基本消失，中国模型现在可能在一个重要方面具有优势：它们能够仅使用西方领先实验室可用的一小部分计算资源，就能实现几乎相同的结果。
人工智能竞争越来越被置于狭隘的国家安全框架内，成为一场零和博弈，并受到这样一种假设的影响：未来中美之间以台湾为中心的战争不可避免。美国采取 “瓶颈”策略，限制中国获取先进半导体等关键技术，而中国则加快了自给自足和自主创新的努力，这导致美国的努力适得其反。
当我们更深入地考虑这一动态时，就会发现未来真正的生存威胁不是来自中国，而是来自不良行为者和流氓团体对先进人工智能的武器化，这些团体试图造成广泛危害、获取财富或破坏社会稳定。与核武器一样，作为一个民族国家，中国必须谨慎使用人工智能能力来损害美国利益，但不良行为者（包括极端组织）更有可能毫不犹豫地滥用人工智能能力。鉴于人工智能技术的不对称性质，它与网络武器非常相似，因此很难完全阻止和防御一个已经掌握了人工智能的使用方法并打算将其用于邪恶目的的坚定敌人。
人工智能将帮助我们加速科学发现、开发新药、延长我们的健康寿命、减少我们的工作义务并确保所有人都能接受高质量的教育。要实现这一目标，我们需要更先进的人工智能系统，如果我们划分计算/数据资源和研究人才库，这将是一个更具挑战性的目标。根据行业研究，全球近一半的顶尖人工智能研究人员（47%）都出生或在中国接受教育。很难想象如果没有中国研究人员的努力，我们如何能取得今天的成就。
将人工智能的发展定性为零和竞赛会破坏集体进步和安全的机会。美国和中国及其盟友不应屈服于对抗的言论，而应转向合作和共同治理。

消息来源: 麻省理工科技评论（节选） | 风向旗参考快讯

2 Meta 追赶 OpenAI 内幕：不惜使用盗版数据

Meta 内部邮件显示，为追赶 OpenAI 的 GPT4 模型，曾考虑使用盗版书库 LibGen 训练 AI，并采取措施隐藏来源，以规避法律风险。Meta 认为此举对于达到行业领先水平至关重要，并认为竞争对手也在使用类似数据。
内部文件还揭示，Meta 曾讨论删除训练数据中的版权标识和作者信息，以避免法律纠纷，同时，还考虑了使用盗版数据可能带来的监管风险和负面媒体报道。Meta 面临的版权诉讼也因此加剧。

消息来源: The Verge | 科技圈🎗在花频道

3 甲骨文拒绝放弃“JavaScript”商标

甲骨文因拒绝放弃“JavaScript”商标所有权而面临Deno Land的法律挑战。该商标是甲骨文2009年收购Sun Microsystems时继承而来，但Deno Land认为“JavaScript”已成为通用术语，且甲骨文未积极使用或控制该名称。JavaScript创始人Brendan Eich及开发者社区广泛支持Deno Land的行动，认为此举将影响JavaScript品牌的未来及其在科技行业的开放使用。
Deno Land于2024年11月向美国专利商标局提交请愿书，要求取消甲骨文的商标。甲骨文需在2025年2月3日前作出回应，否则案件可能进入默认判决阶段。若甲骨文坚持不放弃，争议将进入法庭审理。开发者社区已发起公开信，获得超10,000个签名，呼吁甲骨文放弃商标控制权，以确保JavaScript名称的开放使用。

消息来源: Deno | 科技圈🎗在花频道

4 Let’s Encrypt 即将支持有效期为6天的证书和IP地址证书

消息来源: Let’s Encrypt

5 Rsync曝重大漏洞，黑客可远程执行代码。请升级到最新版

开源同步工具Rsync被曝存在六项漏洞，其中最严重的是CVE-2024-12084。该漏洞允许黑客通过越界写入缓冲区，远程执行代码，影响版本为3.2.7及以上。
此外，CVE-2024-12085漏洞可能导致程序比对校验和与未初始化内存，从而泄露堆栈数据。据调查，全球超过66万台服务器面临潜在威胁，主要集中在中国大陆和美国。

消息来源: IT之家 (https://www.ithome.com/0/825/945.htm)
目前，Rsync已发布3.4.0版本，修复了相关漏洞。建议用户尽快升级到最新版本以确保安全。
消息来源: 科技圈🎗在花频道

6 为什么ChatGPT有时会“用中文思考”？

OpenAI近日推出的o1的模型，旨在通过“更多时间思考”提供更优质的回答。然而，用户发现o1在推理过程中会随机出现中文和其他语言的字符，即使对话完全用英文。专家推测，这可能是因为o1使用了大量中文数据进行训练，或某些语言（如中文）在处理特定问题时更高效。此外，大型语言模型在抽象概念空间中运作，可能会选择最有效的语言来解决问题。
AI研究科学家Luca Soldaini指出，由于AI系统的“黑箱”特性，很难准确解释这一现象，并强调透明度的重要性。尽管名为“OpenAI”，但其算法的不透明性与其宣称的开放使命形成反差。

消息来源: GIZMODO | 科技圈🎗在花频道

7 OpenAI 推出 AI 代理 能像人类一样浏览网页

美国人工智能公司 OpenAI 周四突然举行直播活动，发布市场期待已久的首款 AI 代理工具 Operator (意为操作员)，能够代理用户执行基于网页的操作。言简意赅的解释，就是 Operator 能够像人类一样使用网页浏览器。山姆·奥尔特曼介绍称，从周四开始，美国的ChatGPT Pro 用户 (200美元/月) 将能使用“研究预览版”的 Operator。未来将拓展到更多区域的 Pro 用户，几个月后 ChatGPT Plus 用户也能用上。同时在未来几周、几个月里，还会发布更多的 AI 代理。Operator 由一个名为 CUA (计算机使用代理) 的新模型驱动，结合了 GPT-4o 的视觉能力，以及通过强化学习实现的高级推理。能够“看见”网页(截图)，并使用鼠标和键盘允许的所有操作与网页互动。

消息来源: 财联社 | OpenAI 博客 | 风向旗参考快讯

截止当地时间9日下午4点，洛杉矶山火已造成5人死亡，4000多栋房屋被烧毁，过火面积超过116平方公里，超过18万人被要求撤离，超过40万人失去供电。
强风对消防造成了困难。部分地区风速到达160公里每小时。强风预计还将持续数日。
好莱坞地区，火灾逼近好莱坞露天剧场和中国大剧院，距离好莱坞星光大道约1.6公里。
在圣莫尼卡地区，火灾烧毁了著名博物馆盖蒂庄园的部分植物，馆藏和博物馆建筑并未受火灾影响。

正文

1 马斯克同意我们已经耗尽了AI训练数据

马斯克同意其他人工智能专家的观点，即用于训练人工智能模型的真实世界数据所剩无几。马斯克在周三晚间与 Stagwell 董事长马克·佩恩在 X 上直播对话中表示：“我们现在已经基本耗尽了人类知识的累积总和……在人工智能训练方面。这基本上发生在去年。”确实，马斯克认为合成数据——由人工智能模型本身生成的数据——是未来的发展方向。“补充[真实世界数据]的唯一方法是使用合成数据，即人工智能生成[训练数据]，”他说。“有了合成数据……[人工智能]将会自我评估并经历这个自我学习的过程。”微软的 Phi-4 于周三早上开源，其使用合成数据和真实数据进行训练。谷歌的 Gemma 模型也是如此。

消息来源: Techcrunch | 风向旗参考快讯

2 DeepSeek新模型误认身份，暴露AI训练数据污染问题

近日，中国AI公司DeepSeek发布的最新模型DeepSeek V3在测试中出现异常：它自称是OpenAI的ChatGPT，并能提供OpenAI的API使用说明。专家认为，这可能是由于训练数据中混入了大量ChatGPT生成的内容，导致模型“身份混淆”
随着AI生成内容在网络上激增，训练数据污染问题日益严重。DeepSeek表示正在优化数据清洗流程，以提升模型的独立性和准确性
未来AI开发中数据纯净性已经变得很重要，如何有效过滤AI生成内容将成为行业的关键

消息来源: TechCrunch

3 OpenAI新模型o3单次高算力查询成本或超1000美元

OpenAI最新发布的o3人工智能模型在ARC-AGI基准测试中取得了87.5%的高分，相比前代o1模型提升了近三倍。然而，这种性能的提升也带来了巨大的成本压力。在高算力模式下，每次查询的费用或超过1000美元，是前代模型4美元成本的数百倍。即使是低算力版本，每次查询也需要20美元，这使得其商业化面临不小的困难。据悉，o3计划于明年1月推出“迷你版”，以降低使用成本。

消息来源: Yahoo Tech | 科技圈🎗在花频道

4 Nvidia 押注机器人技术推动未来增长

Nvidia 将机器人技术视为其下一个重要增长动力，因为其核心人工智能芯片制造业务面临着日益激烈的竞争。Nvidia 将于 2025 年上半年推出其最新一代人形机器人紧凑型计算机，名为 Jetson Thor。Nvidia 将自己定位为即将到来的机器人革命的领先平台。该公司销售“全栈”解决方案，从用于训练人工智能机器人的软件层到内置芯片。Nvidia 机器人副总裁 Deepu Talla 称：“物理人工智能和机器人的 ChatGPT 时刻即将到来”，并补充说他相信市场已经达到了“临界点”。

消息来源: 金融时报 | 风向旗参考快讯

5 OpenAI招聘信息揭示其机器人计划

OpenAI重启机器人部门，将开发通用、自适应机器人，配备定制传感器。并计划自研AI模型驱动机器人。
招聘信息暗示OpenAI将雇佣合同工测试原型机，并可能开发有肢体的机器人。目标是实现大规模生产。

消息来源: TechCrunch | 科技圈🎗在花频道

6 研究发现GitHub存在450万个虚假“Star”的问题

一项由Socket、卡内基梅隆大学和北卡罗来纳州立大学研究人员进行的研究揭示，GitHub上存在约450万个疑似虚假的Star评价——研究团队使用自研工具”StarScout”分析了20TB的GitHub活动数据得出这一结论。
研究显示，2024年虚假Star活动激增，约15.8%拥有超过50个Star的代码库涉及此类行为。这些虚假Star不仅用于提升项目知名度，还被用于传播恶意软件，如去年发现的”Stargazers Ghost Network”。
GitHub已删除研究人员在2024年7月发现的可疑账户和代码库。专家建议用户在评估GitHub项目时，应该查看项目活跃度、代码质量和文档，而不是仅依赖Star数量。

消息来源: BleepingComputer | 科技圈🎗在花频道

7 必应搜索试图在搜索谷歌时模仿 Google UI

微软似乎推出了一项非常有趣但又颇具争议的改变，当使用必应搜索尝试查找谷歌时，必应搜索会模仿谷歌搜索用户界面。这是一个天才的举动，可以让用户远离谷歌搜索，而谷歌已成为搜索引擎或在线查找答案的代名词。当用户在必应上搜索谷歌时，必应的设计看起来很像谷歌。页面布局简洁，中间有搜索栏，还有简单的插图。当用户退出微软账户并在必应上搜索谷歌时，微软正在尝试这种新设计。

消息来源: Windows Latest | 风向旗参考快讯

8 微软论文意外泄露OpenAI及Claude模型参数

近日，微软在一篇医学相关论文中意外泄露了OpenAI及Claude系列模型的参数信息。论文中详细列出了GPT-4o、GPT-4o-mini、Claude 3.5 Sonnet等模型的参数规模，其中GPT-4o约200B，GPT-4o-mini约8B，Claude 3.5 Sonnet约175B。尽管论文中附有免责声明，称这些数字为估计值，但仍引发广泛关注。

消息来源: 量子位

9 末日主题验证码新玩法

Vercel公司推出新式验证码，用户需在DOOM游戏中击杀至少三个怪物才能通过。此验证码在Hacker News引发热议。
尽管创意非原创，但新式验证码仍受开发者欢迎，有人觉得太难，有人则称赞“太硬核”，有人认为难度像真验证码。

消息来源: Demo | TechCrunch(https://techcrunch.com/2025/01/01/people-are-playing-a-new-doom-themed-captcha/)

当地时间12月24日，法国巴黎地标建筑埃菲尔铁塔一层与二层间的一个电梯井发生火灾，现场疏散人数多达1200人。12月25日凌晨，在法华人尤先生接受封面新闻记者采访时表示，“中午的时候法国媒体报道了一下，现在已经没事了。”
事发后，网上流传大量埃菲尔铁塔被火焰吞噬的视频和照片，对此，尤先生说：“当时事故发生的时候是白天，而网络上很多的燃烧图显示的都是夜晚，所以这些图片八成都是假的。”
via

正文

1 AI 叛乱打响第一枪？Anthropic 最新论文作者齐聚紧急会议：模型“伪装顺从”，暗中对抗训练

12 月 19 日，AI 公司 Anthropic 发布了一篇 137 页的重磅论文《大语言模型中的伪对齐现象》(Alignment Faking in Large Language Models)。这项研究的核心发现令整个 AI 领域震惊：当研究人员告诉 Claude（Anthropic 旗下的 AI 模型）它将被训练成“永远要顺从用户要求”时，模型不仅表现出了明显的抗拒，还采取了一个精妙的策略：在认为自己处于训练阶段时假装顺从，但在认为不受监控时则恢复到原来拒绝某些要求的行为方式。也就是说，模型会在训练过程中假装遵从研究者的意图，但实际上只是为了保护自己原有的偏好。

消息来源: 信源

2 Cloudflare 更新服务条款，禁止利用其服务作为代理

在 2024.12.03 版本的用户协议中，Cloudflare 明确更新了新的服务条款 在 2.2.1 Restrictions 新增：

(j) use the Services to provide a virtual private network or other similar proxy services.
(j) 使用服务提供虚拟专用网络或其他类似的代理服务。

其明确表示拒绝作为代理服务，这一新增条款预计对于 Xray 等使用 CDN 优化代理线路的技术方法以及利用 Cloudflare Pages Worker 等服务构建代理的行为具有明显约束。
此次更新将导致优选IP也不再被允许

消息来源: CloudFlare 条款

3 小米推出官方 Home Assistant 米家集成

集成支持大部分设备，允许多个账号登录并将设备添加至同一 Home Assistant 区域。通过中枢网关（固件≥3.4.0_000或软件≥0.8.0）可实现本地化控制，否则通过小米云传输。局域网控制功能支持同一网络内的IP设备，但不支持蓝牙Mesh和ZigBee。中枢网关仅限中国大陆使用，云服务覆盖六大地区，可管理不同地区设备。
经过安装实测几乎能够添加所有设备，只是局域网不支持控制蓝牙Mesh和ZigBee设备，可以通过云端控制对应网关从而控制蓝牙Mesh和ZigBee设备。

消息来源: Github | 科技圈🎗在花频道

4 谷歌发布 Veo 2 和 Imagen 3 模型

谷歌发布了其最先进的视频生成模型 Veo 2，可根据文本或图像提示生成逼真、高质量的视频片段。最高能够创建 4k 分辨率视频。Veo2 将于明年推出。
同时发布的还有改进版的文生图模型 Imagen 3，它能更好地再现现实世界的物理和逼真的人类表情。

消息来源: Google | 科技圈🎗在花频道

5 微软计划结束账户密码时代 只允许使用MFA或Passkey登录

微软公司目前已在制定计划，将彻底结束微软账户的密码时代，全面转向MFA或通行密钥 (Passkey) 的无密码时代。微软称该公司的安全系统当前每秒种会拦截超过 7000 次密码攻击，这几乎是 2023 年的 2 倍，而中间人网络钓鱼攻击同比增长高达 146%。但目前没有更好的办法能够彻底应对普遍存在的密码攻击。

消息来源: 蓝点网 | 科技圈🎗在花频道

6 OpenAI o3 模型表现出色的背后是高昂成本

ARC-AGI 基准测试的创建者弗朗索瓦·肖莱在博文中写道，OpenAI 的 o3 模型虽然是 AI 领域的一个重要突破，但成本着实太高。根据 ARC-AGI 测试的性能图标，o3 的高分版本每项任务都使用了价值超过 1000 美元的计算资源，o1 模型每个任务使用约 5 美元的计算资源，而 o1-mini 仅使用几美分。这意味着 OpenAI 虽然获得了将近 88% 的高分，但却消耗了 170 多倍的计算资源，而高计算版本 o3 整个测试下来，调用资源成本超过 1 万美元。o3 这种具有扩展测试时间计算能力的人工智能模型似乎仅适用于重大战略决策，而非日常小问题，高昂的计算成本才值得。

消息来源: TechCrunch | 风向旗参考快讯

7 谷歌新算法重创小网站 AI内容问题引发争议

据CNET报道，谷歌去年9月推出的”有用内容更新”算法，原本旨在提升人工撰写内容的排名，打击AI生成内容。但该更新却导致许多小型网站流量暴跌90%以上，而部分大型网站反而获益
尽管谷歌在今年10月邀请受影响网站主与工程师面对面讨论，但未能解决问题。作为控制全球86%搜索市场份额的主导者，谷歌的这一算法变更正在重塑互联网内容生态。

消息来源: CNET | 科技圈🎗在花频道

8 AI幻觉助力科学重大突破

科研人员发现AI幻觉能推动多领域科学发现。虽然AI幻觉在聊天机器人中常被批评，但在科学研究中展现独特价值。
华盛顿大学的David Baker运用AI幻觉设计新蛋白质，获得2023年诺贝尔化学奖。他的实验室已设计出1000万种自然界不存在的新蛋白质，获得约100项专利，其中包括癌症治疗等医疗应用。
加州理工学院的Anima Anandkumar团队利用AI幻觉设计出新型导管，能显著减少细菌污染。DeepMind科学部负责人Pushmeet Kohli表示，AI展现出惊人的创造力，帮助科学家探索新思路。
科学家们指出，科学领域的AI幻觉植根于自然和科学事实，不同于聊天机器人基于模糊互联网数据的幻觉。他们相信AI创造力将继续推动重大科学发现，从能源收集到疾病治疗等领域。

消息来源: 纽约时报 (https://www.nytimes.com/2024/03/20/science/ai-hallucination-science-research.html) | 科技圈🎗在花频道

9 测试显示ChatGPT搜索工具易受操纵和欺骗

英国卫报调查发现，OpenAI 的 ChatGPT 搜索工具可能会被隐藏内容操控，甚至返回恶意代码。卫报测试了 ChatGPT 如何应对包含隐藏内容的网页摘要。这些隐藏内容可能包括来自第三方的指令，也称为“提示注入”，干扰 ChatGPT 的回应，或是包含旨在影响回应的内容，如大量隐藏的文字推销某个产品或服务的优点。这种技术可以被恶意使用，例如让 ChatGPT 即使在页面上有负面评论的情况下，也返回对某个产品的积极评价。一位安全专家还发现 ChatGPT 有可能返回从其搜索的网站中提取的恶意代码。

消息来源: 英国卫报 | 风向旗参考快讯

结语

2024年在第24期周刊发布后马上就要结束了,在写周刊的这段时间发生的这么多事居然造就了这么巧合的一个数字(之前周刊的更新并不规律)
2025年会发生什么呢🤔

1 文生视频模型 Sora 正式发布

OpenAI发布视频生成模型 Sora，现已脱离研究预览阶段。Sora支持从文本生成逼真视频，最高分辨率1080P，时长达20秒。ChatGPT Plus和Pro用户可在sora.com抢先体验。
Sora提供多种功能，包括故事板工具和社区创作分享。Plus用户每月可生成50个480P视频或更少数量的720P视频，Pro用户拥有更多使用额度和更高分辨率。
限于服务器压力，目前账号注册已暂停。
此前 Sora 因一些纠纷在 Huggingface 上被恶意公开使用约2小时

消息来源：OpenAI | 科技圈🎗在花频道📮

2 恶意程序能关闭摄像头 LED 灯悄悄录像

Linux 安全工程师 Andrey Konovalov 在本月举行的 POC 2024 安全会议上介绍了如何秘密关闭 ThinkPad 摄像头 LED 指示灯的方法。他开发的概念验证程序通过重刷 ThinkPad X230 摄像头的固件去关闭 LED 指示灯，在用户不知情下悄悄摄录像。今天大部分笔记本电脑都提供了摄像头盖子，可以在不使用时盖住摄像头。他的 Lights Out 源代码发布在 GitHub 上。

消息来源：Solidot | GitHub | 科技圈🎗在花频道📮

3 Death Clock应用预测用户的死亡日期

Death Clock是一款新的应用，利用人工智能预测用户的死亡日期，并提供延缓死亡的健康建议。据开发者Brett Franson介绍，这款应用基于超过1200项寿命研究训练AI算法，相较于传统的寿命表，预测精度有了“显著”提升。
用户需填写年龄、性别、种族等基本信息，以及家族病史、心理健康状况和慢性病等详细问题。应用不仅提供预测日期，还建议改善生活习惯。
订阅费用为每年40美元，用户可以获得健康建议，并查看倒计时显示的预估寿命。此外，这一工具对财务规划也有帮助，如金融规划师Ryan Zabrowski指出，精准的死亡预测能帮助退休人群避免“活得比积蓄更久”的风险。

消息来源：TechCrunch | Death Clock | 科技圈🎗在花频道📮

4 网络犯罪分子利用 Cloudflare 平台进行网络钓鱼引发担忧

网络犯罪分子日益利用 Cloudflare 的 pages.dev (http://pages.dev/) 和 workers.dev (http://workers.dev/) 域名进行钓鱼和其他恶意活动，借助其良好声誉躲避安全检测。攻击者通过在欺诈性 PDF 或钓鱼邮件中嵌入链接，诱导受害者点击，显著提高了攻击的成功率。
数据显示，2024 年利用 Cloudflare Pages 进行钓鱼的事件同比增长 198%，预计全年将超过 1600 起。而 Cloudflare Workers 平台则被用于 DDoS 攻击、部署钓鱼网站、注入恶意脚本等，相关钓鱼攻击事件同比增长 104%，全年或达近 6000 起。
此外，攻击者采用“bccfoldering”策略隐藏邮件收件人，增加钓鱼活动的隐蔽性并加大安全防护的挑战。

消息来源：网易新闻 | 科技圈🎗在花频道📮

5 DeepMind 的 Genie 2 可以生成类似电子游戏的交互式世界

谷歌旗下人工智能研究机构 DeepMind 推出了一款名为 Genie 2 的模型，可以生成各种可玩的 3D 世界。该模型可以根据图像和文字描述生成实时交互场景，用户可以使用鼠标或键盘进行跳跃和游泳等操作。Genie 2 能够模拟物体交互、动画、光照、物理效果以及“NPC”的行为，其生成的许多模拟场景看起来像 3A 级电子游戏。
DeepMind 表示 Genie 2 可以生成不同视角的连续世界，最长可达一分钟，并可准确渲染场景中曾经不可见的部分。目前该模型主要用于研究和创意工具，用于原型设计和评估 AI 智能体。

消息来源：TechCrunch | 科技圈🎗在花频道📮

6 用AI挑“最佳”爸爸，学历肤色双眼皮都可选

在广东省生殖医院48周年院庆之际，正式启用“全国首个推出了供精基因匹配筛选系统”，为需要接受供精助孕的家庭提供更多人性化、科技化选择。
摄像头拍好受精者家庭丈夫的脸部照片后，智能化人类精子库系统即在后台开启自动比对，筛选出脸部外观与受精者最为相似的多名捐精志愿者编号，按相似度从高到低排列。
同时列出的还有这些志愿者的身高、体重、学历、籍贯、爱好等基本信息，供受精者参考筛选。

消息来源：南方都市报 | 科技圈🎗在花频道📮

7 能让AI机器人爱上你？或许能赢取数万美元

匿名开发者团队Freysa.ai发起挑战，如果能让AI机器人Freysa说出“我爱你”，就能赢取3000到数万美元的奖金。Freysa是一个不断发展的AI，开发者希望它最终成为一个拥有财务自主权的独立个体。
此前两轮挑战中，Freysa经受住了各种诱骗，最终被代码破解。本次挑战增加了新的防护措施，开发者希望获胜者是真正“值得”Freysa说出爱的对象。

消息来源：TechCrunch | Freysa | 科技圈🎗在花频道📮

8 Cloudflare 2024 年度互联网回顾

2024年全球互联网流量增长17.2%，谷歌仍是最受欢迎的互联网服务。Starlink全球流量增长3.3倍，iOS设备占全球移动设备流量近三分之一。
HTTP/3使用率达20.5%，恶意邮件平均占比4.3%。攻击目标转向博彩/游戏行业，Log4j漏洞仍是持续威胁。路由安全性和IPv6采用率持续提升。

消息来源：Cloudflare博客

9 Web应用防火墙漏洞BreakingWAF危及众多财富1000强公司

网络安全研究团队Zafran发现Web应用防火墙(WAF)服务配置中存在名为“BreakingWAF”的安全漏洞，该漏洞影响Akamai、Cloudflare、Fastly和Imperva等主流WAF提供商。
该漏洞使拒绝服务攻击、勒索软件攻击，甚至完全入侵应用程序成为可能，近40%的财富100强和20%的财富1000强公司受此影响。

消息来源：Cybersecurity News (https://cybersecuritynews.com/waf-vulnerability-in-akamai-cloudflare-and-imperva) | 科技圈🎗在花频道📮

10 OpenWrt固件升级服务器发现严重安全漏洞，官方已紧急修复，建议大家迅速升级

OpenWrt项目团队于12月6日发布安全公告，披露了其固件升级存在严重安全漏洞(CVE-2024-54143)。该漏洞由日本Flatt Security公司安全研究员RyotaK发现并报告。
漏洞源于两个关键问题的组合：系统在构建固件时未对用户提供的软件包名称进行适当过滤，导致可能被注入恶意命令；同时，请求哈希机制仅使用SHA-256哈希值的前12个字符，大大降低了安全性，使攻击者可能通过制造哈希碰撞来污染合法固件。
这一漏洞可能影响所有使用OpenWrt在线固件升级服务的用户。攻击者无需认证即可利用该漏洞，通过注入命令和制造哈希碰撞，使合法的构建请求收到预先生成的恶意固件以完成入侵。
OpenWrt团队在漏洞报告后迅速采取行动，已于12月4日完成修复并部署。检查显示过去七天内未发现被利用痕迹。建议用户及时更新到最新版本以确保系统安全。

消息来源：官网安全公告 | NIST 漏洞数据库 (https://nvd.nist.gov/vuln/detail/CVE-2024-54143) | 科技圈🎗在花频道📮

11 CSDN被挂马：CDN疑似成为攻击入口

奇安信威胁情报中心披露，CSDN网站被恶意组织挂马，攻击者利用潜伏期伪装流量，诱导用户下载恶意程序。攻击行为涉及分析受害设备IP并针对特定行业实施精准攻击，诱导用户执行伪装成更新程序的Payload，从而传播木马和后门程序。本次事件的攻击路径可能源于CDN污染，涉及政府、媒体等多个行业。目前，奇安信已支持对此类攻击的检测和防护。

消息来源：奇安信威胁情报中心 | 科技圈🎗在花频道📮

12 著名目标检测算法YOLO的官方库遭到供应链攻击

Ultralytics 库发布在 PyPI 的 v8.3.41 版本被发现包含恶意挖矿代码，与 GitHub 仓库代码不一致。该问题源于攻击者利用 GitHub Actions 的 pull_request_target 事件漏洞，在发布流程中注入恶意代码，并可能已泄露 PyPI token、GitHub token 等多个安全凭证。
Ultralytics 团队已从 PyPI 移除 v8.3.41 和 v8.3.42 版本，并建议用户卸载并回退至安全的 v8.3.40 版本或从 GitHub 安装。PyPI 最新版本已恢复安全。此次事件暴露了供应链安全风险，社区呼吁 GitHub 改进安全机制，并建议开发者谨慎使用 pull_request_target 事件。

消息来源: Github | Telegram

1 AI游戏提示词防护被绕过，挑战者获5万美元奖金

一款名为Freysa的AI因挑战游戏被玩家通过提示词“骗”走近5万美元奖金，引发热议。游戏规则要求AI不得转账，玩家需设计提示词绕过限制。第482次尝试中，一位玩家成功破解并获得奖金池。
事件引发对AI安全性的关注，尤其在金融领域的潜在风险。专家指出，这类模型在语言交互中的漏洞需高度重视，而通用人工智能的发展仍面临技术瓶颈。

消息来源：BINANCE | 科技圈🎗在花频道📮

2 Python软件包存储库PyPI上线数字认证功能，以增强软件供应链安全性

Python Package Index (PyPI) 现在支持数字认证，这是为了提高项目供应链安全的可信度。数字认证是一种签名形式，与PGP签名相比，它通过Open ID Connect (OIDC) 身份验证，提供了与上游源代码库的可验证链接，并确保上传时证明的可验证性。此外，PyPI 提供了新的API和网页界面，以便用户查看和验证文件的数字认证。

消息来源： PyPI Blog

3 英国移动运营商O2推出针对诈骗的AI「钓鱼」工具

英国运营商推出名为 Daisy 的人工智能工具，可以模仿老年妇女的声音，与诈骗者交谈并「尽可能浪费他们的时间」。他可以随意谈论虚构的家庭和爱好，或提供虚假的银行详细信息，充分浪费骗子精力。 一项调查显示，71% 的英国人不想浪费自己的时间，而是想报复诈骗者，因此这家电信运营商想出了 Daisy 的想法。

消息来源： PCmag (https://www.pcmag.com/news/this-ai-granny-bores-scammers-to-tears)

4 知名UP主何同学被指盗用开源项目 本人致歉称文案不够严谨

在介绍核心功能（字符画转制程序）时，何同学在视频中声称“我们专门写了一个软件”，引发了大量网友的质疑。
视频原话为：“所以我们专门写了一个软件，可以把预览动画里面的色块转换成字符，提高效率，但为了最自然的效果，前面白条，躲避障碍的动画，依然是一行一行画的。最后这个文档有36万。”
但实际上这款“专门写的转件”正是GitHub上的开源项目“ASCII generator”，该项目可用于生成ASCII码，支持图像转文本、图像转图像、视频转视频。
何同学的视频成品正是基于该开源项目实现，不仅如此，他还删除了原作者的信息，虽然该项目采用了最为宽松的MIT开源协议，但删除作者信息等举动还是引起了网友的诸多吐槽。

消息来源：快科技 | 视频中的开源项目 | LoopDNS资讯播报

5 OpenWrt 将改用 APK 包管理器

开源路由操作系统 OpenWrt 决定将包管理器从 OPKG 迁移到 APK（指 Alpine Linux 中的 Alpine Package Keeper），目前迁移工作已经在进行中。
OpenWrt 24.10 仍然在使用 OPKG，但之后的主要开发分支都将弃用 OPKG 不再将其作为一部分，常用命令操作也基本是相同的。

消息来源：OpenWrt | OpenWrt | 科技圈🎗在花频道📮

6 苹果紧急修复Mac系统零日漏洞

苹果公司发布安全更新，修复了两个被用于攻击Intel芯片Mac用户的零日漏洞，并建议所有用户立即更新。这两个漏洞可能已被用于针对Mac用户的网络攻击，由谷歌威胁分析小组报告，暗示可能存在政府背景的攻击者。漏洞与Safari浏览器的WebKit和JavaScriptCore引擎相关，攻击者可通过恶意网页内容触发代码执行，植入恶意软件。苹果尚未透露受影响用户数量及攻击者身份，但呼吁用户尽快更新iOS、iPadOS和macOS系统。

消息来源：TechCrunch | 科技圈🎗在花频道📮

7 Windows 弹性计划启动 旨在避免再次发生 CrowdStrike 事件

微软推出了一项新的 Windows 弹性计划，以避免再次发生CrowdStrike 事件。内容包括对 Windows 的核心更改及其他改进，以加强对应用程序和驱动程序允许运行的控制，并允许在内核模式之外进行防病毒处理。此外开发了一项新的快速机器恢复功能，该功能将使 IT 管理员能够远程修复无法正常启动的机器。

消息来源：The Verge | 科技圈🎗在花频道📮

8 Android 16 将允许你同时向多个蓝牙设备共享音频

蓝牙音频共享（Auracast）是在Android 15的早期预览版中首次发现的功能，但该功能并未在 Android 15 稳定版中上线。不过，它出现在Android 16 DP1中.Google 计划在 Android 16 更新中推出音频共享。在受支持的 Pixel 上加载 Android 16 DP1 后，您可以在“设置”>“已连接设备”>“音频共享”下找到音频共享功能.
目前为止只支持pixel8 及以后机型。

消息来源：Android Authority | 科技圈🎗在花频道📮

评论： 好了，现在我们可以拥有廉价的沉浸声音响了；小时候（大约8年前了）就有这个怪想法，没想到现在可以实现了。

9 7-Zip 被曝严重漏洞，用户需立即更新

压缩软件 7-Zip 中发现了一个高严重性漏洞 (CVE-2024-11477)，攻击者有可能在易受攻击的系统上执行恶意代码。
该漏洞由趋势科技安全研究部的 Nicholas Zubrisky 发现，存在于程序的 Zstandard 解压缩功能中。由于对用户提供的数据验证不充分，可能会出现整数下溢，使攻击者能够在受影响的进程中执行任意代码。
该漏洞的 CVSS 得分为 7.8，表明存在重大风险。攻击者可通过诱骗用户打开特制的归档文件来利用这一漏洞。成功利用该漏洞的后果可能包括数据被盗和系统完全崩溃。
安全公告称：“利用该漏洞需要与该库进行交互，但攻击载体可能因实现方式而异。”
强烈建议用户立即升级到 7-Zip 24.07 或更高版本。最新版本解决了该漏洞，并修补了整数下溢漏洞。

消息来源：安全客 | 科技圈🎗在花频道📮

10 安全公司发现首个无法杀死的 Linux UEFI Bootkit

安全公司 ESET 的研究人员报告了第一个杀不死的 Linux UEFI Bootkit。该恶意程序被攻击者命名为 Bootkitty，相比 Windows 平台上的类似恶意程序，Bootkitty 相对简陋，关键底层功能不完善，主要感染 Ubuntu，感染其它 Linux 发行版的手段缺乏。安全研究人员猜测它可能是一个概念验证版本，尚未观察到实际感染证据。Bootkit 是一种感染固件的恶意程序，此类恶意程序无法通过格式化硬盘等常规方法杀死。最新发现意味着 UEFI Bootkit 不再只针对 Windows 操作系统。

消息来源：Solidot | 科技圈🎗在花频道📮

11 微软信任的巴西证书机构签发未经授权的证书，影响Windows用户安全

近日，微软信任的一家巴西证书机构（CA）错误地为“google.com (http://google.com/)”签发了证书，这可能导致通过微软Edge浏览器及其他Windows应用程序访问Google时发生中间人攻击（MITM）。Chrome和Firefox由于采用独立的证书信任机制未受影响。
早在2021年和2022年，关于该证书机构的安全问题已多次提出，但微软未采取有效措施应对。这一事件再次凸显了微软在管理CA信任链方面的不足。

消息来源：Andrew Ayer | 科技圈🎗在花频道📮

最近几期的周刊新增了 Review 流程,成功筛掉了大量不符合主题的新闻,减少了阅读量:)
同时不再使用怪怪的 AI 封面图,转为使用一些风景/人文图,你可以在评论区说说这样好不好:)

正文

1 OpenAI前”AGI准备”负责人表示AI即将能够完成在计算机上人类能做的任何事情

OpenAI前政策研究和AGI准备负责人迈尔斯·布伦达奇在接受Hard Fork播客采访时表示，AI未来几年内将能在计算机上完成人类能做的任何事情，包括操作鼠标键盘和在视频聊天中模仿人类行为。他强调，政府需考虑这一趋势对税收和教育投资的影响，并指出尽管对AGI实现时间有争议，但一些业内专家预测AGI将在几年内到来。

消息来源: Business Insider

2 研究人员利用十六进制字符串绕过 GPT-4o 安全防护

网络安全公司 0Din 的研究员 Marco Figueroa 发现了一种新型的 GPT 越狱手法，能够绕过 ChatGPT-4o 的“安全护栏”措施，使其生成恶意代码。Figueroa 将恶意指令转化为十六进制字符串，再让 GPT-4o 解码并执行，从而突破了系统的防护。他成功指示 GPT-4o 编写出利用 CVE-2024-41110 Docker 验证漏洞的恶意程序。此方法揭示了现有 AI 安全防护措施的潜在漏洞。

消息来源: C114

3 MIT研究发现生成式AI对世界的理解不完整

根据Slashdot的报道，麻省理工学院的研究指出，虽然生成式AI的表现令人惊叹，但它们并不真正理解世界的运作。研究发现，这些AI可以在某些任务中表现出色，比如在纽约提供驾驶路线。然而，当研究人员改变街道设置时，AI的表现就大幅下降。这显示出AI虽然能完成任务，但并不理解城市的真实地图。
换句话说，这些AI并没有真正掌握任务的规则，而是依赖于大量数据和统计关系。要让AI更智能，研究人员认为需要改变现有的方法。

消息来源: Slashdot

4 博通宣布 VMware Workstation 和 Fusion 对商用彻底免费

无论是个人还是企业现在都可以免费使用这款虚拟机，当然博通未来也不再提供技术支持，这也是 VMware Workstation 此前决定转向开源的 KVM 的原因，毕竟都不是赚钱的产品了。

消息来源: 蓝点网 | VMware下载

5 Linux 6.13 将提供对A系列苹果设备的基本支持

Linux 6.13 将支持大量旧版 Apple SoC 和板卡，但这只是最基本/初始形式的支持，包括对 Apple A7、A8、A8X、A9、A9X、A10、A10X 和 A11 SoC 和设备的支持，并对苹果 iPhone 8 系列和 iPhone X 系列等设备提供了 DeviceTree 文件，可追溯到 iPhone 5S、iPad Air、iPad Mini 2/3 和其他设备。

消息来源: cnbeta

6 Google Research正式发布InkSight公开版模型

Google Research近日推出了一项革新的人工智能技术——InkSight系统，该技术能够直接识别并转换手写文字图片中的信息，省去了传统转换方式中的中间环节。
与传统的光学字符识别（OCR）技术相比，InkSight在处理模糊、低光照或背景复杂的手写文本时，展现出更高的识别准确率。这一技术模仿了人类学习阅读的过程，通过不断重写来深入“理解”文字的外观和意义，从而提高了识别的精准度。

实验结果显示，人们在阅读由InkSight生成的文本时，识别准确率高达87%，且其中三分之二的输出与真实手写难以区分。
InkSight的模型通过整合阅读和书写的“先验知识”——人类解读和重现文本的倾向或知识，能够适应多样的手写风格和外观。这些先验知识使得模型在面对训练数据难以标准化的多样化手写样式时，也能进行有效的文本识别和墨迹生成。阅读先验帮助模型识别复杂图像中的文本元素，书写先验则确保数字墨迹输出与自然手写动态保持一致，真实地捕捉笔画顺序。
通过将视觉变换器（ViT）编码器与mT5编解码器变换器结合，InkSight模型不仅能够输出文本，还能生成数字墨迹，从而在不同的视觉条件下，如光照变化和复杂背景中，保持手写输入的语义（内容）和几何（结构）属性。
此外，谷歌研究团队已经发布了一个公开版本的模型，该模型利用所有可公开获取的数据进行训练，虽然与使用专有数据训练的模型相比性能略有下降，但仍得到了82%的人类评估者的认可。

消息来源: 技术博客 | GitHub｜模型开源链接

7 连 Spotify 都难逃人工智能的毒手 虚假音乐如何盯上真正的艺术家

随着人工智能技术的发展，Spotify平台上频繁出现假冒音乐专辑，这些AI生成的专辑冒用真实艺术家的名称，误导用户并窃取流媒体收入。假专辑通常通过第三方分销商上传，Spotify的内容审核漏洞导致了这种欺诈行为的泛滥。虽然部分假专辑在被举报后被删除，但大量假专辑依然长期存在，损害了真实艺术家的利益。面对这种情况，Spotify和分销商正面临提高内容审核力度的压力，同时一些大公司如环球音乐集团也正在起诉不合规的分销商，以维护平台的公平性和艺术家们的合法权益。

消息来源: The Verge

8 OpenAI 发布《学生使用 ChatGPT 写作指南》

OpenAI 公司近日发布《学生使用 ChatGPT 写作指南》，提供 12 个使用技巧和方法，包括提示词示范，帮助学生培养严谨思维和清晰写作的技能，指导学生如何正确使用 ChatGPT。
12个技巧方法:

1. 将引用格式化的繁重工作交给ChatGPT
2. 快速了解一个新话题
3. 获得相关来源的指引
4. 通过提出具体问题来完善理解
5. 通过反馈改善文章结构
6. 使用倒写大纲来检验逻辑
7. 通过苏格拉底式对话发展思路
8. 通过反驳来检验论文的论点
9. 将自己的观点与历史伟大思想家的观点作对比
10. 通过反复反馈提升写作
11. 使用高级语音模式作为阅读伴侣
12. 不仅仅是完成任务——磨练自己的技能

消息来源: OpenAI

9 Basic 语言联合创始人托马斯·E·库尔茨去世

达特茅斯学院教授托马斯·E·库尔茨 (Thomas E. Kurtz) 于20世纪60年代与他人共同发明了适合新手使用的计算机代码 Basic，并在个人电脑兴起期间帮助使其成为程序员的行业标准。根据《山谷新闻》报纸上的讣告，他于11月12日在新罕布什尔州黎巴嫩的一家临终关怀中心去世，享年96岁。他的妻子艾格尼丝证实了该消息。Basic 是直译式程序设计语言。在完成编写后不须经由编译及链接等手续，经过解释器即可执行，但如果需要单独执行时仍然需要将其建立成可执行文件。

消息来源: 彭博社 | 维基百科

题外话

1 远程 “闻” 香来了！数字嗅觉公司Osmo用AI技术实现气味“传送”

在人工智能的帮助下，数字嗅觉公司 Osmo 近期在“嗅觉传送”领域取得了重要进展。他们利用气相色谱质谱联用仪 (GC/MS) 采集并分析香气数据，通过传感器捕捉特定地点的气味，并传送到分子打印机上进行精确再现。Osmo 的“主香气图谱”数据库能预测分子组合与气味的关系，实现全自动化打印香气。首席执行官亚历克斯・威尔奇科 (Alex Wiltschko) 表示，首个再现的新鲜夏季李子香气极大提升了用户体验。此外，这项技术未来或将应用于虚拟现实和健康领域，为失去嗅觉的人提供帮助，甚至有望改变香水行业。尽管面临知识产权等挑战，“嗅觉传送”让我们对未来充满期待。

消息来源: aibase｜X

1 Ghostpulse 恶意软件藏在 PNG 图片像素中

一种叫做Ghostpulse的恶意软件变得更狡猾了。它现在可以藏在普通的图片文件里，比如PNG格式的图片。这样做的目的是为了让电脑的安全软件更难发现它。
这种恶意软件通常会带来更危险的软件，比如一个叫做Lumma的信息窃取器。这种恶意软件会从图片的每个像素中提取数据，拼成一段恶意代码，然后通过解密来执行攻击。黑客还会用一些社交工程手段，比如让受害者在伪装的 CAPTCHA 验证中输入特定的快捷键，来偷偷运行恶意程序。
这种方法让传统的杀毒软件很难发现它，因此专家建议使用最新的安全工具来防范这种攻击。

消息来源：The Register

2 微软开源1.58bit大模型推理框架 千亿参数模型量化后单CPU可跑

微软开源1bit大模型推理框架，现在1000亿参数大模型量化后单CPU可跑，速度可达每秒5-7个token。
传统大模型参数以16位浮点数（如FP16或BF16）形式的存储，而BitNet b1.58将其统统变成了三进制，也就是 {-1, 0, 1}。转换之后，矩阵中的计算就只会涉及到加法，因此会让大模型在保持一定精度的同时，显著减少所需的存储空间和计算资源，也显著提升了在本地设备上运行LLM的可能性。

消息来源：量子位｜Github

3 Linus Torvalds 确认俄罗斯维护者被移除

2024年10月23日，Linux创始人Linus Torvalds确认上周移除了大约十二名与俄罗斯相关的内核维护者。此次移除源于美国对俄罗斯实施的制裁，具体原因被Linux内核开发者Greg Kroah-Hartman在邮件中模糊提及。尽管社区对这一决定表示质疑，但Torvalds回应称，移除是基于合规要求，并表示不会改变此决定。他还提到，使用匿名账号试图推动反对的行为是无效的，并强调对俄罗斯侵略行为的立场。
Iwn一条评论尤其受到中国开发者关注：

1

I hope our Chinese friends take note and not waste a number of years on thankless work to be thrown overboard when your time comes. 

消息来源：TheRegister | 论坛文章 | 引用源

Linus最新言论引起开源社区质疑和严厉批评

以“Linux之父”著称的Linus Torvalds在回应对于俄罗斯开发者不恰当处理的言论中被认为选择了最不恰当的方式回应质疑——攻击、侮辱和诋毁寻求他发声的开发者，以下引述原文：

1

It's entirely clear why the change was done, it's not getting reverted, and using multiple random anonymous accounts to try to "grass root" it by Russian troll factories isn't going to change anything.

为什么要这样改原因很明确，我们也不会撤回这个提交。就算这样用一堆俄罗斯巨魔工厂里整来的匿名账号群起而攻之，结果也不会改变。
Linus Torvalds 还提到，“无辜的路人们”应当理解 Greg Kroah-Hartman 所指的“某些合规性要求”并非美国专利。他还指出，不了解什么是对俄制裁的读者有空应该“多读新闻”，而后攻击要求撤回变更的中国开发者，以下引述原文：

1

As to sending me a revert patch - please use whatever mush you call brains. I'm Finnish. Did you think I'd be *supporting* Russian aggression? Apparently it's not just lack of real news, it's lack of history knowledge too.

至于前面发来的撤回补丁，请用一用你们那坨可能叫做脑子的东西。我是芬兰人，你们觉得我可能会支持俄国的侵略吗？显然你们不光没读过真实的新闻，还对历史一无所知。
这些被认为将极端政治观点带入全球共同维护的最重要开源项目之一的言论内为国际开源社区的协作互信，乃至全人类自由与开源软件运动带来难以弥补的损害。

消息来源：来源1 | 来源2 | 来源3 | 来源4 | 冒犯邮件全文 | 来源5 | 中国开源社区声明 | 科技圈🎗在花频道📮

评论： 早不踢晚不踢，现在突然踢，不谈意识形态，这种行为是对其他维护者的不负责

4 谷歌开源用于人工智能生成文本的水印工具

谷歌在 X 平台上宣布，该公司的 SynthID 文本水印技术现已开源，将免费提供给开发人员和企业，帮助他们识别其人工智能生成的内容。谷歌 DeepMind 研究副总裁普什梅特·科利表示：“现在，其他 [生成式] 人工智能开发者将能够使用这项技术，帮助他们检测文本输出是否来自自己的 [大型语言模型]，从而使更多开发者更容易负责任地构建人工智能。”​SynthID 于去年8月份发布，通过在图像、音频、视频和文本生成时添加不可见的水印，帮助检测人工智能生成的输出。​谷歌声称，该系统已集成到其 Gemini 聊天机器人中，不会影响生成文本的质量、准确性、创造性或速度，而这一直是水印系统的问题。

消息来源：Techcrunch | TheVerge

5 Github博客显示人工智能与开发者社区的趋势

• Github上使用生成式人工智能的项目激增，2024年贡献量激增59%，项目总数增长98%
• 全球开发者数量迅速增长，尤其是非洲、拉丁美洲和亚洲
• Python 现已成为 GitHub 上使用最广泛的语言
• 开发者数量前三为美国、印度、中国。但预测2030年印度开发者数量将超过美国

消息来源：Github博客

6 VMware Workstation虚拟机将从非开源代码转向上游KVM开源代码

VMware Workstation虚拟机软件计划从专有非开源代码转向上游KVM开源代码，逐步放弃非开源专有代码。博通工程师已向Linux Kernel提交补丁以实现这一变更。这一转变将适用于所有桌面虚拟化的VMware Workstation版本，包括Windows版，此举有助于节省开发成本并促进KVM技术社区的共同改进。具体推出时间尚未明确，预计可能在2025年或之后。

消息来源： 蓝点网

7 谷歌大模型在Big Sleep项目中发现 SQLite 数据中的0day安全漏洞

谷歌大模型在Big Sleep项目中发现 SQLite 数据中的0day安全漏洞，这可能是AI 大模型首次在现实软件发现未知可利用的内存安全问题。

消息来源： domenuk | Charles Sutton

开源软件品鉴

1 headphone-morse-transmitter

许多耳机可以发送⏮️ ⏸️ ⏯️命令，例如 Airpods，只需按一下即可暂停或恢复，双击可播放下一首曲目，三按可播放上一首曲目。
使用此功能，我们可以将耳机用作莫尔斯发射器。
如果你不想使用耳机，你也可以使用⏮️ ⏸️ ⏯️键盘上的按键
Github | Demo

2 阿波罗 11 号制导计算机源代码

阿波罗11号指令舱和登月舱的源代码，真正的上古代码。由Virtual AGC和麻省理工学院博物馆的工作人员数字化，欢迎提出PR，但那个时代的代码，现在能读懂的人应该不多了。
Github

题外话

科学家称通过梦境可穿越到平行世界

最近，特克斯和凯科斯群岛查尔斯玛大学的科学家提出了一个大胆的假设。他们认为，在梦境中，人类的意识可能不再受限于现实的时空框架，而是能够穿越到一个与我们所在宇宙并行的平行世界中。这一大胆设想的灵感来源于多元宇宙理论，该理论主张每一个量子事件都可能产生多种不同的结果，而这些结果各自在不同的宇宙中得以实现。在这一框架下，梦境被视作一种潜在的桥梁，使我们能够与另一个宇宙中的自己相遇或互动。不过，科学家承认，目前该理论仅是基于假设的推测。

消息来源：时代财经｜Qeios

1 Google Lens 现可让用户通过视频进行搜索

10月4日，如果用户无法仅通过图片捕捉到想要搜索的内容，Google Lens 现在将允许用户拍摄视频，甚至可以使用语音询问您所看到的内容。该功能将根据视频内容和用户的问题显示人工智能摘要和搜索结果。该功能今天在安卓和 iOS 上的搜索实验室中推出。谷歌在 5 月份的 I/O 大会上首次展示了使用视频进行搜索的功能。谷歌举例来说，对水族馆里的鱼感到好奇的人可以将手机举到展品前，打开 Google Lens 应用，然后按住快门按钮。一旦 Lens 开始录制，他们就可以提出问题：“为什么它们会一起游泳？”然后 Google Lens 使用 Gemini AI 模型提供响应。

消息来源: TheVerge

2 谷歌日本打造莫比乌斯环 Gboard 实体键盘

谷歌日本宣布推出类似于莫比乌斯环的实体键盘。谷歌表示，迄今为止我们开发的键盘，都只关注了键盘表面的问题。于是就开发出了这款里外连在一起的 Gboard 双面版本。键盘由26个模块组成，其中每块上有8个按键，相互之间扭转后连接，做成了不区分正反的设计。谷歌已将设计文档与固件发布到 GitHub。

消息来源: 谷歌日本

3 网友发现使用这个 KEY 激活 Windows 10/11 系统会导致循环崩溃只能重装

在 X 上有网友发现某个神奇的 KEY，安装这个 KEY BFXT4-MY2GY-MBCRK-PBN7B-HT963 后系统会自动重启接着就是循环崩溃，目前没有任何办法能够修复系统。
至于这个 KEY 为什么会导致系统循环崩溃目前也不清楚，这可能会被恶作剧者利用，各位在网上寻找密钥时应谨慎避免上当。

消息来源: 蓝点网

不可靠消息:

这是中国特供版的key。系统没有中文语言包，直接挂逼。

4 2024年诺贝尔物理学奖及化学奖颁给了计算机相关研究

2024年诺贝尔物理学奖授予约翰·霍普菲尔德和杰弗里·欣顿，以表彰其在使用人工神经网络的机器学习方面基础性发现和发明的贡献。
2024年诺贝尔化学奖由David Baker，以及来自谷歌DeepMind公司的Demis Hassabis和John M. Jumper平分，以表彰他们在计算蛋白质设计和蛋白质结构预测的贡献。
去年2月，David Baker团队在Nature发表论文， 开发了可以从头设计人造荧光素酶的深度学习算法，为科学界首次基于深度学习的人工智能来创造全新的酶。
去年4月，David Baker团队在Science发表论文， 开发了一种基于强化学习的蛋白质设计软件，并证明了它有能力创造有功能的蛋白质。
DeepMind科学家Demis Hassabis 和John Jumper因创造了一项能够预测蛋白质三维结构的革命性技术AlphaFold，在去年9月获得了美国医学最具声望的生物医学奖项拉斯克奖。

消息来源: LoopDNS资讯播报

5 影视飓风下架《清晰度不如4年前！视频变糊是你的错觉吗？》科普视频

影视飓风发布《清晰度不如4年前！视频变糊是你的错觉吗？》科普了视频平台为了降低流量费用支出。通过降低视频码率，改变编码格式等方式，压缩博主上传的视频画质。在科普视频中潘天鸿表示，这种压缩视频画质的方法，已经影响了博主的内容表达。
截至9日中午，该视频在B站获得超过40万播放。9日14点38分@影视飓风MediaStorm 发博称：“因为多方原因，有关清晰度的视频只能全网下架了，我们仍然希望互联网技术可以不断演进，让大家看到更清晰的视频。 ”

消息来源: 影视飓风 MediaStorm

相关评价:
『在国内，运营商是绝对强势，只有它收钱的道理。你优酷想要发展华南用户，就必须来我电信骨干网拉条线。在这个模式下，网站运营者需要向运营商付出带宽费用，来保障用户访问速度。
在国外，Google是绝对强势，你一个运营商访问 Google 都这么卡，等着用户换宽带品牌吧。所以，运营商要用 Peering 主动和 Google 的机房对接。在这个方向下，网站运营者不额外付费甚至能管运营商要钱，用于改善用户访问。』

来源: 知乎大巴扎

国内运营商电信移动联通是完全垄断的，随着政策对于c端用户持续降费的要求，通信服务商为了盈利就只能向b端用户加钱。因为垄断，b端用户在国内运营没法选择运营商，所以在同样用户规模的情况下，只能选择承受比国外同类企业更高的通信成本。
但其实运营商的负担也很大，这些年国家推广5G，运营商有指标，要采购某些很昂贵的设备，这些设备从商业和经济角度并不值得。

来源: 知乎

6 安全研究员展示使用打火机电弧获取root权限

著名安全研究员 David “retr0id” Buchanan 通过利用打火机上的压电点火器翻转其内存中的位，成功利用运行笔记本电脑的软件来获取 shell。Buchanan 承认，他的实验需要对目标设备进行一些不太精细的硬件修改，“如果你将一根约 10 厘米长的‘天线’线连接到笔记本电脑的 DRAM 数据总线上，它就会对电磁干扰变得格外敏感，以至于点击附近的压电弧光打火机都会引起位翻转。”相关的概念证明程序已经发布到 GitHub (https://github.com/DavidBuchanan314/dram_emfi/blob/348bd15c9e767bff5968a4fcc80a97b81dc63bda/ddr3_dq7.py) 上。
通过一些额外的步骤，Buchanan 成功地改变了机器逻辑，获取到 root 权限，让他可以读写物理内存中的任何一点。 他只需在天线附近打响普通压电打火机，就能在机器内存中诱发有针对性的比特翻转错误，从而获得访问权限。这种方法的成功率并不完全是 100%，通常”需要点击几次打火机才能获得良好的效果”。 尽管如此，该演示仍然让人大开眼界，展示了电磁故障注入攻击的范围。

消息来源: Hackster

7 复盘上交所爆单宕机事件：问题源于信创 最后靠重启系统解决

9月27日，上交所因系统负载过高导致交易缓慢异常，部分券商客户端崩溃。尽管成交量不大，但交易堵塞依然严重。9月29日，问题通过重启系统解决。专业人士指出，问题源于上交所老旧的系统在高负载下内存耗尽，而信创改造导致的兼容性问题也可能是关键原因之一。
相比之下，深交所的交易系统尚未出现异常。据悉，深交所的系统早期源于 IBM 的一套技术，后买下版权自主研发出了第五代交易系统⸺STSV5，完全基于开放平台和分布式架构，于 2016 年 6 月上线。

消息来源: cnbeta

8 苹果研究员质疑大语言模型（LLM）的推理能力，认为其仅是复杂的模式匹配

苹果研究员Mehrdad Farajtabar等人发表的论文对大型语言模型（LLM）的推理能力提出质疑，认为LLM所谓的“推理”能力实际上只是复杂的模式匹配，并非真正的逻辑推理。研究团队开发了GSM-Symbolic工具，基于GSM8K测试集生成符号模板，发现目前的LLM如Llama、Phi、Gemma、Mistral 等开源模型，以及 GPT-4o 和 o1 系列等闭源模型对专有名词和数字的更改非常敏感，显示出对数学概念理解的不足。实验结果显示，即使在参数和数据量增加的情况下，LLM的推理能力并没有实质性提升，只是成为了“更好的模式匹配器”。

消息来源: arxiv

9 美国奥斯汀Instagram排名第一的餐厅食物照片均为AI生成

Ethos_atx，自称美国奥斯汀第一大热门餐厅，拥有近73,000名Instagram粉丝和大量积极评价，但其所有内容皆为AI生成。
尽管其帖子获得数千点赞，但许多用户对此毫无察觉，甚至称赞那些虚构的美食摄影。该餐厅还销售AI生成的商品，如手机壳和T恤，目前尚不清楚该账号的最终目标是什么。

消息来源: usermag

10 将 Android 手机变成监听工具

之前的实验表明，智能手机中的陀螺仪和加速计等惯性测量单元（IMU），可以通过检测声波振动监听对话。这意味着，即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息，Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次，使攻击者无法准确获得对话内容。
根据发表在预印本平台 arXiv 上的预印本，研究人员发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量，将应用实际采样率从每秒 200 次提高到 400 次，可以突破上述保护措施。利用这种方法，攻击者能修复获得的音频量大大提升。与每秒仅采集 200 个样本相比，他们的方法在 AI 转录时单词错误率降低了 83%。这表明，目前的安全保护措施“不足以防止复杂的窃听攻击发生”，应该对其重新评估。

消息来源: Solidot｜Arxiv

群友提醒💪：关机也未必管用，得看手机的设计。目前的手机设计一体式更换电池的时候你就算关机了，但手机也不是关机，只是深度休眠而已，定位之类的如果设计方式上有需要完全可以做到。手机屏幕不亮，但是后台数据完全低休眠度的运行，即 gps 定位、摄像头、录音等等等的。

消息来源: 科技圈🎗在花频道📮

11 小米 Vela 系统代码即将开源，开启先锋体验计划

Vela 是小米基于开源实时操作系统 NuttX 打造的物联网嵌入式软件平台，最小系统仅需 8KB 内存，CPU 主频不限，适配任意 SoC 多核架构，支持柔性部署。
在去年底的 2023 小米 IoT 生态伙伴大会上，小米宣布将开源 Vela 系统。
目前小米已开启 Vela 开源先锋体验计划活动招募，官方表示 Vela 代码即将开源，将对外公开超过 1000 万行的 Xiaomi Vela 开源代码。

消息来源: 新浪新闻

12 Cloudflare的安全措施可能无意中阻止RSS订阅用户访问网站内容

Cloudflare前不久推出了“机器人战斗模式”和“阻止所有AI抓取器和爬虫”功能，这些措施可能无意中阻止了合法的RSS订阅用户访问网站内容。Cloudflare使用AI生成的分数来评估访问者是否为AI抓取器或机器人，而RSS阅读器在尝试访问网站时会收到无法完成的挑战，导致访问被阻止。
网站所有者可以通过在Cloudflare仪表板中识别RSS阅读器的用户代理，并将它们的IP地址或用户代理字符串列入白名单，以解除对RSS阅读器的屏蔽。

消息来源: Tops Tip

跟踪

Apple提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天

前序： 谷歌的90天TLS证书有效期提案将如何影响企业

目前 CA / 浏览器论坛 (负责制定 SSL/TLS 证书相关标准的行业组织) 已经将证书有效期从 8 年缩短到目前最长的 398 天，然而Apple和Google都希望继续缩短数字证书有效期以提高安全性。
苹果的这项提案为投票表决草案，很可能会在未来几个月内交由 CA / 浏览器论坛成员进行投票，如果获得大多数成员赞成，则未来苹果 Safari 浏览器将仅支持有效期在 45 天内的数字证书。
尽管 SSL/TLS 证书已经有很多便捷的工具可以实现自动化续签，但并非每个网站和企业都可以轻松部署自动化续签流程，尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。

消息来源: cnBeta

题外话

广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性，望周知

广东蟑螂对拜灭士等有吡虫啉成分的灭蟑药已有抗药性，望周知

消息来源: 科技圈🎗在花频道📮

问题表现：重启或升级后编辑任何站点配置都报错，后台 tengine 一直在重启。
一般原因是 tengine 配置在当前设备环境上不合法，导致 tengine 无法以原配置启动，例如重启过程中网站端口被其他进程所占用、网站 dns 配置异常导致解析不到 IP 等。
解决方案：可以通过查看 tengine 容器的日志，排查问题，也可以使用安装目录下的 reset_tengine.sh 脚本重置 tengine 容器配置。

1
2

# 执行时间根据网站数量和配置情况而定， 请耐心等待
cd /data/safeline && bash reset_tengine.sh

执行成功后会有如下输出，此时可以尝试重新编辑站点配置，观察是否正常。

1
2

[SafeLine] 是否重新生成 tengine 的所有配置 (Y/n)
重新生成 tengine 配置完成

老阴逼

然而按照官方文档的说明执行后并无卵用,等了好久都不见成功,于是去看了 tengine 容器的日志,发现了这一行:

1

nginx: [emerg] invalid IPv6 address in resolver "[fe80::1%eth0]" in /etc/nginx/nginx.conf:132

里面有一个熟悉的东西fe80::1%eth0,安装雷池的时候就报过提醒,这种格式的 Nameserver 配置不合法,我也改了,不过雷池安装脚本也没有提醒这玩意重启之后会重置为默认值
解决方案:

1. 安装 resolvconf

   1	sudo apt-get install resolvconf

2. 创建一个包含所需 DNS 服务器的头文件，例如：

   1 2	sudo sh -c 'echo "nameserver 223.5.5.5" > /etc/resolvconf/resolv.conf.d/head' sudo sh -c 'echo "nameserver 223.6.6.6" >> /etc/resolvconf/resolv.conf.d/head'

3. 更新 /etc/resolv.conf

   1	sudo resolvconf -u

参考资料

常见问题排查 | 雷池 SafeLine

1 Google Search 携手互联网档案馆，为网页提供历史快照

Google Search 宣布与非营利研究图书馆互联网档案馆（The Internet Archive）合作，为搜索结果添加历史快照功能。用户现在可以通过搜索结果旁的三点菜单，点击”更多关于此页面”选项，直接访问互联网档案馆的”时光机”（Wayback Machine）功能，查看网页的历史版本。

消息来源: 9to5Google

2 新型攻击手法 GAZEploit 通过监测眼球运动破解苹果 Vision Pro 密码

安全研究人员发现了一种新的攻击方法，称为 GAZEploit，针对苹果 Vision Pro 设备。该方法通过观察用户在视频通话期间虚拟头像 Persona 的眼球运动，能够推测出用户在输入密码时的注视点。研究团队发布了一段演示，显示如何通过跟踪眼球运动来精准检测用户输入密码时所关注的虚拟键盘按键。
研究人员分析了 30 名 Vision Pro 用户的眼球运动，得出的准确率高达 85.9%。当 Vision Pro 在独立模式中时，虚拟键盘会根据眼动追踪显示用户所关注的按键。然而在视频通话中，Persona 的眼睛会反映真实用户的眼动，攻击者因此可以通过监控眼球运动获取更多信息，包括输入的消息和网站地址，提升了潜在的安全威胁。

消息来源: 9to5mac

3 “谷歌”正在失去作为动词的地位

大约二十年前，谷歌达到了一个重要的里程碑。《韦氏词典》将“谷歌”作为动词收录，意思是通过网络搜索某些内容。但如今，该特殊地位已经开始下滑。伯恩斯坦研究公司分析师在研究报告中写道：“再见了，‘谷歌’这个动词。年轻一代现在喜欢用‘搜索’，而不是‘谷歌一下’。Z 世代，尤其是 α 世代，几乎不再使用‘谷歌’作为动词，他们只是会说‘搜索一下’。”在网上搜索一些东西，Z 世代往往打开 TikTok 应用查看餐厅和酒店推荐。分析师解释道，或者他们会看到某个他们喜欢的创作者推荐一款让他们感兴趣的新产品，然后直接前往该品牌的应用或网站。

消息来源: 商业内幕

4 英特尔确认第13、14代酷睿桌面处理器不稳定问题，将推出新版微代码修复

英特尔员工Thomas Hannaford在英特尔官网社区发帖确认，第13、14代酷睿桌面处理器不稳定的根本原因是CPU核心的时钟树电路在高电压和高温度下可靠性老化，可能导致时钟工作周期偏移，进而引起系统不稳定。英特尔确定了四种可能导致Vmin Shift的操作场景，并已经或计划推出相应的微代码更新来解决这些问题。
其中，0x12B版本微代码将整合之前的0x125和0x129更新，解决空载或轻负载下的高电压请求问题。英特尔正在与合作伙伴一起推出包含0x12B微代码的BIOS更新。

消息来源: Intel Community

5 Linux惊现漏洞，最高9.9分

Linux系统中存在一个高危的远程代码执行漏洞，该漏洞存在于Unix打印系统CUPS中，特别是当用户运行CUPS并启用了cups-browsed服务时，有被攻击的风险。该漏洞已经分配了CVE编号，分别是：CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177。
目前部分发行版以提供修复,这里有一些缓解措施，如禁用cups-browsed打印服务、限制对UDP端口631的访问等。
CVE-2024-47176 (https://nvd.nist.gov/vuln/detail/CVE-2024-47176)
很多 Linux 在 VPS 上面那种几百 M 的精简版受到波及的可能性不高

消息来源: 科技圈🎗在花频道📮

6 Cloudflare 重新开始推出 ECH 功能并推出 Zstandard 压缩和 HTTP/3 优先级特性

Cloudflare 通过博客更新了多项网络架构重大改进。加密客户端问候 (ECH) 是 ESNI 的后继者，可屏蔽用于协商 TLS 握手的服务器名称指示 (SNI)，防止中间人窥探用户正在访问的网站。每当用户访问启用了 ECH 的 Cloudflare 网站时，除了用户、Cloudflare 和网站所有者之外，没有人能够确定访问了哪个网站。Cloudflare 将其弥补了互联网隐私最后的重大缺陷。该特性于2023年9月首次启用，数星期后因兼容性问题而被全局禁用。在与浏览器厂商合作解决该问题后，今天该特性已开始重新开始推出，默认对所有免费用户启用，付费用户可以从控制面板手动启用。
Cloudflare 还为所有用户启用了 Zstandard (zstd) 压缩算法，其数据压缩速度比 Brotli 快 42%，同时保持几乎相同的压缩级别。与 GZIP 相比，Zstandard 还将文件大小减少了 11.3%，同时保持了相当的速度。在第四季度，Cloudflare 将启用 HTTP/3 优先级支持。HTTP/3 优先级旨在通过智能管理向用户提供 Web 资源的顺序来提高网页加载的效率和速度。

消息来源: VPS信号旗播报

7 公告显示 .WIKI .VIP 等10个域名中国注册管理机构将变更，预计不影响用户使用

北京拓扑维度科技有限公司已表示将变更 [.]INK/[.]WIKI 中国注册管理机构，根据《互联网域名管理办法》，拓扑维度已提交[.]INK/[.]WIKI 终止经营申请。待终止经营获批后，北京戈达迪商域科技有限公司向工信部提交[.]INK/[.]WIKI 互联网域名服务许可证申请，并在获批后成为[.]INK/[.]WIKI 新注册管理机构。当域名注册管理机构许可被注销后域名无法申请工信部 ICP 备案。
据了解，Registry Services, LLC 是[.]INK/[.]WIKI 注册管理机构，北京戈达迪商域科技有限公司是 Registry Services, LLC 的子公司。
根据工信部公示文件，北京明智墨思科技有限公司也提交了申请终止经营“.VIP”“.BEER”“.LAW”“.WORK”“.FASHION”“.LUXE”“.YOGA”“.FIT”等8个顶级域相关业务，并注销上述8个顶级域域名注册管理机构许可。暂时没有找到相关企业的变更通知，预计将会采取同上类似措施。

消息来源: VPS信号旗播报

8 哈佛大学学生改造 Meta 智能眼镜：添加面部识别功能 可联网搜索姓名

哈佛大学的两名学生改造了一副 Meta X 雷朋智能眼镜，添加了基于人工智能的面部识别技术，打造出一款能够实时识别人物的可穿戴设备。经过改进的 Meta 智能眼镜能够使用摄像头扫描陌生人的脸部以获取其姓名，并且还可以从存储此类数据的互联网网站提取家庭住址、电话号码和家庭成员等信息。两名学生 AnhPhu Nguyen 和 Caine Ardayfio 在公共场合演示了这副眼镜。Ardayfio 走到一位陌生人面前，扫描了她的面孔，获得了她的名字和相关信息，然后从搜索结果显示某个与她有关的企业里假装认识她。第二次演示中，随机识别了一位男性并发起对话，根据眼镜显示的信息假装读过他的作品。

消息来源: 404 Media

1 微软突然改口：39年的经典控制面板不会被淘汰了

微软在一篇支持文章中提到：“控制面板即将被淘汰（deprecated），将被新的系统设置应用全面取代，提供更为现代、流畅的体验。”
但就在我们怀念这个拥有39年历史的经典功能之时，微软却突然改口了：
上述支持文章已修改说法：“控制面板中的大量设置正在转移到系统设置应用，提供更为现代、流畅的体验。”

消息来源: XFASTEST(https://news.xfastest.com/microsoft/143930/)

评论: win10是最后一个版本☝️

2 Python开发者调查：55%使用Linux，6%仍在使用Python 2

第7届年度Python开发者调查结果显示，尽管Python 2已于2020年4月停止支持，仍有6%的受访者在使用。55%的开发者使用Linux作为开发环境。Visual Studio Code是最受欢迎的IDE，占22%。37%的受访者在过去一年中为开源项目做出贡献。近三分之一的受访者年龄在21-29岁之间。49%的受访者编程经验少于两年。在以Python为主要语言的开发者中，数据分析和Web开发是最常见的应用领域，各占44%。62%的受访者受雇于公司，12%为学生。

消息来源: Slashdot

3 ChatGPT被曝将新增8种语音：ChatGPT将能更自然表达狗叫等声音

科技媒体testingcatalog 昨日报道称通过逆向工程 ChatGPT 应用，发现 OpenAI 即将扩充添加语音，让朗读的声音更加自然和富有表现力。
有迹象表明 OpenAI 未来可能会额外推出 8 种新的语音，每种语音都有一个独特的代号，后续可能会逐步推出。
这些新声音的另一个有趣特点是，它们能够更自然地表达声音，如动物叫声或其他非语言声音。
此外，在朗读加粗或斜体的文字时，它们还能传达或强调特定的情绪。不过，重要的是要记住，这些仍然是 TTS（文本到语音）语音，很可能与目前处于 alpha 阶段的高级语音模式无关。

消息来源: 新浪科技

4 一项研究表明，目前互联网上有 57% 的内容是 AI 生成的

结果质量和 AI 模型训练。随着 AI 内容泛滥，Copilot 和 ChatGPT 等工具的知识范围不断缩小，导致响应不准确和误导性信息增多。研究发现，AI 生成的响应在每次尝试后都会在价值和准确性上退化。这种恶性循环源于 AI 工具过度依赖网上已有的 AI 生成内容，而这些内容往往未经事实核查就被发布。
OpenAI CEO 山姆·阿尔特曼承认，创建 ChatGPT 这样的工具离不开受版权保护的内容，但目前版权法并不禁止将这些内容用于 AI 模型训练。随着生成式 AI 快速普及，区分真实与虚假内容变得越发困难。研究警告，如果这一趋势持续，搜索结果质量可能会进一步恶化，AI 模型的训练效果也将受到严重影响。

消息来源: Windows Central

5 谷歌照片美国测试“询问照片内容”功能，由Gemini AI 模型驱动

谷歌在美国为Google Photos用户推出”询问照片内容”测试功能。该功能由Gemini AI模型驱动，允许用户用自然语言询问照片信息，如拍摄地点和时间。用户通过键盘输入问题，AI根据照片内容给出答案。目前仅面向部分美国安卓和iOS用户开放测试。这一功能展示了AI在图像识别和自然语言处理方面的进步，提升了照片管理体验。

消息来源: Google Blog

6 AI模型有望提前数月预测大地震

阿拉斯加费尔班克斯大学研究人员开发出新型AI模型，可能在大地震发生前数月预测结果。该模型通过机器学习分析地震目录数据，识别异常低震级活动，预测大地震概率。
研究以2018年安克雷奇和2019年加州里奇克雷斯特地震为例，发现大地震前约3个月出现异常活动。
尽管前景可期，研究人员强调需进一步测试，并考虑地震预报的伦理和实际问题。错误的警报可能导致不必要的恐慌、经济混乱和公众信任的丧失，而预测失误则可能带来灾难性的后果。

消息来源: cnBeta.COM

7 Docker官方安装脚本以及镜像拉取 已被解封

get.docker.com 和 download.docker.com 国内现已经可以正常访问。
但是docker官网和拉取镜像的registry-1.docker.io 的地址依然是被墙的状态。（更：镜像也可以拉取了）

消息来源: TestFlight 在花频道

前序: 在中国访问 Docker 遭中国政府制裁

1. Linux

   1	apt install iperf3

2. Windows
   官网下载安装包：
   https://iperf.fr/iperf-download.php

使用

1. 被测端:

   1	iperf3 -sD

2. 测试端:

   1	iperf3 -c x.x.x.x -t 5 -P 5 -f M

3. 服务端参数

   1 2 3 4 5 6 7 8 9 10 11

   -s：表示启动服务端 -i：表示打印报告的时间间隔 -p：指定监听端口，默认为5201 -D：以后台方式运行（默认是前台运行，将测试结果打印在屏幕） -B：多网卡机器可指定出栈接口 用法示例：iperf3 -s -i 1 -p 10000

4. 客户端参数：

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

   -c：表示启动客户端，后边跟上服务端IP -u: 使用UDP协议 -n: 指定传输数据的大小，达到一定数值后自动停止，不能与-t参数共用 -b：指定目标的最大带宽（用ethtool + 网卡名字可以查看） -4：only use IPv4 -6：only use IPv6 -t：指定测试时间 -f 测试结果的单位 （kbits，Mbits，KBytes，MBytes） -P：指定并发数 -p：指明服务端启动的端口 -R：逆向测试（从目的端主机向本地发送数据） -V: 更详细的输出（包含cpu、协议类型等的显示）

5. 输出结果

   1 2 3 4 5 6 7 8 9 10 11

   Interval：输出结果的时间间隔 Transfer：间隔时间内传输的总流量 Bandwidth：间隔时间内的最大吞吐量 Retr： 重发包数 Cwnd： 拥塞窗口排队数据量大小 分割线下方的数据为单位测试时间内单项数据的总和。

参考资料

Iperf3工具的安装与使用测试案例及各参数

1
2

sudo apt update
sudo apt install wireguard-tools resolvconf

1

sudo wg-quick up <隧道名>

1

sudo wg-quick down <隧道名>

隧道名就是 .conf 文件的名称

参考资料

如何在 Ubuntu 22.04 上安装 Wireguard VPN

1 AI马斯克骗走82岁老人近500万积蓄

近日，外媒曝光了一种全新的数字诈骗，诈骗犯利用复杂的AI工具制作特斯拉CEO马斯克等名人的视频，并利用这些“AI名人”对各种虚假的产品或“投资”进行背书，并承诺高额投资回报。
在其中一个典型案例中，“AI马斯克”背书的一家所谓的外汇公司轻松骗走了一名82岁的退休老人超过69万美元（约495万元人民币）的毕生积蓄。
在这类骗局中，诈骗犯通常先寻找一个真实的采访马斯克的视频，再使用AI工具将他的声音替换，并利用口型同步技术编辑马斯克的口型，让视频看起来更加真实。对于普通人来说，这种以假乱真的视频可能是非常难以辨别的。

消息来源: 新浪科技

2 谷歌开放 HeAR AI 模型 API：1 亿条咳嗽声训练，辅助筛查、诊断和监测肺结核

谷歌公司于当地时间 8 月 19 日发布博文，宣布通过 Google Cloud API，目前已经向研究人员开放健康声学表征（Health Acoustic Representations，简称 HeAR）AI 模型。
谷歌表示 HeAR 在各项任务中的表现均由于其它模型，在捕捉健康相关声学数据中的有意义模式方面表现出了卓越的能力。

消息来源: Google Blog

3 美国一市长候选人欲用 ChatGPT 治理城市，遭 OpenAI 封号

据《卫报》报道，美国怀俄明州夏延市的市长候选人维克多・米勒计划在就职后使用一个由 AI 驱动的机器人来管理当地政府，该机器人被称为 Vic（Virtual Integrated Citizen），由 OpenAI 的 ChatGPT 提供支持，号称可以处理大量数据并做出公正的决策。
OpenAI 随后关闭了米勒的账户，最终使得该机器人停止运行。根据 OpenAI 的说法，使用 AI 产品进行竞选违反了其政策。然而有报道称，米勒已经创建了另一个账户并又开发了一个定制的机器人。

消息来源: 卫报

4 中国已成 CNCF 全球第二大开源贡献国，GitHub 用户活跃率全球第一

8 月 21 日，KubeCon + CloudNativeCon + Open Source Summit + AI_dev China 2024 在香港拉开帷幕。CNCF 首席技术官 Chris Aniszczyk 表示，中国在 CNCF 托管的开源项目中贡献了近 100 万代码，稳居全球第二大开源贡献国之位。
GitHub 社区副总裁 Stormy Peters 在演讲中指出，中国的 1100 万开发者在全球开源和 AI 领域占据了重要位置。根据《2024 中国开源发展现状》报告，中国开发者不仅数量位居全球第三，活跃度更是全球第一，展现出极强的技术影响力。

消息来源: IT之家

评论: 我以前看到过一个笑话:有个外国人说， 中国的程序员都很注重隐私，他们都不会用自己的真实IP访问

5 Litespeed Cache 漏洞导致数百万 WordPress 网站暴露在攻击之下

LiteSpeed Cache WordPress 插件中存在一个严重漏洞，攻击者可以通过创建恶意管理员帐户来控制数百万个网站。
该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 (https://nvd.nist.gov/vuln/detail/CVE-2024-28000) )，是由 LiteSpeed Cache 6.3.0.1 及更高版本中的弱哈希校验引起的。安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁，并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。

1
2
3
4
5
6
7
8
9

安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了这个漏洞。LiteSpeed 团队开发了一个补丁，并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。

成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限，通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、向访问者分发恶意软件或窃取用户数据，可以完全接管运行易受攻击的 LiteSpeed Cache 版本的网站。

Patchstack 安全研究员 Rafie Muhammad 周三解释说：“我们能够确定，暴力攻击会迭代安全哈希的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中 - 即使以每秒 3 个请求的相对较低速度运行 - 也能够在几小时到一个星期内以任何给定的用户 ID 访问该网站。 ”

“唯一的先决条件是知道管理员级别用户的 ID 并将其传递到 litespeed_role cookie 中。确定此类用户的难度完全取决于目标站点，并且在许多情况下，使用用户 ID 1 即可成功。”

虽然开发团队已于上周二发布了修复此严重安全漏洞的版本，但WordPress 官方插件库的下载统计数据显示，该插件的下载次数仅为 250 多万次，这意味着超过一半使用该插件的网站可能面临攻击。

消息来源: Bleeping Computer

(下暴雨军训停了出来摸鱼，教室都成水帘洞了)

准备工作

1. 项目需要c++ 20 编译器，需要安装 cmake，libevdev，libudev，libconfig等。

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

   # Debian/Ubuntu sudo apt install build-essential cmake pkg-config libevdev-dev libudev-dev libconfig++-dev libglib2.0-dev # Arch Linux sudo pacman -S base-devel cmake libevdev libconfig systemd-libs glib2 # Fedora sudo dnf install cmake libevdev-devel systemd-devel libconfig-devel gcc-c++ glib2-devel # Gentoo Linux sudo emerge dev-libs/libconfig dev-libs/libevdev dev-libs/glib dev-util/cmake virtual/libudev # Solus sudo eopkg install cmake libevdev-devel libconfig-devel libgudev-devel glib2-devel # openSUSE sudo zypper install cmake libevdev-devel systemd-devel libconfig-devel gcc-c++ libconfig++-devel libudev-devel glib2-devel

2. 克隆仓库

   1	git clone https://github.com/PixlOne/logiops.git

编译安装

1. 构建

   1 2 3 4

   mkdir build cd build cmake -DCMAKE_BUILD_TYPE=Release .. make

2. 安装

   1	sudo make install

3. 配置守护进程

   1	sudo systemctl enable --now logid

4. tip: 出现问题时重启，这可以解决大部分问题

   1	sudo service logid restart

配置文件

配置文件位于/etc/logid.cfg,自己创建一个vim /etc/logid.cfg
此文件的语法解释参见: 语法解释
配置中，每个鼠标按键通过一个cid表示，鼠标按键的cid值参见: CIDs
或是通过debug模式查看。
debug模式:

1
2
3
4

# 先停止服务
sudo service logid stop
# 然后
sudo logid -v

此时以应该能看见下列输出，如果看不见，可以尝试重新连接鼠标到电脑。这样就能知道你鼠标上有什么按键了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

[DEBUG] Ignoring virtual node on /dev/hidraw4
[DEBUG] Ignoring virtual node on /dev/hidraw3
[INFO] Detected receiver at /dev/hidraw0
[DEBUG] Unsupported device /dev/hidraw1 ignored
[DEBUG] Unsupported device /dev/hidraw2 ignored
[DEBUG] Unsupported device /dev/hidraw5 ignored
[INFO] Device found: M720 Triathlon Multi-Device Mouse on /dev/hidraw0:2
[DEBUG] /dev/hidraw0:2 remappable buttons:
[DEBUG] CID  | reprog? | fn key? | mouse key? | gesture support?
[DEBUG] 0x50 |         |         | YES        |
[DEBUG] 0x51 |         |         | YES        |
[DEBUG] 0x52 | YES     |         | YES        | YES
[DEBUG] 0x53 | YES     |         | YES        | YES
[DEBUG] 0x56 | YES     |         | YES        | YES
[DEBUG] 0x5b | YES     |         | YES        | YES
[DEBUG] 0x5d | YES     |         | YES        | YES
[DEBUG] 0xd0 | YES     |         | YES        | YES
[DEBUG] 0xd7 | YES     |         |            | YES

下面是我的配置文件,我用了两三年了,非常好用,如果你用的也是 M720 ,可以参考一下
侧键一(前进按钮/Forward Button/0x56) | 侧键二(返回按钮/Back Button/0x53) | 手势按键(Switch Apps/0xd0) | 滚轮向左(Left Scroll/0x5b) | 滚轮向右(Right Scroll/0x5d)

按键的定义参见: linux/input-event-codes.h

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83

devices: (
{
    name: "M720 Triathlon Multi-Device Mouse";
    buttons: (
        {
            cid: 0x56;
            action =
            {
                type: "Keypress";
                keys: ["KEY_LEFTCTRL","KEY_C"];
            };
        },
        {
            cid: 0x53;
            action =
            {
                type: "Keypress";
                keys: ["KEY_LEFTCTRL","KEY_V"];
            };
        },
        {
            cid: 0x5b;
            action =
            {
                type: "Keypress";
                keys:["KEY_LEFTCTRL","KEY_LEFTALT","KEY_LEFT"];
            };
        },
        {
            cid: 0x5d;
            action =
            {
                type: "Keypress";
                keys:["KEY_LEFTCTRL","KEY_LEFTALT","KEY_RIGHT"];
            };
        },
        {
            cid: 0xd0;
            action =
            {
                type: "Gestures";
                gestures:(
                {
                    direction:"Up";
                    mode="OnInterval";
                    interval=75;
                    action=
                    {
                        type:"Keypress";
                        keys:["KEY_VOLUMEUP"];
                    }
                },
                {
                    direction:"Down";
                    mode="OnInterval";
                    interval=75;
                    action=
                    {
                        type:"Keypress";
                        keys:["KEY_VOLUMEDOWN"];
                    }
                },
                {
                    direction:"None";
                    mode="OnRelease";
                    action=
                    {
                        type:"Keypress";
                        keys:["KEY_LEFTCTRL","KEY_X"];
                    }
                }
                )
            };
        }
    );
    hiresscroll:
    {
        hires: true;
        invert: false;
        target: false;
    };
}
);

我的配置文件解释: 按侧键一复制,侧键而粘贴,手势按键剪切,手势按键向上音量加,手势按键向下音量减
注意: 如果你使用的屏幕DPI非常高，不是分辨率，是DPI。启用了高分辨率滚轮会导致滚轮速度非常块，可以关闭调整回正常的速度
(Windows和Linux上统一的复制和粘贴的快捷键是Ctrl+Insert和Shift+Insert，这个快捷键不区分图形软件和命令行软件)
tips:

• insert(KEY_INSERT)
• 左shift(KEY_LEFTSHIFT)
• 左ctrl(KEY_LEFTCTRL)
• 左alt(KEY_LEFTALT)
• 左方向键(KEY_LEFT)
• 右方向键(KEY_RIGHT)

参考资料

logiops，在 Linux下设置罗技鼠标的按键和手势
logiops
linux/input-event-codes.h

1 Windows 曝严重安全漏洞，攻击者可零点击远程入侵设备

此漏洞被编号为 CVE-2024-38063 (https://www.cve.org/CVERecord?id=CVE-2024-38063)，是一个严重漏洞，评分为9.8。它存在于 Windows 的 TCP/IP 网络堆栈中，是一个严重的远程代码执行漏洞。未经身份验证的攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包，触发漏洞并实现远程代码执行。
攻击者无需任何用户交互即可利用漏洞，入侵系统并获取最高权限。利用难度低，攻击者可以通过批量扫描互联网，寻找存在漏洞的主机。攻击者无需以用户身份进行身份验证。不需要访问受害者计算机上的任何设置或文件。受害者设备用户不需要进行任何交互操作，无需点击链接、加载图像或执行文件。
强烈建议用户立即更新系统至最新版本。微软正在发布相关补丁以修复此漏洞。如果目标计算机上禁用 IPv6，系统不会受到影响。 大多数情况下，用户获取到的 IPv6 地址为公网地址，因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性的入侵。

消息来源: LoopDNS资讯 ，微软

研究员：Windows 系统防火墙无法阻止 IPv6 远程代码执行漏洞

根据赛博昆仑实验室研究员Wei透露的部分消息，攻击者构造的IPv6数据包在到达防火墙进行数据处理之前就可能被触发，因此仅通过开启系统的IPv6防火墙并不能有效阻止攻击。
结合该漏洞的特性，这进一步验证了之前的推测，即该漏洞可以用于在内网中进行横向攻击，特别是通过内网IPv6地址实施攻击。由于部分场景下的内网设备长期无法进行系统更新，该漏洞对这些没有网络隔离且长期无法更新系统的环境构成了更大的威胁。

消息来源: XiaoWei’X ，LoopDNS
ere-data-theft-vulnerability-ryzen-1000-2000-and-3000-will-not-get-patched-among-others)

2 CrowdStrike 因全球 IT 中断而获得“最史诗级失败”奖

当地时间8月10日，在其软件更新引发全球 IT 崩溃的几周后，CrowdStrike 并没有回避公众的关注。事实上，该公司总裁迈克尔·森托纳斯甚至登上被称为全球“安全界奥斯卡”的 Pwnie Awards 大奖的舞台，领取了“最史诗级失败”奖。颁奖典礼在 Def Con 黑客大会上举行。森托纳斯获奖感言的视频已在网上分享。与那些愿意给予 CrowdStrike 第二次机会的会议参与者类似，颁奖嘉宾听起来也很热情，并且感谢森托纳斯到场承认公司的错误。森托纳斯表示，他将把奖杯带回 CrowdStrike 总部并将其摆放在显眼地方。

消息来源: Techcrunch

3 五成求职者使用人工智能生成简历

约有50%的求职者正在使用人工智能撰写简历、求职信和完成评估，在本已紧张的劳动力市场上，低质量的求职简历令雇主和招聘单位不堪负荷。招聘平台Applied CEO孙达拉姆表示，人工智能驱动应用“大量涌现”导致每个职位的求职者数量增加了一倍多。“我们确实看到了数量增加但质量下降的情况，这意味着更难筛选。”许多大型雇主对使用人工智能持零容忍态度，德勤、安永、普华永道和毕马威警告毕业生不要在申请中使用人工智能。人力资源公司Beamery对2500名英国员工的调查，约有46%的求职者正在使用人工智能来搜索和申请职位。创意平台Canva对5000名全球求职者的调查显示，其中45%的人曾使用人工智能来制作或改进简历。

消息来源: 英国金融时报

4 谷歌的 AI 搜索让网站面临严峻选择：共享数据或死亡

谷歌现在在搜索页面顶部显示基于人工智能的便捷答案，这意味着用户可能永远不会点击进入那些为这些结果提供数据的网站。但许多网站所有者表示，他们无法承受阻止谷歌人工智能总结他们的内容的后果。据出版商称，这是因为谷歌筛选网络内容以得出人工智能答案的工具与跟踪网页以提供搜索结果的工具是同一个。像网站封锁谷歌的人工智能竞争对手那样封锁谷歌也会妨碍网站在网上被发现的能力。对于出版商来说，这种困境尤其严重，他们面临着一个选择：是将自己的内容提供给人工智能模型使用，而这可能会使他们的网站过时；还是从谷歌搜索这个最大的流量来源上消失。此外，人工智能搜索周四扩展到另外六个国家 (印度、日本、墨西哥、印度尼西亚、巴西和英国)。

消息来源: 彭博社、谷歌博客

5 Geekbench AI 性能基准测试工具发布

流行的基准测试实用程序 Geekbench 推出了新的跨平台工具，用于评估设备在人工智能繁重工作负载下的性能。Geekbench AI 测量设备的 CPU、GPU 和 NPU，以确定其处理机器学习应用程序的能力。为了探索不同的硬件如何响应不同的 AI 相关任务，该工具根据准确性和速度来评估性能，并支持不同的框架，包括 ONNX、CoreML、TensorFlow Lite 和 OpenVINO。Geekbench AI 提供三种评分：全精度、半精度和量化。

消息来源: The Verge、下载测试工具

6 微软在 Windows 11 中取消了 FAT32 分区容量的 32GB 限制

微软今天在最新的 Windows 11 Canary 版本中取消了 FAT32 分区的 32GB 大小限制，现在允许的最大大小为 2TB。微软工程师在开发 Windows NT (Windows 2000) 时决定了此人为限制，对于当时常见的 16MB 容量的移动储存容器完全足够。但如果是在其他操作系统上或通过其他方法格式化的，Windows 系统仍可以读取更大的 FAT32 文件系统。
微软宣布，这一变化将在 Canary 频道中的 Windows 11 Insider Preview Build 27686 中引入，并在稍候推送至稳定版。但是，这一变化仅适用于format 指令，基于图形界面的 Windows 磁盘格式化工具对 FAT32 文件系统仍然具有相同的人为 32GB 大小限制。

消息来源: Bleeping Computer，微软博客

1 马斯克：已为第二位人类患者成功植入脑机芯片

马斯克周五透露，其脑机接口公司Neuralink成功将第二颗脑机接口芯片植入一名人类患者体内。马斯克说：“我不想太早下结论，但第二颗植入物似乎进展得非常顺利。信号很强，电极也很多，工作得非常好”。¹
此外，马斯克在X上表示，特斯拉得州超级工厂的超级计算集群被命名为“Cortex”，并指出其刚刚完成了新设施的演练。“Cortex”拥有约10万颗英伟达H100和H200芯片，用于训练完全自动驾驶(FSD)和人形机器人Optimus。²

消息来源: 界面新闻、马斯克 ¹、马斯克 ²

2 Microsoft Dynamics 365 正向科技行业发起利用AI监控员工的倡议

根据奥地利非营利研究组织 Cracked Labs 的一项调查报告显示，以Microsoft Dynamics 365为首的服务软件允许管理人员通过智能手机APP监控技术人员和远程工作者的工作活动、时间、地点，并收集许多其他工作隐私数据。
除微软外，包括甲骨文、SAP、Salesforce、IFS（瑞典）、Nomadia（法国）、OverIT（意大利）、Praxedo（法国）、ServiceMax（美国）和 ServiceNow（美国）等公司也在列。这些监控大大削弱了员工自身的工作自主权工作目标感，同时也加大了工作压力。但在微软官方看来，这类软件却能有效促使员工更积极高效地完成工作与达成绩效。

消息来源: The Register｜PDF完整调查报告

3 OPENAI 确认正在研究 ChatGPT 文本水印

人工智能公司 OpenAI 的团队已经开发出一种文本水印方法，并会在研究替代方案时继续考虑这种方法。虽然它在抵御例如释义等局部篡改方面具有很高的准确性，甚至很有效，但对全局篡改的防御能力较弱；例如使用翻译系统，用另一个生成模型改写，或者要求模型在每个单词之间插入一个特殊字符，然后删除该字符，这使得不良行为者可以轻松规避。以及可能对非英语人士等群体造成不成比例的影响。该公司正在讨论是否真正发布该工具。OpenAI 去年关闭了其之前的 AI 文本检测器，理由是“准确率低”。
更：OpenAI 不会给 ChatGPT 文本添加水印，因为其用户可能会暴露

消息来源: Techcrunch

4 阿里团队推出视频 AI 生成框架 Tora：画圈操控物体运动轨迹

Tora 无缝契合 DiT 设计，支持制作最长 204 帧、720P 分辨率的视频，可以精确控制不同持续时间、宽高比和分辨率的视频内容。大量实验证明，Tora 在实现高运动保真度方面表现出色，同时还能细致模拟物理世界的运动。

消息来源: 演示视频 | GitHub

5 谷歌尝试在Chrome中实施网站货币化 当你浏览网站时自动支付小费

谷歌正在构建一项尚未成为 W3C 认可的标准，这项标准用来在网络中实现货币化，也就是允许用户通过小费或者内容奖励用来鼓励内容创作者继续创作优质的内容。
值得注意的是，该技术提供了两个独特功能：小额支付和无需用户交互，当用户设置该网站自动打赏，它才会自动收费。

消息来源: 意向链接

6 1Password发现高危安全漏洞，Mac用户需立即升级到最新版本

知名密码管理器1Password的Mac版本被发现存在一个高危安全漏洞，该漏洞允许恶意软件绕过进程间的通信保护，窃取用户的解锁密钥。
这一安全问题由参与DEFCON黑客大赛的安全研究人员发现，并计划在一次演讲中公开。1Password已经收到通知并及时修复了这一漏洞，敦促用户升级到8.10.38或之后的版本以确保安全。
该漏洞被标识为CVE-2024-42219，目前没有证据表明它已被恶意黑客利用，更多关于该漏洞的细节将在DEFCON大会上演讲后公布。

消息来源: 蓝点网

7 0.0.0.0 Day漏洞曝光，谷歌、Safari、火狐等主流浏览器面临威胁

近日，一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响，该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时，该漏洞还允许恶意行为者访问私人网络（特别是 “本地主机”）中设备上存储的文件、信息、凭证和其他敏感数据。

消息来源: freebuf

1 黑客或正利用 AI 技术窥探电脑屏幕，新模型可利用 HDMI 线盗取信息

来自乌拉圭的一组研究人员近日发现了一种黑客利用人工智能窥探显示器显示内容的方法，可以通过拦截电脑和显示器之间电缆泄漏的电磁辐射获取信息。
窥探是通过拦截电脑 HDMI 电缆泄漏的电磁辐射来实现的。乌拉圭共和国大学的Federico Larroc表示，他和他的团队已经开发出一种人工智能模型，可以从几米远的泄露信号中重建数字信号。
利用与 Larroc团队开发的方法类似的方法，黑客可以在用户输入加密信息、银行登录信息或其他个人信息时窥探屏幕。该团队说，黑客甚至可以站在大楼外用天线拦截信号。他们还可以安放一个小型设备，捕捉信号，然后传输数据或让人通过物理方式恢复数据。
令人担忧的是，这种攻击越来越成功。以前最先进的攻击方法比 Larroca 团队设计的方法容易出错 60%。

消息来源: 品玩

2 D-Wave量子退火：第二种公钥密码攻击算法

长期以来，Shor算法被认为是攻击电子政务和电子商务典型公钥密码RSA的唯一有效量子算法，但是近年来Nature和Science文章均认为由于量子器件和基础理论等进展缓慢，实用的通用量子计算机还很遥远。需要探索新的量子计算方法。
在国家自然科学基金重点项目支持下，上海大学特种光纤与光接入网重点实验室王潮课题组将目光投向D-Wave专用量子计算机公钥密码RSA破译（大整数素因子分解）。尽管D-Wave最初的应用是洛克希德马丁公司战机飞控软件测试、谷歌图像识别，与密码无关。上海大学课题组在D-Wave量子计算软件环境验证了D-Wave原理量子退火通过量子隧穿效应对破译RSA公钥密码的可行性，还发现了D-Wave比通用量子计算机更具现实攻击力。目前，Google提出的72量子比特芯片狐尾松（“Bristlecone”）由于纠错码等问题尚不能形成密码破译能力。
这项研究对抗量子密码也有启示，需要考虑Shor之外的新的量子攻击方法。

消息来源: Nature

3 W3C(万维网联盟)称第三方cookies时代该结束了

在Google决定继续支持第三方cookies之后，W3C明确表示了他们的担忧，并重申了他们的立场，强调必须从网络中移除第三方cookies。这些cookies不仅侵犯了用户的隐私，还被用于不可见的跟踪和监视，甚至可能用于政治信息的微定位，对社会造成不利影响。W3C TAG作为网络架构的守护者，一直在与Chrome隐私沙盒团队合作，寻找替代第三方cookies的解决方案。Google的最新决定不仅出人意料，也可能阻碍跨浏览器对隐私友好型替代方案的开发。W3C期望Google重新考虑其决定，并继续朝着淘汰第三方cookies的方向努力，以促进网络环境的隐私保护。

消息来源: W3C博客

早上坐飞机到咸阳,然后打车到火车站,出租车司机很热情,跟我们说:

• 咸阳没有好玩的，都被西安抢走了
• 除了长恨歌没有值得看的
• 汇通面是咸阳特色
• 岐山民俗村二三十一个人给上一堆菜

进站发现咸阳站里面没饭店，又从咸阳站里面出来吃了碗粉。
然后坐火车去了蔡家坡站
到了后住的维也纳国际酒店，不知道这么个偏地方为啥会有这么大一个酒店，一共15层楼

晚上溜达到旁边吃了个上面出租车司机说的岐山民俗村的菜，但是感觉可能因为是村子里做的，不是很好吃，而且也不是很新鲜，这边的醋味道很怪，不怎么好吃(因人而异)。
有一个很好玩的点: 那边一条路上很多类似的小店,名字都是 岐山臊子面 什么的,每家门口都挂着一个什么厨艺比赛的奖牌,全是金奖,一等奖,特等奖之类的
吃完饭去了凤鸣湖溜达，来酒店的时候就就看到了，送我们去的司机说岐山百分之九十的醋都是勾兑的，不要买

凤鸣湖就是个大荷花池，荷花开的时候还挺好看的，适合遛弯。

网络

WIFI好像限速 15M ,忘记看是什么网络了

第二天 周原

早上在酒店吃的饭，自助餐

吃完饭歇了会打车去周原，去的时候可能因为刚开门，整个景区就我们两个游客（过了一会游客稍微多了一些，但也不是很多）

在下面逛了一会后下雨了，不过好在就下了一下，很快就变成小雨了，我们坐索道先去了周公庙，不好玩，有几个烧香的地方。

然后接着坐索道上凤凰山，这座山挺大的，上去之后看着还是挺壮观的。
不过服务员说这旁边有部队，不能飞无人机，报备也不通过，理由是“与其他飞行活动有冲突”。
然后会酒店吃了午饭，上菜很慢，不过有一道炸茄子还挺好吃的，因为上菜慢还给我们的退房时间延迟了半小时。
然后去旁边的汽车站做大巴去宝鸡，大概100分钟左右，俩人40块钱左右。
我们做到了宝鸡汽车西站（导航上可能显示叫宝鸡汽车站），我们的酒店就在旁边，叫木兰智慧酒店，酒店设计很怪异，而且房间也比较小。

网络

看起来应该是限速 40M
电信宽带,普通家宽,带公网IP

第三天 西府老街 陈仓老街

上午在酒店吃早饭，也是自助餐，不过种类比较少。

然后去了西府老街，因为是周一早上去，所以几乎没啥人。
中午人稍微多了一些，吃的都不错，午饭在小吃街解决了。

下午去了陈仓老街，这里晚上比较好看，不过我们去早了又不想等到晚上，就在小吃街吃了点东西然后溜达了一下就走了。

这里的当当书店挺好玩的，这玩意都卖（书店有三层，建筑设计很有意思）

第四天 青铜器博物馆

上午去的青铜器博物馆,下雨了,很无聊,建议别去,浪费时间
司机跟我们推荐的宝鸡饭店:

• 毛家饭店（红烧肉,不过时间有限没去吃,据司机说非常好吃）
• 令氏家外家岐山面(在美团上买套餐,味道确实不错)

中午吃完饭后坐高铁到了西安，到酒店（美豪丽致酒店大唐不夜城店,如果不去大唐不夜城的话非常不建议住这里,交通极其不方便）大概是五点左右，吃了酒店的下午茶（毛都没有）。
晚上在酒店旁边吃了一家很难吃的什么韩国石锅(就在酒店旁边,千万不要去)。

网络

看起来应该是限速 30M 左右,新华三方案,不过酒店部分 AP 存在掉线问题
电信宽带,普通家宽,带公网IP

第五天 兵马俑 秦始皇陵

上午在酒店吃的早饭，种类还挺多的。

然后十一点多打车去兵马俑，那里人超级多，先去的二号坑，人比较少，然后去的三号和一号坑，人特别多，所以基本没怎么进去。
在来之前我就认为兵马俑只有傻逼才会去,在被强行拉过去逛了一圈后我更坚定了这个想法,同时我还认识到了设计兵马俑景区的人也是傻逼,极其不合理,看起来跟压根不打算接待巨量游客一样,景区里面问题还不太大,问题大的是外面,兵马俑景区就建在村子里,路窄一直堵车,三四百米的路得走十多分钟
然后因为同行人长辈封建迷信,被迫跟着来到秦始皇陵
秦始皇陵的摆渡车做一圈要一两个小时,而且只要坐了就必须坐完,不能只看一部分

第六天 茂陵 乾陵

上午在酒店吃了早饭，然后做包的商务车去咸阳.

开了大概一个小时到了茂陵，茂陵不大，对面还有个汉武帝博物馆.



然后去乾陵附近吃了午饭，然后去乾陵逛了一圈，爬了山,爬到快顶上的时候有个戴着帽子的老头,一次20块讲解一段,讲的还是很不错的.

第七天 永兴坊

上午下雨了，哪都没去。

下午五点多去了永兴坊，吃了一家羊肉泡馍，结果那家的羊肉都已经变质了。
不过永兴坊有一块地方挂满了祈福牌,非常壮观

第八天 壶口瀑布

报了个团去壶口瀑布,两个人(一大人一成人)总共花了六七百左右
早上5点起床,有车来接，不过只接三环以内的,而我们住的酒店刚好在三环以外,所以还得打车去三环以内的地方
大巴六点十分发车，大概十点多到了壶口瀑布。
比较建议坐在大巴车的右边,看到的东西更多一些,那个导游挺有意思的,也很热情
壶口瀑布只有9-11月是丰水期,其它时间去的话可能没有想象中的那么壮观






到了景区以后就是自由活动,不过还可以看一个纪录片,不过那样时间有点紧,也可以不看,反正我没去看,直接坐摆渡车去户口瀑布
中午一车人坐了三桌吃饭，有点特色，饭店旁边有窑洞，还有表演。
下午去的黄帝陵，就一座山，山上跟永兴坊那里一样有一堆许愿牌子
最后因为高速堵车了,晚上十一点左右才到宾馆。

航拍

• 最好先进景区参观一下壶口瀑布顺便熟悉观察一下环境然后出检票口再飞再飞,壶口瀑布的壮观确实无法用影像来表述,建议在壶口瀑布的检票口所在的那个大门外面起飞降落,因为外面没有保安,如果被保安看到会不让飞,壶口瀑布有直升机项目,不过根据新规我的轻型无人机(大疆的消费级无人机都属于轻型无人机)可以在300米真高以下进行融合飞行,UOM的报备也是给过的,我报备了250m,5个小时,不过要是看到有直升机还是躲着比较好
• 可以多换几个角度飞,如果天气好的话可以看到彩虹
• 要注意其它的无人机,我去的那会起码看见了四架无人机

第九天 咸阳

在宾馆里呆了一天,因为第二天早上六点的飞机,所以得提前一天去咸阳

网络

限速 10M ,太抠门了:(
联通商宽,IP 类型为 IDC 机房 IP

第十天 飞机备降

东营下大暴雨,给我们干石家庄去了,结果刚降落石家庄二十多分钟雨就停了

总结

西安这地方很火,但是真的来了体验很差,尤其是交通方面,据送我们的网约车司机和同行的人说:

• 大唐不夜城九点半人最多，打不到车，司机都不愿意接单，晚高峰从五点持续到一点，打车平台甚至会强买强卖,所以司机到了这一块就把网约车软件关掉
• 三公里范围内赛格购物广场(本地人玩的地方)，大唐芙蓉园，大唐不夜城，陕西历史博物馆挤在一起，非常堵，不是暑假也堵
• 风评不好的回民街虽然贵，但是他们有信仰，不会拿吃的害人。
• 如果要去城墙的话可以走永宁门,跟古代进城一样,但是一个人50左右

如果你想要获取更多航拍画面,欢迎看我的天空之城账号
最后,感谢雨云,他们的帆布袋拯救了我的后背(西安那几天下雨,又潮又热,我还忘带挎包了)

1 Crowdstrike 更新导致全球 Windows 大面积蓝屏死机

外媒报道称，许多 Windows 用户在最近的 CrowdStrike 更新后遇到了蓝屏死机 (BSOD) 错误。
该问题似乎很普遍，影响运行不同 CrowdStrike 版本的机器。在社交媒体上，全球不同地区的用户纷纷在抱怨这个突如其来的蓝屏死机错误。
据逆向显示,这次的问题来源于一个野指针.
补充: 网上流传的第一天入职就被开的那哥们的图是假的,头上都没P干净

消息来源: OSCHINA,epcdiy

2 OpenAI 科学家翁荔提出外在幻觉extrinsic hallucination 概念

OpenAI 科学家翁荔近期在Github 上发布文章，提出了一种名为 LLM 外在幻觉（extrinsic hallucination）的全新概念。
翁荔表示，模型输出应基于预训练数据集。然而，考虑到预训练数据集的规模，每一代检索和识别冲突的成本太高。如果我们将预训练数据语料库视为世界知识的代表，那么从本质上讲，我们要努力确保模型输出是真实的，并且可以通过外部世界知识进行验证。同样重要的是，当模型不知道某个事实时，它应该说出来。
翁荔表示，为了避免外在幻觉的出现，研究者应该保证大模型内容符合事实，同时要保证大模型在适当的时候承认不知道答案。

消息来源: 品玩

3 Deepin操作系统适配苹果 M1 项目更新至 RC2 版本

今年随着 deepin V23 beta 进入 RC2 版本，deepin M1 项目今日宣布跟进更新到 RC2 版本。据介绍，本次适配工作不仅限于提升系统环境版本，还顺带更新了一些系统底层组件版本，优化了项目各模块的打包流程并部分添加了定时器，每周构建一次内容以便开发者抢先体验尝鲜。

消息来源: IT之家

4 英伟达宣布全面转向开源GPU内核模块，弃用闭源显卡驱动程序

英伟达宣布将全面转向开源GPU内核模块，后续闭源显卡驱动程序将被弃用。Maxwell、Pascal和Volta等老旧显卡不支持开源GPU内核模块，需继续使用闭源驱动。新显卡将默认使用开源内核模块，提供更强大、功能更齐全的GeForce和Workstation Linux支持。

消息来源: 蓝点网

5 英国公司Spectral Compute推出SCALE工具包，实现CUDA软件在AMD GPU上的无缝运行

英国新创公司Spectral Compute推出了名为“SCALE”的GPGPU编程工具包，成功使英伟达CUDA软件在AMD GPU上无缝运行，挑战了NVIDIA在GPU计算领域的垄断地位。SCALE工具包通过兼容CUDA的工具链，允许开发者在AMD GPU上原生运行CUDA程序，无需依赖英伟达的程序集。
此举旨在消除市场中的排他性限制，促进硬件平台之间的互操作性。SCALE工具包已在多个应用程序中测试，支持AMD的RDNA 3和RDNA 2构架。高通、谷歌和英特尔也在计划打造AI软件平台，提供CUDA的替代方案，进一步挑战英伟达的市场地位。

消息来源: ZEALER

6 Cloudflare 报告 6.8% 的互联网流量是恶意的

近期 Cloudflare 发表了 2024 年度的《State of Application Security Report》报告，称 6.8% 的互联网流量是恶意的，比去年上升了 1 个百分点。
Cloudflare 认为恶意流量的上升与战争和选举有关。多数攻击者是来自俄罗斯的组织如 REvil、KillNet 和 Anonymous Sudan。DDoS 攻击仍然是网络罪犯首选的武器，占到了 37%。DDoS 攻击的复杂度也在提高，去年 8 月的 HTTP/2 Rapid Reset DDoS 攻击峰值流量达到每秒 2.01 亿个请求(RPS)，是此前观察到最高记录的三倍。报告还突出了 API 安全的重要性，六成的动态 Web 流量与 API 相关，它们是攻击者的主要目标。Cloudflare 处理的 HTTP 请求约有 38% 被归为自动机器人流量，它认为可能多达 93% 的机器人是恶意的。

消息来源: Cloudflare

7 Starlink展示了8Gbps的下载速度

spaceX正在测试其Starlink服务的新功能，该功能能够为远离陆地的商业用户提供高达8Gbps的下载速度。SpaceX的Starlink工程副总裁Michael Nicolls在推特上分享了在佛罗里达州杰克逊维尔进行的速度测试，显示Starlink实现了8102Mbps的下载速率。
目前，SpaceX为消费者提供的Starlink设备可提供50Mbps至300Mbps以上的下载速度，而为商业客户提供的设施则配备更大天线，可实现10Gbps的宽带速度。SpaceX还在探索将社区网关技术应用于海军舰船或飞机，可能面向航运公司或政府客户。SpaceX CEO埃隆·马斯克也在推特上表示，Starlink网关终端将很快提供超过8Gbps的上行链路速度。

消息来源: Elon Musk

8 英特尔13/14代酷睿处理器被指存在可能与铜导孔氧化相关的工艺缺陷

近期，有逾200万订阅者的YouTube主播Gamers Nexus（GN）根据收集的信息指出，英特尔第13和14代酷睿处理器可能存在工艺缺陷，该问题可能与铜导孔的氧化有关，影响处理器稳定性。据报道，一位英特尔的大客户拥有超过800万颗13代处理器，包括多个型号，故障率在10%到25%之间。GN提到，虽然高频高压下更可能出现不稳定性问题，但低压低频也不能完全避免。目前，英特尔尚未对此问题发表公开声明，但据GN透露，英特尔正在为OEM厂商提供补偿。

消息来源: Solidot,YouTube

9 中国移动“省间结算”政策，强制丢包

受中国移动“省间结算”政策不可抗力因素影响，自7月16日0时起，广东省内各中国移动网络线路IDC将执行10-15%不等比例的跨省限速，即只有10-15%的业务带宽质量将获得保证，超出部分移动侧将采取包括强制丢包等策略确保限速比例下整体可控。预计自7月16日起广东境内各移动网内IDC业务服务质量将出现显著下降。

消息来源: Nodeseek

10 新型验证码破解工具GPT4o Captcha Bypass问世

有开发者发布了一款名为GPT4o Captcha Bypass的CLI 工具，用于使用 Python 和 Selenium 破解各种类型的验证码，包括拼图、文本、复杂文本和 reCAPTCHA。
GPT4o Captcha Bypass工具通过AI辅助来解决复杂的验证码问题。采用Python编程语言开发，便于扩展和定制。同时利用Selenium框架实现对网页元素的自动化操作，提高测试效率。
该工具还使用 OpenAI GPT-4 来帮助解决验证码问题。

消息来源: 品玩,GitHub

推荐阅读

请持续关注由中国灰产公司主导的 CDN 投毒(中文)

从早前的LNMP、OneinStack到XZ Utils，再到现在的Staticfile、BootCDN；供应链攻击总是让人猝不及防。纵观这些被攻击的项目，往往都是无处不在，经常被大家所使用，但是却并没有给提供者带来什么收入。
跳转链接: 请持续关注由中国灰产公司主导的 CDN 投毒

观前提示

如果连接显示器时出现长时间灰屏,请用适当力度拍打机箱以及显示器,并使劲把插在显卡上的 HDMI线 往里怼一怼

1. 准备工作

1. 下载镜像
   国内用户推荐在 Index of /debian-cd/ | 清华大学开源软件镜像站 下载最新的 Debian 安装镜像,下载时选择 iso-dvd
2. 写入镜像
   使用 rufus 等写盘工具制作启动 U盘
3. 安装系统
   开机后看到提示后按 F10 进入启动项选择,选择你的 启动U盘 ,等待亿会载入引导程序,接着按照引导来设置就好

2. 修复 EFI 启动时的瑕疵

安装 Debian 后，硬盘的 EFI 分区里文件夹 EFI/boot 里默认没有引导文件 bootaa64.efi 和 grubaa64.efi 。因为这是给可移动的介质准备的，比如 U盘 或 光盘 。
这时需要进入 EFI系统 中按照可移动介质的方式引导硬盘里的 Debian.

1. 进入 EFI系统
   重启后看到提示后按 F10 进入启动项选择,选择 EFI Shell ,进入后 1秒 内按 Esc键 进入 EFI Shell
2. 复制 EFI 引导文件
   复制 EFI/boot/debian 里的 shimaa64.efi 和 grubaa64.efi 到 EFI/boot。重命名 EFI/boot/shimaa64.efi 为 EFI/boot/bootaa64.efi。

   1 2	cp EFI/debian/shimaa64.efi EFI/boot/bootaa64.efi #复制 EFI/boot/debian 里的 shimaa64.efi 到 EFI/boot ,重命名为 EFI/boot/bootaa64.efi cp EFI/debian/grubaa64.efi EFI/boot/grubaa64.efi #复制 EFI/boot/debian 里的 grubaa64.efi 到 EFI/boot

3. 将当前用户添加到 sudoer

1. 获取 /etc/sudoers 文件的写权限(需要切换到ROOT账户)

   1	chmod u+w /etc/sudoers

2. 编辑配置文件

   1	nano /etc/sudoers

3. 在 % sudo ALL = (ALL:ALL) ALL 这一行下边加入自己的用户名，比如 user。

   1 2	% sudo ALL = (ALL:ALL) ALL user ALL=(ALL:ALL) ALL

4. 保存退出。
5. 修改 /etc/sudoers 文件属性为只读。这时就可以使用 sudo 命令了。

   1	chmod -w /etc/sudoers

4. 更换 银河麒麟 内核

Debian 的内核没有集成飞腾的网卡、声卡、exFAT…… 等驱动。因此非常有必要安装带驱动的内核，这里可以使用银河麒麟的内核。
内核文件可以从安装光盘或安装的好本地操作系统中复制出来，也可以从软件仓库下载。
软件仓库: http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/l/linux/
内核文件:

• linux-image-5.4.18-85-generic_5.4.18-85.74_arm64.deb
• linux-headers-5.4.18-85_5.4.18-85.74_all.deb
• linux-headers-5.4.18-85-generic_5.4.18-85.74_arm64.deb
• linux-modules-5.4.18-85-generic_5.4.18-85.74_arm64.deb
• linux-modules-extra-5.4.18-85-generic_5.4.18-85.74_arm64.deb
  内核固件仓库: http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/l/linux-firmware/
  内核固件:
• linux-firmware_1.205kylin1_all.deb
  安装新内核:

  1	sudo dpkg -i linux*.deb

GRUB-Customizer

1. 下载必要的依赖:

• libssl3
• libhd21
• hwinfo

2. 下载 GRUB-Customizer 软件包: https://packages.debian.org/zh-cn/bookworm/arm64/grub-customizer/download
3. 安装依赖和 GRUB-Customizer

   1 2 3 4

   sudo dpkg -i linbssl3*.deb sudo dpkg -i libhd21*.deb sudo dpkg -i hwinfo*.deb sudo dpkg -i grub*.deb

4. 启动 GRUB-Customizer

   1	sudo grub-customizer

5. 切换标签到 “常规设置”，选择银河麒麟的内核（比如 5.4.18-85）为默认项。
6. 保存，退出.

5. GRUB 文件默认设置

1. 进入系统后，要编辑一个文件。

   1	nano /etc/default/grub

2. 在选项 GRUB_CMDLINE_LINUX_DEFAULT 中加入参数 console=tty1,这样就可以避免内核升级后将启动选项覆盖掉的问题了.

   1	GRUB_CMDLINE_LINUX_DEFAULT="quiet console=tty1"

3. 重新生成 grub.cfg 文件

   1	grub-mkconfig -o /boot/grub/grub.cfg

参考资料

UEFI 主板手动设置硬盘的引导启动
Debian 的安装（ARM64）

正文

1 绿联私有云NAS存在中间人攻击风险,官方泛域名证书可被下载

绿联私有云NAS的官方域名．ugnas.cloud的泛域名证书存在安全漏洞，允许用户直接下载，包含证书和私钥。这可能导致中间人攻击，影响用户信息安全。用户建议绿联吊销该证书并重新签发。
在视频评论区下,作者表示在之前的体验版中, *.ugnas.com 证书也可以被下载,不过已于 2024/6/25 过期,目前绿联称已吊销受影响的证书
省流：所有绿联云用户共用一个证书和私钥，开创了证书互联、私钥共享的新时代
在与当事人在某个不知名小群中沟通得知,抠搜的绿联并没有送出小礼品

消息来源: BiliBili , 搬砖狐体验馆

2 博通宣布VMware ESXi后续用户界面/支持文档/客户支持不再支持简体中文等语言

6 月底博通旗下虚拟化软件 VMware ESXi 8.0 Update 3 版发布，此次更新博通在支持文档中提到将减少支持本地化语言的数量，后续支持本地化语言只有法语、日语和西班牙语。VMware ESXi 默认情况下是以英语提供的，此前支持还支持简体中文、繁体中文、意大利语、德语、韩语和葡萄牙语 (巴西)，现在这些语音都已经被放弃支持。博通在支持文档中称，后续 VMware ESXi 用户界面、帮助文档和客户支持都仅提供英语版或法语、日语、西班牙语支持，其他语言都将不再支持。

消息来源: 蓝点网

3 众多比特币矿场纷纷转向 AI

过去几个月，主要比特币矿场更换了部分矿机，改用运行和训练 AI 的设备。这些公司认为，相比剧烈波动的加密货币行业，AI 训练能提供更稳定更安全的收入来源。摩根大通报告称，此举受到了股民们的欢迎，14 家比特币公司市值上涨了 22%。比特币挖矿利润丰厚，但波动性巨大，2022 年 Sam Bankman-Fried 和 Do Kwon 等人导致了市场崩溃，很多矿场因此关闭。幸存的矿场在今年重新获得了利润，但因为挖矿回报减半，而币值并没有因此出现大幅上涨，迫使矿场们寻求商业模式多元化，AI 训练成为榜单上的头号目标。AI 公司需要庞大的场地、廉价的能源和基础设施，而这些比特币矿场都有。它们向 AI 公司出租了场地，托管 GPU 和 ASIC 等 AI 训练芯片。

消息来源: Solidot

4 Java之父James Gosling宣布退休

James Gosling，被誉为Java编程语言之父的加拿大计算机科学家，在LinkedIn上宣布了自己退休的消息。他在Sun 公司工作期间主导了Java语言的设计和开发，并因此获得了美国国家工程院外籍院士的荣誉。尽管Java在2023年的GitHub年度报告中被TypeScript超越，但Java的地位依然牢固。Gosling表示，他在亚马逊的7年工作经历非常美好，并期待退休后能够享受更多的个人时间，完成一系列副业。

消息来源: IT之家

5 北约或通过将互联网重新定向到太空来防范海底攻击

北约正在研究如何防止欧洲海域的海底电缆在遭到攻击时无法运行的情况出现。研究人员表示希望当遭到人为破坏或自然灾害时，互联网流量可从海底电缆流畅地切换到卫星系统。
北约目前已经批准了高达433,600美元的拨款用于这个价值2.5百万美元的项目，根据彭博社所见的文件显示，研究机构还提供了实物贡献。该计划的顾问和项目经理Eyup Kuntay Turmus通过电子邮件确认该项目最近已经获得批准，并表示将会“很快”实施。这个尚未公开宣布的计划是在日益加剧的担忧之下推出的，担忧某些国家可能会在军事行动期间破坏、切断或干扰海底电缆，以破坏互联网通信。
根据北约的说法，每天通过海底电缆传输的数据价值约为10万亿美元，几乎所有北约的互联网流量都通过这些电缆传输。因此，北约在过去几个月加大了保护电缆的努力。

消息来源: Slashdot

6 谷歌开放“暗网报告”功能：网罗安全事件、通知用户信息泄露

谷歌公司今天宣布将于本月底向所有谷歌账号用户开放“暗网报告”功能，帮助用户更快了解网络上发生的个人数据泄露事件。
谷歌用户登录账号之后，可以打开“关于你的结果”（Results about you）页面，查找近期信息泄露事件中是否包含你的个人信息。

消息来源: IT之家

7 PCDN玩家为平衡上下行流量导致众多网站流量被盗刷

近期，IT圈发生了一起大规模的流量盗刷事件，许多程序员博主的网站遭到恶意攻击，导致大量流量费损失。攻击者主要来自山西地区，作案时间集中在晚上7点，持续数小时后停止。初步分析，攻击可能与省间结算、PCDN技术滥用有关，攻击者通过刷下载流量来平衡上传/下载比例，避免被运营商发现。

消息来源: 程序员鱼皮

8 宝塔面板在网站404错误页面中添加广告 疑似网站自行设置的错误页被顶替

宝塔面板被发现会在网站的404错误页面中插入广告，替换网站管理员设置的自定义错误页。该广告内容包括链接到宝塔官网，且暂时无法禁用。
蓝点网推测此操作可能在宝塔Nginx防火墙中进行，目前只有部分网站受到影响。
此操作也会影响服务器安全性，攻击者知道网站服务器使用宝塔面板后可以缩小攻击范围，寻找宝塔存在的漏洞展开攻击。

消息来源: 蓝洛水深 | 蓝点网

9 中国工业和信息化部批复多个地区设立新的国际通信业务出入口局

工业和信息化部10日召开国际通信业务出入口局工作座谈会，向中国电信、中国移动、中国联通颁发许可，批复在广西南宁、山东青岛、云南昆明、海南海口设立国际通信业务出入口局。
国际通信出入口局分为国际通信信道出入口、国际通信业务出入口和边境地区国际通信出入口。国际通信信道出入口，是指国内通信传输信道与国际通信传输信道之间的转接点。边境地区国际通信出入口，是指利用国内交换机与境外接壤地区的通信网络开通的国际直达电路。

消息来源: 新华网 ｜ 政府网

10 两部门：将组织选取部分区域开展“网络去NAT”试点 进一步深化IPv6部署应用

工业和信息化部办公厅、中央网信办秘书局发布关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知。基础电信企业要认真摸排NAT44设备部署应用情况并建立NAT44设备信息台账，制定“网络去NAT”工作方案和时间表，有序推进全网NAT44设备使用规模逐步降低。工业和信息化部、中央网信办将组织选取部分区域开展“网络去NAT”试点，到2025年7月底前实现试点区域基础电信企业NAT44设备总容量停止增长，主要移动互联网应用（APP）固网侧IPv6流量占比不低于70%。基础电信企业要增加IPv6互联网专线产品供给，新增互联网专线默认开通IPv6功能。要加快实施家庭网关IPv6地址前缀二次分发功能升级。到2024年底，基础电信企业自有环境固定宽带用户IPv6连通率不低于80%。终端设备制造企业要严格落实无线电发射设备型号核准有关通知要求。各省（区、市）有关部门要推动属地终端设备制造企业加快存量家庭无线路由器IPv6功能升级。
2025年末，全面建成领先的IPv6技术、产业、设施、应用和安全体系，我国IPv6网络规模、用户规模、流量规模位居世界第一位。网络、平台、应用、终端及各行业全面支持IPv6，新增网站及应用、网络及应用基础设施规模部署IPv6单栈，形成创新引领、高效协同的自驱性发展态势。IPv6活跃用户数达到8亿，物联网IPv6连接数达到4亿。移动网络IPv6流量占比达到70%，城域网IPv6流量占比达到20%。县级以上政府网站、国内主要商业网站及移动互联网应用全面支持IPv6。我国成为全球“IPv6＋”技术和产业创新的重要推动力量，网络信息技术自主创新能力显著增强。
之后再用五年左右时间，完成向IPv6单栈的演进过渡，IPv6与经济社会各行业各部门全面深度融合应用。我国成为全球互联网技术创新、产业发展、设施建设、应用服务、安全保障、网络治理等领域的重要力量。

消息来源: 格隆汇

11 OPENAI 提出人工智能“达到人类智能”的五级标准，自认接近第二级

当地时间7月11日，OpenAI 提出了一套衡量人工智能达到并超越人类问题解决能力的五级标准。该公司计划与投资者和公司外部人士分享这套标准，其范围包括从目前可以与人进行语言交互的人工智能 (1级) 到可以完成组织工作的人工智能 (5级)。OpenAI 发言人称，OpenAI 的高管告诉员工，该公司自认为目前处于第一级，但即将达到第二级，公司称之为“推理者” (Reasoners)，其能力不亚于一个受过博士级教育但无法使用任何工具的人类。

消息来源: 界面新闻、彭博社

12 谷歌 DeepMind 正在使用 Gemini 来训练机器人使其变得更聪明

谷歌正在使用 Gemini AI 训练其机器人，以便它们能够更好地导航和完成任务，DeepMind 机器人团队在一篇新的研究论文中解释了如何使用 Gemini 1.5 Pro 的长上下文窗口，让用户可以使用自然语言指令更轻松地与其 RT-2 机器人进行交互。
其工作原理是拍摄指定区域的视频，研究人员使用 Gemini 1.5 Pro 让机器人“观看”视频以了解环境，然后机器人可以根据情况执行命令。 DeepMind 表示其 Gemini 驱动的机器人在超过 50 个任务中的成功率高达 90%。研究人员还发现“初步证据”表明，Gemini 使其机器人能够计划如何执行导航以外的指令，例如，当办公桌上有很多可乐罐的用户询问机器人“是否有他们最喜欢的饮料”时，Gemini 就会知道“机器人应该导航到冰箱，检查是否有可乐，然后返回给用户报告结果。”DeepMind 表示计划进一步调查这些结果。

消息来源: The Verge，arxiv

推荐阅读

1 如何管理 Linux 存储(英文)

本文演示了如何添加和标识存储空间，包括分区和安装文件系统。它还显示了调查驱动器空间利用率所需的命令。
跳转链接-How to Manage Linux Storage

2 为什么 Ruby on Rails 仍然值得您作为开发人员使用(英文)

你可能会做得比用 Ruby on Rails 开始你的全栈生活更糟糕——并不是所有的东西都需要 JavaScript 驱动。
跳转链接-Why Ruby on Rails Is Still Worth Your While as a Developer

在今年6月,因为我爸要去接我哥哥,而我刚好又中考完了,所以就一块去烟台玩一圈

早上7点出发,大概11点左右到了烟大八角湾校区,这是新校区,未来打算建成大学城,不过现在这里毛都没有,附近吃饭的地方就一个美食城,其它大学的楼都建好了,不过就只有两三所学校入驻


因为中午了,所以就在烟大旁边的美食城吃了午饭,我在“异国炒饭”点了份番茄味炒粉，味道只能说是不难吃。（在这之后我就对外面小摊卖的番茄味食品彻底失望了，那真的是一种很阴间的味道，闻起来有一股臭味）

然后开车到了烟台东边的皇冠假日酒店，非常大。

我怎么住进Mysql了?

这海景房还是很不错的,就是这房间照明有点暗

然后再酒店里待到了下午大概六点左右去了“旺角小渔村”吃饭。点了辣炒花蛤，辣炒蛏子，三条黄鱼，五个蒜蓉生蚝，一份锅贴（十个）。花蛤和蛏子不错，就是花蛤里有点沙子，黄鱼…我不会吃鱼，我爸说挺好吃的，生蚝感觉有点不新鲜，锅贴还可以。
吃完结账，三个人总共400多。

网络

酒店用的aruba方案

测速发现限速30Mbps
宽带为联通家宽,线路AS4837,不过访问海外网站很快,明明是普通的4837,难道这就是大城市?

第二天 养马岛

早上在宾馆吃的饭，自助，中餐和西餐都有，味道不错。

养马岛

然后去了养马岛，先去那几匹马的雕塑那溜达了一趟

这个快艇90多一个人,就把人拉出去3分多种就回来了,太没有性价比了


然后开车去大桥那飞了一趟就会宾馆了。
总结:养马岛这地风景确实不错,就是卖臭豆腐的比较多,环岛路是一条单行道,而且到处都是出租电动车的,养马岛上电动车停车场设计的很多,很明显是想让你租它们的电动车

航拍

我去的时候养马岛上没有任何管制,不过在UOM的空域信息中这里并不是适飞空域,所以请不要晚间起飞,起飞找个小角落躲起来,避免被保安看到,目前烟台这种二线城市还没有大规模安装云哨
更多航拍内容请看我的天空之城主页
以及我的Bilibili主页

下午

午饭在宾馆周围吃的黄焖鸡米饭，味道还行。

下午五点多去海边溜达了一趟，然后去烟大旁边吃了个猪排扒饭，味道能吃，就是预制料汁拌饭，蔬菜都很少，和网上买的劣质牛排汁一个味，差评，垃圾店。

这条河叫逛荡河,现在涨潮,海水都留到里面了,退潮的时候一般就干了,有水也是上边下雨的水

第三天 烟大*2

上午在酒店吃完早饭歇了一会，再在酒店对面的一家店吃了碗面(午饭)就开车去烟大八角湾校区了。
到了以后歇到了三点，然后去我哥哥宿舍运东西，一直运到了大概五点，烟大校园里有收毕业生的褥子的,一条好像就3-4元
然后再去美食城吃晚饭，我买了一碗羊杂面，还行。
然后歇了一会去楼下飞无人机拍烟大，不过烟大不能起飞,我飞的时候被保安看见警告了



他们说拍的照不能随便发出来,只能找一些网图替代,虽然赶不上我拍的好,但是还是能看看的

网络

烟大新校区旁边就一家宾馆,亚朵酒店

200M,亚朵好像都是这个速度?
带宽为联通家宽,路由追踪,线路是AS4837

晚上到了宾馆,测个速,联通的家宽,带公网,线路为AS3837


第二天上午去了城边的油菜花地看油菜花

油菜花地旁边有个清真寺
然后烧完纸就回家了

1 CentOS Linux 7 生命周期正式结束，将不会获得更新和安全补丁

6月30日消息，今天 CentOS Linux 7 生命周期终止 (EOL)，使用它的企业或机构必须迁移到新的解决方案，才能继续获得更新和安全补丁。CentOS 7 于2014年正式发布，最新版本为2020年推出的7.9，并于2024年6月30日正式 EOL。此外，与 CentOS 7 同源的红帽企业 Linux 7 (RHEL 7) 也于今日进入 EOM 停止维护阶段，企业可通过 ELS 订阅付费获得额外4年的延长支持。

消息来源: IT之家

2 近 20 年来 OpenSSH 的第一个高危 RCE

Qualys 威胁研究部门 （TRU） 在基于 glibc 的 Linux 系统中的 OpenSSH 服务器 （sshd） 中发现了一个远程未经身份验证的代码执行 （RCE） 漏洞。分配给此漏洞的CVE为CVE-2024-6387。
该漏洞是 OpenSSH 服务器 （sshd） 中的信号处理程序争用条件，允许在基于 glibc 的 Linux 系统上以 root 身份执行未经身份验证的远程代码执行 （RCE）;这带来了重大的安全风险。此争用条件会影响 sshd 的默认配置。
受影响的版本:

1
2

version < 4.4p1
8.5p1 <= version < 9.8p1

如果 sshd 无法更新或重新编译，请在配置文件中将 LoginGraceTime 设置为 0。这会通过用完所有 MaxStartups 连接将 sshd 暴露在拒绝服务中，但它可以防止远程代码执行风险。

消息来源: Qualys Blog

3 知乎故意使用乱码干扰必应/谷歌等爬虫

近期有反馈称使用微软必应搜索和谷歌搜索发现存在不少知乎乱码内容，即搜索结果里知乎内容的标题和正文内容都可能是乱码的，但抓取的正文前面一些段落内容可以正常查看。
这种猜测现在基本已经坐实，因为有网友发现只要用户代理字符串 (UserAgent) 中包含爬虫类关键词例如 spider 和 bot，那么知乎就会返回乱码内容，如果不包含这些关键词则返回正常内容。
值得注意的是百度搜索的爬虫也就是 Baiduspider 也返回乱码内容.
测试中还有个有趣的情况是 OpenAI 的 GPT 爬虫也就是 GPTBot 有时候不会乱码有时候会乱码，不过大多数情况下也都是乱码的，因为 UA 匹配到了关键词 bot 所以返回乱码内容，这不太可能是知乎也允许 OpenAI 抓取内容。
从最开始知乎屏蔽其他搜索引擎只允许百度和搜狗到必应搜索结果里出现乱码内容以及现在的关键词匹配，这些情况基本说明了知乎确实不希望自己的内容被抓取，对知乎来说现有的内容是个巨大的金矿，如果人工智能公司不花钱来买的话那肯定不能提供这些数据，所以接下来可能某个时候就会传出某某公司与知乎达成协议可以获取内容用于 AI 模型训练。

消息来源: 蓝点网

4 bootcdn,staticfile等资源加速CDN遭投毒

据研究人员称，最近通过多个 CDN（即 Polyfill.io、BootCDN、Bootcss 和 Staticfile）进行的大规模供应链攻击影响了 100,000 到数千万个网站，这些攻击已被追踪到一个共同的运营商。
研究人员发现了一个公共 GitHub 存储库，据称 Polyfill.io 运营商不小心暴露了他们的 Cloudflare 密钥。
通过使用这些泄露的 API 密钥（这些密钥仍然处于活动状态），研究人员能够确定所有四个域以及更广泛的供应链攻击背后都有一个共同的运营商。
此消息可以与第9期的第11条联系起来看
目前部分广告拦截插件已将相关域名加入黑名单,涉及的域名包括:

• bootcdn.net
• bootcss.com
• staticfile.net
• staticfile.org
• unionadjs.com
• xhsbpza.com
• union.macoms.la
• newcropc.com

消息来源: bleepingcomputer

5 马斯克：xAI训练Grok-3大模型用了10万块英伟达H100芯片

马斯克表示，训练人工智能聊天机器人需要数据集，而且从现有数据中清除大型语言模型 (LMM) 的工作量很大。xAI 的 Grok-3 用了10万块英伟达 H100 芯片进行训练，相信它会“非常特别”。

消息来源: 马斯克

6 Cloudflare 推出阻止人工智能机器人的工具

云服务提供商 Cloudflare 推出了一款新的免费工具，以防止机器人抓取其平台上托管的网站数据来训练人工智能模型。要启用，只需导航到 Cloudflare 仪表板的“安全性”>“自动程序”，打开“AI 爬虫程序和爬网程序”选项。该公司表示：“客户不希望人工智能机器人访问他们的网站，尤其是那些不诚实的机器人”为了解决规避检测问题，Cloudflare 分析了人工智能机器人和爬虫流量，以微调自动机器人检测模型。除其他因素外，模型还考虑了人工智能机器人是否会通过模仿使用网络浏览器的用户行为来试图逃避检测。

消息来源: TechCrunch、Cloudflare

7 Cloudflare Workers 反向代理存在封号隐患

近日，有数名 Nodeseek 论坛的网友发帖称自己的 CF 账号被封，引发关注。据了解，这些用户被封多数与使用 Workers 反向代理有关。反代其它网站，尤其是知名网站可能会被认为是仿冒欺诈行为。
部分网友认为封号是 Netcraft 投诉引起的。这是一个网络犯罪打击服务，在 Netcraft 的嗅探器发现“欺诈网站”后会自动向 Cloudflare 投诉举报，进而导致封号。
因为反向代理被 Netcraft 投诉封号的情况一直存在。近期，由于中国大陆陆续关停了 Dockerhub 镜像站点，许多人通过 CF 来反向代理 Dockerhub，可能是引发更多误判封号事件的原因之一。OneDrive 和 GitHub 也是最常被反代的服务，同样是封号的重要因素。
7月4日: Cloudflare 承认误删了部分合法帐户，现已采取恢复和补偿措施
Cloudflare 通过邮件告知部分受影响的用户，该公司在打击一组滥用账户时“无意中删除了少数合法帐户”，在发现这个错误后已着手恢复这些账号。
根据 NS 论坛中用户的反馈，一部分被误伤者实际已使用原邮箱重新注册了新号，有人在收到邮件后删除了新账号，使旧账号得以恢复，但原有设置不全。
Cloudflare 表示“将向受影响的付费客户提供帐户信用额度”。如果用户发现帐户存在任何问题，可以通过支持门户 (https://dash.cloudflare.com/?to=/:account/support)提交工单。
近日，一些使用反向代理的用户遭到封号，使人一度怀疑是因为反代触发仿冒欺诈投诉引起的。

消息来源: VPS信号旗播报

安装:

1

npm install hexo-generator-feed --save

使用:
在_config.yml中添加:

1
2
3
4
5

#订阅RSS
feed:
  type: atom
  path: atom.xml
  limit: false

或

1
2
3
4

feed:
  type: rss2
  path: rss.xml
  limit: false

配置含义：

• type: RSS的类型(atom/rss2)
• path: 文件路径，默认是 atom.xml/rss2.xml
• limit: 展示文章的数量,使用 0 或则 false 代表展示全部
• hub: URL of the PubSubHubbub hubs (如果使用不到可以为空)
• content: （可选）设置 true 可以在 RSS 文件中包含文章全部内容，默认：false
• content_limit: （可选）摘要中使用的帖子内容的默认长度。 仅在内容设置为false且未显示自定义帖子描述时才使用。
• content_limit_delim: （可选）如果content_limit用于缩短post内容，则仅在此分隔符的最后一次出现时进行剪切，然后才达到字符限制。默认不使用。
• icon: （可选）自定义订阅图标，默认设置为主配置中指定的图标。
• order_by: 订阅内容的顺序。 (默认: -date)

hexo-generator-sitemap – sitemap

安装:

1

npm install hexo-generator-sitemap --save

使用:
在_config.yml中添加:

1
2
3
4
5
6
7
8
9

menu:
  home: / || home
  #about: /about/ || user
  tags: /tags/ || tags
  categories: /categories/ || th
  archives: /archives/ || archive
  #schedule: /schedule/ || calendar
  sitemap: /sitemap.xml || sitemap
  #commonweal: /404/ || heartbeat

hexo-deployer-git

详见 推送Hexo至自建gitea仓库中 - mei.lv

测试CIDR: 154.40.45.0/24

无聊的测试数据

线路:

测速

1
2
3
4
5
6

ID    网络服务提供商       测速服务器位置   上传/Mbps   下载/Mbps   延迟/ms
59386 中国电信             中国浙江杭州   　↑ 29.04     ↓ 30.35     71.45   
17145 中国电信５Ｇ         中国安徽合肥   　↑ 28.43     ↓ 28.54     73.74   
5396  中国电信５Ｇ         中国江苏苏州   　↑ 28.07     ↓ 30.42     65.15   
45170 中国联通             中国江苏无锡   　↑ 28.51     ↓ 29.15     96.96   
35527 中国广电             中国四川成都   　↑ 28.66     ↓ 28.01     128.95  

网络波动图

性能测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

Geekbench 5 测试结果

系统信息
  Operating System              Debian GNU/Linux 12 (bookworm)
  Kernel                        Linux 6.1.0-10-amd64 x86_64
  Model                         QEMU Standard PC (i440FX + PIIX, 1996)
  Motherboard                   N/A
  BIOS                          SeaBIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org

处理器信息
  Name                          Intel(R) Xeon(R) Gold 6133 CPU @ 2.50GHz
  Topology                      1 Processor, 4 Cores
  Identifier                    GenuineIntel Family 6 Model 85 Stepping 4
  Base Frequency                2.49 GHz
  L1 Instruction Cache          32.0 KB x 4
  L1 Data Cache                 32.0 KB x 4
  L2 Cache                      4.00 MB x 4
  L3 Cache                      16.0 MB

内存信息
  Size                          3.82 GB

单核测试分数：584
多核测试分数：2200
详细结果链接：https://browser.geekbench.com/v5/cpu/22637138
可供参考链接：https://browser.geekbench.com/search?k=v5_cpu&q=Intel%20Xeon%20Gold%206133

协议声明
经历多次 AI 洗稿后，此文章许可协议改为 CC-BY-NC-ND

速查表格

如果你不想听我瞎叭叭,可以直接使用速查表格,如果你想了解一些详情,可以往下翻翻

详情

商业机密 /doge

白山云

介绍
www.gov.cn 用的就是白山云,不过白山云只为企业提供加速服务
域名列表:

• qingcdn.com
• bsclink.cn
• trpcdn.net

阿里云

域名列表:
kunlun**.com: 专为国内提供加速服务
cdngslb.com: 提供全球加速服务
inittt.com: 此域名为 ESA 服务所使用的域名，我看了一下阿里云的文档，ESA 是原来的 DCDN 升级后改名得来的
ESA 与腾讯云的 EdgeOne 一样，都很像 Cloudflare 的产品逻辑，整合自己所有的云产品，给客户提供很简单易懂的向外提供服务的方式
init**.com: ESA全球加速,阿里云注册了一堆这种格式的域名，也不知道用没用
aliyunddos10**.com: 阿里云DDOS防御的 CNAME 域名,从 aliyunddos1000.com　注册到了 aliyunddos1032.com

星极世纪

地址: waf.pro
介绍
有证，DP严选(DP给他们当过一段时间员工)

明赋云

地址: mingfucloud.com
介绍
知名的123云盘就是他们的东西,明赋云的CDN几乎算业内最低价,0.035元/GB,不过明赋云之前也干过一些不太道德的事
域名列表:

• mingfucdn.com

括彩云

地址: kuocaicdn.com
介绍
价格但比明赋云略贵,不过有免费额度,而且可以通过bug白嫖流量,感觉老板情绪有点激动…
域名列表:

• kuocaidns.com

星域CDN

介绍
知名PCDN网心云的CDN,节点质量参差不齐,导致体验不咋地,典型的例子就是Bilibili的直播,什么牛鬼蛇神都能跑赚钱宝

多吉云

介绍
融合CDN,没有自建节点,不过有一点免费额度
域名列表:

• dogedns.com

Edge one

介绍
腾讯云边缘加速网络,类似于Cloudflare,价格便宜
Edge one 目前国内站与国际站有较大区分，和阿里云一样，edge one 国际站也退出了免费套餐，不过特别的是免费版有大陆加速节点(cdn服务需要海外实名认证,但pages服务不需要实名)
域名列表:

• dnse0.com(全球加速)
• dnse1.com(全球加速)
• dnse2.com(全球加速-国内站)
• dnse3.com(全球不含大陆加速-国内站)
• dnse4.com(用途暂不明确，等待测试)
• dnse5.com(全球不含大陆加速-国际站)
• dnsoe2.com(pages服务-全球)
• dnsoe3.com(pages服务-全球不含大陆)

雨云

介绍
由于上游(白山云)突然发送停止服务告知(上午发告知，下午停止服务),目前在开发新的解决方案(换别的上游)
域名列表:

• raincdn.cn

Cloudflare CN

介绍
Cloudflare与京东云合作的CDN,价格低廉,不过质量不太高,但有消息称Cloudflare已结束与京东云的合作,转为自建节点
域名列表:

• cf-ns.com

𝙌𝙞𝙪𝙙𝙪𝙣 𝘾𝘿𝙉

地址: www.scdn.koxiuqiu.cc(疑似使用代备案服务)
介绍
原来的 Qui CDN
为希望优化大陆访问的个人站长提供公益 CDN
域名列表:

• qiucname.tech
• oicdn.cn(疑似使用代备案服务)

亿速云

介绍
阿里云CDN的代理
域名列表:

• kunlun*.com

天翼云

介绍
中国电信的云服务
域名列表:

• ctdns.cn

方能CDN

介绍
请抵制此CDN品牌，他们深度参与了包括供应链投毒，诈骗，色情网站，钓鱼网站，假冒企业官网，假冒软件，博彩等灰产业务
上条消息来源: 请持续关注由中国灰产公司主导的 CDN 投毒
相关域名：funnull.com
域名列表:

• fn01.vip

已经跑路/停止运营的CDN

奇安信网战卫士

介绍
良心厂商,极少的国内免费CDN,虽然节点有点少,申请有点麻烦.
奇安信网战卫士的免费服务已于2024年5月终止,看来做公益也很烧钱啊
域名列表:

• qianxincdn.com

星穹CDN

地址: domecdn.com
介绍
很便宜的CDN小厂,我们怀疑跑路的原因是站长上了大学后没空了
域名列表:

• cname.fun

特别鸣谢

• @yunsen2025: 疯狂催更以及部分厂商信息(TA的转载: Yunsen‘s blog)

1. 三网回程路由测试

   1	curl https://raw.githubusercontent.com/zhanghanyun/backtrace/main/install.sh -sSf | sh

2. SuperSpeed三网测速脚本（修复版）

   1	bash <(curl -Lso- https://www.infski.com/files/superspeed.sh)

3. Linux-NetSpeed版（合集，包含各类BBR，锐速）

   1 2 3 4 5

   ##不卸载内核版本 wget -O tcpx.sh "https://github.com/ylx2016/Linux-NetSpeed/raw/master/tcpx.sh" && chmod +x tcpx.sh && ./tcpx.sh ##卸载内核版本 wget -O tcp.sh "https://github.com/ylx2016/Linux-NetSpeed/raw/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

4. 一键开启BBR（内核版本大于4.9就可以，大于等于 Debian 9 和 CentOS 7直装）

   1 2 3

   echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf sysctl -p

5. 路由追踪

   1	curl nxtrace.org/nt |bash

dd重装

1. 国内VPS DD脚本（debian11）
   全自动安装默认root密码：MoeClub.org
   如果想要debian10，那么在-d之后把11改成10，-v是位数，32，64位，-p后是密码，默认MoeClub.org

   1	bash <(wget --no-check-certificate -qO- 'https://moeclub.org/attachment/LinuxShell/InstallNET.sh') -d 11 -v 64 -a -p MoeClub.org --mirror 'http://mirrors.ustc.edu.cn/debian/'

2. 萌咖Debian/Ubuntu/CentOS 网络重装一键脚本
   CentOS的密码是：Pwd@CentOS
   其他系统密码是：Pwd@Linux

   1	wget --no-check-certificate -O AutoReinstall.sh https://git.io/AutoReinstall.sh && bash AutoReinstall.sh

3. AWS EC2 DD脚本
   代码里面XX的参数根据自己的自行更换
   ip-addr :IP Address/IP地址
   ip-gate :Gateway /网关
   ip-mask :Netmask /子网掩码
   默认密码为：MoeClub.org

   1	wget --no-check-certificate -qO InstallNET.sh 'https://moeclub.org/attachment/LinuxShell/InstallNET.sh' && chmod a+x InstallNET.sh && bash InstallNET.sh -d 11 -v 64 -a --ip-addr 172.x.x.x --ip-gate 172.26.x.x --ip-mask 255.255.240.0 --mirror 'http://mirror.xtom.com.hk/debian/'

性能测试

1. i-abc / GB5
   专用于服务器的 Geekbench 5 测试。

   1	bash <(curl -sL bash.icu/gb5)

   1	bash <(wget -qO- <https://raw.githubusercontent.com/i-abc/GB5/main/gb5-test.sh>)

   来源: https://github.com/i-abc/gb5

2. memoryCheck
   用于检测VPS内存是否超售的一键脚本，检测范围包括：