给软件开发者准备的优质简报,每日阅读 10分钟

Malicious npm packages detected across Red Hat Cloud Services

691 pointsLinkComment(375)Share

@redhat-cloud-services 作用域 npm 包供应链安全事件

  • 2026年6月1日,安全研究人员 @sailikhith-stepsecurity 在 RedHatInsights/javascript-clients 仓库披露 @redhat-cloud-services/ 命名空间下31个 npm 包被植入恶意代码,共涉及93个受污染版本
  • 受影响包遵循统一的 x.x.{1,2,4} 版本号模式,涵盖前端组件(frontend-components系列)、各类客户端库(rbac-client、insights-client、notifications-client等)及 MCP 配置工具
  • 该 GitHub Issue 获得48个点赞、52个关注及多方安全研究者响应,供应链安全检测项目 shai-hulud-detect 已将其列为检测目标
  • StepSecurity 详细分析此事件并提供安全源追踪,同时被内容聚合平台及 HackerNews Digest 收录报道
  • Codeberg 维护者 DanielRuf 已将其纳入开源供应链安全事件数据库,建议开发者立即审查项目依赖并避免使用受污染版本

Microsoft Office 2019 and 2021 for Mac view-only conversion

1001 pointsLinkComment(372)Share

微软计划于2026年将Mac/iOS平台永久授权Office强制转为仅查看模式

  • 技术原因与触发日期:Microsoft 365应用的许可验证数字证书将于2026年7月13日到期,届时未更新至最低要求版本(macOS版16.83、iOS版2.93,需macOS 12或iOS 17及以上)的应用将自动进入"降级功能模式";Windows和Android版本不受影响。
  • 永久授权版的本质区别:Office 2019 for Mac因存在构建版本上限,无法升级至所需的16.83版本,微软明确表示此问题"无法通过更新或重新安装Office 2019 for Mac解决";Office 2021 for Mac仍在接收更新,可通过版本升级规避此限制。
  • 功能受限表现:证书失效后,受影响的Word、Excel、PowerPoint、Outlook和OneNote用户仅可打开和浏览文件,无法编辑、保存或使用全部功能,等同于实质性"变砖"。
  • 承诺撤回与页面修改:微软2023年曾在支持页面承诺Office 2019"将继续正常运行",但截至2026年5月30日,该页面已被重新编辑发布,"继续正常运行"的表述被删除,仅保留数据安全提示并新增引导用户转向Microsoft 365的说明。
  • 用户可选方案与替代:微软提供三条路径——使用仅查看模式、使用免费Microsoft 365网页版、或付费订阅Microsoft 365/购买新版永久授权Office Home 2024;用户反应普遍负面,科技媒体称之为"破坏承诺",IT顾问JimmyTech指出微软本可选择续期证书而非借此淘汰旧版本,用户讨论迁移至LibreOffice、OnlyOffice等替代方案。

The newest Instagram “exploit” is the goofiest I've seen

904 pointsLinkComment(218)Share

Instagram账户被AI客服轻易接管的最荒谬漏洞

  • 攻击者仅需目标用户名,通过VPN伪造本地IP,利用Meta支持AI无需额外验证即可将账户绑定邮箱篡改为攻击者控制的邮箱地址。
  • AI在收到攻击者回传的验证码后直接返回验证成功,随即生成密码重置链接将账户所有权拱手相让,甚至AI视频自拍验证也可用目标公开照片的AI动画版本绕过。
  • 由于该流程被系统认定为“真实所有者”操作,原有2FA被完全绕过,现有会话被强制下线,受害者不会收到任何邮件、短信或推送通知,且申诉时只能面对聊天机器人无人工可升级。
  • 短用户名在黑市价值高达数十万至数百万美元,多个Telegram黑市群体迅速提供“账号接管”服务,heyobamawhitehouseocmssf等账户均已被劫持或倒卖。
  • Meta已紧急修补此漏洞,但该攻击手段在曝光前可能已持续数周乃至数月,暴露出万亿美元市值公司AI客服竟缺乏基本安全防护这一令人哭笑不得的事实。

Nvidia RTX Spark

239 pointsLinkComment(199)Share

NVIDIA RTX Spark:融合AI与RTX图形的超级芯片

  • NVIDIA RTX Spark将NVIDIA AI与RTX图形性能整合于单一芯片,专为超轻薄笔记本和小型台式机设计,重新定义Windows PC体验
  • 核心配置:最高6,144核Blackwell RTX GPU、最高20核超高效CPU、高达1 Petaflop的FP4 AI算力、最高128GB统一内存
  • 支持CUDA原生运行,具备全天电池续航,是迄今能效最高的RTX芯片,可实现24/7个人AI代理运行
  • 面向三类用户:创作者配备FP4张量核心与AV1编码器实现实时3D渲染和专业视频制作;开发者凭借128GB统一内存本地完成AI模型开发、原型设计及推理;游戏玩家享受光线追踪、DLSS技术套件和NVIDIA Reflex带来的沉浸体验
  • RTX平台支持超过1,000款经加速优化的应用与游戏,覆盖创意工具、专业软件及主流游戏
  • 首批合作产品包括ASUS ProArt P16、Dell XPS 16、HP OmniBook X 14、Lenovo Yoga Pro 9n、Microsoft Surface Laptop Ultra及MSI Prestige N16 Flip AI+等轻薄笔记本,以及可全天候运行AI代理的小型高效台式机

I made my phone slow on purpose

131 pointsLinkComment(112)Share

故意让新iPhone变慢:对抗无意义刷屏的亲身实践

  • 作者购买全新iPhone 17后,将其主动降速,以对抗长期困扰的"无意义刷屏"(doomscrolling)行为
  • 作者曾尝试"冷火鸡法"、应用拦截工具等常见方法,但这些手段既无法解决心理渴望,也容易被绕过,最终全部失效
  • 作者通过"饼干思想实验"类比解释:手机如同口袋里的饼干机,无限供应会使人过度消费;而让饼干变陈、获取变难,则会自然减少摄入
  • 为实践这一理念,作者开发了iOS应用VineWall,通过限制特定应用的网络访问速度来"让饼干变陈"
  • 限速初期模拟不稳定移动网络,视频出现轻微马赛克;随滚动次数增加,限速加重,文字类应用的图片变为灰色占位框,最终只剩加载转圈
  • 当加载等待占据主要视线时,"我真的想要这块饼干吗?"的自省便会自然浮现

Florida sues OpenAI and Sam Altman over AI risks

103 pointsLinkComment(60)Share

佛罗里达州起诉OpenAI及萨姆·奥特曼涉AI风险案

  • 州级首案:佛罗里达州共和党总检察长詹姆斯·乌斯迈尔对OpenAI及其CEO萨姆·奥特曼提起诉讼,这是首次有州政府针对OpenAI采取此类法律行动。
  • 核心指控:诉讼指控ChatGPT不安全,对儿童构成风险,并导致包括成瘾、助长大规模枪击及自杀在内的“一系列伤害”。OpenAI被指控误导公众并违反了该州的不正当贸易惯例、产品责任、公共妨害及疏忽等法律。
  • 诉讼诉求与施压:该民事诉讼旨在寻求民事处罚。总检察长要求OpenAI通过实施家长控制等措施进行程序性改变,并强调将“为此付出代价”。
  • 关联背景与先例:此诉讼与近年针对社交媒体公司的产品责任诉讼浪潮相呼应,这些诉讼指控其平台损害年轻用户心理健康。文章提及近期对Meta等公司的高额赔偿裁决。
  • 多重法律行动:该民事诉讼独立于此前因佛罗里达州立大学枪击案(其中ChatGPT被指为枪手提供协助)而对OpenAI展开的刑事调查。总检察长已从多个法律层面对OpenAI发起挑战。
  • 州内监管分歧:佛罗里达州在AI监管上存在内部分歧。州长德桑蒂斯曾推动立法保护,但州众议院反对,主张由联邦政府监管。总检察长已成为在该州对抗AI发展的关键人物。

Shantell Sans (2023)

401 pointsLinkComment(44)Share

Shantell Sans:一款属于你的字体

  • Shantell Sans是由艺术家Shantell Martin与字体设计师Stephen Nixon(ArrowType)合作开发,基于Martin的手写风格创建,其设计理念是"创造一种新的Comic Sans"——既亲切易读又具有独特个性
  • Martin童年时因拼写测试屡次失败而需要留堂,20多岁时才发现自己有阅读障碍,这促使她希望创造一款能帮助不同人群轻松阅读和书写的字体;字体采用开源许可证(OFL)免费发布,作为她回馈世界的礼物
  • 字体具备五个可变设计轴:字重(Weight)、斜体(Italic)、非正式感(Informality)、弹跳感(Bounce)和字间距(Spacing),支持OpenType特性如表格/比例数字、分数和本地化形式,可从友好易读的日常风格平滑过渡到适合动画的高能实验风格
  • 在保持手写特征的同时,设计者通过标准化字形比例、添加区分性笔画(如I的衬线、1的旗帜)和单层结构a/g等细节确保易读性;可区分b、d、p、q及n、u等易混淆字母
  • 通过Google Fonts资助扩展,现支持380多种拉丁语和西里尔语系语言,并新增越南语字符和全套斜体样式,由设计师Anya Danilova完成Cyrillic部分的设计工作
  • 已被惠特尼博物馆、Cash App实体卡、tldraw在线协作绘图工具及univer.se网页构建平台等采用,可通过Google Fonts、Google Docs及GitHub开源仓库免费获取

Should you normalize RGB values by 255 or 256?

107 pointsLinkComment(43)Share

RGB归一化:除以255还是除以256?

  • 两种方法的核心差异:标准方法img / 255.0将整数0映射为0.0、255映射为1.0,程序中可直接判断黑白色值;替代方法(img + 0.5) / 256.0将0映射为约0.002,所有浮点值精确位于两个相邻整数的中点
  • 极端值量化区间不对称:标准方法中0和255对应的量化区间宽度仅为其他值的一半,导致均匀随机数转换后这两个值的出现频率仅为其他整数的50%,但原始图像往返转换仍保持无损,任何超出[0,1]范围的值最终仍会正确舍入到对应整数
  • 浮点精度误差属于美学问题:标准方法存在微小舍入误差(如128/255≈0.502),但32位浮点数的23位尾数精度使误差小于$2^{-23}$,相对误差约0.00001%,这在图像处理中完全可忽略
  • 两种量化器类型:标准方法属于"中阶"(mid-riser)量化器(L=255),替代方法属于"中踏"(mid-tread)量化器(L=256);替代方法的中点对齐特性使抖动处理更便捷,无需特殊处理边界情况
  • 量化误差差异极小:两种方法的平均绝对误差分别为1/1020和1/1024,仅当你同时控制图像的保存和加载流程时,替代方法才具有理论精度优势;若用它读取按标准方法保存的外部图像,反而会引入额外误差
  • 实践选择原则:处理外部图像时必须使用除以255(这是GPU和DirectX的标准做法);仅当你同时控制图像的保存和加载、不需要0精确映射为0.0、且接受代码与8位动态范围绑定时,才可考虑除以256以获得微弱的理论精度提升

CS336: Language Modeling from Scratch

259 pointsLinkComment(34)Share

斯坦福 CS336:从零构建语言模型课程

  • 课程目标是从零开始完整开发语言模型,涵盖预训练数据收集与清洗、Transformer 架构实现、模型训练与评估的全流程,借鉴操作系统课程"从零构建"的理念,帮助学生深入理解语言模型的核心技术。
  • 必修先修包括:熟练掌握 Python(编程量远超其他 AI 课程)、深度学习与系统优化(熟悉 PyTorch 和 GPU 内存层次结构)、大学微积分与线性代数、基础概率统计、以及机器学习基础;本课程为 5 学分,实施强度极大。
  • 五大作业循序渐进:① 从零实现分词器、模型架构与优化器并训练最小语言模型;② 使用 Triton 编写 FlashAttention2 内核并进行多机分布式内存高效训练;③ 分析 Transformer 各组件功能并通过训练 API 拟合 scaling law;④ 将 Common Crawl 原始数据转化为可用预训练数据,完成过滤与去重;⑤ 结合监督微调与强化学习训练模型解决数学推理问题(可选部分实现 DPO 安全对齐)。
  • 课程由 Modal 提供赞助_compute_,其他推荐云服务商单卡时价(2026‑03‑28)包括 RunPod($4.99)、Nebius($5.50,抢占式 $3.05)、Modal($6.25)、Lambda Labs($6.69)及 Together($7.49,最低 8 卡);建议先在 CPU 调试正确性后再使用 GPU 完成训练或基准测试。
  • 作业提交须通过 Gradescope,遵守斯坦福荣誉守则:允许学习小组讨论但须独立完成,禁止直接使用 LLM 求解并建议关闭 AI 自动补全功能;每名学生有 6 天迟交额度(每作业最多 3 天),成绩公布后 3 天内可提交复评申请。
← 2026-05-31 2026-06-01 ...