安全与隐私
“高危漏洞+数据泄露”密集出现,浏览器安全能力升级。企业应尽快排查依赖、加固配置,并警惕同形异义钓鱼。
- 我们是如何攻破 CodeRabbit 的:从普通 PR 到 RCE,再到百万仓库写入权限:研究者通过外部工具隔离不足拿到生产RCE,窃取密钥、进库、获百万仓库读写。官方已紧急修复。
- Dnsmasq 爆出严重缓存投毒漏洞:披露“SHAR攻击”可用单个特殊字符高效投毒缓存,平均约2.6小时成功。影响广泛,需尽快升级与限权。
- CRLite:Firefox 中的证书吊销检测:Firefox 部署快速、全面且私密的吊销检查,不再暴露用户浏览活动。
- 医疗大麻患者数据因数据库未加密泄露:公开数据库暴露近百万条敏感记录(含社保号与病历),通知后已加固。
- 把单点登录当作奢侈功能的厂商:SSO被捆绑到高价“企业版”,抬高成本、劝退安全最佳实践。
- 高明钓鱼手法:假网站以假乱真:同形异义字符伪装域名诱骗点击。务必核对主域名,尽量直达官网而非点邮件链接。
- 检方起诉涉嫌利用僵尸网络攻击X平台男子:运营“Rapper Bot”自2021年发起37万次攻击,被联邦起诉。
- 谷歌斥资三千万美元和解儿童YouTube数据诉讼:被指违规收集13岁以下儿童数据,支付3000万美元达成和解。
AI 产业与平台
大模型走向产品化与治理,平台加速语音/翻译落地,垂直监管与数据基础设施同步推进。
- Meta再度大刀阔斧调整AI部门:成立“超智能实验室”MSL,设基础模型、研究、产品与基础设施四支团队,由Alexandr Wang领导。
- Meta全球上线AI翻译,首批支持英语和西班牙语创作者:Reels 语音配音跨语种,保留原声线与可选唇形同步。
- OpenAI 推出 ChatGPT Go 计划,印度用户每月不到 5 美元即可体验:低价订阅提升消息上限、图像生成与文件上传,主攻高增长市场。
- Parachute(YC S25)重磅发布:临床AI安全护栏:面向医院的AI治理与合规基础设施,覆盖评估、测试、监控与审计。
- AI 爬虫 Firecrawl 融资一千四百五十万美元,仍在招募代理作为员工:开源爬虫拥有35万开发者用户,盈利中,资金将扩展API与内容分润机制。
- Databricks CEO豪掷10亿美元,剑指AI数据库新蓝海:融资用于Lakebase与Agent Bricks,押注AI代理生成/操作数据库。
- Launch HN:Uplift(YC S25)——为小语种打造的语音模型:聚焦乌尔都语等低资源语言的TTS/ASR,已与可汗学院合作。
- Google Gemini 现已支持朗读你的文档:Docs新增AI音频生成功能,支持多音色与倍速,面向部分Workspace/订阅用户。
开发者工具与技术文章
协同编辑、并发原语、CPU分支预测等核心话题+一批轻量工具更新,偏实用与可玩。
- Positron:数据科学新一代IDE:免费跨平台IDE,等权支持Python/R,提供多会话控制台、数据框浏览、绘图与一键部署等。
- 语义层有多重要?用 DuckDB 快速搭建你的专属方案:用YAML+Python+DuckDB/Ibis搭建轻量语义层,统一指标与权限,示例跑2000万NYC出租车数据。
- CRDT:文本缓冲区:字符唯一ID+树状索引+墓碑机制的协同编辑算法,并给出内存与性能优化。
- Figma 多人协作技术揭秘(2019):借鉴CRDT思想,在中心化架构上做简化,解决排序、撤销/重做与并发冲突。
- 没有 futex,一切都是徒劳:阐释futex是高效并发原语基石,附C实现示例与性能考量。
- 分支预测:CPU为何等不起?:不可预测分支会吞噬编译器优化收益,程序布局与数据模式至关重要。
- D2(文本转图工具)现已支持ASCII渲染:0.7.1加入ASCII输出,适合代码注释与终端查看,Alpha阶段有样式与对齐限制。
- 醉酒主教(2023):OpenSSH用ASCII艺术可视化公钥指纹,直观识别密钥变更。
- 用 Emacs 剪视频,效率翻倍:基于ffmpeg的video-trimmer-mode,比QuickTime更灵活,已开源。
- Show HN:Chroma Cloud——AI 无服务器搜索数据库:示例展示连接、建集合、写入与向量查询的最小用法。
- Show HN:OpenAI/reflect——点亮生活的物理AI助手:无屏交互的硬件AI助手,支持乐鑫设备,可自定义改装。
- Perfect Freehand——手绘流畅,压力感应线条轻松搞定:可调“平滑/渐细/描边”等参数,生成自然手绘笔触。
- Geotoy——3D几何版Shadertoy:上新大批文档与示例,支持注册登录,便于分享作品。
芯片、基础设施与能源
算力与电力两线并进:受限市场的替代芯片、AI电力的长期供给、新中端移动平台发布。
- 传闻Nvidia正研发更强AI芯片,专供中国市场:B30A性能约为B300一半,力图在出口限制下服务中国市场。
- 高通全新骁龙芯片,小幅升级助力千元机:骁龙7s Gen 4性能+7%,带来更高峰值频率与低光视频增强。
- 谷歌官宣核能新布局:与TVA签署先进核反应堆购电协议,为数据中心与AI供电,推动核电商业化落地。
- Aalo Atomics斩获1亿美元融资,打造微型反应堆与数据中心“双子星”:模块化小堆瞄准3美分/度电,目标与天然气/光伏竞争。
大厂、政策与监管
平台合规与监管博弈持续发酵,劳动监管与内容合规成焦点。
- 英国不再强制苹果为用户数据留后门:政府放弃对苹果提出的“后门”要求,隐私与安全取得阶段性平衡。
- 上诉法院裁定NLRB架构违宪,SpaceX迎来胜利:暂停NLRB对SpaceX诉讼,或影响未来劳工案件走向。
- 印度政府拟全面封杀真钱游戏:拟禁运气与技巧类真钱游戏,行业或面临倒闭潮与失业风险。
出行与硬件
电动车走向“更便宜+更高效”,手机产能迁移与“人因”设计回调。
- TechCrunch Mobility:福特的豪赌:投20亿美元改造工厂,2027年推3万美元级电动皮卡,采用一体化压铸与高度自动化。
- 全新日产Leaf依然是美国最便宜的电动车之一:2026款Leaf S Plus含运费约3.15万美元,主打普及化。
- 特斯拉推出350美元转向灯拨杆改装包,弥补Model 3取消实体拨杆:仅适配2月7日后生产的Model 3,回应用户体验反馈。
- 传闻苹果将在印度生产全部四款 iPhone 17:大幅转移产能,减少对中国依赖,预计发布即从印度发货。
谷歌硬件发布前瞻
新一代 Pixel、手表与耳机在即,AI功能将是主角。
- Google 2025新品发布会:Pixel 10、Pixel Watch 4等新品首秀观看指南:活动时间、看点与观看方式一览。
- 十代Pixel发布,Google亲自下场造手机的初心未变:回顾Pixel作为AI与软件载体的定位,从计算摄影到Tensor的设备端AI。
- Made by Google 2025:有哪些新看点:预测Tensor G5、三摄升级、Qi2充电与手表/耳机的续航与传感器提升。
- Made by Google 2025 发布会观看指南:纽约发布会直播入口与时间提醒。
社交与应用更新
平台小功能改善实际体验,校园社交与IM“撤回”落地。
- TikTok上线新功能,助力大学生轻松找同学:校园邮箱验证,强化真实校园关系链。
- Google Messages新增“撤回消息”功能,全员可见删除:支持跨设备“为所有人删除”,减少误发尴尬。
- Notion上线离线模式:可标记离线页面查看与编辑,重连自动同步。
游戏与娱乐
重磅IP新作与改编频出,跨平台联动持续升温。
- 《黑神话:钟馗》——Game Science Studio新作曝光:预告公布,计划登陆PC与主流主机,未定档。
- 《辐射》第二季先导预告发布,定档12月17日:舞台转至拉斯维加斯,加入死亡爪与Mr. House。
- 《印第安纳·琼斯与伟大圆环》即将登陆 Switch 2:2026年发售,首个移植到Switch 2的Xbox游戏。
- 《Kirby Air Riders》11月20日独占登陆Switch 2:经典作品现代化重制,支持16人在线。
- 使命召唤:黑色行动7将于11月14日上线:PC/PlayStation/Xbox同步,首发进Game Pass。
- FromSoft神作《只狼:影逝二度》将改编为动画:动画《只狼:不败》2026年上线Crunchyroll。
科学与创客
以低成本装置与手作实践,探索自然与天空。
- 蜡烛火焰振荡:另类计时器:三支蜡烛自激振荡约9.9Hz,经分频得到1Hz稳定时钟。
- 自制天文望远镜云台:谐波减速机搭配ESP32:从PCB到机械建模的全栈自制赤道仪,成功实现恒星跟踪。
- 韦布望远镜发现天王星新卫星:直径约6英里、近圆轨道的新月亮被确认。