每日科技摘要-12-12-早报

2025年12月12日

Web 与应用安全

React 服务器组件（RSC）在短期内连续曝出高危漏洞，已出现在野扫描与利用；受影响框架（含 Next.js）需立刻升级，配合边界防护与监控。

React Server Components 中的拒绝服务与源代码泄露：披露两项新漏洞：DoS（CVE-2025-55184）与源码泄露（CVE-2025-55183）。建议升级到19.0.2、19.1.3或19.2.2及以上版本。
React2Shell 与相关 RSC 漏洞威胁简报：RSC Flight 协议RCE（CVE-2025-55182）已被扫描与尝试利用，目标涵盖政府与关键信息基础设施。建议启用WAF规则并及时打补丁。
两项全新 RSC 协议漏洞曝光：Next.js App Router 受CVE-2025-55183/55184影响，无绕过方案，必须升级；Pages Router不受影响但建议更新。

隐私与监管动态

政府监控权限、青少年上网限制与AI标识立法同步推进；伪造执法请求与历史泄密材料再次暴露数据获取链条的脆弱。

英国上议院试图禁止16岁以下人群使用VPN：拟禁向儿童提供VPN并要求供应商执法；技术可自建、难监管，或波及Tor等匿名工具。
美国会对扩大窃听权力警告声四起：FISA 702被指正成为国内监控工具，专家呼吁对检索美国人数据引入法院令或让条款失效。
假冒警察的“人肉者”正忽悠科技巨头交出用户隐私数据：黑客伪造紧急执法请求向大厂骗取用户数据，凸显验证流程薄弱。
美国或将要求游客提交过去五年社交媒体记录方可入境：拟扩大入境审查，或延长ESTA流程并引发隐私担忧。
纽约颁布新法：广告必须披露使用 AI 表演者：要求标注AI生成表演者，并规范逝者肖像商业使用。
解读斯诺登文件（上）：曝光XKEYSCORE利用主动入侵监控多国目标，披露多项代号与技术细节，提醒历史泄密仍需系统性复核。

AI 版权与平台博弈

迪士尼一手诉谷歌侵权、一手与OpenAI达成授权与投资合作；内容方转向“起诉+授权”双轨策略，争取在AI时代的版权话语权。

迪士尼向谷歌发出停止侵权函，指控其存在“大规模”版权侵权：指控谷歌AI生成并分发未经授权的迪士尼内容，要求采取防护措施。
迪士尼携手 OpenAI：允许 Sora 生成含其角色的 AI 视频：三年授权与10亿美元投资，200+角色进入Sora与ChatGPT图像功能。
迪士尼与 OpenAI 的交易，正在改写这场 AI 版权之战：从诉讼转向授权合作的拐点，内容公司谋求可控的AI分发与收益模式。

大模型与AI产品

OpenAI、谷歌与内容创作工具密集上新；从通用模型到世界模型与浏览器原生AI，应用形态加速分化。

OpenAI 在“红色警报”备忘录后推出 GPT-5.2 反击 Google：新模型强化代码、推理与多步骤任务，面向企业与开发者生态。
GPT-5.2：OpenAI 进军 Agentic AI 之战的最新一招：定位“日常专业使用”，提供Instant、Thinking、Pro分层。
Google 推出 “Disco”：一款由 Gemini 驱动、可从浏览器标签页一键生成 Web 应用的新工具：将标签页与上下文组合成可迭代的GenTabs应用，实验性上线。
Runway 发布首个 World 模型，并为最新视频模型加入原生音频支持：GWM-1用于世界/机器人/虚拟人模拟，Gen 4.5视频新增原生音频与多镜头长视频。
Cursor 推出面向设计师的 AI 编码工具：Visual Editor以自然语言直接操控界面设计与代码，拉通设计-开发协作。
Google AI 服饰试穿功能升级：一张自拍就能搞定：自拍生成全身数字形象试衣，快速接入搜索/购物场景。

智能汽车与机器人

Rivian大举垂直整合（自研芯片、Lidar、统一智能平台与AI助手），推进“通用免手”与个人L4路线；人形机器人转向工厂落地。

Rivian 押注自动驾驶：自研芯片、搭载激光雷达，还暗示进军 Robotaxi：第三代自动驾驶计算机与激光雷达将随R2上车，目标个人L4与订阅化。
Rivian 将在 2026 年初为其电动车推出 AI 助手：RUI平台与自研大模型支撑车载语音与推理，接入第三方应用。
Rivian 发布自研芯片、R2 激光雷达路线图与通用免手持系统：自研5nm芯片RAP1与ACM3细节、边云一体与数据闭环策略公布。
1X 将把自家“Home”人形机器人送进工厂和仓库：与EQT合作最快提供1万台Neo人形机器人，聚焦工业应用。
福特与SK On 终止美国电池合资项目：资产拆分各自运营，映射EV供应链与需求预期调整。

开发者与工程实践

数据基础设施与隐私工具实用进展，搭配工程文化反思，提示“多写代码≠高质量”，弃用与命名需更务实。

Litestream 虚拟文件系统：在远程备份上直接查询SQLite，LTX增量恢复+索引缓存实现高效PITR与即时读取。
Show HN：Sim——Apache-2.0 许可证的 n8n 替代品：可视化构建与部署AI代理工作流，支持本地/云与向量检索。
Launch HN：BrowserBook（YC F24）——用于确定性浏览器自动化的 IDE：基于Playwright的笔记本式自动化IDE，强化调试与稳定性。
Show HN：本地隐私防火墙——在内容发送给 ChatGPT 前拦截 PII 和敏感信息：浏览器侧本地检测并阻止敏感信息外泄，支持轻量本地模型。
认真地“弃用”吧：弃用警告常被忽视，靠警告驱动迁移效果有限，需设计更可靠的变更路径。
程序员和软件开发者在给工具起名这件事上彻底跑偏了：呼吁回归清晰、描述性的专业命名，降低团队认知负担。
打造顶级质量代码库：AI“机械增产”导致代码臃肿与忽视端到端测试，强调人类审查与价值导向改进。

游戏与分发平台

平台规则变化与分发渠道扩容，云游戏与硬件生态延寿并进。

Fortnite 重返 Google Play 商店：在与谷歌的反垄断纠纷后回归，安卓分发格局迎来调整。
Fortnite 重返 Google 的 Android 应用商店：谷歌遵守禁令推进回归，玩家可直接商店下载。
Comcast 机顶盒即将支持 Amazon Luna 云游戏：覆盖更多客厅设备，叠加本地多人“GameNight”。
还记得 Google Stadia 吗？Steam 终于让这款手柄值得被拯救：Stadia手柄获得Steam/SteamOS正式兼容，使用寿命延长。

气候与能源科技

AI与生物技术进入传统工业与清洁能源场景，既降成本也补监管需求。

Spoor 鸟类监测 AI 软件热度飙升：计算机视觉帮助风电场降低对鸟类影响，准确率达96%，A轮930万美元。
Eclipse Energy 利用微生物把闲置油井变成“制氢工厂”：注入微生物分解残油释放氢气，目标低碳低成本氢（约$0.50/公斤）。

太空与轨道安全

低轨拥堵加剧，“CRASH 时钟”从121天下降至2.8天，碰撞风险显著抬升。

太空“纸牌屋”：频繁上演的巨型星座近距离交汇：提出轨道环境压力量化指标，提示需尽快采取更强避碰与监管措施。

其它值得一看

浏览器内AI与跨端分发继续下沉。

Google 的 Gemini AI 登陆 iPhone 和 iPad 版 Chrome：地址栏一键总结与问答先在美区英文上线，18岁以上可用。
Google 正在打造一款全新实验性浏览器和一种全新的网页应用形式：Chrome团队“Disco”探索基于标签和上下文生成可执行小应用。
一张 SVG 就够了：倡导用SVG承载可视化与交互实验，强调其跨平台、可版本化与长寿命特性。