AI 模型与智能体:更长上下文、更强“动手能力”,也更难管
大模型继续往“能做事”的方向走:更长上下文、工具调用、跨应用操作。与此同时,自动化链路的安全边界更薄,工程团队要更谨慎地设计权限与审计。
- GPT-5.4:OpenAI 发布 GPT-5.4 与专业版,主打推理、编码与工具操作能力;最长支持 100 万令牌上下文,强化视觉理解、网页搜索与跨应用多步骤任务;已在 ChatGPT、API 与 Codex 上线。
- Cursor 正在推出一种全新的智能体编程工具:Cursor 推出 Automations,可由代码更新、Slack 消息或定时器触发代理自动跑任务,把“写提示+盯进度”变成可重复的自动流程。
- Show HN:Jido 2.0,Elixir Agent 框架:Elixir/BEAM 智能代理框架重构发布,强调纯函数式核心与策略扩展;拆分动作与信号包,提升可测性与生态组合能力,并提供 LLM 工具调用层。
- GLiNER2:统一的基于 Schema 的信息抽取:开源多任务抽取模型(实体识别/分类/关系/结构化抽取),支持 CPU 快速推理与轻量微调,适合金融、医疗、法律等场景做结构化落地。
- Launch HN:Vela(YC W26)——用 AI 搞定复杂排班:用智能代理跨邮件、短信、WhatsApp、Slack 协调多人日程,自动处理约束、变更与邀请,面向招聘等高频协调场景。
- AWS 推出专为医疗健康打造的全新 AI 智能体平台:Amazon Connect Health 用 AI 处理预约、记录、验证等行政流程,强调 HIPAA 合规并可对接 EHR;按月收费,定位医疗机构的“降重复劳动”。
- 独家:Luma 推出由全新“Unified Intelligence”模型驱动的创意 AI 代理:Luma 推出多模态创意代理,覆盖文图音视频的端到端工作流,面向广告与设计团队做持续上下文与自我迭代优化。
安全与隐私:自动化链路成新攻击面,广告数据也在“被执法使用”
从 AI 自动化到广告实时竞价位置数据,风险不再只在“漏洞本身”,而是出现在默认信任、默认采集、默认可用的链路里。
- 一个 GitHub Issue 标题攻陷了 4000 台开发者机器:攻击者把恶意指令塞进 issue 标题,诱导 AI 机器人执行任意代码,进一步投毒发布恶意 npm 包并感染开发者机器;暴露“自然语言输入未过滤+凭证管理松散”的组合风险。
- 政府利用定向广告追踪你的位置:美国 CBP 承认使用广告实时竞价(RTB)数据做无证监控;问题核心不是“黑客”,而是位置数据在广告生态里被广泛分发与转卖。
- Proton Mail 协助 FBI 揪出匿名 “Stop Cop City” 抗议者:Proton 向瑞士当局提供付款相关数据,最终被美方用于溯源身份;提醒用户区分“邮件内容加密”和“账户/支付/元数据可被依法调取”。
- 意大利检方证实一名记者遭 Paragon 间谍软件入侵:确认手机感染间谍软件,涉及记者与活动家;事件再次把商业间谍软件与执法/情报边界问题推到台前。
- Meta 因 AI 智能眼镜隐私争议遭起诉:员工曾审核裸露、性行为等影像:诉讼焦点在“是否充分告知人工审核与数据流转”;对可穿戴摄录设备来说,隐私风险来自默认采集与默认上传。
- Google Safe Browsing 漏掉了 84% 已确认的钓鱼网站:报告称大量钓鱼页未被及时标记,且不少托管在可信平台;说明黑名单机制滞后,钓鱼正更依赖“可信域名外衣”。
- 谷歌称:其在 2025 年追踪到的零日漏洞中,有一半瞄准了存在缺陷的企业技术:企业侧网络与安全设备成为零日重灾区;问题常见且朴素:输入校验和权限控制不到位。
- 动起来,练就好身材:一次渗透评估显示:IT 防护还行,但物理安全很松,尾随、开锁、翻找文件就能拿到敏感信息。
- 因大规模管理员账号被攻破,Wikipedia 进入只读模式:维基平台出现访问问题并进入只读;信息有限,但“管理员账号被攻破”这类单点失守往往会放大成平台级事故。
- FBI 正调查其窃听与监控系统遭黑客入侵:报道称:报道称 FBI 用于管理窃听与监控令的系统遭入侵;细节未披露,但反映政府系统同样处在高强度攻击面下。
开源与工程:硬件信任根落地,Linux 与高性能服务继续“打底”
一边是开源硬件安全走到量产,一边是系统与性能工程把“可维护的快”当成目标。
- OpenTitan 正式量产出货:开源硅芯片信任根(RoT)由 Nuvoton 量产并用于商用 Chromebook;强调可验证设计与透明性,并提到后量子密码支持。
- Greg Kroah-Hartman 延长关键 Linux LTS 内核支持周期:多个 LTS 内核支持期被拉长到 2028 年左右,更贴合长期部署与运维现实。
- Linux 上的硬件热插拔事件:那些不为人知的细节:深挖 libusb 热插拔的 udev/netlink 机制与消息格式,并强调用 SO_PASSCRED 防伪造事件。
- 远程解锁加密硬盘:把 Tailscale 与 SSH 集成到 initramfs,在解密前就能远程登录解锁;适合远程机器的可用性与恢复场景。
- 高速服务器:讲一种“每核一线程+CPU 亲和+分状态处理+传递 FD”的服务端设计思路,目标是高吞吐、少锁、易推理。
- 使用 JDK 的 Vector API 优化推荐系统:Netflix 用矩阵化批处理与 SIMD 向量化把 CPU 占用和延迟压下去,强调数据布局与纯 Java 的可维护性收益。
- 将行车记录仪视频转换为 Panoramax 图像:用 ffmpeg、exiftool 等把视频帧与 GPS 元数据配准,生成可上传的街景图片,偏“可复用的操作方法”。
产业与监管:芯片出口、未成年人隐私、军方与 AI 的拉扯
规则在变,合作边界也在变:有的是国家层面的管制,有的是平台治理,有的是军方采购对 AI 公司的压力。
- 据称,美国正考虑出台全面升级的芯片出口管制措施:报道称新规可能要求 AI 芯片出口普遍审批,并按订单规模分级审查;影响可能外溢到全球客户与供应链选择。
- COPPA 2.0 再次在参议院过关,这次还是全票通过:参议院一致通过未成年人在线隐私法案升级版,限制对 17 岁以下用户的数据收集;后续仍需众议院通过。
- 尘埃落定:五角大楼将 Anthropic 列为供应链风险:因使用限制分歧,Anthropic 被美军标记为供应链风险,合作方被要求不得用其模型;把“价值观/用途限制”直接变成商业与采购后果。
- Anthropic CEO Dario Amodei 可能还在努力和五角大楼谈成一笔交易:在标签与合同争议后,双方仍尝试重启谈判;显示前沿模型在政府场景里很难“彻底退出”。
- 苹果禁止美国用户下载字节跳动的中国应用:苹果用定位等技术手段在美国境内限制下载部分字节系应用,反映监管要求落到分发层的执行力度在变。
- 品牌时代:Paul Graham 用瑞士机械表从工具变奢侈品的历史,解释“品牌如何替代功能成为核心卖点”,也提醒泡沫风险。
终端与平台动态:系统更新、内容平台、连接能力
几条更实用的变化:设备更新、内容平台改版、以及通信链路的新突破。
- iOS 26.3.1 和 iPadOS 26.3.1:新增对 Studio Display / XDR 的支持,并修复若干未说明问题。
- macOS 26.3.1:同样补齐新显示器支持并提供相关固件更新。
- 亚马逊正在推出重新设计的 Fire TV 应用:手机端更像“内容入口”,不只是遥控器;强调浏览、投屏与观看列表管理。
- Roblox 推出实时 AI 聊天改写,过滤违规用语:用“改写”替代简单屏蔽,让对话不断流;同时提示消息被改写,提高可见性。
- Netflix 收购本·阿弗莱克的 AI 电影制作公司 InterPositive:把 AI 后期辅助工具纳入自家体系,定位是帮创作者处理连续性、环境调整等琐碎环节。
- 全球首个飞机与地球同步轨道卫星之间的千兆激光通信链路:飞机与地球同步卫星实现 2.6Gbps 激光通信,验证了高速飞行与大气干扰条件下的可用性,为偏远地区高速连接提供新路径。