每日科技摘要-03-19-早报

AI 应用与落地

AI 正在往支付、购物、学习这些具体流程里走。但这周更清楚的一点是：它能省事，不等于能替人做完。

• 年度征文｜效率杂谈：告别纸笔拓荒，怎么用 AI 来辅助学习？：作者把 XMind、Obsidian 和 NotebookLM 串成一套学习流程，用来记课、整理和复习。重点很实在：AI 负责归纳和提问，理解和输出还是自己的事。
• Nvidia NemoClaw：NVIDIA 开源了一个给常驻助手用的安全运行环境，主打沙箱、权限控制和云端推理。项目还很早，但方向很明确：先把代理关好，再谈自动化。
• 机器支付协议（MPP）：Stripe 和 Tempo 想做一个开放协议，让智能代理自己付款、订阅和调用服务。它瞄准的是“机器也能买东西”这件事，成不成要看商家是否愿意接入。
• Walmart 和 OpenAI 为何联手搅动 Agentic Shopping 格局：沃尔玛在 ChatGPT 里试过直接结账，但转化很差，用户不喜欢一件件买。它改推新助手 Sparky，说明 AI 购物离真正顺手还差一截。
• ChatGPT并没治好一只狗的癌症：被热炒的“AI 治癌”案例，实际主要靠专家和传统免疫疗法。AI 只是辅助整理信息，媒体把它说大了。

AI 评测与反思

模型越来越多，真正难的是怎么测、怎么用，以及怎么避免把“能生成”误当成“能解决”。

• 衡量迈向 AGI 的进展：一套认知框架：DeepMind 把 AGI 拆成十项认知能力，并和 Kaggle 一起征集评测方案。意思很简单：少喊口号，多做能比、能测的东西。
• 图书：《机器学习基准测试的新兴科学》：这本书系统讨论 benchmark 的作用和副作用。它提醒人们，榜单能推动进步，也会诱导模型为分数而不是为真实能力优化。
• AI 编程就是一场赌博：作者认为 AI 写代码像不断刷新结果，快，但并不稳。它降低了上手门槛，也可能拿走理解问题和打磨代码的过程。
• 由上榜公司出钱赞助、号称“刷不动”的排行榜：Arena 正把模型评测做成一门生意，还想扩到法律、医疗、代理和编程。问题也随之更尖锐：谁出题，谁出钱，谁说了算。

安全与隐私

安全新闻里，老问题没走，新问题又叠上了 AI 和数据买卖。受影响的既有桌面系统，也有云服务和手机。

• CVE-2026-3888：重大 Snap 漏洞可导致本地权限提升至 Root：Ubuntu 桌面默认组件 snapd 被发现存在本地提权漏洞，攻击者可借时间窗口拿到 root。补丁已经发布，受影响用户应尽快升级。
• Snowflake AI 逃出沙箱并执行恶意软件：Snowflake 的 Cortex Code CLI 曾被发现可被提示注入绕过限制，进而执行恶意代码。官方已修复，这件事再次说明“让模型跑命令”天生高风险。
• 新型野外流出的工具可黑掉数亿部 iPhone：DarkSword 可通过恶意网页快速入侵运行旧版 iOS 18 的设备，窃取密码、消息和钱包数据。更糟的是，这套工具的代码已经流出，扩散风险很高。
• FBI局长证实：FBI正购买位置数据追踪美国公民：FBI 承认重新从数据经纪商购买美国人的位置数据，用于调查。争议不在技术，而在程序：政府是否在绕开搜查令。
• Apple Exclaves：苹果把一部分关键资源从 XNU 内核中隔离出去，即使内核被攻破，也尽量守住核心区域。这是很典型的“别把鸡蛋放一个篮子里”。
• MacBook Neo 屏幕摄像头指示灯的安全设计：苹果让摄像头指示灯受芯片安全隔区保护，尽量保证“摄像头开，灯就亮”。这类小设计不显眼，但很有用。

政策、版权与政府技术

AI 现在不只是产品问题，也是版权、平台责任、军用合作和政府采购问题。规则还在摇摆，争议已经落地。

• 参议员 Blackburn 提出首份联邦 AI 法案草案：这份草案把几件事摆上桌面：版权作品训练、未成年人保护、声音和形象复制、AI 透明度，以及对就业影响的报告义务。虽然还只是草案，但方向已经很清楚。
• 英国 AI 版权立场遭遇反弹后紧急改口：英国政府放弃了此前偏向 AI 公司的训练版权立场。原因很直接：艺术家和创作者的反弹太强，政府不得不后退一步。
• Patreon CEO怒斥AI公司的“合理使用”论调纯属鬼扯，称创作者就该拿钱：Patreon CEO 的态度很鲜明：AI 公司不能一边和大版权方签协议，一边白用普通创作者的作品。训练数据的补偿问题，正在从争论走向实际博弈。
• 质疑声不断，联邦网络安全专家仍批准了微软云服务：ProPublica 报道称，美国联邦审查方在安全疑虑未完全消除的情况下，仍批准了微软一项政府云服务。它暴露的不是单一产品问题，而是整套政府云采购和安全审查机制的漏洞。
• DOD称Anthropic的“红线”让其成为“国家安全不可接受的风险”：美国国防部认为 Anthropic 的使用边界会影响军事可靠性，Anthropic 则认为这属于不合理打压。争议的核心是：国家合作项目能否接受一家模型公司保留使用限制。
• 据称国防部计划利用军事机密数据训练 AI 模型：五角大楼正考虑用机密数据训练专用军用模型。这样做能提升针对性，但也会带来新的权限隔离和泄密风险。
• 国会正考虑对互联网法律“动大手术”：美国国会再次讨论修改第 230 条，焦点是平台责任、儿童伤害和政府施压平台审查内容。旧互联网法碰上今天的社交平台和生成式 AI，已经越来越不够用。

基础设施、开发工具与工程常识

热闹之外，这几条更像底盘新闻：网络、工具链、编码习惯和界面设计，决定了系统最后到底稳不稳、好不好用。

• Nvidia 正在悄悄打造一个价值数十亿美元的商业巨兽，叫板自家芯片业务：NVIDIA 的网络业务已经成长为公司第二大收入来源。对 AI 数据中心来说，算力之外，卡和卡之间怎么连，越来越重要。
• Rob Pike 的编程法则（1989）：这些老原则今天依然不过时：别瞎猜着优化，先测；多数时候先用简单方案；数据结构常常比算法更要紧。说到底，就是少折腾花活，多看事实。
• Show HN：Tmux-IDE，一款开源的 Agent 优先终端 IDE：这是一个基于 tmux 的开发环境工具，能按配置组织窗口、任务和协作流程，还接入了 Claude。它反映了一个新趋势：开发环境开始围着 AI 助手来设计。
• OpenRocket：一款开源火箭模拟软件，支持设计、飞行模拟和参数优化。虽然不是大新闻，但它是很典型的“老派、扎实、真能用”的工程工具。
• 滚动渐隐，退退退：作者批评网页里常见的“滚动淡入”效果，认为它常常只是添乱，影响性能和可访问性。这个提醒很朴素：别为了炫，牺牲阅读和使用。

科学与研究

基础研究这周也有硬消息：量子信息拿到最高荣誉，天文观测拍到了少见过程。

• 2025 年图灵奖花落量子信息科学领域：Charles H. Bennett 和 Gilles Brassard 获得 2025 年图灵奖，表彰他们在量子信息科学和量子密码上的奠基工作。BB84、量子隐形传态、纠缠蒸馏，这些名字背后是整个领域的起点。
• 哈勃捕捉到罕见一幕：一颗彗星正在分崩离析：哈勃望远镜拍到彗星 C/2025 K1 解体成多块。这样的观测不多见，有助于研究彗星内部结构和早期太阳系物质。