每日科技摘要-05-08-晚报

这一周最值得注意的还是安全：Linux 漏洞和供应链风险还在发酵，教育平台遭到勒索攻击，浏览器厂商则开始把 AI 真正用在找漏洞上。

也许你暂时先别安装新软件了：Linux 内核接连曝出新漏洞，NPM 供应链也被认为处在高风险期。作者的建议很直接：先打发行版内核补丁，短时间内尽量别装新软件。
GNU IFUNC 才是 CVE-2024-3094 的真正罪魁祸首：这篇文章回头拆解 xz 后门事件，认为真正的问题不只是一段恶意代码，而是 OpenSSH、systemd、xz 的耦合方式，以及 GNU IFUNC 这种可在程序启动前执行代码的设计。
使用 Claude Mythos Preview 加固 Firefox：Mozilla 表示，借助模型和自动化流程，Firefox 在 JIT、IPC、沙箱等区域找到了不少真实漏洞。重点不在“AI 很神”，而在它终于能稳定地产出可复现、可验证的结果。
Instructure 黑客声称他们从近 9,000 所学校窃取了数据：黑客组织称拿到了 8809 所学校的 2.8 亿条记录，还篡改了部分 Canvas 登录页。教育平台一旦出事，影响很快就会扩散到上课、考试和校内通知。

AI 已经进了很多正式流程，但它带来的不只是效率，也有幻觉、审校缺位和权力重新分配的问题。

两名内政部官员因发现 AI “幻觉”而被停职：南非在官方政策文件里发现了 AI 生成的虚假参考文献，随后暂停两名官员职务，并回查近几年文件。问题不只是一次出错，而是 AI 已进入严肃写作流程，审核却没跟上。
马斯克诉奥特曼案的证据显示，微软高管如何看待 OpenAI：公开邮件显示，微软早年对 OpenAI 的技术前景和商业回报都拿不准，但又不想把机会让给别人。今天这层深度绑定，并不是一开始就铁板一块。
在 WWDC26 之前，与四位中国获奖者聊聊他们的 Swift 学生挑战赛：四位中国学生把机器人教育、经期管理、演讲训练和拼豆创作做成了应用。文章也点出一个很实在的结论：AI 能帮忙提速，但编程基础、结构思路和对真实问题的判断，还是替代不了。

这组文章都在说同一件事：真正难的地方，常常不是“能不能做”，而是怎么把细节做对。

ClojureScript 支持异步/等待：新版本支持把函数标记为 ^:async，直接编译成 JavaScript 异步函数，也能在测试里用 await。改动不大，但很实用，和现代浏览器 API 的配合会顺手很多。
文本可选的客户端生成 PDF 之路，竟然如此复杂：为了同时满足“浏览器端生成、可下载、可复制文本、样式还原”，作者最后自己做了布局引擎，把 Markdown 元素逐一翻成 PDF 指令。文章把 PDF 为什么难做讲得很清楚。
如何让 SSE 令牌流支持断点续传、可取消，并实现多设备同步：SSE 做简单流式输出没问题，但一旦要支持 AI 代理常见的重连、取消、多端同步，复杂度会迅速上升。麻烦主要来自状态同步和数据库写放大。
多项式自编码器在 Transformer 嵌入上胜过 PCA：作者提出一种不用 SGD 训练的闭式降维方法，在相同存储预算下比 PCA 保留更多信息。它更适合静态语料和离线索引，不是万能方案，但思路很巧。
深入挖掘 Document Foundation 的风波：LibreOffice 背后的基金会因合规和利益冲突问题，取消了约 30 名与 Collabora 有关成员的资格，双方随后公开交锋。争议已经不只是内部管理，也关系到 LibreOffice 之后由谁来主导。

主机厂商都在面对同一件事：成本涨了，价格只能跟着涨，但用户未必买账。

任天堂宣布提高 Nintendo Switch 2 售价：任天堂确认将在日本、美国、加拿大和欧洲分阶段上调 Switch 2 及部分相关服务价格。它给出的理由是市场环境和成本变化，这也说明主机涨价已经不再少见。
在内存短缺之际，索尼 PS5 销量断崖式下跌：PS5 单季销量同比大跌 46%，索尼把原因指向存储芯片短缺和多轮涨价。即便游戏业务整体还撑得住，下一财年的压力也已经很明显。

支付和网络不只是生意，它们越来越像国家级基础设施。谁来控制，谁就握着更大的主动权。

巴西的 Pix 支付系统正面临来自 Visa 和 Mastercard 的压力：Pix 在巴西已经覆盖 1.8 亿多人，交易量也压过了 Visa 和 Mastercard。现在的冲突不只是支付公司之间的竞争，更是在争一国支付底座由谁掌握。
认识 Rassvet：俄罗斯对 Starlink 的回应：俄罗斯正推进自己的低轨卫星互联网项目，目标是到 2030 年建成至少 300 颗卫星的星座。它表面上是网络覆盖项目，背后更像一套面向“数字主权”的基础设施计划。