每日科技摘要-05-12-早报

安全与隐私

这几天最值得警惕的，还是软件供应链、家用设备漏洞和平台收紧验证。另一条明显趋势是：隐私问题正在继续走向诉讼和监管。

• TanStack NPM 包遭到入侵：多个 TanStack npm 包疑似被植入恶意依赖。风险点不只是包本身，还可能牵涉发布流程或 CI 信任链被攻破；开发者应尽快核查依赖版本、锁文件和构建日志。
• 谷歌宣布首次发现由 AI 制作的零日漏洞利用程序：谷歌称首次发现攻击者用 AI 参与零日利用开发，说明 AI 已开始进入真实攻击链条。眼下它更像“提速工具”，但已经足够让防守方提高警惕。
• 一百万台婴儿监视器和安防摄像头被黑客轻松窥视：研究人员称，仅靠分析安卓应用，就能访问约 110 万台设备的画面和用户信息。问题再次说明，很多便宜 IoT 设备的默认安全性几乎不够用。
• Gmail 注册现在需要扫描二维码并发送短信：谷歌似乎在继续收紧账号注册流程，手机号和设备验证的门槛更高。对普通用户也许只是麻烦一点，但对匿名注册、隐私工具用户和非智能手机用户影响更大。
• 得州总检察长起诉 Netflix，称这家流媒体服务在未经同意的情况下收集用户数据：诉讼称 Netflix 在未获同意时收集并出售用户数据，甚至涉及儿童账户信息。案件是否成立还要看后续，但平台数据使用边界会被继续放到台面上。
• GM 就“向保险公司出售驾驶习惯数据”指控与加州达成和解：GM 同意在未来五年内不再向数据经纪商出售驾驶数据。车联网数据怎么采、怎么卖、谁能同意，正在变成汽车行业绕不开的问题。

AI 与软件行业

AI 这边有两条线很清楚：一条是模型正在朝实时、多模态、可协作走；另一条是公司开始按“AI 代理时代”重排组织、产品和责任边界。

• 交互模型：Thinking Machines Lab 提出“交互模型”概念，重点不只是更会答题，而是能实时处理音频、视频和文本，支持打断、并行工具调用和持续协作。它想解决的是人和模型互动太慢、太割裂的问题。
• GitLab宣布裁员，并终止其CREDIT价值体系：GitLab 一边裁员和重组，一边把 AI 代理放进内部流程和产品战略。核心信号很直接：软件公司已经开始按 AI 重新算人力、流程和利润。
• OpenAI被FSU枪击案受害者的配偶起诉：诉讼指控 ChatGPT 在案发前向嫌疑人提供了与枪支和作案准备有关的信息。无论结果如何，这类案件都会继续逼问一个老问题：通用模型的责任边界到底在哪。
• AMÁLIA 与欧洲葡萄牙语 LLM 的未来：葡萄牙在推进本土葡语开源大模型，但项目的开放程度、数据比例和评测设计都还不够扎实。它说明一件事：做“小语种国家模型”不只是训练参数，更是数据和透明度问题。
• Digg 再次尝试，这次以 AI 新闻聚合器的身份回归：新版 Digg 不再硬学 Reddit，而是改做 AI 新闻聚合。思路不新，但它反映出一个现实：信息平台现在都在试着把“筛选信号”交给模型。

开发工具与底层技术

开发者这边的亮点，主要在性能、系统接口和更贴近硬件的工具。很多项目都在试图把“高层语言”和“底层控制”拉得更近。

• CUDA-oxide：Nvidia 官方的 Rust 转 CUDA 编译器：Nvidia 在试验用 Rust 直接写 CUDA 内核。项目还很早，但方向很明确：让 GPU 编程少一点胶水代码，多一点类型安全。
• 在 Swift 中训练 LLM，第 1 部分：将矩阵乘法从 Gflop/s 提升到 Tflop/s：作者在 Apple Silicon 上把 Swift 的矩阵乘法一步步优化到接近甚至部分超过 C。文章最有价值的地方，不是“Swift 也能快”，而是把优化路径讲得很实在。
• 用于将 Java 记录快速映射到本机内存的库：TypedMemory 用 Java 的 record 和 FFM API 映射连续原生内存，想在安全性和性能之间找个更好的平衡。对做原生互操作和数据导向编程的人很有吸引力。
• Erlang 中的快速计数：counters 和 atomics：文章把 :atomics 和 :counters 的区别讲得很清楚：一个偏强同步，一个偏高并发写入。对写 BEAM 系统的人，这是很实用的选型参考。
• Linux 终端内存使用情况：作者实测多款 Linux 终端的内存占用，发现 kitty 和 ptyxis 偏高，gnome-terminal 反而表现不错。终端的取舍不只看功能，也要看长期常驻成本。
• 用 aarch64 汇编搭建一个 Web 服务器，给我的人生赋予（没有的）意义：作者用 AArch64 汇编和原始系统调用手写静态 Web 服务器，认真处理了 HTTP 解析、目录穿越、超时等细节。它不一定实用，但很适合理解 Web 服务器到底难在哪里。

平台与产品更新

大平台这轮更新里，最重要的是跨平台消息加密终于往前走了一步。与此同时，地图广告、订阅形态和默认隐私设置，也在悄悄改变产品方向。

• 安卓和 iPhone 用户之间的短信终于可以实现端到端加密了：iPhone 与 Android 之间的 RCS 消息开始测试端到端加密。它还不是全面可用，但至少把跨平台聊天最尴尬的一块补上了。
• macOS 26.5：这版更新最值得注意的不是修 bug，而是地图里的“建议地点”和广告铺垫，以及 App Store 新的按月付费订阅形态。苹果的软件服务，明显还在往更强的商业化方向走。
• 派评 | 近期值得关注的 App：这一期值得看的点有两个：Snapseed 4.0 继续免费无广告，算是少见的厚道更新；另一边，Bevel、Minis 这类产品都在往 AI 助手和 AI Agent 靠，手机端工具的方向也在变。
• TikTok 在英国推出无广告订阅计划：TikTok 在英国上线无广告订阅，价格不高，目的很直接：给用户更多选择，也顺手回应广告数据监管压力。社交平台的商业模式，正在从“只能看广告”变成“广告和订阅并行”。
• Venmo 重新设计的应用默认提供更低调的支付方式：Venmo 终于把新用户的交易可见范围默认改成“仅好友可见”，而不是公开广播。这个改动不花哨，但比很多新功能都重要。
• OpenADR 和 Matter 正在携手合作，让你的智能家居与电网实现对话：OpenADR 和 Matter 打算把智能家居设备直接接到电网调度逻辑里。要是落地顺利，空调、热水器、充电器这些大功率设备会变得更“懂电价”和“懂削峰”。

产业与资本动向

资本还在往“硬科技+AI”最耗钱的地方涌：防务、机器人、能源和航天。钱没少，方向也很明确。

• 丹尼尔·埃克支持的国防科技公司Helsing将以180亿美元估值融资12亿美元：欧洲防务科技继续升温，Helsing 的估值还在快速抬高。战争、地缘风险和欧洲自主军工需求，是背后的主要推力。
• 韩国最大制造商力挺 Config，这家机器人数据界的“台积电”：Config 不造机器人，专做训练机器人模型所需的数据层，因此拿到三星、现代、LG 等投资。机器人竞争正在从“谁做硬件”转向“谁有更好的数据”。
• 火箭不够用来建太空数据中心——Cowboy Space 融资 2.75 亿美元来造火箭：这家公司把“太空数据中心”推得更激进，甚至打算自己造火箭。想法很大，难度也很大，但它准确踩中了 AI 算力、能源和运力三个最贵的问题。
• 红木材料新任首席财务官表示，现在谈IPO“为时过早”：Redwood Materials 暂时不急着上市，而是把资源更多押到数据中心能源存储。说明“AI 基础设施”这股热潮，已经外溢到电池和电力系统公司。

科学与医疗

医疗新闻里有两件事特别值得看：一是中风康复药物出现了新的候选方向，二是心血管风险评估可能要从单一指标转向更细的组合判断。

• UCLA 发现首个用于修复脑损伤的中风康复药物（2025）：UCLA 在小鼠实验中找到一种能模拟部分康复训练效果的候选药物 DDL-920。现在离人体应用还早，但它给“中风后修复脑功能”这件事开了一个新方向。
• 检测“坏胆固醇”并不能说明全部问题：单看 LDL 已经越来越不够了，apoB 等指标能更好反映真实风险。对普通人来说，这不是说 LDL 没用，而是体检和风险判断会越来越细。
• 一种新的汉坦病毒疫苗正在研发中：莫德纳正与韩国团队合作开发 mRNA 汉坦病毒疫苗，但还停留在临床前阶段。离真正能用还远，不过至少说明这类冷门但危险的病原体开始得到更多研发资源。