AI 安全与开发工具
AI 已经能更快地找漏洞、写代码、跑任务,但风险也一起变大。难点不再只是“能不能做”,而是怎么核实、怎么修补、怎么把它管住。
- Project Glasswing:初步更新:Anthropic 说,和约 50 个伙伴合作一个月后,Claude Mythos Preview 找出了一万多处高危或严重漏洞。AI 找漏洞的速度已经快过人工修补,真正卡住的是核实、披露和补丁部署。
- 域伪装注入攻击可在多智能体 LLM 系统中规避检测:研究发现,只要把攻击内容伪装得像目标领域里的正常文本,很多检测器就会大幅失效。有些模型原本能识别大多数注入,换一种写法后识别率直接掉到很低。
- 开源看板桌面应用:让每张卡片并行运行多个智能体:kanbots 把看板、git worktree 和本地 AI 代理放到一起。它想解决的是一件很实际的事:把拆任务、改代码、审查和修复放进一个本地流程里,不靠云端也能跑。
- 发布 HN:Superset(YC P26)——面向智能体时代的 IDE:Superset 也是类似思路,用隔离的 worktree 同时运行多个 CLI 代理,并给出终端、差异查看和切换编辑器的界面。重点是减少来回切换,让并行协作更顺手。
- Models.dev:AI 模型规格、定价与能力的开源数据库:模型太多、价格变化太快,已经需要一张公开“价目表”和“参数表”了。这个项目把规格、价格和能力放到一个开源库里,方便比较和接入工具。
- Antigravity 2.0 在 OpenSCAD 建筑 3D LLM 基准测试中拔得头筹:一次 OpenSCAD 实测显示,AI 生成 3D 模型已经能做到“可渲染”,但离稳定交付还有距离。不同工具差异很大,快的不一定好,全自动也不一定最可靠。
消费级 AI 产品
大公司正把 AI 塞进搜索、眼镜、音频和社区产品里。功能越来越多,但“更好用”并没有自动发生。
- 早报:Google I/O 2026 最重磅的消息:Google I/O 今年几乎被 AI 包圆了。搜索框能吃图片、视频和浏览器标签,Gemini Spark 还想替你整理信息、监控账单、连第三方应用一起干活。
- 我们体验了谷歌的 AI 眼镜,离成功只差临门一脚。:谷歌展示了音频版和带显示版 AI 眼镜。导航、翻译、拍照识别这些功能已经看得出方向,但产品还在原型期,离真正成熟还差最后那一步。
- 谷歌的 AI 搜索太离谱了,居然还能“无视”你的搜索意图:谷歌把 AI 摘要顶到搜索前面后,连查一个单词都可能翻车。像 “disregard” 这样的词会出现大块空白,说明 AI 搜索还远没稳。
- Spotify 的 AI 下注:什么都更多,唯独你想要的更少:Spotify 正把 AI 用到搜索、推荐、生成音乐、翻唱混音和音频助手上。问题也很直接:内容会更多,但人更难找到真正想听的东西。
- Meta 悄悄推出了一款名为 Forum 的新应用,有点像 Reddit:Meta 又做了一次群组独立应用,加入昵称发帖和 AI 问答。它想把 Facebook 群组做得更像论坛,但内容仍和原有群组绑在一起。
- 由前 NotebookLM 开发者创立的音频生成应用 Huxe 宣布关闭:Huxe 的关停说明一个现实:消费级 AI 功能一旦被大平台跟进,小公司很难扛住。先做出来,不等于能守住市场。
安全事故与平台规则
另一条线更老也更现实:密钥泄露、用户数据外露、平台抽成和垄断争议。很多问题不是太新,而是基本功太差。
- 立法者要求给出交代,CISA 试图控制数据泄露:CISA 承包商把 AWS GovCloud 密钥和内部资料放到了公开 GitHub 上,事后还有部分密钥没完成轮换。这件事暴露的不是一次失误,而是长期的管理和安全文化问题。
- 特朗普移动确认其客户个人数据遭泄露,包括电话号码和家庭住址:Trump Mobile 承认用户姓名、邮箱、地址和手机号曾暴露在公开网络上,原因指向第三方平台。最糟的地方是,外部研究人员早就试过提醒,但公司反应很慢。
- Kash·帕特尔的服装品牌网站在被曝遭黑客攻击后关闭:这个网站被指植入了窃取信息的恶意软件,随后下线。对用户来说,风险很简单:一个普通购物站点,也可能变成投毒入口。
- 苹果请求最高法院复审 Epic 判决:苹果还在争取保住对外部支付链接收费的空间。核心不是法律文字多复杂,而是谁有权决定 App Store 外的交易规则。
- 谷歌就搜索垄断裁决提起上诉,称其“公平公正”赢得了业务:谷歌不接受搜索垄断裁决,也反对被要求与对手共享数据。搜索市场未来怎么分配,不只看产品好坏,也看法院最后怎么画线。
底层技术与工程
除了大模型,底层工程也有扎实进展。真正有用的东西,往往不是最热闹的那类。
- 苹果 corecrypto 形式化验证蓝图:苹果公开了后量子加密实现及其形式化验证方法,覆盖 C 和 ARM64 汇编。意思很直接:不只要“跑得对”,还要能证明它对。
- Wi-Wi 是以 1 纳秒精度进行无线时间同步:这项无线时间同步技术想在真实环境里做到 5ns 级精度。它适合那些不方便拉线、但又很在乎同步精度的场景,比如多机位拍摄和室内定位。
- Minecraft 中的 Wayland 合成器:这是一个很离谱但也很有趣的模组:在《Minecraft》里跑 Wayland 窗口管理。它没什么大众意义,但很能说明开源社区的创造力。
- Show HN:ShadowCat——通过浏览器里的二维码传输文件:ShadowCat 用一个离线单文件 HTML 页面,通过二维码在两台设备间传文本和文件。老设备、断网环境、临时传输,这种笨办法反而很实用。
- 一门受 Forth 启发、用于编写网站的语言:Forge 试着用一种很小、很怪的栈式语言来写网站。它提醒人一件事:网页并不一定非要越来越重,也可以往更简单的方向走。
- 克利夫·莫勒,安息吧:MATLAB 首版作者、MathWorks 联合创始人 Cleve Moler 去世。他做过的很多事,已经变成今天科学计算里的基础设施。
太空与自动驾驶
太空公司继续往更密集发射走,自动驾驶则在安全边界前踩了刹车。速度还是重要,但没人敢再把风险说得太轻。
- 蓝色起源在 4 月事故后获准发射新格伦重型火箭:新格伦上次因为上面级热异常丢了卫星,但助推器首次成功回收。FAA 已批准恢复飞行,蓝色起源还想把发射频率继续拉高。
- SpaceX 将于今天首次发射 Starship V3 进行试飞:Starship V3 更高,也用了更强的 Raptor 3 发动机。这次任务除了试飞,还要测试分离、海上着陆、热盾和模拟载荷释放。
- NASA 正在公开招标,寻找谁来运营喷气推进实验室:JPL 长期由加州理工运营,NASA 现在决定重新招标。一个老牌核心实验室要不要换打法,这件事影响不会小。
- 出于安全担忧,Waymo 暂停高速公路驾驶:Waymo 因担心积水风险,暂停了部分城市的高速公路驾驶服务。这个决定不炫,但说明自动驾驶还得老老实实把天气和边界条件放在前面。
资本与市场
AI 和硬件公司的故事,仍在靠融资、估值和价格战往前推。热度很高,但水分也越来越明显。
- 风投和创始人如何用被夸大的“ARR”为 AI 初创公司加冕:不少 AI 公司把试用期合同、还没上线的部署,甚至只是“快要签”的收入算进 ARR。这样讲故事更好听,但也更容易把市场带偏。
- 智能戒指制造商 Oura 申请上市:Oura 已秘密递交 IPO 文件,说明可穿戴健康设备的资本热度还在。智能戒指这条赛道,至少现在还被看好。
- DeepSeek 将 V4 Pro 的价格折扣永久化:DeepSeek 把 V4 Pro 的降价变成长期策略,价格战还在继续。模型能力之外,谁更便宜、谁更稳定,已经越来越影响用户选择。
- 埃隆,别再硬捧 Grok 了。:Grok 在美国政府和更广的实际使用里存在感都不高,和 OpenAI、谷歌、Anthropic 还有明显差距。喊得很响,不代表真用得多。