今天的技术圈相当热闹:Linux 新提权漏洞 Dirtyfrag 曝光,与此前 Copy Fail 类似但利用链不同,尚无补丁;Canvas 学习管理系统在期末考试期间遭 ShinyHunters 入侵,数百万师生受影响;Anthropic 开源自然语言自编码器,让大模型的"黑盒"变得更可读;DeepMind 的 AlphaEvolve 用 Gemini 写出了反直觉但高效的 TPU 电路设计。以下是今日精选的 23 条科技资讯。
Dirtyfrag:Linux 本地提权漏洞曝光
新披露的 Linux 本地提权漏洞 Dirtyfrag 与 Copy Fail(CVE-2026-31431)共享相同的漏洞点,但利用链不同,目前尚未发布补丁。该漏洞涉及内核模块 esp4、esp6 和 rxrpc,攻击者可在 Linux 系统上获取 root 权限,可能影响云环境和 Kubernetes 工作负载。
社区讨论指出 Dirtyfrag 的风险极高,担忧未修补的状态。部分用户批评 Linux 维护者默认启用可选内核功能,增加了攻击面。缓解措施需要禁用相关内核模块。
Canvas 考试季遭黑客入侵,数百万师生受影响
2026 年 5 月 7 日,Canvas 学习管理系统遭到黑客组织 ShinyHunters 入侵,正值期末考试期间,导致全国性服务中断。黑客威胁若 5 月 12 日前不支付赎金将泄露敏感数据。
教育工作者反映期末考试期间陷入混乱,部分教授没有课程资料的离线备份。评论显示对机构应对措施的不满,并引发关于赎金支付政策的辩论。
延迟安装软件,能不能躲过供应链攻击?
一场安全讨论围绕"延迟安装新软件"展开。随着 npm、PyPI 等平台上的供应链攻击日益增多,有人建议延迟几天安装以避开新发布的恶意包,但反对者指出攻击者可以延长利用时间线来绕过这种策略。
社区成员建议包括使用更安全的操作系统如 FreeBSD,或配置包管理器仅安装旧版本。
结构化控制流 > 提示工程?构建可靠 AI Agent 的新思路
一篇技术文章提出,相比提示工程,为 AI Agent 引入结构化控制流(条件判断、循环等确定性执行路径)能显著提升关键任务的可靠性。
开发者分享了 Swamp 等融合 AI 创造性与确定性步骤的工作流系统。同时安全研究也警示,Agent 架构中的控制流本身存在被攻击的漏洞风险。
Anthropic 开源自然语言自编码器,让大模型"黑盒"变透明
Anthropic 开源了自然语言自编码器(NLA),能将 Qwen 2.5、Gemma 3、Llama 3.3 等大模型的神经激活转化为可读文本。系统通过激活描述器生成文本解释,配合激活重构器通过强化学习验证。
社区反应两极分化:部分人赞赏开源权重和技术路线,另一些人质疑生成的文本是否真实反映模型认知,还是仅产生看似合理的解释。
AlphaEvolve:DeepMind 的编程代理做出反直觉的 TPU 设计
DeepMind 的 AlphaEvolve 基于 Gemini 模型组合,已在算法和硬件设计优化方面展现巨大潜力,包括为下一代 TPU 提出了一种反直觉但高效的电路设计。
Gemini Flash 负责探索广泛的想法,Gemini Pro 提供深度分析。社区对其与其他编程助手的比较,以及 AI 递归自我改进的潜力特别感兴趣。
DeepSeek 4 Flash 本地推理引擎,M3 Max 峰值仅 50W
Redis 作者 antirez 发布了 ds4.c,专为 DeepSeek-V4-Flash 设计的推理引擎,直接利用苹果 Metal 框架,在 M3 Max 上全速生成 token 时峰值功耗仅 50W。
引擎特意不做通用运行器,专为 DeepSeek-V4-Flash 优化。25k token 冷启动延迟约 4 分钟,但后续缓存效率较高。开发者称赞其教育价值和硬件专用优化方法。
AI 垃圾内容正在杀死网络社区
AI 生成的低质量内容正在淹没网络社区。管理员报告每月需封禁约 600 个 AI 虚假账号,Reddit 等平台出现真实用户流失。实验证明 AI 可成功进行" karma farming"并模拟人类对话而不被发现。
部分社区已采取发帖收费或全面禁止 AI 内容作为应对措施。多名用户称因 AI 内容泛滥已弃用平台。
Chrome 悄悄删除"设备端 AI 不上传数据"的声明
Chrome 浏览器删除了其关于设备端 AI 功能不会将数据发送至谷歌服务器的明确声明。被删除的声明曾明确指出设备端 AI 处理不需要将数据发送至谷歌服务器,而 Chrome 的隐私政策仍允许收集"与内容的交互"和"系统活动"数据。
用户普遍表示深度怀疑,有人指出这对处理敏感数据的企业存在合规风险。多人提及谷歌已放弃的"不作恶"信条。
Claude Mythos 帮 Firefox 一个月修了 423 个安全漏洞
Mozilla 利用 Claude Mythos AI 预览版发现 Firefox 中数百个漏洞,月度安全修复从 20-30 个跃升至 2026 年 4 月的 423 个。AI 发现了包括 20 年前的 XSLT 漏洞和 15 年的 legend 元素 bug 在内的古老漏洞。
许多攻击尝试被 Firefox 现有的纵深防御措施阻止,验证了其安全架构的有效性。
Stripe 一夜之间格式化了 2500 万行 Ruby 代码
Stripe 工程团队使用 Rust 编写的 rubyfmt 工具,在维护窗口期内一夜之间成功自动格式化了整个 2500 万行的 Ruby 代码库。Stripe 拥有生产环境中最大规模的 Ruby 代码库之一。
Lobsters 社区既对该技术成果表示热情,也就固执己见的格式化工具(rubyfmt)与可配置工具(RuboCop)的优劣展开辩论。
PHP 将弃用自定义许可证,转向 BSD 3-Clause
PHP Group 将从 2026 年 PHP 8.6 版本开始,弃用自定义的 PHP 许可证,转而采用更宽松且兼容 GPL 的 BSD 3-Clause 许可证。PHP 驱动了全球 77% 使用服务器端编程语言的网站。
Mojo 发布首个 Beta 版本,Python 易用 + C++ 性能
Modular Inc. 的 Mojo 编程语言发布首个 Beta 版本(v1.0.0b1),结合 Python 易用性与系统级性能,针对 AI/ML 和异构计算环境优化。基于 MLIR 编译器框架而非 LLVM,编译器仍为闭源但标准库已开源。
Mozilla 确认 Mythos 发现的 271 个漏洞几乎零误报
Mozilla 证实 Anthropic 的 Mythos AI 在 Firefox 中发现的 271 个漏洞"几乎零误报",已"完全接受"AI 驱动的漏洞发现结果。Mythos 能识别主流操作系统中的零日漏洞并生成利用代码。
行业意见存在分歧,一些人称赞 Mythos 缩短零日窗口期,另一些人警告 AI 可能加速网络攻击能力。
更多速报
- 巴西 Pix 支付系统面临 Visa 和万事达竞争压力,引发公共 vs 私营支付基础设施的辩论
- Anthropic 与 xAI 合作使用 Colossus 数据中心,该中心因环境违规而臭名昭著
- 自制编程语言既容易上手又充满挑战,现代工具降低门槛但设计决策复杂性仍在
- PostgreSQL 当任务队列的坑:FOR UPDATE SKIP LOCKED 在错误处理时失去原子性
- cuda-oxide:NVlabs 实验性 Rust 转 CUDA 编译器,直接编译为 PTX
- DNSSEC 故障影响 .de 域名,超 1700 万活跃域名可能受影响
- 订阅服务自动取消的奇葩 Bug:任务处理延迟波动导致订阅被自动终止
- 无屏幕写作界面:减少视觉依赖,利用触觉和听觉的替代交互方式
- Nintendo 64 加法混合:叠加 RGB 分量实现发光效果,无需 alpha 值