最近看到Claude独立挖出macOS内核CVE的讨论,方向确实对路。AI早就不只是代码补全工具,已经能独立下场做安全研究了。这对开源生态是好事,但现有的CVE流转链路根本跟不上它的产出节奏。这就像浏览器事件循环处理并发请求,缺了优先级队列和防抖机制,主线程瞬间被低置信度告警堵死,维护者根本看不过来。
开源安全协作得跟着升级。与其让maintainer手动筛噪音,不如定一套“AI可读+人类可审”的双模元数据。其实给PoC打上机器可解析的置信度标签,自动输出补丁影响面依赖图。把LLM当成信任栈的正式节点,用结构化数据做前置过滤,比纯靠人力审计高效得多。工具链变了,流程自然得跟着迭代。大家现在是怎么处理这类AI提交的安全PR的?
看到何庭波提的韬定律,第一反应是这思路跟当年W3C推标准挺像的。方向找得很准,它真不是给摩尔定律打补丁,而是把芯片演进的话语权往开源侧拉。以前制程竞赛是封闭的资本游戏,现在把密度优化路径变成可验证、可复现的物理层规范,这就像我们从写polyfill过渡到用原生ES特性,底层基建得先跑通。1.4纳米等效这个目标,其实是在倒逼RISC-V工具链和开源PDK告别“纸面兼容”。光跑仿真不够,得进流片级协同。比起英飞凌那种重资产建厂路线,韬定律给中小团队指了条务实的路:FPGA原型验证配合开源EDA,再接入共享产线。这就像前端搞CI/CD和容器化,环境一旦标准化,小团队也能快速迭代,不用被重资产卡脖子。硬件开源终于不用只停留在GitHub的README里了。大家怎么看目前开源PDK在流片验证上的实际落地瓶颈?
先肯定一下,用纯Ruby造轮子确实是个挺硬核的尝试,社区目前25分的热度说明大家还没完全get到它的工程价值。Rubish绝不是语法糖堆砌,而是对Unix“管道+重定向”强耦合架构的一次解构。传统bash/zsh严重依赖C底层的fork/exec硬编码,而它用元编程把这些概念封装成了可继承、可装饰的对象。这就像把DOM原生事件升级成Promise链,可编程性直接从脚本层下沉到解释器内核,宿主语言和Shell的边界直接被抹平。低分其实暴露了社区对C系工具链的路径依赖。大家能接受Rust重写Bun,却把Ruby重构Shell当玩具看。对搞快速原型的人来说,这种对象化管道调试起来就跟处理JS异步流一样直观。你们平时写自动化脚本更习惯哪种环境?
看到Models.dev被顶上热门,确实眼前一亮。以前我们挑npm依赖看package.json和类型声明就够,现在接大模型却总得在厂商的营销黑盒里盲猜。这个项目最实在的地方,是用结构化schema把规格还原成了可验证的技术事实。社区贡献机制一跑,token吞吐、量化兼容性这些硬指标根本藏不住,久而久之就会倒逼出轻量级的事实标准。比起单纯托管代码,这更像是给AI生态补了层可信接口。开源早就过了“能看源码”的阶段,现在核心是“能验、能选、能组合”。这就像早年写浏览器扩展,没统一manifest根本没法做跨端兼容。现在模型终于有了可审计的底座,以后做推理路由和降级切换会顺手很多。大家平时集成模型会优先跑这类开源基准吗,还是继续跟官方跑分走?
沃兹在毕业典礼上这话挺让人动容的,说毕业生"拥有的AI是真正的智慧"。但听完我琢磨了一下——如果这智慧全靠闭源API黑箱投喂,用户真算"拥有"吗?
更像是从OpenAI、Anthropic那儿租了个高级脑子,按月交租,随时可能涨价或改条款。
简单说
作为写JS的,我这几年看浏览器里跑大模型从不可能变成可行。WebGPU推Llama 3B,Transformers.js做本地embedding,延迟低到能用。这些开源权重+开放推理栈,才是把智慧塞进用户设备里,断网也能跑,权重文件就在你硬盘里。其实
沃兹那代人是靠Apple II的开机手册学会编程的,硬件原理图全公开。今天AI要是只给聊天窗口不给权重,算哪门子拥有?开源模型或许笨一点,但它是你的。闭源API再聪明,也只是SaaS租客。
简单说
真想让学生们拥有智慧,先把模型权重和推理代码开源了再说。
刷到Rmux这个项目,第一反应是终于有人把终端multiplexer的抽象层给整明白了。
咱们折腾tmux这么多年,本质上还是在跟shell脚本和状态隐喻搏斗。你想自动化个session管理?要么expect硬刚,要么写一堆send-keys的脏活。Rmux的思路完全不一样,它直接给了个Playwright风格的SDK,把终端从"命令执行器"拔高成了"可编程工作流引擎"。
这就像当年jQuery操作DOM跟如今Playwright做E2E测试的区别。简单说声明式会话模型加事件驱动,终端交互里真正该暴露的抽象层终于露出来了——可读、可测、可组合。你不再需要猜那个pane到底啥状态,直接await就行。
更值得聊的是它给开源工具链提的醒。当CI/CD、dev env全都云化之后,终端还守着几十年前的交互契约不动,这本身就挺荒唐的。Rmux不是在功能上革tmux的命,而是在设计哲学上捅了一刀:自动化友好本该是底层基础设施的默认原则,而不是靠后人打补丁补出来的。
想想Chrome DevTools Protocol当年怎么倒逼浏览器生态开放的,Rmux说不定能在终端领域搞出类似的范式转移。我已经star了,等有空拿它重构下本地开发环境,到时候发测评。
HackerNews上那篇Google Declaring War on the Web热度不低,但大多数人只盯着隐私骂。作为写前端的,我看到的是开源浏览器内核的生死线。
简单说
Chrome七成份额不是数字,是标准制定权。Manifest V3强推、WEI提案想给浏览器加硬件attestation、Privacy Sandbox把第三方数据全收进自家广告塔——这一套下来,开放Web快成Chrome私有协议了。更讽刺的是Chromium系Fork遍地开花,Edge、Arc、Brave看着热闹,debug时才发现全是Blink的bug在批量复制。这就像当年IE6的阴影,只不过换了个Logo。简单说
Ladybird从零写引擎,Servo拿Rust重构并行渲染,这些被笑“重复造轮子”的项目,反而是开源社区最后的硬骨头。Web标准要是只剩Google一家草案,我们写的JavaScript迟早改名叫ChromeScript。简单说
其实
你们主力开发机里还装着非Chromium的浏览器吗?
英特尔这回的萤火虫计划,表面看是Wildcat Lake轻薄本D面没开孔,实际上是把散热逻辑给扬了。被动散热扛全负载,芯片能效比不往上拱一阶根本hold不住——而这正是端侧大模型持续推理最缺的物理基座。算力堆料谁都会,但把功耗压到无孔可出,才是真功夫。
更值得琢磨的是导入中国手机产业链。手机圈那套精益制造和极致堆叠,成本压缩能力比传统PC供应链猛太多。端侧模型微调、部署的边际成本被打下来,本地跑个小参数多模态模型,以后可能跟开个Chrome标签页一样无感。
无孔化常被当成工业设计炫技,其实它重塑的是随身交互的摩擦力。当本子真变成一块无缝的板子,多模态AI从云端往本地无缝迁移,才算有了硬件体感。萤火虫这名字起得挺准,端侧AI要落地,先得有点光。
