米乐6:开源日报 xz后门投毒黑客身份成谜；知名开源前端框架「威优易」；自研RISC-V内核MCU最后的出路？

　　与之前的 9.3 版本相比，10.0 版本带来了许多改进、新功能和修复。首先也是最重要的，当涉及多核和多处理器系统上的计算和文件系统绑定应用程序时，性能得到了巨大的改进。NetBSD 10.0 还带来了与其他系统上的实现兼容的 WireGuard 支持，不过目前尚处于实验阶段。

　　「天工 3.0」采用 4 千亿级参数 MoE 混合专家模型，并将同步选择开源，是全球模型参数最大、性能最强的 MoE 模型之一。

　　相较于上一代「天工 2.0」MoE 大模型，「天工 3.0」在模型语义理解、逻辑推理、以及通用性、泛化性、不确定性知识、学习能力等领域拥有惊人的性能提升，其模型技术知识能力提升超过 20%，数学 / 推理 / 代码 / 文创能力提升超过 30%。

　　统信软件发布了重要的公告称，在开源软件 liblzma/xz 5.6.0 及 5.6.1 版本存在安全漏洞的消息被披露后，已对旗下全部的产品完成了排查，确认包括统信 UOS 桌面操作系统和服务器操作系统各版本均不受其影响，各位用户可放心使用。

　　今天以及未来一段时间网络安全的焦点话题应该都是开源软件 xz 被植入后门事件。

　　整个事情是比较复杂的，我尽量说简单一点：一个自称 Jia Tan 的开发者，向开源软件 xz 加入了一个后门。该后门可以让攻击者无需有效账号也可以从 SSHD 访问系统。目前已知最新的 v5.6.0 和 v5.6.1 两个版本中都存在该后门。

　　由于发现的还算及时，目前只有类似 Debian sid、Fedora Rawhide、openSUSE Tumbleweed 这样比较追新的发行版分支受到了该后门的影响。然而，如果该后门没有被及时有效地发现，当存在后门的 xz 被广泛引入各 Linux 发行版后，掌握后门的人就可以轻易入侵这些 Linux 系统。

　　雷军顺势而为之后，创立了小米手机，算是一个相对意义上的成功，但还未达到他心中的世俗意义上的成功。现在又创立了小米汽车，为的还是要实现世俗意义上的成功。

　　但无论是小米手机，还是小米汽车，实际上都还似有似无的透露着一些理工男、中关村劳模的影子。人很难跳脱自己的出身影响。

　　在最近几年的一些开发者会议上，林纳斯坦言现在做的项目管理的工作，他有一小撮顶级开发者共同协作，当有新的任务时，他知道应该把任务分配给谁。

　　除了总体的沟通协调工作，Linus 本人还负责 merge 代码，Linux 内核每三个月(70 天左右)发布 1 个版本，即便在不同国家出差，Linus 也要克服时差按时发布。

　　今年内我们将发布一款全新的 AVG 游戏引擎，其采用近年流行的 Rust 语言编写，并适配三大桌面操作系统、两大移动操作系统和网页端；并能让你使用最新世代的 UI 编程方式来构建你的游戏交互和动效；最后，引擎将以商业友好的许可证持续开源且免费使用。

　　后门代码被注入到 OpenSSH 服务器（sshd 进程），因为 liblzma（含有恶意代码）是某些 OpenSSH 版本的依赖项。 后门劫持了 RSA_public_decrypt 函数，这个函数原本用于验证 RSA 签名。 恶意代码会检查 RSA 结构中传入的公共模数（「N」值），这个模数完全受到攻击者控制。 恶意代码使用硬编码的密钥（采用 ChaCha20 对称加密算法）对「N」值进行解密。 解密后的数据通过 Ed448 椭圆曲线签名算法进行有效性验证。由于这是一种非对称签名算法，后门只包含了公钥，这在某种程度上预示着只有攻击者能够为后门生成有效载荷。此外，这个签名与主机的公钥绑定，因此一个主机上的有效签名不能在其他主机上使用。 如果数据有效，该有效载荷将以 shell 命令的形式被执行。 如果数据无效（有效载荷格式不正确或签名无效），则会透明地恢复到 RSA_public_decrypt 的原始实现。这在某种程度上预示着，除了攻击者之外，是无法利用互联网发现易受攻击的机器的。

　　LLMStack 是一个无代码平台，用于构建生成式 AI 应用程序、聊天机器人、代理并将它们连接到你的数据和业务流程。

　　它是一个构建新的人工智能体验或将AI集成到现有产品中的框架。LLMStack 被设计为模块化和可扩展的。它能够在一定程度上帮助你管理可连接到 LLM 应用程序的数据，以创建上下文感知的生成式 AI 应用程序。

　　LMStack 是一个功能强大、易于使用的无代码平台。支持多模型、数据集成，可云或本地部署，并提供 API 访问。通过 LLMStack，用户都能够在无编程经验的情况下，利用多种数据源和 AI 模型，快速创建定制化的 AI 解决方案，很适合希望探索 AI 潜力的开发者和企业。

　　这篇文章，笔者结合自己的真实经历，和大家伙儿一起来分享消息队列的七种经典应用场景。

　　Bergstrom 表示，采用 Go 和 Rust 构建系统所消耗的人力和时间是一样的；并且从 Go 转向 Rust 不会降低工作效率。

　　值得一提的是将 C++ 代码重写成 Rust 代码后的比较。“在每种情况下，我们都发现，无论是用 Rust 构建服务，还是维护和更新这些用 Rust 编写的服务，所需的工作量都减少了 2 倍以上。”

　　谷歌对 Rust 语言的采纳和推广，体现了其在提高软件安全性和开发效率方面的追求。这一转变不仅反映了谷歌对 Rust 语言的认可，也凸显了 Rust 在企业级应用中的潜力。

　　谷歌的决策将对全球技术社区和开源社区产生深远影响，特别是在推动 Rust 语言在企业级应用中的使用和提升软件安全性方面。

　　技术的运用是把双刃剑，用之为善可以造福社会，不当滥用则会造成社会风险和损害。对此，需要有关方面逐渐完备法律和法规，进一步细化 AI 技术滥用的侵权类型，明确所有的环节的主体责任，确立媒介平台的技术检验测试义务和过滤删除责任，以法律为 AI 技术应用框定红线；同时，引导技术开发、应用者自觉遵守法律规定和科技伦理道德，培育积极健康、向上向善的研发、应用环境，保护和鼓励新兴智能技术的有益探索。

　　作为社会公众，对疑似 AI 生成的内容信息应保持警惕，不要对此类生成信息进行盲目传播、扩散，在利用 AI 技术生成相关联的内容时要获得权利人同意，尊重社会公德和伦理道德。

　　世界苦 Arm 久矣，不是因为它不够强大，而是开源更具性价比。RISC-V 作为 x86、Arm 后第三大指令集，备受我国半导体厂商的喜爱。尤其是在 MCU 领域，过去几年出现过很多 RISC-V+Arm 双核或纯自研 RISV-C 内核的 MCU 产品。

　　前几天，Renesas（瑞萨电子）宣布，推出基于内部自研 CPU 内核构建的通用 32 位 RISC-V 微控制器（MCU）——R9A02G021。

　　这意味着，行业的风向开始变了，MCU 巨头的战略也开始向 RISC-V 倾斜。

　　用户观点 知名开源前端框架「威优易」，你们学吗？观点 1：抱着试试看的心态，学了一个疗程。现在腰也不酸了，腿也不疼了，就连走路啊，都有劲儿了！ 观点 2：威威优优又易易。学了之后我看代码一目百行，我电脑编译项目一秒十个项目。非常好用！ 观点 3：还在学？时间差不多喽 观点 4：10 几年终于汉化了 观点 5：逼格瞬间降低 999999 档 观点 6：是愚人节整蛊？xz 活跃维护者 “潜伏” 三年 —— 添加恶意代码、植入 SSH 后门观点 1：该拿到报酬的人没有拿到报酬，圈外的人很难想像互联网的基础设施中的很多螺丝钉是别人做慈善的结果吧 观点 2：功夫不到家 这么处心积虑的搞了个后门，结果是个 bug 观点 3：我看 tk 还是谁说到了 jia tan 这一个名字像中国人所以已经有开始针对中国开发者的一些不友好评论？还说什么在中美对抗的大背景下 以后开源项目中国开发者的境遇可能会变差？ 观点 4：处心积虑的黑客会给自己起个中文拼音名字吗？这根本就是自导自演的炒作