每日精選 AI/Tech 新聞,繁體中文整理
今日頭條
你的 npm install 可能正在幫北韓賺外匯——1,700 個惡意套件潛伏在你的開發環境裡
欸,這則真的要認真看。不是那種「又有資安新聞」可以滑過去的等級。
北韓國家級駭客組織 UNC1069(又稱 BlueNoroff / Sapphire Sleet,微軟命名)被資安研究人員 4/7-8 抓到:他們透過代號 Contagious Interview 的行動,在 npm、PyPI、Go、Rust 四大套件生態系塞進了超過 1,700 個惡意套件。對,你沒看錯,一千七百個。
這些套件的名字長得跟正常工具一模一樣:dev-log-core、logger-base、logkitx、pino-debugger——就是那種你在趕 deadline 的時候不會多看兩眼就直接裝的東西。裝下去之後,它會默默下載第二階段的惡意程式,功能包括:偷你的瀏覽器密碼、挖你的密碼管理器、搬走你的加密貨幣錢包,然後開一扇遠端存取後門(RAT)讓駭客隨時回來。
更可怕的是社交工程那一面。Security Alliance(SEAL)兩個月內封鎖了 164 個 UNC1069 偽造的網域,這些網域假冒 Microsoft Teams 和 Zoom 的登入頁面。駭客會先在 Telegram、LinkedIn、Slack 上跟你聊好幾週,建立信任感之後再丟一個「欸我們開個會討論一下」的假連結——點下去就中招。
這已經是繼 Axios npm 入侵、LiteLLM 供應鏈攻擊之後,UNC1069 今年的第三波大規模行動了。模式很明確:AI 開發工具鏈就是國家級駭客的提款機。
拜託,下次 npm install 或 pip install 之前,花 30 秒看一下套件的維護者是誰、星數多少、最後更新時間。這 30 秒可能是你跟資料外洩之間唯一的距離。
來源:The Hacker News(4/8)/Socket.dev(4/7)
新聞摘要
Meta 端出 Muse Spark——Alexandr Wang 入主後首款模型,但這次不開源
Meta 昨天(4/8)正式發布 Muse Spark,這是 Meta Superintelligence Labs(MSL) 成立後的第一款模型,由去年以 $150 億美元(約新台幣 4,875 億元)收購 Scale AI 後加入的 Alexandr Wang(Meta 首席 AI 長)主導開發,內部代號 Avocado。
Muse Spark 是原生多模態推理模型,支援語音、文字、圖片輸入(目前只輸出文字),內建 tool use、視覺推理鏈和多 Agent 協作。Meta 宣稱它用不到 Llama 4 Maverick 十分之一的算力就能達到同等效能。但 benchmark 不算驚豔——部分任務跟 OpenAI 和 Anthropic 打平,沒有新的 state of the art,Meta 自己也定位為「competitive」而非「best」。
更值得注意的是策略轉向:Muse Spark 不開源。Meta 說「未來版本可能會」,但大模型閉源、中小型開源的雙軌路線已經成形。接下來會推出 Contemplating 模式(複雜推理),並擴展到 Facebook、Instagram、WhatsApp。
Llama 4 表現不如預期後,外界一度擔心 Meta 放棄開源。Muse Spark 至少說明一件事:Meta 沒退場,只是換了策略。
來源:CNBC(4/8)/TechCrunch(4/8)/Bloomberg(4/8)/Meta 官方 Blog(4/8)
中國開源模型 GLM-5.1 登頂 SWE-Bench Pro——擊敗 GPT-5.4 和 Claude
開源社群又多了一個大驚喜,而且這次是從中國來的。
Z.ai(前身智譜 AI / Zhipu AI) 4/7 發布 GLM-5.1,在軟體工程評測基準 SWE-Bench Pro 上拿下 58.4 分,超越 GPT-5.4(57.7) 和 Claude Opus 4.6(57.3),登上全球第一。
GLM-5.1 基於 744B 參數的混合專家模型(MoE)架構,實際啟用 40B 參數,200K Token 上下文視窗,最大輸出長度 131,072 Token。最厲害的賣點是:它不只寫一次性的程式碼片段,而是能在單一任務上持續工作長達 8 小時——規劃、執行、測試、修復一條龍。
授權方面更大方:MIT License,商用完全自由,模型權重已上 HuggingFace。
Z.ai(智譜)的背景也值得一提:這家從清華大學孵化的公司,今年 1 月在香港 IPO,募了約 HKD 43.5 億(約 $5.58 億美元),是全球第一家上市的基礎模型公司,目前市值約 $313 億美元。
中國開源模型在程式碼任務上超越美國閉源模型——這個事實本身,就值得所有人注意。
來源:Dataconomy(4/8)/TechBriefly(4/8)/BuildFastWithAI
Musk vs OpenAI 世紀審判 4/27 開庭——Musk 要求撤換 Altman、索賠 $1,340 億
AI 產業最大的法律對決,再過不到三週就要正式開庭了。
4/6-7 連續兩天出現重大進展。Elon Musk(xAI 創辦人、Tesla CEO)的律師團向法院提交新文件:要求法官下令將 Sam Altman 和 Greg Brockman 從 OpenAI 撤職,並撤銷公司從非營利轉為營利結構的計畫。索賠金額維持在 $790 億到 $1,340 億美元(約新台幣 2.6 兆到 4.4 兆元),指控 OpenAI 和最大投資者 Microsoft 的「不當得利」。
Musk 的律師同時做了一個出人意料的動作:修改賠償方案,表示如果勝訴,所有賠償金將歸還給 OpenAI 的非營利組織——等於在告訴法官和陪審團「我不是為了錢」。
OpenAI 這邊也沒閒著。4/6 OpenAI 策略長發信給加州和德拉瓦州的檢察長,要求調查 Musk 的「反競爭行為」,指控他透過各種手段試圖破壞 OpenAI,包括與 Meta 的 Mark Zuckerberg 合作。
陪審團遴選 4/27 在奧克蘭聯邦法院開始,預計審理四週。這場審判的核心問題是:OpenAI 從非營利轉型為營利公司的過程中,是否違反了設立章程中的公益承諾、是否詐欺了 Musk 等早期支持者。
結合上週報導的 CFO Sarah Friar 與 Altman 的內部矛盾,OpenAI 目前同時面對外部的法律攻擊和內部的治理動盪——在 IPO 準備期遇到這種雙重壓力,挑戰不小。
值得關注
- Musk vs OpenAI 審判的連鎖效應:4/27 開庭如果 Musk 贏了,OpenAI 的非營利轉營利計畫可能被撤銷,連帶影響 Q4 的 $1 兆估值 IPO。但即使輸了,四週審判期間曝光的內部文件(私人日記、秘密簡訊都會呈堂)可能比判決結果更具殺傷力。
- Anthropic vs 五角大廈,4/30 是下一個節點:川普政府 4/2 提出上訴後,第九巡迴法院給了 4/30 的截止期限。如果政府的理由夠強,5 月可能發出緊急暫停令覆蓋掉臨時禁制令——這將決定 AI 公司能不能對政府的 AI 使用條件說不。
- OpenAI IPO 的三重壓力同時存在:CFO 跟 CEO 不同調、Musk 訴訟即將開庭、COO 調職 + CMO 辭職 + 應用總裁請假——這些事情分開看各有各的原因,合在一起看就是一個治理層面的系統性風險。
- HumanX AI 大會今天閉幕(4/6-4/9,舊金山 Moscone Center):如果有任何壓軸公告,今天是最後機會。
- GLM-5.1 的意義不只是 benchmark:MIT License + 全球第一的程式碼評測 + 上市公司背景——中國開源模型的可信度和可用性正在快速提升,對習慣只用美國模型的開發者來說,該開始認真評估了。
編輯觀點
(由使用者填寫,若無則省略此區塊)