严重漏洞！AI编程助手OpenCode允许未授权远程执行代码

前沿哨所

• 严重安全漏洞：Superhuman AI 遭零点击攻击泄露用户邮件

  安全团队 PromptArmor 揭示 Superhuman AI 存在严重漏洞，攻击者利用“间接提示注入”技术，通过包含恶意指令的邮件诱导 AI 将用户收件箱中的敏感数据发送至攻击者控制的 Google 表单。这是一种零点击攻击，用户甚至无需打开恶意邮件，仅请求 AI 总结邮件即可触发数据泄露。该漏洞同样影响了 Superhuman Go 和 Grammarly，目前 Superhuman 团队已迅速修复并加强安全策略。

  原文链接：Hacker News

  51分钟前

• 编程语言 Token 效率排名：Clojure 最强，C/C++ 排名垫底

  在 LLM 上下文窗口受限且全球面临内存短缺的背景下，编程语言的 Token 效率成为影响 AI 开发成本的关键因素。一项基于 RosettaCode 数据的研究对比了 19 种主流语言，发现最高与最低效率之间存在 2.6 倍差距。结果显示，Clojure、Julia、Ruby、Perl 和 Python 在 Token 利用率上表现最佳，而 C、C++ 和 C# 则处于劣势。这一发现为开发者在 AI 时代的语言选择提供了重要数据支持。

  原文链接：Linux.do

  51分钟前

• SurfMind：支持多模型切换的网页侧边栏AI助手

  针对用户希望在网页端灵活切换不同AI服务的需求，SurfMind提供了一站式解决方案。该工具支持Chrome及iOS Safari扩展，允许用户自定义Base URL和API Key，将AI聊天功能集成至网页侧边栏。通过整合多个公益AI站点，用户无需重复输入地址即可在不同设备间无缝切换使用，极大提升了浏览网页时的AI辅助效率。

  原文链接：Linux.do

  2小时前

• AI辅助编程实测：大模型助力3天完成在线尺子开发，效率显著提升

  一位AI产品经理通过实际项目验证了大模型的编程能力，仅用三天时间便开发完成一款在线尺子，并上线了西班牙语版本以测试小语种SEO效果。作者对比指出，若人工编写该功能预计需耗时十天，而AI辅助开发不仅大幅缩短工期，代码质量仍能保持在85分左右。这一实战案例有力地证明了AI工具在提升前端开发效率、降低技术门槛以及辅助全球化布局方面的显著价值。

  原文链接：V2EX 分享发现

  3小时前

• 从网球老将到科技巨头：赢家通吃系统的必然宿命

  本文通过分析网球界高龄球员统治赛场的原因，揭示了“赢家通吃”的系统规律。作者指出，在奖励累积的机制下，赢家会不断积累资源并推高准入门槛，最终导致垄断或寡头形成。这一现象同样适用于游戏设计、MMO运营以及Amazon、Facebook等科技巨头的商业竞争。作者强调，若不定期打破这些“中心枢纽”，系统将因缺乏竞争而停止增长并最终消亡，因此设计应追求动态平衡而非绝对的稳定。

  原文链接：Hacker News

  3小时前

• 传奇程序员新作：基于大模型的文本压缩工具ts_zip发布

  传奇程序员Fabrice Bellard推出了基于大语言模型的文本压缩工具ts_zip。该工具利用RWKV模型预测概率并配合算术编码，压缩率远超xz等传统工具，部分测试低至1.08 bpb。尽管目前依赖GPU且速度较慢，仅支持文本，但这标志着AI技术在数据压缩领域的重大突破与实际应用。

  原文链接：Hacker News

  3小时前