DeepSeek大模型在各行各业的应用成为热门话题。近期，DeepSeek的风吹到了空调行业，美的首款搭载了DeepSeek语音大模型的空调——美的鲜净感空气机T6即将在3月1日全球首发。  据美的集团发布的2024年半年报显示，2023年美的空调的零售额全球占比超过了20%。也就是说，2023年全世界每卖出5台空调，就有一台是美的制造的。作为空调行业的全球领军品牌，美的空调始终将科技领先作为核心战略方向，走在技术创新的最前沿。 此次，美的鲜净感空气机T6通过私有化部署的DeepSeek大模型深度融入空调使用场景，可进行深度学习推理和决策，实现一键好空气，温湿风净鲜多维度自感知自学习自调节。在智能语音交互方面使用大模型的推理能力和技术，突破了传统语音交互的局限，实现了“一句话多意图理解”、“模糊指令控制”和空气知识问答，并可召唤DeepSeek随心聊，让用户与空气机的交互更加自然便捷。在DeepSeek大模型的强力赋能下，美的鲜净感空气机T6将化身为“懂你所需”的智能生活伙伴，为用户带来前所未有的智能化体验。 美的空调与DeepSeek的强强联手，不仅展现了美的空调以科技创新为核心驱动力的品牌理念，更推动了整个空调行业向智能化方向加速发展，作为全球空调行业的引领者，美的空调正在通过不断的技术突破和产品创新，重新定义空调的角色与价值，开启空调智能化发展的新篇章。 美的空调作为行业引领者，将继续以科技为引擎，推动智能化技术的深度应用，为全球消费者带来更智能、更舒适、更健康的生活体验。    

智能终端正式迈入 Agent 时代。 #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615369) ·[查看评论](https://www.ifanr.com/1615369#comments) ·[新浪微博](https://weibo.com/ifanr)

轻薄得让我经常忘记它是折叠屏手机。 #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615075) ·[查看评论](https://www.ifanr.com/1615075#comments) ·[新浪微博](https://weibo.com/ifanr)

作者丨朱可轩 编辑丨陈彩娴 去年年底，全球首个基于全域真实场景、全能硬件平台、全程质量把控的百万真机数据集开源项目 AgiBot World 发布，在机器人领域引起了广泛关注。 AgiBot World（https://agibot-world.com/）的目标是打造硬件加系统的 AI 次方模式，香港大学助理教授李弘扬博士团队与上海智元机器人深入合作，开展了机器人超大规模操作任务的前沿研究。 2019 年，李弘扬在香港中文大学多媒体实验室（MMLab）获博士学位，主攻计算机视觉和深度学习方向，于2021年在上海组建了 OpenDriveLab 团队，专注具身智能与自动驾驶的研究。 他曾在 CVPR、ICCV、ECCV、NeurIPS、RSS、CoRL、ICLR、TPAMI 等国际顶尖会议与期刊上发表论文三十余篇，并多次担任会议领域主席（Area Chair），其中端到端自动驾驶算法工作 UniAD 被评为 CVPR 2023 最佳论文。 博士毕业后直到 2023 年，李弘扬主要聚焦在端到端自动驾驶算法的研究，自去年年初开始，他更多地开始关注机器人方向。实际上，二者之间是存在许多可移植经验的，比如都由感知、预测和规控构成，而且都跟环境交互从算法识别到动作执行。其中，最关键的点在于端到端的训练范式能否复制到机器人任务中。 2024 年第二季度，团队便开始论证调研如何在具身智能中验证 Scaling Law，他们和智元等团队合作 AgiBot World 的工作也始于这一阶段。作为百万真机高质量标签的数据集，AgiBot World 的物理形态趋于统一，这点区别于将不同子数据集简单堆砌到一起的超大规模数据集；同时，前者在灵巧手操作、视触觉多模态信号和多机协同等三方面也有着明显的优势。  左：AgiBot World 数据集发布前团队同学通宵达旦进行准备。右：央视总台和上海市经信委对AgiBot World 数据集的发布进行报道。 正基于此，AgiBot World 距离具身智能的两个大目标更近一步：一是真正智能化，二是如何定向验证 Scaling Law。“不是堆百万真机、堆 GPU 算力就行，而是说百万真机能回答多样性比数据量更重要；另一个是如何验证小规模数据 ，例如 30 万数据，就能达到某个性能，进而达到降本增效”，李弘扬强调。 AgiBot World 还有一个更加宏大的愿景，全量数据集将于 2025 年 3 月推出，同时也会在 CVPR、IROS 等场合举办挑战赛；通过数据共享，让整个产业、学界共同研究有价值的学术问题，才能真正实现具身智能领域的“ImageNet 时刻”和共用共享。 2025 年，李弘扬团队工作核心是探索如何构建真正具有智能的具身系统，使得机器人真正能够适应各种环境、学习各种新任务、能够从自身行动中获得反馈并进行反思。更多最新工作进展，敬请访问团队主页 [https://opendrivelab.com](https://opendrivelab.com)  我们认为实现具有人工智能的具身智能系统需要模型具备三种能力：自适应、能学习、会反思。 以下是 AI 科技评论与李弘扬的对话： 自动驾驶与具身智能 **AI 科技评论：**博士毕业后，您有几年时间是专注在端到端自动驾驶的算法研究上。为什么会转到机器人赛道？您对具身智能领域开始感兴趣的契机是什么？ **李弘扬：**自从 2019 年博士毕业之后，我的研究重心始终聚焦于具身智能领域。早期我们更专注于端到端自动驾驶方向的研究，23 年 6 月团队提出了原创性的 UniAD 端到端自动驾驶方案，也获得了当年 CVPR 的最佳论文。同年 12 月，特斯拉 FSD V12 全面推广，到 24 年时，端到端范式已经在业内全面铺开。从 24 年开始，自动驾驶已经进入下半场，这一阶段的发展不仅需要持续的技术突破，更面临着工业化落地与企业级量产验证的挑战。 团队从 23 年下半年开始更多地往机器人方向倾斜，论证并启动了相关研究的布局。原因之一在于自动驾驶和机器人有很多相同的技能栈，比如都是感知、预测、规控构成的，都是跟环境交互从算法识别到动作执行的。我们关注的最大的点在于端到端的训练范式能否复制到机器人的任务里，因为他们都是相似。其二是 23、24 年开始，随着 OpenAI、特斯拉在机器人方面做了很多创新性的工作，在 AIGC 与环境感知领域取得突破性进展后，技术发展的焦点已自然延伸至物理交互与执行层面。将海量数据训练范式与大模型技术优势引入传统机器人领域，既是学术界的前沿课题，也已成为产业界的战略共识。 **AI 科技评论：**在具身智能方向，您接触的第一个相关工作是什么？这个赛道有哪些研究工作、研究问题让您感兴趣？主要想解决哪些问题？ **李弘扬：**最近团队发表的比较重要的工作是在 24 年 7 月的 RSS 上，主要关注通过视觉预训练来提升机器人操纵能力，因为在现在大数据的背景之下，以预训练作为切入点是比较自然的路径。在这个领域，我主要关注以下三个核心问题：首先是泛化能力，如何使机器人在面对不同场景和任务时，都能展现出良好的适应性和通用性；其次是智能性，不仅仅是完成诸如拿起杯子这样的简单任务，还要具备闭环反馈能力。例如，机器人需要根据实际情况进行错误纠正和自我调整，这样才能体现出真正的智能；最后是高效性，现在的大模型不仅在自动驾驶中面临部署难题，应用于机械臂上同样存在挑战，就是如何在保证性能的同时，实现高效、轻量化的部署。 **AI 科技评论：**UniAD 项目对于您之后的工作有没有带来哪些启发？ **李弘扬：**UniAD 在自动驾驶中把感知、预测和规控做到了一起，主要有两点启发。 第一是全局优化能力，通过对整个神经网络进行联合调优，并最终以规划优化指标为核心，可以有效弥补传统方法中各模块独立运作时存在的信息损失问题。以前感知模块仅传递目标识别结果，预测模块仅传递轨迹信息，而动作执行模块则基于这些信息进行操作，这个过程中不可避免地存在大量信息损耗。而在一个统一的网络中，各模块之间传递的是网络学习到的特征，信息量非常丰富，从而实现了全局优化。我们想把这个经验放到机器人里来，因为在传统的机器人研究里，感知是非常粗糙的一种形式表达，再到动作执行模块，也有类似相关信息损失。 第二是在海量数据的应用上。在 UniAD 中，所有的轨迹数据可以一次性地采集完，从而进行大量的数据采集工作，发挥 Scaling Law 的优势。在机器人领域，我们希望探索是否能够复制这一经验，即在引入海量数据后，算法的性能提升是呈现线性增长、指数级爆发，还是最终达到瓶颈，数据量的增加是否能够真正带来机器人泛化能力的提升。我们计划沿着 UniAD 的思路，特别是以数据驱动学习为基础的机器人操作研究方向，进一步探究全局优化与海量数据在机器人领域的应用潜力。 **AI 科技评论：**您从自动驾驶转到机器人，会不会觉得有什么困难之处？ **李弘扬：**从算法来讲，自动驾驶里自由度很低，最终输出通常仅涉及油门和方向盘的四个自由度。而在机器人领域，任务自由度可以根据需求灵活定义，例如灵巧手可能具有 6、12 甚至 20 个自由度，导致解空间非常复杂。但相对于自动驾驶场景而言，机器人领域的场景变化没那么丰富，主要集中于室内导航、工业巡检等特定领域。我们尝试把自动驾驶的经验直接拿到机器人的过程中发现，单纯将全局优化的理念直接迁移至机器人领域，需要对网络结构和训练范式进行较大改进。 另一方面，数据采集难度明显增加。自动驾驶领域中，车辆形态相似，只需要几百台同类型车辆部署就可以采集到数百万条数据，基本模型较为固定。而目前机器人硬件形态都没有收敛，不同设备间存在较大差异，数据采集工作面临更大挑战。为此，我们提出了数据金字塔策略，即结合仿真数据、网络数据、真机数据以及针对特定任务的少量真机特殊场景，期待能够有效地解决数据上问题。 **AI 科技评论：**现在业界有说法认为，自动驾驶解决的是下肢问题，而机器人要解决的是上肢问题、典型任务是操作。您认同这个说法吗？ **李弘扬：**我部分认同这一观点。自动驾驶下肢问题解的是轨迹规划或者说动作执行，因为当前的感知问题已基本得到解决。对机器人来说，针对运动控制例如四足机器人的研究比较成熟了，各类仿生犬型机器人在多样场景中的表现稳定，但上肢问题主要涉及抓取与操作任务，当中要研究的问题、优化的思路非常多。 **AI 科技评论：**自动驾驶视觉算法与机器人算法的不同之处体现在什么地方？ **李弘扬：**现在自动驾驶算法的感知问题解得已经很好了，发展到今年，研究核心在于之后规控信号如何作为先验放到整个端到端体系里，发挥感知算法的优势，可以设计一些联调，从而充分发挥感知算法的优势。目前自动驾驶系统中，感知模块占据主导地位，而规划与控制部分则相对缺乏基于学习的方法，导致二者之间的整合存在一定问题。 机器人方法的不同在于解空间非常复杂、自由度很高。通常在这种情况下，会采用一种快捷高效的整体联调优化方法，例如强化学习。但强化学习本身存在样本效率较低的问题。举例来说，当将强化学习应用于人形机器人的全局优化时，就会面临样本效率低、奖励稀疏、训练收敛困难以及整体训练难度较大等诸多挑战。 **打造 ImageNet 时刻** **AI 科技评论：**不久前您参与的百万真机数据集 AgiBot World 发布，你们是从什么时候开始做的？ **李弘扬：** AgiBot World 是我们和智元合作推出的百万真机数据集。具身包括算法、数据、硬件、应用场景四个要素，尽管学术界在各类算法研究上投入甚多，但普遍认为算法性能的上限取决于数据，因此数据的重要性日益凸显，这也是我们团队工作的出发点之一。这个工作在 24 年 Q2 就开始调研论证了。当时，我们希望与那些将硬件及应用场景作为重要评估指标的机器人企业共同成长，我们也走访了很多国内机器人公司，最后落脚到智元。 **AI 科技评论：**与 DROID、Open X-Embodiment 等业界知名数据集相比，AgiBot World 的最大亮点、差异化优势是什么？ **李弘扬：**目前业内已经有许多数据集，有点像 2010 年之前视觉领域数据集百家争鸣的局面。在设计 AgiBot World 数据集时，我们着重在以下三点上进行创新： 首先是灵巧手。许多现有数据集，包括谷歌的数据集，往往使用的是夹爪。而我们提供了 6 到 12 自由度的真实灵巧手，为机器人操作任务提供了更高的精度和灵活性。 其次是视触觉。单纯依靠图像或点云数据无法有效完成任务，尤其是在视觉遮挡的情况下，比如在拧瓶盖或关门这类任务中。我们设计了融合视触觉的多模态数据采集，为这些复杂任务提供了更完整的感知能力。 最后是多机协同。现在很多在做灵巧手、视触觉的类似工作都是单点的，在数据集里集大成、把所有要素集到一起很少，我们设计了多机协同的任务，确保所有机器连在一个中央时间戳上，否则数据采集起来很困难，也克服了很多工程上的问题，包括怎么设计高效的硬件素材系统、数据采集系统等。 **AI 科技评论：**你们解决了当前具身智能领域的哪些迫切问题呢？ **李弘扬：**一是怎么实现真正的智能化。现在把具身智能分 L1 到 L5，如果能够解决 L2 级别的操作任务，就能在有限场景内实现真正意义上的泛化，可以说它就是今年的 ImageNet。这里所指的有限场景主要涵盖工业巡检、汽车总装线、居家服务等特定场景里的泛化。例如，在叠衣服任务中，无论是大衣、外衣，还是薄的、软的衣服都可以叠；如果是汽车总装线，那么就是这个总装线上安轮胎、安保险杠、布线都能做。 其次，我们关注的是 Scaling Law。关键不在于仅仅堆砌百万真机数据或大量 GPU 算力，而在于探讨百万真机数据是否能够证明数据多样性比数据规模更为关键。我们期望通过这一研究为后续实现真正意义上的 Scaling Law 评估提供参考依据。 **AI 科技评论：**可以分享一下你们采集数据收集的过程吗？真机数据的采集有什么困难？你们又是如何解决的？ **李弘扬：**数据采集的过程中，我们参考了亚马逊 SageMaker 整个流程。由于数据采集任务较为复杂，首先需要设计任务构型并进行试采；在数据量达到预期后，还需考虑如何高效存储数据、培训数据采集人员以及处理采集过程中出现的反馈问题。 另一方面，我们参考了《Human-in-the-Loop Machine Learning》中的相关概念。这本书里从学习角度探讨了如何提升数据质量。在 AgiBot World 项目中，我们不仅采集了大量数据，还制定了详尽的问题清单，对流程不规范、步骤不完整、数据缺失等问题进行分类统计。 此外，Human-in-the-Loop 不仅体现在问题反馈上，更关键的是如何评估每条数据的质量。高的数据质量能够使得在这一批数据发布后，研究人员可基于此开展更多二次开发和深入研究。 另外，数据采集过程中，我们会估计制造一些干扰。例如，在执行内存条任务时，我们有意制造背景或内存条的抖动，以考察算法或数据采集系统能否通过不断试错恢复并完成任务。这与强化学习中负样本和持续学习的概念密切相关。数据采集与算法高度耦合，因此在算法层面存在诸多需求和研究空间，这也是我们设计此数据集的初衷之一。 AgiBot World 发布到社区的第一天才标志着项目的真正起步，我们预留了大量接口，供未来各类强化学习、模仿学习、对齐算法等使用，目的在于保研究者在各自领域中不会因缺乏数据集而受到限制。 **AI 科技评论：**你们的下一步研究计划是怎样的？感觉还有哪些亟需突破的难题？ **李弘扬：**AgiBot World 是个非常大的项目，现在发布 Alpha 版本总共是十万真机数据，短期研究计划是扩展到百万真机数据，大概会在 25 年 3 月发布。 中期目标方面，作为研发团队，我们基于该数据集验证差异化的 Scaling Law，以探讨如何实现智能化，相关成果预计将在今年下半年发布。 长线计划则针对未来两三年，不只有 AgiBot World 这个数据集，我们还计划搭建生态、办比赛，让大家真正地把数据集用起来。我们计划在今年下半年 10 月举办 AgiBot World 挑战赛，鼓励研究人员基于该数据集开展二次开发和深入研究。并且还将会每年都举办这个比赛，持续地服务整个社区。 **AI 科技评论：**NeurIPS 2024 上，Ilya 提出解决大模型训练数据匮乏问题的三大途径之一是合成数据。您怎么看机器人领域中真机数据与合成数据的差别？ **李弘扬：**真机数据最大优势是没有 Sim-to-Real 的问题，我们选择真机数据主要有两个原因：其一，我们团队并非专注于仿真领域；其二，合成数据的构建工作量巨大且周期较长，涉及诸如渲染技术和数据资产构建等问题，因此我们直接采用了真机数据。 现在大家都在抱怨真机数据很少，AgiBot World 是单一构型的、百万真机的、可上量的数据集。单一构型指的是物理形态都是一样的，这与某些数据集将不同子数据堆砌在一起、声称拥有百万真机数据形成鲜明对比。实际上，跨越不同视角、任务和硬件构型的迁移非常困难，而 AgiBot World 的单一构型扩展策略类似于在全球范围内采用数百万辆特斯拉 Model 3采集各类数据。当然，合成数据也是非常重要的，我们相信仿真数据一定会帮助最后的部署、落地，尤其在处理危险场景时。 **硬件形态待行业收敛** **AI 科技评论：**你们开源 AgiBot World 的初衷是什么呢？开源能给整个行业带来哪些价值？ **李弘扬：**首先，我们开源是希望打造具身智能领域的 “ImageNet 时刻”。当前行业中，A 团队提出一套算法，并在论文中展示其性能为 80%，B 团队则提出另一套算法，性能为 82%。然而，由于硬件平台不同，这些算法难以直接迁移或复现，导致性能差异难以客观评估。这并不意味着某一算法无效，而是缺乏统一的基准。因此，我们希望通过建立类似 ImageNet 的评测基准，使各类算法能够在统一的平台上进行公平对比，从而加速学术界和产业界的发展。 其次，我们希望通过开源，使真机数据的采集范式更加低成本、易获取。目前，采集高质量真机数据的成本极高，例如，购买一台配备灵巧手的双臂机器人，市场价格至少在 20 万人民币左右，而若要搭建 100 台设备，成本就到了 2000 万人民币。因此，我们希望通过开源 AgiBot World，降低行业门槛，使更多研究团队能够参与其中，共同推动具身智能的发展。 **AI 科技评论：**AgiBot 与机器人操作、世界模型等话题的关系是什么？ **李弘扬：**一是智元机器人的英文名就是 AgiBot，二是我们想实现 AGI 的机器人，这方面是一语双关。World 代表我们希望构建一个完整的世界模型，涵盖硬件、系统及 AI 算法生态。这不仅是 AgiBot World 项目的核心理念，也是我们最终希望实现的目标。我们的愿景是通过数据集推动硬件形态逐步收敛，并将其应用于灵巧手、视触觉系统以及轮式机器人上。同时，结合系统和生态构建，与行业伙伴共同完善数据集，并进一步推动学术研究和竞赛活动，以促进整个领域的发展。 **AI 科技评论：**您认为具身智能领域的模型训练会遵循 Scaling Law 吗？ **李弘扬：**Scaling Law 是 2024 年下半年各个研究团队都在做的非常热点的问题，今年也会是无论工业界还是学术界要重点研究的事情。当中可以凝练出诸多科学问题，例如：多样性和数据分布是否遵循某种规律；在有限数据量的条件下，能否通过算法的迁移学习获得性能提升；以及投入产出比的考量，例如百万真机的数据采集背后涉及的人力成本、标注成本、工程成本以及场地费用等。 **AI 科技评论：**除了数据集，您的团队现在还有没有研究具身智能的其他方向？目前主要在研究哪几个具体问题？ **李弘扬：**我们团队也在研究人形和一些硬件设备，一个重要的研究方向是 Whole Body Control，这是一个涉及全身动作协调和多任务协同的研究目标。目前，很多展示的炫酷 demo 虽然看起来非常吸引人，但往往是通过预设规则或者仅仅展示某些简单的动作，比如走几步或招手，这些动作相对简单。而在上半身与其他部位的协同操作上，挑战则更为复杂。当然 Figure 01 或者 1X 也都展示出了很好的 demo，在工厂里机器人 Whole Body Control 也已经做得非常好了。 **AI 科技评论：**您认为除了数据集，当前具身智能行业还有哪些被忽视、但关键问题需要解决？ **李弘扬：**被忽略的问题主要集中在硬件上，我甚至觉得具身智能的终极发展方向在于材料科学。这不仅涉及到视触觉等传感器的稳定性，还包括在下一代硬件研发和设计过程中，对各类传感器形态的前瞻性考量。目前，硬件迭代速度相对缓慢。如果算法无法与硬件深度结合，尤其是在传感器技术、磁感传感器、人造皮肤等方面缺乏突破，机器人将难以实现人类所能完成的复杂任务。因此，仅靠算法优化无法全面推动具身智能的发展。 我也希望更多来自机械工程、材料科学，甚至航天航空等领域的学者，能够投入到新一代传感器及相关硬件的研究中。硬件的创新将带来全新的应用场景，这些场景不仅可以赋能机器人，还会吸引更多从事算法创新的科研力量。只有软硬件协同进化，具身智能行业才能真正取得突破性进展。 **AI 科技评论：**目前你们在硬件方面都和哪些厂商合作？ **李弘扬：**我们目前使用了来自七到八家不同厂商的设备，这些设备都属于行业内最顶尖的水平。我们希望，团队中的研究人员能够基于最先进的硬件平台进行研究，从而推动具身智能领域的前沿发展。 **AI 科技评论：**现在也有很多人工智能从业者加入具身赛道，您觉得这在短期会给机器人领域带来哪些显著变化呢？ **李弘扬：**近期我们也走访了许多知名学者，尤其是在传统机器人领域深耕多年的专家。一些学者戏称，人工智能领域的从业者正在“抢占”他们的领地，尽管这只是玩笑，但确实反映了行业格局的变化。整体来看，许多从事人工智能研究的学者，正积极投身于具身智能赛道中。我始终认为，这并非竞争关系，而是合作共赢的局面。人工智能领域出身的学者在神经网络上有很丰富的经验，而传统机器人学者在硬件设计、系统架构等方面拥有深厚的积累和卓越的专业能力。这种交汇与融合将促使双方相互学习、共同进步。在人工智能技术的加持下，传统机器人行业有望迎来新一轮的变革浪潮。雷峰网雷峰网

前些天的百度世界大会上，百度 CEO 李彦宏很意外地没有提到两个词：AGI 和 Scaling Law。 AGI 的全称叫「通用人工智能」，它能够和人类一样处理各种各样的任务，是计算机科学家们所想要实现的终极目标之一；而 Scaling Law 则是一种现象，即 AI 的能力会随着模型大小、数据量、训练量的增加，而不断攀升，是实现 AGI 的重要手段之一。 在大模型尚火爆的年初，这两个词一度随处可见。许多企业都将他们印在 PPT 中，用来标榜自身的技术信仰。 这次百度世界大会，对李彦宏来说，这两个词的吸引力并没有那么大。在大会期间，李彦宏参与了一场圆桌访谈，他在期间提到，「没有跑到我心里，让我觉得重要到需要在百度世界上一定提一提。」 当然，这并非意味着百度没有技术信仰。众所周知，百度是中国第一家成立 AI 研究院的企业，并在十多年间招募了大批赫赫有名的计算机科学家。去年时代周刊评选的「AI 100 人」中，李彦宏更是为数不多上榜的中国企业家。 作为人工智能底蕴最深厚的中国企业，百度眼中的技术信仰，到底是什么样的？ 01 从 1 到 1.1 圆桌论坛上，访谈者抛给了李彦宏一个略显尖锐的问题：大模型技术的进步是否放缓了？ 毕竟在过去一年，社会大众对大模型的关注度肉眼可见地降低。许多外界声音认为，这和技术迭代放缓有很大关系。在李彦宏看来，这一判断，既对，也不对，取决于看问题的视角。 前面曾提到，大模型能力的增长，很多时候是由模型大小、数据量、训练量的增长拉动的。然而，由于当下模型规模、数据量都因素渐渐触顶，其能力的涌现确实没有前几年进步那么大。 「如果就当做一个学术项目，北极星指标就是「哪一年或哪一月能实现 AGI」的角度看，可以说技术进步的速度有所放缓。」李彦宏说道，「但我的视角更多是在应用，大模型的技术进步到底产生了什么应用。从这个角度来说，我认为技术进步的速度不仅没有放慢，甚至有变快趋势。」  事实上，大模型从「走出实验室」到「放上货柜」，中间还有海量工程问题要解决。其中一个关键问题，正是「幻觉」，即大模型有时会一本正经的胡说八道。 过去两年，以百度为代表的 AI 企业，其实一直在致力于消除幻觉。 对此，行业所交出的答卷，叫 RAG（检索增强）：简单来说，就是让大模型在说话之前，先从外部资料库检索相关内容，然后再结合这些内容输出回答。李彦宏在百度世界大会上宣布，大模型已经基本消除了幻觉。  并且基于这项技术，百度还推出了专门针对图像生成的 RAG 技术，叫 iRAG。过去，当 AI 生成图像时，有时会犯一些事实性错误，例如把只有三层的天坛画成四层，大大影响了可用性；然而，随着 iRAG 的加入，文生图的准确性大幅提升了，防止了 AI「瞎画」。  大众对技术的关心大多都是好奇心主导，更热衷于「0 到 1」的「科学突破」。然而，在改变世界的过程中，「从 1 到 1.1、1.2、1.3...」的工程改进，同样是必不可少的。 从中也可以看出，百度的技术信仰显然有着务实的一面。AGI 并非不重要，而是百度在长期探索人工智能技术边界的同时，并没有死磕 AGI，更强调用新技术来解决各种现实问题。 「很多美国同行，他们做法是把它当做一个 science，有一个终极目标，就想尽各种办法解决它。我们是把它当做一个问题，可能通过工程的方法，也可能用其他方法来解决。」李彦宏说道。 并且他提到，「做工程」、解决现实问题，有时会比科学更早发现机会和规律。 例如当年，先是莱特兄弟开着飞机上了天，人们才意识到有个东西叫空气动力学。而今年的诺贝尔化学奖，更颁给了 DeepMind 创始人哈萨比斯这位企业家，进一步印证了这个判断。 不过，具体到怎么做，除了前面提到的消除幻觉之外，李彦宏与百度还有别的思考。 02 过河的石头 在大模型刚刚成为显学的时候，产业界曾有这么一个讨论：谁会做出第一款超级应用？是资源更充足的大型科技企业，还是外头的不断涌现的开发者？ 李彦宏也思考过这个问题，而他更倾向于后者。 他在内部讲话中提到，百度可能会同时做十款或者最多一百款应用，然而外界可能会有一万家创业公司在尝试各种不同的赛道，谁的可能性更大，答案不言而喻。所以，百度应该将主要精力，放在底层大模型等基础平台上，让开发者能够更容易地在上面开发应用。 由此可见，百度在利用技术解决现实问题的同时，并没有执着于闭门造车，而是倾向于和外界开发者一同探索。 然而，大模型终归是个新事物，底层平台与开发者的合作模式仍有不少不合理的地方。李彦宏在不断摸索的过程中，意识到底层模型的迭代速度，应该保持一个合理的节奏。 此前，产业界其实存在一个问题：底层模型迭代得有些过快了。 熟悉技术的人或许知道，大模型内部是个黑盒。不同于传统软件，大模型的结构过于复杂，我们很难去追踪和理解，大模型到底是如何从特定的输入生成特定的输入的。这也意味着，对开发者来说，大模型的能力边界在哪，其实并不清晰；想要了解大模型到底能胜任工作，需要时间去摸索。 过快的迭代，会让外界开发者难以跟上节奏。更糟糕的是，过快迭代底层模型有时还会对开发者的产品产生不小的冲击。 最典型的案例，莫过于美国曾经的 AI 独角兽 Jasper。这家初创企业最初的产品，是基于 GPT-3 开发的、面向广告营销领域的聊天机器人。然而，随着能力更强大的 ChatGPT、GPT-4 陆续推出，Jasper 的产品很快「过气」，对公司造成了不小的冲击。 因此，李彦宏提出，更合适的节奏是两年一个大版本。 从一步步改善底层基础模型，到探索新的开发者合作模式，百度显然已经形成了一套范式。也是受益于此，百度开发者的生态正日益壮大。当下，百度文心大模型的日均调用量已经超过 15 亿，这一数字在半年内增长了超过 7.5 倍。在产业端，百度智能云已经拥有中国最大的大模型产业落地规模，超过六成的央企和大量的民营企业，正在联合百度智能云进行 AI 创新。百度智能云千帆大模型累计帮助用户精调了 3.3 万个大模型，开发出了 77 万个企业级应用。  毫无疑问，率先蹚水前行的百度，俨然已成为一块值得后来者摸着过河的石头。 那么问题来了，为什么是百度做到了？ 03 两条腿走路 众所周知，人工智能的黄金时代始于 2012 年：彼时，「AI 教父」辛顿所打造的 AlexNet 展现出了惊人的图像识别能力，引发了产业界的大力投资。然而，人工智能并非从此就踏上了康庄大道，期间其实两度面临降温，一次是 2020 年前后，另一次则是当下。 这其中，百度是少数能够穿越周期的 AI 企业。百度之所以能做到这一点，核心依旧与它的技术信仰有关。 百度对 AI 的热情并非「临时抱佛脚」，而是长期以来的，并且相信它会改变世界。在那个大厂扎堆搞电商、共享单车的移动互联网时代，百度是少数公开宣扬人工智能的大厂，李彦宏更是逢人都要聊几句 AI。 「百度信 AI，不是今天才信，也不是两年前信，是十几年前就信这个东西。所以文库的改造也好，或者说非常坚决地做一些在大家看来是全新的东西，没有太受 legacy 的束缚。我们真正的 legacy 就是我信 AI，一旦你把这个东西当成 legacy，这些东西其实就都很好解释，因为就是在做我们多年前一直想做的事。」李彦宏在圆桌论坛上说道。 所以，百度在发力 AI 时，一直都是「两条腿走路」： 既探索科学技术的边界，对其充满敬畏；同时也善于利用工程能力，并积极尝试使用新技术改变世界。用句略俗套的话来形容，就是「仰望星空，脚踏实地」。 一方面，百度并不吝于投资探索前沿科技。 因为李彦宏认为，科学家可以提供 vision（愿景），他们往往比大多数人看得更远。近两年大语言模型能够爆发，正是因为有科学家看到了 Scaling Law 的潜力。 因此，百度的团队中一直充斥着各种顶级头脑。知名计算机科学家吴恩达（Andrew Ng）就曾在百度担任过首席科学家。此前，曾在 Google 任职，然而 Google 不愿给他买更多 GPU，因为太贵了。面对吴恩达的困难，李彦宏只说了一句话：你来，随便买。  而在吴恩达之后，包括 Anthropic 创始人 Dario Amodei 等技术大牛，也相继加入过百度。时至今日，百度的团队中依旧有许多学术成果斐然的计算机科学家。 另一方面，正如前文提到，百度也一直在让人工智能变得「能用」，乃至「好用」。而且百度并不是从当下才开始做这些事情，早在最开始，百度就在积极探索人工智能的各种可能性，例如自动驾驶等等。 不仅如此，百度也一直鼓励内部的工程师、产品经理等等，到市场中去寻找人工智能技术的商业价值。 技术信仰与长期的投入，构成了今天百度的底色。 诚然，当下的人工智能行业还有不少问题需要解决，也许超级应用即将诞生，也许会再一次陷入瓶颈。但不论走向如何，百度都将会是牌桌上最不容忽视的角色之一。 04 尾声 许多科技产业的成功故事，往往有一个共通的主题：相信。 威廉·肖克利坚信，全新的半导体材料可以取代笨重的真空管，因此一头扎进了研究之中，最终打造出了构成现代计算机的基础——晶体管。而辛顿在成为「AI 教父」之前，被学术界称为「疯子」。许多当时的权威，都认为他搞的是「伪科学」，但辛顿没有放弃相信。 我们作为后来者，回过头来看这些故事时，或许会觉得一切似乎顺理成章。对于每一项科技成果的诞生，我们总能总结出许多客观的原因。 然而，那些身处时代洪流中的个人，并没有后视镜视角。对他们来说，能够长期选择相信才是更加重要的事情。如今，百度能够穿越周期，其实也是同样的道理。 很多时候，正如那句老话说的那样：信则灵，不信则泯。

未来的生活空间会是什么样？ #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615317) ·[查看评论](https://www.ifanr.com/1615317#comments) ·[新浪微博](https://weibo.com/ifanr)

 **一、市场规模短期小幅回调，寡头竞逐与腰部混战并存** 近日，2024年中国威胁情报市场的规模与份额交出答卷。根据艾瑞咨询发布的《2024年中国威胁情报行业发展研究报告》，针对2024年威胁情报API、威胁情报门户账号订阅、威胁情报管理平台TIP为主的纯情报市场，及融入其他安全产品的威胁情报服务规模进行统计，2024年中国威胁情报市场规模达到16.1亿元，同比微跌0.9%。 相比2024年全球威胁情报市场价值被加速验证，市场延续两位数高增长态势，中国威胁情报市场则由于2022到2024年，网安行业重在“清库存”短期内限制了威胁情报行业的进一步增长，市场出现小幅回调。   当前中国整体威胁情报市场，属于低集中寡占型市场（CR4=43.0%、CR7=49.7%），由少数几家厂商占据大部分份额。其中，微步在线、腾讯安全、奇安信位列2024年中国威胁情报市场份额前三，竞争激烈。  从市场格局来看，最早一批进入中国威胁情报市场的“元老级”厂商微步在线凭借在威胁情报领域的深耕，以纯威胁情报及多产品赋能持续稳居威胁情报市场第一，而具备大厂优势及数据积累的腾讯安全、及产线覆盖广，安全产品赋能多的综合安全厂商奇安信排在第二阵营。绿盟、安恒信息、360安全、深信服等厂商则以垂直场景或技术差异化争夺细分市场。 这也反映出中国威胁情报市场，历经十年发展已日趋成熟。从2015年首批专业威胁情报厂商成立，到2018年中国第一个威胁情报标准正式发布，2019年等保2.0首次对威胁情报提出要求，再到攻防演练倒逼情报技术实战化，市场已从“技术拓荒期”迈入“生态竞合期”。而2022年到2024年，客户预算收缩导致的“清库存”周期，进一步加速了市场的洗牌。 **二、商业模式扩展：从数据平台到融合方案** 根据报告，当前中国威胁情报落地商业模式，主要分为纯情报产品交付与情报赋能产品交付两大类。 其中，纯情报产品交付聚焦“数据价值深挖”，解决威胁数据的“快捷、易用、全面”的需求。纯情报产品交付专注提供高质量的情报数据和服务，通常以标准化API接口、TIP平台或是通过威胁情报门户账号订阅方式交付。其中，API及威胁情报门户账号订阅侧重情报数据交换的便捷与及时性，TIP情报管理平台更侧重对情报数据的查询、分析、生产、共享及狩猎等全方位情报管理与流程化操作。 情报赋能产品交付，则强调情报能力无缝衔接。从商业模式看，情报信息主要以三种方式向其他产品赋能。依照彼此融合赋能方式的差异，可分为厂商内部的安全情报赋能产品，对外部厂商提供情报技术支持下的融合安全产品，以及与外部厂商共同构建的综合安全解决方案。 值得关注的是，与国际威胁情报市场商业模式以“情报订阅”为主不同，中国企业客户群体对于威胁情报能力的需求各有侧重，商业模式从单纯情报产品交付逐渐扩展到通过赋能其他安全产品交付，使得中国不同安全厂商之间的竞争边界也逐渐发生变化。 **三、威胁情报未来三大破局点：出海、AI与漏洞防御升维** **破局点一：出海业务标准攻坚 ** 随着中国企业海外发展，威胁情报厂商迎来新战场，主要需跨越两大门槛。一个是数据合规鸿沟。数据作为威胁情报的重要基础资源，各个国家及地区对于本地数据的保护要求也纷繁复杂，欧盟GDPR、美国CLOUD法案等要求倒逼情报数据脱敏技术升级。一些厂商已探索出设立海外实体、处理敏感信息及建立共享协议等海外数据合法合规使用方式。 另一个是威胁情报标准适配。我国于2018年推出《信息安全技术网络安全威胁信息格式规范》，以推动技术发展与产业化应用。该规范虽然以国际标准为重要参考依据，但从STIX/TAXII格式兼容到MITRE ATT&CK框架本地化改造，厂商技术中台面临重构压力。 **破局点二：大模型赋能情报生产力** 根据报告，针对威胁情报行业，大模型在人员生产威胁情报效率、降低威胁情报应用门槛、赋能更多岗位人员等威胁情报生产与运营等多个环节均可进行赋能，但目前，多数大模型赋能威胁情报的应用场景还在概念验证的阶段。未来，安全厂商可在如大模型行业适配、大模型落地效率、性能优化、合规应用等多个角度着力，实现大模型在新应用场景的快速落地，提升自身竞争力。 **破局点三：漏洞情报强化主动防御** 随着0day漏洞利用的常态化，漏洞情报的价值显著提升。当前漏洞情报与企业资产结合紧密度不断上升。企业面临越来越多的资产存在漏洞，需具备的漏洞管理能力要求也越来越高，通过漏洞情报全面及时掌握最新漏洞信息，打通内部资产平台第一时间发现漏洞，并建立科学漏洞评估模型优先处置真正的高危漏洞，对于企业进一步增强主动防御能力，尤为重要。 从长期来看，威胁情报行业将经历从“功能堆砌”到“价值交付”的转型，厂商需要回答的核心问题如今已真正变成了“如何证明威胁情报的ROI”。可以预见，未来3-5年，中国威胁情报市场将在技术迭代与生态博弈中更加成熟，而真正的赢家将是那些能够将情报能力转化为客户业务风险管控支撑的企业。

 1、[往期回顾：「深蓝洞察」2024年度最别开生面的安全新生态](https://www.4hou.com/posts/W11o) 2、[往期回顾：「深蓝洞察」2024年度最具含“金”量的绕过](https://www.4hou.com/posts/1MMq) 3、[往期回顾：「深蓝洞察」2024年度最具想象空间的新应用](https://www.4hou.com/posts/422J) 4、[往期回顾：「深蓝洞察」2024年度最狂躁不安的漏洞](https://www.4hou.com/posts/l001) 5、[往期回顾：「深蓝洞察」2024年度最“隐”人注目的安全趋势](https://www.4hou.com/posts/pnny) 6、[往期回顾：「深蓝洞察」2024年度最悲剧的后门](https://www.4hou.com/posts/vwwn) 7、[往期回顾：「深蓝洞察」2024年度最难以阻挡的攻防趋势](https://www.4hou.com/posts/l00j) 8、[往期回顾：「深蓝洞察」2024年度最“安全”的防线](https://www.4hou.com/posts/rp52) 9、[往期回顾：「深蓝洞察」2024年度最憋屈的漏洞披露](https://www.4hou.com/posts/Aro9) 在移动互联网时代，用户流量代表着厂商的命脉。在这场流量争夺战中，手机厂商掌握着最具压倒性的优势——操作系统的终极权限。通过对安卓AOSP进行深度定制，厂商不仅可能有权精准掌控用户和应用的一举一动，甚至还能够操控、干预用户的选择。 通常，极少有企业会选择违法违规、滥用特权来侵害消费者。 然而2024年，国产某知名手机品牌突破商业伦理底线，利用非安全技术手段暗中操纵自产手机系统，让数百万用户沦为他们的牟利工具。 以下为本期《深蓝洞察 | 2024 年度安全报告》的第十·完结篇。  对于安卓游戏爱好者来说，或许遇到过这样的困扰：当你想从游戏官网下载安装一款游戏时，系统却不遗余力地推送内置应用市场的下载入口，显得格外“贴心”。 但如果你坚持从官网安装，流程却变得复杂繁琐冗长：不仅需要拒绝系统三番五次插入的应用市场推荐，还需要无视重重风险警告、等待系统完成额外的安全扫描等。 为什么选择官网需要繁琐的操作，而选择应用市场就能一键快捷安装？ 背后的原因直指手机厂商的现实利益：如果成功引导用户使用应用市场安装游戏，手机厂商作为渠道方就可以从游戏流水中抽取2~3成的分成，甚至有时分成比例高达五五开。但对于从游戏官网完成的安装，所有流水收入全由游戏开发商所有。 于是，厂商通过优化自家渠道的体验，巧妙提高了其他下载途径的难度，默默地引导用户流量，完成利益的最大化。 然而，这种流量引导还算明面上的商业竞争范畴，但某些厂商却暗地将系统权限用在了更隐蔽、更恶劣的领域，彻底突破了商业伦理的边界。  GEEKCON 2024 上海站颁发年度捍卫者奖与年度鲱鱼奖 在GEEKCON 2024 上海站，两位选手为大家带来了特别披露议题【买手机送木马？】，披露了某国产手机厂商的恶行：该厂商利用系统权限，在用户不知情的情况下向多个第三方应用植入广告。数百万用户正常体验被破坏的同时，手机厂商却从应用方赚取了数千万的推广费用。 在该品牌的手机上，部分应用表现得极为异常： 用户从桌面点击图标启动应用，在等待开屏界面加载后，打开的并非应用首页，而是直接进入了一个“包含广告的页面”。用户需要额外点击返回键才能回到首页正常使用，体验打了折扣。 看似是应用投放了不会自动关闭的开屏广告，但真相是该手机厂商在暗中作祟，劫持了用户的点击操作！ 被劫持的那些应用有一个共同特点：它们的商业模式包含推广返佣机制，即它们愿意为外界的推广行为付费。在常规合作中，外部推广者会在各类平台投放带追踪参数的推广链接。当用户点击这些链接时，会跳转到应用内与推广内容相关的落地页面。此时应用也能通过解析推广链接中的渠道代码，精准识别流量来源，并向推广者支付单笔报酬、或后续购买行为的酬金。 应用自动打开的“包含广告的页面”，实际上正是它们的推广页面。这意味着该厂商把用户自主打开应用的行为替换成推广访问行为，从而通过应用的返佣机制牟利！  淘宝与京东的推广页示例，与应用首页有显著区别 按照安卓系统规范，当我们在桌面上点击应用图标时，启动的应该是应用在AndroidManifest.xml中注册有android.intent.action.MAIN和android.intent.category.LAUNCHER标志的Activity，推广页显然不符合条件。 仔细观察例图页面的顶端，在标题的两侧可以发现几个类似浏览器功能的按钮。推广页的本质其实是在应用内置浏览器中加载的网页，使用Deep Link启动应用可以很容易地做到这一点。 <blockquote><p>Deep Link（深链接）是指一种特殊的URL，是实现应用间快速导航、内容分享以及推广转化的重要工具。使用Deep Link能够直接跳转到安卓应用内的特定页面或功能，而不是简单地打开应用的主界面。</p></blockquote> 那么该厂商是如何修改系统逻辑进行劫持的？通过对其桌面应用进行分析，可以得出结论： 该厂商的桌面应用基于AOSP源码定制，但向处理点击事件的ItemClickHandler.onClick插入了额外的处理逻辑。它根据正常应该启动的Activity名称去寻找劫持配置，如果存在匹配，就直接通过配置中的Deep Link启动应用、直达推广页；否则才继续进行正常的应用启动流程。 为了避免劫持反复触发，桌面还会移除已使用过的配置。仅第一次打开应用时触发，这样的劫持行为也更容易被用户误解为应用的开屏广告，让用户的矛头错指应用方。  这些行为破坏了公平竞争，还严重侵犯了用户与相关应用方的权益，可能违反相关法律法规。 <blockquote><p>《反不正当竞争法》第十二条明确规定：经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为：（一）未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转……</p></blockquote> 和「深蓝洞察」曾披露过的另一家违规巨头类似，本案例中的厂商，也采用了一系列的技术手段来掩盖他们的违规行为： 含有Deep Link的配置并未事先存储在设备中，而是由厂商的服务器根据特定规则动态下发。GEEKCON选手指出，并非所有该品牌的设备都会接收到这些恶意劫持配置。这表明，厂商可能依据用户的画像、手机的地理位置等因素来决定是否下发这些配置，从而将受影响的用户群体锁定为技术知识相对薄弱的二三线城市的中老年人群体。 此外，该厂商再次滥用特权，下发的恶意配置文件被保存在桌面应用的私有数据目录中，由于安卓系统的应用沙箱隔离机制，每个应用的数据存储区域都受到严格保护，以此阻止第三方提取证据。动态下发的机制也赋予厂商远程销毁证据的能力，使得追踪与固证更加困难。 我们以为自己在自由地使用手机，实际上，每一步都可能是被精心设计的陷阱。 **京东集团高级总监兼首席安全研究员、GEEKCON组委 flanker：** <blockquote><p>内存破坏漏洞，凭借先进的技术手段，尚可不断予以消灭和预防；然而，业务模式所衍生出的安全与隐私风险，却犹如顽固的沉疴，最难根除。</p><p>正如古人云：“破山中贼易，破心中贼难”。科技本身，纯净无瑕，不过是供人驱使的工具，其本质无善恶之分；然而人心的幽深复杂，恰似深不可测的万丈深渊，潜藏着难以分辨的善恶欲念。</p></blockquote> **深蓝洞察** <blockquote><p>数字技术的使命应是为人们带来便利与福祉，进而实现用户和厂商的共赢。而当技术被滥用甚至恶意使用成为谋取私利的工具时，受损的不仅是用户的权益，更是整个技术生态的信任基础。</p><p>iOS缘何成为人们心中安全与隐私的代名词，这不仅得益于其软硬结合、缜密完备的安全防御体系，更在于其生态环境中对隐私保护的高度重视，以及在商业化进程中所秉持的克制态度。诚然，苹果较高的硬件利润率或许是其能坚守隐私保护的因素之一，但换个角度看，这种克制又何尝不是铸就了人们对其品牌的高度认可，以及甘愿为之付出溢价的消费意愿？</p><p>如今，以HarmonyOS NEXT为代表的新一代操作系统正蓬勃崛起，在这充满挑战与机遇的进程中，它能否承受住各方压力，避免重蹈覆辙，切实守护用户的安全与隐私？各大厂商能否躬身自省，与iOS见贤思齐？这无疑是消费者与行业共同关注的焦点。</p><p>* 本期深蓝洞察年度报告共十篇已发布完结，感谢您的支持、期待您的宝贵建议。</p></blockquote>

近日，国家工业信息安全发展研究中心公示了国家工业信息安全漏洞库（CICSVD）成员单位名单，盛邦安全凭借在在工业信息安全领域多年的技术积累和专业能力成功入选CICSVD技术组成员单位。      国家工业信息安全漏洞库（简称CICSVD）由工业和信息化部指导，是工业控制产品领域的国家级专业库，旨在建立工业控制产品安全漏洞收集、分析、研判、通报、预警和处置工作体系。本次入选CICSVD成员单位，是对盛邦安全在工控安全漏洞领域专业技术能力的高度认可。   作为国家级网络安全应急服务支撑单位、国家漏洞库建设运维与技术支持单位，盛邦安全积极参与漏洞发现、风险预警及应急响应等工作，曾获得CNVD原创漏洞挖掘能力满星评价、年度原创漏洞发现突出贡献奖、CNNVD重大预警报送专项奖、CSTIS漏洞报送最具贡献单位等多项认可，为关键信息基础设施安全保护、区域及行业漏洞治理及重大活动安全保障提供有力支撑。      作为CICSVD技术组成员单位，盛邦安全将依托在漏洞挖掘与安全防护等领域的技术优势，积极参与国家工业信息安全漏洞库建设，助力优化工业控制产品的安全漏洞管理生态，推动工业信息安全技术的创新与应用，为工业互联网和智能制造等领域的高质量发展提供坚实保障。 [原文链接](https://www.webray.com.cn/news-286/7125.html)

Obsidian 刚刚宣布工作场合使用不再需要商业许可证，免费适用于所有人、所有用途。以及，你的笔记内容永远是你的。@Appinn 再重申下 Obsidian 的理念 File over app，即文

用技术来讲故事。 #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615225) ·[查看评论](https://www.ifanr.com/1615225#comments) ·[新浪微博](https://weibo.com/ifanr)

 ## Figure AI 发布能「双机协作」的端侧大模型 2 月 20 日消息，在 2 月初终结与 OpenAI 的 AI 模型合作后，美国机器人创业公司 Figure AI 如期在周四公开了背后的原因：公司已经有更厉害的通用具身智能模型 Helix。 Figure AI 表示，Helix 是首款能对整个人形机器人上半身（包括头部、躯干、手腕和手指）进行高频率、连续控制的视觉-语言-动作（VLA）模型。通过直接将视觉语言模型中捕获的丰富语义知识，直接转化为机器人动作，克服了人形机器人领域的多个长期挑战——至少不需要为机器人的每一个动作进行大量训练了。  Figure 介绍称，Helix 是首款可以在人形机器人上协同运行的 AI 模型，使得两台机器人可以协作解决一个共享的、长期的操作任务。 作为这项科技突破的结果，搭载 Helix 的机器人现在可以根据自然语言指令，识别并拾取几乎所有的小型家居物品，包括机器人从未见过的成千上万物品。在公司给出的案例中，机器人在接受「拿起那个仙人掌」、「拿起沙漠里的东西」时，都能选择最接近玩具的手，成功从一堆物品中拎出仙人掌玩具。（来源：财联社）  ## 阿里财报超预期，净利润同比增长 333%，盘前股价大涨 10% 2 月 20 日，阿里巴巴集团 CEO 吴泳铭在财报会上表示，阿里将于近期发布基于千问 Qwen2.5-MAX 的深度推理模型。 1 月底，阿里发布了 AI 基础大模型千问旗舰版 Qwen2.5-Max，在多项权威基准评测中，处于业界领先水平。目前，Qwen 的全球衍生模型已突破 9 万个，全球排名第一。 同时，阿里巴巴集团 CEO 吴泳铭表示，在继续专注于国内外电商业务、AI+ 云计算的科技业务、互联网平台产品这三大业务类型的基础上，未来三年，阿里将围绕AI战略核心，加大投入三大领域：第一，投入AI和云计算的基础设施建设；第二，投入AI基础模型平台及AI原生应用；第三，投入现有业务的AI转型升级。 根据阿里财报显示，阿里巴巴在该季度营收超预期、净利同比大增三倍：季度营收 2801.5 亿元人民币，同比增长 8%，预估 2773.7 亿元人民币。净利润为 464.34 亿元人民币（63.61 亿美元），同比增长 333%。 在当晚美股盘前，阿里股价一度升幅达到 10%。开盘 5 分钟内，阿里股价涨幅迅速超过 11.5%，股价超过 140 美元/股，达到过去一年以来新高点。（来源：华盛通、36氪）   ## 百度首页上线 DeepSeek 入口，开放仅 1 小时超千万人使用 2 月 20 日，百度搜索已全量上线 DeepSeek 满血版并提供联网服务，其中 PC 端开放仅 1 小时就有超千万人使用。  对比其它接入 DeepSeek 产品，百度搜索在首页搜索框下方点击「AI 搜索 DeepSeek 满血版」即可体验。值得注意的是，百度搜索此次接入的是 DeepSeek 满血版，并融合了百度联网搜索功能，具备检索增强 RAG 等技术能力，便于用户获取更新、更低幻觉的信息。（来源：36氪）   ## 马斯克旗下 xAI 宣布 Grok 3 开放免费使用，「直至服务器崩溃」 2 月 20 日，马斯克旗下人工智能公司 xAI 宣布，Grok 3 现已开放免费使用（直至服务器崩溃）。订阅 X Premium+及 SuperGrok 服务的用户，除可优先体验语音模式等高级功能外，还将获得 Grok 3 的深度使用权限。 消息宣布后，马斯克又晒出了一张苹果应用商店免费应用下载排行榜，Grok APP 超越 ChatGPT 应用登顶第一名。马斯克配文炫耀称，「还没有语音模式，以及会在未来几天推出的许多其他功能。」2 月 18 日，xAI 刚刚推出 Grok 3。（来源：界面新闻）  ## NVIDIA 免费放出全球最大基因研究 AI 系统：9 兆个基因信息 2 月 20 日，NVIDIA 宣布，与 Arc Institute 及斯坦福大学开发出目前最大的基因研究 AI 系统 Evo 2。 这一系统从超过 12.8 万个不同生物体中获取了近 9 兆个基因信息进行学习，涵盖细菌、植物与人类等多种生物。 科学家认为，Evo 2 能够在大数据中发现模式，大幅加速研究速度，将原本需要数月甚至数年的基因数据分析工作缩短至几天甚至几小时。 在初步试验中，Evo 2 在研究与乳癌相关的基因 BRCA1 时，精准识别出 90% 可能有害的突变，这一成果有望助力开发更精确的治疗方法，包括针对特定细胞的基因疗法。 Evo 2 在亚马逊云基础设施上使用 2000 个 NVIDIA H100 处理器构建，全球科学家现在可以通过 NVIDIA 的 BioNeMo 研究平台免费使用这一系统。（来源：快科技） ##   ## 哔哩哔哩：2024 年毛利润同比增长 68%，实现全面盈利 2 月 20 日，B 站发布 2024 年第四季度及全年财报。财报显示，四季度 B 站毛利润同比提升 68%，毛利率连续 10 个季度环比提升至 36.1%；调整后净利润及美国会计准则下的净利润分别为 4.5 亿元及近 8900 万元，实现全面利润转正。 2024 年第四季度，B 站日均活跃用户达 1.03 亿，月均活跃用户达 3.40 亿，日均使用时长从去年同期的 95 分钟增长为 99 分钟。（来源：36氪） ##   ## 特斯拉据悉为进军印度市场做准备，将把数千辆汽车运往孟买附近港口 2 月 20 日，据知情人士透露，特斯拉将为进入印度市场做准备，未来几个月将数千辆汽车运往孟买附近的一个港口。 这家美国汽车制造商计划在今年第三季度左右开始在孟买、德里和班加罗尔这三大城市销售这些汽车。知情人士称，特斯拉在美国、中国和德国都有工厂，将哪些车型带到印度以及从哪里带来，这些取决于印度和美国之间关税谈判的进展情况，以及目前适用于其汽车的 110% 的有效进口关税是否会降低。（来源：界面新闻）  ## OPPO Find N5 手机发布：打破全球最薄折叠旗舰纪录，8999 元起 2 月 20 日，OPPO Find N5 折叠屏手机正式发布，号称「带领折叠旗舰进入 8 毫米时代」「打破全球最薄折叠旗舰纪录」，售价 8999 元起。 OPPO Find N5 提供缎黑、玉白、暮紫三款配色，闭合状态最薄厚度为 8.93mm，厚度紧贴 Type-C 接口尺寸。新机搭载钛合金天穹铰链，采用航天级钛合金 3D 打印技术，铰链最薄零件仅有 0.15mm。  OPPO Find N5 展开屏幕尺寸 8.12 英寸，双折产品行业最大，也是全球首款搭载全新骁龙 8 至尊版折叠旗舰。该机内置 5600mAh 超大容量冰川电池，支持 80W 超级闪充、 50W 无线闪充。OPPO Find N5 还是全球首款通过 IPX6、IPX8、IPX9 的满级防水认证折叠旗舰，首发山海通信增强芯片。（来源：IT之家）   ## 日本公司推出 Pomera DM250「便携式数字打字机」：7 英寸灰度屏、24 小时续航，349 美元 2 月 21 日，日本文具制造商 King Jim 宣布为旗下 Pomera DM250「便携式数字打字机」推出全球版本（日本版 2022 年发布），该机整体类似当年的文曲星等电子学习机，只能用于打字和简单管理文件，定价为 499 美元（当前约 3634 元人民币），首发价为 349 美元（I当前约 2542 元人民币）。  该机整体重量约 620 克，造型低调，配备一块 7 英寸 1024x600 分辨率半反半透 TFT 液晶显示屏（配备背光），号称配备了人体工程学剪刀键盘，机身内置定制的 Linux 系统，提供基本文件管理能力，用户可以在机器上打字后将相应文本保存至 SD 卡上以便于导出。 其他方面，该机续航号称可以连续打字 24 小时，机身支持 Wi-FI 4 和蓝牙 4.2，配备 USB-C 2.0 接口，也同时支持配对手机应用程序实现无线文件传输。（来源：IT之家） ## 电影《哪吒之魔童闹海》海外票房破亿，北美开画影院达「史无前例」945 间 2 月 20 日，华人文化旗下华人影业宣布，电影《哪吒之魔童闹海》海外票房破亿（结算单位：人民币）。  从华人影业获悉，《哪吒之魔童闹海》北美开画影院达到史无前例的 945 间，打破大陆地区华语电影北美发行的最大规模。另外 HK movie 官网显示，《哪吒 2》公映日（2 月 22 日）在香港影院已获超 520 场次排片。 目前，电影《哪吒之魔童闹海》已官宣密钥延期，影片将延长上映至 3 月 30 日。另据猫眼专业版数据，截至当前，《哪吒之魔童闹海》累计总票房 126.89 亿，位列全球影史票房榜第 8 名。（来源：IT之家）

自去年秋天[裸辞](/7655)之后，一直在考虑职业生涯的问题。之后加入求职大军，目前进展还算顺利，作为软件工程师的下一站也将很快确定下来。但是这一次的career break，虽说时间不算长，却给了我莫大的启发，我也有了一些思考。 <!-- /wp:paragraph --><!-- wp:heading --> ## 从fullstack engineer到platform engineer <!-- /wp:heading --><!-- wp:paragraph --> 其实在[去年年初](/7524)的时候就简要叙述过这个事情。熟悉我的朋友都知道，我的职业生涯有点奇怪，从Huawei开始，我是一个全栈工程师（fullstack engineer），从网页设计、前端开发到后端开发都是一锅端的，当时也非常喜欢这个方向，这也是我后来在极客时间上写[《全栈工程师修炼指南》](http://gk.link/a/107V9)这门课的原因之一。 <!-- /wp:paragraph --><!-- wp:paragraph --> 不过后来这个兴趣点也在慢慢迁移，在加入Amazon之后，我陆续经历了两个大的data platform团队，一个是做销量预测（demand forecasting）的，一个是为retail一侧计算成本和利润的。在这两个team中，都要和大数据打交道，和scientists和analysists一起合作，而我作为一个engineer的基础工作，就是把infra维护好，提供好用的工具让他们的问题观测和分析更简单。也是从Amazon开始，我开始更关注一个模糊的目标，一个可以持续建设的platform，关注一个solution stack，而不是具体某个service，或者某个具体技术。 <!-- /wp:paragraph --><!-- wp:paragraph --> 差不多六年之后，在Oracle，我带领的team则是侧重于infra了，依然是作为engineer，主要为cloud管datacenter的两个东西，一个是process automation，一个是matadata storage。在这个比较大的team我获得了比较大的职业生涯成长，我们own一个非常完整的solution stack，也越来越确定我关注的重点，以及未来发展的方向。虽然从一定意义上来说，做的事情依然是full stack的，但我开始更多地称呼自己platform engineer，而不再是fullstack engineer了。 <!-- /wp:paragraph --><!-- wp:paragraph --> 之后在2022年加入了Doordash，从巨头转向更加敏捷的中型互联网公司，一开始在一个偏向于infra的团队，做gateway platform，我还是比较享受这一年多的时间的。当时team里面有一个非常有经验和见解的工程师，我从他身上学到不少。后来因为org调整的原因，我选择抓住机会去做了很短一段时间的产品，回头看这个决定有些鲁莽，但至少也确认了一件事情，单纯做产品并不是我最喜欢和擅长的。 <!-- /wp:paragraph --><!-- wp:paragraph --> 对于下一站，我的几个在考虑的选项中，无疑都是偏向于platform和infra的team，其中有两个机会我尤其感兴趣，其中一个是维护开源的高并发library的，还有一个是做AI infra的。现在我正在努力做的功课，就是把它们前前后后都了解清楚，然后做出自己的选择。 <!-- /wp:paragraph --><!-- wp:heading --> ## AI将替代软件工程师吗 <!-- /wp:heading --><!-- wp:paragraph --> 这是个很好的问题。只不过，这个“将”可以斟酌，因为它已经替代一些初级的工程师工作了。但放眼未来，它到底能替代多少工程师的工作，我不知道。现在，很显然的有两件事： <!-- /wp:paragraph --><!-- wp:list {"ordered":true} --> - 软件工程师的很多工作确实是可以替代的，它们也正在被替代，包括某些设计和编码。 - 软件工程师这样相对有门槛的工作都可以被AI替代，更何况那些门槛相对低的工作呢？<!-- /wp:list --><!-- wp:paragraph --> 但是关于上面这第1点，这样的“替代”到底能达到多深的地步，我不知道。**<mark style="background-color:rgba(0, 0, 0, 0)" class="has-inline-color has-vivid-red-color">我隐约觉得，能被替代的工作往往是非常具体，逻辑比较确定和简单，而且不需要处理人际交流和关系的工作。</mark>**以前有人觉得，AI不能替代艺术家的工作，因为他们的工作是创造性的。可是你现在看看呢，写作、谱曲、绘画，都变得可能了，可是我并不想反驳这条观点，而是想说，这从一定的角度上来看，我们是不是可以说，艺术家们的工作，其实也并不全是创造性的呢？ <!-- /wp:paragraph --><!-- wp:paragraph --> 而关于上面这第2点，有更多岗位要远比软件工程师更值得担忧，而软件工程师们，只不过是因为现在站得和AI更近，替代后的成本节约更多，因而更焦虑。就如同软件行业是经济的风向标一样，**<mark style="background-color:rgba(0, 0, 0, 0)" class="has-inline-color has-vivid-red-color">当工程师们开始焦虑，不久的将来整个社会都会焦虑。</mark>**从好的一面看，当工业革命开始，无数人担心机器代替人类工作，但最终机器却为人类创造了更多的工作，我想这一次机器替换成了AI，道理也一样。无论如何，不要逃避，而要尝试改变和拥抱这样的变化，因为这个趋势是不以人的意志为转移的，该来的总会来。 <!-- /wp:paragraph --><!-- wp:paragraph --> 我觉得，总体来看，<mark style="background-color:rgba(0, 0, 0, 0)" class="has-inline-color has-vivid-red-color">**AI将很快替代的，未必是工作，而是特定领域的技能**</mark>。我觉得这句话里面，有两个重点，一个是“技能”，一个是“特定领域”。同一份工作，也许需要能力和技术将大不相同。对于一个需要做出复杂判断的工作，并且这个工作还需要许多不同领域视野和经验积累的，AI相对会更难替代。 <!-- /wp:paragraph --><!-- wp:paragraph --> 对于一些传统行业而言，那里有更多的固化、低效、不愿革新和进取的工作。我有个朋友在保险行业，做的事情就是要用科技（不仅仅是AI）来变革，把保险公司从传统上认为人力资本巨大的企业变成一个靠软件来横向扩张的SaaS（软件即服务）公司。趁这个job hunting的机会，我也去了解了一番。我觉得，这些看似红海的传统行业实则是使用软件革新的蓝海，未来会有更多的SaaS公司。有很多这样的传统领域，成长缓慢，或者利润率低，资本不太看得上，但是从这个角度思考，或许有大的机会。 <!-- /wp:paragraph --><!-- wp:heading --> ## 如今的就业市场怎样 <!-- /wp:heading --><!-- wp:paragraph --> 在刚离职的时候，我曾经提到过对于就业市场的理解。大致来说，就是比我2022年下半年那会略好，但是想要回到疫情前那种“无比风光”的状态是不可能了。现在回头看，在经过了一番求职的折腾后，我可以说，这种观点还是大致正确的，不过就业市场比我最初想的，还是要好不少。简单说来，我觉得近期软件工程师的机会，比2022年下半年要多不少。 <!-- /wp:paragraph --><!-- wp:paragraph --> 其次，一个萝卜一个坑。我记得2017年那会找工作的时候，我可以先把phone screen搞定，然后排一堆onsite在同一周并行，这样的话一旦我拿到offer，如果需要选择的话比较容易操作，因为它们的时限都比较接近。但是这次好几家公司都是过了phone screen，然后告诉我坑已经被填了。所以之前并行的策略没有那么有效了，看到心仪的职位，不仅需要面试得好，还需要尽快完成。 <!-- /wp:paragraph --><!-- wp:paragraph --> 再次，bar还是很高。有时候看到很多软件工程师朋友还在谈论刷题的话题，其实刷题是必要条件没错，但是离实际需要差太远了。从分配时间的角度，还是需要更多时间分配到其它环节去。总体来说，就算两轮ps加上5轮onsite的话，ps全都要positive，onsite全都要positive，也许最多一轮on boundary，否则基本就挂了；有些情况下，就算全是positive，如果不够strong，还是会downlevel。所以，总体来看bar还是比较高的。行业发展就是这样的，软件业也不是例外，求职门槛提高，这是行业成熟的一个标志。 <!-- /wp:paragraph --><!-- wp:paragraph --> 最后，回头看，去年的这个裸辞还是果断（或者武断）的，但是回想起来，如果再给我一次机会，我估计还是会做出同样的选择。没有什么对错，就是做出自己的选择而已。这段break的时间我还是比较享受的，而且除去career发展的目的以外，由于再在job market上面走一遭，起码从面试的角度来说，有了比较新鲜的认识，哪一天如果被裁员，我相信也不会过度慌乱。这也算是一个额外的收获吧。 <!-- /wp:paragraph --><!-- wp:paragraph --> 我知道有很多朋友和我一样，近期在求职。这个过程很辛苦，也可能有磕磕绊绊，希望大家都能保持自信，或长或短的时间，找到自己理想的职业生涯下一站。 <!-- /wp:paragraph -->

在日益复杂的开发环境中，如何高效管理工作流、解决环境配置、跨平台兼容的问题，成了很多开发者的痛点。而 OOMOL Studio，正是一款针对这些问题设计的简洁高效的工作流工具。 OOMOL Studi

2025 开年，众多中国品牌强势出圈！AI、机器人各类技术，让世界感受了我们的创新实力！ 老朋友数码荔枝特地联合众多国产软件厂商，带来国货之光优惠庆典，让更多人感受到国产软件的魅力。 这次一年都难有折

折叠屏，超越直屏 #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615175) ·[查看评论](https://www.ifanr.com/1615175#comments) ·[新浪微博](https://weibo.com/ifanr)

备受关注的鸿蒙智行首款百万豪车尊界 S800，终于揭开了神秘面纱。 2 月 20 日，鸿蒙智行品牌在深圳召开技术发布会，华为常务董事、智能汽车解决方案 BU 董事长余承东登场对即将发布的尊界 S800，进行更多技术解析。 从技术上说，尊界 S800 搭载了鸿蒙智行目前几乎所有前沿的技术，华为希望将车辆的智能化能力从「被动智能」提升至「主动智能」。 而在应用场景上，发布会上展示了在高速爆胎、前后夹击等各类极限场景下，尊界 S800 通过主动智能能力，提供更安全的体验。 现在，唯一的问题就是，这些技术展示，究竟能不能撑起尊界的「百万定位」。   ## 什么是好车？标准正在变化 汽车工业发展了上百年。传统燃油机械时代里，发动机和变速箱所代表的机械性能，是评判一辆车好坏的关键，也是每个品牌展示自身技术和产品实力，构建不同品牌形象时的关键。例如，超豪华品牌劳斯莱斯会和 V12 引擎绑定，而日系车则往往凭借出色的能耗表现赢得大众市场。 电动时代的来临，带来了改变的可能。 一开始，电机的出现，让动力在电动车上可以做到比最高性能的燃油车还要更猛、更极致。 以全球最知名的电动车品牌特斯拉为例。如今提到它们，很多人会想到造火箭的马斯克和在全球范围内领先的 FSD 高阶辅助驾驶技术。但实际上，在创业初期，动力曾经是他们很关键的宣传点。2006 年前后，马斯克拉来当时的加州州长施瓦辛格、前迪士尼 CEO 迈克尔·艾斯纳等名流为特斯拉首款超跑 Roadster 站台，核心就是要秀出其 1.9 秒的零百加速能力。 不过，随着电动化技术的发展，电机成本下降，单纯的直线零百能力也逐渐变得「平权」，20 万级别的车如今也可以做到 3 秒级别的加速能力。单纯的速度不再是差异化的特征，品牌需要找到新的发力点。 具体来说，各家有不一样的思路。有的卷服务、有的卷极致的补能体验（如换电）、有的卷车内空间，但有一条发展趋势是清晰的： 智能化。 「软件定义汽车」这句老生常谈，放在 2025 年依然不会过时。或者更准确的来说，可以微调成「智能化定义汽车」。  将搭载在尊界 S800 上的六大自主智能功能 | 来源：极客公园 过去几年里，我们可以看到智能化能力在以下场景的应用和落地： 在智能驾驶领域，绝大部分主机厂已经做到了高速、城市快速路等半封闭路段里的 L2+能力，即车辆可以自主完成进出匝道、自主超车等能力；而在泊车场景里，智驾系统也可以完成大部分泊车任务。 在座舱领域，智能语音等功能逐渐开始改变人车交互的习惯。语音正在逐渐取代实体按键，成为大多数人更习惯的交互形式。同时，得益于电动化带来的空间布局改善，电动车在同级车里可以拥有更大的空间，因此也越来越多车企开始注重车里的娱乐功能，「冰箱彩电大沙发」也就自然受到了很多家庭用户的青睐。 所以，如今评判一款车优秀与否，不仅包括传统时代对机械素质的考量，和智能化有关的技术及体验，也越来越受到消费者的关注和期待。   ## 百万豪车的「极致体验」？ 鸿蒙智行旗下的「尊界」品牌，肩负着冲击豪华市场的任务。其首款车型尊界 S800 自去年亮相以来，就受到了广泛关注，甚至不少人把它和劳斯莱斯、宾利等超豪华品牌车型进行对比。 已经打上豪华标签的尊界 S800，如何与这些经典豪华竞品竞争？ 华为给出的答案是，在智能化方面提供「人无我有」的技术稀缺性。 当天的发布会上，华为展示了部分新技术以及应用场景。 首先，华为推出了全新途灵龙行底盘。余承东表示：和传统底盘相比，途灵龙行底盘最核心的变化就是希望把事后补偿的机制，变为事前提前感知。 以很多消费者都熟悉的冰雪路面防滑场景为例。在传统底盘里，ESP 电子稳定系统通过在转向器、车轮等不同位置布置相应的传感器，在车辆发生打滑失控趋势时介入，通过施加不同的控制指令，达到稳定车辆状态的效果。 这样的响应时间，一般在事件触发后的 10-200ms。 途灵龙行底盘的逻辑则是通过包括 ADS 感知、云端数据、车辆信息等，构建一个「融合感知系统」，用推理、计算等方式，意图在事件触发前的 50-200ms 内提前响应，通过车身、动力、悬挂、转向、制动、热管理六大系统的协同控制，提前进行决策。 余承东在发布会上借用了最近爆火的 AI 概念，称途灵龙行底盘把底盘带入了「自主智能时代」。前一段时间在网上被热议的尊界 S800 过坑时「白沙不扬、踏水无痕」，就是基于这个原理实现的。 发布会上，尊界 S800 展示了冰雪路面失控、高速爆胎、转弯时外侧前胎爆胎等极限场景，展示基于智能底盘和智能车控带来的极致安全能力。 团队展示的第二项技术，华为将其命名为「天使座主动安全防护」——实际上就是智驾能力在安全场景下的极致应用。 发布会上展示了一个极限场景：在高速上面对前车刹停、后车跟进的情况里，前后雷达可以捕捉到相关信息，做出转向避让而非简单刹停的行为，避免了遭遇前后辆车的「夹击」。 而支撑做出这样决策的重要原因，在于感知硬件上的豪华配置。尊界 S800 搭载了 4 个激光雷达、11 个视觉摄像头、3 个毫米波雷达、12 个超声波雷达以及 2 个角毫米波雷达。其中「4 激光雷达」的布置，恰恰加强了侧面和后向的感知能力。  尊界 S800 和智驾有关的硬件布局方案 | 图片来源：极客公园 蛇年开始后，比亚迪喊出「全民智驾」的口号，把智驾拉进 10 万元以内。智驾功能注定将成为今年消费者在购车时关注的一项配置。 不过，即便都是「智驾」，不同车型由于硬件配置、软件优化等，其能力也可以有较大差异。例如，四激光雷达能提供的感知信息量，显然就会比纯视觉方案更多。面向大众市场的走量车型，可以通过优化工程能力，部署性价比更高的方案；而面向豪华市场的车型，「性价比」就不该再是第一考量，更重要的是为消费者提供最极致和专属的体验。 和主动安全能力部署类似的还有电池方案。发布会现场，余承东透露尊界 S800 将搭载 65kWh、6C 的增程电池（从 10%-80%充电只要 10.5分钟）——现在市面上不少入门款的纯电车型，电池都没有这个增程的电池容量大。  尊界 S800 将搭载首个 6C 增程电池包 | 图片来源：极客公园 其他还有空气质量「比西双版纳还好」的 ALPS 2.0 座舱、可以自己主动拐弯的 2.0 车语系统、在隧道和山里都不会失联的星河通信。总之，华为这次发布会的核心，就是要给展示尊界的目标用户，展示在各种场景里，这款车可以提供的极限能力和极致体验。   ## 能抓住豪车用户的心吗？ 尊界 S800 预售价为 100 万-150 万元，正式上市时间定在 5 月底。在还有大约 3 个月时间里，团队还可以对多项功能以及至今神秘的内饰进行最后优化。 如此高昂的定位和价格，尊界 S800 的核心受众可能是 「78S」（指宝马 7 系、奥迪 A8、奔驰 S 级）的用户。这些产品的价格区间和尊界 S800 高度重合，而尊界竞争的思路是，可以提供目前同价位燃油车完全不具备的各种智能化功能。 这基本和此前问界 M9 在 50 万级别 SUV 市场里竞争的思路相同，简单，但足够实用。 目前，奔驰迈巴赫的销量说明中国 200 万以内高端商务车的市场容量大约是 6000-8000 台/年，而尊界 S800 如果能达到 4 位数的销量，已经是个不小的成功。

Majorana 1 巴掌大小，却能解决全球超算难题？ #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615145) ·[查看评论](https://www.ifanr.com/1615145#comments) ·[新浪微博](https://weibo.com/ifanr)

群晖于2025年2月18日正式发布 Office Suite API，通过 API 接口打通群晖私有云办公套件与第三方系统的连接通道。该 API 包含 Drive（硬盘）、Office（办公软件）、M

Make It Big 是一款支持 iPhone、iPad 的大字显示应用，你输入什么字，它就显示什么字，很大，占满屏幕。还支持桌面小组件、锁屏小组件，晃一晃手机闪屏，简单、免费。@Appinn 很单

 1、[往期回顾：「深蓝洞察」2024年度最别开生面的安全新生态](https://www.4hou.com/posts/W11o) 2、[往期回顾：「深蓝洞察」2024年度最具含“金”量的绕过](https://www.4hou.com/posts/1MMq) 3、[往期回顾：「深蓝洞察」2024年度最具想象空间的新应用](https://www.4hou.com/posts/422J) 4、[往期回顾：「深蓝洞察」2024年度最狂躁不安的漏洞](https://www.4hou.com/posts/l001) 5、[往期回顾：「深蓝洞察」2024年度最“隐”人注目的安全趋势](https://www.4hou.com/posts/pnny) 6、[往期回顾：「深蓝洞察」2024年度最悲剧的后门](https://www.4hou.com/posts/vwwn) 7、[往期回顾：「深蓝洞察」2024年度最难以阻挡的攻防趋势](https://www.4hou.com/posts/l00j) 8、[往期回顾：「深蓝洞察」2024年度最“安全”的防线](https://www.4hou.com/posts/rp52) 在网络安全领域，漏洞披露一直被视为保护用户的重要环节，但在现实中，这一过程却充满了争议和矛盾。究竟什么才算得上“负责任的披露”？当厂商在信息公开和补丁发布上占据主导地位，而安全研究者则需要耗费大量精力进行沟通与博弈，这一模式是否还能真正实现保护用户安全的初衷？在技术快速演进、网络威胁不断升级的今天，传统的漏洞披露机制是否已跟不上时代的步伐？ 本报告将以近期引发广泛讨论的漏洞披露事件为切入点，探讨当前责任披露过程中存在的问题，试图寻找一种更为公平、高效且能平衡各方利益的解决路径。 以下为本期《深蓝洞察 | 2024 年度安全报告》的第九篇。  对于一个严重的安全漏洞来说，通常只有在厂商率先发布漏洞的修复并将其推送给用户一段时间之后，漏洞发现者才会开始披露漏洞的细节，公开漏洞的PoC或者Exp，这也就是在计算机安全研究中所谓的CVD（coordinated vulnerability disclosure，协调漏洞披露）漏洞披露模型，也被称为负责任的漏洞披露。 24年9月末，在安全研究界发生了一件怪事，一个“足以影响所有Linux系统”的远程代码执行漏洞详细披露与各大Linux发行版厂商的安全声明在同一天内相继发布。而在这之前，漏洞的发现者还在社交媒体上抱怨Redhat等厂商已经给漏洞打了9.9分的评分，但是相关组件的开发人员毫不重视他所提交的漏洞。他在推文的最后抱怨道：&#34;responsible disclosure: no more&#34;。  Simon称其发现了影响所有Linux的远程代码执行漏洞 **漏洞披露风波** 这个故事的主人公是著名的安全研究员Simone Margaritelli，他在24年9月初开始研究Linux系统中的CUPS组件，并于9月5日将他发现的漏洞披露给了相关的厂商以及OpenPrinting开发人员，Redhat给予这个漏洞了9.9的评分，但是OpenPrinting的开发者并不理解evilsocket所进行的研究，Simone与OpenPrinting进行了长达22天的交流，直到3周之后，OpenPrinting方才承认evilsocket研究的正确性。 在这期间，9月23日，Simone在社交媒体上发表了那篇引起轩然大波的推文。Simone在推文中并没有指明漏洞所在的具体组件，令人啼笑皆非的是，仅仅在1天之后的9月24日，BreachForums黑客论坛就出现了Simone提交给CERT&#39;s VINCE的原始漏洞报告以及漏洞利用。  BreachForums论坛上泄漏的漏洞报告及利用 9月26日，OpenPrinting下的libppd、libcupsfilters、cups-browsed推送了漏洞的修复版本以及临时的漏洞修复方案，Ubuntu、Redhat等Linux发行厂商也开始推送漏洞公告以及漏洞修复方案。同一天，Simone在自己的博客上公开披露了漏洞细节与利用。最终这些漏洞被给予了最高9.0的CVSS漏洞评分。 **** OpenPrinting发布漏洞公告 **漏洞披露：理想与现实** 在安全研究漏洞披露的过程中，安全研究者一般会遵循CVD模型，即负责任的漏洞披露的准则，这一准则旨在为相关的组织或者机构留出足够的时间指定漏洞修复或者缓解方案，尽可能快的减少漏洞造成的影响，同时用户有权利对自己使用的产品中的漏洞知情。 但是，这种模型在现实实践中展现出了一定的局限性：厂商在漏洞披露过程中占据主导权，安全研究者需要花费大量的时间与精力与厂商沟通漏洞的细节。就本次事件而言，第三方安全研究人员即Simone与开发者OpenPrinting之间的沟通过程并不是那么顺利。在Simone的博客中提到双方的沟通记录内容多达50页，时间跨度长达3周，消耗了双方大量的时间与精力，最终Simone违反了“负责任的披露”的准则，提前进行了漏洞披露。 <blockquote><p>漏洞评价标准的缺失是厂商在漏洞披露过程中占据主导权的原因之一，目前常用的CVSS漏洞评价体系对于漏洞评价的指标过于单一，无法准确评估漏洞的攻击难度与影响范围，安全研究员与厂商很难通过这套体系达成一致。</p></blockquote>  安全研究员、GEEKCON评委古河对现行CVSS的评价 对于这种困境，P0、ZDI、CERT等组织在CVD模型的基础上加入了Deadline机制，以Google Project Zero为例，其提出了90天漏洞披露机制，即安全研究员第一时间将漏洞细节通报给厂商，并且在90天之后或者漏洞安全补丁发布之后，向公众公布漏洞细节以及缓解方案。 Deadline机制作为CVD模型的现实补充，有效的提高了漏洞修复的效率以及最终用户的安全性。但是Deadline机制终究只是一种被动的警告机制，并没有对漏洞披露过程中厂商的权力进行有效的限制，厂商仍然占据着绝对的主导权。事实上，即使一些安全研究员声明将在漏洞报告90天之后披露漏洞细节，部分厂商仍然没有积极推进漏洞修复的流程，从而导致在野漏洞流出，在P0的报告中不乏这样的例子。  P0对其提交给三星的漏洞逾期后发布的漏洞公告 现有漏洞披露模型下，厂商在漏洞披露过程中的主导地位、评价标准的单一性、以及信息共享的滞后，往往导致漏洞修复的效率低下，甚至影响用户的安全保障。虽然Deadline机制和其他补充措施在一定程度上提升了漏洞修复的速度，但漏洞披露体系仍然存在显著的改进空间。在这个快速发展的数字世界里，建立一个更加高效、公正的漏洞披露机制，依旧是各方共同的目标。 **深蓝洞察** 在这个高度信息化的时代，在野的高危漏洞利用所造成的影响正在越来越广泛与复杂，安全研究者对于漏洞的披露、厂商的及时响应与推送、用户尽早的知悉与更新，才能共同缩小漏洞所带来的危害。 负责任的披露在这种背景下显得有些理想化，由于漏洞评价机制CVSS缺陷等原因，厂商/开发者占据了漏洞披露过程中的主导权，第三方安全研究者以及用户对漏洞修复的作用十分有限。安全研究员需要花大量的时间与精力与厂商就漏洞的评价达成一致。 Deadline机制的加入，有效的提高了漏洞修复的效率以及最终用户的安全性。但是这套机制对厂商仍然无法起到足够的约束作用，一套更加完善的漏洞披露制度仍然需要三方的共同努力。 参  考： [1] [https://x.com/evilsocket/status/1838169889330135132](https://x.com/evilsocket/status/1838169889330135132) [2] [https://www.akamai.com/blog/security-research/guidance-on-critical-cups-rce](https://www.akamai.com/blog/security-research/guidance-on-critical-cups-rce) [3] [https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I](https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I) [4] [https://googleprojectzero.blogspot.com/2015/02/feedback-and-data-driven-updates-to.html](https://googleprojectzero.blogspot.com/2015/02/feedback-and-data-driven-updates-to.html) [5] [https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8](https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8) [6] [https://github.com/OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47](https://github.com/OpenPrinting/cups-filters/security/advisories/GHSA-p9rh-jxmq-gq47) [7] [https://project-zero.issues.chromium.org/issues/368695689](https://project-zero.issues.chromium.org/issues/368695689) [8] [https://x.com/guhe120/status/1856844617846817004](https://x.com/guhe120/status/1856844617846817004) 明日，请继续关注《深蓝洞察 | 2024 年度安全报告》第十篇。

苹果又一次在春天发布了一台「廉价 iPhone」，这次的名字叫 iPhone 16e，或者，是人们一直期待的 iPhone SE4。 北京时间 2 月 20 日凌晨，苹果发布了 iPhone 16e，同时确认了「SE」系列手机可能被收编回苹果的数字系列手机阵营。 iPhone 16e 拥有最新的芯片配置，上一代的设计，以及整个 iPhone 产品线里最低的价格。 它搭载了与 iPhone 16 同尺寸的 6.1 寸「刘海屏」，没有「灵动岛」和相机按键，不支持 MagSafe 充电，单摄像头，但保留了 A18 仿生芯片，支持 Apple Intelligence。  iPhone 16e 定价 4499 元起，是当下苹果官方在售的最便宜 iPhone，比不支持 Apple Intelligence 的 iPhone 15 还要便宜 900 元。 毫无疑问，iPhone 16e 就是 iPhone SE 的精神续作，它的到来既意味着 iPhone SE 这个概念将成为历史，也宣示了苹果加码 AI 的决心。 ### 「SE」肉体续作 发布之前，大部分传闻都显示苹果将发布一款新的 iPhone SE，即 iPhone SE 4。最后，苹果选择了 16e 这一新的命名方式。 产品形态上，iPhone 16e 最接近的机型是 iPhone 14，它们同样采用了「刘海屏」的设计，而不是 15 系列之后全系标配的「灵动岛」。此前有舆论希望苹果在新的 SE 上复刻 iPhone 12、13 mini 机型 5.4 寸的大小，但苹果最终选择了 6.1 寸这一更主流的大小。 芯片上，iPhone 16e 和过去每一代 iPhone SE 一样，采用当下最新的芯片 A18。但 16e 上搭载的 A18 芯片相比 16，又多削减了一个 GPU 核心。从 iPhone 16 Pro、16 到 16e，GPU 核心的数量分别是 6、5、4。 iPhone 16e 最主要的「配置缩水」砍在了摄像头上。它配备了 iPhone 16 系列同款的 4800 万像素主摄，但只有这一个摄像头。缺少广角副摄像头，意味着 iPhone 16e 没有「微距模式」、「电影模式」、「动作模式」等相机功能，也无法拍摄「空间照片和视频」。  随着 iPhone 16e 的推出，iPhone SE 这个名字以及「Home 键」也彻底成为了历史。 2007 年，乔布斯发布第一代 iPhone 时，Home 键曾是 iPhone 最重要的交互按键，是手机前面板唯一的实体按键。后来，在 2017 年发布的 iPhone X 上，Home 键第一次被「从底部上滑」的全面屏手势取代，到今天，它正式被扫入了故纸堆。 此外，iPhone 16e 还有一些值得注意的细节配置改变，包括不支持 MagSafe 系列配件和无线快充；没有 UWB（超宽带无线通讯），不支持「精确查找」功能；以及搭载了第一代苹果自研的通讯基带 C1，没有采用高通的基带。 搭载自研通讯基带，是苹果第二次开始尝试「摆脱高通」。 2016 - 2020 年，苹果曾和高通有过一段激烈纷争。2017 年初，苹果在美国状告高通，认为高通的专利授权协议有不公平的地方，并指责高通的垄断行为会损害苹果以至整个智能手机行业的利益。 期间，苹果开始使用英特尔的基带产品作为替代方案。对此，高通一直试图通过各种方式向苹果施加压力，包括指控苹果窃取了高通的独家软件和英特尔进行共享，但苹果全数否认，相关指控最终没有走到司法裁决层面。 更大的问题还是在于市场对英特尔通讯基带的评论不佳。尤其是 2018 年发布的 iPhone XR、XS 系列机型，苹果在中国收到了大量关于「信号差」的用户反馈。之后苹果在美国设立研发中心，开始尝试自研基带，到今年，这一种子终于在 iPhone 16e 上结出了第一颗果实。 ### 曾经的「中端荣耀」 在 iPhone 16e 之前，苹果曾发布过 3 代 iPhone SE。但严格来说，过去的 iPhone SE 其实只有两代产品。 2016 年，苹果第一次发布 iPhone SE。当时的苹果正经历着 iPhone 问世以来的第一次「危机」。因为半年前刚发布的 iPhone 6s 相比前代 iPhone 6 没有太多新功能、新设计，大量用户缺乏换机动力。整个 2016 年全年，iPhone 的销售同比不增反降，下跌 18%。 第一代 iPhone SE 的使命是「支撑起 iPhone 的销售」，它是苹果出击「中端市场」的一次尝试。第一代 iPhone SE 搭载了当时最先进的 A9 芯片，有着出色的性能表现。 但第一代 iPhone SE 并没有「拯救」iPhone 业务在 2016 年的颓势，在它发布后的 2016 年第三季度，iPhone 的销售成绩继续恶化。因为 iPhone SE 的低定价拉低了 iPhone 的平均售价，使销售额的缺口被放大，同比下跌了 23%。 自那以后，苹果开始把更多注意力聚焦在「高端」。第二年搭载全面屏的 iPhone X 取得了巨大成功，为 iPhone 创造了新的销售增长动力。  2020 年，苹果推出第二代 iPhone SE。虽然是同样的配方，但 iPhone SE 的产品使命已不再一样。 自 2019 年起，苹果第一次把业务增长的重心放在了「软件服务」和「配件」上。2019 年春天，苹果举办了一场纯服务的发布会，一举推出了 Apple TV+、Apple Card、Apple News+、Apple Arcade 四项软件服务，之后又推出了 iCloud+ 和 Apple One 订阅服务。 如果说第一代 iPhone SE 推出的 2016，苹果还主要想靠硬件挣钱，到第二代 iPhone SE 发布的 2020 年，「软件服务」已经是苹果最重要的增长发动机了。此时 iPhone SE 的更新逻辑很简单：无论用户买 10000 元的顶配 Pro Max 还是 3000 元的 SE，他们在 App Store 充值游戏、买 App、订阅服务的价格都是一样的。  自 2020 年至今，苹果的软件服务业务获得了超 100% 的增长，且依然保持着年复合 10% 以上的增长率。过去一年，苹果的软件服务收入为 994 亿美元，占整个营收大盘的四分之一，相当于 iPhone 销售收入的一半。 考虑到软件服务的毛利率大概率远超 iPhone，苹果从软件服务业务上赚取的利润，很可能已经和 iPhone 硬件相当甚至超过了 iPhone。这一变化驱动苹果在过去几年里，净利润连续增长，在最近的一个季度里创下了 363 亿的新高。 ### 苹果押注 AI 可以认为 iPhone 16e 是 SE 产品线的「第三阶段」。这一次，苹果在 iPhone 16e 上押注的，是 AI 的未来。 在 16e 的官方图上，苹果特意将字母「e」改成了 Apple Intelligence 同款的彩色，宣示了让 AI 走向「普惠」的决心。 随着 AI 功能在手机消费者心中的地位加重，搭载苹果 AI 的 iPhone 16e，毫无疑问肩负着维护 iPhone 用户基本盘的责任。同时，苹果 AI 作为一项软件服务，未来也很可能会走向增值付费模式，为苹果创造新的收入增长曲线。 除此之外，这可能也是 iPhone 产品线更加多元化的一个新开始。iPhone 16e 的命名，可能暗示未来还会有 17e、18e，将 SE 产品线带入一个每年常规更新的节奏。 而当下已经有大量的供应链消息显示，苹果准备在秋季推出一款极致轻薄，取消实体 SIM 卡槽的 iPhone 17 Air，如果最终发布，可能意味着未来每一代 iPhone 的产品序列被拉长到 4 款不同机型。 无论是硬件还是软件层面，iPhone 都来到了一个新的，命运的十字路口。

电动时代的顶级玩家。 #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615012) ·[查看评论](https://www.ifanr.com/1615012#comments) ·[新浪微博](https://weibo.com/ifanr)

 ## 曝 DeepSeek 首次考虑外部融资，估值达千亿美元 北京时间 2 月 20 日消息，知情人士透露，DeepSeek 正在考虑首次外部筹款。最近几周，包括阿里巴巴、国有基金在内的多个投资者都表示有兴趣为 DeepSeek 提供资金。不过，DeepSeek、阿里巴巴、中投公司目前尚未回复。  据透露，除了讨论是否应该筹集资金外，DeepSeek 及幻方的高管还在讨论这家初创公司是否应该从「主要专注于研究」转向「建立一个产生可观收入并最终盈利的业务」。目前行业专家对 DeepSeek 的估值分歧巨大，部分分析认为其品牌和技术优势或使其估值达千亿美元级，接近 Open AI 的 50%。（来源：cnBeta）  ## 京东、美团先后宣布为外卖骑手缴纳五险一金 北京时间 2 月 19 日消息，京东宣布，自 2025 年 3 月 1 日起，京东将逐步为京东外卖全职骑手缴纳五险一金，为兼职骑手提供意外险和健康医疗险。 京东官方称：「继给快递小哥缴纳五险一金后，京东再次成为首个为外卖骑手缴纳五险一金的平台。京东愿与社会各界共同推动、不断完善外卖骑手权益保障。」  同日下午，美团也在公众号宣布「将为全职及稳定兼职骑手缴纳社保，积极构建和谐劳动关系，目前正在搭建骑手社保相关的信息系统，预计 2025 年二季度开始实施，逐步为全职及稳定兼职骑手缴纳社保。」 京东外卖自 2 月 11 日起正式启动「品质堂食餐饮商家」招募，对 2025 年 5 月 1 日前入驻的商家全年免佣金。为更好地满足消费者对「食品安全与品质外卖」的追求，招募只限「品质堂食餐厅」。（来源：IT 之家）   ## 腾讯 AI 战略调整架构：QQ 浏览器、搜狗输入法等产品被「整体打包」 北京时间 2 月 19 日消息，腾讯近期内部完成一次产品及团队调整，包括 QQ 浏览器、搜狗输入法、ima 等产品和应用，被正式转入 CSIG（云与智慧产业事业群）。这是继一月腾讯元宝从 TEG（技术工程事业群）转入 CSIG 之后的又一次调整。 本次转入 CSIG 的产品——QQ 浏览器、搜狗输入法，都是和大模型强相关的业务，已经有着成熟的用户和数据积累。截止 2025 年 1 月的公开数据，QQ 浏览器月活用户超过 4.3 亿；而搜狗输入法也是用户数亿的老牌应用。 完成这些动作后，腾讯将建立起一个包含四大产品线的 AI 产品矩阵，覆盖的市场也显而易见：除了标配的 AI 助手「元宝」，也有延伸到办公场景的工具产品（ima）；而 QQ 浏览器以及搜狗输入法，则对应如今竞争激烈的 AI 搜索市场。（来源：36Kr）  ## 微软首发量子计算芯片 Majorana 1，研究 17 年成果 北京时间 2 月 20 日消息，微软发布了量子计算芯片「Majorana 1」，同时首发生成式人工智能工具 Muse，用于创建视频游戏场景，这款模型工具的数据来自 Xbox 玩家和他们的游戏手柄。  微软已花费 17 年时间致力于为量子计算创造新材料和新架构，此次发布的 Majorana 1 使用了全球首个拓扑导体，这种材料能够观察和控制马约拉纳粒子，这是微软基此新架构的第一款量子处理器。微软认为，它已经在量子计算方面取得了关键突破，释放了量子计算机解决工业规模问题的潜力。（来源：IT 之家）   ## 「地球上最聪明人工智能」Grok 3 答不对 9.11 和 9.9 谁大：马斯克回应 北京时间 2 月 20 日消息，在 xAI 旗下号称「地球上最聪明人工智能」Grok 3 发布后，一些媒体测试了最新的 Beta 版 Grok 3，并提出了经典的用来刁难大模型的问题：「9.11 与 9.9 哪个大？」遗憾的是，号称目前最聪明的 Grok 3，仍然无法正确回答这个问题，被网友戏称为「天才不愿意回答简单问题」。 不过对此马斯克并不以为然，其公开回应称，当前的 Grok 3 仅是测试版，这个阶段错误越多越好，而完整版将在未来几个月推出，并邀请用户反馈使用问题。 也有舆论认为，尽管在官方 PPT 中，Grok3 在大模型竞技场 Chatbot Arena 中看似「遥遥领先」，但实际上其与 DeepSeek R1 和 GPT4.0 的差距仅为 1% 到 2%。 发布会上，马斯克宣称 Grok 3 在数学、科学与编程的基准测试中超越了所有主流模型，并计划将其应用于 SpaceX 的火星任务计算，甚至预测未来三年内将实现诺贝尔奖级别的突破。（来源：cnBeta）  ## 苹果发布 iPhone 16e，4499 元起，支持 Apple Intelligence 北京时间 2 月 20 日，苹果发布了一款新的「廉价」iPhone，iPhone 16e。 16e 的产品定位与过去的 iPhone SE 类似，搭载 6.1 寸「刘海屏」，没有「灵动岛」和「相机按键」，不支持 MagSafe 充电，单摄像头，但保留了 A18 仿生芯片，支持 Apple Intelligence。  iPhone 16e 定价 4499 元起，是当下苹果官方在售的最便宜 iPhone。16e 发布后，苹果正式下架了上一代 iPhone SE 和 iPhone 14 系列，意味着搭载「Home 键」和「Touch ID」的 iPhone 将成为历史。（来源：极客公园）   ## 微信灰度测试新「账号」系统，尝试整合呈现不同类型公号 北京时间 2 月 19 日消息，近日，微信正在对微信账号系统进行灰度测试，这是继灰测接入 DeepSeek 的 AI 搜索后出现的第二个微信搜索功能新变化。 原本位于微信搜索一级菜单的「公众号」、「服务号」、「小程序」、「视频号」功能，统一被归入新设立的「账号」一栏，且「账号」的优先级被提升至最高，排在各菜单栏第一位。目前，该功能还未全面推送，仅处于灰度测试阶段。 过去用户通过微信搜索时，结果会在横向栏分为「公众号」「小程序」「视频号」等不同类别，用户需要根据自身需求点击相应类别进行查看。（来源：网易科技）  ## 小行星撞地球概率上调至 3.1%，成为现代以来最具威胁陨石 北京时间 2 月 19 日消息，NASA 将小行星 2024 YR4 撞击地球概率上调为 3.1%，这颗小行星已成为现代预测记录中最具威胁性的陨石。此前，NASA 预测该小行星撞击地球的概率为 2.6%。另外，欧洲行星防御办公室（ESA）也将撞击概率上调至 2.8%。  行星防御办公室负责人理查德·莫伊尔表示，上一次直径超过 30 米的小行星引发如此高风险的情况是 2004 年的 Apophis，当时它在 2029 年撞击地球的概率曾短暂达到 2.7%，但随后通过进一步观测被排除。而此次 2024 YR4 小行星撞击地球的概率已超过 Apophis，莫伊尔称之为「历史性」的事件。（来源：凤凰科技）  

苹果家族最新成员。 #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1615030) ·[查看评论](https://www.ifanr.com/1615030#comments) ·[新浪微博](https://weibo.com/ifanr)

2 月 19 日，硅基流动（SiliconFlow）官宣已于 2024 年底完成亿元人民币 Pre-A 轮融资。本轮融资由华创资本领投，普华资本跟投，老股东耀途资本继续超额跟投，华兴资本担任独家财务顾问。本轮融资之前，硅基流动已引入美团作为战略股东。 硅基流动创始人袁进辉表示：「此次融资将加速硅基流动的 AI 云基础设施升级与商业化拓展，将以高性价比、稳定可靠的产品服务开发者与企业客户，助力全球 AI 应用生态的落地与繁荣。」 随着 DeepSeek 冲击波撼动全球，硅基流动选择在这个时间点公布新的一轮融资，无论是偶然还是必然，在这一波 AI 浪潮中的机会也在酝酿中。   ## **01 ****打造大模型时代的基础设施平台** 硅基流动成立于 2023 年 8 月，致力于打造大模型时代的 AI 基础设施（AI Infra）平台，通过算法、系统与硬件的协同创新，降低 AI 应用的开发和使用门槛。 当前，硅基流动主要提供模型云服务平台 SiliconCloud、大语言模型推理引擎 SiliconLLM、高性能文生图/视频加速库 OneDiff 等产品，让企业和个人用户高效、低成本地部署 AI 模型。 SiliconCloud 为开发者提供多种开源大模型 API，已上线包括满血版 DeepSeek-R1 &amp; V3、Qwen、FLUX.1、CosyVoice 等在内的上百款主流模型，还提供模型训练、微调、托管到部署的全链路支持。SiliconCloud 背后基于硅基流动自研推理加速引擎套件（SiliconLLM &amp; OneDiff），通过软硬件联合优化与加速，大幅降低推理部署成本，并为用户提供极致高性能体验。 去年 4 月上线以来，SiliconCloud 在上线不到一年时间内获得了爆发式增长，平台总用户数超三百万，日均调用上千亿 Token。  _硅基流动创始人袁进辉｜图片来源：硅基流动_ 作为连续创业者，硅基流动创始人袁进辉做 AI Infra 领域创业的起点源于 2017 年，当时，他创办一流科技，做 OneFlow 深度学习算法框架，旨在解决当模型变大时，训练的并行计算等问题。 随着 ChatGPT 的出现和出圈，大模型成为共识，OneFlow 这样的大模型训练框架也成为炙手可热的项目。2023 年 6 月，OneFlow 以 1 亿美金估值被光年之外并购，后者是由前美团联合创始人王慧文成立的大模型公司，并购后袁进辉作为联创加入光年之外。 两个月后，光年之外被美团收购，袁进辉没有选择加入美团，而是再次创业。 从团队优势和市场需求的角度出发，袁进辉依旧选择深耕 AI Infra 领域，但创业方向从模型训练算法框架转变到了模型推理，这便是 2023 年 8 月创办的硅基流动。 他表示，在大模型发展早期，类似于「卖铲子、卖水」的基础设施，是最稳妥的，以推理部署为起点出发，有广阔的空间，特别是随着 OpenAI o1 等技术的出现，test-time compute（「反思型」推理）也带来了新的机会。   ## **02****「DeepSeek 热」挤爆 SiliconCloud** 在这个时候，官宣融资很难不被和 DeepSeek 做关联。 过去一个月，DeepSeek-R1 开源模型的火热，为硅基流动带来了数十倍的流量增长。新的发展契机下，硅基流动也迎来了的发展空间——从 Infra 的角度迈向云计算服务。 就在两周前，创新工场联合 CEO、管理合伙人汪华向极客公园表示，「硅基流动云平台上的 DeepSeek-R1 API 被打爆了，现在接入 DeepSeek API 的公司需要排队（尽管已经开足马力在持续扩容）」。 从用户反馈中，更能感受到这股前所未见的汹涌需求。在极客公园开发者社群里，用硅基流动接入满血版 DeepSeek 的话题频频热议。 硅基流动联合创始人、增长副总裁杨攀也曾在朋友圈表示，「自 2 月 1 号硅基流动发布 DeepSeek R1/V3 推理服务后，我们官方微信社群人数在 3 天内打平了过去 6 个月的增长」。  _此前据晚点统计 SimilarWeb 访问量，硅基流动网站访问量的增长趋势也是这样，自 R1 API 上线以来，10 天增长了 30 多倍突破到 100 万，甚至一度超过阿里云。｜图片来源：SimilarWeb_ 爆火背后，汪华认为，「这次才是我一直说的中国的 ChatGPT 时刻」。 DeepSeek 模型能力的确迈过了一个新高度，所以这次不仅让 ToC 普通用户感受到模型的威力，企业的老板和核心决策人也是第一次亲身体会，而不只是让公司 CTO 研究一下、点缀一下（产品），现在企业老板们，真心想测试、使用大模型。 **也正是这波汹涌的需求，硅基流动在过去的 20 天迎来了「DeepSeek 大考」，也进一步加速了「云服务平台」的升级。** 从时间上看，国内第一家提供 DeepSeek-R1 API 云服务的便是硅基流动。 2 月 1 日，硅基流动和华为云团队联合首发并上线基于华为云昇腾云服务的 DeepSeekR1/V3 推理服务。 当天，硅基流动的 DeepSeek 模型 API 服务就被挤爆了，一度陷入瘫痪状态。作为对照，第一家上线 DeepSeek API 服务的云厂商火山引擎也是这样，在激增的热情需求下，2 月 4 日火山引擎上线 DeepSeek-R1 当天，API 服务也被「挤崩了」。 2 月 4 日，硅基流动方面表示，上线满血版 R1/V3 后，用户激增导致用户体验下降。当天，硅基流动 SiliconCloud 平台继续上线 6 款加速版 DeepSeek-R1 蒸馏版模型，鼓励大家非不得已都用蒸馏版模型。 2 月 8 日，由于需求过大，硅基流动再次限流，上线了 Pro 版 DeepSeek R1 &amp; V3，优先服务已充值用户，并表示也会尽快解决非 pro 版的需求，放开限制和限流。 2 月 10 日，硅基流动上线 DeepSeek R1 &amp; V3 企业级服务，针对企业需求，提供专属实例、算力纳管、私有版 MaaS、基于华为昇腾 910B 的一体机四种企业级服务模式供客户选择。  _硅基流动 SiliconCloud 平台大模型 API 服务｜截图来源：硅基流动官网_ 从时间和反应动作来看，硅基流动在包含春节长假在内的短短十几天，**接住了一定的需求，并进一步巩固了开发者和生态伙伴**。 当前，硅基流动与华为、亚马逊云科技、英伟达等业内顶级云厂商、芯片厂商、大模型公司及应用公司建立合作伙伴关系；同时，硅基流动携手各方合作伙伴，帮助客户在大语言模型、文生图、视频生成等多个领域实现应用落地。   ## **03 ****AI 应用即将爆发，****云服务的赛点打响** 从近来各大云厂商以及硅基流动上大模型 API 调用的增长数据来看，DeepSeek 这条鲶鱼正在带动国内整个 AI 应用的开发热情。对于硅基流动来说，这是巨大的机会。 在袁进辉看来，基础设施层面的创新空间足够大、确定性也够高。作为服务全行业的底座，基础设施有三个主要的切入点：芯片、模型和基础设施 (Infra)。「**最终，这三者如果要取得长远的成功，都会走向类似于云计算 (cloud) 的形态，将模型和芯片整合在一起。从 Infra 的角度往云计算方向发展，机会并不比其他方向小。**」 这正是硅基流动的发展路线。以推理部署为出发点，逐渐提供越来越完整的云服务产品，进一步实现商业化闭环。 值得注意的是，尽管基础设施层面的服务是确定性的市场机会，但也不是没有挑战。**做大模型时代的基础设施，是共识，尤其很多大公司都将这个领域视为必争之地，这意味着会面临着激烈的竞争。** 近日，推理引擎云平台 Lepton.ai 创始人贾扬清就认为，虽然 DeepSeek 是很牛的模型，但（创业公司）跟风用它做推理服务很难做出差异化。他认为：AI Infra 不能烧钱，因为都是标品。跟今天的公共 API 比速度、比稳定性，意义不大，比的就是钞能力。小厂没必要跟着大厂一起烧钱。 但拉远来看，在 AI 应用即将爆发，大模型发展仍在早期阶段，通过承接激增的模型 API 需求，进一步完善服务的布局和商业闭环，是硅基流动当下的战略选择。 就像耀途资本投资副总裁、硅基流动董事温廷灿所言，「凭借卓越的技术工程化能力和对市场需求的精准把握，硅基流动创始团队已经建立起独特的技术商业化闭环，形成技术壁垒与生态护城河的双向强化。」耀途资本也是唯一一家从天使轮开始连投三轮的投资方。 眼下，随着 DeepSeep 加速了 AI 应用爆发的可能性，如何持续整合资源、赢得广大的开发者，才是硅基流动的首要优先级。 如果能够在执行力和基础服务的产品竞争力方面占据优势，那么硅基流动也有机会在大厂全面进入并进行激烈竞争之前，拿到更多的有利资源，提供更有竞争力的服务。  

  兴起不到六年的短剧，马上就要追上长视频平台。 QuestMobile 数据显示，红果免费短剧App（以下简称红果短剧App）在12月的月活用户规模已飙升至1.58亿，同比暴增551%，与优酷的差距只剩不到3000万。  红果短剧App用户规模已飙升至1.58亿｜图片来源：QuestMobile 从去年3月的日活2000万到如今单月逼近1.6亿用户，这款诞生不到两年的App正超速完成对传统长视频平台的弯道超车。 一个更深刻的行业变革正在发生——短剧生态重构影视产业格局。   ## 红果短剧，火箭式增长   红果短剧App的一骑绝尘，其实在去年就开始了。 根据QuestMobile的数据，2024年3月，红果短剧App月人均单日使用时长高达到约1.38小时，优爱腾芒均已落下风，同时，日活用户突破2000万大关——此时距离抖音集团正式推出红果短剧刚过去一年多。 时间再往后推7个月，有消息称，红果短剧App的日活已经超过3000万。 观研报告显示，在2024年中国互联网价值榜中，红果短剧高居App用户规模增长TOP榜（亿级）榜首，同比增长1046%，近乎10倍。根据行业估计，2025年上半年红果短剧将大概率实现DAU破亿。  红果短剧App月人均单日使用时长超过优爱腾｜图片来源：QuestMobile 短剧行业正在疯狂增长，红果短剧App应该很快会成为字节跳动下一个DAU过亿的产品，成为一个新的共识。 短剧的兴起可追溯到2018年前后，伴随抖音、快手等短视频平台的兴起，一批创作者开始尝试以幽默、搞笑、反转为题材的剧情类短视频，这被视为微短剧的雏形。 到2021年，微短剧创作从“草根”走向“正规军”，专业工作室和各大平台如抖快、爱优腾纷纷入局，行业进入疯狂增长期。这一爆发式增长背后有两大关键因素： 第一是内容形式契合用户需求，短视频平台的兴起催生了电影、电视剧解说等短平快内容需求的热潮，但二次创作绕不开版权问题，原创（也就是短剧）成为这类需求的正解。 第二是短视频引流的高ROI效应，抖快崛起以后，国内效果类广告的盘子飞速增长，高ROI的品类可以借助平台的力量快速增长。而短剧天然是最适合短视频平台引流的品类，早期投流ROI（投资回报率）更是一度高达2，远超行业平均水平（1.2）。高ROI吸引大量投流公司从小说转向短剧，推动行业快速扩张。 随着短剧用户的快速增长，免费模式逐渐成为行业趋势。红果短剧App的免费模式不仅吸引了大量用户，还通过广告收入为内容出品方提供了可观的收益。 去年12月，红果短剧App版权合作负责人袁子超对外透露，2024年6月，红果短剧实现首次分账过亿，9月超过2亿，11月分账超过3亿。 袁子超称，过去一年尤其是过去半年，短剧变现模式有一个趋势变化，即从传统的用户付费，变成目前付费和广告变现并存的形式，红果短剧一开始就选择商业投放和自然推荐之路，并将受益于这种变化。 此外，虽然是短剧App ，但除了短剧，红果上还有电影、电视剧、听书、小说、漫画等各种形式的内容。同时，红果短剧推出了精品短剧合作计划，在覆盖大量免费短剧的同时，也对精品短剧下注，这个发展态势，有点会让人联想到拼多多的成长路径。  红果短剧上内容品类众多｜图片来源：极客公园   回顾过往，拼多多曾经在被认为大局已定的电商市场，迅速崛起——从“砍一刀”、“拼单”牵引对社交流量的利用，也从符合人性的低价和下沉市场切入，并充分利用了中国过剩的制造资源，后来形成规模升级品质，再拓展到全品类，渗透到全人群。而红果的发展路径也遵循了类似的轨迹：初期免费吸引用户，随后引入精品内容，与传统影视公司合作，提升内容质量，试图覆盖更广泛的用户群体。 视频领域看起来正在重演“拼多多式崛起”的故事。   ## 短剧生态重构   刚过去的2025年短剧春节档，免费短剧占据了主流。但短剧行业爆发的特点，决定了短剧早期的商业模式是付费为主。通常前几集是免费的，之后需要付费几十元不等解锁，出品方利用信息流广告进行推广，引导用户通过点击广告跳转到小程序观看短剧付费。 随着行业的发展，一些新的商业模式也开始出现，比如分账剧和定制剧。其中，分账剧由平台按评级*流量（会员拉新、充值）分账；定制剧由客户全额投资，植入广告。这两种模式为行业提供了更多元化的变现手段，推动了短剧市场的发展。 而随着用户量级进一步提升，就像当年的网络小说一样，免费模式的时机已经到来。2023年5月，抖音推出「红果免费短剧」，并在三个月后上线独立App，到2024年11月，其日活已经超过5000万。 伴随着红果短剧App用户的飞速增长，免费短剧模式进一步被验证。在刚过去的2025年春节档，短剧虽然并没有像去年一样出现爆款扎堆的现象，但不同于前一年春节档付费短剧占据市场，2025年春节档则出现了大量免费短剧，同时短剧的商业模式与生态业已发生改变。 首先，有了一定的用户基数和高效的广告等商业化系统，红果短剧这样的免费平台可以不用向用户直接收费，而是通过免费吸引用户，进而吸引广告主和创作者，形成飞轮效应快速增长。 并且在付费模式下，制作方的收益率只有3%，分成天花板低，而红果短剧的免费短剧模式分成天花板更高，对行业发展更友好。 不同于付费买断模式下，收入主要依赖于前一周甚至前三天的付费。免费模式下，一部短剧的首月分账仅占全生命周期收入的20%到30%。 而随着时间推移和新用户的不断涌入，其累计分账收入会大幅增长，甚至超过传统付费市场的爆款短剧，红果短剧的长期分账机制为创作者提供了持续稳定的收入，这种模式不仅延长了短剧的生命周期，还提升了爆款率和收入天花板，可以激励创作者投入更多资源创作优质内容。 同时，红果的高速增长也为短剧提供了持续的市场空间。一方面，新用户不断涌入，使得老剧对新用户而言仍然是“新剧”，从而延长了内容的生命周期，进一步优化了分发效率；另一方面，免费模式能够有效挖掘短剧的长尾价值。付费模式下，短剧的生命周期较短，而免费模式则能够持续吸引那些不愿意付费但愿意观看广告的用户，延长内容的价值周期。 这种模式不仅推动了短剧行业的发展，还改变了内容预算的分配格局。袁子超称，以红果为代表的免费模式给整个内容行业提供的预算已经超过了传统渠道给行业提供的内容预算，而且差距会不断扩大，这为创作者和制作团队提供了更多资金支持，也推动了短剧整个行业的向前发展。 红果短剧的崛起，本质上是字节跳动依托流量生态与算法优势，对视频消费场景的又一次精准狙击。免费模式通过广告分账机制和长尾内容价值挖掘，不仅颠覆了传统付费短剧的“速生速死”逻辑，更以日均1.38小时的用户时长反超长视频平台，力推短剧从“碎片化补充”升级为“主流娱乐选项”。 狂飙背后也有隐忧浮现：2025年春节档超400部短剧却无破圈爆款，热度仅6000万左右，暴露出内容同质化（大多为“直白欲求”题材）与精品供给不足的瓶颈。 在短剧市场规模持续增长的同时，用户对短剧内容的需求也在进一步提升，精品短剧已经是行业升级的必然选择。 当免费模式解决了用户触达问题后，精品化将成为撬动广告溢价和用户付费意愿的核心杠杆。 短剧行业接下来的竞争，终究要回归“内容价值”的本质——只有精品化，才能让短剧从流量快消品升级为可持续的文化消费品，而也这正是内容品类从野蛮生长迈向成熟升级的必经之路。  

转瞬即逝的 AI 硬件 #欢迎关注爱范儿官方微信公众号：爱范儿（微信号：ifanr），更多精彩内容第一时间为您奉上。 [爱范儿](https://www.ifanr.com) |[原文链接](https://www.ifanr.com/1614984) ·[查看评论](https://www.ifanr.com/1614984#comments) ·[新浪微博](https://weibo.com/ifanr)

 1、[往期回顾：「深蓝洞察」2024年度最别开生面的安全新生态](https://www.4hou.com/posts/W11o) 2、[往期回顾：「深蓝洞察」2024年度最具含“金”量的绕过](https://www.4hou.com/posts/1MMq) 3、[往期回顾：「深蓝洞察」2024年度最具想象空间的新应用](https://www.4hou.com/posts/422J) 4、[往期回顾：「深蓝洞察」2024年度最狂躁不安的漏洞](https://www.4hou.com/posts/l001) 5、[往期回顾：「深蓝洞察」2024年度最“隐”人注目的安全趋势](https://www.4hou.com/posts/pnny) 6、[往期回顾：「深蓝洞察」2024年度最悲剧的后门](https://www.4hou.com/posts/vwwn) 7、[往期回顾：「深蓝洞察」2024年度最难以阻挡的攻防趋势](https://www.4hou.com/posts/l00j) 在攻防对抗日益激烈的2024年，安全软件一直被视为企业安全防线的重要基石。然而，这些安全软件本身也可能存在漏洞，甚至被攻击者利用作为入侵的跳板来对用户造成危害。多年来，因为安全软件而导致的事故不禁让人产生一个疑问——安全软件真的可信吗？ 以下为本期《深蓝洞察 | 2024 年度安全报告》的第八篇。  **安全软件被滥用为攻击工具** 在当前APT（高级持续性威胁）组织频繁活动的环境下，EDR/XDR已成为企业安全防御体系的核心组件，负责监控数百万端点和服务器。然而，权力越大，责任也越大。这些承担重任的安全软件一旦存在安全漏洞，便可能成为攻击者手中的利器，用于部署勒索软件、窃取敏感信息，并且难以被察觉或移除。 近日，SCRT的安全研究人员通过逆向工程与动态分析，发现Palo Alto Networks Cortex XDR产品中存在一个权限提升漏洞（CVE-2024-5907）。用户用受Cortex XDR保护的设备请求Cortex服务（cyserver.exe）生成日志，管理员可以使用这些日志来排除代理的潜在问题。  漏洞触发版本 CVE-2024-5907漏洞的核心在于利用Cortex XDR的日志生成机制实现权限提升。攻击者通过非特权用户身份请求生成日志，触发以SYSTEM权限运行的cyserver.exe服务。该服务在处理日志生成时，会在C:\Windows\Temp目录下创建临时文件夹，其名称遵循可预测的tmp&lt;进程pid&gt;<!--进程pid--> 创建临时文件夹 由于这些临时文件夹继承了C:\Windows\Temp的宽松访问控制列表，所有用户均拥有写入权限，攻击者便可预先在预测路径下创建恶意的NTFS Junction软链接，将该目录重定向至高权限敏感位置，例如C:\Config.msi。具体攻击过程如下： - 首先，当cyserver.exe服务执行临时文件清理操作时，会对临时目录进行递归删除，但其在处理Junction链接时，并未进行充分的路径合法性校验，直接以SYSTEM权限对Junction链接指向的目标目录执行删除操作，从而错误地删除了系统关键目录C:\Config.msi下的文件。 - 其次，攻击者进一步利用Windows Installer服务在处理C:\Config.msi文件夹时存在的竞争条件漏洞，通过反复触发日志生成与目录删除操作，干扰系统对Config.msi资源的锁定机制。 - 最终，在服务尝试重建该目录时，劫持文件写入流程，从而以SYSTEM权限执行操作，达成本地权限提升的目的。 此漏洞的成功利用高度依赖于多个竞争条件，如临时目录名称预测的准确性、软链接植入时机与文件删除操作时序的精确同步，虽然漏洞利用过程可能需要多次尝试，但这个漏洞依然危害严重。这意味着，在用户权限受限的情况下，攻击者也能如入无人之境，绕过XDR的层层保护，直接威胁到企业内网的敏感数据和关键基础设施，使安全软件的防护形同虚设。 **一次全球性的防护软件灾难** 2024年7月19日，美国知名网络安全公司CrowdStrike因分发异常更新，导致全球数百万台计算机崩溃，严重影响航空、银行和媒体等行业的运作，预计在全球范围内造成数十亿美元的损失。 CrowdStrike提供一系列安全防护软件帮助客户保护计算机抵御网络攻击，旗下的Falcon Sensor（猎鹰传感器）产品在个人电脑Windows操作系统的内核层面安装传感器，用来检测和预防网络攻击，而这种高级别的防护恰恰成为造成本次事件的重要原因。当安全软件拥有内核权限之后它的防护能力大大提升，但同时风险也随之提高——一旦出现问题，对用户造成的影响异常严重。 尽管CrowdStrike官方宣称此事件并非安全漏洞，而是驱动程序错误，但这次事件无疑给用户敲响了警钟：纵然是顶尖的安全软件，也可能因其自身的缺陷引发难以预料的灾难。  纽约拉瓜地亚机场行李输送带软件更新错误，导致蓝屏死机事件 **防线上的“后门”** 2024年Fortinet公司旗下的FortiManager（用于集中管理FortiGate设备的工具）产品中又出现了严重的CVSS 9.8漏洞（&#34;FortiJump&#34; CVE-2024-47575）该漏洞是 FortiManager和FortiManager Cloud中的FortiGate到FortiManager (FGFM) 守护进程 (fgfmsd) 中缺少的身份验证漏洞。 利用FortiJump漏洞，未经身份验证的远程攻击者可以使用有效的FortiGate证书在 FortiManager中注册未授权的设备，攻击者可通过特制请求执行任意代码或命令。 Fortinet官方公告中也承认：“FortiManager fgfmd守护进程存在一个严重的功能认证缺失漏洞，可能允许远程未认证的攻击者通过特制请求执行任意代码或命令。”根据 Mandiant的一份最新报告显示，FortiJump漏洞自2024年6月以来，已在0Day攻击中被广泛利用，涉及不同行业的 50 多台可能被入侵的FortiManager设备。 这并不是Fortinet公司的产品第一次出现漏洞，在此之前Fortinet FortiOS目录遍历漏洞(CVE-2018-13379)、Fortinet防火墙身份认证绕过漏洞（CVE-2022-40684）、Fortinet FortiGate SSL VPN存在格式化字符串漏洞（CVE-2024-23113）等漏洞。这次的FortiJump漏洞再次让人思考，安全软件真的安全吗？ **安全软件的脆弱性** 安全软件的漏洞屡见不鲜，这不仅是技术层面的偶发问题，更是一种持久存在的安全挑战。在攻防技术螺旋上升的趋势下，厂商虽致力于对安全产品进行更新与优化，但攻击者的漏洞挖掘也从未停止。以下这些漏洞不仅体现了安全产品在技术复杂性上的脆弱性，也反映出攻防对抗的长期性和动态性的现实： - 2015年，有史以来唯一获得100次VB100的产品ESET NOD32中的存档支持模块中的基于堆的缓冲区溢出允许远程攻击者通过大量语言在类型为SIS_FILE_MULTILANG的EPOC安装文件中执行任意代码。（CVE-2015-8841） - 2017年，俄罗斯的一家拥有25年以上安全行业经验的公司——Kaspersky，其用于保护嵌入式系统安全的产品Kaspersky Embedded Systems Security(KESS)被发现了一个内存破坏类型的缺陷，攻击者可以利用其中一个驱动程序实现本地权限提升。（CVE-2017-12823） - 2021年，McAfee Agent for Windows的maconfig中存在权限管理不当漏洞，允许本地用户访问敏感信息。该程序可由低权限用户在文件系统上的任何位置运行。（CVE-2021-31836） - 2025年初，Ivanti公司的Connect Secure产品存在堆栈缓冲区溢出问题，允许远程未经身份验证的攻击者实现远程代码执行。（CVE-2025-0282）  历史上曾经出现过漏洞的部分安全软件厂商 安全防护软件为实现更好的防护效果深入操作系统底层，拥有系统权限。然而，这种高权限的安全软件一旦被攻破，攻击者即可利用其权限执行任意操作。 这些安全事件并非孤立个案，而是引出了一个深层次的问题：为何作为防御核心的安全软件，反而频频成为攻击者的突破口？ <blockquote><p>随着技术的不断发展，安全防护逐渐从单点防御转向多层次、多维度的综合体系，但这也必然导致安全软件复杂度的增加。安全软件作为防御体系的重要一环，其本身的安全性直接关系着整个系统的安全性，未来安全软件的发展需要在功能性与安全性之间实现更好的平衡。</p></blockquote> **深蓝洞察** <blockquote><p>作为安全防护的工具，这些安全软件原本是为抵御威胁而设计，但在复杂多变的网络环境中，它们却可能反过来成为攻击者的突破口。从历史漏洞到新挖掘的漏洞利用，无不反映出攻防对抗螺旋上升的动态现实。</p><p>这一现象不仅揭示了安全软件在特定情况下的脆弱性，也表明这绝非一时之患，而是一个贯穿整个行业的持久挑战，提醒我们必须以更全面、更深入的视角重新审视网络安全的防御策略。</p></blockquote> **参  考：** [1] [https://blog.scrt.ch/2024/12/05/attacking-cortex-xdr-from-an-unprivileged-user-perspective/](https://blog.scrt.ch/2024/12/05/attacking-cortex-xdr-from-an-unprivileged-user-perspective/) [2] [https://zh.wikipedia.org/wiki/2024年CrowdStrike大规模蓝屏事件](https://zh.wikipedia.org/wiki/2024%E5%B9%B4CrowdStrike%E5%A4%A7%E8%A7%84%E6%A8%A1%E8%93%9D%E5%B1%8F%E4%BA%8B%E4%BB%B6) [3] [https://www.anquanke.com/post/id/301285](https://www.anquanke.com/post/id/301285) [4] [https://security.paloaltonetworks.com/CVE-2024-5907](https://security.paloaltonetworks.com/CVE-2024-5907) [5] [https://www.fortiguard.com/psirt/FG-IR-24-423](https://www.fortiguard.com/psirt/FG-IR-24-423) [6] [https://www.tenable.com/blog/cve-2024-47575-faq-about-fortijump-zero-day-in-fortimanager-fortimanager-cloud](https://www.tenable.com/blog/cve-2024-47575-faq-about-fortijump-zero-day-in-fortimanager-fortimanager-cloud) 明日，请继续关注《深蓝洞察 | 2024 年度安全报告》第九篇。

最新发现，Steam商店中一款名为PirateFi的免费游戏一直在向用户传播Vidar信息窃取恶意软件。 在2月6日至2月12日期间，这款游戏在Steam目录中出现了近一周的时间，并被多达1500名用户下载。分发服务正在向可能受到影响的用户发送通知，建议他们重新安装Windows。 **Steam上的恶意软件** 上周，Seaworth Interactive在Steam上发布了《PirateFi》，并获得了积极评价。它被描述为一款以低多边形世界为背景的生存游戏，涉及基地建设、武器制作和食物收集。  PirateFi的Steam页面 本周，Steam发现这款游戏含有恶意软件，但并未指明具体类型。通知中写道：“这款游戏开发者的Steam账户上传了包含可疑恶意软件的构建。” 用户在Steam上玩PirateFi（3476470）时，这些构建是活跃的，所以这些恶意文件很可能在用户的计算机上启动。Steam建议用户使用最新的防病毒软件运行完整的系统扫描，检查他们不认识的新安装的软件，并考虑操作系统格式。  Steam对受影响用户的通知 受影响的用户还在游戏的Steam社区页面上发布了安全提醒，通知其他人不要启动该游戏，因为他们的杀毒软件将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获得了通过PirateFi传播的恶意软件样本，并将其识别为Vidar伪造软件的一个版本。 SECUINFRA建议：“如果你是下载这个“游戏”的玩家之一：考虑保存在浏览器、电子邮件客户端、加密货币钱包等中的凭据、会话cookie和秘密被泄露。”建议用户更改所有可能受影响帐户的密码，并在可能的情况下激活多因素身份验证保护。 基于动态分析和YARA签名匹配，该恶意软件被识别为Vidar，隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe），与InnoSetup安装程序打包在一起。 攻击者多次修改游戏文件，使用各种混淆技术，并更改命令和控制服务器以获取凭据。研究人员认为，PirateFi名称中提到的web3/ b区块链/加密货币是有意为之，目的是吸引特定的玩家群体。 Steam并没有公布有多少用户受到了PirateFi恶意软件的影响，但游戏页面上的统计数据显示，可能有多达1500人受到了影响。  恶意软件渗透Steam商店并不常见，但也不是没有先例。在2023年2月，Steam用户受到了恶意Dota 2游戏模式的攻击，该模式利用Chrome n-day漏洞在玩家的计算机上执行远程代码执行。 2023年12月，当时很受欢迎的独立策略游戏《Slay the Spire》的一个mod被黑客入侵，黑客将“Epsilon”信息传输器注入其中。 目前Steam已经引入了其他措施，如开启短信验证等，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，目前这些措施还远远不够。