北京时间 6 月 10 日凌晨,苹果 WWDC25 全球开发者大会正式开幕。本次大会的最大亮点是推出名为「液态玻璃」(Liquid Glass) 的全新设计语言。
苹果将这套源自 visionOS 的设计体系应用到所有平台,采用半透明玻璃质感、实时反射折射效果和景深层次,覆盖应用图标、锁屏界面、控制中心等系统各处。新设计主打通透感和动态响应,旨在让界面元素更加融入主题环境。
在命名上,苹果首次统一所有操作系统版本号,从传统递增编号改为年份标识,如iOS 19 变更为 iOS 26。
功能方面,iOS 26 新增独立的游戏应用,集成 Apple Arcade 和 Game Center 功能;电话应用增加来电筛选、呼叫保持助理等 AI 驱动功能;相机界面简化,首屏仅保留拍照和录影两个核心模式。iMessage 补强了聊天背景、群投票、群收发等此前缺失的功能。
iPadOS 26 在生产力方面实现突破,支持类似 macOS 的自由窗口调整、三色窗口按钮、App Exposé 和菜单栏等功能,进一步缩小与桌面系统的操作差距。
macOS Tahoe 26 推出新的 Metal 4 引擎和游戏叠层功能。watchOS 26 引入基于 Apple Intelligence 的「运动搭子」(Workout Buddy),能在锻炼过程中提供个性化指导和鼓励。
Apple Intelligence 功能虽有更新,但苹果表示 Siri 的升级仍需时间完善。同时,这些 AI 功能何时在国行设备上线仍未明确。
新系统的开发者预览版已于今日推出,公测版将于 7 月发布,正式版预计今年秋季随新硬件一同推出。
2025 年 5 月 19 日,安全研究员 Bob Dyachenko 与 Cybernews 团队发现一个容量达 631 GB 的 MongoDB 数据库因未设置密码保护而完全暴露在公网上,导致超过 40 亿条中国用户记录泄露,成为迄今已知最大规模的中国个人数据泄露事件。
该数据库包含 16 个数据集,涵盖从社交通信到金融支付的全方位个人信息。其中最大的「wechatid_db」集合包含 8.05 亿条微信 ID 数据,「address_db」存储 7.8 亿条带地理标识的住址信息,「bank」集合则含有 6.3 亿条银行卡号、姓名、生日等金融数据。名为「三要素校验」的数据集收录 6.1 亿条身份证、手机号、用户名信息,「wechatinfo」集合的 5.77 亿条记录疑似包含微信元数据、通讯日志甚至聊天内容。
支付宝相关数据同样大量泄露,「zfbkt_db」集合包含 3 亿条支付宝卡片及 Token 信息。其余数据集还涵盖赌博、车辆登记、就业、养老保险等多领域信息,甚至包括标注为「tw_db」的台湾相关数据。
研究团队指出,如此海量且多样的数据类型表明这极可能是一个集中式聚合枢纽,用于为几乎任何中国公民建立详尽的行为、经济与社会画像。数据规模之大意味着威胁行为者可将其用于钓鱼诈骗、敲诈勒索、金融欺诈,甚至国家级情报收集与信息操控。
数据库在被发现后于 5 月 20 日迅速下线,但研究团队无法确认数据库所有者身份。
MongoDB 至今仍采用无密码的默认设置,导致大量监听公网的数据库处于「裸奔」状态,为此类大规模泄露事件埋下隐患。
本频提醒,读者务必注意 MongoDB 默认配置的安全隐患。非必要不暴露在公网,且必须做好鉴权设置。
(Cybernews)
2025 年 6 月 6 日凌晨,阿里云核心域名 aliyuncs.com 发生解析异常,导致多项云服务在全球范围内无法访问。
北京时间 6 月 6 日凌晨 2 时 57 分,阿里云监控发现 aliyuncs.com 域名解析出现异常。受影响的服务包括对象存储 OSS、内容分发网络 CDN、容器镜像服务 ACR、云解析 DNS 等多项核心云产品。
凌晨 4 时 4 分,阿里云工程师初步确认导致域名解析异常的原因并开始紧急处理。阿里云同时向客户发送通知邮件,建议将本地 DNS 服务器指向 223.5.5.5 和 223.6.6.6 以降低业务影响,并提供了负载均衡等服务的临时解决方案。
上午 8 时 11 分,阿里云宣布解析异常问题已完成修复,受影响云产品开始逐步恢复。上午 9 时左右,所有受影响的云产品已全部恢复正常运行。
——————
根据技术社区分析,此次异常的直接原因是 aliyuncs.com 域名的 NS 记录被修改,指向了 Shadowserver 基金会的 DNS 服务器。Shadowserver 是国际知名的非营利网络安全组织,通常协助执法机构接管恶意域名进行流量监测。
由于 NS 记录控制着域名的权威解析服务器,这一变更导致所有对 aliyuncs.com 及其子域名的 DNS 查询都被导向错误的服务器,进而造成解析失败。
阿里云在故障通告中确认了域名解析异常,但未公布具体原因。事件修复后,阿里云为该域名增加了包括禁止转移、禁止更新、禁止删除在内的锁定措施。
受 DNS 缓存机制影响,即使在官方宣布修复后,部分地区的完全恢复仍需要额外时间等待缓存刷新。目前未发现客户数据泄露的证据。
截至发稿,阿里云尚未发布详细的事故调查报告。
(综合媒体报道)
Anthropic 为 Claude Project 功能添加了上下文检索工具支持,使 Project 内可以放入更多内容,无需受到模型上下文窗口限制(200k Tokens)。
OpenAI 的 ChatGPT 早在同类功能上线之初就采用类似方案。
早前,Anthropic 还将 AI 编程助手 Claude Code 下放给 Cluade Pro 用户而无需按量付费,但 Pro 用户使用的是轻量化的版本,也面临更严格的速率限制。
OpenAI 的 ChatGPT 早在同类功能上线之初就采用类似方案。
早前,Anthropic 还将 AI 编程助手 Claude Code 下放给 Cluade Pro 用户而无需按量付费,但 Pro 用户使用的是轻量化的版本,也面临更严格的速率限制。
6 月 6 日,通义千问(Qwen)团队正式发布 Qwen3-Embedding 系列模型。该系列模型基于 Qwen3 基础模型训练,支持超过 100 种自然语言及多种编程语言。
该系列模型架构灵活,提供 0.6B、2B、8B 三种参数规模。
训练方面,Embedding 模型采用三阶段训练范式:首先利用超大规模弱监督数据进行对比学习预训练,随后基于高质量标注数据进行监督训练,最后通过模型融合提升整体性能。
Reranker 模型则直接基于高质量标注数据进行监督训练。值得一提的是,Embedding 模型在弱监督阶段通过多任务适配的 Prompt 体系,动态生成大规模弱监督文本对,突破了传统数据获取方式的局限。
Qwen3-Embedding 系列已在 Hugging Face、ModelScope 和 GitHub 平台开源。
(通义千问)
该版本新增支持「thinking budget」(推理预算),允许用户控制思考成本/响应时长。
5 月 29 日,德国 AI 初创公司 BlackForestLabs (BFL) 正式发布 FLUX.1 Kontext。
FLUX.1 Kontext 包含两个核心模型:Kontext [pro] 专为迭代编辑工作流设计,支持局部编辑、场景变换和多步骤细化,同时保持角色和风格一致性;Kontext [max] 则提供最高性能,在提示遵循、高级排版处理和渲染质量方面表现出色,且不影响生成速度。
该模型的核心创新在于将传统的文本生图与图像编辑功能融合在单一的「流匹配架构」中,用户可以通过简单的文本指令对现有图像进行精确修改,无需微调或复杂的编辑工作流。
FLUX.1 Kontext 的主要能力包括:角色一致性保持(在不同场景中保持角色身份特征)、局部编辑(针对特定元素进行修改而不影响其他部分)、风格迁移(保持参考图像的独特风格生成新场景)以及交互式的多轮迭代编辑。
目前 Kontext [pro] 和 [max] 模型已通过 BFL API 及 KreaAI、Freepik、Lightricks、LeonardoAI、Replicate、FAL、TogetherAI 等合作平台提供服务,在 Replicate 平台的推理费用约为每张图像 0.04 美元。BFL 还计划推出开放权重的 Kontext [dev] 版本,目前正在进行定向测试。
Chrome 出现高危零日漏洞 CVE-2025-5419
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
另外,通过设置页面新增的网络调试功能,用户可以自主选择是否使用 HTTP/2,这对部分代理场景有兼容性提升。
OpenAI 发布连接器和记录模式,助力企业场景
北京时间 6 月 5 日凌晨,OpenAI 发布了两项ChatGPT 企业功能更新:连接器 (Connectors) 和记录模式 (Record Mode),标志着 ChatGPT 开始深度融入企业工作流程 。
连接器功能可将 ChatGPT 直接连接到企业内部系统,目前支持 Outlook、Microsoft Teams、Gmail、Google Drive、Linear、SharePoint、Dropbox、Box 等主流企业工具 。结合深度研究功能,用户可以通过自然语言指令让 ChatGPT 自动跨平台搜索、分析数据并生成结构化报告。系统严格遵循用户权限体系,仅调用用户有权访问的文档,确保数据安全 。
记录模式首先在 macOS 版 ChatGPT 上线,支持一键录音转写、自动生成会议纪要和提取关键决策要点 。用户可通过自然语言检索会议内容,并要求 ChatGPT 基于历史会议记录生成汇报材料或分析文档 。
企业还可通过模型上下文协议 (Model Context Protocol, MCP) 构建自定义连接器,将私有数据库和内部系统接入 ChatGPT。HubSpot 已成为首个通过 MCP 发布官方连接器的合作伙伴 。
这些功能已向 ChatGPT Team、Enterprise、Edu 用户开放,Plus 和 Pro 用户可使用部分功能。受 GDPR 限制,欧盟地区用户暂时无法使用连接器功能。OpenAI 承诺企业和教育用户的数据不会用于模型训练 。
(综合媒体报道)
北京时间 6 月 5 日凌晨,OpenAI 发布了两项ChatGPT 企业功能更新:连接器 (Connectors) 和记录模式 (Record Mode),标志着 ChatGPT 开始深度融入企业工作流程 。
连接器功能可将 ChatGPT 直接连接到企业内部系统,目前支持 Outlook、Microsoft Teams、Gmail、Google Drive、Linear、SharePoint、Dropbox、Box 等主流企业工具 。结合深度研究功能,用户可以通过自然语言指令让 ChatGPT 自动跨平台搜索、分析数据并生成结构化报告。系统严格遵循用户权限体系,仅调用用户有权访问的文档,确保数据安全 。
记录模式首先在 macOS 版 ChatGPT 上线,支持一键录音转写、自动生成会议纪要和提取关键决策要点 。用户可通过自然语言检索会议内容,并要求 ChatGPT 基于历史会议记录生成汇报材料或分析文档 。
企业还可通过模型上下文协议 (Model Context Protocol, MCP) 构建自定义连接器,将私有数据库和内部系统接入 ChatGPT。HubSpot 已成为首个通过 MCP 发布官方连接器的合作伙伴 。
这些功能已向 ChatGPT Team、Enterprise、Edu 用户开放,Plus 和 Pro 用户可使用部分功能。受 GDPR 限制,欧盟地区用户暂时无法使用连接器功能。OpenAI 承诺企业和教育用户的数据不会用于模型训练 。
(综合媒体报道)
6 月 2 日是独立搜索引擎 Kagi 发布三周年。Kagi 目前拥有近 5 万名付费用户,自去年同期起已实现盈亏平衡。
Kagi 由 Vladimir Prelovac 创立,采用付费订阅模式,承诺不追踪用户、不投放广告。该公司将自己定位为「互联网公司」,致力于构建包含搜索、浏览器和电子邮件的完整生态系统。目前 Kagi 已推出搜索引擎、Orion 浏览器、AI 助手 (Assistant)、翻译工具 (Translate) 等产品。
在产品路线图方面,Kagi 计划今年推出多项新功能。包括 Kagi Mail 电子邮件服务、搜索 API 正式版本、Orion 浏览器 1.0 版本、Kagi Maps 地图服务,以及面向教育机构的 Kagi for Education。
在隐私保护方面,Kagi 今年集成了 Privacy Pass 技术,从技术层面确保搜索记录无法与用户账户关联。公司还推出了 Tor 洋葱服务,并完成了安全审计和漏洞赏金计划。
Kagi 表示,其长期目标是在 5 到 9 年内达到 500 万用户,实现 10 亿美元年收入,同时保持团队规模在邓巴数 (Dunbar's number) 一半以下。公司创始人强调,这一目标体现了对抗注意力经济、为用户提供以人为本的互联网体验的使命。
目前全球仅有 5 家公司同时提供搜索引擎、浏览器和电子邮件服务的完整生态,其余 4 家 (Alphabet[即Google 的母公司]、Microsoft、Yandex、百度、Naver) 均采用广告驱动的商业模式。
(Kagi Blog)
2025 年 5 月 24 日,知名开源对象存储项目 MinIO 发布了一个引发社区强烈争议的版本更新。此次更新以「简化控制台」为名,删除了 114,736 行代码,将原本功能完整的 Web 管理界面大幅精简为仅具备对象浏览功能的基础界面。
被移除的功能包括用户账户管理、访问策略配置、存储桶 (Bucket) 管理工具以及系统配置等核心管理功能。用户现在无法通过 Web 界面执行任何管理员级别的操作,所有管理任务被强制转移到 mc 命令行工具。
MinIO 联合创始人 Harshavardhana 在 GitHub 讨论中表示,维护社区版和商业版的双套图形界面需要「包括设计、用户体验、前后端开发以及安全测试在内的整个团队」投入,对社区版而言成本过高。他建议需要图形化管理的用户转向该公司的商业产品 AIStor,或改用命令行工具。
开源社区普遍认为这是商业利益驱动的决策,是在没有预先通知的情况下强制推动商业化的行为。有用户在 Reddit 等平台发帖警告「避免使用 MinIO」,认为这是典型的「特洛伊木马式更新」。随后 MinIO 锁定了相关 GitHub 讨论。
作为回应,社区迅速启动了名为 OpenMaxIO 的分叉项目,致力于恢复被删除的管理功能。同时,SeaweedFS、Garage 等替代方案也获得了更多关注。
(Github PR) (详细报道)
——————
本频强烈谴责 MinIO 以削减开源版本竞争力来将用户引流至付费版本的做法。
本频建议,在采用开源基础设施时,应当留意其未来发展和授权策略变化,提前备好应对方案,以免陷入类似 MinIO 这样功能突遭削减的困境。也期待 MinIO 及更多开源企业能从中吸取经验,在商业利益与开源精神之间找到更稳健的平衡。
React Router v7 已将 Remix 的核心功能完全整合进来,包括服务端渲染、代码分割和实验性的 React Server Components (RSC) 支持。这为现有的数百万 React Router 项目提供了升级到现代全栈开发的平滑路径。
RSC 是这次更新的亮点,它允许开发者在服务器端渲染组件,然后将结果传送到客户端,实现了更高效的数据加载和更好的性能表现。
Remix v3 将放弃 React 转而基于 Preact 重新构建。团队希望通过这种方式获得完全的技术栈控制权,并专门为 AI 辅助开发进行优化。新框架强调对React 零依赖和运行时优先的设计原则。
(Remix Blog)
该公司首席执行官 Josh Miller 认为,Arc 浏览器对大多数人而言还是过于超前了 —— 用户需要学习太多新东西,但回报太少…… 除此之外,“Arc 的核心功能和核心价值缺乏凝聚力。它具有实验性,这是其魅力的一部分,但也增加了其复杂性”,Miller 说道。
Arc 浏览器基于 Chromium 内核打造,提供了 Windows 和 Mac 版本,均采用 Swift 语言编写,目的是为了让 Windows 与 Mac 版本重用和共享大部分代码库。
2025 年 5 月 18 日起,MathWorks 公司旗下的 MATLAB 软件及相关服务遭遇大规模网络攻击,导致全球用户无法正常访问和使用相关产品。
据多所国外大学确认,此次中断由网络攻击引起,而非常规技术故障。瑞典皇家理工学院 (KTH) 和卡罗林斯卡学院等机构均在官方通知中证实了攻击性质。用户在尝试访问 MathWorks 门户网站时遇到「no healthy upstream」错误信息。
受影响的服务范围广泛,包括 MATLAB 在线版本、软件下载、许可证中心、文件交换平台、MATLAB Grader 教育工具以及技术支持论坛等。由于 MATLAB 近年来采用在线许可验证机制,即使是本地安装的软件也因无法连接许可服务器而无法启动。
西华盛顿大学学术技术服务部门于 5 月 20 日上午 11 时确认了这一「影响 MathWorks 基础设施的大规模服务中断」。英属哥伦比亚大学信息技术部门也发布了类似的服务中断通知。
MathWorks 在其官方状态页面 status.mathworks.com 上持续更新修复进展。截至 5 月 24 日,大部分非核心服务仍处于中断状态。公司表示正在「继续恢复系统」并将「尽快提供更多更新」。
(综合媒体报道)
北京时间 5 月 23 日凌晨,Anthropic 正式推出 Claude 4 系列模型,包括 Claude Opus 4 和 Claude Sonnet 4。两款模型在编码、高级推理和 AI 智能体(AI Agent)任务方面有进步。
Claude Opus 4 被 Anthropic 称为「全球最佳编程模型」,在 SWE-bench Verified 测试中取得 72.5% 的成绩,Terminal-bench 得分为 43.2%,全面领先于 OpenAI 的 o3 和谷歌的 Gemini 2.5 Pro。该模型能够连续稳定工作数小时,日本乐天集团(Rakuten)在测试中让其独立完成了一项开源代码重构任务,连续运行 7 小时且性能始终保持稳定。
Claude Sonnet 4 作为 Sonnet 3.7 的升级,在 SWE-bench 上达到 72.7% 的得分。GitHub 已宣布将其作为 GitHub Copilot 新编码智能体的基础模型。
两款模型均采用混合架构,提供近即时响应和扩展思考两种模式。在扩展思考模式下,模型可以调用网络搜索等工具,并支持并行使用多个工具。当开发者授予本地文件访问权限时,模型展现出显著增强的记忆能力,能够创建和维护「记忆文件」来存储关键信息。
Claude 4 系列现已在 claude.ai、Anthropic API、Amazon Bedrock 和 Google Cloud Vertex AI 全面上线。Sonnet 4 向免费用户开放,Pro、Max、Team 和 Enterprise 用户可使用两款模型及扩展思考功能。API 定价与前代保持一致:Opus 4 每百万词元(Token)15 美元(输入)/75 美元(输出),Sonnet 4 为 3 美元(输入)/15 美元(输出)。
同时发布的还有正式版 Claude Code,支持通过 GitHub Actions 执行后台任务,并与 VS Code 和 JetBrains 实现原生集成。Anthropic API 新增代码执行工具、MCP 连接器、文件 API 以及长达一小时的提示词缓存等四项新功能。
(综合媒体报道)
OpenAI 将收购 iPhone 设计师 Jony Ive 的人工智能硬件初创公司 io,交易金额 65 亿美元。
收购完成后,Jony Ive将携其独立设计工作室LoveFrom,全面负责OpenAI未来的创意与硬件产品设计。io团队约55名核心成员也将整体并入OpenAI,其中不乏多位曾参与iPhone、Apple Watch等标志性产品的苹果前设计骨干。
目前,双方正联合研发一款“超越屏幕”的AI消费设备,预计将在2026年推出。
(Moomoo)
收购完成后,Jony Ive将携其独立设计工作室LoveFrom,全面负责OpenAI未来的创意与硬件产品设计。io团队约55名核心成员也将整体并入OpenAI,其中不乏多位曾参与iPhone、Apple Watch等标志性产品的苹果前设计骨干。
目前,双方正联合研发一款“超越屏幕”的AI消费设备,预计将在2026年推出。
(Moomoo)
