Cloudflare 配置变更导致短暂服务中断
12 月 5 日,Cloudflare 确认其网络服务及 Dashboard、API 出现短暂不可用。官方随后解释称,此次中断并非由网络攻击引起,而是团队为了缓解本周披露的 React Server Components 行业漏洞,对 Web 应用程序防火墙(WAF)解析请求的方式进行了更改,从而意外导致了网络中断。该问题持续了数分钟,目前已完全解决,服务已恢复正常。
(Cloudflare Status)
12 月 5 日,Cloudflare 确认其网络服务及 Dashboard、API 出现短暂不可用。官方随后解释称,此次中断并非由网络攻击引起,而是团队为了缓解本周披露的 React Server Components 行业漏洞,对 Web 应用程序防火墙(WAF)解析请求的方式进行了更改,从而意外导致了网络中断。该问题持续了数分钟,目前已完全解决,服务已恢复正常。
(Cloudflare Status)
目前该故障已经修复 。然而,截至目前,阿里巴巴和支付宝方面尚未就故障原因发布官方声明 。
React Server Components 曝出严重远程代码执行漏洞
React 团队于当地时间 12 月 3 日发布安全公告,确认 React Server Components (RSC) 协议中存在一个严重的远程代码执行漏洞(CVE-2025-55182),CVSS 评分高达 10.0。该漏洞由 Lachlan Davidson 发现并报告,涉及 react-server-dom-webpack、react-server-dom-parcel 及 react-server-dom-turbopack 的 19.0.0 至 19.2.0 版本。攻击者可通过向 Server Function 端点发送恶意构造的 HTTP 请求,利用反序列化过程中的缺陷在服务器上执行任意代码,且无需经过身份验证。即使应用未直接实现 Server Function 端点,只要支持 RSC 均可能受影响。目前 React 团队已发布 19.0.1、19.1.2 和 19.2.1 版本予以修复。
受此上游漏洞影响,Next.js 同步发布了安全公告(CVE-2025-66478)。所有使用 App Router 的 Next.js 15.x 和 16.x 版本,以及 14.3.0-canary.77 之后的测试版本均受到波及。Next.js 13.x、14.x 稳定版及 Pages Router 模式不受影响。Vercel 已发布 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 等修复版本,建议用户立即更新;使用受影响 canary 版本的用户应降级至 14.x 稳定版。此外,React Router、Waku、RedwoodJS 等生态框架也已发布相应修复指南。
(React Blog、Next.js Blog)
React 团队于当地时间 12 月 3 日发布安全公告,确认 React Server Components (RSC) 协议中存在一个严重的远程代码执行漏洞(CVE-2025-55182),CVSS 评分高达 10.0。该漏洞由 Lachlan Davidson 发现并报告,涉及 react-server-dom-webpack、react-server-dom-parcel 及 react-server-dom-turbopack 的 19.0.0 至 19.2.0 版本。攻击者可通过向 Server Function 端点发送恶意构造的 HTTP 请求,利用反序列化过程中的缺陷在服务器上执行任意代码,且无需经过身份验证。即使应用未直接实现 Server Function 端点,只要支持 RSC 均可能受影响。目前 React 团队已发布 19.0.1、19.1.2 和 19.2.1 版本予以修复。
受此上游漏洞影响,Next.js 同步发布了安全公告(CVE-2025-66478)。所有使用 App Router 的 Next.js 15.x 和 16.x 版本,以及 14.3.0-canary.77 之后的测试版本均受到波及。Next.js 13.x、14.x 稳定版及 Pages Router 模式不受影响。Vercel 已发布 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7 等修复版本,建议用户立即更新;使用受影响 canary 版本的用户应降级至 14.x 稳定版。此外,React Router、Waku、RedwoodJS 等生态框架也已发布相应修复指南。
(React Blog、Next.js Blog)
Anthropic 宣布收购 JavaScript 运行时项目 Bun
Anthropic 于 12 月 2 日宣布收购热门 JavaScript 运行时项目 Bun,这是该公司成立以来的首笔收购。Bun 的创始人 Jarred Sumner 及其团队将加入 Anthropic,致力于进一步提升 AI 编程产品 Claude Code 的基础设施能力。Anthropic 明确承诺,收购后 Bun 将继续保持开源,维持现有的 MIT 许可证,并计划继续投入资源将其打造为顶级的 JavaScript/TypeScript 运行时、打包器和包管理器。
Anthropic 透露,Claude Code 自 2025 年 5 月向公众发布以来,仅用 6 个月时间便达到了 10 亿美元的年收入运行率。随着 Claude Code 的客户端逻辑日益复杂,Anthropic 自 2025 年 7 月起已在内部使用 Bun 来支撑其快速执行和基础设施需求。Bun 基于 Zig 语言和 JavaScriptCore 引擎构建,以高性能著称,被认为是支撑下一代 AI 编程代理的理想选择。
(Anthropic)
Anthropic 于 12 月 2 日宣布收购热门 JavaScript 运行时项目 Bun,这是该公司成立以来的首笔收购。Bun 的创始人 Jarred Sumner 及其团队将加入 Anthropic,致力于进一步提升 AI 编程产品 Claude Code 的基础设施能力。Anthropic 明确承诺,收购后 Bun 将继续保持开源,维持现有的 MIT 许可证,并计划继续投入资源将其打造为顶级的 JavaScript/TypeScript 运行时、打包器和包管理器。
Anthropic 透露,Claude Code 自 2025 年 5 月向公众发布以来,仅用 6 个月时间便达到了 10 亿美元的年收入运行率。随着 Claude Code 的客户端逻辑日益复杂,Anthropic 自 2025 年 7 月起已在内部使用 Bun 来支撑其快速执行和基础设施需求。Bun 基于 Zig 语言和 JavaScriptCore 引擎构建,以高性能著称,被认为是支撑下一代 AI 编程代理的理想选择。
(Anthropic)
Mistral AI 正式发布新一代模型家族 Mistral 3,包含旗舰级模型 Mistral Large 3 以及三款轻量级模型 Ministral 3(3B、8B、14B),所有模型均采用 Apache 2.0 许可协议开源。
Mistral Large 3 采用稀疏混合专家(MoE)架构,拥有 6750 亿总参数量(激活参数 410 亿),在 NVIDIA H200 GPU 集群上从头训练而成。该模型具备多模态图像理解能力和强大的多语言处理能力,支持超过 40 种自然语言。根据官方公布的基准测试,Mistral Large 3 在 MMMLU、AMC 数学竞赛题等多个维度上性能优于或持平 DeepSeek-3.1 (670B) 及 Kimi-K2 (1.2T);在 LMArena 排行榜的开源非推理模型类别中排名第二。
Ministral 3 系列则专为边缘计算和本地部署设计,提供基础版、指令微调版和推理版三种变体,同样支持图像理解,主打高性价比和低资源消耗。目前,Mistral 3 系列模型已上线 Hugging Face、Mistral AI Studio 以及 Amazon Bedrock、Azure 等主流云平台;Mistral Large 3 的推理版本也即将推出。
(Mistral AI)
DeepSeek 发布 V3.2 系列正式版模型,首创思考模式下的工具调用
DeepSeek 于 12 月 1 日正式发布 DeepSeek-V3.2 与 DeepSeek-V3.2-Speciale 两款模型,并公开了技术报告。其中,DeepSeek-V3.2 旨在平衡推理能力与输出长度,适用于问答及通用智能体(Agent)场景。据官方测试,其在推理基准测试中达到 GPT-5 水平,略低于 Gemini-3.0-Pro,但计算开销显著低于 Kimi-K2-Thinking。该模型的一大突破是实现了「思考」与「工具使用」的融合,支持在思考模式下进行多轮工具调用;DeepSeek 为此构建了包含 1800 多个环境的大规模强化学习数据以提升模型泛化能力。
DeepSeek-V3.2-Speciale 则定位为探索能力边界的「长思考」增强版,结合了 DeepSeek-Math-V2 的定理证明能力,在 IMO 2025、IOI 2025 等多项国际竞赛中斩获金牌,达到人类选手顶尖水平。目前,标准版 V3.2 已在网页端、App 及 API 上线;Speciale 版本仅通过临时 API 开放至 2025 年 12 月 15 日,不支持工具调用且成本较高。此外,新版 API 已适配 Claude Code 的思考模式,但针对 Cline、RooCode 等非标准组件的适配仍需完善。
(DeepSeek)
DeepSeek 于 12 月 1 日正式发布 DeepSeek-V3.2 与 DeepSeek-V3.2-Speciale 两款模型,并公开了技术报告。其中,DeepSeek-V3.2 旨在平衡推理能力与输出长度,适用于问答及通用智能体(Agent)场景。据官方测试,其在推理基准测试中达到 GPT-5 水平,略低于 Gemini-3.0-Pro,但计算开销显著低于 Kimi-K2-Thinking。该模型的一大突破是实现了「思考」与「工具使用」的融合,支持在思考模式下进行多轮工具调用;DeepSeek 为此构建了包含 1800 多个环境的大规模强化学习数据以提升模型泛化能力。
DeepSeek-V3.2-Speciale 则定位为探索能力边界的「长思考」增强版,结合了 DeepSeek-Math-V2 的定理证明能力,在 IMO 2025、IOI 2025 等多项国际竞赛中斩获金牌,达到人类选手顶尖水平。目前,标准版 V3.2 已在网页端、App 及 API 上线;Speciale 版本仅通过临时 API 开放至 2025 年 12 月 15 日,不支持工具调用且成本较高。此外,新版 API 已适配 Claude Code 的思考模式,但针对 Cline、RooCode 等非标准组件的适配仍需完善。
(DeepSeek)
Google 于 11 月 20 日发布 Gemini 3 Pro Image Preview 模型。作为 Gemini 3 系列的一员,该模型引入了推理能力,能够在响应前对思路进行推理,从而在复杂和多轮图像生成及编辑任务中实现更高的准确性和图像质量。Gemini 3 Pro Image 支持最高 4K 分辨率输出,增强了多语言长文本的渲染能力,并集成了 Google 搜索功能(Grounding with Google Search)以提供更准确、实时的知识支持。
该模型支持文本和图像输入,输出包含图像和文本,输入上下文限制为 64k 词元(Token),输出限制为 32k 词元。开发者目前可通过 Vertex AI Studio 和 Google Gen AI SDK 访问该预览版模型。
(Google Cloud)
Cloudflare 发布 18 日全球网络严重故障事故分析报告
Cloudflare 官方博客于 11 月 19 日发布事后分析报告,详细披露了前一日导致全球互联网大范围瘫痪的技术细节。故障始于 UTC 时间 11 月 18 日 11:20(北京时间 19:20),持续至 17:06 全部系统恢复正常。期间,核心 CDN 与安全服务、Workers KV、Access 以及验证码服务 Turnstile 均出现严重中断,导致包括 ChatGPT 在内的众多依赖其基础设施的网站无法访问,用户普遍遭遇 HTTP 5xx 错误。
官方明确指出,此次事故并非由 DDoS 攻击或其他恶意活动引起,而是源于内部 ClickHouse 数据库的一次权限管理变更。该变更旨在显化用户对底层基础表的访问权限,却意外导致机器人管理系统(Bot Management)的元数据查询返回了重复条目。这使得自动生成的威胁防御「特征配置文件」大小瞬间翻倍。
由于核心代理服务(代号 FL2)为了性能考虑,采用了预分配内存的设计,并对特征数量设定了硬性上限。当体积异常的配置文件推送到全球边缘节点时,负责流量路由的 Rust 代码使用了 `
在故障处置初期,由于 Cloudflare 托管在外部平台的状态页(Status Page)同时也因流量过载而瘫痪,加之故障特征与大规模网络攻击相似,运维团队曾一度误判。最终,团队通过停止生成错误文件并手动回滚至已知良好的旧版本文件恢复了核心流量。Cloudflare 表示后续将强化对内部生成配置文件的输入验证(将其视为不可信输入),增加全局终止开关,并全面审查核心模块的错误处理逻辑以防止类似单点故障再次发生。
(Cloudflare Blog)
Cloudflare 官方博客于 11 月 19 日发布事后分析报告,详细披露了前一日导致全球互联网大范围瘫痪的技术细节。故障始于 UTC 时间 11 月 18 日 11:20(北京时间 19:20),持续至 17:06 全部系统恢复正常。期间,核心 CDN 与安全服务、Workers KV、Access 以及验证码服务 Turnstile 均出现严重中断,导致包括 ChatGPT 在内的众多依赖其基础设施的网站无法访问,用户普遍遭遇 HTTP 5xx 错误。
官方明确指出,此次事故并非由 DDoS 攻击或其他恶意活动引起,而是源于内部 ClickHouse 数据库的一次权限管理变更。该变更旨在显化用户对底层基础表的访问权限,却意外导致机器人管理系统(Bot Management)的元数据查询返回了重复条目。这使得自动生成的威胁防御「特征配置文件」大小瞬间翻倍。
由于核心代理服务(代号 FL2)为了性能考虑,采用了预分配内存的设计,并对特征数量设定了硬性上限。当体积异常的配置文件推送到全球边缘节点时,负责流量路由的 Rust 代码使用了 `
.unwrap()` 方法来处理结果。该方法在遇到超出预期的错误状态(即文件大小超出限制)时,直接导致了进程崩溃(Panic),而非抛出可控的错误,最终引发了连锁反应。在故障处置初期,由于 Cloudflare 托管在外部平台的状态页(Status Page)同时也因流量过载而瘫痪,加之故障特征与大规模网络攻击相似,运维团队曾一度误判。最终,团队通过停止生成错误文件并手动回滚至已知良好的旧版本文件恢复了核心流量。Cloudflare 表示后续将强化对内部生成配置文件的输入验证(将其视为不可信输入),增加全局终止开关,并全面审查核心模块的错误处理逻辑以防止类似单点故障再次发生。
(Cloudflare Blog)
Google DeepMind CEO Demis Hassabis 于 11 月 19 日宣布正式发布 Gemini 3 系列模型。
作为 Google 目前最智能的模型,Gemini 3 Pro 现已推出预览版,其在 LMArena 排行榜上以 1501 Elo 的高分位居榜首,并在 Humanity’s Last Exam(37.5%)、GPQA Diamond(91.9%)以及数学基准测试 MathArena Apex(23.4%)中刷新了行业记录。
此次更新重点强化了推理与多模态能力。Gemini 3 具备 100 万词元(Token)的上下文窗口,支持对文本、图像、音视频及代码的深度理解与生成。Google 同时预告了 Gemini 3 Deep Think 模式,该模式在推理能力上更进一步,在 ARC-AGI-2 测试中取得了 45.1% 的成绩,计划于未来几周向 Google AI Ultra 订阅用户开放。
目前,Gemini 3 已集成至 Google 搜索的 AI 模式、Gemini App、AI Studio 及 Vertex AI 中。
(Google Blog)
据 Cloudflare System Status 页面显示,协调世界时(UTC)2025 年 11 月 18 日 11 时 48 分(北京时间 19 时 48 分),Cloudflare 遭遇内部服务降级,导致全球范围内的部分服务出现间歇性中断。
经过排查,官方确认了故障原因并开始实施修复。在此过程中,为了缓解问题,官方曾短暂禁用伦敦地区的 WARP 访问权限。截至 UTC 13 时 13 分(北京时间 21 时 13 分),Cloudflare Access 和 WARP 的服务功能已恢复,错误率降至事故前水平,伦敦地区的 WARP 访问也已重新开启。目前官方团队仍在继续开展修复工作,以完全恢复应用层面的服务,在此期间用户仍可能观察到高于正常水平的错误率。
(Cloudflare System Status)
xAI 发布 Grok 4.1 系列模型及 Agent Tools API
xAI 于近日正式发布 Grok 4.1 系列模型及其配套开发工具。其中,Grok 4.1 主模型在 LMArena 排行榜上以 quasarflux(推理模式)和 tensor(非推理模式)的代号包揽前两名,其推理模式 Elo 分数达到 1483 分,超越了 Gemini 2.5 Pro 和 Claude Sonnet 4.5 等竞争对手。该模型重点提升了创意写作、情感交互及协作能力,并在 EQ-Bench 等情商测试中表现优异。
同期发布的 Grok 4.1 Fast 专为工具调用和代理任务设计,拥有 200 万 token 的上下文窗口,并在多轮对话和长文本处理上进行了优化。配合新推出的 Agent Tools API,开发者可让模型直接调用 X 平台搜索、网页浏览、代码执行及文件检索等功能,无需自行维护检索管道。目前,Grok 4.1 Fast 模型及 Agent Tools API 已在 OpenRouter 平台上开启限时免费试用,截止日期为 12 月 3 日。
(xAI)
xAI 于近日正式发布 Grok 4.1 系列模型及其配套开发工具。其中,Grok 4.1 主模型在 LMArena 排行榜上以 quasarflux(推理模式)和 tensor(非推理模式)的代号包揽前两名,其推理模式 Elo 分数达到 1483 分,超越了 Gemini 2.5 Pro 和 Claude Sonnet 4.5 等竞争对手。该模型重点提升了创意写作、情感交互及协作能力,并在 EQ-Bench 等情商测试中表现优异。
同期发布的 Grok 4.1 Fast 专为工具调用和代理任务设计,拥有 200 万 token 的上下文窗口,并在多轮对话和长文本处理上进行了优化。配合新推出的 Agent Tools API,开发者可让模型直接调用 X 平台搜索、网页浏览、代码执行及文件检索等功能,无需自行维护检索管道。目前,Grok 4.1 Fast 模型及 Agent Tools API 已在 OpenRouter 平台上开启限时免费试用,截止日期为 12 月 3 日。
(xAI)
Google 预计将于近期同步推出 Gemini 3 系列与 Nano Banana Pro。有网友于 Google Vids 宣传物料上见到了 Nano Banana Pro 模型的字样。
预测市场 Polymarket 上,自 11 月 15 日起,Gemini 3.0 发布时间的预测大量倒向 11 月 18 日(周二),目前已有近 80% 概率。
预测市场 Polymarket 上,自 11 月 15 日起,Gemini 3.0 发布时间的预测大量倒向 11 月 18 日(周二),目前已有近 80% 概率。
小道消息,未经证实
OpenAI 发布了 GPT-5.1 系列模型。
GPT-5.1 Instant :最常用的模型,语气更亲切、更智能,更善于遵循指令。
GPT-5.1 Thinking :先进的推理模型,更易于理解,处理简单任务速度更快,处理复杂任务更具持久力。
GPT-5.1 Pro:即将上线
本周晚些时候,这两款模型也会登陆API。其中,GPT-5.1 Thinking将会以「GPT-5.1」的名称发布,而GPT-5.1 Instant则是「gpt-5.1-chat-latest」,两者均具备自适应推理能力。
GPT-5.1 Instant :最常用的模型,语气更亲切、更智能,更善于遵循指令。
GPT-5.1 Thinking :先进的推理模型,更易于理解,处理简单任务速度更快,处理复杂任务更具持久力。
GPT-5.1 Pro:即将上线
本周晚些时候,这两款模型也会登陆API。其中,GPT-5.1 Thinking将会以「GPT-5.1」的名称发布,而GPT-5.1 Instant则是「gpt-5.1-chat-latest」,两者均具备自适应推理能力。
OpenAI 还宣布,受益于 GPU 利用率提高,为其 Plus 订阅用户的 Codex 配额提高 50%。
Anthropic 宣布推出 Claude Code 的原生安装程序。
相比使用 NPM 安装,原生安装程序更简单、更稳定,并且不再需要 Node.js。这是 macOS、Linux 和 Windows 上安装 Claude Code 的最新推荐方式。
——————
Homebrew (macOS, Linux):
macOS, Linux, WSL:
Windows PowerShell:
Windows CMD:
相比使用 NPM 安装,原生安装程序更简单、更稳定,并且不再需要 Node.js。这是 macOS、Linux 和 Windows 上安装 Claude Code 的最新推荐方式。
——————
Homebrew (macOS, Linux):
brew install --cask claude-codemacOS, Linux, WSL:
curl -fsSL https://claude.ai/install.sh | bashWindows PowerShell:
irm https://claude.ai/install.ps1 | iexWindows CMD:
curl -fsSL https://claude.ai/install.cmd -o install.cmd && install.cmd && del install.cmd