E-Ink 新闻日报

流行的 Axios JavaScript 库在 NPM 注册表上遭到入侵，恶意版本会部署远程访问木马。这次供应链攻击影响了 Node.js 生态系统中使用最广泛的 HTTP 客户端之一，可能波及数百万个项目。该事件凸显了开源包生态系统中的关键安全漏洞。

流行的 Axios HTTP 客户端遭遇供应链攻击，通过恶意 npm 依赖包（[email protected]）注入远程访问木马，可执行命令并窃取数据。攻击绕过了正常发布流程，维护者一度无法撤销攻击者权限。Axios 每周下载量超 1 亿次，此事影响重大。

最新研究表明，量子计算机破解椭圆曲线加密所需的资源远低于先前预估，其中一项研究实现了100倍的开销降低，另一项实现了20倍的资源缩减。这些突破源于改进的量子架构和更高效的算法，加速了密码学相关量子计算的发展进程。该发现加剧了向抗量子加密标准迁移的紧迫性。

NASA的Artemis II任务计划于本周发射，这是53年多来人类首次重返月球空间。该任务将使用太空发射系统火箭和猎户座飞船，将四名宇航员送往月球远侧。天气条件和技术系统均表现良好，并在四月初之前有多个备用发射窗口。

OpenAI以8520亿美元的估值完成新一轮融资，成为科技史上规模最大的私人估值之一。这表明投资者对AI增长潜力及OpenAI行业领导地位的高度信心。资金将用于加速下一代AI模型和基础设施的开发。

RubyGems于2025年9月10日至18日发生重大安全事件，涉及GitHub权限管理失效和未授权访问变更。报告通过大量访谈和日志分析提供了客观的事件还原。该事件暴露了这个重要开源包生态系统的关键基础设施漏洞。

Claude AI 发现了 Vim 和 Emacs 文本编辑器中的关键远程代码执行漏洞，仅需打开文件即可触发。Vim 维护者迅速修复了漏洞，而 Emacs 维护者拒绝修复，将其归因于 git。研究人员正在启动'AI 发现漏洞月'活动，展示更多 AI 发现的漏洞。

研究人员成功复现了BadAML攻击，该攻击利用ACPI表在机密虚拟机内部实现任意代码执行，绕过了内存隔离保护。团队开发了AML沙箱缓解方案，将字节码执行限制在共享内存页面中。该漏洞影响包括AMD SEV-SNP和Intel TDX在内的多种机密计算平台。

OpenAI在由亚马逊、英伟达和软银领投的最新融资轮中筹集了1220亿美元，公司估值达到8520亿美元，接近IPO。值得注意的是，尽管尚未上市，但其中有30亿美元来自散户投资者。这代表了科技史上规模最大的私募融资之一，显示出市场对OpenAI未来的强烈信心。

朝鲜黑客入侵了广泛使用的开源项目Axios，在该每周下载数千万次的工具中植入了恶意软件。这是一次针对全球开发者和组织的大规模供应链攻击。

伊朗国家支持的黑客正在加强对美国和以色列的网络攻击，使用心理战、虚假应用程序和虚假信息活动来制造混乱并收集情报。前CISA主任确认伊朗正在部署所有可用网络资源进行这些进攻行动。这些攻击代表了这些国家之间持续网络暗战的重要升级。

FTC披露OkCupid未经适当同意将300万用户照片分享给面部识别公司，但该公司避免了罚款。这凸显了约会应用行业在处理生物识别数据方面的隐私问题。该事件反映了数据保护标准执行中的监管挑战。

微软在其Copilot使用条款中明确表示，该AI助手仅用于娱乐目的，不适用于专业或高风险场景。这一声明引发了关于生成式AI工具在关键场景中可靠性和局限性的广泛讨论。

Claude Code 的源代码据称通过其 NPM 注册表中的映射文件泄露，引发了开发者社区的广泛讨论和分析。事件涉及虚假工具、正则表达式相关的问题以及'隐蔽模式'，暗示了对代码安全和工具完整性的深层影响。在 Hacker News 上获得超过 500 分和近 200 条评论，显示了高度的关注和参与。

开源CAD应用Solvespace推出了可直接在浏览器中运行的网页版本。该版本在Hacker News上获得264分和85条评论，显示出强烈的社区关注度。基于浏览器的实现使得参数化3D建模无需本地软件安装即可使用，大大提升了可访问性。

Claude Code的源代码通过其NPM注册表中的map文件意外泄露，暴露了内部实现细节。这一事件在开发者社区引发了广泛讨论，在Hacker News上获得了1800多分和888条评论。此次泄露引发了关于npm包中源代码保护和构建过程安全性的担忧。

软件供应链攻击正以惊人频率发生，最近一周内连续出现两起针对流行开源组件的攻击事件 - PyPI上的litellm和npm上的axios。这种模式凸显了软件依赖项的脆弱性以及攻击者针对开发生态系统的日益复杂化。文章探讨了这些攻击为何变得如此普遍以及供应链成为恶意行为者有吸引力的目标的原因。

文章认为AI辅助编码工具正在制造'次级技术债务危机'，因为开发者预期未来模型会更好而推迟重构，可能导致AI进步停滞时出现无法维护的代码库。文章将其与金融债务类比，警告无限增长的假设可能导致技术债务复杂到连先进AI都无法解决时发生系统性崩溃。这对AI驱动开发实践的长期可持续性提出了重要警示。

Cocoa-Way 是一个用 Rust 编写的原生 macOS Wayland 合成器，基于 Smithay 库开发，无需 XQuartz 即可实现 Linux 应用的无缝流式传输。它支持原生 OpenGL 渲染、HiDPI 和硬件加速，但当前远程连接存在延迟问题。项目提供通过 Homebrew 或直接下载二进制文件的安装方式。

包括Waymo、特斯拉和Zoox在内的主要自动驾驶公司在参议院调查中拒绝透露其自动驾驶车辆需要远程人工协助的频率。这种缺乏透明度引发了人们对当前robotaxi技术真实能力和安全性的担忧。拒绝分享这一关键运营数据表明，该行业可能距离实现完全自动驾驶比公开宣称的要更远。

Meta因对青少年造成伤害而面临重大法律追责，尚有数千起诉讼待处理。国会已提出多项儿童在线安全法案，但部分提案受到批评。这标志着科技巨头对青少年心理健康影响承担责任的重要转折点。

曾估值35亿美元的游戏社交平台Rec Room将于6月1日关闭服务。该平台以用户生成游戏和虚拟体验著称，此次关闭标志着社交VR/元宇宙领域的一个重要项目终结。

优步与自动驾驶公司文远知行在迪拜扩大机器人出租车业务，推出完全无人驾驶服务，无需安全操作员。这标志着中东地区自动驾驶网约车商业化的重要里程碑。

医疗记录存储巨头CareCloud披露3月份黑客入侵了其患者数据存储库，可能影响数百万患者。该事件凸显了医疗数据系统的持续安全漏洞，需要医疗机构和监管部门的紧急关注。这起事件代表了医疗数据安全领域的一次重大安全事件。

SpaceX确认一颗Starlink卫星因内部异常在轨解体成数十个碎片，追踪机构LeoLabs监测到该事件。碎片预计数周内将再入大气层，目前未对其他太空任务构成威胁。此事再次引发对卫星可靠性和太空碎片管理的关注。

Anthropic因npm包中意外暴露source map文件，导致Claude Code CLI工具的完整源代码泄露。泄露内容包括近2000个TypeScript文件和超过51.2万行代码，揭示了内部架构细节。虽然没有客户数据受损，但该事件为竞争对手提供了宝贵的技术洞察。

一位 Ars Technica 记者对比 NASA 猎户座计划的过去与现在，认为新任局长 Jared Isaacman 的务实领导让本次发射充满希望而非空泛承诺。文章指出此次任务标志着 NASA 从官僚空话转向切实的月球探索计划。这次发射可能成为航天局重回正轨的转折点。

Anthropic的报告显示，大语言模型理论上可处理超80%的多个职业类别任务，但'理论能力'指标基于推测性预估而非实证测试。分析强调了AI提升生产力的潜力，但夸大了短期替代人类工作的风险，为AI经济影响辩论提供了 nuanced 视角。

Anthropic在Claude Code 2.1.88更新中意外泄露了TypeScript源代码，包含超过51.2万行代码。泄露内容揭示了即将推出的功能、AI记忆架构和一个类似拓麻歌子的'宠物'功能。这为研究Anthropic的开发方法和未来能力提供了前所未有的视角。

Cohere 推出了 Transcribe，这是一款利用其先进 AI 模型实现高精度转录的新语音识别 API。该工具旨在帮助开发者集成到需要实时或批量音频处理的应用中。在 Hacker News 上获得了 140 分和 46 条评论，显示出开发者对其的高度关注。

文章批评了‘AI 垃圾软件’的趋势，即低质量的 AI 生成内容和工具，认为这未必代表技术的未来。讨论了过度依赖 AI 而缺乏质量控制的问题，以及对用户体验和创新的潜在负面影响。

文章介绍了Bleve，这是一个强大的Go语言全文索引库，可作为Elasticsearch等外部服务的替代方案。通过代码示例演示了如何创建简单索引器，并重点介绍了Hister实现中使用的高级功能，包括自定义字段映射和查询语言定制。

用户分享了在OpenBSD上从bupstash迁移到Plakar备份工具的经验，强调了其跨平台能力和云服务集成。文章提供了安装和配置指南，同时指出当前在OpenBSD上的并发和大目录处理限制。该项目有OpenBSD开发者参与，提供强加密和灵活存储选项。

Rustunit 开发了 gitea-ci-autoscaler，这是一个基于 Rust 的服务，可在 Hetzner Cloud 基础设施上自动扩展 Gitea CI 运行器。该解决方案通过仅在作业等待时启动节点、空闲时关闭节点来优化固定 CI 基础设施的成本效率，并针对 Hetzner 的按小时计费模式进行了优化。实现使用 Rust 枚举来建模节点生命周期，并在 K3s 集群中运行，每 5 秒...

Servo 0.0.6 版本带来了显著的性能改进，包括更快的布局和脚本暂停/恢复功能，同时扩展了对 CSS 属性、DOM API 和开发者工具的网络平台支持。此次更新增强了 Servo 作为轻量级可嵌入浏览器引擎的可行性。这些进展代表了在构建现代浏览器引擎替代方案方面的持续进步。

systemd 提议添加出生日期字段以符合年龄验证法律要求，引发了社区极端反对，包括对开发者的恶意攻击和人肉搜索。该变更旨在响应加州和巴西的新法规要求。社区的反应与这项技术变更的实际影响严重不成比例。

开发者更新了AOT WebAssembly编译器Wastrel，通过mini-gmp支持大数运算，并在异常处理集成方面取得进展。工作重点是将Hoot Scheme-to-Wasm的输出编译为Wasm，通过externref解决主机数据类型的挑战。这些改进提升了与真实工具链的兼容性，超越了合成基准测试。

近期Y Combinator孵化的人工智能初创企业在种子轮估值达到约4000万美元，显示投资者对该领域热情高涨。这一趋势伴随着对这些早期企业更高的业绩期望，反映了AI创业日益资本密集和竞争激烈的现状。

Truecaller已达到5亿月活跃用户，其中印度用户3.5亿，国际市场增长显著。公司正通过AI诈骗检测和来电筛查功能扩展服务范围。Truecaller目标是达到10亿用户，同时打击垃圾信息和诈骗通信。

Nomadic 筹集了 840 万美元资金，用于开发处理自动驾驶汽车产生海量数据的技术。该公司使用深度学习模型将原始传感器数据转换为结构化、可搜索的数据集。这笔资金将帮助解决管理自动驾驶汽车产生巨大数据流的日益严峻的挑战。

Rivian 分拆公司 Also 从 DoorDash 和 Greenoaks Capital 获得了 2 亿美元的额外融资，使其总融资额超过 5 亿美元。该公司将专注于为 DoorDash 的物流网络开发自动驾驶配送车辆。这一合作凸显了最后一公里自动驾驶配送解决方案日益增长的投资和关注。

Runway推出了1000万美元的基金和Builders计划，旨在支持利用其AI视频模型进行开发的早期初创公司。该计划致力于推动交互式实时视频智能应用的发展。这一举措将加强Runway的生态系统并促进AI视频创作领域的创新。

谷歌正在向美国用户推出Gmail用户名修改功能，允许用户无需创建新账户即可更改邮箱前缀，解决了多年来的用户痛点。更改后所有数据和邮件均保留，但每年仅限修改一次。这是Gmail服务22年来首次提供此类灵活性。

由于电动卡车需求急剧下降，通用汽车暂时裁员1300人并暂停了密歇根工厂的生产。行业面临联邦激励取消、关税以及消费者对续航和拖拽能力的担忧等挑战。福特等其他厂商也取消了电动卡车生产计划，标志着电动卡车转型遇阻。

ChatGPT 现已支持 Apple CarPlay，需要 iOS 26.4 或更新版本及最新版 ChatGPT 应用。该集成仅支持语音交互，遵循苹果禁止在 CarPlay 中显示文本或图像的规定。这标志着人工智能助手在汽车环境中的可访问性显著扩展。

三星发布了一款名为Hearapy的免费安卓应用，通过耳机播放100Hz正弦波音调60秒，刺激内耳前庭系统以缓解晕动症状。该应用支持40-120秒时长调节，专为Galaxy Buds等耳机设计。这是利用音频技术应对常见旅行不适的创新非药物方案。

亚马逊因严重漏洞和电池耗电问题，已停止分发 Kindle 软件版本 5.19.3。公司预计将在几周内解决所有问题，然后重新发布更新。

一位开发者创建了GitHub历史正常运行时间追踪器，记录了该平台随时间变化的服务可用性。该项目在Hacker News上获得339分和97条评论，反映了开发者对平台可靠性指标的关注。虽然技术上并非突破性进展，但为这个对开发者至关重要的基础设施服务提供了宝贵的透明度。

GitHub的Monaspace字体家族针对代码可读性和开发者体验进行了设计，案例研究详细介绍了其设计过程和技术特点。该项目在Hacker News上获得100分和35条评论，反映了开发者社区的兴趣。虽然不是突破性创新，但对开发者工具美学做出了有意义的贡献。

一篇关于 TinyAPL 中组合子的文章讨论了它们在函数式编程和数组处理中的作用。该文章在 Hacker News 上获得 122 分和 37 条评论，表明编程语言爱好者对此感兴趣。

Pidgin 发布了即将推出的 3.0 版本的第一个 alpha 版本（2.95.0），标志着协议 API 已稳定，可供第三方开发者使用。该早期版本仅用于测试和开发，尚未完善且存在许多错误。下一个 alpha 版本（2.96.0）计划于 2026 年 6 月 30 日发布。

Gaim 3 是一款正在早期开发中的通用聊天客户端，恢复了经典的 Gaim 名称和界面。基于 libpurple 3 和 GTK 4 构建，支持多聊天网络和跨平台运行。该项目是对 Pidgin 3 转向聊天室界面的回应，旨在保留用户偏好的直接消息功能。

对 Linux 内核 v7.0-rc1 启动过程中调用的关键函数进行了技术分析，揭示了内核初始化的核心流程。这份手动筛选的列表为开发者提供了启动阶段重要操作的参考视图。虽然不属于突破性发现，但对内核开发者和系统级程序员具有实用价值。

由a16z crypto的Chris Dixon等知名投资者投资3300万美元的众包AI模型反馈初创公司Yupp在推出不到一年后宣布关闭。该公司曾获得硅谷主要投资者的资金支持，但未能维持业务运营。这代表了竞争激烈的AI初创领域中的又一次高调失败。

健身穿戴设备初创公司Whoop完成5.75亿美元G轮融资，估值飙升至100亿美元，C罗和勒布朗·詹姆斯等知名投资者参与。本轮大规模融资引发了对即将进行IPO的猜测，显示出投资者对健康科技领域的高度信心。

亚马逊的Alexa+现已集成Uber Eats和Grubhub，支持语音订餐功能，模拟与服务员或驾车点餐的对话体验。这一更新提升了智能助手商务的便利性，但属于渐进式功能改进而非重大技术突破。

联邦快递选择与Berkshire Gray合作推进自动化战略，而非自主开发专有技术。这一策略旨在利用外部专业能力，同时降低研发成本和风险。此举反映了物流行业在自动化领域日益依赖合作伙伴关系的趋势。

Meta推出了两款专为处方眼镜佩戴者设计的新款雷朋智能眼镜，扩展了其可穿戴技术产品线。该公司声称这是他们迄今为止最舒适的眼镜，专为全天佩戴设计。此举使需要视力矫正的用户更容易使用智能眼镜技术。

Mindbody和ClassPass以75亿美元合并，反映了健身科技行业持续整合的趋势。此前MyFitnessPal收购了Cal AI，Strava也收购了The Breakaway和Runna等应用。

RFK Jr. 正推动 FDA 解除对十多种因安全风险而被禁的肽类注射疗法的限制，这些疗法缺乏有效性数据且未经证实。这些未经证实的肽在健康影响者和生物黑客中流行，声称具有抗衰老和治疗疾病等功效。此举突显了监管谨慎与替代健康趋势之间的持续紧张关系。

Roku为其2.99美元/月的Howdy流媒体服务推出了独立移动应用，使无广告内容可在iOS和Android设备上观看。该服务提供近10,000小时来自主要工作室和Roku原创的内容。此次扩展紧随Howdy近期登陆亚马逊Prime Video，标志着其超越Roku生态系统的增长。

研究表明，最佳的飞机疏散方案需要将老年乘客均匀分布在机舱各区域，而不是集中在一起。这种策略可以防止紧急情况下出现瓶颈，因为行动较慢的乘客分散在多个出口处。这些发现可能会影响未来的机舱设计和乘客座位安排协议。

Polestar和沃尔沃将Polestar 3的生产全部集中到南卡罗来纳州工厂，停止在中国成都的生产。此举旨在提高运营效率，并利用美国作为区域和出口市场的战略生产基地。此前沃尔沃2025年销量下降7%，而Polestar销量增长34%。

伯明翰水务公司宣布停止氟化水处理，随后透露其实多年前已悄然实施且未通知公众。公用事业方以设备老化和未经证实的健康担忧为由，而市长则批评其缺乏透明度。此事引发了关于公共卫生和市政服务责任的担忧。

Evercade发布了新款手持游戏机Nexus，配备5.89英寸16:9大屏幕和双摇杆以支持3D游戏。分辨率小幅提升至840×512，售价199.99美元，4月1日开启预售，预计2026年10月发货。与之前型号一样，它仍采用卡带模式，不支持应用商店或ROM。

三星 Galaxy S26 推出 Photo Assist AI 编辑工具，在谷歌 Pixel 的 AI 照片处理功能基础上进一步发展，允许用户通过自然语言请求进行广泛编辑。该技术引发了关于创建可能有害的虚假图像的担忧。这代表了 AI 驱动照片编辑的持续发展，既具有创意潜力又存在伦理问题。

海信75英寸U6 mini-LED电视在亚马逊春季大促期间降价至550美元，比65英寸型号更便宜，同时提供更大屏幕和更多调光区。该电视支持4K分辨率、144Hz刷新率游戏体验和多种HDR格式，采用ADS Pro面板改善视角但对比度略逊于VA面板。

datasette-llm 0.1a4 引入了按模型用途配置 API 密钥的功能，允许插件为特定任务（如使用 GPT-5.4-mini 进行数据增强）指定不同密钥。该版本包含 llm-echo 0.3 作为测试工具，提升了 Datasette 插件中 LLM 集成的模块化和安全性。

Simon Willison发布了llm-all-models-async 0.1，这是一个通过线程池将同步LLM模型转换为异步版本的插件。该工具解决了同步插件与异步系统（如Datasette）的兼容性问题，并需要LLM 0.30中的新插件钩子机制支持。

Supernote 即将为其 Manta 和 Nomad 电子墨水平板电脑推出名为 InkHub 的新功能。该功能将允许用户与其他用户共享内容，提升设备间的协作能力。这是一次值得关注但属于渐进式的软件更新。

Harlequin正在将其浪漫小说内容扩展到移动优先的连载视频格式，以应对全球对短篇故事叙述日益增长的需求。这一举措代表了传统出版商正在适应新兴的数字娱乐形式。