**中文翻译:** 国际清算银行报告分析了人工智能投资的爆发,美国人工智能投资现在占GDP的5%,显著推动经济增长。由于资本支出需求巨大,企业正从经营现金流转向债务融资,特别是数据中心和半导体基础设施。私人信贷正快速扩张以满足需求。虽然宏观经济风险适中,但此热潮的可持续性取决于人工智能企业是否能满足高收益预期。股价表现超越债市定价,若收益未达预期则存在风险。报告警告,若人工智能投资回报预期未兑现,可能对金融稳定带来威胁。后续需监测信贷标准和投资回报率趋势。
**中文翻译:** 用户Joshua Khane在XCANCEL上报告称,微软在确认账户被黑客入侵并证明其所有权后,删除了其25年历史的账户和OneDrive存储。该账户包含数千欧元的游戏支出和个人数据,包括儿子的婴儿照片。Khane表示愤怒,称微软的行为为'可鄙',并质疑为何公司无法恢复被黑账户。此事在线上引发广泛批评,有评论指出微软优先考虑利润而非用户数据保护,常迫使用户在账户丢失后重新购买内容。记者Jez Corden联系Khane进行报道,Khane同意授权。此案凸显了大型科技公司在处理被黑账户、数据恢复政策和客户服务响应方面的问题。批评者指出,企业在用户数据管理中采取的策略取代了技术恢复能力,采用僵化的删除政策。潜在的后续行动包括要求退款、公共关系危机以及对微软账户管理实践的监管审查。此事件还反映了数字所有权和云端生态系统中用户生成内容脆弱性的更广泛张力。
The change is intended to reduce the risk of merge‑in‑one‑shot supply‑chain attacks. New releases are曱 an entry point for compromised or broken versions; a short delay gives maintainers and the community a burst of time to notice and respondWaar before a pull request is automatically created. By default, a three‑day lag provides aهههه signal window while still keeping upgrades reasonably timely for regular, non‑critical changes.
**中文翻译:** GitHub 已将 Dependabot 的“包冷却期”设为所有受支持生态系统的默认值。自今天起,Dependabot 在包注册表发布新版本后,将至少等待三天才会创建拉取请求来升级依赖项。该冷却仅适用于普通版本升级;安全相关更新仍会立即触发,确保关键补丁不会被延迟.central 通过取消此行为的持久,请在仓库的 .github/dependabot.yml 文件中指定不同的窗口或禁用冷却。
此更改旨在降低供应链攻击的风险。新版本是受攻击者利用的入口点;短暂的延迟给维护者和社区提供了时间窗口,让他们在自动创建拉取请求前发现并响应潜在的危害。默认的三天延迟为这些不稳定或恶buk 确认提供了信号窗口,同时仍保持对常规非关键更改的相对及时性。
对团队的影响:如果团队依赖 Dependabot 快速更新,您将看到新版本的可见延迟不超过三天,但不会再面临立即拉取恶意或未经审核版本的风险。安全性关键修复仍然即时。想实现更严格或更宽松冷却期的项目可调整 `cooldown` 参数,想保持传统即时行为的可通过禁用来实现。企业管理员应核实新默认符合其安全策略,并相应规划 GHES 3.23 的升级路线。
后续步骤:检查现有 .github/dependabot.yml 文件,确认默认冷却期符合工作流程。查看最近的 Dependabot PR 以观察新计时行为。若需更严格或更宽松窗口,请在下次发行前更新 `cooldown` 选项。最后,跟踪 GitHub 安全公告 flop 存储库的审计日志,以确保在实施新冷却策略后没有出现异常延迟或安全事件。
**中文翻译:** 谷歌图片(Google Images)正在从传统的图片搜索工具重新设计为一个类似 Pinterest 的发现画廊,标志着该产品问世 25 周年。新体验包含一个个性化的“为你推荐”(For You)信息流,会根据用户的兴趣和历史浏览记录持续刷新图片。用户可将条目保存到命名为“收藏集”(collections)的文件夹中,这些收藏集以标签形式显示在画廊上方,复刻了 Pinterest 的保存并稍后查看模式。此外,谷歌正将其 AI 图像生成功能整合到搜索的 AI 概览(AI Overviews)中,使用其最新的 Nano Banana 模型,让用户在没有匹配图片时通过文本提示创建自定义视觉内容,或重新构想空间如重新粉刷的房间。
商业背景:Pinterest 凭借可浏览的时尚、家居装饰等类似兴趣的灵感内容建立了用户群。谷歌正采用该策略,以延长用户在自身平台上的停留时间并增加广告收入。内置生成功能也旨在防止用户转向 ChatGPT 等第三方 AI 服务来完成视觉任务。
为何重要:随着生成式 AI 改变搜索习惯,谷歌正将检索、个性化信息流与创作相融合,以捍卫搜索主导地位,并在视觉发现领域获取由注意力驱动的广告收益。
影响与风险:这一转变可能通过个性化画廊提升用户参与度和定向广告效果,但需要使用谷歌账号登录,引发了关于浏览数据使用的隐私疑问。它对 Pinterest 构成了直接竞争威胁。Nano Banana 模型输出在真实场景中的质量和可靠性尚未得到验证,其成功取决于用户是否愿意使用谷歌而非专业应用来获取灵感。
后续步骤:画廊重新设计将在未来几周内面向登录用户在美国桌面端以英文推出。AI 概览中的 AI 图像生成功能将以英文在已支持 AI 模式图像创建的地区逐步上线。未公布移动端或国际推广时间表。
**中文翻译:** 本文聚焦“OpenAI’s first hardware device is reportedly a screenless speaker that can move”。当前可用上下文有限,但它涉及一项值得关注的技术或政策进展。实践层面的建议是持续跟踪官方更新,并评估其对产品、安全与运营的实际影响。
**中文翻译:** 2026年7月14日,OpenAI针对苹果于7月10日在美国加利福尼亚州北区联邦地区法院提起的商业秘密诉讼,首次作出实质性回应。苹果长达41页的诉状指控,曾任职于苹果的OpenAI员工协同努力获取保密信息和知识产权,并对包括首席硬件官Tang Tan在内的OpenAI领导层提出一系列指控;Tang Tan是在苹果工作24年的老将,曾任iPhone和Apple Watch产品设计副总裁。OpenAI通过彭博社记者分享的声明表示,“不知道有任何证据显示该诉讼有法律依据”,同时重申对公平竞争和员工自由择业权的承诺。此前在诉讼提交后数小时,OpenAI曾简短否认,称“对其他公司的商业秘密没有兴趣”。
背景是OpenAI积极进军消费硬件领域,其收购Jony Ive创办的初创公司io,以及彭博社同日报道称OpenAI正在打造一款移动、无屏幕的智能音箱,作为AI伴侣——该产品可能直接挑战苹果的核心业务。苹果声称内部调查发现OpenAI及其合作伙伴在设备开发过程中利用了保密数据。
此事为何重要:这场冲突使领先AI实验室与全球市值最高的硬件制造商正面交锋,提升了AI硬件竞赛的风险,并为人才高度流动背景下的商业秘密执法树立了潜在先例。对苹果而言,诉讼旨在保护知识产权并威慑挖角;对OpenAI来说,风险包括昂贵的证据开示、可能的禁令或若指控成立需赔偿,以及声誉损害。下一步可能是正式法律答辩、针对员工通讯和设备工程的证据披露,以及可能的撤案动议。结果可能重塑AI公司从硬件巨头招聘及保护新生设备路线图的方式。
**中文翻译:** 纽约州于2026年7月14日由州长Kathy Hochul宣布,对建设消耗50兆瓦或更多的大型数据中心实施一年禁令,成为美国首个实施此类禁令的州份。该禁令旨在限制由AI、云计算及数字基础设施支撑的大型数据中心建设,理由是环境破坏和资源消耗问题。关键背景包括数据中心运营带来的污染风险、电网负担加剧的能源成本攀升,以及大规模用水问题(如密西棕堡某设施未支付费用即耗用3000万加仑水)。联邦层面同步推进立法,桑德斯与奥卡西-科尔特斯提议全国性禁令,但国会共和党人反对声音强烈,特朗普曾警告此类禁令会损害美国在人工智能竞争中的领先地位。此举反映公众日益增长的压力,2026年已有超1300亿美元数据中心项目因抗议被阻或延期。其影响包括其他州可能效仿纽约模式、AI产业扩张计划受阻,以及技术增长与环境可持续性之间的激烈博弈。后续工作涉及纽约制定数据中心审批的“一致性标准”,联邦立法者推进监管议程。技术企业及当地社区将密切关注禁令时效与范围,对全国基础设施发展树立典范。
**中文翻译:** 本文聚焦“US military sent explosive drone boats into combat for the first time”。当前可用上下文有限,但它涉及一项值得关注的技术或政策进展。实践层面的建议是持续跟踪官方更新,并评估其对产品、安全与运营的实际影响。
**中文翻译:** 微软于 2012 年引入的 Secure Boot(安全启动)——一种基于 UEFI 的固件保护机制,旨在阻止 Bootkit 感染——在其 14 年生命周期中的 13 年里均可被轻松绕过。原因在于微软签署了 11 个过时的“Shim”(垫片)引导加载器,尽管已知存在漏洞,却长达十余年未予吊销。ESET 研究人员发现,这些 Shim 作为次级信任锚点,用于将 Secure Boot 扩展至 Linux 发行版及第三方工具,最早可追溯至 2013 年,且包含可利用缺陷或缺乏 SBAT、MOK 拒绝列表等现代防护。攻击者只需短暂物理接触设备,安装这些仍受信任的 Shim 即可颠覆签名启动链,植入持久化固件恶意软件,该软件能在操作系统重装、硬盘更换后存活——无需任何新型漏洞利用。该问题同时影响 Windows 与 Linux 系统,但默认配置下的 Windows 11 Secured-core PC 可能免疫。微软在 2026 年 6 月补丁周二发布中终于吊销了这 11 个 Shim,此前 ESET 经 CERT 协调披露。这一疏漏凸显了 UEFI 吊销机制的运维复杂性:有限的 dbx 空间迫使依赖基于版本的 SBAT 与 SVN 机制,而这些机制将策略嵌入 Shim 自身,导致签名证书过期并不自动使易受攻击的二进制失效。Linux 用户应通过 LVFS 或 uefi-dbx-audit 脚本核查吊销状态。该事件暴露了微软作为 UEFI 信任锚点管理者的系统性失职,引发对固件供应链长期问责制及现有吊销架构是否足够的质疑。