欢迎阅读 OSCHINA 编辑部出品的开源日报,每天更新一期。
# 2024.10.21
今日要闻
Node.js v23.0.0 主要更新亮点
-
默认启用 ESM:在 Node.js v23.0.0 中,EcmaScript 模块(ESM)现已默认启用,简化了应用使用。
-
停止支持 32 位 Windows 系统:在 Node.js 23.0.0 中,不再支持 32 位 Windows,专注于现代环境。
-
稳定化 --run 命令:--run 标志已稳定化,以实现更高效的脚本执行。
-
测试运行器增强:测试运行器现在支持 glob 模式来覆盖文件,改进了测试配置。
需要提醒的是,在 Node.js 发布过程之后,Node.js 23 将不会升级到 LTS,因为只有偶数版本才会升级到 LTS。
近日,有消息称字节跳动发生大模型训练被实习生 “投毒” 事件。
据悉,该事件发生在字节跳动商业化团队,因实习生田某某对团队资源分配不满,利用 HF(huggingface)的漏洞,通过共享模型注入破坏代码,导致团队模型训练成果受损。消息称此次遭到入侵的代码已注入 8000 多张卡,损失或达千万美元。
字节跳动知情人士向记者透露称,近期公司确实发生过破坏模型训练一事,但传闻存在夸张和虚构的部分,该事件实际发生在今年 6 月底,田某某是在商业化技术团队实习,因为对团队资源分配不满,使用攻击代码破坏团队的模型训练任务,千万美元损失的数字也有所夸大。
另外,该人士称,受代码入侵影响的业务不是豆包大模型,而是商业化技术团队的模型训练任务,影响了广告部门的部分技术工作,实习生通过共享模型进行入侵的部分也不属于集团大模型。
微软宣布推出新的开源虚拟化堆栈 OpenHCL paravisor,以便使用这个由 Rust 编写的软件堆栈来支持 Intel TDX 和 AMD SEV-SNP 机密计算虚拟机 (VM)。据悉,微软的这项工作已经进行了五年,现如今正式开源。
OpenHCL 是一个执行环境,可作为机密计算虚拟机的辅助程序,由 AMD SEV-SNP 或 Intel TDX 提供硬件保护。OpenHCL 可以在 x86_64 和 ARM64 上运行,但目前仅支持 Intel 和 AMD 机密计算平台;ARM64 方面的计划是支持 Arm CCA(机密计算架构)。目前,OpenHCL 已经在 Azure 上使用。
OpenHCL 由多个开源组件组成,其中最重要的是 OpenVMM - 一个用 Rust 编写的跨平台虚拟机监视器 (VMM) 项目;此 VMM 运行多个用户模式进程来为 OpenHCL 提供支持。
![]()
Bitwarden 是一款简单易用的开源密码管理器,旨在帮助用户安全地存储、管理和共享密码、密钥和信用卡等敏感的在线数据。但最近,一些用户对 Bitwarden 的开源属性提出了担忧。
在该项目仓库一个名为 “Desktop version 2024.10.0 is no longer free software” 的 issue 中,有开发者指出,最近的一条 PR #10974 中引入了 @bitwarden/sdk-internal 依赖项来构建桌面客户端。但该依赖项中包含了一条许可声明,明确了以下条款:
“您不得使用本 SDK 开发用于 Bitwarden 以外软件的应用程序(包括 Bitwarden 的非兼容实现)或开发其他 SDK"。
此举明显违反了 freedom 0。其他用户也对此变化表示担忧,并担心 SDK 在 Bitwarden 之外使用不合法。
WP Engine 已向美国北加州一家法院提交了禁令,要求其介入并恢复该公司对 WordPress.org 开源仓库的访问权限。
文件内容显示,WP Engine 希望访问权能够恢复到 2024 年 9 月 20 日之前的现状。“WPE 恳请法院发布初步禁令,恢复并维持被告上述错误行为发生前的现状。初步禁令不需要担保,因为恢复原状不会对被告产生负面影响”。
![]()
今日观察
社交观察
这事件本质上是一个checkpoint攻击。背景是Pytorch在load checkpoint的时候默认是weights_only=False,所以哪怕是模型权重是safetensor,但是优化器和调度器默认都是使用python的Pickle来load,那pickle天生就有安全漏洞,它是python自带的序列反序列模块,序列化时把python的对象转换成字节流,反序列化时候还原成对象,这个北大的哥们估计就是往序列化的字节流里掺了点私货,网上还有人说什么病毒,这和病毒没什么关系,就是一种标准的中间人攻击,下手的模块也是优化器和调度器。最简单的攻击优化器产生的影响就是祸害梯度呗,让它一直不收敛,甚至给你整出点NaN来,或者断点重load时候读取失败。规避的方法主要还是防人为主,次要是改改load代码,但是正常没人能想到集群的trainer会这么干,据说这么干的原因是因为他老板把算力集群的GPU资源都调度到DIT组去做生图,生视频去了,(他应该是做文本的吧)某种程度能理解这哥们的愤怒。
- 微博 Transformer-周
大家知道,虽然英伟达的GPU是现在AI算力当之无愧的NO.1,但是英伟达不是没有对手,近的有AMD和英特尔这样的老牌对手,远的有Grok、Cerebras Systems这样的创业公司,甚至英伟达的客户也在和它竞争,谷歌、AWS等云厂商都有自己的训练和推理芯片。所以,英伟达如何稳固自身地位,不成为下一个被赶超的恐龙,并继续维持3万亿美金的市值?
对于这个问题,黄仁勋做了正面回答,不过他不是完全从英伟达自身竞争力角度,而是从AI算力的特点角度。他引用了阿姆达尔定律来解释,在并行加速计算中:即使你大幅加速了某个部分的计算,如果系统中还有其他部分没有被加速,整体性能的提升仍然是有限的。因此,整个系统的效率取决于不可加速部分的大小。
- 微博 高飞
Hey Loa,
我不确定你现在是哪个年级的学生,但这不影响我的回答。我非常喜欢当一名计算机科学家!写软件就像是不断面对各种大大小小的难题,你可以通过思考找出最佳的解决方案。你的工作可能会被数百、数千,甚至数百万、数十亿的人使用,并且能够为人们提供非常有用的功能(想想互联网上所有的主要服务,从搜索到电子邮件,再到视频分享、地图、翻译、AI 对话服务等)。我有机会和非常聪明、有洞察力、有趣且雄心勃勃的同事们一起工作,他们不断教我新的东西。我可以在许多不同的地方工作(大部分时间在办公室,有时在家工作,有时在一间令人愉快的咖啡馆里用笔记本电脑工作)。
如果你喜欢数学和逻辑,并喜欢找出解决问题的最佳方法,那么你绝对应该考虑计算机科学作为职业选择。
Jeff
- 微博 宝玉xp
- 微博 在下莫老师
媒体观察
可以预见,在阿里再掀“价格战”之后,大模型价格还将继续下调,甚至可能走向“负毛利”。在互联网行业的发展史中,“亏本换规模”并不是某个企业的孤例,要改变整个行业的商业模式,必然需要投入更高的成本。
但在这个过程中,如何平衡价格、质量与服务也成为了大模型企业必须思考的问题,企业想要“活下来”,就不能只吃“低垂的果实”。
- 伯虎财经
进入到下半年,AI大模型领域焦虑氛围倍增。成熟的应用场景还未诞生,国内AI大模型“六小虎”也在近期被传进入困境,虽然后期公司层面有回应消息不实,但也映射出技术发展到一定阶段市场对变现急迫且带有悲观情绪。与此同时,OpenAI虽获得464亿融资,但核心技术高层频繁离职,使其饱受争议。
- 钛媒体
应对汽车电子系统日益复杂的需求,新的技术趋势正在不断涌现,其中 SiC(碳化硅)、Chiplet(芯粒)和 RISC-V(开源架构)因其各自的优势,成为了行业关注的焦点。这三种技术不仅拥有强大的市场潜力,也为汽车电子系统的高效性、灵活性和创新性带来了新的机遇。
- 半导体产业纵横
AI确实最近很热,但从技术和产品端来看,它还没有积累到一个可以量变引起质变的阶段,美的也暂时没有一个完整的解决方案出来。但在这方面,我们已经有系列项目正在研究中,通过引入AI技术、协同多元产品矩阵布局,我们希望短期内可以有成绩跟大家见面。
- 36氪
实验结果表明,在0.6B到7B参数规模的LLMs上,MoE++在相同模型大小的情况下,相比传统MoE,性能更优,同时实现了1.1到2.1倍的专家吞吐速度。
并且这个模型权重也已开源!
- 量子位
是什么让这对恩怨半个世纪的老对手走到了一起?当然是他们相同的业务基石:x86平台。这两大x86架构的芯片巨头,连同诸多芯片、软件以及硬件合作伙伴,共同创建了一个x86生态咨询小组,计划在AI时代继续维护x86架构生态的繁荣。
- 新浪科技
今日推荐
开源项目
![]()
https://github.com/jgraph/drawio
draw.io 这个项目是一个可配置的图表/白板可视化应用程序,具体取决于所选的主题。它不是 SVG 编辑应用程序,SVG 导出仅用于嵌入网页,不适用于在其他工具中进一步编辑。
每日一博
本文深入探讨百度视觉搜索在快速发展的业务及技术背景下,如何通过持续的技术创新和架构升级强化自身的竞争力和适应性,支撑业务健康高效迭代。本文介绍了我们如何通过技术栈升级、架构能力提升以及稳定性建设,来实现全链路架构的演进。借助 Golang、百度自研 GDP 开发框架和 ExGraph 图化引擎,我们对视觉搜索展现架构进行了全面重构,并重新定义了视觉搜索全系统通路上的模块职责和分层逻辑,开展了一系列系统收敛内聚优化。此外,我们还建设了配套稳定性基础设施,确保系统的高效运行。期望大家能有所收获和借鉴。
![图片]()
开源之声
用户观点
- 观点 1:什么?要学Rust?
![]()
都给爷去用浏览器吧
- 观点 2:Tauri 最大的问题不是要学比较难上手的Rust,而是依赖系统 web 组件,不能保证多端效果一致,因为它 Linux / Mac 端用的 WebKit,Windows 用的 webview2,特别点名 WebKitGtk2 性能很差,而且默认样式和动画风格都不能统一。定位很尴尬。能跨平台,但好像跨的又不是很优雅。electron因为都用 chromium,至少还保证了全平台效果一致性。所以这东西最好的归宿就是做轻量软件(因为体量大的不如直接上 electron 了,完全失去 Tauri 的优势)食之无味,弃之可惜。
- 观点 4:人生苦短我选electron
- 观点 5:有啥用啊,还不如qt
- 观点 6:我选flutter。
- 观点 7:tauri bug太多,刚开始开发,还没写啥就遇到两个bug,太劝退了
- 观点 8:不要慌张,electron还会存在一段时间的,但是内存占用、大小占用的确是一个问题,或许不久后会有替代品慢慢替代electron,只是时间的一个问题了……
- 观点 9:很好的文章!傻*才做选择,聪明人一个 HTML 文件解决问题。
- 观点 10:都不用,只用 tauri2
- 观点 11:如果没判别能力就选Electron,跟着腾讯、阿里、网易这种大厂走一般总不会错,别回头一看,发现就自己在玩!
- 观点 12:前端给老板秀工作量,所以用新架构么
- 观点 13:我用的wails
- 观点 14:flutter + rust 挺好 跨平台通杀
- 观点 15:我选择用浏览器做界面,然后接口服务封装成dll,并打包成exe
- 观点 16:不如gtk
- 观点 17:设计上的主要区别是electron 用的c/c++作为底层语言,内置webview,而tauri用rust作底层语言,调用系统webview(包体小的原因)。但是都离不开webview 实现GUI,运行起来的内存占用都是看webview 。除非像QT和flutter那样自己实现GUI渲染。
- 观点 18:还不如用开发效率最高的blazor hybird
- 观点 1:这个公司真不要脸只会吸血
- 观点 2:那不是用WordPress建站毫无隐私了
- 观点 3:wordpree要凉凉
- 观点 4:DHH随后的发言中已经明确表示真要站队也不会支持WP Engine,行为本身不可取,利用开源赚到大量资金,既不提供资金支持也不提供开源贡献,用的Wordpress商标,又叫WP Engine,大部分都会以为它才是官方
- 观点 5:没看懂,跟 WP Engine 有什么关系?服务提供商提供什么能够这样影响到?
- 观点 6:可能不了解的人比如我,会以为WP Eneine就是WordPress Eneine,是官方的,但是其实不是 然后其他人在他的开源项目里为自己赚到钱了,他内心渐渐不再愿意保持原教旨开源观念?我理解里。
- 观点 7:这是要哪怕是搞死WordPress 也不能让WP Engine 好过的节奏吗
---END---
![]()
都给爷去用浏览器吧
