Axios NPM 包遭供应链攻击,恶意代码隐藏在虚假依赖中;谷歌发布 Gemma 4 开源模型;Raspberry Pi 因 DRAM 价格上涨大幅提价;AI 代理工程与暗工厂趋势讨论。涵盖安全、AI、硬件及开发工具更新。
今日摘要
Axios NPM 包遭供应链攻击,恶意代码隐藏在虚假依赖中;谷歌发布 Gemma 4 开源模型;Raspberry Pi 因 DRAM 价格上涨大幅提价;AI 代理工程与暗工厂趋势讨论。涵盖安全、AI、硬件及开发工具更新。
今日看点
AI 领域开源竞争白热化,Google 发布 Gemma 4,Claude 源码泄露引发对开源生态与商业模式的深度反思。供应链安全与硬件成本成为关注焦点,Axios 被劫持事件与 DRAM 价格飙升共同冲击开发者基础设施。开发者工具链持续迭代,SQLAlchemy 2 及各类 AI 代理工具的更新,正推动软件工程向自动化与智能化转型。
热点话题
1. Axios,超级流行的 NPM 包,在模块维护者遭受攻击后被攻破
原标题:Axios, Super Popular NPM Package, Was Compromised in Attack on the Module’s Maintainer
来源博客:daringfireball.net;发布时间:2026-04-03 02:42:39;评分:29.0
文章说明:Axios 1.14.1 和 0.30.4 版本被劫持,攻击者利用维护者账户发布恶意版本。恶意代码未存在于 axios 本体,而是注入了从未被引用的 `plain-crypto-js@4.2.1` 依赖,该依赖运行后安装脚本部署跨平台远程访问木马。受害者需立即检查系统并移除受感染包。此事件凸显了供应链攻击的隐蔽性与危险性。
推荐理由:了解恶意代码如何隐藏在看似正常的依赖项中以绕过代码审计,对维护者和开发者至关重要。
- npm
- supply chain attack
- malware
2. Gemma 4:逐字节来看,最强大的开源模型
原文链接:https://simonwillison.net/2026/Apr/2/gemma-4/#atom-everything
原标题:Gemma 4: Byte for byte, the most capable open models
来源博客:simonwillison.net;发布时间:2026-04-03 02:28:54;评分:29.0
文章说明:谷歌 DeepMind 发布了四款新的 Apache 2.0 授权视觉推理 LLM,参数规模分别为 2B、4B、31B 以及 26B-A4B 混合专家模型。谷歌强调这些模型达到了前所未有的“每参数智能水平”,并将较小的模型标记为 E2B 和 E4B 以反映其有效参数大小。这证明了创建小型实用模型是当前 AI 研究的热点方向。这种高效能的小型模型为边缘计算和资源受限环境提供了新的可能性。
推荐理由:想要了解谷歌如何在不牺牲性能的前提下缩小模型规模,以及开源模型在推理能力上的最新突破。
- Gemma 4
- open models
- LLM
3. 多元视角:Claude 源代码泄露极好(2026年4月2日)
原文链接:https://pluralistic.net/2026/04/02/limited-monopoly/
原标题:Pluralistic: It's extremely good that Claude's source-code leaked (02 Apr 2026)
来源博客:pluralistic.net;发布时间:2026-04-02 18:19:42;评分:27.0
文章说明:文章探讨了 Claude 源代码泄露的积极意义,认为这打破了闭源模型的垄断壁垒。作者指出,代码泄露迫使模型提供商提高透明度,并可能推动更多开源替代方案的出现。这一事件引发了关于开源与商业闭源模型之间竞争与合作的深刻讨论。对于关注行业竞争格局的读者来说,这是理解当前 AI 垄断现状的重要视角。
推荐理由:深入思考开源 AI 模型与商业垄断之间的博弈,以及代码泄露对行业透明度的潜在推动作用。
- Claude
- LLM
- open source
- monopoly
4. DRAM 定价正在扼杀业余爱好者 SBC 市场
原文链接:https://www.jeffgeerling.com/blog/2026/dram-pricing-is-killing-the-hobbyist-sbc-market/
原标题:DRAM pricing is killing the hobbyist SBC market
来源博客:jeffgeerling.com;发布时间:2026-04-02 05:00:00;评分:27.0
文章说明:由于 DRAM 价格持续上涨,Raspberry Pi 宣布所有 LPDDR4 RAM 型号价格上调,16GB Pi 5 价格涨至 299.99 美元。文章分析了这一价格变动对爱好者和高端单板计算机市场的毁灭性打击,并指出即使是 3GB RAM 的 Pi 4 也涨价至 83.75 美元。硬件爱好者面临严峻的预算挑战,项目可行性受到严重影响。
推荐理由:硬件爱好者必须关注内存价格飙升如何导致单板计算机成本激增,影响项目预算。
- Raspberry Pi
- DRAM
- hardware
5. 我在 Lenny's Podcast 上关于代理工程对话的亮点
原文链接:https://simonwillison.net/2026/Apr/2/lennys-podcast/#atom-everything
原标题:Highlights from my conversation about agentic engineering on Lenny's Podcast
来源博客:simonwillison.net;发布时间:2026-04-03 04:40:47;评分:26.0
文章说明:Simon Willison 在播客中讨论了 AI 状态,认为软件工程师已成为其他信息工作者的风向标。对话涉及“暗工厂”概念、自动化时间线以及“氛围编码”等趋势。作者强调,随着 AI 自动化的深入,开发者需要适应新的工作流和工具链。这为理解未来软件开发模式提供了宝贵的见解。
推荐理由:获取关于 AI 自动化、暗工厂以及开发者角色演变的最新见解和趋势分析。
- agentic engineering
- AI automation
- LLM
6. SQLAlchemy 2 实战 - 第三章 - 一对多关系
原标题:SQLAlchemy 2 In Practice - Chapter 3 - One-To-Many Relationships
来源博客:miguelgrinberg.com;发布时间:2026-04-02 18:17:15;评分:26.0
文章说明:本章专注于 SQLAlchemy 2 中的一对多关系实现。作者演示了如何查询产品表并获取制造商信息,同时通过分组去重来处理一对多关系中的数据冗余。内容详细讲解了 ORM 查询的构建技巧,帮助开发者更高效地管理数据库关系。这是学习现代 Python ORM 框架的实用教程。
推荐理由:学习 SQLAlchemy 2 中处理一对多关系的具体查询技巧和最佳实践。
- SQLAlchemy
- Python
- ORM
- database
7. 2026年3月赞助者专属通讯
原文链接:https://simonwillison.net/2026/Apr/2/march-newsletter/#atom-everything
原标题:March 2026 sponsors-only newsletter
来源博客:simonwillison.net;发布时间:2026-04-02 13:15:04;评分:26.0
文章说明:通讯涵盖了代理工程的新模式、在 Mac 上使用 MoE 模型进行流媒体传输、3 月份的模型发布动态,以及针对 PyPI 和 NPM 的供应链攻击。此外还介绍了作者近期开发的项目和个人工具使用情况。这是了解 AI 领域最新动态和工具链的快速通道。
推荐理由:快速了解代理工程、MoE 模型应用以及近期软件供应链安全威胁的汇总信息。
- AI agents
- MoE
- supply chain
- LLM
8. llm-gemini 0.30
原文链接:https://simonwillison.net/2026/Apr/2/llm-gemini/#atom-everything
原标题:llm-gemini 0.30
来源博客:simonwillison.net;发布时间:2026-04-03 02:25:08;评分:24.0
文章说明:发布了 llm-gemini 0.30 版本,新增了对 gemini-3.1-flash-lite-preview、gemma-4-26b-a4b-it 和 gemma-4-31b-it 模型的支持。该工具允许用户通过命令行直接调用这些最新的 Gemini 和 Gemma 模型,方便开发者进行快速测试和集成。这对于需要频繁测试新模型的开发者来说是一个便捷的工具更新。
推荐理由:获取在 CLI 工具中访问最新 Gemini 和 Gemma 模型的更新,提升开发效率。
- LLM CLI
- Gemini
- Gemma
9. 为什么系统不允许你声明具有与 WM_COPYDATA 相同语义的自定义消息?
原文链接:https://devblogs.microsoft.com/oldnewthing/20260402-00/?p=112196
原标题:Why doesn’t the system let you declare your own messages to have the same semantics as WM_COPYDATA?
来源博客:devblogs.microsoft.com/oldnewthing;发布时间:2026-04-02 22:00:00;评分:24.0
文章说明:文章探讨了 Windows 系统为何禁止用户定义具有 WM_COPYDATA 语义的自定义消息。作者解释了系统保留消息范围以防止冲突,并详细阐述了消息处理机制和 IPC(进程间通信)的限制。这有助于开发者理解 Windows 内部消息路由的底层逻辑,避免开发中的潜在错误。
推荐理由:深入理解 Windows API 中消息处理机制的限制以及进程间通信的底层原理。
- Windows API
- IPC
- OS internals
10. datasette-llm 0.1a6
原文链接:https://simonwillison.net/2026/Apr/1/datasette-llm-2/#atom-everything
原标题:datasette-llm 0.1a6
来源博客:simonwillison.net;发布时间:2026-04-02 07:01:37;评分:24.0
文章说明:datasette-llm 0.1a6 版本更新了 Python API 文档。主要改进在于默认模型和允许模型列表的交互逻辑,现在设置默认模型会自动将其添加到允许列表中,简化了配置流程。这提升了在 Datasette 中集成 LLM 的易用性。
推荐理由:了解 Datasette 与 LLM 集成的最新改进,特别是简化模型配置的 API 变更。
- Datasette
- LLM
- Python