作者： 悦峰

安全研究显示，Claude编写了一个完整的FreeBSD远程内核漏洞利用代码，可获取root shell权限。

• 漏洞编号CVE-2026-4747，位于FreeBSD的rpcsec_gss模块
• 影响版本：FreeBSD 13.5 (
• 攻击面：NFS服务器加载kgssapi.ko模块（端口2049/TCP）
• 漏洞原因：svc_rpc_gss_validate()函数在重构RPC头时未检查凭证长度
• 栈缓冲区仅128字节，前32字节用于固定字段，剩余96字节用于凭证body
• 超过96字节的凭证可溢出到局部变量、保存的寄存器甚至返回地址
• 补丁已添加边界检查，在复制前验证oa_length是否超过可用空间

原文链接：https://github.com/califio/publications/blob/main/MADBugs/CVE-2026-4747/write-up.md

🕐 发布于: 2026年04月02日 08:04

在OpenClaw Arena的性价比评测中，StepFun 3.5 Flash成为执行OpenClaw任务成本效益最高的模型。

• 基于300场对战测试，StepFun 3.5 Flash在性价比排行榜上位居第一
• 该模型拥有110亿活跃参数，输入价格约/usr/bin/bash.10/M，输出约/usr/bin/bash.30/M
• 虽然是“最便宜”的模型之一，但其在Agentic任务上的表现令人印象深刻
• 有用户指出该模型存在“虚构信息”问题，如在找房任务中给出虚假房源信息
• 对比同样定位的Kimi等模型，StepFun在相同价格区间表现更为出色
• 该模型已在OpenRouter上免费使用一段时间

原文链接：https://app.uniclaw.ai/arena?tab=costEffectiveness&via=hn

🕐 发布于: 2026年04月02日 08:04

Meta发布全新AI模型BAYESIAN Optimization for Concrete (BOxCrete)，帮助建筑行业设计更高质量、更可持续的混凝土配方，并优先使用美国本土生产材料。

• 美国每年浇筑约4亿立方码混凝土，足以铺设一条环绕地球多圈的双车道高速公路
• 尽管大部分预拌混凝土在本土生产，但约20-25%的水泥依赖进口
• 新AI模型能快速探索和验证配方，减少数月的实验室测试时间
• Meta已与Amrize及伊利诺伊大学香槟分校合作，获得2025年建筑创新奖最佳合作奖
• 该开源模型已在GitHub上发布，旨在促进美国制造业就业和投资

原文链接：https://engineering.fb.com/2026/03/30/data-center-engineering/ai-for-american-produced-cement-and-concrete/

🕐 发布于: 2026年04月02日 08:04

研究人员发布TinyLoRA方法，证明仅需极少参数即可让大模型学会推理。

• 仅用13个训练参数（bf16精度下26字节）即可将8B参数的Qwen2.5训练到GSM8K数据集91%准确率
• 在更难的推理基准测试（AIME、AMC、MATH500）中，仅用千分之一的参数量就能恢复90%的性能提升
• 关键发现：强化学习（RL）比监督微调（SFT）更高效，SFT需要100-1000倍更大的参数更新才能达到相同效果
• 该研究证明了即使 rank=1 的LoRA也非必须，参数可以进一步压缩到极小规模

原文链接：https://arxiv.org/abs/2602.04118

🕐 发布于: 2026年04月01日 18:01

PrismML发布1-Bit Bonsai系列模型，这是全球首款实现商业化的1-bit权重大模型。

• 1-Bit Bonsai 8B仅需1.15GB内存，体积比全精度8B模型小14倍，运行速度快8倍，能效提升5倍
• 1-Bit Bonsai 4B仅需0.57GB内存，在M4 Pro上可达132 tokens/秒
• 1-Bit Bonsai 1.7B仅需0.24GB内存，在iPhone 17 Pro Max上可达130 tokens/秒
• 该系列专为机器人技术、实时Agent和边缘计算场景设计
• 在基准测试中，该模型性能与领先的8B模型相当，但实现了超过10倍的智能密度提升

原文链接：https://prismml.com/

🕐 发布于: 2026年04月01日 18:01

OpenAI宣布完成创纪录的1220亿美元融资轮，融资后估值达8520亿美元。

• 本轮由软银领投，其他投资方包括Andreessen Horowitz和D.E. Shaw Ventures
• 截至3月，ChatGPT周活跃用户超过9,500万，付费订阅用户超过5,000万
• OpenAI目前月收入20亿美元，全年收入131亿美元，但仍在亏损尚未盈利
• 亚马逊承诺投资500亿美元，Nvidia和软银各投资300亿美元
• 微软也参与了投资，累计已投资超过130亿美元
• 公司正在削减部分支出计划，包括关闭短视频应用Sora

原文链接：https://www.cnbc.com/2026/03/31/openai-funding-round-ipo.html

🕐 发布于: 2026年04月01日 18:01

PrismML发布1-Bit Bonsai系列模型，声称是全球首个可商业化的1-bit权重大模型。

– Bonsai 8B仅需1.15GB内存，模型体积比全精度8B模型小14倍
– 推理速度提升8倍，能效提升5倍，同时在基准测试中与领先的全精度8B模型持平
– Bonsai 4B在M4 Pro上可达132 tokens/秒
– Bonsai 1.7B在iPhone 17 Pro Max上可达130 tokens/秒，仅占用0.24GB内存
– 该系列专为机器人、实时代理和边缘计算设计
– 公司声称实现了全精度8B模型10倍以上的智能密度

原文链接：https://prismml.com/

🕐 发布于: 2026年04月01日 12:01

Anthropic的Claude Code CLI工具因.map文件意外暴露了完整源代码，引发社区热议。

– 这是Anthropic一周内第二次意外泄露事件（此前刚发生模型规范泄露）
– 源代码发现了”反蒸馏”机制：通过注入虚假工具定义来污染竞争对手的训练数据
– 发现”潜伏模式”（Undercover Mode）：让AI隐藏其AI身份，移除常见的AI回复特征
– 代码中包含大量针对Claude Desktop的frustration regexes，可能用于优化用户体验
– 这些保护机制的技术门槛不高，有技术能力的用户可在1小时内找到绕过方法
– 真正的保护可能更多来自法律层面而非技术层面

原文链接：https://alex000kim.com/posts/2026-03-31-claude-code-source-leak/

🕐 发布于: 2026年04月01日 12:01

OpenAI近日宣布完成创纪录的融资轮，融资总额1220亿美元，融资后估值达8520亿美元。

– 本轮融资由软银领投，其他投资者包括Andreessen Horowitz和D.E. Shaw Ventures
– 此前2月公布的融资金额为1100亿美元
– 截至今年3月，ChatGPT周活跃用户超过9亿，付费订阅用户超过5000万
– OpenAI目前月收入约20亿美元，年收入131亿美元，但尚未实现盈利
– 亚马逊承诺投资500亿美元，Nvidia和软银各投资300亿美元
– 微软也参与了本轮投资，但未披露具体金额
– 公司正在缩减部分支出计划，包括关闭短视频应用Sora

原文链接：https://www.cnbc.com/2026/03/31/openai-funding-round-ipo.html

🕐 发布于: 2026年04月01日 12:01

3月30日，安全研究人员发现npm上最受欢迎的JavaScript HTTP客户端库axios的两个恶意版本（1.14.1和0.30.4）。

– 恶意版本注入了一个名为plain-crypto-js@4.2.1的虚假依赖包，从未在axios源码中导入
– 该依赖包含一个postinstall脚本，作为跨平台远程访问木马（RAT）投放器
– 投放器会联系攻击者的命令控制服务器，根据操作系统下载第二阶段payload，执行后自毁并替换package.json以销毁证据
– 这是针对Top 10 npm包有史以来最复杂的供应链攻击之一
– 如果你已安装axios@1.14.1或0.30.4，请立即检查系统是否已被入侵
– axios每周下载量超过1亿次，用户群体庞大

原文链接：https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

🕐 发布于: 2026年04月01日 08:07