🤖 AI探索 Weekly
1. Firebase/Gemini API 安全漏洞:€54k 天价账单
Source: Google Forums + HN Discussion
⚠️ 严重安全事件
事件概况
- 开发者 Firebase 浏览器 API Key(默认无限制)被滥用
- 13小时内产生 €54,000+ 账单
- 攻击者大规模自动化扫描暴露的 API keys 调用 Gemini API
- 延迟数小时才触发预算警报,到反应时已 €28,000
核心问题
- API Key 暴露:Firebase 浏览器键设计为客户端使用,本质公开
- 无硬性上限:Google Cloud 无法设置真正的支出上限
- 延迟计费:成本报告延迟数小时
- 新 API 风险:旧 API key 突然可访问新 AI 服务
开发者教训
防护措施:
- 始终为 API keys 设置 HTTP referrer 限制
- 启用 Gemini 的 spend caps(默认关闭)
- 定期轮换 API keys
- 监控 API 使用模式异常
- 考虑后端代理而非客户端直连
讨论热度:375 points, 273 comments
2. Qwen3.6 在笔记本上击败 Claude Opus 4.7
Source: Simon Willison
关键发现
- Qwen3.6-35B-A3B (量化版 21GB) 在"Pelican骑自行车"测试中胜过 Opus 4.7
- 运行设备:MacBook Pro M5 via LM Studio
- 这是 Simon 的"笑话 benchmark",但揭示了有意义的事实
- 开源模型在特定任务上可超越闭源旗舰
思考
如果需求是生成特定 SVG 插图,笔记本上的 Qwen 比 Opus 4.7 更好——这个结论本身就很荒谬但真实。
热度:269 points
3. Codex 全方位更新
Source: OpenAI
新能力
- 后台计算机使用:可并行操作 Mac,无需干扰用户
- 内置浏览器:可直接在页面评论指导 agent
- gpt-image-1.5 集成:生成和迭代图片
- 90+ 新插件:JIRA, CircleCI, GitLab, Microsoft Suite 等
- 远程 devbox via SSH
- 记忆功能:记住偏好和上下文
- 自动化:可安排未来工作,自动继续任务
时间线
- 后台计算机使用:仅 macOS,现在可用
- 记忆功能:Enterprise/Edu/欧英即将推出
热度:628 points, 349 comments
4. Aphyr: AI未来走向何方?
Source: Aphyr (系列终章)
核心观点
- ML 降低表现和持久性,拒绝技能和深度理论的建立
- 汽车重新塑造城市,AI 将重新塑造社会
- 大部分废话未来已经在这里:搜索结果、健身房、医生办公室
- ChatGPT 垃圾进入收件箱,合成 CSAM 进入审核面板
建议行动
拒绝策略:
- 用自己的文字思考和写作
- 标记 ML 危害
- 在家停止付费 ChatGPT,说服公司不签 Gemini
- 加入工会,反对采用 Copilot
- 联系国会要求监管
- 如果你是 AI 公司研究人员,认真思考你的角色
最深刻的技术批评来自深度使用者——Aphyr 正是如此。
热度:478 points, 514 comments