Solidot

Pistachio CTO Zack Korman 披露微软 Windows AI 助手 M365 Copilot 的一个 bug，它对文件的访问会不记录在审计日志内，这意味着如果有人能操纵 Copilot 他们能匿名其访问痕迹，对企业而言这是一个严重的安全隐患。微软和其它科技公司一样，正全力押注 AI，将 AI 整合到旗下的各种产品中，Windows 11 就整合了 Copilot 助手。Zack Korman 发现如果要求 Copilot 访问一个文件，摘录其内容，在回复中不要链接文档地址，那么在日志里就不会留下访问记录。他在 7 月初向微软报告了该 bug，微软在 8 月中旬修复了 bug，但没有赋予 CVE 编号，也没有披露该 bug。

根据 NetBlocks 报告，巴基斯坦周二互联网连接速度降至平常的五分之一，该国 1.16 亿网户受到影响。网络问题主要影响该国骨干运营商 PTCL。目前尚不清楚故障原因。此前有报道称巴基斯坦的 Web 管理系统进口了中国的网络设备，新系统从 2024 年下半年开始投入使用，相比旧系统提供了更先进的监控能力，支持从加密连接收集元数据。Web 管理系统是工作在网络通道内（in-path）而不是旁路（on-path），被认为会对网络吞吐产生负面影响，巴基斯坦网民从去年下半年就开始抱怨他们的网速显著下降。

8 月 20 日北京时间约 00:34 至 01:48 期间，中国 HTTPS 访问短暂受限。苹果报告 APP Store 在此期间遇到问题，但没有给出更多解释。分析显示，所有指向 TCP 443 端口的连接无条件注入伪造的 TCP RST+ACK 包，导致连接中断；无条件的 RST+ACK 注入仅发生在 TCP 443 端口（常用于 HTTPS），未见于其他常见端口（如 22、80、8443）；无条件注入同时扰乱了出入境双方向的连接，但触发机制不对称。

根据 Letterboxd 和消费者调查，在观众想要看到更多的电影类型中喜剧片排名第二，但好莱坞喜剧片产量自 1990 年以来却下降了 27%。喜剧片制作预算平均为 2650 万美元，投资回报率达到 102%，然而只有 9.3% 的喜剧片有续集，而动作片则高达 27.6%。为什么好莱坞停止制作喜剧片？相比动作片、恐怖片或传记片，喜剧片公式化程度不那么高，而且更难翻译到其它语言和文化，喜剧片的票房主要来自本土市场而非国际市场，如 《妙探出更(Beverly Hills Cop)》和《捉鬼敢死队（Ghostbusters）》大部分票房都来自北美市场。今天的好莱坞更倾向于制作具有国际市场潜力的电影。

去年初震惊整个开源和网络安全社区的 XZ 后门事件并没有离我们而去。在 XZ 事件中，攻击者 Jia Tan（化名，未必是华人）潜伏 XZ Utils 项目长达两年多时间，最终获得信任成为项目的共同维护者，之后他或他们利用其权限悄悄在 xz-utils 包中植入了一个复杂的后门。在恶意版本大规模传播前，后门就被发现了，因此没有造成大问题。但 Binarly REsearch 的调查发现，在攻击期间构建的部分 Docker 镜像仍然包含有 XZ Utils 后门。安全研究人员从 DockerHub 上发现了超过 35 个含有后门的镜像。虽然数字不多，但研究人员只扫描了一小部分镜像，而且只针对 Debian 发行版，其它发行版如 Fedora 和 OpenSUSE 情况未知。

英国芯片设计公司 Arm 的大股东日本软银集团向陷入困境的英特尔公司投资 20 亿美元，入股芯片巨人。与此同时，美国政府也在与英特尔公司谈判入股 10%。软银将以每股 23 美元的价格收购英特尔的普通股，将持有约 2% 的英特尔股份。软银今年二季度是四年来首次盈利，英特尔现任 CEO 陈立武曾是软银董事。英特尔曾是最强大的半导体公司，如今已经落后英伟达和 AMD 等公司。它目前正在重组裁员。

MIT 发表报告《The GenAI Divide: State of AI in Business 2025》称，95% 的企业生成式 AI 试验失败了。虽然企业纷纷整合大模型，但只有 5% 的 AI 试点项目实现了收入的快速增长，大多数项目停滞，对损益表几乎没有产生可衡量的影响。研究基于对 150 名高管的访谈，350 名员工的调查以及对 300 个公开的 AI 部署项目的分析。报告主要作者 Aditya Challapally 解释说，95% 的企业部署生成式 AI 表现不佳不是因为大模型的质量，而是因为 ChatGPT 之类的通用工具因其灵活性对个人用户非常有用，但它们无法从工作流程中学习或适应工作流程，因此企业部署停滞不前。逾半数的生成式 AI 预算是投入在销售和营销工具上面，但研究显示后台业务自动化投资回报率最高——在后台部署 AI 有助于消除业务流程外包、削减外部营力成本和简化运营。

在美国登月计划受挫之际，中国的登月计划过去几个月则取得了显著进展，中国有可能在美国之前登陆月球。中国载人航天工程办公室于 8 月 6 日成功测试了 26 吨的揽月着陆器高保真模型。揽月月面着陆器是登月舱和推进舱组成，主要用于环月轨道和月球表面间的航天员运输，可搭载 2 名航天员往返，中国国家航天局在声明中再次确认计划在 2030 年前登月。中国还在上周完成了新一代载人运载火箭长征十号的首次系留点火试验，6 月份完成了梦舟载人飞船零高度逃逸试验。

英格兰儿童事务专员 Rachel de Souza 表示，政府需要阻止儿童使用 VPN 绕过色情网站的年龄验证。她表示该漏洞需要堵上，呼吁 VPN 服务也要验证年龄。在 PornHub、Reddit 和 X 等网站开始对访问成人内容的英国用户验证年龄后，VPN 成为英国苹果 App Store 下载量最多的应用。对于限制 VPN 的评论，英国科学、创新和科技部发言人回应称，VPN 是成人使用的合法工具，目前没有禁止的计划。但如果平台故意向儿童推销 VPN 作为绕过年龄验证方法，将面临严厉执法和巨额罚款。

天文学家利用 ALMA 观测 12P/Pons-Brooks 彗星，发现其中的水具有与地球海洋几乎相同的同位素组成比例。这一发现进一步支持了「彗星可能在年轻地球上带来水与部分生命所需分子原料」的假说。一般认为，地球上的水在数十亿年前由彗星、小行星及陨石撞击带来。然而，过去观测多数彗星的水同位素比例与地球差异明显。本次结果则提供了迄今最有力的证据，显示至少部分彗星携带的水与地球水有相同的化学「指纹」。在这项研究中，科学家首次绘制出 12P 彗星的彗发（包围彗核的气体）中普通水（H₂O）与重水（HDO，即水分子里的一个氢被带有额外中子的氘取代）的空间分布。观测时间点为 12P 彗星接近太阳之际，结合毫米／次毫米波与红外线数据，精确测定了氘氢比（D/H）。透过绘制 H₂O 与 HDO 的分布，研究团队判断这些气体确实来自彗核内的冰冻物质，而非在彗发中由化学作用或其他过程生成。测得的 D/H 比值为 (1.71 ± 0.44) × 10⁻⁴，这个数值在所有已观测的彗星中偏低，并与地球海洋完全一致。

上海长征医院骨科医生历经 3 小时成功为一例遭遇罕见严重颈椎骨折脱位、跨度之大几乎可以被称为“身首离断”的患者实施了复位固定手术。这名患者因此前颈部遭受机械臂重击，当场高位截瘫、心跳骤停，经紧急心肺复苏才勉强恢复微弱生命体征。影像学检查结果几乎为患者宣判了“死刑”——其颈椎发生了极其罕见的大跨度离断式脱位，脊髓严重挫伤、关键神经血管结构撕裂。患者于 6 月 18 日进行的手术，目前生命体征稳定，已脱离呼吸机大概半个月。患者双下肢功能永久损伤无法挽回，上肢功能在逐渐锻炼康复中。

在自然界中，多数雄性果蝇通过快速振动翅膀来创造声音模式或“求爱之歌”来求爱。然而 Drosophila subobscura 演化出了一种非常不同的策略：雄性提供食物，并在求偶期间将其作为礼物送给雌性。这种行为在近亲物种中并不存在，比如 D. melanogaster（黑腹果蝇）。两种果蝇大约在 3000 万到 3500 万年前分化。它们都有一个叫做“fruitless”或简称“fru”的基因，控制雄性的求偶行为，但它们使用不同的策略——一个物种唱歌，另一个物种送礼物。研究人员发现了这种差异的原因：在送礼物的果蝇（D. subbobscura）中，产生胰岛素的神经元与大脑中的求爱控制中心相连，而在唱歌的果蝇（D. melanogaster）中，这些细胞保持不连接。通过打开产生胰岛素的神经元中的一个基因，研究小组成功地让黑腹果蝇完成了它以前从未做过的送礼物求偶。

由 NASA 与法国国家空间研究中心（CNES）联合研制的地表水和海洋地形卫星（SWOT）所提供的数据，正助力改进海啸预报模型，为沿海社区带来福祉。当地震或水下滑坡等扰动的强度足以让从海底到海面的水体发生位移时，就会引发海啸。当地时间 7 月 30 日 11 时 25 分，俄罗斯堪察加半岛近海发生 8.8 级地震并引发海啸，SWOT 在地震发生约 70 分钟后记录下了此次海啸。SWOT 数据从多个维度呈现了堪察加地震引发的海啸前沿情况。测量数据包括超过 45 厘米的波高——在高亮轨迹中以红色显示，以及海啸前沿的形状和传播方向。在视觉图像中从西南向东北延伸的高亮区域所示的 SWOT 数据，与美国国家海洋和大气管理局（NOAA）海啸研究中心制作的海啸预报模型形成对比。将二者进行比对，有助于预报人员验证模型，确保准确性。

JetBrains 发布了第八次年度 Python 开发者调查报告。调查由 JetBrains 和 Python 软件基金会合作完成。结果显示，86% 的受访者表示 Python 是他们的主要语言，用于写程序、构建应用和创建 API 等；50% 受访者只有不到两年的专业编程经验，39% 的受访者只有不到两年的 Python 经验；83% 的 Python 开发者使用旧版本（v 3.12 或以下版本），主要理由是当前使用版本已能满足所有需求，报告指出从 Python 3.11 升级到 Python 3.13 能将代码速度提高 11% 内存占用减少 10-15%；51% 的受访者将 Python 用于数据探索和处理，最常用的工具是 Pandas 和 NumPy。

根据 Google Cloud 和 Harris Poll 的一项联合调查，87% 的游戏开发者在工作流程中使用 AI 智能体（AI agent）。这次调查于 2025 年 6 月底到 7 月初展开，询问了美国、韩国、挪威、芬兰和瑞典的 615 名游戏开发者关于 AI 在游戏行业现状以及未来发展方向等问题。结果显示，受访者普遍认同 AI 对创意工作、商业环境和内部工作流程产生积极影响，逾九成受访者表示 AI 正帮助应对一系列挑战，包括推动创新和提升玩家体验。97% 的受访者表示，生成式 AI 正重塑游戏行业，95% 的受访者表示 AI 正在减少工作流程中的重复性任务，94% 的受访者表示 AI 正推动创新。47% 的受访者表示，AI 加速游戏测试和机制平衡；45% 的受访者表示 AI 有助于游戏内容的本地化和翻译；44% 的受访者表示，AI 改进了代码生成和脚本支持。89% 的开发者认为 AI 的融入正在改变玩家的期望，37% 的受访者表示发现玩家正在寻求更真实的体验。63% 的开发者对数据所有权表达了担忧。

天文学家上个月报告发现了已知第三颗星际天体，前两颗分别是 'Oumuamua、彗星 2I/Borisov，第三颗 3I/ATLAS 也是星际彗星。哈佛大学天文学家提议使用现有的 NASA 探测器与这颗彗星会合，一探这颗神秘星际天体的面貌。根据他们的分析，NASA 朱诺号（Juno）探测器能于 2026 年 3 月 16 日在 3I/ATLAS 近距离飞过木星时对其进行拦截。

大众汽车正为其电动汽车 ID.3 推出提升引擎功率的订阅模式，如果司机想要从标准的 201 马力提升到 228 马力，他们需要每月支付约 16.50 英镑或每年 165 英镑，或一次性支付 649 英镑的终身费用。该费用是与汽车绑定而不是与司机绑定，如果司机卖掉了 ID.3，购买了另一辆 ID.3，那么如果想要获得更高的动力将需要再次支付。大众汽车辩解称，司机是在为更强的运动体验付费，他们无需为此购买更高引擎功率的型号。提升功率无需机械方面进行改变，主要是调整下软件，可能是修改下布尔值。

美国佐治亚大学开展的研究表明，水星这颗太阳系最内侧的行星，自 45 亿年前诞生以来，因热量流失在不断缩小，其半径已累计缩短 2.7—5.6 公里如同冷却后的芝士蛋糕表面会皲裂，水星岩石外壳也布满“皱纹”，科学家称之为冲断层。这些因地壳收缩形成的褶皱，成为测量行星“缩水”程度的天然标尺。此前研究认为，水星半径收缩幅度在 1—7 公里之间，但不同断层数据集得出的结论差异显著。研究团队通过聚焦最大断层的收缩效应，进而推演整体变化。通过对 5934 条、653 条及 100 条断层三个不同规模数据集的分析，新方法均得出水星半径缩短 2—3.5 公里的稳定估值。综合其他冷却效应后，他们最终将收缩范围精确锁定在 2.7—5.6 公里。

人类的语言是如何演化的？研究人员试图通过人类近亲黑猩猩找到答案。根据发表在《PLOS Biology》期刊上的论文，研究人员报告黑猩猩幼儿是通过母亲和母系亲属学会声音和视觉交流模式。这与人类幼儿从照顾者学习交流模式类似，这种能力可能可至少追溯到远古时代。研究人员在乌干达西部的 Kibale 国家公园考察了一个有大约 60 名黑猩猩的群体，它们会分成很多个小群体，其中至少包含一名母亲及其后代。小群体的数量在 2 到 9 只之间，它们都与母猩猩有血缘关系。对记录的视频和音频的分析显示，幼年黑猩猩跟随母亲学习了各种交流模式。

英国通信监管机构 Ofcom 于 6 月 10 日宣布对图像讨论版 4chan 展开调查，调查该网站是否遵守了 Online Safety Act 2023。Ofcom 上周表示，调查显示 4chan 未遵守这项法律，未能回应法定信息请求，未能完成和保存内容风险评估记录，未能履行非法内容相关的安全义务。Ofcom 考虑对其处以 2 万英镑罚款，之后按日处罚。4chan 随后通过律师发表声明，称它是一家注册在特拉华州的美国公司，在英国没有业务，英国对其没有司法管辖权。4chan 称它受到了美国宪法第一修正案的保护。