OSCHINA

↑点击蓝字 关注我们

欢迎阅读 OSCHINA 编辑部出品的开源日报——您探索和理解开源世界的日常指南。在这里，我们每天从宏观到微观，全面展现开源技术和文化的动态图景。

每日一更，风雨无阻。

OpenSource Daily # 2024.10.21省流概览

- Bitwarden 进一步脱离开源引发担忧

- Node.js 23 正式发布，不再支持 32 位 Windows 系统

- 解读一下比较火的北大实习生攻击字节AI训练集群

- 英伟达真正的护城河是什么？

- 打完 “价格战”，大模型还要比什么？

- 颜水成袁粒提出新一代 MoE 架构：专家吞吐速度最高提升 2.1 倍！

- 争斗半个世纪：是什么巨变促使英特尔 AMD 合作？

- 微软开源基于 Rust 的 OpenHCL

今日要闻

Node.js 23 正式发布，不再支持 32 位 Windows 系统

Node.js v23.0.0 主要更新亮点

• 默认启用 ESM：在 Node.js v23.0.0 中，Ecma 模块（ESM）现已默认启用，简化了应用使用。

• 停止支持 32 位 Windows 系统：在 Node.js 23.0.0 中，不再支持 32 位 Windows，专注于现代环境。

• 稳定化 --run 命令：--run 标志已稳定化，以实现更高效的脚本执行。

• 测试运行器增强：测试运行器现在支持 glob 模式来覆盖文件，改进了测试配置。

需要提醒的是，在 Node.js 发布过程之后，Node.js 23 将不会升级到 LTS，因为只有偶数版本才会升级到 LTS。

字节跳动商业化团队模型训练被 “投毒”，内部人士称未影响豆包大模型

近日，有消息称字节跳动发生大模型训练被实习生 “投毒” 事件。

据悉，该事件发生在字节跳动商业化团队，因实习生田某某对团队资源分配不满，利用 HF（huggingface）的漏洞，通过共享模型注入破坏代码，导致团队模型训练成果受损。消息称此次遭到入侵的代码已注入 8000 多张卡，损失或达千万美元。

字节跳动知情人士向记者透露称，近期公司确实发生过破坏模型训练一事，但传闻存在夸张和虚构的部分，该事件实际发生在今年 6 月底，田某某是在商业化技术团队实习，因为对团队资源分配不满，使用攻击代码破坏团队的模型训练任务，千万美元损失的数字也有所夸大。

另外，该人士称，受代码入侵影响的业务不是豆包大模型，而是商业化技术团队的模型训练任务，影响了广告部门的部分技术工作，实习生通过共享模型进行入侵的部分也不属于集团大模型。

微软开源基于 Rust 的 OpenHCL

微软宣布推出新的开源虚拟化堆栈 OpenHCL paravisor，以便使用这个由 Rust 编写的软件堆栈来支持 Intel TDX 和 AMD SEV-SNP 机密计算虚拟机 (VM)。据悉，微软的这项工作已经进行了五年，现如今正式开源。

OpenHCL 是一个执行环境，可作为机密计算虚拟机的辅助程序，由 AMD SEV-SNP 或 Intel TDX 提供硬件保护。OpenHCL 可以在 x86_64 和 ARM64 上运行，但目前仅支持 Intel 和 AMD 机密计算平台；ARM64 方面的计划是支持 Arm CCA（机密计算架构）。目前，OpenHCL 已经在 Azure 上使用。

OpenHCL 由多个开源组件组成，其中最重要的是 OpenVMM - 一个用 Rust 编写的跨平台虚拟机监视器 (VMM) 项目；此 VMM 运行多个用户模式进程来为 OpenHCL 提供支持。

Bitwarden 进一步脱离开源引发担忧

Bitwarden 是一款简单易用的开源密码管理器，旨在帮助用户安全地存储、管理和共享密码、密钥和信用卡等敏感的在线数据。但最近，一些用户对 Bitwarden 的开源属性提出了担忧。

在该项目仓库一个名为 “Desktop version 2024.10.0 is no longer free software” 的 issue 中，有开发者指出，最近的一条 PR #10974 中引入了 @bitwarden/sdk-internal 依赖项来构建桌面客户端。但该依赖项中包含了一条许可声明，明确了以下条款：

“您不得使用本 SDK 开发用于 Bitwarden 以外软件的应用程序（包括 Bitwarden 的非兼容实现）或开发其他 SDK"。

此举明显违反了 freedom 0。其他用户也对此变化表示担忧，并担心 SDK 在 Bitwarden 之外使用不合法。

WP Engine 申请禁令以恢复 WordPress.org 访问权限

WP Engine 已向美国北加州一家法院提交了禁令，要求其介入并恢复该公司对 WordPress.org 开源仓库的访问权限。

文件内容显示，WP Engine 希望访问权能够恢复到 2024 年 9 月 20 日之前的现状。“WPE 恳请法院发布初步禁令，恢复并维持被告上述错误行为发生前的现状。初步禁令不需要担保，因为恢复原状不会对被告产生负面影响”。

今日观察 社交观察

解读一下比较火的北大实习生攻击字节 AI 训练集群

这事件本质上是一个 checkpoint 攻击。背景是 Pytorch 在 load checkpoint 的时候默认是 weights_only=False，所以哪怕是模型权重是 safetensor，但是优化器和调度器默认都是使用 python 的 Pickle 来 load，那 pickle 天生就有安全漏洞，它是 python 自带的序列反序列模块，序列化时把 python 的对象转换成字节流，反序列化时候还原成对象，这个北大的哥们估计就是往序列化的字节流里掺了点私货，网上还有人说什么病毒，这和病毒没什么关系，就是一种标准的中间人攻击，下手的模块也是优化器和调度器。

最简单的攻击优化器产生的影响就是祸害梯度呗，让它一直不收敛，甚至给你整出点 NaN 来，或者断点重 load 时候读取失败。规避的方法主要还是防人为主，次要是改改 load 代码，但是正常没人能想到集群的 trainer 会这么干，据说这么干的原因是因为他老板把算力集群的 GPU 资源都调度到 DIT 组去做生图，生视频去了，（他应该是做文本的吧）某种程度能理解这哥们的愤怒。

- 微博 Transformer-周

英伟达真正的护城河是什么？

大家知道，虽然英伟达的 GPU 是现在 AI 算力当之无愧的 NO.1，但是英伟达不是没有对手，近的有 AMD 和英特尔这样的老牌对手，远的有 Grok、Cerebras Systems 这样的创业公司，甚至英伟达的客户也在和它竞争，谷歌、AWS 等云厂商都有自己的训练和推理芯片。所以，英伟达如何稳固自身地位，不成为下一个被赶超的恐龙，并继续维持 3 万亿美金的市值？

对于这个问题，黄仁勋做了正面回答，不过他不是完全从英伟达自身竞争力角度，而是从 AI 算力的特点角度。他引用了阿姆达尔定律来解释，在并行加速计算中：即使你大幅加速了某个部分的计算，如果系统中还有其他部分没有被加速，整体性能的提升仍然是有限的。因此，整个系统的效率取决于不可加速部分的大小。

- 微博 高飞

有学生问这位 Jeff 教授是不是推荐当程序员或者计算机科学家

Hey Loa，

我不确定你现在是哪个年级的学生，但这不影响我的回答。我非常喜欢当一名计算机科学家！写软件就像是不断面对各种大大小小的难题，你可以通过思考找出最佳的解决方案。你的工作可能会被数百、数千，甚至数百万、数十亿的人使用，并且能够为人们提供非常有用的功能（想想互联网上所有的主要服务，从搜索到电子邮件，再到视频分享、地图、翻译、AI 对话服务等）。我有机会和非常聪明、有洞察力、有趣且雄心勃勃的同事们一起工作，他们不断教我新的东西。我可以在许多不同的地方工作（大部分时间在办公室，有时在家工作，有时在一间令人愉快的咖啡馆里用笔记本电脑工作）。

如果你喜欢数学和逻辑，并喜欢找出解决问题的最佳方法，那么你绝对应该考虑计算机科学作为职业选择。

- 微博 宝玉xp

这回给手机装 Linux 更简单了

https://github.com/EXALAB/AnLinux-App

- 微博 在下莫老师

媒体观察

打完 “价格战”，大模型还要比什么？

可以预见，在阿里再掀 “价格战” 之后，大模型价格还将继续下调，甚至可能走向 “负毛利”。在互联网行业的发展史中，“亏本换规模” 并不是某个企业的孤例，要改变整个行业的商业模式，必然需要投入更高的成本。

但在这个过程中，如何平衡价格、质量与服务也成为了大模型企业必须思考的问题，企业想要 “活下来”，就不能只吃 “低垂的果实”。

- 伯虎财经

投资大模型，预期很高？先算清这笔账 | 企服国际观察

进入到下半年，AI 大模型领域焦虑氛围倍增。成熟的应用场景还未诞生，国内 AI 大模型 “六小虎” 也在近期被传进入困境，虽然后期公司层面有回应消息不实，但也映射出技术发展到一定阶段市场对变现急迫且带有悲观情绪。与此同时，OpenAI 虽获得 464 亿融资，但核心技术高层频繁离职，使其饱受争议。

- 钛媒体

SiC、Chiplet、RISC-V，汽车半导体发展的三大动力

应对汽车电子系统日益复杂的需求，新的技术趋势正在不断涌现，其中 SiC（碳化硅）、Chiplet（芯粒）和 RISC-V（开源架构）因其各自的优势，成为了行业关注的焦点。这三种技术不仅拥有强大的市场潜力，也为汽车电子系统的高效性、灵活性和创新性带来了新的机遇。

- 半导体产业纵横

五年研发投入近 600 亿元，美的金成镇：AI 很热，但还没到量变引起质变的阶段

AI 确实最近很热，但从技术和产品端来看，它还没有积累到一个可以量变引起质变的阶段，美的也暂时没有一个完整的解决方案出来。但在这方面，我们已经有系列项目正在研究中，通过引入 AI 技术、协同多元产品矩阵布局，我们希望短期内可以有成绩跟大家见面。

- 36氪

颜水成袁粒提出新一代 MoE 架构：专家吞吐速度最高提升 2.1 倍！

实验结果表明，在 0.6B 到 7B 参数规模的 LLMs 上，MoE++ 在相同模型大小的情况下，相比传统 MoE，性能更优，同时实现了 1.1 到 2.1 倍的专家吞吐速度。

并且这个模型权重也已开源！

- 量子位

争斗半个世纪：是什么巨变促使英特尔 AMD 合作？

是什么让这对恩怨半个世纪的老对手走到了一起？当然是他们相同的业务基石：x86 平台。这两大 x86 架构的芯片巨头，连同诸多芯片、软件以及硬件合作伙伴，共同创建了一个 x86 生态咨询小组，计划在 AI 时代继续维护 x86 架构生态的繁荣。

- 新浪科技

今日推荐

开源项目

jgraph/drawio

https://github.com/jgraph/drawio

draw.io 这个项目是一个可配置的图表 / 白板可视化应用程序，具体取决于所选的主题。它不是 SVG 编辑应用程序，SVG 导出仅用于嵌入网页，不适用于在其他工具中进一步编辑。

开源之声

用户观点

Electron 与 Tauri：你选择哪款跨平台框架？

• 观点 1：什么？要学 Rust？都给爷去用浏览器吧

• 观点 2：Tauri 最大的问题不是要学比较难上手的 Rust，而是依赖系统 web 组件，不能保证多端效果一致，因为它 Linux / Mac 端用的 WebKit，Windows 用的 webview2，特别点名 WebKitGtk2 性能很差，而且默认样式和动画风格都不能统一。定位很尴尬。能跨平台，但好像跨的又不是很优雅。electron 因为都用 chromium，至少还保证了全平台效果一致性。所以这东西最好的归宿就是做轻量软件（因为体量大的不如直接上 electron 了，完全失去 Tauri 的优势）食之无味，弃之可惜。

• 观点 3：到底有多少人关心 Linux 桌面系统表现

• 观点 4：人生苦短我选 electron

• 观点 5：有啥用啊，还不如 qt

• 观点 6：我选 flutter。

• 观点 7：tauri bug 太多，刚开始开发，还没写啥就遇到两个 bug，太劝退了

• 观点 8：不要慌张，electron 还会存在一段时间的，但是内存占用、大小占用的确是一个问题，或许不久后会有替代品慢慢替代 electron，只是时间的一个问题了……

• 观点 9：很好的文章！傻 * 才做选择，聪明人一个 HTML 文件解决问题。

• 观点 10：都不用，只用 tauri2

• 观点 11：如果没判别能力就选 Electron，跟着腾讯、阿里、网易这种大厂走一般总不会错，别回头一看，发现就自己在玩！

• 观点 12：前端给老板秀工作量，所以用新架构么

• 观点 13：我用的 wails

• 观点 14：flutter + rust 挺好 跨平台通杀

• 观点 15：我选择用浏览器做界面，然后接口服务封装成 dll，并打包成 exe

• 观点 16：不如 gtk

• 观点 17：设计上的主要区别是 electron 用的 c/c++ 作为底层语言，内置 webview，而 tauri 用 rust 作底层语言，调用系统 webview（包体小的原因）。但是都离不开 webview 实现 GUI，运行起来的内存占用都是看 webview 。除非像 QT 和 flutter 那样自己实现 GUI 渲染。

• 观点 18：还不如用开发效率最高的 blazor hybird

程序员梗图

References

https://ishare.ifeng.com/c/s/8drUbdP37zP

https://github.com/jgraph/drawio

https://mp.weixin.qq.com/s/OGXnyBzM5M-uLZGzPO6Gyw

END

↓ 分享、 在看与 点赞~ Orz