Kubernetes Platform v2.5发布 04 04 04 04 05 05 05 05 DEF CON将举办全球最大规模AI黑客大赛 微软将用近一年时间完成对0-day Secure Boot漏洞的修复工作 06 06 04 开源热点 芬兰南萨沃计划建立开源能力中心 Decidim参与式民主的开源平台正在被日本广泛使用 图林根继续支持开源替代方案 07 07 08 09 10 11 状态提供可操作的补救措施。具体功能包括： • 实时态势管理，发现基于事件的错误配置； • 汇总并找到Kubernetes RBAC中的过度权限； • 防止部署不合规的工作负载，减少潜在爆炸 半径； • 扫描漏洞并为运行的容器生成SBOM。 OpenSIL的目标不是取代UEFI，而是集成在 其他主固件中，比如核心启动、重启、Forti- BIOS，可以与主固件静态链接，绕过任何主 固件协议。 Googl • 支持控制Helm chart的安装顺序。 全球开源态势洞察｜第十期 03 Azure AKS正式推出网络方案 Azure CNI Overlay Azure CNI Overlay可以利用覆盖的网络来降低 IP地址的使用率，同时提供更好的性能和可扩 展性。借助该功能，AKS集群可以扩展至非常 大的规模，并且用户定义的私有CIDR还可以在 不同AKS集群中重复使用，从而大幅扩展了 AK

来闭源处理，从而不利于开放 式创新，也降低了可维护性。更为健康的针对开源产品的采购模式，应该平衡产品指标，技术竞争力以及产品 本身的可维护性。 段夕华：不知道 21 年底所爆发的 log4j 漏洞，是否会让公司购买开源产品更加保守谨慎？开源安全任重而道远。 3.6 受访者所从事的技术方向 受访者中非技术人员占比最高，后端开发次之，与去年相比，非技术人 员的比例大幅提升，说明开源已经越来越受到各行各业的关注。 8 开源安全与合规 2.8.1 CVE 漏洞风险 Gitee 采用棱镜七彩 FossEye 静态扫描了 1.5 万 个 Gitee 平台上具有代表性的优质推荐开源项目仓库， 结果显示有超过 93% 不存在 CVE 漏洞风险。 其中，在所有存在 CVE 漏洞风险的项目中，存在一个 CVE 漏洞的占比为 18.51%，存在超过 10 个 CVE 漏洞的占比 2.58%。 2021 中国开源年度报告 大企业员工用户，扩大用户基数 ；另一方面，通过 SLG 销售模式去面向中大型企业进行大单交易。 3.2.4 成熟阶段：维持开源社区运行 在项目成熟阶段，供应商主要任务是发布新版本、提供漏洞修复、维护社区的运行。开源社区是开源项 目的根基。自由包容、积极活跃的开源社区支持项目持续稳定的发展与迭代。 图表 17 ：开源项目生命周期 资料来源：云启资本 3.3 商业化过程中的风险点

导规范。 3. 人工智能安全风险分类 人工智能系统设计、研发、训练、测试、部署、使用、维护等生命周期 各环节都面临安全风险，既面临自身技术缺陷、不足带来的风险，也面临不当 使用、滥用甚至恶意利用带来的安全风险。 3.1 人工智能内生安全风险 3.1.1 模型算法安全风险 （a）可解释性差的风险。以深度学习为代表的人工智能算法内部运行逻 辑复杂，推理过程属黑灰盒模式，可能导致输出结果难以预测和确切归因，如 权访问、恶意攻击、诱导交互等问题，可能导致数据和个人信息泄露。 3.1.3 系统安全风险 （a）缺陷、后门被攻击利用风险。人工智能算法模型设计、训练和验证 的标准接口、特性库和工具包，以及开发界面和执行平台可能存在逻辑缺陷、- 5 - 人工智能安全治理框架 漏洞等脆弱点，还可能被恶意植入后门，存在被触发和攻击利用的风险。 （b）算力安全风险。人工智能训练运行所依赖的算力基础设施，涉及多源、 泛在算力节点 泛在算力节点，不同类型计算资源，面临算力资源恶意消耗、算力层面风险跨 边界传递等风险。 （c）供应链安全风险。人工智能产业链呈现高度全球化分工协作格局。 但个别国家利用技术垄断和出口管制等单边强制措施制造发展壁垒，恶意阻断 全球人工智能供应链，带来突出的芯片、软件、工具断供风险。 3.2 人工智能应用安全风险 3.2.1 网络域安全风险 （a）信息内容安全风险。人工智能生成或合成内容，易引发虚假信息传播、

technical competitiveness, and maintainability of the product itself. 段夕华：不知道 21 年底所爆发的 log4j 漏洞，是否会让公司购买开源产品更加保守谨 慎？开源安全任重而道远。 Duan Xihua: I wonder if the log4j vulnerability in late 2021 will Source Security and Compliance 2.8.1 CVE 漏洞风险 CVE Vulnerability Risks Gitee 采用棱镜七彩 FossEye 静态扫描了 1.5 万 个 Gitee 平台上具有代表性的优质推荐开 源项目仓库，结果显示有超过 93% 不存在 CVE 漏洞风险。 Gitee used Prism Seven FossEye to statically showed that over 93% were not at risk for CVE vulnerabilities. 其中，在所有存在 CVE 漏洞风险的项目中，存在一个 CVE 漏洞的占比为 18.51%，存在超 过 10 个 CVE 漏洞的占比 2.58%。 Of the projects with CVE vulnerabilities, 18.51% have one CVE vulnerability

网，然后让工程师上门 “维修”， 谎称光猫损坏，需要花 299 元 换新。更换完后，联通再在后 台恢复用户的网络。 员工盗用公司游戏源代码 中国人民大学一名硕士毕业生涉嫌在校期间非法获取全校学生的个人信息， 并利用这些信息制作了一个给学生颜值打分的网站。 针对 “中国人民大学部分学生信息被非法获取” 的情况，海淀警方接到报警 后立即开展调查。 经查，嫌疑人马某某（男，25 岁，该校毕业生）涉嫌非法获取该校部分学生 后就开始上线经营。 创建颜值打分网站——结局很“刑” 一年私吞 260 余万元 民警随即展开工作，最终嫌疑人曹某迫于压力主动投案自首。 曹某是该公司的软件工程师，他坦白称，去年 8 月发现公司网站后台的漏洞， 用母亲和朋友身份证注册了两个 ETC 账户。一年内两个账户分别从公司提取 来了 230 余万元和 36 万元，总计 260 余万元。最终曹某因涉嫌盗窃罪被 依法刑事拘留。 “换皮”上线 半年盈利 年 8 月在公众 号宣布无限期停止更新，原因是收到了 某集团律师函，对方称 “李跳跳” APP 涉嫌不正当竞争，对旗下的浏览器产生 影响，并要求四十八小时内全网下架 “李跳跳”。 “李跳跳” 是一款利用无障碍权限进行 跳过 APP 开屏广告的 Android 辅助 应用，无需联网，免费使用。 除了 “李跳跳”，其他同类开屏广告应用 也都在同一时期收到了律师函，比如 “大圣净化”、“一指禅” 和 “叮小跳”。

同时，从学术角度来讲，各种领域专用模型的技术最优解也在逐渐趋同。应用开发者越来越 不需要了解模型的底层技术，只需要懂得如何设计自己应用的任务流，懂一点点 COT 系列的 prompt engineering 的技巧，就可以利用 Maas（Model as a service）、Aaas（Agent as a service）这样的平台，如玩乐高一般搭建自己的 AI 云原生应用。 2. 算力层深挖定制化、低能耗的可能性，但固化 在这个方向的持续投入下，我们很可能会迎接一个介于 RNN 和 Transformer 之间的“新王”。 因此，算力层短时间内的主题仍然是“半通用化”“高算力”“低能耗”。 3. 合成数据驱动新产业链 早有机构预测，人类社会可利用训练数据会在 2026 年耗尽。这可能还是一个乐观估计。光 头哥 Tibor Blaho 还曾爆料，OpenAI 用于训练“猎户座“的数据中，已经包含了由 GPT-4 和 O1 产出的合成数据。 创作者利用 AI 生成内 容，大量的用户访问这些内容；另一种模式是用户的问题有很高比例是重复的，例如拍照搜题、 生成调研报告等。 总体来说，目前 AI 应用尚处于“iPhone 1”时代，模型能力、应用生态、用户习惯都在快 速进化中。所谓“AI 一天，人间一年”，即使是 AI 专家，也很难跟上所有最新的科研进展。大 模型的时代才刚刚开始，预测未来的最好方式就是持续学习、探索、利用 AI 能力，创造未来。

www.iresearch.com.cn 来源：艾瑞咨询研究院自主研究及绘制。 开源软件的发展理念（二） 通过海量用户和开发者汇聚创意和检查漏洞，由市场自然选 择最优的发展路径——与“大教堂”相反的“集市”模式 Eric S·Raymond所著的《大教堂与集市 The Cathedral & the Bazaar》被誉为开源运动的“圣经”。书中所谓的“大教堂” 言至关重要，后期将蕴含较大的开源风险；二是该软件是否具备良好运行的开源社区以支持其后续发展，如果不是，则用 户可能无法持续获取开源本身的和细心创造价值。此外，有开源软件代码公开的特性，一些安全漏洞易被发现和利用，可 能带来额外的IT和数据风险，其他值得关注的因素包括技术先进性、运维能力等。 企业使用开源软件的选型要素 开源软件依赖于开源社区 进行更新，由此需要关注 开源社区的参与度、代码 贡献度、文档数等指标判 活跃的开源企业一般为“BATH”四大综合科技企 业以及其他互联网、云计算企业等 从可行性角度上讲，上述企业具备较强的技术、人才和资金 能力，能够自主进行或支持大规模开源运营 从优化产品方面，如前文所述，开源能够帮助企业利用开源 社区资源进行产品优化和升级，提升竞争力 从国内市场状况上看，科技企业、云服务企业正处于激烈的 市场竞争中，开源为企业带来市场影响力、人才吸引力方面 的提升，为企业带来各种隐性收益 从国内产

Law的边际效应递减 • 人类构造的训练数据已达上限 • 万亿参数规模之后，继续增大参数规 模难以带来质的提升 • 训练算力成本和工程化难度大幅上升 强化学习Scaling Law • 利用合成数据解决数据用尽问题 • 利用self-play强化学习，在不增大参 数规模前提下，大幅提升复杂推理能力 • 通过后训练算力和推理算力，在不增加 预训练算力前提下，大幅提升模型性能 DeepSeek颠覆式创新——技术创新 DeepSeek六大应用方向之一 人人智能：人人都要用AI 39政企、创业者必读 真正的机会是利用AI把所有的硬件重做一遍 DeepSeek六大应用方向之二 万物智能：所有智能硬件都用AI重做 40政企、创业者必读 DeepSeek六大应用方向之三 数转智改：助力传统产业打造新质生产力 用大模型帮助传统产业、制造业实现“数转智改”，利用AI降本增效 41政企、创业者必读 DeepSeek六大应用方向之四 企、创业者必读 赋予自动驾驶复杂物理世界理解能力 从规则驱动到学习驱动 43政企、创业者必读  人工智能的目标是星辰大海，是为了让人类在科技上有突破  基于DeepSeek的强推理模型，利用科学领域专业知识进行强化学习， 能够打造更加专业的科学推理模型 DeepSeek六大应用方向之五 科学研究：打造科研新范式 44政企、创业者必读 AI For Science，为基础科学带来革命性变化

为了正确使用单语文件，Weblate 需要访问一个包含要翻译的字符串及其原文的完整列表的文件——该 文件在 Weblate 中被称为单语言译文模版语言文件，尽管命名上和你的叫法可能会有所不同。 另外，可以利用中间语言文件 扩展此工作流程，以包括开发人员提供的字符串，但不要在最终的字符串 中使用。 1.10.2 自动检测 Weblate 可以自动检测几种常用的文件格式，但是这种检测会损害您的性能，并且会限制特定于给定文件 2. 管理员文档 The Weblate Manual, 发行版本 4.16 配置 PostgreSQL 服务器 PostgtreSQL 容器使用默认的 PostgreSQL 配置，它不会有效地利用你的 CPU 核心或内存。建议自定义配 置以提高性能。 配置可以按照 https://hub.docker.com/_/postgres “数据库配置“中的描述来调整。匹配你的环境的配置可 以使用 设置为数据库合并过程中 Weblate 应该更改的角色的名称。 MySQL 和 MariaDB 提示: 一些 Weblate 功能使用PostgreSQL 会表现得更好。这包括搜索与翻译记忆库，它们都利用了数据库 中的全文特性，而且 PostgreSQL 的实现更胜一筹。 Weblate 还可以使用 MySQL 或 MariaDB，使用与两个数据库相关的 Django 而导致的警告，请参见 MySQL

为了正确使用单语文件，Weblate 需要访问一个包含要翻译的字符串及其原文 的完整列表的文件——该文件在 Weblate 中被称为 单语言译文模版语言文 件，尽管命名上和你的叫法可能会有所不同。 另外，可以利用 中间语言文件 扩展此工作流程，以包括开发人员提供的字符 串，但不要在最终的字符串中使用。 自动检测 Weblate 可以自动检测几种常用的文件格式，但是这种检测会损害您的性能， 并且会限制特定 设置为数据库合并过程中 Weblate 应该更改的角色 的名称。 MySQL 和 MariaDB 提示 一些 Weblate 功能使用 PostgreSQL 会表现得更好。这包括搜索与翻译记忆 库，它们都利用了数据库中的全文特性，而且 PostgreSQL 的实现更胜一 筹。 Weblate 还可以使用 MySQL 或 MariaDB，使用与两个数据库相关的 Django 而导致的警告，请参见 MySQL Weblate 加载它们，很可能是使用 定制配置文 件。 参见 定制 Weblate 配置 PostgreSQL 服务器 PostgtreSQL容器使用默认的PostgreSQL配置，它不会有效地利用你的CPU 核心或内存。建议自定义配置以提高性能。 配置可以按照https://hub.docker.com/_/postgres “数据库配置 “中的描述来调 整。匹配你的环境的配置可以使用https://pgtune