夜雨聆风每日AI早报
2026年04月14日 星期二
🌍 外网AI动态
• WordPress 30 个插件被买下后集体植入后门 — 攻击者通过 Flippa 以六位数美元收购 Essential Plugin,潜伏 8 个月后激活,利用以太坊智能合约解析 C2 域名
• 斯坦福 AI 指数报告:AI 专家与公众的认知鸿沟创历史新高 — 就业影响看法差距达 50 个百分点,Z 世代引领反 AI 情绪,仅 31% 美国人信任政府 AI 监管
• Servo 浏览器引擎首次发布到 crates.io — v0.1.0 版本标志着从研究项目到可嵌入生产级 Web 引擎库的转型,同步提供 LTS 长期支持版
• OpenAI 与 Cloudflare 联手推出 Agent Cloud — GPT-5.4 和 Codex 入驻 Cloudflare 边缘平台,Codex 周活 300 万用户,API 每分钟处理超 150 亿 token
• OpenAI 收购理财初创 Hiro Finance — 典型人才收购,约 10 人团队全员加入,创始人曾以超 2 亿美元出售 Digit,Hiro 将于 4 月 20 日停运
• 微软开源多模态推理模型 Phi-4-reasoning-vision-15B — 仅 15B 参数 + 200B token 训练,首创感知/推理混合路径自动切换,集成 SigLIP-2 动态分辨率编码器
• 日本组建 AI "国家队":软银、索尼、本田联合出资 — 政府 5 年投入最高 1 万亿日元(约 65 亿美元),汇集 100 名顶尖 AI 开发者,覆盖大模型+机器人控制
• 日本 Rapidus 启用玻璃基板 AI 芯片封装线 — 600mm×600mm 玻璃基板使中间层产量提升 10 倍,目标 2027 年量产 2nm,累计获政府 2.35 万亿日元支持
🏠 国内AI资讯
• MiniMax 2.7 开源引争议:严禁商业使用 — SWE-Pro 得分 56.22% 逼近 Claude Opus,但许可证要求书面授权才能商用,社区批评"开源加锁"
• 荣耀发布 YOYO Claw "龙虾"端侧 AI 智能体 — 首发搭载 MagicBook 笔记本,PinchBench 测试 Token 消耗降低 50%,预制 23 个子虾应用
• 清华孵化紫荆智康推出"紫荆 AI 医院"虚拟诊室 — 支持创建医生分身智能体,与 AI 患者全流程模拟诊疗,覆盖 26 个临床科室
• LPM1.0 模型发布:单张照片生成实时交互数字人 — 支持说话/聆听/唱歌三种状态,可接入 ChatGPT 和豆包,支持连续 45 分钟流式生成
• CounterPoint:2026 年全球 Robotaxi 迎关键拐点 — 预测 2035 年市场规模达 1680 亿美元,中国凭百度/文远/小马智行领跑车队部署
• Meta 开发 AI 版扎克伯格数字分身 — 高度逼真 3D 数字人可与员工实时对话,扎克伯格每周投入 5-10 小时参与训练测试
📰 详细归纳
帖1:WordPress 30 个插件遭供应链攻击,后门潜伏 8 个月
标题:Someone bought 30 WordPress plugins and planted a backdoor in all of them(HN讨论,652赞)
作者:Austin Ginder / Anchor Hosting
来源:Hacker News Anchor Hosting
链接:https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
数据:31 个插件被关闭 · 数十万活跃安装 · 后门休眠 8 个月 · 收购价六位数美元
@unserialize() 反序列化 RCE 的后门代码(仅 191 行),并设置了无需认证的 REST API 端点。后门休眠整整 8 个月后于 2026 年 4 月 5-6 日激活:向被感染站点下载伪装成核心文件的
wp-comments-posts.php,注入约 6KB 恶意代码到 wp-config.php,实现 SEO 垃圾内容注入——且仅对 Googlebot 可见,站长完全无感。最巧妙的反追踪设计:C2 域名通过以太坊智能合约解析,攻击者可随时更新合约指向新域名,传统域名封杀手段彻底失效。
暴露的系统性问题:WordPress.org 插件市场无所有权转移审查、无控制权变更通知、新提交者不触发额外代码审查。这是两周内该作者报告的第二起同类事件。
帖2:斯坦福 AI 指数报告——AI 专家与公众的认知鸿沟创纪录
标题:Stanford report highlights growing disconnect between AI insiders and everyone else(HN讨论,190赞)
作者:Sarah Perez / TechCrunch
来源:Hacker News TechCrunch IT之家
链接:https://techcrunch.com/2026/04/13/stanford-report-highlights-growing-disconnect-between-ai-insiders-and-everyone-else/ | https://www.ithome.com/0/938/769.htm
数据:就业认知差距 50 百分点 · 医疗认知差距 40 百分点 · 仅 31% 美国人信任政府 AI 监管 · 64% 美国人认为 AI 将减少工作岗位
| 领域 | AI 专家正面看法 | 美国公众正面看法 | 差距 |
| 工作方式 | 73% | 23% | 50 pp |
| 经济影响 | 69% | 21% | 48 pp |
| 医疗保健 | 84% | 44% | 40 pp |
值得关注的是,Z 世代正在引领反 AI 情绪(尽管其中一半人每天都在用 AI),Gallup 民调显示这一代人对 AI 越来越愤怒、越来越不抱希望。全球趋势也在分化:新加坡 81% 的民众信任政府 AI 监管,美国只有 31%,是所有调查国家中最低的。
核心矛盾:AI 领导者关注的是 AGI 的可能性和治理,而公众关心的是工资、电费和饭碗——双方甚至不在同一个频道上对话。
帖3:Servo 浏览器引擎 v0.1.0 首次登陆 crates.io
标题:Servo is now available on crates.io(HN讨论,414赞)
作者:Servo 团队
来源:Hacker News Servo Blog
链接:https://servo.org/blog/2026/04/13/servo-0.1.0-release/
数据:v0.1.0 首版 · 自 2025 年 10 月起 5 个版本迭代 · 提供 LTS 长期支持版
cargo add servo 将其作为依赖引入。团队强调这不是 1.0——API 尚未最终确定,月度发布中预计会有 breaking changes。但同时提供了 LTS 版本,为不想频繁升级的嵌入者提供每半年一次的安全更新通道。
为什么重要:Servo 的定位是 Chromium/WebKit 之外的第三条路——一个真正用 Rust 从头写的并行化 Web 引擎,作为库嵌入应用。对于需要在桌面/嵌入式设备中渲染 Web 内容但不想拖上整个 Chromium 的开发者,这是一个轻量级选择。
帖4:OpenAI × Cloudflare Agent Cloud——企业级 AI Agent 部署
标题:Enterprises power agentic workflows in Cloudflare Agent Cloud with OpenAI
作者:OpenAI
来源:OpenAI Blog
链接:https://openai.com/index/cloudflare-openai-agent-cloud
数据:100 万+企业客户 · Codex 周活 300 万 · API 每分钟 150 亿+ tokens
核心价值在于边缘部署:AI Agent 不再集中在少数数据中心,而是分布在 Cloudflare 全球网络的边缘节点上,实现低延迟的实时响应。Codex harness 已在 Cloudflare Sandboxes 中正式 GA,开发者可在安全虚拟环境中构建和测试 AI 应用。
战略意义:这标志着 AI Agent 从"实验性工具"向"企业基础设施"的转变。Cloudflare CTO Dane Knecht 表示,此合作"缩短了智能与终端用户之间的距离"。对于企业而言,客户响应、系统运维、报告生成等工作流都可以通过 Agent 自动化完成。
帖5:OpenAI 收购理财初创 Hiro Finance——金融 AI 布局加速
标题:OpenAI 收购 Hiro Finance,专注提升金融 AI 能力
作者:AIbase / IT之家
来源:AIbase IT之家
链接:https://www.aibase.com/news/27081 | https://www.ithome.com/0/938/776.htm
数据:约 10 人团队全员加入 · Hiro 4 月 20 日停运 · 创始人此前以 2 亿+美元出售 Digit
背后逻辑:ChatGPT 正在成为企业财务团队的日常工具,但当前在复杂金融计算(如多情景模拟、债务规划、退休金预测)方面仍有短板。Hiro 团队的核心竞争力恰好在于"让 AI 算得准"——用户输入薪资、债务、支出信息即可获得精准的财务决策支持。
收购条款未公开,但从 10 人团队规模看属于小型战略收购。Hiro 将于 4 月 20 日停止运营,5 月 13 日清空所有数据。
帖6:微软开源 Phi-4-reasoning-vision-15B——小模型的多模态逆袭
标题:性价比之王:微软开源 Phi-4-reasoning-vision-15B
作者:微软 / AIbase
来源:AIbase
链接:https://www.aibase.com/news/27060
数据:15B 参数 · 仅 200B 多模态 token 训练 · 感知/推理双模式自动切换
最大创新是混合推理路径(Hybrid Reasoning Path):
| 模式 | 适用场景 | 特点 |
| 感知模式 | 图像描述、OCR | 直接输出,低延迟 |
| 推理模式 | 数学公式、科学图表 | 链式思维,高精度 |
配合 SigLIP-2 动态分辨率编码器,模型对高分辨率截图中的小元素(按钮、输入框等)识别能力特别强,非常适合做计算机操作助手(CUA)。对于计算资源有限但需要多模态推理的场景,这是目前性价比最高的选择之一。
帖7:日本组建 AI "国家队"——政府豪掷万亿日元
标题:日本 AI "国家队"正式集结!软银、索尼、本田联手
作者:AIbase
来源:AIbase
链接:https://www.aibase.com/news/27072
数据:最高 1 万亿日元(约 65 亿美元)5 年投入 · 100 名顶尖 AI 开发者 · 覆盖大模型+机器人
资源整合思路清晰:软银提供算力基础设施、索尼贡献内容与传感器技术、本田发挥机器人和移动机械基因。技术方向不只做大模型,还明确覆盖机器人控制 AI——这是日本最有可能建立差异化优势的领域。
资金由日本新能源产业技术综合开发机构(NEDO)提供,5 年最高 1 万亿日元。研发成果将向所有日本企业开放,目标是降低本土企业智能化门槛。
值得关注的是,这是日本近年来最大规模的产业联合体行动,能否利用深厚的制造业和消费电子经验实现弯道超车,未来 5 年见分晓。
帖8:日本 Rapidus 启用 10 倍效率 AI 芯片封装线
标题:日本 Rapidus 正式启用 AI 芯片封装线
作者:AIbase
来源:AIbase
链接:https://www.aibase.com/news/27077
数据:600mm×600mm 玻璃基板 · 中间层产量 10 倍提升 · 目标 2nm 量产 · 政府累计支持 2.354 万亿日元
| 指标 | 数据 |
| 目标制程 | 2nm |
| 量产时间 | 2027 财年下半年 |
| 初始月产能 | 6,000 片晶圆 |
| 目标月产能 | 25,000 片晶圆 |
日本经产省 4 月 11 日刚批准追加拨款 6,315 亿日元,累计政府研发支持已达 2.354 万亿日元。配合前一条日本 AI 国家队的成立,日本正在软件(大模型)和硬件(芯片)两条线同时发力。
⚠️ Rapidus 2027 年 2nm 量产目标极具挑战性——2022 年底才成立的公司要在 5 年内追上台积电数十年的积累,业界对其能否按期达成存在广泛质疑。
帖9:MiniMax 2.7 开源引爆争议——"开源加锁"挑战行业共识
标题:开源变"闭源"?MiniMax 2.7 许可证严禁商业用途
作者:AIbase
来源:AIbase
链接:https://www.aibase.com/news/27069
数据:SWE-Pro 得分 56.22% · 逼近 Claude Opus · 严禁商业使用需书面授权
社区的核心批评:这款模型硬件要求极高,普通开发者根本无法本地部署;商业 API 平台(如 OpenRouter)和云服务商又不能直接托管——结果就是"代码能看不能用"。
厂商的考量:此前 Cursor 被传使用 Kimi 2.5 开源模型开发付费产品的事件(后澄清已获授权),让国内厂商对"套壳"盈利更加警惕。MiniMax 选择收紧权限是防御性策略,但代价是丧失了开源社区的信任和生态红利。
这一事件折射出国内大模型行业的核心矛盾:如何在开源影响力和商业保护之间找到平衡。
帖10:荣耀 YOYO Claw "龙虾"端侧 AI 智能体正式发布
标题:荣耀发布 YOYO Claw "龙虾"技术
作者:荣耀 / AIbase
来源:AIbase
链接:https://www.aibase.com/news/27075 | https://www.aibase.com/news/27071
数据:Token 消耗降低 50%(PinchBench 测试)· 预制 23 个子虾应用 · 首发 MagicBook
核心卖点是效率:在 PinchBench 测试集上实现整体 Token 消耗降低 50%,这意味着执行相同任务所需的计算成本直接减半。出厂预制 23 个"子虾"(细分功能模块),降低了用户上手门槛。
端侧部署的意义:YOYO Claw 完全在设备本地运行,兼顾了响应速度和数据隐私。荣耀的策略是通过降低 AI 使用成本来推动普惠智能化。
⚠️ Token 消耗降低 50% 数据来自荣耀实验室自测(PinchBench),尚无第三方独立验证。
帖11:清华孵化紫荆智康发布"紫荆 AI 医院"虚拟诊室
标题:紫荆智康发布"紫荆AI医院"虚拟诊室
作者:AIbase
来源:AIbase
链接:https://www.aibase.com/news/27062
数据:26 个临床科室 · 双向智能体交互 · 清华大学 AIR 孵化
亮点在于"同步进化"机制:医生分身在与真实医生联合问诊时可以持续学习,诊断决策经验会数字化积累。目前已覆盖 26 个临床科室。
核心价值:对医学生来说是安全的模拟诊疗训练场,对执业医生来说是数字化经验沉淀工具。学术根基源自清华大学刘洋教授团队 2024 年提出的"Agent Hospital"概念。
帖12:LPM1.0——单张照片生成实时交互式数字人
标题:LPM1.0 模型发布:实现单图转实时交互式数字人视频
作者:曾艾玲团队 / AIbase
来源:AIbase
链接:https://www.aibase.com/news/27080
数据:支持 45 分钟流式生成 · 说话/聆听/唱歌三种状态 · 可接入 ChatGPT/豆包
三个关键能力:
1. 三种状态智能切换:说话状态(音频驱动口型+动作)、聆听状态(点头、目光转移等反应)、空闲状态(文本指令驱动休闲行为)
2. 跨风格处理:写实人脸、动画角色、3D 游戏角色均可即时驱动
3. 流式传输:支持连续 45 分钟的稳定生成
可直接对接 ChatGPT 和豆包等语音 AI,将语音对话升级为带视觉反馈的实时交互。
⚠️ 目前仅为研究项目,暂无公开代码或权重计划。团队坦承生成画面与真实视频仍有质量差距,且深度伪造风险不容忽视。
帖13:CounterPoint 报告——2026 年全球 Robotaxi 迎关键拐点
标题:CounterPoint 预估 2026 全球自动驾驶出租车迎关键拐点
作者:IT之家 / CounterPoint Research
来源:IT之家 CounterPoint Research
链接:https://www.ithome.com/0/938/766.htm
数据:2035 年市场规模 1680 亿美元 · 车队 360 万辆 · 2026 年为关键转折年
中美双雄格局:
| 维度 | 🇨🇳 中国 | 🇺🇸 美国 |
| 核心优势 | 商业化速度、政策支持、V2X 基建 | 技术创新、早期商业化实践 |
| 主要玩家 | 百度 Apollo Go、文远知行、小马智行、滴滴 | Waymo、特斯拉 Cybercab |
中国的领先身位来自三个层面:政府开放路权政策、V2X 车路协同基础设施投入、以及文远知行和小马智行 2024 年底 IPO 后获得的充裕资金。百度 Apollo Go 在武汉和北京的运营规模已处于全球前列。
帖14:Meta 打造 AI 版扎克伯格——数字分身与员工实时互动
标题:Meta 全新 AI 计划:打造数字版扎克伯格
作者:AIbase
来源:AIbase
链接:https://www.aibase.com/news/27076
数据:扎克伯格每周 5-10 小时参与训练 · 过去一年投入数十亿美元 · 同步开发 CEO AI Agent
项目目前处于早期阶段,扎克伯格本人每周投入 5-10 小时参与训练测试和代码审查。同时还有一个并行的"CEO AI Agent"项目,帮助他完成快速信息检索。
更大的背景:Meta 过去一年已投入数十亿美元推动"个人超级智能"开发,还推出了 AI Studio 平台让用户创建 AI 数字人。灵感部分来自 Character AI 的成功。不过个性化 AI 角色去年引发了青少年安全争议,Meta 今年已限制未成年人访问该功能。
