台湾知识产权法院 4 月 28 日对四名前台积电员工作出有罪判决，认定其违反国家安全法、营业秘密法及计算机滥用相关法律。主犯、前台积电工程师陈力铭（Chen Li-ming，后加入日本东京电子）被判处有期徒刑 10 年，检察官原求刑 14 年；其余三名被告分别获刑 6 年、3 年与 2 年。一名隶属东京电子的被告被判 10 个月有期徒刑并被命令缴纳 100 万新台币（约 3.18 万美元）入公库。东京电子（Tokyo Electron）被处 1.5 亿新台币罚款，其中 1 亿新台币赔偿台积电、5000 万新台币缴入公库。主审法官张明晃称，陈力铭刑期低于求刑，主因是其全程认罪并协助检方指认同谋，法院亦考量东京电子已与台积电达成和解、台积电表示愿意宽恕损害赔偿。各被告均可上诉。 据检察官陈述，陈力铭与仍在台积电任职的前同事自 2023 年年中起合谋，复制包含次世代芯片制造技术在内的机密材料。法院明确指出，本案是台湾首例适用国家安全法、涉及被列为"国家核心关键技术"营业秘密的案件，具有判例意义。背景上，台积电是英伟达、苹果等 AI 供应链核心客户的晶圆制造商，台湾当局将先进制程技术列为战略性核心资产，近年持续加大对半导体技术外泄的司法打击力度；东京电子是台积电的主要设备供应商之一，此案亦将引发供应链合规层面的广泛关注。 Reuters | Yahoo Finance / DPA | WSJ https://finance.yahoo.com/sectors/technology/articles/taiwan-court-hands-prison-terms-062324469.html

Atom 原班人马打造的代码编辑器 Zed 于 4 月 29 日正式发布 1.0 版本，结束五年逾千个测试版本的迭代。Zed 的核心赌注在于从零重建底层：完全抛弃 Electron / Chromium 路线，自研 Rust UI 框架 GPUI，将整个应用组织为将数据喂给 GPU 着色器的渲染管线——类似游戏引擎架构——以此突破 Electron 的性能天花板。创始人 Nathan Sobo 在公告中称此为”五年来团队与社区艰苦工作的结晶”，目前已有数十万开发者每日使用 Zed 交付代码。1.0 覆盖 macOS、Windows 与 Linux 三平台，代码量超过百万行，支持 Git 集成、SSH 远程开发、调试器、彩虹括号等主流编辑器功能。 AI 原生层面，Zed 已内置多 Agent 并行运行、按键级粒度的编辑预测（Edit Predictions），并通过 Agent Client Protocol 开放与第三方 Agent 的对接，已支持 Claude Agent、Codex、OpenCode 以及 Cursor——而非事后叠加。Zed for Business 同步推出，提供集中计费、基于角色的访问控制与团队管理，面向企业规模推广。路线图层面，Zed 正在研发基于 CRDT 的同步引擎 DeltaDB（已获 Sequoia 背书），以字符级粒度追踪每一处变更，目标是让多名人类与多个 AI Agent 在同一代码库中共享单一一致视图，并直接在生成上下文内评审与演进 Agent 代码——此为 Zed 基于自有底层”才能走到别人走不到的地方”的核心远期论点。 Zed Blog https://zed.dev/blog/zed-1-0

深圳市住房和建设局 4 月 29 日发布深建字〔2026〕86 号通知，对住房限购与公积金贷款政策同步优化，自 4 月 30 日起施行。限购调整方面，符合条件的居民家庭（本市户籍或社保/个税连续缴满 1 年的非户籍家庭）可在现有购房资格之外，在福田区、南山区和宝安区新安街道范围内再增购 1 套商品住房；持有效深圳经济特区居住证的非户籍家庭，也可在上述三区购买 1 套，门槛进一步降低。公积金贷款额度方面，单独申请上限由此前调整为 70 万元，共同申请合并计算上限为 130 万元；首套房可在此基础上上浮 60%；初婚初育家庭与有两孩及以上家庭分别可上浮 50% 和 70%；购买保障性住房上浮 40%。 此次调整是深圳自 2024 年底以来持续推进楼市政策松绑的一部分，叠加此前已落地的取消豪宅税、优化二套房认定标准等举措，核心城区（福田、南山）与宝安部分区域的购房资格限制已相当宽松。公积金贷款额度同步提升，被认为尤其惠及以公积金作为主要贷款渠道的刚需与改善型买家；政策窗口选在五一黄金周前夕落地，亦被市场解读为借假期成交窗口加速去库存。 深圳市住房和建设局

GitHub 4 月 28 日 14:17 UTC 起报告 Pull Request 性能下降，14:51 UTC 进一步定位为 /pulls 与 /repo/pulls 页面未能列出全部已索引的 PR——根因是 Elasticsearch 集群当前未包含全部已索引文档，是 4 月 27 日另一起事故的连带影响。GitHub 强调没有 PR 数据丢失：随着 PR 被更新会自动重新索引，同时官方已加速触发全量 reindex。事故对依赖 Elasticsearch 的网页与部分 API 影响较大；不依赖 Elasticsearch 的接口——包括 GitHub CLI 命令 gh pr list 与 REST API /repos/{owner}/{repo}/pulls——不受影响，可作为期间获取 PR 数据的临时手段。 事故时间线如下：14:17 UTC 启动调查；15:58 UTC 团队采取"以正确性优先、避免进一步影响"的稳妥重建策略；21:43 UTC 通报 reindex 仍在进行；22:46 UTC 部分受影响仓库的 PR 列表通过临时缓解措施恢复可用；4 月 29 日 00:40 UTC 起进入 mitigation in progress 阶段，预计 24 小时内全量恢复受影响仓库的 PR 列表。该事故被官方分级为 Minor，但开发者侧反馈较为强烈——多名 Hacker News 用户报告 PR 列表完全不显示或缺失大量条目，部分依赖 PR 列表做 CI 检查或合规审计的工作流被阻塞。 GitHub Status | IsDown 事故页 | Hacker News 讨论 https://news.ycombinator.com/item?id=47939579

彭博社 4 月 29 日援引知情人士披露，中国已暂停发放所有自动驾驶车辆新牌照，导火索是 3 月 31 日百度旗下萝卜快跑（Apollo Go）的武汉车队突发大规模系统故障——超过 100 辆 Robotaxi 在武汉市内同时停在路上、乘客被困、交通受阻，引发监管层警觉。本月初工信部、公安部与交通运输部三部委召集已开展 Robotaxi 或自动驾驶试点的地方政府开会，要求各地完成全面自查并加强安全监控以防类似事件重演。新牌照暂停意味着自动驾驶企业无法新增车辆、启动新的测试项目，亦无法将业务扩展至新城市。百度在武汉的 Robotaxi 业务已被当地监管同步暂停以接受调查，三部委及百度均未对置评请求作出回应；小马智行（Pony AI）则确认其在北京、上海、广州、深圳的运营目前正常。 事件本身有几个值得关注的细节：当地警方调查初步指向"系统故障"，业内推测可能与车队级安全自检机制过度敏感导致集体停车有关——本质上是"宁可停下也不出错"的保护逻辑被规模化触发。这是监管层至少第二次因百度相关事件暂停发放新牌照。萝卜快跑目前仍是中国最大的 Robotaxi 服务商，覆盖十余城市、车队规模数百辆。该事件与美国 Waymo 此前出现的车辆集体停滞如出一辙，反映 L4 级自动驾驶在面对边缘场景时的共性挑战；但落到监管层面，中国此次反应更为强硬——直接全面暂停而非个案追责，意味着自动驾驶规模化扩张节奏将明显放缓，相关企业的牌照、车队、城市拓展三大核心增长指标短期均被冻结。 Bloomberg | Nikkei Asia | The Edge Malaysia | AlphaPilot https://asia.nikkei.com/business/automobiles/electric-vehicles/china-suspends-new-autonomous-driving-permits-after-baidu-incident https://theedgemalaysia.com/node/801738

GitHub.com 与 GitHub Enterprise Server 被披露存在高危远程代码执行漏洞 CVE-2026-3854（CVSS 8.7），Wiz 安全研究团队 3 月 4 日上报，GitHub 在 2 小时内向 GitHub.com 部署修复，Enterprise Server 修复版本为 3.14.25、3.15.20、3.16.16、3.17.13、3.18.8、3.19.4、3.20.0 及以上。漏洞根因是 git push 操作时用户提供的 push option 值未经过滤即被拼接进 GitHub 内部 X-Stat 头部，而该内部头部使用分号作为分隔符——同样可出现在用户输入中——攻击者由此能注入额外的元数据字段。Wiz 描述利用链由三段注入串成：先注入非生产环境的 rails_env 绕过沙箱，再注入 custom_hooks_dir 重定向 hook 目录，最后通过 repo_pre_receive_hooks 配合路径遍历以 git 用户身份执行任意命令。任何对仓库具备 push 权限的认证用户均可触发。 漏洞影响范围远超表面：在 GitHub.com 的多租户架构下，攻击者一旦在共享存储节点上获得代码执行，即可跨租户读取数百万仓库的内容，与组织或用户归属无关。Wiz 描述其"利用难度极低"，公开披露时仍有约 88% 的 Enterprise Server 实例处于易受攻击状态。GitHub.com 看似多了一道"Enterprise 模式标志为 false 时 custom hooks 路径不激活"的保护，但该标志同样通过 X-Stat 头部传递、可被同一注入手法覆写，因此 SaaS 实例同样可被攻陷。GitHub 首席信息安全官 Alexis Wales 在官方博客确认尚未发现该漏洞被恶意利用的证据，并强调该事件再次提醒"使用不同语言开发的多个内部服务通过共享内部协议传递数据时，每个服务对数据格式的隐含假设本身就是关键攻击面"。Wiz 建议所有运营多服务架构的团队系统性审计用户可控输入在内部协议中的流动路径，尤其是当安全相关配置直接派生自共享数据格式时。 The Hacker News | GitHub Blog | Wiz | SecurityWeek | NVD https://thehackernews.com/2026/04/researchers-discover-critical-github.html https://github.blog/security/securing-the-git-push-pipeline-responding-to-a-critical-remote-code-execution-vulnerability/ https://www.wiz.io/blog/github-rce-vulnerability-cve-2026-3854 https://www.securityweek.com/critical-github-vulnerability-exposed-millions-of-repositories/

路透社 4 月 28 日援引 SpaceX 注册声明摘录披露：SpaceX 董事会今年 1 月已批准马斯克的一份业绩薪酬方案，将授予最多 2 亿股超级投票权限制股，前提是公司市值达到 7.5 万亿美元、并在火星上建立至少容纳 100 万人的永久人类殖民地。同一份计划另含 6,040 万股限制股，授予条件为公司达到另一组估值门槛、并在太空运营至少 100 太瓦算力的数据中心——相当于 10 万座 1 吉瓦核反应堆同时运行的总功率。两项授予均为 Class B 超级投票股（每股 10 票，对应 Class A 每股 1 票），按公司估值分批解锁。马斯克若未达成既定目标则不获任何股份；目标本身没有固定截止日期，仅要求其继续在职。马斯克自 2019 年起在 SpaceX 仅领取 5.408 万美元的名义年薪，目前持有 6,880 万股 Class B 期权（行权价约 42 美元，2031 年到期）。 该方案曝光时点恰逢 SpaceX 筹备 IPO——路透此前报道 IPO 目标在马斯克 6 月 28 日生日前后启动，估值约 1.75 万亿美元，意味着 7.5 万亿美元的薪酬触发线相当于 IPO 估值的 4.3 倍。马斯克目前已是全球首富（福布斯估算净资产 7,760 亿美元），若再在特斯拉达成此前同样以业绩绑定的薪酬目标，财富可在 SpaceX 之外再翻一倍。公司治理专家对此表达关切：薪酬方案可能加剧外界对马斯克在 SpaceX、特斯拉等多家公司间精力分配的质疑；纽约时报上周亦披露 SpaceX 在 2018-2020 年间以低于市场利率向马斯克放贷约 5 亿美元，其用作为特斯拉、SolarCity 等关联公司的融资来源。受访治理专家 Yu 同时指出，“7.5 万亿美元的市值看似离谱，但确实有助于让投资者明白这家公司的真实目标”。 Reuters | BNN Bloomberg | Investor’s Business Daily | Investing.com https://www.bnnbloomberg.ca/business/2026/04/28/spacex-ties-musk-compensation-to-mars-colonization-goal/ https://www.investors.com/news/elon-musk-spacex-pay-data-center-starship-tesla-billionaire/

Anthropic 在 Claude Code 官方文档"成本管理"页面将企业部署的开发者平均开支预估从月初公布的 6 美元/活跃日上调至 13 美元/活跃日，同时维持月均 150-250 美元/开发者、90% 用户日均低于 30 美元的指引区间。改动由 EZPR CEO Ed Zitron 最先在 X 上发现，Business Insider 4 月 28 日报道证实，参照 4 月 16 日之前的网页存档可见原始数字为 6 美元/活跃日——意味着调整在过去两周内悄然完成、官方未发布任何独立公告。Token 是大模型处理文本的最小计费单位，Claude Code 按 API token 消耗计费，调整公开预估意味着 Anthropic 自身的内部部署遥测数据已显示开发者实际 token 消耗量超出此前估算一倍以上。 涨幅折射出 AI Agent 生产力工具的成本结构性挑战：Claude Code 主循环每轮重发完整消息历史、System Prompt 与工具 Schema，多 MCP 服务器叠加可在每轮产生 9 万 token 的纯开销；服务端 prompt cache 一小时即过期，午饭后回来"看似已加载"的会话往往被全量按未缓存输入价重计；Subagent 密集工作流会比单 Agent 增加 200-500% 的开销。该调整发生于 Anthropic 围绕 Claude Code 商业化模型的多项动作之中——上周 Pro 用户曾因 Pro 套餐定价页一度移除 Claude Code 而集体抗议（Anthropic 后承认在对 2% 新用户做 A/B 测试），Anthropic 同期与 Google、亚马逊签下合计超 650 亿美元算力承诺，意在缓解持续吃紧的推理产能。 Business Insider | Yahoo Finance | Claude Code Docs https://finance.yahoo.com/sectors/technology/articles/anthropic-quietly-doubles-estimate-much-220101627.html https://code.claude.com/docs/en/costs

DeepSeek 网页版近期向部分用户灰度推送新版交互，对话入口处显式呈现三种模式选择：快速模式（Fast）、专家模式（Expert）与识图模式（Vision），其中 Vision 模式带独立 logo，输入框内提示"使用识图模式开始对话"。这与 4 月 8 日 TechNode 援引早期测试界面截图的描述完全吻合，并将此前社区对"V4 Lite（Fast）+ V4（Expert）+ V4 Vision"三档拆分的猜测从传闻升级为已可见的事实。北京大学研究员 PKUCXK（陈晓康）4 月 28 日在 X 发帖暗示"DeepSeek vision coming"，r/LocalLLaMA 迅速跟进讨论，普遍认为这是 DeepSeek 在为多模态版本的正式公告做预热。 值得关注的是，DeepSeek V4 于 4 月 23 日发布并开源时仅支持纯文本，官方公告明确"正在为模型加入多模态能力"。据 36 氪旗下"AI 涌现"援引知情人士披露，多模态训练之所以未能与 V4 主版本同步交付，主因是算力与现金流约束——公司外部融资窗口于 4 月中旬刚刚开启，需要更多资金训练更大参数规模的模型并保留/招募顶尖人才。该报道亦援引澎湃新闻 4 月 28 日的盘点，称 DeepSeek 在基础大语言模型、Agent、OCR、多模态等方向均失去核心贡献者，分别被腾讯、字节跳动、小米、DeepRoute 等挖走。从灰度上线节奏判断，识图模式正式发布料在数日至数周内。 PKUCXK on X | Reddit r/LocalLLaMA | TechNode https://technode.com/2026/04/08/deepseek-v4-may-launch-this-month-test-interface-suggests-vision-and-expert-modes/

美国商务部上周向多家芯片设备公司发出"is-informed"告知函，要求停止向中国第二大芯片制造商华虹及其代工子公司华力微电子的特定设施供应工具与相关材料；据知情人士透露，应用材料（Applied Materials）、Lam Research 与 KLA 三家在华业务规模可观的美国设备巨头均在收信范围内。"is-informed"机制允许商务部绕过冗长的规则制定流程，对特定企业快速施加新许可证要求。消息发布当日，Lam Research 股价收跌 3.1%，KLA 跌 4.7%，应材跌 5.8%。三家公司均未立即回应；华虹与商务部亦未回应置评请求。 事件直接背景是路透社今年 3 月独家披露的内容：华虹集团已研发出可用于生产 AI 芯片的先进制造技术，旗下华力微电子在上海工厂正准备 7 纳米工艺产线——此前国内仅中芯国际（SMIC）具备 7nm 量产能力。本次禁运目标即针对美方判断"将生产中国最先进芯片"的两座华虹设施。商务部 2022 年曾以同类"is-informed"信函限制英伟达、AMD 向中国出口顶级 AI 芯片，并限制三家设备厂供货中国先进工厂——本次为该政策路径的延续。一名消息人士警告，受禁运冲击的设备厂"尤其是供应在建或正升级转产的工厂"可能因此损失数十亿美元营收。该禁令时点尤为敏感：特朗普原定 5 月在北京与习近平会晤，本次出招料将增加会前两国紧张程度。 Reuters | Yahoo Finance | Japan Times | Quartz https://finance.yahoo.com/sectors/technology/articles/exclusive-us-orders-chip-equipment-165310503.html https://www.japantimes.co.jp/business/2026/04/29/tech/us-companies-china-chipmaker-hua-hong/

Axios 4 月 29 日援引知情人士披露，白宫正在起草一份涉及政府使用 AI 的行政令草案，可能为各联邦机构绕过 Anthropic 此前被认定的"供应链风险"标签提供新路径，并允许其上线包括最新旗舰模型 Mythos 在内的产品——这是特朗普政府对一家此前被自己定义为"严重安全风险、必须从联邦政府彻底清除"的公司近乎 180 度的政策反转。一名消息人士将白宫此举形容为"为了挽回面子，再把他们请回来"。本月初，白宫幕僚长 Susie Wiles 与财政部长 Scott Bessent 已与 Anthropic CEO Dario Amodei 会晤，双方均称会面"富有成效"。本周白宫亦正在召集多行业企业进行"桌面演练"，对可能取代行政管理和预算局（OMB）此前"禁用 Anthropic"指令的新指引征求意见。 事件原点是 Anthropic 拒绝签署允许五角大楼将 Claude 用于"一切合法用途（all lawful purposes）“的协议，坚持禁止其用于大规模国内监控与全自主武器开发。五角大楼随即将其列为"供应链风险”——通常仅用于来自对手国家的厂商如华为。但实际上，政府对 Anthropic 模型的需求并未消退：Mythos 已部署于美国国家安全局（NSA），五角大楼自身也仍在使用 Claude（被深度集成于多个高敏感系统中），仅运行于双方均视为"过度受限"的旧版条款且无法获得最新更新。OpenAI 与 Google 此前均已签署"all lawful purposes"协议，两家虽自称仍坚守 Anthropic 划下的两条底线，但已成为五角大楼优先合作对象。即便供应链风险标签未来被撤销，核心争议仍未解决——一名知情人士警告，双方很可能"再次回到剑拔弩张的谈判桌前"。 Axios

Google 4 月 28 日发布博客纪念 Google Translate 上线 20 周年，公布一组运营数据：当前支持约 250 种语言、覆盖 60,000 余种语言对，覆盖全球 95% 人口；月度活跃用户超过 10 亿，每月通过 Translate、Search、Lens 与 Circle to Search 翻译的总文本约 1 万亿词——若一个人 24 小时不间断朗读需 12,000 年。回顾 20 年技术演进：2006 年 Translate 作为 Google 早期机器学习实验之一上线，依赖统计机器翻译；2016 年率先转向神经网络（基于 Sequence-to-Sequence 模型与初代 TPU 硬件）；当前一代基于 Gemini 模型与最新 TPU 硬件，专项处理俚语、习语与本地化语境。 新发布最受用户期待的"发音练习"功能：在 Android 版 Translate App 中可对用户语音做实时 AI 反馈，目前在美国、印度上线，支持英语、西班牙语与印地语。其余值得关注的产品/数据点包括：Live experiences 已支持任何耳机做实时同声传译，超三分之一的 Live translate 会话时长超过 5 分钟（典型场景：求职面试、跨语言家人通话、文化交流）；最常翻译的语言对是英→西班牙语，紧随其后是英→印尼语、葡萄牙语、阿拉伯语、土耳其语，以及英→印地语、孟加拉语、马拉雅拉姆语三种印度语言；约三分之一的移动端用户用其学语言，“Practice"功能近半数周活用户用于口语练习；最常下载离线包的语言为英语、阿拉伯语、西班牙语、法语、日语、德语、印地语、中文、俄语、意大利语；Search 中"美国手语翻译"搜索热度近五年创历史新高，AI Mode 中"将文本翻译为 emoji"的请求量也在快速上升。20 年间最常被翻译的短语始终如一——“Thank you”，紧随其后是"How are you”、“I love you”、“Hello"与"Please”。 Google Blog https://blog.google/products-and-platforms/products/translate/fun-facts-google-translate-20-years/

美国国务院 4 月 28 日宣布，将于今年夏天起发行印有特朗普总统头像的特别版美国护照，作为纪念美国独立 250 周年的限量产品。据国务院官员披露，该版本护照在华盛顿特区护照局亲自办理续签时将作为"默认护照"签发；通过线上申请或在其他地点办理的申请人仍获发现行设计版本。根据国务院公布的样张，护照内封面将印有特朗普的头像与金色签名，背封面则是 John Trumbull 所绘《独立宣言》画作的图像——取代现行版本中描绘 Francis Scott Key 在麦克亨利堡战役次日清晨的画作及美国国歌歌词。国务院发言人 Tommy Pigott 称该版本"在保留美国护照作为全球最安全身份证件的全部安全特征的同时"加入定制化艺术与增强图像设计。 不同于此前推出的纪念币与国家公园通行证，美国护照是国际通行的身份证件、有效期通常长达 10 年——意味着此版本一旦发行，特朗普头像将随持有者出入境每个国家长达十年。这是特朗普形象出现在美国 250 周年纪念物品中迄今分量最重的一例：去年内政部已发布印有特朗普与华盛顿头像的"美国美景"国家公园通票（被起诉中），上月特朗普亲自任命的美术委员会通过了印有其头像的 250 周年纪念币方案；2025 年其名字被冠于肯尼迪表演艺术中心与美国和平研究所。本次护照具体发行数量未披露。该版本由 The Bulwark 首先报道、Fox News 首先公开样张。 CNN | The Bulwark | Fox News https://www.cnn.com/2026/04/28/politics/us-trump-passport https://www.thebulwark.com/p/exclusive-state-dept-finalizing-plan https://www.foxnews.com/politics/exclusive-state-department-introduces-new-us-passports-celebrating-america250

NVIDIA 于 4 月 28 日发布并开源 Nemotron 3 Nano Omni——一款 30B 总参数 / 3B 激活的混合 MoE 全模态推理模型，统一视觉、音频与语言三类输入（可处理文本、图像、音频、视频、文档、图表与图形界面，输出为文本），原生支持 256K 上下文。模型定位为 Agent 系统中"感知子 Agent"的角色，与同家族的 Nemotron 3 Super（高频执行）、Nemotron 3 Ultra（复杂规划）以及第三方专有模型协同。NVIDIA 称其在六个公开榜单上居于复杂文档智能、视频与音频理解任务首位，吞吐量比相同交互性下的其他开源全模态模型高 9 倍——核心收益来自把视觉与音频编码器内置进同一 MoE 架构、消除 Agent 系统中跨模型反复推理的延迟与上下文割裂。 模型已上线 Hugging Face、OpenRouter、build.nvidia.com 及 25+ 合作平台，权重、训练数据集与训练方法全部开放。三个明确目标场景：电脑使用 Agent（Holotron3 等已基于该模型在 1920×1080 原生分辨率下处理屏幕录制，OSWorld 评测有显著提升）、文档智能（跨视觉结构与文本内容统一推理 PDF、表格、截图等）、音视频理解（将"说了什么/展示了什么/记录了什么"绑定到单一推理流）。已采用方包括 Foxconn、Palantir、H Company、Aible、Eka Care、Pyler、ASI 等；Dell、Docusign、Infosys、Oracle、Zefr 等正在评估中。Nemotron 3 系列（Nano、Super、Ultra）过去一年累计下载量已超 5000 万次，Omni 是该家族首次扩展至全模态与 Agent 域；模型支持从 NVIDIA Jetson、DGX Spark、DGX Station 至数据中心与云端的全栈部署，可作为 NIM 微服务调用。 NVIDIA Blog | NVIDIA Developer Blog | HuggingFace https://blogs.nvidia.com/blog/nemotron-3-nano-omni-multimodal-ai-agents/ https://developer.nvidia.com/blog/nvidia-nemotron-3-nano-omni-powers-multimodal-agent-reasoning-in-a-single-efficient-open-model https://huggingface.co/nvidia/Nemotron-3-Nano-Omni-30B-A3B-Reasoning-BF16

终端工具 Warp 在 GitHub 仓库 README 中正式将定位由"现代终端"调整为"为多 AI Agent 协作而生的 Agentic Development Environment"。该仓库目前 26.4k star、4.3k 公开 issue（仅作为 issue 跟踪，源码尚未开源）。Warp 团队在更新中将自身要解决的问题概括为两条：传统终端跟不上当下开发者的工作方式；现有 Agent 开发工具难以脱离笔记本电脑、形成可扩展的自动化能力。新 Warp 在客户端层面保留现代化 UI 与代码编辑能力，内置 SOTA 级别 Agent “Oz” 作为默认助手，同时支持直接调用 Claude Code、Codex、Gemini CLI 等第三方 CLI Agent。 新引入的 Oz 被定位为"云端 Agent 编排平台"，可同时启动数量不受限制的并行 Coding Agent，所有 Agent 均"可编程、可审计、可被人类完全引导"，目标场景是把重复任务自动化、把工程能力本身做成可被部署的 Agent，并在云端并行运行——典型用例如同时跑 N 个修 bug Agent、批量重构、或多任务比对生成方案。开源策略方面，Warp 团队明确仍在评估中：计划首先开源底层的 Rust UI 框架，随后考虑开源客户端的部分乃至全部代码，但服务端将"暂时保持闭源"；扩展点（主题、Workflows）已陆续开放贡献。Warp 维持每周四左右一次的更新节奏。 GitHub - warpdotdev/Warp | Warp Blog: How Warp Works https://github.com/warpdotdev/warp https://www.warp.dev/blog/how-warp-works AI,Agent,Warp,终端,开发者工具

LiteLLM 是 GitHub 22,000+ star 的开源 LLM 网关，被广泛用作 OpenAI、Anthropic、Bedrock 等模型提供商的统一前端。漏洞 CVE-2026-42208（GHSA-r75f-5x8p-qvmc）是一个预身份验证 SQL 注入：受影响版本（≥ 1.81.16，< 1.83.7）将 Authorization: Bearer 头部值未经参数化绑定即拼接进对 LiteLLM_VerificationToken 表的 SELECT 查询，任何能触达 LiteLLM 代理 4000 端口的攻击者都能在无凭据情况下对其 PostgreSQL 后端执行任意 SELECT 语句。漏洞先于 4 月 20 日 21:14 UTC 在 LiteLLM 仓库安全标签下发布，4 月 24 日 16:17 UTC 被全局 GitHub Advisory Database 收录；修复版本 v1.83.7 已用参数化查询替换原拼接逻辑。 Sysdig 威胁研究团队（TRT）观察到首次利用尝试出现在通告进入全局数据库后 36 小时 7 分钟。攻击轨迹显示攻击者并非常见的 SQLmap 通用扫描，而是经过精心定制的定向枚举：源 IP 65.111.27.132（德国 AS200373，3xK Tech GmbH）于 4 月 26 日 04:24 UTC 起以 17 个 UNION 载荷连续打击三张最高价值的表——LiteLLM_VerificationToken（虚拟 API 密钥与主密钥）、litellm_credentials（上游 OpenAI/Anthropic/Bedrock 凭据）、litellm_config（含 Postgres DSN、主密钥、回调 webhook 与缓存配置的环境变量），完全跳过 litellm_users 等无关表。攻击者明显事先阅读了 LiteLLM 的 Prisma schema：先用小写表名失败后立即切换至 PascalCase 引号形式，并以 1/2/3/5/6 列的标准列数枚举法快速锁定查询结构。21 分钟后同 /22 子网内第二个 IP 65.111.25.67 在 25 秒内重发一遍精炼载荷集，并以 OR 1=1-- 与对 /key/generate、/key/info 的未授权探测收尾——典型的自动化 harness 耗尽 payload 后的退化行为。Sysdig 未观察到后续认证调用，但提示所有曾在窗口期暴露公网的 LiteLLM 实例应视同已被入侵：立即升级至 v1.83.7、轮换全部虚拟密钥与上游提供商凭据、审计 /chat/completions 异常 IP 的费用账单。事件再次说明 AI 网关已成为云级凭据的聚合面，单次 SQL 注入的爆炸半径接近"云账号沦陷"。 CVE Record | Sysdig | GitHub Advisory | LiteLLM v1.83.7 https://webflow.sysdig.com/blog/cve-2026-42208-targeted-sql-injection-against-litellms-authentication-path-discovered-36-hours-following-vulnerability-disclosure https://github.com/advisories/GHSA-r75f-5x8p-qvmc https://github.com/BerriAI/litellm/releases/tag/v1.83.7-stable

阿里 Qwen 团队开源高性能线性注意力内核库 FlashQLA，基于 TileLang 构建，针对 Gated DeltaNet（GDN）Chunked Prefill 的前向与反向算子做了深度融合与优化。在 NVIDIA Hopper 架构（SM90 及以上）多个场景下，相较此前主流的 FLA Triton 内核实现 2-3 倍前向加速、2 倍反向加速，预训练与端侧 Agent 推理场景下加速比尤为明显。基准测试覆盖 Qwen3.5 / Qwen3.6 系列实际使用的 head 配置（h_k,v ∈ {64, 48, 32, 24, 16, 8}，对应 TP1 至 TP8），对比基线为 FLA 0.5.0、Triton 3.5.1、FlashInfer 0.6.9 与 TileLang 0.1.8。 技术上 FlashQLA 主打三项优化：一是利用 GDN gate 的指数衰减特性，在 TP、长序列、小 head 数等场景下自动开启卡内 Context Parallel（intra-card CP），提升 GPU SM 利用率；二是对前向与反向做硬件友好的代数重写，在不损失数值精度的前提下显著降低 Tensor Core、CUDA Core 与 SFU 开销；三是采用 TileLang 构建多个融合 warp-specialized 内核，手动实现 warpgroup 特化以重叠数据搬运、Tensor Core 与 CUDA Core 计算——既不像传统实现那样拆分为多个独立 kernel，也不强求把整个流程压进单一 kernel。要求 SM90 及以上、CUDA 12.8、PyTorch 2.8，已采用 MIT 许可证开源。仓库目前 49 star、2 fork。 GitHub - QwenLM/FlashQLA | Qwen Blog https://github.com/QwenLM/FlashQLA https://qwen.ai/blog?id=flashqla

The Information 4 月 28 日援引知情人士披露，Google 已与美国国防部签署一份机密 AI 合作协议，允许五角大楼将 Google AI 模型用于"任何合法政府用途（any lawful government purpose）"。该协议措辞与今年 2 月被国防部以"供应链风险"为由除名的 Anthropic 提出的伦理限制条件形成鲜明对比——后者要求禁止将其 AI 用于国内大规模监控或无人在环的自主武器，并因坚持该底线被取消供应资格。Google 此次协议不包含同类限制条款，至此五角大楼已完成与 OpenAI、xAI、Google 三家头部 AI 公司的机密合作签约。 签约前 24 小时，超过 600 名 Google DeepMind 与 Cloud 部门员工联署致信 CEO Sundar Pichai，要求拒绝任何分类工作场景下的 AI 部署。公开信指出"这些系统会集中权力、也会犯错……我们与该技术的接近性赋予了我们指出并阻止其最不道德、最危险用途的责任"，并强调"唯一能保证 Google 不与此类危害产生关联的方式，是拒绝任何机密工作负载"。Google 首席科学家 Jeff Dean 此前亦在 X 公开表态"大规模监控违反第四修正案、对言论自由产生寒蝉效应"。背景上，Google 已于 2025 年 2 月从其 AI 准则中删除"不用于武器或违反国际规范的监控"条款，2025 年 12 月起 Pentagon 的 GenAI.mil 平台基于 Gemini 向全部国防人员开放非机密用途，2026 年 3 月又向 300 万名国防部职员部署了 8 款 Gemini 预设 Agent。2026 财年国防 AI 与自主预算 134 亿美元，2027 财年提案中"国防自主作战集团"单项预算同比上调 24,000 倍至 546 亿美元——这是 2018 年 Project Maven 抗议（4000 人联署、十余名工程师辞职即推翻数百万美元合同）至今再无相同效果的根本原因。 The Information | Washington Post | The Hill | TNW https://thehill.com/policy/technology/5851425-google-employees-oppose-pentagon-ai-deal/ https://thenextweb.com/news/google-employees-classified-military-ai-pentagon

教育部 4 月 28 日发布《普通高等学校本科专业目录（2026 年）》。新版目录在"交叉学科"门类中首批列入 15 种专业——包括未来机器人、交叉工程等 11 种已有目录内专业，及具身智能、脑机科学与技术等 4 种新专业，旨在推进本科与研究生教育学科目录的上下贯通，更好适应新兴交叉学科与复合型人才培养。本科专业目录现共涵盖 13 个门类、92 个专业类、883 种专业。教育部进一步完善战略急需专业超常设置机制，支持哈尔滨工业大学、北京航空航天大学等 9 所高校增设具身智能新专业，推动新一代人工智能与实体经济深度融合。 数据上，"十四五"期间全国高校新增本科专业布点 1.02 万个，撤销或停招 1.22 万个，累计调整比例超 30%，今年全国高校专业调整比例首次突破 10%。新增专业按方向分布：精准对接国家战略需求增设能源科学与工程、深地科学与工程等；服务传统产业优化升级增设交通能源融合工程、农业机器人等；推动新兴与未来产业增设生物制造、脑机科学与技术等；立足服务业扩能提质增设数字文旅、商业人工智能等；聚焦智能经济新形态增设数字贸易、数字金融等。区域层面，黑龙江、浙江、重庆等 8 省市已开展专业设置与区域发展匹配度提升试点，打造特色优势专业集群 247 个，全国各省份累计发布覆盖 473 种专业的急需专业清单与专业预警清单。 教育部新闻 | 教育部关于公布《普通高等学校本科专业目录（2026 年）》的通知

YouTube 4 月 27 日为美国 18 岁及以上 Premium 订阅用户上线对话式 AI 搜索功能 Ask YouTube。开启后，搜索栏右侧将出现 “Ask YouTube” 按钮，点击后呈现一组类似与好友闲聊的建议提示——例如"小象玩耍的搞笑片段"“排球规则简介”“阿波罗 11 号登月简史”。Ask YouTube 的回应不再是单一视频列表，而是混合了 AI 生成的文字摘要、要点列表、长视频与 Shorts 的"打包式"答案；结尾会附上若干追问建议（如"阿波罗 11 号宇航员是谁"“阿波罗 11 号阴谋论”）以及一个继续追问的输入框，整体形态接近 Google 已在搜索中铺设的 AI Mode 与 AI Overviews。 值得关注的背景：YouTube CEO Neal Mohan 此前披露，2025 年 12 月已有超过 2000 万月活用户使用观看时同步的 Ask 工具向视频提问；Search Engine Land 2026 年分析显示 YouTube 占据 Google AI Overviews 全部引用的 29.5%，是其他视频平台总和的 200 倍。Ask YouTube 上线后，AI 摘要可能在用户尚未点开任何视频前即满足查询需求，与 YouTube 去年 315 亿美元广告收入所依赖的"观看时长 + 前贴片"模式存在天然张力——AI 改变发现链路的同时，也直接动摇广告库存的定价基础。Google 将该功能标注为"实验"，保留随时撤回的余地，但从 AI Mode 与 AI Overviews 的已有路径判断，"实验"成为常驻功能的概率不低。 The Verge | TechBuzz AI | Startup Fortune https://www.theverge.com/streaming/919441/google-ask-youtube-ai-chatbot-search https://www.techbuzz.ai/articles/google-is-testing-ai-chatbot-search-for-youtube