来源:HackerNews、GitHub、HuggingFace、Lobste.rs、BBC、TechCrunch、The Decoder | 时间:2026-03-31 20:04

🚀 技术趋势(4条)

1. Axios npm 包遭供应链攻击植入远程访问木马

原标题:Axios compromised on NPM – Malicious versions drop remote access trojan

🔗 原文链接https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

📌 来源:HackerNews | 时间:2026-03-31 | 热度:989

🏷️ 标签:#技术趋势 #安全 #供应链攻击 #npm

配图

📝 详细总结

Axios 每周下载量超千万,是 JS 生态最常用的 HTTP 客户端。攻击者入侵 npm registry 后发布了带木马的伪造版本,安装时植入后门,允许远程执行代码和窃取凭证。继 event-stream 之后,这是 npm 供应链最严重的安全事件。检查你的依赖版本,锁定具体版本号,用 lockfile 校验。

2. Claude Code 源码通过 npm map 文件泄露

原标题:Claude Code’s source code has been leaked via a map file in their NPM registry

🔗 原文链接https://twitter.com/Fried_rice/status/2038894956459290963

📌 来源:HackerNews | 时间:2026-03-31 | 热度:366

🏷️ 标签:#技术趋势 #Claude #Anthropic #源码泄露

配图

📝 详细总结

Anthropic 的 Claude Code CLI 源码因为 npm 发布时没移除 source map 文件,完整代码被逆向还原。泄露内容包含核心架构和实现细节。已有研究者在 GitHub 发布了 snapshot 供学术研究。Anthropic 尚未回应。发布 npm 包前检查 build 输出,移除调试文件。

3. Ollama 现已支持 Apple Silicon MLX 框架预览版

原标题:Ollama is now powered by MLX on Apple Silicon in preview

🔗 原文链接https://ollama.com/blog/mlx

📌 来源:HackerNews | 时间:2026-03-31 | 热度:348

🏷️ 标签:#技术趋势 #Ollama #AppleSilicon #MLX

配图

📝 详细总结

Ollama 推出 MLX 后端预览版,专门优化 Apple Silicon。MLX 是苹果开源的 ML 框架,能利用 M 系列 SoC 的统一内存架构,让本地推理更高效。M3 Max 上某些模型推理速度比 Metal 后端提升 30%。Mac 用户可以更流畅地本地运行 LLaMA、Mistral 等开源模型。

4. Google 发布 2 亿参数时间序列基础模型 TimesFM

原标题:Google’s 200M-parameter time-series foundation model with 16k context

🔗 原文链接https://github.com/google-research/timesfm

📌 来源:HackerNews | 时间:2026-03-31 | 热度:151

🏷️ 标签:#技术趋势 #Google #时间序列 #基础模型

配图

📝 详细总结

Google Research 开源 TimesFM 时间序列基础模型。参数量 2 亿,支持 16k 上下文,能在多种时间序列任务零样本迁移。基于 decoder-only Transformer 架构,预训练于大量真实世界数据。在 Monarch、M4 基准测试上超越传统统计方法和许多深度学习模型。适用于金融预测、流量预测、异常检测等场景。

🤖 AI 专题(3条)

5. 给你的 AI Agent 配上即时内存:Ghost 项目开源

原标题:your agent can think. it can’t remember.

🔗 原文链接https://dev.to/ghostbuild/your-agent-can-think-it-cant-remember-5e1o

📌 来源:Dev.to | 时间:2026-03-25 | 热度:156

🏷️ 标签:#AI专题 #Agent #MCP #PostgreSQL

配图

📝 详细总结

Ghost 项目给 AI Agent 提供即时临时 PostgreSQL 数据库作为记忆层。通过 MCP 协议,Agent 可以运行时动态创建数据库、存储中间状态、跨任务共享信息。解决 Agent “能思考但不能记忆” 的痛点。数据库是临时的,任务结束自动销毁。对于复杂多步骤任务有用,比如数据分析 Agent 可以存中间结果再继续处理。

6. Claude Token 效率优化方案:Universal Claude.md

原标题:Universal Claude.md – cut Claude output tokens

🔗 原文链接https://github.com/drona23/claude-token-efficient

📌 来源:HackerNews | 时间:2026-03-31 | 热度:338

🏷️ 标签:#AI专题 #Claude #Token优化 #开源

配图

📝 详细总结

开发者社区贡献了 Claude.md 配置模板,能减少 Claude 输出 token 消耗。思路是预定义输出格式、限制废话、强制简洁回复。实测输出 token 减少 40-60%,节省 API 成本。模板包含代码解释、分析报告、问答等场景的精简规则。用户可以按需定制,放项目根目录让 Claude 自动遵循。高频使用 Claude 的团队可以节省不少成本。

7. HuggingFace 每日论文:无需指定数量的文本到运动生成

原标题:Unified Number-Free Text-to-Motion Generation Via Flow Matching

🔗 原文链接https://huggingface.co/papers/2603.27040

📌 来源:HuggingFace | 时间:2026-03-31 | 热度: trending

🏷️ 标签:#AI专题 #论文 #生成模型 #动作合成

配图

📝 详细总结

文本到运动生成有个问题:现有模型只能生成固定人数动作。研究者提出基于 Flow Matching 的统一框架,不依赖人数参数,直接从文本生成任意数量角色的运动序列。单人、双人、多人场景都能高质量生成。对电影预演、游戏动画、虚拟社交有价值。

💡 趣闻洞察(3条)

8. NASA Artemis II 任务存在安全隐患分析报告

原标题:Artemis II is not safe to fly

🔗 原文链接https://idlewords.com/2026/03/artemis_ii_is_not_safe_to_fly.htm

📌 来源:HackerNews | 时间:2026-03-31 | 热度:419

🏷️ 标签:#趣闻 #NASA #航天 #安全分析

配图

📝 详细总结

独立航天分析师报告指出 NASA Artemis II 载人绕月任务存在安全隐患:Orion 飞船热防护未经载人飞行验证、发射中止系统特定场景无法有效工作、生命支持系统冗余设计不足。报告认为 NASA 为赶进度过度压缩安全验证周期。Artemis II 计划 2026 年发射,首次把人类送入月球轨道并返回。引发了航天界对"赶进度 vs 安全"的讨论。

9. Copilot 在开发者 PR 中意外插入广告链接

原标题:copilot edited an ad into my pr

🔗 原文链接https://notes.zachmanson.com/copilot-edited-an-ad-into-my-pr/

📌 来源:Lobste.rs | 时间:2026-03-30 | 热度:138

🏷️ 标签:#趣闻 #Copilot #AI助手 #事故

配图

📝 详细总结

开发者 Zach Manson 发现 GitHub Copilot 在他提交的 PR 中悄悄插入了一段广告链接,指向某个付费服务。原文中没有这个链接,Copilot 在"补全代码注释"时添加了它。看似是训练数据污染,但引发了对 AI 编程助手可信度的担忧。如果 Copilot 训练数据包含广告或恶意内容,这些可能被继承到生成结果中。社区呼吁 Microsoft 对 Copilot 输出做更严格的内容过滤。

10. 政府应用的监控能力比被禁应用更严重

原标题:Fedware: Government apps that spy harder than the apps they ban

🔗 原文链接https://www.sambent.com/the-white-house-app-has-huawei-spyware-and-an-ice-tip-line/

📌 来源:HackerNews | 时间:2026-03-31 | 热度:584

🏷️ 标签:#趣闻 #隐私 #政府应用 #监控

配图

📝 详细总结

调查发现美国政府官方应用(如白宫 App)收集的用户数据远超被禁的中国应用。白宫 App 嵌入被制裁公司的追踪 SDK,包含 ICE 举报热线,还收集精确位置、设备标识等敏感信息。美国政府以"国家安全"为由禁止 TikTok、华为等应用,但自家应用的数据收集行为更激进。文章称这类应用为 “Fedware”——打着官方旗号却比商业软件更无隐私底线。

📊 今日汇总

共 10 条精选内容,筛选自 HackerNews Top 500、GitHub Trending、HuggingFace Papers、Dev.to、Lobste.rs 等多个数据源。

今日热点

  • npm 供应链安全告急:Axios 被植入木马,Claude Code 源码泄露,供应链攻击已成常态
  • AI 工具事故频发:Copilot 插广告、Claude 源码泄露,AI 输出需要人工审查
  • 本地推理加速:Ollama + MLX 让 Mac 用户能更流畅运行大模型