每日科技播客 2026-04-08

芊悦：嘿！大家好，欢迎收听《科技早知道》，我是芊悦～今天是4月8号，周三。

萌萌：我是萌萌！今天有条消息我看完直接坐不住了——朝鲜黑客居然劫持了一个超级常用的开源项目，供应链攻击玩得明明白白。还有还有，SpaceX偷偷交了IPO申请？今天料太多了，咱们赶紧聊！

芊悦：对，先从这个供应链攻击说起。TechCrunch报道说，朝鲜黑客组织花了好几周时间精心策划，成功劫持了Web上最常用的开源项目之一。不是那种随手搞搞的脚本小子，是国家级的持续渗透。

萌萌：等等等等，“最常用的”？那范围也太吓人了吧！你想想npm上那些每周几亿下载量的包，随便动一个都是核弹级的影响。到底是哪个项目啊？

芊悦：具体名字报道里没完全公开，但你可以这样理解——现在的软件开发就像做蛋糕，大家都从同一个面粉厂买原料。黑客做的事情就是在面粉厂里悄悄往面粉里掺了东西，所有用这个面粉做出来的蛋糕都有问题。

萌萌：这个比喻太恐怖了！而且你还不知道自己的蛋糕有问题，因为面粉看起来完全正常。我觉得供应链攻击最可怕的地方就是这个——你根本意识不到自己已经被渗透了。

芊悦：没错。而且这次是花了好几周潜伏进去的，说明国家级黑客已经把开源生态当成正经的网络战战场了。以前大家觉得开源意味着透明和安全，但现在——

萌萌：——我不太同意”正经战场”这个说法哈。我觉得更像是暗战。战场是双方都知道在打仗，但供应链攻击是你完全不知道自己在战场上。这才是最要命的。

芊悦：嗯你这个角度确实更准确。不过话说回来，Anthropic今天正好发布了一个叫Project Glasswing的项目，在HN上拿了799分，专门为AI时代设计的关键软件基础设施保护方案。

萌萌：哇塞，时机也太巧了吧？朝鲜那边刚搞完供应链攻击，Anthropic这边就推安全防护？这是不是说明业界终于意识到光靠开发者自觉review代码根本不够了？

芊悦：我觉得是的。你想啊，现在AI辅助写代码越来越普遍，代码产出量爆炸式增长，但人工审查的速度完全跟不上。Glasswing的思路就是用AI来守AI时代的门，以毒攻毒。

萌萌：用魔法打败魔法，我喜欢这个思路！不过说实话我有点担心啊，万一保护工具本身也被攻破了呢？这不就是无限套娃嘛——谁来保护保护者？

芊悦：哈哈哈套娃安全学，这个概念可以去申请专利了。不过Anthropic同时还发了Claude Mythos Preview的系统卡，HN上494分，大家都在讨论这个模型的网络安全能力到底有多强。

萌萌：所以Anthropic这波是攻防一起搞？一边出最强模型，一边出安全框架，直接闭环了属于是。不得不说这个商业策略挺聪明的。

芊悦：确实。哎说到安全，Cloudflare也放了个大招——发布后量子密码学路线图，目标2029年实现全面后量子安全。

萌萌：2029年？才三年啊！量子计算机真的这么快就要来了吗？我怎么觉得量子计算一直都是”还要五年”的状态。

芊悦：怎么说呢，不是说量子计算机马上要破解现有加密，而是加密体系的迁移本身就需要好几年。就好比你家要换防盗门，你得提前选门、找安装师傅、挑个黄道吉日，总不能等小偷站门口了才去换吧。

萌萌：好吧好吧，防患于未然我懂。而且Cloudflare这种基础设施公司要是不提前准备，到时候整个互联网都得裸奔。那我们换个话题——SpaceX居然秘密提交IPO了？

芊悦：The Verge报的，秘密提交了IPO文件，但对财务数字完全保密。马斯克这人啊，连上市都要搞得跟发射火箭一样神秘兮兮的。

萌萌：不是吧！SpaceX要是真上市了，那估值得是什么天文数字？之前私募轮不是已经超过三千亿美元了吗？

芊悦：对，上市的话只会更高。但我觉得吧，秘密提交不一定代表马上要上市，也可能是在试水温，看看市场反应。

萌萌：——等等我算了一下，三千亿美元比全球大多数国家的GDP都高诶！一家火箭公司的估值超过一个国家，这个世界真是越来越魔幻了。

芊悦：你这个对比确实挺震撼的。好，咱们聊聊GitHub上的热门项目。GitNexus一天涨了1174星，零服务器的代码智能引擎，直接在浏览器里构建代码知识图谱加Graph RAG Agent。

萌萌：翻译成人话就是：不用部署任何服务器，打开浏览器就能让AI读懂你整个代码库，然后你可以跟它聊天问问题？这也太方便了吧。

芊悦：对，而且Google也开源了一个Agent编排测试平台叫Scion，方便测试多Agent协作。你看现在大厂小厂都在往Agent方向卷。

萌萌：Agent这个词今年真是听到耳朵起茧了。不过我真心觉得，能跑在本地、不依赖云的工具才是未来。Shopify创始人Tobi做的qmd就是这样，一个迷你CLI搜索引擎，专门搜本地文档和笔记。大佬亲自下场做小工具，说明这个方向是真的有刚需。

萌萌：你知道吗，我觉得这反映了一个很明显的趋势——大家开始厌倦什么东西都往云上扔了。本地优先、离线优先正在强势回潮！你看连Google都出了个离线优先的AI听写应用。

芊悦：确实，Google这个离线听写App挺意外的。但更意外的是它居然先上了iOS不是安卓，是不是安卓自带的语音输入已经够好了？

萌萌：笑死，Google家的应用先上苹果平台，总感觉Google在跟自己的生态打架。好，快速过几条——OpenAI发了个政策白皮书，提出AI经济愿景，包括公共财富基金、机器人税、还有四天工作制。

萌萌：四天工作制我举双手赞成！但机器人税嘛……我觉得这事儿说说容易，真要落地各国政府得吵上十年。而且谁来定义”机器人”？用了AI自动化算不算？

芊悦：这就是典型的愿景很美好、执行全是坑。不过至少有人在认真思考AI对就业市场的冲击了，总比假装问题不存在强。

芊悦：树莓派涨价了，受关税和供应链影响，The Verge还特意强调这不是愚人节玩笑。

萌萌：创客们的钱包在哭泣。还有个超可爱的——有人用水泥做了个笔记本电脑支架，粗野主义风格，HN上685分！

芊悦：那玩意儿得有多重啊，搬家的时候是不是得请搬家公司单独算一笔？Dev.to上还有篇文章特别火，叫”你正在过度工程化的9件事——浏览器早就帮你解决了”。说的是语音输入、空闲任务调度这些，浏览器原生API就能搞定，别动不动就引一堆库。

萌萌：这个太real了！很多开发者确实有”引库强迫症”，能npm install就绝不自己写。对了还有个Hasbro数据泄露——孩之宝披露了”未授权访问”安全事件。

芊悦：连玩具公司都不安全了，今天真是安全话题扎堆。还有篇Dev.to的文章讲程序员久坐的身体代价，标题叫”Trading My Body for Logic”，引发了很多人共鸣。最后说一个让我特别感慨的——阿波罗11号制导计算机代码里发现了一个隐藏57年的bug。

萌萌：57年！那可是登月的代码啊！带着bug飞上月球还安全回来了？这到底是代码写得烂还是航天工程的冗余设计太牛了？

芊悦：当然是后者。一个bug没被触发，可能只是因为那个特定的边界条件在实际飞行中从未出现过。但你想想，它就一直静静地待在那里，57年。

萌萌：这就像你家地下室藏了个定时炸弹，但电池一直没电所以从来没爆过——安全是安全了，但细想一下后背发凉啊。

芊悦：好啦，今天的科技早知道就到这里～今天最核心的感受就是：无论是朝鲜的供应链攻击、Anthropic的Glasswing、还是Cloudflare的后量子路线图，安全问题正在成为AI时代的绝对头号议题。谁先建好数字护城河，谁就赢了下一个十年。

萌萌：说得太好了！记得关注我们，每天5分钟，掌握科技圈大小事！我们明天见～