欢迎阅读 OSCHINA 编辑部出品的开源日报——您探索和理解开源世界的日常指南。在这里，我们每天从宏观到微观，全面展现开源技术和文化的动态图景。

每日一更，风雨无阻。

# 2024.5.28Today Summary

01 Istio 七周岁

02 浪潮信息发布 “源 2.0-M32” 开源大模型

03 比尔盖茨说得很对！中国芯迎重大突破，倪光南果然有远见

04 详解 SaaS 的 PLG 模式

05 AI 搜索的诸神之战

06《全球软件供应链发展报告》发布

07 CIO 指南：采用开源生成式 AI 需要注意的十件事

08 马斯克和 “AI 教父” 激情对线

09 AI 出大招，苹果要出奇制胜

10 美国大模型出口限制法案再进一步

OpenSource Daily

Istio 七周岁

Istio 是一个由谷歌、IBM 和 Lyft 的团队于 2016 年开始合作开发的开源项目，在 2017 年正式推出；它是一个大型微服务系统管理工具，旨在提供一种统一化的微服务连接、安全保障、管理与监控方式；基于 Lyft 的 Envoy 项目构建。

国产开源 Sora 上新：全面支持国产 AI 算力，

可用 ReVideo 视频编辑

北大 - 兔展联合发起的 Sora 开源复现计划 Open-Sora-Plan，今起可以生成最长约 21 秒的视频了！该说不说，版本迭代速度还挺快 —— 上个月，Open-Sora-Plan 就在开源社区上新过一波。当时能支持单镜头 16 秒的视频生成，分辨率最高 720p，能满足的生成需求也比较多样。

这次版本更新，背后主要是两个方面有了进步：

• 采用了更高质量视觉数据与 caption
• 优化了 CausalVideoVAE 的结构

团队还表示，Open-Sora-Plan 已经支持使用国产 AI 计算系统（华为昇腾，期待更多国产算力芯片）进行完整的训练和推理。

浪潮信息发布 “源 2.0-M32” 开源大模型

浪潮信息发布了 “源 2.0-M32” 开源大模型。该模型在源 2.0 系列大模型基础上，采用了 “基于注意力机制的门控网络” 技术，构建包含 32 个专家的混合专家模型（MoE），并大幅提升模型算力效率。M32 凭借特别优化设计的模型架构，在仅激活 37 亿参数的情况下，取得了和 700 亿参数 LLaMA3 相当的性能水平，所消耗算力仅为 LLaMA3 的 1/19。

今日观察社交观察

比尔盖茨说得很对！中国芯迎重大突破，倪光南果然有远见

美国修改芯片规则限制华为等中企发展，中国芯片产业需突破尖端光刻机设备。芯片架构作为关键，X86 和 ARM 架构主导市场但面临被美控制风险。中国聚焦 RISC-V 架构研发，取得显著成果打破技术垄断，预示中国芯片产业将迎来辉煌未来。

-百家晓科技

马斯克 xAI 估值 240 亿美元，LeCun 隔空开怼，竟上升到人身攻击

这两天，AI 圈的瓜全被马斯克 LeCun 承包了。不论是在 AI 安全监管，还是 xAI 使命上，两人已经开启了激烈的隔空骂战。

昨日，AI 领域两位重量级人物 Yann LeCun 和 Elon Musk 就人工智能的安全性和监管问题在社交媒体上「隔空交锋」。

人工智能先驱 LeCun 在 X 上表达了他对正在进行的人工智能监管的看法。LeCun 认为，现在担心人工智能带来「生存风险」还为时过早，更别说对其进行监管了。

-新智元

详解 SaaS 的 PLG 模式

这时的基础设施已经成为可以根据需要进行扩展的弹性实用程序，开发者可以从 API、模块化的工具中更快捷地编写软件，软件数量爆发式增长，新软件试用 / 使用的门槛逐渐走低。

这一时期主要是 PLG，产品主导增长，决策权进一步下放到软件的真正使用者，他们的采购标准通常是 —— 个人生产力，即该软件是否真的能帮助到我的日常工作？

与此同时，一个新的线索衡量指标 ——PQL（Product Qualified Leads，产品合格线索）出现。MQL 通常依赖产品之外的公开课、白皮书、线下会议等方式获取，而 PQL 是用户真正体验产品后达到某些数据维度要求后的线索。有数据表明 PQL 的转化率通常为 15%～30%，远高于 MQL。

-人人都是产品经理

NAS 开源的导航页

Heimdall，模块化设计，可以根据需要添加或删除模块。支持 Plex、Jellyfin、Nextcloud、Emby 等。可自定义主题和布局，支持多用户登录。

Dashy，可定制性比较高，界面友好，可以拖拽操作。支持书签管理、应用快捷方式、服务状态监控等功能，非常适合 NAS 环境下的资源管理和快速访问。

Organizr，支持用户权限管理，可以为不同用户分配不同的访问权限，模块丰富，比如 Sonarr、Radarr、Plex，插件也很丰富。

SUI，极简风格，支持 JSON 文件快速配置，占用资源极少，适合在资源有限的 NAS 设备上运行。

- 微博你的档案

媒体观察

《全球软件供应链发展报告》发布：JFrog 引导软件供应链安全市场

在通过开源生态系统引入漏洞方面，并非所有的软件技术都表现一样。虽然 Debian 和 RPM 的漏洞最多，但 NPM 和 PyPI 的严重 CVE 漏洞占比最大，其次是 Maven。大多数的 Debian 和 Alpine 代码库都是 C/C++ 代码和 Linux。由于二者都是 Linux 系统，用户很可能会在这两种软件包类型中发现相同的漏洞，Debian 的漏洞更多，因为它的应用更为广泛，贡献的软件包也更多。

但是，存在 CVE 并不一定意味着该软件包不能使用，更要紧的是监控和防止恶意软件包进入软件供应链，因为即使只是下载这些软件包也可能使企业遭受攻击。攻击者也意识到，开源软件包和使用这些软件包的开发人员是安全漏洞的 “黄金通行证”。他们的攻击方式往往是利用 CVE 带来的缺陷（通常是使用开源软件包的开发人员无意中造成），或者引入他们自己的恶意软件包，伪装成安全的开源组件。

- DOIT

AI 搜索的诸神之战

有人搜索如何让番茄酱粘在 Pizza 上，答案是用 1/8 杯无毒胶水。后来人们发现这是来自社区 Reddit 上 11 年前有人开玩笑的回答。谷歌自去年开始上线生成式 AI 搜索后，它总结出来的答案不时出错，这次全面推出的 Overview 功能，立刻翻车了。

是不是推理不够，就用搜索来凑？这也是大模型幻觉的老问题，只是因为谷歌搜索的量太大了，问题会更加突出。还有一个把 Reddit 上的玩笑当科学的回答：猫舔你的手，是想先尝下你能否被消费。

人们搜索到的东西越来越丰富，也越来越智能，但也令它们有了浮夸之感。

人们开始怀念十多年前的谷歌，那时第一页上只出现十个蓝色的链接，并附有每个结果的页面标题和简短的文本片段。这种只有大约 10 个网页链接的简约设计，在第一页被称为 “十个蓝色链接” 格式。那时没有那么多的 Shit。

-未尽研究

CIO 指南：采用开源生成式 AI 需要注意的十件事

开源生成式 AI 模型是可以免费下载的、大规模使用而无需增加 API 调用成本的，并且可以在企业防火墙后面安全运行。但你不要放松警惕，风险仍然存在，有些风险不仅被放大了，而且针对生成式 AI 的新风险正在出现。

企业应该知道该怎么做才能确保他们使用的是经过适当许可的代码，如何检查漏洞，如何保持所有内容都已经修补并保持最新状态。

- 至顶网

OpenAI 悄悄招募了 Altman 投资的安全团队，但与超级对齐无关

Indent 成立于 2018 年，从事数据安全相关业务，它所提供的服务也很简单 —— 自动化处理访问权限的审批流程。

比如，当工程师需要查看生产服务器日志或客户支持需要敏感系统的管理员权限时，他们可以使用 Indent 的应用程序请求访问权限，而无需 IT 部门的帮助。审阅者可以通过 Slack 收到消息并直接从那里批准，然后一旦时间到期，访问权限就会自动撤销。

Indent 为公司中的每个人提供按需访问控制，让他们可以在需要时访问自己需要的内容。

- 甲子光年

马斯克 xAI 获 60 亿美元融资，要造一个 “超级算力工厂”

xAI 新获得的 B 轮融资，在一定程度上帮助其解决了财务负担。但马斯克自己也曾承认，如果要在 AI 赛道拥有竞争力，那么每年至少要花几十亿美元。

无论是给人脑植入微芯片的 Neuralink ，做类人机器人的 Optimus， 还是智能的 Grok AI 助手，马斯克这些积极推进的项目都隐约指向一个终极目标：通用人工智能（AGI）。

xAI 还有很长的路要走，并且在努力成为规则改变者。不过，现在看来，英伟达可能才是目前最大的赢家。

- 爱范儿

多模态 CoT 思维链架构来了，现已开源｜来自厦大 & 腾讯优图

厦门大学 & 腾讯优图团队提出一种名为 “领唱员（Cantor）” 的决策感知多模态思维链架构，无需额外训练，性能大幅提升。

在 ScienceQA 上，基于 GPT-3.5 的 Cantor 准确率达到了 82.39%，相比基于 GPT-3.5 的思维链方法提升了 4.08%。

在更具挑战性的 MathVista 上，基于 Gemini 的 Cantor 准确率比原始 Gemini 提高了 5.9%。

- 量子位

今日推荐

每开源项目日一博

skylot/jadx

https://github.com/skylot/jadx

JADX 是一个 Dex 到 Java 的反编译器，用于从 Android Dex 和 Apk 文件生成 Java 源代码。JADX 有命令行和 GUI 两个版本。

每日一博

Bookie 存储架构源码剖析

Pulsar 作为新一代 MQ 中间件，在底层架构设计上充分贯彻了存算分离的思想，broker 与 Bookeeper 两个组件独立部署，前者负责流量的调度、聚合、计算，后者负责数据的存储，这也契合了云原生下 k8s 大行其道的时代背景。

Bookeeper 又名 Bookie ，是一个单独的存储引擎。在组件关系上，broker 深度依赖 Bookie，内部集成了 Bookie 的 client 端，broker 和 Bookie 之间基于 TCP 通信，使用 protobuf。

https://my.oschina.net/u/5783135/blog/11194314

事件点评

龙芯自主龙架构 2024 年已适配 318 款产品、

有望推出 “龙芯 + 鸿蒙” 桌面 PC

龙芯中科每个月都会公布 LoongArch 龙架构的生态适配进展，2024 年 4 月又新增了 110 款，加上此前 3 月的 101 款、1-2 月的 107 款，今年以来已达 318 款。

这些适配产品面向网络安全、数据安全、日常办公、智慧教学、人工智能、医疗健康等诸多领域。

点评

龙芯与鸿蒙操作系统的结合，预示着国产软硬件强强联合的新局面。这种结合不仅能够推动国产操作系统的发展，还能促进国产处理器的市场竞争力。龙芯 3A6000 性能达到英特尔 10 代酷睿 i3 的水平，显示了国产处理器在性能上的显著提升。同时，二进制翻译技术的发展将有助于提高软件兼容性，进一步拓宽应用场景。

LoongArch 龙架构在 2024 年已适配 318 款产品，这表明龙芯正在快速扩大其软件生态，这对于吸引更多开发者和企业使用龙芯平台至关重要。龙芯 3A6000 的成功不仅对处理器市场有积极影响，还将推动上下游产业链的发展，包括操作系统开发商、软件开发商和硬件制造商等。

在全球半导体产业格局中，龙芯的发展也可能促进国际合作，同时在某些领域形成竞争，这对于全球技术进步和产业生态都是有益的。

虽然龙芯 3A6000 展现出良好的性能和自主化程度，但面对国际知名品牌的竞争，如何在市场中脱颖而出，仍是一个挑战。需要通过持续的技术创新、市场推广和用户体验优化来实现。

起因是马斯克转发了一条为自己 xAI 公司招人的推文。没成想被有 “AI 教父” 之称的杨立昆当场拆台，言语间尽是嘲讽。

点评

马斯克和 LeCun 之间的争论不仅是两位科技领袖之间的观点碰撞，也反映了 AI 领域当前面临的一些关键问题和挑战。

马斯克和 LeCun 分别代表了业界和学术界对于 AI 技术的不同立场。马斯克关于 AI 可能带来的风险和挑战的言论，引发了公众对于人工智能安全性和伦理问题的关注。这种担忧在一定程度上推动了对 AI 监管和伦理准则的讨论。

争论触及了技术发展与伦理考量之间的平衡问题。如何在推动技术创新的同时确保伦理和社会责任，是 AI 领域亟待解决的问题。这场公开争论可能会影响未来的 AI 政策和法规制定。政策制定者可能会更加重视来自不同领域的意见和建议。

争论中提出的观点和问题可能会激发 AI 研究者对现有技术和方法的反思，促进更深入的研究和创新。尽管存在分歧，但这样的公开讨论也可能促进不同背景的专家之间的合作，共同推动 AI 技术的发展和应用。

百度沈抖回应大模型价格战：希望大家别再天天拉表格比价格

“其实我们决定免费的原因特别朴素，就是希望大家别再天天拉表格比价格了，有这个时间，不如去卷场景、卷应用。现在成本更低了，大家创新的胆子可以更大一些、步子可以更快一些，把相关的场景都试一遍，快速验证。跑成功了，就快速复制。”

点评

百度沈抖的发言不仅是对当前 AI 大模型价格战的回应，也是对整个行业发展方向的一次重要引导。沈抖的发言体现了百度希望推动行业从价格竞争转向创新竞争的愿景。他鼓励业界不要过分关注价格比较，而是应该投入更多精力于探索应用场景和加速创新。

沈抖的发言暗示了百度对未来 AI 应用的乐观态度，预计随着成本的降低和技术的成熟，AI 将在更多行业中发挥关键作用。

百度的这一策略可能会改变 AI 大模型市场的竞争格局，促使其他企业也更加注重技术创新和服务优化，而非单纯的价格竞争。也可能对行业标准产生影响，促使业界思考如何制定更加健康、可持续的发展模式。

开源之声

媒体观点

从降价到免费 大模型的“进” 与 “退”

当前大模型在各行各业的应用落地处于初级阶段。除了价格，能否解决客户业务痛点并创造价值，是大模型发展的关键。

-中国证券报

AI 出大招，苹果要出奇制胜

苹果在 AI 时代姗姗来迟，固然有等技术成熟的考量，但也付出了销量下滑的代价，如今面对同行竞争，苹果在 AI 上能否出奇制胜是市场关注重点，在专家看来，苹果在 AI 上预计也不会太激进，还是以巩固自身生态为第一目标。

-北京商报

美国大模型出口限制法案再进一步，“套壳” 大模型危？

中国大模型市场要警惕 “加拉帕戈斯隐忧”—— 加拉帕戈斯是太平洋上的一个群岛，它比喻的是在一个孤立的环境中，独自自我进化，逐步放弃对外交换。一旦再次面对外部适应性、生存能力更高的品种，最终会陷入被淘汰的危险。

-21世纪经济报道

“拼价格” 推动大模型产业迈入新阶段

价格机制是市场机制的核心运行机制，价格竞争是市场竞争的集中体现。因为有价格竞争，企业才能感受到市场压力，从而努力提高生产效率、提升产品质量、强化产品差异化程度、用心服务客户，以保持性价比优势。价格竞争是一个产业从小到大、从弱到强的必经阶段，不可或缺。正是一轮轮价格竞争筛选出了一批批优质企业，让产业呈现出螺旋式上升的发展特征。因此，要做强产业，必然要经过价格竞争的洗礼，大模型产业也不例外。

-中国经济网

用户观点

最适合写代码的等宽字体 Cascadia Code——三年来首次大版本更新：由微软开源、新增两款 Nerd 字体

• 观点 1：英文还是 JetBrain Mono，中文就改成落霞孤鹜了，这样写中文注释就像古文一样，coding 的时候特别有感觉
• 观点 2：还是 Fira Code 和 JetBrain Mono 用在 IDE 里舒服一些，Cascadia Code 更适合终端
• 观点 3：中英文全部包含的等宽只有 更纱黑体，github 搜 Sarasa Gothic，如果写代码不考虑中文等宽，github 搜 hack font 也不错
• 观点 4：consolas yyds
• 观点 5：手动尝试了一百多款字体，只有 mononoki 一款算得上是漂亮的字体
• 观点 6：原汁原味最好了。连字体这种特性，屏蔽了其原始状态，个人认为不适合学习
• 观点 7：那你可能没有遇到过终端需要显示图标的。
• 观点 8：连字体真的是一项很变态的发明… 严重降低了代码的可读性。对于新手，很多情况下，只能靠先把连字符号脑补为非连字的版本。而且经常需要仔细观察连字的宽度，来判断它到底是什么符号。真的是非常变态… 即使对于常用者，你也很难熟记每一个符号的含义。冷不丁遇到一个不认识的符号，还得查它到底是什么。真的很烦。除了装，我想不到它到底有什么实用性。
• 观点 9：常用的连字符就那么几种情况，基本上都是望文生义的，如果这都能对你编程造成影响，那我只能劝你多写代码了。而且这个也不是强制使用的，你完全可以不用，但是随意贬低可不是个好品质
• 观点 10：个人认为最适合写代码的字体还得是 Hack。
• 观点 11：Courier New
• 观点 12：ubuntu mono 才是最好的
• 观点 13：啥字体无所谓，我只求：1.g 不是这种花式写法，看了头疼；2. 小 l 和 1 能区分开。如果不满足条件 1，我宁可用 Courier New 这种违背条件 2 的
• 观点 14：一直在用这款字体，建议把 font weight 设置成 300，效果更加