∞ 英特尔股价周五暴涨24% 创1987年以来最大单日涨幅
英特尔股价周五飙升24%,创下自1987年10月以来的最佳单日表现,投资者对因人工智能需求增长而带来的复苏迹象感到振奋。该股收于82.57美元,继2025年全年上涨84%之后,今年迄今已累计上涨124%。上周五的涨势超过了该股在9月18日23%的涨幅——当时英伟达同意向英特尔投资50亿美元。
去年年初接任首席执行官的陈立武,通过争取特朗普政府和英伟达的投资,并帮助这家此前基本被排除在AI热潮之外的芯片制造商挤入该领域,重新激发了华尔街对这家陷入困境的芯片公司的兴趣。
Evercore ISI分析师在财报发布后的一份报告中写道:“英特尔的新任首席执行官修复了资产负债表,并正在执行一项似乎使英特尔重回竞争轨道的战略。”该机构将英特尔股票评级上调至相当于“买入”的级别。
公司营收超出预期,同比增长7.2%,从上年同期的126.7亿美元增至135.8亿美元。在此前七个季度中,该公司有五个季度营收同比下滑。英特尔还发布了乐观的第二季度业绩指引。
华尔街的反弹标志着这家美国芯片制造商的重大转折。该公司在2024年市值蒸发了60%,导致时任首席执行官帕特·基辛格于当年12月被免职。
多年来,由于受困于制造延误并等待其芯片代工业务的大客户出现,该公司基本上缺席了AI竞赛。
一些分析师仍在等待英特尔计划于2028年或更晚推出的下一代14A制造技术能否带来令人满意的良率。此前陈立武曾表示英特尔会等待大客户出现后再推进昂贵的最新技术升级,但他1月在X平台上发文称,英特尔将“大力投入14A”。
陈立武在上周四的财报电话会议上表示,“多个客户”正在“积极评估该技术”,其开发进展速度快于英特尔此前18A技术的推进速度。
英特尔的数据中心业务是当前增长的主要驱动力。该业务营收同比增长22%,达到51亿美元,因为人工智能推动了对中央处理单元的新需求。陈立武在财报电话会议上称CPU是“AI时代不可或缺的基础”。
花旗分析师将该股评级从中性上调至买入,预计未来几年所有供应商的CPU销量都将上升。
∞ Canonical启动对Launchpad页面的全面改版
Canonical已经开始对旗下软件协作与PPA托管平台Launchpad中的“系列页面”进行重新设计,这也意味着这一老牌开发平台的现代化改造正式迈出新一步。
根据Canonical在Ubuntu Discourse社区发布的公告,负责该项目的用户体验设计师Enzo Deng将此次改版称为“Launchpad用户体验现代化之旅”的开端,并表示这只是整个Launchpad Web应用全面翻新的“第一个里程碑”。
Enzo Deng在说明中指出,对许多人而言,经典版Launchpad界面会让人想起项目早期阶段,但对于不少贡献者来说,这套界面如今也已经成为使用过程中的阻碍。他表示,复杂任务的管理理应像Ubuntu操作系统本身一样直观,而不该继续受制于历史遗留式的交互体验。Canonical因此认为,有必要弥合Launchpad强大后端能力与现代化前端体验之间的差距,从而更好地服务社区用户。
报道提到,Canonical其实早在两年前就已经对Launchpad主页进行过一次改版。当时的新设计将字体、按钮样式、留白和配色方案与Canonical旗下其他网站资产进行了统一,不仅让着陆页外观更现代,也补上了对移动端响应式显示的支持。
从平台历史来看,Launchpad诞生至今已有22年,而其极具知名度的Personal Package Archive,也就是PPA服务,则是在2007年11月底正式上线。 不过,在相当长一段时间里,由于Launchpad主要围绕Canonical自家的版本控制系统Bazaar构建,许多开发者更倾向于选择GitHub等其他平台。 直到2015年,Canonical才为Launchpad加入Git支持;而在去年9月,Canonical又彻底停止了Bazaar托管服务,要求所有剩余代码仓库全面迁移至Git。
与此同时,Launchpad的PPA机制也长期伴随着安全争议。由于任何人都可以创建PPA,外界经常批评这一体系可能给Ubuntu用户带来安全风险:一旦用户误添加了恶意软件源,不法分子托管的软件包就可能覆盖系统核心文件。
此外,平台过去还曾允许PPA使用RSA1024这一早已被视为偏弱的加密标准来签署GPG密钥。报道指出,Canonical已于2024年开始推动PPA向更强的签名密钥迁移,例如RSA4096,以提升整体安全性。
此次“系列页面”改版虽只是局部更新,但从Canonical释放出的信号来看,这更像是Launchpad整体重塑计划的起点。对于长期依赖Ubuntu生态和Launchpad协作机制的开发者而言,这一平台未来或将逐步摆脱早期Web工具的陈旧印象,转向更加现代、统一且易用的产品形态。
∞ Google拟以“一键式凭证”取代邮箱验证码 推进原生身份验证机制
Google正推动一项新的 Android 身份验证方案,试图用由系统直接签发的“已验证邮箱凭证”替代传统邮箱验证码流程,从而让应用开发者在用户注册、登录及账户恢复等场景中,减少依赖一次性密码或“魔法链接”的邮件验证步骤。
根据报道,这项新能力被整合进 Android 的 Credential Manager API(凭证管理器 API)之中。Google希望借此改造当前常见的身份验证方式:用户过去在注册应用或第三方服务时,通常需要通过电子邮件或短信接收一次性密码,或点击邮件中的验证链接,以证明自己对某个邮箱地址的控制权;而在新机制下,用户将不必再频繁切换到收件箱查找临时验证码。
Google方面认为,现代身份验证长期处于安全性与便利性之间的权衡之中。虽然传统的邮箱验证码和短信验证方式总体有效,但其操作链路较长,用户往往需要在新安装的应用与邮箱之间来回切换,这种“上下文切换”会增加摩擦成本。此外,邮箱地址虽然获取门槛低,但在垃圾邮件过滤、邮件送达稳定性等方面,并不总是足够可靠。
报道还提到,Google将用户在验证环节中的额外停留时间视为影响转化率的潜在因素。按照Google的说法,用户在“验证循环”中每多停留一秒,都可能增加其失去兴趣、放弃流程的概率,进而直接影响应用或服务的注册转化表现。
为此,Google提出的替代方案,是向 Android 设备直接发放经过加密验证的邮箱凭证。这类凭证与设备本身绑定,工作方式与近年来被广泛推广的 passkey(通行密钥)有相似之处,并通过 Credential Manager API 在身份验证过程中交付给应用。
从技术标准看,这套 API 采用了 W3C 的 Digital Credential API(数字凭证 API)规范。报道指出,它未来有可能在“确认邮箱归属权”这一任务上,替代现有发送和校验一次性验证码或短信消息的做法。Google称,新方案在交互层面也更清晰,用户可以更明确地知道自己被请求提供哪些数据,以及这些数据将如何共享给第三方服务提供者。
对于开发者而言,只要接入 Digital Credential API,就可以在应用中调用这种保存在设备端的邮箱凭证。这样一来,无论是新用户注册、账号找回,还是执行敏感操作与设置变更前的再次验证,都可以通过“一键同意”的方式完成。
不过,这项功能目前仍有适用范围限制。Google表示,现阶段仅支持普通消费者账户,绑定 Workspace 服务的 Google 账户以及受监管账户暂不在支持之列。与此同时,已验证凭证可包含名字、姓氏、全名、头像等多种资料字段,但真正由Google主动完成验证的,目前只有邮箱地址本身。
按照Google的设想,这项嵌入 Credential Manager API 的“已验证邮箱凭证”功能,最终目标是让身份验证不再是一项由用户手动完成的独立步骤,而是成为移动端原生体验中的一部分。报道同时指出,Google近来也在其他安全敏感领域采取类似思路,例如对第三方来源应用侧载持续加强风险提示与管控,显示其正试图在 Android 生态中,对更多关键安全环节实施更强的系统级主导。
∞ X独立聊天应用XChat正式登陆iOS 支持私聊、群聊及音视频通话
社交平台X于当地时间周五正式面向公众推出独立消息应用XChat,首阶段仅上线iOS版本。该应用允许用户直接与X平台联系人进行聊天,并支持文件分享、音频与视频通话以及群组聊天等功能。
据报道,X今年早些时候已开始在小范围测试XChat,邀请部分测试用户体验新产品并提供反馈。如今正式开放下载,意味着X正将消息服务从原有社交平台中进一步拆分出来,作为独立产品单独推进。
从战略层面看,XChat被视为X业务版图中的关键一环。报道指出,X希望把其社交网络作为更多服务的流量入口,进一步延伸至消息、支付等领域。除了XChat之外,X的支付服务也正在以独立应用形式进行测试,但目前尚未面向公众开放。
这一产品路径也显示出X在发展方向上的新变化。马斯克此前曾提出将X打造为集消息、支付、创作者内容、购物和人工智能等功能于一体的“超级应用”,但如今X却在将其中部分核心能力拆分为单独App运营。报道称,目前由马斯克旗下人工智能公司xAI掌控的X,正通过一组独立应用来扩大与消费者的接触点。
在产品功能方面,XChat上线之初即提供消息和通话能力,同时主打隐私保护。应用支持编辑消息、为所有聊天参与者删除消息、发送阅后即焚消息,并具备阻止截图的功能。X方面还宣称,该应用不含广告,也没有追踪机制。
不过,X对于安全性的描述仍存争议。公司表示,XChat内所有消息均采用端到端加密,并可通过PIN码保护,但报道提到,安全专家此前曾对X相关加密声明提出质疑。早在XChat服务首次亮相时,就有安全研究人员警告称,其安全性表现可能不如Signal等成熟加密通信应用。随着独立版XChat全面上线,外界预计专家将重新评估该应用是否已作出足够改进。
除了私聊和群聊之外,XChat还将承接X平台“社区”功能的部分迁移需求。报道称,X已决定关闭使用率偏低且垃圾信息泛滥的Communities功能,而这一调整或将为XChat带来一波早期安装量增长,因为原有社区成员可能会转向新应用继续交流。
此外,X方面也暗示XChat后续仍将持续更新。X首席设计负责人Benji Taylor透露,当前版本“只是公司在消息服务建设上的开始”,显示这款独立应用未来还会加入更多新功能。
∞ 物联网安全薄弱或致公共充电桩遭遇大面积瘫痪
随着电动汽车快速普及,公共充电网络正逐步演变为关键基础设施,但其安全防护水平仍停留在普通消费级物联网设备的水准,存在被大规模恶意关停的风险。研究人员指出,可预测的设备编号以及薄弱的身份认证机制,可能让攻击者从“干扰一名司机”为起点,升级为让整座城市的公共充电网络集体离线。
公共电动汽车充电桩、共享电单车和租赁滑板车等设备,普遍具备一个共同特征:设备无人值守、依赖手机应用远程控制、长期暴露在开放环境中,任何人都有机会接触和拆解硬件或分析配套软件。在今年的 Black Hat Asia 大会上,清华大学物联网安全研究员石贺天演示了如何利用一款中国充电平台的应用漏洞,远程关闭充电端口,引发业界对这一类风险的高度关注。
据报道,石贺天在演示中使用的是一家中国电动车充电服务商的官方应用。当现场观众选择“上海”作为示范城市后,他在应用中调用附近充电站列表,从中选取位于人民广场附近的一处充电桩,并将该设备的 ID 复制到事先准备好的脚本中执行,随后该充电桩在地图上的图标由绿色变为灰色,表示充电端口已被远程禁用。他认为,利用同样的手法,可以在缺乏有效防护的情况下,对整座城市的大量充电设施实施拒绝服务攻击。
更令人担忧的是,这类问题并非中国市场独有。石贺天团队还对 11 款来自欧洲共享单车和电动滑板车运营商的应用进行了测试,发现同样存在类似安全缺陷。在硬件层面,他们找到仍然开放的调试接口和 UART 连接点,使得攻击者更容易对设备进行逆向分析和功能篡改;在软件与云端层面,则发现固件内共用的认证密钥,以及后端服务对用户请求缺乏充分的身份校验机制。
研究显示,应用侧漏洞同样危险。弱认证设计可能允许攻击者伪造所谓的“幽灵客户端”,让平台无法分辨其与真实用户之间的差异。在此基础上,攻击者不仅可能获得免费骑行、免费充电等非法服务,还可能进一步窃取用户个人信息,对运营方和用户双方造成经济与隐私损失。
这次在大会上的演示并非孤立案例,其背后是系统性研究结果的一个缩影。在 USENIX Security 2024 上发表的一篇相关论文中,清华大学团队(包括石贺天在内)对 17 款可租赁物联网设备及其配套的 92 款应用进行了系统分析。团队共识别出 57 个漏洞,分布于 28 款产品,其中 24 个漏洞被认定为具备大规模利用潜力,可能影响数百万用户和终端设备。
论文指出,可被推断或算法预测的资源 ID 是问题的关键之一。攻击者只需通过简单枚举或推断,就有机会获取大量设备或用户标识,再与访问控制缺陷叠加利用,即可对海量设备发起批量操作,从而在城市级或更大范围内造成服务中断或功能异常。
在所有此类系统中,公共充电桩尤其敏感。它们往往同时涉及用户支付、蜂窝网络连接、云端管理平台以及与电网直接相连的基础设施。单个充电桩遭遇故障或攻击,最多只是给个别车主带来不便;但如果上千个充电终端在短时间内被远程关闭或锁死,对本已对电动车可靠性心存疑虑的潜在用户而言,将严重打击其对整个充电网络和电动车生态的信心。
研究团队表示,相关厂商对研究结果予以确认,并在研究人员的协助下对大部分已披露问题进行了修复或缓解。但他们同时强调,整个可租赁物联网行业仍需在多方面加强安全能力,包括为每台设备建立更强的唯一身份标识、在后端实施更严格的授权机制、为单设备配置独立凭证、关闭不必要的调试端口以及建立完善的滥用检测体系。只有在安全基础设施得到系统性加固之后,公共充电网络与共享出行设备才能真正承担起关键基础设施的角色,而不再成为攻击者眼中的“软目标”。