开源日报 | xz后门投毒黑客身份成谜；知名开源前端框架「威优易」；自研RISC-V内核，MCU最后的出路？

欢迎阅读 OSCHINA 编辑部出品的开源日报，每天更新一期。

# 2024.4.1

今日要点

NetBSD 10.0 正式发布

与之前的 9.3 版本相比，10.0 版本带来了许多改进、新功能和修复。首先也是最重要的，当涉及多核和多处理器系统上的计算和文件系统绑定应用程序时，性能得到了巨大的改进。NetBSD 10.0 还带来了与其他系统上的实现兼容的 WireGuard 支持，不过目前尚处于实验阶段。

天工 3.0 即将公测，同步开源 4000 亿参数 MoE 超级模型

「天工 3.0」采用 4 千亿级参数 MoE 混合专家模型，并将同步选择开源，是全球模型参数最大、性能最强的 MoE 模型之一。

相较于上一代「天工 2.0」MoE 大模型，「天工 3.0」在模型语义理解、逻辑推理、以及通用性、泛化性、不确定性知识、学习能力等领域拥有惊人的性能提升，其模型技术知识能力提升超过 20%，数学 / 推理 / 代码 / 文创能力提升超过 30%。

统信 UOS：各版本均不受 liblzma/xz 影响

统信软件发布公告称，在开源软件 liblzma/xz 5.6.0 及 5.6.1 版本存在安全漏洞的消息被披露后，已对旗下所有产品完成了排查，确认包括统信 UOS 桌面操作系统与服务器操作系统各版本均不受其影响，各位用户可放心使用。

今日观察

「开源软件 xz 被植入后门」

今天以及未来一段时间网络安全的焦点话题应该都是开源软件 xz 被植入后门事件。

整个事情还是比较复杂的，我尽量说简单一点：一个自称 Jia Tan 的开发者，向开源软件 xz 加入了一个后门。该后门可以让攻击者无需有效账号也可以从 SSHD 访问系统。目前已知最新的 v5.6.0 和 v5.6.1 两个版本中都存在该后门。

由于发现的还算及时，目前只有类似 Debian sid、Fedora Rawhide、openSUSE Tumbleweed 这样比较追新的发行版分支受到了该后门的影响。然而，如果该后门没有被及时发现，当存在后门的 xz 被广泛引入各 Linux 发行版后，掌握后门的人就可以轻易入侵这些 Linux 系统。

- 微博 t0mbkeeper

「雷军 & 林纳斯，同龄同工不同命」

雷军顺势而为之后，创立了小米手机，算是一个相对意义上的成功，但还没有达到他心中的世俗意义上的成功。现在又创立了小米汽车，为的还是要实现世俗意义上的成功。

但无论是小米手机，还是小米汽车，实际上都还似有似无的透露着一些理工男、中关村劳模的影子。人很难跳脱自己的出身影响。

跟雷军同岁的林纳斯现在干什么呢？

在最近几年的一些开发者会议上，林纳斯坦言现在做的项目管理的工作，他有一小撮顶级开发者共同协作，当有新的任务时，他知道应该把任务分配给谁。

除了总体的沟通协调工作，Linus 本人还负责 merge 代码，Linux 内核每三个月(70 天左右)发布 1 个版本，即便在不同国家出差，Linus 也要克服时差按时发布。

- 微信 正言智驾

「今年内我们将发布一款全新的 AVG 游戏引擎」

今年内我们将发布一款全新的 AVG 游戏引擎，其采用近年流行的 Rust 语言编写，并适配三大桌面操作系统、两大移动操作系统和网页端；并能让你使用最新世代的 UI 编程方式来构建你的游戏交互和动效；最后，引擎将以商业友好的许可证持续开源且免费使用。

- 微博 BKEngine 面包引擎

「XZ 恶意代码潜伏三年，差点引发核末日？后门投毒黑客身份成谜」

尽管具体的内容仍在分析当中，但初步分析表明，它的设计相当复杂：

后门代码被注入到 OpenSSH 服务器（sshd 进程），因为 liblzma（含有恶意代码）是某些 OpenSSH 版本的依赖项。
后门劫持了 RSA_public_decrypt 函数，这个函数原本用于验证 RSA 签名。
恶意代码会检查 RSA 结构中传入的公共模数（「N」值），这个模数完全受到攻击者控制。
恶意代码使用硬编码的密钥（采用 ChaCha20 对称加密算法）对「N」值进行解密。
解密后的数据通过 Ed448 椭圆曲线签名算法进行有效性验证。由于这是一种非对称签名算法，后门只包含了公钥，这意味着只有攻击者能够为后门生成有效载荷。此外，这个签名与主机的公钥绑定，因此一个主机上的有效签名不能在其他主机上使用。
如果数据有效，该有效载荷将以 shell 命令的形式被执行。
如果数据无效（有效载荷格式不正确或签名无效），则会透明地恢复到 RSA_public_decrypt 的原始实现。这意味着，除了攻击者之外，是无法通过网络发现易受攻击的机器的。

- 新智元

今日推荐

开源项目

trypromptly/LLMStack

https://github.com/trypromptly/LLMStack

LLMStack 是一个无代码平台，用于构建生成式 AI 应用程序、聊天机器人、代理并将它们连接到你的数据和业务流程。

它是一个构建新的人工智能体验或将人工智能集成到现有产品中的框架。LLMStack 被设计为模块化和可扩展的。它可以帮助你管理可连接到 LLM 应用程序的数据，以创建上下文感知的生成式 AI 应用程序。

推荐理由

LMStack 是一个功能强大、易于使用的无代码平台。支持多模型、数据集成，可云或本地部署，并提供 API 访问。通过 LLMStack，用户可以在无编程经验的情况下，利用多种数据源和 AI 模型，快速创建定制化的 AI 解决方案，非常适合希望探索 AI 潜力的开发者和企业。

每日一博

消息队列的七种经典应用场景

在笔者心中，消息队列，缓存，分库分表是高并发解决方案三剑客。

在职业生涯中，笔者曾经使用过 ActiveMQ 、RabbitMQ 、Kafka 、RocketMQ 这些知名的消息队列。

这篇文章，笔者结合自己的真实经历，和大家分享消息队列的七种经典应用场景。

https://my.oschina.net/makemyownlife/blog/11049488

事件点评

谷歌 Rust 团队工作效率是 C++ 团队的两倍

谷歌 Android 工程总监 Lars Bergstrom 在近期举行的 Rust Nation 大会上，介绍了该公司将 Go 或 C++ 编写的项目迁移到 Rust 语言的经验。

Bergstrom 表示，采用 Go 和 Rust 构建系统所消耗的人力和时间是一样的；并且从 Go 转向 Rust 不会降低工作效率。

值得一提的是将 C++ 代码重写成 Rust 代码后的比较。“在每种情况下，我们都发现，无论是用 Rust 构建服务，还是维护和更新这些用 Rust 编写的服务，所需的工作量都减少了 2 倍以上。”

点评

谷歌对 Rust 语言的采纳和推广，体现了其在提高软件安全性和开发效率方面的追求。这一转变不仅反映了谷歌对 Rust 语言的认可，也凸显了 Rust 在企业级应用中的潜力。

谷歌的决策将对全球技术社区和开源社区产生深远影响，特别是在推动 Rust 语言在企业级应用中的使用和提升软件安全性方面。

开源之声

媒体观点

对 AI 技术滥用风险要提高警惕

技术的运用是把双刃剑，用之为善可以造福社会，不当滥用则会造成社会风险和损害。对此，需要有关方面不断完善法律法规，进一步细化 AI 技术滥用的侵权类型，明确各个环节的主体责任，确立媒介平台的技术检测义务和过滤删除责任，以法律为 AI 技术应用框定红线；同时，引导技术开发、应用者自觉遵守法律规定和科技伦理道德，培育积极健康、向上向善的研发、应用环境，保护和鼓励新兴智能技术的有益探索。

作为社会公众，对疑似 AI 生成的信息内容应保持警惕，不要对此类生成信息进行盲目传播、扩散，在利用 AI 技术生成相关内容时要获得权利人同意，尊重社会公德和伦理道德。

- 法治日报

自研 RISC-V 内核，MCU 最后的出路？

世界苦 Arm 久矣，不是因为它不够强大，而是开源更具性价比。RISC-V 作为 x86、Arm 后第三大指令集，备受我国半导体厂商的喜爱。尤其是在 MCU 领域，过去几年出现过很多 RISC-V+Arm 双核或纯自研 RISV-C 内核的 MCU 产品。

前几天，Renesas（瑞萨电子）宣布，推出基于内部自研 CPU 内核构建的通用 32 位 RISC-V 微控制器（MCU）——R9A02G021。

这意味着，行业的风向开始变了，MCU 巨头的战略也开始向 RISC-V 倾斜。

- 电子工程世界

用户观点

知名开源前端框架「威优易」，你们学吗？

观点 1：抱着试试看的心态，学了一个疗程。现在腰也不酸了，腿也不疼了，就连走路啊，都有劲儿了！
观点 2：威威优优又易易。学了之后我看代码一目百行，我电脑编译项目一秒十个项目。非常好用！
观点 3：还在学？时间差不多喽
观点 4：10 几年终于汉化了
观点 5：逼格瞬间降低 999999 档😂😂
观点 6：是愚人节整蛊？

xz 活跃维护者 “潜伏” 三年 —— 添加恶意代码、植入 SSH 后门

观点 1：该拿到报酬的人没有拿到报酬，圈外的人很难想像互联网的基础设施中的很多螺丝钉是别人做慈善的结果吧
观点 2：功夫不到家
这么处心积虑的搞了个后门，结果是个 bug
观点 3：我看 tk 还是谁说到了 jia tan 这个名字像中国人所以已经有开始针对中国开发者的一些不友好评论？还说什么在中美对抗的大背景下以后开源项目中国开发者的境遇可能会变差？
观点 4：处心积虑的黑客会给自己起个中文拼音名字吗？这根本就是自导自演的炒作