上周五（4月24日），DeepSeek悄无声息地扔出了两个预览版模型：V4-Pro和V4-Flash。消息传到HN的时候，评论区已经有人在算账了——"GPT-5.4 Nano输入每M token要0.14。便宜30%，还带100万token上下文。这是我见过最离谱的价格倒挂。如果你在用任何一款主流大模型做生产开发，这条新闻值得停下来仔细看看。

上周五（4月24日），DeepSeek悄无声息地扔出了两个预览版模型：V4-Pro和V4-Flash。消息传到HN的时候，评论区已经有人在算账了——"GPT-5.4 Nano输入每M token要0.14。便宜30%，还带100万token上下文。这是我见过最离谱的价格倒挂。如果你在用任何一款主流大模型做生产开发，这条新闻值得停下来仔细看看。

先说事实：GitHub上有个PR，编号#310226。这是微软给VS Code提的一个变更——把Copilot的"AI co-author"功能默认开启。变更的内容很简单：只要你的VS Code装了Copilot扩展，不管你有没有开启Copilot功能，不管你这一行代码是不是AI写的，commit的时候都会自动加上这几个字。这条HN帖子在3小时内拿到了500多分，220多条评论。评论区的热度说明这

1. 维护者账号被入侵Lightning 的 maintainers 可能有人账号被钓鱼了，攻击者直接拿到了 PyPI 的发布权限。这个在供应链攻击里最常见。2. 内部人员作恶也有可能是 maintainer 团队里有人主动植入了代码。这个更恐怖，因为意味着攻击者就在项目内部。3. CI/CD 管道被攻破现代开源项目普遍使用自动化构建和发布流程。如果 CI/CD 环节被攻破，攻击者可以在构建过程中

1. 维护者账号被入侵Lightning 的 maintainers 可能有人账号被钓鱼了，攻击者直接拿到了 PyPI 的发布权限。这个在供应链攻击里最常见。2. 内部人员作恶也有可能是 maintainer 团队里有人主动植入了代码。这个更恐怖，因为意味着攻击者就在项目内部。3. CI/CD 管道被攻破现代开源项目普遍使用自动化构建和发布流程。如果 CI/CD 环节被攻破，攻击者可以在构建过程中

AWS CEO Matt Garman说了句大实话："这是我们的客户长期以来一直呼吁的。他们的生产应用程序跑在AWS上，他们的数据也在AWS上。这话翻译成人话就是：企业不想换云。大企业花了几十年建设AWS基础设施，数据合规审计、权限管理、灾备体系全是在AWS那套体系里跑的。你让他为了用GPT-5.5把整个架构迁移到Azure？不存在的。OpenAI低头，去AWS的地盘上做生意。OpenAI之前为什

回过头来看，ChatGPT广告系统的架构设计其实挺标准的。SSE推送、Fernet加密、四层token、SDK追踪——每一步单拎出来都是行业常见做法。但组合在一起，就形成了一个从语义理解到广告定向到转化追踪的完整闭环。广告主看到的是精准触达和高ROI。用户看到的是一个似乎懂我的AI助手。中间那层复杂的归因系统，藏在流式响应的加密数据里，藏在跳转URL的参数里，藏在商家网站的SDK里，普通用户完全看

回过头来看，ChatGPT广告系统的架构设计其实挺标准的。SSE推送、Fernet加密、四层token、SDK追踪——每一步单拎出来都是行业常见做法。但组合在一起，就形成了一个从语义理解到广告定向到转化追踪的完整闭环。广告主看到的是精准触达和高ROI。用户看到的是一个似乎懂我的AI助手。中间那层复杂的归因系统，藏在流式响应的加密数据里，藏在跳转URL的参数里，藏在商家网站的SDK里，普通用户完全看

2007年的开源世界，代码散落在邮件列表、个人服务器、SourceForge的各个角落。协作是碎片化的，门槛是高的，但每个参与的人对代码本身有更强的掌控感。2010年代的GitHub，把这些碎片捏成了一个统一的世界。协作变得流畅，贡献变得简单，开源社区爆炸式成长。我们现在享受的很多便利，都拜这个时代所赐。但集中化带来的脆弱性也在积累。一个平台掌握了太多东西，它的问题就会变成所有人的问题。这不是Gi

2007年的开源世界，代码散落在邮件列表、个人服务器、SourceForge的各个角落。协作是碎片化的，门槛是高的，但每个参与的人对代码本身有更强的掌控感。2010年代的GitHub，把这些碎片捏成了一个统一的世界。协作变得流畅，贡献变得简单，开源社区爆炸式成长。我们现在享受的很多便利，都拜这个时代所赐。但集中化带来的脆弱性也在积累。一个平台掌握了太多东西，它的问题就会变成所有人的问题。这不是Gi