Home » 每日新闻

每日科技新闻速递 2026.06.04

Gemma 4 12B 与 AI Worm 研究成为今日焦点

June 4, 2026 · 2 min · 307 words · 苏健

目录

每日科技新闻速递

1. 1-Click GitHub Token Stealing via a VSCode Bug

标题：1-Click GitHub Token Stealing via a VSCode Bug
摘要：安全研究者 Ammar Askar 公开披露 github.dev / VS Code webview 相关漏洞，称特制链接可在 github.dev 中诱导安装恶意扩展并窃取 GitHub token，该 token 可访问用户有权限访问的仓库，包括私有仓库。需要保留的限定是：这是研究者公开披露与 PoC 口径，实际风险受用户是否使用过 github.dev、浏览器站点数据状态和修复部署状态影响；披露时间线显示 Microsoft 已在 6 月 3 日应用临时修复并合并更完整修复。
链接：原始披露 / VS Code issue / BleepingComputer 报道 / Hacker News，热度：HN 首页约 462 points

2. Introducing Gemma 4 12B: a unified, encoder-free multimodal model

标题：Introducing Gemma 4 12B: a unified, encoder-free multimodal model
摘要：Google 6 月 3 日发布 Gemma 4 12B，把它定位为面向本地 agentic multimodal intelligence 的中等规模开放模型，重点是无独立多模态 encoder 的统一架构，视觉和音频输入直接进入 LLM backbone。官方称它可在约 16GB VRAM / unified memory，或 16GB RAM 级别的消费级笔记本上本地运行，并以 Apache 2.0 发布；这不等于所有 16GB 设备都能在任何负载下流畅运行，实际体验仍取决于量化、推理框架和硬件。
链接：原始公告 / Developer Guide / Hacker News 聚合，热度：HN Deck 显示约 618 points

3. Elixir v1.20 released: now a gradually typed language

标题：Elixir v1.20 released: now a gradually typed language
摘要：Elixir v1.20 正式发布，官方称它完成渐进类型系统的第一个开发里程碑：在不引入类型注解的前提下，对每个 Elixir 程序执行类型推断和渐进类型检查，用于发现 dead code 和 verified bugs。它的重要性不在于 Elixir 已经变成完整静态类型语言，而在于动态语言生态开始把类型系统作为低额外负担的正确性工具引入日常编译流程。
链接：原始公告 / Release notes / Hacker News 聚合，热度：HN Deck 显示约 419 points

4. U of T researchers demonstrate AI worm could target any online device

标题：U of T researchers demonstrate AI worm could target any online device
摘要：多伦多大学、Vector Institute、University of Cambridge 与 ServiceNow 研究者发布 “AI Agents Enable Adaptive Computer Worms”，在隔离虚拟网络中演示由本地开源权重模型驱动的自适应 AI worm。研究称该原型会根据目标设备差异选择攻击策略，利用已公开但未修补漏洞、错误配置和常见弱点传播；但它没有公开实现代码，没有部署到真实网络，也不依赖 zero-day，正文应避免写成“已经可攻击任意联网设备”。
链接：U of T 新闻 / CleverHans Lab 研究页 / arXiv 预印本 / Hacker News，热度：HN 首页约 145 points

5. June Android Drop: New personalization and safety features are here

标题：June Android Drop: New personalization and safety features are here
摘要：Google 在 6 月 Android Drop 中加入 Phone by Google 的 fake call detection，用于识别号码欺骗和 AI deepfake 语音冒充场景：当联系人来电时，设备会尝试验证来电是否来自联系人真实设备。关键限定是，该功能面向满足条件的 Android 12+ 设备逐步推送，先从 Pixel 开始，并要求双方使用 Phone by Google，且依赖 Google Messages 的 RCS 能力；因此不能写成所有 Android 12+ 设备今天已经全部可用。
链接：Google Android 官方公告 / Google Security Blog / TechCrunch 报道 / Techmeme 汇总

简短结论

今天的主线是 AI 能力继续同时进入开发者工具、端侧模型和安全攻防。Gemma 4 12B 把本地多模态 agent 体验往普通开发设备推进，Elixir v1.20 则代表语言工具链继续把正确性检查前移；另一方面，github.dev / VS Code 漏洞、AI worm 研究和 Android fake call detection 都提醒我们，AI 时代的安全问题不只来自模型本身，也来自浏览器 IDE、开放权重模型、移动通信身份验证和日常开发工作流。