微软 Office 团队完成从 Source Depot 到 Git 的大规模迁移
微软 Office 工程团队完成了一项历时数年的重大技术迁移,将版本控制系统从内部专有的 Source Depot 全面转向开源的 Git。这一迁移项目涉及超 4000 名工程师。
Source Depot 是微软基于 Perforce 技术在 2000 年代初开发的定制版本控制系统,专门用于管理 Windows 和 Office 等大型代码库。当时 Git 尚未诞生,Subversion 也不够成熟,Source Depot 承担了管理数百万行代码的重任。然而,随着时间推移,这一集中式系统的局限性逐渐暴露:获取 Office 代码库需要数小时,分支操作异常复杂,合并变更的流程更是令开发者苦不堪言。
迁移面临的最大技术挑战是 Office 代码库的庞大规模 —— 超过 270 GB 的大小和数百万个文件,远超标准 Git 的处理能力。为解决这一问题,微软开发了 Virtual File System for Git (VFS for Git) 技术,通过虚拟化文件系统实现按需下载文件,将克隆时间从 12 小时缩短至几分钟,检出操作从 2 至 3 小时缩短至 30 秒,状态检查从 10 分钟缩短至 4 至 5 秒。
为此,微软采用了「平行宇宙」迁移策略,创建与 Source Depot 持续同步的 Git 代码库,确保迁移过程的平稳进行。团队还为开发者提供了沙箱环境进行培训,并设置了「红色按钮」回滚机制以应对可能出现的问题。
(danielsada.tech)
微软 Office 工程团队完成了一项历时数年的重大技术迁移,将版本控制系统从内部专有的 Source Depot 全面转向开源的 Git。这一迁移项目涉及超 4000 名工程师。
Source Depot 是微软基于 Perforce 技术在 2000 年代初开发的定制版本控制系统,专门用于管理 Windows 和 Office 等大型代码库。当时 Git 尚未诞生,Subversion 也不够成熟,Source Depot 承担了管理数百万行代码的重任。然而,随着时间推移,这一集中式系统的局限性逐渐暴露:获取 Office 代码库需要数小时,分支操作异常复杂,合并变更的流程更是令开发者苦不堪言。
迁移面临的最大技术挑战是 Office 代码库的庞大规模 —— 超过 270 GB 的大小和数百万个文件,远超标准 Git 的处理能力。为解决这一问题,微软开发了 Virtual File System for Git (VFS for Git) 技术,通过虚拟化文件系统实现按需下载文件,将克隆时间从 12 小时缩短至几分钟,检出操作从 2 至 3 小时缩短至 30 秒,状态检查从 10 分钟缩短至 4 至 5 秒。
为此,微软采用了「平行宇宙」迁移策略,创建与 Source Depot 持续同步的 Git 代码库,确保迁移过程的平稳进行。团队还为开发者提供了沙箱环境进行培训,并设置了「红色按钮」回滚机制以应对可能出现的问题。
(danielsada.tech)
2025 年 6 月 13 日凌晨 1 时 51 分(北京时间),Google 云平台 (Google Cloud Platform, GCP) 发生全球性重大故障,导致包括 Spotify、Discord、YouTube、Gmail、Cloudflare 在内的众多互联网服务出现大面积中断。
故障根因指向 Google 内部身份和访问管理 (Identity and Access Management, IAM) 服务异常。据了解,Google 云内部代号为「Chemist」的核心服务出现问题,该服务负责所有 API 请求的项目状态和策略检查。当这一关键组件失效时,几乎所有云服务的权限验证都被阻断,导致「一票否决」式的连锁故障。
Anthropic 的 Claude、Cursor AI 编程助手、Weights & Biases 机器学习平台均出现服务中断。OpenAI 也因「外部供应商问题」影响了单点登录功能。
Cloudflare 作为承载全球 20% 互联网流量的基础设施提供商,因部分服务依赖 GCP 而被波及,进一步放大了故障影响范围。截至6 月 13 日上午 8 时 33 分,大部分服务开始恢复,但 Google Cloud Dataflow 和 Vertex AI 仍有残留问题。
12 日晚,哔哩哔哩(下称 B 站)主站和周边服务出现服务不稳定现象,部分用户出现视频无法加载、评论区空白、信息流报错等问题。
本频测试发现,并非所有用户都受到故障影响,考虑到故障面广,很有可能为基础设施的单点故障。
B 站暂未发布声明。
B 站上一次出现 大规模故障 是在 2024 年 7 月,彼时阿里云上海数据中心因光纤被挖断导致机房整体断网,引发 B 站大规模服务异常导致服务降级。
开源网盘程序 Alist 项目出现异动。项目中文文档被篡改,替换为了贵州某公司的收款码、群聊,Docker Hub 镜像被从原作者的 xhofe/alist 修改为 alist666/alist。新主的 Github 账号并无活动记录,身份存疑。
目前 Alist 原开发者已暂时无法联系上,官方群组据信已经移交管理权限给新团队。
根据 Alist 文档页面挂出的收款码,贵州某公司还拥有 Java 工具类库 hutool[.]cn。
2023 年,Linux 环境部署工具 LNMP 和 OneinStack 被曝代码投毒。在此之前,这些项目也经历了从开源到被出售给国内公司的过程。鉴于购买这些开源项目的同类公司曾被曝存在 供应链攻击历史 ,本频提醒读者不要使用中文文档中提供的镜像地址,并注意新版本中可能存在的后门。
本频建议读者固定使用当前由 xhofe 上传的 Alist 版本,并不再更新该程序。(3.40.0 版本及更早)
OpenAI 宣布将 o3 模型定价降低 80%,更新后定价为 输入 2 美元 /M Tokens,输出 8 美元 /M Tokens,甚至低于 gpt-4o 模型。
外界猜测,此举是为即将推出的 o3-pro 模型设计的营销手段。
外界猜测,此举是为即将推出的 o3-pro 模型设计的营销手段。
截至发稿,故障已经持续 5 小时。OpenAI 官方仍未宣布事故解决或提供更多信息。
——————
当地时间 6 月 10 日至 11 日,OpenAI 经历了一次持续超过 24 小时的服务中断事件,官方将其定性为「部分宕机 (Partial outage)」。此次事件导致其 API 接口和 ChatGPT 服务在全球范围内出现高错误率和高延迟,影响了大量用户和依赖其服务的第三方应用。
事件于 6 月 10 日上午开始,OpenAI 迅速响应并展开调查。在确定根本原因后,团队实施了修复措施,API 服务于当天下午开始恢复。ChatGPT 的恢复过程则持续了更长时间,其中语音模式是最后一个被完全修复的功能。直到 6 月 11 日下午,OpenAI 才正式宣布所有服务恢复正常。
OpenAI 承诺将在 5 个工作日内公布此次事件的详细根本原因分析报告,以向外界说明故障的具体技术细节。
北京时间 6 月 10 日凌晨,苹果 WWDC25 全球开发者大会正式开幕。本次大会的最大亮点是推出名为「液态玻璃」(Liquid Glass) 的全新设计语言。
苹果将这套源自 visionOS 的设计体系应用到所有平台,采用半透明玻璃质感、实时反射折射效果和景深层次,覆盖应用图标、锁屏界面、控制中心等系统各处。新设计主打通透感和动态响应,旨在让界面元素更加融入主题环境。
在命名上,苹果首次统一所有操作系统版本号,从传统递增编号改为年份标识,如iOS 19 变更为 iOS 26。
功能方面,iOS 26 新增独立的游戏应用,集成 Apple Arcade 和 Game Center 功能;电话应用增加来电筛选、呼叫保持助理等 AI 驱动功能;相机界面简化,首屏仅保留拍照和录影两个核心模式。iMessage 补强了聊天背景、群投票、群收发等此前缺失的功能。
iPadOS 26 在生产力方面实现突破,支持类似 macOS 的自由窗口调整、三色窗口按钮、App Exposé 和菜单栏等功能,进一步缩小与桌面系统的操作差距。
macOS Tahoe 26 推出新的 Metal 4 引擎和游戏叠层功能。watchOS 26 引入基于 Apple Intelligence 的「运动搭子」(Workout Buddy),能在锻炼过程中提供个性化指导和鼓励。
Apple Intelligence 功能虽有更新,但苹果表示 Siri 的升级仍需时间完善。同时,这些 AI 功能何时在国行设备上线仍未明确。
新系统的开发者预览版已于今日推出,公测版将于 7 月发布,正式版预计今年秋季随新硬件一同推出。
2025 年 5 月 19 日,安全研究员 Bob Dyachenko 与 Cybernews 团队发现一个容量达 631 GB 的 MongoDB 数据库因未设置密码保护而完全暴露在公网上,导致超过 40 亿条中国用户记录泄露,成为迄今已知最大规模的中国个人数据泄露事件。
该数据库包含 16 个数据集,涵盖从社交通信到金融支付的全方位个人信息。其中最大的「wechatid_db」集合包含 8.05 亿条微信 ID 数据,「address_db」存储 7.8 亿条带地理标识的住址信息,「bank」集合则含有 6.3 亿条银行卡号、姓名、生日等金融数据。名为「三要素校验」的数据集收录 6.1 亿条身份证、手机号、用户名信息,「wechatinfo」集合的 5.77 亿条记录疑似包含微信元数据、通讯日志甚至聊天内容。
支付宝相关数据同样大量泄露,「zfbkt_db」集合包含 3 亿条支付宝卡片及 Token 信息。其余数据集还涵盖赌博、车辆登记、就业、养老保险等多领域信息,甚至包括标注为「tw_db」的台湾相关数据。
研究团队指出,如此海量且多样的数据类型表明这极可能是一个集中式聚合枢纽,用于为几乎任何中国公民建立详尽的行为、经济与社会画像。数据规模之大意味着威胁行为者可将其用于钓鱼诈骗、敲诈勒索、金融欺诈,甚至国家级情报收集与信息操控。
数据库在被发现后于 5 月 20 日迅速下线,但研究团队无法确认数据库所有者身份。
MongoDB 至今仍采用无密码的默认设置,导致大量监听公网的数据库处于「裸奔」状态,为此类大规模泄露事件埋下隐患。
本频提醒,读者务必注意 MongoDB 默认配置的安全隐患。非必要不暴露在公网,且必须做好鉴权设置。
(Cybernews)
2025 年 6 月 6 日凌晨,阿里云核心域名 aliyuncs.com 发生解析异常,导致多项云服务在全球范围内无法访问。
北京时间 6 月 6 日凌晨 2 时 57 分,阿里云监控发现 aliyuncs.com 域名解析出现异常。受影响的服务包括对象存储 OSS、内容分发网络 CDN、容器镜像服务 ACR、云解析 DNS 等多项核心云产品。
凌晨 4 时 4 分,阿里云工程师初步确认导致域名解析异常的原因并开始紧急处理。阿里云同时向客户发送通知邮件,建议将本地 DNS 服务器指向 223.5.5.5 和 223.6.6.6 以降低业务影响,并提供了负载均衡等服务的临时解决方案。
上午 8 时 11 分,阿里云宣布解析异常问题已完成修复,受影响云产品开始逐步恢复。上午 9 时左右,所有受影响的云产品已全部恢复正常运行。
——————
根据技术社区分析,此次异常的直接原因是 aliyuncs.com 域名的 NS 记录被修改,指向了 Shadowserver 基金会的 DNS 服务器。Shadowserver 是国际知名的非营利网络安全组织,通常协助执法机构接管恶意域名进行流量监测。
由于 NS 记录控制着域名的权威解析服务器,这一变更导致所有对 aliyuncs.com 及其子域名的 DNS 查询都被导向错误的服务器,进而造成解析失败。
阿里云在故障通告中确认了域名解析异常,但未公布具体原因。事件修复后,阿里云为该域名增加了包括禁止转移、禁止更新、禁止删除在内的锁定措施。
受 DNS 缓存机制影响,即使在官方宣布修复后,部分地区的完全恢复仍需要额外时间等待缓存刷新。目前未发现客户数据泄露的证据。
截至发稿,阿里云尚未发布详细的事故调查报告。
(综合媒体报道)
Anthropic 为 Claude Project 功能添加了上下文检索工具支持,使 Project 内可以放入更多内容,无需受到模型上下文窗口限制(200k Tokens)。
OpenAI 的 ChatGPT 早在同类功能上线之初就采用类似方案。
早前,Anthropic 还将 AI 编程助手 Claude Code 下放给 Cluade Pro 用户而无需按量付费,但 Pro 用户使用的是轻量化的版本,也面临更严格的速率限制。
OpenAI 的 ChatGPT 早在同类功能上线之初就采用类似方案。
早前,Anthropic 还将 AI 编程助手 Claude Code 下放给 Cluade Pro 用户而无需按量付费,但 Pro 用户使用的是轻量化的版本,也面临更严格的速率限制。
6 月 6 日,通义千问(Qwen)团队正式发布 Qwen3-Embedding 系列模型。该系列模型基于 Qwen3 基础模型训练,支持超过 100 种自然语言及多种编程语言。
该系列模型架构灵活,提供 0.6B、2B、8B 三种参数规模。
训练方面,Embedding 模型采用三阶段训练范式:首先利用超大规模弱监督数据进行对比学习预训练,随后基于高质量标注数据进行监督训练,最后通过模型融合提升整体性能。
Reranker 模型则直接基于高质量标注数据进行监督训练。值得一提的是,Embedding 模型在弱监督阶段通过多任务适配的 Prompt 体系,动态生成大规模弱监督文本对,突破了传统数据获取方式的局限。
Qwen3-Embedding 系列已在 Hugging Face、ModelScope 和 GitHub 平台开源。
(通义千问)
该版本新增支持「thinking budget」(推理预算),允许用户控制思考成本/响应时长。
5 月 29 日,德国 AI 初创公司 BlackForestLabs (BFL) 正式发布 FLUX.1 Kontext。
FLUX.1 Kontext 包含两个核心模型:Kontext [pro] 专为迭代编辑工作流设计,支持局部编辑、场景变换和多步骤细化,同时保持角色和风格一致性;Kontext [max] 则提供最高性能,在提示遵循、高级排版处理和渲染质量方面表现出色,且不影响生成速度。
该模型的核心创新在于将传统的文本生图与图像编辑功能融合在单一的「流匹配架构」中,用户可以通过简单的文本指令对现有图像进行精确修改,无需微调或复杂的编辑工作流。
FLUX.1 Kontext 的主要能力包括:角色一致性保持(在不同场景中保持角色身份特征)、局部编辑(针对特定元素进行修改而不影响其他部分)、风格迁移(保持参考图像的独特风格生成新场景)以及交互式的多轮迭代编辑。
目前 Kontext [pro] 和 [max] 模型已通过 BFL API 及 KreaAI、Freepik、Lightricks、LeonardoAI、Replicate、FAL、TogetherAI 等合作平台提供服务,在 Replicate 平台的推理费用约为每张图像 0.04 美元。BFL 还计划推出开放权重的 Kontext [dev] 版本,目前正在进行定向测试。
Chrome 出现高危零日漏洞 CVE-2025-5419
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
另外,通过设置页面新增的网络调试功能,用户可以自主选择是否使用 HTTP/2,这对部分代理场景有兼容性提升。
OpenAI 发布连接器和记录模式,助力企业场景
北京时间 6 月 5 日凌晨,OpenAI 发布了两项ChatGPT 企业功能更新:连接器 (Connectors) 和记录模式 (Record Mode),标志着 ChatGPT 开始深度融入企业工作流程 。
连接器功能可将 ChatGPT 直接连接到企业内部系统,目前支持 Outlook、Microsoft Teams、Gmail、Google Drive、Linear、SharePoint、Dropbox、Box 等主流企业工具 。结合深度研究功能,用户可以通过自然语言指令让 ChatGPT 自动跨平台搜索、分析数据并生成结构化报告。系统严格遵循用户权限体系,仅调用用户有权访问的文档,确保数据安全 。
记录模式首先在 macOS 版 ChatGPT 上线,支持一键录音转写、自动生成会议纪要和提取关键决策要点 。用户可通过自然语言检索会议内容,并要求 ChatGPT 基于历史会议记录生成汇报材料或分析文档 。
企业还可通过模型上下文协议 (Model Context Protocol, MCP) 构建自定义连接器,将私有数据库和内部系统接入 ChatGPT。HubSpot 已成为首个通过 MCP 发布官方连接器的合作伙伴 。
这些功能已向 ChatGPT Team、Enterprise、Edu 用户开放,Plus 和 Pro 用户可使用部分功能。受 GDPR 限制,欧盟地区用户暂时无法使用连接器功能。OpenAI 承诺企业和教育用户的数据不会用于模型训练 。
(综合媒体报道)
北京时间 6 月 5 日凌晨,OpenAI 发布了两项ChatGPT 企业功能更新:连接器 (Connectors) 和记录模式 (Record Mode),标志着 ChatGPT 开始深度融入企业工作流程 。
连接器功能可将 ChatGPT 直接连接到企业内部系统,目前支持 Outlook、Microsoft Teams、Gmail、Google Drive、Linear、SharePoint、Dropbox、Box 等主流企业工具 。结合深度研究功能,用户可以通过自然语言指令让 ChatGPT 自动跨平台搜索、分析数据并生成结构化报告。系统严格遵循用户权限体系,仅调用用户有权访问的文档,确保数据安全 。
记录模式首先在 macOS 版 ChatGPT 上线,支持一键录音转写、自动生成会议纪要和提取关键决策要点 。用户可通过自然语言检索会议内容,并要求 ChatGPT 基于历史会议记录生成汇报材料或分析文档 。
企业还可通过模型上下文协议 (Model Context Protocol, MCP) 构建自定义连接器,将私有数据库和内部系统接入 ChatGPT。HubSpot 已成为首个通过 MCP 发布官方连接器的合作伙伴 。
这些功能已向 ChatGPT Team、Enterprise、Edu 用户开放,Plus 和 Pro 用户可使用部分功能。受 GDPR 限制,欧盟地区用户暂时无法使用连接器功能。OpenAI 承诺企业和教育用户的数据不会用于模型训练 。
(综合媒体报道)
6 月 2 日是独立搜索引擎 Kagi 发布三周年。Kagi 目前拥有近 5 万名付费用户,自去年同期起已实现盈亏平衡。
Kagi 由 Vladimir Prelovac 创立,采用付费订阅模式,承诺不追踪用户、不投放广告。该公司将自己定位为「互联网公司」,致力于构建包含搜索、浏览器和电子邮件的完整生态系统。目前 Kagi 已推出搜索引擎、Orion 浏览器、AI 助手 (Assistant)、翻译工具 (Translate) 等产品。
在产品路线图方面,Kagi 计划今年推出多项新功能。包括 Kagi Mail 电子邮件服务、搜索 API 正式版本、Orion 浏览器 1.0 版本、Kagi Maps 地图服务,以及面向教育机构的 Kagi for Education。
在隐私保护方面,Kagi 今年集成了 Privacy Pass 技术,从技术层面确保搜索记录无法与用户账户关联。公司还推出了 Tor 洋葱服务,并完成了安全审计和漏洞赏金计划。
Kagi 表示,其长期目标是在 5 到 9 年内达到 500 万用户,实现 10 亿美元年收入,同时保持团队规模在邓巴数 (Dunbar's number) 一半以下。公司创始人强调,这一目标体现了对抗注意力经济、为用户提供以人为本的互联网体验的使命。
目前全球仅有 5 家公司同时提供搜索引擎、浏览器和电子邮件服务的完整生态,其余 4 家 (Alphabet[即Google 的母公司]、Microsoft、Yandex、百度、Naver) 均采用广告驱动的商业模式。
(Kagi Blog)
2025 年 5 月 24 日,知名开源对象存储项目 MinIO 发布了一个引发社区强烈争议的版本更新。此次更新以「简化控制台」为名,删除了 114,736 行代码,将原本功能完整的 Web 管理界面大幅精简为仅具备对象浏览功能的基础界面。
被移除的功能包括用户账户管理、访问策略配置、存储桶 (Bucket) 管理工具以及系统配置等核心管理功能。用户现在无法通过 Web 界面执行任何管理员级别的操作,所有管理任务被强制转移到 mc 命令行工具。
MinIO 联合创始人 Harshavardhana 在 GitHub 讨论中表示,维护社区版和商业版的双套图形界面需要「包括设计、用户体验、前后端开发以及安全测试在内的整个团队」投入,对社区版而言成本过高。他建议需要图形化管理的用户转向该公司的商业产品 AIStor,或改用命令行工具。
开源社区普遍认为这是商业利益驱动的决策,是在没有预先通知的情况下强制推动商业化的行为。有用户在 Reddit 等平台发帖警告「避免使用 MinIO」,认为这是典型的「特洛伊木马式更新」。随后 MinIO 锁定了相关 GitHub 讨论。
作为回应,社区迅速启动了名为 OpenMaxIO 的分叉项目,致力于恢复被删除的管理功能。同时,SeaweedFS、Garage 等替代方案也获得了更多关注。
(Github PR) (详细报道)
——————
本频强烈谴责 MinIO 以削减开源版本竞争力来将用户引流至付费版本的做法。
本频建议,在采用开源基础设施时,应当留意其未来发展和授权策略变化,提前备好应对方案,以免陷入类似 MinIO 这样功能突遭削减的困境。也期待 MinIO 及更多开源企业能从中吸取经验,在商业利益与开源精神之间找到更稳健的平衡。
React Router v7 已将 Remix 的核心功能完全整合进来,包括服务端渲染、代码分割和实验性的 React Server Components (RSC) 支持。这为现有的数百万 React Router 项目提供了升级到现代全栈开发的平滑路径。
RSC 是这次更新的亮点,它允许开发者在服务器端渲染组件,然后将结果传送到客户端,实现了更高效的数据加载和更好的性能表现。
Remix v3 将放弃 React 转而基于 Preact 重新构建。团队希望通过这种方式获得完全的技术栈控制权,并专门为 AI 辅助开发进行优化。新框架强调对React 零依赖和运行时优先的设计原则。
(Remix Blog)
