IT之家 5 月 6 日消息,微软威胁情报团队在领英发布警告称,目前有不少黑客冒充 DeepSeek V4 模型名义,在 GitHub 创建虚假仓库,诱导用户下载所谓“模型文件”,相应“模型文件”实为 Vidar、GhostSocks 等木马。 微软指出,此次事件属于“蹭热点”攻击,黑客只是借用 DeepSeek 名称作为诱饵进行钓鱼,DeepSeek 官方代码和账号本身并未被入侵。官方强调,DeepSeek V4 是通过 API 和 Hugging Face 发布,并没有在 GitHub 上提供模型仓库。如果用户通过“DeepSeek v4 weights GitHub”等关键词搜索,很可能会优先看到这些恶意仓库及其分支版本。 从整体来看,如今黑客正大肆利用热门 AI 模型名义传播恶意软件,用户在下载相关资源时需要格外谨慎。目前 GitHub 已关闭部分恶意仓库并封禁账号,以防止恶意内容进一步传播。
IT之家 4 月 30 日消息,DeepSeek 在 GitHub 平台正式发布了其多模态大模型,并同步公开了配套技术报告。该报告提出了一种基于“视觉原语”的创新推理框架,旨在突破当前多模态大语言模型(MLLMs)在空间参照任务中的核心瓶颈。 技术报告指出,尽管多模态大语言模型近年来取得长足进步,但主流的链式思维(CoT)推理范式仍主要局限于语言学领域。现有研究多聚焦于通过高分辨率图像裁剪等技术手段弥合“感知鸿沟”,即提升模型对视觉细节的识别能力。然而,DeepSeek 团队认为,这一思路忽视了一个更为根本的限制:参照鸿沟。 自然语言固有的模糊性使其难以对复杂的空间布局提供精确、明确的指引。当模型需要执行涉及严谨空间参照的任务时,这种语言表达的局限性往往导致推理链条断裂,出现逻辑崩溃。 针对上述问题,DeepSeek 提出了“基于视觉原语的思考”(Thinking with Visual Primitives)框架。该框架将点、边界框等空间标记从单纯的视觉输入元素,提升为推理过程中的“基本思维单元”。通过将这些视觉原语直接嵌入模型的思考链路,DeepSeek 使模型在推理过程中具备了“指代”能力 —— 即能够将抽象的认知轨迹锚定到图像的具体物理坐标上,从而实现对空间关系的精确推演。 技术报告披露,该框架采用了高度优化的模型架构,具备极高的视觉标记效率。尽管模型规模紧凑且图像标记预算显著较低,DeepSeek 的多模态模型在具有挑战性的计数和空间推理基准测试上,能够与 GPT-5.4、Claude-Sonnet-4.6 和 Gemini-3-Flash 等前沿模型匹配。这为开发更高效、更具可扩展性的 System-2 类多模态智能指明了方向。 IT之家注意到,DeepSeek 此前已经上线了“识图模式”,该模式和“快速模式”“专家模式”并列,并非简单的 OCR 文字,而是终于具备了多模态识别能力。
IT之家 4 月 29 日消息,GitHub 依旧是开发者领域的主流平台,围绕代码托管、团队协作与开源开发形成了庞大的生态体系。即便在被微软收购之后,GitHub 仍保持自然增长态势,这一势头一直延续到去年。而 2025 年初,AI 编程热潮开始进一步推高 GitHub 的使用量。此后,随着智能体在开发者群体中成为主流,GitHub 的用户使用规模迎来了前所未有的爆发式增长。 IT之家注意到,GitHub 于 2025 年 10 月启动了一项扩容计划,目标是将平台承载能力提升至原有 10 倍,以此应对激增的需求。然而到 2026 年 2 月,公司意识到,未来的业务规模或将达到当前的 30 倍,必须提前做好布局。这种空前的增长压力,已严重拖累了平台的稳定性。事实上,过去数月间,GitHub 不仅发生过数次影响广大开发者的重大故障,还出现了多起小规模服务中断事件。 今日,GitHub 团队发布官方博客,就平台现状作出说明。概括而言, 团队目前正在重构部分底层基础设施 ,旨在提升平台的可用性、可扩展性与抗故障能力。人工智能赋能的软件开发,使得代码仓库创建、合并请求活跃度、接口调用、自动化流程以及大型仓库负载等各项业务均迎来极速增长。以 GitHub 如今的体量来看,任何子系统中微小的效率短板,久而久之都会演变成严重的系统性问题。 对于复杂的网络服务而言,服务中断本是常见现象,但 GitHub 频发的故障已引发用户公开抱怨。知名项目 Ghostty 的开发者米切尔・桥本今日也发布博客表示,由于近几个月平台频繁出现稳定性问题,他决定将 Ghostly 项目从 GitHub 迁移至其他平台。 为解决用户面临的各类问题,GitHub 团队现已确立优先级排序:优先保障服务可用性,其次扩充承载容量,最后再迭代新功能。过去几个月里,团队已完成多项优化,化解了多处性能瓶颈。同时,GitHub 将部分算力需求迁移至微软 Azure 云平台后,得以根据业务负载灵活弹性扩容。为进一步降低故障影响,GitHub 正将 Git、GitHub Actions 等核心关键服务与其他业务负载进行物理隔离。官方还证实,正在推进多云架构建设,以全面提升平台的容灾抗风险能力。 GitHub 还披露了近期两起故障事件的详细情况: 4 月 23 日,平台出现功能回退问题,导致合并队列功能异常,此次故障共计影响 658 个代码仓库、2092 个合并请求。 4 月 27 日,平台 Elasticsearch 搜索引擎子系统突发独立故障,目前官方仍在开展根本原因分析。GitHub 表示,本次事件未造成任何数据丢失,Git 基础操作与开放接口服务均未受波及,但依赖搜索功能的部分页面无法展示检索结果,给用户使用造成了明显困扰。 GitHub 在博客文末再次致歉,并承诺将持续致力于提升服务可用性、增强平台抗故障能力,同时优化故障发生期间及事后的官方沟通机制。
IT之家 4 月 29 日消息,安全机构 Wiz Research 昨日(4 月 28 日)发布博文,披露 GitHub 存在严重漏洞 CVE-2026-3854。攻击者仅需一条标准 git push 命令, 即可触发远程代码执行,进而访问数百万公共和私有仓库。 该漏洞追踪编号为 CVE-2026-3854,任何经过身份验证的用户只需执行标准的 git push 命令,就能在 GitHub 后端服务器上执行任意代码。 GitHub 远程代码执行漏洞 CVE-2026-3854 该漏洞源于 GitHub 内部 X-Stat 标头的注入缺陷。X-Stat 是一个用分号分隔的协议,负责在内部服务间传递安全元数据。 当用户运行带有选项的 git push 命令后,GitHub 的 babeld 代理会直接将用户提供的字符串嵌入 X-Stat 标头,且未过滤分号。 由于标头解析器采用“最后写入生效”逻辑,攻击者只需注入分号和字段名,就能悄悄覆盖服务器已设定的安全配置。研究员将三个注入字段串联,成功实现完整的远程代码执行。 根据博文披露的攻击路径,为了绕过生产沙箱,攻击链首先覆盖 rails_env 字段,接着通过 custom_hooks_dir 重定向钩子脚本目录。 最后,攻击者利用 repo_pre_receive_hooks 投递路径遍历有效载荷,迫使系统以 git 服务用户身份执行任意安装文件,从而获取完整的文件系统访问权限。 在 GitHub 企业版服务器(GHES)上,这会导致服务器完全沦陷。而在 GitHub.com 上,攻击者注入额外标志触发企业模式行为后,同样能入侵共享存储节点。这些节点托管着数百万账户仓库,攻击者借此可读取任意代码数据。 GitHub 在接获报告后 6 小时内修复了云端平台,并发布 GHES 补丁。然而 Wiz 警告,目前仍有 88% 的 GHES 实例未升级,管理员必须立即更新至 3.19.3 或更高版本。 此次漏洞挖掘过程使用了 AI 辅助逆向工程工具 IDA MCP,这是安全界首次利用 AI 工具在闭源安装文件中发现如此严重的底层漏洞,证明 AI 技术正在重塑复杂的安全研究工作流。 IT之家附上参考地址 Securing GitHub: Wiz Research uncovers Remote Code Execution in GitHub.com and GitHub Enterprise Server (CVE-2026-3854)
IT之家 4 月 28 日消息,微软旗下 GitHub 今日宣布,其 AI 编程工具 GitHub Copilot 将自 2026 年 6 月 1 日起从固定额度订阅制全面转向按使用量计费模式。 届时,所有 Copilot 计划将不再采用“高级请求”(Premium Request)计数,而是每月为每个订阅分配一定数量的 GitHub AI Credits,付费用户可额外购买额度。用量将根据 Token 消耗计算,包括输入、输出及缓存 Token,具体费率按各模型的公开 API 定价执行。 GitHub 解释称,Copilot 已从编辑器内辅助工具演变为一个智能体平台,能够执行长时间、多步骤的自主编码会话,并调用最新模型遍历整个仓库,现有的 PRU 计费方式已难以为继。按使用量计费有助于维持长期服务可靠性,并减少对重度用户的限制。 同时,GitHub Copilot 基础订阅价格维持不变: Copilot Pro 仍为 10 美元 / 月,每月含 10 美元(现汇率约合 68.4 元人民币) AI Credits 额度; Copilot Pro+ 仍为 39 美元 / 月,每月含 39 美元(现汇率约合 266.8 元人民币) AI Credits 额度; Copilot Business 为 19 美元 / 人 / 月,Copilot Enterprise 为 39 美元 / 人 / 月,均包含等值的月度 AI Credits 额度。 代码补全(code completions)和 Next Edit 建议功能仍包含在各订阅计划内,且不消耗 AI Credits。Copilot 代码审查功能除消耗 AI Credits 外,还将消耗 GitHub Actions 运行时长。 IT之家提醒:企业级客户在此次调整中可获得更高的灵活性。Copilot Business 和 Enterprise 用户将拥有整个组织共享的额度池,轻量用户的未使用额度可抵消同组织内重度用户的消耗。 为进一步协助过渡,GitHub 将为 Business 和 Enterprise 客户提供 6 月、7 月、8 月三个月的促销额度:Business 每月额外获得 30 美元 AI Credits,Enterprise 每月额外获得 70 美元。管理员还可按企业、成本中心或用户级别设置预算限额,并选择是否允许超额使用。 对于已有的年度订阅用户,GitHub 采取了特殊的过渡安排。已购买年度版 Pro 或 Pro+ 的用户将继续维持原有的按请求计费条款,直至计划期满,但从 6 月 1 日起模型乘数将显著提升;用户在年度计划到期后将自动转为 Copilot Free 模式,并可选择升级为月度付费计划,或将年度计划提前转换为月度计划,剩余价值将按比例折算为 Credits。 GitHub 还计划于 5 月初推出计费预览体验,用户和管理员可在 6 月全面上线前了解预估成本。开发者社区的初步反应各异,部分用户担心按量计费将使成本更难预测,也有人认为重度用户可能因此支付更高费用,而轻度用户则有望降低成本。GitHub 表示,过去一周已对 Copilot Individual 计划(包括 Free、Pro、Pro+ 和 Student)实施了临时调整以改善可靠性和性能,在按量计费正式生效后将放宽这些使用限制。
IT之家 4 月 23 日消息,本周早些时候,微软宣布将暂停 GitHub Copilot Pro、Pro+ 及学生版套餐的新用户注册,以便更高效地服务现有客户,这一举动出乎所有人意料。此外,微软还宣布下调个人版套餐的使用额度,并从 Pro 套餐中移除 Claude Opus 模型。 得益于 AI 模型的升级及其智能体能力的提升,过去几个月里 GitHub Copilot 的使用量出现了暴增。这一现象并非 GitHub Copilot 独有;近几周,AI 编程领域目前的领军企业 Anthropic 也开始增设多项新限制,并下调使用额度。 IT之家注意到,AI 编程工具的订阅制模式似乎已走到尽头。即便对微软、Anthropic 这类大型 AI 公司而言,每月 20–30 美元的定价模式也难以为继。Anthropic 已面向企业客户推出按词元(token)计费模式,而 GitHub Copilot 也正朝着同一方向调整。 埃德・齐特伦的专栏《Where's Your Ed At》今日证实,GitHub Copilot 将于 6 月 1 日起转为按词元计费,官方公告预计将于本周发布。目前,GitHub Copilot 用户根据订阅套餐享有固定的“请求次数”额度,例如 Pro 套餐每月 300 次,Pro+ 套餐每月 1500 次。 后续 GitHub Copilot 将不再以“请求次数”计费,改为按输入与输出词元的实际成本收费。举例来说,若选用 GPT-5.4 模型,开发者需为每百万输入词元支付 2.50 美元,每百万输出词元支付 15 美元。 用户仍需按月支付订阅费才能使用 GitHub Copilot 平台,但不再享有固定次数的高级请求额度,而是根据订阅等级获得对应数量的 AI 词元。企业版 GitHub Copilot 用户将获得共享 AI 额度,可在组织内部统一调配使用。 据埃德・齐特伦消息,每月付费 19 美元的 GitHub Copilot Business 客户将获得价值 30 美元的共享 AI 额度,每月付费 39 美元的 Copilot Enterprise 客户则将获得价值 70 美元的共享 AI 额度。
IT之家 4 月 21 日消息,当地时间 4 月 20 日,GitHub 官方发布博文,宣布调整 GitHub Copilot 个人订阅方案。 为了优先保障现有付费用户的服务质量,官方称将 暂停 Student(学生版)、Pro 和 Pro+ 方案的新用户注册 。Copilot Free(免费版)仍向新用户开放,且现有用户仍可在不同方案之间进行升级。 此外, 个人方案的使用限制更加严格 ,GitHub 表示 Pro+ 方案提供的使用额度是 Pro 版的 5 倍以上 , 需要更高额度的 Pro 方案用户可以升级到 Pro+,用量进度追踪功能也即将推出。 IT之家获悉, Copilot Pro 方案将不再提供 Opus 模型 。Opus 4.7 目前在 Pro+ 方案中仍可使用,Opus 4.5 和 4.6 则将从 Pro+ 中移除。 官方表示,如果用户遇到了意料之外的限制,或者这些变动不符合用户需求, 可以取消 Pro 或 Pro+ 订阅,不会收取 4 月份的使用费用 。用户可在 4 月 20 日至 5 月 20 日期间联系 GitHub 支持团队办理退款。
IT之家 4 月 18 日消息,科技媒体 NeoWin 昨日(4 月 17 日)发布博文,报道称在 Anthropic 发布 Claude Opus 4.7 模型后,微软打破与 OpenAI 的排他性合作惯例, 在其 GitHub Copilot 等 9 大开发环境中首日集成支持。 IT之家注:Claude Opus 4.7 是 Opus 系列最强版本,大幅增强在复杂软件工程任务处理能力,能够更稳定地执行长时间运行任务,同时在视觉能力方面实现重大突破。 有别于以往,微软不再局限于 OpenAI 的 GPT 系列模型,于去年底开始在 Microsoft Foundry 中提供 Claude 模型支持,并逐步扩展至旗下多款产品。 GitHub Copilot 率先集成 Claude Opus 4.7,覆盖 Visual Studio Code、Visual Studio、Copilot CLI 等 9 大开发环境。GitHub 团队宣布,未来几周内 Opus 4.7 将取代 Opus 4.5 和 4.6,成为 Copilot Pro+ 用户的模型选择器默认选项。 Microsoft 365 Copilot 用户现已可在 Copilot Cowork 前沿计划、Copilot Studio 早期发布环境及 Excel 中调用 Claude Opus 4.7。 相关阅读: 《 高阶编程能力提升,Anthropic 发布 Claude Opus 4.7 模型 》
IT之家 4 月 16 日消息,微软今天更新发布 Visual Studio Code 1.116 版本,内置 GitHub Copilot 为默认功能, 用户无需安装扩展,首次启动即可直接使用 AI 辅助编程功能。 针对 AI 调试体验,新版本引入了 Agent Debug Logs 功能。该面板以时间轴形式,记录聊天会话中的所有智能体交互事件,开发者可查看当前会话及历史会话的完整日志。这一功能让用户能够清晰追踪提示词发送后的具体执行流程,便于调试自定义聊天行为,快速定位问题。 在 Copilot CLI 方面,1.116 版本增加支持推理模型思考强度。用户可通过语言模型选择器挑选推理模型,并调整思考强度等级。不同模型提供不同等级选项,非推理模型则不显示此功能。 本次更新还优化终端体验,send_to_terminal 和 get_terminal_output 工具现已支持前台终端操作,可直接读取可见终端面板中的输出,并向运行中的 REPL 或交互脚本发送输入。 参考 Visual Studio Code 1.116 更新日志 Visual Studio Code 下载地址