你可能错过的新鲜事

高通接触英特尔探讨收购意向

据《华尔街日报》报道,高通近期接洽英特尔,提议收购。若交易达成,将成为近年来规模最大、影响最深远的科技行业并购案,价值也可能创下历史新高。

英特尔曾是全球市值最高的芯片公司,但近年来业绩不佳,今年股价已下跌约 60%,市值较 2020 年峰值缩水三分之二。现任 CEO Pat Gelsinger 上任后力推转型,但尚未取得显著成效。英特尔近期宣布裁员、暂停派息等一系列措施,并计划进一步拆分芯片制造和设计业务。如能收购英特尔,高通的业务范围将大幅扩展,成为涵盖个人电脑、服务器等更广泛领域的芯片巨头。

不过,这笔交易能否达成尚不确定。即使英特尔方面有意向,如此规模的并购也必将面临严格的反垄断审查。高通可能需要出售部分资产或业务才能获得监管部门的批准。分析人士认为,英特尔的制造业务目前处于亏损状态,拆分后能否独立运营也存在疑问。

Arc 浏览器漏洞允许向他人账户注入恶意代码

近日,署名为 eva 的安全研究人员公布了 Arc 浏览器曾存在的一处严重安全漏洞 (CVE-2024-45489),攻击者可利用该漏洞向他人账户注入恶意代码,篡改对方所浏览的网页。

该漏洞利用了 Arc 的 Boost 功能。Boost 本质上是对广告拦截器、userscript 和 userstyle 管理器等常见扩展功能的非开源实现和营销式包装。通过该功能,用户可以屏蔽网页干扰元素,并向网页注入自定义 CSS 和 JavaScript,从而改变网页的外观和功能;创建好的 Boost 还可以与他人共享。

但是,由于 Arc 用于同步 Boost 的数据库服务 Firebase 配置不当,攻击者可以创建包含恶意代码的 Boost,然后无需身份认证即可将其转移至其他用户名下,使其同步到被攻击者的 Arc 中运行。文章还指出 Boost 功能会向服务器发送用户访问的网站信息,这违反了 Arc 的隐私政策。

对此,Arc 回应称已于 8 月 26 日修复该漏洞,未发现用户受此影响,并向提报者支付了 2000 美元奖金。Arc 还表示,将在新版本中增加禁用 Boost 功能的选项,对数据库权限做全面审查,并逐步停止使用 Firebase 服务;还会招聘安全工程师,启动漏洞赏金计划。但是,现有评论普遍质疑 Arc 回应不够公开、充分,提供的报酬也显著低于一般标准。

谷歌提议尽快改变域名证书申请认证机制

Ars Technica 报道,近日,在负责制定域名证书颁发流程的行业组织 CA/Browser Forum 上,谷歌提议在今年 11 月停止使用邮箱验证申请者身份,以回应近期引起注意的一项安全漏洞。

域名证书是 HTTPS 连接的加密凭证,用于验证服务器身份和加密网络流量。申请证书需要验证对域名的权限,目前的常见方式是向域名 WHOIS 记录中列出的邮件地址发送验证链接。然而,近期有研究人员发现,流行顶级域名 .mobi 的 WHOIS 服务器已搬迁,原地址域名已过期。但因为证书颁发机构未能及时更新该信息,研究人员通过抢注上述过期域名、搭建虚假 WHOIS 服务器,得以成功冒领使用 .mobi 域名的各类网站证书,进而能冒充这些网站的身份。

谷歌的提议获得了许多支持,但也有同业厂商提出异议,因为目前已知的漏洞仅影响单个顶级域名,并且提议的过渡时间过短。如亚马逊指出,AWS 内部已开始逐步淘汰对 WHOIS 记录的依赖,但建议将截止日期延长至明年 4 月底;证书颁发机构 Digicert 也支持延长截止日期,并提议使用更现代的注册数据访问协议(RDAP)来验证域名。该提议后续有待投票决议。

美国科技行业工作岗位枯竭

据《华尔街日报》报道,曾经炙手可热的美国科技行业如今面临就业寒冬,招聘岗位大幅减少,薪资增速放缓,即使是经验丰富的应聘者也面临着前所未有的求职困境。

报道援引第三方数据称,美国科技行业的软件开发岗位自 2020 年 2 月以来减少了 30% 以上,今年科技公司裁员人数已达 13.7 万。行业薪资水平和晋升速度也出现了明显下降,2024 年科技行业工资平均增幅仅为 0.95%,中型软件服务公司初级岗位的股权激励自 2019 年以来平均下降了 55%。企业在招聘时的要求也越来越高,除了专业技能,还以协作能力等软技能作为条件。一些经验丰富的工程师不得不接受降薪才能找到工作;应届毕业生和转行者投递了数百份简历却依然无法获得面试机会。

据文章分析,科技公司战略的转变是导致就业市场萎缩的主要原因。随着经济增长放缓,科技公司纷纷削减成本,将重点转向盈利产品和服务,减少了对初级员工的招聘,并裁撤了 VR 等非核心领域的项目和岗位。不过,由于 AI 领域异常火爆,相关岗位成为少见的招聘热点。

微软公布新插图设计,转向立体、高饱和风格

近日,微软设计团队发布博客文章,宣布了 Fluent 插图风格的重大更新。微软宣称,新的风格遵循「人性化、活力、立体」三大原则,力求更贴近用户情感,减少认知负担,并与微软品牌形象保持一致。

Gallery of evolved Fluent illustrations

文章说,此前,微软以扁平化、矢量插图为主,在用户调研中被认为缺乏趣味和情感。为了「与时俱进」,新风格采用更鲜艳的颜色组合,并融入 3D 元素,更加注重与界面文字、布局的协调。在具体设计上,新插图更多使用符号和隐喻,避免刻板印象,跨越文化差异。例如,用一个简单的灯泡符号代表「想法」,而不是描绘特定职业场景中的人物。此外,通过重复使用相同的设计元素,增强用户对产品生态系统的熟悉感。

自 2017 年推出以来,微软 Fluent 设计系统已经经历多次重新设计,主要批评观点包括推广不力、变更频繁、形式大于实质等。

京淘淘回应「卷款 20 亿元跑路」

据澎湃新闻报道,近日,「羊毛党『薅羊毛』反被平台卷走 20 亿元」一事在网络上发酵。该事件源于知名博主的发文,其中批评京淘淘打着「全民仅退款」的口号吸引用户下单,「然而等主力人群下单收货申请仅退款后,系统显示 30 天后到账」,但近日「平台突然跑路了,号称卷走了 20 个亿」。

对此,9 月 22 日,京淘淘相关负责人回应澎湃新闻称没有「跑路」;网上部分用户反映无法退款的问题,是因为被「羊毛党」薅走 1.8 亿元左右,立即作出风控预警,因内部排查导致用户退款延迟,将确保所有符合退款条件的申请陆续得到处理。

京淘淘在上线时就宣传「全民仅退款」,因可以购物后申请全额退款受到一些用户追捧。但在该平台购物首先要购买季度费用从 188 元至 28888 元不等的会员;签收商品后,还需要完成复杂的「配套任务」,才可以发起仅退款申请。此外,据观察,该平台「全民仅退款价格」普遍比「直接购买价格」高出 6—7 倍。但京淘淘方面称,在设计模式时,是经过内部商业模型测算的,充分考虑了用户体验和公平性,确保会员收费与服务相匹配。

看看就行的小道消息

  • 9 月 21 日,《纽约时报》发布了一篇前苹果设计总监 Jony Ive 的专访文章,Ive 在受访时确认正在与 OpenAI CEO Sam Altman 联合设计面向个人的 AI 硬件,目前正寻求外部投资。该项目目前只有 10 名员工,其中包括两名曾参与 iPhone 设计的前苹果员工。
  • 据《财富》报道,OpenAI 拟将公司标志换成一个黑色字母 O,但在内部会议中引起了很多员工的惊讶和不满,批评其不吉利、没有创意。该标志是 OpenAI 新组建的内部设计团队所做。

少数派的近期动态

  • 近日的核聚变北京站,少数派旗下 BitmoLabBANG!CASE 及新品 GAMEBABY 参展。我们将陆续更新新品预售信息,敬请关注。
  • 不割手的水獭刀,随身带着随时用:Slice #00200 开箱刀「拆獭」特别版,帮你丝滑的拆开日常生活的大小包装,首发特惠 ¥45 元起。进一步了解
  • 少数派 PiPods 真无线耳机清仓特卖只需 199:音质出色、功能全面的无线耳机,105db 高灵敏度,PET + 碳金复合材料振膜,音乐/游戏双模式,半入耳式设计,舒适贴耳。进一步了解

你可能错过的好文章