YOHO AI

标签: AI

  • Tabby:32K Stars!开源自托管AI编程助手,让代码补全完全私有化

    Tabby:32K Stars!开源自托管AI编程助手,让代码补全完全私有化

    Tabby – 开源自托管AI编程助手

    🚀 项目简介

    Tabby 是一款完全开源、可自托管的AI编程助手,是 GitHub Copilot 的完美替代品。支持团队在本地或私有服务器上运行属于自己的代码补全引擎,100% 保障代码隐私安全。

    32K+
    GitHub Stars
    100%
    开源免费
    多IDE
    全面支持

    ⚙️ 安装要求和过程

    环境要求

    • Python 3.8+ 或 Docker 环境
    • CPU版:4GB RAM(StarCoder-1B)
    • GPU版:16GB RAM + NVIDIA GPU(推荐)
    • 支持 Windows / macOS / Linux

    快速安装(Docker方式 – 官方推荐)

    # CPU版本
mkdir -p ~/tabby/data
docker run -it \
  --gpus all \
  -p 8080:8080 \
  -v $HOME/tabby/data:/data \
  -e TABBY_MODEL_REGISTRY=/data \
  tabbyml/tabby \
  serve --model StarCoder-1B --device cpu

# GPU加速版本(需NVIDIA Container Toolkit)
docker run -it \
  --gpus all \
  -p 8080:8080 \
  -v $HOME/tabby/data:/data \
  tabbyml/tabby \
  serve --model StarCoder-1B --device cuda

    本地直接安装

    # 通过Cargo安装(需Rust环境)
cargo install tabby

# 或直接下载预编译二进制
# 从 GitHub Releases 下载对应平台版本
tabby serve --model StarCoder-1B --device cpu

    IDE插件安装

    • VS Code:扩展市场搜索 “Tabby” 安装
    • JetBrains:IntelliJ IDEA / PyCharm / WebStorm 等在 Settings → Plugins 搜索 “Tabby”

    ✨ 核心功能

    🔐 完全自托管,代码100%隐私
    所有代码补全请求在本地或私有服务器完成,代码绝不离开你的基础设施,彻底解决代码泄露风险。
    🤖 多模型兼容
    支持 StarCoder、CodeLlama、DeepSeek Coder、CodeGen 等主流开源代码大模型,可按需选择和切换。
    ⚡ 全链路性能优化
    IDE插件端通过自适应缓存策略实现精准流式输出,补全响应速度小于1秒;模型服务侧解析代码为Tree Sitter标签,生成更有效提示词。
    🛠️ 支持离线使用与自定义训练
    模型下载完成后无需网络连接即可运行;支持基于自有代码库对模型进行微调,适配团队专属代码风格。
    🌍 多语言支持
    覆盖 Python、JavaScript/TypeScript、Java、Go、Rust、C++、Ruby、PHP 等主流开发语言。

    🎯 典型使用场景

    场景一:企业私有化部署AI编程助手

    对代码安全性要求高的企业/团队,可通过Tabby在私有服务器或Kubernetes集群上部署AI代码补全服务,让团队成员享受AI编程效率提升的同时,确保核心代码资产不泄露到第三方云服务。

    场景二:个人开发者本地AI编程

    个人开发者可在本地机器上运行Tabby,使用StarCoder-3B等中等规模模型,在CPU上流畅运行,享受免费、私密、低延迟的代码补全体验,完全替代付费的GitHub Copilot订阅。

    场景三:基于自有代码库训练专属模型

    团队可将自有代码库用于微调Tabby背后的代码大模型,使AI补全建议更贴合团队编码风格和业务逻辑,有效提升代码生成的相关性和准确性。

    💡 推荐理由

    作为一款开源AI编程助手,Tabby最打动我的是它对「代码隐私」的极致重视。在AI编程助手遍地开花的今天,大多数方案都要求你把代码发送到第三方云服务,而Tabby让一切都在你的掌控之中。

    它的部署灵活性也令人印象深刻——从轻量的CPU模式到高性能的GPU加速,从单机部署到Kubernetes集群,从个人使用到企业级权限管理,Tabby都能很好适配。加上它对多种开源代码模型的良好支持,你可以根据硬件条件和补全质量需求灵活选择。

    如果你在意代码安全、希望摆脱SaaS订阅费用、或者想深入了解AI编程助手的工作原理,Tabby绝对值得一试。这也是它能在GitHub上获得32K+ Stars、成为Copilot最佳开源替代品的原因。

    📊 支持模型与配置参考

    模型名称 参数规模 推荐配置 补全质量
    StarCoder-1B 1B 4GB RAM,CPU运行 基础
    StarCoder-3B 3B 8GB RAM,CPU运行 良好
    CodeLlama-7B 7B 16GB RAM,GPU运行 优秀
    DeepSeek-Coder-6.7B 6.7B 16GB RAM,GPU运行 优秀
    StarCoder-15B 15B 32GB RAM,GPU运行 最佳

    官方推荐大多数普通开发者选择 StarCoder-3B,在CPU上也可流畅运行,补全质量均衡。

    📥 下载地址

    🔥 对AI开源项目感兴趣?欢迎关注本栏目,每周带你发现最值得关注的GitHub热门AI项目!

  • 微软憋了很久的个人AI助理终于来了:Scout能替你接电话、安排行程,还能主动提醒你

    微软最近在Build大会上放了个新东西——一款叫Scout的AI个人助理,号称是他们在个人助理领域的第一次真正尝试。和之前嵌入在Microsoft 365应用里的Copilot不同,Scout是独立的、能力更强的个人助理,可以7×24小时运行,深度集成到你工作和生活的各个场景里。

    Scout和Copilot有什么不一样?

    之前的Copilot更像是一个”聊天机器人”,你得主动找它,它才会帮你做事。但Scout不一样,它是真正的”个人助理”——可以主动帮你处理事情,比如安排会议、报销费用、草拟邮件,甚至监控你的路况和日程,提醒你该出发去接孩子或者赴晚餐约会了。

    微软Scout企业副总裁Omar Shahine说:”这是一款个人助理,是我们首次向客户提供的真正的个人助理。用户需要明白,这个助理可以给你打电话,这是和聊天类AI完全不同的产品形态。”

    它能主动帮你做什么?

    Scout会在后台读取你的Teams对话、会议记录和邮件,自主学习对你重要的信息,然后主动推送相关内容。比如它知道你今天下午有个会议,它会提前提醒你准备资料;知道你每周五要去超市,它会帮你列好购物清单。

    现在Scout已经在微软内部测试了一段时间,有超过3000名员工正在使用。大家用它来安排会议、处理文书工作、预订差旅、填写表格,甚至还有人用它来追踪自己的健身目标——用Shahine的话说,”很多人用它来成为更好的自己,我们都有想要实现的目标,但往往因为没时间或者精力不够而无法完成,Scout可以帮到他们。”

    微软Scout AI个人助理示意图
    微软Scout AI个人助理可以深度集成Microsoft 365应用

    安全问题怎么解决?

    很多人可能会担心:Scout要访问我的Teams、邮件、日程,会不会泄露隐私?微软说他们已经考虑到了这一点——Scout运行在沙盒化的云环境里,默认被视为不可信程序,它不会获取任何密钥,也无法直接访问你的Microsoft 365数据。

    除此之外,微软还会用自家的全套安全能力管控Scout,包括Agent 365、Purview、Defender,同时会做常规的红队测试、隐私审查和安全审查,确保符合企业环境的安全要求。Shahine表示:”我们采取了微软运营服务、保护服务的一贯措施,我对这些做法很有信心。OpenClaw的能力非常强大,所以我们也会给客户预装一套精选的功能集合。”

    有意思的是,微软并没有开发OpenClaw的独立定制版本,而是直接为这个开源项目的核心技术做贡献。此前几个月,微软CEO Satya Nadella还曾把OpenClaw类比为”病毒”,OpenClaw的AI”技能”扩展也一直被安全从业者视为”安全噩梦”。现在微软用实际行动表明了态度——不是自己重造轮子,而是把开源项目变成企业级产品。

  • 谷歌给安卓加了道通话防火墙:AI深度伪造的诈骗电话,现在能自动识别了

    你有没有接过那种电话——来电显示是”Mom”,声音听起来也像,但对方一开口就要你转钱救急?最近这类AI深度伪造的诈骗电话越来越多了,谷歌终于给安卓用户出了个针对性的功能。

    AI诈骗电话是怎么骗过你的?

    诈骗者现在的套路是:先 spoof 一个你信任的号码(比如家人的号码),再用AI深度伪造技术把声音模仿得一模一样。你一看来电显示是”Mom”,声音也对,很容易就信了,等发现不对劲的时候,钱可能已经转出去了。

    谷歌在官方博客里解释:”如果一个诈骗者试图伪装成你信任的联系人,那个初始的确认信号就会缺失。你的设备会立刻注意到这一点,并且ping对方的实际设备来双重确认。如果对方的真实设备说’我现在没在打电话’,你屏幕上就会收到警告,建议你立即挂断。”

    这个功能是怎么工作的?

    其实原理有点像”设备间的数字握手”——当你和另一个使用Google Phone应用的联系人通话时,双方的手机都会发送一个静默确认信号来验证通话的合法性。

    这个功能默认是开启的,会在后台自动运行,你不需要做任何设置。而且谷歌把这个功能构建在RCS(富通信服务)之上,这意味着其他应用和公司也可以采用这项技术,以后可能会有更多的通话应用支持类似的反诈骗功能。

    谷歌安卓虚假通话检测功能示意图
    谷歌新推出的虚假通话检测功能会自动验证来电合法性

    同期还有其他安卓更新

    除了反诈骗通话功能,谷歌这次还推出了几个其他的安卓更新:比如Google Photos的”wardrobe”功能,可以帮你虚拟试穿衣服,下周起在美国、印度、巴西的安卓10+设备上推出;Google Play Books的”Catch me up”功能,可以帮你recap读到一半的故事,还能高亮段落提问;还有Circle to Search现在可以一次性搜索整套穿搭,不用再一件一件搜了,安卓14+设备现在就能用。

  • 微软搞出自己的推理模型了,OpenAI看了怎么想

    微软在Build 2026大会上扔下了一颗不太起眼的炸弹——他们发布了首款具备高级推理能力的自研AI模型,名字叫MAI-Thinking-1。这事的意义比听起来大:微软过去一直是OpenAI模型的重度依赖者,自己搞模型这件事,之前只做过一些试探性的尝试。

    微软官方介绍,MAI-Thinking-1是一款”中等规模模型”,在”关键”软件工程基准测试中与领先模型表现相当。更重要的是,它”完全基于干净数据从零开始训练,没有使用第三方模型的蒸馏数据”。

    微软为什么要自己做模型

    答案藏在时间线里。微软和OpenAI的关系在过去一年发生了微妙变化——双方重新协商了合作协议,弱化了此前的深度绑定。对微软来说,把全部AI能力押在一家公司身上,战略风险太高。

    自己做模型,意味着微软在AI能力上有了”备胎”,也意味着他们可以把模型能力更直接地整合进Windows、Office、Azure产品线里,不用每次都跟OpenAI谈条件和分成。

    微软MAI AI模型
    微软在Build 2026上发布MAI系列模型(图源:The Verge)

    这次不只是推理模型

    MAI-Thinking-1是这次发布阵容里最受关注的一款,但微软实际上一口气发了7个新模型,覆盖了多个方向:

    • MAI-Image 2.5(含flash版本):支持文生图和图像编辑
    • MAI-Transcribe-1.5:转录速度比竞品模型快5倍
    • MAI-Voice-2(含flash版本,即将推出):新增15种语言支持,更多语音选项
    • MAI-Code-1-Flash:推理效率高,已经集成到GitHub Copilot和Visual Studio Code

    “干净数据”这个细节值得注意

    微软特别强调,MAI-Thinking-1是”完全基于干净数据从零开始训练”的,没有用第三方模型的蒸馏数据。这句话说给谁听的?很大程度上是说给那些担心模型污染、版权纠纷、训练数据合规问题的企业客户听的。

    蒸馏(distillation)是业界常用手法——用大模型生成的数据去训练小模型,成本低效果好,但会引入原模型的偏见和错误,还可能踩版权红线。微软选择从零开始,训练成本肯定高了不少,但换来了数据主权的干净。

    推理模型的核心价值在于”慢思考”——不是秒回答案,而是把问题拆解、反思、逐步推导。这是当前大模型竞争的高地,谷歌(Gemini Thinking)、Anthropic(Claude思考链)、OpenAI(o系列)都在押注这个方向。

    对OpenAI意味着什么

    短期来看,微软还会继续深度使用OpenAI的模型——Azure OpenAI Service不会消失,Office里的Copilot也还会跑OpenAI的后端。但中长期看,微软有了自己的推理模型,议价能力提升,和OpenAI的合作关系会从”依赖”走向”互补”。

    对开发者来说,多一个选择从来不是坏事。MAI-Thinking-1如果真的在软件工程基准上能打,那它就是继Gemini Thinking、Claude Opus、GPT-o系列之后的又一个选项。

    📎 原文来源:The Verge — Jay Peters

  • 特朗普签了AI行政令,模型发布前要过政府这一关

    美国总统唐纳德·特朗普在周二签署了一项关于人工智能的行政令,要为AI公司搭一个”自愿框架”——企业可以在前沿模型公开发布之前,先拿给政府看看。官方说法是”促进安全创新,加强关键基础设施网络安全”,听起来挺温和。

    白宫在行政令里明确说了一句话:这”不应被理解为强制许可或者预先审批”。也就是说,企业不配合也不会被罚,完全自愿。

    自愿审查,但谁自愿谁不吃亏

    这个框架最微妙的地方在于”自愿”二字。行政令指示多个联邦机构制定一套流程,在AI模型公开发布之前”评估其高级网络能力”。企业可以自行决定是否把模型交给政府审查,但如果交了,就能获得相应的保密保护——换句话说,不交的企业就得自己承担所有潜在的安全责任。

    实际上,这种”自愿”背后有很现实的考量。上个月,谷歌、微软和xAI已经同意接受商务部下属AI标准与创新中心(CAISI)的发布前审查。先交的企业能拿到政府背书,后交的就可能被视为”不安全”。

    特朗普的态度为什么变了

    这事其实有个背景。特朗普之前曾经推迟签署一项AI行政令,原因是他担心那会”阻碍”美国跟中国的竞争。《纽约时报》的报道说,最初版本的草案允许AI公司在发布前14到90天自愿共享模型,而最终版本把时间压缩到了最多30天。

    更关键的是,此前在特朗普政府中担任白宫AI与加密货币主管的大卫·萨克斯(David Sacks)任内,政府对AI安全问题一直是淡化处理的,基本采取了不干预态度。这次签署行政令,说明白宫的态度在发生微妙转变。

    特朗普签署行政令
    特朗普签署AI行政令,建立模型发布前自愿审查框架(图源:The Verge)

    Anthropic的Mythos模型是关键转折点

    这次态度转变的一个直接诱因,是Anthropic在今年4月有限推出的Mythos模型。Anthropic自己说,这个模型发现了”数千个高危漏洞,包括所有主流操作系统和网页浏览器中都存在的一些漏洞”。

    在此之前,Anthropic曾经因为AI被用于自主致命武器和大规模监控的问题,跟五角大楼闹过法律纠纷。Mythos的出现,似乎为缓和Anthropic跟政府之间的紧张关系创造了一个契机。截至目前,这项行政令甚至获得了一些通常反对限制AI法律的团体的赞扬。

    美国负责任创新组织主席布拉德·卡森(Brad Carson)在声明中说:”白宫正式接受了Mythos模型的影响。”安全AI联盟首席执行官布伦丹·斯坦豪瑟(Brendan Steinhauser)则表示,他的组织”很高兴看到特朗普政府认真对待这些模型的风险”。

    接下来会怎样

    卡森和斯坦豪瑟都在呼吁国会立法,把类似的保护措施变成法律,而不只是靠行政令。毕竟行政令的效力是有限的,下一任总统完全可以把它撤销掉。

    对AI公司来说,这道选择题现在摆在了桌面上:主动配合政府审查,换取某种程度的背书和保护;或者坚持不交,但要面对市场和监管的不确定性。目前看起来,大公司已经用脚投了票。

    📎 原文来源:The Verge — Lauren Feiner

  • 全球顶尖AI科学家联合签署《伦敦宣言》,警告AI网络攻击一年之内杀到

    5月底,在英国皇家学会举办的人工智能安全国际对话(IDAIS)第五届会议闭幕式上,图灵奖得主姚期智、Yoshua Bengio,清华大学智能产业研究院院长张亚勤,加州大学伯克利分校教授Stuart Russell等全球顶尖AI科学家,共同签署了一份《IDAIS伦敦宣言》。

    技术能力有限的非国家行为体,将在一年内掌握部分国家级网络攻击手段。全球社会目前远未做好应对这一紧迫威胁的准备。

    这不是第一次,但这次份量不一样

    IDAIS这个会议系列,2023年由姚期智、Yoshua Bengio、张亚勤、Stuart Russell四个人联合发起,已经跑了五届:牛津、北京、威尼斯、上海,这一届到了伦敦。

    为什么这份宣言值得认真看?因为签字的人不只是学者,他们本身就是各国AI安全政策的顶层智囊。姚期智主导中国AI治理顶层设计,Yoshua Bengio起草过联合国AI报告,Stuart Russell的著作《Human Compatible》几乎是AI安全领域的必读书。这帮人联合发声,等于给各国政府递了一张时间表。

    宣言到底说了什么

    整份宣言的核心逻辑很直接:AI能力正在让”国家级攻击能力”向下溢出,从国家行为体流向非国家行为体——恐怖组织、黑客团体,甚至个人。

    具体说了两个最紧迫的风险领域:

    • 网络攻击:前沿AI已经能在数小时内完成专业团队需要数周的攻击性操作。关停医院、供水系统、电网、金融市场的攻击工具,正在落入远超以往的人群手中。
    • 生物滥用:AI在病原体设计相关任务上已经超越博士级专家。能设计比自然界更危险的人造病原体的能力,正在向非专业人员扩散。这不只是理论风险——宣言明确说”可能在未来造成大规模伤亡”。

    宣言还提了一个更深层的问题:逐步走向自主化的AI系统,本身就可能失控。这不是科幻,是工程现实。

    各国政府现在该做什么

    宣言给出了具体措施清单,不是泛泛而谈。针对网络攻击,优先级最高的几件事:

    • 保护关键基础设施——电网、医院、供水系统,这些是第一批会被打的目标
    • 建立前沿AI系统网络攻击能力评测体系——现在连”多强才算危险”都没有统一标准
    • 部署前强制测试——对具备高级网络能力的模型,不能先发布再治理
    • 访问控制——不是所有人都能调用最强模型,需要身份验证
    • 跨国信息共享——网络威胁指标需要像金融制裁名单一样跨国流通

    生物领域同理,但多了一层:核酸合成筛查。也就是说,以后买合成DNA,供应商要筛查序列是否与危险病原体匹配。这已经在部分国家推进,但远未形成全球标准。

    中国和美国被点名了

    宣言有一句话很克制但很明确:”主要人工智能司法管辖区在协调方面负有特殊责任。这尤其包括美国和中国。”

    这是一个现实判断,不是政治表态。全球最强的大模型公司和最强的算力都在这两个国家手里,没有中美协同,任何AI安全协议都是空话。但中美同时在AI领域激烈竞争,协同治理怎么落地,这是下一个大问题。

    宣言也提到了一个历史类比:切尔诺贝利事故之后,全球民用核能发展被阴影笼罩了数十年。AI如果出一次大规模安全事故,公众信任崩塌的后果,可能比任何技术监管都更致命。

  • OpenAI把手机APP全废了,所有界面AI实时生成,2027年量产

    在6月初的Voice Hack Night活动上,OpenAI团队现场演示了一款”Agentic操作系统”手机原型。核心设计只有一句话:手机上不再有传统APP,所有界面都由AI根据你的指令实时生成。演示者全程没碰屏幕,只靠说话就完成了订机票、删日程、查新闻、发邮件、列待办这五件事。

    “UI即系统”——这不是换个launcher,而是把整个移动交互的底层逻辑推倒重来。界面不是被”打开”的,而是被”生成”的。

    端云分工:轻任务本地跑,重推理甩给云端

    这套系统采用端云协同架构。手机本地模型负责即时生成界面、处理轻量交互,反应速度压到毫秒级。遇到需要复杂推理的任务,比如帮你规划跨城行程或者写一封正式邮件,系统会自动把请求转给云端GPT处理,结果回来再渲染成界面。

    这种分工方式其实解决了AI手机一直没绕过去的坎——纯本地模型能力不够,纯云端又太慢还费流量。OpenAI这次把两条路并在一起,逻辑上说得通,工程上能不能跑顺是另一回事。

    时间线比预期更早:2027年上半年量产

    Sam Altman之前在多个场合暗示过OpenAI在做手机,但一直没给时间表。这次原型亮相之后,内部文件显示的量产节点是2027年上半年,比大多数分析师的预期早了至少半年。

    值得注意的是,这次演示是在Voice Hack Night上由一支团队完成的,不一定是OpenAI内部产品团队的正式原型。但Altman此前明确说过”现在是重新思考操作系统和用户界面设计的合适时机”,方向已经定了,剩下的就是工程落地。

    这事如果成了,谁最慌

    如果”无APP手机”真的在2027年落地,受到冲击的不只是苹果和谷歌。APP开发者、应用商店、整个移动广告链条都会被重构。用户以后不需要去应用商店搜软件,直接对手机说需求,界面就出来了。

    • 苹果:iOS的护城河就是APP生态,这套玩法直接绕开
    • 谷歌:Android的商业模式很大程度依赖应用商店分成和搜索广告,都会被波及
    • APP开发者:以后可能不需要开发”应用”了,而是训练”技能”

    当然,现在说这些还早。原型演示和量产上市之间隔着芯片、系统稳定性、隐私合规、生态迁移一大堆坑。但方向已经摆在这了,接下来的看点就是苹果和谷歌怎么接招。

  • Spotify牵手环球音乐,让粉丝用AI翻唱你喜欢的歌

    Spotify最近跟环球音乐集团(UMG)签了一份协议,核心内容很简单:允许粉丝用AI来翻唱和混音自己喜欢的歌。这个功能会以付费附加组件的形式提供给Spotify Premium用户,参与活动的艺术家能从这些AI衍生作品里拿到分成。

    Spotify AI音乐创作功能示意图
    Spotify与环球音乐合作,粉丝可用AI创作翻唱和混音(图源:TechCrunch)

    跟Suno走的是两条路

    这件事最有意思的地方在于Spotify选择的路线。Suno和Udio这些AI音乐工具早就上线了,但一直活在版权诉讼的阴影里——各大唱片公司告了个遍。Suno去年跟华纳音乐和解,赔了5000万美元;Udio也跟华纳和环球陆续达成了和解。但Spotify的做法是先把版权谈下来,再去做产品。

    Spotify联合首席执行官Alex Norström的表态说得很明白:关键是”同意、署名、报酬”这三个原则。艺术家和词曲作者有权选择参不参与,如果参与,就得拿到公平的报酬。这跟Suno那种”先上线再摆平”的路子完全是两回事。

    平台方亲自下场谈版权,这个动作本身就说明AI音乐创作已经从小众玩具变成了主流平台愿意押注的方向。

    艺术家买不买账还不知道

    环球音乐集团CEO Lucian Grainge爵士当然说得好听,称这是艺术家”深化与粉丝关系”的好机会。但问题是——目前还没有任何消息说明有哪些艺术家同意参与这个项目。没有创作者的参与,这个功能就是一具空壳。

    Spotify在同一天的投资者日活动上还发布了不少其他AI功能:基于ElevenLabs的有声书创作工具、面向播客创作者的AI辅助功能、用来制作个人播客的桌面应用,还有给铁粉预留演唱会门票的功能。AI翻唱只是这一整盘棋里的一颗子。

  • 黑客骗过Meta AI客服,直接把Instagram账号给接管了

    上周末,Reddit和X上突然冒出一大批”账号被黑”的投诉帖,受害者全是Instagram用户。被盯上的账号五花八门——有奥巴马时期白宫那个早已停用的账号,还有美国太空军总军士长的个人账号。安全研究员Jane Wong也中招了,她在X上吐槽:密码在她完全不知情的情况下被改掉,前一天她还收到一大堆密码重置尝试的请求,想想都觉得后怕。

    Meta AI聊天机器人安全漏洞示意图
    Meta AI支持聊天机器人被黑客利用,成为账号劫持的入口(图源:TechCrunch)

    漏洞到底出在哪

    攻击手法说起来挺荒唐的。黑客不需要偷你的密码,不需要碰你的邮箱,只要想办法骗过Meta的AI客服机器人就行。

    具体步骤是这样的:黑客先用VPN伪装成目标用户的大致地理位置,避免触发Instagram的异地登录保护。然后找到Meta AI支持助手,跟它说”帮我给这个账号加个新邮箱”。AI机器人居然真的照做了——它会把验证码发到黑客指定的邮箱,黑客把验证码回传给机器人,机器人就会弹出一个”重置密码”按钮,输入新密码,账号直接沦陷。

    黑客全程不需要碰你绑定的原始邮箱。AI客服机器人自己就把门给打开了。

    影响范围有多大

    目前还不清楚究竟有多少账号被这套手法攻破。Instagram发言人Andy Stone在X上回复相关帖子时只说”问题已经修复”,但对受影响用户数量闭口不谈。Meta方面也没有回应TechCrunch的置评请求。

    这件事暴露出的问题很直接:把账号恢复权限交给AI聊天机器人,却没有设置足够严格的身份验证门槛,等于在城门上挂了把纸锁。黑客不需要多高深的技术,只要会跟AI”好好说话”就够了。

  • NextChat:88K Stars!轻量极速的跨平台AI对话界面,让AI助手触手可及

    NextChat:88K Stars!轻量极速的跨平台AI对话界面,让AI助手触手可及

    NextChat 是一款轻量极速的开源AI对话界面,支持 GPT-4、Claude 3、Gemini Pro 等十余种主流大模型,提供 Web、iOS、Mac、Android 全平台客户端,让你一键拥有属于自己的私人AI助手。

    NextChat 界面预览

    NextChat 优雅的对话界面

    🚀 项目简介

    NextChat(原名 ChatGPT-Next-Web)是一个基于 Next.js + React 构建的跨平台 AI 聊天机器人 Web UI。项目从2023年发布至今,已获得 88K+ Stars,成为 GitHub 上最受欢迎的开源 AI 对话前端之一。

    它的设计理念是:快、轻、美。整个应用打包后仅约 5MB(Tauri 桌面端),网页端更是做到了极致的加载速度和响应体验。

    NextChat 多模型支持

    📦 安装要求和过程

    环境要求

    • Web 部署:Node.js 18+ 或 Vercel 账号(推荐)
    • 桌面端:Windows / macOS / Linux
    • 移动端:iOS 15+ / Android 8+
    • API Key:需要 OpenAI / Claude / Gemini 等任一模型的 API Key

    快速安装 – 三种方式

    方式一:Vercel 一键部署(推荐)

    最快的方式,5秒钟完成部署:

    1. 访问 NextChat GitHub 仓库
    2. 点击 Deploy with Vercel 按钮
    3. 登录 Vercel,fork 项目并部署
    4. 在 Vercel 环境变量中添加你的 OPENAI_API_KEY
    5. 部署完成!获得你的私人 ChatGPT 域名

    方式二:Docker 部署

    # 拉取镜像并运行
docker run -d -p 3000:3000   -e OPENAI_API_KEY="你的API密钥"   -e CODE="可选:设置访问密码"   yidadaa/chatgpt-next-web

# 访问 http://localhost:3000 即可使用

    方式三:本地开发

    # 克隆项目
git clone https://github.com/ChatGPTNextWeb/NextChat.git

# 进入目录
cd NextChat

# 安装依赖
npm install

# 启动开发服务器
npm run dev

# 访问 http://localhost:3000

    💡 核心功能

    1. 多模型支持,一个界面搞定所有AI

    NextChat 最大的优势在于统一接口。你可以在同一个界面中切换:

    • OpenAI:GPT-3.5, GPT-4, GPT-4o, GPT-4 Turbo
    • Anthropic Claude:Claude 3 Haiku, Sonnet, Opus
    • Google:Gemini Pro, Gemini Ultra
    • 国内模型:DeepSeek, 通义千问, 文心一言, 讯飞星火
    • 本地模型:Ollama, LM Studio (通过 OpenAI 兼容接口)

    这意味着你可以用同一个界面,根据不同的任务选择最合适的模型 —— 写代码用 GPT-4,聊天用 Claude,节省成本用 DeepSeek。

    2. 极速响应,本地存储保护隐私

    NextChat 在性能优化上做到了极致:

    • 首屏加载 < 1秒:得益于 Next.js 的 SSR 和静态生成
    • 流式输出:打字机效果,响应无延迟
    • 本地存储:所有对话记录保存在浏览器 LocalStorage,不会上传到服务器
    • Markdown 渲染:支持代码高亮、表格、数学公式(KaTeX)
    • 对话搜索:快速检索历史对话

    3. 对话管理,像专业IDE一样强大

    • 对话分支:可以基于某条消息创建分支,方便对比不同回复
    • 提示词模板:内置多种系统提示词,也支持自定义
    • 对话导入/导出:支持 Markdown、JSON 格式
    • 多会话管理:左侧边栏快速切换不同对话
    • 消息编辑:可以修改已发送的消息重新生成回复

    4. 全平台覆盖,随时随地使用AI

    NextChat 提供了完整的多端支持:

    • Web:响应式设计,手机/平板/电脑自适应
    • macOS:Tauri 打包,原生应用体验(仅 5MB)
    • Windows:同样使用 Tauri,启动快速
    • iOS:App Store 可下载
    • Android:Google Play 或侧载 APK

    5. 高度可定制,打造你的专属AI界面

    • 主题切换:内置浅色/深色主题,支持自定义 CSS
    • 多语言:支持中文、英文、日文等 18+ 种语言
    • API 代理:支持设置自定义底座 URL,解决网络问题
    • 访问控制:可设置访问密码,分享给团队使用
    • 插件系统:支持自定义功能和第三方集成

    🎯 典型使用场景

    场景一:个人AI助手,隐私数据不上云

    用户:注重隐私的个人用户、自由职业者

    痛点:使用官方 ChatGPT 担心对话记录被用于存储训练,且需要付费订阅 Plus。

    解决方案

    • 部署 NextChat 到自己的服务器或 Vercel
    • 接入自己的 OpenAI API Key(按量付费,更划算)
    • 所有对话本地存储,完全隐私
    • 可切换多个模型,根据任务选择最合适的

    成本对比:ChatGPT Plus $20/月 vs NextChat + API 按量付费(轻度使用 < $10/月)

    场景二:团队协作,统一AI工具入口

    用户:小团队、创业公司、教育机构

    痛点:团队成员各自购买 AI 订阅,成本高且无法共享 Prompt 和对话记录。

    解决方案

    • 部署 NextChat 到团队服务器
    • 设置访问密码,团队成员共享使用
    • 使用同一个 API Key 池,集中管理成本
    • 导出优质对话记录,建立团队知识库

    实际案例:一个 10 人团队,使用 NextChat 自部署,每月 API 成本约 $50,人均 $5,远低于每人 $20 的 Plus 订阅。

    场景三:开发者调试,快速测试不同模型

    用户:AI 应用开发者、Prompt 工程师

    痛点:需要在不同模型中测试同一 Prompt 的效果,但官方界面切换麻烦。

    解决方案

    • 在 NextChat 中配置多个模型 API
    • 同一对话中快速切换模型
    • 使用对话分支功能,对比不同模型的回复
    • 导出 Markdown 格式,方便整理测试报告

    🌟 推荐理由

    为什么我强烈推荐 NextChat?

    1. 开源且活跃
    项目在 GitHub 上开源,代码透明,社区活跃。你可以自己审查代码,确保没有后门。而且更新频繁,新模型支持速度快。

    2. 性能极致优化
    作为前端项目,NextChat 的性能优化做到了极致。首屏加载快,流式输出无延迟,即使在网络不佳的情况下也能流畅使用。相比其他 Web UI,NextChat 的响应速度是最快的之一。

    3. 真正的跨平台
    很多项目声称”跨平台”,但实际上只支持 Web。NextChat 提供了完整的桌面端和移动端应用,而且桌面端使用 Tauri 打包,体积小、启动快、内存占用低。

    4. 隐私保护到位
    所有对话记录保存在本地,不会上传到任何服务器。即使你部署在自己的服务器上,只要不配置云端同步,数据就只在用户设备上。对于注重隐私的用户来说,这一点非常重要。

    5. 成本可控
    使用官方 ChatGPT Plus 需要每月 $20,而 NextChat 按量付费,对于轻度使用者来说,每月可能只需要几美元。而且你可以根据不同任务选择不同模型,进一步控制成本。

    我的使用心得
    我自己部署了 NextChat,接入了 OpenAI API 和 DeepSeek API。日常聊天用 DeepSeek(便宜),写代码用 GPT-4(准确),每月总成本不到 $10。界面美观,响应快速,是我每天使用最多的 AI 工具。

    📥 下载地址

    官方链接

    文档与教程

    🎬 总结

    NextChat 是一款真正为用户着想的开源 AI 对话界面。它不追求花哨的功能,而是把速度、隐私、跨平台这三个核心需求做到了极致。

    如果你:

    • ✅ 希望拥有自己的私人 AI 助手
    • ✅ 注重对话隐私,不想数据被上传
    • ✅ 需要同时使用多个 AI 模型
    • ✅ 想要降低成本,按量付费
    • ✅ 需要在多个设备上使用统一的 AI 界面

    那么,NextChat 绝对是你的 最佳选择

    5分钟部署,拥有一个完全属于你的AI助手 🚀