OpenAI收购Python工具开发商Astral强化Codex系统 OpenAI已收购Python开发工具制造商Astral，将开源开发工具引入OpenAI的Codex AI编程系统。该收购于3月19日宣布。据OpenAI介绍，Astral构建了广泛使用的开源Python工具，通过uv、Ruff和ty等现代工具帮助开发者提升工作效率。OpenAI表示，这些工具为数百万开发者的工作流程提供支持，已成为现代Python开发的基础组件。通过引入Astral的工具和工程专业知识，OpenAI表示将加速Codex的开发工作，并扩展人工智能在软件开发生命周期中的应用范围。OpenAI在Codex生态系统方面的目标是超越简单生成代码的人工智能，发展成能够参与整个开发工作流程的系统，帮助规划变更、修改代码库、运行工具、验证结果并长期维护软件。Astral的开发工具正处于这一工作流程的核心位置。通过将这些系统与Codex集成，OpenAI表示将使AI智能体能够更直接地使用开发者日常依赖的工具。Python已成为现代软件开发中最重要的语言之一，从人工智能和数据科学到后端系统和开发基础设施，都在使用Python。Astral的开源工具在该生态系统中发挥着关键作用。这些工具及其功能包括：Uv简化了依赖项和环境管理Ruff提供快速的代码检查和格式化Ty帮助在整个代码库中执行类型安全Astral还提供pyx，一个目前处于测试阶段的Python原生包注册中心。OpenAI表示，通过收购Astral，OpenAI将继续支持这些开源项目，同时探索它们如何与Codex更无缝地协作，以使人工智能系统能够在完整的Python开发工作流程中运行。收购的完成需要满足常规交割条件，包括监管批准。在交割完成之前，OpenAI和Astral将保持各自独立的公司运营。据OpenAI介绍，公司将探索更深层次的集成方式，使Codex能够更直接地与开发者已经使用的工具交互，帮助将Codex发展成为开发生命周期中真正的协作伙伴。Q&AQ1：OpenAI收购Astral的主要目的是什么？A：OpenAI收购Astral主要是为了将开源开发工具引入Codex AI编程系统，加速Codex开发并扩展人工智能在软件开发生命周期中的应用。通过整合Astral的工具和工程专业知识，OpenAI希望构建能够参与整个开发工作流程的AI系统。Q2：Astral开发的主要Python工具有哪些功能？A：Astral开发的主要工具包括：uv用于简化依赖项和环境管理，Ruff提供快速的代码检查和格式化，Ty帮助执行代码库的类型安全。此外还有处于测试阶段的pyx，这是一个Python原生包注册中心。Q3：这次收购何时能正式完成？A：收购的完成需要满足常规交割条件，包括获得监管批准。在交割完成之前，OpenAI和Astral将继续作为独立公司运营。具体的完成时间取决于相关审批流程的进展。返回搜狐，查看更多

Detroit项目推进，Java、Python、JavaScript联合使用即将成真 Java的Detroit项目正在加速推进，该项目旨在实现Java与Python或Java的联合使用，即将成为OpenJDK社区的官方项目。Oracle计划在3月17日的JavaOne大会上重点介绍Detroit项目的最新进展。Oracle Java平台组高级副总裁Georges Saab在3月12日的简报会上表示："Detroit项目的主要优势在于，它让您能够在需要同时使用两种技术的场景中，将行业领先的Java与Java或Java与Python相结合。"根据openjdk.org上的Detroit项目页面，该项目的目标是基于Chrome V8 Java引擎为Java提供javax. API实现，并基于CPython为Python提供相应实现。项目发展历程Detroit项目最初在2018年被提出，当时的设想是将Java作为Java的扩展语言。但由于失去赞助，项目一度停滞。最近，业界对该项目的兴趣重新燃起。项目的主要目标是满足Java生态系统调用其他语言的需求，特别是用于业务逻辑脚本编写以及轻松访问其他语言中的人工智能库。虽然初期计划支持Java和Python，但随着时间推移，预计会增加对其他语言的支持。项目预计将利用Java FFM（外部函数和内存）API。核心目标Detroit项目的其他重要目标包括：通过隔离Java和本地堆执行来改善应用程序安全性。在等效Java库开发完成之前，简化对JS/Python库的访问。通过利用V8和CPython运行时提供完整的JS/Python兼容性。同时，通过利用V8和CPython生态系统来降低维护成本。充分利用现有的JS和Python语言性能优化投资。项目前景该项目的推进标志着Java生态系统的重要发展，为开发者提供了更大的灵活性和互操作性。通过与其他流行编程语言的深度集成，Java开发者将能够更轻松地利用不同语言生态系统的优势，特别是在人工智能和数据科学领域。Q&AQ1：Detroit项目是什么？它解决什么问题？A：Detroit项目是Java的一个官方项目，旨在实现Java与Python或Java的联合使用。它解决了Java生态系统需要调用其他语言的需求，特别是用于业务逻辑脚本编写和轻松访问其他语言中的AI库。Q2：Detroit项目何时会正式发布？A：根据文章，Detroit项目即将成为OpenJDK社区的官方项目，Oracle计划在3月17日的JavaOne大会上重点介绍该项目的最新进展，但具体的正式发布时间尚未明确公布。Q3：Detroit项目支持哪些编程语言？A：目前Detroit项目计划首先支持Java与Python以及Java与Java的联合使用，基于Chrome V8 Java引擎和CPython实现。未来计划随着时间推移增加对其他编程语言的支持。返回搜狐，查看更多

Pyrene-PEG2000-COOH，Pyrene-PEG2000-Acid，HOOC-PEG2000-Pyrene Pyrene-PEG2000-COOH（Pyrene-PEG2000-Acid、HOOC-PEG2000-Pyrene、Pyrene-PEG2000-Carboxylic Acid），芘丁酸-聚乙二醇-羧基Pyrene-PEG2000-COOH，中文名称为芘丁酸-聚乙二醇-羧基，英文别名包括Pyrene-PEG2000-Acid、HOOC-PEG2000-Pyrene、Pyrene-PEG2000-Carboxylic Acid，是以分子量2000的线性聚乙二醇为连接臂，一端连接芘丁酸（荧光发色团）、另一端连接羧基（活性反应位点）形成的荧光功能性PEG衍生物，兼具荧光示踪和共价偶联双重功能，广泛应用于材料表征和纳米领域研究。产地：qiyuebio用途：科研应用领域靶向药物递送该化合物的核心结构由三部分组成，芘丁酸作为荧光发色团，具有独特的稠环芳烃结构，*大激发波长约343nm，*大发射波长约384nm，处于紫外-近紫外波段，荧光量子产率高（约0.58），光稳定性优异，且荧光信号具有浓度依赖性，低浓度下呈单体荧光，高浓度或聚集时发生激基缔合物形成，荧光光谱红移，可用于监测分子聚集状态；PEG2000作为连接臂，具有优异的水溶性和柔性，可改善芘丁酸的疏水缺陷，避免其因疏水团聚导致的荧光猝灭，同时调节芘丁酸与羧基之间的距离，保证两者功能互不干扰；羧基作为活性反应位点，可经EDC/NHS活化后与含氨基的分子发生酰胺化反应，实现功能扩展。理化性质上，该化合物纯度≥95%，外观为固体粉末或粘稠液体，溶解性优良，可溶于水和大部分有机溶剂（如DCM、DMF、DMSO等），在水溶液中能稳定分散，荧光性能稳定。其存储需在-20℃避光、避湿环境下进行，避免强光照射导致芘发色团氧化，影响荧光性能，同时需避免与碱性物质接触，防止羧基水解。该化合物的结构可通过核磁共振、质谱和荧光光谱进行表征，确保荧光性能和结构完整性。应用方向主要集中在纳米材料表面功能化、分子聚集监测和荧光传感等领域。在纳米材料表面功能化中，通过芘与碳纳米管、石墨烯等材料表面芳香环之间的强π-π堆积作用，可实现PEG链的高效接枝，改善纳米材料的水溶性和分散性，同时羧基可进一步偶联功能分子，实现纳米材料的多功能化；在分子聚集监测中，利用其荧光信号的浓度依赖性，可实时监测材料体系中分子的聚集状态，为材料制备工艺的优化提供依据；在荧光传感中，可通过羧基偶联识别分子，利用芘的荧光特性实现对特定物质的检测，具有灵敏度高、响应速度快的优势。以上资料由小编wsw提供，仅用于科研相关推荐:DSPE-Se-Se-PEG-SH 二硬脂酰基磷脂酰乙醇胺-二硒键-聚乙二醇-巯基DSPE-SE-SE-PEG-AcidDSPE-SS-PEG-NHS 二硬脂酰基磷脂酰乙醇胺-PEG-双硫键-活性酯DSPE-PEG-SS-MaleimideDSPE-PEG-SS-NH2 二硬脂酰基磷脂酰乙醇胺-聚乙二醇-双硫键-氨基DSPE-PEG-SS-ThiolDSPE-PEG-SS-COOH 二硬脂酰基磷脂酰乙醇胺-聚乙二醇-双硫键-羧基DSPE-PEG-SS-FluoresceinDSPE-PEG-SS-FolatePhospholipids-PEG-SS-Biotin返回搜狐，查看更多

PyPI遭投毒！LiteLLM用户Python启动就中招，个人凭证秒泄露 鹭羽 发自 凹非寺量子位 | 公众号 QbitAIPython程序员小心了！PyPI又双叒叕被投毒——最新上传的LiteLLMPython 版本1.82.7和1.82.8，已被人为恶意植入信息窃取程序。一旦安装，SSH密钥、AWS凭证和API密钥等数据均会立即泄漏。目前LiteLLM的维护者Krrish Dholakia，已经公开证实此事。在恶意版本存在三小时后，PyPI迅速发现了这一漏洞，并将软件包隔离。但LiteLLM每天下载量约为340万次，许多自动安装新版本的程序员已经遭殃。社区迅速引起热议，卡帕西也出面提醒，让程序员小心LiteLLM供应链攻击。值得注意的是，即使没有手动安装过LiteLLM，但你的电脑上可能也有它。比如OpenClaw就会调用该库......那么已经不慎中招的你，应该做的是——发生了什么？具体事情经过是这样的：LiteLLM是一个开源的Python库，它提供了一个统一接口，可以使用标准的OpenAI输入/输出格式调用100多个LLM（OpenAI、Anthropic、VertexAI等）。每月下载量高达9700万次，GitHub超4万星，也是人工智能开发领域安装量最高的Python包之一。3月24日，LiteLLM 1.82.8版本被发布到PyPI，其中包含一个名为litellm_init.pth的恶意文件。该文件会在LiteLLM安装完成后，无需主动调用该库，只要Python进程启动就会自动执行。而此前的1.82.7版本也被同样证实存在相同的安全漏洞。该漏洞是被FutureSearch的Callum McMahon第一时间发现的，当时他正在测试一个Cursor MCP插件，该插件引入了LiteLLM。但是在Python启动后不久，他的机器就因内存耗尽而停止响应。于是他追踪问题，一路查到了新安装的LiteLLM包上，并在目录下找到了litellm_init.pth文件。该文件大小为34628字节，并经过双重base64编码，其中一个base64编码的有效载荷会负责窃取信息并持久存在于受影响的机器上。它将通过三个阶段对用户信息进行盗取：1、收集：Python脚本将会从主机上收集用户的各种敏感文件，包括SSH私钥和配置文件、 AWS/GCP/Azure 凭证、Kubernetes配置、数据库密码等。它还会运行命令来导出环境变量并查询云元数据端点（IMDS、容器凭证）。2、数据外泄：收集到的数据将会使用硬编码的4096位RSA公钥，通过 AES-256-CBC进行加密，打包成tar归档文件，并通过POST请求发送到一个不属于LiteLLM的攻击者云端。3、横向扩散：如果检测到用户存在Kubernetes服务帐户token，恶意软件会读取所有命名空间中的所有集群密钥，并尝试在每个节点上创建一个具有特权的pod。每个pod都会挂载主机文件系统，并安装一个带有systemd用户服务的持久化后门。根据LiteLLM的维护者Krrish Dholakia描述，这一漏洞源自于项目管道中使用的安全工具Trivy。攻击者通过篡改Trivy的GitHub Action，向其注入恶意窃取代码，并连续攻击Checkmarx KICS和Aqua Security仓库。随后，LiteLLM的CI/CD在构建过程中接触到了被污染的Trivy，并让攻击者窃取到了维护者的PyPI凭证。利用该凭证，攻击者先后发布恶意版本LiteLLM 1.82.7和LiteLLM 1.82.8。用户只要正常下载就会中招，期间不会产生任何异常提示。其中1.82.7的恶意代码需要用户运行LiteLLM时触发，1.82.8则只要用户启动Python就会执行窃取程序。目前受影响的版本已经被撤回，PyPI也已解除对LiteLLM的隔离，代理者目前正在处理后续事宜，预计将审查所有Berriai代码库的影响，以及整体扫描CI情况并减轻其作用。但如果是那些在过去24小时内有安装LiteLLM新版本的程序员，就需要额外注意了，其系统可能已经被入侵，以下是自检流程：Step 1：检查已安装的版本。pip show litellm | grep Version同时在uv缓存和CI/CD虚拟环境中搜索litellm_init.pth。如果输出版本号为1.82.7或1.82.8，则表明系统已被植入恶意程序，需要执行修复步骤，切勿进行直接升级。Step 2：移除软件包并清除缓存。用户需立即从所有受影响的环境中删除版本，并使用命令行清除软件包管理器缓存，以防止从缓存的wheel文件重新安装。rm -rf ~/.cache/uv或者pip cache purgeStep 3：检查持久化工件。~/.config/sysmon/sysmon.py~/.config/systemd/user/sysmon.service如果运行在Kubernetes中，需要审核kube-system是否存在匹配node-setup-*的Pod，并检查集群密钥是否存在未经授权的访问。Step 4：切换个人凭证。将个人的所有凭证全部进行更换，以绝后患。至于还尚未安装1.82.7或1.82.8版本的程序员，可以先暂时锁定1.82.6版本，等到安全的新版本发布。供应链攻击将常态化而这并非偶发事件，近段时间以来，有关供应链的攻击已经成规模化，而且更多地集中在自动化流水线里那些拥有高权限的工具上，比如Trivy、KICS、LiteLLM。这些工具从设计之初，就拥有广泛的读取权限，一旦被入侵，所泄漏的数据规模也比一般应用程序要广得多。而且这类供应链攻击的影响范围也会更大，即使是用户没有直接安装恶意程序，只要依赖的底层工具依赖它，同样也会被影响。尤其是对于那些拥有大量依赖项的大型项目而言，风险非常之高。反观开发者们，在此之前也通常会忽略这类依赖，很少检查深层工具的安全性，对安装新版本的警惕性不够，所以这件事也为广大程序员朋友们敲醒了警钟。卡帕西也提醒各位：传统的软件工程会让你相信依赖关系是好事，就像用砖块建造金字塔，但我认为这需要重新评估，这也是我越来越反感依赖关系的原因，我更喜欢在足够简单和可行的情况下使用LLM来“窃取”功能。《从零开始构建大模型》一书的作者Sebastian Raschka也表示，几年前PyPI也发生过类似的“投毒”事件，最好的办法是将源代码保留在自己的库中。也有部分网友表示，未来类似的供应链攻击将成为新常态，针对开发工具的供应链安全需要尽快提上日程。同时有网友认为，本次泄漏问题能够被及时发现，是Vibe Coding救了我们。如果攻击者编写的代码更简洁，那么该程序就可以在数百万台机器上悄无声息地运行数天甚至数周。参考链接：[1]https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/[3]https://snyk.io/articles/poisoned-security-scanner-backdooring-litellm/返回搜狐，查看更多

青岛AIGC产业中心暨新媒体产业OPC孵化中心落地市北 27日下午，“微剧汇才 创领未来”首届山东省高校大学生微短剧剧本创作大赛颁奖仪式暨青岛AIGC产业中心揭牌仪式在浪潮青岛大数据产业园举办，青岛AIGC产业中心暨新媒体产业OPC孵化中心揭牌成立，青岛风云视界影视科技有限公司等5家优质企业作为首批AIGC短剧企业及OPC孵化项目正式入驻。大赛面向中国海洋大学、山东艺术学院等全省36所高校，征集7个主题、1600余部参赛作品，其间还设置了“微短剧公益课堂”“创作提升营”等环节，围绕剧本提升、作品孵化、版权保护等开展精准指导。经初赛筛选、大赛答辩、专家评审，《钰见熹光》等40余部优秀作品脱颖而出。以赛为媒，市北区探索形成“创意直通现实、人才直通片场、高校直通产业、服务直通企业”的协同创新机制，推动校企合作从“点上突破”迈向“系统集成”。活动现场，古麦嘉禾、全诚时代等6家“链主企业”与高校进行校企人才联合培养签约，《易安逢新世》等20余部优秀作品与头部企业达成落地转化意向，将大赛中涌现的创作人才和优秀作品直接纳入企业内容生产体系。近年来，市北区立足中心城区资源禀赋，创新打造“3211”微短剧产业发展服务体系，累计创作微短剧作品850余部，全网播放量超400亿。为加快推动微短剧产业更好发展，现场发布了《促进微短剧产业高质量发展若干措施》，下一步，市北区将围绕促进集聚发展、引导精品创作、鼓励创新应用、完善场景配套等八个方面精准施策，全方位支持微短剧企业扎根市北、发展壮大，以真金白银的政策红利，加快构建内容优质、业态丰富、生态完善、优势凸显的微短剧产业发展新格局。新一轮科技革命浪潮下，AIGC技术正加速重构内容生产模式，为微短剧产业发展带来全新战略机遇。当天，青岛AIGC产业中心暨新媒体产业OPC孵化中心同步成立，市北区将依托浪潮青岛大数据产业园平台优势，聚焦AI短剧主赛道，加速构建涵盖版权服务、人才培训、算力支撑、内容创作、生产制作、分发运营等功能板块在内的一体化赋能体系，为区域AIGC产业集聚发展注入新动能。返回搜狐，查看更多