2024-03-07

32 篇热帖

1. Apple terminates Epic Games developer account, calling it a 'threat' to iOS (techcrunch.com)
## 事件概述
苹果公司终止了游戏开发商Epic Games的开发者账户(Epic Games Sweden AB),称其对iOS生态系统构成“威胁”。此举推翻了上个月对该账户的批准,该批准原本旨在依据欧盟《数字市场法》(DMA)让《堡垒之夜》重返欧洲地区的iOS设备。

## 双方立场

### Epic Games的指控
- **违反DMA**:Epic称苹果此举是“对《数字市场法》的严重违反”,表明苹果无意“允许iOS设备上的真正竞争”。
- **打击竞争对手**:Epic认为,作为潜在的主要竞争对手,苹果此举旨在削弱其竞争能力,并向其他试图竞争或批评苹果不公行为的开发者展示后果。
- **报复性指控**:Epic认为苹果是因其公开批评苹果的DMA合规方案(包括CEO蒂姆·斯威尼在社交媒体上的批评)而实施报复。Epic声称已书面同意遵守苹果的开发者协议。
- **历史关系**:Epic指出,自2010年起便与苹果存在合同关系,其虚幻引擎也一直受到苹果的公开支持。

### 苹果公司的回应
- **合同权利**:苹果声明,基于Epic“严重违反”合同义务的行为,以及2021年法院判决(源于Epic对苹果的诉讼),苹果有权“随时自行决定”终止Epic Games旗下任何子公司的协议。
- **信任缺失**:苹果高管菲尔·席勒在信中列举了Epic过往故意违反规则、为利益提起诉讼、以及公开将苹果的DMA合规称为“垃圾”、“恐怖秀”和“恶意合规”等行为,质问“为何此时应该信任Epic”。
- **平台安全**:苹果表示,Epic过往及当前的行为,加上其“丰富的批评”,强烈表明Epic无意遵守规则,再次违约可能“威胁iOS平台的完整性以及用户的安全与隐私”。
- **程序背景**:苹果指出,Epic瑞典公司是通过点击同意方式签署了开发者协议,当时未经过高管审查。

## 后续发展
- **Epic CEO回应**:蒂姆·斯威尼对支持者表示感谢,并指出Epic在PC平台上已服务超过2.7亿用户,暗示苹果的竞争禁令剥夺了iOS用户的更好体验。
- **欧盟介入**:欧盟宣布将调查苹果终止Epic开发者账户的决定。
- **事件背景**:此事件是苹果与Epic长期反垄断争端的最新进展。Epic曾因反垄断问题起诉苹果,并在多个市场游说监管机构以遏制苹果对应用经济的影响力。
2. Eloquent JavaScript 4th edition (2024) (eloquentjavascript.net)

《JavaScript编程精解》第四版(2024)

  • 作者:Marijn Haverbeke
  • 内容:一本关于JavaScript、编程及数字世界的书籍,可免费在线阅读或购买纸质版。
  • 许可:全书内容采用知识共享署名-非商业许可协议,书中所有代码采用MIT许可证。
  • 插画贡献
    • 封面:Péchane Sumi-e
    • 章节插图:Madalina Tantareanu
    • 第7章和第16章的像素艺术:Antonio Perdomo Pastor
    • 第9章正则表达式图表由Jeff Avallone使用regexper.com生成
    • 第16章游戏概念设计:Thomas Palef
3. FDA clears first over-the-counter continuous glucose monitor (www.fda.gov)

2024年3月5日,美国食品药品监督管理局(FDA)批准上市了首个非处方(OTC)连续血糖监测仪(CGM),即Dexcom Stelo血糖生物传感器系统。

该系统是一种集成式连续血糖监测仪(iCGM),适用于18岁及以上、不使用胰岛素的成人。目标用户包括通过口服药物治疗的糖尿病患者,以及希望通过监测了解饮食和运动如何影响血糖水平的非糖尿病患者。重要提示:该系统不适用于有严重低血糖问题的患者,因为它未设计用于对低血糖状况发出警报。

FDA器械与放射健康中心主任Jeff Shuren博士指出,此举通过允许个人无需医疗保健提供者参与即可购买CGM,扩大了这些设备的获取途径,有助于推进健康公平。

设备采用可穿戴传感器,配合智能手机或其他智能设备上的应用程序工作。传感器可佩戴长达15天,每15分钟测量、记录并显示一次血糖值与趋势。用户不应仅依据设备输出做出医疗决定,需咨询医疗保健提供者。

提交给FDA的临床研究数据显示,该设备性能与其他iCGM相当。研究报告的不良事件包括局部感染、皮肤刺激和疼痛或不适。

FDA器械与放射健康中心将继续支持将医疗监测与健康管理引入家庭环境的创新,以推进健康公平。

4. Detect when your installed Chrome extensions have changed owners (github.com)

扩展易主检测工具:Under New Management

核心功能

这是一个浏览器扩展,用于间歇性检查用户已安装的Chrome或Firefox扩展,监测其开发者信息是否在对应应用商店(Chrome Web Store或Firefox Addons)中发生变更。一旦检测到变更,扩展图标会显示红色徽章,向用户发出警告。

创建目的

浏览器扩展开发者常收到收购报价,而购买者往往意图利用原有用户群进行欺诈。用户通常对已安装扩展的易主情况毫不知情,导致其可能面临安全风险。此工具通过提供变更通知,帮助用户做出明智的软件使用决策。

安装与使用

直接安装

  • Chrome版本:通过Chrome网上应用店安装
  • Firefox版本:通过Firefox附加组件商店安装

手动安装

下载预构建的发布包,解压后将dist目录加载至浏览器。

技术构建

  • 使用Plasmo框架开发
  • 常用命令:
    • pnpm install:安装依赖
    • pnpm dev:本地运行
    • pnpm build --zip:构建发布包
    • pnpm build --target=firefox-mv3:构建Firefox版本

技术说明

由于浏览器安全策略限制(例如不能为应用商店域名设置declarative_net_request规则),此扩展依赖ExBoost外部服务器进行开发者信息核验。

媒体关注

该工具受到多家技术媒体和安全社区关注,包括Hacker News讨论、tl;dr sec新闻通讯、The Register、Security Now播客第965期及LifeHacker的报道。

5. The end of Airplane.dev (yolken.net)

Airplane.dev终结始末

公司背景

Airplane.dev是一家内部工具开发初创公司。作者于2022年3月加入,当时公司团队约12人,随后扩展至20多人,并持续获得新客户。作者对工作环境、技术和学习机会感到满意。

发展与挑战

初期增长(2022-2023年夏):

  • 客户增加,团队扩张,前景乐观。

遭遇逆风(2023年夏):

  • 收入增长明显放缓。
  • 四名工程师和增长负责人相继离职(均为个人原因,非因收入下滑)。
  • CEO(联合创始人之一)宣布离职,转而投身AI个人项目;CTO接任CEO职务。

稳定期(2023年秋):

  • 员工流失停止,招募新成员。
  • 推出重要产品,签下大型企业客户,季度收入表现强劲。

转折与收购

突发变故:

  • 2023年11月公司活动后,新CEO突然暂停招聘并撤回两份工程师录用通知。
  • 团队成员质疑后,CEO否认收购传闻,称在探索公司新方向。

收购公告(2023年12月4日):

  • CEO在全体员工会议上宣布,Airplane将被Airtable收购并关闭产品。
  • 多数员工将获得Airtable的录用机会,但需通过面试定级;股票期权可能归零。
  • 公司明确表示这是人才收购,Airtable主要对CEO领导其AI项目感兴趣,而非产品或技术。

员工应对:

  • 停止常规开发,仅维护现有客户。
  • 员工准备面试;作者因对Airtable无好感且过程仓促,选择拒绝offer。
  • 部分同事同样拒绝。

关闭过程

  • 2024年1月3日,收购及产品关停消息公开,客户震惊且不满。
  • 用户被迫在3月1日前迁移关键内部工具,替代品并非无缝衔接。
  • 1月5日,员工最后工作日,访问权限被关闭,无正式告别或离职文件。

原因分析

  • 公司资金充足(账上有数千万美元),团队优秀,客户稳定。
  • CEO表示看不到显著增长路径,认为业务转型风险大、困难多,不如见好就收。
  • 作者认为CEO因兼任技术和市场压力而疲惫,选择风险更低、回报更快的收购方案。

作者反思

  • 工作经历总体积极,直到最后一个月。
  • 最大遗憾是客户关系的终结:许多用户为采用Airplane投入大量精力,如今被迫弃用。
  • 作者认为CEO本可选择:寻求保持产品运营的收购、单独出售技术、或开源产品,但最终单方面选择了对产品和客户最不利的结局。
  • 希望未来重返初创公司,但目前计划在大型公司调整休息。
6. Bob_cassette_rewinder (github.com)

Bob洗碗机洗涤剂盒破解与重灌指南

本文作者通过逆向工程破解了Bob洗碗机(Daan Tech产品)的专用洗涤剂盒(Bob Cassette)DRM(数字版权管理),实现了自助重灌,将每次洗涤成本从48便士降至0.80便士,节省约98%的开支。

核心问题与背景

  • Bob洗碗机采用一体化洗涤剂盒,内含洗涤剂和漂洗剂,设计为30次使用后更换。
  • 原装洗涤剂盒成本高昂:4盒(90次洗涤)售价35英镑,含税及运费后达43英镑(约60美元),相当于每次洗涤48便士(67美分)。
  • 洗碗机具备联网功能,用于在洗涤剂不足时自动订购,类似打印机订阅模式。

技术破解过程

  1. 硬件分析:洗涤剂盒内含PCB,主要元件为24C02 EEPROM芯片,用于存储剩余洗涤次数等数据。
  2. 数据读取:通过USB-A接口连接读取EEPROM,发现剩余次数存储在地址0xa1的字节中。
  3. 计数机制:该字节值与剩余洗涤次数的关系为剩余次数 XOR 0x50。例如,30次对应值0x4e,0次对应0x50
  4. 重置方法:修改该字节即可重置计数器,无需其他验证。作者设计并制作了Bob Rewinder电路板,一键即可重置。

洗涤剂替代方案

  1. 成分分析:原装洗涤剂主要含氢氧化钠和羟基乙叉二膦酸,浓度低于5%。
  2. 用量计算:每次洗涤消耗约4.33mL洗涤剂和1.17mL漂洗剂,加水稀释后浓度分别约为0.433%和0.117%。
  3. 替代品选择:选用商用洗碗机洗涤剂与漂洗剂(5L装),成分与浓度与原装相近。
  4. 成本对比
    • 洗涤剂:7.2英镑/5L,可供1154次洗涤,每次成本0.62便士。
    • 漂洗剂:7.6英镑/5L,可供4273次洗涤,每次成本0.18便士。
    • 合计每次洗涤成本0.80便士,仅为原装成本的1/60。

操作与验证

  • 作者购买商用洗涤剂,用注射器通过单向阀注入原洗涤剂盒。
  • 测试洗涤效果与原装无差异。
  • Bob Rewinder电路板可简化重置流程,支持反复使用洗涤剂盒。

总结与思考

  • 该洗碗机本身性能优良(省水、安静、紧凑),但洗涤剂盒的DRM设计导致长期使用成本过高。
  • 作者指出,厂商以“环保”和“可回收”为卖点,但专用洗涤剂盒的订阅模式实际增加了塑料和电子废弃物,与商业洗碗机的可重灌设计相比并不环保。
  • 通过破解DRM,作者不仅大幅降低了使用成本,也摆脱了洗涤剂供应的束缚,能更自由地使用洗碗机。

项目资源:作者提供了Bob Rewinder电路板的购买渠道和详细使用指南,并维护有用户讨论的Discord社区。

7. Ex-Google engineer charged with stealing trade secrets (apnews.com)

前谷歌工程师被指控窃取商业机密案

核心事件

一名前谷歌软件工程师林伟·丁(音译,中国公民)被美国司法部指控窃取公司人工智能相关商业机密,同时秘密为两家中国公司工作。他于2023年8月在加利福尼亚州纽瓦克市被捕,面临四项联邦商业机密盗窃指控,每项最高可判处10年监禁。

司法部立场与警示

  • 司法部长梅里克·加兰德在美国律师协会会议上宣布此案,强调这是中国经济间谍活动的最新例证。
  • FBI局长克里斯托弗·雷警告,窃取美国创新技术可能破坏就业并带来严重的经济与国家安全后果
  • 此案反映了美国政府对人工智能及其他新兴技术安全风险的持续担忧,司法部已将AI列为执法优先事项。

案件关键细节

  • 被告信息:丁伟,38岁,2019年受雇于谷歌,有权访问公司超级计算数据中心的机密信息。
  • 窃密过程:起诉书称,丁伟在2023年10月开始将数百个文件上传至个人谷歌云账户。
  • 中国关联
    • 2023年11月,丁伟被一家中国初创技术公司聘为首席技术官,月薪约1.48万美元。
    • 他另创立并担任一家中国AI初创公司CEO,该公司旨在训练“由超级计算芯片驱动的大型AI模型”。
    • 丁伟未向谷歌披露这些关联。
  • 离职与调查
    • 丁伟于2023年12月26日从谷歌辞职。
    • 三天后,谷歌发现他在中国投资者会议上以一家中国公司CEO身份出现。
    • 监控录像显示,另一名员工曾扫描丁伟的工牌,伪造其在谷歌办公的记录。
    • 谷歌随后暂停其网络访问并锁定设备,经调查发现未经授权的文件上传。

执法行动

  • FBI于2024年1月搜查丁伟住所并没收电子设备。
  • 后续搜查令获取其个人账户内容,共发现500多个从谷歌窃取的独特机密文件

公司回应

谷歌发言人表示公司已建立严格保密措施,经内部调查后立即将案件移交执法部门,并对FBI的协助表示感谢。被告律师未予置评。

8. Nikon to acquire RED (www.nikon.com)

尼康公司宣布已签署协议,将收购RED.com, LLC的全部股权。根据《会员权益购买协议》,交易完成后RED将成为尼康的全资子公司。该交易尚需满足特定交割条件。

RED自2005年成立以来一直处于数字电影摄像机领域的前沿,推出了行业定义性产品,如首款4K摄像机RED ONE以及搭载专有RAW压缩技术的尖端V-RAPTOR [X]。RED对电影业的贡献为其赢得了奥斯卡奖,并使其成为众多好莱坞作品的首选摄像机,其对创新和图像质量的追求受到全球导演和摄影师的认可。

此次收购源于尼康与RED共同致力于满足客户需求并提供超越预期的卓越用户体验。尼康在产品研发、可靠性、图像处理技术、光学技术和用户界面方面的专长,与RED在电影摄像机、独特图像压缩技术和色彩科学方面的知识相结合,将能够开发出专业数字电影摄像机市场的特色产品。

尼康将借此收购,依托两家公司的业务基础和网络,拓展快速增长的专业数字电影摄像机市场,持续推动电影和视频制作的可能性边界。

RED公司概况:

  • 公司名称:RED.com, LLC
  • 总部位于美国加利福尼亚州Foothill Ranch
  • 总裁:Jarred Land
  • 成立于2005年
  • 员工约220人
  • 业务:专业数字电影摄像机的设计、开发、制造、销售及服务提供
9. Sky lapse in two tone (blog.datadesk.eco)

文章概述:
本文通过欧洲航天局“哨兵一号”卫星的合成孔径雷达影像,展示了2023年全球海上能源系统与航运活动的可视化图景。卫星雷达能穿透云层探测海上物体,凸显了常被传统卫星影像忽视的海洋经济活动,包括海上风电、油气设施和船舶航线。


核心内容:

  1. 卫星技术与海上监测

    • “哨兵一号”使用合成孔径雷达,可穿透云层探测海上物体,生成黑白复合影像。
    • 传统卫星影像服务(如谷歌地球)通常忽略海洋区域,而雷达技术使离岸基础设施和航运路线以白色光点群呈现。
  2. 海上能源转型与风电发展

    • 北海地区分布着全球最大的海上风电场,如英国的霍恩西风电场(Hornsea 1 & 2),共含339台风机,可为240万户家庭供电。
    • 风电扩张迅速,全球海上风机数量已超过油气平台数量。
  3. 油气设施与贸易航线

    • 影像中可见离岸油气平台,其经济地位虽重要但呈下降趋势。
    • 关键航道如马六甲海峡(承载全球三分之一海运原油和半数贸易货物)船只密集,新加坡附近尤为拥堵。
    • 巴拿马运河区域船舶轨迹明显,但近年受干旱影响,液化天然气(LNG)运输受阻,可能改变全球LNG市场格局。
  4. 能源贸易路线调查

    • 土耳其德尔蒂约尔港口成为调查焦点,涉及俄罗斯石油经此中转可能流入欧洲的路线,反映了欧洲制裁后全球原油、柴油和汽油流动的重构。
  5. 应用与延伸

    • 影像在谷歌地球引擎中生成,基于2023年全年多张雷达快照合成,呈现海上活动的年度变化。
    • 项目受2020年蒂姆·华莱士类似图像启发,旨在通过可视化揭示全球能源系统中的关键流动节点。

总结:
文章通过卫星雷达影像揭示了海上能源基础设施与航运活动的密集景象,强调海洋经济在能源转型和国际贸易中的关键作用,并指出风电扩张、油气运输变化及航道压力等现实挑战。

11. Show HN: Flyde – an open-source visual programming language (github.com)

Flyde:开源可视化编程语言

核心定位:Flyde 是一个开源、可视化编程语言,作为 TypeScript 的可视化扩展,专注于在代码库内构建、原型设计、集成和迭代复杂的后端 AI 逻辑。它提供了一个完整的解决方案,允许开发者与非开发者协作处理后端 AI 工作流。

主要特点与优势

  • 原生代码库集成:不同于独立工具,Flyde 作为库直接运行在你的现有代码库中,可以访问运行时代码和现有后端框架,并能无缝集成到工具链和 CI/CD 管道中。
  • 可视化后端 AI 工作流:通过可视化界面构建后端 AI 智能体、提示词链、API 编排和智能体工作流,同时保持对代码的完全控制。
  • 降低协作门槛:作为 TypeScript 的可视化扩展,它弥合了开发者与非开发者(如产品经理、设计师)之间的鸿沟,使整个团队都能为后端 AI 工作流开发做出贡献。
  • 丰富的功能套件:包括 VS Code 扩展、运行时库、丰富的标准库、可视化调试器和完整的 TypeScript 支持。

应用场景

  • 为 AI 智能体、提示词链和多步骤后端 AI 工作流提供更易管理的构建、调试和维护方式。
  • 原型设计新的后端功能、管理复杂业务逻辑、编排 API。
  • 以可视化方式记录和理解后端应用流程,同时保持代码的强大能力。

快速开始

  1. 在线体验:访问 https://www.flyde.dev/playground 在浏览器中试用。
  2. 使用 CLI:运行命令 npx create-flyde-app
  3. 手动设置:参考 https://flyde.dev/quick-start 的详细信息。

目标用户

  • 产品团队与开发者:促进技术与非技术成员(如产品经理、设计师、后端开发者)协作,使复杂后端逻辑透明化。
  • 构建 AI 驱动后端的开发者:适用于处理复杂提示链、AI 智能体或多步骤后端 AI 工作流的团队。
  • 寻求视觉清晰度的团队:适用于需要原型设计、管理复杂逻辑或更好文档化流程的场景。

开源贡献

Flyde 是一个开源项目,欢迎贡献。参与方式包括:

  • 报告 Bug
  • 提交功能请求
  • 请求改进文档
  • 加入 Discord 社区获取入门帮助

技术细节

  • 遥测数据:VS Code 扩展会收集匿名使用数据以改进产品(如扩展激活、流程创建、错误报告),不收集个人信息或代码内容。可通过设置禁用。
  • 许可证
    • 核心运行时 (@flyde/core, @flyde/loader, @flyde/nodes) 使用 MIT 许可证,允许无限制地在你的软件中使用 Flyde 流程。
    • UI 库和工具包中的其他节点 使用 GNU AGPLv3 许可证。这意味着,如果你在自己的工作中使用 Flyde 的可视化编辑器,你的相关工作也必须开源。

更多信息,请访问官方网站:https://flyde.dev

12. Medellín's Green Corridors (reasonstobecheerful.world)

麦德林绿色走廊:城市降温与生态修复的典范

项目背景与动机

麦德林作为哥伦比亚第二大城市,长期快速城市扩张导致严重的热岛效应。混凝土基础设施吸收并储存大量热量,使城市温度显著高于周边郊区。为应对气候变暖,市政府于2016年启动“绿色走廊”项目,通过大规模绿化改造恢复城市生态平衡。

实施策略与规模

核心举措:

  • 投入1630万美元资金,在道路、水道沿线建设30条绿色走廊
  • 改造超过70公顷绿地空间,包括20公里带遮阴的自行车道与人行道
  • 选用72种本地及热带植物(包括竹草、棕榈树等),模拟自然森林的多层次结构
  • 绿化地铁站、桥梁等热聚集基础设施,政府建筑安装绿色屋顶和垂直花园

植物选择科学依据:

  • 优先选择具有功能性用途的本地物种
  • 例如印度芒果树被证实为最有效吸收PM2.5污染的物种之一
  • 植物兼具为野生动物提供食物、促进生物多样性、净化空气等多重功能

关键成效(2016-2019)

环境改善:

  • 城市温度在项目启动后三年内下降2°C,预计未来几十年将进一步降低4-5°C
  • PM2.5浓度显著下降,急性呼吸道感染发病率从千分之159.8降至95.3
  • 单条绿色走廊年吸收二氧化碳16万公斤,百年预计吸收230万公斤

社会经济效益:

  • 自行车使用率上升34.6%
  • 生物多样性恢复:五个走廊样本中发现30种蝴蝶
  • 创造就业:雇佣150名来自弱势背景的市民园丁,配备15名专业林业工程师

公民参与机制

  • 市民园丁接受植物园专家专业培训
  • 典型案例:维多利亚·佩雷斯等园丁负责修剪维护,认为项目“显著提升生活质量”
  • 项目为弱势群体提供职业发展机会,如非裔哥伦比亚农民威尔马·赫苏斯通过工作获得技能提升

面临挑战

  1. 维护难题: 市中心走廊面临交通污染与垃圾堆积问题
  2. 资金压力: 年维护成本62.5万美元,城市面临28亿美元债务
  3. 管理漏洞: 前任政府维护资金不足导致部分区域荒芜

未来展望与影响

  • 现任市长承诺重新推动绿化项目,计划将走廊延伸至更多山丘与溪流
  • 正在试验“土工织物”铺路等新技术,增强雨水吸收与树木生长空间
  • 项目已被波哥大、巴兰基亚及巴西圣保罗等城市借鉴实施
  • C40城市气候领导联盟顾问指出:“绿色走廊能在全球更多城市发挥作用”

该项目证明通过科学规划与公民参与,城市绿化能有效缓解热岛效应、改善空气质量、促进生物多样性,为全球城市气候适应提供可复制方案。

14. PFAS 'forever chemicals' to officially be removed from food packaging, FDA says (www.livescience.com)

美国食品药品监督管理局(FDA)宣布,美国食品包装中将不再使用有害的“永久化学物质”PFAS。该决定于2023年2月28日发布,标志着美国食品包装制造商已自愿完成对含有全氟和多氟烷基物质(PFAS)的防油材料的逐步淘汰。

根据FDA的声明,此类含PFAS的防油材料将不再用于新的食品包装产品中。受影响的包装包括快餐包装纸、微波爆米花袋、外卖盒以及宠物食品袋等。PFAS因其在环境中的持久性和与某些健康问题的关联而备受关注。此举旨在消除这类化学物质从食品包装渗入食品的潜在风险,保障公众健康。

15. We hacked Google A.I. (www.landh.tech)

本文记叙了安全研究员Joseph "rez0" Thacker、Justin "Rhynorater" Gardner和Roni "Lupin" Carta参与Google “LLM bugSWAT”漏洞悬赏活动的经历,他们在活动中发现了Google人工智能系统的多个安全漏洞。

背景与过程
三人在拉斯维加斯、东京和法国协作,针对Google的Bard(现Gemini)、Google Cloud Console及新集成的Google Workspace AI功能进行安全测试。活动期间,他们与Google安全工程师直接交流,获得技术支持。

主要发现漏洞

  1. IDOR漏洞:Bard的图像描述功能存在不安全直接对象引用缺陷,攻击者可通过篡改请求参数,越权查看并描述其他用户上传的私密图像,可能泄露图片中的敏感文字信息。

  2. GraphQL拒绝服务漏洞:在Google Cloud Console的GraphQL API中,研究者发现可通过发送包含大量@Signature指令的查询请求(指令重载攻击),导致后端处理时间急剧增加(百万指令使响应延迟超100秒),造成拒绝服务风险。该漏洞被评为“活动最酷漏洞”,获得额外奖金。

  3. 硬编码签名密钥:通过询问工程师,发现用于签署GraphQL请求的密钥被硬编码在源代码中且为一句可猜测的短语,虽不直接构成外部风险,但属于内部安全疏漏。

  4. 数据泄露漏洞:在Google Workspace与Bard集成后,研究者发现可利用Bard的Markdown渲染功能,结合提示注入与内容安全策略(CSP)绕过技术,诱导Bard总结用户邮箱内容,并通过构造的图片链接将数据外传至攻击者控制的服务器。此漏洞允许窃取个人身份信息(PII)。

结果
研究员共获得50,000美元赏金,Joseph获得活动第一名,Roni第二名,Justin第三名。三个漏洞均额外获得“最酷漏洞”奖金。活动不仅带来经济回报,也让他们在AI安全攻击面方面收获宝贵经验。

16. NTSB says Boeing is withholding key details about door plug on Alaska 737 MAX 9 (www.npr.org)

NTSB指控波音隐瞒737 MAX 9门塞关键信息

美国国家运输安全委员会(NTSB)表示,在阿拉斯加航空公司一架波音737 MAX 9客机门塞面板脱落事故两个多月后,波音公司仍未提供关键信息以查明事故原因。

核心指控

  • NTSB主席Jennifer Homendy在参议院听证会上指出,波音未提供文档说明是谁在西雅图工厂未能正确重新安装门塞。
  • NTSB初步报告显示,去年飞机离厂时,用于固定门塞的四个关键螺栓缺失。该门塞在飞机组装期间因修理机身铆钉问题而被打开。
  • 调查人员通过邮件和短信调查认为,门塞相关工作发生在九月中旬的两天,但波音称无法提供相关记录。
  • NTSB要求波音提供25名门塞操作团队的员工名单及工作文档,但最初波音未配合,后于近期提供了员工名单。

波音回应 波音发言人Connor Greenwood在声明中称,公司“积极、透明地支持NTSB调查”,并已提供了相关员工姓名。但他承认,如果门塞拆卸工作“未记录在案”,则不存在相关文档。

国会反应与质询

  • 听证会上,两党参议员均对波音合作不力表示不满。
  • 参议院商务委员会主席Maria Cantwell称波音缺乏合作“令人极度失望”。
  • 委员会资深成员Ted Cruz参议员称波音的回应“不可接受”,要求NTSB一周内汇报波音是否已同意分享所需信息。
  • 议员们提及波音在2018-2019年两起737 MAX 8空难后最初推卸责任的先例。

潜在影响 Homendy表示,如果所需记录不存在,将严重质疑波音的质量控制、质量管理和安全管理体系。她指出,波音本应有流程记录门塞操作等工作的文档。

监管关注 美国联邦航空管理局(FAA)监管人员也对波音及其供应商“系统性质量控制问题”表示担忧,已要求波音在5月底前提交解决这些问题的计划。

17. Downpour is the game creation tool I have been working on for the past few years (v21.io)

Downpour 游戏创作工具发布摘要

核心目标与开发背景

Downpour 是一款游戏创作工具,作者于2022年10月离开Niantic后开始开发,目标是让用户比使用其他工具更快速、更轻松地制作互动类游戏。工具的设计核心是易用性表达性,旨在降低游戏创作门槛,使没有技术背景的人也能在几分钟或几小时内完成作品。

关键设计决策与功能特点

  1. 以选择为核心的游戏机制:最简单的游戏形式是做出选择,因此工具以此为基础,并允许通过文本、图片等内容扩展。
  2. 多来源图像支持:用户可通过绘制纸质作品、拍照、软件绘图或导入网络图片等方式添加素材,充分利用手机摄像头等便利功能。
  3. 跨平台与快速启动:为覆盖iPhone和Android用户,选择Flutter框架开发,实现应用启动时间小于1秒,兼顾性能与兼容性。
  4. 移动端优化:针对单手操作设计界面(如将关键按钮置于屏幕底部),并提供详细教程辅助用户上手。
  5. 心理门槛降低:内置未完成游戏模板,用户可直接修改或添加内容,避免从零开始的压力。
  6. 一键发布与分享:游戏上传后生成可分享链接,无需复杂表单填写;支持账户系统,但允许无账户使用基础功能。
  7. 多端访问支持
    • 其他用户可在应用内直接游玩已发布游戏,并通过关注创作者获得更新通知。
    • 游戏数据可通过浏览器版本(HTML/JavaScript编写)在线游玩,扩大受众范围。
  8. 可扩展性与开源:提供游戏导出功能,开源浏览器播放代码,方便社区修改或扩展功能,减少对开发者的依赖。

技术实现亮点

  • 选择Flutter平衡了跨平台需求与启动速度。
  • 部署服务器端支持一键上传,包含图片托管、账户系统及安全防护(如DDoS保护)。
  • 分离游戏数据与播放代码,便于独立维护和社区二次开发。

工具定位与愿景

作者希望Downpour能帮助更多人创作“单个笑话”“一首诗”等轻量级互动作品,让游戏制作不再受技术、设备或繁琐流程限制。工具已登陆App Store和Play Store,并设有官方网站。

18. U.S. students will take the SAT online (www.npr.org)

美国SAT考试正式全面数字化

考试形式的重大变革

  • 全数字化实施:拥有近一个世纪纸笔考试历史的SAT,本周起在美国正式转为全数字化形式。
  • 考试方式:学生可在考试中心或高中使用个人设备(平板或笔记本电脑)或学校设备参加考试。
  • 核心变化
    • 时间缩短:考试时间从3小时减少至2小时。
    • 内容调整:阅读文章篇幅缩短。
    • 数字工具:提供高亮标记、图形计算器、书签(用于回顾跳过题目)等工具。
  • 改革目的:旨在使作弊更加困难,评分更为便捷。

实施背景与学生适应

  • 数字化趋势:College Board负责SAT的Priscilla Rodriguez指出,当代学生的生活、学习和考试都已高度数字化。
  • 学生反馈:焦点小组显示,学生对数字化考试感到更自信、更自然,并希望考试形式能跟上他们的数字化习惯。
  • 适应程度:许多学生认为转型并不显著,例如来自休斯敦的高中11年级学生Stephany Perez表示,他们已习惯在课堂上使用笔记本电脑。
  • 备考情况:学生通过学校合作的非营利组织CollegeSpring提供的材料进行备考。

考试平台与后勤安排

  • 考试平台:学生需在College Board自研的“Bluebook”应用程序上完成考试。
  • 设备准备:学校需提前将应用下载到设备上。
  • 网络要求:开始考试需要网络连接,但考试期间对带宽要求很低,且应用设计具有本地自动保存功能,以防断网导致进度丢失。
  • 考试规模与场次:College Board预计三月和四月将有超过100万学生参加新数字SAT,考试可选择在周六考试日或学校在教学日免费提供的“SAT School Day”进行。

SAT在大学录取中的作用与争议

  • 争议背景:SAT和ACT(另一项大学入学考试)在录取过程中的相关性正受到质疑。根据公平与公开测试国家中心的数据,超过1800所美国大学对2025年秋季入学的学生不要求提交考试成绩。
  • 最新动向:然而,包括布朗大学和达特茅斯学院在内的部分精英私立大学最近重新恢复了考试要求,认为其为录取过程提供了有用的参考背景。
  • 持续的重要性
    • 尽管许多学校试图淡化考试,College Board的Rodriguez认为SAT仍可作为展示学生标准化学习成果的方式,尤其是在其他申请材料(如课外活动、文书)易受家庭财富影响的情况下。
    • 对于学生而言,即使大学声称“考试可选”,许多学校网站仍会列出平均SAT分数,因此考试成绩依然重要。
    • SAT和ACT在美国高中体验中仍根深蒂固,许多州要求学生通过其中一项考试才能毕业,部分州还有合同安排在教学日免费为学生提供考试。

SAT考试的演变历程

  • 在转为数字化之前,SAT已经历过数次改革:
    • 2014年:取消答错题扣分制度,作文部分变为可选,并删除了晦涩的词汇部分。
    • 2021年初:宣布停止SAT的可选作文部分以及美国历史、语言、数学等多个学科的单项测试。
19. Show HN: TinyWasm – A tiny WebAssembly Runtime written in Rust (github.com)

TinyWasm: 轻量级WebAssembly运行时

概述

TinyWasm是一个使用Rust编写的轻量级WebAssembly(Wasm)运行时。其设计核心是在不显著牺牲性能和功能的前提下保持极小的体积。

核心特点

  • 轻量: 设计精简,依赖少。
  • 可移植: 基于Rust构建,支持no_std环境,依赖极少,自身也可编译为WebAssembly。
  • 安全: 默认使用安全的Rust编写(仅simd-x86特性包含有限的unsafe代码)。其沙箱设计旨在阻止未受信的Wasm代码访问主机内存或逃脱运行时。

快速上手

通过Cargo添加依赖,并使用提供的API加载、实例化Wasm模块并调用导出的函数。示例代码演示了如何计算(1, 2)相加的结果。

配置与功能

项目通过Cargo特性进行模块化配置:

  • 默认启用std(文件IO)、logparser(解析器)、archive(序列化至内部字节码格式)、canonicalize-nansdebugparallel-parser(并行解析)、simd-x86(x86 SIMD指令,使用unsafe)等。
  • 无默认特性时:仅依赖corealloclibm,可用于纯no_std + alloc环境。
  • 可通过Engineengine::Config进行更高级的运行时配置,如燃料计量、内存后端选择等。

当前状态与兼容性

  • 已通过 WebAssembly MVP2.0 核心测试套件
  • WebAssembly 3.0 支持仍在开发中。
  • 拥有优化后的内部字节码格式 twasm,可用于加速模块加载。
  • 详细支持了一大批WebAssembly提案,包括多值、固定宽度SIMD、尾部调用、内存64等(详见“支持的提案”表格)。异常处理、垃圾回收、线程等提案暂未支持。

安全模型

  • 运行时本身以安全Rust编写,仅在使用x86 SIMD特性时包含局部unsafe代码。
  • Wasm输入在执行前会经过严格验证,并在沙箱中运行,确保未受信代码无法危及主机。
  • 重要提示:内部twasm字节码格式不作为未信任输入进行验证。仅应运行受信的twasm文件。

参考与许可

文章提及了几个更成熟或侧重不同的运行时(如wasmiwasm3wazero)供参考。项目采用 Apache 2.0 或 MIT 双重许可

20. Show HN: Elodin – A better framework for physics simulation (github.com)

Elodin 框架概述

Elodin 是一个用于物理模拟和飞行软件的综合框架。其代码仓库包含一个完整的单仓库,涵盖了从底层飞行软件到高层仿真和可视化的全部源代码。

核心组成

框架主要分为三大部分:

  1. 飞行软件 (FSW)

    • aleph-os: 用于组合在 Orin 计算机上运行的 Linux 飞行软件栈的 NixOS 模块。
    • elodin-db: 作为中央遥测存储和消息总线的时序数据库应用。
    • serial-bridge: 读取串口传感器数据并写入 elodin-db 的应用。
    • mekf: 一个乘法扩展卡尔曼滤波器实现,用于融合传感器数据以估计飞行器姿态。
    • sensor-fw: Aleph 扩展板固件,通过 USB/UART 向 Orin 传输传感器数据。
  2. 仿真软件

    • nox-py: 提供实体组件系统 (ECS) 和 JAX 集成的 Python 软件开发工具包。
  3. 编辑器

    • 一个用于可视化仿真和飞行数据的 3D 查看器和图表工具。

开发环境设置

项目提供两种设置方法,强烈推荐使用 Nix 以确保环境一致。

  • 推荐方法 (Nix):

    • 需要预先安装 Determinate Systems NixJustgit-lfs
    • 推荐在 Arm-based MacOS 上进行开发,以获得最佳构建速度和开发体验。
    • 步骤包括:安装 Nix -> 克隆仓库 -> 进入 Nix 开发 Shell -> 使用 just install 构建并安装编辑器和数据库 -> 运行示例模拟。
    • Python SDK 开发需要在另一个 Nix Shell 中构建 wheel 包。
  • 备选方法 (仅限 macOS):

    • 此方法更复杂且可能导致环境不一致。
    • 需要通过 Homebrew 手动安装依赖(如 GStreamer, Python, Rust 等)。
    • 步骤包括:初始化 git-lfs -> 克隆仓库 -> 使用 just install 构建 -> 使用 uvmaturin 设置 Python 环境并开发 SDK。

附加资源

文档包括 Elodin 应用文档、Python SDK 文档以及内部 Nix 文档。

21. Gabriel García Márquez: Sons publish novel that late author wanted destroyed (www.bbc.co.uk)

诺贝尔文学奖得主加西亚·马尔克斯(Gabriel García Márquez)的两个儿子违背父亲遗愿,出版了他在患有痴呆症期间创作的小说《直到八月》(Until August)。马尔克斯在2014年去世前曾要求销毁这部手稿。

其子贡萨洛(Gonzalo)解释,父亲晚年因病无法客观评价自己的作品,只能看到缺陷。他们认为这部小说是完整的,且无需大幅修改,展现了马尔克斯创作中的新面向。尽管他们承认此举是“一种背叛”,但认为子女的职责之一便是做出此类决定,并希望通过家族认可的版本来保护版权。

这部约100页的小说讲述了一位已婚中年女性每年夏天独自前往海岛祭拜母亲,并在此期间与不同情人发生关系的故事。这是马尔克斯首次以女性为绝对主角的作品。

评论界反应不一。《卫报》的评论称其为“一幅模糊而有瑕疵的素描,但出自大师之手依然珍贵”;《每日电讯报》则认为其“ strangely moving”( strangely moving),既未增加也未削弱马尔克斯的传奇地位。但《i报》的评论则认为,家人和出版商应当尊重作者不公开的意愿。

文章还列举了其他违背作者遗愿出版遗作的先例,如卡夫卡、纳博科夫和维吉尔。此外,马尔克斯的代表作《百年孤独》正被改编为西语Netflix剧集,这是他生前坚持必须以西语呈现的条件。《直到八月》于2024年3月12日在英国出版。

22. Show HN: dockerc – Docker image to static executable "compiler" (github.com)

dockerc:将Docker镜像编译为静态可执行文件

核心功能:dockerc 是一个工具,用于将 Docker 镜像编译成独立的、可移植的静态可执行文件。其主要目的是消除用户对 docker runpip installnpm i 等命令的依赖,直接向最终用户提供可立即运行的二进制文件。

使用方法

  1. 安装:从最新发布版本安装 dockerc。
  2. 基本命令
    • 从 Docker Hub 编译镜像:dockerc --image docker://oven/bun --output bun
    • 编译本地 Docker 守护进程存储的镜像:dockerc --image docker-daemon:mysherlock-image:latest --output sherlock_bin
    • 指定目标 CPU 架构(如 ARM64):dockerc --image docker://hello-world --arch arm64 --output hello
  3. 运行:生成的二进制文件可以像普通可执行文件一样直接调用。它也支持类似 docker run-e(环境变量)和 -v(卷)参数。容器内运行的网络化服务可以直接访问,无需额外指定 -p 参数进行端口映射。
  4. 镜像加载:内部使用 Skopeo 加载镜像,其他镜像来源请参考 Skopeo 文档。

从源码构建

  • 项目使用 Git 子模块,克隆后需执行 git submodule initgit submodule update
  • 编译依赖于一个修补版的 Zig 编译器,该版本位于 NilsIrl/zig 仓库的 nils-dockerc-version 分支上(相关补丁已提交给上游 Zig)。
  • 使用以下命令进行编译(支持 x86_64 和 aarch64 Linux 目标):
    • zig build -Doptimize=ReleaseSafe -Dtarget=x86_64-linux-musl
    • zig build -Doptimize=ReleaseSafe -Dtarget=aarch64-linux-musl

主要特性

  • 将 Docker 镜像编译为可移植二进制文件。
  • 支持无根容器。
  • 通过 QEMU 支持 macOS 和 Windows。
  • 支持 x86_64 和 arm64 架构。
  • 支持传递命令行参数。
  • 支持通过 -e 指定环境变量。
  • 支持通过 -v 挂载卷。
23. Sea Kit (www.sea-kit.com)

Sea Kit 公司摘要

核心业务:Sea Kit 公司专注于提供遥控式无人水面船(USV) 及相关高科技解决方案,服务于海事与研究行业

产品与优势

  • 设计:其无人船具备可适应多种任务配置的灵活载荷区域
  • 运营模式:可独立工作组成船队,以完成广泛任务。
  • 核心优势:相较于传统有人船舶,Sea Kit 的方案旨在实现 “更快、更低成本、更低人员风险”,并能显著减少碳排放

公司愿景

  • 致力于成为该领域世界级的高科技解决方案提供商
  • 目标是开拓新的技术领域和类别,以解决未来问题。

公司价值观: 公司运营遵循以下核心价值:

  • 可持续性
  • 创新
  • 可靠性
  • 协作
  • 敏捷性
  • 忠诚
24. Show HN: Fructose – LLM calls as strongly typed functions (github.com)

Fructose 是一个 Python 包,旨在将大语言模型(LLM)调用封装成强类型的函数。它通过一个 @ai 装饰器,让用户能够定义带有类型注解的函数,当调用该函数时,Fructose 会根据函数签名和文档字符串自动生成提示词并执行 LLM 调用,返回强类型的结果。

核心功能与特性

  • 强类型接口:函数定义使用标准的 Python 类型注解,支持基本类型、复合类型、@dataclass、嵌套类型、EnumOptional
  • 装饰器语法:使用 @ai 装饰器即可将普通函数转变为 LLM 驱动的功能。
  • 本地函数调用:支持在 LLM 调用过程中调用本地 Python 函数,甚至是其他 @ai 函数。
  • 灵活配置:支持选择 OpenAI 模型(默认为 gpt-4-turbo-preview)、使用自定义的 OpenAI 客户端(可配置代理或兼容的 API 端点)。
  • 提示词定制:提供“Flavors”(如 randomchain_of_thought)来调整提示行为,并支持通过 Jinja 模板自定义系统提示词。

当前状态与维护 该项目在 Hacker News 上发布后获得了关注,但目前已暂停维护。作者推荐需要积极维护项目的用户考虑使用 InstructorMarvin 这两个替代包。如果希望继续使用或贡献 Fructose,可以 fork 项目或申请成为维护者。

安装与使用 安装需要设置 OpenAI API 密钥环境变量。使用示例如下:

from fructose import Fructose
ai = Fructose()

@ai
def describe(animals: list[str]) -> str:
  """给定一组动物,用一个词描述它们的共同点。"""
  ...

description = describe(["dog", "cat", "parrot", "goldfish"]) # 返回 "pets"

注意事项

  • 项目当前版本为 v0,API 可能不稳定,建议固定依赖版本。
  • 由于 LLM 生成的不确定性,调用可能会失败。
  • 本地函数调用功能对本地函数有要求(需有类型注解、文档字符串和合理的参数名)。
  • 并非所有 LLM 提供商都完全支持其依赖的 JSON 模式和函数调用功能。
25. ECJ finds IAB Europe responsible for TCF consent spam popups across the Internet (www.iccl.ie)

欧洲最高法院于2024年3月7日裁定,行业组织IAB Europe需根据《通用数据保护条例》(GDPR)为泛滥于互联网的“透明与同意框架”(TCF)同意弹窗负责。该弹窗系统被谷歌、亚马逊、微软、TikTok等数百家追踪式在线广告公司使用,但此前已被欧洲数据保护机构认定违反GDPR。

判决要点

  1. 责任认定:IAB Europe辩称其仅制定数据使用规则而不直接处理数据,故不应承担GDPR下的“数据控制者”责任。法院驳回此观点,明确认定IAB Europe作为TCF的管理主体,属于数据控制者。
  2. 违规实质:TCF系统及实时竞价(RTB)广告体系在处理个人数据时存在多重GDPR违规,包括每年高达71万亿次的不当数据广播,导致欧洲公民敏感信息泄露至全球(包括中国、俄罗斯等)。
  3. 行业影响:判决迫使在线广告行业根本性变革,谷歌、亚马逊等公司不能再以“数据不受法律保护”为由推卸责任。ICCL执行部门Johnny Ryan称此判决将终结“历史上最大规模的垃圾弹窗操作”,并对追踪式广告行业造成致命打击。

案件背景

  • 争议始于2018年由ICCL发起的关于在线广告系统安全性的投诉。
  • 2022年2月,比利时数据保护局联合其他27个欧盟数据保护机构裁定TCF系统非法。
  • 案件上诉至布鲁塞尔市场法院后,于2023年9月移交欧洲法院审理。
  • 本次判决为布鲁塞尔市场法院后续裁决提供了明确法律依据。

后续发展
ICCL及相关投诉方(包括波兰Panoptykon基金会、荷兰Bits of Freedom等机构)表示将发布更详细分析。欧洲法院判决全文可通过官方链接获取。

(注:总结严格基于原文内容,未添加主观评论或外部信息。)

26. Open-sourcing our progress on Tailwind CSS v4.0 (tailwindcss.com)

Tailwind CSS v4.0 进展开源公告摘要

Tailwind CSS 宣布正式开源其下一代版本 v4.0 的开发进展,并发布了首个公开的 v4.0.0-alpha 版本。此次更新是一次根本性的重写,核心是全新的高性能引擎“Oxide”,旨在简化开发体验并充分利用现代网络平台的优势。

主要更新亮点

1. 全新高性能引擎

  • 速度大幅提升:构建速度最高可提升10倍。例如,Tailwind CSS 官网的完整构建时间从960毫秒降至105毫秒。
  • 更小的安装体积:新引擎安装体积减少超过35%。
  • Rust 优化:将框架中最耗时且可并行处理的部分迁移到 Rust 中实现,同时保留 TypeScript 核心以确保可扩展性。
  • 单一依赖:新引擎仅依赖 Lightning CSS 这一个包。
  • 自定义解析器:编写了专用的 CSS 解析器和数据结构,解析速度比之前使用的 PostCSS 快一倍以上。

2. 内置 CSS 处理功能(All-in-one)

Tailwind CSS v4 不再仅仅是插件,而是一个集成的 CSS 处理工具。通过内置 Lightning CSS,实现了以下开箱即用的功能:

  • 内置 @import 处理。
  • 内置供应商前缀(不再需要 autoprefixer)。
  • 内置嵌套 CSS 支持。
  • 现代 CSS 语法转换(如 oklch() 颜色、媒体查询范围),以提升浏览器兼容性。
  • 除了提供 PostCSS 插件,还推出了官方 Vite 插件

3. 面向现代 Web 的设计

  • 原生级联层:使用真实的 @layer 规则,解决了许多特异性问题。
  • 显式自定义属性:使用 @property 定义内部自定义属性,支持类型和约束,例如可以对背景渐变应用过渡效果。
  • 使用 color-mix 实现透明度修饰符:使得在使用 CSS 变量颜色或调整 currentColor 的透明度时更为简便。
  • 核心支持容器查询:直接内置了容器查询支持,新增了 @min-*@max-* 变体。

4. 架构改进

  • 可组合的变体:新的架构允许组合各种变体,如 group-*peer-*has-* 以及新引入的 not-* 变体,且组合没有限制。
  • 零配置内容检测:Tailwind 现在可以自动发现项目中的模板文件。在 PostCSS/CLI 集成中,通过爬虫和启发式方法查找;在 Vite 插件中,则利用模块图实现精准检测,无误报或漏报。

5. 以 CSS 为中心的配置

v4.0 的目标是使框架更贴近 CSS 本地化,减少对 JavaScript 配置的依赖。

  • 通过标准的 CSS @import 语句引入 Tailwind。
  • 使用新的 @theme 指令和 CSS 变量进行主题和自定义配置(如字体、断点、颜色),取代 tailwind.config.js 文件。
  • 所有主题值都作为原生 CSS 变量公开,便于在自定义 CSS 或第三方库(如 Framer Motion)中直接使用,无需 theme() 函数。

6. 重要变更(Breaking Changes)

  • 移除了已弃用的工具类,如 text-opacity-*flex-grow-*,采用其现代替代方案。
  • PostCSS 插件和 CLI 现在是独立的包@tailwindcss/postcss@tailwindcss/cli),主包不再包含。
  • 默认边框颜色border 工具类的默认颜色从 gray-200 改为 currentColor(与浏览器默认行为一致)。
  • 默认 Ring 样式ring 工具类默认从 3px 蓝色环变为 1px currentColor 环。

7. 通往稳定版的路线图

在发布稳定版 v4.0 之前,还需完成以下关键工作:

  • 重新支持 tailwind.config.js JavaScript 配置文件。
  • 提供显式配置内容路径的选项。
  • 完整支持各种暗黑模式策略(目前仅支持媒体查询)。
  • 支持插件、自定义工具类、类名前缀、安全列表/阻止列表、!important 配置以及向后兼容的 theme() 函数。
  • 开发独立的 CLI 工具。

如何试用 Alpha 版本

  • Vite 项目:安装 tailwindcss@next@tailwindcss/vite@next,并在 vite.config.ts 中添加插件。
  • PostCSS 项目:安装 tailwindcss@next@tailwindcss/postcss@next,并在 postcss.config.js 中添加插件。
  • CLI 使用:安装 tailwindcss@next@tailwindcss/cli@next,通过 npx @tailwindcss/cli@next 命令编译 CSS。

官方鼓励开发者试用并向 GitHub 报告问题,目标是争取在年内发布稳定版本。

27. Fractional scales, fonts and hinting (blog.gtk.org)

GTK 4.14 新渲染器的分数缩放与字体渲染改进

GTK 4.14 即将发布,其核心改进之一是新渲染器对分数缩放(如125%)的更好支持。新渲染器旨在提供更清晰的字体渲染效果,尤其是在使用非整数倍缩放比例时。

背景与问题:

  • GTK 4.0 以来倡导线性布局,即直接在子像素位置绘制字形轮廓。这在高分辨率(>240 dpi)设备上效果良好,但对大多数低分辨率笔记本屏幕不适用。
  • 为此,GTK 曾引入 gtk-hint-font-metrics 设置,将文本布局对齐到整数像素。但这与分数缩放不兼容,因为其舍入发生在应用像素层面,而清晰渲染需要设备像素对齐。

核心解决方案: 新渲染器区分了两种字形渲染模式:

  1. 优化统一间距:采用子像素定位与未提示渲染。
  2. 优化清晰渲染:采用提示渲染,并将字形放置在整数设备像素位置(因自动提示器需要)。
  • 具体决策取决于字体选项。若启用提示,则垂直方向(Y)舍入到整数设备像素;水平方向(X)保留子像素定位以利用其更高分辨率。若未提示,则X和Y均使用子像素定位(但基于设备像素计算)。

效果对比:

  • 旧渲染器在125%缩放下(实为200%渲染后合成器降采样)存在渲染不一致问题。
  • 新渲染器在125%缩放下,即使允许字形水平子像素偏移,也能保持垂直条(如T和e的横笔画)跨行一致,从而产生更清晰、稳定的渲染结果。

其他说明:

  • GTK 4 不支持子像素渲染(如ClearType),因其合成流程不具备组件Alpha。字体抗锯齿始终采用灰度模式。
  • 子像素渲染与子像素定位是不同的概念。

总结: GTK 4.14 的新渲染器通过改进字体提示与子像素定位的处理逻辑,显著提升了分数缩放下的字体清晰度和一致性,建议用户亲自体验以评估效果。

28. The Berkeley Software Distribution (www.abortretry.fail)

BSD(伯克利软件套件)摘要

BSD 是源自加利福尼亚大学伯克利分校的 Unix 操作系统 的一个分支版本。它最初基于 AT&T 的 Research Unix,但在20世纪70年代末至90年代间由伯克利计算机系统研究组(CSRG)独立开发,逐渐成为一个完整的操作系统。

核心要点

  1. 起源与历史

    • 始于1977年,最初是对 AT&T Unix 的补充和改进。
    • 在开发过程中,BSD 逐步替换或重写了大量原始的 AT&T Unix 代码。
  2. 主要版本

    • 4.4BSD:最后一个由 CSRG 发布的主要版本,常被视为现代 BSD 系统的基石。
    • 在此之后,衍生出多个独立的操作系统项目。
  3. 许可模式

    • 采用 BSD 许可证,这是一种非常宽松的自由软件许可证,允许代码被用于专有软件中,与 GNU 通用公共许可证(GPL)的理念不同。
  4. 技术特点与贡献

    • 对 TCP/IP 网络协议栈的实现做出了开创性贡献,被广泛集成到众多操作系统中。
    • 引入了 虚拟内存快速文件系统 等重要技术。
    • 代码以整洁、注重文档和可移植性而闻名。
  5. 现代衍生物

    • 主要的现代 BSD 发行版包括 FreeBSD(侧重性能与兼容性)、OpenBSD(侧重安全与正确性)、NetBSD(侧重可移植性)以及 DragonFly BSD 等。
    • 苹果公司的 macOSiOS 的核心系统 Darwin 也整合了大量的 FreeBSD 代码。
  6. 影响

    • BSD 不仅是一个历史项目,其技术遗产和代码至今仍活跃在各类服务器、嵌入式设备和桌面系统中,是开源和商业软件领域的重要基础。
29. Worldcoin hit with temporary ban in Spain over privacy concerns (techcrunch.com)

西班牙数据保护机构已下令Worldcoin项目暂时停止在该市场收集和处理个人数据,并封存此前已收集的数据。这项紧急措施依据《通用数据保护条例》(GDPR)第66条的紧急程序,最长期限为三个月。

事件核心

  • 原因:西班牙数据保护局(AEPD)自Worldcoin于去年7月在当地运营以来,收到了多项投诉,涉及数据处理信息不透明、收集未成年人数据以及不允许撤回同意等问题。
  • 敏感数据:生物识别数据(眼球扫描)被视为高风险,因其特殊性和不可撤销性。
  • Worldcoin背景:该项目由Sam Altman创立,通过扫描用户眼球生成唯一的“World ID”,并作为“人类身份证明”系统,参与者可获得同名加密货币作为回报。

争议与监管动态

  • 隐私担忧:涉及数据敏感性、数据处理实体不透明(包括营利与非营利机构混合结构)、区块链和加密货币的运用等。
  • 欧盟统一机制:Worldcoin在德国设有欧洲实体,因此巴伐利亚州数据保护局作为主要监管机构已进行数月调查,关注数据透明度、安全性及数据主体权利保障等。但西班牙当局认为情况紧急,决定单方面采取行动。
  • Worldcoin回应:公司数据保护官指责西班牙当局“绕开欧盟法律”并传播不准确信息,但未确认是否已停止在西班牙的扫描活动。公司网站仍列出西班牙境内29个扫描点。

全球范围挑战

  • Worldcoin已在法国、印度、巴西暂停扫描,在肯尼亚被政府下令暂停。
  • 当前仍在运营的国家包括德国、葡萄牙、阿根廷、智利、日本、新加坡、墨西哥和美国。

潜在影响

  • 事件凸显了欧盟数据保护机构在应对新兴科技项目时的监管分歧与协调挑战。
  • 该措施可能影响Worldcoin在西班牙的扩张计划,并引发其他欧盟国家类似监管审查。
30. Source Code for Area 51 (2005) by Midway Studios Austin Found at Garage Sale (github.com)

文章标题: Area 51(2005年)游戏源代码于车库拍卖中被发现

核心内容概要:

本文档介绍了在车库拍卖中发现的《Area 51》(2005年)游戏非官方源代码版本。该项目旨在为爱好者、历史学家和开发者保存这款21世纪初的电子游戏历史。

1. 源代码现状与贡献方式

  • 主要目标: 将源代码在现代系统上构建为可运行状态。
  • 需要社区帮助的领域:
    • 构建项目: 协助在当代硬件上编译和运行游戏。
    • 文档与研究: 提供关于原始开发环境(编译器、库、工具)的见解。
    • 调试与移植: 在可构建后,进行调试并移植到新平台。
    • 贡献代码: 通过Fork项目并提交Pull Request参与开发。

2. PC版本存在的关键问题 源代码目前无法在PC上直接运行,存在多个重大技术问题,但部分问题有进展:

  • 模型格式不兼容: 引擎不支持零售版的新模型结构。GEOM V41可能已部分恢复。
  • 音频系统故障: Miles Sound System 6实现损坏,MP3解码、Bink音频播放和世界环境音效系统失效。Miles6可能已部分恢复。
  • 多人游戏与网络功能失效: 网络层完全损坏,多人游戏无法运行,部分单人逻辑也受影响。单人逻辑可能已部分恢复。
  • 使用主机UI: PC版本使用主机版用户界面,缺少PC特定设置(如图形、键位绑定)。
  • 存档系统未实现: PC版本尚未实现存档系统。逻辑可能可重建。
  • PC渲染器未实现: 缺少功能性的PC渲染后端,游戏无法进行后处理、光照等。

3. 构建PC版本的前提条件 构建需要特定的旧版开发工具和配置:

  • 开发环境: Visual Studio .Net 2003, Xbox SDK 5849。
  • 环境变量: 需设置X(指向xCore目录)和S(指向Support目录)环境变量。
  • 游戏资源: 需将游戏资源放置在指定路径。
  • UI工具库: 需要安装XtremeToolkit 4100。
  • 构建目标: 列出了有效的WIN32构建目标(如Debug、Release等)及其适用场景。

4. 工具与应用状态

  • 可编译的应用列表: 包括动画编译器、编辑器、查看器、资源编译器等众多工具和编辑器。大部分工具状态为“Working”(正常工作),但核心游戏应用“GameApp”状态为“SemiWorking”(半工作状态),旧版“Viewer”已弃用。
  • 自定义工具: 包括资产查看器、Blender插件、地图处理脚本和命令行工具。

5. 历史背景

  • 初始发布: 游戏于2005年4月25日发行,登陆PC、PS2和Xbox平台,成为一部具有怀旧情怀的经典。
  • 美国空军赞助: 游戏曾获美国空军赞助,并作为免费软件在PC上发布。
  • 现状: 游戏最终被废弃,支持和分发停止,成为“遗弃软件”,在现代系统上难以访问或游玩。

6. 源代码快照详情

  • 快照时间: 2005年3月31日10:40:19,即游戏正式发布前夕。
  • 发现来源: 来自一名前THQ开发商的车库拍卖。
  • 内容包含: Entropy引擎源代码、游戏逻辑、针对PC、PS2、Xbox的构建目标,以及早期GameCube版本。此外,还包含各平台的调试符号。游戏资源未包含在内,但可从零售游戏文件中恢复。
31. Signs you're about to be acquired (2020) (yolken.net)

收购前的迹象

作者基于两次亲身经历的收购案例——2013年MoPub被Twitter收购、2020年Segment被Twilio收购——总结了收购前可能出现的几个关键迹象。这些迹象通常在收购公告前的几周内显现。

1. 创始人和高管分心
收购交易需要大量精力进行谈判、尽职调查和文件处理,可能导致高管们变得疏远。他们在日常工作中显得心不在焉,仿佛专注于更大的事务。如果多位高管同时出现这种行为变化,可能暗示公司层面的重大变动即将发生。

2. 对安全性的关注增加
收购方通常会在交易前评估并修复目标公司的安全漏洞,以确保无重大风险。即使没有外部攻击或优先级公告,公司内部可能悄然进行安全清理工作,如修补UI漏洞或消除SQL注入风险。

3. 对招聘和保留缺乏紧迫感
尽管公司业务增长可能急需人力,但招聘活动往往放缓,对员工保留的努力也会减少。这可能是由于高管分心、为保持短期公司价值避免大规模投资,或因收购前景而难以吸引新人才。

4. 不寻常的会议和会议变动
由于收购谈判的不确定性,会议可能被意外安排、取消或移至非正常时间(如周末或深夜)。例如,作者提到在MoPub被收购前,CEO在周日召集员工签署文件;在Segment收购前,公司全员会议被临时取消。

作者总结指出,这些迹象可能预示着收购,私人科技公司的员工应留意工作环境中的异常活动。

32. The art and history of lettering comics (kleinletters.com)

《漫画字母设计的艺术与历史》一书由资深字母设计师托德·克莱因撰写,尼尔·盖曼作序。本书系统探讨了漫画中字母设计的演变、技术与人物,内容涵盖专业术语、历史先驱、工具技法、代表性设计师及行业发展趋势。

字母设计是漫画这一视觉媒介的重要组成部分,它与画面相辅相成,共同构成叙事的整体。早期漫画中,字母设计多为艺术家兼任,随着行业专业化,逐渐成为独立职业。书中详细介绍了从19世纪末到21世纪初的字母设计发展历程,包括从手工绘制到数字化技术的转变。

关键章节聚焦于不同时期的代表人物与机构。例如,伊拉·施纳普为DC漫画奠定了经典风格;加斯帕·萨拉迪诺是跨越半个多世纪的设计大师;阿蒂·西梅克为漫威早期logo设计做出重要贡献。书中也涵盖了地下漫画、另类漫画中的创新设计,以及英美字母设计师的多元风格。

技术方面,书中系统讲解了手工字母设计的工具、技法与规范,如字体选择、对话框绘制、音效设计等。同时探讨了数字化革命的影响,包括字体创作软件的兴起、数字字母设计的流程与优势,以及手工与数字方式的取舍与结合。

本书不仅是一部行业史,也是一本实用的参考指南。它通过丰富的案例与深入的分析,展现了字母设计作为一门专业技艺的复杂性与艺术性,并展望了其未来可能的发展方向。托德·克莱因凭借其数十年的实践经验与行业洞察,为读者提供了对漫画字母设计全面而深刻的理解。