2024-07-19

34 篇热帖

1. Crowdstrike Update: Windows Bluescreen and Boot Loops (www.reddit.com)

摘要: 该帖为两年前在Reddit r/crowdstrike版块发布的一篇存档帖子,主要讨论CrowdStrike最新更新引发的Windows系统蓝屏错误(BSOD)问题。帖子由用户发起,询问是否有人受到影响,并提示查看置顶帖以获取官方回应。由于帖子已锁定,无法再进行新的评论或投票。此外,页面还包含了Reddit的一些规则和政策链接。

4. Bangladesh imposes curfew after dozens killed in anti-government protests (www.washingtonpost.com)

孟加拉国在2024年7月18日爆发反政府抗议,数千名抗议者在达卡与警方发生暴力冲突,导致数十人死亡。冲突起因于一项新政策,该政策为自由战士的后代预留部分政府工作职位。作为应对措施,当局宣布全国宵禁,无限期关闭学校和大学,并切断移动互联网服务,以遏制虚假信息传播。相关事件由路透社视频记录,文章更新于2024年7月19日。

5. Show HN: Sendune – open-source HTML email designer
6. Foliate: Read e-books in style, navigate with ease (johnfactotum.github.io)

Foliate 电子书阅读器概述

Foliate 是一款设计精良、功能全面的开源电子书阅读软件,旨在为用户提供优雅舒适的阅读体验和便捷高效的浏览导航。

  • 支持格式与基本功能:可打开 EPUB、Mobipocket、Kindle、FB2、CBZ 和 PDF 等多种格式的电子书。支持分页阅读和滚动阅读两种模式。用户可自定义字体、行距、页边距和配色方案。窗口控件在阅读时会自动隐藏以减少干扰。

  • 导航与操作:支持触摸板和触屏的 1:1 手势翻页。提供侧边栏目录和书中查找功能。通过阅读进度条和导航历史记录,可以轻松定位到书中的任何位置。

  • 标注与导出:支持添加书签和注释。所有阅读进度、书签和注释均以纯 JSON 文件存储,方便用户使用任何工具或存储服务进行导出和同步。

  • 实用工具:内置维基词典和维基百科词典查询、谷歌翻译段落翻译功能,以及通过 Speech Dispatcher 实现的文本朗读功能。

  • 高级排版支持:具备先进的渲染能力,支持从右到左的文字排版、竖向排版以及固定布局的电子书。还提供自动断字、弹出脚注和媒体叠加等高级功能。

  • 开源免费:Foliate 是一款自由软件,遵循 GNU 通用公共许可证发布,用户可以自由地重新分发和/或修改它。

7. Devzat – Chat over SSH, with some nice quality-of-life features (github.com)

Devzat 项目概述

Devzat 是一个自定义的 SSH 服务器,它不提供传统的 shell 提示符,而是直接将用户连接到一个聊天室。该项目旨在利用 SSH 客户端在所有平台(包括手机)上的广泛可用性,实现跨设备的即时通信。

主要功能与用法

  • 登录与身份:首次连接时,SSH 用户名即为聊天显示名称。可使用 nick 命令后续修改。
  • 连接方式:默认使用标准 SSH 端口。为应对防火墙限制,也支持通过 443 端口连接。
  • 客户端配置:可通过 SSH 配置文件设置别名,简化连接命令。
  • 多平台桥接:支持与 Slack 集成,并可通过插件 API 集成 Discord 或 Twitter 等服务。

自托管指南 用户可通过克隆 GitHub 仓库并编译 Go 代码来部署自己的实例。默认监听 2221 端口,详细配置需参考官方管理手册。

常见问题处理 若遇到权限被拒错误,可能是因为服务器使用公钥认证。可尝试通过 443 端口连接(该端口不需要公钥),或在本地生成 SSH 密钥对。

聊天室特色

  • 房间系统:使用 cd 命令切换不同聊天房间或进行私聊。
  • 消息格式:支持 Markdown 语法(如表格、标题、斜体)和代码语法高亮。
  • 社交功能:支持私信、时区设置、自定义名称颜色、代词设置。
  • 内置游戏:包含井字棋(tic)和猜词游戏(hang)。
  • 便捷命令:提供用户列表、帮助信息、表情符号替换等功能。

项目背景 Devzat 由 Ishan Goel 创建,灵感来自朋友的建议。特别感谢 Caleb Denio 提供服务器支持。该项目已获得多位知名开发者和 Hack Club 成员的正面评价。

8. Ryanair – when every page is a dark pattern (hallofshame.design)

瑞安航空(Ryanair)的“暗黑模式”设计分析

核心观点

瑞安航空是利用“暗黑模式”(Dark Patterns,即操纵性用户界面设计)来增加公司利润的典型代表。这些欺骗性技术几乎贯穿其网站的每一个页面和整个预订流程,旨在操纵用户注意力并诱导消费。

主要操纵手段

  • 隐私诱导(Privacy Zuckering):系统会默认勾选让用户订阅促销材料的选项,从而在用户不知情或未注意的情况下获取其隐私信息。
  • 视觉与交互误导(Misdirection)
    • 诱导误触:在页面中央等显眼位置放置推广“快速通道”(Fast Track)等额外服务的醒目按钮。用户在向下滚动跳过该服务时,极易发生意外点击。
    • 伪装弹窗:即使用户在上一步拒绝了追加销售(Upsell),系统仍会弹出新的提示框。通过改变按钮颜色和标题,将其伪装成不同的服务,以此欺骗用户注意力,降低其防备心。
  • 重复推销:针对同一项附加功能,网站会反复多次提供追加销售报价。这种Persistent(持续纠缠)的策略旨在利用用户的疏忽或心理变化,大幅增加冲动购买或误触的概率。

结论与警示

瑞安航空已将此类操纵性设计深度整合到预订流程的几乎每个环节,且目前没有任何停止使用的迹象。文章提醒消费者在使用瑞安航空网站时必须保持高度谨慎与警惕,以防范这些专为欺骗客户、提升公司利润而设计的界面陷阱。

9. USPS shared customer postal addresses with Meta, LinkedIn and Snap (techcrunch.com)

美国邮政总局(USPS)向Meta、LinkedIn和Snap分享用户邮政地址

美国邮政总局(USPS)被发现通过其网站向Meta、LinkedIn和Snap等科技与广告公司分享在线客户的邮政地址。该问题由TechCrunch通过调查发现,USPS于周三表示已停止此行为,并声称对此“不知情”。

数据分享方式与范围

  • USP在其网站上使用了隐藏的数据收集代码(即跟踪像素)。当用户加载包含该代码的网页时,代码会自动运行并向Meta、LinkedIn等公司发送数据。
  • 被收集的数据包括:已登录“知情投递”(Informed Delivery)服务的用户的完整邮政地址。该服务允许用户提前查看即将投递邮件的照片,截至2024年3月拥有超过6200万用户。
  • 此外,输入网站的包裹追踪号码也被分享给包括Bing、Google、LinkedIn、Pinterest和Snap在内的多家公司。部分实时物流位置信息(即使用户未登录)同样被共享。
  • 收集的数据还包括用户的电脑类型和浏览器信息,其中部分数据进行了假名化处理(使用随机标识符替代真实姓名),但研究者警告这类数据仍可能被重新识别。

USPS及相关方回应

  • USPS发言人表示,他们使用分析平台仅用于内部用途,以了解服务使用情况并进行聚合市场营销。USPS声称“不向任何第三方出售或提供个人信息”,并对平台配置导致个人地址信息被收集并分享给社交媒体“不知情”。
  • USPS称已“立即采取行动修复此问题”,但未说明具体措施。当被问及是否会要求科技公司删除已收集的数据时,USPS拒绝置评。
  • Meta 回应称,其政策明确禁止广告主通过其业务工具发送敏感信息,系统也会过滤可能检测到的敏感数据。
  • LinkedIn 表示其广告工具和协议同样明确禁止客户共享敏感数据。
  • Snap 未回应评论请求。

背景与类似案例

  • USPS是近年来限制使用网络跟踪代码的最新机构。
  • 2023年,多家健康应用(如Cerebral、Tempest、Monument)曾被曝向科技公司分享用户的私人健康信息,随后移除了跟踪代码。
  • 同年,美国联邦贸易委员会(FTC)对医疗数据巨头GoodRx和在线治疗公司BetterHelp采取执法行动,因它们向广告主分享用户健康数据,分别被处以150万美元和780万美元的罚款。
10. GPT-4o mini: advancing cost-efficient intelligence (openai.com)

GPT-4o mini:推动高性价比智能的普及

OpenAI 发布了其最具成本效益的小型模型 GPT-4o mini,旨在通过大幅降低智能成本来扩大 AI 的应用范围。该模型在 MMLU 基准测试上得分 82%,并在 LMSYS 聊天排行榜上的用户偏好超越了 GPT-4T。其定价为:输入每百万 token 15 美分,输出每百万 token 60 美分,这比之前的前沿模型便宜一个数量级,比 GPT-3.5 Turbo 便宜超过 60%。

性能与能力 GPT-4o mini 在文本智能和多模态推理方面均超越了 GPT-3.5 Turbo 及其他同类小型模型,并支持与 GPT-4o 相同范围的语言。具体表现包括:

  • 推理任务:在 MMLU(文本智能与推理)上得分 82.0%,高于 Gemini Flash(77.9%)和 Claude Haiku(73.8%)。
  • 数学与编码:在数学推理(MGSM)上得分 87.0%,在编码性能(HumanEval)上得分 87.2%,均显著优于竞争对手。
  • 多模态推理:在 MMMU 评估中得分 59.4%,高于 Gemini Flash(56.1%)和 Claude Haiku(50.2%)。

该模型具备 128K token 的上下文窗口,每个请求最多支持 16K 输出 token,知识截止日期为 2023 年 10 月。目前 API 支持文本和视觉输入,未来将支持文本、图像、视频和音频的输入与输出。得益于与 GPT-4o 共享的改进型分词器,处理非英语文本的成本效益更高。

主要应用场景 其低成本和低延迟特性适用于多种任务,例如:

  • 串联或并行调用多个模型的应用程序。
  • 为模型传递大量上下文(如完整代码库或对话历史)。
  • 通过快速实时文本响应与客户互动(如客户支持聊天机器人)。 合作伙伴如 Ramp 和 Superhuman 发现,GPT-4o mini 在从收据文件中提取结构化数据或根据邮件历史生成高质量回复等任务上,表现远胜 GPT-3.5 Turbo。

安全措施 安全是模型开发的核心。在预训练阶段,OpenAI 过滤了仇恨言论、成人内容、个人信息聚合网站和垃圾邮件等不良数据。在后训练阶段,通过人类反馈强化学习(RLHF)等技术使模型行为与政策对齐。GPT-4o mini 内置了与 GPT-4o 相同的安全缓解措施,并经过自动化和人工评估。超过 70 名社会心理学和错误信息领域的外部专家参与了风险识别。

GPT-4o mini 是首个应用 OpenAI “指令层级” 方法的模型,该技术增强了模型抵御越狱、提示注入和系统提示提取的能力,使其响应更可靠,更适合大规模应用。

可用性与定价 GPT-4o mini 现已通过助手 API、聊天补全 API 和批量 API 以文本和视觉模型形式提供。开发者支付的费用为:输入每百万 token 15 美分,输出每百万 token 60 美分。微调功能计划在近期推出。

在 ChatGPT 中,免费、Plus 和 Team 用户即日起可用 GPT-4o mini 取代 GPT-3.5。企业用户将于下周获得访问权限。

未来展望 自 2022 年推出的 text-davinci-003 模型以来,AI 的智能成本已下降 99%。OpenAI 致力于继续降低同时提升模型能力。GPT-4o mini 为开发者高效、经济地构建和扩展强大的 AI 应用铺平了道路,推动 AI 更加普及、可靠并融入日常数字体验。

11. NASA's Curiosity rover discovers a surprise in a Martian rock (www.jpl.nasa.gov)

NASA的“好奇号”火星探测器在2024年5月30日碾过一块火星岩石时,意外发现岩石裂开,露出从未在火星上见过的纯硫磺晶体。自2023年10月以来,探测器一直在探索火星上富含硫酸盐(一种含硫的盐,由水蒸发形成)的区域,但以往探测到的都是硫基矿物(即硫与其他物质的混合物),而此次发现的岩石却由元素态(纯)硫构成。目前尚不清楚这种元素硫与该区域其他硫基矿物之间的关系。

元素硫是无臭的,它仅在狭窄的条件范围内形成,科学家此前并未将这些条件与该区域的历史联系起来。此外,好奇号发现了大量此类岩石——整个区域都散布着外观相似的明亮岩石。亚利桑那州行星科学研究所的科学家贝基·威廉姆斯指出,这表明火星上曾有活跃的水流活动,包括高能洪水和携带巨石的流体。

尽管硫磺岩石太小且易碎无法钻探,但好奇号在附近发现了一块昵称为“猛犸湖”的大岩石。经过仔细勘察,探测器于6月18日成功钻取了第41个岩石样本,将粉末状岩石送入其内部仪器进行分析,以确定岩石的具体成分。此后,好奇号已离开该地点,继续探索该区域以寻找更多惊喜。

该任务由NASA喷气推进实验室(JPL)管理,代表NASA华盛顿科学任务理事会领导。更多关于好奇号的信息可访问science.nasa.gov/mission/msl-curiosity。

12. Polychromatic Pixels (compoundsemiconductor.net)

多色像素:显示技术的革新

显示器的理想标准与现有技术局限

理想的显示器应具备明亮、色彩鲜艳、清晰、长寿命、高能效和低成本的综合特性。目前主流的液晶显示器和有机发光二极管(OLED)技术虽占据主要市场份额,但受限于物理原理,存在寿命短、图像残留、分辨率有限、功耗较高等缺点。特别是在移动设备中,屏幕功耗常占整机一半以上,这使得高能效显示技术成为迫切需求。

微LED:公认的终极显示方案

微LED技术凭借自发光、高能效、高耐用性、长寿命、快速响应和实现超高像素密度的潜力,长期被视为显示行业的“圣杯”。然而,其商业化面临两大核心挑战:

  1. 复杂的RGB子像素组装:传统方法需将分别发出红、绿、蓝光的独立子像素组装成一个全彩像素。随着像素尺寸缩小,这一过程(巨量转移)变得极其困难、昂贵且良率低。
  2. 高密度像素的布线限制:分别驱动红、绿、蓝三个子像素的电路占用额外空间,进一步限制了像素密度和分辨率提升。

Q-Pixel的革新方案:可调谐多色像素

Q-Pixel公司提出了一种范式转变的解决方案:可调谐波长的多色LED

  • 核心原理:放弃传统的“单色LED集成”思路,在单一氮化镓(GaN)基外延晶圆上生长出可通过调节驱动电压改变发光颜色的单个LED像素,无需子像素、量子点或滤色片。
  • 关键优势
    • 简化制造:用单个颜色可调的LED像素替代红、绿、蓝三个子像素,彻底消除了成本最高、最耗时的巨量转移和分拣步骤。
    • 提升像素密度:单个像素占用空间更小,为实现超高分辨率创造了条件。
    • 降低成本:大幅简化组装流程,降低制造成本。

突破性成果

该技术已取得多项世界纪录级别的进展:

  • 2023年5月,实现5,000 PPI的全彩微LED显示。
  • 2023年11月,将全彩显示像素密度提升至10,000 PPI,同时创造了直径仅1微米的全彩像素新纪录。
  • 2024年初,成功制造出6,800 PPI的世界最高分辨率有源矩阵全彩微LED显示器,为微LED技术的商业化迈出了关键一步。

行业意义与未来展望

微LED技术正处在一个关键的转折点。尽管其潜力巨大,但制造成本的高昂一直是其商业化的主要障碍。Q-Pixel通过其可调谐多色像素技术,有望将微LED显示器的制造成本降低一个数量级以上,使其能够与成熟的OLED和LCD技术竞争。

这项技术通过从根本上解决像素组装的瓶颈,为制造成本可行的超高分辨率微LED显示器铺平了道路,特别适用于虚拟现实/增强现实等对分辨率要求极高的近眼显示设备。随着技术的持续成熟和成本的下降,微LED显示技术最终取代现有主流方案已成为必然趋势,而Q-Pixel的创新方案正推动这一进程加速实现。

13. 60-year-old German man likely seventh person to be effectively cured from HIV (www.rfi.fr)
14. Show HN: How we leapfrogged traditional vector based RAG with a 'language map' (twitter.com)

根据提供的文章内容,目前仅包含一条系统错误信息,指示出现加载问题并建议禁用隐私扩展后重试。该内容并未包含任何与文章标题“Show HN: How we leapfrogged traditional vector based RAG with a 'language map'”相关的实质性技术说明或正文信息。

因此,基于当前给定的文本,无法提取出关于“语言地图”如何超越传统向量RAG的任何技术细节、方法论或观点。摘要需依赖完整的正文内容才能生成。

15. Back to the future: Are hackers the future of amateur radio? (www.kb6nu.com)

文章摘要:黑客是业余无线电的未来吗?

项目背景

  • 组织方:业余无线电村(Ham Radio Village, HRV)
  • 目标:扩大业余无线电在黑客、STEM/STEAM及创客等技术社区的影响力,因其在这些领域代表性不足。
  • 资助:获得1.8万美元资助,用于在DEFCON、GRCon等技术会议推广业余无线电。

核心活动

  • 形式:在目标会议中举办业余无线电讲座、为期一天的技术员执照培训课程,并提供志愿者考官考试。
  • 目的:教育相关社区,简化执照获取流程,吸引新爱好者并促进双向交流。

首站活动(HOPE XV会议)

  1. 讲座(星期五)

    • 主题为“黑客的业余无线电”,内容涵盖基础知识、现有黑客项目及考取执照方法。
    • 现场反响热烈,提前10分钟已座无虚席。
  2. 培训与考试(星期六)

    • 举办一日制技术员执照培训,尽管时间安排可能影响参与,但学生互动积极,课程延长一小时。
    • 成果:25名学员通过考试获得执照,且年龄偏年轻化(仅2人超50岁),女性参与者至少6人。
    • 所有通过考试的学员表现出强烈兴趣,并在课后表达感谢。

关键支持

  • 志愿者考官团队由五人组成,确保了考试顺利进行。

项目评价与展望

  • 初步成功:该项目不仅新增25名业余无线电爱好者,还展现了黑客社区对业余无线电的浓厚兴趣。
  • 未来计划:已收到费城创客博览会的邀请,计划进一步推广。
  • 核心意义:黑客社区(年轻、富有探索精神)是业余无线电未来发展的理想群体,有望为该领域带来新思路。
16. Ask HN: Fast data structures for disjoint intervals?
18. What would it take to recreate Bell Labs? (www.construction-physics.com)

贝尔实验室的辉煌、衰落与不可复制性

历史地位与卓越成就

在20世纪的大部分时间里,作为AT&T的研发部门,贝尔实验室被公认为全球最顶尖的工业研究机构。它不仅支撑了美国电话基础设施的建设,还诞生了晶体管、硅太阳能电池、UNIX操作系统、信息论等数十项改变世界的发明,并斩获10项诺贝尔奖和5项图灵奖。

成功的核心要素

贝尔实验室的成功源于特定且难以复制的历史与商业条件:

  • 垄断与垂直整合优势:AT&T作为政府批准的电信垄断巨头,拥有庞大的资金和规模效应。这使其能够承受极低的创新回报门槛,并支持耗时数十年的长期高风险研究。
  • “长绳窄栏”的研发文化:实验室以提升通信技术为明确使命,赋予研究人员媲美学术界的极高自由度,同时通过系统工程师确保研究不脱离实际需求,实现基础科学与产品开发的结合。
  • 历史与时代机遇:量子力学的突破提供了丰富的理论宝库,而二战不仅推动了技术飞跃,还促使大量欧洲顶尖科学家涌入美国,为实验室储备了无可替代的人才。

衰落与解体的原因

  • 反垄断拆分与财务压力:1982年AT&T被强制拆分后,贝尔实验室经历了多次剥离与重组(如朗讯、诺基亚)。失去垄断利润庇护后,实验室面临严峻的财务压力,研究被迫转向短期商业需求,导致大量顶尖人才流失。
  • 技术发展的反噬:贝尔实验室发明的晶体管和数字技术打破了电信行业的专业壁垒,促使技术普及和市场竞争加剧。这种技术外溢最终瓦解了支撑其存在的AT&T垄断基础。此外,后期的研究文化逐渐脱离实际商业应用,进一步削弱了其存在价值。

核心结论

贝尔实验室是特定垄断环境、历史机遇和技术时代的独特产物。当今的商业环境和技术格局已不再具备重建该模式的条件。与其执着于“如何重建贝尔实验室”,不如思考如何更好地演进和适应当今的技术生态。

19. Building the new hypermedia systems (dz4k.com)

《超媒体系统》新版本制作:从 AsciiDoc 迁移到 Typst 的历程

核心主旨

本文主要讲述了技术书籍《超media systems》的作者团队如何将书籍的排版系统从 AsciiDoc 迁移到 Typst,以解决旧工作流中的诸多痛点,并最终产出设计更精良的印刷版与网络版书籍。

迁移原因:旧工作流的困境

旧版印刷书籍采用 AsciiDoc 编写,但生成高质量印刷PDF的过程充满挑战:

  • 工具链缺陷:原生的 AsciiDoc 工具(如 asciidoctor-pdf)输出质量差,而通过 HTML 转 PDF 的方案(依赖 asciidoctor-web-pdf 和 Paged.js)问题更多。
  • Paged.js 的 Bug:包括页码重置错误、渲染速度慢(需手动滚动浏览器至底部才能完整打印)、边注和代码块分页异常等。
  • 索引功能缺失:AsciiDoc 的 HTML 输出不支持索引,且作者可用的自定义方法已废弃,最终只能手工编制索引。
  • 排版质量平庸:浏览器采用贪婪算法进行文本布局,排版效果远不如 TeX 系统的动态规划算法。
  • 协作与分发困难:该过程仅能在特定机器上完成,生成的 PDF 文件过大,难以分享。

新选择:Typst 的优势

作者被 Typst 吸引,因为它结合了:

  • 高质量排版:采用类似 TeX 的断行算法。
  • 轻量级标记:易于书写。
  • 集成的脚本语言:便于自定义和扩展。
  • 总体体验愉悦:作者曾用它重写简历和文档,确认了其易用性。

迁移过程与技术实现

  1. 格式转换:由于 Pandoc 无法直接读取 AsciiDoc,作者将原稿先转换为 DocBook XML,再经由 Pandoc 转换为 Typst 源码。此过程需要修复生成的 XML 和 Typst 代码。
  2. 关键功能移植
    • 代码注释块:Typst 无此原生功能。作者在社区帮助下,用约 50 行 Typst 脚本实现了 code-with-callouts 函数。该函数通过解析代码中的标记(如 <1>),利用 Typst 的 show 规则为每行代码附加注释。
    • 索引生成:Typst 本身不支持索引,但其脚本和自省能力足以在库层面实现。作者修改了现有的 in-dexter 库以完全控制索引样式并支持层级术语。

迁移成果与新设计

迁移到 Typst 带来了显著改进:

  • 印刷版设计提升:能够精细调整版式,例如:
    • 实现段落首行缩进且段间无空格的传统排版,并能智能处理标题、列表后的段落缩进。
    • 实现“强调”的上下文敏感显示(如在斜体中使用正体表示强调)。
    • 整体排版更专业美观。
  • 工作流简化:直接生成高质量 PDF,避免了旧工作流的复杂步骤和不确定性。
  • 网络版更新:通过 Pandoc 将 Typst 源码转换为 HTML,并使用作者自建的工具 Müteferrika 构建网站。新网站增加了页面底部颜色自定义等功能。
  • 多种发布形式:新书提供在线阅读EPUB印刷版(通过 Lulu)和 Kindle 版本。

总结

从 AsciiDoc 到 Typst 的迁移是一次成功的技术决策。尽管 Typst 生态在书籍排版方面仍较年轻,但其强大的排版质量和脚本能力解决了旧有工具链的根本问题,最终产出了设计更佳、制作过程更顺畅的《超媒体系统》新版本。作者对未来 HTML/CSS 在印刷领域的发展仍抱有期待,但目前基于 Typst 分别制作网络版和印刷版是最佳策略。

22. Ask HN: What is in C-00000291*.sys?

C-00000291*.sys文件内容与影响讨论总结

文件性质

  • CrowdStrike的更新文件:C-00000291*.sys是CrowdStrike安全产品的“channel文件”,用于传递更新和数据。
  • 未加密的二进制格式:文件内容并非加密,采用CrowdStrike专有的二进制格式,可直接解析。
  • 内容因客户而异:不同客户(通过客户ID标识)可能收到不同内容的channel文件,包含配置、数据或指令等。

事件原因

  • 文件存在缺陷:有问题的更新文件(如C-00000291-00000000-00000032.sys)包含bug,但文件本身可能未损坏。
  • 高权限导致系统崩溃:CrowdStrike驱动拥有内核级(Ring 0)权限以监控系统,该缺陷在系统启动时触发,导致Windows蓝屏死机(BSOD)。
  • 非普通应用崩溃:与普通脚本不同,内核级驱动故障可直接使操作系统崩溃,尤其影响启动过程。

技术细节

  • 文件结构示例:用户分享的文件开头十六进制数据表明其为结构化二进制文件,非随机数据。
  • 获取方式:拥有CrowdStrike客户ID(CID)的用户可从其文件服务器请求特定版本的channel文件。
  • 系统影响:仅影响Windows系统,因bug存在于Windows特定代码中;Linux和Mac版本未受影响。

责任与讨论

  • 责任归属争议
    • 工程师责任:有观点认为推送缺陷代码的工程师需负责。
    • 管理层责任:更多观点指出管理层应承担风险,因流程(如缺乏充分测试、强制自动更新)导致问题。
    • 公司流程问题:强调组织应通过事后复盘改进流程,而非寻找替罪羊。
  • 企业采购与安全
    • 安全软件常因合规要求(如政府或大企业认证)被强制部署,即使存在风险。
    • 讨论质疑允许拥有内核级权限且无法阻止远程更新的软件通过安全审计的合理性。
  • 更新机制缺陷:批评CrowdStrike缺乏金丝雀发布或分阶段更新策略,导致全球范围同时出问题。

事件影响

  • 对CrowdStrike的影响
    • 部分观点认为公司可能因此“终结”,但更多人认为大企业采购决策缓慢,类似SolarWinds事件后公司仍能存续。
    • 参考SolarWinds案例,其股价至今未恢复,预示CrowdStrike可能面临长期股价压力。
  • 对行业的启示
    • 暴露了软件供应链风险,即使是安全公司也可能发布有害更新。
    • 引发对安全软件应拥有何种权限的讨论,以及内核访问的必要性与风险权衡。

其他相关讨论

  • 文件获取请求:多位用户希望获取有问题的文件副本或蓝屏转储文件进行分析。
  • 文件名中的星号:C-00000291*.sys中的通配符*表示匹配所有以“C-00000291”开头、以“.sys”结尾的文件。
  • Windows版本命名趣闻:讨论附带提及了“Windows 9x”命名习惯及微软跳过Windows 9版本号的技术原因。
23. FCC votes unanimously to dramatically limit prison telecom charges (worthrises.org)

美国联邦通信委员会(FCC)一致投票通过新规定,将大幅限制监狱电信服务的收费。新规预计将使狱中人员及其家人节省费用,每分钟语音通话费用将比现有上限降低8至14美分,并首次对视频通话实施费率保护。

新规将对监狱电信行业造成重大冲击,预计行业收入将损失数亿美元。当前,该行业最大的两家公司Aventiv和ViaPath均面临财务危机:Aventiv在未能完成债务再融资后实质违约其13亿美元债务;ViaPath一项15亿美元的再融资交易据报也因新规消息而告吹。

与此同时,越来越多的州正推动监狱通信免费。2023年,马萨诸塞州、明尼苏达州和科罗拉多州均通过立法实现监狱通话免费。加利福尼亚州(2022年)和康涅狄格州(2021年)已实施此政策,另有十余个州正在推进相关运动。

多位民权倡导者和组织代表称赞此举是数十年倡导工作的里程碑。他们指出,过去监狱电信服务收费过高,对被监禁者及其家庭构成剥削性负担,阻碍了亲情联络和法律沟通,影响了被监禁者的心理健康与社会融入。新规的实施将减轻家庭经济压力,维系家庭纽带,并促进司法系统的公平性。各方均赞扬FCC主席及工作人员的努力,以及《玛莎·里德-里德公正合理通信法案》的立法推动。

24. Debugging an evil Go runtime bug: From heat guns to kernel compiler flags (2017) (marcan.st)
25. Transcribro: On-device Accurate Speech-to-text (github.com)

Transcribro:设备端精准语音转文字

概述 Transcribro 是一款注重隐私的、完全在设备端运行的 Android 语音识别键盘与服务。它利用 whisper.cpp 运行 OpenAI Whisper 系列模型,并采用 Silero VAD 进行语音活动检测。

核心功能

  • 语音输入键盘:提供专用键盘,允许用户通过语音进行输入。
  • 集成服务:可被其他应用程序显式调用,或被设置为系统默认的语音转文字服务(部分应用会使用此功能)。

当前状态

  • 语言支持:目前仅支持英语,但计划支持其他语言(已列于项目议题 #18 中跟踪)。
  • 获取方式:可通过 Accrescent 应用商店或 GitHub Releases 下载。官方推荐使用 Accrescent,因其安全性更高。
  • 安全验证:为从 GitHub 下载 APK 的用户提供了包名 (dev.soupslurpr.transcribro) 和签名证书的 SHA-256 哈希值,以便通过 apksigner 或 AppVerifier 进行验证。若从 Accrescent 下载,则应验证 Accrescent 应用本身。

社区与支持

  • 提供了 Matrix 社交空间链接,包含通用、公告和测试等聊天室。
  • 贡献指南请参见 CONTRIBUTING.md 文件。
  • 对捐赠者表示了感谢。
26. Instrumenting Python GIL with eBPF (coroot.com)

本文介绍了如何使用 eBPF 技术来测量 Python 应用程序中全局解释器锁 (GIL) 引入的性能开销。

核心问题与测量指标
GIL 简化了 Python 的内存管理和线程安全,但限制了多线程 CPU 密集型程序的并行性能。为了量化其影响,需要测量线程等待获取 GIL 所消耗的总时间,即从请求锁到实际获得锁的时间延迟。

技术实现路径

  1. 定位测量点:理想情况下,可直接插桩 CPython 中的 take_gil 函数。但实际环境中,Python 解释器可能被剥离符号或优化内联,导致该函数不可直接追踪。
  2. 替代方案:通过分析 CPython 源码发现,GIL 获取依赖于 pthread_cond_timedwait 函数。该函数存在于标准 C 库(如 libc.solibpthread.somusl.so)中,符号通常可用。
  3. eBPF 插桩
    • 入口探针 (uprobe):附加在 pthread_cond_timedwait 函数入口,记录当前线程开始等待的精确时间戳。
    • 出口探针 (uretprobe):附加在函数出口,读取入口时间戳,计算等待耗时,并将事件(包含进程ID、持续时间)通过性能事件映射发送到用户空间。
  4. 环境适应性:该方案无需依赖 take_gil 符号,适用于容器化环境(可通过 /proc 访问进程映射和二进制文件),并能自动识别容器进行统计。

实际应用与结果
Coroot 的代理能自动发现 Python 应用并应用此插桩,无需配置。实际监测示例显示,每秒观测到的最大锁等待时间为 36 毫秒。作者强调,在考虑优化(如重写应用)前,使用此类工具准确度量 GIL 的实际影响至关重要。

总结
文章详细阐述了从原理分析、技术挑战到 eBPF 解决方案落地的全过程,提供了一种在生产环境中无侵入、自动化监控 Python GIL 等待开销的有效方法。

27. Loss of oxygen in lakes and oceans (www.sciencedaily.com)

水生生态系统氧气流失:地球稳定性的新威胁

核心观点 伦斯勒理工学院 Kevin Rose 副教授及其团队在《Nature Ecology and Evolution》上发表研究指出,水生生态系统中的氧气流失(水生脱氧)正对地球整体稳定性和各级生命构成重大威胁。

纳入“行星边界”的必要性 “行星边界”是调节地球宜居性和稳定性的全球性过程(如气候变化、土地利用变化和生物多样性丧失)。研究团队主张将“水生脱氧”正式加入该列表,因为它不仅响应其他边界过程,同时也对它们起到调节作用。此举有助于聚焦全球的监测、研究和政策努力。

氧气流失现状与数据 近年来,从河流、湖泊到海洋,各类水生生态系统的溶解氧(DO)浓度均出现大幅下降:

  • 淡水系统:自1980年以来,湖泊和水库的氧气分别流失了5.5%和18.6%。
  • 海洋系统:自1960年以来流失约2%。尽管比例较小,但因其体积和地理范围庞大,影响极广。例如,加州中部中层水域近几十年的氧气流失高达40%。

主要驱动原因 水生脱氧与气候变化和土地利用变化密切相关,具体机制包括:

  1. 水温升高导致氧气在水中的溶解度下降。
  2. 水体分层现象增强且持续时间延长,阻碍了深水层的通风。
  3. 温度升高以及营养物质和有机物输入的增加,加剧了耗氧呼吸作用。

生态与社会影响

  • 生物与生态层面:脱氧会导致生物感官能力、生长、体型和繁殖能力下降,改变整个食物网,引发大面积死亡并形成无生命的“死区”。生态系统可能退化为以有害藻华和广泛缺氧为特征的不良状态。
  • 经济与社会层面:直接威胁渔业、水产养殖、旅游业等生态系统服务。由于溶解氧在调节地球气候中发挥关键作用,若逼近临界阈值,将引发全球性的生态、经济和社会危机。

应对建议与呼吁 改善溶解氧浓度必须解决根本原因,包括应对气候变暖和减少开发景观的地表径流污染。学者们呼吁以此研究为契机,推动进一步的科学研究和新的监管行动,以减缓或缓解这一危机,保护水生生态系统及人类社会的未来。

28. Ruby methods are colorless (jpcamara.com)

Ruby 方法是无色的

本文深入探讨了 Ruby 中的并发、并行和异步编程,核心观点是 Ruby 方法是“无色”的,即在 Ruby 中,同步和异步方法的调用方式没有区别。

背景:函数颜色问题

  • 在一些语言(如 JavaScript/node.js)中,函数被分为两种“颜色”:同步(蓝色)和异步(红色)。
  • 异步函数的调用会影响调用链,要求调用者也必须是异步的,导致代码侵入性地传播(例如 async/await 模式)。
  • 这种设计增加了代码复杂性和API设计的负担。

Ruby 为何是无色的?

  • 无区别调用:在 Ruby 中,无论是同步操作(如读取文件、HTTP请求)还是异步操作,调用方式都相同,无需特殊标记。
  • 关键在于并发模型:Ruby 通过独立的调用栈(线程或纤维)实现并发,使得阻塞操作不会阻塞整个程序,从而自然地支持异步行为,无需函数颜色区分。
  • Ruby 通过 线程纤维 实现了这种无色的并发编程。

Ruby 的并发模型:嵌套结构

Ruby 的并发模型是分层的,像一个嵌套娃娃:

  • 进程:操作系统层面的执行单元,拥有独立内存空间,可实现并行。
  • Ractor:Ruby Actor 模型的实现,基于操作系统线程,支持并行执行和内存安全(通过消息传递)。
  • 线程:与操作系统线程1:1映射,共享进程内存空间。虽然不能并行执行CPU密集型Ruby代码,但可以并行处理阻塞操作(如IO)。
  • 纤维:轻量级、协作式的并发单元,通过FiberScheduler(如Async库)实现协作调度,同样适用于并行处理阻塞操作。

无色调用的实现

  • 线程与纤维的作用:当程序执行阻塞操作(如IO、数据库查询、HTTP请求)时,Ruby会自动挂起当前线程/纤维,调度其他就绪的线程/纤维执行,从而实现并发,无需改变代码结构。
  • 示例:通过线程或纤维发起多个HTTP请求,代码无需使用回调或async/await,总耗时接近单个请求的耗时(而非累加),证明了异步行为的无色实现。
  • 扩展性:像 Puma/Falcon 这样的 Web 服务器和 Sidekiq 这样的作业服务器正是利用线程/纤维的这种特性来高效处理并发请求。

总结与延伸

  • Ruby 的无色特性简化了异步编程,开发者可以像编写同步代码一样编写并发代码。
  • 文章后续系列将深入探讨线程API、纤维调度器、性能优化等具体细节,以回答关于并发与并行区别、锁、性能边界等更多问题。
  • 历史注:Ruby 曾经历过类似 JavaScript 的回调阶段(如 EventMachine),但最终通过线程和现代的纤维调度器(FiberScheduler)实现了更优雅的无色并发模型。
29. Double trouble: ESA's Gaia hit by micrometeoroid and solar storm (www.esa.int)

欧空局(ESA)的盖亚卫星自2013年发射以来,一直致力于以极高精度绘制银河系超过10亿颗恒星的位置和运动图谱。然而,近期它接连遭遇两次太空威胁,影响其精密测量工作。

  • 微流星体撞击:2024年4月,一个比沙粒还小的微流星体以高速撞击了盖亚卫星。虽然卫星设计时已考虑此类撞击,但此次撞击角度特殊,破坏了防护罩,导致少量杂散阳光(强度仅约为地球上直射阳光的十亿分之一)偶尔干扰其高灵敏传感器。
  • 太阳风暴与电子故障:2024年5月,控制其106台电荷耦合器件(CCD)之一的电子设备发生故障,这是盖亚在轨运行超10年来首次出现此类问题。该CCD用于确认恒星探测,故障导致卫星开始产生大量虚假检测。几乎同时,卫星遭遇20年来最强烈的太阳风暴,剧烈的高能粒子冲击可能加速了这一老化硬件的失效。

影响与解决

  • 两次事件共同导致盖亚向地面传输的数据中虚假恒星检测激增,数据处理系统面临压力。
  • 工程师无法对远在150万公里外的卫星进行物理维修,但通过调整卫星软件中识别恒光的阈值,成功大幅减少了虚假检测数量。
  • 团队借此机会对卫星双望远镜光学系统进行了最终对焦,使盖亚目前的数据质量达到有史以来最佳水平

目前,盖亚已恢复正常运行。此次事件凸显了长期在轨科学任务所面临的挑战,以及地面团队通过软件调整与系统优化应对突发问题的能力。

30. What's the point of std:monostate? You can't do anything with it (devblogs.microsoft.com)

std::monostate 是 C++17 引入的一个空类型,其所有实例都相等。它本质上是一个没有数据成员的结构体,仅附带了关系运算符和哈希支持。它的核心设计目的不是为了执行操作,而是为了在需要类型但不需要实际行为的场景下充当占位符虚拟类型

其关键用途是作为 std::variant 的默认构造类型。当 std::variant 中的其他类型无法或不便默认构造时,将 std::monostate 列为第一种类型,即可使整个 variant 获得一个明确的、无副作用的默认构造状态。这相当于为 variant 添加了一个可预测的“空”状态,避免了使用 std::optional<std::variant<...>> 的复杂性,也规避了 valueless_by_exception 这种异常状态。

此外,它也被用作 void 的替代品,例如用于表示不产生值的协程结果,以满足某些需要类型化的上下文。

简言之,std::monostate 存在的意义在于:当你需要一个“什么都不做”的类型时,提供一个标准化的、安全的选择。

32. Google URL Shortener links will no longer be available (developers.googleblog.com)

Google URL Shortener 服务终止计划更新

核心调整:

  • Google URL Shortener (goo.gl) 服务将停止,但原计划于2025年8月25日全面停用的时间点有所调整。
  • 调整后的计划旨在保留活跃使用的链接只有那些在2024年底仍无活动的链接将被停用。

关键信息:

  1. 受影响链接:自2024年8月23日起,部分goo.gl链接在跳转前会显示一个过渡页面,提示“该链接在不久的将来将无法使用”。仅此提示的链接将在2025年8月25日后停止工作。
  2. 不受影响链接:所有其他goo.gl链接将正常保留并继续工作。用户可通过立即访问链接来检查:若能正常跳转且无提示页面,则该链接将继续有效。
  3. 背景原因:服务于2018年停止接受新链接,但继续维护现有链接。随着时间推移,超过99%的现有链接在过去一个月内已无活动。
  4. 影响范围:主要影响开发者使用的、格式为 https://goo.gl/* 的链接。通过Google应用(如地图分享)生成的goo.gl链接将继续有效。
  5. 行动建议:收到过渡页面提示的用户,应尽快迁移至其他URL缩短服务
  6. 过渡页面注意事项
    • 该页面可能干扰现有跳转流程(如其他302重定向)和社交媒体元数据显示。
    • 若需临时禁用过渡页面,可在goo.gl链接后添加查询参数 si=1

总结:Google将淘汰使用率极低的URL缩短服务,但会保留活跃链接。用户需关注过渡页面提示,对被提示的链接及时采取行动。

33. 62 Minutes could bring your business down (www.crowdstrike.com)

本文主要内容是介绍CrowdStrike的Falcon平台获得了Gartner®的认可,并对相关认证声明和条款进行说明。

  • 产品与认证:文章核心是突出CrowdStrike的Falcon平台已获得权威研究机构Gartner的认可。具体涉及两个关键报告:

    • 《2025 Gartner® Magic Quadrant™ for Endpoint Protection Platforms (EPP)》
    • 《Gartner, Voice of the Customer for Endpoint Protection Platforms》 这表明Falcon平台在端点防护领域具备行业认可度。
  • 购买限制:其中Falcon Go产品的购买存在限制,最多允许购买100台设备

  • 免责声明与条款:文章包含大量标准法律声明:

    1. Gartner免责声明:明确Gartner不为其评级背书任何厂商、产品或服务,研究内容代表Gartner组织的观点,而非事实陈述,并排除所有相关明示或暗示的担保。
    2. 商标说明:声明GARTNER和Magic Quadrant是Gartner, Inc.及其附属机构的注册商标和服务标志,在此使用已获许可。
    3. 引用说明:Gartner发布的图表需在完整研究文档的上下文中进行评估,相关文档可向CrowdStrike索取。
    4. 检测结果说明:页面所报检测结果均基于Enterprise 2025 Evaluation配置运行得出。