2025-04-03

39 篇热帖

2. US Administration announces 34% tariffs on China, 20% on EU (www.bbc.com)

美国宣布对华加征34%关税,对欧盟加征20%

关税政策概览

  • 税率:美国宣布对全球进口商品征收最低10%的关税,并对中国征收34%、对欧盟征收20%的更高关税。
  • 计算方法:白宫公布的关税计算基于双边贸易逆差。例如,对中国的关税是将美对华商品贸易逆差(2950亿美元)除以从中国进口总额(4400亿美元),得出67%,再将其除以二得到34%。

市场反应与经济影响

  • 股市暴跌:道琼斯指数下跌3.9%,纳斯达克指数暴跌近6%,标普500指数下跌5%,创下自2020年3月(疫情初期)以来的最大单日跌幅。跨国公司如苹果、耐克、特斯拉和英伟达的股价均大幅下跌。
  • WTO预警:世界贸易组织将全球贸易增长预期从3%下调至收缩1%,称关税对全球贸易和经济增长前景有“重大影响”。

各国回应与反制措施

  • 中国:承诺采取“坚决的反制措施”,将损害试图进入中国市场的美国企业。
  • 欧盟:欧盟委员会主席冯德莱恩警告关税将给全球数百万人带来“可怕后果”。意大利总理梅洛尼称此举“错误”,但呼吁避免恐慌,并对以关税回应持谨慎态度。
  • 加拿大:总理卡尼宣布对从美国进口的汽车加征25%的关税,并称加美亲密关系“已经结束”。
  • 英国:首相斯塔默表示政府正“冷静处理,以国家利益为重”,并已列出一份长达400页的美国商品清单,作为未来潜在加征关税的选项。
  • 墨西哥:总统谢因鲍姆表示不会对美国实施对等关税。
  • 其他经济体:澳大利亚总理称关税“不是朋友该有的行为”;南非呼吁谈判;巴西正在评估行动方案;波兰称关税将造成超过26亿美元的损失。
  • 莱索托:面临50%的最高关税,将派遣代表团赴美交涉,担心导致工厂关闭和失业。

行业与民众影响

  • 汽车行业担忧:加拿大温莎的汽车工人担心工厂可能永久关闭,影响生计和养老金。
  • 企业案例:意大利橄榄油生产商表示,新关税将使美国进口商成本大增,可能抑制订单和扩张。
  • 消费者行为变化:加拿大民众开始抵制美国产品,转向购买本土或盟国商品。
  • 潜在机遇:分析认为,印度等国可能因美国对中国、越南等国征收更高关税,而在纺织品、电子产品和机械领域获得市场机会。

特朗普政府的立场

  • 特朗普在空军一号上表示,关税实施顺利,如同“给病人做手术”,是重大举措。他坚信市场和国家将“繁荣”,并认为世界各国希望达成协议。
  • 白宫向华尔街传递信息,呼吁“信任特朗普总统”。
  • 特朗普强调,在美国本土建厂或生产可避免关税,并称已有汽车制造商开始将零部件生产从墨西哥和加拿大迁回美国。
  • WTO角色:美国对WTO持矛盾态度,认为其规则未公平对待美国。美国已扣留约2500万美元的WTO资金。
3. AnimeJs v4 Is Here (animejs.com)

AnimeJs v4 核心更新总结

🎯 直观易用的 API

  • 提供逐属性参数控制,支持灵活的关键帧系统
  • 内置多种缓动函数,加速动画创建流程。

✨ 增强的变换控制

  • 通过组合 API 轻松混合单个 CSS 变换属性。
  • 支持基于函数的值(如随机数)和混合合成模式,实现复杂效果。

📜 滚动观察器

  • 新的 Scroll Observer API 可同步和触发基于滚动的动画。
  • 具备多种同步模式高级阈值设置和完整的回调事件集。

📐 高级交错

  • 内置 Stagger 实用函数,快速创建错落有致的效果。
  • 支持时间交错数值交错时间线位置交错

🎨 SVG 工具集

  • 提供形状变形线条绘制运动路径跟随等内置 SVG 工具,简化 SVG 动画创作。

🖱️ 弹簧物理与拖动

  • 全功能的 Draggable API,支持元素的拖动、吸附、抛掷等交互。
  • 配置选项丰富,提供全面的回调和实用方法。

⚙️ 精准的时间线编排

  • 强大的 Timeline API 用于编排动画序列,同步回调。
  • 支持动画同步精确的时间定位和灵活的播放设置。

📱 响应式动画

  • 通过 Scope API 让动画轻松响应媒体查询。
  • 可指定自定义根元素并应用作用域内的方法。

📦 模块化打包

  • 总包大小约 24.50 KB
  • 包含独立模块:计时器、动画核心、时间线、可动画化属性、拖动、滚动、作用域、SVG、交错、弹簧及 WAAPI 适配层,可按需引入以优化体积。
4. I maintain a 17 year old ThinkPad (pilledtexts.com)

本文基于纳西姆·塔勒布关于脆弱稳健以及林迪效应的理论,通过对比作者拥有的两台笔记本电脑——一台2008年的ThinkPad T400和一台2021年的MacBook——来阐述设计哲学如何影响设备的长期寿命和韧性。

老旧ThinkPad:稳健的幸存者 尽管性能不足以应对视频编辑或游戏等高强度任务,但旧款ThinkPad凭借其设计哲学展现出强大的稳健性。它采用模块化设计,用户可轻松更换电池、内存、硬盘、键盘甚至CPU,维修和升级门槛低。坚固的制造质量(如镁合金机身)使其能承受物理撞击。此外,基于标准x86架构的开放生态系统确保了广泛的硬件兼容性和操作系统灵活性,二手配件也容易获取。根据林迪效应,T400已存活多年,这意味着它未来继续存活的概率很高,因为人们已经掌握了延长其寿命的方法。

现代MacBook:高性能但脆弱 MacBook在速度和效率上远超ThinkPad,能轻松处理复杂任务。然而,从塔勒布的角度看,其设计是脆弱的。组件大多焊接在主板上,导致单个部件故障可能使整台设备报废,维修性极差(需专用工具和粘合剂拆卸)。同时,苹果对软件的严格控制意味着一旦官方停止系统更新支持,设备将面临安全风险并迅速过时。其专有的ARM架构也限制了其他操作系统的安装。MacBook的寿命在很大程度上由苹果的软件支持周期决定,且由于其模块化程度低和私有化设计,目前尚无广泛的社区知识来应对其硬件故障或显著延长其生命周期。

结论 作者的ThinkPad是稳健的,因为它能承受压力(如零件损坏、需要升级)而不丧失核心功能。其模块化设计和长久以来积累的社区知识使其符合林迪效应。MacBook虽然性能卓越,但本质上是脆弱的:维修困难、受软件支持周期制约,且缺乏成熟的社区经验来延长其物理寿命。尽管作者因软件偏好和现代功能(如本地运行大语言模型)而同时使用MacBook,但他认为在17年后,那台可更换电池、采用标准螺丝的ThinkPad更有可能仍在运行邮件管理、网站开发和网页浏览等日常任务。

5. Curl-impersonate: Special build of curl that can impersonate the major browsers (github.com)

Curl-impersonate:模仿主流浏览器的特殊curl构建

项目概述 Curl-impersonate是一个经过特殊修改的curl版本,其核心功能是能够精确模仿Chrome、Edge、Safari和Firefox四大主流浏览器。它使得通过curl发起的TLS和HTTP握手过程(包括Client Hello消息和HTTP/2连接设置)与真实浏览器完全一致,从而有效应对网站使用TLS指纹识别HTTP/2指纹识别对非浏览器客户端的访问限制。

技术实现原理 为了实现浏览器级的网络指纹模仿,对curl进行了深度改造:

  1. 替换TLS库:对于Chrome版本,使用Google的BoringSSL;对于Firefox版本,使用NSS。
  2. 修改TLS配置:调整TLS扩展和SSL选项,并添加对新TLS扩展的支持。
  3. 调整HTTP/2设置:改变curl的HTTP/2连接参数以匹配浏览器行为。
  4. 使用特定标志:运行时使用特定的--ciphers--curves和HTTP头(-H)。

支持的浏览器与版本 项目支持广泛的浏览器版本和操作系统环境,主要包括:

  • Chrome: 版本99至116 (Windows 10) 及99 (Android 12)
  • Edge: 版本99和101 (Windows 10)
  • Firefox: 版本91 ESR至117 (Windows 10)
  • Safari: 版本15.3 (macOS Big Sur) 和15.5 (macOS Monterey) 每个受支持的浏览器版本都对应一个专用的包装脚本(如curl_chrome116)和一个构建目标名。

使用方式

  • 命令行工具:使用特定的包装脚本直接发起请求。
    curl_chrome116 https://www.wikipedia.org
    
  • 库(libcurl-impersonate):可作为libcurl的替代库集成到应用程序中。提供了一个额外的API函数curl_easy_impersonate()来自动设置模仿所需的选项和头信息。
  • 环境变量:在Linux中,可通过LD_PRELOADCURL_IMPERSONATE环境变量(如CURL_IMPERSONATE=chrome116)在运行时为使用libcurl的现有应用程序启用浏览器模仿。

安装与部署 提供了多种安装方式:

  1. 预编译二进制文件:从GitHub Releases下载(Linux/macOS),需提前安装nssca-certificates
  2. 从源码构建:详细说明见INSTALL.md
  3. Docker镜像:提供基于Alpine和Debian的镜像(如lwthiker/curl-impersonate:0.6-chrome)。
  4. 发行版包:为Arch Linux (AUR) 和macOS (Homebrew) 提供非官方安装包。

仓库结构 主要包含chrome/firefox/两个目录,每个目录下包含:

  • Dockerfile:用于构建。
  • 各浏览器的包装脚本(如curl_ff91esr)。
  • 用于实现模仿的curl补丁文件(如curl-impersonate.patch)。
  • 测试用的浏览器签名数据库(tests/signatures)。
6. Show HN: OpenNutrition – A free, public nutrition database (www.opennutrition.app)

OpenNutrition 是一个新推出的免费公共营养数据库,旨在重新定义营养信息搜索。其主要特点包括:

  • 即时结果:提供快速的查询响应。
  • 开源:项目代码公开。
  • AI增强:利用人工智能技术提升数据的准确性。

该工具主要面向需要查询食物营养成分的用户。

7. The Steam Deck is software-freedom friendly (isomorphism.xyz)

Steam Deck 对软件自由友好的总结

Steam Deck 作为游戏设备的核心优势在于其软件自由和开放的哲学基础,而非单纯的硬件性能(如电池续航或游戏性能)。其本质是一台运行 Linux 的掌上电脑,通过兼容层 Proton 实现了对大量 Windows 游戏的支持,目前已有超过 5000 款游戏通过验证,超过 15000 款游戏可在其上运行,这显著推动了 Linux 平台游戏生态的发展。

核心观点:

  1. 开放系统与用户自主权
    Steam Deck 运行定制版 Arch Linux,允许用户自由连接外设、安装办公软件(如 LibreOffice)等,将其作为通用计算机使用。这与许多封闭设备(如手机需破解才能自由安装软件)形成对比,强调了用户对设备的真正所有权和控制权。

  2. 打破软件垄断与市场自由
    设备虽鼓励使用 Steam 商店,但也支持安装 Epic Games、GOG、itch.io 等第三方启动器,避免了单一商店垄断。这促进了市场竞争,让消费者能自由选择游戏来源,符合自由市场原则。

  3. 可维修性与硬件透明度
    Valve 提供了 Steam Deck 的内部结构说明和维修指南,鼓励用户自行更换部件,与那些使用专有零件、限制第三方维修的厂商做法形成对比,体现了对用户维修权的尊重。

  4. 商业利益与公共利益的平衡
    Steam Deck 展示了盈利目标与软件自由、用户权利可以共存。尽管 Valve 采取自由主义文化,并因此面临一些批评(如对多样性问题表态不足、未有效抵制与赌博相关的网站活动),但其开放策略仍被视为进步。

  5. 对行业垄断的反思
    文章指出 Steam 在 PC 游戏市场占据主导地位,收取 30% 分成可能构成“寻租”,但肯定 Valve 未采取激进反竞争手段,希望未来游戏发行市场能出现更健康竞争。

争议与局限:

  • Valve 的自由主义文化有时被批评为忽视公平与包容性(如“Black Lives Matter”运动期间仅让员工个人捐款,而非公司公开表态)。
  • 公司对插件生态系统中的赌博网站问题处理不力,可能出于利益或意识形态原因。

总之,Steam Deck 通过开放操作系统、支持多平台游戏、保障用户自由与维修权,成为商业产品中尊重软件自由和用户权利的典范,尽管其母公司 Valve 在某些社会议题上仍存在争议。

8. Pico.sh – SSH powered services for developers (pico.sh)

Pico.sh 简介

Pico.sh 是一个面向开发者的、基于 SSH 的服务平台。其核心理念是利用开发者已有的 SSH 工具(如 scprsyncsftpsshfs)来原型开发和发布内容,无需安装额外工具,并提供以终端为中心的工作流。

主要服务与功能

  1. 部署静态网站

    • 使用 rsync 等命令即可将本地静态网站文件上传。
    • 服务会自动生成一个带 HTTPS 的公开网址(格式为 https://{user}-{site}.pgs.sh)。
    • 也为自定义域名自动配置 TLS 证书。
  2. 公网访问本地开发环境

    • 通过 SSH 隧道(ssh -R)将本地运行的 Web 服务(如 localhost:8000)暴露到公网。
    • 会提供一个带 HTTPS 的公网地址(格式为 https://{user}-{dev}.tuns.sh),便于测试和分享。
  3. 基于 SSH 的认证管道通信

    • 允许通过 SSH 进行简单的发布/订阅消息传递。
    • 一个终端订阅某个主题(sub),另一个终端向该主题发布消息(pub),即可实现跨终端通信。
  4. 发布博客文章

    • 将 Markdown 格式的博客文件通过 scp 等命令上传至指定服务(prose.sh)。
    • 即可自动发布,文章将可通过 https://{user}.prose.sh/{filename} 访问。

用户评价

该服务因其极简、快速部署的特点获得了用户好评。用户称赞其“无需离开终端”的便捷性,以及基于最基础 SSH 协议的服务理念。

9. Waltz's team set up at least 20 Signal group chats for crises across the world (www.politico.com)

沃尔兹领导的国家安全委员会团队大量使用Signal加密通讯应用建立群聊,以处理全球危机事务。据知情人士透露,此类群聊至少建立了20个,涉及国家安全各议题,参与者包括内阁成员及高级官员。

引发安全与法律争议
资深国家安全官员警告,该做法可能违反保护敏感信息免受外国对手侵害的规定及联邦档案保存法律,尤其当聊天记录被自动删除时。NSC发言人布莱恩·休斯回应称,Signal为政府设备上的合法通讯工具,可用于处理非机密材料,但强调“绝未用于机密信息”,并要求用户自行保存记录。尽管参与人士未确认是否有机密信息泄露,但均表示群聊中涉及国家安全工作的敏感细节。

广泛使用与政治风波
报道指出,沃尔兹在特朗普政府过渡期及上任后,将Signal作为NSC核心通讯方式。此举因“也门群聊”事件引发关注——沃尔兹误将一名记者拉入讨论军事打击的群聊,导致敏感作战计划外泄。民主党众议员已要求涉事官员接受国会调查,质疑“滥用不安全平台传播潜在机密材料”。

后续发展
除Signal争议外,沃尔兹团队还被指使用个人Gmail处理公务,但NSC称其遵守档案保存规定且未传输机密信息。

10. Overengineered Anchor Links (thirty-five.com)

过度工程化的锚点链接

锚点链接看似简单,但实现时常见问题:页面底部的标题可能因滚动位置无法到达目标位置。本文探讨从简单到复杂的解决方案,最终引入优化函数来改善用户体验。

问题描述

当点击锚点链接时,页面会滚动到对应标题。但若标题位于页面底部,可能无法滚动到视口中的理想位置(如触发线设置在视口顶部25vh处),导致用户无法访问。

解决方案概述

1. 添加额外底部填充

  • 计算最后一个标题与触发线可到达最低点之间的高度差,添加相应填充。
  • 缺点:设计团队可能不接受随机额外填充。

2. 移动触发线

  • 根据最后一个标题的位置,将触发线调整到视口底部。
  • 缺点:标题可能被置于视口底部,影响阅读体验(用户通常阅读视口上半部分)。

3. 平移触发点(虚拟标题)

  • 创建虚拟标题,将其向上平移以确保可达性。
  • 优点:可单独调整每个虚拟标题的位置。
  • 问题:第一个标题可能过于靠上。

4. 分数平移触发点

  • 仅平移部分标题:第一个标题不动,最后一个标题上移必要距离,其他标题按比例上移。
  • 优点:满足可达性和顺序性条件。
  • 局限:触发线位置固定,可能导致调整不理想。

5. 自定义映射函数(优化方法)

  • 目标:最小化虚拟标题与原始位置的偏差,同时保持章节间距比例。
  • 方法:使用均方误差(MSE)作为损失函数,结合锚点惩罚(保持虚拟标题接近原位置)和章节惩罚(保持虚拟章节长度比例)。
  • 优化器:采用SLSQP(序列最小二乘规划)算法求解约束优化问题。
  • 发现:当章节惩罚权重为1时,优化结果与分数平移方法一致,但该方法在页面较长时误差会累积。

最终解决方案

为改进分数平移的局限性,引入自定义映射函数:

  • 需求:标题靠近页面末尾时调整更大,靠近开头时调整更小,过渡平滑。
  • 实现:使用smoothstep函数 ( S(x) = 3x^2 - 2x^3 ) 和参数 ( a )(0 ≤ a < 1),其中 ( a ) 定义平滑调整开始的标准化位置。
  • 公式:设标题标准化位置为 ( x \in [0,1] ),调整因子 ( y = S(t) ),其中 ( t = \min\left(\max\left(\frac{x - a}{1 - a}, 0\right), 1\right) )。
  • 效果:通过参数 ( a ) 控制调整范围,例如 ( a = 0.4 ) 时,前40%标题不调整,后续标题平滑上移。

结论

作者通过一系列过度工程化的方法解决了锚点链接问题,最终采用基于优化理论的映射函数。尽管实际中可能无需如此复杂,但文章展示了技术探索过程,并提供了可复用的解决方案。作者自嘲成果可能未被设计师认可,但收获了这篇博客文章。

11. Why I don't discuss politics with friends (shwin.co)

作者基于多年观察,提出了三个不与朋友讨论政治的原因:大多数人拥有的是政治部落而非政治观点;从部落思维提升到独立观点需要极高的智识能力;且大多数人根本不愿完成这种提升。

政治讨论常沦为一种社交验证,询问立场实则是确认对方是否忠于群体文化,而非真诚探讨。这种提问的隐蔽性在于它伪装成理性对话,常使不谙此道的真诚者落入社交陷阱。

部落主义的根源

  1. 形成独立观点极其困难:需要掌握经济学、哲学、史学等多学科知识,能共情对立双方,并克服自身偏见。这要求过高,导致大多数人自然退回到部落,直接采纳群体观点。
  2. 人们不愿离开部落:幸福感主要源于人际关系与归属感,而这些往往建立在共享信念(即便不实)之上。追求真相可能颠覆支撑社交圈与自我认知的核心信念,因此许多人宁愿选择令人安心的简单幻象,而非复杂晦涩的现实。这本质上是一种世俗化的宗教行为模式,提供身份认同与社区感。

应对与自我提升 当被迫讨论时,作者选择反对对方的部落主义本身,而非其具体观点,但这常导致他被双方阵营同时视为异类。他提倡:

  • 发出求真信号:分享此类文章以清晰传达立场。
  • 寻找求真社区:例如迁往硅谷,因该地生态筛选并聚集了更多需要不断挑战偏见以保持竞争力的人。
  • 系统提升推理能力:关键在于培养四方面:
    1. 求真意愿:最根本也最稀缺的特质。
    2. 建立推理系统:学习理性思维的基础框架。
    3. 概率化思考:视世界如扑克牌局,接受多因素影响及不确定性,摒弃绝对化论断。
    4. 反复推敲论证:通过为对立观点构建强有力论证并来回切换,直至观点经受住严格检验,同时能理解对手立场。

核心结论 作者拒绝政治讨论,并非畏惧分歧,而是深知多数人缺乏求真意愿。无效的政治辩论充满修辞陷阱,更像律师辩论而非考古发现。他寻求的是能共享“世界是混沌灰色的”这一认知的同道者。

12. Mozilla launching “Thundermail” email service to take on Gmail, Microsoft 365 (www.techradar.com)

Mozilla计划将Thunderbird开源电子邮件客户端扩展为完整的通讯平台,推出Thundermail邮件托管服务及Thunderbird Pro专业版,旨在与Gmail和Microsoft 365竞争。其优势在于坚持隐私、自由、透明和尊重用户的开源价值观。

新功能与服务:

  • Thunderbird Pro包含三项新工具:Thunderbird Appointment(日程安排工具,可共享日历链接)、Thunderbird Send(重建已停用的Firefox Send文件发送服务)及Thunderbird Assist(AI写作工具,基于与Flower AI合作,采用本地处理以保护隐私)。
  • Thundermail:基于开源Stalwart技术栈构建的邮件托管服务,用户可选择@thundermail.com或@tb.pro域名。

背景与计划:

  • Thunderbird月度活跃安装量从2020年底的1770万下降至2025年3月的1620万,面临用户流失问题。
  • 新服务最终将对部分功能(如需要存储空间的Send服务)收费,但在用户规模稳定后推出有限制的免费层。
  • 社区贡献者可提前免费访问这些新服务。

目标: Mozilla希望通过集成化服务套件,结合开源优势和创新功能,吸引更多用户并提升在电子邮件与协作领域的竞争力。

13. An open source, self-hosted implementation of the Tailscale control server (github.com)
## Headscale 项目概述

Headscale 是一个开源的、可自托管的 Tailscale 控制服务器实现。其设计目标是为自托管爱好者和小型组织提供一个替代方案,专注于实现一个适用于个人使用或小型开源组织的**单一 Tailscale 网络 (tailnet)**。

## 核心背景

*   **Tailscale 简介**:Tailscale 是一种基于 WireGuard 构建的现代 VPN,其工作原理是在网络中的计算机之间创建一个覆盖网络,并利用 NAT 穿透技术。
*   **Tailscale 控制服务器作用**:作为节点间交换 WireGuard 公钥的中心点,负责分配客户端 IP、设置用户边界、实现用户间机器共享以及暴露节点路由。
*   **Headscale 目标**:提供一个功能等价的开源控制服务器,让自托管用户能够构建和管理自己的 Tailscale 网络。

## 重要说明与资源

*   **文档**:使用前务必查阅[官方文档](https://headscale.net/stable/)。文档区分稳定版和开发版,请确保选择与您所用版本对应的文档。
*   **运行要求**:**不支持**使用反向代理和容器来运行 Headscale。
*   **支持系统**:支持的客户端操作系统信息请参考[文档](https://headscale.net/stable/about/clients/)。
*   **详细功能**:完整的功能列表请参见[文档](https://headscale.net/stable/about/features/)。
*   **社区**:可通过 [Discord](https://discord.gg/c84AZQhmpx) 进行交流。

## 开发与贡献

项目欢迎社区贡献,具体指南详见 [CONTRIBUTING.md](https://github.com/juanfont/headscale/blob/main/CONTRIBUTING.md)。

### 开发环境要求
*   **核心工具**:需要最新版的 [Go](https://golang.org) 和 [Buf](https://buf.build)(用于 Protobuf 代码生成)。
*   **推荐方式**:强烈建议使用 [Nix](https://nixos.org/) 来设置开发环境,通过 `nix develop` 命令可确保环境一致性。

### 代码规范
*   **Go 代码**:使用 golangci-lint 进行检查,golines(宽度88)和 gofumpt 进行格式化。
*   **Proto 代码**:使用 buf 进行 lint,clang-format 进行格式化。
*   **文档**:使用 mdformat 格式化。
*   **其他文件**(Markdown, YAML等):使用 prettier 格式化。

### 构建与测试
*   **生成代码**:若修改了 `proto/` 目录下的文件,需运行 `make generate` 重新生成 Go 代码,并将 `gen/` 目录的更改单独提交。
*   **运行测试**:`make test`
*   **构建程序**:`make build`

## 项目关系与可持续性

*   **免责声明**:该项目与 Tailscale 公司无关联。
*   **维护者说明**:Headscale 的一名活跃维护者受雇于 Tailscale 公司,并被允许在工作时间为此项目做贡献。该维护者的贡献会接受其他维护者的审查。项目方向由维护团队共同决定,核心原则是服务自托管、爱好者和极客社区,并确保项目的可持续性。
*   **支持项目**:如觉得 Headscale 有用,可通过仓库中的赞助和捐赠按钮提供支持。

## 社区活动

该项目在 FOSDEM 等技术会议上有过相关演讲分享。
14. A university president makes a case against cowardice (www.newyorker.com)

摘要: 本文围绕卫斯理安大学校长迈克尔·罗斯(Michael Roth)的观点展开,阐述了美国高等教育在2025年面临的严峻政治压力及其应对。

现状与背景: 自第二届特朗普政府执政以来,美国高校成为早期攻击目标。政府对多所大学进行多元、公平和包容(DEI)调查,削减联邦资金(如约翰·霍普金斯大学、宾夕法尼亚大学),并试图驱逐参与亲巴勒斯坦 activism 的国际学生。哥伦比亚大学因4亿美元联邦资金恢复谈判的先决条件,被迫接受一系列改革要求,校长随后辞职。这一系列事件导致许多高校领导者变得谨慎,避免因言论危及职位或预算。

迈克尔·罗斯的立场与行动: 罗斯校长是少数持续、公开发声的高校领袖之一。他批评其他高校领导者奉行的“中立”原则(如《卡尔文报告》)实为“避免麻烦的借口”。作为历史学者,他主张大学应承担公民责任,积极参与公共领域,而非仅局限于“跨差异对话”。他支持言论自由,同时也支持以色列的生存权,与校内抗议者及要求镇压抗议者均进行过交锋。

罗斯的分析与观点:

  1. 政府滥用权力:他认为政府正在滥用职权对公民社会发动战争,目的是制造恐惧(以塔夫茨大学学生被联邦特工绑架视频为例)。这种用政府工具强制意识形态对齐的做法,威胁了大学、教会、媒体等机构的自主性。
  2. 高校的脆弱性:罗斯承认,顶尖高校(尤其是常春藤盟校)长期存在的思想和政治封闭性、无意中滋生的优越感(以拒绝率定义质量),使其更容易被攻击。特朗普政府成功地将整个高教行业与常春藤精英形象捆绑,而事实上高教服务于更广泛的人群。
  3. 反反犹主义作为工具:他指出,打击反犹主义已成为当权者的便利工具,用以迫害与政府意识形态不一致的研究者和机构,实则与其同路新纳粹的立场相矛盾。许多犹太领袖因此陷入困境。
  4. 发声的代价与必要性:罗斯认为,捍卫大学声称相信的价值观是他的职责。他的董事会有时开玩笑说他“威胁辞职”,但他表示,如果董事会不希望他发声,就必须另请高明。他无法理解其他更聪明、更有能力的校长为何保持沉默。

当前应对措施: 卫斯理安大学正在:

  • 确保资金高效使用,以应对潜在的捐赠税和经费削减。
  • 与其他学校讨论建立法律辩护基金。
  • 让学生、教职员工了解其权利(如要求联邦特工出示司法逮捕令),并承诺在合法范围内提供法律援助,保护校园内人员免受非法自由约束。
  • 罗斯本人积极通过媒体(如播客)向不同政治光谱的受众发声,而不仅限于文理学院圈内。

深层思考: 罗斯的学术研究(尤其是关于弗洛伊德和记忆)影响了他作为校长的视角。他关注社会中的替罪羊机制和移情现象,理解公众(包括学生)对校长角色产生的投射——将不切实际的期望或愤怒寄托于校长身上。

总结: 罗斯校长呼吁高教界摒弃封闭与优越感,增加思想多样性,并团结起来抵抗政府对大学自主性的攻击。他认为当前的危机远超预期,捍卫公民社会各领域的自由与自治已迫在眉睫。

15. MIT 6.5950 Secure Hardware Design – An open-source course on hardware attacks (shd.mit.edu)

MIT 6.5950 安全硬件设计课程概要

MIT 的安全硬件设计课程(6.5950/6.5951)是一门开源课程,旨在教授学生如何攻击现代CPU,并设计能够抵御这些攻击的弹性架构。课程提供实践经验,让学生在实际处理器上进行黑客操作,并学习前沿的硬件攻击与防御技术。

课程基于“思考、实践、行动”三大支柱构建。

思考:通过讲座,引导学生批判性地思考硬件安全在更广泛系统中的角色。讲座内容涵盖微架构攻击(如缓存侧信道、瞬态执行攻击)、物理安全(如硬件安全模块、物理攻击、Rowhammer)、支持软件安全的硬件机制(如可信执行环境、内存安全机制)以及安全保证工具(如模糊测试、形式化验证)。部分讲座包含现场演示。

实践:在复习课中,学生通过互动游戏和夺旗赛形式,与同伴合作完成挑战。主题包括C/C++复习、缓存攻击实践、物理攻击实践、RISC-V系统编程实践以及形式化验证入门。

行动:通过实验,学生将在真实硬件上实施课程中学到的攻击。实验项目开源免费,供其他教育者使用(需联系课程团队获取教师解决方案和评分表,并注明来源)。主要实验包括:

  • 缓存侧信道:学习测量缓存访问延迟,在现代缓存层次上实现Prime+Probe攻击,并构建隐蔽信道聊天客户端。
  • Spectre:在用户空间与内核空间之间对共享内存实施Flush+Reload攻击,并在投机执行场景下扩展攻击以泄露内核内存。
  • 网站指纹识别:使用JavaScript实施缓存占用攻击来分析网站,并利用机器学习区分不同网站的访问痕迹。
  • Rowhammer:学习在真实环境中实施Rowhammer攻击的必要步骤,包括地址转换和反向工程DRAM bank函数以寻找易受攻击的行。
  • ASLR绕过:利用操作系统和微架构侧信道等方法击败地址空间布局随机化,并实施代码重用攻击。
  • CPU模糊测试:作为开放式设计项目,学生通过实现系统软件和自定义指令模糊测试器,尝试在真实CPU RTL设计中发现漏洞或后门。
16. Tech companies are telling immigrant employees on visas not to leave the U.S. (www.washingtonpost.com)

Uncertainty around high-skilled visas is rattling the immigrant tech community in Silicon Valley long viewed as one of the key pillars of U.S. innovation

17. Restructuring Announcement (automattic.com)

重组公告概要

Automattic 首席执行官 Matt Mullenweg 向全体员工宣布,为保护公司长期未来,已做出艰难的重组决定。尽管公司收入持续增长,但处于高度竞争的市场中,且技术发展迅速,因此必须提升生产力、盈利能力和投资能力。

重组核心目标:

  • 提升敏捷性与响应速度
  • 打破低效的部门壁垒
  • 聚焦产品质量,少而精
  • 确保财务模型可持续,支撑长期发展

重组具体影响:

  • 约裁减 16% 的员工
  • 受影响员工将收到人力资源部的正式通知,并获得经济支持与离职福利

对离职员工的支持:

  • 提供全面的遣散补偿和福利保障
  • 可保留公司笔记本电脑
  • 提供就业安置资源
  • 对他们的贡献表示感谢

未来展望:

  • 自信公司能通过此次调整变得更强,保持盈利与增长
  • 继续致力于通过 WordPress 等产品推动互联网民主化的使命
  • 未来几周将公布更详细的发展路径与协作计划
  • 为员工提供 Workplace Options 等外部情感与实用支持资源

公司要求全体员工感谢离职同事的付出,反思个人与公司的发展方向,共同面对未来的挑战。

18. Matrix.org Will Migrate to MAS (matrix.org)

Matrix, the open protocol for secure decentralised communications

20. Digital Archivists: Protecting Public Data from Erasure (spectrum.ieee.org)

数字档案工作者:保护公共数据免遭删除

政府数据的价值与脆弱性

美国政府机构(如国家科学基金会、能源部、NASA)是工程与科学社区的关键数据来源,涵盖人工智能、生物医学、能源、半导体、电信等领域。这些数据直接影响实验的可重复性、模型验证及学术记录的完整性。一旦数据消失,可能使多年的研究成果失效。

历史上的数据删除事件

  • 小布什政府曾因安全原因删除数百万字节的政府网站信息,包括国防部文档和联邦能源监管委员会文件。
  • 奥巴马政府于2009年推出 Data.gov,扩大了政府数据公开访问。
  • 特朗普第一任期,部分政府网站变得不可访问,“气候变化”等词被从多个网页中移除。
  • 2025年特朗普第二任期,政府删除了超过8000个网页和数据库。尽管部分页面已恢复,但一些文件中再次删除了“气候变化”和“清洁能源”等术语。法院已介入,下令恢复疾病控制与预防中心和食品药品监督管理局的公共访问权限。

数据保存的努力

  • 互联网档案馆的Wayback Machine 在过去三十年中已扩展至保存政府网站和数据集。
  • 哈佛大学法学院图书馆创新实验室 创建了 Data.gov 的16 TB存档副本,包含超过31.1万个公共数据集,并通过API自动查询每日更新。
  • 数字档案工作者作为知识的守护者,确保人类知识循环不断裂,为创新和发现提供连续性支持。

结语

数字保存工作者在维护历史记录、知识基础和未来发展方向方面发挥着至关重要的作用,尤其在科学、工程和医学领域,今天的创新建立在昨天的发现之上。

本文摘自2025年4月印刷版《IEEE Spectrum》,原标题为“Lots of Copies Keep Stuff Safe”。

21. When Jorge Luis Borges met one of the founders of AI (resobscura.substack.com)

One reason I became a historian is the joy of encountering moments in the past that are foreign, yet also oddly familiar.

22. InitWare, a portable systemd fork running on BSDs and Linux (github.com)

The InitWare Suite of Middleware allows you to manage services and system resources as logical entities called units. Its main component is a service management ("init") system. - InitWare/InitWare

23. DIY Synths Database (diy-synths.snnkv.com)

DIY Synths Database 是一个精选的集合,包含89个适合DIY的硬件合成器和相关独立音乐设备,所有项目均为开源。

24. Blacksmithing and Lisp (funcall.blogspot.com)

黑铁工艺(非蹄铁工艺)是一项涉及低碳钢加工的爱好。低碳钢在室温下坚硬,加热后变得柔软易塑形;使用锤子在金属热时进行成型,无需重击,只需稳定施力。热金属具有高容错性,出错时可重新加热修正,几乎无需丢弃作品。

黑铁匠使用钳子操纵过热的工件,为确保安全,钳子需与工件紧密匹配。通过加热钳子至软化并敲打成型,可定制专用工具。这一技巧让人联想到Lisp编程——即可解决问题,也可定制语言以更好地适应问题。

计算机科学中的引导问题体现在:若无钳子,如何制造钳子?简单钳子由两根带铆钉的棍子组成,可通过握住一端加工另一端制作单钳,但手握部分会逐渐变热,限制操作时间。

黑铁工艺的核心是创造临时工具以实现目标,常递归地制作用于制造工具的工具,这被称为“元循环黑铁工艺”。

加工热金属的缺点是高温风险,可能造成轻微烫伤,但反射神经可快速反应;安全准则强调切勿接住掉落的热金属。总体而言,黑铁工艺与Lisp编程在定制、自举和工具创造的递归性方面展现出相似性。

25. Cursed Excel: "1/2"+1=45660 (www.quadratichq.com)

Explore Excel's bizarre date/time quirks—like “1/2”+1=45660—and how Quadratic fixes legacy issues with a modern approach to datetimes and spreadsheet logic.

26. Web Server for AoE 1, 2 and 3 DE supporting LAN multiplayer 100% offline (github.com)

Web Server (and its launcher) for AoE 1, 2, 3 (all DE), AoE 4 and AoM: RT supporting offline multiplayer - luskaner/ageLANServer

27. Show HN: The C3 programming language (C alternative language) (github.com)

C3 编程语言概述

C3 是一种编程语言,旨在作为 C 语言的演进版本,在保留 C 语言熟悉感的同时进行改进。其设计原则是成为一种面向过程的、“务实”的语言,尽量贴近 C,只做必要的改变,并实现与 C 的 ABI 兼容性和无缝集成,使 C 程序员能够轻松上手。

主要特点与差异(相对于 C) C3 引入了多项新特性以提升开发体验,同时保留了 C 的核心范式:

  • 无需头文件,采用基于模块的命名空间。
  • 泛型系统,基于参数化模块实现。
  • 新的语义宏系统,取代了传统的预处理器。
  • 引入切片操作符重载(有限制)、关联枚举数据值方法
  • 提供编译时反射增强的编译时执行能力。
  • 具备 defer 关键字和基于 Result 的零开销错误处理机制。
  • 减少了未定义行为,并在“安全”模式下增加了运行时检查。
  • 支持可选的前置和后置条件。

安装与使用 C3 为多个操作系统提供了预编译的二进制文件,包括 Windows、Linux、macOS 和 OpenBSD。用户可以通过直接下载、系统包管理器(如 Scoop、pacman、dnf、Nix)或安装脚本来获取编译器。此外,也可以从源代码编译构建。 一个简单的“Hello World”程序示例展示了其模块化语法和标准库的导入。

示例与互操作性 语言示例展示了其泛型能力:通过参数化模块可以轻松创建类型安全的数据结构(如泛型栈)。C3 与 C 的 ABI 完全兼容,允许在同一个项目中混合使用 C 和 C3 代码,几乎无需额外工作。文中以 vkQuake 项目为例,演示了将部分 C 代码转换为 C3 并使用 C3 编译器进行编译的可行性。

当前状态与支持

  • 当前稳定版本为 0.8.0,下一个版本将专注于完善标准库。
  • 编译器支持在 Windows、macOS、Linux、OpenBSD 和 NetBSD 上构建。
  • 详细的平台支持矩阵列出了各平台对原生编译器、目标支持、堆栈跟踪、线程、套接字和内联汇编的支持情况。目前对主要桌面操作系统和部分嵌入式目标有较好支持,未来计划支持更多平台。

社区与贡献 项目鼓励社区参与,包括:

  • 提交建议或在 Discord 上讨论。
  • 参与标准库开发。
  • 为不同 Linux/Unix 变体提供编译指南。
  • 创建并提交第三方库绑定(如 SDL3)。
  • 使用 C3 构建项目并提供反馈。
  • 协助开发 C 到 C3 的代码转换器。
  • 在擅长的领域帮助改进语言。

许可证与工具

  • 仓库中的大部分代码(包括标准库、测试、示例等)采用 MIT 许可证。
  • 编译器源代码(src 目录下)采用 LGPL 3.0 许可证。
  • 提供多种编辑器的插件支持。
  • 有详细的单元测试贡献指南。
28. Hacking the call records of millions of Americans (evanconnelly.github.io)

Imagine if anyone could punch in a phone number from the largest U.S. cell carrier and instantly retrieve a list of its recent incoming calls—complete with timestamps—without compromising the device, guessing a password, or alerting the user. Now imagine that number belongs to a journalist, a police officer, a politician, or someone fleeing an abuser. This capability wasn’t a hypothetical.

I recently identified a security vulnerability in the Verizon Call Filter iOS app which made it possible for an attacker to leak call history logs of Verizon Wireless customers.

29. Multi-Token Attention (arxiv.org)

Abstract page for arXiv paper 2504.00927: Multi-Token Attention

30. Yann LeCun, Pioneer of AI, Thinks Today's LLM's Are Nearly Obsolete (www.newsweek.com)

Yann LeCun, Meta's chief AI scientist and one of the pioneers of artificial intelligence, believes LLMs will be largely obsolete within five years.

33. The reality of working in tech: We're not hired to write code (2023) (idiallo.com)

We are not hired to write code. Instead developers are hired to build product or features that may or may not deliver.

34. Show HN: Mermaid Chart VS Code Plugin: Mermaid.js Diagrams in Visual Studio Code (docs.mermaidchart.com)

<p>The Mermaid VS Code Plugin is a powerful developer diagramming tool that brings Mermaid.js diagramming directly into your Visual Studio Code environment. Whether you&#8217;re visualizing software architecture, documenting API flows, fixing bad documentation, or managing flowcharts and sequence diagrams, this plugin integrates seamlessly into your workflow. Key Features of the Mermaid VS Code Plugin for [&hellip;]</p>

35. Breaking computers taught me to build them (danielsada.tech)

My 12-year journey in software: how breaking computers taught me to build them.

36. QVQ-Max: Think with Evidence (qwenlm.github.io)

QWEN CHAT GITHUB HUGGING FACE MODELSCOPE DISCORD Introduction Last December, we launched QVQ-72B-Preview as an exploratory model, but it had many issues. Today, we are officially releasing the first version of QVQ-Max, our visual reasoning model. This model can not only “understand” the content in images and videos but also analyze and reason with this information to provide solutions. From math problems to everyday questions, from programming code to artistic creation, QVQ-Max has demonstrated impressive capabilities.

37. Show HN: Zxc – Rust TLS proxy with tmux and Vim as UI, BurpSuite alternative (github.com)

Terminal based intercepting proxy written in rust with tmux and vim as user interface. - GitHub - heil-hydrant/zxc: Terminal based intercepting proxy written in rust with tmux and vim as user interface.

39. Search-R1: Training LLMs to Reason and Leverage Search Engines with RL (arxiv.org)

Abstract page for arXiv paper 2503.09516: Search-R1: Training LLMs to Reason and Leverage Search Engines with Reinforcement Learning