2025-05-30

33 篇热帖

3. The 'white-collar bloodbath' is all part of the AI hype machine (www.cnn.com)

If the CEO of a soda company declared that soda-making technology is getting so good it’s going to ruin the global economy, you’d be forgiven for thinking that person is either lying or fully detached from reality.

4. FLUX.1 Kontext (bfl.ai)

State-of the art in-context image generation and editing—combine text and images for precise, coherent results.

6. Microsandbox: Virtual Machines that feel and perform like containers (github.com)

🧱 secure, local and programmable sandboxes for AI agents - superradcompany/microsandbox

7. Airlines are charging solo passengers higher fares than groups (thriftytraveler.com)

It's not just Delta. The country's three largest airlines are charging some solo travelers higher fares than groups of two or more.

9. Buttplug MCP (github.com)

buttplug-mcp 是一个 Model Context Protocol (MCP) 服务器,旨在连接 Buttplug.io 生态系统,使得支持工具的 LLM 程序(如 Claude Desktop)能够查询和控制用户的设备。

核心功能

该项目支持通过 MCP 协议暴露以下资源和工具:

  • 资源:提供设备信息的查询。
    • /devices:列出所有已连接的 Buttplug 设备(JSON 格式)。
    • /device/{id}:根据设备 ID 获取设备信息。
    • /device/{id}/rssi:查询设备信号强度。
    • /device/{id}/battery:查询设备电量。
  • 工具:执行设备控制操作。
    • device_vibrate:控制设备振动,需提供设备 ID、强度以及可选的电机编号。

当前状态

该项目始于 2025 年 4 月 1 日,是一个快速、趣味性的教育项目。目前主要问题包括:

  • 底层库不稳定:依赖的 go-buttplug 库在连接处理上存在问题,导致即使通过 Intiface Central 连接,设备也可能无法振动。
  • 测试不充分:缺乏虚拟设备进行测试,依赖物理设备,因此未能实现完整的端到端测试。
  • 主机兼容性:MCP 主机(如 Ollama 的 mcphost)目前主要支持工具,对资源和资源模板的支持有限。

安装与使用

  1. 安装
    • 通过 GitHub Releases 下载预编译的二进制文件。
    • 使用 Homebrew 安装:执行 brew tap conacademy/homebrew-tap 然后 brew install conacademy/tap/buttplug-mcp
  2. 使用
    • 首先启动 Intiface Central 并记录服务器端口(默认为 12345)。
    • 配置 MCP 主机(例如 Claude Desktop),将其指向 buttplug-mcp 二进制文件并指定 WebSocket 端口参数。
    • 在支持 MCP 和工具的 LLM 界面中,即可通过自然语言查询设备信息或控制设备振动。

构建与开发

  • 使用 task 进行构建,生成二进制文件 bin/buttplug-mcp
  • 提供了 JSON Schema 用于定义资源和工具的接口。
  • 可通过 task stdio-schema 或 MCP Inspector 工具进行测试。

注意事项

  • 该项目目前处于实验阶段,体验可能不稳定。
  • 作者计划深入研究底层库以解决连接问题,并探索 MCP 主机对资源的支持情况。
10. Show HN: Onlook – Open-source, visual-first Cursor for designers (github.com)

Onlook:面向设计师的开源视觉优先代码编辑器

Onlook 是一个开源、视觉优先的代码编辑器,旨在为设计师和开发者提供 AI 辅助的网站与应用构建体验。它定位为 Bolt.new、Lovable、V0、Replit Agent 等工具的开源替代方案。

项目状态:目前仍处于积极开发中,并欢迎社区贡献。

核心功能

  • 快速创建应用:支持通过文本、图像、预设模板、Figma 导入或 GitHub 仓库在数秒内生成 Next.js 应用。
  • 可视化编辑:提供类似 Figma 的界面,支持实时预览、品牌资产管理、页面导航、图层浏览、图像管理以及组件检测与使用(源自之前的桌面版)。
  • 直接编辑代码:可在浏览器 DOM 中直接进行视觉编辑,更改会实时同步至底层代码。支持拖放式组件面板和分支管理以进行设计实验。
  • 开发与部署:集成实时代码编辑器、检查点保存/恢复、CLI 命令、应用市场连接,并支持快速部署应用、生成可分享链接及自定义域名。
  • 团队协作:支持实时协同编辑与评论。
  • 高级 AI 能力:支持多消息排队、图像作为参考或资产、MCP 集成,以及利用 Onlook 自身作为工具进行分支创建和迭代。
  • 广泛兼容性:当前重点优化 Next.js + TailwindCSS 项目,但也计划支持非 Next.js 和非 Tailwind 项目。

工作原理

  1. 用户创建应用后,代码被加载到一个网络容器中运行并提供服务。
  2. 编辑器通过 iframe 显示应用预览,并读取/索引容器中的代码。
  3. 编辑器会对代码进行“仪器化”处理,以将可视化元素映射到其在代码中的位置。
  4. 用户在视觉编辑器中的操作会先修改 iframe 中的元素,随后同步更新底层代码。
  5. AI 聊天功能同样可以访问和理解代码,从而进行智能编辑。

此架构理论上适用于任何以声明式方式(如 JSX/TSX/HTML)呈现 DOM 元素的语言或框架。

技术栈

  • 前端:Next.js, TailwindCSS, tRPC
  • 数据库:Supabase(提供认证、数据库、存储), Drizzle(ORM)
  • AI:AI SDK, OpenRouter, Morph Fast Apply, Relace
  • 沙盒与托管:CodeSandbox SDK, Freestyle
  • 运行时:Bun, Docker

使用方式

用户可以通过托管应用(onlook.com)或本地运行使用 Onlook。编辑器适用于任何 Next.js + TailwindCSS 项目。主要交互包括:

  • 使用 AI 聊天创建或编辑项目。
  • 右键点击元素可直接跳转至其代码位置。
  • 通过绘制、拖放来创建和排列新的 DOM 元素(如 div)。
  • 实时并排预览代码与设计。
  • 使用编辑器工具栏调整 Tailwind 样式、操纵对象和试验布局。

参与贡献

项目鼓励社区参与,开发者可以 fork 仓库并提交 Pull Request,或在 GitHub Issues 中提出功能建议和报告问题。贡献指南详见项目的 CONTRIBUTING.md 文件。

12. Practical SDR: Getting started with software-defined radio (nostarch.com)

Discover the exciting world of software-defined radio (SDR) through this fun, project-based introduction.

13. U.S. sanctions cloud provider 'Funnull' as top source of 'pig butchering' scams (krebsonsecurity.com)

美国制裁云服务商Funnull:阻断“杀猪盘”诈骗基础设施

美国财政部于2025年对菲律宾云服务商Funnull Technology Inc. 及其中国籍管理员刘立志实施经济制裁,因其为大量涉及“杀猪盘”虚拟货币投资诈骗的网站提供基础设施支持。据美国财政部声明,此类网络诈骗每年导致美国民众数十亿美元损失,2024年收益更创历史新高。Funnull直接助长了相关犯罪,造成美国受害者损失超过2亿美元

“杀猪盘”诈骗与Funnull的角色

  • 诈骗模式:犯罪分子通过社交媒体诱骗受害者投资虚假加密货币交易平台,初期展示虚假盈利,诱使追加投资,最终卷款消失。部分案例中,骗子还会以“缴税”为由要求受害者支付额外费用。
  • Funnull的技术操作:该公司运营一个犯罪内容分发网络(CDN),通过大量自动生成的域名和美国云服务商(如亚马逊AWS、微软Azure)的服务器路由流量,隐藏诈骗网站的真实地址。FBI的技术报告详细记录了其2023年10月至2025年4月间的域名管理基础设施。
  • 跨国关联:安全公司Silent Push在2024年10月发现,Funnull承载的许多域名涉及带有“太阳城集团”标志的赌博网站。该集团被联合国报告指认为朝鲜黑客组织“拉撒路”的洗钱渠道。

云服务商的应对与问题

  • 微软已根据此前报道清除Funnull相关IP地址。
  • 亚马逊虽承诺整治,但Silent Push指出其清理效果不佳,部分恶意IP自2023年起持续存在。亚马逊回应称已阻止数百次相关滥用行为,并建议用户通过专用渠道举报。
  • 根本原因:美国云服务商因托管大量合法服务,彻底封锁其流量可能影响正常业务。犯罪团伙借此将恶意流量伪装成来自美国网络的合法访问,规避地域性安全控制(如银行风控)。

欧盟类似制裁案例

2025年5月,欧盟制裁了Stark Industries Solutions及其创始人(摩尔多瓦籍兄弟伊万尤里·内库里蒂)。该ISP于俄乌冲突初期成立,被指为俄罗斯国家关联攻击者提供代理网络,掩盖网络攻击和虚假信息活动来源。此前调查显示,Stark的恶意流量同样通过美国云服务商中转。

结论

美国与欧盟的制裁行动旨在打击通过“基础设施洗白”手段支撑大规模网络犯罪的供应链。Funnull案例凸显了犯罪组织如何滥用合法云服务隐藏活动踪迹,以及云服务商在平衡安全管控与业务运营中面临的持续挑战。

14. RFK Jr's 'Maha' report found to contain citations to nonexistent studies (www.theguardian.com)

美国出版物Notus的调查显示,罗伯特·F·肯尼迪(RFK Jr)主导的旗舰健康报告包含对不存在研究的引用。这份73页的《让美国再次健康》报告由特朗普政府委托,旨在调查慢性病原因,肯尼迪曾称其为拥有500多处引用的“黄金标准”科学。但调查发现,报告中有7项研究引用完全虚构,另有部分引用被相关研究人员指称为错误描述。

具体问题包括:两项关于ADHD药物广告的研究在声称的期刊中不存在,弗吉尼亚联邦大学确认其中一位列出的作者从未撰写过相关文章。另一项关于哮喘过度处方的引用中,被列出的医生哈罗德·J·法伯明确表示从未撰写过该论文。

报告还存在对现有研究的系统性误读。例如,一份论文被错误描述为证明谈话疗法与精神药物同等有效,但实际审查并未包含心理治疗。另一项睡眠研究也被错误归因于儿童而非大学生,并引用了错误的期刊。

此前,肯尼迪曾批评《柳叶刀》《新英格兰医学杂志》等顶级医学期刊“腐败”,并计划创建政府运营的期刊。这份报告被特朗普政府用于审视慢性病原因,肯尼迪称其为提供“循证基础”的里程碑。该事件引发了对将于8月发布的后续报告《让我们的儿童再次健康》科学可信度的担忧。

15. A new generation of Tailscale access controls (tailscale.com)

Grants are Tailscale’s next generation of access controls that combine network and application capabilities into a single syntax.

18. The Darwin Gödel Machine: AI that improves itself by rewriting its own code (sakana.ai)

The Darwin Gödel Machine: AI that improves itself by rewriting its own code

19. AI is not our future – Procreate (procreate.com)

We are not adding generative AI to our apps. Here's why.

20. What's working for YC companies since the AI boom (jamesin.substack.com)

The goal of this analysis was to understand what’s working for YC companies by looking at which ones have raised Series A rounds.

21. Show HN: MCP Server SDK in Bash (github.com)

Yes Mcp server in bash. Contribute to muthuishere/mcp-server-bash-sdk development by creating an account on GitHub.

22. Open-sourcing circuit tracing tools (www.anthropic.com)

Anthropic is an AI safety and research company that's working to build reliable, interpretable, and steerable AI systems.

23. What works (and doesn't) selling formal methods (www.galois.com)

销售形式化方法的得失:关键洞见与挑战

本文基于作者在Galois公司20年销售形式化方法项目的经验,总结了推广形式化方法过程中遇到的挑战、失败教训以及可行策略。核心观点是:大多数潜在的形式化方法项目在成本/效益分析上不合理,这是其未被广泛采用的主要原因。

核心世界观:成本 vs. 效益

  • 任何项目的决策都基于其预期的 整体成本(时间、金钱、人力、资源)和 整体收益(安全性、可靠性、经济价值、心理安慰等)。
  • 潜在客户在成本/效益权衡上基本是理性的。他们优先处理高价值项目,预算有限。
  • 形式化方法研究往往关注“可能性”(如SeL4、CompCert等成功案例),但这些项目多为研究资助。要推动更多验证项目,必须证明其对客户比其他资源利用方式更有价值

关键洞见与失败教训

1. 项目必须尽早交付价值

  • 问题:传统的定理证明项目成本曲线不佳。前期需要大量投入(定义、引理)才能获得最终定理的收益。客户难以接受高额前期投资却无立即回报。
  • 对比优势:测试等传统方法具有更平滑的成本效益曲线,投入少量成本即可发现错误,获得即时反馈。
  • 策略:理想模式是分阶段、递增式推进(如先用小额预算完成小项目并展示收益,再逐步扩大)。但形式化方法工具的前期固定成本(规范编写、证明构建、领域学习)使其难以实现。

2. “正确性”本身并非客户的首要驱动力

  • 观察:许多开发者对“更高的正确性标准”兴趣有限。他们已将现有漏洞和风险计入成本,认为提升安全/可靠性的边际价值低。
  • 原因:开发者面临多重竞争需求(发布新功能、招聘、偿还技术债务、满足客户需求)。正确性技术可能增加其他目标的成本(如特定语言导致招聘困难)。
  • 案例:某高安全系统厂商认为其可靠性已优于竞品,且可靠性并非其销售关键因素,因此不愿为形式化方法投入。但合规测试虽繁琐却直接影响销售,因此他们不得不忍受。

3. 定义和解释“成功”非常困难

  • 根本挑战:形式化方法结果(如千行定理)技术含义精确,但客户往往无法理解。
  • 引发问题
    1. 客户如何知道得到了想要的东西?
    2. 如何解释不同选择间的权衡?
    3. 如何确定项目何时完成?
  • 不良模式:过度简化解释导致客户产生误解(如“系统无任何漏洞”),当后续发现漏洞时,客户会感到被欺骗。
  • 改进方案(如AWS LibCrypto项目):提供详细的风险排除列表/技术限制说明,明确界定证明覆盖范围。这耗时且要求客户具备高技术理解力,但能减少误解。
  • 成本预测困难:证明成本对技术细节高度敏感(如固定密钥尺寸 vs. 任意尺寸的证明),且常被少数几行棘手代码主导,事前难以评估。

4. 应优先采用廉价方法

  • 现实:形式化方法昂贵,而廉价的保障技术(代码审查、文档、测试、CI/CD、模糊测试、属性测试)非常有效,且被大多数项目使用。
  • 困境:向客户推荐“编写更多测试”通常比“进行形式化验证”更具吸引力,因为前者成本更低、更可预测、更易配备人员,且可针对多个子系统进行尝试。
  • 两种回应策略
    1. 金镀层策略:在穷尽所有廉价方法后,才将形式化方法作为“最后一击”。但这极大限制了形式化方法的目标市场,仅适用于少数极端安全关键组件。
    2. YOLO策略:声称形式化方法可取代所有廉价方法。但这不现实,因为廉价方法有其他有益副作用,且认证通常要求特定测试。
  • 融合方向:推动形式化方法与廉价技术的更紧密集成(如Galois参与开发的CN工具,结合测试与验证)。

提升采用率的关键杠杆

  • 形式化方法未被广泛采用,并非单纯因为工程师“无知”或“保守”,而是基于其系统和问题的成本/效益理性判断
  • 推广形式化方法有两个主要杠杆:
    1. 降低成本:包括降低学习曲线、改善工具易用性。
    2. 增加收益:构建能解决客户具体问题的工具(如提高效率、满足合规要求、增强市场信心)。
  • 收益线可能更重要,因为它直接关联客户价值。通过实践积累经验,不断优化成本/效益比,才能应对更具挑战性的问题。
26. When Fine-Tuning Makes Sense: A Developer's Guide (getkiln.ai)

微调何时有意义:开发者指南

微调用于解决特定且可衡量的问题:模型输出的JSON模式不一致、推理成本超出预算、复杂的提示词降低性能、以及无法通过提示实现的专门行为。

微调的核心优势

  • 提升质量

    • 任务特定评分:通过示例教授模型如何响应,提升整体质量指标。
    • 风格一致性:有效强制执行特定的语气和风格,比提示词引导更可靠。
    • 更好的格式化:显著提升输出JSON、XML、函数调用等特定格式的准确性和正确性(如将JSON格式准确率从不足5%提升至99%以上)。
  • 降低成本与提高速度

    • 缩短提示词:将格式说明、风格、规则等要求从冗长的提示中转移到模型本身,从而减少处理时间、token使用量并提高遵守率。
    • 使用更小的模型:微调后的小模型(如Qwen 14B)能在特定任务上达到大模型的质量,但运行速度快6倍,成本仅为GPT-4.1的约3%。
    • 本地模型:可在用户设备上运行,实现零推理成本,但速度可能较慢。
  • 隐私保护:支持创建在本地运行的小模型,避免将敏感数据发送给第三方服务提供商。

  • 工具调用:通过训练数据有效教会模型何时、如何使用特定工具及其格式,减少错误。

  • 更好的逻辑与规则遵循

    • 产品逻辑:有效学习条件逻辑、处理边缘情况(如离题请求、攻击性语言)以及输出“我不知道”等不确定响应。
    • 修复“错误”:通过包含正确输出的常见失败模式示例进行训练,消除模型意外或不良行为。
    • 对齐与安全:有效将模型与人类价值观、安全要求及内容策略对齐。
  • 从大模型蒸馏:使用大模型生成大量任务样本,再用其微调更小、更快的模型,这是一个相对简单且快速的过程。

  • 改进思维/推理/思维链:通过专门的思维链示例对模型进行微调,可以教会小模型掌握特定任务所需的“思考模式”,比使用大型通用推理模型更经济高效。

不适用场景

  • 知识添加:微调并非向模型添加知识的理想方法。更推荐使用RAG(检索增强生成)上下文加载工具调用来获取知识。

选择微调模型

选择模型应基于具体目标:

  • 在移动设备本地运行:选择Gemma 3n/1B或Qwen 3 1.7B等微型模型。
  • 在桌面设备本地运行:选择Qwen 3 4B/8B或Gemma 3 2B/4B等小型模型。
  • 降低成本或提高速度:尝试1B至32B参数范围内的模型,比较质量、速度和成本的权衡。
  • 追求最高质量:选择Llama 70b、Gemma 3 27b等大型模型,或通过API微调GPT 4.1、Gemini等模型。

实践建议

  • 迭代与实验:将数据科学方法应用于微调,尝试不同的基础模型、训练数据、是否包含思维数据以及训练轮数。
  • 评估设置:建立评估体系以便轻松比较结果,找到最佳模型。

开始微调

Kiln是一款免费工具,可简化微调全流程,包括创建训练数据、微调模型和评估结果。文章提供了相关指南、视频教程和社区支持链接。

27. Triangle splatting: radiance fields represented by triangles (trianglesplatting.github.io)

三角形辐射场渲染技术概述

核心思想:该研究提出使用三角形作为基本图元来表示辐射场,以实现高质量的新视角合成。与广泛使用的2D/3D高斯绘制相比,三角形绘制能更好地保留锐利边缘和精细细节,有效避免高斯基元固有的模糊问题。

方法创新:研究开发了一个可微分渲染器,可通过端到端梯度直接优化三角形。每个三角形由三个可学习的3D顶点、颜色、不透明度及平滑度参数定义。渲染过程中,引入一个基于有符号距离场的平滑窗口函数,该函数在三角形内部达到最大不透明度,在边界处衰减至零,其锐度由参数控制。最终,所有三角形的贡献通过alpha混合按深度顺序累积成像,整个过程可微分。

性能优势

  1. 高质量:在Mip-NeRF360数据集上,其视觉保真度优于其他非体积基元方法,在室内场景上的感知质量甚至超越了先进的Zip-NeRF。
  2. 高效率:三角形与标准图形硬件兼容,效率极高。例如,在“花园”场景中,使用现成网格渲染器可在RTX 4090上实现超过2400 FPS(1280×720分辨率)的渲染速度。
  3. 快速收敛:相比高斯绘制,优化过程收敛更快。

几何一致性与应用前景: 生成的三角形与底层几何精确对齐,方向一致且贴合表面。该技术的一大亮点是其输出(三角形汤)可与任何基于网格的渲染器兼容,从而无缝集成到传统图形管线(如游戏引擎)中。这为将辐射场重建场景直接应用于AR/VR或交互式模拟等实时应用迈出了重要一步。尽管当前在游戏引擎中的渲染质量有限(未专门优化),但已证明了其可行性。

总结:三角形绘制技术将经典计算机图形学的三角形表示与现代可微分渲染框架相结合,在新视角合成任务中实现了高保真、高效率的渲染,并为将神经辐射场集成到实时图形管线中提供了实用途径。

28. Copy Excel to Markdown Table (and vice versa) (thisdavej.com)

本文介绍了一个可在Excel/Google Sheets与Markdown表格之间双向转换的免费在线工具。用户只需在指定文本框中使用Ctrl+V粘贴数据,即可自动生成并复制转换结果。

主要功能与特点:

  • 双向转换:既可从Excel/Google Sheets复制数据生成Markdown表格,也可将Markdown表格粘贴转换为Excel/Google Sheets兼容格式。
  • 隐私安全:工具完全基于客户端JavaScript运行,所有数据处理均在用户浏览器本地完成,数据不会上传至服务器。
  • 便捷操作:支持重复粘贴使用,无需手动清除输入框,新内容会自动替换旧内容并更新结果。
  • 列对齐控制:可在Excel列标题前添加特定前缀以控制Markdown表格的对齐方式:
    • ^c:居中对齐
    • ^r:右对齐
    • ^l:左对齐(默认) 例如,输入^rweight将使该列在Markdown表格中右对齐。

注意事项:

  • 若表格较宽,可能需在文本框内水平滚动以查看所有列。
  • 该工具基于Jonathan Hoyt的开源代码扩展而来,原项目主要实现Excel到Markdown的转换。

该工具最后更新于2025年5月29日,适用于需要快速在电子表格与Markdown文档之间转换数据的用户。

30. Untrusted chatbot AI between you & the internet is a disaster waiting to happen (macwright.com)

JavaScript, math, maps, etc

31. Notes on Tunisia (mattlakeman.org)

I spent almost three weeks in Tunisia, visiting the cities of Tunis, Bizerte, El Kef, Tozeur, Tataouine, El Jem, Sfax, Sousse, Monastir, Kairouan, and a few smaller towns in between. At first, I thought this post would be heavy on travel and light on history, but I got carried away on the background reading and…

32. Ovld – Efficient and featureful multiple dispatch for Python (github.com)

Advanced multiple dispatch for Python functions. Contribute to breuleux/ovld development by creating an account on GitHub.