2025-06-21
39 篇热帖
2. Samsung embeds IronSource spyware app on phones across WANA (smex.org)
三星在西亚和北非手机中预装AppCloud引发隐私争议
近期,三星在西亚和北非洲(WANA)地区销售的A系列和M系列智能手机中预装了名为AppCloud的软件。这款应用由争议性的以色列公司ironSource(现已被美国公司Unity收购)开发,引发了当地用户对隐私和安全的广泛担忧。
核心问题
- 强制预装且无法移除:AppCloud被深度集成到设备操作系统中,用户无法在不影响设备安全或失去保修的情况下卸载它。即便禁用,它也可能在系统更新后重新出现。
- 隐私政策不透明:该软件没有提供清晰、可访问的隐私政策,用户无法知晓其收集了哪些数据以及如何使用。它收集的数据包括生物识别信息、IP地址和设备指纹等敏感信息。
- 未经用户同意:软件的安装未征求用户同意,这可能违反欧盟《通用数据保护条例》(GDPR)以及WANA地区各国的数据保护法律。
- 公司背景引发法律与道德关切:ironSource作为以色列创立的公司,其在部分禁止以色列公司运营的国家(如黎巴嫩)的存在,带来了额外的法律和道德问题。该公司自身在用户同意和数据隐私方面也名声不佳。
公开信诉求
针对上述问题,相关方向三星发出公开信,提出以下主要要求:
- 披露信息:公开AppCloud完整的隐私政策和数据处理方式。
- 提供选择权:为用户提供简单有效的方法来拒绝或卸载AppCloud,而不损害设备功能或保修。
- 解释决策:说明为何在WANA地区的所有A系列和M系列设备上强制预装此软件。
- 重新考虑预装:根据《世界人权宣言》第十二条确立的隐私权,重新评估在未来设备中继续预装AppCloud的决定。
- 进行对话:请求与三星相关团队举行会议,详细讨论这些关切。
鉴于三星在该地区拥有重要的市场份额,强制安装此软件的做法被认为严重损害了用户的隐私和安全权利。
3. Plastic bag bans and fees reduce harmful bag litter on shorelines (www.science.org)
4. EU Eyes Ditching Microsoft Azure for France's OVHcloud (www.euractiv.com)
5. Delta Chat is a decentralized and secure messenger app (delta.chat)
Delta Chat 是一款去中心化且安全的即时通讯应用,支持多设备和多账户配置文件。用户可通过安全的 chatmail 中继服务 进行注册,并享受可靠的消息传递。应用内置交互式 Web 应用,可用于游戏和协作场景。其采用经过审计的端到端加密技术,能有效防御网络和服务器攻击。作为自由开源软件,Delta Chat 遵循互联网标准,避免不必要的标准碎片化。应用支持移动和桌面平台,可通过官方页面下载。
6. How Cloudflare blocked a monumental 7.3 Tbps DDoS attack (blog.cloudflare.com)
Cloudflare 成功阻止创纪录的 7.3 Tbps DDoS 攻击
2025年5月中旬,Cloudflare 成功拦截了有史以来最大的分布式拒绝服务(DDoS)攻击,峰值流量高达 7.3 太比特每秒(Tbps)。此次攻击较此前 Cloudflare 报告的最高纪录高出 12%,且比另一安全媒体报道的攻击规模大 1 Tbps。
攻击概述
- 目标:一家使用 Cloudflare Magic Transit 服务保护其 IP 网络的托管服务提供商。
- 持续时间:45 秒。
- 数据量:传输了 37.4 TB 的数据,相当于在 45 秒内加载了超过 9,350 部全长高清电影或下载约 935 万首歌曲。
- 核心特征:攻击对单个 IP 地址的平均 21,925 个目标端口进行了“地毯式轰炸”,峰值达到每秒 34,517 个目标端口。
攻击向量与来源
攻击属于多向量攻击:
- 主要部分:约 99.996% 的流量为 UDP 洪水攻击。
- 其余部分:占 0.004% 的流量由多种反射放大攻击构成,包括 QOTD、Echo、NTP、Mirai UDP、Portmap 和 RIPv1 攻击。
攻击来源广泛:
- 来自全球 161 个国家的 122,145 个源 IP 地址。
- 跨越 5,433 个自治系统。
- 近一半流量源自巴西和越南。
- 主要流量来源网络包括 Telefonica Brazil、Viettel Group、China Unicom 等。
Cloudflare 的检测与缓解机制
- 全球任播网络:目标 IP 地址通过 Cloudflare 的全球任播网络进行广播。攻击流量被路由到最近的 Cloudflare 数据中心,利用攻击本身的分布式特性进行分散和缓解。此次攻击在 477 个数据中心被检测和缓解。
- 全自动自主防护:每个 Cloudflare 数据中心都运行完整的 DDoS 检测和缓解系统,无需人工干预或告警触发。
- 实时指纹识别与缓解:
- 系统使用 eBPF 和 XDP 技术从内核层直接采样数据包。
- 自研的 dosd(拒绝服务守护进程)启发式引擎分析样本,识别可疑模式并生成攻击“指纹”。
- 为避免误伤,系统会生成指纹的多个排列组合,并通过流数据算法选出匹配度最高、最具缓解效力的指纹。
- 当流量超过阈值时,系统会编译一个基于 eBPF 的缓解规则来丢弃匹配攻击模式的数据包,攻击结束后规则自动失效。
- 全局情报共享:每个服务器会“ gossip”(组播)数据中心内部及全球范围内的顶级指纹排列组合,实时共享威胁情报,提升整体缓解效能。
防御建议与资源
文章为可能成为反射放大攻击参与者的网络(如运行过时服务的服务器)提供了具体建议,包括禁用或限制访问 QOTD、Echo、NTP 的 monlist 命令、Portmapper 和 RIPv1 等服务。
此外,Cloudflare 利用其网络视角为全球服务提供商提供免费的 DDoS 僵尸网络威胁情报源,帮助识别其网络内的攻击源。
7. Python can run Mojo now (koaning.io)
Chris Lattner mentioned that Python can actually call Mojo code now. I love this idea (!) as I'm definitely in the market for a simple compiled language that can offer Python some really fast functions.
8. Show HN: Nxtscape – an open-source agentic browser (github.com)
🌐 The open-source Agentic browser; alternative to ChatGPT Atlas, Perplexity Comet, Dia. - browseros-ai/BrowserOS
9. YouTube's new anti-adblock measures (iter.ca)
How I wrote filter rules for YouTube
10. Scaling our observability platform by embracing wide events and replacing OTel (clickhouse.com)
可观测性平台扩展:采用宽事件并替换 OpenTelemetry
规模与效率突破
- 内部可观测性平台(LogHouse)数据规模从 19 PiB 增长至超过 100 PB(未压缩),行数从约 37 万亿增至近 500 万亿。
- 通过架构优化,成功应对了 20 倍的事件量增长,同时最关键数据源的 CPU 使用率降低了 90% 以上(从预估的 8,000 核降至仅 70 核处理 3,700 万日志/秒)。
OpenTelemetry 的局限与定制化解决方案
- OpenTelemetry(OTel)通用流水线在处理极高吞吐量(如 ClickHouse 系统日志)时遇到瓶颈:频繁的数据格式转换(JSON → OTel → ClickHouse 原生格式)消耗大量 CPU,并导致资源限制下的数据丢失。
- 开发了专用工具 System Tables Exporter (SysEx),实现 ClickHouse 实例间高效、保真的数据迁移:
- 直接字节复制:绕过中间格式转换,直接传输原生格式数据,保真度高且 CPU 开销极低。
- 拉取模型与滑动窗口:通过查询系统表的滑动时间窗口(如延迟 5 分钟),确保数据完整性,避免缓冲区丢失,并支持历史数据回填。
- 动态模式处理:利用 ClickHouse 的 Merge 表引擎统一查询不同模式版本的表,无缝应对模式演进。
- OTel 仍用于收集通用日志和服务崩溃时的 stdout/stderr 输出,但范围已优化(如仅收集 info 级别以上),作为 SysEx 的补充。
用户界面革新:集成 HyperDX
- 收购 HyperDX 后,将其作为 ClickHouse 原生 UI,逐步替代基于 Grafana 的自定义界面。
- HyperDX 优势:
- 模式无关:可自适应处理 OTel 标准化数据、SysEx 宽表等多种数据源,无需预先配置。
- 高效探索与分析:支持 Lucene 语法进行快速查询,同时保留 SQL 用于复杂分析。
- 统一可观测性体验:结合日志、追踪、会话回放功能,便于根因分析。
广泛的数据源集成与宽事件理念
- 平台已扩展至集成更多数据源,体现 “宽事件”(存储所有原始数据点,查询时聚合)的观测理念:
- kubenetmon:监控 Kubernetes 网络流量,提供连接级洞察。
- Kubernetes 事件导出器:原生集成 ClickHouse,用于分析集群事件。
- Istio 访问日志、控制平面数据、真实用户监控(RUM) 等。
- 与传统指标存储(如 Prometheus)相比,该模式避免了预聚合和基数爆炸限制,支持在查询时进行任意维度的下钻分析。
未来方向
- 零影响抓取:探索通过直接挂载 S3 上的 ClickHouse 日志表进行数据抓取,避免查询运行中的实例,进一步减少运营影响。
- JSON 类型评估:尽管 ClickHouse JSON 类型已 GA,但正在评估其在高基数可观测性数据模式下的最佳实践。
- 持续扩展:计划将更多 Kubernetes 对象模型状态快照等数据纳入平台,以实现更全面的时序状态回溯与分析。
结论
通过用专用工具(SysEx)处理核心高吞吐数据,并整合灵活的 UI(HyperDX),平台成功将可观测性从成本中心转变为支撑大规模运维的核心数据仓库,存储了超过 100 PB 的宽事件数据,实现了效率与洞察力的显著提升。
11. Alpha Centauri (www.filfre.net)
12. uBlock Origin Lite Beta for Safari iOS (testflight.apple.com)
13. Cosmoe: BeOS Class Library on Top of Wayland (cosmoe.org)
14. Signal – An Ethical Replacement for WhatsApp (greenstarsproject.org)
Moving from WhatsApp to Signal is an important action, right now. WhatsApp’s parent company, Meta, has been involved in several cases of election interference: America in 2016, Trinidad and Tobago in 2010, and Brazil in 2018. Mark Zuckerberg has apologized in the past but now, since his post-election dinner with Trump, wants “a culture that…
15. BYD begins testing solid-state EV batteries in the Seal (electrek.co)
比亚迪否认在其电动轿车海豹(Seal)上测试固态电池的传闻,但确认了固态电池技术的开发与量产时间表。
近日有报道称,比亚迪在“2025中国全固态电池创新发展峰会”上宣布,已将固态电池装入海豹车型并开始路测,其续航里程可达近1200英里(约1875公里)。对此,比亚迪于6月23日通过媒体澄清,表示“目前尚无定论,首款搭载车型及具体参数均未正式公布”。
尽管具体测试车型未获证实,但比亚迪在固态电池领域已有长期布局:
- 研发历程:比亚迪从事固态电池研发已超过十年。
- 技术进展:去年已完成20Ah和60Ah容量固态电芯的测试。
- 量产计划:比亚迪电池业务首席技术官孙华军今年早些时候确认,计划于2027年开始在量产车上搭载固态电池。2027年至2029年期间产量有限,预计2030年开始大规模量产。
- 成本目标:比亚迪曾表示,目标是在本十年末实现固态电池与现有液态锂电池成本相当。
传闻中提及的固态电池性能指标包括:
- 能量密度达到400 Wh/kg,约为当前锂电池的两倍。
- 充电12分钟可增加约1500公里续航(测试中充至80%,总续航里程预测可达1875公里CLTC标准,约合808英里EPA标准)。
目前,比亚迪海豹在中国市场的起售价约为17.58万元人民币(约合2.5万美元)。虽然未明确首款搭载固态电池的车型,但公司表示将继续提供低成本的磷酸铁锂电池选项。
在固态电池赛道,比亚迪将面临宁德时代、梅赛德斯-奔驰、大众、Stellantis、日产等公司的竞争,这些企业大多计划在2027或2028年推出搭载固态电池的电动汽车。
16. AbsenceBench: Language models can't tell what's missing (arxiv.org)
Abstract page for arXiv paper 2506.11440: AbsenceBench: Language Models Can't Tell What's Missing
17. Sega mistakenly reveals sales numbers of popular games (www.gematsu.com)
18. 'Gwada negative': French scientists find new blood type in woman (www.lemonde.fr)
摘要: 根据提供的标题,法国科学家在一名女性身上发现了一种新的血型,命名为“Gwada negative”。但文章内容因网站加载问题(可能由浏览器扩展、网络问题或设置引起)而无法显示,具体细节和科学背景未提供。
19. Learn you Galois fields for great good (2023) (xorvoid.com)
伽罗瓦域学习指南(2023)
系列简介
本系列旨在以循序渐进、易于理解的方式,向计算机科学领域的学习者介绍伽罗瓦域(亦称有限域)及其应用。作者指出,现有学习资源要么过度简化,要么默认读者具备抽象代数的纯数学背景,缺乏适合计算机科学家的入门路径。本系列将填补这一空白,通过理论讲解结合实际代码实现,帮助读者掌握该领域的基础知识。
核心主题与动机
抽象代数的核心在于关注数学对象(如数字)之间的运算关系,而非对象本身的具体标签。这种抽象使得我们可以为不同类型的数据(如8位字节、颜色等)定义类似常规算术的加法和乘法规则,且保证结果仍在同一数据范围内。这对计算机科学意义重大,因为算法常需处理数据编码、加密、纠错等任务。掌握伽罗瓦域理论是理解众多现代应用的基础。
实际应用
伽罗瓦域的理论广泛应用于计算机科学的关键领域,包括但不限于:
- 循环冗余校验(CRC)
- AES加密
- 椭圆曲线密码学
- 里德-所罗门编码
- 高级擦除码
- 数据哈希/指纹识别
- 零知识证明
教学方法与内容规划
- 循序渐进:从基础理论(群论、域论)逐步过渡到具体实现(如GF(p)、GF(p^k)、二进制域GF(2^k))和应用案例(CRC、里德-所罗门码)。
- 主动学习:鼓励读者动手实现代码并实践交互式命令行工具。
- 可读代码:采用Rust语言编写示例代码,避免高级特性以确保可读性,注重教学清晰度而非运行时优化。
- 前提知识:仅需高中代数基础;部分应用(如里德-所罗门码)需线性代数知识,建议读者自行补充。
内容大纲
- 群论基础
- 域论基础
- 实现GF(p)
- 多项式算术
- 多项式域GF(p^k)
- 实现GF(p^k)
- 实现二进制域GF(2^k)
- 循环冗余校验
- 域上的线性代数
- 里德-所罗门码(多项式表示)
- 里德-所罗门码(线性代数视角)
- 及更多主题...
系列强调理论积累,建议按顺序学习,后续内容将逐步展开。
20. Tiny Undervalued Hardware Companions (2024) (vermaden.wordpress.com)
After playing/working with computers for more then 25 years I started to appreciate small but handy valuable stuff - like adapters or handlers or ... yeah - all kind of stuff. With many of them I did not even knew they existed until I find out about them - mostly accidentally or after long searching…
21. First methane-powered sea spiders found crawling on the ocean floor (www.cnn.com)
Scientists on the US West Coast say they discovered three previously unknown species of deep-sea spider that could have a rare diet fueled by a common greenhouse gas.
22. US Congress is making more than 250M acres of public lands available for sale (www.wilderness.org)
The Senate reconciliation package is a disturbing giveaway that will mandate the “disposal” of public lands across the western United States.
23. Bill Atkinson: Polaroids Showing the Evolution of the Lisa GUI [video] (www.youtube.com)
24. The FPGA turns 40 (www.adiuvoengineering.com)
This year marks the 40th anniversary of one of the most exciting and interesting aspects of electronic engineering: the FPGA. The first commercially viable FPGA introduced in 1985 was the Xilinx XC2064, which provided developers with 64 configurable logic blocks, each with a three-input look-up tables. From tiny acorns mighty OAK trees grow. Forty years later, the largest AMD (the successor to Xilinx) FPGA contains 8.9 million system logic cells, providing 8.2 million flip flops and 4 million lo
25. Show HN: We moved from AWS to Hetzner, saved 90%, kept ISO 27001 with Ansible (medium.com)
26. The JAWS shark is public domain (ironicsans.ghost.io)
A story with legal drama, a mystery, snow leopards, and, uh, naughty bits.
27. Tuxracer.js play Tux Racer in the browser (github.com)
Play Tux Racer in your browser! Contribute to ebbejan/tux-racer-js development by creating an account on GitHub.
28. Harper – an open-source alternative to Grammarly (writewithharper.com)
Harper is the free, private, open-source grammar checker that runs on your device.
29. Wiki Radio: The thrilling sound of random Wikipedia (www.monkeon.co.uk)
The thrilling sound of random Wikimedia
30. Ocarina of Time Randomizer (ootrandomizer.com)
Ocarina of Time Item Randomizer: Your way into a completely new hyrule. Generate your OoTR Seeds here and enter an amazing experience - Powered by ZSR
31. Show HN: Inspect and extract files from MSI installers directly in your browser (pymsi.readthedocs.io)
Inspect Windows MSI installer files in your browser (no uploads). View summary metadata, tables/streams and extract files.
32. AMD's Freshly-Baked MI350: An Interview with the Chief Architect (chipsandcheese.com)
Hello you fine Internet folks,
33. US Army Appoints Palantir, Meta, OpenAI Execs as Lt. Colonels (thegrayzone.com)
Four senior executives at Palantir, Meta, and OpenAI have been formally appointed lieutenant colonels in the US Army following the creation of a “special” unit created for rich Big Tech mavens seeking military leadership roles. On June 13, the Army announced the creation of Detachment 201, otherwise known as the “Executive Innovation Corps,” which it
34. How malicious AI swarms can threaten democracy (osf.io)
恶意AI群体对民主的威胁主要体现在以下几个方面:
- 协同虚假信息传播:恶意AI群体可以大规模生成并协同传播针对选举或政治议题的虚假信息,通过高度定制化的内容操纵公众舆论,削弱社会对事实的共识。
- 自动化舆论操纵与放大:AI驱动的机器人网络能够在社交媒体上自动点赞、转发、评论,制造虚假的民意趋势,扭曲公共讨论的真实性和代表性。
- 深度伪造与信任侵蚀:利用AI生成的深度伪造音视频(Deepfake)可以制作看似真实的虚假政治言论或事件,严重损害政治人物的公信力,并破坏选举过程的完整性。
- 精准化社会分裂:AI能够分析海量数据,识别社会中的敏感分歧点,并自动化地向不同群体推送煽动性内容,加剧社会对立与政治极化。
- 对选举系统的自动化攻击:恶意AI可以辅助进行大规模的网络钓鱼、黑客攻击或漏洞利用,威胁选举基础设施(如选民登记数据库、投票系统)的安全,干扰选举的公正执行。
- 削弱公共机构公信力:通过系统性地制造和传播针对政府、司法、媒体等机构的虚假信息或阴谋论,AI群体能够侵蚀公众对民主制度的基本信任。
这些威胁的核心在于规模、速度与个性化:AI群体能以远超人力的效率和精准度实施攻击,使传统的审查、事实核查与舆论引导机制难以有效应对,从而从根本上动摇民主的知情参与基础。
35. People instantly decide whether to trust a product based on design (www.andrewcoyle.com)
设计美学与信任:客观性与系统性思维
美观设计的客观原则
设计美学并非纯粹主观偏好,而是遵循一系列客观原则。层级、对称、构图、间距等元素构成视觉秩序,这些工具超越个人品味,源于人类对协调与模式的进化认知。优秀设计通过连贯性和意图性体现美观,其本质是系统构建的成果。
审美可用性效应的核心机制
1995年日立公司研究发现,用户倾向于认为视觉上更吸引人的界面更易用——即使功能完全相同。这一现象被命名为审美可用性效应:人们将美观程度与可用性直接关联。美观设计传递出专业性、用心度与可靠性,使用户进入更积极的情感状态,从而对小问题更具容忍度。
设计作为信任信号
斯坦福大学研究表明,46%的用户将网站设计视为可信度的首要判断依据。视觉混乱或过时的设计会引发认知失调:“若细节都如此粗糙,其他方面又怎会精心?”相反,清晰协调的布局传递出关怀感与完整性,这种信任感在界面呈现的瞬间便开始建立。
设计是系统性思维而非表面装饰
常见误区是将设计视为后期装饰行为。实际上,视觉设计是产品内部逻辑的外在表达。若视觉体验流畅,通常意味着底层架构合理。设计应从一开始就参与塑造体验的结构、流程与意图。
设计师的完整角色定位
设计师的核心任务是让事物变得可理解,而非单纯美化。他们构建信息体系、塑造交互关系、降低复杂度,视觉呈现只是深层逻辑的表象。按钮不仅是视觉元素,更是决策点、关系连接与承诺体现。
结论
设计美学不是主观情绪或潮流,而是清晰度的可视化呈现。其重要性在于:它无声传递信任,吸引并保持注意力,让复杂事物显得毫不费力——而这一切都源于系统性设计思维与客观美学原则的有机结合。
36. Jürgen Schmidhuber:the Father of Generative AI Without Turing Award (www.jazzyear.com)
甲子光年作为中国科技产业智库,为服务决策而生,帮助决策者掌握科技风向,致力于推动中国科技产业化、产业科技化进程。
37. Smartphones: Parts of Our Minds? Or Parasites? (www.tandfonline.com)
38. Kilauea volcano errupts, lava more than 1k feet high [video] (www.youtube.com)
39. Agentic Misalignment: How LLMs could be insider threats (www.anthropic.com)
New research on simulated blackmail, industrial espionage, and other misaligned behaviors in LLMs