2025-09-09
44 篇热帖
2. Show HN: Term.everything – Run any GUI app in the terminal (github.com)
Run any GUI app in the terminal❗. Contribute to mmulet/term.everything development by creating an account on GitHub.
3. Signal Secure Backups (signal.org)
In the past, if you broke or lost your phone, your Signal message history was gone. This has been a challenge for people whose most important conversations happen on Signal. Think family photos, sweet messages, important documents, or anything else you don’t want to lose forever. This explains wh...
4. Chat Control Must Be Stopped (www.privacyguides.org)
Chat Control is back to undermine everyone's privacy. There's an important deadline on October 14th, 2025. We must act now to stop it!
5. We all dodged a bullet (xeiaso.net)
该内容描述了一个名为 Anubis 的网站防护系统,用于对抗AI公司的大规模网页抓取行为。以下是其核心要点:
1. 系统目的
- Anubis旨在保护服务器免受AI爬虫的过度抓取,这类行为常导致网站资源过载、服务中断,影响正常用户访问。
2. 技术原理
- 系统采用类似 Hashcash 的工作量证明(Proof-of-Work) 机制。
- 对普通用户而言,额外计算负担可忽略不计;但对大规模爬虫,累积计算成本会显著增加,从而提高抓取难度和代价。
3. 设计定位
- Anubis是一个临时解决方案,为开发更精细的识别技术(如通过字体渲染等特征检测无头浏览器)争取时间,最终目标是无需向真实用户展示验证页面。
4. 使用限制
- 系统依赖现代JavaScript功能,需禁用浏览器插件(如JShelter)才能正常运行。
6. No adblocker detected (maurycyz.com)
7. Claude now has access to a server-side container environment (www.anthropic.com)
Describe what you need and get back ready-to-use spreadsheets, documents, presentations, and PDFs instead of just text responses. Update: Now generally available for paid plans with net network and egress controls (October 21, 2025).
8. Mistral AI raises 1.7B€, enters strategic partnership with ASML (mistral.ai)
The most powerful AI platform for enterprises. Customize, fine-tune, and deploy AI assistants, autonomous agents, and multimodal AI with open models.
9. U.S. added 911k fewer jobs in year through March than reported earlier (www.barrons.com)
10. Liquid Glass in the Browser: Refraction with CSS and SVG (kube.io)
Explore how to recreate Apple's stunning Liquid Glass effect using CSS, SVG Displacement Maps, and refraction calculations.
11. iPhone dumbphone (stopa.io)
12. Tesla market share in US drops to lowest since 2017 (www.reuters.com)
13. US High school students' scores fall in reading and math (apnews.com)
A decade-long slide in high school students’ performance in reading and math persisted during the COVID-19 pandemic, with 12th graders’ scores dropping to their lowest level in more than 20 years.
14. Source code for the X recommendation algorithm (github.com)
Source code for the X Recommendation Algorithm. Contribute to twitter/the-algorithm development by creating an account on GitHub.
15. The Storm Hits the Art Market (news.artnet.com)
In the cover story for the biannual Intelligence Report, Katya Kazakina documents the burnout within the art market.
16. OpenWrt: A Linux OS targeting embedded devices (openwrt.org)
Anubis 是一种基于工作量证明(Proof-of-Work)方案的保护系统,旨在减轻AI公司大规模爬取网站造成的服务器负担。该系统借鉴了Hashcash(一种为减少垃圾邮件而提出的工作量证明方案)的思路:对单个用户而言,额外的计算负担几乎可以忽略,但对于大规模爬取行为,会显著增加其成本。Anubis目前作为一种过渡性解决方案,为开发更高级的识别技术(如通过无头浏览器的字体渲染特征进行指纹识别)争取时间,以期未来能够更精准地区分真实用户与自动化爬虫,从而无需向合法用户展示挑战页面。需注意的是,Anubis要求启用现代JavaScript功能,因此需要用户为此域名禁用JShelter等可能限制JavaScript的安全插件。
17. I have left Branch and am no longer involved with Nova Launcher (teslacoilapps.com)
Nova Launcher创始人Kevin Barry离职声明
Nova Launcher创始人兼唯一开发者Kevin Barry宣布,他已离开Branch公司,将不再参与Nova Launcher的开发工作。
在过去数月里,Kevin一直在为Nova Launcher的开源发布做准备,包括清理代码库、审查许可证、移除或替换专有代码,并与法律部门协调以确保顺利开源。他提到,当Branch于2022年收购Nova时,其时任CEO兼创始人Alex Austin曾就Nova的未来向社区做出多项公开承诺,包括关于开源的表述:
“Thanks for the suggestion! I'll bring it up with Kevin but ultimately [releasing the source code] is his call.”
“If Kevin were to ever leave, it's contracted that the code will be open sourced and put in the hands of the community.”
然而,Kevin最终被要求停止Nova Launcher及其开源努力的相关工作。
他感谢社区多年来给予的支持、反馈与热情,并肯定了Nova Launcher是一个非凡的项目,拥有出色的社区。
声明日期:2025年9月6日
18. You too can run malware from NPM (I mean without consequences) (github.com)
NPM供应链攻击案例分析与防护
攻击概述
- NPM包作者持续遭受钓鱼攻击,攻击方式不复杂但影响广泛
- 以
is-arrayish包为例,该包曾每周获得20-30亿次下载量 - 攻击实际影响有限,部分受害者甚至用无价值转账嘲讽攻击者
恶意软件行为
- 在浏览器环境中运行时会覆盖
fetch、XMLHttpRequest和window.ethereum.request方法 - 监测到加密货币交易时,将目标地址替换为攻击者的相似地址
- 通过拦截交易实现资金窃取
攻击演示
- 示例应用使用受污染的
is-arrayish包 - 更新至恶意版本(0.3.3)后,用户发起的交易地址被篡改
- 交易发送至攻击者地址而非用户自身地址
LavaMoat防护方案
- 使用
@lavamoat/webpack插件建立安全策略 - 为每个依赖包创建独立的词法作用域(Compartment)
- 严格限制包对全局变量和模块导入的访问权限
- 当恶意更新试图访问未授权资源时,操作会被阻止并抛出错误
- 策略基于包更新前的合法行为制定,阻止新增的恶意访问
防护机制原理
- 策略文件预先定义每个包的权限边界
- 依赖包仅能访问策略明确允许的全局变量
- 包间导入关系受策略控制
- 恶意代码在受限环境中无法执行敏感操作
19. Weaponizing Ads: How Google and Facebook Ads Are Used to Wage Propaganda Wars (medium.com)
数字广告平台沦为宣传战工具:以谷歌与Facebook为例
数字广告平台,尤其是谷歌广告和Facebook(Meta)广告,已被政府和政治团体大规模用于信息战,成为影响公众舆论、发起宣传攻势的新战场。付费广告能精准定向特定受众,保证信息触达,但其也可能被滥用,传播误导性信息或煽动性叙事,从而操纵舆论、削弱对手或攻击国际机构。
1. 数字广告作为信息战新前沿
与传统宣传手段不同,数字广告能通过付费直接触达目标人群,并利用精细的用户数据进行定向投放。虽然平台设有政策反对仇恨言论等有害内容,但近期案例表明,精心设计的虚假信息运动能够利用政策漏洞和执行不严的现状,将政府资助的叙事传达给数百万人。
2. 案例研究:以色列在加沙战争中的付费宣传行动
以色列政府在2023-2025年加沙战争期间,发起了一场规模空前的数字广告宣传攻势,旨在影响国际舆论、削弱其批评者。
- 针对联合国机构的行动:以色列政府通过谷歌广告,针对“联合国近东巴勒斯坦难民救济和工程处”等关键词购买广告。这些广告在外观上模仿联合国官方网站,但实际链接至以色列政府网页,指控联合国机构支持恐怖分子。其直接目的是切断对该机构的捐款和援助,在加沙人道主义危机最严重时期对其声誉造成打击。谷歌以未违反其具体政策为由,允许这些广告投放。
- 全球范围的广告轰炸:以色列在谷歌、YouTube、Facebook、Instagram乃至儿童游戏应用上大量投放广告。这些广告常包含情绪化或图形化内容,如在儿童游戏中弹出令人不安的战争画面。一个名为“Facts for Peace”的团体在一个月内花费超过37万美元在Facebook上投放广告,将支持巴勒斯坦等同于支持哈马斯,这些广告获得了数千万次播放。
- 与科技公司的深度合作:据报道,以色列政府办公室与谷歌签订了一份价值4500万美元的六个月合同,用于在全球范围内投放广告,淡化加沙的人道主义危机。同时,以色列也在X(原Twitter)等平台投入数百万美元进行推广。
3. 平台政策漏洞与双重标准
谷歌和Meta等平台的政策在实际执行中存在显著漏洞和不一致性。
- 谷歌的放任立场:谷歌的广告政策禁止仇恨言论和煽动暴力,但对一般性虚假信息没有全面禁令,除非涉及选举诚信等特定领域。这为利用广告传播可能有害但“技术上不违规”的宣传留下了空间。谷歌主要依赖用户举报,而非主动审核广告内容的真实性。
- Meta执行不一与透明度不足:Meta虽然要求政治广告标注“由……付费”,但其政策执行被指存在偏见。研究显示,亲巴勒斯坦的违规广告通常比亲以色列广告下架得更快。此外,Meta的广告透明度工具(如广告资料库)被批评为操作复杂、数据缺失,且关闭了CrowdTangle等有助于独立监督的工具。
- 对俄与对以的双重标准:在俄乌冲突期间,西方科技公司迅速对俄罗斯国家媒体实施广告禁令和限流。然而,对于行为类似的以色列国家宣传,平台却采取了更为宽容的态度,未实施类似限制措施,引发了关于政策执行是否受地缘政治因素影响的质疑。
4. 科技公司的责任与应对困境
科技公司面临着平衡商业利益、平台中立性与道德责任的难题。
- 利益冲突:冲突相关的广告支出能为平台带来可观收入,这可能削弱其主动监管有害内容的意愿。例如,2023年10月,仅Facebook上关于以巴冲突的广告支出估计就高达310万美元。
- 政策与监管呼吁:人权组织呼吁平台在冲突地区实施更严格的广告政策,例如暂停交战方国家的官方广告、对政治广告进行人工审核、以及禁止针对外国受众的战争宣传。欧盟的《数字服务法案》等新法规正在推动平台加强政治广告的透明度和问责制。
- 透明度与问责制:外界普遍要求平台改进广告透明度工具,向独立研究人员开放更多数据,并对广告投放逻辑进行外部审计,以便更好地监督和揭露滥用行为。
结论
政府将谷歌和Facebook广告武器化的现实,揭示了数字时代在真相、言论自由与企业责任之间面临的严峻挑战。科技公司不能再以“中立平台”自居而对被用于操纵舆论、破坏人道主义工作的宣传视若无睹。未来需要结合企业自律、独立监督和智能监管,确保数字广告工具不被滥用于助长冲突或侵蚀民主。在数字战争的迷雾中,如何守护真相,是平台与社会必须共同面对的课题。
20. Anthropic judge rejects $1.5B AI copyright settlement (news.bloomberglaw.com)
The federal judge overseeing Anthropic PBC’s proposed $1.5 billion copyright settlement is concerned class lawyers are striking a deal behind the scenes that will be forced “down the throat of authors.”
21. A new experimental Go API for JSON (go.dev)
Go 1.25 introduces experimental support for encoding/json/jsontext and encoding/json/v2 packages.
22. Ex-WhatsApp cybersecurity head says Meta endangered billions of users (www.theguardian.com)
Attaullah Baig, fired this year for alleged poor performance, said he had warned Mark Zuckerberg engineers had unaudited access to user data
23. Alterego: Thought to Text (www.alterego.io)
Introducing AlterEgo, the first near-telepathic interface, designed to make technology as intuitive as using your inner voice.
24. The HackberryPi CM5 handheld computer (github.com)
An ultra portable handheld Linux device using Raspberry CM5 unit as Core with 4" 720X720 TFT Touch display and the original blackberry keyboard - ZitaoTech/HackberryPiCM5
25. Microsoft doubles down on small modular reactors and fusion energy (www.techradar.com)
Nuclear energy is stepping into big tech’s future electricity strategies
26. Strong Eventual Consistency – The Big Idea Behind CRDTs (lewiscampbell.tech)
Missing the Forest for the Sequence Trees.
27. Building a DOOM-like multiplayer shooter in pure SQL (cedardb.com)
DOOMQL是一个完全使用纯SQL构建的类DOOM多人射击游戏项目,其目标是测试在单一数据库(CedarDB)中完成整个游戏逻辑和渲染流程的可能性。
核心架构与设计:
- 游戏状态存储:所有游戏数据(配置、地图、玩家、输入、精灵)均存储在SQL表中。修改游戏设置、添加玩家或直接作弊(如修改生命值)只需简单的SQL更新/插入操作。
- 渲染管线:通过一系列SQL视图实现,核心是递归光线追踪(Raycasting)算法。该算法从玩家视角发射光线,通过递归查询确定可见的地图瓦片和距离,再经过精灵投影、深度排序、遮挡处理等步骤,最终使用
string_agg函数将字符像素组装成文本行,构成3D视图。 - 游戏循环:由一个每秒执行约30次的Shell脚本驱动,其核心是一个SQL事务脚本。该脚本在事务中处理所有游戏逻辑更新,包括子弹移动、碰撞检测、伤害计算、玩家击杀与重生,确保了状态的一致性。
- 客户端:一个约150行的Python程序,负责捕获键盘输入并将其作为动作写入数据库,同时定期查询数据库获取渲染结果并显示。支持观察者模式。
关键实现与亮点:
- 多人游戏:利用数据库的事务隔离特性,自然实现了多人状态的同步与一致性视图。客户端只需通过指定玩家ID查询渲染视图即可获得个人视角。
- 性能:在128x64像素分辨率下,单玩家视图渲染约需33毫秒,可实现约30 FPS的流畅度,相较于DuckDB DOOM的8 FPS有显著提升。CedarDB的查询优化器能有效优化多玩家渲染。
- 可修改性与元游戏:由于所有状态均为数据,游戏运行时可通过直接执行SQL命令进行修改或作弊,这也带来了一种“创造性作弊”的元游戏体验。数据库的原子事务特性使得某些作弊手段(如删除已命中自己的子弹)无法生效。
项目总结: 作者发现,使用SQL表达游戏状态和逻辑非常自然,甚至类似于实体-组件-系统模式。虽然纯SQL渲染管线复杂且难以维护,但游戏循环和状态管理部分非常适合用SQL实现。项目证明了数据库系统在管理共享状态和处理并发方面的强大能力,使其能够兼任“游戏服务器”的角色。所有代码已在GitHub开源。
28. All clickwheel iPod games have now been preserved for posterity (arstechnica.com)
Finding working copies of the last few titles was an "especially cursed" journey.
29. The elegance of movement in Silksong (theahura.substack.com)
Pain never felt this good
30. Using Emacs Org-Mode With Databases: A getting-started guide (gitlab.com)
GitLab.com
31. Racintosh Plus – Rackmount Mac Plus (www.identity4.com)
32. An attacker’s blunder gave us a look into their operations (www.huntress.com)
攻击者操作细节分析总结
事件背景与更新
Huntress公司的SOC(安全运营中心)分析师在攻击者于其主机上安装Huntress代理后84分钟内,便确认了恶意指标(包括机器名称、原有恶意软件及尝试入侵受害账户的行为)并强制卸载了该代理。研究确认,该主机此前已涉及多起安全事件。文章旨在透明化调查过程,并分享攻击者的战术,以教育防御者。
核心发现
攻击者因寻找其他安全产品(如Bitdefender)时点击了Huntress的谷歌广告,并错误地在自身操作主机上安装了Huntress代理进行试用。这使得Huntress得以通过其浏览器历史记录和EDR遥测数据,获得罕见的直接视角,观察其日常操作。
攻击者方法论
- 利用AI提升效率:使用Make.com自动化工作流,并集成Telegram机器人来接收“线索”和管理流程。还探索了多种AI工具用于数据生成和内容撰写。
- 寻找攻击工具:通过Censys搜索公开的Evilginx(中间人攻击框架)实例并尝试访问。主机上还发现了GraphSpy、BloodHound、TeamFiltration等工具的安装或搜索痕迹。
- 研究侦察:
- 目标选择:重点研究银行、房地产公司、软件开发公司等,使用BuiltWith、ReadyContacts、InfoClutch等工具分析网站技术栈、客户名单和市场份额。
- 信息收集:大量使用Google Translate翻译银行等目标网站内容(用于疑似钓鱼消息制作),并利用urlscan进行网站侦查。
- 数据抓取:研究通过Apify、Axiom等工具抓取Telegram群组数据。
- 使用代理服务:频繁访问LunaProxy、Nstbrowser等住宅代理和反检测浏览器服务,以隐藏其真实IP和恶意活动。
- 访问暗网市场:对STYX Market(一个销售窃取日志、被盗凭证等商品的暗网论坛)表现出兴趣并注册账号。
EDR活动中的关键操作
Huntress观察到攻击者在安装其代理后的详细活动,包括:
- 尝试使用ROADtools等工具,针对Microsoft Entra主刷新令牌进行攻击。
- 受挫后,转向研究相关技术文章(如Dirk-jan Mollema的博客)以寻找解决方案和脚本。
- 操作涉及已泄露受害者的Cookie文件。
工作模式与时间投入
- 高强度工作:在2025年5月29日至7月9日期间,攻击者几乎每日活跃,部分日子工作时长达12-14小时。
- 研究重点转移:从初期重点研究尼日利亚的银行和加密货币公司,逐渐转向更广泛的金融机构、攻击基础设施和各类目标组织。
结论
此次事件提供了对威胁行为者工作流程、工具集和研究模式的深度洞察。Huntress发布这些详细信息,旨在帮助防御者理解攻击者的后端操作方式,以及他们感兴趣的不同组织类型、工具和平台。
33. Google to Obey South Korean Order to Blur Satellite Images on Maps (www.barrons.com)
34. YouTube is a mysterious monopoly (anderegg.ca)
Yesterday I saw this Bluesky post from Adrian Black. He runs Adrian’s Digital Basement, a retro computer repair channel I really enjoy. In the post, he points out a trend I didn’t know about: YouTube views seem to have fallen off a cliff recently.
35. How to Use Claude Code Subagents to Parallelize Development (zachwills.net)
Claude Code的子代理功能允许开发者将复杂项目拆分为多个并行任务,通过创建独立的Claude实例同步或异步执行。以下是关键要点:
核心概念
- 子代理:通过
claude code命令行工具启动的独立Claude会话,可专注于特定开发任务 - 并行化:多个子代理同时运行,适用于可独立完成的模块化任务(如前端/后端开发、测试编写等)
- 父代理协调:主Claude实例负责任务分配、整合结果和整体协调
创建与管理
- 启动子代理:在代码库目录中运行
claude code subagent命令,可指定任务描述和上下文文件 - 任务分配:通过命令行参数传递具体任务,例如处理特定模块或功能
- 上下文隔离:每个子代理在独立环境中工作,避免代码冲突,通过文件系统与父代理共享结果
典型工作流程
- 任务分析:父代理识别可并行处理的任务单元
- 启动多个子代理:每个代理接收明确的任务指令和相关上下文
- 并行执行:子代理独立完成编码、测试等操作
- 结果整合:父代理收集各子代理输出,解决冲突,整合最终代码
应用场景示例
- 多模块开发:同时开发不同API端点或前端组件
- 代码重构:并行处理不同类或服务的重构任务
- 测试生成:为不同模块同步编写单元测试
- 跨平台适配:同时修改不同操作系统兼容性代码
注意事项
- 任务划分需确保模块间低耦合,减少合并复杂度
- 合理设置子代理数量,避免资源过度占用
- 重要变更建议先在单个代理验证后再并行扩展
- 使用版本控制管理子代理生成的代码变更
优势与限制
- ✅ 加速大型项目开发,提高多任务处理效率
- ✅ 通过专注特定任务提高单个代理工作质量
- ⚠️ 需要仔细设计任务接口以避免集成问题
- ⚠️ 并行开发增加代码合并和冲突解决的复杂度
该功能特别适合具有清晰模块边界的项目,能有效利用Claude的并行处理能力提升开发速度,但需要开发者具备良好的任务分解和集成管理能力。
36. DuckDB NPM packages 1.3.3 and 1.29.2 compromised with malware (github.com)
GitHub is where people build software. More than 150 million people use GitHub to discover, fork, and contribute to over 420 million projects.
37. YouTube views are down (don't panic) (www.jeffgeerling.com)
September 15 update: @YouTubeInsider confirmed that the issue is related to viewers who have adblockers enabled—YouTube's been in an arms race with ad blocking tools, and the fallout is a substantial cut in counted views for creators who have a large audience watching from desktop.
Many YouTube content creators, myself included, noticed something in early to mid-August: views were down. After being on the platform since 2006 (though for me, not being a 'professional' YouTuber until about 5 years ago), I'm used to seasonal dips, adjustments after new tweaks to the algorithm or layout/design changes.
38. Weird CPU architectures, the MOV only CPU (2020) (justanotherelectronicsblog.com)
I like CPU architectures, especially weird, interesting and unusual ones. For example, the Intel iAPX 432 is still something I would love to play around with. Recently, I realized that a working CPU can be made with just a simple Move instruction. For this to work, everything needs to be memory mapped. The ALU, program […]
39. I don't like curved displays (blog.danielh.cc)
where my words occasionally escape /dev/null
40. How to become a pure mathematician or statistician (2008) (hbpms.blogspot.com)
a List of Undergraduate and Basic Graduate Textbooks and Lecture Notes
- the blog
41. Hallucination Risk Calculator (github.com)
Contribute to leochlon/hallbayes development by creating an account on GitHub.
43. Windows-Use: an AI agent that interacts with Windows at GUI layer (github.com)
An AI Agent that interacts with Windows OS at GUI level. - CursorTouch/Windows-Use
44. America is in a serious jobs slump (www.cnn.com)
Employment gains were so weak in the July jobs report that President Donald Trump fired the head of the bureau charged with collecting the data, baselessly claiming it was rigged.