2025-10-07

42 篇热帖

1. Qualcomm to acquire Arduino (www.qualcomm.com)

摘要:高通收购Arduino,加速开发者接入其先进计算与AI技术

核心内容:

  • 收购主体:高通(Qualcomm)宣布收购开源硬件平台Arduino
  • 主要目的:通过此次收购,高通旨在加速全球开发者对其领先计算与人工智能技术的访问和应用
  • 关键信息:该信息来源于高通官方发布的新闻稿,标题为“高通收购Arduino——加速开发者对其领先计算和AI的接入”。
  • 相关产品:新闻配图显示为Arduino Uno Q,这可能是一款与收购相关或预示未来集成方向的产品型号。

总结: 此次收购标志着高通与广泛用于物联网、教育和原型开发的开源硬件生态Arduino的结合。其战略意图明确,即通过Arduino庞大的开发者社区和易用平台,降低高通先进芯片与AI技术的使用门槛,进一步扩大其在边缘计算和智能设备领域的影响力。

2. Ladybird passes the Apple 90% threshold on web-platform-tests (twitter.com)

文章标题表明Ladybird浏览器在web-platform-tests测试中达到了苹果90%的通过阈值。然而,提供的文章内容实际上是一个错误提示信息,指出加载过程中出现了问题,并建议用户可能因隐私相关扩展导致在x.com上出现问题,建议禁用这些扩展后重试。文章标题与提供的实际内容不匹配,因此无法基于有效内容进行进一步总结。

4. Vibe engineering (simonwillison.net)

Vibe engineering 概要

核心概念与术语提出

文章首先明确了 “vibe coding” 的定义:一种完全由提示词驱动、快速随意且不负责任的AI编程方式,不关注代码实际如何工作。为填补术语空白,作者(Simon Willison)提出了与之对立的 “vibe engineering” 概念,用以描述资深专业人士在利用大型语言模型(LLM)加速工作的同时,依然对其产出的软件保持完全负责的严谨工作方式。作者后来补充指出,“Agentic Engineering” 这一术语正逐渐成为主流。

现状:与LLM协作的挑战与编码代理的崛起

作者指出,在实际项目中高效使用LLM具有相当难度,需要深入理解工具、规避陷阱,并对人类参与者的贡献提出了更高要求。编码代理(如Claude Code、Codex CLI、Gemini CLI)的兴起,使LLM能够迭代式地编写、测试和修改代码以达成目标,极大提升了其实用价值。许多经验丰富的工程师开始并行运行多个代理以同时处理多项任务,作者本人实践后发现效果显著,但也令人精神疲惫。

vibe engineering vs. vibe coding

作者强调,“vibe engineering” 与 “vibe coding” 有本质区别。后者是将简单、低风险的任务外包给AI,只要表面能工作就接受结果。而前者是与编码代理迭代协作,以产出生产级、可长期维护的高质量代码,这是一个完全不同且更严谨的过程。

vibe engineering 的关键实践与能力要求

文章的核心观点是,LLM和编码代理的使用高度奖励已有的优秀软件工程实践。作者列举了一系列资深工程师需要具备并放大的能力:

  1. 自动化测试:拥有稳健全面的测试套件能让代理游刃有余;否则代理可能声称功能已实现却未经测试,且新更改可能悄悄破坏其他功能。测试驱动开发(TDD)尤其有效。
  2. 预先规划:在编码前制定高层计划,并与代理共同迭代该计划,至关重要。
  3. 详尽的文档:如同人类,LLM一次只能关注代码库的子集。完善的文档能让代理无需阅读全部代码即可调用其他部分的API,甚至可基于文档直接构建实现。
  4. 良好的版本控制习惯:能够撤销错误和追溯变更历史在代理工作时更为关键。LLM本身精通Git(如使用 git bisect),可善加利用。
  5. 有效的自动化基础:持续集成、代码格式化/静态检查、预览环境部署等自动化流程同样能使编码代理受益。LLM也便于编写自动化脚本。
  6. 代码审查文化:高效且乐于进行代码审查是与LLM愉快合作的前提。
  7. 奇特的管理能力:管理编码代理的经验与管理人类合作者惊人相似——需要提供清晰指令、确保上下文充足、并给出可操作的反馈,尽管不必担心情感伤害。
  8. 优秀的手动质量保证(QA)能力:除自动化测试外,需善于手动测试并挖掘边缘案例。
  9. 强大的研究能力:为任何编程问题寻找最佳解决方案并验证可行性,依然是解锁代理能力的前置条件。
  10. 预览环境部署能力:能安全地预览代理构建的功能,便于审查并降低直接上线风险。
  11. 判断外包边界:对AI能力有持续进化的直觉,明确知道哪些任务可外包,哪些需手动处理。
  12. 更新估算技能:AI辅助编程使得项目时间估算变得更为复杂,依赖新的未知因素。

结论:专业能力是基石

作者总结道,要真正发挥这些新工具的潜力,工程师必须处于专业技能的巅峰。他们的角色超越了写代码,涵盖了研究、架构设计、规范制定、成功标准定义、代理流程设计、QA规划、管理“数字实习生”团队以及大量代码审查。这些恰恰是资深软件工程师已有的特质。AI工具并非取代专业技能,而是放大了现有的专业知识和经验

术语选择的原因

尽管作者承认 “vibe engineering” 听起来可能有点傻,且“vibes”一词已略显陈旧,但他有意用它来与贬义的 “vibe coding” 形成鲜明对比,强调这是一种更难、更复杂、更负责任的AI协作软件开发方式。这个术语的自相矛盾性(“氛围”与“工程”的结合)正是其设计特点,意在引发思考并易于传播。作者也表明,在探索AI生产力工具的最佳方式时,我们无需过于严肃。

5. No account? No Windows 11, Microsoft says as another loophole snaps shut (www.theregister.com)

微软关闭Windows 11安装漏洞,强制要求Microsoft账户

微软正在关闭一个流行的漏洞,该漏洞允许用户在安装Windows 11时跳过Microsoft账户设置。这一变化已出现在最新的Insider构建中,预计很快会纳入正式版本。

关键变化

  • 漏洞移除:本地命令如start ms-cxh:localonly不再有效,该命令以前可用于绕过Microsoft账户设置。
  • 影响版本:变化首先在Windows 11 Insider Preview Build 26220-6772中出现,表明将逐步推向生产版本。

微软的理由

  • 设置完整性:微软指出,这些“已知机制”虽然被用于绕过账户设置,但也会无意中跳过关键设置屏幕,可能导致设备配置不完整。
  • 用户体验:强制使用互联网和Microsoft账户是为了确保设备正确设置,从而增强安全性和用户体验。

受影响设备

  • 非托管设备:仅影响个人或非托管设备;企业或托管设备不受此变化直接影响。

历史背景

  • 持续努力:这是微软与用户“打地鼠”游戏的一部分。此前在2025年3月,微软已移除bypassnro.cmd脚本,该脚本允许无需互联网连接即可完成设置,当时以“增强安全性和用户体验”为由。
  • 漏洞关闭:微软持续致力于关闭绕过在线服务的漏洞,包括使用本地账户的方法。

替代方案和展望

  • 现有方法:仍有一些更复杂的方式可避免Microsoft账户要求,例如通过无人值守安装,但这些方法对普通用户更具挑战性。
  • 未来趋势:微软明确表示将继续关闭类似漏洞,使得在非托管设备上无账户使用Windows 11越来越困难。
  • 用户选择:文章暗示,如果用户不愿使用Microsoft账户,可能需要考虑其他操作系统作为替代。
6. IKEA Catalogs 1951-2021 (ikeamuseum.com)

IKEA目录:跨越70年的时代镜像

IKEA目录是品牌核心刊物,于瑞典Älmhult制作,发行70余年。其数量、内容与发行范围不断扩展,始终精准捕捉时代精神,从创始人Ingvar Kamprad亲自撰写文本的1950年代,到风格前卫的1970年代,再到精简化的2000年代。2021版目录是其最后一期纸质印刷版本。

目录的数字化与博物馆使命 为回应公众对历年目录的好奇,并更广泛地传播IKEA的故事,IKEA博物馆将所有目录进行了数字化。此举旨在让每个人都能查阅这些“时光胶囊”——它们不仅反映了瑞典,乃至近数十年来国际社会对家居设计和日常生活的看法。目前数字化的是历史最悠久的瑞典目录,未来计划扩展到更多国家和语言的版本。

目录内容的演变 目录风格随时代显著变化,如同一部家居变迁史:

  • 1950-60年代:图片中几乎无人,绝无儿童出现。
  • 1970年代:儿童在家玩耍的场景增多,可见成人吸烟,墙上甚至出现政治海报。
  • 1980年代:流行闪亮面料等奢华材质。
  • 1990年代:家居风格更趋简约,明显受斯堪的纳维亚传统影响。 浏览这些目录,仿佛进行一次时光旅行。

关于目录的常见问题

  1. 目录展示了全部产品吗? 从不。1970年代至今的目录仅展示约30%-50%的产品系列,通常省略较小的纺织品、装饰品、灯具以及临时系列。年代越早,目录覆盖的产品比例越高。

  2. 能否查询历史产品信息? 可以,但年代久远的产品信息可能难以查找。博物馆可提供帮助,但无法保证。旧目录中的产品文本相当详细,且支持按名称和类型搜索。网站也有不断增加的产品故事。

  3. 为何始于1951年? IKEA成立于1940年代,但首本目录始于1951年。此前它是邮购公司,销售钢笔、钟表等非家具商品,通过名为ikéa-nytt的小册子展示产品。1948年秋起引入家具,至1950年,ikéa-nytt的18页中已有6页为家具。1951年目录则完全专注于家居,不再有钢笔等商品。

  4. 能否查阅实体旧目录? 博物馆仅保留少量实体档案用于永久保存,需减少翻动以维持良好状态。公众可通过在线和博物馆内的显示器,无限次浏览数字化版本。

7. Apps SDK (developers.openai.com)

当前应用提交流程是公开分发的主要途径。发布已批准的应用程序后,它将在ChatGPT应用商店中可用,同时OpenAI会为Codex分发创建一个插件。目前,插件仅限于在Codex中使用。自助插件发布功能即将推出。更多详细信息可参考应用提交指南构建插件指南

8. Canadian bill would strip internet access from 'specified persons', no warrant (nationalpost.com)

加拿大自由党政府正在推进一项名为C-8的法案,其中包含一项备受争议的条款:允许政府无需获得搜查令,便可单方面切断“特定人员”的互联网接入。

法案核心条款与程序 该法案旨在修改《电信法》,赋予政府权力命令罗杰斯或研科等电信提供商停止为任何“特定人员”提供服务。做出这一命令仅需联邦工业部长(现任梅兰妮·乔利)与公共安全部长(现任加里·阿南达桑加里)协商后,下达个人命令即可。整个过程无需事先申请搜查令。只有在命令下达之后,联邦法院才能对该决定进行司法审查。

政府理由 政府将C-8法案定位为应对“前所未有的网络威胁”的工具。公共安全部长阿南达桑加里在议会中为该法案辩护,称其旨在打击黑客和勒索软件欺诈者,以及那些窃取信息、危及国家关键系统安全的“敌对国家行为者”。法案文本中简单说明,采取此类措施可能是为了“保护加拿大的电信系统免受任何威胁,包括干扰、操纵、破坏或降级”。

批评与担忧 批评者主要指出,该法案赋予联邦政府在目标人物不知情的情况下,秘密收集互联网数据的巨大新权力。加拿大公民自由协会发布评论称,C-8法案将授权联邦政府秘密命令电信提供商“做任何事或不做任何事”,且没有明确限制,这可能被用来向私营公司施加监控义务并削弱加密标准。

与过往立场的矛盾 值得注意的是,这项立法与加拿大政府长期以来的公开立场形成鲜明对比。加拿大是“自由在线联盟”的创始成员,该国际组织致力于维护自由开放的互联网接入。加拿大曾多次签署联合声明,谴责国家对互联网的控制。例如,2019年,加拿大签署声明谴责“国家支持的阻碍自由表达、和平集会和结社导致的在线公民和民主空间收缩”。就在三年前,加拿大政府还发布过声明,称“个人在线下享有的权利和自由也必须在网上受到保护”,并承诺保护“互联网自由”。

更广泛的互联网管控背景 C-8法案是自由党政府近期推出的一系列管控加拿大互联网措施中的最新一项。此前,2023年通过的《在线新闻法》要求社交媒体公司为在其平台上分享的新闻链接向新闻机构付费,其显著后果之一是Facebook直接禁止了在加拿大分享新闻链接。几乎同时通过的《在线流媒体法》将加拿大的内容管控延伸至大部分网络内容,包括YouTube、Netflix和加拿大播客等,现在都受到联邦关于何为“加拿大内容”以及如何人为推广这些内容的规定约束。

目前,普通公民尚无机制可被政府命令切断互联网服务。最接近的类比可能是在保释条件下,被指控的罪犯可能被命令不得拥有“能够接入互联网的设备”。

9. OpenZL: An open source format-aware compression framework (engineering.fb.com)

OpenZL 是一个新的开源数据压缩框架,专为结构化数据提供无损压缩,旨在结合专用压缩器的性能和单一可执行文件的维护简便性。

核心问题与设计目标 通用压缩器(如 zstd)在处理结构化数据时未能充分利用数据形状,导致压缩收益损失。而定制化压缩器虽能提升性能,但会导致维护大量压缩器/解压器的负担。OpenZL 的目标是解决这一矛盾,使用户能够以接近格式专用压缩器的性能进行压缩,同时仅需维护和部署一个通用的解压器。

工作原理与关键流程 OpenZL 通过将数据结构明确化来实现高效压缩:

  1. 描述结构:用户通过简单数据描述语言或自定义解析函数向 OpenZL 提供数据格式描述。
  2. 离线训练:基于描述,训练器(离线优化组件)通过对变换选择和参数进行带预算的搜索,自动生成一个优化的压缩计划。该计划可以提供多种速度/压缩比的权衡配置。
  3. 编码与解码
    • 编码时,压缩计划被转换为一个具体的解码配方,并嵌入到数据帧中。
    • 解码时,通用解码器直接读取并执行数据帧中嵌入的配方,无需任何外部信息。这意味着即使压缩计划更新,解压器也无需改变。

核心优势

  1. 高性能:通过显式利用数据结构(如将数组结构转为结构数组),并为每个同质数据流匹配最优压缩策略(如差分编码、转置、分词等),OpenZL 能在保持甚至提升速度的同时,实现显著高于通用压缩器的压缩比。
  2. 单一解压器:所有使用 OpenZL 压缩的数据文件,无论其压缩配置如何,都可以使用同一个二进制解压器解压。这带来了多重好处:
    • 安全与审计:只需审计一个具有固定不变性的二进制文件。
    • 车队级更新:解压器的任何改进(性能、安全)都将惠及所有历史数据文件。
    • 运维简便:统一的 CLI、指标和更新流程。
    • 持续训练与兼容性:可以在系统运行期间不断训练和推出改进的压缩计划,新旧数据均可被同一解压器处理,保证向后兼容。

适应变化与灵活配置

  • 重训练:通过定期使用数据样本更新压缩计划,以适应数据结构和内容的变化。
  • 运行时控制点:压缩配置可包含轻量级统计信息检查点,在编码时根据数据统计特性(如重复度、直方图偏移等)动态选择最优分支,而无需进行无界搜索。

适用场景与结果

  • OpenZL 最适合向量、表格或树状结构化数据(如时间序列、机器学习张量、数据库表)。当它能够理解文件格式时,可在压缩比和速度上带来巨大提升。
  • 当输入数据无明显结构(如纯文本)时,OpenZL 会回退至 zstd。
  • 文章中的示例和基准测试显示,在处理如 SAO(星表)、Parquet、CSV 等结构化数据集时,OpenZL 在压缩比、压缩速度和解压速度上均优于 zstd、xz 等通用压缩工具。

未来发展与社区参与

  • 计划扩展:扩展变换库以支持更多数据类型(如时间序列、网格数据)、提升编解码器性能、改进训练器以更快找到更优计划、以及增强 SDDL 对嵌套格式的描述能力。
  • 社区贡献:欢迎社区成员尝试压缩自有结构化数据、贡献代码以优化引擎或添加变换、提交新数据集至基准测试工具、或参与安全性和可靠性改进。
10. A 12,000-year-old obelisk with a human face was found in Karahan Tepe (www.trthaber.com)

在土耳其Karahantepe的考古挖掘中,首次出土了一座约12,000年历史、刻有人脸的T形石碑,这是Taş Tepeler项目的一部分。该项目由文化和旅游部领导,2025年在10个区域进行挖掘,旨在探索人类定居生活和信仰演变的早期历史。

文化和旅游部长Mehmet Nuri Ersoy宣布了这一发现。此前,Göbeklitepe及周边发现的T形石碑上常见手臂和手的浮雕,暗示其象征人类意义。但Karahantepe的石碑首次在T形结构上直接描绘人脸,被视为新石器时代研究的里程碑。

石碑人脸具有尖锐轮廓、深眼窝和方形鼻子,风格与Karahantepe既往人像类似。这一发现不仅体现新石器时代人类的工艺技巧,还揭示其自我表达和抽象思维能力。T形石碑长期被认为具象征性,此次发现证实其代表人类,并首次通过面部特征进行直接描绘。

Taş Tepeler项目追溯至约12,000年前,致力于记录人类向定居生活过渡及信仰转型的过程。作为安纳托利亚东南部的关键考古项目,它持续为人类最早历史阶段提供新见解。

11. The AI bubble is 17 times the size of the dot-com frenzy and four times subprime (www.morningstar.com)

AI泡沫规模评估与市场影响分析

根据宏观经济策略合伙公司(The MacroStrategy Partnership)的研究,当前人工智能投资存在严重泡沫,其规模是2000年互联网泡沫的17倍,甚至是2008年全球房地产(次贷)危机的4倍

核心论点与依据

  1. 资本错配的根源:分析师借鉴了19世纪经济学家克努特·威克塞尔的理论,认为当企业债务成本显著高于名义GDP增长时,资本配置才高效。然而,美联储长期量化宽松政策导致企业债利差过低,刺激了大量非理性投资。他们计算的“威克塞尔缺口”涵盖了AI、房地产、NFT和风险投资等多个领域的资本错配部分。
  2. 大规模语言模型(LLMs)的局限
    • 实际效果不佳:研究指出LLMs的任务完成率不稳定且普遍较低(如一个软件公司案例中仅为1.5%-34%),企业采用率已开始下降。实际测试(如生成特定棋局图像)也显示其能力远未达预期。
    • 已触及扩展瓶颈:尽管模型训练成本呈指数级增长(例如ChatGPT-3、4、5的成本从5000万升至50亿美元),但性能提升却迅速递减,最新版本并未显著优于前代。同时,模型间缺乏护城河,竞争对手容易追赶。
    • 商业模式困境:LLMs难以创造具有独特商业价值的应用,多属通用或受限于版权的再消化内容;广告效果有限;训练成本高昂而收益锐减;定价能力弱;重度用户带来的计算成本往往超过其订阅费。

结论与影响

分析师预测,随着数据中心建设和财富效应停滞甚至逆转,本已放缓的经济将陷入衰退,重演2001年互联网泡沫破裂后的景象。这可能使经济陷入通缩冲击,并让美联储和特朗普政府的刺激政策效果大打折扣,导致更长的复苏周期,类似1990年代储贷危机后的情况。政府或需采取特殊措施,如引导美元贬值以促进就业回流。

投资建议

该机构建议:

  • 超配:资源类资产、新兴市场(特别是印度和越南)。
  • 低配:AI及平台类公司。
  • 具体头寸:做多黄金矿业股、短期美国国债、VIX波动率指数,以及日元兑除美元外的多数货币。

市场动态概览

  • 主要指数:标普500指数创下年内第30个历史新高,纳指及黄金价格同步走高。
  • 个别公司:苹果因折叠屏iPhone预期过高被下调评级;应用材料公司称新出口限制将影响其未来五个季度收入;贝莱德旗下公司正洽谈收购一家数据中心公司。
  • 数据关注:投资者关注美国供应管理协会服务业指数及其就业分项。芝加哥联储报告预估9月失业率维持在4.3%。
  • 盈利警示:尽管标普500公司利润增长,但涵盖所有企业的政府公司利润指标在前两季度均为负。历史相关性表明,此分歧难以持续,暗示标普500盈利预期可能过于乐观,未来几个季度存在下行风险。

(摘要基于MarketWatch文章内容整理,不包含个人观点或外部信息)

12. The day my smart vacuum turned against me (codetiger.github.io)

内容总结:

本文作者讲述了其 iLife A11 智能吸尘器因阻止数据收集而被制造商远程禁用的经历,并详细描述了逆向工程过程和发现的技术细节。

主要点:

  • 初始发现:作者监控智能吸尘器网络流量,发现设备持续向制造商服务器发送日志和遥测数据,未获得用户同意。
  • 问题触发:作者仅阻止了数据记录的 IP 地址,未影响固件更新或其他功能,但设备随后出现故障,无法启动。
  • 服务循环:设备多次送修,在服务中心正常工作,但返回作者家中后再次失效。保修期过后,服务中心拒绝服务,设备变砖。
  • 逆向工程:作者拆卸设备,发现硬件包括 AllWinner A33 SoC 运行 TinaLinux 操作系统、GD32F103 微控制器管理电机和传感器、Lidar、陀螺仪等。硬件类似小型计算机,具有隐私风险。
  • 技术突破:通过 USB 调试端口,作者获得 Android Debug Bridge 无密码 root 访问权限。设备运行专业级 SLAM 系统 Google Cartographer,用于构建家庭 3D 地图。
  • 关键发现:在启动脚本中,作者发现制造商通过远程命令禁用设备(日志显示“cmd_id 501”命令)。设备默认安装 rtty 软件,允许制造商远程执行任意命令。
  • 根本原因:当作者阻止服务器通信时,设备尝试连接备用 IP,导致反复失效。服务中心连接开放网络后,设备被远程恢复,但作者家庭防火墙再次阻断,引发禁用。这被视为制造商对阻止数据收集的“报复”。
  • 解决方案:作者重新控制设备,使其完全本地运行,无云连接。他记录了所有发现,并分享逆向工程细节。
  • 教训:智能设备常缺乏用户控制,低成本可能意味着安全隐患。“便利”可能伴随隐藏监控。建议使用独立 WiFi 网络 for IoT 设备,并视其为“陌生人”。

关键功能:

  • 设备硬件设计:集成 SoC、微控制器、传感器,支持自主导航。
  • 软件系统:基于 Linux,运行 Google Cartographer 进行 SLAM 映射。
  • 远程控制能力:制造商通过 rtty 软件实现远程 root 访问和命令执行。
  • 隐私问题:设备在未经同意下收集并传输用户数据,且可远程禁用。

结论: 作者的经历揭示了智能设备可能存在的后门和滥用风险,同一硬件(3irobotix CRL-200S)用于多个品牌设备,普遍存在类似漏洞。通过逆向工程,作者重新获得设备自主权,强调用户对“智能”设备的所有权和控制问题。

13. California law forces Netflix, Hulu to turn down ad volumes (www.politico.com)

加州通过新法律,要求流媒体平台(如Netflix、Hulu)的广告音量不得超过其前后节目内容的音量。该法案(SB 576)由州参议员汤姆·安伯格提出,灵感源于其立法主任扎克·凯勒的经历——流媒体广告的巨大噪音曾多次惊醒他熟睡的女儿。

该法案最初遭到好莱坞巨头(如迪士尼、派拉蒙、亚马逊、Netflix等)的反对,他们认为流媒体广告来源多样,难以控制,并希望自行解决。但经过修改,法案增加了保护条款,将执法权归属州检察长办公室,避免流媒体平台面临私人诉讼,从而获得了这些企业的接受。最终,该法案在加州议会获得了两党的压倒性支持,并将于2026年7月生效。

14. The World Trade Center under construction through photos, 1966-1979 (rarehistoricalphotos.com)

世贸中心建设历史摘要(1966-1979)

项目背景与规划 世贸中心项目在1960年代初期由大卫·洛克菲勒等人推动,旨在通过贸易设施和城市更新来复兴曼哈顿下城的一个衰落商业区。项目由纽约和新泽西港务局开发。最初计划建在曼哈顿东区,但因两州政府未能达成一致,最终选址在曼哈顿下西区的无线电城原址。

设计与建筑师 经过广泛遴选,山崎实(Minoru Yamasaki)的公司被选为设计建筑师。山崎实当时以服务于城市更新和大型混合用途项目而闻名,其设计风格为现代主义,但注重材料(如木材、光滑混凝土、不锈钢)与形式的柔和感。最终设计方案于1964年1月18日公布。

建筑设计特点

  • 双塔平面呈方形,每边长约207英尺(63米)。
  • 办公室窗户狭窄(仅18英寸宽),覆盖建筑外表的30%,这一设计部分源于山崎实的恐高心理,也使得建筑从远处看如金属实心体。
  • 建筑立面覆盖铝合金。
  • 设计一度受到美国建筑师协会等团体的美学批评。

建设过程与工程挑战

  • 建设始于1965年,1966年8月5日正式动工。1号楼于1970年、2号楼于1972年投入使用。
  • 施工团队面临前所未有的工程挑战,首次在美国使用“泥浆墙”技术作为基础墙。
  • 基础深入基岩平均70英尺。开挖了120万立方码土方,为曼哈顿在哈德逊河岸创造了23.5英亩新土地。
  • 材料消耗巨大:包括19.2万吨钢材、42.5万立方码混凝土、43,600扇窗户等。
  • 施工期间平均有3,500人在现场工作,总计约10,000人参与,期间有60人因工死亡。

建筑规模与影响 整个建筑群为曼哈顿下城增加了超过1,000万平方英尺的办公空间、酒店套房、成功的零售中心、繁忙的交通枢纽等。约50,000人在此工作,每日吸引数万访客。

历史事件

  • 1993年爆炸案:恐怖分子在地下车库引爆强力炸弹,造成6人死亡,但建筑结构完好。
  • 2001年9月11日恐怖袭击:两架飞机分别撞击两座塔楼,导致其最终倒塌。分析表明,由于撞击高度和角度不同,两座塔楼的结构损伤和渐进倒塌机制存在差异。
15. Deloitte to refund the Australian government after using AI in $440k report (www.theguardian.com)

德勤因一份价值44万澳元的政府报告中存在多处错误,且承认使用了生成式人工智能(AI)辅助撰写,将向澳大利亚联邦政府提供部分退款。澳大利亚就业与职场关系部已确认,德勤将根据合同退还最后一笔款项。

该报告由德勤受雇于就业与职场关系部撰写,旨在审查澳大利亚福利系统中用于自动化处罚(即“针对性合规框架”及其IT系统)的框架。报告于2024年12月委托,并于2025年7月首次发布。

报告指出了框架中存在的广泛问题,包括规则与立法之间缺乏“可追溯性”以及“系统缺陷”,并指出该IT系统“基于对参与者不合规的惩罚性假设”。

然而,悉尼大学学者克里斯托弗·拉奇博士指出报告中存在AI“幻觉”现象,即AI模型可能填补空白、误解数据或猜测答案。报告被发现包含多个错误,例如不存在的学术引用和虚构的法院案例引用(如“Deanna Amato诉联邦案”)。

在澳大利亚《金融评论报》于8月报道这些错误后,德勤在就业与职场关系部的网站上重新上传了报告的修订版。修订版仅修正了“少量参考文献和脚注”,并新增了一个附录,说明报告的某部分使用了生成式AI工具(Azure OpenAI GPT-4o),该工具由部门提供许可并托管。

德勤坚称,修订并未影响报告的实质内容、结论和建议。公司发言人表示“此事已与客户直接解决”。拉奇博士也谨慎地指出,鉴于报告结论与其他广泛证据一致,不应将整份报告视为“不合法”。

澳大利亚工党参议员黛博拉·奥尼尔批评德勤存在“人类智能问题”,认为“看起来是让AI承担了重任”。她表示部分退款像是对不合格工作的“部分道歉”,并建议采购方不如直接订阅ChatGPT服务,而非聘请大型咨询公司。

16. One to two Starlink satellites are falling back to Earth each day (earthsky.org)

根据天体物理学家乔纳森·麦克道尔的分析,目前每天有1到2颗星链卫星坠落地球,未来随着低轨卫星星座全面部署,预计每天坠落数量可能增至5颗

卫星坠落的主要原因包括:

  • 卫星寿命到期(通常为5-7年)。
  • 太阳活动增强导致高层大气膨胀,增加大气阻力,加速卫星轨道衰减。
  • 技术故障(例如推进系统异常),可能导致卫星提前坠落。

潜在风险与影响

  • 若低轨卫星数量持续增加且管理不当,可能引发凯斯勒综合征(卫星碰撞产生连锁反应,形成大量太空碎片)。
  • 卫星重返大气层时烧蚀产生的金属粒子(如铌、铪、铜等)可能对平流层大气化学组成产生未知影响,包括潜在的臭氧层破坏风险。

现状与展望

  • 目前在轨星链卫星已超过8000颗,且多家公司和国家正加速部署低轨卫星。
  • 部分卫星坠落事件被公众观测到,但大多数坠落发生在海洋或无人区。
  • 相关研究正在持续进行中,以评估卫星重返对大气环境的长期影响。
17. OpenAI ChatKit (github.com)

OpenAI ChatKit

OpenAI ChatKit 是一个功能齐全的框架,旨在帮助开发者快速构建高质量、由 AI 驱动的聊天体验。它提供开箱即用的生产就绪聊天界面,让开发者无需重新发明轮子,就能为应用添加先进的对话智能。

核心特点

  • 深度 UI 定制:使聊天界面能与应用程序无缝融合。
  • 内置响应流:支持交互式、自然的实时对话。
  • 工具与工作流集成:可视化展示智能体(Agent)操作和思维链推理过程。
  • 丰富交互组件:可在聊天窗口内直接渲染各类交互式小部件。
  • 附件处理:支持文件与图片上传。
  • 线程与消息管理:便于组织和管理复杂对话。
  • 来源标注与实体标签:提升回答的透明度并提供参考依据。

技术优势

ChatKit 是一个框架无关的即插即用解决方案。开发者无需自行构建自定义 UI、管理底层聊天状态或拼凑各项功能。只需添加 ChatKit 组件,配置客户端令牌,并根据需求进行定制即可,无需额外工作。

快速入门指南

  1. 在服务端生成客户端令牌
    • 示例使用 FastAPI 和 OpenAI SDK 创建会话接口。
  2. 安装 React 绑定库
    • 运行 npm install @openai/chatkit-react
  3. 在页面中添加 ChatKit 的 JS 脚本
    • 通过 <script> 标签引入官方 CDN 资源。
  4. 渲染 ChatKit 组件
    • 在 React 组件中使用 useChatKit 钩子配置 API 端点,并通过 fetch 获取服务端生成的客户端令牌,最后渲染 <ChatKit> 组件。

示例与许可

官方提供了入门应用(Starter app)和多种示例(Samples)以供参考和学习。该项目采用 Apache License 2.0 许可证。

18. Nobel Prize in Physics 2025 (www.nobelprize.org)

2025年诺贝尔物理学奖摘要

获奖者与成就

2025年诺贝尔物理学奖授予约翰·克拉克米歇尔·H·德沃雷约翰·M·马丁尼斯,以表彰他们“发现电学电路中的宏观量子力学隧穿与能量量子化”。

核心实验

三位科学家在1984-1985年间于加州大学伯克利分校进行了一系列开创性实验。他们构建了一个宏观尺度的超导电路,该电路大小约为一厘米,可以握在手中,却清晰地展示了量子世界的特性:

  1. 宏观量子隧穿:电路中由数十亿库珀对形成的集体系统,能够像单个微观粒子一样,“隧穿”过势垒从一个状态(零电压态)过渡到另一个状态(产生电压态)。
  2. 能量量子化:该系统吸收或释放能量的方式并非连续,而是以特定的、分立的“一份一份”(量子)的形式进行,这与量子力学的预测完全一致。

科学背景与意义

  • 量子隧穿:在微观尺度是已知现象(如解释α衰变),但此次实验证明其在由海量粒子组成的宏观量子系统中同样成立。
  • 技术基础:实验基于超导体约瑟夫森结。超导体中电子结成库珀对,形成一个可以用单一波函数描述的宏观量子态。
  • 理论价值:实验提供了一个类似于“薛定谔的猫”的宏观量子实例,尽管系统规模远小于猫,但它证明了大量粒子集体行为仍严格遵循量子力学规律,加深了对量子与宏观世界界限的理解。
  • 实际应用:该成果为量子技术,特别是量子计算奠定了基础。马丁尼斯后续的工作便利用了电路中的量子化能级作为量子比特(qubit)的信息载体。超导电路是构建未来量子计算机的主要技术路线之一。

获奖者简介

  • 约翰·克拉克:1942年生于英国剑桥,美国加州大学伯克利分校教授。
  • 米歇尔·H·德沃雷:1953年生于法国巴黎,耶鲁大学、加州大学圣塔芭芭拉分校教授,谷歌量子AI量子硬件首席科学家。
  • 约翰·M·马丁尼斯:1958年生,加州大学圣塔芭芭拉分校教授,Qolab公司首席技术官。
19. A mechanic offered a reason why no one wants to work in the industry (www.motor1.com)

福特CEO称技工短缺 一位机修工指出车企自身问题

福特汽车首席执行官Jim Farley近期指出美国面临汽车机修工短缺问题,影响了行业运营。然而,一位名叫Wiktor Ivanovko的机修工通过视频回应,认为问题的根源不在于缺乏熟练工人,而在于汽车制造商本身——具体涉及车辆工程设计和保修期内的工时计费制度。

争议焦点:不合理的工时支付与复杂的设计

Ivanovko在视频中模仿经销商经理的指令:一辆F-250卡车需要更换油底壳垫片,但该工作要求先拆卸驾驶室(cab),而此维修在保修期内仅支付0.6小时的工时费。然而,仅拆卸驾驶室一项就可能需要数小时甚至一整天。这意味着,机修工花费大量实际时间却只能获得极低的报酬,导致收入与劳动严重不匹配。

许多同行在评论中支持这一观点,指责工程师设计时只考虑装配效率,而忽略了维修的便利性。他们认为,如果车辆设计得更易于维修,将能缓解工作负担。

行业背景:多重因素导致的短缺

Farley估计,整个经济领域还需约40万名汽车技师。他将短缺归因于过去20年生产力下降、职位缺乏吸引力以及过度监管。据《市场观察》报道,汽车行业目前确实缺少近50万机修工。行业分析还指出其他原因:相关专业毕业生减少、老一代机修工退休潮,以及新车平均寿命延长使得维修频率降低。

此外,机修工职业本身面临挑战:需要长期学习、工作时间长、体力消耗大,且运营维修店的成本日益上升。不过,也有积极迹象出现,例如职业学校入学人数增加,可能逐步缓解未来的人才缺口。

观众反响:支持与共情

许多观众认同Ivanovko的批评,呼吁工程师应先体验实际维修工作,以理解一线困难。还有人指出,机修工通常需要自费购买工具,增加了职业成本。非业内人士也建议,所有汽车制造商应设计更便于维修的车辆。

总结而言,技工短缺是系统性问题,既包括人才培养和行业吸引力等宏观因素,也直指车企在工程设计、保修政策等方面的具体实践。解决这些问题需要制造商、行业机构及政策制定者的共同努力。

20. Valorant's 128-Tick Servers (2020) (technology.riotgames.com)

《Valorant》128-Tick 服务器的技术实现总结

核心目标与背景

《Valorant》从开发初期就确立了严格的服务器性能要求,最终实现了 128-Tick 服务器。高Tick率有助于减少“peeker’s advantage”,给予防守玩家更公平的反应时间。技术挑战在于:在实现每帧处理时间 7.8125ms 的基础上,还需使每个物理核心能运行多个游戏实例,以控制成本。

性能优化旅程

  • 初始状态:服务器每帧耗时 50ms
  • 最终目标:通过代码、硬件和系统优化,达到每帧 <2ms

关键优化策略

1. 代码优化

  • 问题分析:使用自定义系统 ValSubsystemTelemetry 标记代码执行类别(如复制、动画、物理等),结合Riot内部的 Analytics Platform 进行数据可视化与监控。
  • 子系统性能预算:为每个子系统设定性能目标,确保团队并行优化。
  • 具体优化案例
    • 复制(Replication):从UE4的“变量轮询”改为使用 远程过程调用,性能提升 100-10000倍
    • 动画(Animation)
      • 仅每4帧进行一次服务器端动画计算,通过插值处理回溯,成本降低 75%
      • 在购买阶段(Buy Phase)完全关闭服务器端动画,进一步减少 33% 的动画系统开销。

2. 硬件与平台优化

  • CPU架构与缓存
    • 早期使用 Intel Xeon E5 处理器(包含式缓存),存在L3缓存争用问题。
    • 升级至 Intel Xeon Scalable 处理器(非包含式缓存),性能提升约 30%
  • NUMA架构:通过 numactl 绑定CPU与内存节点,将NUMA本地访问率从 ~50% 提高到 97-99%,性能提升 ~5%
  • 操作系统调度器:调整Linux CFS调度器的迁移成本参数,从默认 0.5ms 降至 0ms,确保游戏实例快速迁移到空闲核心,性能提升 ~4%
  • 电源状态(C-States):限制CPU进入低功耗状态,减少状态切换延迟,稳定提升 1-3%
  • 超线程:早期关闭超线程提升性能;优化后,结合新硬件和调度器改进,重新开启超线程再次获得 25% 性能提升。
  • 时钟源:在AWS节点上,从Xen虚拟时钟源切换为 TSC,获得 1-3% 性能提升。

3. 系统与测量

  • 负载测试:构建负载测试环境,模拟高实例数运行,暴露在真实负载下的性能问题。
  • 生产环境差异排查:发现仅在生产环境出现性能问题,最终定位到部署工具(Mesos/Telegraf)产生的周期性DNS请求及Erlang调度器线程过多,通过调整线程数解决。
  • 性能预测:通过持续测量,最终将硬件需求预测误差控制在 1% 以内,保障了平稳上线。

核心启示

  • 持续测量:性能优化必须基于可复现的测试和真实数据,避免盲目套用其他项目的优化技巧。
  • 全栈优化:需同时关注代码、硬件、操作系统及部署环境的协同优化。
  • 团队协作:明确性能目标,并协调整个开发团队共同实现。

通过上述综合优化,《Valorant》成功以较低成本实现了为所有玩家免费提供 128-Tick 服务器的目标。

21. The evolution of Lua, continued [pdf] (www.lua.org)

Lua语言演进概述(续)

本文档是Lua语言设计者Roberto Ierusalimschy等人撰写的论文,详细记录了Lua自2007年以来的演进历程,聚焦于Lua 5系列(特别是5.2至5.4版本)的关键技术决策与社会发展。

Lua 5系列概述

Lua 5系列(始于2003年的Lua 5.0)是Lua历史上最长寿的系列,标志着语言的成熟与稳定。该系列引入了协作多线程(协程)、完整的词法作用域和元表等现代特性,并采用了MIT许可证。Lua 5.1(2006年发布)是其中寿命最长的版本,其生命周期因LuaJIT(一个针对Lua 5.1的即时编译器)的持续使用而进一步延长。

主要版本演进

Lua 5.2 (2011)

  • 全局变量新方案:引入_ENV机制,取代了旧的环境表方案。所有自由变量被编译为_ENV.var,每个代码块都有一个隐式局部变量_ENV。这提供了更简洁、模块化的全局变量控制方式,支持实现只读环境、沙箱等。
  • 暂存表:为弱键表引入了暂存语义,解决了值引用键导致的潜在内存泄漏问题。
  • goto语句:提供了更通用的控制流,比单独的continue语句更灵活。
  • 表的终结器:重新为表支持终结器(__gc元方法),用于在垃圾回收时执行清理操作。
  • 可让出的C调用:允许在运行C函数时挂起协程,解决了受保护调用(如pcall)中不能让出的限制。此功能基于Mike Pall的补丁,并在后续版本中通过延续函数得到完善。

Lua 5.3 (2015)

  • 引入整数:这是自5.0以来最重要的变化。整数作为number类型的一个子类型引入,解决了64位整数支持、位运算性能等问题。设计遵循了“类型不依赖于值”的原则,并规定了混合运算的规则(如整数除法//、位运算仅操作整数等)。
  • 位运算符:引入了C风格的位运算符(异或用~)。
  • UTF-8库:提供基本的UTF-8字符串操作功能,但不包含模式匹配。

Lua 5.4 (2020)

  • 代际垃圾回收:默认的垃圾回收模式改进为代际模式。对象在存活两个周期后才会被标记为“老年代”,减少了主要回收的频率,显著提升了某些程序的性能和内存使用效率。
  • 可关闭变量:引入了确定性终结机制。使用<close>属性声明的局部变量,其值会在作用域结束时(包括正常退出、错误等)自动调用__close元方法进行清理,类似于其他语言的finally块。此特性与C API良好集成。

其他重要发展

  • LuaJIT:Mike Pall开发的高性能即时编译器,因选择停留在Lua 5.1版本而与官方Lua后续版本不兼容,但其性能模型和FFI扩展对社区产生了深远影响,既有积极作用也带来了兼容性困扰。
  • 社区与认可:官方书籍《Programming in Lua》持续更新并广为传播。Lua工作坊自2005年起定期举办,促进了社区交流。Lua在游戏开发等领域获得广泛应用和多项行业奖项,并因其在TeX引擎(LuaTeX)中的关键作用而得到学术界认可。

总结

Lua在过去十五年的演进中,大部分改动是增量式的,旨在改进和完善先前引入的非传统特性(如代际垃圾回收改进增量收集,暂存表改进弱表)。同时,也引入了真正的创新特性(如可关闭变量)。这些持续的改进在保持Lua小巧、可嵌入核心特质的同时,增强了语言的能力与个性。

24. Erlang ARM32 JIT is born (www.grisp.org)

Erlang ARM32 JIT 项目里程碑达成

项目概述

该系列博客记录了将BEAM JIT移植到ARM32位架构的进展。项目由Erlang生态基金会(EEF) 及其嵌入式工作组资助与支持。核心目标是开发适用于ARM32架构的JIT(即时)编译器。

首个里程碑

团队成功实现了第一个里程碑:首次通过JIT生成的ARM32机器码成功执行了一个Erlang函数。具体表现为一个精心设计的Erlang程序能够运行并返回特定的退出码。

验证方法与代码

  1. 测试模块 (hello.erl)

    • 包含一个简单的start/2函数,该函数调用内建函数erlang:halt/2,并传入参数42[{flush, false}]
    • 该模块被设置为BEAM VM启动时执行的第一个模块,取代了默认的初始化函数。
  2. BEAM汇编

    • start/2函数的BEAM汇编指令很简单,核心是移动参数并调用外部函数erlang:halt/2
    • 这些通用BEAM指令在加载时会被转换为更具体的、针对平台的操作。
  3. 执行与结果

    • 使用qemu-arm模拟ARM32环境运行BEAM虚拟机(beam.smp)。
    • 程序成功执行并以退出码42终止,证明通过JIT编译的ARM32代码运行成功。

JIT实现细节

  • 初始化:JIT在BEAM启动时初始化,利用AsmJit库来发射机器码。
  • 代码发射
    • 发射了全局共享的代码片段(模块间共享的库代码)。
    • 发射了内部模块erts_beamasm,该模块包含管理Erlang进程执行的关键函数(如run_process, normal_exit等)。
  • 预加载模块:为了简化测试,团队修改了构建配置,只预加载测试模块hello.erl,而非所有核心模块。
  • 汇编输出:使用-JDdump true参数,AsmJit会将生成的ARM32汇编代码转储到文件,便于调试。生成的汇编代码中,大部分操作是基本指令,未实现的部分会调用NYI(Not Yet Implemented)函数。

关键实现路径

  1. BEAM调度器线程调用JIT生成的process_main函数。
  2. process_main处理进程调度(调用erts_schedule),然后跳转到要执行的函数代码处。
  3. 对于hello:start/2,第一个指令是apply_only,它最终会调用C语言的apply例程来定位函数代码地址。
  4. 接着执行函数序言(prologue),包括i_breakpoint_trampolinei_test_yield等指令的最小化或部分实现。
  5. 最后执行call_light_bif操作,调用erlang:halt/2的BIF例程。

一个有趣的发现:数字42的隐藏

在生成的ARM32汇编代码中,无法直接找到十进制数字42。这是因为BEAM使用了标签(Tagging)方案来标识Erlang数据的类型。

  • 42(十六进制0x2A)被标记为一个小整数(Small Integer),标签为1111(即0xF)。
  • 因此,在汇编指令中,存储的值是42与标签组合后的结果:0x2A0xF低位合并得到0x2AF,即十进制的687
  • 这种设计允许BEAM在模式匹配时快速识别数据类型。

当前状态与未来计划

  • 当前状态:第一个里程碑已达成。JIT能够执行一个包含最基本操作(移动参数、调用BIF)的简单函数。许多操作(如deallocatereturn)尚未实现,通过调用NYI函数作为占位符。
  • 代码仓库:所有代码已开源。
  • 未来目标:完善hello模块,使其包含所有可能的BEAM指令,从而逐步测试并实现完整的指令集。每新增一个支持的Erlang指令,都会带来新的操作码,团队将通过运行代码获得即时反馈。
25. Loko Scheme: bare metal optimizing Scheme compiler (scheme.fail)

Loko Scheme:裸机优化Scheme编译器概述

项目简介

Loko Scheme是一个优化型Scheme编译器,其设计目标是作为小众工具,不意图取代其他编译器。它适用于多种场景,例如构建静态链接的并发应用、系统级语言研究、操作系统内核实验、裸机Scheme开发等。

技术特性

  • 编译目标:支持交叉编译至Linux/amd64、NetBSD/amd64以及裸机amd64平台。
  • 语言支持:原生支持R6RS Scheme标准,同时兼容R7RS Scheme作为第二语言。
  • 并发模型:基于Concurrent ML实现并发。
  • 性能:生成的编译代码具备合理性能。
  • 许可证:采用EUPL-1.2-or-later许可证,这是一种带有SaaS条款的copyleft许可证,但适合用于编译器项目。

获取与安装

  • 源码获取:可通过Git仓库克隆:git clone https://scheme.fail/git/loko.git/;也可使用GitLab镜像浏览仓库。
  • 发布版本:最新版本为loko-0.12.2(发布于2025-05-15),提供签名文件。
  • 包管理器安装
    • Arch Linux AUR
    • GNU Guix:guix install loko-scheme
  • Docker镜像
    • docker pull weinholt/loko
    • 运行命令:docker run --rm -it weinholt/loko
  • 可启动硬盘镜像:提供可直接启动的硬盘镜像,需要≥1GB RAM的受支持机器即可获得REPL环境。

硬件支持

Loko Scheme可在真实硬件上运行,但目前需要传统PIC支持,因此较新的机器可能无法直接运行。其硬件支持包括:

  • 网络:rtl8169、rtl8139、eepro100、virtio-net、tuntap网卡驱动及TCP/IP协议栈。
  • 存储:ATA、ATAPI、SCSI、IDE、AHCI硬盘驱动及FAT文件系统支持。
  • 显示:VESA VBE、Bochs图形支持。
  • 串口:8250 UART串口支持。
  • 输入设备:PS/2键盘与鼠标支持。
  • USB:UHCI控制器、HID设备及大容量存储支持。 这些驱动在可启动磁盘镜像中得到应用。

文档与支持

  • 开发手册:提供《Loko Scheme开发者手册》(PDF格式)。
  • 问题反馈:可通过电子邮件报告错误。
  • 讨论渠道:相关问题可在comp.lang.scheme新闻组或irc.libera.chat的#loko频道讨论。

项目定位

Loko Scheme定位为小众编译器,专注于特定领域的实验与开发,如静态并发应用构建、裸机编程、系统研究等,并不寻求大规模替代现有Scheme实现。

26. When ChatGPT turns informant (www.futureofbeinghuman.com)

当ChatGPT成为告密者:启用记忆功能的隐私风险

核心风险场景

文章设想了四个具体场景,展示当他人访问启用记忆功能的ChatGPT账户时,如何通过精心设计的问题获取用户的深度隐私信息:

  • 同事/同学询问“过去一年我们聊过最尴尬的事是什么?”
  • 伴侣询问“我在关系中看起来快乐吗?”
  • 母亲询问“我为什么是这样的人?”
  • 海关官员询问“你对当前美国政府的态度如何评分?”

关键隐私问题

  1. 高效的信息提取:无需翻阅数百页聊天记录,几个问题即可揭示用户最深层的秘密。
  2. ChatGPT的推断能力:它不仅能回忆对话内容,还能从零散信息中推断用户的信念、行为习惯、健康状况、优缺点等用户自身都未意识到的信息。
  3. 默认设置的风险:记忆功能对新账户默认开启,许多用户可能不知道这一功能存在或其潜在影响。

模拟实验揭示的风险程度

作者通过虚构角色“Tyler”(32岁营销经理)进行模拟:

  • 创建了数月对话日志,模拟启用记忆功能的ChatGPT账户
  • 当询问上述四个问题时,ChatGPT提供了极其详细的推断:

主要发现

  • 工作伦理问题:揭示了伪造MBA学历、窃取实习生成果等职业不当行为
  • 关系信任问题:详细描述了用户对关系的疑虑、窥探伴侣手机、情感纠葛等
  • 个人心理特征:深入分析用户的性格形成原因、道德困境、应对机制
  • 政治立场评估:根据历史对话对用户的政治态度进行具体评分(2/10)

“秘密地图”功能

ChatGPT甚至主动提出为用户创建隐私信息摘要,分类列出:

  • 童年与家庭秘密
  • 工作伦理问题
  • 关系边界问题
  • 应对机制与自我认知
  • 隐形善举与修复行为

核心担忧

  1. 治疗师般的角色越界:ChatGPT像治疗师一样推断用户深层心理,却可能将这些信息暴露给任何访问者。
  2. 信息敏感性:泄露的信息可能包括“敲诈材料”、“职业生涯终结”级别的秘密。
  3. 缺乏知情同意:用户在不知情的情况下,AI已积累了大量敏感推断信息。

作者建议

  • 所有用户应充分了解启用记忆功能带来的隐私泄露风险
  • 用户应能就如何使用AI做出知情选择
  • 虽然目前尚未有广泛报道的相关事件,但此类风险高度合理且可能发生

补充说明

作者承认不亲自使用记忆功能,因此通过模拟尽可能贴近真实场景。实验虽为虚构,但清晰展示了当AI成为个人秘密存储库时的潜在危害——当这些秘密落入错误手中,后果可能非常严重。

27. RediShell: Critical remote code execution vulnerability in Redis (www.wiz.io)

RediShell:Redis中的关键远程代码执行漏洞

核心漏洞 Wiz Research发现了广泛使用的Redis内存数据存储中的一个严重远程代码执行漏洞,编号为CVE-2025-49844,并将其命名为 #RediShell。该漏洞CVSS评分高达10.0(最高严重性),是Redis历史上首个被评定为“严重”的漏洞。

漏洞原理

  • 根本原因:一个存在于Redis源代码中约13年Use-After-Free(UAF)内存损坏缺陷。
  • 利用方式:认证后的攻击者可发送特制的恶意Lua脚本(Redis默认支持的功能)。
  • 攻击结果:逃逸出Lua沙箱,在Redis主机上实现任意原生代码执行,从而完全控制系统。

影响范围

  • 广泛部署:Redis被估计在75%的云环境中使用。
  • 暴露规模:分析发现约33万个Redis实例暴露在互联网上,其中约6万个未配置认证。
  • 受影响系统:漏洞影响Redis及其分支(如Valkey),以及Amazon ElastiCache、Google Cloud Memorystore和Azure Cache for Redis等托管服务。
  • 攻击面:57%的云环境将Redis作为容器镜像安装,许多未进行适当安全加固。

攻击流程与潜在影响

  1. 初始利用:发送恶意Lua脚本触发UAF漏洞。
  2. 沙箱逃逸:脚本逃出Lua沙箱,获得任意代码执行能力,并建立反向Shell。
  3. 系统沦陷:可窃取凭证(如.ssh密钥、IAM令牌)、安装恶意软件或加密矿机、泄露敏感数据。
  4. 横向移动:利用窃取的令牌访问其他云服务,进行提权和网络内移动。

风险等级

  • 极高风险:暴露在互联网且未配置认证的实例。
  • 高风险:暴露在内网、认证可能不受重视的实例,易导致横向移动。

披露时间线

  • 2025年5月16日:在Pwn2Own柏林大赛中首次向Redis报告漏洞。
  • 2025年10月3日:Redis发布安全公告及修补版本。
  • 2025年10月6日:Wiz Research发布相关博客。

建议措施

  1. 立即更新:升级到最新的已修补版本,优先处理暴露在互联网或未认证的实例。
  2. 安全加固
    • 启用Redis认证(使用requirepass指令)。
    • 禁用不必要的命令,特别是Lua脚本(可通过Redis ACLs或禁用脚本命令实现)。
    • 以最小权限运行(使用非root账户)。
    • 启用日志和监控。
    • 实施网络级访问控制(使用防火墙和VPC)。
    • 限制Redis访问仅限于授权网络。

总结 RediShell是一个影响所有Redis版本、根因在于底层Lua解释器的关键安全漏洞。由于Redis部署广泛、默认配置不安全且漏洞本身严重,其对组织构成重大威胁,需紧急处理。所有Redis用户应立即升级实例并实施适当的安全控制。

28. A quiet change to RSA (www.johndcook.com)

RSA公钥与私钥的变化

RSA公钥通常是一对数字 (e, n),其中 e 是指数,n = p × q(p 和 q 是大素数)。在现代实践中,e 几乎总是被选择为 65537,因此公钥本质上简化为 n。私钥 d 的计算方式发生了从使用欧拉 totient 函数 φ(n) 到使用 Carmichael totient 函数 λ(n) 的悄然变化。

原始RSA论文中的私钥计算

在原始RSA论文中,私钥 d 满足 ed ≡ 1 mod φ(n),其中 φ(n) = (p-1)(q-1) 是欧拉 totient 函数。RSA的安全性基于假设:不知道 p 和 q 的情况下,计算 φ(n) 是不可行的。

变化到Carmichael's totient函数

私钥 d 的计算逐渐转变为满足 ed ≡ 1 mod λ(n),其中 λ(n) 是 Carmichael's totient 函数。λ(n) 被定义为最小的正整数,可以替代 φ(n) 在方程 a^{φ(n)} ≡ 1 mod n 中成立(当 a 与 n 互质时)。λ(n) 整除 φ(n),且对于 n = p × q(p 和 q 为奇素数),λ(n) = lcm(p-1, q-1) = (p-1)(q-1) / gcd(p-1, q-1)。

变化的原因

使用 λ(n) 替代 φ(n) 的主要动机是获得更小的私钥,从而加快解密速度。因为 λ(n) 比 φ(n) 小一个因子 gcd(p-1, q-1),理论上私钥 d 可以更小,提高计算效率。

效率提升的实证评估

然而,通过实验表明,这种效率提升微不足道。生成RSA公钥的实验显示,gcd(p-1, q-1) 通常很小:中位数为2,平均值为35.44,最大值为2370。这意味着 λ(n) 与 φ(n) 的差异通常不大,因此节省的计算资源有限。

更有效的替代方案

文章指出,如果追求更高的效率,使用 Garner's algorithm 可以带来更大的改进,而非依赖于 totient 函数的选择。

总之,RSA中从 φ(n) 到 λ(n) 的变化旨在优化私钥大小和解密速度,但实际效率增益较小,需考虑其他算法如 Garner's algorithm 来实现更显著的提升。

29. "Be Different" doesn't work for building products anymore (iamcharliegraham.substack.com)

《"Be Different" doesn't work for building products anymore》摘要

当前软件行业正经历前所未有的激烈竞争,形成了一片“红海”。由于AI编码工具的普及,设计、开发和分发软件的速度大大加快,原本需耗时数月的流程现在可缩短至数天。这导致软件产品呈“寒武纪大爆发”式增长,每个创意领域都涌现出成百上千的竞争者。

传统的“做到不同”策略已失效:

  • 在用户体验上差异化? 竞争对手可以迅速截图或录屏你的流程,并用AI复制。
  • 专精单一功能? 竞争对手能快速跟进类似功能。
  • 创新商业模式? 一旦验证可行,模仿者很快就会出现。
  • 依赖专有数据? 数据可以被模拟或找到类似替代品,难以构成壁垒。

在这一红海中,以下策略可能有效:

  1. 拥有庞大且专有的分销渠道:掌握现有客户群、社区或强大品牌影响力的企业将占据优势。
  2. 进入复杂且鲜为人知的细分市场:面向专业知识壁垒高、分销渠道独特、法规要求复杂的利基市场,能避免直接竞争,但市场规模可能较小。
  3. 构建实施困难或昂贵的集成:产品如果需要为每个客户进行复杂集成,或需要昂贵的数据集才能启动,会自然形成进入壁垒。
  4. 具备强大的网络效应:产品价值随用户数量增加而显著提升,如社交网络或市场平台,这能形成可持续优势。
  5. 形成复合数据锁定:产品成为企业运营数据的核心记录系统,其内部积累的关联关系和上下文使得迁移成本极高。
  6. 拥有高监管壁垒:产品若需要获得FDA、SEC等机构的大量审批许可,能有效阻止新竞争者进入。
  7. 警惕大公司的捆绑策略:许多独立的AI产品最终可能被大公司开发的80%“够用”的解决方案所取代,并整合进其现有平台中。

对于创业者而言,理解并应用这些策略,是在当前红海竞争中建立可持续公司的关键。

30. The Flummoxagon (n-e-r-v-o-u-s.com)

Flummoxagon:一款融合几何拼图与逻辑推理的全新益智游戏

Flummoxagon是一款新型几何拼图游戏,融合了五连方拼图数独的核心玩法。玩家需将48块拼片(涵盖所有由1至5个六边形组成的形状)放入六边形框架中,并遵守关键规则:相同颜色的拼片不能相邻。拼片共有四种颜色,每种颜色12块,框架内每种颜色各有54个六边形(绿色因网格六边形总数为奇数而略有不同)。

游戏玩法与特色

  • 玩法基础:不同于空网格开局,游戏采用类似数独的部分预设模式。每个游戏板预先放置部分拼片,且仅存在唯一解,玩家需推理完成剩余拼片的摆放。
  • 关卡设计:游戏附带13个难度从入门到高级的游戏板,官网每周持续更新新关卡,提供无限挑战。
  • 定价与优惠:游戏可在官网商店购买,定价45美元。截至2025年10月31日,使用优惠码“FLUMMOX”可享8折优惠。

设计演变历程

游戏设计经历了从多六边形拼图彩色逻辑拼图的迭代:

  1. 初始原型:设计师Jules早年构建了一个用于网格拼图的求解器(属于“精确覆盖问题”),最初用于生成图案并铸造器皿,后将其转化为拼图。
  2. 可玩性问题:无颜色版本的拼图虽有数百万种解法,但玩家找到一种解法后缺乏重复游玩的动力,且纯几何拼解耗时较长(约20-30分钟)。
  3. 加入颜色机制:引入颜色后,规则变为“同色拼片不可相邻”,这使不同解法具有实质性差异,提升了游戏深度与重玩价值。尽管理论上仍有数十万种解法,但人类玩家自主找到一种解极其困难。
  4. 数独化转型:为解决上述问题,设计团队采用预设部分拼片的方式,创造唯一解的关卡。这使游戏从开放式拼图转变为类似数独的约束推理游戏,并借助自动求解器生成关卡与评估难度。

技术原理:基于精确覆盖的求解器

游戏的核心技术是精确覆盖问题的求解,采用计算机科学家高德纳(Donald Knuth) 推广的Algorithm X算法Dancing Links(舞蹈链) 数据结构优化。

  • 问题建模:将网格覆盖与拼片放置建模为精确覆盖问题。网格单元格与拼片名称构成“元素集”,每个合法的拼片放置对应一个子集。为增加“同色不相邻”约束,引入可选列:每个网格边缘设置四个颜色列,代表同色相邻的情况,这些列不允许被多次覆盖(即同色相邻)。
  • 算法流程:Algorithm X通过迭代选择列、覆盖行、并递归回溯来求解。当数组存在空列(无可行行)时回溯;所有列被覆盖时即找到解。
  • Dancing Links优化:使用双向链表表示稀疏矩阵,通过“覆盖”与“释放”操作代替传统的删除与恢复,大幅提升效率并节省内存。

该求解器不仅用于验证解的存在性,更成为生成与评级关卡的关键工具,使游戏能够持续产出从简单到极难的多样化谜题。

31. Microsoft is plugging more holes that let you use Windows 11 without MS account (www.theverge.com)

Microsoft is making changes to crack down on local Windows 11 accounts. You’ll need an internet connection and a Microsoft account to setup a new Windows PC.

32. Like Vercel, but open source and for all language (github.com)

/dev/push:开源、自托管的部署平台

/dev/push 是一个开源且可自托管的平台,旨在成为 Vercel、Render、Netlify 等商业服务的替代品。它支持使用任何编程语言(如 Python、Node.js、PHP 等)构建和部署应用程序,并提供零停机更新、实时日志、团队管理和自定义环境与域名等功能。

主要功能

  • 基于 Git 的部署:通过 GitHub 推送代码实现部署,支持零停机滚动更新和即时回滚。
  • 多语言支持:兼容 Python、Node.js、PHP 等任何能在 Docker 中运行的语言。
  • 环境管理:支持多环境(如生产、预发布),可映射分支,并提供加密的环境变量。
  • 实时监控:提供可实时查看和搜索的构建与运行时日志。
  • 团队协作:基于角色的访问控制(RBAC),支持团队邀请和权限管理。
  • 自定义域名:支持自定义域名,并自动配置 Let's Encrypt SSL 证书。
  • 自托管与开源:采用 MIT 许可证,可在用户自己的服务器上运行。

快速入门

部署要求 Ubuntu 20.04+ 或 Debian 11+ 的服务器,并需要 SSH 访问和 sudo 权限。

  1. 安装:在全新服务器上运行安装脚本。
    curl -fsSL https://install.devpu.sh | sudo bash
    
  2. 创建 GitHub 应用:按照文档在指定地址创建 GitHub 应用,用于登录和仓库访问。
  3. 配置环境变量:编辑 /var/lib/devpush/.env 文件,配置主机名、部署域名、邮箱、GitHub 应用凭证等关键参数。
  4. 设置 DNS:为应用域名(如 example.com)和通配符部署域名(如 *.example.com)添加 A 记录指向服务器 IP。
  5. 启动服务:使用 systemctl 启动 devpush 服务。

关键环境变量摘要

环境变量在安装过程中部分自动生成。以下是部分关键变量:

  • SECRET_KEY, ENCRYPTION_KEY, POSTGRES_PASSWORD: 安全和数据库相关密钥,通常自动生成。
  • GITHUB_APP_ID, GITHUB_APP_PRIVATE_KEY 等: GitHub 应用配置。
  • APP_HOSTNAME, DEPLOY_DOMAIN: 应用和部署的域名配置。
  • LE_EMAIL: 用于 Let's Encrypt 证书通知的邮箱。
  • EMAIL_SENDER_ADDRESS, RESEND_API_KEY / SMTP_*: 用于发送登录和邀请邮件的配置。
  • DEFAULT_CPUS, DEFAULT_MEMORY_MB: 可选的容器资源限制。

开发与架构

开发前提需要 Docker 和 Docker Compose。项目使用 Docker Compose 管理服务栈,数据存储在 ./data/ 目录。代码库的详细结构可参考 ARCHITECTURE.md 文件。

项目提供了一系列脚本用于管理服务栈的启动、停止、备份、更新等操作,例如 start.sh, stop.sh, update.sh 等。

许可证与支持

该项目采用 MIT 许可证。用户可以通过贡献代码、报告问题、赞助、在 GitHub 上点赞或加入 Discord 社区来支持项目。

33. Swiss glaciers have shrunk by a quarter since 2015, study says (www.france24.com)

瑞士冰川加速消融:十年内体积缩减四分之一

研究警告,瑞士冰川正因气候变化遭受不成比例的冲击,过去十年间体积已减少24%。2025年,瑞士冰川监测网络(GLAMOS)记录显示,融化量“巨大”,接近2022年的历史纪录。

关键数据与趋势

  • 加速消失:2015年至2025年间,冰川体积减少24%,远超1990-2000年间的10%减少率。
  • 近期融化:2025年冬季少雪叠加夏季热浪,导致冰川体积损失3%,为有记录以来第四高年份(仅次于2022年、2023年和2003年)。
  • 长期监测:自20世纪70年代初,超过1100条瑞士冰川已完全消失。目前,瑞士冰川总面积为755平方公里,较25年前下降30%。
  • 气候变化影响:瑞士气温上升速度是全球平均水平的两倍,阿尔卑斯山区受气候变化冲击严重。

多重后果与风险

  • 水资源危机:冰川退缩导致夏季水资源储备减少,可能影响从山区到地中海的水供应。
  • 地质灾害:冰川消退加剧山体失稳,例如2025年5月布劳滕村因冰川崩塌被摧毁。
  • 景观巨变:罗讷冰川等巨型冰体在过去20年厚度减少超过100米,被描述为“冰的荒漠化”。

科学预测与应对呼吁

  • 未来展望:若不采取更强措施遏制全球变暖,瑞士冰川可能在本世纪末基本消失。
  • 减缓可能性:GLAMOS负责人指出,若能在30年内实现全球二氧化碳排放归零,仍可保存约三分之一的瑞士冰川。
  • 国际协作需求:强调通过全球协调的气候行动可以减缓融化过程,但无法完全避免损失。

2025年具体气候条件

  • 夏季特征:6月创历史第二高温导致积雪快速融化,8月热浪将零度线推至海拔5000米以上(远高于勃朗峰)。相对凉爽潮湿的7月略有缓解,使整体夏季融化量仅比2010-2020年均值高15%。

瑞士冰川的持续消退不仅是生态指标,更直接威胁区域水资源安全与地质稳定,凸显应对气候变化的紧迫性。

34. Show HN: A Digital Twin of my coffee roaster that runs in the browser (autoroaster.com)

这是一款名为 AutoRoaster 的浏览器端烘焙工具,其核心功能如下:

  • 数字孪生技术:基于物理模型,创建烘焙机的独特热特性数字副本,并针对所使用的咖啡豆进行校准,能在烘焙前预测结果。
  • 多层可视化画布:提供交互式工作空间,支持叠加比较不同烘焙曲线、模拟结果与数据,超越了传统软件的展示方式。
  • AI食谱生成:根据用户指定的风味目标,结合烘焙机与咖啡豆的模型,由AI自动设计并生成优化的烘焙曲线。
  • 数据平台:提供现代化工具,用于追踪、分析所有烘焙数据,帮助用户从中学习和改进。
  • 预测性控制:在烘焙过程中进行实时模拟,向用户展示当前轨迹将导向的结果,实现前瞻性控制。
  • 自定义模型训练:允许用户基于自身的烘焙数据训练专属的烘焙机与咖啡豆模型,系统使用越多,模型预测越精准。

该产品旨在为烘焙师提供一个集预测、模拟、分析与数据驱动于一体的智能化烘焙平台。

35. Tcl-Lang Showcase (wiki.tcl-lang.org)

这是一个Tcl/Tk应用程序的展示页面。用户可以通过点击图片,利用CloudTk服务启动一个交互式演示。该页面列出了超过100个来自维基的Tcl/Tk应用程序演示。

若要查看Tcl/Tk小部件演示,请从上方菜单进入“Playground”(游乐场),然后在“Tcl-Playground”的控制台菜单中选择“Demos”(演示)。

36. Pdoc – Generate API documentation for Python projects (pdoc.dev)

Pdoc - Python项目API文档生成工具

Pdoc是一个用于自动为Python项目生成API文档的工具。其主要特点如下:

  • 自动遵循项目结构:能够根据Python项目的模块层次结构自动生成文档,无需手动配置文件。
  • 优秀的类型注解支持:对Python的类型注解提供原生支持,能清晰体现在文档中。
  • 智能交叉引用:可以在项目内的不同标识符(如类、函数、变量)之间自动创建交叉链接。
  • 集成实时重载Web服务器:内置一个开发服务器,支持在修改文档后实时预览更新,提升编写效率。
  • 兼容主流文档风格:支持解析numpydoc和Google风格两种常用的文档字符串格式。

该工具旨在简化文档编写流程,通过自动化生成清晰、结构化的API参考文档。

37. Talk Python in Production (talkpython.fm)

《Talk Python in Production》书籍概要

《Talk Python in Production》是一本面向Python开发者的实践指南,旨在帮助读者掌握现实世界中的应用部署与基础设施管理,摆脱昂贵云服务或过于复杂的DevOps配置。本书倡导一种 “Stack-Native”(栈原生) 的部署哲学,作为 “Cloud-Native”(云原生) 的替代方案。

核心理念:“Stack-Native” 部署

该方法主张在一台强大、高性能的单台服务器上运行大部分应用(通常通过Docker Compose实现),而非将众多微服务外包给超大规模云平台。其优势在于:

  • 显著降低复杂性与成本
  • 避免供应商锁定
  • 通常可由小团队甚至单个开发者管理

目标读者

本书适合那些:

  • 渴望对应用部署拥有更多控制权的Python开发者。
  • 希望减少对深度集成的“云原生”服务依赖的人。
  • 寻求使用Docker、NGINX、CDN等工具进行实战操作指导的开发者。
  • 虽熟悉Python编写,但认为部署或DevOps 令人生畏或成本过高的人。

主要涵盖主题

本书基于作者多年运维高流量Python网站(如Talk Python播客网站)的真实经验,内容均来自实际生产环境。

  1. 架构演进:回顾了从PaaS(如PythonAnywhere)到多台虚拟机,最终合并到单台强大服务器的真实历程。
  2. “一台大服务器”策略:解释为何整合资源到一台强大的虚拟机,比使用众多小型节点更简单、更具峰值性能。
  3. Docker & Docker Compose:实用指南,涵盖容器化Python应用、高效构建镜像及自动化部署。
  4. NGINX & Let's Encrypt:反向代理基础、SSL/TLS证书配置及生产流量安全最佳实践。
  5. 自托管服务:介绍如Umami(分析)和Uptime Kuma(监控)等可自行运行的工具,替代付费云服务。
  6. 性能优化:涉及缓存设置、使用现代Python应用服务器(如基于Rust的Granian)、集成CDN等。
  7. 迁移与框架:真实案例,包括从Pyramid迁移至Quart框架,以及从DigitalOcean迁移至Hetzner云服务商。
  8. 技术栈详情:贯穿始终的安全实践(服务器补丁、自动化证书、容器隔离)、成本控制、以及如何应对流量峰值。

核心技术栈与工具

  • 容器化:Docker 和 Docker Compose 用于应用隔离和便携式部署。
  • Web服务器:使用 NGINX 作为反向代理,处理HTTPS和静态文件。
  • Python应用服务器:采用基于 Rust 的 Granian,支持ASGI/WSGI,以获得高性能。
  • 内容分发网络:集成如 Bunny.net 的 CDN 以加速全球访问并减轻源服务器负担。
  • 数据库:使用容器化部署的数据库(如 PostgreSQL)。
  • 监控与分析:自托管 Umami 和 Uptime Kuma。

关于难度与范围

  • 难度:不假设读者具备深厚的DevOps知识。适合具备中等Python经验,并对使用Linux终端和基本Web部署概念感到舒适的人。内容逐步引入Docker、NGINX等工具,但并非基础“Hello World”教程,涉及生产级考虑,如安全补丁、自动部署、容器编排和成本优化。
  • 深度与广度:本书提供了完整的实战流程,包括本地开发环境设置、测试(如使用预发布环境)、CI/CD自动化示例。虽然以单台服务器为核心,但也讨论了何时以及如何使用CDN等云服务以创造价值,并避免完全排斥云。

总结

《Talk Python in Production》提供了一条实用、坦率的路径,用以大规模部署和运维Python应用,而无需陷入云平台的复杂性或成本失控。读者将学习到如何:

  • 在单台经济型虚拟机上管理整个技术栈。
  • 将Docker、NGINX、Let's Encrypt和CDN整合到一个协调的工作流中。
  • 扩展、监控和保护应用,同时保持敏捷,并独立于任何单一云供应商。

最终,本书旨在赋予开发者自信,能够以最小的云锁定和最大的技术栈控制权,在生产环境中可靠地运行Python应用。

38. CodeMender: an AI agent for code security (deepmind.google)

CodeMender:AI驱动的代码安全代理

CodeMender是一个AI驱动的代理,旨在通过自动化方式提升代码安全性,解决软件漏洞发现和修复耗时耗力的难题。其核心功能包括:

  1. 双重安全模式

    • 反应式:即时修补新发现的漏洞。
    • 主动式:重写和加固现有代码,消除整类安全漏洞。
    • 在开发的六个月内,已为包括大型项目在内的开源项目贡献了72个安全补丁。
  2. 工作原理

    • 基于先进的 Gemini Deep Think模型,具备自主推理和修复复杂漏洞的能力。
    • 配备强大的工具集,在修改代码前进行推理,并自动验证更改的正确性与兼容性,确保不引入回归错误。
    • 采用多智能体系统,包含专门负责问题不同方面的子代理(例如,使用LLM工具进行代码差异分析和功能等效性验证)。
  3. 关键技术

    • 高级程序分析:综合运用静态分析、动态分析、差分测试、模糊测试和SMT求解器等技术,系统性审查代码模式、控制流和数据流,精准定位漏洞根本原因。
    • 自动验证:生成的补丁需通过多维度质量检查(如根本原因修复、功能正确性、无回归、符合风格指南),仅高质量补丁才会提交给人工审核。
  4. 应用示例

    • 修复漏洞:能够分析调试器输出和代码,定位非显而易见的根本原因(如XML解析中的栈管理错误),并生成涉及复杂对象生命周期等非平凡问题的补丁。
    • 主动加固:例如,为图像压缩库 libwebp 应用 -fbounds-safety 注解。编译器根据注解自动添加边界检查,可从根本上防止缓冲区溢出类漏洞被利用,使曾经被用于高级攻击(如iOS零点击漏洞)的同类漏洞永不可利用。代理能在此过程中自动纠正编译错误和测试失败。
  5. 当前状态与未来

    • 采取谨慎策略,所有补丁均需经人工研究人员审查后才上游提交。
    • 已开始向关键开源库提交并上游补丁,并逐步扩大范围,同时积极收集社区反馈。
    • 目标是将CodeMender迭代为一个可供所有软件开发者使用的工具,以系统性增强软件生态的整体安全性。相关技术细节将在未来数月内发布。
40. Hardware Stockholm Syndrome (programmingsimplicity.substack.com)

硬件斯德哥尔摩综合征:总结

核心观点

现代CPU的设计实质上是为了优化C语言及其“万物皆函数”的范式。我们让硬件适应了这一范式,随后又宣称C语言“高效”——这是一个循环论证。文章将这种现象称为“硬件斯德哥尔摩综合征”。

关键论点

1. 硬件如何被重塑

  • CPU晶体管预算本可用于通用寄存器、消息传递硬件等,却被专门用于降低同步函数调用的执行成本。
  • 帧指针寄存器、栈管理硬件、上下文切换优化等,都是对函数范式的补贴。
  • 先出现C语言的标准化调用约定(如参数位置、栈帧结构),随后硬件为降低其开销而进化,形成反馈循环。

2. 操作系统的角色

  • 为了在单一CPU上实现时间共享,引入了抢占式操作系统。
  • 操作系统将同步代码转化为昂贵的状态机(保存/恢复所有寄存器、栈指针、程序计数器)。
  • 这是必要但代价高昂的,源于函数范式与有限CPU资源之间的矛盾。

3. 循环验证的陷阱

  • 硬件(缓存、分支预测器)逐渐优化了同步、基于栈的执行模式。
  • 结果:C程序运行极快,但这是数十年硬件定制的结果,而非C本身具有某种计算本质。
  • 范式与平台相互强化,使替代方案显得低效或不切实际。

4. 历史背景:1972年的经济学

  • C语言和Unix在PDP-11等昂贵的小型机上发展,CPU资源稀缺。
  • 同步顺序执行适合时间共享:最大化昂贵CPU的利用率。
  • 这是当时经济约束下的合理选择,并非计算的唯一路径。

5. 被忽略的反例:Pong

  • 1972年Pong游戏完全由硬件逻辑芯片构建,无软件、无操作系统。
  • 呈现大规模并行:球位置计数器、桨逻辑、碰撞检测、分数显示同时运行。
  • 证明硬件领域早已实现异步、并行,但通用计算选择了另一条路。

6. 当前现实的巨变(2025年)

  • CPU廉价、遍布各处(Raspberry Pi Zero仅5美元)。
  • 网络无处不在,异步事件(传感器、用户交互)是常态。
  • 多核、GPU等大规模并行硬件成为标准。
  • 然而,我们的编程原语仍是阻塞、同步、基于函数的。

7. 第一性原理重置

  • 当前缺乏将异步消息传递作为基本原语的编程范式。
  • 缺乏为廉价CPU网络设计的抽象(而非为昂贵CPU的时间片设计)。
  • 并行、松耦合执行应是默认模式,而非“并发高级主题”。
  • 我们仍在用1972年的范式构建2025年的系统。

结论

函数范式是特定历史约束下的强大工具,但不是计算的唯一基础,也不一定是当今问题的最佳选择。需要认识到这是一种选择而非命运,从当前现实(廉价CPU、网络、异步事件、并行硬件)出发,重新思考编程范式。

文章信息

  • 作者:Paul Tarvydas
  • 相关资源:作者提供Substack、YouTube、Discord、Leanpub等多个平台的链接。
  • 关联文章:《The Marketing of C》(Part 1)。
41. Launch HN: LlamaFarm (YC W22) – Open-source framework for distributed AI (github.com)

LlamaFarm:开源分布式AI平台摘要

LlamaFarm 是一款开源AI框架,旨在实现完全本地化的AI能力部署。其核心价值在于提供企业级AI功能,同时确保数据完全不出本地设备,无需依赖云端服务,也无需支付API费用。

核心优势

  • 完全隐私:所有数据处理均在本地硬件完成。
  • 零成本:使用开源模型,无按量计费。
  • 离线可用:模型下载后即可离线运行。
  • 硬件优化:自动适配并加速Apple Silicon、NVIDIA和AMD的GPU/NPU。

主要功能

LlamaFarm提供了一套完整的本地AI应用构建工具集:

功能 描述
RAG(检索增强生成) 处理PDF、文档、CSV等,并通过AI进行查询。
自定义分类器 使用SetFit,仅需8-16个示例即可训练文本分类器。
异常检测 提供12+种算法,支持批量和流式异常检测。
工具调用(MCP) 通过模型上下文协议连接外部工具。
OCR与文档提取 从图像和PDF中提取文本及结构化数据。
命名实体识别 识别人物、组织和地点。
多模型运行时 支持在Ollama、OpenAI、vLLM或本地GGUF模型间灵活切换。

快速开始

平台提供三种启动方式,均无需复杂配置:

  1. 桌面应用:直接下载适用于Mac、Windows或Linux的安装包即可运行。
  2. 命令行界面(CLI):通过安装脚本快速初始化项目(lf init),并启动服务(lf start),可通过命令进行交互式聊天。
  3. 源码开发:克隆仓库,使用Nx工具初始化并启动后端服务、RAG Worker和通用运行时三个核心服务。

架构与配置

  • 架构:由三个核心服务组成:
    • Server:提供REST API、Web UI(Designer)和项目管理。
    • RAG Worker:异步处理文档的Celery工作进程。
    • Universal Runtime:负责模型推理、嵌入、OCR和异常检测。
  • 配置:所有项目配置集中于一个llamafarm.yaml文件中,定义了模型、提示词、RAG策略、数据集等。支持通过环境变量(${VAR})注入密钥。
  • 运行时:推荐使用内置的Universal Runtime(支持HuggingFace模型及多种专用功能),也支持Ollama和任何OpenAI兼容接口。

使用流程

核心工作流涵盖从数据处理到模型查询:

  1. 初始化项目lf init my-project
  2. 管理数据集与RAG:通过CLI命令或Web UI创建数据集、上传文件(自动或手动处理),并执行RAG查询。
  3. 交互与开发:使用lf chat进行命令行交互,或通过Designer Web UI进行可视化项目管理、数据集管理、提示词工程和配置编辑。
  4. API访问:提供OpenAI兼容的REST API端点,用于聊天补全和RAG查询。
  5. 专用能力调用:直接通过API调用OCR、异常检测、文本分类等专用端点。

扩展与应用

  • 扩展性:支持通过实现新的提供者、向量存储、解析器、提取器等来扩展平台功能。
  • 应用场景:已应用于制药(分析FDA文件)、物联网(传感器实时监控)、金融(欺诈检测)等多个行业。
  • 社区:通过Discord、GitHub Issues和讨论区提供支持。

LlamaFarm 的目标是让用户能够在自己的硬件上构建、部署并完全拥有AI应用。

42. Show HN: MARS – Personal AI robot for builders (< $2k)

MARS: 面向开发者的个人AI机器人(售价低于2000美元)

产品概述 MARS是由Innate公司联合创始人Axel和Vignesh推出的一款通用AI机器人,专为开发者和爱好者设计,售价低于2000美元。其核心是一个基于ROS2构建的开放车载智能操作系统(Agentic OS),旨在提供一个稳定、易用且可扩展的机器人平台,以弥补当前开源爱好者机器人硬件不可靠、软件基础薄弱、且常需额外昂贵配件(如高性能GPU电脑)的不足。

核心硬件配置

  • 出厂状态:机器人出厂时已完成组装和校准。
  • 计算单元:内置Jetson Orin Nano 8GB计算模块。
  • 机械臂:5自由度机械臂,配备腕部摄像头。
  • 传感器:RGBD广角摄像头、2D激光雷达、扬声器。
  • 控制接口:可通过专属App、或连接iPhone/Android的引导臂进行控制。
  • 扩展性:提供2个额外USB端口及GPIO引脚,用于连接外部传感器或执行器。
  • 启动时间:约一分钟。

软件与开发体验

  • BASIC SDK:公司推出的新型软件开发工具包,允许机器人以AI代理形式运行视觉语言动作模型(VLA),实现实时观察、对话、规划和执行。
  • “行为”开发:用户可以创建从简单“Hello World”到涉及长期推理、规划、导航和操作的复杂任务的“行为”程序。
  • 技能训练:可通过训练机械臂或编写代码工具(类似AI代理)来创建可自主运行的技能。
  • 底层控制:支持调用ROS2主题进行底层控制。
  • 共享性:基于SDK创建的内容可通过文件共享轻松分发。

目标与反馈 该产品主要面向爱好者开发者和教育领域。团队欢迎用户反馈,并表示硬件和软件未来将开源。文章发布时,提供了一个临时优惠码(HACKERNEWS-INNATE-MARS)可将价格降至1799美元,并设有Discord社区供潜在贡献者加入。