2025-10-30

46 篇热帖

1. Uv is the best thing to happen to the Python ecosystem in a decade (emily.space)

uv:革新Python生态的工具

uv 是一款由 Astral 公司开发的免费开源工具,旨在彻底简化 Python 环境的安装与管理。其核心价值在于解决 Python 生态中长期存在的痛点,如版本安装、依赖管理与环境隔离的复杂性,并以极致的速度和简洁的工作流著称。

核心功能与优势

  • 一体化管理:可统一处理 Python 版本安装、包管理、虚拟环境创建与维护。
  • 极速:使用 Rust 编写,执行速度远超传统工具,尤其在解析大型项目的依赖冲突时表现突出。
  • 跨平台:支持几乎所有操作系统。
  • 基于标准:围绕现代 Python 项目标准 pyproject.toml 文件工作,确保可重复性。

主要工作流

  1. 安装:通过提供的一行命令轻松安装,且不影响现有 Python 环境。
  2. 项目初始化:使用 uv init 命令快速创建项目骨架,生成 pyproject.toml 等文件。
  3. 环境同步:在项目目录执行 uv syncuv 会自动:
    • 安装合适的 Python 版本。
    • .venv 目录创建虚拟环境并安装所有依赖。
    • 生成 uv.lock 文件,精确锁定依赖版本,确保团队和环境间的一致性。
  4. 运行代码:无需手动激活虚拟环境,直接使用 uv run <命令或脚本>uv 会自动使用正确的环境。
  5. 依赖管理:除手动编辑 pyproject.toml 外,可直接使用 uv add <包名及版本约束> 添加依赖。
  6. 版本固定:通过 uv python pin <版本号> 精确锁定项目使用的 Python 版本。

便捷工具:uvx

uvxuv tool run 的别名)允许用户在不安装完整环境的情况下,快速运行一次性工具。例如:

  • uvx ruff:直接运行代码检查工具。
  • uvx --with pandas ipython:临时安装 pandas 并启动 IPython 会话。 它利用缓存实现快速启动,为临时任务提供了极大便利。

实际应用与价值

文章作者以其参与的开源项目 The Astrosky Ecosystem 为例,说明 uv 如何解决多开发者、多操作系统环境下 Python 环境管理的挑战。uv 确保了所有开发、测试(GitHub Actions)和生产服务器上环境的绝对一致,显著提升了效率和可靠性。

总结uv 通过提供一个快速、统一、可靠的工具链,简化了 Python 项目的环境与依赖管理,被作者誉为“十年来 Python 生态最美好的事物”。

2. Affinity Studio now free (www.affinity.studio)

核心变更: Affinity Studio 现已免费,用户只需登录或注册一个免费的Canva账户即可下载使用。这是一款集矢量设计、图像编辑和页面排版于一体的专业创意软件,现无需付费即可获得其全部功能。

主要功能亮点:

  • 一体化工具: 在单一应用中提供矢量设计、照片编辑和页面布局的全套专业工具。
  • 高性能与灵活性: 具有实时性能引擎,支持非破坏性编辑、自定义工作空间,并能够高保真地导入/导出多种格式(如PSD、AI、PDF等)。
  • 强大工具集: 包括精确的矢量绘图工具、高级修图工具(如内容识别填充、色阶调整)、专业排版功能以及支持可变字体等。
  • 与Canva整合:
    • 可直接快速导出至Canva。
    • 使用Canva高级计划(如Pro、Business、Enterprise)的用户,可在Affinity内解锁并使用Canva AI工作室的强大功能,例如:生成式填充、扩展、图像/矢量生成、背景移除、肖像模糊和深度选择等。

重要信息与常见问题解答:

  1. 免费性质: Affinity提供的并非功能阉割版,所有矢量、像素和布局工作室的工具及自定义、导出功能均可无限免费使用,且未来会持续免费更新。
  2. AI工具要求: Canva AI功能需要Canva高级订阅计划才能解锁。
  3. 平台与兼容性:
    • 目前适用于Windows和macOS系统,iPadOS版本即将推出。
    • 新版应用可以打开由旧版Affinity(V1、V2)创建的文件,但旧版无法打开新版创建的.af文件。
  4. 账户与授权:
    • 需要使用Canva账户下载和激活。激活后,可支持离线使用,但部分在线功能(如帮助、课程、素材库及AI工具)需联网。
    • 拥有旧版Affinity V2许可证的用户仍可继续使用,但不会收到后续更新。
  5. 其他特性: 支持数据合并、多种语言界面,并允许在无限数量的设备上安装。

总结: 此次更新将Affinity从一款付费专业软件转变为一个完全免费的、由Canva支持的全能创意平台,降低了专业设计工具的使用门槛,并通过与Canva AI的深度整合增强了其功能。

4. Minecraft removing obfuscation in Java Edition (www.minecraft.net)

Minecraft Java版将移除代码混淆

自发布以来,《Minecraft:Java版》一直使用混淆技术(即隐藏部分代码),这是游戏行业的常见做法。现在,官方宣布将改变Java版的分发方式,完全移除代码混淆。此举旨在为Java版模组的创建、更新和调试铺平更便捷的道路,进一步促进玩家的创造力。

混淆的历史与改进 长期以来,混淆导致模组开发者无法直接查看源代码,只能尝试破解混乱的代码。为简化此过程,官方在2019年发布了“混淆映射表”,帮助开发者匹配混淆术语与原始术语,但该过程依然繁琐。

新变化:彻底移除混淆 为彻底简化,官方将完全移除混淆。从“Mounts of Mayhem”更新完成后的第一个快照版本开始,《Minecraft:Java版》将不再混淆。这意味着游戏文件将默认包含所有原始名称*(包括变量名、字段名、方法名、类名等),大幅降低模组制作难度。

对模组开发者的影响 此变更可能对现有模组开发工具构成挑战,因为这些工具通常为混淆代码设计。为此,官方将提供过渡支持:从下一个快照开始,将同步提供未混淆的“实验性发布”版本,供开发者测试工具和流程。待“Mounts of Mayhem”更新完成后,首个快照版将正式成为首个未混淆版本。

变更原因与目的 模组是Java版的核心之一,而混淆增加了模组开发难度。移除混淆旨在加快模组创建与改进速度,开发者无需再纠结于复杂或含义不清的代码。此外,调试将更直接,崩溃日志也将更易读。

用户许可协议(EULA)不变 此次变更不影响《Minecraft》最终用户许可协议(EULA)及《Minecraft使用指南》,二者仍适用于Java版及其模组。为提高透明度,游戏jar文件中将新增一个LICENSE文件,直接链接至EULA。

模组开发者可期待的具体变化:

  • 版本.json文件中不再需要混淆映射。
  • 客户端和服务器的.jar文件将不再被混淆。
  • 每个.jar文件将包含新的LICENSE文件。

官方欢迎玩家在此过渡期提供反馈,共同迈向更透明的未来。

5. Free software scares normal people (danieldelaney.net)

自由软件吓坏了普通人

问题现象

作者作为亲友中的“技术支持”,发现普通人在处理计算机任务时,尤其是视频格式转换时常常遇到困难。许多在技术上强大的自由软件(FOSS),例如 Handbrake,其用户界面(UI)是为高级用户(power user) 设计的。这导致普通用户在使用时感到困惑与挫败,最终选择放弃或转而求助他人。

解决方案与案例

作者以自己开发的 MagicBrake 为例,提出了一种解决思路。该工具是 Handbrake 的简化前端,仅保留了大多数人最需要的核心功能:将不常见的视频文件转换为通用的、体积小的 MP4 格式。其界面极其简单,只有一个按钮。

设计理念与反驳

作者认为,这种为特定用户群体简化功能的做法是必要且高效的。针对“为何削弱软件功能”、“如何满足其他格式需求”等质疑,作者回应:有更复杂需求的用户可以使用功能完整的原版软件;而对于那些觉得原版令人困惑的普通用户,简化版能让双方都受益。他将其比作用胶带遮盖电视遥控器上不常用的按钮——功能依然存在,但不会干扰基本操作。

呼吁与总结

作者指出,当前存在大量因界面复杂而未被普通用户充分利用的优秀自由软件(如媒体服务器、音频编辑软件、网络监控工具等)。其核心观点是:80% 的用户通常只需要 20% 的功能。通过隐藏或简化那些不常用的功能,可以显著提升大多数用户的生产效率和使用体验。作者因此向开发者社群发出挑战,鼓励更多人为解决此类“最后一公里”问题而创造简单的前端工具,认为这类工作潜力巨大且意义深远。

8. ICE and CBP agents are scanning faces on the street to verify citizenship (www.404media.co)

ICE和CBP特工在街上使用面部识别验证公民身份

文章报道了一起事件,视频记录了美国移民和海关执法局(ICE)和海关与边境保护局(CBP)特工在公共场合使用面部识别技术验证公民身份。具体案例发生在芝加哥,特工在白天拦截了两名骑自行车的年轻人。

  • 事件过程:一名边境巡逻特工询问一名男孩是否有ID。男孩表示他出生在美国,即美国公民,但没有携带ID。随后,特工呼叫另一名同事进行“面部扫描”。该同事使用手机摄像头直接对准男孩的脸部,在阳光下停留几秒钟进行扫描,然后查看屏幕并要求男孩验证姓名。
  • 技术应用:特工通过移动设备实施面部识别,推测使用名为“Mobile Fortify”的工具,用于快速验证个人身份。这反映了ICE和CBP在街头执法中采用生物识别技术的趋势。
  • 文章背景:文章还包含作者呼吁提供更多类似视频或信息的内容,以调查面部识别技术的使用情况,并提到了付费会员和免费订阅的推广部分。

该事件突显了执法机构在非正式场景中部署面部识别技术的实践,可能引发隐私和公民自由方面的关注。

9. Ventoy: Create bootable USB drive for ISO/WIM/IMG/VHD(x)/EFI Files (github.com)

Ventoy 摘要

核心功能

Ventoy 是一款开源工具,用于创建可启动的 USB 驱动器,支持直接引导 ISO、WIM、IMG、VHD(x)、EFI 等多种镜像文件。无需反复格式化磁盘,只需将镜像文件复制到 USB 驱动器即可启动。支持一次复制多个镜像文件,并通过启动菜单选择引导。

主要特点

  • 使用简单:直接复制镜像文件,无需解压或额外操作。
  • 广泛兼容
    • 支持多种启动模式:x86 Legacy BIOS、IA32 UEFI、x86_64 UEFI、ARM64 UEFI、MIPS64EL UEFI。
    • 支持 MBR 和 GPT 分区样式。
    • 支持主流操作系统,包括 Windows、Linux、Unix、ChromeOS 等。
  • 性能高效:启动速度仅受限于复制文件的速度。
  • 安装灵活:可安装到 USB、本地硬盘、SSD、NVMe、SD 卡等设备。
  • 文件浏览与启动:支持浏览并直接启动本地磁盘上的镜像文件。
  • 高级功能
    • 支持 Linux 持久化存储。
    • 支持 Windows 和 Linux 自动安装。
    • 支持文件注入、配置动态替换、自定义主题和菜单。
    • 支持密码保护、写保护 USB 驱动器。
    • 升级 Ventoy 时不会破坏现有数据。
  • 完全开源

支持的系统

经过测试,Ventoy 支持超过 1300 个镜像文件,包括:

  • Windows:Windows 7/8/10/11、Windows Server 多个版本、WinPE。
  • Linux:涵盖绝大多数发行版,如 Ubuntu、Debian、CentOS、Fedora、Arch Linux、Linux Mint 等。
  • Unix:FreeBSD、pfSense、TrueNAS 等。
  • ChromeOS:FydeOS、ChromeOS Flex 等。
  • 其他:VMware ESXi、Citrix XenServer 等。

安装与使用

详细的安装和更新说明可在官方文档中找到:安装指南。Ventoy 还提供图形化插件配置器(VentoyPlugson)和丰富的插件系统,支持自动安装、主题定制、菜单管理等高级设置。

相关资源

  • 官方网站https://www.ventoy.net
  • 论坛https://forums.ventoy.net
  • 文档:提供安装、安全启动、插件使用、常见问题等全面文档。
  • 支持开发:可通过支付宝、微信支付、PayPal 或比特币进行捐赠。
10. Tailscale Peer Relays (tailscale.com)

Tailscale Peer Relays 摘要

核心概述

Tailscale Peer Relays 是一项由客户自行部署和管理的流量中继机制。通过将一个 Tailscale 节点宣告为 Peer Relay,它可以为同一 tailnet 中的任何对等节点中继流量,甚至包括发往自身的流量。它专为解决在严格 NAT、防火墙或云环境中直接连接困难或性能受限的问题而设计。

主要优势

  • 高性能:由于完全由客户管理,其吞吐量不受 Tailscale 托管 DERP 中继的约束,测试中连接速度接近直接连接,比托管 DERP 高出多个数量级。
  • 易于部署:直接内置在 Tailscale 客户端中,只需一条命令即可启用,无需像自定义 DERP 那样运行额外的服务和二进制文件。
  • 灵活性与控制权:客户可以将 Peer Relay 部署在紧邻其服务资源的位置,从而优化延迟和资源开销。它使用 UDP,进一步提升了效率。
  • 安全与兼容性:所有流量均通过 WireGuard® 端到端加密。Peer Relay 仅服务于其所属 tailnet 中有访问权限的节点。它能与现有的连接策略无缝集成。

工作原理与连接优先级

  • 通过配置一个 UDP 端口,该端口必须对连接双方可用。
  • 启用后,Tailscale 的连接优先级为:首选直接连接 -> 其次回退到可用的 Peer Relay -> 最后利用 Tailscale 托管 DERP 或客户自定义的 DERP 确保连接。
  • 这种设计在追求高性能的同时,保留了广泛的连接兼容性。

适用场景

  • 通过云 NAT(如 AWS NAT 网关)进行高吞吐流量传输
  • 穿透严格网络防火墙:只需开放一个 UDP 端口,简化防火墙例外审批。
  • 减轻对 DERP 的依赖:减少通过 Tailscale 托管 DERP 网络的数据传输,并消除维护自定义 DERP 服务器的需要。
  • 提供对受限客户网络的访问:在客户网络中设置可预测的中继端点,实现跨网络连接。

当前状态与定价

  • 目前处于 公开测试 阶段。
  • 所有套餐(包括免费版)均可启用。
  • 所有客户可永久免费使用 两个 Peer Relay
  • 如需更多 Peer Relay,可与 Tailscale 联系。
12. Dithering – Part 1 (visualrambling.space)

文章标题:Dithering – Part 1

本文内容为网站 visualrambling.space 的自我介绍。主要内容包括:

  • 作者身份:网站由一位热爱探索新话题并进行视觉化探讨的创作者 Damar 创建。
  • 网站性质:一个用于分享视觉化思考和探索的个人空间。
  • 合作意向:作者明确表示愿意接受合作项目或委托创作。
  • 联系方式:提供了多个社交媒体平台链接(X/Twitter、Bluesky、LinkedIn、RSS)以及联系邮箱 [email protected]

请注意,本文实际内容并未涉及“Dithering(抖动)”技术本身,仅为该系列文章的发布者介绍页面。

13. Raspberry Pi Pico Bit-Bangs 100 Mbit/S Ethernet (www.elektormagazine.com)

树莓派 Pico 通过软件模拟实现 100 Mbit/s 以太网

开发者 Steve Markgraf 仅通过软件和可编程 I/O (PIO) 在树莓派 Pico 上实现了 100 Mbit/s 快速以太网发射。这延续了之前在 Pico 上通过软件模拟实现 10 Mbit/s 以太网和 USB 的里程碑项目。

技术实现 该实现(命名为 Pico-100BASE-TX)利用 PIO 和 DMA,在 125 MHz 的符号率下执行 MLT-3 编码、4B5B 线路编码和扰码。其结果是通过 UDP 协议可实现约 11 MB/s 的传输速率,并演示了实时音频和 ADC 数据流。

项目细节

  • 状态:这是一个仅用于发射的概念验证项目。
  • 安全警告:切勿连接至支持 PoE(以太网供电)的设备。建议使用脉冲变压器或中间以太网交换机进行隔离。
  • 示例应用:仓库中包含计数器、内部 ADC 数据流传输,以及使用 PCM1802 转换器进行 75 kHz 音频演示的示例。
  • 支持平台:该库支持 RP2040 和较新的 RP2350(Pico 2),可使用标准 Pico SDK 构建。

意义与潜力 此项目展示了微控制器在专用网络芯片之外处理高速数据传输的可能性。能够在 Pico 上实现 11 MB/s 的以太网传输,为构建紧凑、低成本的测试仪器、远程传感器或实验性网络接口奠定了基础,同时也引发了对廉价微控制器上软件定义硬件能力极限的思考。

14. Show HN: In a single HTML file, an app to encourage my children to invest (roberdam.com)

这篇文章介绍了作者为教育孩子投资而创建的一个单页HTML应用D-investments

  • 初衷与背景:作者认为学校不教授个人财务管理。在大儿子生日时,他建议孩子将礼物换成现金,用于首次投资实践。为了让抽象的投资增长过程变得可视化,作者决定创建一个简单的应用。
  • 应用概况:该应用是一个单HTML文件,可作为渐进式网络应用(PWA) 安装在手机上。其名称结合了“消遣”和“投资”的概念。
  • 工作原理:作者将安装了应用的旧手机附在冰箱上,作为一个实时仪表盘。孩子们可以每天看到投资的增长。作者作为他们的“投资代理”,设定一个既能保持孩子兴趣、又贴近现实的模拟利率
  • 配置与显示:应用内包含一个配置页面,可输入孩子的姓名、投资金额、利率和起始日期。基于这些数据,应用会自动计算并显示每日、每周、每月的收益以及更新后的总余额。
  • 所需材料:仅需一部旧智能手机、一个将其固定在冰箱上的吸盘支架,以及该HTML应用本身。
  • 安装与使用:用户只需在智能手机浏览器中打开提供的链接并点击“安装”即可。安装后,应用的使用体验类似于原生应用。
  • 教育目标:该项目的最终目的不仅是教孩子关于金钱的价值,更是通过直观的每日增长,让他们理解复利的魔力,认识到时间如何成为投资的盟友。
16. Show HN: I made a heatmap diff viewer for code reviews (0github.com)

代码审查热图差异查看器 (Heatmap Diff Viewer)

本文介绍了一款新发布的开发工具,其核心是一个专为代码审查设计的热图差异查看器

项目信息:

  • 发布平台: 通过“Show HN”(Hacker News)进行展示。
  • 开发者: 一个专注于应用AI的开源实验室。
  • 项目定位: 旨在构建下一代开发工具。
  • 相关产品: 该实验室同时开源了一款面向编程代理的终端。

核心功能: 该工具的主要创新点在于利用热图的形式来可视化代码差异。这种可视化方法旨在帮助开发者在审查代码变更时,更直观、快速地识别出修改的集中区域、变化的热点以及可能的风险点,从而提升代码审查的效率和准确性。

所属生态: 该项目是开发者所在实验室“构建下一代开发工具”愿景的一部分。实验室的另一个开源项目是一个“为编程代理构建的开源终端”,这暗示了该热图差异查看器可能与其他AI辅助开发工具或自动化工作流有潜在的集成前景,但当前描述未提供具体细节。

17. Composer: Building a fast frontier model with RL (cursor.com)

Composer: 构建基于强化学习的快速前沿模型

Composer是Cursor推出的新代理模型,专为软件工程智能和速度设计。在内部基准测试中,该模型实现了前沿编码成果,生成速度比类似模型快四倍。

模型训练与性能

  • 通过强化学习(RL)训练Composer,使其在大型代码库中完成现实世界的软件工程挑战。
  • 训练期间,模型可访问生产级搜索和编辑工具(如文件读取、编辑、终端命令和代码库语义搜索),高效解决多样化的复杂问题。
  • 模型针对高速代理使用进行优化,适用于交互式编码环境,保持开发者流畅的工作流。

模型架构与特点

  • Composer是混合专家(MoE)语言模型,支持长上下文生成和理解。
  • 通过RL在多种开发环境中专门化,模型被激励高效使用工具、最大化并行性,并最小化不必要的响应。
  • 在RL过程中,模型自主学习有用行为,如复杂搜索、修复linter错误、编写和执行单元测试。

评估基准

  • 使用Cursor Bench基准衡量模型实用性,该基准包含来自Cursor工程师和研究人员的真实代理请求,以及手工策划的最佳解决方案。
  • 评估不仅关注正确性,还衡量对代码库现有抽象和软件工程实践的遵守程度。

训练基础设施

  • 构建自定义训练基础设施,基于PyTorch和Ray,支持大规模异步强化学习。
  • 采用低精度训练(MXFP8 MoE内核与专家并行性和混合分片数据并行性),可扩展到数千个NVIDIA GPU,通信成本最小,并实现更快的推理速度。
  • 为支持训练,重写虚拟机调度器以管理数十万个并发沙箱编码环境,统一RL与生产环境。

工具集成与应用

  • 训练中模型可调用Cursor Agent工具集,包括代码编辑、语义搜索、字符串查找和终端命令。
  • Composer已集成到Cursor中,内部团队在日常开发中广泛使用,旨在成为用户有价值的软件工程工具。

性能对比

  • 在内部基准上,Composer归类为"快速前沿"模型(类似Haiku 4.5和Gemini Flash 2.5),优于"最佳开放"模型(如Qwen Coder和GLM 4.6),但次于"最佳前沿"模型(如GPT-5和Sonnet 4.5)。速度指标基于最新Anthropic分词器标准化计算。
18. RISC-V takes first step toward international ISO/IEC standardization (riscv.org)

RISC-V 已成为一种公开可用的行业标准规范,由 RISC-V 国际组织及其成员集体定义和投票决策,确保透明度与兼容性。其最新进展是获得了 ISO/IEC 联合技术委员会(JTC 1)的“公开可用规范(PAS)提交者”认可,迈出了成为正式国际标准的第一步。

这意味着 RISC-V 国际组织能够首先提交《RISC-V 指令集手册》作为国际标准草案。JTC 1 负责监督 JPEG、MPEG、C/C++ 等众多基础 IT 标准的制定。获得 PAS 提交者资格不仅是一个程序步骤,它验证了 RISC-V 国际组织在成员开放性、流程合规性等方面符合国际标准化要求,并加强了其协作网络。

国际标准(如 ISO/IEC 标准)对于确保不同厂商产品的互操作性、降低集成成本、扩大市场准入至关重要。例如,Wi-Fi 标准确保了不同设备间的可靠通信。一旦 RISC-V ISA 成为 ISO/IEC 国际标准,将显著增强全球市场对它的接受度,因为它在众多国家被视为制定国家标准的基础。

此次标准化将使合规的 RISC-V 实现产品能够声明符合国际标准,并与非合规衍生物明确区分。值得注意的是,此前尚无指令集架构(ISA)获得国际标准地位,这凸显了 RISC-V 作为开放协作技术的独特性。RISC-V ISA 在过去九年间保持稳定并被广泛采用,未来将继续与 JTC 1 合作,推动其扩展指令集的标准化。

19. Introducing architecture variants (discourse.ubuntu.com)

标题: 引入架构变体:amd64v3 现已在 Ubuntu 25.10 中可用

摘要:
Ubuntu 一直以来以高兼容性作为其 Linux 发行版的优势之一,但这往往需要在前沿性能上做出权衡。在 Ubuntu 25.10 中,系统新增了对特定硬件架构变体(如 amd64v3)软件包的支持,使用户能够在保持兼容性的同时获得更优的性能,实现两者兼顾。这一变化意味着 Ubuntu 用户现在可以选择针对特定处理器特性优化的软件版本,从而在不牺牲系统广泛兼容性的前提下,提升硬件利用率与运行效率。

20. NPM flooded with malicious packages downloaded more than 86k times (arstechnica.com)

NPM遭恶意软件攻击,超8.6万次下载涉及126个恶意包

攻击概述

安全公司Koi于周三披露,攻击者自8月以来持续利用NPM代码仓库的重大安全漏洞,投递超过126个窃取凭证的恶意软件包,总下载量超8.6万次。该攻击活动被命名为“PhantomRaven”,截至周三上午仍有约80个恶意包处于活跃状态。

技术原理:远程动态依赖

攻击核心利用了NPM的“远程动态依赖”功能。该功能允许软件包从不可信域名自动下载并运行未经审查的依赖项,且这些下载对开发者及多数安全扫描工具不可见。

具体特征包括:

  1. 绕过静态分析:恶意依赖项不显示在软件包的依赖列表中(显示为“0个依赖”)。
  2. 动态下载机制:每次安装时从攻击者服务器实时拉取依赖,而非使用缓存或版本化静态文件。
  3. 使用非加密协议:部分恶意依赖通过HTTP等未加密连接下载(例如http://packages.storeartifact.com/npm/unused-imports)。

攻击影响与现状

  • 攻击者利用NPM生态的信任机制,通过合法包形式传播恶意代码。
  • 传统安全检测工具因无法识别动态下载依赖而存在盲区。
  • 安全专家指出,该攻击展示了攻击者对安全工具薄弱环节的利用日趋复杂。
21. Apple’s Persona technology uses Gaussian splatting to create 3D facial scans (www.cnet.com)

Apple Vision Pro Persona技术概述

核心功能

Persona是Apple Vision Pro头显中的虚拟替身功能,允许多名佩戴者通过3D扫描创建的逼真虚拟形象进行实时FaceTime通话和协作。该功能现已结束测试阶段,成为Vision Pro头像系统的一部分。

关键技术

  • 高斯溅射(Gaussian splatting):利用机器学习从2D图像序列生成逼真3D面部扫描。该技术结合了十余个神经网络,专注于扫描人物而非环境。
  • 扫描改进:新版本Persona支持多角度细节渲染(如首饰、睫毛),并实现身体与面部的整体扫描,提升真实感。
  • 设备端处理:所有图像处理均在Vision Pro设备本地完成,无需上传数据。

当前特点

  • 单一时段仅支持一个Persona:与Apple ID绑定,用户可重新扫描更换形象。
  • 应用场景扩展:支持最多五人协作,共享虚拟空间和物体;已有医疗培训等商业用例。
  • 真实性目标:Apple强调Persona旨在实时忠实呈现用户外貌、动作和表情,而非创建复制体。

技术局限与未来展望

  • 硬件限制:目前需通过Vision Pro头显扫描和渲染,未来可能扩展至iPhone、iPad等设备,但需兼顾传感与显示技术。
  • 与其他技术的关联:类似高斯溅射技术已用于Vision Pro的“空间场景”(Spatial Scenes)照片3D转换。
  • 虚拟身份意义:Persona被视为Vision Pro中替代摄像头拍摄的视觉身份方案,旨在增强远程交互的真实感。

行业对比

相比Meta的Codec虚拟形象、Snap的AR眼镜尝试或早前Nreal的3D扫描应用,Apple的Persona在头显设备中实现了更成熟的实时逼真替身效果。

23. PlanetScale Offering $5 Databases (planetscale.com)

PlanetScale 推出了新的 $5 数据库选项,即 PS-5 节点,适用于单节点、非高可用模式,旨在为开发者和测试环境提供更低成本的入门选择。此前,PlanetScale 的入门配置为 3 节点、多 AZ、高可用集群,每月 $30,但许多用户不需要高可用性,并希望更经济的方式使用其质量和功能(如 Insights)。新推出的 PS-5 节点价格为每月 $5,适用于开发、测试和非关键工作负载,用户可垂直扩展单节点,无需添加副本或牺牲耐久性。新的入门价格表包括 PS-5(arm 和 intel)单节点 $5、PS-10(arm)单节点 $10、PS-10(intel)单节点 $13、PS-10(arm)高可用 $30 和 PS-10(intel)高可用 $39。这一变化允许初创公司从低成本开始,未来无缝扩展到超大规模,避免紧急迁移和数据库平台更换的复杂性。

24. Crunchyroll is destroying its subtitles for no good reason (daiz.moe)

Crunchyroll 字幕质量严重下降事件

核心问题

Crunchyroll 自2025年秋季动画季起,大幅降低了字幕呈现质量,尤其体现在移除了“排版”功能。排版是指对屏幕内文本(如招牌、特效文字)进行样式化、定位和设计的本地化艺术。这导致翻译文本与对话字幕混乱堆叠,屏幕文本翻译缺失或可读性极差。该问题已从新番蔓延至部分老作品目录,引发了对排版功能将被永久废弃的担忧。

原因分析

  1. 公司合并与管理变动:索尼收购Crunchyroll后,将其与Funimation合并,原Funimation管理层接管。Funimation历史上对字幕质量重视不足。
  2. 追求“行业标准”:管理层希望将字幕流程简化,与Netflix、Amazon等主流流媒体平台对齐。但这些平台的字幕标准(如严格限制屏幕文字行数、不支持高级排版)不适合动画中丰富的屏幕文字需求。
  3. 技术更迭:Crunchyroll计划弃用长期使用的免费开源软件Aegisub及ASS字幕格式,转而使用商业云端软件OOONA Tools及TTML格式。后者功能受限,难以实现高质量排版。
  4. 成本削减意图:合并后公司进行了多轮裁员。管理层可能希望通过简化流程、使用第三方低成本服务商甚至AI来进一步削减人力成本。

历史背景

  • Crunchyroll:曾为提升字幕质量投入资源,逐步完善了基于ASS格式的排版能力(支持定位、多行、字体、色彩等),成为业界标杆。
  • Funimation:字幕标准长期较低,几乎不进行排版,且质量在后期有所下降。

当前状况与官方回应

  • 2025年秋季多部热门新番出现无字幕、大量台词缺失等技术问题。
  • Crunchyroll于2025年10月9日声明问题已解决,但未明确说明是技术故障还是排版移除,并否认了流程变更,该声明被认为缺乏诚意
  • 部分新番字幕后来被更新加入了排版,但调查发现这些字幕原本就已完成,Crunchyroll是故意先提供低质量版本
  • 老作品目录字幕也被更新为更低质量版本,显示了彻底废弃排版的计划

行动呼吁

作者呼吁用户及公众:

  1. 取消Crunchyroll订阅,并在取消原由中明确说明因“字幕质量差”和“缺少排版”。
  2. 广泛传播此事件,持续施压,直至Crunchyroll做出明确公开承诺:继续生产包含排版的高质量字幕。
  3. 立即行动,因为内部消息显示管理层仅将用户反对视为微小阻力,可能仅推迟而非取消其计划。

更新信息(截至2025年11月24日)

  • 老作品目录的低质量字幕可能源自合并前的FunimationNow,而非新近变更,这或许意味着Crunchyroll并非计划完全清除高质量字幕库。但未来排版前景依然不容乐观
  • 有内部信息指出,管理层面可能计划用第三方本地化服务商(可能使用AI/机翻)取代现有热爱动画的第一方字幕团队,这将进一步降低质量。
25. Extropic is building thermodynamic computing hardware (extropic.ai)

Extropic 公司正在开发热力学计算硬件

该公司致力于构建一种比GPU能效显著更高的热力学计算硬件。其核心产品是“热力学采样单元”,该单元具有内在的概率特性,非常适合概率性AI计算任务。同时,公司推出了名为THRM的开源Python库,供开发者编写热力学算法并模拟其在TSU上的运行。此外,Extropic正在招聘工程师和科学家,以开拓这一新的计算范式。

26. Responses from LLMs are not facts (stopcitingai.com)

文章总结:LLM的回复不是事实

本文旨在告诫读者,不应将大型语言模型的输出视为事实或权威来源。

核心观点

  • 本质非事实:ChatGPT、Claude等LLM的回复并非事实陈述,其本质是基于概率预测下一个最可能出现的词语序列。
  • 可能不准确:尽管输出听起来合理、具有说服力,但其信息可能不准确、不可靠,甚至存在“幻觉”。
  • 根本局限:LLM如同一个读过海量书籍却记不清出处的人,擅长语言组织但缺乏真正的理解和事实记忆。其回答是词语的常见组合,而非真理或最终定论。

行为建议

  • 切勿盲目引用:不应将聊天机器人的回答直接复制粘贴并作为权威信息发送给他人。这种行为本质上是传递“经常一起出现在句子中的词语组合”。
  • 保持批判思维:作者强调喜爱LLM和机器学习技术,但反对人们因此放弃独立思考和判断。

问题普遍性

文章附有多篇来自OpenAI、牛津大学、纽约时报、MIT、路透社、自然杂志等权威机构的参考文献,以佐证LLM存在事实错误和“幻觉”问题,这些风险已广泛影响科学研究、法律案件、医疗建议乃至社会生活等多个领域。

28. The International Criminal Court wants to become independent of USA technology (www.heise.de)

According to Handelsblatt, the International Criminal Court is kicking out US service providers like Microsoft. And is relying on German alternatives.

29. Alphabet tops $100B quarterly revenue for first time, cloud grows 34% (www.cnbc.com)

Alphabet季度收入首次突破1000亿美元,云业务增长34%

Alphabet第三季度收益超出分析师预期,盘后股价上涨5%。以下是关键财务数据对比分析师预期:

  • 收入:1023.5亿美元 vs 预期998.9亿美元。
  • 调整后每股收益:3.10美元 vs 预期2.33美元。
  • YouTube广告收入:102.6亿美元 vs 预期100.1亿美元。
  • Google Cloud收入:151.5亿美元 vs 预期147.4亿美元。
  • 流量获取成本:148.7亿美元 vs 预期148.2亿美元。

云业务表现强劲,收入同比增长35%,得益于人工智能需求的增长。公司宣布将2025财年资本支出预期从850亿美元上调至910亿至930亿美元,主要用于数据中心等技术基础设施建设。首席财务官Anat Ashkenazi表示,2026年资本支出预计将显著增加。

首席执行官Sundar Pichai指出,新业务增长强劲,Google Cloud加速,季度末积压订单达1550亿美元,主要来自企业AI基础设施(包括芯片和Gemini 2.5)的需求。今年前九个月签署的10亿美元以上交易数量超过前两年总和。超过70%的现有Google Cloud客户使用其AI产品。

AI产品方面,Gemini月活跃用户超过6.5亿,较上季度的4.5亿大幅增长。搜索业务收入565.6亿美元,同比增长15%。广告总收入741.8亿美元,高于去年同期的658.5亿美元。

净利润增至349.7亿美元,每股2.87美元,而去年同期为263亿美元,每股2.12美元。但9月欧盟反垄断罚款34.5亿美元影响了净利润。Other Bets部门(包括Verily和Waymo)收入3.44亿美元,低于去年同期的3.88亿美元,亏损14.2亿美元。

总体而言,Alphabet股价今年已上涨45%,反映其强劲的业绩和市场信心。

31. A century of reforestation helped keep the eastern US cool (2024) (news.agu.org)
# 一个世纪的重新造林帮助美国东部保持凉爽

## 研究背景
20世纪期间,全球大部分地区经历变暖,但美国东部却出现异常凉爽的“变暖空洞”现象。此前研究认为这可能与气溶胶、农业活动或降水增加有关,但这些因素通常只能解释局部冷却。一项发表于《地球的未来》期刊的新研究指出,美国东部一个世纪以来的大规模重新造林可能是该区域抵消气候变暖的关键因素之一。

## 历史变化
在欧洲殖民之前,美国东部几乎被温带森林完全覆盖。从18世纪末到20世纪初,过度砍伐和农业开垦导致部分地区森林损失超过90%。20世纪30年代起,通过主动造林计划以及劣质农田废弃后的自然再生,东部森林开始恢复。截至目前,该区域已恢复约1500万公顷森林。

## 研究方法
研究团队结合卫星数据、58个气象塔的观测数据以及398个气象站的长期记录(1900–2010年),分析了森林覆盖与地表及近地面空气温度的关系。通过将森林与附近的草地、农田进行对比,量化了森林的降温效应。

## 主要发现
1. **降温效应显著**:东部森林使年均地表温度降低1–2°C。在夏季正午,降温效果最强,可达2–5°C。
2. **空气温度下降**:森林还能将正午的近地面空气温度降低最高1°C,这一发现突破了以往仅关注地表温度的研究局限。
3. **空间扩展影响**:到20世纪末,森林覆盖区的气象站比未重新造林区域凉爽达1°C,且降温效应可辐射至周围300米范围,表明森林对周边环境也有间接冷却作用。
4. **对“变暖空洞”的贡献**:研究认为,重新造林是美国东部变暖滞后于全球趋势的重要原因之一,但并非唯一因素(如农业灌溉变化等也可能有影响)。

## 研究意义
- **气候适应策略**:该研究突出了森林不仅可通过固碳助力气候减缓,还能作为区域气候适应工具,缓解局部变暖。
- **实践指导**:研究结果支持大规模重新造林和城市绿化项目,但需注意不同环境下的效果可能不同(如雪覆盖的北方地区造林可能产生增温效应)。

## 研究局限性
作者指出,重新造林只能部分解释美国东部的冷却异常,其他人为或自然因素也可能发挥作用。此外,森林对降水、云层等区域气候过程的影响仍需进一步研究,以便更全面地评估森林在气候适应中的作用。

---
**来源**:Barnes, M. L., et al. "A Century of Reforestation Reduced Anthropogenic Warming in the Eastern United States." *Earth's Future*, 2024.
32. Independently verifying Go's reproducible builds (www.agwa.name)

Go 1.21 引入了一个功能:当编译的 Go 模块需要更高版本的工具链时,go 命令会自动下载并使用该工具链。虽然方便,但这引发了对供应链攻击的担忧。

为应对这些担忧,Go 项目采取了两个关键措施:

  1. 从 Go 1.21 起,每次构建都确保生成完全相同的工具链压缩包,保证了可复现性。
  2. 在公开透明日志 “Go 校验和数据库” 中发布每个工具链压缩包的校验和,以便 go 命令进行验证。

这些措施旨在让用户确信,下载的二进制文件与从源码构建的结果一致,并且全球用户获得的都是相同的二进制文件。然而,若无人独立验证,这些措施的效果会大打折扣。

鉴于作者拥有参与 Debian 可复现构建项目和监控证书透明度日志的经验,他决定进行独立审计。他扩展了自己运营的 “Source Spotter” 审计工具。该工具监控校验和数据库,并新增了验证工具链可复现性的功能。

Source Spotter 的工作流程如下:

  • 当检测到新工具链版本时,下载其源码。
  • 在 AWS Lambda 函数中构建该工具链。
  • 比较生成的压缩包校验和与数据库中的记录是否一致。
  • 任何不匹配都会在其网站和 Atom 订阅源上公布。
  • 截至发布时,已成功复现自 Go 1.21.0 以来的 2672 个工具链。

引导构建链与安全考量

  • 构建 Go 工具链需要一个早期版本的 Go。
  • 为了复现 Go 1.21-1.23,作者从 Go 1.4.3(使用 C 编译器构建)开始,逐步构建到 Go 1.20.14。并且在不同操作系统(Debian, Amazon Linux)和编译器(GCC, Clang)上重复此过程,结果字节完全一致,极大降低了编译器后门的风险。
  • 对于 Go 1.24 及更高版本,则使用之前已验证过可复现性的二进制工具链。

遇到的问题

  • macOS 工具链签名:Google 发布的 macOS 工具链包含其私钥签名,无法复现。Source Spotter 需下载工具链并剥离签名后,再与复现的工具链进行校验。
  • linux-arm 构建参数:构建某些版本的 linux-arm 工具链需设置 GOARM=6(但 Go 1.21.0 误用了 GOARM=7),这是构建工具 cmd/dist 的设计所致。
  • 无效版本号:校验和数据库中存在一个错误发布的 Go 1.9.2rc2 记录,由于透明日志的特性无法删除,工具需做特殊处理。

源码透明性问题与讨论

  • 当前验证基于下载的源码压缩包,而 Google 可能向 Source Spotter 提供含有后门的特定源码。
  • 解决方案讨论:1) 改为构建校验和数据库中已记录的工具链压缩包内包含的源码;2) 从 Go 的 Git 仓库构建并发布提交 ID,利用 Git 的碰撞检测机制保障安全,便于社区核对。

结论: Go 项目通过校验和数据库与可复现工具链,在保留中心化便利性的同时,兼顾了去中心化的安全优势,树立了行业标杆。Source Spotter 作为独立第三方,成功验证了其设计的有效性。

33. Llamafile Returns (blog.mozilla.ai)

Mozilla.ai 正式采用 llamafile 项目,旨在推动开放、本地化且优先保护隐私的AI发展,并邀请社区共同塑造其未来。

项目核心与采用原因

  • llamafile 简介:该项目创建于2023年,基于 cosmopolitan 库构建,可实现一次编译,在多种操作系统(如 macOS、Linux、Windows)上运行。每个 llamafile 将服务器代码和模型权重打包成一个独立的可执行文件,极大简化了本地大语言模型(LLM)的部署流程。
  • Mozilla.ai 的使命:Mozilla.ai 致力于构建可信赖、透明且可控的AI未来。llamafile 在本地运行LLM方面的强大功能和易用性,与 Mozilla.ai 推动本地、隐私优先AI的目标高度契合。此前,Mozilla.ai 已在内部评估实验和 BYOTA 项目中使用了 llamafile。

项目刷新与未来规划

  • 随着开源本地LLM生态系统的发展,llamafile 需要进行重构和升级,以整合 llama.cpp 的新功能并优化核心特性。
  • 为此,llamafile 的代码库已正式迁移至 mozilla.ai 的 GitHub 组织下。Mozilla.ai 将负责支持该关键技术,并开发其下一代版本。

社区反馈至关重要

  • Mozilla.ai 以开放的方式构建下一代 llamafile,其路线图将基于社区的真实需求和使用案例来制定。
  • 团队希望用户能分享反馈,特别是关于:最初选择 llamafile 的原因、最依赖的功能、持续使用或弃用它的情况,以及哪些改进能使其对工作更有帮助。
  • 反馈渠道包括:GitHub 讨论区、Mozilla Discord 的 llamafile 频道以及 Hacker News。

对现有用户的影响与后续步骤

  • 现有用户的使用体验不会改变,已有的工作流将继续正常运行。GitHub 会处理仓库重定向,所有关联的二进制文件也将持续可用。
  • 在未来几周到几个月内,仓库将出现新的活动,团队会根据社区反馈更新开发路线图。
  • Mozilla.ai 邀请所有对本地运行AI模型感兴趣的用户尝试使用,并期望与社区共同建设 llamafile 的下一阶段。
34. Hello-World iOS App in Assembly (gist.github.com)

这是一个使用 ARM64 汇编语言编写的 iOS “Hello World” 应用程序。它通过直接调用底层 Objective-C 运行时(Runtime)和 Core Foundation 函数来构建一个基本的 UIKit 应用。

程序主要结构: 该程序包含三个主要函数:_maininitAppDelegatedidFinishLaunching

1. 主函数 _main

  • 创建并管理一个自动释放池。
  • 调用 initAppDelegate 在运行时动态初始化 AppDelegate 类。
  • 创建一个包含 AppDelegate 类名的 CFString
  • 调用 UIApplicationMain 启动 iOS 应用程序的主事件循环,传入命令行参数和应用代理类名。
  • 处理函数的序言(prolog)和尾声(epilog),保存和恢复寄存器。

2. 初始化 AppDelegate 函数 initAppDelegate

  • 使用 objc_allocateClassPair 运行时函数动态创建一个名为 AppDelegate 的新类,其父类为 NSObject
  • 使用 class_addProtocolUIApplicationDelegate 协议添加到这个新类中。
  • 使用 class_addMethod 为这个类添加 application:didFinishLaunchingWithOptions: 方法的实现,其实现指向 didFinishLaunching 函数,并指定其类型编码为 "B@:@@"(返回布尔值,接收三个对象参数)。
  • 使用 objc_registerClassPair 注册这个新创建的类,使其可用于 Objective-C 运行时。

3. application:didFinishLaunchingWithOptions: 方法实现 didFinishLaunching

  • 这是应用启动完成后的核心逻辑。
  • 获取主屏幕(UIScreen)的边界(bounds)。
  • 创建一个 UIWindow 实例,并用屏幕边界进行初始化。
  • 创建一个 UIViewController 实例。
  • 设置视图控制器视图的背景颜色为黄色(通过调用 [UIColor yellowColor]setBackgroundColor:)。
  • 将视图控制器设置为窗口的根视图控制器。
  • 调用 makeKeyAndVisible 使窗口可见。
  • 返回 YES1)表示启动成功。

关键实现细节:

  • 直接调用底层函数:整个程序不直接使用 Swift 或 Objective-C 语法,而是通过汇编指令调用如 _objc_autoreleasePoolPush_objc_msgSend_objc_getClass_sel_getUid 等底层函数来操作对象和发送消息。
  • 运行时类构建AppDelegate 类并非预先定义,而是在 initAppDelegate 函数中通过运行时 API 动态创建和注册的。
  • 寄存器管理与栈帧:代码严格遵守 ARM64 调用约定,通过 stp/ldp 指令保存和恢复被调用者保存寄存器(如 x19-x22, fp, lr),并管理栈空间。

数据部分(.data

  • 定义了程序中使用的所有字符串常量,例如类名("NSObject", "UIWindow")、选择器名("bounds", "init")和类型编码字符串("B@:@@")等。

总结来说,这段汇编代码通过底层的 C/ABI 和 Objective-C 运行时接口,完整地复现了一个标准 iOS 应用的启动流程和简单 UI 展示功能,展示了 Swift/Objective-C 高层语法背后的底层工作机制。

35. Developers are choosing older AI models (www.augmentcode.com)

模型采用正在分化,而非统一

根据Augment Code的生产环境数据(基于2025年10月初数百万次真实交互),开发者不再单纯追求最新模型,而是根据任务特性匹配模型。例如,Sonnet 4.5的请求份额从66%下降至52%,而更早的Sonnet 4.0则从23%上升至37%,GPT-5保持约10-12%。这表明模型升级正从“替代”行为转向“并存”选择,开启了生产环境中的早期专业化阶段。

行为差异:推理深度与操作频率

不同模型展现出明确的行为偏好:

  • Sonnet 4.5:平均每次用户消息调用工具次数较少(12.33次),但总输出量最大(平均7.5k token)。这表明其倾向于进行更深入的内部推理后再行动。
  • Sonnet 4.0:工具调用更频繁(15.65次),总输出较低(5.5k token),倾向于快速执行任务。
  • GPT-5:工具调用频率(11.58次)与Sonnet 4.5接近,但更倾向于使用自然语言进行推理而非工具调用。

吞吐量、Token经济与计算足迹

  • 输出量与延迟:Sonnet 4.5因更丰富的推理产生更多上下文响应,但也带来额外延迟。
  • 系统负载:采样数十亿token的数据显示,Sonnet 4.5处理了主要体量,其缓存读取量比Sonnet 4.0高出约三分之一。这暗示系统正将更多计算资源用于上下文管理与复用,而非单纯的token生成,系统成本结构正在转变。

新兴的专业化:各模型的优势场景

数据与社区反馈揭示了各模型在任务上的早期专业化趋势:

  • Sonnet 4.5:擅长长上下文推理、多文件理解与自主规划,典型任务包括重构智能体、复杂调试和设计综合。
  • Sonnet 4.0:强于确定性补全、格式一致和对工具友好的输出,适用于API生成、结构化编辑和基于规则的转换,常被视为“安全默认”选择。
  • GPT-5:长于解释流畅性、通用推理及混合编码与文档工作,适用于代码讲解、总结和开发者教育。

核心洞察

  1. 采用多样化:新模型并非在所有工作流中均占优。
  2. 行为可量化:Sonnet 4.5推理更深,4.0行动更频繁。
  3. 系统成本转移:推理强度与缓存利用率已成为关键性能指标。

文章指出,趋势并非某单一模型超越其他,而是各自发展出特色领域。行业可能正进入功能专业化阶段,取代对单一“最佳”模型的追逐。成功的关键不再取决于整体实力,而在于为具体任务选择最合适的“认知风格”。

36. One year with Next.js App Router and why we're moving on (paperclover.net)

Next.js App Router 使用一年后的技术评估与迁移经验

核心问题:React Server Components 与 App Router 的设计缺陷

作者认为 Next.js 的 App Router 和 React Server Components 存在根本性设计问题,导致实际开发体验糟糕。主要矛盾集中在:

  • 命名混乱:React 使用的"服务端"和"客户端"组件术语与通用定义不符,因为"客户端"组件也可在后端运行。
  • 架构限制:服务端组件无法使用 useStateuseEffect,且与客户端组件的边界划分导致代码复杂化。

App Router 的具体缺陷

1. 乐观更新无法实现

  • 服务端组件设计为挂载后不可修改,导致动态交互需拆分为独立的客户端组件。
  • 数据获取与交互逻辑分离,代码维护困难,最终几乎全部页面被迫使用 "use client"

2. 每次导航均需重新获取数据

  • 导航至新页面必须向 Next.js 服务器发起请求,即使客户端已有可用数据。
  • 返回已访问页面时会再次显示加载状态,体验差。
  • 即使启用 staleTime(实验性),也无法跨页面共享数据。

3. 布局组件限制严格

  • 布局可执行数据获取,但无法观察或修改请求,导致无法共享 QueryClient
  • 数据获取需按布局重复执行,依赖框架对 fetch 的猴子补丁实现缓存。

4. 内容重复下载

  • 为支持 Suspense 和客户端组件状态保留,服务端渲染后仍需前端水合。
  • 软导航时获取 RSC Payload(非 HTML),而首次加载时需同时发送 HTML 和 RSC 负载,导致初始负载大小翻倍。
  • RSC 格式效率低下,带宽浪费严重。

5. Turbopack 体验不佳

  • 开发模式下调试困难,错误信息不清晰。
  • 断点调试时变量名被过度转换,可读性差。

迁移方案:从 Next.js 到 TanStack Start

增量迁移策略

  1. Vite 配置改造:保留 Next.js 默认端口和环境变量前缀,通过路径别名将 next 模块重定向至自定义桩模块。
  2. API 桩实现:为 next/linkuseRouter 等创建简单适配层,实现功能兼容。
  3. 逐步替换路由:使用 TanStack Router 的文件系统路由,逐步迁移页面。
  4. 数据获取重构:将服务端组件数据获取移至 loader 函数,简化逻辑。

迁移收益

  • 代码简化:去除 RSC 的复杂性后,代码更易理解和维护。
  • 性能提升:开发模式、生产页面加载、软导航均更快。
  • 成本降低:摆脱 Vercel 服务器限制,部署成本下降。
  • 类型安全:获得 TanStack Router 提供的完整类型支持。

值得肯定的特性

  • next/metadata:优秀的 SEO 元数据 API,作者已将其移植为独立库。
  • next/og:基于 @vercel/og 的 OG 图片生成方案。

总结与展望

  • Next.js App Router 的设计导致开发体验不佳,团队通过迁移至 TanStack Start 实现了代码简化和性能提升。
  • 建议开发者选择真正尊重用户的工具,当前 Vite 生态是可行的替代方案。
  • 现代 Web 开发技术本身是优秀的,但常用库的混乱影响了开发体验。
37. How the U.S. National Science Foundation enabled Software-Defined Networking (cacm.acm.org)

本文阐述了美国国家科学基金会(NSF)如何通过一系列战略性的研究投资,催生并推动了软件定义网络(SDN)这一革命性技术的发展,最终深刻改变了现代网络的构建与运营方式。

传统网络的困境与SDN的核心思想

20世纪90年代至21世纪初的商业互联网虽然发展迅速,但其核心网络设备(路由器)的软硬件被少数厂商垄断,导致网络所有者对网络行为的控制力有限。创新缓慢,设备软件臃肿,管理复杂。SDN的出现改变了这一局面,其核心思想有两点:一是为网络设备提供开放的通用接口,以便外部控制软件精细管理数据包处理逻辑;二是实现逻辑集中控制,即控制软件具备全网视野,能从中央管理分布式网络设备。

NSF的关键研究资助:奠定SDN基石

NSF在21世纪初为应对“互联网僵化”问题,投入大量资金支持了一系列前瞻性的网络研究项目,为SDN的诞生创造了条件。

  1. 100×100项目 (2003):旨在为全美家庭提供高速网络。该项目催生了SDN的若干关键早期成果,包括4D架构(提出了逻辑集中控制与数据平面分离的概念)、Ethane系统(企业网络中的集中访问控制),以及至关重要的OpenFlow协议(一种安装匹配-动作规则的开放接口)和首个开源网络控制器NOX
  2. 全球网络创新环境 (GENI) (2006):旨在创建一个全国性、可编程的实验网络基础设施,以测试新型互联网架构。GENI资助了早期的OpenFlow部署,并推动了FlowVisor(网络虚拟化工具)和一系列开源控制器(如Beacon、POX、Floodlight)的发展。它还资助了NetFPGA项目和OpenFlow白盒交换机,从硬件和软件两方面验证了SDN的可行性。
  3. 未来互联网设计 (FIND) 与未来互联网架构 (FIA) 项目 (2007, 2010):这些项目支持了更广泛的“白板设计”网络架构研究,探索了移动性、内容分发、隐私和安全云计算等新方向。许多研究都利用并深化了SDN的基础。
  4. 可编程开放移动互联网 (POMI) 探索计划 (2008):该项目在斯坦福大学扩展了对SDN的资助,包括移动网络应用。它支持了分布式控制器ONOS和网络模拟器Mininet的早期开发,并启动了对可编程转发平面的探索,为后来完全可编程的交换芯片和P4编程语言铺平了道路。

这些NSF项目共同培养了一个强大的研究社区,为SDN的技术突破和后续商业化奠定了坚实基础。

云计算巨头的采用:推动SDN商业化

在NSF资助的学术研究进行的同时,谷歌、微软、亚马逊、脸书等云计算巨头开始建造超大规模数据中心。他们对商业网络设备的昂贵成本和缺乏灵活性感到不满,转而寻求用廉价白盒硬件和自研软件构建网络,这正是SDN所提供的控制力。

SDN在云数据中心解决了两个关键问题:

  • 网络虚拟化:为多租户提供隔离的虚拟网络。源自NSF资助项目的初创公司Nicira开发了网络虚拟化平台(NVP,后成为VMware NSX)和开源虚拟交换机Open vSwitch (OVS),成为实现此目标的核心技术。
  • 广域网流量工程:优化数据中心之间的流量。谷歌在其B4骨干网中大规模采用SDN和OpenFlow,这一成功案例在2012年公之于众后,极大提振了业界对SDN的信心,引发了全球研究和商业化热潮。

深远影响与持续循环

SDN的商业成功反哺了学术研究,并催生了多家成功的初创公司(如Big Switch Networks、Forward Networks、Barefoot Networks)。传统网络设备商(如思科、Juniper)也纷纷推出SDN产品。研究社区从网络领域扩展到编程语言、形式化验证、分布式系统等多个学科。

同时,SDN的原则正被应用于蜂窝网络等无线领域,有望打破长期存在的封闭和专有格局。

结论

NSF在SDN萌芽期的远见卓识和持续投资获得了巨大回报。它不仅孵化了一项变革性技术,更培养了研究者社区、关键软件组件和早期企业,使得网络所有者而非设备商能够决定网络行为。SDN的普及为数十亿用户带来了更可靠、安全、低成本和高速的互联网服务,彰显了政府基础研究在推动技术创新中的核心作用。

38. The Green Tea Garbage Collector (go.dev)

Green Tea 垃圾收集器摘要

概述

Green Tea 是 Go 1.25 版本引入的一个实验性垃圾收集器,通过构建时设置环境变量 GOEXPERIMENT=greenteagc 启用。它能显著减少垃圾收集(GC)的CPU耗时,在多数工作负载中可减少约10%,部分场景下最高可减少40%。该收集器已在Google生产环境中使用,并计划在 Go 1.26 中成为默认收集器。Go团队鼓励用户试用并提供反馈。

传统GC(图泛洪算法)的问题

Go的传统GC采用标记-清除算法,核心是“图泛洪”:从根对象(如全局变量)开始,跟踪指针遍历堆中的对象图,标记所有可达对象,最后回收未标记对象。

  • 主要开销:约90%的GC时间花在标记阶段
  • 性能瓶颈:标记过程中,CPU频繁在内存中不规则地跳转访问对象,导致:
    1. 缓存不友好:无法利用CPU缓存,大量访问缓慢的主内存。
    2. CPU流水线效率低:工作细小、不可预测,导致CPU频繁停顿。
  • 硬件趋势加剧问题:现代CPU的非统一内存访问(NUMA)、每核内存带宽下降、核心数增多等因素,使得传统GC的性能问题日益突出。

Green Tea 的核心思想

Green Tea 的关键创新在于将工作单位从“对象”变为“内存页”

  • 工作列表管理:标记阶段的工作列表跟踪的是整个内存页(如8KiB大小),而非单个对象。
  • 局部扫描:当一个页被处理时,会批量扫描该页内所有已发现待处理的对象,而不是逐个扫描。
  • 元数据管理:为每个页维护元数据位图(“已发现”位和“已扫描”位),用于跟踪页内对象的标记状态。

工作原理与优势

以文章中的堆结构为例,对比两种算法:

  • 传统算法:像在内存中“走迷宫”,从对象A跳到B再跳回A,产生大量不连续的小范围内存访问(如图示需要7次扫描)。
  • Green Tea:像“分批处理”,先积累对某个页的访问请求,然后集中扫描该页内所有待处理对象,形成更长、更连续的内存访问序列(如图示仅需4次扫描)。
  • 优势
    • 提升缓存利用率:连续扫描同一页内的对象,数据和元数据更可能在CPU缓存中。
    • 减少CPU停顿:工作列表更小、更高效,减少了并行标记时的争用。
    • 向量硬件加速:由于页内对象大小一致、元数据布局规则,可以利用 AVX-512等向量指令集。特别是 VGF2P8AFFINEQB 指令,能高效地执行位扩展等操作,将扫描循环大幅加速。

效果评估

  • 普遍收益:基准测试显示,即使不包含向量加速,GC CPU开销也减少10%-40%。向量加速预计可再减少约10%。
  • 局限性:对于堆结构极不规则、每次仅需扫描单个对象的工作负载,收益可能有限,甚至可能略有回退。但实现中已包含针对单对象页的优化。
  • 实际应用:在Google内部大规模部署中看到了类似的改进效果。

当前状态与未来计划

  • Go 1.25:作为实验性功能提供,不包含向量加速。
  • Go 1.26:计划默认启用 Green Tea,并添加向量加速,同时基于反馈进行更多优化。
  • 反馈渠道:用户可通过提交GitHub issue报告问题,或在现有相关issue下回复分享成功经验。
  • 开发历程:该想法源自2018年,经过Go团队多年协作、原型验证(2024年)和工程化实现(2025年)而成,是集体智慧的结晶。
39. Carlo Rovelli’s radical perspective on reality (www.quantamagazine.org)

理论物理学家卡洛·罗韦利认为,不存在客观现实,只存在视角。他通过研究量子引力,重新思考空间和时间的本质,并借助哲学(尤其是古印度哲学家龙树的思想)来构建其激进的理论框架。

罗韦利的圈量子引力理论认为,空间并非无限可分,而是由离散的“量子”或“圈”构成的基本结构。时间和空间并非预先存在的舞台,而是从这些量子相互作用的动态网络中涌现出来的。我们对时间流逝的体验,源于热力学第二定律——即熵的增加,但这仅是从我们宏观视角看是根本性的,本质上是一种错觉。

他提出的“关系性量子力学”诠释进一步深化了这一观点。该诠释主张,物体的所有属性(如位置、大小等)都只能相对于其他系统来定义,没有独立于关系的绝对属性。现实被理解为一个由相互关系和信息交换构成的网络,而非拥有固有属性的独立客体集合。这延续了爱因斯坦相对论中“速度是相对的”思想,并将其扩展到量子领域,意味着物理学家无法给出一个关于世界“究竟是什么”的绝对清单,只能描述世界如何从我们的有限视角呈现。

罗韦利认为,圈量子引力是弥合广义相对论与量子力学矛盾(即量子引力问题)的一种保守而激进的尝试,它不添加额外假设,而是彻底贯彻已有理论。该理论目前面临缺乏实验验证的挑战,但罗韦利对通过宇宙微波背景辐射或寻找可能构成暗物质的微小原初黑洞等途径来检验它持乐观态度。

他强烈主张物理学家必须与哲学对话,批评了像霍金“哲学已死”这样封闭的科学观。罗韦利认为,历史上科学革命深受哲学思想影响,而消化现有知识、厘清正确问题比追逐投机性新想法更为迫切。他的世界观深受其早年参与政治反叛经历的影响,使他习惯于挑战传统思维定式。

总之,罗韦利的物理学图景是一种深刻的“透视主义”:现实由关系和视角构成,科学的目标是找到理解我们所见自然的最佳概念框架,而非追求一个脱离观察者的终极真理。

40. How to Obsessively Tune WezTerm (rashil2000.me)

摘要

本文标题为“How to Obsessively Tune WezTerm”,专注于介绍如何精细地调整WezTerm(一个终端模拟器)的设置。内容以“rashil2000”开头,可能表示作者、用户标识或相关章节,但未提供具体细节或正文内容。

41. IRCd service (2024) (example.fi)

IRCd 服务摘要

IRC 背景与意义
Internet Relay Chat (IRC) 是由 Jarkko Oikarinen 于 1988 年开发的实时文本通信技术,最初用于替换芬兰奥卢大学的本地 BBS 系统。它迅速风靡全球,成为在线聊天社区的基础技术,对现代即时消息和社交媒体平台的发展产生了深远影响。IRC 在连接互联网用户、促进早期在线社区方面具有开创性作用,为当代数字通信奠定了基础。

当前项目概述
为纪念 IRC 的贡献,example.fi 提供了一个简单且有限的 IRC 服务器。该服务器使用 AWK 脚本语言编写(AWK 通常用于文本处理),突出了 IRC 的适应性和持久遗产。这一创意实现既作为教育工具,也作为对 IRC 在线通信演进中基础角色的致敬。

服务器功能与限制

  • 编写语言:服务器用 AWK(具体为 gawk)实现,代码总量约 60 行 AWK 和几行 Bash,凸显了轻量化设计。
  • 功能限制:大多数 IRC 协议功能未实现,包括频道和用户列表、主题、操作员概念等。这导致服务器仅支持基本通信。
  • 连接指南
    • 连接时避免使用高级功能。
    • 在 Irssi 客户端中使用 -nocap 选项。
    • 在 Windows 上推荐使用 Hexchat 等客户端。
  • 示例连接:通过 Telnet 连接到 example.fi 的 IRC 端口(端口默认),执行 USERNICK 命令后,服务器将返回欢迎消息和当日消息(MOTD),然后连接可能关闭。

技术细节与合规性

  • 服务器设计简单,专注于核心 IRC 功能,但实现有限。
  • 网站符合 HTML 2.0 标准,并展示了有效性验证徽章。
  • 代码尚未正式发布,但表示将在“准备好”时公开。

关键点总结

  • IRC 作为历史性的通信技术,其遗产通过 example.fi 的 AWK 实现服务器得以体现。
  • 服务器强调教育意义和创意纪念,但功能受限,适用于基本文本通信。
  • 连接时需注意客户端兼容性,避免复杂特性。
  • 整体项目体现了技术轻量化和对早期互联网文化的致敬。
42. Language Models Are Injective and Hence Invertible (arxiv.org)

文章摘要:语言模型是可逆的注入函数

挑战传统观点

传统上认为Transformer中的非线性激活函数和归一化层本质上是非注入的,这意味着不同输入可能映射到相同输出,从而无法从模型的内部表示中精确恢复原始输入。

核心论点与证明

本文挑战了这一观点。作者通过数学证明表明,将离散输入序列映射到其对应连续表示序列的Transformer语言模型是注入的(即单射),因此是无损的。这一性质在模型初始化时即成立,并在训练过程中得以保持。

实验验证

通过对六个最先进的语言模型进行数十亿次的碰撞测试,作者在实验上证实了上述理论结果,未观察到任何碰撞事件,进一步支持了语言模型注入性的结论。

可逆性实现

作者将注入性这一理论性质转化为实际应用,提出了首个能够可证明且高效地从模型的隐藏激活中精确重建原始输入文本的算法 SipIt。该算法保证了线性时间复杂度,从而在实践中建立了语言模型的精确可逆性。

意义

这项工作确立了注入性是语言模型的一项基本且可利用的性质,对于提升模型的透明度、可解释性以及安全部署具有直接意义。

44. The Internet runs on free and open source software and so does the DNS (www.icann.org)

文章摘要

核心观点
自由开源软件(FOSS)不仅是互联网的常见组成部分,更是域名系统(DNS)——全球网络连接基础设施——不可或缺的基石。

报告背景
ICANN安全与稳定咨询委员会(SSAC)发布了报告SAC132,明确指出DNS的运行高度依赖FOSS。当前全球各国政府正探讨新的网络安全法规,该报告旨在为政策制定者提供及时且非技术性的指导,确保新政策能增强而非削弱基于FOSS的关键基础设施。

报告核心内容

  1. 基础概述:为非技术受众简明介绍DNS及FOSS开发模式。
  2. 政策评估:分析美国、英国及欧盟的网络安全法规,重点关注其如何考虑DNS生态系统中的FOSS。
  3. 实用指南:提供具体发现与建议,帮助政策制定者支持并保障作为全球连接支柱的FOSS生态系统。

呼吁与展望
SSAC通过发布此报告,旨在提升各界对FOSS在维护安全、稳定和弹性互联网中不可或缺作用的认知。报告邀请政策制定者、技术专家及相关方阅读全文,并参与后续讨论,共同确保FOSS生态系统及其支撑的互联网保持强健、可持续和开放。

致谢
报告感谢了所有SSAC成员与受邀专家的贡献,特别致谢联合主席Maarten Aertsen和Barry Leiba的领导工作。

45. Trump directs nuclear weapons testing to resume for first time in over 30 years (www.bbc.com)

特朗普下令恢复核武器试验,打破美国30余年暂停政策

2025年10月30日,美国总统特朗普宣布指示国防部恢复核武器试验,声称这是为了应对俄罗斯和中国等国的试验活动。这是美国自1992年以来首次考虑进行此类试验。

特朗普的声明与理由 特朗普在社交媒体上发文称,由于其他国家的试验计划,他已指示“战争部”(国防部)“在平等基础上开始试验我们的核武器”。他强调美国核武器数量居全球首位,俄罗斯次之,中国“远远落后”。特朗普指出,此举旨在更新和翻新美国核武库,并声称中国的核计划“将在5年内趋于平衡”。不过,他并未明确此次试验是指核爆炸试验,还是仅针对投送核武器的武器系统测试。试验地点将在晚些时候确定。

国际反应与背景

  • 俄罗斯:特朗普宣布前,俄罗斯刚测试了两款可搭载核弹头的新武器,包括一款高超音速导弹和一款名为“波塞冬”的无人潜航器,但克里姆林宫强调这些测试未涉及核爆炸,并表示若任何国家退出核试验暂停状态,俄罗斯将采取对等行动。
  • 中国:中方希望美国切实履行《全面禁止核试验条约》义务,信守暂停核试验的承诺。
  • 美国国内:此举遭到部分专家和议员的批评。美国军备控制协会(ACA)执行主任指责特朗普“消息不灵通、脱离实际”,认为美国没有技术、军事或政治理由重启核爆炸试验,并警告此举将引发国内反对、盟友抗议,并可能引发对手连锁反应,破坏《不扩散核武器条约》。内华达州(美国历史核试验所在地)的民主党众议员也表示将提出立法阻止该计划。

核武库规模与历史 根据美国科学家联合会和ACA的估算,美俄两国核弹头数量均在5000枚以上,美国略少于俄罗斯,中国以约600枚位居第三。美国上一次核试验于1992年9月23日在内华达州地下试验场进行。此后,老布什总统在冷战结束时宣布了试验暂停令。本世纪除朝鲜外,无其他国家进行过核试验,朝鲜也在2018年宣布暂停。值得注意的是,特朗普的宣布时间距《新削减战略武器条约》到期仅约100天。

挑战与不确定性 专家指出,若要重启内华达试验场的地下核试验,美国至少需要36个月的准备时间。此外,恢复核试验将直接违背美国长期以来的政策,并可能对全球核不扩散体制造成严重冲击。

46. Microsoft seemingly just revealed that OpenAI lost $11.5B last quarter (www.theregister.com)

updated: Satya has also delivered Sam most of the cash he promised