2025-11-17
37 篇热帖
2. Google is killing the open web, part 2 (wok.oblomov.eu)
本文严厉批评了Google在浏览器中弃用XSLT的决定,认为这是其蓄意破坏开放网络(Open Web)的举措。
核心观点与批评
- 弃用XSLT的真实动机:Google以安全漏洞为由弃用XSLT,却拒绝在浏览器内置JavaScript polyfill作为无缝替代,而是要求开发者进行非标准调用。作者指出,这要么会无端增加开发者的工作量,要么证明“安全问题”纯属借口,其真实目的是打击RSS和XML等独立网络的基石。
- WHATWG的企业俘获:WHATWG已被企业利益控制,致力于将Web打造成为企业牟利的“应用交付平台”,而非用户可控的“知识库”。
- 插件废除与DRM标准化:回顾NPAPI插件接口的废除,作者认为这不仅剥夺了Web灵活扩展新协议和格式的能力,还促成了EME(加密媒体扩展/DRM)的标准化。这一转变迎合了流媒体巨头的利益,彻底牺牲了用户的控制权。
行动呼吁:拒绝妥协
作者强烈呼吁开发者和用户采取抵抗行动:
- 拒绝顺从:不要安装polyfill或修改XML文件来迎合巨头的要求。
- 坚持开放标准:继续积极使用XSLT、RSS、MathML、SVG和JPEG XL等开放技术。
- 定性为浏览器缺陷:将XSLT渲染失败的问题直接报告为浏览器的缺陷,而非网站自身的问题。
- 支持独立浏览器:支持如Pale Moon、WaterFox等不受科技巨头控制的独立浏览器,发起一场“用户对抗企业”的新浏览器战争,夺回Web的控制权。
对技术质疑的反驳
针对社区中“XSLT语法繁琐或应转向服务端渲染”的质疑,作者强调了XSLT在客户端渲染的巨大优势:通过分离数据(XML)与样式(XSLT),可以显著减少数据传输量(例如比直接传输渲染后的SVG小10倍),并大幅降低小型或家庭服务器的托管成本。对于不喜欢XSLT语法的人,作者建议将精力用于推动XQuery等更现代标准的普及,而非盲从企业的弃用路线。
3. I have recordings proving Coinbase knew about breach months before disclosure (jonathanclark.com)
Coinbase 数据泄露事件调查与时间线分析
事件概述
2025年1月7日,作者遭遇高度复杂的钓鱼攻击,攻击者准确掌握了其社保号、精确比特币余额等非公开敏感信息。作者当日向Coinbase提交了包含邮件头、录音和技术分析的详细报告。Coinbase初步回复后,对“攻击者如何获取数据”的追问保持沉默。直至5月,Coinbase才披露数据泄露,暴露出长达4个月的失察与隐瞒期。
时间线与响应
- 1月7日:作者提交详尽报告,Coinbase信任与安全主管初步回复后失联。
- 1月至5月:作者多次追问数据泄露原因,均未获回复。
- 5月11日:Coinbase称在遭勒索2000万美元时才“发现”泄露。
- 5月15日:公开披露泄露,称外包商(TaskUs)员工被贿赂窃取数据,估计损失1.8亿至4亿美元。
攻击技术分析
- 钓鱼邮件:利用Amazon SES发送,伪造Coinbase发件人。虽DKIM验证通过,但Return-Path和Message-ID暴露了真实的发送基础设施。
- 社工电话:使用Google Voice号码,施压要求转移资金至“冷钱包”,且无法提供合法的官方身份验证。
- SMS轰炸:通话后作者收到大量垃圾短信,旨在用噪音掩盖真实的2FA验证码或安全警报。
安全与管理漏洞
- 权限管理不当:海外第三方外包客服被赋予访问社保号、余额等极度敏感数据的权限。
- 检测机制失效:系统未能识别客户数据正被用于复杂钓鱼,忽视了用户的早期明确预警。
- 事件响应迟缓:未深入调查高质量用户报告,导致泄露4个月后因勒索才被披露。
防范建议
- 核实身份:不信任来电显示,要求提供可验证的官方回调号码,拒绝在压力下转移资金。
- 验证邮件:检查邮件头(发送服务器、SPF/DKIM结果),可利用AI工具辅助分析异常路由。
- 升级2FA:弃用易受劫持的短信验证,改用硬件安全密钥或身份验证器应用。
- 主动查证:直接通过浏览器访问官网登录核实账户,切勿点击邮件链接。
核心质疑
4个月的时间差暴露出Coinbase在事件响应和合规披露上的严重缺陷。文章质问实际泄露发生的时间、早期受影响的用户规模,以及为何未能将多起用户报告与潜在的数据泄露相联系,凸显了中心化交易所面临的信任危机。
4. Replicate is joining Cloudflare (replicate.com)
Replicate 加入 Cloudflare 公告摘要
核心事件与服务连续性
- 品牌与运营:Replicate 宣布正式加入 Cloudflare,但将保持独立品牌继续运营。
- 服务无中断:现有 API 保持不变,当前使用的模型及基于 Replicate 构建的应用程序均不受影响,照常运行。
- 平台升级:加入后,Replicate 将获得更快的运行速度、更丰富的资源,并与 Cloudflare 开发者平台实现深度集成。
战略动机与技术协同
- AI 基础原语:Replicate 致力于构建 AI 底层工具与抽象(例如定义模型标准格式的开源工具 Cog,以及用于分享和运行模型的 API),让开发者无需理解底层复杂技术即可使用 AI。
- 分布式 AI 操作系统:这些 AI 原语类似于运行在云端的“分布式操作系统”,需要依赖专用 GPU 和集群进行扩展,体现了“网络即计算机”的理念。
- Cloudflare 组件互补:Cloudflare 拥有卓越的网络基础设施,并提供了构建该“操作系统”的其他关键组件:
- Workers:用于运行智能体(Agents)和胶水代码。
- Durable Objects:用于状态管理。
- R2:用于文件存储。
- WebRTC:用于媒体流传输。
未来发展愿景
- 构建高级抽象:结合双方的底层抽象能力,未来将开发更高级的功能,包括模型编排、智能体构建、实时模型运行以及边缘模型部署。
- 打造 AI 开发默认平台:Cloudflare 在开发者产品和企业服务方面拥有成功经验,且已是 Web 应用开发的默认选择。双方合作的核心目标是使 Replicate 成为构建 AI 应用程序的默认平台。
5. FreeMDU: Open-source Miele appliance diagnostic tools (github.com)
FreeMDU 开源项目摘要
项目目的
FreeMDU 是一个提供开源软硬件工具的项目,旨在通过光学诊断接口与 Miele(美诺)家电进行通信。它作为专有且昂贵的 Miele 诊断实用程序 (MDU) 的免费替代品,使公众能够进行设备诊断和智能家居自动化。1996年后生产的大多数 Miele 设备均配备了隐藏的光学红外诊断接口(旧设备标有 PC 标签)。
项目结构
项目主要由三个核心组件构成:
- Protocol(协议):核心协议库和设备实现,用于开发自定义通信软件。
- TUI(终端界面):基于终端的设备诊断和测试工具,适用于家电维修与测试。
- Home(智能家居):通信适配器固件,集成了 MQTT 协议,专为 Home Assistant 等智能家居系统设计。
支持的设备
设备通过诊断接口连接后会返回一个 16 位的软件 ID,用于唯一标识微控制器的固件版本。项目提供了一份已确认完全支持的设备清单(涵盖 W 985、G 7804、W 2446 等型号及其对应的主板与微控制器信息)。若设备未在列表中,确定其软件 ID 是添加支持的首要步骤。
使用指南与应用场景
使用前需安装 Rust 工具链并构建硬件通信适配器。根据具体需求,可选择以下使用方式:
- 设备诊断与测试:将适配器刷入桥接模式 (bridge mode) 固件并连接设备,随后在电脑端运行 TUI 应用程序。
- 智能家居集成:将适配器刷入独立模式 (standalone mode) 固件并连接设备,即可将其接入 Home Assistant 等自动化系统。
- 构建自定义工具:将适配器刷入桥接模式固件,并利用 Protocol 组件库开发自定义软件。
风险提示与许可协议
- 实验性警告:该项目具有高度实验性,使用不当可能导致 Miele 设备永久损坏,用户需自行承担风险。
- 免责声明:这是一个独立的开源项目,与 Miele 公司无任何附属、背书或赞助关系。
- 开源许可:项目代码采用 Apache 2.0 或 MIT 双重许可证,用户可任选其一。贡献的代码默认采用相同的双重许可。
6. Giving C a superpower: custom header file (safe_c.h) (hwisnu.bearblog.dev)
safe_c.h 自定义头文件与 cgrep 项目总结
目的
safe_c.h 是一个自定义 C 语言头文件,旨在通过引入 C++ 和 Rust 的现代安全特性,解决 C 语言中常见的内存泄漏、段错误和复杂的错误处理问题。该头文件应用于高性能 grep 克隆项目 cgrep 中,证明 C 语言可以在保持底层控制力和运行效率的同时,实现内存与线程安全。
核心机制
核心依赖于 RAII(资源获取即初始化)语义。通过兼容 C23 的 [[cleanup]] 属性或编译器的 __attribute__((cleanup)),确保变量在离开作用域时自动执行清理函数。此外,内置 LIKELY 和 UNLIKELY 宏以优化热路径的分支预测。
关键功能与结构
1. 智能指针(内存管理)
UniquePtr: 独占资源所有权,变量离开作用域时自动释放内存,消除手动free()的遗漏。SharedPtr: 自动化引用计数,支持多线程安全共享资源,最后一个使用者自动触发对象销毁。
2. 动态数组与视图(防止缓冲区溢出)
Vector: 提供类型安全、自动扩容的动态数组,替代繁琐且易错的手动realloc操作。StringView与Span: 零开销的非所有权视图(仅含指针和长度),用于安全处理子串和数组切片,避免不必要的内存分配。
3. Result 类型与 RAII(错误处理)
Result<T, E>: 引入类似 Rust 的标签联合类型,强制显式处理成功或错误状态,替代混乱的goto cleanup模式。- 自动资源清理: 结合
CLEANUP属性,确保文件描述符(如DIR*)在任何退出路径(包括提前返回或报错)都能被自动安全关闭。
4. 契约编程与安全字符串
- 契约宏: 提供
requires()和ensures()宏,明确函数的前置和后置条件,生成带有上下文信息的自文档化断言。 - 安全字符串: 提供
safe_strcpy等带边界检查的函数,返回布尔状态,防止缓冲区溢出。
5. 并发控制
- RAII 互斥锁: 封装 Mutex,确保锁在作用域结束时自动释放,从根本上防止因提前返回导致的死锁。
- 线程管理宏: 提供简化线程创建(Spawn)和等待(Join)的宏,减少样板代码。
性能与项目影响
- 零开销抽象: 安全特性在编译后生成与原生 C 相同的汇编代码。结合分支预测宏,在热路径上实现零性能损耗。
cgrep实践:cgrep项目包含 2300 行 C 代码,利用safe_c.h免除了 50 多处手动内存释放。项目结合io_uring异步模型,在基准测试中展现出超越ripgrep的搜索速度与极低的内存占用。
局限性与注意事项
- 适用场景: 推荐用于新项目,不建议用于重构庞大的遗留代码库。
- 调试难度: 大量使用 C 宏可能导致编译器错误追踪信息冗长(如
-fanalyzer报错),增加调试复杂度。 - 质量保障: 需依赖严格的多重编译检查步骤(GCC 静态分析、ASAN/UBSAN、Clang-tidy 等)来确保代码的正确性与安全性。
7. Project Gemini (geminiprotocol.net)
Project Gemini 总结
项目简介
Gemini 是一种新型互联网技术,旨在支持由互连文本文档组成的电子图书馆。它将文本文档视为核心概念,赋予其应有的重视。
核心理念与目标
- 反颠覆与轻量化:Gemini 不追求技术创新、行业颠覆或改变世界,也不旨在破坏现有技术。它致力于为对现代互联网感到疲惫的用户提供一个平静的“喘息空间”。
- 回归本质:旨在构建一个轻量级的在线环境,让“文档仅仅是文档”。
- 用户利益优先:核心设计初衷是为了最大程度地保护读者的隐私、注意力以及网络带宽。
官方资源
项目提供了完善的官方资源供用户深入了解,主要包括:
- 常见问题解答(FAQ)与视频概述
- 项目最新动态(新闻)、官方技术文档与发展历史
- 已知的 Gemini 相关软件列表
版权许可
除非另有说明,geminiprotocol.net 网站上的所有内容均采用 CC BY-NC-ND 4.0(知识共享 署名-非商业性使用-禁止演绎 4.0 国际)许可协议。
8. WeatherNext 2: Our most advanced weather forecasting model (blog.google)
WeatherNext 2:Google 最先进的 AI 天气预报模型
模型概述
WeatherNext 2 是由 Google DeepMind 和 Google Research 推出的最新一代 AI 天气预报模型。该模型旨在提供更快、更高效且高分辨率的全球天气预测,以支持从全球供应链、航班规划到日常通勤等各类重要决策。
核心性能与优势
- 极速多场景预测:仅需单个 TPU,即可在不到一分钟内从单一输入生成数百种可能的天气场景,而基于物理的传统模型在超级计算机上需耗费数小时。其预测速度比上一代快 8 倍。
- 高分辨率与高准确率:预测时间分辨率精细至 1 小时。在 99.9% 的气象变量(如温度、风速、湿度)和 0-15 天的预测周期内,其表现全面超越上一代 WeatherNext 模型。
关键技术架构
WeatherNext 2 的卓越性能得益于一种名为函数生成网络(Functional Generative Network, FGN) 的新型 AI 建模方法:
- 函数空间噪声注入:通过在模型架构中直接注入噪声,确保生成的多种预测场景在物理上保持真实且相互关联,从而有效捕捉包括极端情况在内的所有可能性。
- 从“边缘”到“联合”的预测能力:模型仅针对“边缘”(Marginals,即特定地点的温度、特定高度的风速等独立气象元素)进行训练,但能够自主学习并准确预测“联合”(Joints,即依赖各元素相互作用的复杂互联系统,如受热浪影响的整体区域或风电场的预期发电量)。
数据访问与产品集成
Google 正将该项前沿研究转化为实际应用,并向全球社区开放:
- 开发者与云平台:WeatherNext 2 的预测数据现已在 Earth Engine 和 BigQuery 中开放使用。同时,在 Google Cloud 的 Vertex AI 平台上推出了早期访问计划,支持自定义模型推理。
- 消费者与企业产品升级:该技术已全面集成至 Google Search、Gemini、Pixel Weather 以及 Google Maps Platform 的 Weather API 中,并将于近期为 Google Maps 提供天气信息支持。
未来展望
Google 计划持续优化模型能力,包括整合新的数据源并进一步扩大访问权限。通过提供强大的工具和开放数据,旨在加速科学发现,赋能全球研究人员、开发者和企业应对当今最复杂的问题。
9. Browser fingerprinting via favicon (github.com)
Supercookie:基于 Favicon 的浏览器指纹追踪技术
项目概述
Supercookie 是一个仅供教育和演示目的的项目,旨在揭示利用网站图标(favicon)进行用户追踪的安全隐患。它通过 favicon 机制为网站访问者分配几乎持久化且难以被用户清除的唯一标识符。
工作原理
现代浏览器为提升加载速度,会将 favicon 缓存在本地的独立数据库(F-Cache)中。当用户访问网页时,浏览器会优先检查 F-Cache:
- 若缓存中存在对应 URL 的 favicon,浏览器直接本地加载,不发送网络请求。
- 若缓存中不存在或已过期,浏览器会向服务器发送 GET 请求获取图标。
服务器通过记录特定 URL 路径下 favicon 的请求状态(是否发送了 GET 请求),可以组合出一个唯一的模式(标识号)分配给客户端。用户再次访问时,服务器通过分析客户端缺失的 favicon 请求即可重构标识号,从而精准识别该浏览器。
追踪特性
与传统 Cookie 相比,Supercookie 具有极强的持久性和穿透力:
- 难以清除:不受清除浏览器缓存、Cookie、关闭浏览器或重启操作系统的影响。
- 绕过隐私保护:在隐身/无痕模式、使用 VPN 或安装广告拦截器的情况下依然有效,且能识别同一浏览器的多个窗口。
- 高扩展性:通过调整子路径重定向的数量(位数 $N$),理论上可区分 $2^N$ 个唯一用户。$N$ 的长度可动态调整以平衡读写性能。
影响范围
该追踪场景影响大多数主流桌面和移动浏览器,包括 Chrome、Safari、Edge 和 Firefox 的多个版本。部分注重隐私的浏览器(如较新版本的 Brave)已免疫此问题。
防御措施
在浏览器厂商提供官方修复前,最直接的防御方法是手动删除 F-Cache 文件:
- Chrome / Edge:删除用户数据
Default目录下的Favicons及Favicons-journal文件。 - Safari (macOS):清空
~/Library/Safari/Favicon Cache目录内容。
部署与运行
项目源码包含服务端代码,支持两种部署方式(均需预先配置 .env 文件中的域名和端口参数):
- Docker 部署:克隆仓库后,在
server目录下执行docker-compose up启动容器。 - 本地 Node.js 运行:依赖 Node.js 环境,在
server目录下执行node --experimental-json-modules main.js启动服务。
10. Are you stuck in movie logic? (usefulfictions.substack.com)
摆脱“电影逻辑”:直面现实中的沟通困境
核心观点
电影常利用角色间缺乏沟通来制造戏剧冲突,但在现实生活中,这种回避问题的“电影逻辑”会严重破坏组织、友谊和婚姻。功能健全的人不会等待问题自行恶化或变得无法忽视,而是会直接、坦诚地指出问题。打破沉默、直面问题通常能打破不真实的滤镜,带来如释重负的解脱感。
人们回避沟通的原因
- 误解沉默的价值:误将默默忍受(如员工对上司的不满)视为成熟的外交手段或敬业表现,却未意识到对方可能毫无察觉。
- 害怕扩大事态:担心指出问题会把小事闹大,却忽视了问题本身无论是否被提及都会持续带来内耗。
- 缺乏沟通技巧:许多喜欢指出问题的人往往显得苛刻、爱评判且缺乏技巧,导致他人为了避免成为这样的人而选择保持沉默。
提升沟通技巧的三个建议
- 跳出局限,寻找核心问题:在开口前,审视表面问题背后是否隐藏着更深层的人际动态(例如朋友炫耀婚礼背后可能隐藏着双方的竞争心理)。像观众审视电影剧本一样,找出真正未被言明的核心矛盾。
- 将“沟通障碍”本身作为问题提出:如果担心谈论某事会引发争吵或让自己语无伦次,可以直接表达这种担忧(例如:“我想谈个问题,但我怕引起争吵”)。解决这种阻碍沟通的“次级问题”往往能打破僵局。
- 在不完全确定时表达直觉:人类对人际动态的直觉很敏锐,但具体归因常常出错。即使不完全清楚问题所在,也可以分享不适的直觉(例如:“我觉得气氛有点怪”),邀请他人共同探讨并还原真相。
长期回避问题的危害
虽然偶尔的沉默无伤大雅,但长期保持“充满希望的沉默”具有破坏性。它会让人脱离内心的指南针,失去诚实看待生活的能力。在缺乏反馈文化的环境中,这还会导致人们陷入讨好型人格,为了维持表面和平而忽视工作和生活中的真正问题。
总结
直接指出问题是一项需要不断练习的技能。掌握这项技能能让人不再惧怕冲突,而是将其视为澄清事实、拉近关系和促进自我成长的机会。人们应当从被动承受戏剧冲突的“电影角色”,转变为透彻理解并掌控生活全局的“导演”。
11. Why Castrol Honda Superbike crashes on (most) modern systems (seri.tools)
《Castrol Honda Superbike》现代系统崩溃原因及修复分析
问题背景
1998年发布的PC赛车游戏《Castrol Honda Superbike》在Windows 98/XP上运行正常,但在Windows 7等现代系统上会出现黑屏或随机崩溃现象。
调试与根本原因
通过逆向工程与开启游戏内置的详细日志,作者定位到崩溃发生在DirectInput初始化阶段。
- 日志分析:游戏启动时枚举系统输入设备,日志显示其枚举到了鼠标、键盘以及主板自带的“LED控制器”等设备。在设备管理器中禁用LED控制器后,游戏即可正常启动。
- Bug根源:游戏调用
IDirectInput::EnumDevices时未限制设备类型,导致枚举了所有HID设备。其回调函数将设备信息存入一个大小仅为8的全局数组g_direct_input_devices中。当现代系统连接的设备(如LED控制器、虚拟宏键盘等)超过8个时,触发数组越界,覆盖了定时器句柄和DirectInput实例指针等关键内存数据,导致崩溃。若开发时添加DIDEVTYPE_JOYSTICK过滤器即可避免此问题。
修复方案与技术实现
作者开发了一个名为dinput.dll的DLL Shim(代理库)来拦截并修复该问题,将其放置于游戏目录即可生效。
- 核心逻辑:
- 拦截
DirectInputCreateA,在调用EnumDevices时注入DIDEVTYPE_JOYSTICK过滤器,使其仅枚举摇杆/游戏控制器。 - 限制枚举数量,找到8个控制器后立即停止枚举。
- 拦截
- 极简优化:补丁使用Rust编写,通过
#[no_std]、禁用默认库(/NODEFAULTLIB)、合并PE段(/MERGE)、关闭调试信息及恐慌处理等极端的编译与链接器优化,将DLL体积压缩至仅 2 KiB,并确保在所有32位Windows系统(含Win98至Win7)上的兼容性。
附加发现:绕过CD检查
游戏启动时会检查光驱中是否存在redist\dsetup.dll。通过将游戏目录下的redist文件夹路径配置到f1.cfg文件的GibbonPosture参数中(如设置为GibbonPosture=.\),即可免CD运行游戏。
12. Peter Thiel sells off all Nvidia stock, stirring bubble fears (www.thestreet.com)
13. Jeff Bezos creates A.I. startup where he will be co-chief executive (www.nytimes.com)
14. The Pragmatic Programmer: 20th Anniversary Edition (2023) (www.ahalbert.com)
《程序员修炼之道:20周年纪念版》核心内容总结
本书旨在为初入行业的软件工程师提供专业指导,同时也可作为高级工程师指导新人的实用手册。20周年纪念版更新了约三分之一的新内容(涵盖安全、并发等现代主题),并重写了其余部分。全书的核心特色是将核心原则提炼为简短的“提示(Tips)”,并附带便携提示卡。
1. 务实哲学与方法
- 承担责任与持续学习:开发者应发挥主观能动性,提供解决方案而非借口。发现代码中的“破窗”(小问题)需及时修复以防软件腐化。同时需持续拓宽知识面,并将沟通视为与编程语言同等重要的技能。
- 核心设计原则:软件设计的核心价值是“更容易改变(ETC)”。严格遵循DRY(不要重复自己)原则,消除代码、文档、数据、表示层及开发者间的重复。保持系统正交性,确保模块独立且互不影响。
- 探索与决策:使用“曳光弹”代码快速验证架构和目标,这不同于用完即弃的原型。保持决策的可逆性,通过良好的抽象应对未来的需求变化。
2. 工具、调试与防御性编程
- 基础工具:使用纯文本格式存储知识和配置以防技术过时,熟练掌握命令行Shell和文本处理语言以组合工具。
- 调试技巧:解决问题而非追究责任。保持冷静,重现Bug,仔细阅读错误信息。利用“二分法”缩小排查范围,结合调试器、日志和“橡皮鸭调试法”定位根因,并为修复的Bug补充测试。
- 偏执与防御:承认无法写出完美软件。采用“契约式设计”(明确前置条件、后置条件和不变式),使用断言拦截非法状态,在资源受损前“尽早崩溃”。避免对遥远未来的过度预测。
3. 灵活设计与并发处理
- 代码解耦:避免“火车残骸”式的深层方法调用链(遵循单一“.”原则)。将全局数据封装在受控的API中。摒弃使用继承进行代码复用或类型建模,转而优先使用接口、委托和混入(Mixins)。将应用配置外部化,并作为配置服务进行管理。
- 并发与并行:分析工作流以打破时间耦合,提升并发效率。核心原则是“共享状态即错误状态”,应尽量避免共享状态。若遇到随机故障,应优先排查并发问题。
4. 编码实践与项目管理
- 编码习惯:倾听直觉,若编码受阻需重新审视设计或需求。及早且频繁地重构代码。将测试视为代码的“第一个用户”以获取即时设计反馈,而非单纯为了寻找Bug。
- 需求与敏捷:需求收集的本质是帮助用户理清真实需求,程序员需协助挖掘边界情况。识别真正的约束条件,深入用户场景以理解系统实际用途。真正的敏捷是不断评估和修正的迭代过程,而非死板的现成流程。
- 团队协作:采用切实有效而非盲从潮流的工程实践,致力于软件的持续交付。目标不仅是交付代码,更要超越预期以取悦用户,并对自己的代码署名负责。
15. A new chapter begins for EV batteries with the expiry of key LFP patents (www.shoosmiths.com)
磷酸铁锂(LFP)电池关键专利到期后的产业新篇
LFP电池的核心优势与应用
磷酸铁锂(LFP)电池以磷酸铁锂为正极材料,相比镍钴电池具有成本更低、毒性更小以及热稳定性更佳(安全性高)等显著优势。特斯拉在标准续航车型中的应用引领了其在西方市场的加速普及,同时LFP电池在可再生能源储能领域也备受青睐。
知识产权与专利壁垒的演变
尽管LFP的核心化学专利已到期并进入公共领域,但技术商业化仍面临知识产权壁垒:
- 二次创新成为核心:企业的专利保护重心已转向提升能量密度、安全性、快充能力及降低成本的二次创新。例如,宁德时代(CATL)的麒麟电池(CTP技术)、比亚迪和特斯拉均拥有相关专利。专有工程技术、商业秘密和制造诀窍(Know-how)成为维持竞争优势的关键。
- 自由实施(FTO)风险:围绕添加剂、涂层和生产方法的二次专利构成了密集的“专利丛林”。新进入者面临较高的侵权风险,必须开展细致深入的FTO尽职调查以规避法律诉讼。
其他结构与战略壁垒
除专利景观外,LFP技术的商业化还面临以下结构性挑战:
- 回收经济性差:LFP电池缺乏钴和镍等高价值金属,导致回收吸引力低。这与欧盟规定2031年和2036年锂电池中回收锂含量需分别达到6%和12%的法规目标相冲突。尽管部分公司(如Altilium)正在开发高效回收技术,但目前仍处于起步阶段。
- 供应链高度依赖:西方制造商在获取高压实密度磷酸铁前驱体(用于提升电池能量密度)以及电芯制造专业知识方面,仍严重依赖中国供应商。
- 基础设施不匹配:以英国为例,其充电基础设施仍需大幅扩建和完善,以有效支撑电动汽车的全面普及。
未来战略展望
LFP核心专利的到期(“专利悬崖”)并非产业的终点,而是电动汽车技术创新的新起点,企业需通过持续的技术研发来获取竞争优势。对于知识产权专业人员和电动汽车战略家而言,必须制定适应新范式的保护策略,将有效的商业秘密管理、专利保护布局以及建立战略合作伙伴关系作为不可或缺的核心组件。
16. The fate of "small" open source (nolanlawson.com)
“小型”开源项目的命运与未来
核心观点
随着大语言模型(LLM)的普及以及浏览器和 Node.js 原生功能的不断增强,小型、低价值的实用工具类开源库(如作者曾编写的 blob-util)已走向终结。然而,这并不意味着开源的衰落,而是促使开发者转向更具创新性、复杂性和专业性的大型或利基项目。
AI 对小型工具库的冲击
- 代码生成的替代性:目前绝大多数开发者已习惯使用 AI 辅助编程。像
blob-util这样用于处理 JavaScriptBlob转换的小型工具库,完全可以由 LLM 根据提示直接生成高质量的代码。 - 降低依赖风险:直接使用 AI 生成代码可以避免引入额外的第三方依赖,从而有效降低性能损耗、维护成本和软件供应链方面的潜在风险。尽管 AI 生成的代码可能相对冗长,但在某些错误处理逻辑上甚至优于人工实现。
教育意义的缺失
- 从“教学”到“即时获取”:作者最初编写
blob-util时,不仅旨在提供工具,还通过生动有趣的文档教程来教育开发者如何有效使用 JavaScript,培养其解决问题的能力。 - 理解深度的弱化:AI 时代更看重获取即时答案,而非深入理解问题空间。随着文档逐渐向适配 AI 的格式(如
llms.txt)演变,开发者通过阅读文档和小型库源码来学习的契机正在大幅减少。
开源项目的未来发展方向
尽管小型工具库被淘汰,但开源领域仍有广阔的发展空间。未来具有高价值的开源项目将集中在以下方向:
- 大型与复杂项目:LLM 无法通过简单指令直接生成的系统性工程。
- 创新性与前沿探索:需要新颖研究和创造性技术的项目。例如作者开发的内存泄漏检测工具
fuite及其相关研究,这类工作需要深度的探索,LLM 目前无法轻易复现。 - 利基与小众领域:LLM 训练数据中未充分覆盖的专业或垂直主题。
- 突破常规的底层框架:即使在 LLM 高度熟悉现有框架(如 React)的背景下,仍有开发者致力于创造具有全新理念的框架(如
Ripple.js),展现了人类面对 AI 时的创新精神。
结论
LLM 确实使部分重复性、工具型的开源项目变得过时,但开源社区依然充满生命力。未来的开源开发将更加注重深度、创新,以及探索机器无法轻易替代的未知领域。
17. What if you don't need MCP at all? (mariozechner.at)
核心观点
在许多场景下,AI Agent 无需依赖 MCP(Model Context Protocol)服务器。直接使用 Bash 和自定义代码(CLI 工具)是更高效、灵活且节省上下文(Token)的替代方案。
MCP 服务器的局限性
- 上下文消耗大:主流 MCP 服务器(如 Playwright 或 Chrome DevTools)为覆盖全场景,提供大量工具和冗长描述,单次消耗高达 13k-18k tokens,易导致 Agent 混淆。
- 扩展与组合困难:修改现有 MCP 源码成本高;工具输出必须经过 Agent 上下文,缺乏直接落盘或链式处理的可组合性。
基于 Bash 和代码的极简方案
作者使用 Node.js 和 Puppeteer Core 构建了极简的浏览器自动化 CLI 工具集,仅包含四个核心脚本:
- Start:启动浏览器,支持加载用户默认 Profile(保留 Cookie 和登录状态)。
- Navigate:在当前或新标签页中导航至指定 URL。
- Evaluate JavaScript:在活动页面上下文中执行 JS 代码以读写 DOM。
- Screenshot:对当前视口截图并返回临时文件路径供 Agent 视觉分析。
方案优势:
- 极致节省 Token:工具说明(README)仅约 225 tokens,充分复用 Agent 固有的编程和 Bash 知识。
- 高度可组合:Agent 可将输出直接保存为文件,或通过 Bash 链式调用多个命令。
- 易于定制:可随时修改工具的输出格式以优化 Token 效率。
灵活的工具扩展
该方案允许根据具体需求极速开发新工具,无需重构庞大代码库:
- Pick 工具:通过向页面注入 JS 实现交互式 DOM 元素选择器。用户可直接点击选取元素,Agent 借此快速获取元素信息并编写爬虫。
- Cookies 工具:针对页面 JS 无法获取 HTTP-only cookies 的问题,可快速让 Agent 生成专属抓取脚本,免去了调试 MCP 的繁琐。
跨 Agent 复用机制
为实现多 Agent 复用,作者在本地建立统一的工具目录,通过配置环境变量和别名使脚本全局可用。这不仅避免了工作目录频繁切换导致的混淆,还能通过按需引用特定工具的 README 文件,进一步节省系统提示词中的 Token 开销。
总结
跳出 MCP 的固有框架,为 Agent 构建自定义 CLI 工具能赋予极大的自由度,显著提升开发效率与 Token 利用率。该原则适用于任何具备代码执行环境的 Agent 系统。
18. People are using iPad OS features on their iPhones (idevicecentral.com)
漏洞概述与目的
新发布的 itunesstored 与 bookassetd 沙盒逃逸漏洞允许修改 MobileGestalt.Plist 文件。该文件存储了设备类型、型号及硬件功能(如台前调度、多任务等)等核心系统信息。通过修改此文件,用户能够在 iPhone 上解锁并启用 iPadOS 专属功能,如独立应用窗口、iPadOS 程序坞和台前调度。
支持版本与权限
该漏洞支持最高至 iOS 26.1 及 iOS 26.2 Beta 1 的所有设备。它具备向 mobile 用户控制的路径写入数据的能力,但无法写入 root 用户拥有的路径。
技术实现流程
1. 获取配置文件
通过编写简单的 SwiftUI 应用程序,读取系统沙盒路径下的 com.apple.MobileGestalt.plist 文件,将其导出至“文件”App 并传输至电脑。iOS 允许应用读取该路径,但禁止直接写入。
2. 解析动态库与定位偏移量
MobileGestalt.Plist 的 CacheData 区域包含加密的乱码数据。要让系统识别为 iPad,必须修改 DeviceClassNumber 键值,且必须在 CacheData 中进行修改(若错误修改 CacheExtra 会导致设备无限重启)。
由于数据加密,需通过代码 dlopen 加载 /usr/lib/libMobileGestalt.dylib,解析其内存段(如 __TEXT 和 __DATA_CONST),从而定位 DeviceClassNumber 在 CacheData 中的精确内存偏移量(Offset)。
3. 修改键值与注入
利用修改后的 Python 脚本处理 Plist 文件:
- 根据计算出的偏移量,在
CacheData中将设备类型值覆写为3(代表 iPad)。 - 在
CacheExtra中注入并启用特定的加密键值(如启用 Medusa 浮动应用、多任务覆盖及台前调度等功能)。
执行与部署
在 macOS 中配置 Python 3 虚拟环境并安装 pymobiledevice3 等依赖库后,执行脚本将修改后的 Plist 文件写入设备。因漏洞触发成功率存在波动,可能需要多次尝试。成功写入并重启设备后,即可在系统设置中激活并使用 iPadOS 的多任务与台前调度功能。
19. A 1961 Relay Computer Running in the Browser (minivac.greg.technology)
Minivac 601 模拟器项目概述
该项目是一个基于 Web 的 Minivac 601 模拟器,旨在数字化重现 1961 年发布的经典继电器计算机(Relay Computer)。
核心目的与功能
- 历史设备模拟:在数字环境中模拟 Minivac 601 继电器计算机的运行机制。
- 浏览器端运行:用户无需依赖实体硬件或安装本地软件,即可直接通过网页浏览器访问并体验这款早期的计算机设备。
项目结构与元数据配置
作为一个 Web 应用程序,其基础页面配置和展示信息包含以下要素:
- 项目名称:Minivac 601 Simulator(Minivac 601 模拟器)。
- 项目描述:明确定义为“在您的浏览器中运行的 1961 年继电器计算机”。
- 视觉资源:配置了专属的预览图像(
og-minivac.jpg),用于在网页展示或链接分享时提供直观的视觉预览。
20. Goldman Sachs asks in biotech Report: Is curing patients a sustainable business? (www.cnbc.com)
高盛生物科技报告:治愈患者是否为可持续的商业模式?
核心观点
高盛分析师在《基因组革命》报告中指出,基因治疗、工程化细胞治疗和基因编辑等“一次性治愈”疗法虽然对患者和社会具有巨大价值,但难以产生经常性收入。与慢性病疗法相比,这种模式难以维持长期的现金流,对生物科技开发商的商业可持续性构成挑战。
案例分析:吉利德科学(Gilead Sciences)
报告以吉利德科学的丙肝治疗药物为例,详细说明了“治愈”带来的商业风险:
- 患者池枯竭:该药物治愈率超过90%,成功治愈现有患者导致可治疗的患者池逐渐缩小。
- 传播率下降:在传染病领域,治愈患者减少了病毒携带者,从而降低了新增感染率(新增病例池缩小)。
- 营收大幅下滑:其丙肝药物的美国销售额在2015年达到125亿美元的峰值,随后逐年下降,高盛预计其今年美国销售额将不足40亿美元。
- 领域差异:报告补充指出,在新增发病率保持稳定的疾病领域(如癌症),治愈疗法对核心业务可持续性的风险相对较小。
潜在解决方案
为应对“一次性治愈”带来的营收下滑挑战,报告为生物科技公司提出了三项战略建议:
- 瞄准大型市场:例如血友病(A型和B型),其全球市场规模达90亿至100亿美元,且每年保持约6%至7%的稳定增长。
- 针对高发病率疾病:例如脊髓性肌萎缩症(SMA),该类疾病会影响脊髓神经元,进而影响患者的行走、进食或呼吸能力。
- 持续创新与扩充产品组合:例如针对数百种遗传性视网膜疾病(遗传性失明),企业需保持创新节奏,通过不断推出新的研发项目来抵消早期资产收入下滑的趋势。
21. Android/Linux Dual Boot (wiki.postmarketos.org)
Anubis 服务器防护机制说明
提供的文本并非关于“Android/Linux 双系统”的实际内容,而是网站管理员启用 Anubis 防护系统后显示的拦截与验证提示页面。其核心要点如下:
防护目的
旨在保护服务器免受 AI 公司大规模、侵略性的网络爬虫抓取,防止因恶意抓取导致的服务器宕机和资源不可用问题。
运行机制
- 工作量证明 (PoW):采用类似 Hashcash(常用于反垃圾邮件)的 PoW 机制。
- 非对称成本:该验证对单个普通用户造成的计算负载可忽略不计,但会使大规模自动化爬虫的计算成本急剧增加,从而有效提高恶意抓取的门槛。
长期策略
当前的 PoW 验证页面仅作为临时过渡方案。未来的核心策略是结合浏览器指纹识别技术(例如通过分析字体渲染方式来识别无头浏览器),以便精准区分合法用户与爬虫,从而避免向合法用户展示 PoW 验证页面。
技术与访问要求
Anubis 的运行依赖现代 JavaScript 特性。若用户使用了 JShelter 等会禁用或限制这些特性的浏览器隐私插件,必须针对当前域名禁用此类插件,否则无法完成验证并访问网站。
22. CUDA Ontology (jamesakl.com)
本文系统梳理了CUDA生态的组件架构、术语消歧义、版本语义及兼容性规则,旨在消除概念歧义并指导版本冲突诊断。
术语消歧义
- CUDA:多重指代计算架构、指令集(ISA)、源语言、工具包(Toolkit)或运行时(Runtime)。
- Kernel:严格区分操作系统内核(OSkernel)与GPU执行函数(CUDAkernel)。
- Driver:区分OS内核空间的GPU硬件驱动模块(如
nvidia.ko)与用户空间的Driver API底层库(libcuda.so)。
分层架构与组件
CUDA栈分为应用层与系统层:
- 前端(应用层):
libcudart(Runtime API),提供高级接口,应用构建与运行时均需。 - 后端(系统层):
libcuda(Driver API) 及 OS内核驱动,负责底层硬件调度,仅运行时需要。 - 生命周期:Toolkit(含
nvcc编译器与头文件)仅在构建时需要;运行时仅依赖Runtime库和系统GPU驱动。
版本语义与兼容性
- 核心兼容规则:Driver API版本 ≥ Runtime API版本。新驱动支持旧Runtime(向前兼容),但旧驱动不支持新Runtime(不向后兼容)。
- 计算能力(CC)与代码格式:
- SASS:针对特定CC的GPU机器码,执行快但不跨CC兼容,无法在旧硬件运行。
- PTX:中间表示字节码,支持驱动在运行时JIT编译,实现向未来新硬件的兼容。最佳实践是编译时同时嵌入目标架构的SASS与PTX。
诊断工具与故障模式
不同工具报告的版本维度不同,混淆它们是排查故障的主要障碍:
nvidia-smi:报告GPU驱动版本及支持的最高Driver API版本(非Toolkit版本)。nvcc --version:报告本地安装的Toolkit版本。torch.version.cuda:报告框架编译时绑定的Toolkit版本。
常见故障:
cudaErrorInsufficientDriver:Driver API版本低于Runtime需求,需升级GPU驱动。cudaErrorNoKernelImageForDevice:二进制文件缺少匹配当前GPU的SASS且无PTX供JIT编译,需调整nvcc的-arch和-code参数重新编译。
实践指南
开发者应明确最低驱动需求并编译多架构+PTX;终端用户需确保系统驱动API版本满足应用需求;容器部署需区分仅含运行库的runtime镜像与含完整编译工具的devel镜像。
23. Show HN: ESPectre – Motion detection based on Wi-Fi spectre analysis (github.com)
ESPectre 项目总结
项目简介
ESPectre 是一个基于 Wi-Fi 频谱分析(信道状态信息,CSI)的运动检测系统。它通过分析 Wi-Fi 信号的干扰来检测人体移动,无需摄像头、麦克风或可穿戴设备,具有极高的隐私性和低成本(硬件约10欧元)。该系统通过 ESPHome 原生集成至 Home Assistant。
系统需求与部署
- 硬件:普通的 2.4GHz Wi-Fi 路由器和支持 CSI 的 ESP32 设备(推荐 ESP32-S3 或 C6)。
- 软件:Home Assistant 和 ESPHome(完全免费)。
- 部署建议:传感器最佳放置距离为距路由器 3-8 米,高度 1-1.5 米,需避免金属障碍物遮挡。配置仅需基础的 YAML 知识,无需编程或修改路由器设置。
核心技术与架构
- 工作原理:人体移动会改变 Wi-Fi 波的传播,ESP32 捕捉并分析这些 CSI 数据变化以判断运动状态。
- 处理流水线:包含 CSI 数据获取、增益锁定、基于 NBVI 的自动子载波校准、自适应阈值、Hampel 滤波、低通滤波、检测评估(MVS 或 ML 评分)以及状态滤波,最终将运动状态和评分输出至 Home Assistant。
- 双平台战略:
- ESPectre(生产平台):面向终端用户,提供稳定的 ESPHome 组件和 YAML 配置,支持设备自动发现。
- Micro-ESPectre(研发平台):面向研究人员和开发者,基于 Python/MicroPython 和 MQTT,用于算法快速原型设计、CSI 数据分析及高级功能研发。
功能特性与应用场景
- 检测算法:支持传统的 MVS 算法和实验性的 ML(机器学习)检测器。ML 检测器基于神经网络,无需校准即可在设备端直接运行。
- 应用场景:家庭安防、老人活动监测、智能照明与温控自动化、节能管理及儿童监护。
- 未来规划:计划引入手势识别、人类活动识别(如坐、走、跌倒)、人数统计和 3D 室内定位等高级 AI 功能。
隐私、安全与许可
- 隐私保护:系统仅收集匿名的 Wi-Fi 信道物理特征(如振幅、相位和方差),不收集任何个人身份、图像或音频数据。用户需确保在合法合规及获得同意的前提下使用。
- 开源许可:项目采用 GPLv3 许可证发布,确保软件的自由使用、修改和分发。
24. Z3 API in Python: From Sudoku to N-Queens in Under 20 Lines (ericpony.github.io)
Z3 Python API (Z3Py) 核心功能与应用摘要
概述
Z3 是微软研究院开发的高性能定理证明器,广泛用于软硬件验证、约束求解和安全分析。Z3Py 是其 Python API,通过简洁的语法提供强大的公式处理与约束求解能力。
核心 API 结构
- 变量与表达式:使用
Int,Real,Bool,BitVec声明变量。支持数学运算、布尔逻辑(And,Or,Not,Implies)及表达式简化(simplify)。 - 求解器 (Solver):通过
Solver()创建实例,add()添加约束,check()检查可满足性(返回sat、unsat或unknown)。 - 模型提取:求解成功时,通过
model()获取变量解释,支持遍历和evaluate评估。 - 作用域管理:使用
push()和pop()维护约束栈,便于在共享约束下探索多个分支问题。
数据类型与运算
- 算术支持:处理任意大整数、有理数及代数无理数,支持非线性多项式及整数到实数的自动类型转换。
- 机器算术:
BitVec实现精确的有符号/无符号补码运算,提供专属位运算和逻辑/算术移位操作。 - 未解释函数:基于一阶逻辑,无副作用且为全函数,允许任何符合约束的灵活解释。
高级特性
- 环境配置:
set_option用于调整输出格式(如 HTML 模式、小数精度、有理数转小数)。 - 列表推导式:结合 Python 特性快速生成变量向量(如
IntVector)、矩阵及复杂约束集合。 - 有效性证明:通过验证公式的否定为
unsat来证明原公式的有效性(如自定义prove函数)。
典型应用场景
- 科学计算:求解物理运动学方程组。
- 底层代码验证:证明 C 语言位运算技巧(如判断 2 的幂、检测符号相反)。
- 组合谜题:建模并高效求解数独 (Sudoku)、八皇后 (N-Queens) 及逻辑购买问题。
- 依赖管理:将软件包安装问题转化为布尔约束,利用自定义的
DependsOn和Conflict函数处理包依赖与冲突。
本地部署
本地使用需通过 from z3 import * 导入模块,确保 Z3 前端目录在 PYTHONPATH 环境变量中,或通过 init() 手动指定并加载 Z3 动态链接库。
25. Building a Simple Search Engine That Works (karboosx.net)
本文介绍了一种基于现有数据库构建简单、可控且高效的搜索引擎的方法,旨在替代复杂的外部搜索服务。其核心思想是对内容进行分词和存储,并在搜索时通过匹配分词和计算权重来返回高相关性结果。
数据库结构
系统依赖两张核心表:
index_tokens:存储唯一分词及其对应的分词器权重。同一分词可因不同分词器产生多条不同权重的记录。index_entries:将分词与文档关联,存储最终计算权重(字段权重 × 分词器权重 × ceil(sqrt(分词长度))),并建立多维索引以优化查询性能。
分词策略
所有分词器均实现统一接口,并对文本进行标准化(转小写、去除特殊字符、规范化空格):
- Word Tokenizer:提取完整单词并过滤短词,用于精确匹配(高权重)。
- Prefix Tokenizer:生成指定最小长度的前缀,用于部分匹配和自动补全(中权重)。
- N-Grams Tokenizer:使用固定长度的滑动窗口生成字符序列,用于捕捉拼写错误(低权重)。
权重与评分系统
- 索引权重:结合字段、分词器权重和分词长度计算。长度计算使用平方根函数,使长词权重增加但收益递减。
- 搜索评分:通过SQL聚合计算,综合基础分(匹配权重之和)、分词多样性提升、平均权重质量提升以及文档长度惩罚,最后进行归一化处理(0-1范围)。子查询会过滤掉仅匹配低权重噪音分词的文档,确保结果质量。
索引与搜索流程
- 索引服务:文档实现特定接口后,系统在索引时先清除该文档的旧数据,遍历所有字段和分词器,查找或创建分词,计算权重后进行批量插入以提升性能。
- 搜索服务:使用与索引完全相同的分词器处理查询语句,提取并去重分词,按长度降序排序(优先特定匹配)并限制数量以防DoS攻击。执行优化的SQL查询获取评分后的文档ID,最后通过Repository按相关性顺序获取实际文档。
扩展性
系统具有高度可扩展性:开发者可通过实现接口轻松添加新的分词器或文档类型,并能自由调整权重配置或修改SQL评分逻辑,从而对搜索行为拥有完全的控制权与透明度。
26. PicoIDE – An open IDE/ATAPI drive emulator (picoide.com)
PicoIDE 项目概述
PicoIDE 是由 PicoGUS 创作者 Ian Scott 开发的一款开源 IDE/ATAPI 设备模拟器,旨在为复古计算机(尤其是90年代PC)提供光驱和硬盘的现代化替代方案。
核心功能与特性
- 完全开源:硬件设计与固件均完全开源。
- 设备模拟:支持模拟 ATAPI CD-ROM 和 IDE 固定硬盘。
- CD-ROM 支持
.bin/.cue或.iso镜像格式。 - HDD 支持
.img/.hda/.vhd/.hdf镜像格式。
- CD-ROM 支持
- 音频输出:内置 CD 音频输出,配备 3.5mm 音频插孔和 MPC-2 接口。
- 传输模式:支持 PIO 模式 0-4 和多字 DMA (MWDMA) 模式 0-2。其最高传输速度可媲美 52倍速 CD-ROM。
可选前面板与 3.5 英寸外壳
- 配备 1.3 英寸 128x64 OLED 屏幕及 4 向导航按钮,方便本地操作。
- 内置 WiFi 模块,支持远程控制以及磁盘镜像的无线上传与管理。
- 带有 RGB 状态指示灯。
技术限制与兼容性
- 多设备支持:当前版本仅支持模拟单台驱动器,但硬件具备同时支持两台设备的潜力,双驱支持将是产品发布后的首要开发任务。
- 无 UDMA 支持:出于成本考量,硬件不支持 UDMA 模式。对于需要极速硬盘的用户,建议使用 CF/SD/M.2 转 IDE 适配器;而在光驱模拟方面,现有的 MWDMA 2 和 PIO 4 模式速度已完全满足需求。
- 高兼容性:严格遵循 ATA 和 ATAPI 标准,具有极高的兼容性,预期可适配各类要求苛刻的复古设备。
- 尺寸与硬件:当前硬件设计已定型。首发仅提供 3.5 英寸外壳版本,未来视市场反馈可能推出 5.25 英寸或 2.5 英寸版本。
发售与价格信息
- 购买渠道:目前在 Crowd Supply 平台进行众筹,众筹结束后将开放给其他供应商销售。
- 定价方案:
- 基础版(含 PicoIDE 主板和基础外壳):69 美元。
- 豪华版(包含带屏幕和按键的前面板控制接口):110 美元。
27. Aldous Huxley predicts Adderall and champions alternative therapies (angadh.com)
奥尔德斯·赫胥黎关于人类潜能与替代疗法的演讲总结
核心主题
赫胥黎在麻省理工学院(MIT)系列讲座的最后一场中,探讨了实现人类理想潜能(自我实现)的非药物手段,其内容类似于现代的励志演讲或自助策略。
关键观点与方法
- 替代疗法与心理培养:赫胥黎推崇亚历山大技巧(Alexander technique)和格式塔疗法(Gestalt therapy)等非药物实践。他引用约翰·杜威的观点,强调亚历山大技巧在教育中的核心地位。这些方法通过“心理培养”植入理想品质,而非依赖基因改造或药物增强。
- 药物预测:在探讨提高心理效率(如延长注意力、减少睡眠)时,赫胥黎成功预测了类似阿德拉(Adderall)等认知增强药物的出现。他认为心理疗法和未来的药物都能让人从根本上变得更快乐。
- 个性化与多样性:赫胥黎强调不存在单一的理想人类标准。他引用《薄伽梵歌》中的三种瑜伽(奉爱、行动、智慧)以及西方的体型分类,说明不同个体可以通过不同途径实现潜能。这些疗法因能适应个体性格和内在差异而有效。
- 想象力训练:他指出了格式塔疗法与儿童想象力游戏之间的相似性,即通过游戏化和想象力的训练,帮助人们以更轻松的心态应对严肃或令人畏惧的情境。
对教育的启示
- 个性化教育:赫胥黎主张开发适应个体性格差异的新型教育方法,反对将学生纳入千篇一律的训练和测试模式,并认为技术进步有望实现更具个性化的学习。
- 可扩展的解决方案:他不认为一对一治疗是普及自我实现的可行方案,而是建议基于现有的人类分类群体,测试并开发新的教育与实践方法。
文章评价与后续展望
原文作者认为该讲座表达流畅,但更偏向于对各种技巧的综述,主要依赖轶事证据和名人背书,缺乏明确的中心论点。后续内容将进一步探讨赫胥黎关于人文学科在实现人类潜能中所扮演角色的观点,以及作者的最终思考。
28. I finally understand Cloudflare Zero Trust tunnels (david.coffee)
Cloudflare Zero Trust 与 Warp 核心概念解析
本文总结了 Cloudflare Zero Trust 和 Warp 的核心概念、架构及配置方法,旨在解决传统 P2P 组网(如 Tailscale)在复杂 NAT/防火墙环境下的连接痛点。
核心优势与对比
- Cloudflare Zero Trust:所有流量(除 Warp-to-Warp 外)均通过 Cloudflare 边缘网络路由,彻底解决 NAT 穿透问题。支持连接各类私有网络、免客户端暴露内网服务、细粒度访问控制及无密钥 SSH 认证。
- 对比 Tailscale:Tailscale 依赖 NAT 穿透建立 P2P 连接,延迟低但易受网络环境限制;Cloudflare 牺牲微小延迟以换取极高的连接成功率和强大的边缘安全策略。
核心工具
- Warp Client:运行在终端设备,用于接入 Cloudflare 网络并执行安全策略,支持 Warp-to-Warp P2P 路由。
- Cloudflared:用于创建隧道(Tunnel),通常部署在内网设备(如服务器、路由器)上,将私有网络接入 Zero Trust。
关键架构概念
- Tunnels(隧道):
流量的出口。通过
cloudflared部署在目标网络中,可通过 UI 或config.yml配置,将特定主机名(如公网域名)的请求路由到内网本地服务。 - Routes(路由): 定义流量导向规则。可指定私有 IP 段或虚拟 IP 指向特定隧道。当 Warp 客户端连接时,会拦截这些 IP 的请求并通过 Cloudflare 网络转发至对应隧道。
- Targets(目标): 指向需要保护的基础设施(如特定 IP 或网段),与 Routes 配合使用,以便为其绑定访问控制策略。
访问策略 (Access Policies)
用于控制访问权限,支持 Include(或)和 Require(与)条件,以及 Allow、Deny、Bypass 和 Service Auth 动作。
- 公网访问控制:可配置策略,要求外部用户通过特定方式(如 GitHub 登录且邮箱匹配)认证后,才能访问暴露的公网域名。
- Warp 免密访问:通过
Gateway选择器配置 Bypass 策略,使已注册 Zero Trust 的 Warp 客户端用户无需二次登录即可直接访问内网服务。
客户端部署与注册
- 注册权限 (Enrollment Permissions):在 Zero Trust 面板中配置允许接入的邮箱和身份验证方式。开启 WARP 身份验证以支持 Gateway 策略。
- 配置文件 (Profile Settings):设置客户端行为,包括协议选择(WireGuard/MASQUE)、排除本地网络路由、自动安装 CA 证书、分配 CGNAT 虚拟 IP 及设备姿态检查(Device Posture)。
- 接入网络:用户在 Warp 客户端中登录指定账号,通过验证后即可自动应用路由和隧道策略,实现安全、无缝的内网访问。
29. Dark Pattern Games (www.darkpattern.games)
核心定义
游戏暗黑模式(Gaming Dark Pattern) 是指游戏开发者为了获取自身利益,故意在游戏中添加的会导致玩家产生不良或负面体验的设计。
网站简介:DarkPattern.Games
- 平台聚焦:这是一个全新上线的网站,目前主要收录和评估暗黑模式最普遍的 iOS 和 Android 游戏,未来计划扩展至其他游戏平台。
- 当前现状与用户呼吁:由于网站处于起步阶段,大量游戏尚缺乏用户评价。官方正在积极推进评测工作,并呼吁用户通过搜索自己熟悉的游戏并提交评价,以协助完善网站的数据库。
30. Three kinds of AI products work (www.seangoedecke.com)
当前基于大语言模型(LLM)的AI产品中,仅有三种类型真正具备可行性,另有两种展现出未来发展潜力。
三种可行的AI产品
聊天机器人 (Chatbots)
- 现状:最流行的AI产品,但第三方产品面临基础模型(如ChatGPT)的降维打击,因为AI实验室拥有最新模型和同步开发的优势。
- 带工具的聊天机器人:通常效果不佳。一方面,赋予实质性权限(如退款)极易被用户“越狱”滥用;另一方面,聊天并非高效的用户界面,不如直接点击按钮。
- 显式角色扮演:通过生成成人内容等避开大厂限制的利基市场获利,但存在伦理争议,且未来极易被放宽限制的大厂吞噬。
自动补全 (Completion)
- 机制:以GitHub Copilot为代表,在用户输入时提供智能代码补全。
- 优势:用户无需与模型进行对话交互,无缝融入现有工作流。
- 现状:在编程领域取得了巨大成功,但在常规文档写作(如Word)中尚未引起广泛反响,可能受限于用户习惯或认知门槛。
智能体 (Agents)
- 机制:用户仅需输入一次自然语言指令,模型即可自主规划、执行并测试复杂任务。与带工具的聊天机器人不同,智能体能按特定顺序自主完成大量操作。
- 编程智能体:目前最成功的智能体应用,得益于代码变更易于通过测试验证,且AI实验室有强烈动力优化编程模型。
- 研究智能体:擅长浏览海量搜索结果或数据集(如Perplexity),在医疗、法律等垂直领域具备巨大潜力。
两种尚未成熟但具潜力的产品
AI生成信息流 (Feeds)
- 机制:利用AI生成个性化的无限内容流(视频、图片、文本)。
- 优势:通过用户的隐式交互(如滑动、停留时间)作为模型输入,无需改变用户的消费习惯。
- 现状:基于现有推荐系统的用户偏好嵌入技术,向“生成相关内容”的过渡非常自然,潜力巨大但目前尚未出现爆发式产品。
AI游戏 (Games)
- 机制:将LLM融入视频游戏,用于生成对话、资产或进行世界模拟。
- 阻碍:游戏开发周期漫长;部分玩家对生成式AI存在抵触情绪;当前AI生成的内容(如对话)过于迎合用户,缺乏游戏所需的挑战性和适配性。
补充说明
- 图像生成:目前更偏向于“玩具”或聊天机器人的内置功能,尚未形成差异化的独立产品。
- 功能与产品的界限:文本总结、翻译和转录等通常被视为聊天机器人的附加功能,而非独立的AI产品。
- 行业展望:当前的AI产品生态仍处于类似互联网早期的探索阶段,未来必将涌现出更多简单且显而易见的创新产品形态。
31. Neuroscientists track the neural activity underlying an “aha” (www.quantamagazine.org)
神经科学家揭示“顿悟”的神经机制及其对记忆的增强作用
研究背景
“顿悟”(Aha moment)是一种突然的认知转变或“表征改变”,与渐进式的分析性问题解决不同,它通常在经历困惑后瞬间发生。为了探究大脑如何产生这种突然的理解并影响记忆,杜克大学认知神经科学家 Maxi Becker 及其团队开展了相关研究。
实验设计与神经机制
研究团队利用功能性磁共振成像(fMRI)技术,让受试者观看 Mooney 图像(极难辨认的高对比度黑白图像)。当受试者经过观察突然认出图像中的隐藏物体时,会产生顿悟体验,并对其突然性、积极情绪和确定性进行评分。
通过神经网络分析 fMRI 数据,研究人员发现了支持“表征改变”的特定大脑网络:
- 腹侧枕颞皮层(VOTC):负责环境中的视觉模式识别。研究指出,该区域的激活与视觉刺激有关,若使用文字等其他刺激,表征改变可能会出现在语言处理区域。
- 杏仁核:处理积极和消极情绪。
- 海马体:参与记忆处理,并作为大脑的“不匹配检测器”,在输入信息与预期不符(如毫无意义的图像突然获得意义)时做出反应。
当受试者产生顿悟时,这三个区域的大脑活动显著增加,且活动强度与体验的确定性和积极情绪呈正相关。这一发现成功将心理学理论与神经机制联系起来。
顿悟的记忆增强效应
研究证实了“顿悟-记忆优势”的存在。在几天后的记忆测试中,受试者对当初评分较高(即顿悟感更强)的图像记忆更深刻。神经学数据显示,初始顿悟期间 VOTC 和海马体的活动增强幅度越大,受试者 5 天后的记忆效果越好。这种大脑活动的剧烈变化使体验更具显著性,从而更好地编码为长期记忆。
然而,研究也指出顿悟并不等同于正确。受试者在错误识别图像时,也有 40% 的概率报告产生了顿悟感(正确识别时为 65%),表明“虚假顿悟”确实存在。
创造力、未来展望与教育应用
- 与创造力的关系:顿悟在创造力中的作用取决于具体问题类型。例如,在为科学概念创造隐喻时,参与者更多依赖缓慢的分析性思维,而非突然的顿悟,且分析性思维对概念的记忆效果更好。
- 未来研究方向:未来的研究有望将顿悟的探索从实验室的问题解决场景,扩展到心理治疗、冥想甚至迷幻体验等更多现实领域。
- 教育应用:在教育领域,教师可以通过引导学生自主产生顿悟来加深他们对知识的记忆。这种强烈的积极体验不仅能提高学习成果,还能极大地激发学生的学习动机。
32. Britney Spears' Guide to Semiconductor Physics (britneyspears.ac)
布兰妮·斯皮尔斯的半导体物理指南
网站目的与主题
本网站以流行歌手布兰妮·斯皮尔斯为趣味引导,提供半导体物理及半导体激光器组件的基础知识教程。其核心目的是讲解半导体激光技术的基本原理,并解释这些关键组件如何使数字格式音乐的播放成为可能。
核心教程结构
网站内容系统全面,主要划分为以下半导体物理与工程技术模块:
- 基础理论:半导体基础、晶体结构、半导体结、态密度。
- 量子与载流子物理:有限势垒量子阱、辐射复合、半导体中的载流子传输。
- 激光器技术:边发射激光器、垂直腔面发射激光器(VCSELs)。
- 材料与制造工艺:光子晶体、晶体生长、制造与加工处理、光刻技术。
辅助资源与功能
- 学习与参考工具:提供在线科学计算器、参考数据资料、半导体术语表(Lip-glossary)以及主题壁纸。
- 公益倡导:包含“The Hunger Site”链接,呼吁用户为全球饥饿人群捐赠食物。
关联项目推广
- Splung.com Physics:作者运营的另一个面向物理学生的教育网站,涵盖力学、光学、电磁学、热力学、核物理和宇宙学,并使用Flash进行互动演示。作者计划扩展该网站的互动组件,并公开招募物理内容创作者进行合作。
- Bad-Ads.co.uk:一个分享和吐槽电视广告的娱乐性网站。
33. The time has finally come for geothermal energy (www.newyorker.com)
地热能的发展与技术复兴
冰岛曾高度依赖进口化石燃料,但通过大力开发地热资源,如今其超过四分之一的电力和几乎所有供暖均来自地热。传统地热能通过钻探深井获取高温蒸汽推动涡轮机发电,具有零碳、全天候可用和占地面积小的优势。然而,该行业长期受限于高昂的前期成本以及对火山或地热活跃区等特定地质条件的依赖。
近年来,地热能迎来了关键技术突破与投资热潮。以 Fervo Energy 为代表的初创企业将油气行业成熟的水力压裂和水平钻井技术引入地热开发,形成了“增强型地热系统”(EGS)。这一跨界技术有效解决了非火山地区岩石渗透率低和钻井成本高的问题,使地热开发摆脱了严格的地理限制。过去五年内,北美地热技术投资激增,谷歌、Meta、微软和亚马逊等科技巨头纷纷签订协议,采用地热能为其数据中心提供稳定的基载电力。同时,美国两党政府也为其提供了税收抵免和快速审批等政策支持。
除了发电,地热能在建筑直接供暖和制冷方面展现出巨大潜力,且热效率远高于用电供暖。浅层地热井无需地下极端高温,已被广泛应用于各类城市建筑。例如,纽约圣帕特里克大教堂、康奈尔大学(CUBO深钻观测项目)以及多个商业总部和住宅社区,均利用地热系统实现了高效、低噪音的温控,并显著降低了长期的能源账单。
在全球视角下,地热能正成为能源转型中不可或缺的一环。例如,赞比亚因严重干旱导致水力发电大幅短缺,目前正积极开发其丰富的地下地热资源以缓解电力危机。尽管有观点认为资金应集中于风能和太阳能等成熟技术,但地热能作为不受天气影响的稳定基载能源,能够有效填补间歇性可再生能源的缺口。随着科研技术与商业资本的深度融合,地热能正打破“小众”标签,有望在全球脱碳与可持续发展进程中发挥核心作用。
34. GCC 16 considering changing default to C++20 (inbox.sourceware.org)
GCC 16 考虑将默认标准更改为 C++20
文章标题指出,GCC 16 编译器正在考虑将默认的 C++ 语言标准更改为 C++20。
然而,提供的文章正文未包含任何关于该主题的技术细节、背景说明或具体影响分析。正文仅展示了网站的基础运行与防护信息,具体包括:
- 网站受 Anubis 防护系统保护。
- 由 Techaro 制作。
- 吉祥物由 CELPHASE 设计。
- 网站当前运行 Anubis 1.25.0 版本。
35. Tektronix equipment has been used in many movies and shows (vintagetek.org)
泰克(Tektronix)设备在影视作品中的应用记录
本文档详细记录了泰克(Tektronix)及其收购品牌(如Telequipment)设备在大量电影和电视节目中的出镜情况。由于涉及作品众多,记录被分为多个页面,当前文本主要聚焦于1953年至1984年间的影视作品,并提供了后续年份的页面链接。
核心内容与结构
- 历史起点:已知最早出现泰克产品的电影是1953年的《磁力怪兽》(The Magnetic Monster),片中短暂展示了511型示波器。
- 设备类型:出镜设备种类繁多,涵盖各型号示波器(如500系列、400系列便携式、T900系列等)、波形监视器、矢量示波器、频谱分析仪、彩色视频监视器以及计算机图形终端(如4010、4051)。
- 品牌并购体现:泰克于1960年代后期收购了英国示波器制造商Telequipment。因此,在《诺博士》(1962)、《金刚钻》(1971)等作品中,均能看到Telequipment品牌的设备。
经典影视作品案例
- 科幻与太空题材:《2001太空漫游》(1968)中使用P600X探头检测AE-35单元;《星球大战》(1977)中死星的控制台使用了Grass Valley Group 1600型切换台;《太空堡垒卡拉狄加》(1978)的舰桥布景大量部署了4051图形系统和TM500仪器。
- 动作与惊悚题材:多部007系列电影(如《诺博士》、《生死关头》)中出现了泰克和Telequipment示波器;《逃离恶魔岛》(Escape From Alcatraz, 1979)中T922示波器被用作通道探测器的一部分。
- 其他知名作品:《捉鬼敢死队》(1984)的ECTO-1救护车内部配备了RM561A示波器;《战争游戏》(Wargames, 1983)展示了466存储示波器和T922示波器;《Runaway》(1984)中出现了561和7704A示波器。
后续记录
文档通过链接提供了后续年代的详细清单:
- 第二页(1985-2009年):涵盖《回到未来》、《超时空接触》、《美丽心灵》、《迷失》及《惩罚者》等作品。
- 第三页(2010年至今):涵盖《生活大爆炸》、《复仇者联盟4:终局之战》、《隐藏人物》、《寂静之地》及《人生切割术》(Severance)等现代影视剧、纪录片及商业广告。
36. How to escape the Linux networking stack (blog.cloudflare.com)
背景与核心问题
Cloudflare 的 soft-unicast 技术允许在数据中心之间共享 IP 子网,使得单台机器需要使用数十到数百个 IP 地址和源端口组合来发起外部连接。在使用 Netfilter/conntrack 的 SNAT 规则进行端口重写时,如果结合本地绑定的 TCP socket,会引发严重的冲突:conntrack 模块无法感知 socket 子系统,当端口耗尽或发生五元组冲突时,conntrack 会将 TCP socket 的源端口静默重写到分配给该机器的端口范围之外,从而导致连接超时和中断。
解决方案的探索与演进
为了解决五元组冲突和端口静默重写问题,工程团队尝试了以下三种方案:
1. 本地终止与代理连接
停止直接转发 IP 数据包,改为在服务器本地终止所有 TCP 连接,并将其代理到具有正确 soft-unicast 地址的本地 TCP socket。
- 评估:方案简单可行,但会增加额外的系统资源消耗和潜在的网络延迟。
2. 通过 Netlink 操作 conntrack
在创建 socket 之前,使用 Netlink 接口手动操作 conntrack 表,提前为即将绑定的 socket 创建 conntrack 条目,防止端口被无效重写。
- 评估:效率低下。Netlink 速度较慢,且需要手动实现类似
tcp_tw_reuse的机制来管理超时和清理。在大规模高并发场景下,极易因 stray RST 数据包导致条目丢失,方案过于脆弱。
3. 利用 TCP Fast Open 创建“伪连接”
利用 Linux 内核的 TCP_FASTOPEN_CONNECT 和 TCP_FASTOPEN_NO_COOKIE 选项,创建一个无需进行传统 TCP 三次握手的“已连接” socket。
- 评估:该方法可以提前占用指定的五元组(IP和端口),阻止其他进程绑定相同地址,完美解决了 socket 绑定与数据包转发的共存问题。
路由决策与 Early Demux 冲突
在实施“伪连接”方案时,团队遇到了新的路由问题:默认情况下,Linux 不会转发目标为本地 IP 的数据包。即使通过修改 ip rule 将带有特定 fwmark 的数据包重定向到 TUN 设备,数据包依然在生产环境中被丢弃。
- 根本原因:Linux 内核的
early demux(早期解复用)特性。该特性为了优化性能,在路由决策阶段直接查找本地 socket。由于“伪连接”创建了本地 socket,early demux会直接匹配到该 socket 并跳过自定义的路由查找规则,导致数据包无法进入 forward 表进行转发。 - 修复尝试:通过设置
net.ipv4.tcp_early_demux = 0禁用该特性。测试表明,禁用后仅带来极小的性能损耗(主要在非高峰时段)。
最终决策与现状
尽管团队成功找到了实现纯 IP 转发的技术路径(伪连接 + 禁用 early demux),但最终放弃了纯 IP 转发方案,全面采用“本地终止与代理连接”方案。
- 决策原因:本地终止方案带来的性能影响在可接受范围内,且提供了更高的源站可达性可见度、更快的内部网络路由以及更简单的 soft-unicast 地址使用可观测性。纯 IP 转发的复杂性收益不高。
- 现状:目前,专门用于处理 soft-unicast 地址空间的“Fish (SLATFATF)”服务已大幅缩减职责,仅用于处理 ICMP 数据包,而 TCP 连接均在本地终止并进行代理。
37. Ned: ImGui Text Editor with GL Shaders (github.com)
Ned 项目总结
项目概述
Ned 是一款基于 Dear ImGui 构建的轻量级、可嵌入的复古风格文本编辑器。它结合了现代开发工具的强大功能与 OpenGL 着色器视觉效果(如静态噪点、烧屏、屏幕弯曲、泛光和暗角),旨在提供独特的编码体验。
核心功能
- 语法高亮与代码导航:使用 Tree Sitter 支持 15 种以上编程语言(如 C++、Python、JavaScript、Rust、Go 等)的语法高亮,并允许自定义词法分析器。集成 LSP(支持 clangd、gopls、pyright 和 TypeScript),提供跳转定义、查找引用和符号信息等功能。
- 高级编辑体验:支持多光标编辑、多文本选择、文本书签(保存光标位置以便多文件切换)、行跳转以及醒目的彩虹模式光标。
- 内置终端:包含基于 suckless st.c 移植至 C++ 的终端模拟器,并支持多路复用。
- AI 辅助编码:通过 OpenRouter 集成类似 Copilot 的自动补全功能,可接入最新的大语言模型(LLM)。
- 界面与扩展:支持 Emoji 字体渲染、自定义主题系统以及内置的文件树浏览器。
技术架构与嵌入性
Ned 采用轻量化架构设计,可作为 ned_embed 库轻松嵌入到其他 Dear ImGui 应用程序中。开发者可以直接复用其文本编辑器、文件浏览器和终端模拟器等组件,官方提供了 ImGui_Ned_Embed 演示仓库以指导集成。
构建与平台支持
- 环境依赖:需要 CMake (3.10+)、C++20 兼容编译器、OpenGL、GLFW3、Glew 和 Curl。
- 跨平台构建:
- macOS (Intel/ARM) 与 Linux (Ubuntu/Debian):提供
build.sh构建脚本及pack-mac.sh/pack-deb.sh打包脚本。 - Windows (x64):提供
build-win.bat脚本,能够自动安装 Visual Studio Build Tools 等依赖项。
- macOS (Intel/ARM) 与 Linux (Ubuntu/Debian):提供
正在开发中的特性 (WIP)
- MCP Agent (AI 代理):通过 OpenRouter 连接大模型,利用 MCP 协议调用读取文件、执行命令和编辑文件等工具。文件编辑工具采用 Morph 模型,实现大文件代码的高速、高精度修改。
- 多光标系统优化:增强多光标追踪能力,支持通过文本搜索批量生成光标,并完善按词或按行跳转等快捷键绑定。
- Windows 支持:目前仍在持续测试中,但已提供可用的发布版本及独立/嵌入版的构建脚本。