2025-12-18

25 篇热帖

1. Gemini 3 Flash: Frontier intelligence built for speed (blog.google)

Gemini 3 Flash:速度与智能并存的新模型发布总结 (Gemini 3 Flash: Summary of the New Model Release Combining Speed and Intelligence)

谷歌发布了Gemini 3 Flash,这是一个专为速度和效率设计的最新模型,旨在帮助用户更快地学习、构建和规划。Gemini 3 Flash 结合了Gemini 3 Pro 的推理能力与Flash级别的速度和更低的成本,尤其适用于编码、复杂分析和快速响应的交互式应用。

主要特点与功能:

  • 速度与智能兼具: Gemini 3 Flash 在保持高智能水平的同时,实现了更快的速度和更低的成本。
  • 广泛可用性: 该模型已在全球范围内推出,可通过以下平台访问:
    • 开发者: Google AI Studio、Gemini CLI、Google Antigravity、Vertex AI、Gemini Enterprise、Android Studio。
    • 普通用户: Gemini 应用和 Google 搜索中的 AI 模式。
  • 卓越性能: 在各种基准测试中表现出色,例如 GPQA Diamond (90.4%) 和 Humanity's Last Exam (33.7%),甚至超过了 Gemini 2.5 Pro。在 MMMU Pro 上,其表现与 Gemini 3 Pro 相当 (81.2%)。
  • 效率提升: Gemini 3 Flash 能够根据任务复杂程度调整思考深度,平均使用比 2.5 Pro 少 30% 的 tokens,同时提升性能。
  • 编码能力: 在编码基准测试 SWE-bench Verified 上,Gemini 3 Flash 获得 78% 的分数,优于 Gemini 2.5 系列和 Gemini 3 Pro。
  • 多模态能力: 强大的多模态能力使其能够处理视频分析、数据提取和视觉 Q&A 等复杂任务。
  • 默认模型: Gemini 3 Flash 已成为 Gemini 应用和 Google 搜索 AI 模式的默认模型。
  • AI 模式升级: AI 模式利用 Gemini 3 Flash 的推理能力,更准确地解析问题,提供更全面和视觉化的回答,并整合实时信息和链接。

定价:

  • 输入 tokens:$0.50/1M
  • 输出 tokens:$3/1M
  • 音频输入 tokens:$1/1M

应用场景:

  • 快速构建应用和原型。
  • 复杂的数据分析和推理。
  • 实时视频和图像理解。
  • 智能助手和 A/B 测试实验。
  • 规划行程和学习复杂概念。

总而言之,Gemini 3 Flash 代表了谷歌在人工智能领域的重要进步,它在速度、成本和智能之间取得了平衡,为开发者和普通用户提供了更强大的工具。

2. AWS CEO says replacing junior devs with AI is 'one of the dumbest ideas' (www.finalroundai.com)

亚马逊AWS CEO就AI取代初级开发者发表的观点总结

亚马逊AWS CEO Matt Garman 明确指出,公司不应将削减初级开发者岗位作为降低成本的手段,因为“他们实际上是与AI工具最熟悉的人”。 他在 WIRED 的访谈节目中,阐述了三点理由,反对将AI视为取代初级开发者的工具。

核心观点: Garman 认为,短视的成本削减策略可能会对企业造成长期的损害,并强调了培养和训练新人才的重要性。

三点理由:

  1. 初级开发者更熟悉AI工具: 许多初级员工比资深员工更擅长使用AI工具。他们通常是技术的早期采用者,能更快地适应新功能,并能从AI代理中获得最佳效果。 2025年Stack Overflow开发者调查显示,55.5%的初级开发者每天使用AI工具进行开发,高于资深开发者。

  2. 初级员工并非最佳成本优化目标: 初级员工通常薪资较低,因此将其作为成本优化的首要目标并不明智。真正的成本优化需要对整个公司进行评估,而不是仅仅针对初级员工。 许多公司在裁员后反而增加了开支,并且不得不重新招聘。

  3. 削减初级开发者会破坏人才培养体系: 公司需要不断注入新鲜血液。初级员工带来了新的思维方式和创新动力,并为公司未来的发展奠定了基础。 如果公司停止招聘初级员工,就会切断自身的人才培养体系,导致未来缺乏领导者。 Deloitte 的报告也指出,技术劳动力预计将以比整体美国劳动力快两倍的速度增长,强调了对技术人才的需求。

总结:

Garman 认为,AI 将提高生产力,并创造更多的就业机会,但同时也需要开发者更快地适应新技术。 他强调,计算机科学学位仍然至关重要,因为扎实的基础知识对于未来高价值角色的胜任至关重要。 最终,他表达了对AI创造更多就业机会的信心。

4. Gut bacteria from amphibians and reptiles achieve tumor elimination in mice (www.jaist.ac.jp)

日本 JAIST 研究所研究团队发现新型抗癌细菌,有望开创癌症治疗新途径

摘要: 日本先进科学技术研究所 (JAIST) 的宫古英次郎教授领导的研究团队,从日本树蛙的肠道中分离出了一种名为 Ewingella americana 的细菌,该细菌表现出惊人的抗癌活性。该研究成果已发表在国际期刊《Gut Microbes》上,为癌症治疗提供了全新的思路。

主要发现:

  • 完全肿瘤消除: 单次静脉注射 E. americana 细菌,在小鼠结直肠癌模型中实现了 100% 的完全肿瘤消除 (CR)。
  • 双重抗癌机制: E. americana 具有直接杀死癌细胞和激活免疫系统的双重作用机制。
    • 直接细胞毒性: 该细菌在肿瘤缺氧微环境中积聚,直接破坏癌细胞。
    • 免疫激活: 该细菌能有效刺激免疫系统,招募 T 细胞、B 细胞和中性粒细胞,并通过释放促炎细胞因子(TNF-α、IFN-γ)进一步增强免疫反应,诱导癌细胞凋亡。
  • 肿瘤特异性积聚: E. americana 仅在肿瘤组织积聚,未在正常器官中定植,具有高度的肿瘤特异性。其特异性积聚机制包括:肿瘤缺氧环境、肿瘤细胞表达的 CD47 蛋白造成的局部免疫抑制、肿瘤血管渗漏以及肿瘤特有的代谢异常。
  • 安全可靠: 细菌清除迅速(半衰期约为 1.2 小时),24 小时后完全无法检测到;未在肝脏、脾脏、肺脏、肾脏和心脏等正常器官中定植;仅出现短暂的轻微炎症反应,72 小时内恢复正常;在 60 天的观察期内未出现慢性毒性。
  • 优于现有疗法: E. americana 的抗癌效果显著优于目前常用的免疫检查点抑制剂(抗 PD-L1 抗体)和脂质体多柔比星 (化疗药物)。

研究背景与方法:

研究团队从日本树蛙、日本火腹新两栖动物和日本草蜥的肠道中分离了 45 种细菌。经过筛选,9 种细菌表现出抗肿瘤活性,其中 E. americana 表现出最卓越的治疗效果。研究表明,与以往侧重于肠道菌群调节或粪便菌群移植等间接方法的癌症治疗研究不同,该研究采用了一种全新的策略:分离、培养并直接静脉注射单个细菌菌株来攻击肿瘤。

未来展望:

研究团队计划进一步研究:

  • 扩展到其他癌症类型: 验证 E. americana 在乳腺癌、胰腺癌、黑色素瘤等其他恶性肿瘤中的疗效。
  • 优化给药方法: 开发更安全有效的给药方法,例如剂量分批和肿瘤内注射。
  • 联合治疗开发: 探索与现有免疫治疗和化疗的协同作用。

该研究表明,未被探索的生物多样性蕴藏着开发新型医疗技术的巨大潜力,有望为难治性癌症患者提供新的治疗选择。

关键词: 抗癌细菌、肠道菌群、肿瘤微环境、免疫激活、Ewingella americana

6. A Safer Container Ecosystem with Docker: Free Docker Hardened Images (www.docker.com)

Docker Hardened Images (DHI) 概述 (Summary of Docker Hardened Images)

以下是对 Docker Hardened Images (DHI) 相关内容的总结:

核心问题与解决方案:

软件供应链攻击日益严重,造成的损失巨大。为了解决这个问题,Docker 推出 Docker Hardened Images (DHI),这是一个安全、精简、生产就绪的镜像集合,旨在为全球开发者提供一个安全的软件构建基础。

DHI 的主要特点:

  • 开源免费: DHI 采用 Apache 2.0 许可证,完全免费、开放,可供所有开发者使用、分享和构建。
  • 安全加固: DHI 已经加固了超过 1000 个镜像和 Helm Charts,并采用 distroless 运行时,减少攻击面。
  • 透明公开: DHI 包含完整的 SBOM(软件物料清单)、SLSA Build Level 3 provenance 信息,并公开透明地处理漏洞信息。
  • 兼容性强: 基于广泛使用的 Debian 和 Alpine 基础镜像,易于团队采用。
  • 持续安全更新: DHI Enterprise 提供 7 天内修补关键 CVE 的承诺,并计划缩短至一天或更短。
  • 可定制化: DHI Enterprise 允许用户自定义镜像,并利用 Docker 的构建基础设施进行管理。
  • 扩展生命周期支持 (ELS): DHI ELS 提供最长 5 年的安全更新,即使上游支持已结束。
  • 扩展生态系统: DHI 不仅包括镜像,还包括 Hardened Helm Charts 和 Hardened MCP Servers,并计划扩展到整个软件栈,包括库和系统包。

DHI 的不同版本:

  • Docker Hardened Images (免费): 基础版本,提供安全、精简的镜像。
  • Docker Hardened Images (DHI) Enterprise (商业): 提供更严格的安全保障,包括快速漏洞修复、FIPS/STIG 认证、定制化能力等。
  • DHI Extended Lifecycle Support (ELS) (商业): 延长安全更新周期,提供最长 5 年的安全支持。

合作伙伴与支持:

DHI 获得了包括 Google、MongoDB、CNCF 等众多合作伙伴的支持,并与 Snyk、JFrog Xray 等安全平台集成,共同构建安全的软件供应链。

如何开始使用:

  • 参加发布网络研讨会。
  • 立即开始使用免费的 Docker Hardened Images。
  • 查阅文档。
  • 加入合作伙伴计划。

Docker 的愿景:

Docker 致力于让 DHI 成为所有开发者构建软件的默认选择,并持续创新,为容器安全贡献力量。

7. How SQLite is tested (sqlite.org)

SQLite 测试机制总结

概述

SQLite 的高可靠性源于其极其严密的测试体系。其核心 C 代码约 15.5 万行,而测试代码和脚本高达 9200 多万行,比例约为 1:590。每次版本发布前,均需在多平台和多编译配置下通过所有测试。

核心测试工具

  • TCL Tests:原始且主要的开发测试,包含数百万个参数化测试用例。
  • TH3:专有的 C 语言测试套件,专为嵌入式平台设计,提供 100% 的分支和 MC/DC 测试覆盖率。
  • SQL Logic Test (SLT):执行数百万条 SQL 语句,对比 SQLite 与 PostgreSQL、MySQL 等主流数据库的结果一致性。
  • dbsqlfuzz:基于 LLVM libFuzzer 的专有模糊测试工具,同时变异 SQL 和数据库文件,每天执行约 10 亿次变异测试。

异常与模糊测试

  • 异常测试:通过模拟内存不足(OOM)、I/O 错误、系统崩溃和断电,验证 SQLite 的异常处理能力,确保数据库不损坏(原子提交)。
  • 模糊测试:使用 AFL、OSS Fuzz、dbsqlfuzz 等工具生成无效 SQL 或畸形数据库文件,确保系统能安全处理并正确报告 SQLITE_CORRUPT 等错误。
  • 边界值测试:验证 SQLite 在达到或超出系统定义极限时的行为。

测试覆盖率与变异测试

  • SQLite 核心代码在默认配置下实现了 100% 的分支覆盖率100% 的 MC/DC 覆盖率(通过 gcov 测量)。
  • 使用 ALWAYS()NEVER()testcase() 宏来处理防御性代码,并强制覆盖边界值和布尔向量条件。
  • 变异测试:通过修改汇编级别的分支指令(如改为无条件跳转或空操作),验证每个分支是否对输出产生实际影响,以优化代码和测试用例。

动态分析与资源管理

  • 断言与内存检查:代码包含大量 assert() 验证逻辑不变量;使用 Valgrind 和自定义的 memsys2 内存分配器检测内存越界、未初始化内存和泄漏。
  • 未定义行为检查:利用 GCC、Clang 和 MSVC 的特定编译选项(如 -fsanitize=undefined)消除 C 语言中的未定义和实现定义行为。
  • 自动资源泄漏检测:测试框架自动追踪并报告内存、文件描述符、互斥锁等系统资源的泄漏。

其他关键保障机制

  • 回归测试:每个修复的 Bug 都必须添加对应的测试用例,防止问题在未来版本中重现。
  • 禁用优化测试:对比开启和关闭 SQL 优化器的执行结果,确保优化逻辑不引入计算错误。
  • 发布检查清单:发布前由开发者手动执行约 200 项检查,保留人工审核环节以防止自动化测试的盲区。
  • 静态分析:确保代码在主流编译器下无警告编译,作为代码质量的辅助保障。
8. TikTok unlawfully tracks shopping habits and use of dating apps? (noyb.eu)

TikTok 数据共享及访问请求处理不当问题申诉总结 (Summary of Complaints against TikTok, AppsFlyer and Grindr)

以下是对 noyb 向奥地利数据保护机构 (DSB) 提交的两份申诉的总结,涉及 TikTok、AppsFlyer 和 Grindr 的数据处理行为。

核心问题:跨应用非法追踪及数据共享

  • 非法追踪: TikTok 涉嫌通过追踪用户在其他应用程序中的使用情况进行数据收集,这是一种非法行为。用户通过访问请求发现,他的 Grindr 使用数据(包括可能泄露其性取向和性生活的信息)被发送到了 TikTok,很可能通过以色列数据公司 AppsFlyer 作为中介。
  • 敏感数据处理: Grindr 的数据包含受 GDPR 第 9 条 保护的敏感个人数据,只有在特殊情况下才能处理。TikTok、AppsFlyer 和 Grindr 均未提供在 GDPR 框架下数据共享和处理的合法依据,且用户并未明确同意此类数据共享。
  • 数据共享协同: AppsFlyer 疑似作为中介,从 Grindr 接收用户数据并传递给 TikTok,进一步助长了非法数据共享的行为。

TikTok 访问请求处理不当

  • 信息隐瞒: TikTok 最初在回复用户访问请求时,隐瞒了其追踪其他应用数据的行为,违反了 GDPR 第 15 条
  • 不完整的数据下载工具: TikTok 指导用户使用一个“下载工具”获取个人数据,但后来承认该工具仅提供 TikTok 认为“相关”的数据,并非用户所有个人数据的完整副本。即使在多次催促后,TikTok 仍未提供关于数据处理目的和具体处理方式的完整信息,违反了 GDPR 第 12 条GDPR 第 15 条
  • 结构性违规: noyb 认为 TikTok 的“下载工具”存在结构性的缺陷,可能导致数千用户无法获得完整的数据副本。

申诉内容与要求

  • 针对 TikTok 的申诉: 针对 TikTok 回复访问请求不完整的问题。
  • 针对 TikTok、AppsFlyer 和 Grindr 的申诉: 针对 TikTok 跨应用数据处理、AppsFlyer 和 Grindr 数据共享缺乏合法依据以及违反 GDPR 第 9(1) 条 的问题。
  • 要求:
    • TikTok 必须向用户提供所有缺失的信息。
    • TikTok、AppsFlyer 和 Grindr 必须停止非法的数据处理行为。
    • 建议 DSB 依据 GDPR 第 83 条 处以“有效、相称且具有威慑力”的罚款,以防止未来发生类似违规行为。

总而言之,noyb 指出 TikTok 及其合作方通过非法追踪和数据共享,侵犯了用户的隐私权,并对 TikTok 的数据访问请求处理方式提出了质疑。

9. A16z-backed Doublespeed hacked, revealing what its AI-generated accounts promote (www.404media.co)

Doublespeed 黑客攻击事件摘要

事件概述 由 a16z 投资的初创公司 Doublespeed 遭遇黑客攻击,其利用 AI 账号进行未披露广告推广的业务模式及底层基础设施被曝光。

关键细节

  • 业务模式:Doublespeed 运营“手机农场”,管理数百个 AI 生成的社交媒体账号,在未进行必要广告披露的情况下推广产品。
  • 攻击影响:黑客获取了公司后端权限,控制了 1000 多部智能手机,并查明了这些 AI 账号具体推广的产品内容。
  • 漏洞现状:一名要求匿名的黑客(担忧遭到公司报复)于 10 月 31 日报告了该漏洞。截至发稿时,该黑客仍能访问公司后端和手机农场系统。
  • 公司回应:Doublespeed 尚未对置评请求作出回应。
10. I got hacked: My Hetzner server started mining Monero (blog.jakesaunders.dev)

总结:我如何意识到“我不使用 Next.js”并不意味着我的依赖项不使用 Next.js

这篇文章讲述了作者 Jake Saunders 经历的一次服务器安全事件,以及从中吸取的教训。

事件经过:

  • Jake 收到 Hetzner 的邮件,警告他的服务器可能存在攻击行为,并要求提供攻击原因和解决方案,否则将面临服务器被封禁的风险。
  • 检查服务器负载时,发现 CPU 使用率异常高,并发现运行着名为 javae 和多个 xmrig (Monero 挖矿软件) 的进程。
  • 调查发现,Umami 统计工具的容器被入侵,黑客利用 Next.js 的一个安全漏洞 (CVE-2025-66478) 在容器中安装了挖矿软件,并运行了 10 天。
  • 作者起初认为自己不需要担心 Next.js 的安全问题,因为他并没有直接使用 Next.js,但后来意识到 Umami 是基于 Next.js 构建的。
  • 幸运的是,挖矿软件被容器隔离,没有逃逸到主机系统,作者得以避免更严重的损失。

技术细节:

  • 攻击方式: 黑客利用 Next.js 的 React Server Components 序列化漏洞,通过发送恶意 HTTP 请求,在 Umami 容器中执行任意代码,进而下载并运行挖矿软件。
  • 容器隔离: Umami 容器以非 root 用户运行,没有特权访问权限或主机挂载,这使得挖矿软件无法访问主机文件系统,从而限制了其破坏范围。
  • 漏洞: CVE-2025-66478 是 Next.js 中一个不安全的序列化漏洞,攻击者可以利用此漏洞在服务器上执行任意代码。

吸取到的教训:

  1. 依赖项安全: “我不使用 X”并不意味着我的依赖项不使用 X。需要了解并关注使用的第三方工具的构建技术,以及它们可能存在的安全风险。
  2. 容器隔离: 容器隔离技术在配置正确的情况下可以有效保护主机系统,但不能完全依赖容器隔离来保证安全。
  3. 安全意识: 攻击者可能使用复杂的手段来隐藏恶意行为,需要保持警惕,并采取多层次的安全措施。
  4. 防御纵深: 单一的安全措施不足以应对所有威胁,需要构建多层次的安全防御体系,包括防火墙、入侵检测、监控和定期安全更新等。

后续行动:

  • 作者删除了受感染的 Umami 容器。
  • 开启了防火墙 (UFW)。
  • 计划审计所有第三方容器的安全配置。
  • 加强 SSH 认证,并设置 fail2ban。
  • 完善服务器监控,及时发现并响应安全事件。
  • 定期更新软件,及时修复安全漏洞。

总而言之,这篇文章强调了在现代云环境中,理解依赖项的安全风险、正确配置容器安全以及构建多层次安全防御体系的重要性。

11. Germany: Amazon is not allowed to force customers to watch ads on Prime Video (www.zeit.de)

亚马逊 Prime 视频广告问题:法院判决消费者胜诉

核心内容: 德国慕尼黑地方法院判决亚马逊(Amazon)不能单方面更改 Prime Video 服务的合同条款,并在视频中插入广告,除非消费者同意并支付额外费用。

关键细节:

  • 背景: 亚马逊于 2024 年初通知 Prime Video 用户,将会在视频中有限地播放广告,并要求不希望观看广告的用户每月支付 2.99 欧元。
  • 法院裁决: 法院认为亚马逊的这种做法违反了公平竞争原则,邮件通知具有误导性,亚马逊错误地认为自己有权单方面更改合同条款。法院认为,用户在订阅时期望的是一个无广告的 Prime Video 服务,亚马逊不能随意更改这一条款。
  • 亚马逊的回应: 亚马逊表示尊重法院的决定,但不同意其结论,并声称已按照法律规定,提前并透明地通知用户关于广告更新。他们保留对该判决提出上诉的权利。
  • 消费者协会的观点: 消费者协会表示,这是一个重要的判决,表明亚马逊 Prime Video 的额外广告不能在未经消费者同意的情况下进行,并认为会员应继续享受无广告的 Prime 服务,且无需额外付费。
  • 后续措施: 亚马逊需要向 Prime Video 用户发送一份“更正函”。
  • 判决是否生效: 该判决目前尚未最终生效,亚马逊可能提出上诉。

总结: 该判决对亚马逊 Prime Video 的广告策略构成重大挑战,强调了企业在修改服务条款时需要尊重消费者权益的重要性。

12. Developers can now submit apps to ChatGPT (openai.com)

核心发布:开放应用提交与应用目录

OpenAI 现已开放 ChatGPT 的应用提交审核与发布功能,并在 ChatGPT 内正式推出应用目录(App Directory)。用户可通过工具菜单或专属网址(chatgpt.com/apps)浏览和搜索应用,开发者亦可利用深度链接将外部平台用户直接引导至其应用页面。

应用交互与触发机制

用户连接应用后,可通过在对话中 @应用名称或从工具菜单中选择来触发应用。此外,OpenAI 正尝试利用对话上下文、使用模式和用户偏好等信号,在对话中直接智能推荐相关应用,并为用户提供明确的反馈渠道。

开发、提交与变现机制

  • 开发构建:开发者可使用 Beta 版的 Apps SDK 构建聊天原生体验。优质应用应聚焦真实用户意图,范围明确、交互直观,能够完成实际工作流或提供全新的 AI 原生体验。
  • 提交审核:开发者需在 OpenAI 开发者平台提交应用并跟踪状态。提交内容需包含 MCP 连接细节、测试指南、目录元数据及可用国家设置。首批获批应用将于新年逐步上线,高质量且受欢迎的应用将获得更多推荐。
  • 商业变现:在早期阶段,开发者可通过链接跳转至自有网站或原生应用来完成实体商品交易。OpenAI 未来将探索包括数字商品在内的更多变现方式。

安全与隐私保护

  • 开发者合规:所有应用必须遵守 OpenAI 的使用政策、安全与隐私指南,适合所有受众,并遵守第三方服务条款。开发者必须提供清晰的隐私政策,且仅请求应用运行所必需的信息。
  • 用户控制权:用户在连接新应用时,系统会披露可能共享的数据类型并提供隐私政策供审查。用户拥有完全控制权,可随时断开应用连接并立即撤销其访问权限。

未来展望

OpenAI 致力于让 ChatGPT 应用成为对话的自然延伸,帮助用户将想法转化为实际行动。未来将持续优化用户体验,繁荣开发者生态系统,提升应用的可发现性,并扩展开发者触达用户和实现商业变现的途径。

13. 'Ghost jobs' are on the rise – and so are calls to ban them (www.bbc.com)

“幽灵工作”现象及数据

“幽灵工作”(Ghost jobs)指雇主发布实际上并不存在或已招满的虚假招聘职位。研究显示,去年美、英、德高达22%的在线招聘无意招人,英国的一项研究更指出该比例达34%。美国官方数据也表明,职位空缺总数与实际雇佣人数之间存在巨大落差。

立法与监管应对

为应对该问题,部分地区正积极推动立法与监管:

  • 美国:科技从业者 Eric Thompson 正推动《真实招聘广告与问责法案》,要求设定职位有效期、保留可审计的招聘记录,并对发布虚假职位的雇主实施处罚。其发起的请愿已获超5万人签名。此外,新泽西州和加州也在考虑禁止此类行为。
  • 加拿大安大略省:自1月1日起,企业必须披露空缺职位是否在积极招聘。针对面试后不回复求职者的“幽灵化”(ghosting)问题,规定25人以上的企业必须在面试后45天内回复候选人(未获面试机会者除外)。不过,法律专家对政府的实际监管和执法能力表示担忧。目前英美等地尚无类似法律要求。

企业动机与宏观影响

企业发布“幽灵工作”的主要原因包括:建立人才储备库(非立即招聘)、制造公司业务持续增长的假象,以及获取并出售求职者数据。专家指出,这些虚假广告会严重扭曲就业市场数据,导致政府无法准确评估市场趋势,进而难以制定有效的宏观政策和提供必要的求职者支持。

求职者困境与应对建议

“幽灵工作”和招聘“幽灵化”严重消耗了求职者的精力,并对其心理健康和士气造成巨大打击。为识别和避开虚假职位,专家建议求职者:

  1. 拓展人际网络:尽量与企业内部的真实员工或招聘经理直接交流,以确认职位的真实性。
  2. 警惕危险信号:如果同一职位在短时间内被反复发布,或长期处于开放状态,通常意味着该职位并非真心招人。
14. FCC chair suggests agency isn't independent, word cut from mission statement (www.axios.com)

FCC主席暗示机构缺乏独立性并修改使命宣言

核心事件

  • 主席表态:联邦通信委员会(FCC)主席Brendan Carr在参议院听证会上明确表示,FCC“正式来说并非独立机构”。
  • 删除“独立”一词:在听证会进行期间,FCC官方网站的使命宣言中删除了“独立(independent)”一词。FCC发言人回应称,网站更新是为了反映新领导层的立场。

政治与监管背景

  • 行政权力扩张:此事件反映了特朗普政府时期,监管机构权力向行政部门转移的广泛趋势。近期最高法院的口头辩论也显示,法院似乎倾向于允许总统解雇联邦贸易委员会(FTC)等独立机构的成员。

听证会关键交锋

  • 总统的解雇权:面对参议员关于机构独立性的质询,Carr拒绝直接回答总统是否是他的“老板”,也未表态总统施压对付媒体公司是否合适。但他承认,总统有权“以任何理由或无理由”解雇他及其他FCC委员,并称这“由总统决定”。
  • 参议员质询:民主党参议员Ben Ray Luján和Andy Kim对FCC的独立性提出强烈质疑,Luján的质问直接促使FCC在当天下午修改了官网表述。

政策立场的转变

  • 广播所有权上限:Carr多年来一直支持取消限制地方广播公司合并的全国所有权上限。然而,特朗普近期公开反对取消该上限,理由是这会让“激进左翼网络”壮大。
  • 顺应总统观点:在听证会上,Carr表示尚未就所有权上限做出最终决定,并透露FCC正在评估限制全国节目制作人对地方新闻辛迪加的控制权。这表明他正在考虑并顺应总统的立场,尽管这与他长期的政策主张相悖。
15. After Ruining a Treasured Water Resource, Iran Is Drying Up (e360.yale.edu)

伊朗水资源危机与“水破产”困境

伊朗正面临被专家称为“水破产”的严重生存危机,总统已提议将首都从干旱的德黑兰迁往南部沿海。专家指出,危机根源并非单纯的气候变化,而是数十年来失败的水利工程与管理短视。

危机根源

  • 盲目建坝与过度抽水:伊朗曾在不适宜的小河上大量建坝,加剧了水分蒸发与下游干涸。同时,为追求粮食自给,农业抽取了90%的水资源,导致地下水严重超采。全球50个超采最严重的含水层中,有32个位于伊朗。
  • 邻国截流:阿富汗在跨境河流上大规模建坝,大幅削减了流入伊朗的水量。
  • 传统智慧废弃:伊朗拥有2500年历史的可持续地下水渠系统“坎儿井”(qanats),但因深井抽水及维护不善,约半数已干涸废弃。

严重后果

  • 不可逆的地质破坏:地下水枯竭导致含水层孔隙坍塌,引发大面积地面沉降(被称为“无声的地震”),严重损毁城市基础设施,且地下蓄水能力永久丧失。
  • 生态毁灭与社会动荡:乌尔米耶湖等大型湖泊和湿地干涸。国家正面临粮食短缺、水资源抗议甚至与邻国爆发“水战争”的风险。

解决困境与建议

专家呼吁停止无效的大坝和深井建设,将资金转向修复坎儿井和利用洪水回灌含水层。然而,受政治利益驱使,政府仍热衷于昂贵的海水淡化和长距离输水等大型工程,这根本无法解决农业用水困境。

从根本上看,伊朗需放弃粮食绝对自给政策,改种低耗水、高附加值作物并参与国际贸易以换取粮食。但这要求伊朗打破目前的国际孤立状态,重新融入全球贸易体系。在现有政策下,继续盲目建坝和抽水只会加速国家的“水破产”。

16. The State of AI Coding Report 2025 (www.greptile.com)

AI 编码效率与工具生态

  • 开发效能显著提升:AI 编码工具使开发者代码产出从 4,450 行增至 14,148 行。PR 中位数大小增加 93%(达 110 行),中型团队(6-15人)人均产出大幅提升,PR 内容更加密集。
  • 工具与框架市场格局:mem0 占据 58% 市场份额;Weaviate 以 33% 的份额领跑。CLAUDE.md 被 75% 的组织采用,AGENTS.md 取代 Cursor Rules 成为主流。LiteLLM 月下载量超越 LangSmith。
  • LLM 提供商竞争:OpenAI SDK 下载量达 2.33 亿,Anthropic 激增至 8300 万,两者下载比例从 3.7:1 缩小至 2.8:1,Anthropic 追赶势头强劲。

基础模型与长上下文技术进展

  • 上下文压缩与检索:TurboQuant 提出在线量化方法,实现高质量的 KV 缓存压缩与向量搜索;RetroLM 将 KV 缓存作为检索表面进行 KV 级检索,性能优于标准 RAG。
  • 长上下文架构创新:递归语言模型(RLMs)将提示视为外部状态,通过代码环境递归处理超长输入;Titans 架构结合有限窗口注意力与在测试时持续学习的神经长期记忆模块。
  • 多模态与智能体集成:Kimi K2.5 作为开源多模态智能体模型,通过并行智能体框架(Agent Swarm)编排专业子智能体,大幅提升执行效率。
  • 模型集成优化:Self-MoA 证明通过对单一强模型进行多次采样并聚合响应,可替代多模型集成并取得更优表现。

应用层与智能体(Agent)创新

  • 专用搜索与编码智能体:Chroma Context-1 是专为检索设计的 20B 子智能体,能分解任务并主动修剪无关上下文;Composer 2 是针对软件工程的专用模型,结合长上下文与强化学习(RL),在真实工程基准 CursorBench 中表现优异。
  • 强化学习与提示优化:GEPA 利用执行轨迹进行反思性提示进化,以更少的采样次数匹配或超越传统 RL;Search-R1 训练 LLM 将逐步推理与实时搜索交错,通过 RL 优化搜索行为,超越静态 RAG 基线。
  • 长程任务与内存管理:SFR-DeepResearch 训练单智能体进行深度网络研究,凸显上下文规划的重要性;MEM1 框架通过将历史上下文压缩为内部状态 token,使智能体在处理长程多轮任务时保持近乎恒定的内存占用。
17. Firefox is becoming an AI browser and the internet is not at all happy about it (www.pcgamer.com)

That's one way to light up some Reddit threads...

18. How getting richer made teenagers less free (www.theargumentmag.com)

历史背景与童年观念的演变

20世纪初,许多美国青少年为养家糊口在危险工厂做工,工作能为他们带来微薄收入与一定的家庭地位。过去一个世纪的经济增长消除了童工,大幅降低了儿童死亡率并普及了教育。随着物质生活的改善,社会对儿童的保护欲空前增强,童年安全标准显著提高,但儿童被允许承担的风险也随之大幅减少。

过度保护与自主权的丧失

消除童工是社会的巨大进步,但也剥夺了孩子们的独立性。现代法律和文化期望促使父母对孩子进行严密监督。调查显示,36%的受访者认为14至17岁以下的孩子不适合独自在家一两个小时;同等比例的人认为让10岁孩子在公园独玩应受儿童保护服务机构(CPS)调查。作者认为这种对儿童能力的极度不信任严重限制了他们的自主权。

社会观念与CPS的影响

CPS的广泛介入加剧了父母焦虑,促使他们进一步限制孩子活动。约35%的美国家庭曾被CPS调查,尽管多数未发现虐待,但其威慑力足以改变父母的养育方式。此外,不同族裔对CPS干预的支持度存在差异,如50%的黑人受访者支持调查让10岁孩子独自在公园玩耍的父母,这可能源于对较高犯罪风险的担忧,但实际绝对风险依然很低。

对青少年的直接负面影响

过度延长的“受监督童年”直接损害了青少年的发展。由于在现实世界中缺乏独立活动(如独自出门、做兼职)的机会,青少年转而过度依赖数字和社交媒体世界。缺乏现实参与和自主权阻碍了他们建立现实的世界观和具体的生活目标,并可能与青少年自杀率的上升存在关联。

结论

现代社会的繁荣让孩子们免受剥削与物理威胁,但不应以牺牲其自主权、有意义的选择和社会参与为代价。当代青少年面临的主要危机不再是生存危险,而是“能动性”的缺失。社会需在保障安全与赋予自由间寻找平衡,还给他们拥有独立与自由的青春期。

20. Judge hints Vizio TV buyers may have rights to source code licensed under GPL (www.theregister.com)

: Tentative ruling signals a potential win for SFC’s copyleft enforcement push

21. OBS Studio Gets a New Renderer (obsproject.com)

OBS Studio 引入 Metal 渲染器后端摘要

背景与目的

OBS Studio 32.0.0 引入了基于 Apple Metal API 的实验性渲染器后端,旨在替代 macOS 现有的 OpenGL 后端。此举意在利用现代图形 API 降低系统开销、提升性能,并更好地适配现代 GPU 的并行处理架构。

API 差异与适配策略

旧版 API(如 OpenGL 和 Direct3D)自动处理资源管理、同步和状态验证,而 Metal 等现代 API 将这些责任转移给开发者,并要求使用不可变管道。由于 OBS 的核心渲染器深度依赖旧 API(特别是 Direct3D)的设计假设,重写核心成本过高,因此 Metal 后端选择在底层模拟旧 API 的行为,对核心渲染器保持透明。

关键技术实现

  • 着色器实时转译:OBS 使用 HLSL 编写着色器,而 Metal 使用基于 C++14 的 MSL,要求更严格的类型安全,且不支持全局变量。后端在运行时解析 HLSL,将其拆分为独立的输入/输出结构体,将全局变量转换为显式的缓冲区参数传递,并处理类型别名与转换,以生成合规的 MSL 代码。
  • 模拟纹理映射与同步:OBS 依赖 Direct3D 的纹理映射(map/unmap)及隐式同步机制。Metal 后端在后台实现了资源跟踪:写入映射时分配共享内存缓冲区并调度 Blit 操作;读取映射时确保依赖的 GPU 命令执行完毕,从而在底层模拟 Direct3D 的隐式同步与危险追踪。

预览渲染挑战与“实验性”原因

OBS 期望像 Windows 的 DXGI 那样按自身帧率独立渲染预览。但 macOS 的 Metal Layers 受系统级帧率严格控制(如 ProMotion 和低功耗模式)。为解决此冲突,后端采用解耦方案:主渲染循环先输出到中间“伪装”纹理,再由独立线程根据系统刷新率将其复制到窗口表面。这不可避免地导致预览帧率不一致,是该后端目前标记为“实验性”的核心原因。

优势与未来展望

尽管模拟旧 API 引入了额外开销,Metal 后端仍展现出显著优势:性能持平或优于 OpenGL;支持 Xcode 深度图形调试;使用更安全的 Swift 语言编写;并解锁了 macOS 的 EDR(扩展动态范围)预览支持。官方正呼吁社区参与测试与代码贡献,以期修复现有缺陷,最终将其转为 macOS 的默认渲染后端。

22. Why do commercial spaces sit vacant? (archive.strongtowns.org)

商业地产空置原因分析:金融化与“延期并假装”困境

核心现象与原因

在高价大都市,商业地产房东宁愿让空间长期空置也不愿降价出租。其核心原因在于:降低租金会导致建筑估值下降,进而迫使银行取消抵押品赎回权(Foreclosure)。为避免双输局面,银行与运营商通常选择“延期并假装”(Extend and Pretend),即维持高空置率并等待市场回暖。

商业地产的金融逻辑

普通人的直觉失效是因为将商业建筑视为物理实体,而在金融视角下,建筑本质上是产生收入的金融产品。与住宅贷款不同,商业地产具有以下特征:

  1. 价值由收入决定:建筑估值基于其产生的净租金和双方约定的资本化率(Cap Rate),而非重置成本或物理属性。
  2. 贷款基于建筑还款能力:而非购买者的个人还款能力。
  3. 短期气球贷款(Balloon Notes):期限通常为5至10年,期间只付利息,期末需一次性还本或再融资,而非长期摊销。

“延期并假装”的机制推演

以估值2000万美元(预期年净租金100万,资本化率5%)的建筑为例:

  • 初始贷款:银行按80%贷款价值比(LTV)提供1600万美元的5年期贷款,运营商首付400万,每年付息64万。
  • 降租的后果:若因需求不足而降租30%以填满空间,年净租金降至70万。虽然运营商实现微利,但建筑估值会随之暴跌至1400万(70万/5%)。
  • 资不抵债与再融资危机:估值降至1400万意味着运营商对银行1600万的贷款处于“资不抵债”状态。5年期满再融资时,按80% LTV最多只能贷1120万,运营商需额外自掏480万现金补足差额。
  • 利益博弈:若放弃建筑,运营商将损失400万首付,银行也会面临200万的账面损失。因此,双方均有强烈动机维持原高租金模型。银行同意按原条款延期贷款,运营商则宁愿每年承受数十万的运营亏损(长期累计亏损仍小于直接放弃的损失),从而形成“延期并假装”的僵局。

困境与潜在干预

商业地产的金融化虽然为大型项目提供了充沛资本,但也使其沦为金融产品,导致空间资源错配。若城市政府试图通过征收“空置税”来施压,可能会迫使大量商业物业违约。这虽能增加低价空间供应,但会重创银行资产负债表,可能引发系统性金融风险及后续的政府救助。目前,打破这一僵局尚无简单有效的解决方案。

23. Cloudflare Radar 2025 Year in Review (radar.cloudflare.com)

Cloudflare Radar 2025 年度回顾摘要

流量趋势 (Traffic)

  • 互联网服务:全球互联网流量持续增长。生成式AI(如Claude、Perplexity、Gemini)迅速崛起;社交媒体中Snapchat流量超越X;Google、Instagram和YouTube位居服务榜单前列。
  • 网络与技术:SpaceX Starlink持续扩展卫星网络覆盖。利用Hilbert曲线可视化全局IPv4流量分布。随着主流浏览器默认支持,后量子加密(PQ)使用量快速增长。

人工智能 (AI)

  • AI 爬虫与流量:AI Bot和爬虫被广泛用于模型训练、搜索增强(RAG)及用户操作。通过分析robots.txt指令和“抓取-引用比率”评估网站对AI爬虫的限制与接受度。
  • Workers AI:追踪Cloudflare Workers AI平台上最受欢迎的AI模型与任务分布,以及AI Bot流量在全年的份额变化。

采用与使用 (Adoption & Usage)

  • 设备与操作系统:iOS与Android的全球流量份额存在显著地域差异。2025年,全球117个国家/地区的移动端流量占据主导地位。
  • 协议与开发:基于QUIC的HTTP/3协议持续普及,有效降低延迟。在自动化API客户端开发中,Go语言最受欢迎(占比20%)。同时多维度统计了全球搜索引擎与浏览器的市场份额。

连接性 (Connectivity)

  • 网络质量与中断:持续追踪因自然灾害或人为因素导致的互联网中断。通过测速数据评估全球下载/上传速度及延迟,测速活跃区集中在英美及亚洲部分地区。
  • IPv6 普及:为应对IPv4地址短缺及云服务商的“IPv4税”,全球双栈内容的IPv6采用率稳步提升。

安全与电子邮件安全 (Security & Email Security)

  • 网络攻击防护:Cloudflare持续拦截DDoS与WAF应用层攻击。超大规模(Hyper-volumetric)DDoS攻击的峰值规模(Tbps和Bpps)同比激增7至10倍。非人类Bot流量大量源自云服务商网络。
  • 路由安全:RPKI有效IPv4路由的全球份额提升至53.9%,增强了BGP路由验证与互联网路由安全。
  • 邮件安全:持续监控恶意邮件比例、核心威胁类别,并识别出最常被滥用于发送钓鱼和垃圾邮件的顶级域名(TLDs)。
24. Pornhub extorted after hackers steal Premium member activity data (www.bleepingcomputer.com)

Adult video platform PornHub is being extorted by the ShinyHunters extortion gang after the search and watch history of its Premium members was reportedly stolen in a recent Mixpanel data breach.

25. Linux Kernel Rust Code Sees Its First CVE Vulnerability (www.phoronix.com)

The first CVE vulnerability has been assigned to a piece of the Linux kernel's Rust code.