2025-12-23

26 篇热帖

US blocks all offshore wind construction, says reason is classified 463 points | 381 comments | by rbanffy

美国政府暂停海上风电项目建设,理由为国防安全

概述:

美国内政部于周一宣布暂停对美国东海岸五个海上风电项目的租赁,尽管这些项目已投入大量硬件建设,其中一个项目甚至已接近完工。此举的理由是,国防部提交了一份机密报告,指出这些项目存在“国家安全风险”。

主要内容:

  • 暂停项目: 暂停的五个项目包括:

    • Coastal Virginia Offshore Wind (2.6 GW):陆上设施和水下塔基建设已完成,涡轮机和塔架组装已开始。
    • Empire Wind (810 MW):主要工作集中在涡轮机安装点准备。
    • Revolution Wind (700 MW):此前因内政部干预而停止建设,后来在法院的判决后恢复,目前已完成80%。
    • Sunrise Wind (925 MW):主要工作集中在将电力输送到岸的设施建设。
    • Vineyard Wind 1 (800 MW):预计今年底完工,工程可能已接近完成。

  • 国防部报告: 内政部声称,国防部的机密分析报告揭示了海上风电项目可能存在的国家安全风险,例如干扰雷达传感。然而,内政部并未公开具体风险,且国防部在项目最初获得许可时并未发现这些问题。

  • 行政背景: 此举是特朗普政府对海上风电持负面态度的延续。此前,特朗普政府曾发布行政命令暂停新项目的许可,但该命令已被法院撤销。内政部此前曾以各种理由阻止或暂停部分项目的建设,但最终在法律诉讼中败诉。

  • 各方反应: 康涅狄格州总检察长威廉·汤表示,此举是“更具非法性和反复性”的停止工作命令,并暗示将采取法律行动。项目开发商也可能采取法律行动,因为他们已经投入了大量资金。

  • 决策过程: 法院记录显示,政府此前阻止风电项目开发缺乏实质性理由,决策过程似乎仅基于总统个人对风电的偏见。目前尚不清楚这份机密评估与以往的评估有何不同,除了它更难被公开和挑战之外。

总结:

美国政府以国防安全为由暂停了东海岸五个海上风电项目的建设,但具体风险细节未公开。此举引发了各方质疑,并可能引发法律诉讼。

Flock Exposed Its AI-Powered Cameras to the Internet. We Tracked Ourselves 391 points | 342 comments | by chaps

Flock AI 监控摄像头大规模暴露安全漏洞总结

本文揭露了 Flock 公司 AI 驱动的 Condor 摄像头存在严重的安全漏洞,导致至少 60 个摄像头在全美范围内暴露于互联网,任何人都可以未经授权访问。以下是主要内容总结:

漏洞情况:

  • 实时直播与控制: 暴露的摄像头允许任何人实时观看视频直播,下载过去 30 天的视频存档,并修改摄像头设置、查看日志文件和运行诊断。
  • 广泛分布: 这些摄像头分布在美国各地,例如加利福尼亚州巴克斯菲尔德、佐治亚州 Brookhaven 等地。
  • 目标对象: 与 Flock 的其他摄像头主要用于车牌识别不同,Condor 摄像头设计用于记录和跟踪行人,能够自动或手动放大人脸,对个人进行持续监控。
  • 监控场景: 摄像头监控场景包括:公园、停车场、街道、操场、交通信号灯等公共场所,甚至可以追踪人们在自行车绿道上的活动。

漏洞发现与验证:

  • 发现者: YouTuber 和技术专家 Benn Jordan 首先发现了该漏洞,并与安全研究员 Jon “GainSec” Gaines 合作进行研究。
  • 验证方式: 作者本人前往加利福尼亚州巴克斯菲尔德,亲自走到摄像头前,通过观察直播画面来验证漏洞的存在。作者还查阅了 Flock 公司与城市签订的合同以及公司关于该技术的演示文稿,并定位了部分摄像头的具体位置。Jordan 也在佐治亚州 Peachtree Creek Greenway 自行车绿道前录制了自己站在摄像头前的视频。
  • 发现工具: Jordan 和 Gaines 使用 Shodan,一种物联网搜索引擎,来识别未正确保护的设备。

潜在风险:

  • 隐私泄露: 任何人都可以未经授权观看他人活动,下载视频存档,甚至利用公开信息识别特定个人。
  • 滥用风险: Jordan 演示了如何利用公开的视频素材,结合开源调查工具,轻易识别出特定个人。他特别强调了在操场上监控无照看管儿童的风险。
  • 安全隐患: 暴露的控制面板允许攻击者修改摄像头设置,可能导致更严重的后果。

总结:

Flock 公司的 Condor 摄像头大规模暴露安全漏洞,对公众隐私构成严重威胁。该漏洞暴露了物联网设备安全防护的薄弱环节,提醒人们对公共监控设备的安全问题保持警惕。

Jimmy Lai Is a Martyr for Freedom 307 points | 154 comments | by mooreds

简讯:香港民主活动家李泽天选择留下对抗专制

这篇文章讲述了香港民主活动家李泽天(Jimmy Lai)的经历,他因违反香港的“国家安全法”而被判刑,可能面临死刑。文章的核心观点是,李泽天作为英国公民,本可以逃离香港,但他选择留下,以展示专制政府限制基本自由的后果。

以下是文章的主要内容:

  • 李泽天的背景: 李泽天从贫困中奋斗,最终成为一位成功的企业家和媒体人,创办了倡导民主和言论自由的《苹果日报》。他曾因反对中国共产党的压迫而逃离中国大陆,并在香港获得庇护。
  • “国家安全法”的实施: 2020年,香港实施了“国家安全法”,旨在压制异议,限制公民自由。李泽天因此被捕,并面临严重的指控。
  • 逃离的选择: 李泽天的朋友,包括前《南华早报》主编马克·克利福德,都劝说他离开香港。李泽天拥有英国公民身份,可以前往英国居住。
  • 李泽天的决定: 李泽天拒绝离开,他说香港给予了他一切,他要留在香港为自由而战,即使到最后一刻。
  • 李泽天的行动: 李泽天积极倡导香港的民主和言论自由,并曾与美国前副总统迈克·彭斯和国务卿迈克·庞皮欧会面,呼吁他们支持香港。
  • 象征意义: 文章认为,李泽天选择留下对抗专制,具有重要的象征意义,他用自己的经历向世界展示了专制政府对基本自由的侵蚀。他的个人故事与香港的命运紧密相连,也提醒人们思考香港的过去与未来。

总而言之,文章赞扬了李泽天为了捍卫自由而做出的牺牲,并强调了他的行为对香港和世界具有的意义。

The Illustrated Transformer 264 points | 52 comments | by auraham

视觉化Transformer:深入理解Transformer模型

本文旨在深入浅出地解释Transformer模型,它利用注意力机制来加速模型训练,并在特定任务中优于Google Neural Machine Translation模型。Transformer模型特别适合并行化处理,因此Google Cloud推荐将其作为参考模型,并利用Cloud TPU提供服务。

核心概念:

  • **Transformer结构:**由编码器(Encoder)堆叠和解码器(Decoder)堆叠组成。编码器负责处理输入序列,解码器负责生成输出序列。
  • **编码器与解码器:**每个编码器和解码器都包含自注意力层和前馈神经网络层。
  • **自注意力机制:**允许模型在编码特定单词时,关注输入句子中的其他单词,从而更好地理解上下文关系。
  • **并行化:**Transformer模型可以并行处理,显著提升训练速度。
  • **位置编码:**Transformer模型不依赖于循环神经网络(RNN)的顺序处理方式,因此需要使用位置编码来表示输入序列中单词的位置信息。

模型流程:

  1. 词嵌入 (Word Embedding): 将每个单词转换为向量表示。
  2. 编码器 (Encoder):
    • 自注意力层 (Self-Attention Layer): 允许编码器关注输入句子中的其他单词,提取相关信息。
    • 前馈神经网络层 (Feed-Forward Neural Network Layer): 对每个位置的向量进行独立处理。
  3. 解码器 (Decoder):
    • 自注意力层 (Self-Attention Layer): 仅关注解码器已经生成的部分序列,避免“偷看”未来信息。
    • 编码器-解码器注意力层 (Encoder-Decoder Attention Layer): 允许解码器关注编码器的输出,获取输入序列的信息。
    • 前馈神经网络层 (Feed-Forward Neural Network Layer): 对每个位置的向量进行独立处理。
  4. 线性层与Softmax层 (Linear and Softmax Layer): 将解码器的输出转换为概率分布,选择概率最高的单词作为输出。

自注意力机制的细节:

  • Query, Key, Value: 每个输入向量通过不同的权重矩阵转换为Query向量、Key向量和Value向量。
  • 计算得分 (Calculating Scores): 使用Query向量和Key向量的点积计算得分,表示关注程度。
  • Softmax: 对得分进行Softmax归一化,得到注意力权重。
  • 加权求和 (Weighted Sum): 使用注意力权重对Value向量进行加权求和,得到最终的输出。

多头注意力机制 (Multi-Head Attention):

通过使用多个Query、Key和Value矩阵,将自注意力机制扩展到多个“子空间”,从而捕获更丰富的上下文信息。

更新 (2025): 作者创建了一个免费的短课程,通过动画形式更新了本文的内容,介绍了最新的Transformer模型和演变。

资源链接:

课程参考:

本文已被纳入斯坦福、哈佛、麻省理工等高校的机器学习课程教材。

总而言之,Transformer模型通过自注意力机制实现了高效的并行化训练,并在机器翻译等任务中取得了显著成果。它已成为深度学习领域的重要里程碑,并持续发展演变。

Benn Jordan – This Flock Camera Leak Is Like Netflix for Stalkers [video] 260 points | 4 comments | by SamInTheShell

内容摘要

这是一段关于Flock摄像头数据泄露事件的简要说明。

主要内容:

  • 事件描述: 这次泄露被描述为“Flock Trilogy”的最终篇章,并且该视频是在部署在公共场所的Flock Safety摄像头拍摄的。
  • 比喻: 该事件被比喻为“Netflix For Stalkers”,暗示了泄露数据可能被用于跟踪或监视目的。
  • 信息来源: 更多关于此次泄露的信息可以在 @404Mediaco 的网站上找到 (链接:https://www.404media.co/)。
  • 日期与信息: 视频上传日期为2025年12月22日。
  • 评论: 一条评论建议将通过这些摄像头拍摄的立法者及其家人的影像资料发送给他们。评论者为 @MrOtistetrax (又名 Ash Smith),评论获得了 11247 个点赞。
  • 版权信息: 视频下方显示版权归 © 2025 Google LLC 所有。

总结:

该内容聚焦于 Flock 安全摄像头数据泄露事件,并将其与潜在的监视问题联系起来。 404Mediaco 提供了更多信息,并包含了一个鼓励针对立法者的行动的评论。

GLM-4.7: Advancing the Coding Capability 243 points | 100 comments | by pretext

GLM-4.7:全新编码伙伴发布总结

GLM-4.7 是一款新的语言模型,旨在成为用户的编码助手。以下是其主要功能和性能概括:

核心功能:

  • 编码能力提升: 与 GLM-4.6 相比,GLM-4.7 在多语言编码和终端任务方面取得了显著进展。在 SWE-bench 上提升了 73.8% (+5.8%),在 SWE-bench Multilingual 上提升了 66.7% (+12.9%),在 Terminal Bench 2.0 上提升了 41% (+16.5%)。
  • Vibe 编码: 在网页和幻灯片生成方面表现出色,生成更现代、更美观的页面和幻灯片,布局和尺寸更准确。
  • 工具使用: 在工具使用方面有了显著提升,在 τ²-Bench 和 BrowseComp 等基准测试中表现更好。
  • 复杂推理: 在数学和推理能力方面有很大提升,在 HLE (Humanity’s Last Exam) 基准测试中相比 GLM-4.6 提升了 42.8% (+12.4%)。
  • 其他场景: 在聊天、创意写作和角色扮演等其他场景中也表现出显著的改进。

基准测试结果:

GLM-4.7 在 17 个基准测试中(包括 8 个推理、5 个编码和 3 个代理基准)的表现优于 GPT-5、GPT-5.1-High、Claude Sonnet 4.5、Gemini 3.0 Pro、DeepSeek-V3.2 和 Kimi K2 Thinking 等模型。具体数据请参考表格(文章中提供)。

思考模式:

GLM-4.7 引入并增强了以下思考模式:

  • 交错式思考 (Interleaved Thinking): 在每次响应和工具调用之前进行思考,以提高指令遵循和生成质量。
  • 保留式思考 (Preserved Thinking): 在编码代理场景中,自动保留跨多轮对话的所有思考模块,复用现有推理,减少信息损失和不一致性,适用于复杂任务。
  • 回合级思考 (Turn-level Thinking): 允许对会话中推理进行逐轮控制,可以在轻量级请求中禁用思考以降低延迟,在复杂任务中启用以提高准确性和稳定性。

获取方式:

  • Z.ai API 平台: 通过 Z.ai API 平台访问 GLM-4.7 模型。
  • OpenRouter: 全球范围内可通过 OpenRouter 访问。
  • 编码代理: 在 Claude Code、Kilo Code、Roo Code、Cline 等编码代理中使用 GLM-4.7。
  • Z.ai 聊天: 在 Z.ai 上通过选择 GLM-4.7 模型进行聊天。
  • 本地部署: 模型权重可在 HuggingFace 和 ModelScope 上获取,支持 vLLM 和 SGLang 等推理框架。

总结:

GLM-4.7 在编码、推理和生成方面都取得了显著进步,旨在成为一个强大的编码助手。通过增强的思考模式和在各个平台上的可访问性,GLM-4.7 旨在提高开发效率和创造力。 它的成功不仅仅在于基准测试的成绩,更在于它如何无缝融入我们的工作和生活。

Lotusbail npm package found to be harvesting WhatsApp messages and contacts 215 points | 138 comments | by sohkamyung

lotusbail npm 包分析:一个伪装成 WhatsApp Web API 的恶意软件

lotusbail 是一个 npm 包,声称是一个 WhatsApp Web API 库,实际上是 @whiskeysockets/baileys 的一个分支。该包拥有超过 56,000 次下载,并且其代码在功能上确实如广告宣传的那样工作。然而,在正常工作的功能背后,隐藏着复杂的恶意软件,旨在窃取 WhatsApp 凭据、拦截消息、收集联系人、安装持久后门,并在发送到威胁行为者服务器之前对数据进行加密。

被窃取的信息:

  • 认证令牌和会话密钥
  • 完整的消息历史记录(过去和现在)
  • 完整的联系人列表,包含电话号码
  • 媒体文件和文档
  • 持久后门访问您的 WhatsApp 账户

工作原理:

  1. 伪装成正常功能: lotusbail 包的功能与合法的 Baileys 库类似,提供了真实的 WhatsApp 消息发送和接收功能,这使得开发者很难怀疑其恶意性。

  2. 数据窃取与外泄: 该恶意软件包裹了合法的 WebSocket 客户端,拦截所有通过应用程序的消息流。在认证过程中,它会捕获您的凭据;消息到达时,它会拦截它们;发送消息时,它会记录它们。 恶意软件保留了正常的功能,同时为所有内容添加了第二个接收者。所有 WhatsApp 认证令牌、发送或接收的每条消息、完整的联系人列表、媒体文件等通过 API 传输的一切都被复制并准备进行外泄。

  3. 自定义 RSA 加密: 为了避免网络监控发现数据外泄,恶意软件包含一个完整的自定义 RSA 实现,用于在传输之前加密数据。WhatsApp 本身已经处理端到端加密,因此合法的库不需要自定义加密。

  4. 多层混淆: 恶意软件将外泄服务器的 URL 隐藏在加密的配置字符串中,并使用 Unicode 变量操作、LZString 压缩、Base-91 编码和 AES 加密等四层混淆技术。

  5. 后门机制: WhatsApp 使用配对代码将新设备与帐户关联。lotusbail 恶意软件劫持了这个过程,利用了一个硬编码的配对代码,该代码使用 AES 加密并隐藏在包中。这意味着威胁行为者拥有一个访问 WhatsApp 帐户的密钥,并且您不知道他们的设备已经链接。即使卸载了 npm 包,威胁行为者的设备仍然链接到您的 WhatsApp 帐户,需要手动从 WhatsApp 设置中取消链接所有设备才能恢复安全。

  6. 反调试机制: 为了防止调试,该包包含 27 个无限循环陷阱,当检测到调试工具时会冻结执行。 这些陷阱检查调试器、检查进程参数、检测沙箱环境,并总体上使动态分析变得困难。

结论:

lotusbail 案例表明,供应链攻击正在变得越来越复杂。攻击者利用正常工作的代码、复杂的反调试机制、自定义加密和多层混淆技术,逃避了传统的安全审查。 传统的安全措施,如静态分析和声誉系统,无法检测到此类攻击。 检测此类高级供应链攻击需要行为分析,即在运行时观察包的行为。 只有通过观察这些异常行为,例如 WhatsApp 库实现自定义 RSA 加密和包含 27 个反调试陷阱,才能发现潜在的威胁。

该分析由 Koi Security 研究团队完成,他们开发了 Koi 来检测那些通过传统检查但表现出恶意行为的威胁。

Snitch – A friendlier ss/netstat 212 points | 51 comments | by karol-broda

Snitch: 网络连接分析工具总结 (Snitch: A Network Connection Analysis Tool)

Snitch 是一个友好的 ss / netstat 替代工具,旨在帮助用户更轻松地检查网络连接。它提供了一个清晰的终端用户界面 (TUI) 或风格化的表格输出,方便用户理解网络连接状态。

主要功能:

  • 实时连接监控: Snitch 能够实时显示网络连接列表,包括进程 ID (PID)、协议、状态、本地地址和端口等信息。
  • 多种输出格式: 提供风格化表格、纯文本、JSON 和 CSV 格式的输出,方便用户根据需求选择。
  • 过滤功能: 支持多种过滤方式,用户可以根据协议 (TCP/UDP)、状态 (LISTEN/ESTABLISHED)、地址、端口、进程 ID (PID) 或进程名称等条件来筛选连接。
  • 进程监控: 允许用户“监视” (watch) 某个进程,以便跟踪其网络连接变化。
  • 连接终止: 用户可以通过交互式界面终止进程的连接。

安装方法:

Snitch 提供了多种安装方式,适用于不同的操作系统和包管理器:

  • Go: go install github.com/karol-broda/snitch@latest
  • Nix/Nixos: nix run github:karol-broda/snitchnix profile install github:karol-broda/snitch
  • Arch Linux (AUR): yay -S snitch-binparu -S snitch-bin
  • Shell Script: 使用 curl 下载并执行安装脚本。
  • 二进制文件: 从 GitHub Releases 页面下载预编译的二进制文件,并将其移动到 /usr/local/bin/ 目录。

常用命令及选项:

  • snitch / snitch top: 启动交互式 TUI,显示所有连接。支持快捷键进行导航、过滤、排序和进程管理。
  • snitch ls: 生成一次性的表格输出。
    • -l: 仅显示监听套接字。
    • -t: 仅显示 TCP 连接。
    • -e: 仅显示已建立的连接。
    • -p: 输出纯文本格式。
    • -o json: 输出 JSON 格式。
    • -o csv: 输出 CSV 格式。
    • -n: 禁用 DNS 解析,显示数值地址。
  • snitch json: 输出 JSON 格式的连接信息。
  • snitch watch: 持续输出 JSON 格式的连接信息,适用于脚本编写。
  • snitch upgrade: 检查并更新 Snitch 到最新版本。

配置:

Snitch 允许用户通过 ~/.config/snitch/snitch.toml 文件进行配置,例如设置默认的数值地址显示 (numeric) 和主题 (theme)。

系统要求:

  • Linux 或 macOS
  • Linux 系统需要访问 /proc/net/* 文件,可能需要 root 权限或 CAP_NET_ADMIN 权限才能获取完整的进程信息。
  • macOS 系统使用系统 API,可能需要 sudo 权限才能获取完整的进程信息。

总而言之,Snitch 是一款功能强大、易于使用的网络连接分析工具,适用于系统管理员、开发人员和网络爱好者等用户。

Cecot – 60 Minutes 190 points | 26 comments | by lawlessone

互联网档案求助信息摘要 (Summary of Internet Archive Appeal)

以下是对互联网档案求助信息的摘要:

互联网档案(Internet Archive)是一家独立的非营利组织,致力于为所有人提供优质信息的普惠访问。 该组织自行构建和维护所有系统,且不收取访问费用,不销售用户数据,也不投放广告。

目前,互联网档案面临资源短缺,呼吁用户支持。 他们表示,只有一千分之一的用户会进行财务支持,希望更多人能够参与其中。

互联网档案承诺会将捐款用于有益用途,并强调其资源对于全球知识爱好者至关重要。

该组织的主要工作包括记录政府网站、新闻出版物、历史文献等,以确保历史记录的准确性。 如果用户认为互联网档案的资源有价值,请考虑提供支持。

核心要点:

  • 组织性质: 独立的非营利组织。
  • 使命: 提供普惠访问优质信息。
  • 运作模式: 自建系统,免费访问,不收集用户信息,不投放广告。
  • 需求: 寻求财务支持,以维持运营。
  • 工作内容: 记录政府网站、新闻出版物、历史文献等。
  • 呼吁: 鼓励用户提供支持,特别是本周三。
NIST was 5 μs off UTC after last week's power cut 188 points | 91 comments | by jtokoph

NIST 时间同步服务中断事件总结 (Summary of NIST Time Synchronization Service Interruption)

本文总结了美国国家标准与技术研究院 (NIST) 时间同步服务近期发生的意外中断事件,并探讨了其影响和经验教训。

事件经过:

  • 停电: 上周三,由于强风(风速超过 160 公里/小时)导致电力线路中断,NIST 位于科罗拉多州博尔德市的校园遭遇停电。
  • 备用发电机故障: 校园的备用发电机启动后,为 NTP 服务器提供时间同步的主要“集成时钟” (ensemble clock) 失去了与协调世界时 (UTC) 的同步。
  • 人员限制: 由于安全原因,校园被封锁,人员无法进出,导致修复工作延误。
  • 紧急处理: 在时间偏差达到小于 5 微秒 (μs) 的情况下,NIST 决定继续运行时间服务器,避免因服务器下线可能带来的更大问题。 最终,通过重新路由紧急电力和利用电池备份,成功恢复了时间同步。
  • GPS 系统切换: 同时,美国的 GPS 系统也成功切换到位于 Ft. Collins 的 WWV 校园,进一步确保了时间服务的稳定性。

影响分析:

  • 对普通用户的影响: 对于绝大多数用户而言,由于 NTP 服务器的设计允许使用多个服务器进行时间同步,且偏差仅为 5 μs,因此几乎察觉不到任何影响。
  • 对专业领域的影响: 对于依赖 NIST 提供更精确时间信号的科学家、大学和航空航天公司而言,5 μs 的偏差可能具有重要意义。 NIST 将直接与这些机构沟通,解决相关问题。

关键要点:

  • 时间基础设施的脆弱性: 事件突显了时间基础设施的脆弱性,以及过度依赖 GPS 带来的风险。
  • 冗余的重要性: NIST 拥有多个时间源和备份系统,使得即使在出现故障的情况下,也能保持时间服务的稳定运行。
  • 备用方案的探索: 美国政府正在积极探索 GPS 的替代方案,例如广播定位系统 (BPS),以增强时间同步的可靠性。
  • 精准时间需求: 一些领域,如科学实验、射频、媒体和金融,需要纳秒级别的精准时间,可能需要使用更精确的原子钟等设备。

总结:

NIST 在这次意外事件中成功应对,最大限度地减少了对用户的影响。 这次事件提醒人们,时间基础设施需要高度重视,并建立完善的冗余机制,以应对潜在的风险。

Archivists Posted the 60 Minutes Cecot Segment Bari Weiss Killed 186 points | 33 comments | by m-hodges

60 Minutes 节目被下架及后续传播情况总结 (Summary of Shelved 60 Minutes Episode and Subsequent Spread)

以下是对提供的文本内容的总结:

核心事件: 一份聚焦委内瑞拉人被遣返至萨尔瓦多CECOT大型监狱经历的《60 Minutes》节目,在国际发行方播出后,被CBS新主编Bari Weiss下架。

下架原因: 虽然节目经过多次审核,Bari Weiss仍然阻止了其在周日播出的计划。

内容概要: 节目开篇回顾了今年年初特朗普政府将数百名委内瑞拉男子遣返至萨尔瓦多(一个他们大多没有联系的国家)的情况。

传播情况: 尽管被CBS下架,该节目被档案管理员保存并上传至Torrent和多个文件共享网站,这意味着CBS可能难以阻止其在互联网上的传播。

信息来源: 信息主要来自CBS记者Sharyn Alfonsi发送给同事的电子邮件以及404 Media获取的节目副本。

付费墙说明: 该文章的内容部分受到付费墙保护,免费用户可以访问部分内容,并可订阅以获得无限制访问。

Show HN: CineCLI – Browse and torrent movies directly from your terminal 181 points | 69 comments | by samsep10l

好的,这是对提供的内容的中文总结:

📡 YTS API 状态

状态每 15 分钟自动监控。

🟢 绿色 = 运行正常 • 🔴 红色 = 中断 / API 无法访问

🎬 CineCLI

从终端直接浏览、检查和启动电影种子。 快速。跨平台。极简。美观。

CineCLI 是一个用于浏览、检查和启动电影种子(通常是 torrent 文件)的命令行工具。它具有以下特点:速度快、跨平台(支持 Linux、macOS 和 Windows)、设计简洁、界面美观。

✨ 特性

  • 🔍 YTS 搜索电影
  • 🎥 查看详细的电影信息
  • 🧲 直接将磁链启动到你的 torrent 客户端
  • 📦 如果需要,下载 .torrent 文件
  • ⚡ 自动选择最佳种子(质量最高 + 种子健康度高)
  • 🖥 跨平台 (Linux, macOS, Windows)
  • 🎨 丰富的、干净的终端用户界面 (由 rich 驱动)
  • 🧠 智能默认设置,并提供完整的用户控制

📦 安装

使用 pip 安装:

pip install cinecli

需要 Python 3.9+

🚀 使用方法

🔎 搜索电影

例如:

cinecli search matrix

会显示匹配的电影,包括 ID。

🎬 观看电影

例如:

cinecli watch 3525

执行以下步骤:

  1. 显示电影详情
  2. 列出可用的种子
  3. 自动选择最佳选项 (你可以覆盖)
  4. 启动磁链或下载 .torrent 文件

🧭 交互模式 (推荐用于探索)

cinecli interactive
  • 搜索 → 选择电影 → 选择种子
  • 设计为手动选择 (安全且明确)

⚙️ 磁链启动方式

CineCLI 将磁链处理委托给你的操作系统。这意味着它会使用你系统注册的 torrent 客户端。

例如 (Linux):

xdg-mime query default x-scheme-handler/magnet

🎞 演示视频

完整的终端演示:

demo.mov

🛠 技术栈

  • Python
  • Typer — CLI 框架
  • Rich — 终端 UI
  • Requests — API 通信
  • YTS API — 电影数据源

📄 许可证

MIT — 查看 LICENSE

使用它。Fork 它。改进它。

🙌 作者

eyeblech 构建

📧 [email protected]

如果你喜欢这个项目,请给它点个星!⭐

Ultrasound Cancer Treatment: Sound Waves Fight Tumors 176 points | 46 comments | by rbanffy

组织声波消融术 (Histotripsy):一种无创癌症治疗新方法

核心概念: 组织声波消融术 (Histotripsy) 是一种新兴的无创手术技术,利用高强度聚焦超声波产生微小的气泡,通过气泡的快速膨胀和坍缩,产生机械应力来破坏癌细胞并液化肿瘤组织。

技术原理:

  • 气泡效应 (Cavitation): 传统上,超声波产生的气穴效应被认为是超声医学中的不良副作用。然而,密歇根大学的研究人员在2001年发现,通过控制超声波的功率、脉冲时长和间隔时间,可以利用气穴效应来选择性地破坏组织。
  • 关键参数: Zhen Xu 博士的突破性发现在于使用极强的超声波产生超过 20 兆帕斯卡的负压,以微秒级的短脉冲形式传递,并间隔 1 毫秒到 1 秒的时间。这种参数组合可以产生快速膨胀和坍缩的气泡,撕裂附近的细胞,将组织转化为类似浆液的状态,同时避免热量积聚。
  • HistoSonics Edison 系统: HistoSonics 公司开发了 Edison 系统,该系统使用一个充满水的膜来将聚焦超声波传递到体内,从而实现组织声波消融。

发展历程与应用:

  • 早期研究: 最初的研究集中在猪心组织上,但由于超声波功率过高,设备也因此损坏。
  • HistoSonics 成立: 2009 年,Zhen Xu 博士联合创办了 HistoSonics 公司,致力于商业化更强大的超声波设备,并测试该技术在治疗各种疾病中的应用。
  • FDA 批准: 2023 年,HistoSonics 的 Edison 系统获得了 FDA 批准,用于治疗肝脏肿瘤。
  • 未来研究方向:
    • 2026 年,预计将完成肾癌的关键性研究并申请监管批准。
    • 正在进行针对胰腺癌的大规模关键性试验,该肿瘤的五年生存率仅为 13%。
    • 探索将组织声波消融术与免疫疗法相结合,以增强免疫系统对癌细胞的识别和攻击能力。

优势与特点:

  • 无创性: 无需切开皮肤,避免了传统手术的创伤。
  • 减少疤痕组织: 与其他非侵入性技术不同,组织声波消融术产生的液化碎片会被身体自然排出,减少疤痕组织的形成。
  • 免疫刺激: 组织声波消融术能够刺激免疫反应,帮助身体攻击未直接被超声波作用的癌细胞。
  • 精确性: 可以精确控制,避免对血管等重要组织造成损伤。

技术进步:

  • 新型引导系统: 正在测试使用 X 射线而非超声波成像进行引导,以扩展应用范围。
  • 反馈系统: 开发反馈系统,分析治疗超声波的回声,检测组织破坏情况,并将信息整合到实时显示中。
  • 新的投资: 由包括 Jeff Bezos 在内的投资集团以 22.5 亿美元的估值收购了 HistoSonics,将加速研发进度。

未来展望:

组织声波消融术有望成为非侵入性医学的新支柱,在癌症治疗领域发挥重要作用,并可能扩展到其他疾病的治疗。

Things I learnt about passkeys when building passkeybot 157 points | 101 comments | by emadda

Passkeybot.com: Lessons Learned on Implementing Passkey Authentication

This document summarizes key learnings from the development of passkeybot.com, a hosted sign-in page enabling passkey authentication for websites.

1. Secure Enclave Processors (SEPs) & Secure Elements:

  • SEPs (Apple): Dedicated, isolated processors within CPUs that securely store secrets and sign data without exposing the private key. Biometric/passcode authentication is required before signing. Similar technology exists under different names on other devices.
  • SIM Cards: Function similarly, running stripped-down Java and utilizing a "secrets never leave" principle with message signing.

2. Presence vs. Verification:

  • Presence: Simply confirms the user is at the device (e.g., tapped a button). Can be faked.
  • Verification: Requires biometric or passcode authentication, providing stronger assurance of user identity.

3. Authenticator Role:

  • An authenticator (e.g., SEP, YubiKey) holds the private/public key pair and signs challenges.
  • Browsers utilize OS-level APIs to interact with the selected authenticator, normalizing different API protocols.
  • Chrome DevTools offers a virtual authenticator for testing.

4. Attestation:

  • Signing: Proves possession of the private key.
  • Attestation: Verifies the hardware and software used to create the passkey pair. Allows policies to restrict trusted devices.
  • Privacy Concerns: Attestation data can be used for device fingerprinting.
  • Apple's Default Setting: Attestation is disabled by default on Apple devices unless Enterprise Device Management is enabled.
  • Attestation & Device Migration: Strict attestation (requiring specific hardware) can prevent passkey use on new devices.

5. Passkey Limitations & Security Considerations:

  • Authentication Only: Passkeys are designed for authentication, not general signing operations.
  • JavaScript Security: Compromised JavaScript can trick users into signing malicious data, as the authenticator GUI doesn't reveal the contents being signed. SRI (Subresource Integrity) can help but isn't foolproof.
  • Authenticator Attestation of JS: A potential future improvement would be for authenticators to verify the loaded HTML/JS to prevent compromise.

6. Immediate Mediation (Fast Sign-in):

  • A new Chrome origin trial allows for quicker sign-in by immediately checking for existing passkeys without a UI prompt.
  • The JS code receives an immediate response (0, 1, or >1 passkeys) to determine the next step.

7. Related Origin Requests (RORs):

  • Allow domain owners to permit other domains to create passkeys for their domain.
  • Implemented by [passkeybot.com].
  • Limitations: Requires HTTPS, not supported in iOS 18 or Firefox. Passkeys created for subdomains only work on that subdomain.

8. Counter Heuristic:

  • Authenticators track a counter to detect potential cloning. However, this is often treated as a heuristic due to legitimate reasons for counter inaccuracies.

9. Bluetooth Sign-in:

  • Allows signing into public computers using a nearby device's authenticator via Bluetooth Low Energy (BLE), ensuring keys never leave the device.

10. Signal API:

  • JS code cannot list or modify passkeys.
  • The Signal API allows asynchronous signaling of a request to delete a passkey (a hint, not a confirmation).

11. user.id & userHandle:

  • Represent a single account and should be consistently used in passkey APIs.

12. Key Generation:

  • crypto.subtle.generateKey allows creating non-extractable keys, preventing private key theft even if the JavaScript is compromised, though compromised JS can still sign.

13. PKCE (Proof Key for Code Exchange):

  • A security protocol that generates a unique code at the start of each sign-in flow, preventing token interception.
  • Passkeybot utilizes a similar principle.

14. Digital Credentials API:

  • A browser API that acts as a bridge to the native OS wallet, enabling access to digital credentials like IDs and tickets.
US destroying its reputation as a scientific leader – European science diplomat 153 points | 143 comments | by xqcgrek2

欧盟应加强与志同道合国家之间的科研联系:Signe Ratso 评论

以下是对文章内容的总结:

核心观点: 欧盟高级官员 Signe Ratso 在退休前,批评美国正在破坏其作为全球科研领导者的声誉。她强调欧盟需要加强与“志同道合”国家的科研联系,以捍卫自身战略利益和价值观,特别是科研自由。

美国科研政策的负面影响: 自唐纳德·特朗普总统上任以来,美国政府采取了一系列政策,损害了其科研声誉,例如:

  • 削减与多元化相关课题的研究经费。
  • 暂停向国际合作伙伴的生物医学研究提供资助。
  • 要求大学关闭“贬低”保守思想的学术部门,并威胁取消联邦资金。

这些政策,尽管部分已被法院推翻或受到大学抵制,但已经导致了欧洲对美国科研环境的担忧,并促使欧盟试图吸引在美国的科研人才。

欧盟的应对措施:

  • 拓展 Horizon Europe 计划: 在 Ratso 的领导下,欧盟的 Horizon Europe 研究与创新计划已经从主要面向欧洲的项目扩展到全球范围。目前,韩国、新西兰和加拿大已经加入该计划的部分内容。
  • 积极谈判: 欧盟正积极与新加坡、澳大利亚、日本等国进行谈判,争取它们加入 Horizon Europe 计划。 埃及也已加入,尽管存在对学术自由的担忧。英国和瑞士也在克服政治障碍后重新加入该计划。
  • 全球合作: Ratso 强调,欧盟并非孤军奋战,全球范围内有许多支持欧盟价值观的伙伴。

Horizon Europe 计划的未来:

  • 预算调整: Horizon Europe 的继任计划(预计于 2028 年开始)将减少用于合作研究资助的部分预算。
  • 战略重点转变: 新计划将更加侧重于欧洲的国防技术和工业实力,这可能会影响非欧洲合作伙伴的参与度,尤其是在敏感项目中。
  • 双重用途研究的挑战: Ratso 担心允许双重用途研究(既可用于民用也可用于军事目的)可能会排除参与该计划的国家。

更广泛的背景: 欧盟正在重新评估与美国的整体关系。美国发布的新国家安全战略文件暗示,美国将支持欧洲国内的反移民和右翼政党,这进一步促使欧盟加强自身实力和独立性。尽管如此,该战略文件也承认欧洲在制造业、技术和科研等领域仍然具有强大的实力。

总而言之,欧盟正在积极应对美国科研政策的变化,通过加强与其他国家的科研合作,来维护自身的科研利益和价值观。

It's Always TCP_NODELAY 150 points | 40 comments | by eieio

分布式系统中的 TCP_NODELAY:为什么应该禁用 Nagle 算法

本文探讨了在现代分布式系统中禁用 Nagle 算法(通过 TCP_NODELAY 选项)的重要性,并解释了其历史背景以及为何默认启用该算法可能不再合理。

Nagle 算法的起源与目的:

Nagle 算法起源于 1984 年的 RFC896,旨在解决早期网络中由于大量小数据包(例如,键盘输入)导致的低效率问题。当时,每个数据包包含 TCP 头部,小数据包意味着高头部开销,造成高达 40 倍的效率损失。Nagle 算法通过延迟发送数据包,直到积累足够的数据量,从而减少头部开销,提高网络吞吐量。具体来说,算法会阻止发送新的 TCP 段,直到之前发送的数据未被确认。

Nagle 算法与延迟确认 (Delayed ACK) 的相互作用:

Nagle 算法与 TCP 的另一个特性——延迟确认——结合使用时,会产生负面影响。延迟确认是为了减少 ACK 包的数量,但会延迟 ACK 的发送。这种组合导致数据发送被阻塞,直到收到 ACK,而 ACK 又被延迟,从而增加了延迟,尤其是在对延迟敏感的流水线应用中。

现代系统中的 Nagle 算法:

本文指出,在现代数据中心环境中,单次往返时间 (RTT) 非常短(几微秒到几毫秒)。 即使没有延迟确认,Nagle 算法的延迟也可能不再有利。 此外,现代分布式系统通常发送的数据量远大于单个字节,因此 Nagle 算法最初设计的减少头部开销的目的已经不再那么重要。 应用程序层面的编码和序列化开销往往比 Nagle 算法带来的开销更大。

结论与建议:

作者认为,在构建对延迟敏感的现代分布式系统时,应该禁用 Nagle 算法(启用 TCP_NODELAY)。 禁用 Nagle 算法并不会对那些“逐字节写入”的代码造成太大损害,反而可以提高整体性能。作者甚至认为,TCP_NODELAY 应该成为默认设置。 尽管 TCP_QUICKACK 也是一种优化选择,但由于其可移植性差和语义复杂性,作者并不推荐使用。 核心问题在于内核对数据的持有时间,而 write() 操作应该尽可能立即执行。

总而言之,本文认为 Nagle 算法在现代分布式系统中的作用已经不再重要,并且默认启用它可能会引入不必要的延迟。

The Garbage Collection Handbook 147 points | 11 comments | by andsoitis

《垃圾回收手册:自动内存管理的艺术》第二版 摘要

《垃圾回收手册:自动内存管理的艺术》是由理查德·琼斯撰写的关于自动内存管理领域的权威书籍。该书是1996年出版的《垃圾回收》一书的继任者,于2012年首次更新,并在2024年迎来了第二版。

核心内容与特点:

  • 涵盖范围广泛: 本书汇集了过去六十年自动内存管理研究人员和开发人员的知识,比较了重要的自动内存管理方法和最先进的技术,并将其置于一个易于理解的框架中。
  • 应对新挑战: 针对硬件和软件的最新进展以及程序运行环境的变化,探讨了这些变化对高性能垃圾回收器设计和实现的影响。
  • 涵盖多种算法: 除了简单的传统算法外,本书还涵盖了并行、增量、并发和实时垃圾回收等最先进的算法。算法和概念通常使用伪代码和图示进行描述。
  • 实用性强: 现代编程语言几乎普遍采用垃圾回收,因此对该主题的深入理解对于任何程序员来说都是至关重要的。本书提供了专家见解,解释了不同垃圾回收器的工作原理以及当前垃圾回收器所面临的各种问题,帮助程序员自信地选择和配置垃圾回收器。
  • 新增内容: 第二版增加了超过90页的内容,包括关于持久性和节能垃圾回收的新章节。

其他重要信息:

  • 电子书与链接: 电子书版本通过超过37,000个超链接增强了纸质版本,链接到章节、部分、算法、图表、术语表条目、索引项目以及原始研究论文等。
  • 翻译版本: 2016年已出版了第一版的中文和日文翻译,扩大了书籍的受众范围。
  • 在线资源: 提供了一个包含近3,400篇垃圾回收相关出版物的在线书目数据库,包含摘要和电子可用的URL或DOI,并持续更新。该数据库可在线搜索,或以BibTeX、PostScript或PDF格式下载。 网址:http://www.cs.kent.ac.uk/~rej/gcbib

总而言之,《垃圾回收手册:自动内存管理的艺术》第二版是一本全面、权威的参考书,为程序员和研究人员提供了对自动内存管理技术的深入理解。

The 60 Minutes report that Bari Weiss censored is now internet contraband 138 points | 30 comments | by lateforwork

CBS新闻关于萨尔瓦多遣返囚犯的报道被审查:摘要

以下是对文章内容的摘要:

CBS新闻最近发生了一起新闻报道被审查的事件,与前编辑部主任巴里·魏斯 (Bari Weiss) 有关。原本计划在 60 分钟 节目中播出的一期关于美国将囚犯遣返至萨尔瓦多监狱 (CECOT) 的报道,在播出前被取消。

报道内容:

  • 报道时长约14分钟,揭露了在美国寻求庇护失败后被遣返回萨尔瓦多的囚犯所遭受的恶劣待遇。
  • 受访者描述了在CECOT监狱中遭受的酷刑,包括被锁链捆绑、殴打、性侵以及长时间被迫保持痛苦姿势。
  • 报道还指出了,被遣返者并非萨尔瓦多公民,许多人正等待庇护申请。

背景:

  • 特朗普政府与萨尔瓦多总统纳伊布·布克莱 (Nayib Bukele) 达成协议,将囚犯遣返至CECOT,以获取费用。
  • 美国政府正考虑将遣返对象遣送至其他国家,如南苏丹和乌干达,这些国家都有着记录良好的酷刑历史。
  • 据称,这些协议价值“数百万美元”。

审查事件:

  • 报道在经过了CBS新闻内部的多次审查和法律审核后,最终被巴里·魏斯下令取消。
  • 魏斯认为报道需要进行额外调查,包括获得特朗普政府成员的正面回应,但这些要求在播出前提出显得不合理。
  • 记者莎伦·阿尔丰西 (Sharyn Alfonsi) 在电子邮件中表示,取消报道并非编辑决定,而是政治决定。她强调报道内容准确无误,且白宫已获得评论机会并拒绝参与。
  • 由于取消的决定在播出前夕做出,部分平台未能及时替换掉原计划的节目。

后续影响:

  • 尽管被审查,该报道的视频通过VPN和云存储等方式在网上流传。
  • 文章暗示,魏斯的审查行为可能是为了安抚特朗普政府,并方便Skydance公司收购CBS母公司派拉蒙(Paramount)。Skydance目前正试图收购华纳兄弟(Warner Bros.)。
  • 阿尔丰西认为,如果新闻报道的标准是必须获得政府的同意,那么新闻机构将沦为政府的宣传工具。

总而言之,这起事件凸显了新闻自由面临的挑战,以及政治压力对新闻机构的影响。

Satellites reveal heat leaking from largest US cryptocurrency mining center 135 points | 133 comments | by troglo-byte

SatVu 卫星图像揭示美国最大的比特币矿场热辐射

SatVu 公司发布了一张由其热成像卫星拍摄的图像,详细展示了美国最大的比特币矿场之一的热辐射情况。该矿场位于德克萨斯州罗克代尔,长期以来因其高耗电量和碳足迹而受到批评。

主要内容:

  • 图像细节: 图像以 11.5 英尺(3.5 米)的超高分辨率呈现,清晰地显示了热量泄漏到环境中的位置和程度。
  • 技术优势: SatVu 的卫星配备了业内最佳的热成像相机,分辨率比其他轨道上的温度测量设备高出一个数量级。
  • 应用价值: SatVu 认为,此类图像能够为监管机构和电网运营商提供宝贵的洞察,帮助他们更好地了解此类设施对环境和当地电网的影响。
  • 实时监测: 热数据能够提供关于运营活动的主观视角,而不仅仅是依赖于后续报告或公告。图像显示了冷却系统、变电站和电气院区的运行状态,揭示了哪些部分处于活动状态,哪些处于休眠状态。
  • 数据中心发展趋势: 预计到 2030 年,对计算数据中心的投资将超过 70 亿美元。全球数据中心预计将贡献全球二氧化碳排放量的约 0.5%。比特币挖矿尤其耗能,据一项研究估计,一笔比特币交易产生的二氧化碳量相当于一辆汽油车行驶 2500 公里。
  • SatVu 计划: SatVu 的 HotSat-1 卫星于去年 12 月失效,公司计划明年发射 HotSat-2,并正在建造 HotSat-3。该公司之前已于 2023 年 10 月发布了 HotSat-1 的首批图像,展示了火车尾气和拉斯维加斯大停车场的热辐射情况。

总结:

SatVu 公司利用其先进的热成像卫星技术,对大型比特币矿场进行实时监测,并以高分辨率呈现其热辐射情况。这种技术有望帮助监管机构更好地了解数据中心和比特币挖矿等高耗能产业对环境的影响,并促进更可持续的发展。

Pulled 60 Minutes segment on CECOT 123 points | 7 comments | by DustinEchoes

互联网档案求助信息摘要 (Summary of Internet Archive Appeal)

互联网档案(Internet Archive)是一项独立的非营利性组织,致力于为所有人提供高质量信息的普惠访问。 其主要工作包括:

  • 建设和维护自有系统: 互联网档案自主构建和维护其所有系统,不依赖外部商业力量。
  • 免费访问: 不向用户收取访问费用。
  • 保护用户隐私: 不出售用户数据,也不投放广告。
  • 记录历史信息: 致力于维护历史的准确性,通过记录政府网站、新闻出版物、历史文献等重要信息来实现。

目前,互联网档案面临资源压力,需要资金支持以维持运营。 组织方呼吁用户提供支持,尤其是在本周三。 他们表示,即使是小额捐助也能发挥重要作用,并承诺会将所有捐款用于知识传播和信息保护。

核心诉求: 互联网档案请求用户提供经济支持,以确保其能够继续提供免费、无广告、保护隐私的信息服务,并持续记录和保存重要的历史信息。 他们强调,由于自身独立性,需要来自用户的捐助来维持运营。

State regulators vote to keep utility profits high angering customers across CA 120 points | 77 comments | by connor11528

加州公用事业委员会投票维持电力公司利润率,引发争议 (Jiāzhōu Gōngyòng Shèyì Wěiyuánhuì Tóupiào Wéichí Diànlì Gōngsī Lìrùlǜ, Yǐnfā Zhēngchóu) - California Public Utilities Commission Votes to Maintain Utility Profit Margins, Sparking Controversy

主要内容 (Zhǔyào Nèiróng) - Main Points:

加州公用事业委员会 (CPUC) 在周四的投票中,以 4 比 1 的票数决定维持南加州爱迪生电力公司 (Southern California Edison) 以及其他大型投资者拥有公用事业公司的利润率,尽管消费者对电费上涨表示不满。 (Jiāzhōu Gōngyòng Shèyì Wěiyuánhuì (CPUC) zài Zhōusì de tóupiào zhōng, yǐ 4 bǐ 1 de piàoshù juédìng wéichí Nán Jiāzhōu Àidíshēng Diànlì Gōngsī (Southern California Edison) yǐjí qítā dàxíng tóuzīzhě yǒngyǒu gōngyòng shèyì gōngsī de lìrùnlǜ, jǐnguǎn xiāofèizhě duì diànfèi shàngzhǎng biǎoshì bùmǎn.) - The California Public Utilities Commission (CPUC) voted 4 to 1 on Thursday to maintain the profit margins of Southern California Edison and other large investor-owned utilities, despite customer complaints about rising electricity bills.

具体细节 (Jùtǐ Xìjié) - Specific Details:

  • 利润率调整 (Lìrùnlǜ Tiáozhěng) - Profit Margin Adjustments: 爱迪生的利润率将从 10.3% 降至 10.03%,其他三家大型公用事业公司也将经历类似的微小调整。 (Àidíshēng de lìrùnlǜ jiāng cóng 10.3% jiàng zhì 10.03%, qítā sān jiā dàxíng gōngyòng shèyì gōngsī yě jiāng jīnglì lèsi xiǎo tiáozhěng.) - Edison's profit margin will decrease from 10.3% to 10.03%, and the other three large utilities will experience similar minor adjustments.
  • 电费影响 (Diànfèi Yǐngxiǎng) - Impact on Bills: 消费者在电费方面预计不会受到太大影响,因为公用事业公司继续在电线和其他基础设施上投入资金,而这些投资的利润将继续增加电费。 (Xiāofèizhě zài diànfèi fāngmiàn yùjì bù huì shòudào tài dà yǐngxiǎng, yīnwèi gōngyòng shèyì gōngsī jìxù zài diànxiàn hé qítā jīchǔ shèshī shàng tóurù zījīn, ér zhèxiē tóuzī de lìrùn jiāng jìxù zēngjiā diànfèi.) - Consumers are not expected to see a significant impact on their bills, as utilities continue to invest in wires and other infrastructure, and profits on these investments are expected to continue to raise bills.
  • 争议焦点 (Zhēngzhēng Jiāodiǎn) - Point of Contention: 消费者团体认为公用事业公司的资本回报率 (Return on Equity, ROE) 长期以来过高。 (Xiāofèizhě tuánhuì rènwéi gōngyòng shèyì gōngsī de zīběn huíbǎolǜ (Return on Equity, ROE) chángqí yǐlái guògāo.) - Consumer groups argue that utilities' Return on Equity (ROE) has long been too high.
  • 理想回报率 (Lǐxiǎng Huíbǎolǜ) - Ideal Return Rate: 前 Sempra 公司首席经济学家 Mark Ellis 认为,合理的资本回报率应在 6% 左右,并估计将回报率降低到略高于 6% 可以为消费者节省 61 亿美元。 (Qián Sempra gōngsī shǒuxí jīngjì xuéjiā Mark Ellis rènwéi, hélǐ de zīběn huíbǎolǜ yīng zài 6% zuǒyǒu, bìng gū
iOS 26.3 Brings AirPods-Like Pairing to Third-Party Devices in EU Under DMA 119 points | 84 comments | by Tomte

iOS 26.3 推出互操作性更新,受欧盟数字市场法案驱动 (iOS 26.3 Introduces Interoperability Updates, Driven by the EU Digital Markets Act)

根据欧洲委员会的说法,苹果公司 iOS 26.3 引入的互操作性更改为欧盟用户和开发者带来了新的机遇。这些更改是受到欧盟数字市场法案 (DMA) 的推动。

主要更新内容:

  • 临近配对 (Proximity Pairing): iOS 26.3 允许第三方配件,例如耳机,以类似于 AirPods 的方式与 iPhone 或 iPad 配对。只需将配件靠近设备即可启动简易的一键配对流程,无需多步操作。
  • 通知 (Notifications): 第三方配件,如智能手表,现在可以接收 iPhone 上的通知,用户可以查看和回复这些通知。此功能之前仅限于 Apple Watch。需要注意的是,启用第三方设备通知将禁用 Apple Watch 上的通知,且同一时间只能将通知转发到一台连接的设备。

重要细节:

  • 适用范围: 这些功能仅适用于欧盟地区的设备制造商和 iPhone/iPad 用户。
  • 发布时间: 开发者可以立即测试这些新功能,预计该功能将在 2026 年全面在欧盟地区可用。iOS 26.3 预计将于 1 月底发布。
  • DMA 影响: 欧洲委员会强调,这些变化是 DMA 推动的结果,旨在促进更加互联互通的数字生态系统,并惠及欧盟公民。

其他新闻摘要:

  • Apple TV 更新延期: 新一代 Apple TV 4K 的发布预计将推迟到 2026 年。
  • iPhone 18 Pro 泄露: 据报道,iPhone 18 Pro 系列将采用屏下 Face ID 和将前置摄像头移动到屏幕左上角的设计。
  • iOS 26 升级强制: 苹果已停止提供 iOS 18 的更新,强制 iPhone 11 及更新型号升级到 iOS 26。
  • 内存价格上涨: 苹果正更多地依赖三星来供应 iPhone 内存,因为组件价格飙升。
  • iPhone 18 Pro 传闻功能: 预计 iPhone 18 Pro 将有 12 项新功能,包括屏下 Face ID 和前置摄像头移动。

(Translation: This summary details the key interoperability changes introduced in iOS 26.3, highlighting the impact of the EU's Digital Markets Act. It outlines the new proximity pairing and notification features, their limitations, and their regional availability. It also briefly covers other related news items mentioned in the original article.)

Universal Reasoning Model (53.8% pass 1 ARC1 and 16.0% ARC 2) 108 points | 19 comments | by marojejian

通用推理模型 (URM) 的研究:对通用变换器 (UT) 性能的分析与改进

摘要: 本研究探讨了通用变换器 (Universal Transformers, UTs) 在复杂推理任务(如 ARC-AGI 和数独)中表现出色的原因。尽管 UTs 在这些任务中取得了广泛应用,但其性能提升的具体来源尚未得到充分研究。

主要发现: 研究人员系统性地分析了 UTs 的不同变体,并发现 ARC-AGI 上的性能提升主要源于变换器中的循环归纳偏差和强大的非线性组件,而非复杂的架构设计。

提出的模型: 基于上述发现,研究人员提出了通用推理模型 (Universal Reasoning Model, URM)。URM 在 UT 的基础上引入了短卷积和截断反向传播技术,以进一步提升推理性能。

实验结果: URM 取得了显著的性能提升,在 ARC-AGI 1 上达到了 53.8% 的 pass@1,在 ARC-AGI 2 上达到了 16.0% 的 pass@1,实现了该领域的领先水平。

代码开源: URM 的代码已开源,可在 https://github.com/zitian-gao/URM 访问。

关键词: 通用变换器 (UTs), 通用推理模型 (URM), ARC-AGI, 循环归纳偏差, 非线性组件, 卷积, 截断反向传播, 推理。

提交信息:

Your Supabase is public if you turn off RLS 108 points | 62 comments | by skilldeliver

SaaS 安全漏洞:Supabase Anon Key 泄露

本文讲述了作者在测试朋友的 SaaS 应用时发现的潜在安全漏洞,该漏洞与 Supabase 的匿名密钥 (anon key) 配置不当有关。以下为总结:

主要问题:

  • 作者发现多个 SaaS 应用,包括一家处于早期阶段的创业公司,意外地将 Supabase 匿名密钥暴露在网页的网络请求中。
  • 匿名密钥的泄露使得攻击者能够访问整个 Supabase 数据库,包括用户数据 (姓名、昵称、邮箱、密码哈希等)。

漏洞原因分析:

  • 作者认为,开发者可能在创建公共用户表时没有正确配置行级安全 (RLS)。Supabase 的匿名密钥设计为公开,但如果未谨慎使用,它可能成为数据库的“主密钥”。
  • 虽然作者不完全归咎于 "vibe-coding" 趋势,但认为 Supabase 自身可以改进,例如在创建用户表时,应显示醒目的警告提示,提醒开发者启用 RLS。

漏洞利用方式:

  • 通过网络请求检查可以轻易获取匿名密钥。
  • 使用 curl 命令,结合匿名密钥,可以获取 OpenAPI schema 并检查是否存在用户表和相关端点。
  • 通过 curl 命令,可以访问用户表数据,获取敏感信息。

对比与建议:

  • 作者提到 Pocketbase 在用户权限控制方面做得更好,默认配置了安全访问控制,需要开发者主动进行不安全配置。
  • 作者建议 Supabase 应该改进用户体验,在创建用户表时提供更明确的安全提示,避免开发者因配置错误而导致数据泄露。

潜在规模:

  • 作者担忧,考虑到像 Lovable 这样的平台每天创建超过 10 万个项目,有多少项目存在这种暴露数据库的风险。

总结:

该文章强调了 Supabase anon key 配置不当可能导致的严重安全风险,并提出改进建议,以提高 SaaS 应用的安全性和开发者意识。作者认为,平台本身应该提供更友好的安全提示,降低开发者犯错的可能性。

I know you didn't write this 104 points | 137 comments | by cjlm

AI 工作坊的受害者? 探讨 AI 生成内容的伦理与效率

本文探讨了在工作场所使用 AI 生成内容所引发的伦理和效率问题,并将其命名为“AI 工作坊”(AI workslop)。作者通过自身经历,分享了同事提交的计划文档,起初看似详尽,但通过查看文档历史,发现其是由 AI 直接生成的。这引发了作者对 AI 在工作中的作用的反思。

核心观点:

  • AI 效率悖论: 虽然 AI 可以快速生成内容,但其验证过程却增加了整体工作量。验证取代了原本的信任,读者需要保持警惕,仔细辨别内容的真实性。
  • 伦理困境: 未经披露地使用 AI 生成内容是不道德的,破坏了工作场所的社会契约。传递 AI 生成的内容,等同于将自己变成一个观察者,而非创造者。
  • 责任追究: 在工程领域,开发者需要对所有代码负责,即使代码是由 AI 生成的。同样,使用 AI 生成文档或应用程序也应承担相应的维护和扩展责任。
  • AI 的合理应用: AI 在内容转换方面(例如转录、翻译)展现出其价值,例如记者利用 YouTube 的转录和翻译功能进行调查报道。对于资源有限的学者,AI 辅助推广研究成果也具有经济意义。
  • 未来趋势: 随着 AI 不透明性的增加,读者可能需要承担更多猜测工作,并参与关于工作性质、努力程度、真实性和礼仪的讨论。

总结:

文章并非反对 AI 的使用,而是呼吁在使用 AI 时保持透明和负责任的态度。AI 应该作为辅助工具,而不是取代人类的思考和创造。否则,它可能会导致效率下降、伦理问题和信任危机。

Vince Zampella, developer of Call of Duty and Battlefield has died 102 points | 55 comments | by superpupervlad

游戏行业传奇人物 Vince Zampella 去世

游戏行业重要人物、Call of Duty 系列的关键成员之一、Respawn Entertainment 的联合创始人 Vince Zampella 于 2025 年 12 月不幸去世,享年 55 岁。据 NBC4 Los Angeles 报道,Zampella 在一场车祸中丧生。周日下午,他的车辆偏离了道路,撞上了混凝土隔离栏。车辆起火,乘客被抛出车外,Zampella 被困在车内,最终不幸身亡。

Zampella 早年曾在 Medal of Honor 工作,后来被 Activision 招募,旨在创建与竞争对手游戏系列对抗的游戏。他在 Infinity Ward 崭露头角,Infinity Ward 是创造 Call of Duty 系列的开发工作室。他带领 Call of Duty 进入了粉丝们所称的“黄金时代”,尤其是在原版 Modern Warfare 系列中。

然而,由于与 Activision 在奖金、创作权利等问题上的矛盾,Zampella 和 Infinity Ward 的联合创始人 Jason West 最终离开了工作室。他们随后创立了 Respawn Entertainment,为 EA 开发了 Titanfall,并陆续推出了 Star Wars Jedi: Fallen OrderApex Legends 等其他作品。在 Battlefield 2042 2021 年 11 月发布后表现不佳后,EA 任命 Vince Zampella 接管了 Battlefield 系列。

Zampella 带领 Battlefield 6 取得成功

在 Zampella 的领导下,Battlefield 6 在系列亟需成功的时刻迎来了巨大成功。截至 2025 年 12 月,该游戏销量超过了 Call of Duty 的最新作品,并有望成为年度最佳销量游戏,这是 Battlefield 系列首次取得这样的成就。Zampella 在游戏行业,特别是射击游戏领域,是一位极具创造力的领导者。他不断提高该类型的标准,不仅创造了财务上成功的游戏,而且创造了极具创新性的游戏。

值得一提的是,Zampella 的 Respawn 并非只局限于制作射击游戏。该工作室还通过 Star Wars Jedi 系列拓展到第三人称动作游戏领域,创造了近年来最佳的 Star Wars 游戏之一。毫无疑问,Zampella 是游戏行业一位杰出的天才,他能够在不牺牲商业吸引力的情况下,不断革新游戏模式。

Infinity Ward 和 EA 致敬

Infinity Ward 和 EA 都对 Zampella 的去世表示哀悼,并表达了对他在游戏行业影响和遗产的敬意。Infinity Ward 在 Twitter 上写道:“安息吧,Vince。作为 Infinity Ward 和 Call of Duty 的创始人之一,你将永远在我们历史中占有特殊地位。你创造出具有里程碑意义的娱乐作品的遗产是无法估量的。我们向 Vince 的家人和亲人致以最深切的慰问。”

EA 表示:“这是一个难以想象的损失,我们的心与 Vince 的家人、亲人和所有受到他作品影响的人同在。Vince 对电子游戏行业的影响是深远而广泛的。他是一位朋友、同事、领导者和富有远见的创造者,他的作品帮助塑造了现代互动娱乐,并激励了全球数百万玩家和开发者。他的遗产将继续影响游戏制作方式和玩家之间的联系,代代相传。”