2025-12-31

23 篇热帖

1. Show HN: 22 GB of Hacker News in SQLite (hackerbook.dosaygo.com)

HackerBook 概览 (基于提供的文本)

这段文本提供的信息非常有限,主要指向一个名为 "HackerBook" 的项目。以下是对其的概览:

核心内容:

  • 项目名称: HackerBook
  • 创建者: DOSAYGO (链接: https://dosaygo.com)
  • 发布日期: Someday, Month 00, 0000 (日期信息不完整,表明是一个早期或未完成的项目)
  • 时间参考: 所有时间都相对于 11:59 PM。
  • 获取方式: 可以通过链接 https://dosaygo-studio.github.io/HackerBook/ 获取。

项目性质推测:

虽然文本本身没有明确说明 HackerBook 的具体内容,但名称 "HackerBook" 暗示它可能是一个与黑客文化、编程、技术相关的书籍、教程、资源集合或其他学习材料。 dosaygo-studio.github.io 域名表明项目托管在 GitHub 上,可能是一个开源项目。

总结:

HackerBook 是由 DOSAYGO 创建的一个项目,可能提供与黑客文化或技术相关的资源。它发布日期不详,可以通过 GitHub 仓库获取。 时间参考点为 11:59 PM。


中文翻译:

这段文字主要介绍了名为“HackerBook”的一个项目。该项目由DOSAYGO创建,其网站为https://dosaygo.com。发布日期为某个未知的月份和年份(Someday, Month 00, 0000),时间参考点为晚上11:59。 想要获取该项目,可以通过https://dosaygo-studio.github.io/HackerBook/ 链接访问。 “HackerBook”这个名称暗示该项目可能包含与黑客文化、编程或者技术相关的资料。

2. A faster heart for F-Droid (f-droid.org)

F-Droid 核心服务器硬件升级报告

F-Droid 最近完成了核心服务器硬件的升级,这主要归功于社区的捐赠。此次升级对 F-Droid 的独立性和可靠性至关重要,并直接提升了项目运行效率。

升级原因与挑战:

原服务器硬件已经使用了 12 年,运行了大约 5 年,性能和维护成本日益增加。 由于全球贸易紧张局势,可靠组件的采购变得困难,导致升级过程比预期更长。F-Droid 团队坚持寻找能够长期稳定运行的服务器配置。

托管方式的特别安排:

F-Droid 的服务器并非托管在普通的、由未知人员管理的商业数据中心。 而是与一位经验丰富的贡献者达成特殊协议,由其负责服务器的物理保管。F-Droid 团队可以远程控制服务器,清楚了解其位置和访问权限,这有助于提高透明度和信任度,并符合 F-Droid 的安全模型。

升级带来的性能提升:

新服务器已经显示出显著的性能提升。过去两个月的数据显示,它能更快地完成构建和发布操作。例如:

  • 1 月至 9 月:更新发布频率为每 3-4 天一次。
  • 10 月:缩短至每 2 天一次。
  • 11 月:缩短至每天一次。
  • 12 月:正在达到每天两次的频率。

这额外的容量为 F-Droid 团队提供了更大的操作空间,并缩短了应用程序更新到达用户的间隔。现在,可以在早晨一次性构建所有自动更新的应用程序,并在下午和晚上进行新添加、修复和手动更新的应用程序构建。

捐赠的重要性:

此次升级完全依靠社区的捐赠支持。捐款不仅仅让 F-Droid 团队的工作更轻松,也帮助开发者获得及时的构建,降低维护风险,并增强整个代码库的健康状况。F-Droid 感谢每一笔捐款,无论大小,都对项目的可靠性、独立性和自由软件价值观至关重要。

简而言之,此次硬件升级是社区支持的直接体现,它提升了 F-Droid 的性能和可靠性,为用户和开发者带来了益处。

3. FediMeteo: A €4 FreeBSD VPS Became a Global Weather Service (it-notes.dragas.net)

FediMeteo 项目总结 (FediMeteo Project Summary)

FediMeteo 是一个项目,旨在通过 ActivityPub 协议在 Fediverse 上提供本地化的天气更新。该项目由作者基于个人兴趣和对天气预报的重视而创建,并以此纪念其外公,一位经验丰富的气象观察者。

设计原则与核心理念:

  • 国家/地区隔离: 项目采用 FreeBSD jails 技术,将不同国家/地区的天气信息实例隔离,便于管理和安全,并允许灵活迁移部分实例。
  • 可靠的数据源: 使用开源友好的 wttr.inOpen-Meteo 获取天气数据,最终选择 Open-Meteo 作为主要数据源。
  • 可访问性: 注重可访问性,提供本地语言的预报、文本浏览器支持、以及使用表情符号的简化信息,无需 JavaScript 等依赖。
  • Unix 哲学: 采用模块化设计,各个组件协同工作。
  • 轻量级管理工具: 使用 snac 管理实例,该工具具有轻量、高效、稳定、兼容 ActivityPub 协议、支持 RSS 等特点。

技术实现:

  • 数据获取与处理: 使用 Python 脚本,结合 geopy 库获取城市坐标,并通过 API 调用获取天气信息,然后生成 Markdown 格式的输出。数据不本地存储。
  • 自动化部署: 使用 snac note 命令将 Markdown 输出发布到 Fediverse,无需手动管理 API 密钥等。
  • 城市管理: 创建脚本自动生成和配置 snac 用户,并将城市名称规范化。
  • 定时更新: 使用 cron 定时运行脚本,每 6 小时更新一次天气信息。
  • 监控: 使用 Uptime-Kuma 监控服务状态,并在出现故障时发出警报。

项目发展与挑战:

  • 项目启动与迅速增长: 项目启动初期超出预期,迅速获得大量关注,并扩展到多个国家/地区。
  • 语言和翻译问题: 初期遇到语言翻译问题,作者积极解决并寻求开发者支持。
  • API 密钥泄露: 由于调试代码留下的漏洞,API 密钥曾意外泄露,作者及时修复并向 Open-Meteo 团队报告。
  • 坐标获取问题: 依赖 Nominatim 获取坐标时,出现服务不可用问题,作者通过缓存坐标来解决。
  • 单位和时区差异: 为了支持全球化,作者计划开发更全面的版本,考虑不同的单位制和时区差异。
  • 美国和加拿大推出: 成功推出美国和加拿大,覆盖超过 1200 个城市。

当前状态:

  • 支持国家/地区: 目前支持 38 个国家/地区。
  • 覆盖城市: 覆盖 2937 个城市。
  • Fediverse 粉丝: 拥有约 7707 名直接粉丝,以及通过 RSS 订阅的更多用户。
  • 基础设施: 运行在一个每月 4 欧元的小型 VPS 上,使用 FreeBSD 14.3-RELEASE 和 BastilleBSD 进行 jail 管理,资源占用率极低。

总结:

FediMeteo 项目展示了通过简单、高效的技术方案,构建稳定、可靠的 Fediverse 服务。该项目强调了轻量级、模块化设计的重要性,以及开源社区支持的力量。作者希望通过这个项目,为更多人带来便利,并延续其外公对天气预报的热爱。

4. A Vulnerability in Libsodium (00f.net)

libsodium 13 周年及安全漏洞修复总结 (Libsodium 13th Anniversary and Security Vulnerability Fix)

本文总结了 libsodium 项目 13 周年以及近期发现并修复的一个安全漏洞。

项目背景与设计理念:

  • Libsodium 由作者为了实现 Dan Bernstein 的愿景,即简化密码学的使用,于 13 年前启动。
  • 项目目标是提供简洁易用的 API,隐藏底层算法细节,让用户专注于操作本身,无需了解密码学原理。
  • API 不会轻易更改,保持向后兼容性是项目的重要原则,遵循 NaCl API 设计。
  • 最初提供高层 API,也包含用于支持高层 API 的底层函数。

问题出现:

  • 用户开始直接使用底层函数,将 libsodium 视为算法和低级原语的工具包。这与项目设计初衷不符,且缺乏 --enable-minimal 构建的充分测试和稳定性保障。
  • 作者在添加批签名支持时,发现了一个漏洞,原因是 Zig 代码中存在但 libsodium 中缺失的检查。

漏洞详情:

  • 漏洞位于 crypto_core_ed25519_is_valid_point() 函数中,该函数用于验证 Edwards25519 曲线上的点是否有效。
  • 该函数原本应该拒绝不在主子群(order L,约 2^252)中的点,但允许了一些混合子群中的点通过验证。
  • 具体原因是,在将点乘以 L 进行验证时,代码只检查了 X 坐标是否为零,而忘记了检查 Y 坐标是否等于 Z 坐标。
  • 这意味着一些 X=0 且 Y≠Z 的无效点会被错误地认为是有效点。

影响范围:

  • 使用 1.0.20 或更早版本,且使用 crypto_core_ed25519_is_valid_point() 验证来自不受信任来源的点,可能受到影响。
  • 自定义密码学方案中,在使用 Edwards25519 曲线进行算术运算的也可能受到影响。
  • 高层 API (crypto_sign_*) 和 crypto_scalarmult_ed25519 函数不受影响。

修复方案:

  • 漏洞已修复,新代码增加了对 Y=Z 的检查。
  • 建议使用 Ristretto255,它能避免 cofactor 相关问题,且操作速度更快。
  • 如果无法升级 libsodium,可以使用提供的 is_on_main_subgroup 函数作为应用层面的 workaround。

已修复的软件包:

  • 所有在 2025 年 12 月 30 日之后发布的 stable 版本都包含修复。
  • 包括官方 tarballs, Visual Studio/MingW 二进制文件, NuGet packages, swift-sodium xcframework, rust libsodium-sys-stable, libsodium.js 等。
  • 将发布新的 point release。

项目支持:

作者呼吁社区支持 libsodium 项目,可以通过赞助的方式,帮助其投入更多时间来改进和维护该项目。

5. LLVM AI tool policy: human in the loop (discourse.llvm.org)

LLVM AI 工具政策:人机协作 (RFC) 总结

本文档(RFC)描述了 LLVM AI 工具政策的最新草案,该草案基于多场会议的反馈意见进行了重大修改。核心思想是要求 LLVM AI 工具贡献中必须包含“人机协作”(Human-in-the-Loop)机制

以下是主要内容总结:

  • 政策目标: 旨在指导 LLVM 项目如何接受和整合使用人工智能 (AI) 工具的贡献,同时确保代码质量、可维护性、以及防止潜在的负面影响(例如,版权问题、安全漏洞)。
  • 人机协作要求: 该政策强调,使用 AI 工具生成的代码或设计必须经过人工审查和验证。这并不意味着禁止使用 AI 工具,而是要求贡献者在利用 AI 工具的同时,承担起确保最终代码的责任。
  • 反馈驱动的修改: 当前的草案是根据各方反馈意见进行调整的,反映了对政策的精细化理解和改进。
  • 图像: 文档包含一张图像,可能用于可视化政策或相关讨论。

简而言之,LLVM AI 工具政策草案的核心是强调在 AI 工具的使用过程中,必须保持人为干预和审查,以确保 LLVM 项目的质量和安全。

6. NYC Mayoral Inauguration bans Raspberry Pi and Flipper Zero alongside explosives (blog.adafruit.com)

2026 纽约市市长就职典礼安检引发争议:对特定设备的禁令引关注

这篇文章批评了2026年纽约市市长就职典礼安检清单中对Raspberry Pi和Flipper Zero这两款设备的明确禁令。文章认为,这种做法不合理且可能适得其反。

主要观点:

  • 不合理的禁令: 安检清单将Raspberry Pi(一款通用单板计算机)和Flipper Zero(一款电子设备测试工具)列为违禁品,与武器、爆炸物等危险品放在一起,显得不合常理。
  • 缺乏明确性: 这种禁令没有明确说明安全担忧的具体原因,例如电子干扰或黑客行为。仅仅禁止特定品牌设备,而允许功能更强大的智能手机通过安检,显得不合理且缺乏逻辑。
  • “氛围”式的安检: 文章指出,这种做法更像是基于“氛围”而非实际安全评估,可能导致安检人员的随意执法。
  • 对创意的限制: 纽约市拥有众多教育工作者、艺术家和技术人员,他们利用类似设备进行创作和表达。禁止这些设备会扼杀创新和好奇心。
  • 滑坡效应: 文章担心未来安检清单会进一步扩大,禁止越来越多的电子设备,最终变得毫无意义。
  • 对比Times Square新年倒数: Times Square新年倒数安检清单简单明了,只禁止常见的危险物品,而纽约市长就职典礼安检清单却过于复杂和随意。
  • 安检团队的反应: 作者试图联系市长团队,但得到的回复含糊不清,暗示可能由AI生成了安检清单。
  • 作者的个人担忧: 作者担心自己携带Raspberry Pi和Flipper Zero将无法进入就职典礼,甚至可能被逮捕。

总结:

文章批评了纽约市2026年市长就职典礼安检清单中对特定电子设备的禁令,认为这种做法缺乏明确性、限制了创新,并可能导致安检人员的随意执法。作者呼吁市长团队重新评估安检政策,以确保其有效性和合理性。文章还暗示了该政策可能由人工智能生成,并表达了对未来安检清单进一步扩大的担忧。


2026年纽约市市长就职典礼安检规定引发争议:对特定设备的禁令

这篇文章批评了2026年纽约市市长就职典礼安检清单中对Raspberry Pi和Flipper Zero这两款设备的明确禁令。文章认为,这种做法不合理且可能适得其反。

主要内容:

  • 安检清单的特殊之处: 纽约市通常在处理大型公共活动安全方面经验丰富,但此次就职典礼的安检清单却显得不寻常,直接禁止了Raspberry Pi和Flipper Zero。
  • 设备的功能和用途: Raspberry Pi是一款通用单板计算机,广泛应用于教育、新闻、艺术等领域;Flipper Zero则是一款电子设备测试工具。
  • 政策的模糊性: 安检清单未明确说明禁止这些设备的原因,而是泛泛地暗示了电子干扰或黑客风险。
  • 对比其他活动: 与Times Square新年倒数等安全措施严格的活动相比,此次就职典礼的安检清单显得过于随意和复杂。
  • 潜在的风险: 文章指出,禁止特定设备可能导致安检漏洞,例如允许更强大的智能手机通过安检。
  • 对创意的限制: 这种禁令可能会限制纽约市的教育者、艺术家、技术人员和记者的创作和表达。
  • 未来可能出现的局面: 文章预测,未来安检清单可能会进一步扩大,禁止越来越多的电子设备。
  • 作者的担忧: 作者担心自己携带Raspberry Pi和Flipper Zero将无法进入就职典礼,甚至可能被逮捕。
  • 对市长团队的呼吁: 文章呼吁市长团队重新评估安检政策,以确保其有效性和合理性。

总结:

文章批评了纽约市2026年市长就职典礼安检清单中对特定电子设备的禁令,认为这种做法缺乏明确性、限制了创新,并可能导致安检人员的随意执法。作者呼吁市长团队重新评估安检政策,以确保其有效性和合理性。

7. OpenAI's cash burn will be one of the big bubble questions of 2026 (www.economist.com)

人工智能领域的资本“高耸的火灾”:简要总结

这篇文章刊登于《经济学人》杂志的“领袖”版块,标题为“The “Towering Inferno” of capital”。主要探讨了人工智能(AI)创业公司,特别是 OpenAI 和 Anthropic 等大型 AI 初创企业,在私人市场获得的巨大资本涌入,以及由此带来的潜在风险。

主要内容:

  • 资本激增: 2025 年,风险投资(VC)行业向大型 AI 初创企业投入了 1500 亿美元,远超 2021 年之前的投资热潮。
  • OpenAI 的雄心壮志: OpenAI,ChatGPT 的开发者,预计将在 2026 年独自从私人投资者那里筹集高达 1000 亿美元的资金。这几乎是迄今为止最大规模首次公开募股(IPO)的四倍。
  • 市场担忧: 尽管股票市场投资者对生成式 AI 公司的估值可能存在担忧,但私人市场似乎仍然处于一个不同的世界。
  • 潜在风险: 文章暗示了这种过度资本投入可能带来的潜在风险,将其比喻为“高耸的火灾”,意味着可能存在泡沫和不可持续的增长。

总结:

总而言之,这篇文章关注的是人工智能领域资本的快速增长,尤其侧重于 OpenAI 的融资计划。尽管这反映了对人工智能技术的巨大信心,但也暗示了未来可能出现的问题,即过度投资和高估值可能带来的风险。


(Chinese Translation)

人工智能领域的资本“高耸的火灾”:简要总结

这篇文章刊登于《经济学人》杂志的“领袖”版块,标题为“The “Towering Inferno” of capital”。主要探讨了人工智能(AI)创业公司,特别是 OpenAI 和 Anthropic 等大型 AI 初创企业,在私人市场获得的巨大资本涌入,以及由此带来的潜在风险。

主要内容:

  • 资本激增: 2025 年,风险投资(VC)行业向大型 AI 初创企业投入了 1500 亿美元,远超 2021 年之前的投资热潮。
  • OpenAI 的雄心壮志: OpenAI,ChatGPT 的开发者,预计将在 2026 年独自从私人投资者那里筹集高达 1000 亿美元的资金。这几乎是迄今为止最大规模首次公开募股(IPO)的四倍。
  • 市场担忧: 尽管股票市场投资者对生成式 AI 公司的估值可能存在担忧,但私人市场似乎仍然处于一个不同的世界。
  • 潜在风险: 文章暗示了这种过度资本投入可能带来的潜在风险,将其比喻为“高耸的火灾”,意味着可能存在泡沫和不可持续的增长。

总结:

总而言之,这篇文章关注的是人工智能领域资本的快速增长,尤其侧重于 OpenAI 的融资计划。尽管这反映了对人工智能技术的巨大信心,但也暗示了未来可能出现的问题,即过度投资和高估值可能带来的风险。

8. Everything as code: How we manage our company in one monorepo (www.kasava.dev)

卡萨瓦的单体仓库:AI 原生开发实践 (Kasava 的单体仓库:AI 原生开发实践)

卡萨瓦 (Kasava) 采用单体仓库架构,将所有代码、文档、营销网站等内容统一存储在一个仓库中。 这与传统的微服务架构截然不同,显著提升了开发效率和一致性,尤其是在 AI 驱动的开发场景下。

核心理念:

  • 单源真理: 所有的代码、配置和内容都存储在一个仓库中,避免了版本不一致和信息同步问题。
  • AI 原生开发: 这种架构使 AI 工具能够更好地理解和操作代码,从而实现更高效的文档更新、网站维护和内容创作。
  • 统一发布流程: 所有变更都通过 git push 命令进行发布,无需协调多个团队和工具。

仓库结构:

仓库包含以下主要目录:

  • frontend/: 基于 Next.js 16 和 React 19 构建的前端应用。
  • backend/: 基于 Cloudflare Workers API 构建的后端服务,包含业务逻辑服务和 Mastra AI 工作流。
  • website/: 营销网站 (kasava.ai)。
  • docs/: 公共文档 (使用 Mintlify)。
  • docs-internal/: 内部架构文档和规范。
  • marketing/: 营销相关内容,包括博客、投资者演示和邮件模板。
  • external/: 外部服务,例如 Chrome 扩展、Google Docs 插件和 Google Cloud Functions。
  • scripts/: 部署和集成测试脚本。
  • infra-tester/: 集成测试框架。
  • github-simulator/: 模拟 GitHub API 用于本地开发。

单体仓库带来的优势:

  • 原子变更: 后端 API 变更可以与前端类型定义更新在同一提交中完成,避免版本不匹配。
  • AI 辅助: AI 工具可以访问整个代码库,进行代码文档更新、网站内容验证、博客文章事实核查等。
  • 快速迭代: 文档、网站、博客和代码的更新速度都得到提升。
  • 单一发布流程: 所有内容都通过 git push 命令进行发布,简化了发布流程。
  • 跨项目重构: IDE 可以快速找到函数在整个代码库中的所有引用,方便重构。
  • 单一真源: 统一依赖配置、CI/CD 流程和代码搜索。

示例:

  • Asana 集成: 添加 Asana 集成功能需要在同一个 PR 中更新后端服务、前端组件、文档和营销网站。
  • 定价同步: billing-plans.json 文件定义了所有定价计划的限制和功能,当定价发生变化时,只需修改该文件,即可同步更新后端、前端和营销网站。

技术实现:

  • 不使用工作区: 每个目录都是一个独立的 npm 项目,简化依赖管理。
  • 选择性 CI/CD: GitHub Actions 触发器根据文件修改路径进行触发,只运行相关测试。
  • CLAUDE.md 规范: 每个主要目录都包含 CLAUDE.md 文件,用于记录代码的功能、技术栈和架构决策。

面临的挑战及解决方案:

  • 仓库大小: 目前仓库大小尚可接受,如果未来达到 1GB 以上,可以考虑使用浅克隆。
  • 构建时间: 通过独立构建每个项目,避免了全量重建。
  • 权限边界: 目前团队规模较小,所有成员都拥有访问所有代码的权限。如果团队规模扩大,可以考虑使用 CODEOWNERS 和分支保护规则。
  • 上下文切换: 通过一致的代码风格、CLAUDE.md 文件和 IDE 配置来减少上下文切换带来的困扰。

总结:

卡萨瓦的单体仓库架构并非一种抽象的设计模式,而是为了在快速变化的产品环境中提高开发效率,并充分利用 AI 工具的能力。 这种架构通过统一代码、文档、内容和营销,实现了更快的迭代速度、更一致的体验和更高效的 AI 辅助开发。

9. Sabotaging Bitcoin (blog.dshr.org)

比特币安全:对远霍克尼亚和戈哈什达尔研究的分析与观点 (Bitcoin Security: An Analysis of Farokhnia and Goharshady's Research)

本文分析了2024年Soroush Farokhnia & Amir Kafshdar Goharshady发表的关于比特币安全性的研究,并探讨了潜在的攻击向量。研究表明,成功地回溯区块(block-reverting attack)并不一定需要控制超过50%的算力(hash power),且攻击成本约为67.7亿美元,比特币衍生品(期权和期货)通过创造攻击动机,对比特币的安全构成威胁。

主要发现与论点:

  • 攻击可行性: 研究强调,即使控制较少的算力,攻击者也可以通过回溯区块来发动攻击,并利用比特币衍生品市场进行盈利。
  • 交易量与攻击目标: 尽管比特币每天处理约170亿美元的交易,但其中90%并非具有经济意义的活动,而是比特币协议设计和参与者匿名偏好的结果。然而,这些交易仍然是攻击的目标。
  • 攻击成本与收益: 攻击者可以通过短比特币(购买看跌期权)并控制一定算力来发动攻击。如果攻击带来的损失大于硬件投资成本,则存在盈利动机。
  • 自私挖矿 (Selfish Mining) 的风险: 基于Eyal & Sirer 2018年的研究,自私挖矿允许矿池私下挖掘区块,从而可能导致网络安全问题。
  • 衍生品市场的影响: 远霍克尼亚和戈哈什达尔认为,比特币衍生品市场的巨大规模(月度交易量超过1.7万亿美元的期货和64亿美元的期权,远超18亿美元的现货交易量)为攻击提供了经济可行性。

攻击者的类型与挑战:

  • 外部攻击者 (Outsiders): 需要获取或租用足够的算力、电力和数据中心空间,成本高昂,且容易被检测到。
  • 内部攻击者 (Insiders): 已经控制一定算力,主要挑战在于避免被检测到。

具体分析:

  • 算力获取: 外部攻击者需要控制约43%的算力,这需要巨额投资并面临被Bitmain(控制82%的市场份额)检测到的风险。
  • 电力需求: 攻击者需要约9.5GW的电力,这需要耗费大量时间和资源。
  • 数据中心: 需要建设类似Meta的超大型数据中心,成本高昂且耗时。
  • 短仓操作: 在攻击成功之前,攻击者需要建立足够的比特币短仓,但衍生品市场的流动性可能不足,且可能导致被清算。
  • 自动去杠杆化 (ADL): 在价格剧烈波动时,交易所可能会自动去杠杆化,导致攻击者损失部分收益。

作者的观点:

作者虽然同意远霍克尼亚和戈哈什达尔的技术分析,但认为实际操作中存在诸多困难。作者认为,尽管存在潜在的攻击风险,但考虑到成本、检测风险和市场因素,大规模攻击比特币的可能性较低。

总结:

远霍克尼亚和戈哈什达尔的研究揭示了比特币衍生品市场可能为攻击者提供经济动机,并强调了自私挖矿对网络安全的潜在威胁。 虽然攻击理论上可行,但实际操作中面临诸多挑战,包括算力获取、电力需求、数据中心建设、短仓操作风险以及自动去杠杆化等。 进一步的防御措施和网络安全改进仍然是必要的,以确保比特币的长期安全。

数据参考:

  • 每日比特币交易量:约170亿美元,平均每笔交易约3.8万美元。
  • 平均区块交易量:约3200笔,平均每笔交易约1.2万美元。
  • 2021年比特币区块链交易量中,90%与经济活动无关。
  • 交易所贡献了比特币交易量的75%。
  • 远霍克尼亚和戈哈什达尔计算的51%攻击成本:约67.7亿美元。
  • 比特币衍生品月度交易量:期货1.7万亿美元,期权64亿美元,现货交易量18亿美元。
10. Google Opal (opal.google)

Google Opal

本文标题为“Google Opal”。文章内容未提供实质性的文本说明,仅包含一张图片的链接地址(https://opal.google/images/share-card-prod.png),该链接指向 opal.google 域名下的分享卡片(share-card)图片。原文无其他关于该项目的功能、结构或详细背景信息。

11. Quality of drinking water varies significantly by airline (foodmedcenter.org)

2026 航空公司饮用水研究报告总结

近日,食物与健康促进中心发布了2026年航空公司饮用水研究报告,揭示了航空公司饮用水质量存在显著差异,且许多航空公司仍向乘客提供潜在不健康的饮用水。

研究背景与目的:

该研究延续了2019年首次发布的航空公司饮用水安全评估,旨在分析2022年10月至2025年9月期间的航空饮用水合规数据,评估航空公司饮用水安全表现,并为乘客提供风险降低建议。研究基于美国环境保护署(EPA)的《飞机饮用水规则》(ADWR)数据,综合考量违规情况、大肠杆菌超标、细菌阳性率、公共通知以及消毒和冲洗频率等指标。

研究方法:

研究分析了EPA提供的五份数据文件,涵盖违规记录、系统操作事件、采样结果和公共通知。研究对象为10家大型航空公司和11家区域性航空公司,共21家航空公司。研究团队运用重叠方法计算违规次数,并根据航空公司规模进行了数据标准化,以确保公平比较。最终的饮用水安全评分(0.00至5.00分)结合了五个加权子评分,并考虑了公共通知响应情况的惩罚。

主要发现:

  • 饮用水安全评分排名:

    • 大型航空公司: 德尔塔航空公司 (5.00分,A级) 和前沿航空公司 (4.80分,A级) 排名最高,阿拉斯加航空公司位列第三 (3.85分,B级)。美国航空公司 (1.75分,D级) 和捷蓝航空公司 (1.80分,D级) 排名最低。
    • 区域性航空公司: GoJet航空公司 (3.85分,B级) 排名最高,Mesa航空公司 (1.35分,F级) 和CommuteAir航空公司 (1.60分,D级) 排名最低。CommuteAir航空公司的总细菌阳性率为33.33%,情况令人担忧。
  • 细菌污染情况:

    • 35,674个采样点中,949个(2.66%)检测到总细菌,其中50个采样点检测到大肠杆菌。
    • 大肠杆菌超标是降低航空公司评分的主要因素。
  • EPA执法力度: 研究显示,EPA在ADWR违规航空公司中很少进行民事处罚,这被评为“令人羞愧”的奖项。

  • 公共通知: 航空公司在公共通知中是否及时提供替代饮用水源以及是否关闭受污染的水系统,也会影响评分。

关键指标分析:

  • 总细菌检测率: 大型航空公司总细菌阳性率为1.77%,低于区域性航空公司的4.52%。
  • 大肠杆菌超标: 有32次大肠杆菌超标事件。
  • 违规情况: 航空公司之间的违规次数差异显著。

建议:

研究建议乘客采取以下措施,以降低风险:

  • 切勿饮用机上未密封的任何水。
  • 避免饮用机上用自来水冲泡的咖啡或茶。
  • 避免在飞机卫生间洗手,使用含有至少60%酒精的免洗洗手液。

背景信息及重要意义:

商业航空运输每年为数百万乘客提供服务。虽然航空安全在机械可靠性和操作程序方面受到了广泛关注,但机上乘客和机组人员饮用水的质量和安全性仍然是一个重要的公共卫生问题。飞机饮用水系统面临独特的挑战,与地面水系统不同,包括水在不同机场装载、机上储罐温度和压力波动、以及复杂的管道网络。

后续研究方向:

研究团队建议未来关注以下问题:

  • 航空公司饮用水安全实践是否有所改善?
  • 哪些航空公司目前在饮用水安全方面表现最佳和最差?
  • 航空饮用水的污染风险有多大?
  • EPA的执法力度是否有所加强?

总结:

2026年航空公司饮用水研究报告为乘客提供了重要的信息,鼓励航空公司提高饮用水安全标准,并为公共卫生政策的制定提供了依据。该报告强调了持续监测和透明公开的重要性,以确保航空旅行的公共卫生安全。


补充说明:

  • 该报告的详细数据和方法请参考原文链接:[Airline Water Study 2019 Key Links,
12. Project ideas to appreciate the art of programming (codecrafters.io)

73 个项目创意,激发你的编程灵感 (73 Project Ideas to Inspire You)

这篇文章列出了 73 个编程项目创意,旨在帮助开发者找到适合自己学习和实践的项目。这些项目涵盖了广泛的技术领域,从网络编程到机器学习,再到游戏开发和系统设计。文章强调了这些项目不仅有趣,而且能带来深入的学习体验。

以下是其中一些项目的概要:

网络与系统编程:

  • BitTorrent 客户端: 构建一个 BitTorrent 客户端,学习 P2P 网络原理。
  • DNS 服务器: 构建一个 DNS 服务器,理解网络协议如 UDP 和 TCP。
  • Web 服务器: 从零开始构建一个支持 HTTP 请求和静态文件的 Web 服务器。
  • TCP/IP 协议栈: 实现一个最小的 TCP/IP 协议栈,深入理解网络编程。
  • 容器: 从零开始构建一个轻量级容器运行时,学习内核命名空间和进程隔离。
  • 负载均衡器: 构建一个负载均衡器,将请求分发到后端服务器。

算法与数据结构:

  • Wordle 求解器: 构建一个 Wordle 求解程序,学习信息论和优化算法。
  • 六度分隔理论 (Six Degrees of Kevin Bacon): 构建一个游戏,连接演员通过共同出演的作品,学习图论。
  • RAFT 协议: 实现 RAFT 协议,学习分布式系统中的共识算法。
  • SQL 优化器: 编写一个查询优化器,提升 SQL 查询性能。
  • **Bitmap 代码:**编写 BMP 图像格式的编码器/解码器,并构建一个微型查看器。

机器学习与人工智能:

  • Deepfake: 使用最优传输算法实现人脸融合,学习线性规划。
  • 音频指纹识别: 实现 Shazam 类似的音频指纹识别功能,学习哈希查找和信号处理。
  • 随机森林: 从零开始实现决策树和随机森林算法。

游戏开发:

  • 危险戴夫 (Dangerous Dave): 重新创建经典的 Dangerous Dave 游戏,学习游戏开发基础。
  • 象棋: 构建一个象棋游戏,包括人机对战和联网对战功能。

其他有趣的项目:

  • 电子表格: 构建一个支持单元格引用和公式的电子表格程序。
  • Google 机器人: 构建一个网络爬虫,学习 Web 搜索的工作原理。
  • 几何定理证明器: 构建一个系统,使用欧几里得公理推导几何证明,学习符号表示和逻辑引擎。
  • 量子计算机模拟器: 编写量子比特和量子门,模拟量子算法。
  • 分布式编辑: 构建一个去中心化的协作文本编辑器,使用 CRDT 技术。

学习资源:

文章还提供了许多指向相关文档、代码仓库和视频教程的链接,方便读者深入学习。

总结:

这篇文章提供了大量的项目创意,涵盖了各种技术领域,并提供了相关的学习资源,旨在帮助开发者找到合适的项目来提升技能和拓展知识。

13. Electrolysis can solve one of our biggest contamination problems (ethz.ch)

苏黎世联邦理工学院研究人员开发现场电解技术,修复污染场地并实现循环经济

苏黎世联邦理工学院(ETH Zurich)的研究人员开发了一种新的电解过程,可在现场将诸如DDT和林丹等环境毒素转化为有价值的化学品,从而实现污染场地修复并促进可持续的循环经济。

主要内容:

  • 持久性有机污染物(POPs)问题: 诸如林丹和DDT等杀虫剂曾被视为“奇迹武器”,但在20世纪被广泛使用后,造成了全球性的环境灾难。这些POPs化学性质稳定,在土壤、水和生物体内持续存在数十年,并通过食物链进入人体。
  • 创新电解技术: ETH Zurich的研究人员,由Bill Morandi教授领导,开发出一种创新的电解方法,不仅能分解这些持久性污染物,还能将其转化为有价值的工业原料。该方法的核心在于将污染物中的卤素元素转化为无害的无机盐(如氯化钠),同时保留碳骨架使其可重复利用。
  • 技术优势:
    • 成本效益高: 使用廉价设备和交流电(类似于家用电源),降低了成本,并有效保护电极免受磨损,可多次循环使用。
    • 避免副反应: 交流电抑制了不需要的副反应和有毒氯气生成,确保卤素原子被完全转化为无机盐。
    • 无需预处理: 该过程可直接应用于受污染的土壤、泥浆等混合物,无需预处理或分离步骤。
    • 现场应用: 研究人员已经成功测试了原型反应器,并认为其可以移动到现场使用,从而避免了运输危险物质的需要。
  • 过程原理: 电解在温和、环保且经济的条件下实现了污染物的近乎完全脱卤。该过程断裂了稳定的碳-卤素键,只留下无害的盐(如氯化钠)和有用的碳氢化合物(如苯、二苯基乙烷或环十二烷三烯)。 这些碳氢化合物是化学工业中重要的中间体,可用于生产塑料、油漆、涂料和医药等。
  • 循环经济: 该技术不仅有助于修复受污染场地,还能促进可持续的循环经济。
  • 溶剂选择: 反应器采用的是一个未分割的电解池,以二甲基亚砜(DMSO)作为溶剂,而DMSO本身是纸浆生产过程中的副产品。
  • 奖项提名: 该项目已被提名2025年苏黎世联邦理工学院“Spark Award”,该奖项旨在表彰年度最佳发明,并考虑其原创性、专利强度和市场潜力。 颁奖典礼将于2025年11月27日在苏黎世召开。

总而言之,这项技术代表了一种有前景的解决方案,可以有效地处理持久性有机污染物,同时将废物转化为有价值的资源,为环境修复和可持续发展做出贡献。

14. Humans May Be Able to Grow New Teeth Within Just 4 Years (www.popularmechanics.com)

日本研究人员启动牙齿再生药物的人体试验,预计2030年可广泛使用

核心内容:

日本研究人员正在进行一项突破性的牙齿再生药物的人体试验,有望解决全球数百万人口面临的牙齿缺失问题(edentulism)。该药物的研发基于对Uterine sensitization–associated gene-1 (USAG-1)抗体的研究,USAG-1 抑制了牙齿在包括人和其他哺乳动物(如鼬)的生长。

主要细节:

  • 牙齿与骨骼的区别: 与骨骼不同,牙齿缺乏自我修复和再生的能力。
  • 研发背景: 研究人员发现一种单克隆抗体,可以干扰USAG-1和骨形态发生蛋白(BMP)之间的作用,从而促进牙齿生长。2021年,京都大学的研究人员证实了抑制USAG-1可以促进牙齿生长。鼬的牙齿结构与人类相似,因此被用于早期研究。
  • 人体试验:
    • 试验于2024年9月启动。
    • 试验对象为30名年龄在30至64岁之间的男性,每人缺失至少一颗牙齿。
    • 药物将通过静脉注射给药,以评估其有效性和安全性。
    • 目前尚未报告任何副作用。
    • 计划未来向2至7岁、缺失至少四颗牙齿的儿童进行治疗。
  • 预期目标: 研究人员希望在2030年左右将牙齿再生药物广泛应用于牙齿缺失人群,包括先天性牙齿缺失和因各种原因导致牙齿缺失的患者。
  • 研究机构: 这项研究由大阪市立医院(Kitano Hospital)的田崎和夫(Katsu Takahashi)博士领导,京都大学也将参与后续的人体试验。

总结:

这项研究代表了牙齿再生领域的一项重大进展,有望为牙齿缺失患者提供一种永久性的解决方案。如果人体试验成功,预计在2030年左右,牙齿再生药物将能够广泛应用于临床,显著改善全球人民的口腔健康。

15. Zpdf: PDF text extraction in Zig – 5x faster than MuPDF (github.com)

zpdf 项目总结 (zpdf Project Summary)

zpdf 是一个使用 Zig 语言编写的 PDF 文本提取库,目前处于 Alpha 阶段。它旨在提供高效且灵活的 PDF 文本提取能力。

主要特性 (Key Features):

  • 高效文件处理 (Efficient File Handling): 使用内存映射文件读取大型 PDF 文件,提高效率。
  • 流式文本提取 (Streaming Text Extraction): 使用高效的内存分配 (arena allocation) 进行流式文本提取。
  • 多种解压缩支持 (Multiple Decompression Filters): 支持 FlateDecode、ASCII85、ASCIIHex、LZW 和 RunLength 等多种解压缩算法。
  • 字体编码支持 (Font Encoding Support): 支持 WinAnsi、MacRoman 以及 ToUnicode CMap 等字体编码。
  • XRef 表解析 (XRef Table Parsing): 支持 PDF 1.5 及以上版本的 XRef 表和流的解析。
  • 可配置错误处理 (Configurable Error Handling): 提供严格和宽松两种错误处理模式。
  • 多线程并行提取 (Multi-threaded Parallel Page Extraction): 支持多线程并行提取页面,提高性能。
  • 阅读顺序提取 (Reading Order Extraction): 提供实验性的阅读顺序提取功能。

性能基准 (Benchmark):

在 Apple M4 Pro 上进行的基准测试显示,zpdf 在文本提取速度上优于 pdfium 和 MuPDF,尤其是在处理大型文档时。例如,在 Intel SDM 文档上,zpdf 的提取时间为 227ms,而 pdfium 和 MuPDF 分别为 3,632ms 和 2,331ms。 峰值吞吐量达到 23,137 页/秒。

准确性 (Accuracy):

zpdf 在字符准确性方面表现良好,与 MuPDF 参考实现相比,字符准确率达到 99.3%-99.9%,字错误率 (WER) 为 1%-8%。

需求 (Requirements):

  • Zig 0.15.2 或更高版本。

构建 (Building):

  • zig build:构建库和 CLI 工具。
  • zig build test:运行测试。

使用 (Usage):

  • 库 (Library): 可以在 Zig 代码中使用 zpdf 库。
  • CLI: 提供命令行工具,用于提取文本、显示文档信息和运行基准测试。
    • zpdf extract document.pdf:提取所有页面的文本到标准输出。
    • zpdf extract -p 1-10 document.pdf:提取 1-10 页的文本。
    • zpdf extract -o out.txt document.pdf:将文本输出到文件。
    • zpdf info document.pdf:显示文档信息。
    • zpdf bench document.pdf:运行基准测试。
  • Python: 提供 Python 绑定,方便在 Python 环境中使用。

项目结构 (Project Structure):

项目结构包含核心 API、C ABI 导出、PDF 对象解析器、XRef 表解析器、页面树解析器、解压缩过滤器、字体编码解析器、内容流解释器、SIMD 字符串操作以及 CLI 入口点等模块。 还包含 Python 绑定和示例代码。

与其他库的比较 (Comparison):

特性 (Feature) zpdf pdfium MuPDF
文本提取 (Text Extraction)
流式顺序 (Stream order) 是 (Yes) 是 (Yes) 是 (Yes)
阅读顺序 (Reading order) 实验性 (Experimental) 否 (No) 是 (Yes)
词边界框 (Word bounding boxes) 是 (Yes) 是 (Yes) 是 (Yes)
字体支持 (Font Support)
WinAnsi/MacRoman 是 (Yes) 是 (Yes) 是 (Yes)
ToUnicode CMap 部分 (Partial) 是 (Yes) 是 (Yes)
CID 字体 (Type0) 部分 (Partial) 是 (Yes) 是 (Yes)
压缩 (Compression)
FlateDecode, LZW, ASCII85/Hex 是 (
16. Toro: Deploy Applications as Unikernels (github.com)

Toro 项目概要

Toro 是一款专用于将应用程序部署为微VM的 unikernel (专用于特定任务的内核)。它利用 virtio-fs 和 virtio-vsocket 技术,实现了极简化的架构。

主要特性:

  • 架构支持: x86-64 架构。
  • 内存支持: 最高支持 512GB RAM。
  • 虚拟机支持: 支持 QEMU-KVM 微VM 和 Firecracker。
  • 调度器: 采用协作式和 I/O 绑定的线程调度器。
  • 网络: 支持 virtio-vsocket 用于网络通信。
  • 文件系统: 支持 virtio-fs 用于文件系统。
  • 启动速度: 快速启动。
  • 镜像体积: 体积小巧。
  • 调试: 内置 gdbstub 调试器。

使用方法:

  • 尝试 Toro: 可以通过运行 HelloWorld 示例来尝试 Toro。使用 Docker 镜像包含所有必要的工具,执行以下命令:

    wget https://raw.githubusercontent.com/torokernel/torokernel/master/ci/Dockerfile
    sudo docker build -t torokernel-dev .
    sudo docker run --privileged --rm -it torokernel-dev
    cd examples/HelloWorld
    python3 ../CloudIt.py -a HelloWorld
    

    或者直接从 Docker Hub 拉取镜像:

    sudo docker pull torokernel/torokernel-dev:latest
    sudo docker run --privileged --rm -it torokernel/torokernel-dev:latest
    

    可以通过挂载主机目录到容器内的方式共享文件:

    sudo docker run --privileged --rm --mount type=bind,source="$(pwd)",target=/root/torokernel -it torokernel/torokernel-dev:latest
    
  • 本地构建: 执行 ci/Dockerfile 中的命令来安装所需的组件。编辑 torokernel/examples 目录下的 CloudIt.py 文件,设置正确的 Qemu 和 fpc 路径。 建议安装 vsock-socat 和 virtio-fs。

示例程序:

  • HelloWorld: 运行 examples/HelloWorld/ 目录下的 python3 ../CloudIt.py -a HelloWorld 命令。
  • StaticWebServer: 需要 virtiofsd 和 socat。编译 socat 后,设置 socat 路径并在 CloudIt.py 中执行 python3 ../CloudIt.py -a StaticWebServer -r -d /path-to-directory/ -f 4000:80。 访问 http://127.0.0.1:4000/index.html 即可测试。
  • InterCore Communication: 运行 python3 ../CloudIt.py -a InterCoreComm 命令,演示核心间通过 VirtIOBus 设备进行通信。

贡献:

欢迎加入 Google Group 或参考 GitHub Wiki 页面,了解更多贡献方式。

许可证:

GPLv3

参考资料:

项目引用了多篇关于 Toro 的演讲和论文,涵盖了从最初的介绍到性能优化、微服务部署和 MPI 应用等多个方面。

总而言之,Toro 是一个轻量级的 unikernel,旨在简化微服务的部署和管理,并通过 virtio-fs 和 virtio-vsocket 技术提供高效的网络和文件系统支持。

17. The rise of industrial software (chrisloy.dev)

软件产业化:一次革命与它的影响 (Software Industrialization: A Revolution and Its Impact)

这篇文章探讨了人工智能(AI)编码如何改变软件生产方式,使其更像制造业,而非传统的、依赖高技能人工的工匠式生产。

核心观点:

  • 软件产业化的影响: 软件生产的产业化将导致软件成为一种更便宜、更易获取的商品,类似于工业化带来的廉价纸质小说、超加工食品和用户生成的视频。这种转变将导致软件的“可抛弃化”(disposable software),即缺乏持久所有权、维护或长期理解的软件。
  • Jevons悖论与“垃圾软件”的泛滥: 借鉴Jevons悖论,文章指出,效率的提高可能导致对AI计算资源需求的激增,进而推动“垃圾软件”的过度生产和消费。历史经验表明,工业系统倾向于生产廉价、低质量的商品,以最大化产量和利润。
  • 传统软件的未来: 尽管“可抛弃软件”盛行,但“有机软件”——即注重可持续性、高质量和长期维护的软件——仍可能存在,类似于手工服装在快时尚世界中的地位。
  • 创新与产业化的协同: 软件的进步不仅依赖于产业化,也依赖于创新。创新是解决新问题、构建新能力的关键,而产业化则提供规模化和商品化的基础。大型语言模型(LLM)如同蒸汽机,是软件领域的一次重要技术突破,加速了创新和产业化的进程。
  • 未来的挑战: 软件产业化带来的挑战不在于生产,而在于管理。随着软件产量的爆发式增长,技术债务、依赖链、安全漏洞等问题将变得更加突出。如何维护那些无人拥有的软件,将成为一个重要的课题。

总结:

文章认为,软件生产正在经历一场工业革命,AI编码将加速软件的生产和消费。虽然“可抛弃软件”可能盛行,但高质量、可持续的软件仍然具有价值。未来,创新和产业化将协同发展,推动软件领域的进步,但同时,软件生态系统的管理和维护也将面临新的挑战。

18. Honey's Dieselgate: Detecting and tricking testers (vptdigital.com)

蜜蜂浏览器插件的严重问题:隐藏行为与违反规则

MegaLag 在 2024 年 12 月发布的一段视频(https://www.youtube.com/watch?v=vc4yL3YTwWk)向 1800 万观众揭示了蜜蜂(Honey)浏览器购物插件的严重问题:蜜蜂是否遵守联盟网络和商家的规则,以及蜜蜂是否收取应该归属于其他联盟的佣金。作者指出,蜜蜂的行为已经违反规则。

进一步调查显示,蜜蜂的违规行为比最初认为的更为严重。当蜜蜂认为用户是测试人员(例如,网络质量员工、商户联盟经理、联盟或爱好者)时,蜜蜂会完全遵守“暂停”规则(stand down)。但当蜜蜂确信用户是普通用户时,蜜蜂则会无视这些规则。通过分析蜜蜂浏览器插件的源代码、使用数据包嗅探器收集配置文件以及交叉验证实际应用行为,作者证实了这一结论。MegaLag 也进行了测试,并发布了更新的评估视频(https://www.youtube.com/watch?v=qCGT%5FCKGgFE)。

联盟营销规则

联盟营销的基本模式是:发布者提供链接给用户,用户点击、浏览并购买。如果用户完成购买,则佣金将支付给点击该链接的发布者。购物插件等客户端软件破坏了这种模式,因为它可以在用户计算机上安装软件,监控用户浏览行为,展示其联盟链接,并始终(看起来)是“最后”被点击的一方,即使它在购买决策中起着微不足道的作用。

为了恢复与“网络联盟”之间的基本协议,联盟网络和商家制定了规则,要求购物插件在某些网络联盟已经将用户推荐给特定商家时,“暂停”展示其链接。这反映了利益的平衡:网络联盟希望获得合理的机会来获得佣金。如果购物插件总是展示其优惠,它将索取网络联盟应得的佣金。

所有这些规则自几十年以来一直存在,并且已明确写入商家和网络之间的合同,具有法律约束力。

蜜蜂检测测试人员的方法

蜜蜂通过以下四项标准来判断用户是否可能为测试人员:

  • 新账户: 如果账户少于 30 天,蜜蜂会认为用户可能是测试人员,并禁用其违规行为。
  • 低收益: 如果账户累积的蜜蜂积分少于 65,000 积分(1,000 积分可兑换 10 美元礼品卡),蜜蜂会认为用户可能是测试人员,并禁用其违规行为。
  • 服务器端黑名单: 蜜蜂会定期检查服务器端黑名单。如果用户之前曾投诉过蜜蜂,蜜蜂会将该用户的 ID、Cookie 和 IP 地址列入黑名单。
  • 联盟行业 Cookie: 蜜蜂会检查用户是否拥有表明已登录 CJ、Rakuten Advertising 和 Awin 等联盟行业工具的 Cookie。

如果上述任何一项因素表明用户风险较高,蜜蜂会遵守“暂停”规则。否则,蜜蜂会无视“暂停”规则,并展示其联盟链接,无论网络规则如何。

蜜蜂的掩盖行为

蜜蜂的行为类似于大众汽车的“柴油门”事件,通过在测试时表现良好,但在实际使用中违规,来掩盖其行为。蜜蜂选择性地遵守规则,这表明蜜蜂知道规则要求,并且如果被抓住会面临麻烦。

手动测试与技术分析

作者通过手动测试(例如,通过欺骗 Honey 插件使其认为用户拥有数千点积分)和技术分析(分析配置文件、遥测数据和源代码)证实了蜜蜂隐藏测试人员的行为。

结论

作者总结认为,蜜蜂的行为不仅违反了联盟营销规则,还试图通过隐藏其行为来欺骗测试人员。这种行为对联盟、商家和网络来说都是不可接受的,并且可能导致法律诉讼。作者呼吁这些利益相关者采取行动,并认为 Google 和 Apple 应该对蜜蜂采取严厉的惩罚。

19. Readings in Database Systems (5th Edition) (2015) (www.redbook.io)

《数据库系统读本》第五版概要

《数据库系统读本》(简称“红皮书”)自1988年以来,一直以其独特的视角呈现数据管理领域的经典和前沿研究。现在,第五版正式发布,这是十余年来首次更新。

内容概述:

红皮书第五版包含了以下十三章,涵盖了数据库领域的重要主题:

  1. 前言 (Preface)
  2. 背景 (Background) - 由 Michael Stonebraker 介绍
  3. 传统关系数据库管理系统 (Traditional RDBMS Systems) - 由 Michael Stonebraker 介绍
  4. 每个人都应该知道的技术 (Techniques Everyone Should Know) - 由 Peter Bailis 介绍
  5. 新的数据库管理系统架构 (New DBMS Architectures) - 由 Michael Stonebraker 介绍
  6. 大规模数据流引擎 (Large-Scale Dataflow Engines) - 由 Peter Bailis 介绍
  7. 弱隔离与分布 (Weak Isolation and Distribution) - 由 Peter Bailis 介绍
  8. 查询优化 (Query Optimization) - 由 Joe Hellerstein 介绍
  9. 交互式分析 (Interactive Analytics) - 由 Joe Hellerstein 介绍
  10. 语言 (Languages) - 由 Joe Hellerstein 介绍
  11. 网络数据 (Web Data) - 由 Peter Bailis 介绍
  12. 对移动目标的一种偏颇看法:复杂分析 (A Biased Take on a Moving Target: Complex Analytics) - 由 Michael Stonebraker 介绍
  13. 对移动目标的一种偏颇看法:数据集成 (A Biased Take on a Moving Target: Data Integration) - 由 Michael Stonebraker 介绍

获取方式:

版权信息:

本作品采用 Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License 许可。

反馈:

欢迎通过 [email protected] 或 @pbailis 提供反馈。

20. Show HN: Use Claude Code to Query 600 GB Indexes over Hacker News, ArXiv, etc. (exopriors.com)

ExoPriors Alignment Scry: 概述 (Overview)

本文档介绍了 ExoPriors Alignment Scry,一个允许用户通过 SQL 和向量代数查询大型文档索引的实验性平台,该索引包含与人工智能爆炸相关的研究资料。该平台旨在提供前所未有的、细致入微的查询能力。

主要特点与功能:

  • 数据来源: 索引涵盖来自 arXiv、Hacker News、LessWrong、community-archive.org 等多个来源的 6000 万份文档,包含 2200 万个嵌入向量。
  • 查询能力:
    • SQL 查询: 用户可以使用 SQL 查询 6000 万份文档。
    • 向量搜索: 支持存储命名嵌入,进行语义搜索。
    • 混合搜索: 结合了词汇搜索 (BM25) 和语义搜索。
  • API 密钥: 提供公共只读 API 密钥 (exopriors_public_readonly_v1_2025),无需注册即可使用。
  • Claude 集成: 专门为与 Claude (特别是 Opus 4.5 或更高版本) 集成设计,允许用户通过 Claude prompt 进行交互。建议使用 claude --dangerously-skip-permissions 以获得最佳体验,但需自行承担风险。
  • 安全措施: 包含执行保护措施,例如显示查询摘要、请求确认(如果查询可能很重)、以及提醒用户随时取消或修改查询。

使用方法:

  1. Claude Web (推荐): 将提供的 prompt 复制到 Claude Web 应用中,并允许 API 访问。
  2. SQL 查询示例: 使用 curl 命令执行 SQL 查询,例如:
    curl -X POST https://api.exopriors.com/v1/alignment/query \
      -H "Authorization: Bearer exopriors_public_readonly_v1_2025" \
      -H "Content-Type: application/json" \
      -d '{{"sql": "SELECT * FROM alignment.search('\''mesa optimization'\'') LIMIT 10"}}'
    
  3. Schema Discovery: 使用 curl 命令获取 schema 信息:
    curl -X GET https://api.exopriors.com/v1/alignment/schema \
      -H "Authorization: Bearer exopriors_public_readonly_v1_2025"
    
  4. 存储嵌入: 使用 curl 命令存储嵌入向量。
    curl -X POST https://api.exopriors.com/v1/alignment/embed \
      -H "Authorization: Bearer exopriors_public_readonly_v1_2025" \
      -H "Content-Type: application/json" \
      -d '{{"text": "concept description", "name": "p_8f3a1c2d_shared_concept"}}'
    

性能提示:

  • 尽量保持 CTE 规模小,限制候选集大小,再进行连接。
  • 使用 kinds => ARRAY[...] 参数代替 WHERE kind IN (...) 以优化性能。
  • 对于需要完整结果的任务,使用 alignment.search_exhaustive() + 分页。
  • 在公共 API 环境下,如果查询超时,应减少样本大小,使用更少的嵌入,或预先过滤。

升级:

用户可以通过访问 exopriors.com/scry 注册,以获得私有命名空间、更长的查询超时以及 150 万个嵌入 token 的配额。

21. Professional software developers don't vibe, they control (arxiv.org)

AI 代理在专业软件开发中的应用:经验开发者视角总结

本文研究了经验丰富的开发者如何使用 AI 代理进行软件开发,调查了他们的动机、策略、任务适用性以及感受。研究通过现场观察 (N=13) 和定性调查 (N=99) 进行,旨在了解 AI 代理在专业软件开发中的实际作用。

主要发现:

  • 生产力提升,但保留控制权: 经验丰富的开发者认为 AI 代理可以提高生产力,但他们仍然坚持对软件质量属性的控制,并采取策略来管理代理的行为,利用自身的专业知识来确保软件质量。
  • 积极态度: 总体而言,开发者对将 AI 代理融入软件开发持积极态度,因为他们对弥补代理局限性的能力充满信心。
  • 最佳实践的重要性: 研究结果强调了软件开发最佳实践在有效利用 AI 代理中的重要性。
  • 任务适用性: 研究提示了适合 AI 代理执行的任务类型(具体内容未详细说明,但暗示了特定类型的任务更适合)。
  • 未来方向: 研究指出,未来需要更好的代理界面和代理使用指南,以提升 AI 代理的可用性和有效性。

研究方法:

  • 现场观察: 对 13 位经验丰富的开发者进行现场观察。
  • 定性调查: 向 99 位经验丰富的开发者发放定性调查问卷。

关键词: 软件工程 (cs.SE),人工智能 (cs.AI),人机交互 (cs.HC)。

论文引用: arXiv:2512.14012 [cs.SE] 或者 arXiv:2512.14012v1 [cs.SE] (适用于当前版本)。 DOI: https://doi.org/10.48550/arXiv.2512.14012 (arXiv 发布的 DOI,DataCite 注册中)。

22. Now That He Has No Power, Mitt Romney Says "Tax the Rich" (jacobin.com)

总结:有权势的人为何总在失去权力后才“醒悟”?

这篇文章探讨了有权势的人经常在失去权力后才公开承认过去的错误或转变立场这一现象。作者列举了多起案例,包括伊拉克战争的支持者、奥巴马对全民医保的态度转变、民主党人对特朗普的应对策略、林肯项目的创始人、以及最近的罗姆尼呼吁对富人征税的事件。

主要观点:

  • 滞后的转变: 权势人物通常在失去权力后才改变立场,这使得他们的转变显得姗姗来迟,甚至有些虚伪,缺乏勇气和原则。
  • 遗产清洗: 这种转变往往被视为一种“遗产清洗”的公关策略,而非真正的政策改变。社会反而倾向于赞扬这些晚期转变,这会削弱人们对那些在有权时坚持正确立场的人的认可。
  • 缺乏威慑: 这种现象降低了人们在掌权时做恶事的阻碍,因为他们知道即使行为不当,也可以在失去权力后通过公开承认错误来修复个人声誉。
  • 真正的遗产: 真正的遗产并非来自事后声明,而是来自在拥有权力、面临真正利益攸关时所做的行动。作者以麦克凯恩的竞选资金改革为例,强调了他因在丑闻后坚持改革并推动立法而获得的声誉。
  • 罗姆尼的案例: 罗姆尼在担任总统候选人和参议员期间,积极推动减税政策,并对底层收入者进行刻板印象描述,而现在才呼吁对富人征税,这反映了他对维护现有税收体系的贡献。
  • 呼吁勇气: 作者质疑权势人物在拥有权力时为何不采取正确立场,认为他们往往为了巩固其他精英的权力而牺牲了原则。

总结:

文章批评了权势人物在失去权力后才转变立场的做法,认为这是一种“遗产清洗”的策略,并呼吁权势人物在拥有权力时展现真正的勇气和原则,为社会做出积极贡献。 真正的历史遗产,来自于他们在关键时刻所做的行动,而非事后声明。

23. Escaping containment: A security analysis of FreeBSD jails [video] (media.ccc.de)

39c3演讲总结:FreeBSD Jails 安全分析 - 逃逸容器

演讲者: Ilja & Michael Smith

主题: FreeBSD Jails 的安全分析,以及如何逃逸受限环境。

核心内容:

本次演讲探讨了 FreeBSD Jails 机制在实际应用中的安全强度问题。FreeBSD Jails 是一种历史悠久且成熟的操作系统级隔离机制,广泛应用于托管环境、容器框架和安全沙箱。然而,随着内核功能的不断发展,复杂性也为攻击者提供了机会。

演讲者们通过对 FreeBSD 内核代码的全面审计,研究了攻击者在 jail 内获得 root 权限后,如何突破 jail 的限制。他们系统性地检查了 jailed 进程可访问的特权操作、能力和接口,寻找内存安全问题、竞争条件和逻辑缺陷。

主要发现:

  • 审计结果发现约 50 个不同类型的问题,分布在多个内核子系统中。
  • 这些问题包括缓冲区溢出、信息泄露、无边界分配和引用计数错误等。
  • 这些漏洞可能导致系统崩溃或为特权提升提供途径,从而突破 jail 的限制。

演示与行动:

  • 演讲者们开发了概念验证利用工具,演示了部分漏洞的实际逃逸过程。
  • 他们已负责任地向 FreeBSD 安全团队披露了这些发现,并正在合作修复漏洞。
  • 演讲的目的是强调在大型成熟代码库中保持严格隔离的系统性困难。

演讲内容涵盖:

  • 研究方法和工具
  • 实际 jail 逃逸的演示
  • 对内核隔离边界的观察
  • 其他操作系统容器系统的经验教训
  • 对加强 FreeBSD Jails 子系统以抵御未来威胁的行动呼吁

其他信息:

  • 演讲内容已翻译成多种语言,下载文件包含所有语言的音频轨道。
  • 演讲已根据 Creative Commons Attribution 4.0 许可协议发布。

关键词: FreeBSD, Jails, 安全, 隔离, 逃逸, 内核, 漏洞, 容器。