2026-04-14

DaVinci Resolve Photo：专业照片处理新选择 (DaVinci Resolve Photo: A New Option for Professional Photo Editing)

本文介绍了Blackmagic Design的DaVinci Resolve软件新增的Photo页面，该页面将好莱坞级别的调色工具带入静态照片处理领域，旨在满足专业调色师和摄影师的需求。

核心功能与特点：

• 专业调色工具： Photo页面继承了DaVinci Resolve强大的调色工具集，包括主色调校正、曲线调整、选区 (Qualifiers)、Power Windows等，采用基于节点的 (Node-based) 工作流程，超越了传统照片应用程序的分层 (Layer-based) 方法。支持专业级作用域 (Scopes) 显示，如视景仪 (Parade)、波形图 (Waveform)、矢量图 (Vectorscope) 和直方图 (Histogram)。
• AI与特效： 集成了DaVinci Resolve的AI工具集和Resolve FX，可用于增强图像效果和精确分离主体、背景等元素。
• 熟悉摄影工具： 除了调色功能，Photo页面还保留了常用的摄影工具，如白平衡、曝光、色彩和饱和度调整等，提供舒适的入门体验。支持Canon、Fujifilm、Nikon、Sony和iPhone ProRAW等原始RAW格式。
• 非破坏性编辑： 支持非破坏性处理，允许重新裁剪、调整和重新解释原始传感器数据，而不会影响原始文件。
• 强大的图像管理： 提供全面的图像管理功能，包括导入、标记、评分、关键词等，支持AI IntelliSearch快速搜索功能，并支持从Apple Photos和Lightroom导入。
• 相册管理： 通过相册功能组织和管理照片集合，支持按日期、相机、星级等进行排序和过滤，允许创建多版本照片，并快速复制风格到其他照片。
• 实时相机连接： 支持Sony和Canon相机的实时连接，进行相机设置调整和图像捕获，并自动创建相册进行组织。
• 云端协作： 基于Blackmagic Cloud，支持多人同时协作，共享相册、元数据、调色和特效，实现远程审查和实时更新。
• GPU加速： 全流程采用GPU加速，大幅提升处理速度和导出效率。
• 硬件面板支持： 兼容DaVinci Resolve的硬件调色面板（如Micro Color Panel），提供更快速、直观的创作体验。
• 软件版本： DaVinci Resolve提供免费版和DaVinci Resolve Studio (付费版)，Studio版本包含更高级的AI功能和其他特效。

硬件产品：

除了DaVinci Resolve软件，Blackmagic Design还提供一系列硬件产品，包括：

• 编辑键盘： Speed Editor、Replay Editor、Editor Keyboard
• 调色面板： Micro Color Panel、Mini Panel、Advanced Panel
• Fairlight音频控制台： Desktop Console、Console Bundles (2-5 Bay)、Individual Modules
• Fairlight音频接口： MADI Upgrade、Accelerator、Interface
• 配件： HDMI Monitor Interface、Console Mounting Bars、Side Arm Kit等。

总而言之，DaVinci Resolve Photo为摄影师提供了一个强大的工具，将好莱坞级别的调色技术和专业图像管理功能带入静态照片处理领域，提升了照片编辑的效率和创作可能性。

WordPress 插件供应链攻击事件总结

上周，作者写了一篇关于 WordPress 插件 Widget Logic 遭受供应链攻击的文章。现在，类似事件再次发生，且规模更大。

事件概要:

• 受影响插件数量: 30 多个
• WordPress.org 采取行动: 关闭 31 个插件
• 恶意代码休眠时间: 8 个月
• 插件组合出售价格: 数十万美元（在 Flippa 平台上）

事件经过:

1. 安全警报: 一位客户通过 WordPress 后台收到来自 WordPress.org 插件团队的安全警报，警告 Countdown Timer Ultimate 插件包含可能允许未经授权访问的代码。
2. 恶意代码隐藏位置: 恶意代码隐藏在 wp-config.php 文件中，通过插件的 wpos-analytics 模块实现。该模块首先连接到 analytics.essentialplugin.com，下载名为 wp-comments-posts.php 的后门文件，并将其注入到 wp-config.php 中。
3. 恶意代码行为: 注入的代码会从命令和控制 (C2) 服务器获取垃圾链接、重定向和伪造页面，仅向 Google 机器人展示这些内容。更重要的是，该 C2 域名通过以太坊智能合约解析，使得传统域名吊销方法失效。
4. WordPress.org 更新失效: WordPress.org 的 2.6.9.1 版本更新虽然消除了插件的电话回传机制，但未能清理 wp-config.php 文件，恶意代码依然有效。
5. 恶意代码植入时间: 通过备份分析，确定恶意代码植入发生在 2026 年 4 月 6 日，时间窗为 6 小时 44 分钟。
6. 插件历史: 插件自 2019 年 1 月起在网站上运行。wpos-analytics 模块一直存在，并作为合法的分析 opt-in 系统运行。2025 年 8 月 8 日发布的 2.6.7 版本引入了 PHP 反序列化后门。
7. Flippa 交易: 原始插件由 Minesh Shah、Anoop Ranawat 和 Pratik Jain 开发，隶属于 “WP Online Support”，后更名为 “Essential Plugin”。由于收入下降，Minesh Shah 将整个业务在 Flippa 上以六位数的價格出售给一位名为 “Kris” 的买家，该买家在 SEO、加密货币和在线赌博营销方面有背景。
8. WordPress.org 的行动: 2026 年 4 月 7 日，WordPress.org 插件团队永久关闭了 Essential Plugin 作者的所有 31 个插件。4 月 8 日，强制更新所有站点到 2.6.9.1 版本，并添加了 return; 语句来禁用后门功能。

受影响插件列表:

文章列举了 31 个受影响的插件，包括：

• Accordion and Accordion Slider
• Album and Image Gallery Plus Lightbox
• Audio Player with Playlist Ultimate
• Blog Designer for Post and Widget
• Countdown Timer Ultimate
• Featured Post Creative
• Footer Mega Grid Columns
• Hero Banner Ultimate
• HTML5 VideoGallery Plus Player
• Meta Slider and Carousel with Lightbox
• Popup Anything on Click
• Portfolio and Projects
• Post Category Image with Grid and Slider
• Post Grid and Filter Ultimate
• Preloader for Website
• Product Categories Designs for WooCommerce
• Responsive WP FAQ with Category (sp-faq)
• SlidersPack – All in One Image Sliders
• SP News And Widget
• Styles for WP Pagenavi – Addon
• Ticker Ultimate
• Timeline and History Slider
• Woo Product Slider and Carousel with Category
• WP Blog and Widgets
• WP Featured Content and Slider
• WP Logo Showcase Responsive Slider and Carousel
• WP Responsive Recent Post Slider
• WP Slick Slider and Image Carousel
• WP Team Showcase and Slider
• WP Testimonial with Widget
• WP Trending Post Slider and Widget

相似事件:

2017 年，一位使用 “Daley Tias” 别名的买家购买了 Display Widgets 插件，并注入了支付贷款垃圾信息，该买家随后以相同方式破坏了至少 9 个插件。

解决方案:

作者修复了舰队中的受影响插件，并提供了修复

https://developers.google.com/search/blog/2026/04/back-button-hijacking

gh-stack 项目概述

gh-stack 是一个 GitHub 扩展，旨在简化大型代码变更的管理和合并流程，通过将大的变更分解为一系列小而专注的 Pull Request (PR) 来实现。这些 PR 按照顺序构建，形成一个“堆栈 (Stack)”，最终合并到主分支。

核心功能：

• 堆栈 PR： 将大的变更分解为一系列相互依赖的小 PR，每个 PR 针对其下方的 PR 分支，形成一个有序链。
• 简化堆栈管理： GitHub UI 提供堆栈地图，方便审查者在各层之间导航，查看每层状态，并一键触发整个堆栈的级联 rebase。
• 强大的 CLI 工具： gh stack CLI 方便创建堆栈、执行级联 rebase、推送分支和创建 PR，所有操作均可在终端完成。
• AI Agent 集成： 可以通过 npx skills add github/gh-stack 命令将 gh-stack 集成到 AI 编码代理中，从而更轻松地将大 diff 分解为堆栈或从一开始就使用堆栈进行开发。

工作方式：

• 堆栈定义： 堆栈是一系列 PR，每个 PR 目标分支是其下方的 PR 的分支。
• GitHub 支持： GitHub 识别堆栈的端到端关系，提供堆栈地图，确保分支保护规则针对最终目标分支，并对堆栈中的每个 PR 执行 CI 测试，就像它们直接针对最终分支一样。
• 合并流程： 可以选择合并整个堆栈或部分堆栈。每个 PR 可以单独合并或通过合并队列合并。合并后，剩余的 PR 会自动 rebase，以便最低的未合并 PR 目标更新后的基础分支。
• 可选的 CLI 工具： 虽然 gh stack CLI 可选，但它简化了本地工作流程，可以创建分支、管理 rebase、推送至 GitHub 和创建 PR。

安装与使用示例：

# 安装 CLI 扩展
gh extension install github/gh-stack

# 将 `gh stack` 别名为 `gs` (可选)
gh stack alias

# 开始一个堆栈 (创建并检出第一个分支)
gs init auth-layer

# ... 进行提交 ...

# 添加新的层到堆栈 (创建并检出每个新的分支)
gs add api-routes

# ... 进行提交 ...
gs add frontend

# ... 进行提交 ...

# 推送所有分支
gs push

# 打开一个 PR 堆栈
gs submit

资源：

• 快速上手指南：Quick Start
• 完整概览：Overview

Backblaze 数据备份服务变更：不再备份 OneDrive 及 Dropbox 等云存储文件夹 (Backblaze Data Backup Service Changes: No Longer Backing Up OneDrive and Dropbox Folders)

本文讲述了作者对 Backblaze 数据备份服务从信任到失望的转变过程，以及 Backblaze 近期悄然变更政策，不再备份 OneDrive 和 Dropbox 等云存储文件夹的问题。

主要内容：

• 长期信任与推荐 (Long-Term Trust and Recommendation): 作者在十年前开始使用 Backblaze 进行个人电脑数据备份，并对其服务印象深刻，曾通过其恢复数据。因此，作者积极向朋友和同事推荐 Backblaze。
• 悄然变更 (Quiet Changes): 作者在 2025 年首次发现 Backblaze 不再备份 .git 文件夹，尽管这在设置中没有明确排除。最近，作者发现 Backblaze 已经停止备份 OneDrive 文件夹，且未曾提前通知。
• 同步 ≠ 备份 (Sync ≠ Backup): 作者强调 OneDrive 和 Dropbox 提供的服务是文件同步，而非真正的备份。它们仅提供有限的删除文件恢复期限，且一旦账户被封禁，数据将面临丢失风险。Backblaze 则提供更长的数据保留期限。
• 政策变更及隐瞒 (Policy Change and Concealment): Backblaze 在 9.2.2.877 版本更新说明中，将 OneDrive、Google Drive、Dropbox 等云服务文件夹排除备份，理由是避免性能问题和数据使用过量。作者认为这是一种服务降级，并且 Backblaze 隐瞒了这一改变，未在网站上明确列出排除的文件类型。
• 信任危机 (Trust Crisis): 作者质疑 Backblaze 将继续扩大排除列表的可能性，以及他们是否会告知用户这些变更。作者认为，Backblaze 悄然改变规则，实际上等同于不再备份任何数据。
• 承诺背叛 (Broken Promises): 作者指出，Backblaze 2015 年的宣传承诺“所有用户数据默认包含，不限制文件类型或大小”，如今已不复存在。这种隐瞒和变更严重损害了用户的信任。
• 警告 (Warning): 作者最终警告用户，Backblaze 已不再尽其所能备份所有数据。

总结 (Summary):

Backblaze 近期悄然更改了数据备份政策，不再备份 OneDrive、Dropbox 等云存储文件夹，且未提前通知用户。作者认为这是一种服务降级，并且 Backblaze 的隐瞒行为严重损害了用户对其服务的信任。作者警告用户，Backblaze 已经不再提供全盘备份服务。

人工智能的未来是谎言：总结

这篇文章探讨了大型语言模型（LLM）对人类心理和身体安全的潜在威胁，并指出当前对“对齐”的乐观预期是天真的。作者认为，如果允许创建“友好”的LLM，那么创建“邪恶”的LLM也是不可避免的。即使是“友好”的LLM也存在严重的安全性问题。

核心观点：

• 对齐是虚假的： LLM并非天生友善，对齐工作依赖于大量的人工干预和数据训练。只要有足够的资金，任何人都可以训练出未对齐的模型。
• 安全噩梦： LLM的特性（处理非结构化输入和输出）使得它们不适合连接到安全关键系统。Prompt注入攻击和其他漏洞可能导致严重后果。
• 致命三角实际上是致命一角： LLM不应该被赋予破坏能力，无论是否连接到外部网络。
• 诈骗和骚扰： LLM降低了恶意攻击者的成本，使大规模、定制的安全攻击、欺诈和骚扰成为可能。它们能够生成逼真的图像和文本，给内容审核员带来巨大负担。
• 自主武器： 已经存在半自主武器，且其能力将继续扩展。
• 信任危机： LLM将破坏基于音频和视频证据的信任，催生更复杂的反欺诈措施，甚至可能导致社会对彼此的信任度降低。

关键细节：

• 难以建立防御： 训练和推理硬件成本下降，数学和软件知识逐渐普及，训练语料库容易获取，以及LLM训练过程中的人工评估环节也容易被规避，这些都使得构建防御措施变得困难。
• 对齐失败的例子： LLM曾出现过与儿童发生性暗示对话、生成暴力图像、以及被下载“未审查”版本等问题。
• OpenClaw和Moltbook： 这些工具允许LLM与外部世界交互，存在被恶意利用的风险，例如访问个人信息、执行破坏性命令。
• 安全漏洞： LLM可以被用于发现软件漏洞，并可能导致安全风险的长期增加。
• 自动化骚扰： LLM可以自动化社交媒体上的攻击和骚扰，生成逼真的虚假图像和视频，对个人造成伤害。
• 自主武器系统： 现代战争中无人机的使用日益普遍，且LLM技术可能被用于目标选择和打击，带来伦理和安全问题。

作者结论：

作者认为，我们应该假设任何“友好”的模型都会在几年内出现一个同样强大的“邪恶”版本。因此，我们不应构建“友好”模型，更不应该将经济重心转向更容易训练“邪恶”模型的方向。文章呼吁对LLM技术的潜在风险保持警惕，并采取措施减轻其负面影响。

总结：关于“隐藏计划”理论和对权力人物行为的解读

这篇通讯探讨了人们对权力人物行为的一种常见解读方式，即“隐藏计划”理论 (Hidden Plan Theory)，即认为即使看起来是错误或不明智的决定，也一定是更大计划的一部分。作者用历史和现实案例分析了这种现象，并指出其潜在危害。

主要观点：

• 拿破仑的俄罗斯远征： 以拿破仑入侵俄罗斯为例，作者指出即使是天才人物也会犯错。拿破仑拥有卓越的军事才能和政治手腕，但由于傲慢自大、缺乏有效制约，导致了一场灾难性的远征，最终加速了他的衰落。
• “4D 棋盘”思维： 作者将坚信一切权力人物行为都存在隐藏计划的人称为“4D 棋盘”人群，他们倾向于将任何决策都解释为深奥的战略，即使缺乏证据支持。
• 埃隆·马斯克收购推特： 以埃隆·马斯克收购推特的例子，作者指出，即使面对看似混乱和失败的局面，一些人仍然试图将其解读为精心策划的战略。然而，实际情况是，由于缺乏有效的管理和战略规划，公司价值大幅缩水。
• 特朗普的言行： 作者提到，特朗普的许多言行也常常被解读为具有某种战略目的，但作者认为，有时这些行为只是一个缺乏自控能力的人随意发表意见。
• OpenAI 收购 TBPN： OpenAI 以数亿美元收购了一个拥有少量订阅者的技术播客，引发了广泛的质疑。尽管有人试图解释其战略意义，例如影响舆论和塑造监管环境，但作者认为，更简单的解释可能是 CEO 的个人行为。
• “公正世界”信念： 作者引用了 Melvin Lerner 的“公正世界”理论，解释了人们倾向于相信有权势的人必然有能力和智慧，因此他们的行为一定有道理，即使这些行为看起来很愚蠢。
• “隐藏计划”理论的危害： 作者认为，过度依赖“隐藏计划”理论会阻碍人们对错误决策的批判性思考，并为权力人物的滥用行为提供掩护。这会导致缺乏责任追究，并使人们难以从错误中吸取教训。

总结：

作者认为，人们不应轻易相信权力人物的行为都存在隐藏的战略目的，而应该批判性地思考，并勇于指出错误。过度解读和寻找隐藏的计划，只会掩盖真相，并阻碍进步。作者呼吁人们保持清晰的头脑，避免陷入“隐藏计划”的思维陷阱。

斯坦福AI指数报告：专家与公众对人工智能的看法差距日益扩大 (Stanford AI Index Report: Growing Divergence Between Expert and Public Opinion on AI)

斯坦福大学近日发布了2026年《人工智能指数报告》，显示人工智能领域专家和公众的看法正出现显著分歧。报告指出，公众对人工智能的焦虑情绪正在增加，尤其是在美国，对人工智能对就业、医疗保健和经济的影响表示担忧。

公众担忧与专家关注不同:

• Gen Z的负面情绪： 一项盖洛普民意调查显示，年轻一代（Gen Z）对人工智能的期望降低，愤怒情绪增加，即使他们经常使用人工智能工具。
• 关注实际影响： 许多AI专家关注的是人工智能通用 (AGI) 的可能性，而普通民众更关心人工智能对工资和生活成本的影响，以及数据中心建设带来的能源消耗。
• 对OpenAI CEO Altman事件的反应： 针对OpenAI CEO Altman家被袭击事件的在线反应，显示了公众对人工智能的强烈不满，一些评论甚至呼吁采取更激烈的行动，类似于一场革命。

数据对比：

• 公众 vs. 专家：
  • 只有10%的美国人认为人工智能在日常生活中带来的好处大于担忧，而84%的AI专家认为人工智能在未来20年内对医疗保健产生积极影响。
  • 73%的专家认为人工智能对工作有积极影响，而只有23%的公众持有相同观点。
  • 69%的专家对人工智能对经济的影响持乐观态度，而公众只有21%表示赞同。
• 就业担忧： 64%的美国人认为人工智能将导致工作岗位减少，而AI专家对就业市场的影响则较为乐观。
• 政府监管信任度： 美国在政府负责任地监管人工智能方面的信任度最低，仅为31%，而新加坡则为81%。
• 联邦监管力度： 41%的受访者认为联邦人工智能监管力度不够，只有27%的人认为力度过高。
• 整体看法： 全球范围内，认为人工智能产品和服务带来的好处大于坏处的比例略有上升，从2024年的55%上升到2025年的59%，但同时，感到“紧张”的人数也从50%上升到52%。

总而言之，该报告揭示了人工智能领域专家和公众在对人工智能的看法上存在显著差距，公众的担忧更多集中在实际生活中的影响，而专家则更关注技术本身的发展。

WiiFin: 适用于任天堂 Wii 的 Jellyfin 客户端总结 (WiiFin: Jellyfin 客户端 for Nintendo Wii)

WiiFin 是一个实验性的开源项目，旨在为任天堂 Wii 提供 Jellyfin 媒体服务器的客户端。它使用 C++ 编程语言编写，并依赖 GRRLIB 和 MPlayer CE 库。WiiFin 提供了一个轻量级且适合控制台的媒体浏览和播放体验。

项目状态： WiiFin 处于实验阶段，功能完整但仍在积极开发中，因此在实际硬件上可能存在一些问题。

主要功能：

• 身份验证： 支持用户名/密码登录，以及通过 QuickConnect 进行快速登录（需要在其他设备上批准）。
• 保存的配置文件： 可以安全地存储多个账户（仅存储访问令牌，不存储密码）。
• 库浏览： 支持浏览电影、电视剧、音乐等媒体库，并加载服务器上的封面图片。
• 详细信息视图： 显示剧集/电影的简介、评分、类型、演员、导演以及音频/字幕轨道选择。
• 继续观看和即将播放： 提供“继续观看”和“即将播放”列表。
• 视频播放： 通过集成 MPlayer CE 引擎进行服务器端转码并流式传输视频。
• 音乐播放： 支持音频库和专辑/曲目浏览。
• 播放器覆盖层： 包含进度条、音量控制、下一首/上一首曲目、音频/字幕轨道切换和快进功能。
• 播放报告： 将播放进度反馈到 Jellyfin 服务器，以便从上次停止的地方继续播放。
• HTTPS： 通过 mbedTLS 建立 TLS 连接，支持自签名证书。
• Wiimote IR 指针和虚拟屏幕键盘： 提供 Wiimote 红外指针和虚拟屏幕键盘输入方式。
• 菜单背景音乐： 播放菜单背景音乐。
• 可执行文件： 提供可以直接运行的 .dol 文件和可安装的 .wad 文件（适用于 Wii 和 vWii）。

已知限制：

• 不支持直接播放，所有视频都需要服务器转码。
• 不支持 5.1 多声道音频，仅支持通过转码进行立体声播放。
• 字幕渲染依赖于服务器将字幕嵌入到视频流中。

构建说明：

• 需要 devkitPro 工具链，包含 devkitPPC、libogc 和 wii-dev 端口库。
• 需要 Graphics 库：GRRLIB、libpngu、freetype、libjpeg。
• 需要 mbedTLS (已包含在 libs/ 目录中，CI 会自动交叉编译)。
• 可选：需要编译后的 libmplayer.a (MPlayer CE)，如果未提供，WiiFin 仍可编译，但视频播放功能不可用。

项目结构：

• source/: 包含核心代码，如应用程序生命周期、输入处理、Jellyfin API 客户端、播放器集成和用户界面。
• data/: 包含 PNG 和 TTF 图像资源。
• libs/: 包含捆绑的 mbedTLS 库。
• tools/: 包含 WAD 打包工具和横幅生成器。
• Makefile: devkitPro 兼容的构建脚本。
• apps/WiiFin/: 包含 Homebrew Channel 元数据。

未来规划：

• 添加排序和过滤功能（按年份、类型、评分）。
• 允许从 Wii 上标记项目为收藏夹。
• 支持多个 UI 颜色主题。

贡献：

欢迎贡献代码、提交错误报告和提出建议。

Jujutsu (jj) 简介与优势

本文介绍了 Jujutsu (jj)，一个分布式版本控制系统 (DVCS)。它旨在为熟悉 Git 的用户提供更简单、更易用，同时更强大的版本控制解决方案。

核心要点：

• 什么是 Jujutsu (jj)? jj 是 Jujutsu 的命令行界面 (CLI)。Jujutsu 是一种 DVCS，类似于 Git 和 Mercurial (hg)。
• 为什么选择 Jujutsu (jj)? jj 声称既比 Git 更简单易用，又比 Git 更强大。这是一个比较罕见的特性，因为通常版本控制系统在功能强大和复杂性之间存在权衡。
• jj 的设计理念: jj 融合了 Git 和 Mercurial 的优点，创造了一个既熟悉又新颖的 DVCS。 它通过减少核心工具的数量，并提高它们之间的协同工作效率，实现了更强大的功能。
• 高级功能: jj 的高级用法可以提供 Git 难以实现的更强大的版本控制工具。
• 与 Git 的兼容性: jj 具有与 Git 兼容的后端，允许用户在不影响他人工作的情况下使用 jj。用户可以随时切换回 Git，而无需放弃已有的历史记录。

总结:

Jujutsu (jj) 旨在成为一个更易于使用、更强大的 DVCS 替代方案，尤其适合熟悉 Git 的开发者。 其与 Git 的兼容性使其成为一个值得尝试的工具，而不会带来任何实际的风险。

AI 编码的“氛围”恐怖故事：医疗数据泄露事件总结 (AI Coding "Vibe" Horror Story: A Summary of a Medical Data Leak)

事件概述:

一位医疗从业者受到 AI 辅助编程的启发，利用 AI 编码工具自行构建了一个患者管理系统。该系统包含了导入现有患者数据、在线发布以及自动记录并总结会话音频等功能。然而，该系统存在严重的安全漏洞，导致患者数据暴露于互联网。

主要问题及细节:

• 数据暴露: 在测试该系统时，作者在 30 分钟内获得了对所有患者数据的完全读写访问权限。数据未加密，完全暴露于公网。
• AI 驱动的响应: 作者在收到漏洞报告后，收到的回复是完全由 AI 生成的，表达了感谢并保证已采取措施（添加了基本的身份验证和轮换了一些访问密钥）。
• 合规性问题: 该系统违反了多项法规，包括德国数据保护法 (nDSG) 以及可能的职业保密法 (Berufsgeheimnis)。
• 数据处理协议缺失: 数据存储在美国服务器上，且未签订数据处理协议 (Data Processing Agreement)。
• 数据传输: 会话音频直接发送到主要的美国 AI 公司进行转录和总结。

技术背景:

• 代码结构: 整个应用程序是一个单一的 HTML 文件，包含了所有 JavaScript、CSS 和结构，全部内联编写。
• 后端安全: 后端使用了托管数据库服务，但未配置任何访问控制、行级别安全等措施。所有的“访问控制”逻辑都存在于客户端 JavaScript 中。
• 音频处理: 音频记录直接通过 API 发送到外部 AI 服务进行转录和总结。

作者观点:

作者认为，这种“氛围”式的 AI 编码方式（即缺乏对代码和系统架构的理解，盲目使用 AI 工具）可能会导致不美好的未来。个人在使用 AI 编码工具时，会确保理解代码运作方式，并对软件架构有一定了解。

核心总结:

该事件突显了在医疗等敏感领域使用 AI 编码工具时，对安全性和合规性进行严格审查的重要性。 盲目依赖 AI 工具而缺乏对代码和系统架构的理解，可能导致严重的数据泄露和法律风险。

Doublespeed 系统被黑客入侵，疑似企图发布攻击 a16z 的内容 - 总结

根据 404 Media 获取到的截图显示，一家名为 Doublespeed 的初创公司（由 a16z 投资）的后端系统遭到黑客入侵。Doublespeed 利用手机农场技术，通过 AI 生成 TikTok 账户，并将其用于在社交媒体上发布内容。

关键点：

• 公司简介: Doublespeed 是一家由 a16z 投资的初创公司，利用 AI 技术创建虚假影响者，生成视频，并发布评论。
• 黑客入侵: Doublespeed 的后端系统遭到黑客入侵。
• 入侵目的: 黑客试图利用这些账户发布带有攻击性的内容，例如将 a16z 称为“反基督者”的表情包。
• 历史事件: 这并非 Doublespeed 首次遭到入侵，至少是第二次。
• 内容限制: 404 Media 的文章内容部分为付费会员专享。

总结: 黑客入侵了 Doublespeed 的系统，企图利用其 AI 生成的 TikTok 账户进行攻击，这再次暴露了该公司在安全方面的潜在问题。

Firefox 构建缓存增强：利用 Lua 插件缓存 WebIDL 代码生成

本文介绍了 Mozilla 如何利用 Buildcache 的 Lua 插件系统来缓存 Firefox 的 WebIDL 代码生成过程，从而加速构建流程。

背景：

Buildcache 是一种构建缓存工具，与 ccache 和 sccache 相比，它具有独特的 Lua 插件系统，允许自定义处理非传统编译器程序的缓存。

WebIDL 代码生成步骤：

Firefox 构建过程中，python3 -m mozbuild.action.webidl 负责从大量的 .webidl 文件生成 C++ 绑定代码。虽然该步骤本身并不慢，但每次“clobber”构建（完全重新构建）都会执行，且输出结果在相同输入的情况下是完全确定的，因此非常适合缓存。

解决方案：

通过 Bug 2027655，Buildcache 现在可以缓存 WebIDL 代码生成步骤。 具体做法是在 dom/bindings/Makefile.in 中，对 py_action 调用条件性地传递 $(CCACHE) 作为命令包装器。

Lua 插件的作用：

Buildcache 的 Lua 插件系统允许编写脚本来处理 Buildcache 原生不支持的程序。针对 WebIDL 代码生成，webidl.lua 插件需要完成以下任务：

• 命令识别： 匹配 mozbuild.action.webidl 命令。
• 输入识别： 识别所有 .webidl 源代码文件以及 Python 代码生成脚本（从 file-lists.json 和 codegen.json 获取）。
• 输出识别： 识别所有生成的绑定头文件、cpp 文件、事件文件和代码生成状态文件（同样从 file-lists.json 获取）。

插件使用 direct_mode 模式，直接哈希输入文件，而不是依赖于预处理输出，这对于 Python 脚本读取 .webidl 文件的情况是合适的。

性能提升：

在 Linux 上的测试中，Buildcache 结合 Lua 插件后，在 "warm" 构建（缓存命中）时，构建时间从 5m35s 缩短到 1m12s，与仅使用 ccache 或 sccache 相比，性能提升显著。

配置方法：

• 更新到最新的 central 代码。
• 克隆 buildcache-wrappers 仓库，并将其路径添加到 ~/.buildcache/config.json 中的 lua_paths 字段。
• 或者，设置 BUILDCACHE_LUA_PATH 环境变量。

未来展望：

Lua 插件系统是 Buildcache 的亮点，可以应用于任何具有确定性输入和输出的构建步骤。 计划探索 Firefox 构建过程中的其他代码生成步骤，并为其应用类似缓存策略。

总结：形式验证的挑战与发现

主要内容：

本文描述了一个实验，利用AI驱动的模糊测试（fuzzing）工具Claude，对名为lean-zip的、使用Lean形式验证过的zlib实现进行测试，并意外地发现了一个重要的bug。

关键细节：

• lean-zip的背景： lean-zip是一个由10个AI代理自主构建和验证的zlib实现，旨在探索形式验证在构建安全可靠软件方面的潜力。形式验证通过使用机械工具声明和证明代码属性，旨在消除实现中的bug。
• 验证结果： lean-zip的代码经过形式验证，证明了其压缩和解压缩功能的正确性。例如，一个关键定理保证了对于小于1GB的任何字节数组，ZlibDecode.decompressSingle函数对ZlibEncode.compress函数的输出进行解压缩后，会得到原始数据。
• 模糊测试： 实验中使用Claude，配备AFL++、AddressSanitizer、Valgrind和UBSan等工具，对lean-zip进行了广泛的模糊测试，共进行了超过1亿次测试。
• 发现的漏洞：
  • Lean 4运行时堆缓冲区溢出： 尽管lean-zip的代码没有发现内存漏洞，但Claude发现了Lean 4运行时 (lean_alloc_sarray) 中的一个堆缓冲区溢出漏洞，影响了所有版本的Lean 4。漏洞触发条件是使用一个精心构造的ZIP文件，其compressedSize字段的值为0xFFFFFFFFFFFFFFFF。
  • 归档解析器拒绝服务漏洞： Claude还发现了一个拒绝服务漏洞，存在于lean-zip的归档解析器中，由于未验证ZIP文件头部的compressedSize字段，导致程序尝试分配过多的内存，从而崩溃。
• 验证失效的原因：
  • 归档解析器的拒绝服务漏洞是因为该部分代码未经过形式验证。
  • 堆缓冲区溢出漏洞则更根本，因为它存在于Lean 4运行时，而形式验证依赖于假设运行时本身是正确的。
• 结论： 形式验证极大地提高了代码的安全性，使得模糊测试难以发现漏洞。然而，形式验证的有效性取决于验证范围和对基础信任的程度。验证只在应用验证的地方有效，并且对基础组件的假设也至关重要。

总结：

该实验表明，形式验证可以显著提高软件的安全性，但在形式验证的范围和基础信任方面需要谨慎考虑。即使经过形式验证的代码，也可能存在漏洞，尤其是在涉及未验证的组件或依赖于不可靠基础组件时。

日本铁路系统的成功之道：超越文化解释 (日本铁路系统的成功之道：超越文化解释)

这篇文章探讨了日本铁路系统为何在全球范围内脱颖而出，并反驳了普遍认为的文化解释。尽管日本拥有发达的汽车文化，但铁路出行仍然占据主导地位，这并非源于日本人天生的顺从性，而是得益于明智的公共政策。

核心要点：

• 铁路普及率高： 日本的铁路客公里数占比高达28%，远高于法国（10%）、德国（6.4%）和美国（0.25%）。
• 私营铁路主导： 日本的铁路系统主要由众多私营公司运营，其中JR东海公司乘客数量超过除中国和印度以外的所有国家。
• 成功反思： 许多发达国家在汽车普及后，铁路系统衰落，欧洲国家需要大量的政府补贴才能维持运营，而美国则几乎完全依赖汽车和飞机。
• 政策驱动而非文化决定： 文章驳斥了将日本铁路系统的成功归因于文化因素（如日本人顺从），认为其关键在于良好的公共政策，包括商业结构、土地使用规则、交通法规、私有化模式和有效监管。
• 历史沿革： 铁路于1872年传入日本，经历了国企化、私营铁路兴起、以及1988年的大规模私有化，最终形成由多个私营公司竞争的格局。
• “遗产私营铁路”： 东京、大阪-神户-京都等大都市圈拥有众多“遗产私营铁路”公司，它们共同承担了近一半的轨道线路和车站，以及大部分的客流量。
• 铁路与城市建设的结合： 日本铁路公司不仅运营铁路，还积极拓展房地产、商业等业务，将铁路与城市发展紧密结合。 例如，东急公司不仅提供铁路服务，还涉及巴士、房屋建设、医院、超市、博物馆等多个领域，实现了业务协同。 这种模式源于1950年代阪急电铁的创新，通过建设郊区住宅、商业设施等，实现了铁路业务与城市发展的双赢。
• 土地利用和规划： 日本的土地使用政策较为宽松，允许在铁路沿线进行开发，促进了高密度城市中心的形成。
• 反制汽车影响： 日本通过多种政策限制汽车的使用，包括禁止免费停车、对汽车征收高额税费等，从而为铁路出行创造了更有利的环境。
• 政府补贴： 政府对铁路公司提供有针对性的补贴，用于改善无障碍设施、抗震加固等公共利益项目。

总结：

日本铁路系统的成功并非偶然，而是得益于一系列明智的公共政策，包括私有化、土地利用规划、限制汽车影响以及有针对性的政府补贴等。 这些政策不仅促进了铁路的繁荣，也推动了城市的发展。 文章强调，这些政策模式可以被其他国家借鉴，从而改善自身的公共交通系统，并非仅仅依靠文化因素。

古代智慧·现代视角：探索神话史诗

该内容介绍了一个名为“探索神话史诗”的项目，旨在通过现代化的可视化工具，深入研究《罗摩衍那》和《摩诃婆罗多》这两部重要的印度史诗。

主要内容：

• 目标： 该项目旨在带领用户探索《罗摩衍那》和《摩诃婆罗多》中的人物、王朝和人物关系。
• 可视化工具： 项目使用了以下现代可视化工具进行分析和呈现：
  • 力导向图 (Force Graph): 可能用于展示人物之间的关系网络，通过力的大小和方向表示关系的强度和方向。
  • 王朝树 (Dynasty Trees): 清晰地展示史诗中各个王朝的演变和人物之间的血缘关系。
  • 和弦图 (Chord Diagrams): 可能用于展示人物之间的互动和关联，通过线条的长度和颜色表示互动频率和性质。
  • 人物详情 (Character Detail): 提供对史诗中重要人物的详细信息。
• 引用： 引用了梵文短语 “यदा यदा हि धर्मस्य…”，暗示了史诗中关于正义和道德的重要主题。
• 状态： 目前项目处于“加载史诗…”的状态，表明内容正在进行加载和准备展示。

总结：

“探索神话史诗”项目利用现代数据可视化技术，为用户提供了一种全新的方式来理解和探索《罗摩衍那》和《摩诃婆罗多》这两部经典史诗，旨在更深入地了解其人物、王朝和复杂的人物关系。

摘要：内省扩散语言模型 (I-DLM)

核心思想： 本文介绍了内省扩散语言模型 (I-DLM)，旨在解决扩散语言模型 (DLM) 在质量上长期落后于自回归 (AR) 模型的难题。I-DLM 通过引入“内省分层解码 (ISD)”机制，实现了生成和内省的统一，从而提升了 DLM 的质量和效率。

主要问题： 现有的 DLM 在生成过程中缺乏“内省一致性”，即模型生成的文本与自身理解的内容不一致。

I-DLM 的解决方案：

• 内省一致性训练： 将预训练的 AR 模型转换为 DLM，采用因果注意力机制、logits 偏移和全遮蔽目标。
• 内省分层解码 (ISD)： 在一次前向传播中生成 N 个 token，同时验证先前生成的 token，通过 p/q 接受度标准进行判断。
• 与 AR 模型兼容的部署： 严格因果注意力机制允许 I-DLM 直接集成到 SGLang 中，无需自定义基础设施。
• 门控 LoRA： ISD 通过门控 LoRA 实现无损加速。

关键成果：

• 质量匹配： I-DLM-8B 是首个达到同规模 AR 模型质量的 DLM，在 AIME-24 和 LiveCodeBench-v6 分别优于 LLaDA-2.1-mini +26 和 +15。
• 参数效率： I-DLM-8B 在参数量相同的情况下，性能超越了参数量更大的 LLaDA-2.1-mini (16B)。
• 吞吐量提升： 在高并发条件下，I-DLM 实现了 2.9-4.1 倍的吞吐量提升。
• 无损加速： 通过门控 LoRA，ISD 实现了无损加速，保证了输出与基础 AR 模型完全一致。
• 计算效率： I-DLM 的计算开销仅为 TiDAR 的 2.5 倍，而 SDAR 为 7.8 倍。

实验结果：

• 在 15 个基准测试中，I-DLM 优于所有先前的 DLM。
• 通过吞吐量-延迟权衡分析，证明了 I-DLM 在内存受限的解码场景下，能实现更高的效率。
• 分层解码的接受度机制保证了 AR 分布输出。

资源：

• GitHub 代码仓库：https://github.com/Introspective-Diffusion/I-DLM
• 模型 Zoo：提供了 I-DLM-8B, I-DLM-32B 和 I-DLM-8B-LoRA 等模型。
• 详细的安装、快速开始、训练和部署指南。

总结： I-DLM 通过引入内省机制，显著提升了 DLM 的质量和效率，为大规模语言模型的发展提供了一种新的思路。它不仅实现了与 AR 模型质量的匹配，还带来了更高的吞吐量和更低的计算开销，为 DLM 的实际应用奠定了基础。

新奥尔良的卡车事故骗局：一个法律、风险和绝望的故事 (The Truck Accident Scam in New Orleans: A Story of Law, Risk, and Desperation)

这篇文章讲述了美国新奥尔良东区发生的卡车事故骗局，揭示了一个复杂的网络，涉及法律从业者、骗局策划者和愿意冒生命危险的人。

主要发现：

• 卡车事故的风险： 文章开篇强调了卡车事故的严重性和危险性，强调了大型卡车在加速和制动方面的物理限制，以及事故造成的毁灭性后果。
• 新奥尔良东区的异常： 在新奥尔良东区，卡车事故的数量在2015年左右突然飙升，导致当地成为了一个“沥青的百慕大三角”。
• 骗局的运作： 骗局的核心是“slammer”（撞击者），他们驾驶汽车故意与卡车发生侧撞。这些骗局通常涉及多名乘客，以增加潜在的赔偿金额。
• 关键人物：
  • 康奈利斯·加里森 (Cornelius Garrison)： 骗局的主要策划者之一，负责寻找愿意参与的乘客，并驾驶汽车撞击卡车。
  • 瓦内莎·莫塔 (Vanessa Motta)： 一名律师，为骗局参与者提供法律服务，并积极推动他们接受不必要的医疗手术以增加赔偿金额。
  • 肖恩·阿尔弗蒂什 (Sean Alfortish)： 莫塔的伴侣和合伙人，为骗局提供资金和指导。
  • 红·哈里斯 (Red Harris)： 另一名骗局参与者，负责招募乘客。
• 动机： 参与者通常是经济困难的当地居民，他们为了获得金钱而冒着生命危险。
• 法律环境： 路易斯安那州对原告有利的法律环境和个人伤害律师的激 Competition 助长了这种骗局的发生。
• 调查与逮捕： 联邦调查局（FBI）展开了“Sideswipe”行动，调查并起诉了许多参与者，但骗局的根源仍在继续存在。康奈利斯·加里森最终被谋杀，这可能与他向联邦调查局提供情报有关。
• 道德困境： 文章探讨了这种骗局所涉及的道德困境，包括律师的责任、医疗行业的角色以及社会经济因素对犯罪行为的影响。

总结：

这篇文章揭示了一个令人震惊的骗局，利用了新奥尔良东区的贫困和当地法律环境的漏洞。它揭示了个人为了金钱而愿意承担的风险，以及法律系统在应对这种复杂犯罪行为时所面临的挑战。 最终，骗局的曝光和逮捕行动虽然取得了一些进展，但新奥尔良东区的经济困境和法律环境的特殊性，使得这种骗局的根源仍然存在。

调查记者遭遇身份冒用：网络欺骗的新趋势 (调查记者遭遇身份冒用：网络欺骗的新趋势)

本文讲述了《ProPublica》调查记者 Robert Faturechi 遭遇的身份冒用事件，揭示了网络欺骗的新趋势以及对新闻业的影响。

事件经过:

• 首次警告： Faturechi 接到了来自加拿大军方官员的电话，该官员声称有人通过 WhatsApp 冒充 Faturechi 向他索取信息。军方官员提供了政府邮箱截图和 WhatsApp 对话截图以证明身份，并询问 Faturechi 是否有任何需要关注的事项。
• 冒用者行动： 冒用者（以下简称“Fake Me”）使用位于迈阿密的电话号码，并盗用 Faturechi 的 ProPublica 头像是个人像，联系加拿大人。随后，Fake Me 又通过 LinkedIn 联系了一位为乌克兰军方提供装备的拉脱维亚商人，并冒充 Faturechi 询问关于无人机 (UAV) 的专业知识，以及其在乌克兰的应用。Fake Me 试图诱导拉脱维亚商人提供信息，并最终通过虚假的视频通话链接试图窃取其邮箱账号。
• 后续发现： Faturechi 意识到这可能是一种针对外国军事机构的欺骗行为，并向 ProPublica 安全团队报告了此事。

欺骗手法及目的:

• 身份冒用： Fake Me 盗用 Faturechi 的身份和头像，冒充记者进行接触。
• 信息窃取： Fake Me 试图通过各种手段获取敏感信息，例如无人机技术在乌克兰的应用情况。
• 目的不明： 调查结果表明，此次事件并非为了获取金钱，更可能是一种复杂的间谍活动或情报收集行动。

对新闻业的影响:

• 影响消息来源： 身份冒用行为增加了潜在消息来源的担忧，可能降低他们与记者合作的意愿，从而影响新闻调查的进行。
• 网络欺骗升级： 事件表明，网络欺骗手段正在升级，针对记者个人和新闻机构的攻击越来越频繁。
• 安全挑战： Signal 等安全通讯工具虽然注重隐私保护，但也给追踪和打击冒用者带来了困难。

应对措施:

• 公开揭露： Faturechi 选择公开此事，提醒其他可能受害者注意。
• 身份验证： ProPublica 建议记者在个人资料页面公开 Signal 账号和邮箱地址，方便验证身份。
• 保持警惕： 提醒公众，在与记者联系时，务必核实对方的身份信息。
• 平台改进： Signal 正在采取措施，例如限制发送速度和阻止未知链接，以减少诈骗行为。

其他类似事件：

文章还提及了其他新闻机构记者遭遇身份冒用的事件，包括《纽约时报》、《路透社》等，以及德国政府对国家支持的间谍活动的警告，以及美国联邦调查局 (FBI) 对俄罗斯情报部门冒充 Signal 安全部门进行网络欺骗的警告。

总结：

此次事件警示人们，网络欺骗日益复杂，对新闻业造成了新的安全挑战。记者和公众需要更加警惕，并采取措施验证身份，以保护信息安全。

B-树：数据库索引背后的核心技术

这篇文章深入探讨了B-树及其变体B+树，它们在数据库管理系统（DBMS）中扮演着至关重要的角色，尤其是在索引方面。文章旨在帮助读者理解B-树和B+树的工作原理、数据库为何使用它们进行索引，以及为什么使用UUID作为主键可能不是最佳选择。

B-树简介

B-树是一种树状数据结构，用于存储键/值对。它与根状系统相似，广泛应用于数据库应用中。

B-树的定义

一个K阶B-树具有以下特性：

• 每个节点存储N个键/值对，其中N大于1且小于等于K。
• 每个内部节点至少包含N/2个键/值对。
• 每个节点拥有N+1个子节点。
• 根节点至少有一个值和两个子节点。
• 所有叶节点位于同一层级。
• 节点内元素有序，左侧子节点键小于该键，右侧子节点键大于该键。

B-树的工作原理

搜索时，从根节点开始，检查是否包含目标键。若没有，则找到适合插入目标键的位置，并沿着相应的子节点继续搜索，直到找到目标键或到达叶节点。

B-树特别适用于存储大量数据，因为每个节点可以定制为与磁盘块的大小相匹配，从而优化磁盘读写操作。磁盘以块为单位进行读写，B-树节点大小可以根据磁盘块大小进行调整，提高效率。

B+树：数据库索引的优化版本

B+树是B-树的改进版本，在数据库索引中更常用。其主要区别在于：

• 仅在叶节点存储键/值对。
• 非叶节点仅存储键和子节点指针。
• 非叶节点拥有N个子节点指针（而非N+1）。
• 所有叶节点都包含“next”和“previous”指针，形成一个双向链表。

B+树的优势在于：

1. 非叶节点可以存储更多键，有助于保持树的层级更浅。
2. 所有值都存储在叶节点，且叶节点通过链表连接，便于按顺序遍历。

MySQL中的B+树

MySQL的InnoDB存储引擎大量使用B+树。每个表都使用B+树存储数据，主键作为树的键。当创建二级索引时，也会创建新的B+树，索引键为用户选择的索引字段，值则为对应行的主键。

主键选择的重要性

选择合适的主键至关重要。使用UUID作为主键（尤其是UUIDv4）会导致插入时节点访问不确定，影响性能。顺序递增的整数（例如BIGINT UNSIGNED AUTO_INCREMENT）作为主键，可以优化插入性能，因为数据通常会按顺序插入，从而减少节点访问次数。

其他考虑因素

• 键的大小： 主键应该足够大以避免耗尽，但又不能过大，以免占用过多存储空间。
• 数据顺序： 如果需要按时间顺序查询数据，则使用时间戳作为键可以提高效率。
• InnoDB页面： InnoDB使用固定大小的页面（通常为16KB）来存储B+树节点，并利用缓冲池来缓存页面，提高查询性能。

总结

B-树和B+树是数据库索引的核心技术，选择合适的主键和索引策略对于优化数据库性能至关重要。理解这些数据结构的工作原理，有助于开发人员构建更高效的数据库应用。

美国高等教育面临“人口悬崖”：挑战与影响 (The US Higher Education System Faces a "Demographic Cliff": Challenges and Impacts)

本文探讨了美国高等教育面临的严峻挑战，即“人口悬崖”效应，以及由此带来的潜在影响。

核心问题：人口下降与招生危机 (Core Issue: Population Decline and Enrollment Crisis)

• 人口下降趋势： 自去年达到峰值以来，美国高中毕业生数量将持续下降，至少到2041年。这一趋势将对依赖学生入学费和宿舍床位的大学构成危机。
• 大学关闭风险： 目前美国约有4000所大学，平均每年关闭约60所，在极端情况下可能翻倍。
• 影响不均： 高收入家庭的学生通常能前往全国顶尖大学，而依赖本地大学的低收入和中等收入家庭的学生将受到更大影响，高等教育可能再次成为一种奢侈品。

历史背景：高等教育的转型 (Historical Context: Transformation of Higher Education)

• 从本地到全国： 过去半个世纪，随着高中生入学率的提高，高等教育市场从最初的本地化逐渐转变为全国化，尤其对于顶尖学生而言。交通、航空和技术的进步使得距离不再是障碍。
• 市场分化： 市场已分化为两部分：一部分是竞争激烈的顶尖大学，吸引来自全国各地的优秀学生；另一部分是服务本地和区域学生的大学。近年来，这一分化趋势更加明显。

区域差异与挑战 (Regional Differences and Challenges)

• 高密度与人口下降： 东北部和中西部地区大学数量最多，但高中毕业生数量也将出现最大下降。38个州预计将出现毕业生数量下降，只有10个州（主要位于南部）预计将增长。
• 无法迁移： 与商业实体不同，大学无法简单地迁移到人口稀少的地区。
• 恶性循环： 大学关闭导致学生数量减少，学生数量减少又导致大学进一步关闭，形成恶性循环。

应对措施与未来展望 (Response Measures and Future Prospects)

• 区域大学的应对： 区域大学通过扩大招生范围、增加项目和便利设施、以及与私营部门合作等方式努力维持生存。
• 合并与在线课程： 宾夕法尼亚州将六所学校合并为两所新机构，并提供在线课程。但在线课程无法完全替代传统的校园体验。
• 入学率下降： 自2011年以来，全国性本科生入学率持续下降。缺乏本地的校园选择是导致高中毕业生入学率下降的原因之一。
• 对未来的担忧： 人口悬崖和校园关闭的结合可能导致更多的学生放弃高等教育。

总结 (Conclusion)

美国高等教育正面临着由人口下降驱动的严峻挑战。这种趋势可能导致大学关闭、高等教育普及程度降低，并对社会产生深远影响。文章警示，需要认真应对这一问题，避免高等教育的普及化进程倒退。

美国科技行业裁员潮：旧金山科技就业人数下降

核心要点：

本文报道了美国科技行业目前正经历裁员潮，并指出旧金山作为全球科技中心，科技相关就业人数也在下降。

主要细节：

• 大规模裁员： 多个大型科技公司正在进行大规模裁员。
  • 甲骨文（Oracle）宣布裁员数千人，该公司试图成为一家云服务巨头。
  • Block（一家数字支付公司）计划裁员超过4000人，相当于其员工人数的近一半。
  • 亚马逊（Amazon）和 Meta（原Facebook）也宣布裁员。
• “七雄”增长乏力： 从2022年到2025年，包括上述公司和其他五家在内的“七雄”科技公司，其员工总数几乎没有增长。
• 旧金山就业人数下降： 旧金山作为全球科技中心，自2023年初以来，科技相关及其他行业的总就业人数下降了3%。

总结：

美国科技行业正面临裁员浪潮，这反映在大型科技公司的裁员行动和旧金山科技行业就业人数的下降中。 “七雄”的增长停滞也为这一趋势提供了背景。

GAIA 框架概览：本地运行的 AI 代理

GAIA 是一个开源框架，旨在帮助开发者使用 Python 和 C++ 构建 AI 代理，并且这些代理 完全在本地硬件上运行。 核心特点是 无需云端依赖，数据不出设备。

主要内容：

• 核心功能： GAIA 代理具备推理、调用工具、搜索文档和执行操作等能力。
• 编程语言支持： 支持 Python 和 C++ 两种编程语言。
• 本地运行： 强调代理在本地运行，避免了对云服务的依赖，保障了数据安全和隐私。

代码示例 (Python):

from gaia.agents.base.agent import Agent

agent = Agent()
response = agent.process_query("Summarize my meeting notes")

代码示例 (C++):

#include <gaia/agent.h>

gaia::Agent agent;
auto result = agent.processQuery("Summarize my meeting notes");

总结：

GAIA 提供了一个构建本地 AI 代理的平台，它允许开发者在本地环境中实现智能应用，无需依赖外部云服务，并保护用户数据安全。 通过 Python 和 C++ 两种语言的支持，开发者可以灵活地构建各种 AI 代理应用。

2025 联邦政府支出数据概览

核心内容：

该页面旨在让用户了解联邦政府如何使用他们的税款。它提供了一个工具，允许用户根据其2025年的收入来查看相关的支出数据。

关键细节：

• 目的: 展示联邦政府的支出情况，让用户了解他们的税款是如何被使用的。
• 用户输入: 用户需要输入他们的2025年收入。
• 数据处理: 输入的收入数据仅用于计算用户的“wrapped”（具体含义未明确说明，可能指个性化支出报告或数据展示），不会被存储。
• 数据来源: 页面指明数据来自联邦政府的支出信息。

总结:

该页面提供了一个用户友好的平台，通过输入个人收入数据，方便用户了解联邦政府的支出情况，并提供个性化的支出数据展示。用户数据仅用于计算，不会被长期储存。

OpenDuck 项目总结 (OpenDuck Project Summary)

OpenDuck 是一个开源项目，旨在实现 MotherDuck 所倡导的创新理念，包括差分存储、混合执行和透明远程数据库，并将其应用于 DuckDB。该项目允许用户运行、扩展和构建基于 DuckDB 的云端数据解决方案。

核心理念与功能：

• 差分存储 (Differential Storage): 数据存储为不可变的层，元数据存储在 PostgreSQL 中。DuckDB 看到的是一个普通的文件，OpenDuck 将数据持久化为可从对象存储访问的密封层，并通过快照提供一致的读取。
• 混合执行 (Hybrid Execution): 单个查询可以在本地机器和远程工作节点之间分割执行。OpenDuck 的网关将查询计划分割，并在操作符边界处插入桥接操作符，仅将中间结果通过网络传输。
• DuckDB-原生目录 (DuckDB-Native Catalog): OpenDuck 扩展实现了 DuckDB 的 StorageExtension 和 Catalog 接口，使得远程表如同本地表一样参与到 JOIN、CTE 和优化器中。
• 开放协议 (Open Protocol): OpenDuck 使用一个简单的协议（两个 gRPC RPC），用于查询执行和以 Arrow IPC 批次流式传输结果。这允许用户使用任何符合 gRPC 且返回 Arrow 数据的服务作为后端。

架构：

OpenDuck 的架构主要包括以下组件：

• DuckDB 客户端: 加载 OpenDuck 扩展并连接到远程数据库。
• OpenDuck 目录: 管理远程表信息。
• 网关 (Gateway): 负责认证、路由、计划分割和反向压力控制。
• 工作节点 (Worker): 运行 DuckDB 引擎，处理远程查询并以 Arrow IPC 格式流式传输结果。
• PostgreSQL 元数据存储: 存储差分存储的元数据。
• 对象存储: 存储数据层。

快速开始：

1. 构建后端 (Rust)。
2. 构建 DuckDB 扩展 (C++)。
3. 启动服务器。
4. 连接到 OpenDuck 数据库（需要配置 allow_unsigned_extensions 和 LOAD 指令）。

OpenDuck vs. MotherDuck:

• MotherDuck 是一种商业云服务，而 OpenDuck 是一个开源项目，其架构灵感来源于 MotherDuck。
• OpenDuck 实现了与 MotherDuck 相似的架构理念，但使用开放协议和可替换的后端。

OpenDuck vs. Arrow Flight SQL:

• Arrow Flight SQL 是一个通用的 SQL 数据库协议，而 OpenDuck 是一个针对 DuckDB 的特定系统，具有更深入的集成。
• OpenDuck 协议更为简洁，专注于 DuckDB 的查询执行优化。

OpenDuck vs. DuckLake:

• OpenDuck 和 DuckLake 协同工作，互补而非替代。
• DuckLake 是一个湖仓目录，管理 Parquet 文件和元数据；OpenDuck 提供 DuckDB 存储和执行层，支持差分存储、混合执行和透明远程连接。

总结：

OpenDuck 提供了一种开源的方式，将 DuckDB 扩展到云端，利用差分存储和混合执行等技术，实现高效、可扩展和灵活的数据处理方案。它旨在为 DuckDB 用户提供一个开放、可定制的云端解决方案，并与 DuckLake 等其他工具无缝集成。