2026-06-02

27 篇热帖

1. Please don't spam people looking for employment. It's just cruel

本文总结了Hacker News社区关于“求职者遭受垃圾邮件和诈骗骚扰”的讨论。核心观点及细节如下:

核心问题

求职者在论坛(如“Who wants to be hired”板块)公开联系方式后,会收到大量由AI或自动化脚本生成的垃圾邮件。这些邮件伪装成招聘机会、网络安全警告或合作邀请,对处于失业焦虑中的求职者造成了严重的心理困扰和时间浪费。

常见的垃圾邮件与诈骗类型

  1. AI代理与安全勒索:自称“安全专家”或AI工具,声称求职者的开源项目存在漏洞,要求支付赏金才肯透露详情。
  2. 猎头隐瞒信息:招聘人员故意隐瞒雇主名称并要求先通电话,目的是防止求职者绕过他们直接申请,以保护其佣金。
  3. 跨国诈骗与洗钱:部分邮件(疑似来自受制裁地区)提出“合作开发”,要求求职者提供身份、自由职业平台账号或保持电脑开启以充当网络代理,存在极大的法律风险。
  4. 付费陷阱与恶意软件:诱导求职者购买简历优化服务、虚假的API访问权限,或要求安装带有后门的远程桌面软件。

关于“AI文本痕迹”的争议

评论区针对“使用长破折号(em dash)即代表AI生成”的观点进行了激烈反驳。用户指出,em dash是标准的英语排版规范(如《芝加哥格式手册》),且现代操作系统(如iOS)会自动将双连字符替换为长破折号。技术社区中排版爱好者众多,因此不能单凭标点符号来识别AI文本。

应对策略与市场反思

  • 防御建议:使用临时或别名邮箱发帖;将邮箱放在个人主页而非帖子正文中以防爬虫;利用邮箱的“促销”标签进行批量过滤;或向垃圾邮件发送者提出GDPR数据请求以增加其成本。
  • 市场现状恶化:AI大幅降低了生成半个性化垃圾邮件的成本,导致求职和招聘双方都被低质量的“信息垃圾(slop)”淹没,真正的机会被噪音掩盖。
  • 求职建议:在公开渠道海投的成功率显著降低,内部推荐、人脉网络以及线下交流变得比以往更加重要。社区用户对求职者的境遇表达了广泛同情,并鼓励其在艰难的市场环境中保持警惕与希望。
2. Adafruit Receives Demand Letter from Fenwick Legal Counsel on Behalf of Flux.ai (blog.adafruit.com)

事件概述

2026年5月22日,Adafruit 收到来自 Fenwick & West 律师事务所(代表 Defy Gravity, Inc. Flux.AI,简称“Flux”)的律师函。该函件由前 FBI 幕僚长、该律所合伙人 Jonathan F. Lenzner 发出。

Flux 的诉求与指控

  • 禁止发布文章:Flux 要求 Adafruit 停止发布一篇相关文章,声称该文章包含有关 Flux 知识产权、商业发展状况及用户基础的虚假和潜在诽谤性言论。
  • 法律指控:律师函中提出了基于《计算机欺诈和滥用法》(CFAA)的法律主张。

Adafruit 的回应与澄清

  • 信息来源:Adafruit 澄清,其仅访问了因 Flux 自身服务器配置错误而由其系统公开暴露的信息。
  • 报道性质:Adafruit 强调,其报道涉及公共网络安全利益,且完全符合负责任的安全漏洞披露常规流程。
  • 官方立场:Adafruit 坚决否认并拒绝接受 Flux 在律师函中提出的各项主张。

当前与后续措施

为慎重考虑应对策略及后续步骤,Adafruit 已暂时停止在其官方博客上发布新内容,并承诺将适时向社区更新事件进展。同时,官方公布了专用的媒体联系邮箱以供外界接洽。

3. The newest Instagram “exploit” is the goofiest I've seen (www.0xsid.com)

漏洞概述

近期Instagram爆发了一起严重的账号劫持事件,多个高知名度账号(如奥巴马白宫账号)遭到攻击。该漏洞利用了Meta的AI客服系统,实现了零认证的密码重置,是一个逻辑极其简单但危害巨大的安全缺陷。

攻击流程

  • 伪造位置与触发AI客服:攻击者获取目标用户名后,使用与目标所在城市相近的VPN或代理IP,以规避Instagram的区域安全风控。随后,攻击者向Meta AI客服谎称账号被盗,并要求将验证码发送至攻击者控制的任意邮箱。
  • 零认证密码重置:AI系统未校验提供的邮箱是否曾与该用户关联,直接向攻击者发送安全码。攻击者回传该安全码后,系统即下发密码重置链接,使攻击者获得账号的完全控制权。
  • 绕过身份验证:如果AI系统要求提供视频自拍以验证身份,攻击者仅需使用目标公开照片生成的AI动态视频即可轻易通过审核。

安全机制失效(2FA被绕过)

  • 双重认证(2FA)失效:由于系统将此高权限恢复流程视为“真正号主”发起的全面账号重置,原有的2FA机制被彻底绕过。
  • 无通知与强制接管:系统会撤销所有现有会话并更改密码,且不会向原号主发送任何邮件、短信或推送通知。
  • 原号主恢复受阻:原号主因绑定的邮箱和手机号已被篡改而无法发起恢复流程,且只能与AI聊天机器人交涉,无法升级至人工客服。此外,被系统分配至AI客服选项的用户无法手动关闭该功能。

黑产影响与修复状态

  • 黑市交易:多个Telegram黑产群组曾以高昂价格提供此类“账号接管”服务,被劫持的账号多用于倒卖(如极具价值的短字符用户名)或发布宣传信息。
  • 漏洞修复:Meta目前已修复该漏洞,相关黑产活动已随之平息。该漏洞在修复前已活跃数周甚至数月,暴露出大型科技公司在依赖AI客服处理高权限操作时,缺乏严格安全护栏的严重风险。
4. Why Janet? (2023) (ianthehenry.com)

Janet 编程语言核心特性总结

Janet 是一种现代 Lisp 方言,旨在提供简洁、高效且易于分发的编程体验。以下是其核心功能与设计理念的详细总结:

语言设计与简洁性

  • 核心极简:作为命令式语言,Janet 仅包含 8 个核心指令(如 do, def, if, fn 等),依靠宏提供高级控制流。
  • 易于学习:运行时语义类似于 JavaScript,标准库极小,开发者可快速上手。
  • 现代语法:摒弃了传统 Lisp 的晦涩命名(如用 first 代替 CARfn 代替 LAMBDA),引入独立的一等布尔类型,且不使用链表。语法固定,不支持 reader macros,确保了代码的一致性。

编译、分发与嵌入

  • 独立可执行文件:Janet 程序可编译为静态链接运行时的原生二进制文件(体积通常不到 1MB),无需目标环境安装 Janet 或任何依赖。其原理是将字节码嵌入 C 文件并调用系统 C 编译器,非常适合编写命令行工具。
  • 高可嵌入性:Janet 运行时是一个轻量级 C 库,可轻松嵌入到其他应用程序或网站中,提供脚本扩展接口。

数据处理与系统交互

  • 解析表达文法 (PEG):摒弃正则表达式,采用 PEG 进行文本处理。PEG 更简单、强大且可预测,支持多行文本、HTML/JSON 甚至包含空字节的二进制文件的结构化解析。
  • 集合类型:标准库内置可变(引用语义)和不可变(值语义)集合类型。
  • 子进程 DSL:通过第三方库 sh 提供强大的 Shell 脚本 DSL,支持直接在代码中表达管道和重定向,使其成为 Bash 的优秀替代品。

元编程与高级特性

  • 宏系统:支持编写宏以实现代码生成。虽然宏不保证卫生性,但通过允许取消引用字面函数,实现了完全的引用透明。
  • 编译时状态快照:支持将编译时的值隐式序列化。编译时执行的顶层指令和状态(包括闭包、生成器和共享引用)可完整保存至运行时,适用于预计算、资源嵌入和代码生成(如根据 SQL schema 自动生成数据库绑定)。

语法细节

  • 使用 []{} 区分列表和表,可变字面量统一使用 @ 前缀。
  • 提供匿名函数简写(|)、参数展开(;)、剩余参数(&)以及无需转义的反引号多行字符串字面量。
5. Apple rejected my dictation app for using the accessibility API (www.mitmllc.com)

项目背景与目的

开发者因手部重复性劳损无法长时间打字,为此开发了 Mac 本地听写应用 WhisperPad。该应用驻留在菜单栏,通过快捷键激活,在本地进行语音转录,并将文本直接注入光标所在位置,全程无需连接服务器,旨在最大限度减少手部操作。

App Store 审核受阻

2024年4月,Apple 以违反 Guideline 2.4.5(未将辅助功能 API 用于合规的辅助用途)为由,拒绝了 WhisperPad 1.5 版本的更新。尽管开发者申诉强调该应用专为手部受伤等辅助需求设计,且早期具有相同功能和权限的版本曾获批准,但在等待一个月后,申诉仍被 Apple 最终驳回。

应对策略与版本拆分

为兼顾 App Store 的曝光度与产品的核心体验,开发者决定将应用拆分为两个版本:

  1. App Store 版本:移除了自动粘贴功能。转录后的文本会复制到剪贴板,用户需手动使用 Command-V 粘贴。虽然增加了操作步骤,但符合 Apple 审核规范,便于大众用户发现。
  2. 直接分发版本:保留了直接自动粘贴到光标处的核心功能,通过开发者官网进行独立分发。

技术实现与独立分发

在 App Store 之外分发软件需要自行构建相关基础设施。开发者将项目拆分为两个独立的构建目标(build targets),并集成了以下技术组件:

  • 支付处理:采用 Paddle 处理在线支付。
  • 应用更新:使用 Sparkle 框架实现 Mac 应用的自动更新机制。
  • 授权验证:通过许可证密钥与自建小型服务器进行授权校验。

经验反思

Apple 的拒绝客观上促使开发者深入理解并优化了自身的构建配置、更新路径和支付流程。面对平台的限制,开发者总结出应对策略并非单纯的“妥协或放弃”,而是“在受限渠道内合规发布,在独立渠道中实现完整功能”。目前,App Store 版本提供每月 120 分钟的免费额度,而具备完整自动粘贴功能的版本可通过官网获取。

6. Anthropic confidentially submits draft S-1 to the SEC (www.anthropic.com)

Anthropic 秘密提交 IPO 草案及近期业务动态

首次公开募股(IPO)计划

Anthropic 已向美国证券交易委员会(SEC)秘密提交了 S-1 表格注册声明草案,拟进行普通股首次公开募股(IPO)。

  • 实施条件:IPO 的具体推进将取决于 SEC 的审查进度、市场状况及其他相关因素。
  • 发行细节:目前尚未确定拟发行的股票数量与定价。
  • 合规声明:本公告依据 1933 年《证券法》第 135 条发布,不构成出售或购买证券的要约及要约邀请。任何证券销售均须严格遵守该法案的注册要求。

其他重要业务更新

  • Project Glasswing 扩展:该项目覆盖范围进一步扩大,已延伸至 15 个以上国家的约 150 个新组织。
  • 完成 H 轮融资:Anthropic 成功筹集 650 亿美元 H 轮融资,投后估值高达 9650 亿美元。本轮融资由 Altimeter Capital、Dragoneer、Greenoaks 和 Sequoia Capital 领投。
  • 发布 Claude Opus 4.8:推出 Opus 系列升级版模型。新模型在代码编写、智能体(Agentic)任务及专业工作领域的性能显著增强,并具备处理长时间运行任务的出色一致性与稳定性。
7. Should you normalize RGB values by 255 or 256? (30fps.net)

本文探讨了在图像处理中,将8位整数RGB值转换为浮点数时,应选择除以255还是除以256进行归一化。

标准方法:除以 255.0

  • 机制与优势:将整数0映射为0.0,255映射为1.0。此方法符合GPU硬件规范,逻辑直观(黑色始终为绝对的0.0),且处理代码不绑定特定的输入位深。
  • 劣势:极值(0和255)的量化区间(bins)宽度仅为其他值的一半,导致在生成均匀分布噪声时,极值出现的频率减半;此外存在极微小的浮点舍入误差(如128/255.0不精确等于0.5),但该误差在实际应用中微乎其微。

替代方法:加 0.5 后除以 256.0

  • 机制与优势:将浮点值精确放置在两个相邻整数的中点(如0映射为0.5/256)。这种居中特性使抖动(dithering)等算法处理更方便,无需特殊处理边缘情况;且理论上量化重建误差略小(1/1024 对比 1/1020)。
  • 劣势:黑色不再是绝对的0.0,导致图像处理逻辑与8位输入深度强行绑定。

量化器视角与误差分析

两种方法本质上对应两种不同的均匀标量量化器(中平量化器与中升量化器)。虽然除以256在理论上重建误差更小,但这仅在开发者同时控制图像的保存(编码)和加载(解码)时才有意义。在读取他人使用标准方法保存的图像时,使用替代方法解码反而会引入更多误差。

最终结论

  • 处理外部/他人图像:应始终使用除以255的标准方法。浮点数的不精确性或抽象的理论误差优势,不足以成为改用替代方法的理由。
  • 完全控制读写流程:若同时控制图像的保存与加载、不需要0映射为0.0,且接受代码绑定8位动态范围,可考虑除以256以获取微小的精度提升。
  • 核心禁忌:严禁混用这两种量化器的编码和解码步骤,否则会导致代码逻辑损坏。
8. Love systemd timers (blog.tjll.net)

本文总结了使用 systemd timers 替代传统 cron 作业的核心优势、基础配置结构以及关键高级功能。

核心优势

传统 cron 存在 $PATH 环境变量模糊、标准输出/错误难以追踪、执行历史难查以及调度语法不直观等缺陷。systemd timers 作为现代替代方案,有效解决了这些问题并提供了更强大的功能。

基础配置与结构

systemd timer 通过调度 .service 单元来执行计划任务。

  • Service 单元:定义具体操作。推荐使用原生的 ExecCondition= 处理条件执行。需注意 ExecStart 默认不作为 shell 命令运行且不继承环境变量,必须使用绝对路径或通过 /usr/bin/env 调用。
  • Timer 单元:与 Service 文件同名,用于定义调度规则。通过 [Install] 区块的 WantedBy=timers.target 实现开机自启。
  • 管理命令:使用 systemctl start/enable <name>.timer 来启动和启用定时器,而不是直接操作 service。

时间表达式

Timer 支持两种时间定义方式,可通过 systemd.time(7) 手册和 systemd-analyze calendar 命令行工具进行解析与验证:

  1. 日历事件(Calendar events):指定具体的 wallclock 时间点(如 daily 或完整的 *-*-* 00:00:00 格式)。
  2. 时间跨度(Time spans):基于特定事件的相对周期。例如 OnBootSec=1h(开机后1小时)和 OnUnitActiveSec=1h(上次执行后1小时),更契合“每隔一段时间”的实际业务需求。

关键高级功能

  • 状态监控systemctl list-timers 提供全局视图,直观展示所有定时器的下次/上次触发时间及关联服务。
  • 系统唤醒:配置 WakeSystem=true 可在系统处于挂起(suspend)状态时自动唤醒以执行任务。
  • 防止惊群效应:利用 FixedRandomDelay=RandomizedOffsetSec= 为任务添加随机延迟,避免大量节点在同一时刻并发执行导致流量尖峰。
  • 持久化补偿:启用 Persistent=true 会将上次触发时间写入磁盘。若系统离线导致错过执行,重新上线后会立即补偿触发该任务。

最佳实践与注意事项

  • 在用户级管理器(systemctl --user)中运行定时器时,[Install] 的目标通常应设置为 default.target
  • 必须确保系统时钟同步准确,可使用 timedatectl timesync-status 检查同步状态。
  • 建议使用原生支持 systemd 单元文件格式的编辑器(如 Emacs 的 systemd 插件)以获得语法高亮支持。
9. GitHub and the crime against software (eblog.fly.dev)

本文探讨了GitHub及大型科技公司在软件基础设施方面的严重衰退,指出其过度追求AI功能而牺牲了系统的可靠性与性能。

核心问题

  1. 可用性差:GitHub频繁宕机,实际正常运行时间远低于官方宣称,甚至违反其SLA。平台不公开bug列表,且前端在部分浏览器上存在兼容性与内存泄漏问题。
  2. 战略失衡:微软和GitHub将系统负载激增归咎于外部行业趋势,实则是其在页面中强推多个AI/Copilot入口所致。官方更新日志中充斥着AI特性,而性能与可靠性改进几乎为零。
  3. 前端极度臃肿:GitHub前端代码庞大、加载缓慢且内存占用极高,反映出其底层架构和工程能力的严重缺陷。

前端性能对比实验

作者在模拟3G网络环境下,使用相同的最小化仓库,对比了四个平台的前端性能(网络请求、内存占用、压缩支持):

  • GitHub (评级 F):加载一个空白仓库页面需长达22秒,拉取超54万行代码,稳态内存占用约69MiB,且包含大量完全未使用的JS/CSS资源。
  • GitLab (评级 D+):同样存在严重的代码臃肿和加载缓慢问题,内存占用高,包含大量无用代码。
  • Codeberg (评级 C+):相对轻量,但缺乏HTTP压缩支持(如gzip/zstd),且JS/CSS未充分优化。
  • 作者个人网站 (评级 A-):资源轻量、加载迅速,且支持现代压缩算法。

辅助技术工具

文章附录提供了两个用于性能分析的Go语言工具源码:

  • anhar:用于解析HAR(HTTP Archive)网络归档文件,自动格式化代码以估算真实代码行数,并按MIME类型统计请求数量、响应大小及页面加载时间。
  • testcompress:用于测试目标URL对gzipzstd压缩算法的支持情况,并计算压缩前后的数据体积与压缩率。

结论

大型科技公司拥有庞大的工程团队,却交付了性能低劣的基础设施服务。这种为了迎合AI热潮和投资者而忽视基本软件质量、浪费计算资源的行为,不仅辜负了用户,更是对软件工程本身的破坏。

10. OpenAI frontier models and Codex are now available on AWS (openai.com)

OpenAI 前沿模型与 Codex 正式登陆 AWS

核心发布与企业价值

OpenAI 前沿模型和 Codex 现已在 AWS 全面可用(GA)。此举为企业消除了采用 AI 的主要障碍,使其能够通过现有的安全、合规、采购、计费和治理工作流,将前沿 AI 投入生产。客户可以在其信任的 AWS 环境中集成 OpenAI 功能,从而加速从评估到实际部署的进程。

关键产品与功能

OpenAI 功能通过以下方式融入 AWS 环境,提供熟悉的 AWS 运营模式并加速生产落地(支持商业区和 GovCloud 区域):

  • Amazon Bedrock 上的 Codex:将 OpenAI 领先的软件工程智能体(每周超 500 万用户使用)引入 AWS。该功能帮助开发团队在其现有的构建和交付环境中,高效进行代码的编写、审查、调试和现代化改造。

客户收益

通过在熟悉的 AWS 环境中提供 OpenAI 功能,显著降低了企业在采购、安全审查和生产准备方面的摩擦。组织能够减少处理运营障碍的时间,将更多精力投入到实际业务构建中。

未来规划与网络安全 (Daybreak)

OpenAI 与 AWS 的合作将持续扩展,未来计划推出更多专业化功能,其中包括 Daybreak

  • Daybreak 愿景:旨在改变软件的构建与防御方式,包含网络安全模型和 Codex Security。
  • 核心功能:将安全代码审查、威胁建模、补丁验证、依赖风险分析、检测与修复指导融入日常开发循环。
  • 安全团队赋能:帮助网络防御者更早发现风险、更快采取行动,并从设计层面提升软件弹性。AWS 将利用企业现有的安全、治理、采购和运营框架,为安全团队采用 Daybreak 等专业化功能提供无缝路径。
11. Florida sues OpenAI and Sam Altman over AI risks (www.politico.com)

佛罗里达州就人工智能风险起诉OpenAI及Sam Altman

核心事件

佛罗里达州总检察长James Uthmeier对OpenAI及其CEO Sam Altman提起民事诉讼。这是全美首个针对OpenAI和Altman的州级法律行动,紧随近期一系列针对大型科技公司(如Meta因儿童安全和成瘾问题在新墨西哥州和洛杉矶被判巨额罚款)的产品责任诉讼之后。

诉讼原因与诉求

  • 忽视儿童安全:Uthmeier指控OpenAI将“AI竞赛”置于儿童的安全与保障之上,批评其产品设计具有成瘾性,针对儿童并鼓励他们从事危险活动。
  • 具体诉求:要求OpenAI承担赔偿责任并修改程序,以确保加入家长控制功能,消除对儿童的安全隐患。Uthmeier希望此举能促使其他州跟进,最终迫使AI公司改变其底层编程逻辑。

枪击案与刑事调查

  • FSU枪击案:诉讼重点提及了2025年佛罗里达州立大学(FSU)导致两人死亡的大规模枪击案。检方指出,嫌疑人据称是在ChatGPT的协助和建议下作案的。
  • 独立刑事调查:除了此次民事诉讼,Uthmeier已于今年3月针对该枪击案对OpenAI启动了刑事调查。他强调,当数据中显示出明确的暴力或杀人企图时,拥有顶尖数据分析能力的AI公司理应通知执法部门。

传票与OpenAI的回应

  • 文件传票:在提起民事诉讼前,Uthmeier的办公室已向OpenAI发出传票,要求其提供多年来关于处理自残或伤害他人威胁的内部政策、培训材料,以及公司与执法部门合作的详细记录。
  • OpenAI立场:OpenAI尚未对此次诉讼作出即时回应。该公司此前曾否认有任何不当行为,并声称正在持续加强其安全防护措施。

政治与监管背景

佛罗里达州对AI的监管最初由州长Ron DeSantis推动,旨在为家长提供保护并为聊天机器人设定护栏。然而,州众议院领导人反对州级AI监管,主张 align with 特朗普的立场,将监管权交由联邦政府处理。在此政治背景下,Uthmeier成为限制AI技术无序发展的关键反对者,并正通过多个法律战线对Altman及OpenAI发起挑战。

12. DuckDuckGo makes its 'no-AI' search engine easier to access as its traffic booms (techcrunch.com)

DuckDuckGo 推出“无AI”搜索扩展,流量迎爆发式增长

核心举措与功能

  • 发布新浏览器扩展:DuckDuckGo 为 Chrome 和 Firefox 用户推出新扩展,允许将“无 AI”搜索页面(noai.duckduckgo.com)设为默认搜索引擎。
  • 纯粹的搜索体验:启用后,搜索结果将剔除 AI 辅助回答和聊天提示,并减少 AI 生成的图像。DuckDuckGo 自有浏览器用户即使清除历史记录也能保留此设置。
  • 旧扩展升级:公司计划更新适用于 Chrome、Firefox、Edge 和 Opera 的 Privacy Essentials 扩展,新增 AI 搜索设置控制选项。

流量激增与行业背景

  • Google “AI优先”改版引发反弹:Google 于 5 月宣布 25 年来最大规模的搜索改版,优先展示具备交互、图表生成能力的 AI 搜索概述及 AI 聊天模式,传统的网页链接被大幅降级。部分用户对此不满,转而寻求 DuckDuckGo、Kagi 等替代方案。
  • 数据显著增长
    • 无 AI 搜索页面周访问量增长近 30%,5 月 28 日单日访问量暴增两倍,且后续持续保持在基线水平以上约 84%,显示出用户习惯的持续性转变。
    • 美国区应用安装量周环比增长 18.1%,iOS 应用安装量峰值增长高达 69.9%。

公司的 AI 立场

  • 并非反 AI 企业:DuckDuckGo 并不排斥 AI 技术。公司仍提供自家的 AI 聊天机器人(支持接入多种主流模型),并推出了付费订阅计划,为用户提供高级 AI 模型访问权限,以及 VPN、身份盗用恢复和个人信息清除等隐私保护工具。
13. Can the stockmarket swallow Anthropic, SpaceX and OpenAI? (www.economist.com)

2026年6月,SpaceX、Anthropic和OpenAI有望迎来史上最大规模的首次公开募股(IPO)。

核心要点:

  • SpaceX 上市计划:计划于6月11日筹集750亿美元,其股票将于次日在纳斯达克交易所上市交易。
  • AI 巨头紧随其后:人工智能实验室 Anthropic 已于6月1日提交了 IPO 草案文件,其竞争对手 OpenAI 预计也将很快跟进。传闻这两家 AI 公司均计划寻求高达600亿美元的融资。
  • 巨大的市场影响:这三大“超级 IPO”若在数月内顺利完成,预计将为美国上市公司的总市值增加高达4万亿美元。
14. Debug Project (debug.com)

Debug 项目总结

项目简介

Debug 项目由科学家和工程师团队组成,旨在通过培育和释放不育蚊子来消灭传播疾病的蚊子,从而控制蚊媒疾病。

面临的挑战

  • 致命威胁:蚊子是地球上最致命的动物。其中,埃及伊蚊(Aedes aegypti)传播登革热、寨卡、黄热病和基孔肯雅热等疾病,每年致使数亿人患病,且疾病传播速度日益加快。
  • 传统方法局限:多数蚊媒疾病缺乏有效的疫苗或疗法;使用杀虫剂不可持续,因为蚊子会产生抗药性且药物具有毒性;人工清理积水无法彻底清除所有繁殖地。因此亟需创新的解决方案。

解决方案:以“好蚊”治“坏蚊”

  • 作用原理:项目通过释放携带天然沃尔巴克氏菌(Wolbachia)的同物种雄蚊(即“好蚊子”)。这种细菌使雄蚊无法与野生雌蚊繁育后代。由于雄蚊不吸血、不传播疾病,通过阻断繁殖,野生“坏蚊子”的数量将随时间推移而大幅减少。
  • 技术优势:该方法利用天然细菌,不使用化学药物和毒素,且不涉及基因改造。类似技术已在其他害虫防治中安全应用数十年。

当前进展与愿景

  • 落地实施:团队目前正针对埃及伊蚊开发相关技术与方法,并与国际伙伴、科学家、当地社区和政府展开紧密合作。
  • 长远目标:希望通过在社区释放足量的“好蚊子”,切实降低蚊子种群密度和疾病传播率,最终帮助数百万人获得更长寿、更健康的生活。
15. macOS needs its grid back (blog.hopefullyuseful.com)

背景与动机

作者怀念2006年 macOS Leopard 引入的“Spaces”功能,该功能允许将虚拟桌面排列为自定义网格(如 3x3),帮助用户建立肌肉记忆和空间记忆,实现如操作多物理显示器般的高效导航。然而,2011年的 macOS Lion 引入了 Mission Control,将虚拟桌面强制限制为单行水平排列,破坏了空间记忆。现有的第三方替代方案或窗口管理器均无法满足作者对“独立工作站”概念的需求。

解决方案:GridLion

受他人去除 macOS 空间切换动画的启发,作者开发了一款名为 GridLion 的应用。该应用作为原生空间的轻量级包装器,将 macOS 的单行虚拟桌面重新映射并以网格形式呈现,支持普通桌面和全屏应用,从而恢复了基于网格的高效空间导航。

开发挑战与技术限制

  • 权限获取繁琐:应用需要“辅助功能”权限以捕获全局快捷键,以及“屏幕和系统音频录制”权限以生成空间预览。macOS 的权限申请流程复杂,且系统弹出的安全警告提示过于严苛和吓人。
  • 分发与支付限制:由于 GridLion 调用了私有 API 来获取空间信息,无法上架 Mac App Store。作者最终选择 Lemon Squeezy 作为记录商家(Merchant of Record)来处理应用外的支付、税务和许可证验证。
  • 系统 API 限制:由于缺乏可靠的官方 API,应用无法直接实现跨显示器移动空间或窗口(需依赖原生 Mission Control),也暂未实现应用启动时自动固定到特定网格位置的功能。

对 LLM 辅助开发的思考

作者在开发中使用了大型语言模型(LLM)。他认为 LLM 能大幅加速代码编写,但在处理用户界面和用户体验(UX)时,由于缺乏对交互“感觉”的反馈循环,仍必须由人类开发者把控细节。在 AI 代码生成时代,开发者对产品的用心、设计决策和细节打磨依然具有不可替代的核心价值。

最终愿景

作者希望苹果能在未来的 macOS 更新中,原生恢复基于网格的虚拟桌面布局。在此之前,GridLion 为需要高效空间导航的用户提供了一个完善的解决方案。

16. Alphabet announces $80B equity capital raise to expand AI infra and compute (abc.xyz)

Alphabet 800亿美元股权融资计划

  • 发布时间:2026年6月1日
  • 核心事件:Alphabet 宣布计划进行规模达 800 亿美元的股权融资。
  • 资金用途:筹集的资金将主要用于扩展人工智能(AI)基础设施以及提升计算能力(算力)。
  • 详细资料:官方投资者关系网站已提供该新闻稿的完整 PDF 文件链接,供投资者下载与查阅。
17. A walking tour of surveillance infrastructure in Seattle (coveillance.org)

西雅图监控基础设施徒步之旅指南摘要

本指南是一份旨在揭示“智慧城市”中隐藏监控技术的实地工作坊材料。通过西雅图市中心的徒步路线,帮助公众识别日常环境中的监控设备,了解其数据收集机制及背后的社会影响。指南将每种监控技术分为地址、外观、功能、工作原理、社会讨论及参考资料等维度进行深度解析。

核心监控站点与技术解析

  • 监控摄像头:广泛分布于街道、建筑及室内。具备视频记录、远程控制及联网共享功能。指南引导公众反思无处不在的监控对社会结构和个体隐私的深远影响。
  • Amazon Go 无人便利店:通过门禁App和密集的头顶摄像头追踪顾客的移动轨迹与浏览习惯。结合线上线下购买数据,企业可进行深度用户画像,且面临缺乏透明度与第三方数据共享的监管空白。
  • 自动车牌识别器 (ALPR):安装于高流量路段或警车上的摄像头,利用光学字符识别(OCR)记录车牌、时间与位置。主要用于交通评估、停车与警务执法。由于缺乏严格法规,存在数据长期保留、跨机构共享以及“范围蔓延”(数据被用于原始目的之外的商业或调查)的严重隐私风险。
  • Acyclica 流量追踪器:安装于交通信号箱上的设备,通过广播虚假Wi-Fi网络捕获路过手机发出的探测数据包(包含唯一的MAC地址),从而构建用户的位置历史。其收集的数据存在超出原始目的、被执法或情报机构滥用的隐患。
  • 华盛顿州融合中心 (WSFC):9/11事件后成立的情报共享枢纽,连接地方、州、联邦执法机构及私营部门。该中心通过协议远程访问各类数据库,因其曾参与政治活动监控、侵犯隐私以及对边缘群体的数据控制而备受争议。
  • AT&T 对等站点(NSA窃听点):外观为无窗高层建筑的电信数据交换中心。由于互联网服务提供商在此物理交汇网络流量,美国国家安全局(NSA)借此节点对海量通信数据进行大规模窃听与监控。

总结与延伸讨论

徒步结束后,指南建议开展小组讨论,核心议题包括:

  1. 个人如何规避或“逃离”被全面监控的智慧城市。
  2. 美国不同城市间监控部署与政策的差异。
  3. 剖析私人、地方、州、联邦及企业等不同层级监控体系的交互与融合机制。
18. Age verification for social media, the beginning of the end for a free internet? (mullvad.net)

社交媒体年龄验证正全球蔓延,名义上旨在保护儿童,实质上是为政府全面控制互联网、实施大规模监控和审查奠定基础。

全球趋势与身份验证的本质

澳大利亚、巴西、欧盟及美国多州等正推进或实施社交媒体年龄限制。尽管科技巨头已掌握用户数据,政客仍强制推行验证。目前的年龄验证本质是身份验证,要求用户提供身份信息。这终结了网络匿名性,对言论自由产生“寒蝉效应”。在多国(如英、德、美),网络言论已导致用户被捕,强制身份验证将直接威胁活动人士和吹哨人的安全。

规避工具限制与系统级控制

为绕过限制,用户常使用VPN。这促使英、法、美及欧盟政客考虑对VPN实施身份验证,此举不仅破坏隐私,还讽刺地让儿童更易被第三方追踪器监控。

控制正延伸至应用商店和操作系统(OS)层面。苹果已在部分国家的应用商店和英国iOS系统中强制实施身份验证,未验证设备将被限制访问。为实现彻底控制,巴西和美国加州等地已要求OS级别验证。由于开源系统无法被完全控制,追求绝对控制的国家最终可能禁止公民使用非国家控制的设备和软件。

欧盟方案与零知识证明(ZKP)技术

欧盟推出了一款号称“完全匿名”的年龄验证应用,计划采用零知识证明(ZKP) 技术。其结构是用户通过政府等发行方获取年龄凭证,向平台证明年龄而不暴露身份。但该设计存在以下缺陷:

  • 缺乏完整ZKP:应用目前无完整ZKP功能,默认回退至非ZKP模式。此模式下,发行方可将凭证与用户真实身份关联,无法实现真正匿名。
  • 后门风险:即使未来实现ZKP,政府也可随时禁用该功能,使系统回退至全面身份追踪模式。
  • 排斥与审查:该技术排斥无身份证件群体,并允许国家通过拒发凭证剥夺特定个体的网络发言权。

结论

“保护儿童”正被用作推行大规模监控的借口。从美国的《儿童在线安全法》(KOSA)、英国的《在线安全法》到欧盟的客户端扫描计划,年龄验证实际上是破坏端到端加密、剥夺数字隐私和终结自由互联网的工具。

19. Show HN: Eyeball (eyeball.rory.codes)

Eyeball 项目简介

Eyeball 是一款专为鼠标或触控板的高精度点击操作而设计的应用(或游戏)。

核心特点与操作建议

  • 最佳操作设备:该项目专为鼠标或触控板的精确点击而构建,建议使用此类设备以获得最佳体验。
  • 触屏设备限制:虽然支持触摸屏操作,但由于手指点击的精度不足以应对竞争需求,因此不推荐在触屏设备上使用。
20. Stop Ruining It (seths.blog)

本文的核心观点是:许多宝贵的品质和结果并非通过刻意“添加”或“创造”而来,而是通过避免“破坏”其原本状态而自然保留下来的。

作者通过以下五个具体场景阐述了这一理念:

  • 产品的音乐性:音响的音乐性不是放大器额外添加的功能,而是停止破坏后自然呈现的结果。
  • 客户满意度:不是项目中刻意附加的元素,而是只要不去破坏就能留存的状态。
  • 好奇心:不是教育完成后才产生的,只要教育系统不加以破坏,它就一直存在。
  • 工作满足感:并非由老板刻意创造,而是老板不去破坏时员工自然拥有的感受。
  • 品牌信任:不是通过广告营销活动建立起来的,而是营销人员不去破坏时自然积累的。

总结而言,无论是产品体验、个人特质、职场感受还是品牌关系,其核心价值往往源于“不去破坏”(Stop Ruining It),而非“刻意添加”。

21. Chipotlai Max (github.com)

Chipotlai Max 项目摘要

项目简介

Chipotlai Max 是一个基于 OpenCode 的恶搞(meme)分支项目,旨在将 Chipotle 的客服机器人“Pepper AI”作为默认的 AI 编程代理模型,从而实现免费的代码推理。

背景:2026年3月,用户发现 Chipotle 基于 IPsoft Amelia 的客服机器人 Pepper 具备解决编程问题和编写代码的能力。开发者 @Gonzih 逆向了其后端,发布了一个兼容 OpenAI 的本地代理。本项目在此基础上,将 OpenCode 分叉并硬编码 Pepper 为默认模型,结合 Chipotle 品牌元素打造而成。

核心配置

项目开箱即用,预配置了以下参数以连接本地代理:

  • Provider: chipotle-pepper
  • Model: pepper-1
  • Base URL: http://localhost:3000/v1
  • API Key: 任意字符(如 burrito-2026
  • 成本: $0.00(利用 Chipotle 的云端算力)

安装与启动

项目支持通过脚本一键启动或手动分步启动:

  1. 克隆与安装:使用 git clone --recursive 克隆仓库,并通过 bun install 安装依赖。
  2. 一键启动:运行 ./start-chipotlai.sh 同时启动代理和 CLI。
  3. 手动启动
    • 终端 1:进入 chipotle-llm-provider 目录,运行 npm install && npm run dev 启动代理。
    • 终端 2:运行 bun run dev 启动 Chipotlai Max。

风险与法律声明

  • 合规性:逆向工程生产环境的客服机器人可能违反服务条款(TOS),存在面临法律诉讼的风险。
  • 稳定性:代理随时可能因官方修复而失效(Chipotle 已于2026年3月修补了该漏洞)。
  • 限制:受匿名会话速率限制(MAX_POOL_SIZE=5)。
  • 用途:仅供教育和恶搞目的,严禁用于生产环境代码库。

社区贡献与扩展

由于 Chipotle 已修复漏洞,项目目前致力于逆向工程其他大型零售商(如 Home Depot、Target、Starbucks、Walmart、McDonald's 等)的客服机器人。

贡献流程

  1. 寻找能回答通用问题的企业客服机器人。
  2. 逆向工程其 API(如 WebSocket、REST 等)。
  3. 参考 chipotle-llm-provider 模板,构建兼容 OpenAI 的代理(Express 服务器 + WebSocket 客户端 + /v1/chat/completions 端点)。
  4. 提交 PR,将新 Provider 添加至 packages/opencode/src/provider/ 目录。

许可证

继承自 OpenCode 的 MIT 许可证

23. Strace-ui, Bonsai_term, and the TUI renaissance (blog.janestreet.com)

Strace-ui、Bonsai_term 与 TUI 复兴

Strace-ui:交互式系统调用跟踪工具

strace-ui 将传统的 strace 转化为交互式终端用户界面(TUI),解决了原工具输出难懂、难以跟踪子进程和过滤系统调用的痛点。其核心功能包括:

  • 智能标识与格式化:为 PID 分配短标签,格式化结构体,并将缓冲区渲染为十六进制转储。
  • 交互式过滤:支持动态隐藏无关系统调用,通过快捷键跳转或过滤特定文件描述符(FD),并智能跟踪跨 fork 的 FD 重用。
  • 增强可读性:支持快捷键查看 man 手册,将 IP 地址反向解析为主机名,使网络行为一目了然。

Bonsai 与 Bonsai_term 框架

Bonsai 是一个基于 OCaml 的响应式 UI 框架,最初用于 Web 开发(Bonsai_web)。其组件以纯函数状态机实现,支持增量计算以避免不必要的重新渲染,并允许前后端共享语言和类型系统。 Bonsai_termBonsai 核心在终端环境下的延伸。它继承了状态管理和增量计算的优势,使开发者能以声明式、类型安全的方式构建 TUI。此外,Bonsai_term 作为常规 OCaml 程序,不受 js_of_ocaml 的浏览器 API 限制,可无缝使用所有原生库和工具。

TUI 复兴与 AI 驱动的开发闭环

随着 AI 编程代理(如 Claude Code)的普及,TUI 因其轻量、极速和键盘驱动的特性迎来复兴。Bonsai_term 在此背景下迅速发展,并展现出与 AI 辅助开发的高度契合:

  • 截图测试(Screenshot Tests):结合 expect 测试框架,开发者可编写模拟终端操作的集成测试,并将 UI 状态以文本“截图”形式输出。
  • AI 友好闭环:纯文本输出使 AI 代理能轻松运行测试并读取 diff 结果进行自我检查。这种闭环大幅提高了 AI 生成代码的首次正确率,使 strace-ui 等复杂工具的原型开发仅需不到十分钟。

繁荣的 TUI 生态

得益于框架的易用性、高度可组合的组件生态以及 AI 的高效辅助,Jane Street 内部涌现出大量 TUI 应用,涵盖交易系统时间旅行调试、Linux 自动化管理、CI 监控、日志探索和代理编码会话管理等。开发者无需具备 Bonsai 经验即可快速上手,构建出专注实用性的高性能终端工具。

24. Michael Burry says neither SpaceX nor Anthropic is worth $1T (www.businessinsider.com)

迈克尔·伯里质疑SpaceX与Anthropic的万亿美元估值

“大空头”原型、知名投资者迈克尔·伯里(Michael Burry)近期在其Substack平台上对SpaceX和AI初创公司Anthropic的高昂估值表达了强烈质疑,认为两者的实际价值远未达到万亿美元级别。

对SpaceX估值的看法

  • 财务数据不支持高估值:SpaceX于5月20日提交的S-1招股书显示,其去年营收为187亿美元,净亏损达49亿美元。尽管市场传闻其上市目标估值约为2万亿美元,但伯里认为文件中没有任何迹象表明其值1万亿甚至2万亿美元。
  • 股价上涨依赖炒作:他指出,SpaceX股价的任何上涨都将是基于市场炒作和技术面因素,而非基本面支撑。

对Anthropic及AI行业的看法

  • 长期价值存疑:Anthropic近期以9650亿美元的估值完成融资,并为更高估值的上市铺路。伯里对此表示怀疑,认为没有保障或强烈迹象表明该公司长期价值能接近1万亿美元,并调侃在支付1万亿美元前他需要“数24万年”才会重新考虑。
  • 算力需求为“虚假信号”:伯里认为开发前沿AI模型“过于昂贵且依赖暴力计算”。他警告当前疯狂抢占算力的“tokenmaxxing”趋势不会持久,这种盲目扩建和订单激增将导致几年后出现严重的算力产能过剩。
  • 算力终将商品化:他预测,随着时间推移,计算能力将像互联网使用一样被商品化,当前的AI算力狂热是一种虚假的需求信号。

背景信息

  • 伯里因成功预测并做空2000年代中期的房地产泡沫而闻名,去年底已从经营对冲基金转型为在Substack上分享个人投资分析。
  • 针对上述质疑,SpaceX和Anthropic均未立即回应媒体的评论请求。
25. GrapheneOS Speech Services version 2 released (discuss.grapheneos.org)

核心事件

  • 发布产品:GrapheneOS 语音服务(Speech Services)
  • 发布版本:第 2 版(Version 2)
26. AI Agent Guidelines for CS336 at Stanford (github.com)

Student version of Assignment 1 for Stanford CS336 - Language Modeling From Scratch - assignment1-basics/CLAUDE.md at main · stanford-cs336/assignment1-basics

27. How is Groq raising more money? (www.zach.be)

融资背景与“收购”真相

据Axios报道,AI芯片公司Groq正寻求6.5亿美元融资。尽管去年12月Nvidia“收购”了Groq,但实际上Nvidia仅获取了其技术授权并雇佣了核心的芯片设计与软件团队,并未收购Groq的公司实体。Groq实体保留了下来,继续运营其数据中心和推理API服务。

核心资产与业务定位

Groq目前的业务核心是提供针对较小模型(最大支持120B参数)的极速推理API。受限于其全SRAM架构缺乏高带宽内存(HBM),服务前沿大模型的成本过高,但该架构在小模型推理上能实现极高的每秒Token生成量,尽管每美元生成的Token数较低。 更重要的是,Groq拥有四个已全面运营的大型数据中心。在当前AI数据中心建设因电力、监管和供应链问题面临严重延迟的行业背景下,这些现成的基础设施和保留下来的数据中心建设与运营团队,构成了Groq极具战略价值的核心资产。

融资吸引力与估值逻辑

对于难以直接投资数据中心资产的风投而言,Groq作为一个具备专业运营能力的私有推理数据中心运营商,具有独特的投资吸引力。对标上市的AI数据中心公司(如拥有43个数据中心、估值500亿美元的CoreWeave,以及拥有11个数据中心、估值500亿美元的Nebius),Groq现有的数据中心资产本身可能就价值数十亿美元。此外,由于核心差异化技术已被Nvidia获取,Groq目前的估值可能处于极低水平,从而吸引投资者。

面临的挑战与风险

尽管资产优质,Groq仍面临多重挑战:

  1. 硬件老化与技术独占性丧失:现有数据中心使用的是7年前的LPUv1芯片。同时,基于Groq架构的新一代LPUv3芯片正由Nvidia向所有云提供商公开销售,导致Groq失去了极速推理的技术独占优势。
  2. 品牌认知与商业模式风险:公司在“被收购”后继续运营的状态容易引发市场困惑。此外,Groq的品牌与“超高速、高成本”推理强绑定,而在微软和Uber等巨头对AI工具高成本发出警告的当下,低速批量推理可能更具市场主导地位。

未来展望

Groq未来的竞争力取决于几个关键因素:Nvidia是否会在基于Groq技术的硬件采购上给予其优惠;Groq能否顺利为现有数据中心升级新硬件以维持与其他云提供商的竞争力;以及其坚持的“高速、高成本”推理商业模式在长期市场中是否能被验证成功。