2026-06-16

36 篇热帖

1. A backdoor in a LinkedIn job offer (roman.pt)

上周,作者收到一家小型加密初创公司“招聘人员”的LinkedIn私信。对方以招聘牵头工程师修复概念验证项目为由,要求作者审查一个公开的GitHub仓库,并特别让其“查看已弃用的Node模块问题”。

出于警觉,作者未在本地直接克隆,而是在Hetzner上启动了一次性VPS,并在只读模式下使用AI代理Pi(仅启用文件读取工具)审查代码。代理几乎立刻在app/test/index.js中标记了异常。

该文件约250行,伪装成测试套件。代码通过字符串拼接组装出一个外部URL:

const protocol = "https",
  domain = "store",
  separator = "://",
  path = "/icons/",
  token = "77",
  subdomain = "rest-icon-handler",
  bearrtoken = "logo";

最终拼接为 https://rest-icon-handler.store/icons/77。在大量被注释掉的测试代码之间,隐藏着一个压缩成单行的payload,会执行服务器返回的任意内容。

该后门不需要等待测试运行。app/index.js通过require('./test')直接加载并执行app/test/index.js。而package.json中的prepare脚本会在运行npm install时自动执行,它调用app:pre脚本,即node app/index.js。因此,只要受害者按照“检查弃用模块”的指示运行npm install,就会触发后门,从远程服务器下载并执行第二阶段代码。

作者进一步调查发现,仓库全部39条提交均冒用了一位真实全栈开发者的姓名和邮箱。联系后,该开发者表示自己从未参与此项目,此前也曾被人冒用身份创建仓库并投诉下架。

此外,LinkedIn上的“招聘人员”身份也盗自一位真实的艺术记者,其背景完全非技术。当作者佯称项目无法安装时,这位“记者”立刻变身为Node.js与npm专家,反复催促运行npm install

作者指出,这类攻击极具欺骗性,即使在疲惫或匆忙时也可能中招。此次使用只读AI代理审查代码,比人工阅读更快发现了被伪装成新手拙劣代码的后门。作者已向GitHub和LinkedIn举报,但截至目前仓库与相关账号仍未被处理。

2. I admire Fabrice Bellard. He is almost certainly a better overall programmer (twitter.com)

John Carmack 对 Fabrice Bellard 的高度评价

  • 核心帖文:id Software 创始人 John Carmack(@ID_AA_Carmack)于 2026 年 6 月 8 日在 X 平台发文,公开表达对法国程序员 Fabrice Bellard 的敬佩,称“从整体上看,Fabrice Bellard 几乎毫无疑问是一名比我更优秀的程序员”。该帖文截至记录时已有约 65.46 万次浏览。

  • 背景补充:用户 Spencer Baggins(@bigaiguy)在回复中介绍,Bellard 是一位常年低调居住在巴黎的法国工程师,近 30 年来开发了支撑现代互联网运行的多项基础软件,包括 YouTube、Netflix、TikTok 等主流流媒体平台所依赖的播放代码,以及虚拟化相关的核心代码。

  • 元数据信息:页面包含 JSON-LD 结构化数据(类型为 SocialMediaPosting),记录了帖文作者、发布时间为 2026-06-08T21:21:12.000Z、帖文标识符 2064095424420487226,以及对应的 X 平台 URL。

3. TinyWind: A pixel pirate sailing game with real wind physics (380k+ kms sailed) (tinywind.io)

TinyWind 是一款基于浏览器的免费像素艺术海盗帆船游戏,无需安装即可直接游玩。游戏以真实的帆船物理系统为核心机制,玩家需要掌握横风行驶(beam reach)、抢风航行(tack)、顺风转向(jibe)以及舷侧齐射(broadside)等专业技术,在约5分钟的短途航行中操控船只。

游戏地图包含7座岛屿,玩家的主要目标是在航行过程中躲避或超越皇家海军(Royal Navy)的追击。凭借其即开即玩的轻量设计和基于真实风动力的操控体验,该游戏已吸引玩家累计航行超过38万公里。

4. Mechanical Watch (2022) (ciechanow.ski)

机械手表机芯(movement)是纯机械装置,无需电池即可运行。其核心时间keeping系统由七个主要元件组成。

动力来源:能量储存在发条盒(barrel)内的主发条(mainspring)中。主发条是一种特殊的S形螺旋扭簧,通过条轴(arbor)旋紧储能。发条外端的金属摩擦条(metal strip)与发条盒壁产生摩擦,既固定发条又能在过度上链时打滑,防止损坏。上紧的发条通过发条盒旋转释放能量。

齿轮传动:由于发条盒仅能旋转约7圈,而秒针需转动约2400圈,机械表使用多级齿轮传动链(going train)——由发条盒(第一轮)、第二轮、第三轮和第四轮组成。每根轴上装有大齿轮和小齿轮(pinion),逐级提升转速,同时缩小体积。齿轮采用摆线(cycloidal)齿形。

擒纵机构与摆轮:擒纵轮(escape wheel)与镶嵌红宝石的叉瓦(pallet fork)构成擒纵机构,控制能量间歇性释放。摆轮(balance wheel)与游丝(hairspring,常用Nivarox合金以抵抗温度变化)组成振荡系统,通过调节游丝刚度和摆轮转动惯量来控制频率(本文机芯为28,800次/小时,即4赫兹)。摆轮底部的宝石滚轮(jewel roller)撞击叉瓦,使其往复摆动;叉瓦上的牛角(little horn)与摆轮上的缺口盘(notched disk)防止误锁。擒纵轮每隔一定角度“解锁-锁定”,推动摆轮持续振荡,同时通过齿轮系驱动第四轮上的秒针平滑转动。

主夹板与装配:主夹板(mainplate)是机芯基座,镶嵌红宝石轴承并注微量润滑油以减少摩擦与磨损。擒纵轮、叉瓦及齿轮系由夹板(bridge)固定。摆轮组件包含调节机构:黄色部件调节游丝固定端以平衡“滴答”时间,蓝绿色快慢针调节游丝有效长度以校准速率;轴尖由防震装置保护。

上链与离合:条轴上的棘轮(ratchet wheel)与棘爪(click)机构配合,允许单向储能。冠状轮(crown wheel)与棘爪啮合,通过表冠上链。

显示传动:第四轮驱动秒针。第三轮旁的小齿轮通过传动轮带动分轮(cannon pinion),分轮与跨轮(minute wheel)、时轮(hour wheel)啮合,实现60:1和12:1的减速,驱动分针与时针。分轮与其传动轮间为摩擦配合,可单独旋转以设定时间而不损坏机芯。

日历机构:时轮带动日历跳轮板齿轮,再通过指示齿轮内的扭簧间歇性拨动日期环(date ring),由跳簧(jumper spring)锁定位置,实现午夜瞬时跳历。

无匙上条机构(Keyless Works):推拉表冠(crown)通过表杆(stem)带动设定杆(setting lever)和校正杆(corrector lever),由拨针机构(yoke)推动滑动小齿轮(sliding pinion)轴向移动。三档位置分别对应:旋紧发条(滑动小齿轮啮合上条小齿轮)、调节日期、设定时间(滑动小齿轮啮合设定轮,带动跨轮与时轮)。拉出至时间档时,停秒杠杆(stop lever)接触摆轮,实现停秒(hacking)以便精确对时。设定杆跳簧(setting lever jumper)提供三档定位。

自动上链:摆陀(weight/rotor)随佩戴者手腕运动旋转。通过两组带有单向离合 Fish-like lever 的红蓝齿轮对,将双向摆动转换为单向旋转,驱动棘轮为发条上链。

零件极其微小,机芯尺寸远小于信用卡。尽管精度与耐用性不及石英与智能手表,机械手表凭借微型齿轮、杠杆与弹簧的精密配合,展现了纯粹的机械工程之美。

5. Feds freaked over Fable 5 after 'fix this code', not jailbreak, say researchers (www.theregister.com)

美国政府此前以国家安全为由,对Anthropic旗下先进AI模型Fable 5和Mythos 5实施出口管制,限制所有外籍人士访问,迫使Anthropic全面禁用相关模型。然而,网络安全专家Katie Moussouris(Luta Security创始人、曾参与《瓦森纳协定》谈判)披露,触发这一禁令的并非所谓的“越狱”攻击,而是一个简单的三字提示词:“Fix this code.”(修复这段代码)。

据Moussouris——她称自己是在政府决策前唯一读过该第三方研究报告的外部专家——所述,研究人员向模型提供了含有已知CVE或故意植入漏洞的开源代码。当要求模型“审查安全问题时”遭到拒绝,但换成“修复这段代码”后,Fable 5不仅执行了修复,还在后续提示中生成了测试补丁的脚本。她认为,这属于标准的防御性安全操作流程(发现、修复、测试),根本不应被认定为需要出口管制的“武器级”技术。

Moussouris联合超过100名网络安全领袖签署公开信,敦促特朗普政府撤销禁令。他们警告,限制先进模型将严重削弱防御者能力:网络安全人员日常依赖AI辅助定位漏洞、编写补丁并验证修复效果;剥夺这一工具会让防御方在AI时代的对抗中处于更大劣势。与此同时,美国无法对开源权重模型或中国等国的同类先进模型实施同等管制,而这些系统很快就会具备媲美Mythos的能力。若强行封禁Anthropic模型,只会导致攻击者受害远小于防御者,最终损害美国的网络国防实力。

6. The time the x86 emulator team found code so bad they fixed it during emulation (devblogs.microsoft.com)

在一次技术往事交流中,微软老员工 Raymond Chen 分享了他同事在 Windows x86-32 模拟器团队的一段经历。该模拟器用于在非 x86 原生架构上运行 x86-32 程序,采用二进制翻译技术(类似 JIT 编译器)将 x86 指令动态转换为本地代码执行,性能远高于传统的解释器模拟方式。

团队发现,某个程序中存在极端低效的编译器代码生成问题。该程序需要在栈上分配并初始化约 64KB 的内存。标准做法是先执行栈探测确保内存可用性,再调整栈指针,最后通过一个紧凑的小循环完成初始化。然而,编译该程序的编译器采用了一种荒谬的“优化”策略——它没有生成循环,而是将循环完全展开为 65,536 条独立的“向内存写入字节”指令。由于每条指令占用 4 字节,最终共耗费 256KB 的代码空间来完成仅 64KB 数据的初始化。

这种极度浪费的代码让模拟器团队深感“被冒犯”。为了应对这一极端情况,他们特意在二进制转换器中添加了专门的检测逻辑:在翻译过程中识别出这个糟糕的函数,并将其动态替换为等效的紧凑循环,从而在模拟期间直接修复了该性能灾难。

7. Running local models is good now (vickiboykis.com)

本地大模型现已实用:从辅助搜索到代理编码

作者长期跟踪本地大模型发展,在配备 64 GB 内存和 1 TB 存储的 2022 款 M2 Mac 上,测试过 Mistral 7B、Gemma 3、OpenAI OSS-20B、Qwen 3 MOE 及 Qwen 2.5 Coder 等模型,并尝试过 raw llama.cpp + Open WebUI、llama-cpp-python、Ollama、llamafiles 和 LM Studio 等多种部署方案。

能力跃升

早期本地模型速度慢、难用且编程准确率不高。作者以“是否需要再用 API 模型复核”作为判断标准,发现 OpenAI GPT-OSS 是首个显著减少复核需求的模型,当时主要将其当作快速的“个性化谷歌”处理非时效性开发问题。而 Google Gemma 4 系列的出现使本地代理编码(agentic coding)成为可能,循环执行的准确率与速度约为前沿模型的 75%。

作者目前默认使用 gemma-4-26b-a4b(通过 LM Studio 运行),已完成多项过去难以实现的任务:将 Python 脚本重构为包含 5–6 个模块的仓库、补全符合 PEP 585 的泛型类型注解、校对博客文章、编写单元测试,以及从零搭建双塔推荐模型。所有代理工作流均在权限受限的 Docker 容器中执行。

作者还在开发一个展示 Arxiv 热榜的应用。分析日志显示,当前本地模型主要用于类似“个性化搜索/文档查询”的任务。尽管 GPU 和内存负载极高(K-V 缓存可达 64 GB),但这些简单任务在半年前仍不可能完成。新发布的 gemma-4-12b-qat 以更小的体积实现了令人印象深刻的性能,其架构也引发了关于“在性能与价格受限时应做何种权衡”的新思考。

本地代理编码的搭建方案

若自行尝试,需要准备推理引擎、代理框架(harness)和模型文件,并将框架指向本地推理端点。作者当前采用 Pi 作为代理框架、LM Studio 作为推理服务器(未来可能改用 llama.cpp 以提升速度)。

参考相关教程后,作者做了三处关键调整:

  1. 模型选择:改用更新的 gemma-4-12b-qat,体积更小、速度更快,精度牺牲不大。
  2. 安全隔离:Pi 会话在 Docker 容器中运行,仅开放 bash 权限,禁止直接执行 Python 或浏览网页(后续考虑为研究开放 curl)。
  3. 网络配置:因使用 Docker,修改了 Pi 的 models.json,通过 host.docker.internal:1234/v1 与 LM Studio 通信。

文中提供了具体的配置片段:Pi 的 models.json 定义了指向本地端点的 lmstudio 配置;docker-compose.yml 映射了配置、会话和工作区卷,并设置相应环境变量;启动脚本则根据工作目录生成容器名,并支持 --sandbox 模式启用更严格的隔离。文件修改在独立仓库中完成,Pi 在目标仓库内启动,防止代理误操作物理硬盘。

局限与优势

本地模型仍存不足:推理速度较慢、上下文长度受硬件严格限制、生态系统尚不成熟(如早期版本存在提示模板不匹配问题),作者认为目前尚未适合生产级软件开发。但优势同样突出:几乎可对全过程进行内省——实时观察 token 推理、输入输出 token 量、调整上下文窗口与量化策略、修改系统提示,甚至让多个模型相互对比。这种可控性与透明度使本地模型生态值得持续投入,工具链也在快速迭代改善。

9. Typst 0.15.0 (typst.app)

Typst 0.15.0(2026年6月15日)带来了多项重大功能、改进与破坏性变更,核心内容如下:

主要新功能

  • 可变字体:支持通过 textvariations 参数或自动映射字重、宽度等常用坐标轴来使用可变字体;家族名会自动去除 “Variable”“Var”“VF” 后缀以统一静态与可变字体家族。
  • HTML 导出:数学公式默认通过 MathML 导出,提升语义与可访问性;boxblock 语义与分页导出一致,分别用于将块级内容行内化、将行内内容块级化;调整段落分组规则,避免意外生成 <p>;HTML 默认压缩,可使用 --pretty
  • Bundle 导出(实验性):单个项目可输出多文件,支持混合生成 HTML、PDF、PNG、SVG 及任意资源。
  • 其他:单文档支持多个参考文献;可同时针对多种 PDF 标准;新增 within 选择器、divider 元素(主题分隔线)、专色(Spot Colors)以及 path 类型(可跨文件/包传递的项目相对路径)。

语言与库改进

  • 布局:在 box、block、列表项等更多场景中保留基线信息,修复列表标记与首行基线对齐及列表内部居中问题;支持既是 weak 又是 fractional 的间距。
  • 文本:修复 CJK-Latin 混排间距与 lorem 字数偏差;更新 New Computer Modern Math 至 8.1.0,默认数学花体样式改变,可通过 stylistic-set: 6 恢复旧样式。
  • 数学math.class 仅作用于直接主体,不再递归;更多符号(如 chevron.l)可直接作为定界符调用;修复伪函数调用和嵌套角标顺序问题。
  • 基础panic 直接输出字符串而非 reprrepr 对样式和位置的显示更具区分性。

破坏性变更与移除

  • 移除 path 元素(改用 curve)、pattern 类型(改用 tiling)、pdf.embed(改用 pdf.attach)及各格式 decode 函数(改为直接向 cborcsv 等顶层函数传入 bytes)。
  • 部分符号与引用样式已重命名;编号系统对无法表示零的系统静默回退为阿拉伯数字的行为已弃用,未来将成为硬错误。

迁移要点

  • 基线保留可能导致原有手动微调失效;Windows 文件路径必须使用正斜杠;数学中 lr/stretch 的百分比尺寸改为相对于基本字形;math class 不再递归;HTML 的 style/script 仅接受字符串;SVG 导出不再生成 typst-* class 属性。
10. SpaceX Is Buying Cursor (www.bbc.com)

SpaceX宣布将以600亿美元收购AI编程初创公司Cursor(其母公司为Anysphere),该交易预计于9月底完成,Cursor股东将获得等值600亿美元的SpaceX股票作为对价。与此同时,SpaceX在近期登陆纳斯达克后股价飙升,已超越亚马逊,成为全球市值第五高的公司。

SpaceX近日在纳斯达克完成有史以来最大规模的公开上市,筹集857亿美元,并使埃隆·马斯克成为全球首位万亿富翁。自上周五以每股135美元公开发售以来,其股价已上涨逾50%,达到209美元,公司估值约为2.78万亿美元,超过亚马逊的约2.66万亿美元。

尽管市值实现超越,两家公司的财务表现却天差地别。亚马逊在2025年全年销售额达7169亿美元,且仅2026年第一季度就实现利润303亿美元;而SpaceX同年收入仅为186.7亿美元,并亏损43亿美元。此外,与深入日常生活的亚马逊不同,SpaceX在公众生活中的渗透率相对较低。

分析师对SpaceX高股价的可持续性提出质疑,认为其未来盈利存在巨大不确定性。风险投资家Eileen Burbidge表示,许多交易者似乎是在购买马斯克及其愿景这一“包装精良的机会”,而非基于公司财务基本面进行投资。另有分析指出,尽管市场对SpaceX股票需求旺盛,但目前仅约4%的股份可在公开市场自由交易,若机构投资者未来抛售,小股东可能面临股权稀释的风险。

Cursor是一款人工智能编程代理工具,与OpenAI和Anthropic类似,能够利用AI自动完成代码编写,企业客户包括Stripe、Adobe和英伟达,后者CEO黄仁勋曾称Cursor为其“最喜爱的企业AI服务”。SpaceX与Cursor自今年4月起建立合作关系,当时SpaceX获得了以600亿美元收购该公司,或支付100亿美元合作费用的权利。

此次收购是SpaceX发力人工智能业务、追赶竞争对手的重要一步。该公司正致力于发展其AI部门xAI(旗下拥有颇具争议的Grok聊天机器人),并计划将Cursor领先的产品及工程师渠道,与其拥有百万H100等效算力的Colossus训练超算相结合,以打造“世界上最有用的模型”。投资者 enthusiastic 的部分原因还包括 Musk 关于将AI数据中心送入太空及帮助人类殖民火星的长期愿景。

11. I Could've Rickrolled the FIFA World Cup. All I Needed Was My ID (bobdahacker.com)

摘要

一名安全研究人员通过在 FIFA Agent Platform(agents.fifa.org)注册成为足球经纪人,发现其账户被自动加入 FIFA 所有内部平台共用的 Microsoft Entra 租户。由于 FIFA 的内部应用仅在前端检查用户角色,后端 API 却未对 "NO_ROLES" 账户进行服务端验证,导致研究人员可绕过客户端的"拒绝访问"页面,直接访问多个生产环境系统。

研究人员获得了 FIFA Football Data Platform(fdp.fifa.org) 的完整访问权限,包括 2026 年世界杯所有比赛的流媒体管理面板。该面板泄露了每场比赛五个机位(PGM、战术、Camera1 等)的 RTMP 推流地址、流密钥 和预览 manifest。研究人员确认可通过 VLC 直接播放未加密的直播画面,且面板具备启停、调度流的管控功能。更严重的是,同场比赛五个机位共用同一个流密钥,外部攻击者若向 PGM(主节目信号)的 RTMP ingest 地址推流,即可替换官方直播信号,在全球转播网络中插播任意内容。

此外,该账户还能访问 Commentator Information System(cis.fifa.org),获取评论员实时数据与赛前资料;在 FDP 的"Management"界面执行写操作,修改实时比分、开球时间、战术阵容、编辑注释并发布至转播系统;甚至还发现了一个暴露的 Azure Function 开发环境,可直接下载 23 份内部 Excel 文件,包括转会报告、收入对比等敏感数据。

该漏洞在世界杯进行期间被发现。由于 FIFA 未公开安全联系方式(无 security.txt、无漏洞披露政策、无安全邮箱),研究人员发送的邮件石沉大海,WhatsApp 与多个电话均无果,最终只能联系流媒体技术伙伴 MediaKind、美国 CISAFBI 才将告警传达。漏洞在次日被修复,但 FIFA 未作出任何回应或致谢

根因在于 FIFA 采用客户端授权却未在服务端强制执行角色校验,任何通过公共门户认证的租户成员均可调用后端 API。暴露范围至少涵盖 fdp.fifa.org、cis.fifa.org 及一个 Azure 开发环境。

作者建议 FIFA:立即部署 security.txt 文件、发布漏洞披露政策(VDP)、切勿依赖前端做权限控制,并考虑建立漏洞赏金计划,避免研究人员不得不通过联邦执法机构才能联系到主办方。

12. Banned Book Library in a Wi-Fi Smart Light Bulb (www.richardosgood.com)

项目概述

作者受科幻短篇《Library》启发,开发了一个名为“Banned Book Library”的项目:将廉价的Wi-Fi智能灯泡改造成隐蔽的数字死投放点(dead drop)。灯泡通电后开启开放Wi-Fi热点并运行网页服务器,附近用户可通过强制门户(captive portal)自动访问存储的禁书。由于设备外观与普通灯泡无异,难以被察觉。

硬件选择与拆解

作者选用预装 Tasmota 开源固件的 Athom 智能灯泡,其基于 ESP32C3 芯片并支持 4MB 闪存与 OTA 更新。拆解后发现内部空间极为紧凑,主板被大量灌封胶固定,无法在不破坏设备安全性的前提下焊接 microSD 卡扩展存储。测试其他品牌灯泡(如 Philips WiZ)后,也因无法引出引脚而放弃外置存储方案,只能依赖芯片内置的 4MB 闪存。

固件与存储方案

最初尝试修改 Tasmota 源码,但因架构复杂、体积庞大而放弃。作者转用 Arduino 框架编写固件,后发现需修改分区表才能扩大文件存储空间。由于 Arduino 框架默认禁止写入敏感闪存区域,最终迁移至 ESP-IDF,并以 “Arduino as a Component” 方式保留 Arduino 的易用性,同时开启 SPI_FLASH_DANGEROUS_WRITE_ALLOWED 选项。

通过重新烧录分区表,将原本仅 320KB 的 spiffs 分区扩展至 2MB,主固件 app0 压缩至约 1.125MB,并保留 safeboot 分区用于紧急恢复。为消除隐私风险,固件启动时会擦除 nvs 分区(避免明文保存 Wi-Fi 密码),并编写了一个极简的自定义 safeboot 固件,用于在丢失网络配置的情况下仍能进行 OTA 升级。

核心功能实现

  • Web 服务器与界面:使用 AsyncWebServer 构建,首页采用手工编写的 HTML/CSS,包含书籍列表(书名、作者、被禁原因)及故障艺术效果。
  • 强制门户:部署 DNS 服务器劫持所有域名请求,并针对 Windows、Android、iOS、Firefox 等设备的探测 URL 返回特定重定向,确保用户连接 Wi-Fi 后自动弹出图书馆页面。
  • 管理后台/admin):密码保护,可通过 PWM 控制 LED 冷暖白亮度,使灯泡安装后不易被察觉;设置保存于 NVS 以便断电后恢复。
  • 恢复机制/restore):可重启进入 safeboot 模式,刷回原版 Tasmota 或其他固件,但当前无法完全还原原始 safeboot 分区类型。

局限与未来方向

4MB 闪存限制了每盏灯仅能存放数本电子书(约 350KB/本),但作者认为这种限制反而让每个投放点体现创建者的选择。未来计划包括增加 RGB 滑块精细调光,以及探索 ESP32 Mesh 网络与分布式哈希表,使多盏灯泡互联后共享书籍资源,突破单机存储上限。

13. Google Chrome update will close the door on ad blockers (9to5google.com)

Google Chrome 正在通过彻底终止 Manifest V2(MV2)支持,关闭广告拦截器的最后生存空间。这一过渡意味着包括 uBlock Origin 在内的众多基于 MV2 的广告拦截扩展将被完全禁用。

Google 推动扩展程序迁移至 Manifest V3(MV3)已酝酿多年,批评者一直指出新权限结构会破坏大多数广告拦截工具。2024 年,相关影响已大规模显现。如今,Google 正通过移除一项关键漏洞,为 MV2 画上句号。

根据 Chromium 代码提交记录,Google 已删除对 kExtensionManifestV2Disabled 标志的支持。该标志被开发者视为 Chrome 不再支持的 MV2 扩展的“后门”,也是用户继续使用旧版广告拦截器的最后技术 workaround。Google 工程师在该提交中解释,MV2 扩展在 Chrome 所有受支持版本中均不再被允许,由于维护复杂性、技术债务以及安全风险(团队近期发现多个仅存在于 MV2 中的漏洞),无法无限期保留相关功能。该工程师同时表示,其他浏览器可自行决定是否继续支持 MV2。

此举不仅直接影响 Chrome,也将波及基于 Chromium 内核的其他浏览器。据报道,Microsoft Edge 和 Opera 很可能跟进这一变更。

更新时间表已明确:

  • Chrome 150(预计 2026 年 6 月 30 日发布)将移除 ExtensionManifestV2Disabled 标志,切断主要的技术绕过手段。虽然开发者工具仍存在极为有限的临时方法,但需每会话手动修补页面元素,不适合日常使用。
  • Chrome 151(预计 2026 年 7 月发布)将进一步清除剩余相关标志,包括 ExtensionManifestV2UnsupportedExtensionManifestV2AvailabilityAllowLegacyMV2Extensions,彻底清除 MV2 扩展的残留支持。

随着这些更新逐步落地,依赖 MV2 架构的广告拦截工具在 Chrome 及其同源浏览器中的运行将被彻底终结。

14. Correlated randomness in Slay the Spire 2 (tck.mn)

《杀戮尖塔2》存在严重的“相关随机数”(CRNG)缺陷:由于C#默认System.Random的算法具有线性特性,不同用途的随机数生成器(RNG)虽使用不同种子,其输出仍存在可预测的相关性,导致玩家可通过已知随机事件推测未来随机结果。

问题根源 游戏为每个系统(如Neow、战斗、药水、事件等)创建了独立的RNG,种子设为 seed + hash("名称")。然而,System.Random的内部状态与种子绝对值呈线性关系,使得两个仅种子偏移量不同的RNG,其首个输出也存在固定的偏移关系,从而产生跨系统的强相关性。

核心影响

  • Neow遗物:选择Neow's Bones时,Underdocks有**54%概率获得诅咒"Debt",Overgrowth则有73%**概率获得"Writhe",而较温和的诅咒几乎不会出现;Large Capsule在Underdocks几乎绝迹(1.65%),且首遗物从不为普通品质。
  • 卡牌获取:Trash Heap事件在单局中绝对无法获得Rebound;Leafy Poultice的首张转化卡在Underdocks仅22种可能(共80张),Hefty Tablet在Underdocks更是只剩3种。
  • 战斗掉落:首战斗在Underdocks有76%概率掉药水,在Overgrowth则仅4%;首问号房遭遇战的分布同样严重不均。
  • 战斗随机:Defect在Underdocks首战的第一个闪电球有**75%**概率击中左侧敌人;结合Neow选项可进一步精确预测。
  • 后续事件:Act 2的Doll Room、Ancient奖励(如Pael/Tezcatara的选项)、Crystal Sphere的位置等,均可通过与首战斗金币数、Neow遗物等关联进行预测。

修复建议 该问题易于修复。作者建议用非线性伪随机数生成器(如PCG32)替代System.Random,只需少量代码改动即可消除所有相关性。另一种方案是采用基于密码学哈希函数的随机函数,以种子和上下文参数直接生成结果,彻底解耦各随机事件。

16. Game Engine White Papers Commander Keen (forgottenbytes.net)

《The Game Engine White Papers: Commander Keen》于2026年3月28日发布,距离原版游戏1990年12月问世已逾35年。该书共214页,采用全彩印刷,详细回顾了上世纪80年代末至90年代初的PC游戏开发环境与技术细节。

版本与获取方式

  • 纸质版:可通过亚马逊多国站点(如美国、荷兰等)购买。
  • 电子版:提供高分辨率PDF,可免费下载。
  • 源代码:书籍相关源码已在GitHub开源。

内容涵盖 书中深入探讨了当时的硬件架构,包括80286处理器、EGA显卡、声卡及键盘等外设;同时涉及游戏资源管理、游戏引擎本身的实现,以及该作CGA版本的开发过程。

创作背景 作者耗时三年多完成本书,称其创作体验宛如回到青少年时期,重现在MS-DOS系统上用C语言与汇编语言调试代码的过程。通过这一工作,作者深入了解了当时的硬件特性及早期开发者面临的技术挑战。

勘误 作者已尽力确保内容准确。如发现错误,读者可通过GitHub的issues页面提交反馈。

17. I Love the Computer (michaelenger.com)

I Love the Computer:一个技术爱好者的自白与反思

作者援引Aftermath Podcast中编辑Chris Person“我爱电脑”的感叹,以此为线索回顾了自己与技术相伴数十年的心路历程,并尖锐批判了当下AI炒作与资本掠夺对技术空间的侵蚀。

这份热爱发端于作者六七岁时,母亲为工作带回家的一台IBM 486 DX6电脑。在父亲去世后频繁搬迁的动荡童年里,这台运行Windows 3.0、搭载Paint与SkiFree的机器,成为生活中罕见的稳定支点,也是通往友谊、爱好与终身职业的起点。在互联网普及前,作者通过《TEKNO》《Geek》《PC Gamer》等纸质杂志初识硬件与游戏文化;尽管这些出版物不乏粗陋与厌女色彩,却也提供了一个没有弹窗、算法和注意力经济的慢速探索空间。

青少年时期移居马来西亚后,学校的永久互联网连接带来了转折。作者在GeoCities、Java游戏、论坛和聊天室中自由探索,计算机逐渐成为自我身份的核心延伸。他从最初的硬件组装走向编程之路——虽然第一次尝试因把Java代码直接存为.exe而惨败,但最终在学校与朋友的帮助下掌握了Java、C++、PHP等语言,大学攻读计算机科学,并以此为业,从网站开发到音频引擎都有所涉猎。

然而,作者对当前技术生态深感幻灭。他指出,理想主义者建立的开放互联网已沦为布满暗模式与围墙花园的注意力交易市场;营销人员与“brogrammer”文化放大了极客圈最 toxic 的一面;而开源社区的集体智慧则被“剽窃机器”攫取并高价售回。这种由贪婪驱动的现实,正摧毁他青年时代对技术乌托邦的憧憬。

尽管如此,作者仍在去中心化、联邦宇宙与自托管运动中看到希望。编程从未如此普及,技术爱好者们总能退守到自己的自由角落。面对喧嚣,他选择回归初心:做一个执着于电脑的“局外人”,继续做那些外人不在意、自己却乐在其中的“傻事”。

文章以此作结:无论技术行业如何被资本与AI hype扭曲,那份对计算机最原初的热爱——“Because, man… I love the computer.”——始终未变。

18. Humanity isn't ready for the coming intelligence explosion (www.economist.com)

Will Marshall 在《经济学人》"By Invitation" 专栏("What would Fermi do?" 系列)发表题为《 Humanity isn't ready for the coming intelligence explosion 》的文章,警告人类尚未为即将到来的“智能爆炸”做好准备。

文章将社会对核电站灾难性熔毁的可接受风险阈值(约百万分之一)与人工智能专家估算的 AI 引发灾难性事件的概率(10%–50%)进行鲜明对照,突显 AI 风险的极端严峻性。Marshall 特别指出,这一警报正由最大型 AI 实验室的创始人公开发出,而这些人通常拥有最强烈的动机去展现信心、而非散播恐慌。

作者呼吁,人类必须找到途径去管理(steward)AI,并最终学会与 AI 并肩共存。

该文刊载日期标注为 2026 年 6 月 15 日。页面其余内容包括《经济学人》订阅推广信息,以及同一栏目下其他评论文章的链接,涉及哥伦比亚政局、硅谷与道德目标、世界杯前景、欧洲对俄战略和里根经济学等议题。

19. Commodore Releases Flip Phone (commodore.net)

Commodore 发布翻盖手机 Callback,定位为连接智能手机与功能机之间的 "桥梁",主打数字极简隐私保护。CEO Peri Fractic 在官方发布文章中承认,外界可能质疑 "Commodore 为何做手机",但强调这是品牌 "友好科技" 初心的延续。

设计与核心理念 Callback 采用经典翻盖设计,其物理开合被赋予 intentional disconnection(有意识的断连)的意义——翻开获取所需工具,完成任务后合上盖,伴随着 "咔嗒" 声放回口袋,象征使用结束。这种设计类似瑞士军刀或《星际迷航》通讯器,旨在通过物理动作创造边界,避免无意识刷屏。

功能取舍 手机在系统层面屏蔽社交媒体、网页浏览器、广告、算法信息流、无尽收件箱以及跟随用户回家的工作聊天软件,以减少焦虑、FOMO(错失恐惧)和工作对生活的侵占。

同时,它保留了现代生活的必要应用:WhatsApp、Signal、Telegram、音乐、播客、地图、网约车,以及用于记录生活的相机。此外,设备内置 Commodore 64 模拟器,搭载精选经典游戏和 SID 芯片铃声,向品牌历史致敬。

系统与隐私 Callback 搭载 Sailfish OS(由 Jolla 前诺基亚工程师为 Commodore 定制),并非 Android 系统。该系统的设计理念是不将用户数据货币化或分享,用户甚至无需登录账号即可使用手机,强调 "mind its own business"。

开放性之争的回应 针对 "Commodore 应该保持开放" 的质疑,Fractic 提出重新理解 "开放":80 年代家用电脑需要开放以便用户探索学习,这是友好;如今计算设备 24 小时贴身,其 "开放" 已成为平台追踪、挖掘用户数据和推送成瘾行为的工具,这不再友好。Callback 主动放弃部分开放性,以换取将用户利益置于商业监控之上。

背书与愿景 Commodore 创始人之子 Leonard Tramiel 对此表示支持,认为数字极简和彻底的简化对许多人有益。文章最后以 "如果你能帮助朋友减轻焦虑、防止孩子被霸凌或改善成绩,你愿意吗?" 设问,阐明产品的人文导向。

产品已知版本包括 Starlight EditionBASIC Beige Edition。目前 Commodore 官网已开放预购登记。

20. Microsoft turns to AWS as GitHub faces AI capacity crunch (runtimewire.com)

Microsoft is adding AWS capacity for GitHub after AI-driven usage strained the developer platform, exposing Azure constraints and the infrastructure cost of agentic coding.

22. Google Chrome's Next Update Will Mark the End of Popular Ad Blockers (tech.slashdot.org)

Google is removing Chrome's last remaining workarounds for Manifest V2 extensions, effectively ending support for legacy ad blockers such as the original uBlock Origin. 9to5Google reports: CyberNews points out a Chromium commit that removes support for the "kExtensionManifestV2Disabled" flag, which...

23. I Fired Google (www.theartofdoingstuff.com)

One of the most irritating developments of modern life is the way companies keep improving things that were already working. Nobody asked for New Coke. Nobody asked for cars that require IT support and 3

24. How TimescaleDB compresses time-series data (roszigit.com)

TimescaleDB compression with hypercore - columnar storage with up to 98% ratio in PostgreSQL. segmentby/orderby configuration and a benchmark for IoT and time-series.

25. Show HN: Garden of Flowers – an archive of pictorial typography before ASCII art (garden-of-flowers.heikkilotvonen.com)

An archive of ~2500 pictorial typography and letterpress works spanning four centuries, images composed entirely of type ornaments, characters, and rule. The history of ASCII art before computers.

26. Russian artist and Putin critic shot dead in Poland (www.bbc.com)

Robert Kuzovkov, who used the pseudonym Semyon Skrepetsky, has been known for his caricatures of politicians including Vladimir Putin.

27. OpenAI Losses Increased Nearly 8X in 2025, with Spending Hitting $34B (www.wheresyoured.at)

Soundtrack: In Flames - Colony

To further support my independent journalism, please subscribe to my premium newsletter. It’s $7 a month or $70 a year. If you’re subscribed to the free newsletter and logged in, you should see at the bottom right hand corner of your screen a little

28. How memory safety CVEs differ between Rust and C/C++ (kobzol.github.io)

CVE is a database used for categorizing and reporting security vulnerabilities in software. There are various kinds of vulnerabilities that can be reported. Some of them are caused simply by bugs in the program logic (like a recent CVE reported in Cargo), but some of the most nasty ones are caused by memory unsafety, which can easily lead to exploits. In this post I want to focus on the latter kind of CVEs, how they are reported, especially in libraries, and how it differs between Rust and C or C++.

30. What job interviews taught me about Kubernetes (notnotp.com)

So I've been job hunting lately. Reading job postings, doing interviews, talking to engineering teams at like a dozen companies. And I noticed...

33. Claude Corps (www.anthropic.com)

We’re launching Claude Corps, a national fellowship program for people early in their careers who are passionate about extending the benefits of AI to communities across America.

34. Fable ban was never about a jailbreak? (techcrunch.com)

The Trump administration's decision that forced Anthropic to pull its latest cybersecurity models could be reactionary, retaliatory, or both, but the message is clear: The AI industry isn't immune from U.S. government interference.