2026-06-24

30 篇热帖

1. F3 (github.com)

F3 是一种面向未来的开源数据文件格式,以高效性、互操作性和可扩展性为核心设计原则。它旨在修正上一代列式存储格式(如 Parquet)在数据布局上的不足,同时通过嵌入 WebAssembly(Wasm)解码器,使格式具备良好的跨平台互操作能力与面向未来的可扩展性。

⚠️ 注意:本项目属于研究原型,用于验证论文中的相关理念,不建议用于生产环境

构建与测试

项目目前仅在搭载 Debian 12 的 Intel 机器上完成测试。构建步骤如下:

  1. 初始化并递归更新子模块:git submodule update --init --recursive
  2. 运行 Debian 环境配置脚本:./scripts/setup_debian.sh
  3. 构建概念验证(PoC)包:cargo build -p fff-poc
  4. 运行单元测试:cargo test -p fff-poc

代码目录结构

  • format:文件格式的 FlatBuffer 定义。
  • fff-poc:F3 格式的主要实现代码,依赖 fff-corefff-encodingfff-formatfff-ude-wasm 等子目录。
  • fff-bench:论文中的基准测试与实验代码,其中 fff-bench/examples 包含大多数微基准与端到端实验。
  • fff-ude*ude 代表 User-Defined-Encoding(用户自定义编码),相关目录包含 Wasm 解码实现。
  • scripts / exp_scripts:用于运行实验的辅助脚本。

实验结果复现

如需复现论文中的实验结果,请参阅 doc/paper_reproduction.md 中的详细步骤。

许可证

本项目采用 MIT 许可证 开源。

论文引用

该项目对应 2025 年发表于 Proceedings of the ACM on Management of Data (PACMMOD) 的论文 "F3: The Open-Source Data File Format for the Future"(作者:Xinyu Zeng, Ruijun Meng, Martin Prammer, Wes McKinney, Jignesh M. Patel, Andrew Pavlo, Huanchen Zhang)。

论文指出,现有主流开源列存格式(如 Parquet、ORC)诞生于十余年前,其设计难以适配当今硬件与工作负载环境;虽有更新,但多数部署无法支持全部特性,且底层缺陷难以在不重写格式的情况下根除。F3 通过自描述的数据组织结构与通用 API,让开发者能够便捷地添加新编码方案,从而避免每次计算范式转变时都需创建新格式。每个 F3 文件内嵌数据、元数据以及用于解码的 Wasm 二进制文件,嵌入开销仅需数千字节,即可在原生解码器不可用时确保任何平台的兼容性。评估表明,F3 的存储布局与 Wasm 驱动解码机制均具备显著优势。

2. We're making Bunny DNS free: because a faster internet won't build itself (bunny.net)

bunny.net宣布将其智能解析服务Bunny DNS完全免费,以推进其"让互联网更快"的核心使命。

免费政策与规模 Bunny DNS最初是为Bunny CDN提供性能调度的内部路由引擎,四年前正式对外发布,目前已支持超过30万个域名,每月处理近2000亿次查询。官方决定彻底取消DNS查询费用,每个账户可免费托管多达500个域名,不设查询上限,不按请求数计费,智能记录和健康监控等核心功能也不再受付费计划限制(账户仍需满足每月1美元的最低消费要求)。

平台整合与易用性 bunny.net将DNS定位为连接其整个平台的入口与核心。为降低迁移门槛,新推出了自动区域扫描功能,可自动检测常见记录并重建配置,也支持直接上传BIND文件。此外,用户可直接在DNS记录界面通过"一键加速"开启CDN服务(系统自动创建Pull Zone),并通过"一键安全"启用Bunny Shield,在边缘节点过滤攻击、吸收DDoS流量,实现性能、安全与路由的统一管理。

技术改进与现代化 在免费化的同时,Bunny DNS也完成了一系列底层升级:

  • IPv6双栈支持:所有域名服务器记录均已默认支持IPv4与IPv6双栈解析,无需手动配置。
  • DNSSEC安全增强:采用NSEC Black Lies技术实现了DNSSEC,在提供防篡改验证的同时,避免暴露完整的域名结构信息,解决了传统DNSSEC可能泄漏区域信息的隐患。
  • 扩展记录类型:新增对HTTPS、SVCB记录(优化客户端连接方式)、TLSA记录(支持DANE证书验证)以及CDS/CDNSKEY记录(自动化DNSSEC密钥轮换)的支持,以满足现代应用对安全与连接控制的复杂需求。

bunny.net表示,此举旨在消除基础设施费用的不确定性,让作为流量入口的DNS服务对所有人开放,帮助开发者构建更快、更安全、更具弹性的应用。用户现在即可注册或登录开始使用。

3. Jerry's Map (www.jerrysmap.com)

Jerry's Map 是一项始于1963年的虚构城市地图艺术项目。创作者Jerry最初在工作闲暇时以涂鸦形式起步,持续绘制至1983年后将其搁置。这幅地图被存放在纽约州Cold Spring家中的阁楼里,直到被其子Henry偶然发现,才促使Jerry重拾并延续这项创作。如今,它已发展成一个由逾4000块8×10英寸面板构成的二维“虚拟世界”;组装后整体近似圆形,各面板位置以中心为原点,通过N、S、E、W坐标矩阵固定,但面板内容依据一套定制指令卡牌持续修订。

项目的核心运行机制是一套由艺术家自制的、目前约100张的特制卡牌。每当完成上一张牌的任务,便进入新周期。每张卡牌包含一个角标数字(定义“工作单元”,即需覆盖的一英寸方格数)及具体操作指令;卡牌颜色同时决定工作方向——黑色代表顺时针,红色代表逆时针。艺术家必须遵循抽到的指令行事,内容涵盖多种类别:创建新面板、调配新色、进行拼贴或丝网印刷、复制主图、使用回收材料或照片,乃至修改牌组本身(如增减或淘汰卡牌、洗牌);也可能要求完成博客、日志或社交媒体发布等记录工作。此外,卡牌也会向助手分派任务,如扫描面板建立数字档案、归档退役面板、复制现有面板及更新库存。基本原则规定:新艺术品绝不直接覆盖原有的原作,仅添加到页面新版本之上。

地图以 successive layers(逐层迭代)的方式演化,每一层取代前一层,形成完整的生命周期。基础层始于空白页(由回收纸板拼贴、厚纸、照片或流明打印构成),随后被彩色条带覆盖,再转为1英寸纸拼贴,最终形成1英寸的城市方块(按绿、红、灰、黑顺序,分别对应400至2400不等的虚拟人口)。其后依次进入虚空层(不规则纯白与黑白拼贴,进而发展为灰色和黑色城市方块)、红色维度(火焰状红色拼贴)、黑色深渊(2英寸黑色拼贴方块)、金字塔阶段(由2×2英寸开始逐层堆叠缩小的方块)。后续尚未完全显现的层级还包括洪水(蓝色拼贴)与重生(手撕牛皮纸),之后整个循环将重启,再次回到新的彩色条带阶段。

该项目的创作流程与材料经历了显著演变。第一时代(1963–1983) 使用轻型打字纸或海报纸,以针管笔、墨水、水彩等绘制,面板按时间顺序堆叠,色彩受现实地形逻辑约束,未进行展览或复制。第二时代(2003年至今,中间停歇约20年) 则引入并强化了卡牌随机指令系统,采用丙烯、马克笔及大量抽象拼贴,面板改为按坐标管理;彩色打印机的使用使得面板可复制、可跨版本重用元素,也开始在博物馆展出,并吸纳客座艺术家寄送的面板参与创作。

4. FUTO Swipe – A new swipe typing model (swipe.futo.tech)

FUTO Swipe 是 FUTO 推出的开源滑动输入模型家族,提供快速、准确的滑动输入体验,目前已集成于完全离线的 Android 应用 FUTO Keyboard 中,开发者也可下载模型自行构建。生产环境在设备端运行,延迟远低于网页端演示。

针对优质移动端滑动输入长期被隐私侵害型应用或未授权私有库垄断的问题,FUTO Swipe 以开放模型和算法提供替代方案,主要为 FUTO Keyboard 开发,也欢迎社区使用,但要求向终端用户显示归属(FUTO Model License)。

数据方面,FUTO 于 2024 年 8 月在 swipe.futo.org 发起自愿数据收集,让用户在手机上逐词滑动来自 Wikipedia 的英文句子。最终收集超过 100 万次 QWERTY 英文滑动轨迹,过滤低质量数据后,于 2025 年 3 月以 MIT 许可证在 HuggingFace 发布了含 100 万次滑动的数据集。

模型架构包含三部分:

  • Encoder:通用编码器,与布局和语言无关,用于基础滑动预测,但精度并非顶尖;
  • ContextLM:极小的单语言语言模型,利用前文语义消除不合理词汇,仅需文本数据训练;
  • Decoder:特定于语言与布局的解码器,学习布局细节以实现领先精度。由于需要对应布局和语言的滑动数据训练,目前仅提供 QWERTY 英文版本。

性能与规模:三模型配合,在束宽为 300 时,测试集 top-4 失败率约 4%;忽略词汇表外(OOV)情况后,错误率低于 1%。模型体积极小,活跃参数约 136 万,总参数约 249 万,可在低端设备上毫秒级运行,且训练仅需单台工作站 GPU,环境成本极低。

推理实现:纯模型输出需结合词典约束的束搜索才能生成候选词。为此 FUTO 发布了 C++ 编写的 swipe-library,负责完整的推理、解码与束搜索,可直接将滑动路径转换为单词预测。

许可信息:模型采用 FUTO Model License,推理库采用 GPL,数据集采用 MIT 许可证。关于训练与架构细节的论文正在撰写中。

5. Fired by Google for creating the Google workspace CLI (twitter.com)

前谷歌员工 JPoehnelt 公开称,自己两个月前因创建 Google Workspace CLI 而被谷歌解雇。该工具在发布后迅速走红,一度登上 Hacker News 榜首,在 GitHub 获得数千星标,并在短短几天内吸引了数万名实际用户。

据其描述,这段经历充满矛盾:起初,公司总监及领导层曾主动询问该工具有何可借鉴之处;但随后他却遭到法律部门质询,被追问为何在 Google Workspace 的 GitHub 代码仓库中使用谷歌 Logo 与品牌配色。他认为,自己被解雇的根本原因并非 CLI 本身,而是 Workspace 部门及某些领导、项目对“颠覆”的普遍恐惧——特别是对 智能体(agents) 技术可能给 Workspace 带来冲击的担忧。

颇具讽刺的是,在他被解雇前两天,谷歌刚刚在 Google Cloud Next 大会上宣布将推出官方 Workspace CLI。

他表示,选择公开这段经历是为了更方便地讲述自己的故事,并希望完全拥有这段经历的解释权,这也是他个人疗愈过程的一部分。最后,他感谢在近 7 年的谷歌生涯中遇到优秀的队友,以及在过去几个月中全力支持他的直属经理。

6. Founding a company in Germany: €9600, 152 days and I still can't send an invoice (paolino.me)

核心经历

一位创始人于1月底在德国注册第二家公司,历时约五个月(152天),花费超过9600欧元,至今未能向客户开具一张发票。其中约7600余欧元为各类费用,另有2000欧元股本被冻结在不可动用的账户中。

流程与费用时间线

  • 1月23日:委托律师事务所启动设立。
  • 2月至3月初:确定公司结构(PlentyLabs UG & Co. KG),起草文件。
  • 3月24日:完成公证,支付1575.24欧元公证费。
  • 3月25日:注入2000欧元股本(资金被锁定)。
  • 3月26日:法院预收300欧元
  • 4月10日及17日:两家公司先后完成商业登记,支付260欧元
  • 5月6日:委托税务代理注册,报价630欧元;提交税务问卷并申请增值税号(VAT ID)。
  • 5月28日:收到律师费账单4462.50欧元
  • 6月3日:支付会计软件费用426.97欧元
  • 6月24日:自提交税务资料已过去近七周,仍未收到增值税号。

截至6月24日,创始人已向各方支付7654.71欧元,加上冻结的2000欧元,总计支出9654.71欧元;自身开具发票数:0

无法开票的原因

国外客户需要增值税号以适用“逆向征收”机制;德国本土客户虽可暂时开票,但一旦收到增值税号就必须重新开具,因此所有开票均被搁置。

对德国创业环境的批评

作者认为,德国将设立流程设计为环环相扣、步步收费的体制,使创始人在零收入阶段即背负高昂成本。他对比爱沙尼亚和英国的线上快速注册,指出本应简化为“网页表单”的流程,却因过度依赖公证、资本验证、纸质邮件和层层审查而耗时数月。他认为这种以“信任”为名的体制未能阻止大型欺诈(如Wirecard),却以巨大的摩擦成本逼退创业者。此外,由于第一家公司的潜在“退出税”,他也无法轻易迁离德国。

番外:公司命名争议

创始人最初想用“Plenty”作为商号,但被律师以“过于普通、缺乏显著性”为由拒绝(类似“Apple”)。多次尝试如“Plenty Group”“Plenty Labs”“Plenty.is”均因含通用词汇被驳回,最终去掉空格组成生造词“PlentyLabs”才获批准。

附言:为何选择 UG & Co. KG 结构

作者解释该一人企业需要两家实体的原因:

  • 个体户注册快捷(约30欧元),但承担无限个人责任。
  • GmbH需25000欧元股本;UG虽门槛极低,但需每年留存利润直至储备达到25000欧元,且容易被客户视为“不正式”。
  • UG & Co. KG是常见结构:UG作为承担有限责任的合伙人,KG作为开展业务的合伙企业。这样既能实现有限个人责任,又能避免双重征税(利润直接计入个人收入计税)。
7. California AB 2047 makes 3D printers off-limits to students, educators, business (www.the3dprintingnerd.com)

加州AB 2047法案引发3D打印行业强烈反对

加州AB 2047法案拟通过规管3D打印机来遏制3D打印枪支,目前已获州众议院通过,现进入参议院司法委员会与公共安全委员会审议阶段,遭到3D打印行业的强烈联合反对。

行业联合行动

PRUSA Research、Maker Faire、MAKE Magazine、VORON Design、3D Printing Nerd等10家机构,及Adrian Bowyer博士、Josef Prusa等7位业界领袖联合致函加州参议院反对该法案。组织方呼吁公众——尤其是加州居民——通过邮件、电话及亲笔信联系参议院委员会成员,要求投下反对票。

核心反对论点

技术与法律根基不成立

反对者指出该法案建立在无法成立的技术与法律假设之上:

  • 技术不可行:3D打印机执行的是G代码而非判断意图,在打印层已丢失形状上下文,无法实时识别"枪支";枪管螺纹等几何特征与工业螺丝、光学支架等无数合法零件无法区分。通过旋转、缩放、分割模型或重新导出即可轻易规避形状检测。此外,不存在权威的"枪支蓝图"数据集,且现有形状识别的错误率过高。
  • 软件层面无效:Marlin、Klipper和RepRap等开源固件可在数分钟内刷新,任何软件层面的拦截都可被直接移除。
  • 立法自相矛盾:法案历经33次修正后已自相矛盾,其制造商强制条款指向的认证规则,已被同一次修正删除。
  • 违反第一修正案:强制预审CAD文件与源代码构成对受保护言论的"事前限制";要求制造商认证算法输出则属于"强迫言论"。此外,"蓝图"定义模糊,法案过度宽泛,并可能违反联邦商业条款与联邦优先权。

经济与社会影响

  • 阻碍教育:法案将波及K-12、职业培训、图书馆、社区学院及大学的正常教学。
  • 破坏开源生态:课堂普遍依赖开源3D打印设备,法案却要求开源固件达到与专有固件同等的封闭与锁定程度。
  • 处罚对象错位:每项违规2.5万美元罚款将落在学校、创客和小企业身上,而恶意使用者却能轻易绕开法律。
  • 豁免毫无意义:所谓"专门"售予娱乐工作室的豁免不具备可操作性,因为没有打印机仅为单一行业设计,致使创客与Cosplayer被排除在外。
  • 小企业负担沉重:加州小企业必须为继续销售打印机,而采购或开发尚不存在的枪械拦截软件。

法案当前状态

AB 2047已先后通过众议院公共安全、司法、拨款委员会及众议院全院投票,现进入参议院司法与公共安全委员会审议。若通过委员会,将依次接受参议院全院表决及州长签署或否决。反对团体强调,现阶段是向参院两委员会发声、阻止法案推进的关键窗口。

8. Extreme Heat conference cancelled due to extreme heat warning (www.lse.ac.uk)

伦敦政治经济学院(LSE)格兰瑟姆气候变化与环境研究所原定于伦敦气候行动周期间举办一场活动,但因英国气象局发布红色极端高温预警而取消。

该活动由格兰瑟姆研究所与苏黎世气候韧性联盟(Zurich Climate Resilience Alliance)联合主办,原计划分为两部分。

第一部分为首届 Adeline Stuart-Watt奖 颁奖仪式。该奖项由Z Zurich Foundation资助,旨在纪念已故的Adeline Stuart-Watt,表彰研究生在气候适应与韧性领域做出的杰出政策相关研究贡献。原定流程包括:由Candice Howarth介绍奖项评选过程,LSE格兰瑟姆研究所所长Nicholas Stern教授宣布获奖者,获奖者随后领奖并概述其获奖研究主题。

第二部分聚焦"极端高温:改善全球治理与加强行动",原定由Swenja Surminski主持。该环节计划汇集格兰瑟姆研究所及苏黎世气候韧性联盟合作伙伴(包括Mercy Corps、Practical Action、红十字会与红新月会国际联合会)的专业力量,分享该联盟运营国家在极端高温治理方面的进展、挑战及地方项目经验,并以炉边谈话形式探讨推进全球极端高温治理的关键挑战与机遇。

原定参会的主要贡献者包括Nicholas Stern教授、Candice Howarth、Swenja Surminski,以及来自联合国抗灾能力卓越中心、红十字会与红新月会国际联合会、英国气候变化委员会和HERA等机构的专家代表。

9. Claude Tag (www.anthropic.com)

Claude Tag 是 Anthropic 推出的团队协作功能,允许组织在 Slack 中将 Claude 作为团队成员进行调用和协作。 该功能目前以 Beta 形式面向 Claude Enterprise 和 Team 客户开放,旨在让团队通过简单的 @Claude 提及即可委派任务,使 AI 从个人工具演进为支持多人协作的异步工作代理。

核心功能与工作方式

Claude Tag 直接集成于 Slack,可被授权访问特定频道、工具、数据集甚至代码库。与 Claude Code 类似,用户用自然语言向 @Claude 发出请求后,它会将任务拆解为多个阶段并依次执行,最终在 Slack 线程中返回结果。其关键特性包括:

  • 多人协作(Multiplayer):同一频道内的 @Claude 是单一的共享实例,所有成员都能看到其工作进度,并可随时接续对话,实现类似人类团队成员的协作体验。
  • 持续学习:Claude 会在加入的频道中积累上下文,无需用户反复从头解释。在获得授权后,它还可跨其他频道和数据源学习(但不会访问私密频道),从而获得解决复杂任务所需的隐性知识。
  • 主动行为:若开启“ambient”模式,Claude 会主动追踪频道动态和连接的工具,向用户推送可能 relevant 的信息,并跟进那些未解决但已沉寂的线程或任务。
  • 异步执行:用户可以委派任务后专注于其他工作,Claude 能够自主在数小时甚至数天内持续推进项目,并支持并行委托多个任务。此外,用户也可通过私信与 Claude 进行私密一对一交互。

管理与权限控制

该功能针对企业场景设计了严格的权限隔离机制。系统管理员可为不同用途创建独立的 Claude 身份,限定其可访问的频道、工具和数据范围;各身份的记忆与数据彼此隔离(例如销售专用的 Claude 不会向工程用 Claude 传递记忆或数据)。管理员还可设置组织及频道的月度 Token 消费上限,并查看包含任务请求者在内的完整操作日志。

上线与迁移

Claude Tag 替代了原有的 Claude in Slack 应用,管理员可在 30 天内选择迁移,符合条件的组织将获得上线积分以试用该功能。其底层运行模型为 Opus 4.8。新用户设置需四步:将 Claude Tag 与 Slack 工作区配对、授权工具访问、设置月度消费限额、在私密频道中测试验证。

Anthropic 内部已广泛采用该功能,目前其产品团队 65% 的代码由内部版 Claude Tag 生成,且使用场景已扩展至追踪产品指标、处理支持工单及排查复杂缺陷等。未来计划支持 Slack 以外的更多工作平台。

10. The worthlessness of Vitamin D is mildly exaggerated (dynomight.net)

本文作者认为,尽管随机对照试验(RCT)推翻了维生素 D“包治百病”的神奇假说,但过度怀疑论者所持“除非严重缺乏否则完全无效”的立场亦属于过度纠正。综合生物学机制、进化论证据及 RCT 的局限性,对维生素 D 水平偏低者而言,补充仍是一个具有微弱正期望值的选择。

生物学上,维生素 D 不仅是调节肠道钙吸收、维持骨骼健康的“激素信号”。研究发现,几乎全身细胞都表达维生素 D 受体,且免疫、心脏、结肠等多种组织能独立将储存型 25(OH)D 转化为活性形式,在局部调控免疫、抗炎等过程。这意味着其作用可能远超出传统骨代谢范畴。虽然严重缺乏(<25 nmol/L)确会导致佝偻病和钙代谢危机,但这并不排除中等水平以上仍存在广泛的生理功能。

大型 RCT(如 WHI、VITAL、D-Health)确证维生素 D 无法将全因死亡风险降低三分之一,否定了早期观测性研究的强因果推论。然而这些试验存在重要局限:多数参与者基线水平已不低、允许背景补充、剂量不足或依从性差;部分研究(如 D-Health)采用每月 60,000 IU 的大剂量冲击疗法,可能因破坏代谢稳态而效果不佳甚至有害。若仅汇总每日给药的试验,结果对癌症死亡率(风险比约 0.88)和全因死亡率(风险比约 0.96)均呈微弱有利趋势。

作者进一步指出,即使维生素 D 的真实效益很小(如全因死亡风险比 0.96),现有试验的样本量也远不足以可靠地检出这一差异——模拟显示需近 57 万人才能达到 80% 统计效能。因此,当前“无显著差异”的结果与“存在小幅益处”完全兼容。按寿命模型推算,若风险比确为 0.96,每日坚持补充或可延长约 0.48 年预期寿命,性价比并不低。

进化证据也为“中等水平优于低水平”提供了先验支持:传统东非人群平均维生素 D 水平约 115 nmol/L,远高于现代都市人群;人类演化出浅色皮肤,正是为了在低日照环境下合成更多维生素 D,即使需付出叶酸流失和皮肤癌风险代价。这表明维持较高水平具有重要的适应性价值。

综上,维生素 D 并非神药,早期观测性研究的强关联确为非因果。但其广泛的受体分布、组织局部的信号作用及强大的进化选择压力表明,将低水平提升至中等水平(如 50–80 nmol/L)不太可能有害,且可能带来适度收益。现有 RCT 在排除奇迹式预期后,结果呈弱阳性。对于水平偏低且无充足日照者,适度补充是在当前证据局限下的明智选择。

11. In memory of the man who put red and green squiggles under words (devblogs.microsoft.com)

纪念让错别字出现红绿波浪线的男人

刚刚去世的 Tony Krueger 是一位几乎人人都用过其作品、却鲜有人知其名的开发者。

Wikipedia 记载他是将游戏《Chip's Challenge》移植到 Windows 娱乐包的人,而且是在没有源代码的情况下,通过逆向工程 MS-DOS 版并重新实现完成的。但这可能并非他影响最广泛的代码。

Krueger 曾参与 Word 1.0、1.1、2.0 的开发,随后又加入 Word for OS/2 和 Word for Mac 项目,之后又回到 Word 6.0 及后续多个版本的团队,很可能是“参与发布版本最多的 Word 开发者”。

在 Word 早期,拼写检查需要用户主动触发,程序会阻塞式地扫描全文,再逐个弹出可能拼错的单词让用户处理。后来虽然加入了空闲时自动检查功能,但这仍是阻塞操作,经常会在用户正要保存或退出时卡住,因此许多人选择关闭它。

Tony Krueger 彻底改变了这一体验:他将拼写检查改为不干扰前台工作的后台线程,并在发现问题时立即在单词下方画出红色波浪线(后来又加入了标识潜在语法错误的绿色波浪线),让用户实时看到错误。

他是魔术喜剧组合 Penn & Teller 的忠实粉丝。一位同事在观看演出后请二人签署生日照片,并介绍说:“他开发了 Word 里的红绿波浪线。”听到这话,Penn Jillette 用他那洪亮的嗓音对着整个剧院宣布:“红绿波浪线?!我爱死红绿波浪线了!”而 Teller 则以沉默表示赞同。Tony 收到这张签名照时无比开心,甚至说不清他更兴奋的是签名本身,还是偶像们喜爱自己开发的功能。

多年后,“Weird Al” Yankovic 拍摄恶搞 MV《Word Crimes》时,Word 的红色波浪线也短暂出镜。那位同事同样要到他在相关截图上的签名。

如今,红色(乃至绿色、蓝色)波浪线几乎存在于所有文字处理软件中,并且早已扩展到文字处理软件之外。**Tony Krueger 是开创者。**当下一次红色波浪线帮你抓出错别字时,不妨对他说声谢谢。

作者:Raymond Chen(微软资深工程师、著名技术博客 The Old New Thing 作者)

12. Raspberry Pi Pico W as USB Wi-Fi Adapter (gitlab.com)

Raspberry Pi Pico W as USB Wi-Fi Adapter

提供的正文内容目前仅为 "Loading",尚未加载出任何实质性信息,因此无法提取文章的主要观点、技术细节或步骤说明。请等待内容加载完成后再次提交,以便生成准确的摘要。

14. Anthropic updates their terms to verify age or identity (www.anthropic.com)

Anthropic隐私政策更新摘要

生效时间与范围 Anthropic于2026年6月8日发布新版隐私政策,并于2026年7月8日生效。该政策适用于Anthropic网站、Claude.ai及其他面向消费者的产品和服务,但不适用于企业客户通过单独协议使用的商业产品。

新增重点:年龄与身份验证 本次更新的核心新增内容为“验证数据”。在特定情况下,Anthropic可要求用户验证年龄或身份,收集的信息可能包括:政府签发的身份证件图像及其所载信息(如身份证号、出生日期)、照片或视频形式的人像、面部几何模板(在某些司法管辖区可能被视为“生物识别数据”),以及验证结果(如年龄是否符合阈值)。

个人数据收集类别

  1. 直接提供的数据:身份与联系信息(姓名、邮箱、电话等)、支付信息、输入与输出内容(Inputs/Outputs,包括聊天、编码、代理会话及第三方集成服务的内容)、服务反馈、研究参与数据、通信记录。
  2. 自动获取的技术信息:设备与连接信息(设备类型、操作系统、IP地址、时区、位置等)、使用信息(访问时间、浏览历史、点击链接、集成的第三方应用)、日志与故障排除信息、Cookie及类似技术。
  3. 用于模型训练的数据:公开网络信息、第三方商业数据集、用户的输入输出(除非用户选择退出)、用户反馈、被标记的安全与政策审查材料,以及内部生成的数据。

数据使用目的 Anthropic将个人数据用于:提供与维护服务;增强平台功能;发送服务更新与推荐;创建与管理账户;处理支付;防范欺诈、滥用及违法行为;调查与解决争议及安全问题;调试与修复错误;改进服务与开展研究(包括训练AI模型);以及执行服务条款和使用政策。即使用户选择退出数据用于模型训练,若对话被标记为安全审查或用户明确举报,Anthropic仍有权将其用于改进模型安全性和政策执行。

第三方共享与集成 Anthropic可能与关联公司、服务提供商、商业伙伴、用户所属组织共享数据。在发生并购、破产等重大公司事件时,数据可能随资产转移。当用户启用第三方应用、服务或内容(如连接器、插件、API)的集成时,Claude可能向第三方发送指令、输入和输出,或从第三方检索数据;此类第三方按其自身隐私政策处理数据,Anthropic不对其数据实践负责。此外,Anthropic可能依据法律要求、政府请求或为了保护安全与他人权利而披露数据。

用户权利与选择 根据适用法律,用户可能享有以下权利:知情权、访问与数据可携带权、删除权(单个对话可立即从历史记录中移除,并在30天内从后端删除)、更正权(但无法保证模型输出的绝对事实准确性)、反对权、限制处理权、撤回同意权,以及选择退出定向广告推广的权利。用户可通过账户隐私设置管理部分数据选项,行使权利可发送邮件至 privacy@anthropic.com

跨境传输与安全保障 作为全球公司,Anthropic将数据传输至美国及其他欧洲经济区/英国以外国家,以提供服务、训练模型和开展研究。跨境传输依赖于欧盟/英国充分性认定、标准合同条款(SCCs)或适用法规定的减损条款。Anthropic实施适当的技术和组织安全措施保护个人数据,并在数据不再需要时进行销毁、删除或匿名化处理。同时,通过聚合或去标识化技术(如将反馈与输入输出与用户ID分离)用于模型训练和安全研究。

儿童保护 服务不面向18岁以下儿童,Anthropic不会故意收集儿童信息,并已设置检测和移除机制。

区域补充规定

  • 加拿大:需明确同意收集、使用和披露个人数据;数据可能传输至加拿大境外(如美国);如发生冲突,以区域补充条款为准。
  • 巴西:依据《通用数据保护法》(LGPD),除常规法律依据外,可基于“法定权利行使”处理数据;用户享有确认处理、访问、更正、匿名化/阻断/删除、可携带性、了解共享实体等权利;跨境传输依赖ANPD批准的标准合同条款。
  • 韩国:指定Anthropic Korea, Limited为国内代表,并列出受托处理者。

联系方式 欧洲经济区/英国/瑞士用户的数据控制人为Anthropic Ireland, Limited;其他地区为Anthropic PBC。隐私相关问题可联系 privacy@anthropic.com,数据保护官邮箱为 dpo@anthropic.com

15. 75% More Pedestrians Have Been Killed Since 2009. Giant Trucks and SUVs Are Why (www.thedrive.com)

行人死亡率自2009年以来激增75%,其首要原因在于美国道路上SUV和皮卡等大型车辆的普遍化。据《纽约时报》与公路安全保险协会(IIHS)联合发布的最新研究,过去16年间,若车辆的尺寸与重量未显著增长,数千起行人死亡本可避免。

研究首次深入分析了车辆尺寸数据,估算每年约有200至400名行人因车辆变大而丧生,占近年行人死亡增幅的10%。仅2016年至2024年间,就有约3,000起死亡与车辆引擎盖升高直接相关;由于联邦数据库未涵盖停车场、私人道路等区域的事故,这一数字仍可能偏于保守。

2009年后,多重政策与市场因素共同推动了车辆“膨胀”。金融危机后油价飙升,加速了早期SUV进入二手市场。随后,更严格的排放与燃油经济性法规采用了“占地面积(footprint)模型”,允许车企在制造更大车辆的前提下放宽排放限制。加之“旧车换现金(Cash for Clunkers)”计划淘汰了约70万辆旧车,迫使消费者转向更新、更大但表面上更省油的车型。这一监管框架意外催生了跨界车(crossover)的崛起,使其取代中型轿车成为美国家庭首选。

从物理角度看,车辆撞击的致命性取决于质量、速度与受力面积。理论上,更大的接触面积可降低单位压强,但现实中车辆的平均质量持续攀升,小型车逐渐退出市场,使整体车重失控。更关键的因素是车身高度:当撞击点低于人体重心时,行人倾向于倒向车身;但当今高引擎盖的皮卡和SUV往往撞击行人重心或以上部位,导致行人被向前抛掷并卷入车底。加之高大车身造成的严重视野盲区,驾驶员甚至在事发前难以察觉行人,进一步提升了死亡风险。

简而言之,监管政策的意外后果与汽车设计趋势共同推动了车辆大型化,而由此带来的质量增加与车身高度上升,正使行人面临前所未有的致命威胁。

16. Digital euro clears key hurdle as EU seeks to break free from U.S. credit cards (finance.yahoo.com)

欧洲议会经济委员会周二批准了数字欧元草案规则,为欧洲央行推出这一电子支付工具扫清关键障碍。数字欧元旨在减少欧元区对美国信用卡组织的依赖,尤其是在跨大西洋关系日益紧张的背景下。

数字欧元本质上是央行担保的电子钱包,由商业银行或金融科技公司面向客户推广。它将允许所有欧元区居民进行线上和线下支付,使公众能够在日常交易中选择使用央行货币,从而把单一货币带入数字时代。

该项目已酝酿六年。自特朗普重返白宫并对欧盟等盟友加征关税以来,外界愈发担忧美国可能将Visa、万事达卡等支付网络的主导权武器化,数字欧元的紧迫性随之上升。草案法规指出,数字欧元将成为全欧洲支付手段,降低对非欧洲提供商的过度依赖。

然而,项目推进经历了长达三年的艰难谈判。商业银行一直担心存款流失和收入受损,试图限制数字欧元的适用范围。欧洲议会中,极右翼团体“欧洲主权国家”投了反对票,增加了草案可能还需提交全会表决的不确定性。

接下来的流程是,除非欧洲议会全会提出异议,否则议员预计将在下个月与欧盟理事会及欧盟委员会展开谈判,力争在年底前完成最终立法批准。欧洲央行计划在明年下半年启动为期12个月的试点,目标在2029年全面推出数字欧元。

放眼全球,中国已在大规模试点数字人民币,印度和巴西等国也曾开展相关试验,英国则仍处于研究阶段。与此同时,美国总统特朗普已禁止美联储发行数字货币。

17. Slate EV truck starts at $24,950 (www.slate.auto)

Slate 电动皮卡概览

Slate 电动皮卡(Slate EV Truck)起售价为 24,950 美元,定位为"最具性价比的皮卡"。该车采用 "Blank Slate"(空白画布) 理念,仅提供基础必需配置,用户可通过贴膜、配件等方式自由定义车辆外观与功能。

车型与定制化

车辆支持灵活的车身形态切换,可选择保留 双座皮卡 配置,或升级为 五座 SUVFastback(溜背式) 版本。品牌提供 200 余种配件,其中超过 80% 的配件售价低于 500 美元,降低个性化改装门槛。

官方推出多款 Starter Pack(入门风格包),展示不同的改装方向,包括:

  • Retrograde:车身风格、拉花、轮毂
  • Nightwave:拉花、轮毂
  • Cali Sunset:全车贴膜、灯光、轮毂
  • Sunnyside:车身风格、全车贴膜、内饰
  • Mauvin' On Up:影音科技、车身风格、全车贴膜、内饰
  • High Visibility:灯光、局部贴膜、轮毂
  • Ice House:车身风格、全车贴膜、轮毂
  • Hauler Back:全车贴膜、轮胎
  • Area 51:车身风格、局部贴膜、轮毂
  • Farm Stand:车身风格、拉花、全车贴膜、灯光
  • Black Cherry Noir:车身风格、全车贴膜、轮毂
  • Moon Duster:车身风格、局部贴膜、轮胎
  • The Red Line:局部贴膜、轮毂
  • Purple Reign:车身风格、全车贴膜、轮毂
  • Field Jacket:拉花、全车贴膜、轮胎
  • The Professional:车身风格、全车贴膜、内饰、轮毂

这些方案涵盖车身套件、全车或局部贴膜、拉花、轮毂、轮胎、灯光及内饰升级。

DIY 与可维护性

Slate 强调 DIY 友好设计:车身面板可更换、零件易于触及,且维修手册免费向公众开放(Slate U),旨在让用户能够真正"拥有"并自行维护车辆。网站展示的图片暗示其尺寸与 福特 Maverick 相近。

充电方案

充电兼容性广泛,用户可使用普通 120V 墙壁插座240V Dryer 插座,或在全美约 29,000 个特斯拉超级充电桩(Tesla Superchargers) 进行补能,且随车包含所需设备。

商业与社区

  • 车队服务:Slate 面向企业用户,提供易于维护、维修且可按业务需求精确配置规格的车队方案。
  • 线下活动:品牌不仅在线销售,还通过实地活动、新闻动态与改装案例展示(如 Detroit 手绘卡车等)与用户互动,并鼓励潜在买家现场体验车辆。

持续更新

品牌表示将持续推出新功能、新产品及重大更新,用户可通过邮件订阅获取最新资讯。

18. Qwen-AgentWorld: Language World Models for General Agents (arxiv.org)

Qwen-AgentWorld:面向通用智能体的语言世界模型

本文提出了Qwen-AgentWorld系列语言世界模型,旨在通过基于语言模型的世界建模能力,推动通用智能体(general agents)的能力边界。世界模型能够基于当前观测和动作预测环境动态,是推理与规划的核心认知机制。

核心模型与训练方法

研究团队发布了两个基础模型:Qwen-AgentWorld-35B-A3BQwen-AgentWorld-397B-A17B。这是首批能够利用长思维链(long chain-of-thought)推理来模拟涵盖7个领域的智能体环境的语言世界模型。

模型基于超过1000万条来自7个真实世界领域的环境交互轨迹进行训练,采用三阶段训练流程:

  1. 持续预训练(CPT):从状态转移动态和增强的专业语料中注入通用的世界建模能力;
  2. 监督微调(SFT):激活下一状态预测(next-state-prediction)的推理能力;
  3. 强化学习(RL):通过包含混合评分规则与规则奖励(hybrid rubric-and-rule rewards)的定制框架,进一步提升模拟保真度。

评估基准与实验结果

为系统评估语言世界模型,研究团队构建了AgentWorldBench综合基准。该基准基于5个前沿模型在9个已有基准测试上的真实交互数据构建而成。实证结果表明,Qwen-AgentWorld在该基准上显著优于现有前沿模型。

增强通用智能体的两种互补范式

除了作为基础模型,本文还探索了世界建模增强通用智能体的两种应用范式:

  • 解耦的环境模拟器:Qwen-AgentWorld可作为可扩展、可控的环境模拟器,支持在数千个真实世界环境中进行智能体强化学习(agentic RL)训练。实验表明,结合模拟器训练带来的性能增益超越了单独在真实环境中训练的效果。
  • 统一的智能体基础模型:世界模型训练可作为高效的“预热”(warm-up)阶段,能够提升模型在下游7个智能体基准测试上的任务表现。

开源资源

相关代码已开源至GitHub仓库(QwenLM/Qwen-AgentWorld)。

19. "Fix" MacBook Neo Cursor Lag: Record 1 Pixel of the Screen Every 10 Seconds (gist.github.com)

本文介绍了一个用于缓解 macBook 光标延迟(Cursor Lag)的 macOS 工具及其构建脚本。核心原理是利用 ScreenCaptureKit 维持一个开销极低的持续屏幕捕获会话,从而改善系统光标渲染性能。

工作原理 脚本会构建一款名为 Unlag Neo 的 macOS 应用。其 Swift 核心代码通过 SCStream 创建一个特殊的屏幕捕获流:仅采集 1×1 像素 的区域,每 10 秒 输出一帧,并显式启用光标捕获(showsCursor = true)。捕获的帧由 NullStreamOutput 直接丢弃,不做任何存储或处理,因此对系统资源的占用极小。作者认为保持该最小捕获会话持续活跃,可有效减少 Neo 架构 MacBook 的光标迟滞现象。

功能与架构 该应用设计为无 Dock 图标的状态栏工具(ActivationPolicy.accessory),提供以下功能:

  • 状态栏控制:通过菜单栏图标一键启用/禁用捕获。
  • 全屏自动暂停:可选在检测到前台应用进入全屏时自动暂停捕获。检测逻辑结合辅助功能 API(AXUIElement)与 CGWindowList 双重机制判断窗口是否铺满显示器,避免对全屏场景造成干扰。
  • 开机启动:集成 SMAppService 管理登录项。
  • 系统事件响应:监听系统唤醒(didWakeNotification)、屏幕参数变化及前台应用切换,自动重建观察者并调整捕获状态。

权限管理 应用需要两项 macOS 权限:屏幕录制权限(用于创建 SCStream)和辅助功能权限(用于检测窗口全屏状态)。代码内置了权限缺失时的弹窗提示,并支持一键跳转到系统设置页,授权后还可直接重启应用。

部署方式 整个工具由单个 Bash 脚本驱动。脚本自动创建 .app 目录结构,调用 swiftc 编译内嵌的 Swift 源码,写入 Info.plist 等必要元数据,最终生成可直接运行的应用包并在 Finder 中展示。

20. Don't verify email addresses by sending spam to them (milek7.pl)

文章讨论了电子邮件地址验证的荒谬做法。通常业界建议不要试图预先验证邮箱格式,而是直接发送验证链接。然而,作者发现 Pangram 网站的注册表单却采用了一种极端且不当的方式:通过向用户发送垃圾邮件来“验证”邮箱地址是否有效。

具体而言,当用户在 pangram.com/signup 填写邮箱后,页面会向 /api/validate-email 接口发起 POST 请求。随后,即使用户没有完成任何后续注册操作,该邮箱也会很快收到一封 unsolicited 的邮件,主题例如“Fact of the day: Magnetic”。这些邮件来自“Winwin Insights”等发件人,并使用大量轮换域名(如 sifgoldenshine.comclassmerge.comapiaryapiaries.com 等)以逃避检测。

作者通过邮件服务器日志揭示,该系统的投递机制与普通垃圾邮件发送者别无二致:当某个发送 IP 因被列入 DNSBL(例如 spamrats.com 或 barracudacentral.org)而被目标服务器拒收后,系统会立即从不同的服务器和域名重试投递,直到成功为止。

作者指出这种做法存在根本性矛盾,极其愚蠢。其结果无非两种:要么成功将垃圾邮件投递到用户收件箱以完成“验证”,构成骚扰;要么因目标服务器的内容过滤机制拦截了垃圾邮件,导致“验证”失败。因此,该方法既不道德也不可靠。

对于这种行为背后的成因,作者推测可能是使用了某些专门提供“邮箱验证”的第三方 SaaS 服务,甚至调侃称或许是某个 LLM 代理失控后想出的方案。文章最后补充说明,Pangram 实际发送业务邮件时使用的是 Mailgun。

21. Reid Hoffman says SpaceX 'not an AI company', xAI 'complete train wreck' (fortune.com)

里德·霍夫曼(Reid Hoffman)在近期一次播客访谈中对多家AI相关公司提出了尖锐批评,并就行业竞争格局、监管风险及年轻人就业等议题发表了看法。

对SpaceX与xAI的批评 霍夫曼直言,SpaceX“不是一家AI公司”,其通过IPO后迅速收购AI编程工具Cursor来提升AI地位的做法,是“靠买路进入相关性”,类似于巴里·迪勒(Barry Diller)在互联网时代的收购整合策略。他认为,SpaceX核心的AI基础设施租赁业务不过是“高价的CoreWeave”,并不能证明其拥有真正的AI能力。

对于埃隆·马斯克旗下的xAI,霍夫曼的评价更为严厉,称其是“一列彻底失控的火车 wreck”,并援引马斯克本人的说法指出,该公司在构建基础模型方面已经历“第三次重启”,且所有联合创始人均已出走。资料显示,截至2026年5月,xAI的11位原始联合创始人已全部离职,公司旗舰模型Grok在多项基准测试中也持续落后于Anthropic和OpenAI的产品。

对Anthropic监管事件的担忧 霍夫曼对美国政府强制Anthropic下架Fable和Mythos模型一事表示震惊。6月11日,美国政府以出口管制令形式暂停了这两款模型对外国用户的访问,起因是亚马逊CEO安迪·贾西(Andy Jassy)向白宫报告了Fable 5模型存在越狱漏洞。霍夫曼批评政府的反应“专制且随意”,缺乏可预测性和法治原则。他指出,Anthropic自身早已发现并提出过相关安全问题,却仍遭到针对性打击,而OpenAI却没有受到同等对待,这种不对称性令人不安。对于即将进行大规模IPO的公司而言,这种不可预测的监管干预构成了新的投资者风险。

Anthropic与OpenAI可共存 作为Anthropic和OpenAI的共同投资者,霍夫曼反对将两者视为“你死我活”的零和竞争。他认为两家公司都有巨大的获胜空间:Anthropic在代码领域表现强劲,并向设计和法律领域扩展;OpenAI及ChatGPT则更像面向消费者的搜索前端,其编程产品Codex的实力也被外界低估。他同时质疑SpaceX刚收购的Cursor是否已经过气,指出该产品数月前的光芒正在消退,在Claude Code和Codex的竞争下面临独立开发环境(IDE)是否还能维持高溢价的质疑。

关于市场泡沫,霍夫曼认为并非所有AI估值都疯狂,关键在于辨别良莠。他看好OpenAI和Anthropic的核心理由是:如果AI最终像电力一样普及,这两家公司将成为主要的“公用事业”提供商,正如谷歌早期并未看清AdWords的商业模式一样,当下看不到完整变现路径并不妨碍长期价值。

对Z世代的建议 针对AI对就业市场的冲击,霍夫曼建议年轻人停止将AI视为威胁。他指出,尽管数据显示2026年美国入门级岗位受AI冲击严重,但他认为的真正原因并非AI本身,而是全球局势动荡、企业投资犹豫、疫情期间的过度招聘以及远程办公模式的挑战。他鼓励Z世代以“AI原住民”自居,将AI当作工具与伙伴,利用自身对AI的熟悉度帮助组织实现AI转型,从而在职场中建立不可替代性。

离开微软与新事业 霍夫曼选择不再连任微软董事,年底将正式卸任。在任期间,他曾推动LinkedIn和GitHub的收购,并协助建立微软与OpenAI的早期合作关系。他透露,离开董事会是因为更想投身创业而非公司治理。他的新公司是AI药物发现企业Manas AI,专注于利用AI生成小分子药物提案。他的目标是将其打造为“一家创造合法垄断的AI药物发现工厂”——利用制药知识产权本身赋予的合法垄断地位,开发具有突破性的新药。

22. Trains halted across Germany because of communication system problem (apnews.com)

德国全国铁路因通信系统故障停运

德国铁路网络因通信系统出现全国性故障,于周二深夜被迫暂停所有列车运行,导致全国各地大量旅客滞留。

德国联邦铁路公司(Deutsche Bahn)在首次报告故障约两个半小时后,于凌晨1点前宣布问题已解决,列车服务正“逐步恢复”。该公司表示,故障源于铁路内部使用的GSM-R数字通信系统出现全国性问题。GSM-R(铁路移动通信全球系统)是欧洲自2000年起推行的通用标准,用于提供列车司机与控制中心之间的语音和数据通信服务。铁路公司称已查明故障原因,但未透露具体细节。

停运期间,各车站列车滞留,旅客在咨询台前大排长龙。柏林中央车站有乘客表示,工作人员也无法提供确切信息。为缓解影响,德铁向旅客发放了出租车和酒店代金券,并在有条件的情况下开放停靠站台的列车供乘客休息等候,同时就事件致歉。

据《图片报》报道,德铁首席执行官伊芙琳·帕拉(Evelyn Palla)表示,公司“通过应急系统稳定了局势”。

近年来,德国列车延误和中断投诉日益增多。国有的德铁在多年投资不足后,已开始对主要线路进行彻底但具有破坏性的升级改造,试图改善运营表现。德国铁路系统过去虽曾罕见地暂停全部或大部分列车,但以往多因暴风雨等天气原因,而非技术故障。

23. San Diego photologs from the 1970s (www.beautifulpublicdata.com)

圣地亚哥1970年代公路影像日志:通往过去的35毫米时光窗口

这篇文章介绍了作者在互联网档案馆发现的一批1970年代圣地亚哥公路影像日志(photologs)。这类日志是早期基于胶片的“谷歌街景”,通常由改装货车搭载相机逐英里拍摄公路景象。与作者此前介绍的1980年代康涅狄格州低分辨率、充满颗粒感的影像不同,这批来自圣地亚哥交通与雨水部门的资料直接扫描自35毫米胶片,画质异常清晰锐利,是作者见过最美的公路影像。

经过仔细浏览合集里的十卷影片,作者提炼出鲜明的1970年代圣地亚哥街景特征:

色彩缤纷的汽车与街道 当时的汽车拥有惊人的色彩丰富度,道路上充满了粉彩色、亮红色和各种层次的绿色,就连普通家用车也色彩斑斓。这与如今汽车几乎只有白、银、黑三色的单调现状形成鲜明对比。经作者调色和增强对比度后,阳光明媚的街道、粉彩车身与各式招牌显得格外鲜亮,呈现出一种类似韦斯·安德森电影般的视觉风格。

充满奇思妙想的商业招牌 影片中商业招牌数量惊人,设计极富创意,排版出色,且许多是旋转的电动招牌。理发店、干洗店、布料店、轮胎店等都拥有制作精美、灵感充沛的标识。然而,这种丰富的视觉多样性如今已被乙烯基横幅和LED灯箱取代。文中列举了诸多失落的商业符号:Bonanza 家庭餐厅、Jack-in-the-Box、Fotomat、76号加油站的球形标识、旋转的肯德基桶、巨大的Arby's牛仔帽、Chuck Wagon的卡通牛仔招牌,以及“LES GIRLS”俱乐部的粉红色霓虹标识等。

“人的痕迹”与设计师的洞察 作者就此采访了平面设计师 Aaron Draplin。Draplin 认为,大约35年前电脑普及后,设计变得“可预测”。过去手绘招牌时,字距或笔画宽度难免带有“人的失误”,却散发出无法复制的魅力。现代工具追求绝对精确,而那种恰到好处的“粗糙感”是任何滤镜或纹理技巧都难以模仿的。正是这种人手制作的不完美,造就了那个时代招牌的独特温度。

社会风貌与时间胶囊 这些影片似乎拍摄于1973年,捕捉了许多路人无意间的生活瞬间——购物的行人、放学骑车回家的孩子。画面中没有人低头看手机,展现了一种沉浸于当下的生活气息。作者看到一位抱着婴儿过马路的女士,意识到那个婴儿如今大概已和自己同龄。这些影像不仅是道路记录,更是一扇通往1970年代美国城市日常、商业美学与色彩文化的清晰窗口。

幕后制作 在技术层面,作者使用 Claude Code 编写 Python 脚本,借助 Meta 的 SAM2 分割模型从影片中提取汽车、人物和招牌,并使用 ImageMagick 制作了图像拼贴。

24. Vulnerability reports are not special anymore (words.filippo.io)

在过去十年间,开源安全维护者普遍认为漏洞报告具有特殊性:安全研究者提供漏洞洞察并配合保密披露,使项目有时间在攻击者利用前修复问题。作为回报,维护者需要快速响应、调查并致谢。然而,作者(前 Go 安全团队负责人 Filippo)认为,到 2026 年,这一前提已不复存在。

LLM 改变了漏洞发现与保密的逻辑

大语言模型(LLM)的能力已接近甚至媲美普通安全研究者,任何人均可运行。这意味着:

  • 洞察不再稀缺:发现潜在漏洞的门槛大幅降低,真正的瓶颈从“发现”转向“分类评估”(triage)——判断哪些问题真实且严重。外部研究者若无既有信任关系,其贡献与维护者自己运行 LLM 或查阅 security@ 邮箱的信噪比相差无几。
  • 保密价值下降:攻击者无需阅读披露公告即可通过 LLM 自行发现漏洞;他们与防御者一样面临分类瓶颈。因此,协调披露、禁运期和保密性对保护用户的意义已大不如前。

新的工作重心

作者主张,漏洞报告的“特殊时代”可能已经结束。安全团队的核心任务应转向:

  1. 快速分类(triage):区分真正严重、来源可信的“特殊”报告与大量由 LLM 生成的普通缺陷;
  2. 快速修复与预防:将资源投入实际修补和构建更安全的系统;
  3. 在 CI 中集成 LLM 分析:将自动化漏洞扫描纳入持续集成流程,而非依赖外部人工报告。

对讨论观点的补充

文章发售后引发的讨论进一步补充了以下视角:

  • 未来可能回归高门槛:有观点认为,当 LLM 使“浅层”漏洞被大量扫除后,存活下来的深层漏洞将再次变得难以发现,届时高质量报告会重新稀缺。作者承认这是可能的长期动态,但当前阶段模型仍在持续进化。
  • 仍需保留“特殊”通道:极高严重性漏洞或来自高度可信来源的报告仍应被区别对待。安全团队的新任务可能是建立快速机制,将收件箱内容划分为“特殊”与“普通”两类。
  • 封禁低质量报告变得可行:由于 LLM 能轻易发现浅层漏洞,若某人发送低质量(slop)报告,维护者可以更有底气地封禁其账号,并等待下一个更完善的自动化报告出现,这在一年前是不可想象的。
  • 信任关系仍值得投入:个别高产且可信的研究者(如 Go 社区的 Juho Forsén)仍具有价值,但像在普通贡献者身上投入培训成本一样,建立此类关系是否具备广泛的可扩展性仍存疑。

作者最后坦言,即使情感上仍觉得“将安全报告置之不理”有悖直觉(如此前曾批评 curl 暂停漏洞接收渠道),但在当前技术现实下,已无足够论据证明手动服务每一份漏洞报告是保护用户的最佳时间投入。安全维护工作的本质需要随之改变。

25. Algorithmic Monocultures in Hiring (hai.stanford.edu)

招聘算法中的单一文化现象

斯坦福大学以人为本的人工智能研究院(Stanford HAI)开展了一项针对实际应用场景中招聘算法的大规模研究。该研究首次在真实环境(in the wild)中对招聘算法进行了大范围检验,揭示了这些系统在筛选和拒绝候选人方面存在的令人担忧的模式。

研究发现,人工智能招聘工具可能产生种族偏见,并导致系统性的候选人排斥。这表明,依赖算法进行招聘筛选不仅可能复制或放大现有的歧视性模式,还可能造成大规模、系统性的求职拒绝现象。研究指出了当前AI招聘系统在实际部署过程中存在的潜在风险,强调了对这类自动化筛选工具进行审视和监管的必要性。

26. A deadly fungus that can infect cats and people is spreading (www.sciencenews.org)

It’s just a matter of time before Sporothrix brasiliensis reaches the U.S. a CDC expert says.

27. Meta Pauses Employee-Tracking Program Following Internal Data Leak (www.wired.com)

The move comes after the company left potentially sensitive data from the initiative exposed internally.

28. United Wizards of the Coast recognized by NLRB (unitedwizardsofthecoast.com)

Today is a momentous day for the workers of Arena! After months of planning, waiting and organizing, our dream is finally a reality; the votes have been counted, and our union of UWOTC-CWA has been officially elected.From this day forward, we have a union!To the thousands who signed our petition letter, the journalists who let us tell our own story, every person who reached out with words of encouragement, our stewards at the CWA who helped guide us, we cannot thank you enough for your support.

29. The truth about being a manager (sofiakodar.github.io)

I vividly remember most of my own journey into engineering management over the years. Throughout my career, I’ve also mentored several people taking the step from engineer to engineering manager. It’s a challenging and often lonely journey, and here are a few truths most new managers realize the hard way. (If you aren’t a manager yourself, you might just learn a bit about your manager’s situation.) The things no one tells you about being a manager: You’ll bring work home with you more often than not. The difficult conversation you’re dreading, the “stupid” business decision you will need to explain to your team, the office politics you need to handle, or the team member struggling silently with a personal crises. You will need to learn how to manage stress and rumination – and you’ll need to learn it fast.