2026-07-04

24 篇热帖

1. Espionage Against the European Parliament (citizenlab.ca)

欧洲议会间谍活动调查摘要

核心发现与背景

  • 事件概述:前欧洲议会议员(MEP)及希腊记者斯泰利奥斯·库洛格卢(Stelios Kouloglou)在担任PEGA委员会(负责调查“飞马”等间谍软件滥用)成员期间,其手机两次遭到NSO集团“飞马”间谍软件的成功入侵,这可能导致议会机密信息泄露。
  • 归因:技术分析显示,此攻击使用的HomeKit邮箱与此前针对欧洲境内俄语和白俄语流亡记者的攻击活动一致,表明是由同一拥有跨国监控授权的“飞马”客户所为,目前无证据表明希腊政府对此负责。

感染细节与关联背景

  1. 首次感染(2022年10月21日):攻击者利用零点击漏洞(PWNYOURHOME)通过HomeKit邮箱(rauharepo888[@]gmail.com)入侵其设备。此时正值PEGA委员会筹备听证会、起草首份调查报告以及规划希腊/塞浦路斯考察的敏感时期。当天,库洛格卢在医院会面了曾遭Predator监控的希腊记者库卡基斯。
  2. 第二次感染(2023年3月6-7日):库洛格卢在布鲁塞尔期间再次被黑。当时PEGA委员会正处于报告定稿的激烈讨论期,同时LIBE委员会代表团正在希腊质询间谍软件丑闻。
  3. 预警:库洛格卢曾于2023和2024年三次收到苹果的雇佣兵间谍软件威胁通知。此前,已有数名欧洲议会议员遭到过类似监控。

应对建议

  • 议员与员工:参与PEGA委员会的人员应立即接受间谍软件筛查(如通过DG ITEC),并启用手机“锁定模式”。
  • 欧洲议会及欧盟机构:应就此事展开紧急调查,定期向议员及员工提供筛查服务,并发布年度威胁报告。
  • 科技公司:优化威胁警报的设计,确保目标用户能及时发现并理解安全警告。
2. Maybe you should learn something (www.marginalia.nu)

学习新技能的价值与意义

学习像素画、盲打、3D建模、音乐或语言等新技能,能够长期丰富人生,并作为一项终身受益的投资带来持续回报。此外,它还能让你在社交中成为一个更有趣的人。

时间与资源管理

  • 时间投入:学习通常每天需要长达一小时。如果避开无意义的刷手机和看电视,大多数人都能抽出现实的时间。但若处于极端忙碌阶段(如每周工作80小时或照顾婴儿),可暂缓此计划。
  • 资源选择:互联网和书籍中拥有海量资源。初学者应避免信息过载,寻找一个非销售导向的起点,并按照自己的节奏前进。

学习过程中的期望管理

由于许多成年人长期未进行自主学习,因此需要建立合理的心理预期:

  • 初期挫败感:练习新事物在开始时会让人感到疲惫和痛苦,甚至在练习结束前表现变差,这是大脑和肌肉疲劳的正常现象。
  • 睡眠促进提升:练习的过程是为大脑收集数据,而真正的技能提升和巩固发生在睡眠期间。第二天重新开始时,会发现难度明显降低。
  • 平庸平台期:在熬过最艰难的起步期后,会进入一个中级平台期。此时技能已具备实际用途,无需刻意苦练,通过日常附带的实践即可继续进步。

科学练习的原则

  • 控制练习时长:通常每天练习30至45分钟。时间过长会导致疲劳和动作变形,反而固化错误。一旦开始频繁犯错,就是应该停止的信号。
  • 专注基础与刻意练习:保持每日的刻意练习。初学者应专注于基础知识,不要急于挑战不相匹配的高难度内容或浏览高级主题。
  • 保持长期主义:学习是一项长期工程。虽然一天之内不会发生明显改变,但通过数月或数年的坚持,能够重建对自身处境的掌控感,并促成真正的改变。
3. Holes (xkcd.com)

《Holes》(洞)漫画内容概述

该内容源自知名网络漫画 xkcd 标题为《Holes》的作品,其核心信息和亮点如下:

  • 核心主题:围绕各种“洞”展开。
  • 重点关注(悬停文本):漫画的图片说明(Alt Text)特别提到了**“墨西哥巨型水晶洞”(giant crystal cave in Mexico)**。
  • 作者寄语:作者对不了解该景点的读者表达了兴奋之情,并极力推荐读者去搜索引擎搜索该景点的图片,暗示这是一个令人叹为观止的自然奇观。
4. The bottleneck might be the air in the room (blog.mikebowler.ca)

核心观点:高浓度二氧化碳(CO2)是决策能力的隐形瓶颈

在封闭的会议室或工作空间中,空气中的二氧化碳(CO2)浓度会随着时间推移悄然上升。这种环境变化会严重损害身处其中的人们的认知和决策能力,而这一问题往往被管理者和团队所忽视。

科学研究与数据支持

  • 浓度对比:室外空气的 CO2 浓度通常约为 400 ppm。但在有数人呼吸的封闭会议室中,浓度在第一个小时内就很容易突破 1,000 ppm,甚至攀升至 2,000 ppm 以上。
  • 认知损害
    • 劳伦斯伯克利国家实验室的研究表明:当 CO2 浓度达到 1,000 ppm 时,人们在九项决策能力指标中的六项上表现出显著下降;当浓度达到 2,500 ppm 时,七项指标大幅下滑,部分甚至达到“功能失调”的水平。
    • 哈佛大学的研究同样证实,随着 CO2 浓度的上升,认知得分会随之下降。受影响最严重的领域正是会议最需要的核心能力:战略制定、规划以及在高压下利用信息的能力。

隐蔽性与普遍性

  • 隐形的负面影响:身处高 CO2 环境中的人不会直接察觉到空气问题。他们只会感到疲倦、思维迟钝或注意力分散,并习惯性地将其归咎于会议时间过长、睡眠不足或他人发言冗长。
  • 多场景蔓延:这不仅限于公司董事会,在居家远程办公的封闭书房中,同样存在因空气不流通导致的“午后迷糊”。即使在现代办公大楼中,人员密集的会议室依然是高 CO2 的重灾区。

应对建议

  1. 重新审视环境因素:在断定团队缺乏投入、不具备战略思维或会议文化出现问题之前,应首先排除空气质量这一最容易改变的变量。
  2. 量化环境指标:企业习惯于衡量工作流程和系统产出,也应当像测量这些指标一样,开始测量和管理空气质量。
  3. 低成本解决方案:购买 CO2 监测仪的成本极低,而改善空气质量的手段更是完全免费——只需打开窗户或门通风,就能显著提升会议后半程的决策质量。
5. I Wasn't Allowed Prompting ChatGPT During My Chalk Talk: This Is Discrimination (2025) (inpreparation.substack.com)

这篇文章讲述了斯坦福大学博士后雷切尔·西蒙斯(Rachel Simmons)在申请某知名研究型大学终身轨(tenure-track)职位时的一次遭遇,并由此引发了关于现代科研模式与传统学术招聘制度冲突的讨论。

事件背景与经过

在学术面试的“粉笔谈话”(Chalk Talk)环节(该环节传统上要求候选人仅用白板和马克笔展示未来的研究计划,以考察其即兴思考和表达能力),西蒙斯试图通过电脑使用 ChatGPT 来辅助回答面试委员会的问题。她认为,在实际科研中通过给 AI 输入提示词(prompt)并对输出内容进行微调,已是她最主要的科研工作方式(占其工作内容的85%),包括撰写论文引言、设计实验对照和起草基金申请等。

然而,面试委员会制止了她使用电脑的行为,要求她脱稿并“用自己的语言”进行解释。由于长期依赖 AI,西蒙斯发现自己在没有提示词输入框的情况下无法系统性地组织思维,也无法凭记忆在白板上绘制出研究通路的具体细节。

结果与冲突焦点

最终,西蒙斯未获得该职位。招聘委员会在拒信中指出其“缺乏独立思考能力”并对其“基础科学知识储备”提出质疑。

西蒙斯对此持强烈反对态度,并提出以下核心观点:

  • 独立思考的重新定义:她认为,从 AI 提供的多种方案中进行筛选和抉择,本身就是一种独立思考和科学判断。
  • 记忆与效率:现代 AI 工具使科学家不再需要将所有信息存储在生物大脑中。利用 AI 提高效率是现代科研的真实写照,强求候选人凭记忆背诵信息是陈旧且低效的。
  • 学术制度的滞后:她批评“粉笔谈话”是1974年设计且从未更新的陈旧仪式,无法反映现代科研的真实场景。评估时不准使用 AI,就像评估木匠时不准使用锤子一样不合理。

现状与呼吁

西蒙斯目前已转向对 AI 辅助工作更为接纳的工业界寻找职位。她认为学术界未能跟上时代步伐,并呼吁学术招聘制度进行改革,以接纳与 AI 协同合作的现代科研工作者。

6. SearXNG: A free internet metasearch engine (github.com)

SearXNG 是一个免费、开源的互联网元搜索引擎,旨在聚合多个搜索引擎的结果,同时优先保护用户隐私。

核心特点 该项目明确承诺不会追踪用户的浏览活动或创建用户画像,确保中立性和匿名性。

使用指南

  • 安装:用户可通过参考官方的《安装指南》进行部署。
  • 配置:请参阅《配置指南》对搜索引擎进行微调。
  • 操作帮助:更多具体的操作方法和疑难解答可查阅相关文档。

社区与贡献

  • 社区交流:用户可通过 Matrix 服务器 (#searxng:matrix.org) 与社区其他成员进行沟通。
  • 参与贡献:项目欢迎社区贡献代码,具体贡献细则请参阅 CONTRIBUTING 文件。

开源协议 SearXNG 遵循 GNU Affero General Public License (AGPL-3.0) 许可证开源。

7. International chess federation sanctions Kramnik (www.fide.com)

国际棋联伦理与纪律委员会(EDC)已就前世界棋王克拉姆尼克(Vladimir Kramnik)的案件做出了最终裁决。EDC是该组织内的独立司法机构,负责处理违反伦理准则和纪律条例的指控,其运作独立于国际棋联主席及其他选举产生的机构。此案源于FIDE管理董事会及公平竞赛委员会的投诉,指控克拉姆尼克就大卫·纳瓦拉和已故棋手丹尼尔·纳罗迪茨基发表了持续性的公开声明及社交媒体言论。

经过全面审查证据及相关方提交的材料,EDC认定克拉姆尼克违反了FIDE伦理准则和纪律条例中的多项规定,包括侵犯尊严权与尊重对待、维护个人尊严、霸凌与网络霸凌、心理虐待、未能履行榜样角色的责任、拒绝配合公平竞赛委员会的调查,以及散布不实或无正当理由的公开指控。不过,委员会也驳回了对诚信、诚实、问责制以及损害国际棋联声誉等方面的指控,认为这些指控未达证据标准。

在关于作弊问题的裁决中,EDC强调打击作弊是国际棋联的最高优先事项之一。委员会指出, alleged cheating (作弊指控) 必须通过FIDE既定的保密程序处理,且需有适当的证据支持。EDC认为,在缺乏机构充分验证的情况下,公开将可识别的棋手与作弊嫌疑关联,会给受害人带来不公正的声誉和心理伤害,这不符合FIDE成员应具备的标准。关于克拉姆尼克的反作弊方法本身,委员会明确表示本次处罚并非为了判定其科学有效性,因调查基于不完整信息且方法未完全披露。

综合考虑从重和从轻情节,EDC对克拉姆尼克做出以下处罚:他将被全球禁赛两年,不得参加FIDE的棋类比赛或担任官方职务。其中最后一个禁赛年将作为缓刑期,为期三年。如果在此三年内无进一步违规行为,则实际执行的禁赛期为一年。除禁赛外,委员会还判处其需为国际棋坛社区提供12个月的无偿服务。

目前,相关方可在21天内根据EDC程序规则向EDC上诉委员会提起上诉。关于EDC的最后决定全文可通过相关链接查看。

10. GLM5.2 on AMD MI355X at 2626 tok/s/node at over 2x lower cost than Blackwell (www.wafer.ai)

The fastest open source LLMs for enterprise.

11. Giant trees have no trouble pumping water to top branches (news.exeter.ac.uk)

一项发表在《科学》期刊上的最新研究挑战了关于树木生长的传统科学理论。传统观点认为,随着树木增高,从根部向顶部输送水分的难度会越来越大,这不仅限制了生长,还使树木更容易遭受干旱影响。

研究由埃克塞特大学和卡迪夫大学领导,重点关注了世界最高的开花树种——龙脑香科(Dipterocarp)树木。研究团队在马来西亚婆罗洲测量了从7米到71米高的龙脑香科树木,详细分析了它们的水分运输特征以及树木在2023年至2024年强厄尔尼诺干旱期间的生长率和抗压能力。

研究发现,尽管高度增加了水分运输的物理挑战,但龙脑香科树木进化出了多种适应性机制,“完全抵消”了这些挑战。具体表现为:靠近地面处的导管(运输管道)变得更宽,而叶子则经过适应,能够承受更大的水分流失压力而不至于枯萎。

这项研究的核心结论是,龙脑香科树木的高度并不增加其水力系统的脆弱性,也不导致其生长速度低于较矮的同种树木。即便是高度超过80米的树木,也能通过进化出的复杂适应机制,在极端低压下保持水体为液态,并将其输送至树顶。

这一发现对现有的气候模型提出了挑战。以往模型以此预测,虽然森林中最顶端1%的树木储存了超过一半的地上碳储量,但因其水力系统较弱,在干旱中面临更高的死亡风险。而本研究指出,针对龙脑香科树木,这种预测可能是不正确的。

研究人员表示,虽然目前的研究结果针对龙脑香科树种,但强调了理解高大树木对于评估森林碳储存和气候变化影响的重要性。研究指出,虽然龙脑香科树木本身并未如理论预测般受到高度危害,但仍需更多研究来调查其他种类高大树木的水力系统和抗旱能力。

12. Steam Controller Auto-Charge – pilot to magnetic charging puck using CV (github.com)

Steam Controller Auto-Charge 是一个开源 Web 应用,旨在通过计算机视觉和 WebHID 自动引导 Steam 控制器停靠至磁性充电底座。

核心特性

  • 视觉引导:利用 OpenCV.js 和 CNN 实现实时目标检测,结合 Lucas-Kanade 光流算法与对象避障功能规划路径。
  • 触觉导航:通过 WebHID 直接与控制器通信,使用 70Hz 反向线性共振致动器(LRA)发出脉冲驱动控制器靠近底座。
  • 精细控制:具备“逼近爬行模式”,当控制器距离底座小于 150 像素时,将脉冲频率降低 50%,以实现无缝停靠。
  • 状态监控:拦截设备特定通信协议,实时显示电池百分比、电池电压,并确认充电状态。

环境与配置

项目仅需 Nix 包管理器 即可在 Windows、Mac 和 Linux 上构建。运行环境要求支持 WebHID API 的 Chromium 浏览器,并架设指向桌面的抬头摄像头。

技术架构

  • 前端逻辑:Vue 3 应用处理视频流、PID 循环控制及 OpenCV.js 操作。
  • 高性能处理:对象检测由 Web Worker 执行,视觉算法部分使用 Rust 编译的 WebAssembly (WASM) 模块编写,确保主线程流畅。
  • 通信层:WebHID 抽象类将标准 API 映射至控制器特定的字节负载,以发送致动器指令和轮询电池状态。

使用说明

启动项目后,接口操作步骤如下:将控制器置于桌面,打开 Web 界面点击“连接 Steam Controller”,随后点击 ✨ Auto-Track 按钮即可启动自动导航。项目遵循 MIT 开源协议。

13. FreeBSD ate my RAM (crocidb.com)

FreeBSD ate my RAM 摘要

作者在迁移 FreeBSD 服务器后,发现由于不同工具对内存计算的策略不同,RAM 占用率的显示存在显著差异。通过深入研究,揭示了现代操作系统内存管理的复杂性以及相关工具的实现逻辑。

虚拟内存管理系统 现代操作系统依靠虚拟内存(VM)系统管理物理内存,将其划分为 4KiB 的页面并分类存储在不同的队列中。在 FreeBSD 中,核心页面队列包括活跃(active)、不活跃(inactive)、洗衣(laundry)和不可交换(wired)。所谓的“空闲”内存仅仅是那些简单标记为释放的页面,而许多位于 inactivewired 甚至部分内核内存中的页面,在系统需要时都是可以回收的。特别是磁盘缓存和 ZFS 的 ARC(自适应替换缓存),它们占据物理内存但高度可回收。

ZFS 与 ARC 缓存 FreeBSD 默认使用的 ZFS 文件系统使用 ARC 缓存来加速频繁读取的数据。该缓存由内核直接管理,不计入常规的缓冲区统计,但会占用系统总内存,并在内存不足时被优先释放。

工具间的差异与 Bug 详解 监控工具(如 btopfastfetchhtop)对“已用内存”的定义各不相同。作者在分析 btop 代码时发现了两个导致显示错误的根本原因:

  1. 整数溢出: btop 使用 32 位无符号整数(u_int)存储内存计数。在内存超过 4GB 时,数值会发生回绕,导致计算出的内存占用极其不准确。
  2. 依赖废弃参数: btop 试图通过 vm.stats.vm.v_cache_count 获取缓存大小。但在 FreeBSD 12.0 及更高版本中,该参数仅作为“兼容性存根”返回 0,实际上不再提供真实的缓存数据。

修复与改进 针对上述问题,作者对 btop 进行了代码修正,并在 Pull Request 中提交:

  • 变量精度提升: 将内存存储变量从 32 位升级为 64 位,防止溢出。
  • 缓存数据源修正: 不再使用废弃的 v_cache_count。改为统计 vfs.bufspace(文件系统元数据缓存)和 kstat.zfs.misc.arcstats.size(ZFS ARC 缓存)。
  • 逻辑调整: 在计算“已用内存”时,从 wired 内存中减去 ARC 缓存数据,确保显示的缓存内存是真正可回收的部分。

此外,作者还修复了 htop 中的类似问题,修正了未能正确处理 ARC 缓存的逻辑。对于 fastfetch,作者提供建议并获采纳。经过测试,这些修复使得工具能够更准确地反映 FreeBSD 的内存状态。

14. David Beazley – Programming Courses (www.dabeaz.com)

David Beazley 在 2007 年至 2026 年期间教授了多种基于项目的技术课程,通常以为期一周的沉浸式培训形式进行。目前这些课程均未安排新的日程,但该页面提供了相关课程描述的链接供历史参考。课程列表涵盖了从 Python 高级编程、计算机科学基础、编译器编写到经典教材《计算机程序的构造和解释》等主题。

随后,Beazley 公告了这些课程的终结,并对多年来参与课程的学员表示了由衷的感谢。他解释称,虽然原本计划将教学工作持续到退休,但由于 2023 年以来持续教育市场的全面崩溃导致报名人数骤降,这些课程已无法继续作为其主要收入来源。

除经济因素外,个人生活也发生了重大变化,他的子女即将上大学进入空巢期。Beazley 表示,即便市场情况好转,他也不一定愿意在退休后继续进行网络授课。因此,他决定重返大学攻读研究生,申请成为中学教师的职业教师资格证,目前的未来规划尚不明确。

15. MSI Center – How to gain SYSTEM privileges in seconds (mrbruh.com)

Abusing named pipes in proprietary software to get LocalSystem privileges in seconds.

16. Synthesis is harder than analysis (surfingcomplexity.blog)

微分与积分的本质差异

微积分由微分和积分两个紧密相关但难度截然不同的部分组成:

  • 微分(Differential calculus):旨在计算函数在某一点的斜率。微分是一个高度算法化的过程,极易通过程序自动实现(例如大语言模型训练中使用的自动微分)。
  • 积分(Integral calculus):旨在计算函数在某一区间下的面积。与微分不同,积分没有通用的计算算法,需要依赖各种特定技巧,且许多函数(如高斯函数)甚至不存在闭式解(closed-form solution),只能用无穷级数表示。

虽然根据《微积分基本定理》,积分是微分的逆运算(反导数),但求积分的难度远超求微分。

本地与全局:为什么积分更难?

这种难度差异源于“本地(local)”与“全局(global)”的本质区别:

  • 微分是“本地”操作:计算某点的导数只需了解该点邻域内的函数行为。
  • 积分是“全局”操作:计算区间内的积分需要掌握该区间乃至整个定义域上的函数行为,需要汇总极大的信息量。

通常而言,处理本地问题比处理全局问题要容易得多。

分析与综合

“本地比全局简单”的规律延伸至更广泛的领域,即综合(Synthesis)比分析(Analysis)更难

  • 分析:将一个复杂的大问题拆解为更小、更局部的子问题(如软件工程中的“封装”和“关注点分离”)。由于这些子问题更加局部化,因而更易解决。
  • 综合:将多个组件或部分集成、结合在一起。这属于全局性问题,因此难度极高。

在SRE(站点可靠性工程)中的应用

在IT和系统运维中,许多挑战(如故障排查和事故响应)本质上都是“综合”问题。

  • SRE 必须理解系统各个组件之间是如何协同工作的,才能在发生故障时理清头绪。
  • 由于认知精力的限制,SRE 无法对每个单一组件都达到极深的理解,但他们对组件间交互关系(即综合层面的全局把握)理解得越深,就越能有效解决复杂的系统故障。
  • 尽管综合能力非常重要,但行业内尚未将其作为一等公民(first-class thing)来培养。由于系统细节的复杂性,行业应当更加重视如何“学会去学习”系统运行的具体细节,以提升这种关键的综合专业能力。
17. Farmer, marketer at odds over sales of white nectarines (apnews.com)

A California farmer has been giving away free nectarines this week amid a legal dispute with a food market and distributing company claiming exclusive rights over the variety of white nectarine he grows.

19. Leanstral 1.5: Proof Abundance for All (mistral.ai)

The most powerful AI platform for enterprises. Customize, fine-tune, and deploy AI assistants, autonomous agents, and multimodal AI with open models.

20. The firefighting system of the Van der Heyden brothers in 17th century Amsterdam (worksinprogress.co)

Two Dutch brothers invented a system that transformed a city previously ravaged by fires

21. Soatok's Informal Guide to Threat Models (soatok.blog)

After a long day of exhausting conversations about Hybrid Post-Quantum Cryptography, random jackasses trying to play gotcha with endpoint attacks against end-to-end encrypted messaging apps, and message board discussions in the wake of dumb politicians pushing more "age verification" bullshit on us all, it's become abundantly clear to me that the phrase "threat model" is…

23. New serious vulnerabilities spiked around release of Claude Mythos Preview (epoch.ai)

Notable organizations disclosed ~1,300 high- and critical-severity CVEs in June 2026, roughly 3.5× the pre-Mythos monthly record. Epoch AI's breakdown of vulnerability disclosures following Anthropic's Project Glasswing.

24. US residents angry datacenters 'shoved down our throats' are recalling officials (www.theguardian.com)

People across the country are pushing for moratoriums, and electeds who approve projects are being punished