2026-04-24 07:43:01
这里记录每周值得分享的科技内容,周五发布。([通知] 下周五一假期,周刊休息。)
本杂志开源,欢迎投稿。另有《谁在招人》服务,发布程序员招聘信息。合作请邮件联系([email protected])。
我见过的最酷广告牌,只有一行命令,推广一个 AI 工具包。普通人看不懂也没关系,反正不是给他们用的。(via)
如果你在互联网行业足够久,大概会记得,以前有过一次 API 开放的浪潮。
那是15年前的2011年,云服务刚兴起不久,各种平台纷纷开放自己的 API。
那时,Facebook 和 Twitter 都发布了自己的 API,开放了平台数据。GitHub 的 API 设计简直是艺术品,几乎可以获得任何想要的功能。
平台的想法是,开放的 API 有助于用户和第三方加入,来开发各种插件和扩展程序,从而推动平台的增长,提高用户留存率和满意度。
那时还有一个叫做 ProgrammableWeb 的网站(现已关闭),它的名字就代表了当时人们的信念:互联网可以通过 API 编程,把各种平台的数据连接在一起。
但是,事情的发展跟预想完全相反。
平台发现,API 很难盈利,因为无法插入广告,而且自家的数据会帮助其他公司的生意,造成用户流失。
于是,它们纷纷改变做法,限制和关闭 API,不再分享数据,将用户留在自家的"围墙花园"。
如今,Facebook 和 Twitter 的 API 已经形同虚设,第三方客户端遭到彻底禁用。GitHub 虽然还保持开放的 API,但也采取了管控,增加了身份验证和速率限制,要想构建全功能的第三方应用也很困难。
正当人们觉得这将是常态,转变出现了。
就在2025年的下半年,大模型达到了临界点,变得真正强大,可用于生产环境了。
人们很快意识到,如果大模型只会思考,不能执行代码,用处就不大。AI 的最大价值不是内容生成,而是内容生成 + 自动化,这样才能最大限度解放人力、创造价值。AI 自动化,自己执行代码的典型代表就是"龙虾"(OpenClaw)。
自动化意味着 AI 必须能够调用其他平台,进而意味着,其他平台必须先开放自己的 API。
突然之间,API 不再是累赘,而是接入 AI 的必须条件。没有 API,你的平台就进入不了 AI 工作流,各种 Agent 也就不能代表用户在你的平台上工作。
同样两个平台,一家有 API,另一家没有,后者就很可能被市场放弃,因为大模型无法接入它,也就无法对它自动化,AI 用户只能转向它的竞品。
平台意识到了,谁尽快开放 API,谁就抢占了先机。所以,强如腾讯也会在龙虾爆红后,以最快的速度开放了微信接口,让龙虾可以向微信发消息。
腾讯也害怕,在龙虾的世界里没有自己的一席之地。其他平台就更不用说了,抢着通过 MCP 和 Skill 开放自家的操作接口。
这表明,第二次 API 开放浪潮正在到来。这一次将比上一次开放得更彻底,更易用。
(1)这次开放的不仅是云服务,还有很多日常生活服务:外卖、电商、银行......甚至还有很多原本根本不会有 API 的服务,比如餐馆和球馆的预订。
(2)这次的 API 不需要手动编程,你只需使用自然语言,由大模型翻译后调用。
(3)这次的 API 是消费者通过 AI 调用,使用目的是代表用户行事。以前 API 是由应用程序调用,使用目的是获取数据。
上周末,北京亦庄举行了第二次人形机器人的半马比赛。
超过100个人形机器人参加比赛,看谁最快跑完21.0975公里。最终,冠军成绩是50分26秒,超过了人类最快的选手(半马的人类世界纪录是1小时02分52秒)。
根据网友拍摄的现场视频,机器人跑到一定距离就要进入补给站,由工作人员更换电池,并加入冰块(或者干冰)防止过热。
这就是说,机器人的内置电池支持不了一小时的运行时间。
宇树公开发售的 H2 人形机器人,续航时间是3小时。在长跑这种剧烈运动时,续航应该会大打折扣。而且,功率相同时,体重较轻的机器人在赛跑中有优势,也就意味着不能多携带电池。
这样看上去,人形机器人目前的实用性还是很有限。不插电时,一到两个小时就要充电,那样的话,很多事情就不适合做了。
本周,OpenAI 发布 GPT Image 2.0 模型,据说是目前最强的图像模型,性能超过了谷歌的 Nano Banana 2 Pro。
根据 OpenAI 的介绍,它的文字渲染有较大进步,很好地支持汉字,可以生成复杂的解释性图片。
大家可以去 ChatGPT.com 免费试用。
我做了一个比较,生成一张小狗在古镇屋檐下午睡的图片。这是 GPT Images 1 的结果。
这是 GPT Images 2.0 的结果。
我还看到一个有趣的项目 Flipbook。它是一个解释性图片浏览器,用户输入一个主题,它会自动生成详细解释的图片。
上图是输入"汽水"生成的解释图片,点击局部,还能生成进一步的解释。
网上已经有收集提示词的 Awesome 仓库(@DophinL 投稿),大家可以看看别人的优秀例子。
AI 有一个特点,不仅能够压缩信息,更善于扩展信息。它会推断出模糊不清的部分,更能生成缺失的部分,填补上看似合理的细节。
这意味着,AI 是扩展神器。有人设想了这样的场景:
看到了吗,AI 可以把脑子里的一个想法,不断扩展出文档、代码、产品、发布会、就业......
人们总是说,将来的世界是物质产品极大丰富的世界,AI 看上去就是这一类工具:凡是它能生成的东西,都将变得极大丰富。
赛力斯申请了一个小轿车的"车载厕所"专利。
座椅装在一个滑轨上,向后滑动就会露出下方的坐便器。
这个马桶配备了加热元件,用于蒸发尿液并烘干其他污物,但还是需要定期手动清空。同时,车内配备风扇和排气管,用于换气。
这个装置对于小轿车,使用场景有限,只适合高速公路大堵车的情况。但是,对于跑长途的大货车,倒是很实用。
1、不要使用 Ollama(英文)
Ollama 是一个运行本地大模型的工具,本文提出它有诸多问题,建议改用 llama.cpp 和 LM Studio。
2、npmx 的功能(英文)
有人为 npmjs.com 做了一个新的前端 npmx.dev,解决了很多开发者要求已久的功能。
3、不要过长的链式调用(英文)
JavaScript 语言可以写出很长的链式调用(上图),有些程序员很喜欢用。本文提出链式调用有一些缺点,不宜过长。
4、异步编程技术的演变和实际成果(英文)
一篇概述,介绍异步编程的由来,如何发展出 async/await 这种普遍接受的解法,以及存在的问题,写得比较深入。
5、被动雷达的工作原理(英文)
雷达可以主动发射电波侦测飞行物,也可以不发射电波,只监听电波变化,这就叫被动雷达。
著名的网络通信监控软件 Little Snitch,终于推出了 Linux 版,可以用它看到每个应用跟什么网址通信。
2、quien
查询域名信息的终端工具,提供清晰易用的界面。
3、ggsql
可以生成图形的 SQL 查询工具,直接查询数据库,将结果表示成可视化图形,参见介绍文章。
开源的 Mac 录屏应用,可以绕过录屏检测机制,让被录制的应用无法感知正在被录屏。(@jrainlau 投稿)
开源的 Chrome 插件,把新打开的标签主页变成标签管理器。(@V-IOLE-T 投稿)
《动物森友会》风格的 React UI 组件库。(@guokaigdg 投稿)
7、CUPS Web
网页版打印机管理工具,通过浏览器远程控制打印机,支持多用户、打印记录追踪等功能。(@hanxi 投稿)
开源的访客统计服务,提供 PV/UV 统计、热门文章、趋势图等,一个实例服务多个站点。(@thinkycx 投稿)
9、HiKid
帮助小朋友练习英语口语和听力的桌面应用,完全免费,目前仅支持 macOS。(@Hao4Wang 投稿)
10、Kite Desktop
桌面端的 K8S 多集群管理工具。(@eryajf 投稿)
Git 仓库提交历史的可视化河流图,支持多项目对比、贡献者信息等特性,在线体验。(@Lionad-Morotar 投稿)
如何才能避免把敏感信息(比如姓名、地址、电话、密码)发给大模型?
OpenAI 给出了答案:Privacy Filter。这是一个本地运行的大模型,它先处理后再发给线上大模型。
比如,原文是"产品发布日期是2026年9月18日",处理后就是"产品发布日期是[PRIVATE_DATE]",参见介绍文章。
开源的 AI 网关,可以接入主流大模型,然后对外提供统一的 API(OpenAI 兼容)和管理后台。(@star7th 投稿)
3、Nezha(哪吒)
开源的 AI 编程任务管理器,快速切换多任务管理,集成了原生终端、会话管理、代码编辑、Git 等功能,大小不到 10MB。(@hanshuaikang 投稿)
Gemini 生成图片的可见水印去除工具,图片不需要上传到服务器,直接在本地浏览器处理。(@liuyan-wjy 投稿)
5、mini-cc
开源的 AI 编程 Agent,作用类似于 Claude Code,采用多语言架构,目前已完成 TypeScript 实现。(@RainyNight9 投稿)
一个有意思的网站,收集键盘打字的声音。你可以先听一下某种键盘的打字声,再确定是否购买它。
2、软件工程定律
这个网站收集各种软件相关的定律,目前有56条。
比如,"帕金森定律"(Parkinson's Law):工作量总是会增加,直至填满所有可用时间。推论就是,不管设置多长的开发时间,项目开发总是会做到最后一刻。
最小的英文字体有多小?
1x1 像素(宽1像素,高1像素)就是一个点,当然不可能;2x2 像素也不可能;3x3 像素理论上可以,实际上无法阅读;4x4 像素难以绘制一些多笔画的字符,比如 E、M、W。
因此,英文字体最小就是 5x5 像素,就是下面的效果。
上面字体中,大多数小写字母比大写字母小一个像素,从而使两者可以在视觉上区分。
整个字体仅占用350字节的内存,所以很适合老式设备或低端设备,即使只有 16kB 内存的8位微控制器,也能完成字体渲染。
另外,它的每个字符只需要25个像素就能显示,而即使 384x288 显示屏也有11万像素。
除了 5x5 字体,还有 3x5 字体(宽3像素,高5像素)和 4x5 字体(宽4像素,高5像素),但是它们的辨识效果都不好(下图)。
2、里海石油城
里海是世界最大湖泊,面积相当于云南省。
上个世纪中期,里海发现了石油。当时的苏联就开始在湖面上建设石油平台,距离岸边有60英里,乘坐6个小时的渡轮才能到达。
最多的时候,共有约320个生产基地,包含2,000口井,通过100多英里的桥梁连接起来。
那时,5000多人生活在这些平台上,形成了一个难以置信的水上城市,所有住宅楼都是建在水上。
随着油田的枯竭和油价的波动,这座石油城的产量已经大幅下降,人们大多离开,整个平台年久失修,垮塌就是时间问题。
1、
美国鞋类生产商 Allbirds 宣布转型为 AI 公司,股价一天暴涨了5倍。
这让人想起2017年,美国一家名为"长岛冰茶"的饮料企业,宣布转型为区块链公司,卖柠檬茶的同时,探索区块链的投资机会,股价也是暴涨。后来,它的区块链业务还没建立好,就破产了。
-- 雅虎
2、
Figma 拥有近 2000 名员工(当然并非所有员工都从事产品开发),而 Anthropic 新推出的 Claude Design 的开发团队,我甚至怀疑是否超过10个人。
-- 《Figma 的困境》,本文评论 Claude Design 对 Figma 造成重大打击,在 AI 的开发速度和开发成本面前,传统软件不堪一击。
3、
我对未来世界的憧憬是,她或许不那样充满未来感,反而更像田园牧歌。我们可以回归传统的生活形态,同时又不放弃新技术带来的便利,几乎无需再去看屏幕或触碰屏幕。
-- jsomers.net
4、
每一种文化都会造就反映其最深层焦虑的英雄。
硅谷最焦虑的,就是增长停滞,无法创造出大受市场欢迎的新产品,所以大肆宣传"英雄开发者":他们能在午夜发布新功能,凭借着咖啡因带来的强大意志力,将白板上的涂鸦变成价值数十亿美元的独角兽企业。
-- 《古典维护者的挽歌》
冷启动的破解之道(#347)
饮水鸟玩具(#297)
扎克伯格的裁员信(#247)
如果这个世界有快乐机(#197)
(完)
2026-04-17 07:20:16
这里记录每周值得分享的科技内容,周五发布。
本杂志开源,欢迎投稿。另有《谁在招人》服务,发布程序员招聘信息。合作请邮件联系([email protected])。
湖南益阳的和平签证主题博物馆,纪念二战时期何凤山博士救助犹太人。外立面的层层钢板象征签证文件,狭窄而棱角分明的入口给人一种压抑的感觉,进入后的空间逐渐走向释放和光明。(via)
最近学到一个新词"脑腐"(brain rot)。
它就是字面意思。有些人看上去是正常的,但是大脑已经变异了,有些部分腐烂了。
根据介绍文章,"脑腐"的症状就是思考能力下降,难以长时间集中注意力,进行深入的推理和反思。
一遇到比较难、需要反复思考的问题,你就会烦躁,不仅是心理烦躁,还会生理烦躁,全身不安,不愿意多想,就希望赶快了结。
你有没有这个症状?如果有,就有"脑腐"的危险了。我感觉,我的大脑就有一点。遇到复杂的软件概念和算法,以前会仔细研究,直到搞懂为止,现在更可能看一眼就跳过去,不懂就不懂了,知道名字就可以了。
"脑腐"的主要原因是,网络平台上面那些夸张的"标题党"文章和短视频。它们的目标是吸引流量,在最短时间内引发阅读者/观看者的兴趣,感到满足。当你长期观看这些内容以后,大脑就被密集刺激,思维兴奋状态的维持时间越来越短,丧失了长时间深入思考的能力。
这就是为什么一个人看惯短视频以后,就离不开内容压缩了。一篇几千字的文章,他也会要求大模型生成总结;一部90分钟的电影,他也宁愿看几分钟的电影解说。
一旦"脑腐"了,难以长时间集中注意力进行思考,也就难以学习和处理高难度问题了。现在看上去,没有好的解决办法,因为现代人的时间越来越琐碎,内容碎片化是大趋势。
应对之策也许就是反过来,将学习和思考拆解成一系列短问题。比如,以后的学习不再是一厚本教材,而是几十个的系列短视频,每个用两三分钟解释一个知识点。只有这个时间长度,学生的思维才能保持专注。
国产大模型一般是开源的,但是最近有所改变。
有的大模型闭源发布;有的只开源小参数版本,不开源大参数版本;有的不允许商用,除非得到许可。我就不点名了。
"黑客新闻"的一个读者,针对开源大模型修改许可证这件事,提出质疑:开源大模型可能无权设置许可证。
他的意思是,现在的开源大模型主要开源的是权重文件,以及配套的运行代码。所谓"权重文件"就是一个巨大的矩阵,表示各个 Token 在生成结果中出现的可能性。
权重是大模型的核心,而它来自于对海量语料的计算。这就是说,权重不过是计算结果,他认为,计算结果是没有版权的。
比如说,你写了一个程序,实现了一种更高效的根号2的算法。那么,这个程序是有版权的,但是计算结果根号2(1.414)是没有版权的。因为计算结果不过是机械过程的产物,不涉及人类创造力。
按照这种说法,权重根本没有版权,当然也就谈不上设置或修改许可证了。
我不是版权专家,不能确定这种说法对不对,但是听上去有道理。大家可以自己去问问大模型"计算结果有没有版权?",看看大模型怎么回答。
1、摄像头耳机
华盛顿大学的研究团队,开发出世界首个带有微型摄像头的无线耳机。
上图中,耳机底部的小凸起就是微型摄像头。
它的最大用途就是跟 AI 互动。你可以直接问:"我手里的英文杂志的封面标题是什么意思",耳机就会把摄像头图像,通过蓝牙发到手机,手机的大模型就会回答。
由于带宽限制,它只能拍摄低分辨率的黑白图像。长远来看,如果不需要显示模块,这种摄像头耳机要比 AI 眼镜更适合穿戴使用,因为很多人不喜欢长时间戴眼镜。
最近,有人向苹果音乐商店 iTunes 上传了艾迪·道尔顿(Eddie Dalton)的歌曲。
这个歌手实际上并不存在,形象、声音、视频都是 AI 生成的,但是上传者没有披露。
结果,这些 AI 歌曲大受欢迎。iTunes 单曲榜前100名中,他居然占据了11席,有两首歌进入了前10名。
他的专辑在 iTunes 上也排名第三。
以前,有人说 AI 和机器人承担日常工作以后,人类可以从事艺术创作,比如唱歌、跳舞、画画、写作、拍视频......现在看上去,AI 也会跟人类争夺艺术工作。
3、经济舱座椅
长途飞行的经济舱座椅,非常不舒服,美联航想出了一种改进办法。
如果是一家三口,可以将座椅的坐垫卸下,从而一家躺在地上睡觉。
航空公司会提供枕头和毛毯,甚至还有床垫。
如果是单人旅客,你就需要同时购买三个相邻座位,好在这样还是比头等舱便宜。
我觉得,中国高铁可以考虑这种做法,某些没有卧铺的长途线路允许拆卸几排座位,让乘客躺在地上休息。
1、Claude Code 的源码真相(英文)
前不久,Claude Code 源码泄漏,人们仔细研究以后,发现这些源码全部是 AI 生成的,质量不高。一个函数就长达3,167行,包含486个判断分支和12层嵌套,入口文件 main.tsx 大小为 785 KB。
作者得出结论,AI 编程流行后,代码泄露、供应链攻击、乱七八糟的生产代码,会成为新常态。
2、Chrome 浏览器原生支持技能(英文)
Chrome 官方宣布,支持在 Gemini 插件里面使用技能(skill),也就是一段预置的提示词,用来一键完成任务。这应该是浏览器以后的发展方向。
3、安卓会剥离照片的位置信息(英文)
本文指出一个容易忽视的点,那就是网页上传照片,安卓会自动剥离照片的位置信息。蓝牙或 QuickShare 分享照片也不行,除非你自己开发照片应用,或者用 USB 传输照片。
4、我的每月20美元技术栈(英文)
作者的网站每月产生1万美元收入,而运营成本仅为20美元,作者介绍他采用的技术栈。
5、你真的需要数据库吗?(英文)
本文提出,如果数据量不大,小型网站完全可以不用数据库,直接把数据保存在文件里面,无论是直接读文件、或者从内存查询,再或者二分法查询,速度都不慢。
6、自制软饮料(英文)
作者记录在家里自制可乐的过程,原来包含那么多化学品。
1、关于索引,你不知道的事(英文)
一篇数据库科普文章,通过实例介绍索引(index)的基本用法。
著名视频编辑软件"达芬奇"的新版本,加入了图像编辑,可以当作照片编辑软件了。
2、Phyphox
一个著名的老牌手机应用(支持 iPhone 和安卓),提供各种手机传感器的应用界面,由德国亚琛工业大学开发。
一个 Chrome 插件,用来定制新标签的主页。
一个同步剪贴板的工具,可以将一台电脑的剪贴板自动同步到另一台电脑,不过需要安装它的服务端和客户端(支持 Windows、Linux、安卓)。
桌面静态博客写作客户端,不用设置服务器,零门槛建立自己的静态博客网站。(@Hao4Wang 投稿)
6、Recordly
开源的录屏与编辑工具,适用于制作演示、产品展示、教程、讲解视频等,可以录制整个屏幕或单个窗口,并直接进入编辑器。(@Hao4Wang 投稿)
7、水印
为图像和视频添加水印的网站,支持自定义模板。(@FurryR 投稿)
8、Input 0
免费开源的 macOS 语音输入工具,本地运行,支持大模型识别语音文本,并进行文本润色。(@Justin3go 投稿)
开源的时间追踪工具,商业软件 Toggl 的替代品。(@CorrectRoadH 投稿)
视频配音的 AI 桌面应用,支持语音翻译和克隆,无需 API 密钥和云端服务,完全本地生成。(@Hao4Wang 投稿)
2、EVA
一个极简的 AI 编程智能体,仅需单个 Python 脚本,定位为低配版 Claude Code,可以参考它的实现。(@usepr 投稿)
一个命令行工具,导出 claude code 的记忆(memory),然后输入 Claude 客户端或其他 AI Agent。(@debugtheworldbot 投稿)
生成本地的 Token 消耗统计报表,支持多种 Agent(Claude Code、Codex、Cursor、Gemini、Kiro、OpenCode、OpenClaw 和 Every Code)。(@mm7894215 投稿)
1、中国卷烟博物馆
一个个人网站,收集各种国产品牌的卷烟。
这个页面列出了世界新闻摄影奖今年一共70幅获奖作品,记录了去年的许多新闻事件。
上图是在四川绵阳的大熊猫公园王朗保护区,使用红外线感应相机拍摄到的野外大熊猫。
这个网站收集世界各地的优秀游记散文,不过文章还不多。
1971年,美国阿波罗14号飞船登陆月球后,宇航员将一个手提箱大小的白色设备,放在月球表面。
这是一个激光反射器,有点像镜子,可以将射来的激光反射回去。
它用来测量地球与月球的精确距离。地球向月球发射激光,被这面镜子反射回来,地球接收到反射的信号,通过时间差就能知道精确距离。
目前的测量精度已经达到了毫米级。科学家发现,月球正以每年3.8厘米的速度远离地球。
有些程序员是基于项目的合同工,不是正式的雇员。
这些程序员选择合同工,而不是稳定的全职工作,是因为想要灵活性和短期经济利益。灵活性指的是,工作时间可以自己安排,而且你可以同时签订多份合同。
可惜的是,现实情况是,公司雇佣了大量合同工,他们没有福利,解雇起来也容易得多,而且工资比全职员工低。
我知道这些,因为我干过好几次合同工。
除了薪酬和福利不如全职员工,你还根本没有带薪休假。如果生病了或者需要休息一天,就根本拿不到这一天的工资。
合同工还有一个问题,被告知的工作和最终实际分配的工作,往往存在重大差异。
我曾经面试了一个 Java 的后端职位,但实际情况是,我几乎没有编写或维护任何 Java 代码,而是被要求去写 React 代码,修复从另一个团队继承下来的有问题的 Jest 测试,以及极其缓慢的 Webpack 配置。
两个月后,我被解雇,理由是毫无根据的"绩效原因"。我知道这只是借口,我遇到了太多自己根本无法控制的问题。
我的另一次合同工经历,也是如此。我在团队里轮班待命,周六早上要值班却没有工资;我提交的工时表被断然拒绝,老板打电话问我为什么要加班。
后来我发现,我的雇主不愿意支付我加班费,再后来我被解除了合同,他们在电话里告诉我不胜任这项工作。
总之,现在的软件合同工有各种弊端,却得不到任何好处。如果有人能从合同工变成全职员工,那当然很好,但在我工作过的每家公司里,合同工都是二等公民。
1、
哈佛大学2024-2025学年,成绩为 A 的作业比例约为60%,远远高于2005-2006学年的约25%,可见成绩膨胀有多严重。
-- 《华尔街日报》
2、
Claude Mythos 模型可以发现并利用系统漏洞,外部评测证实了这一点。但是,评测者也发现了一个残酷的事实:你花费的 Token 费用越多,它发现的漏洞就越多,系统也就越安全。
这意味着,你想要系统安全,就必须比攻击者花费更多的 Token。因此,安全行业变得像采矿的工作量证明,谁的投入多,谁就赢。
-- Simon Willison,著名开发者
3、
一年前,我经常收到代码质量低劣、甚至完全不知所云的 pull request,这让我怀疑提交者是不是用了 AI,所以代码才这么糟糕。
今年不同了,当我收到拼写错误、语法错误的低质量 pull request 时,我反而会怀疑贡献者是不是忘了使用 AI 来写代码,因为 AI 会显著提高代码质量的下限。
4、
当代战争进行时,政府通过表情包和玩偶动画进行宣传,这或许让人觉得匪夷所思,但这正是平台时代的体现。
将战争包装成娱乐性的视觉语言,会使得宣传更容易传播。社交媒体是一个开放的竞技场,最具吸引力的内容将获得最大的传播范围。
-- 《当病毒式传播成为信息》
5、
大模型意味着,Markdown 现在是一种可执行文件格式。你下载一个 Markdown 文件,你的大模型就多了一个新的第三方依赖项,它的任何修改都可能是注入攻击。
-- 《第三方依赖的冷却时间》
未来就是永恒感的丧失(#346)
xz 后门的作者 Jia Tan 是谁?(#296)
永不丢失的网络身份(#246)
掌机的未来(#196)
(完)
2026-04-10 07:17:13
这里记录每周值得分享的科技内容,周五发布。
本杂志开源,欢迎投稿。另有《谁在招人》服务,发布程序员招聘信息。合作请邮件联系([email protected])。
今年就将启用的腾讯总部园区,俗称"企鹅岛",里面不仅包括办公楼,还有多幢公寓楼。(via)
上周,著名软件库 axios 被投毒了。黑客拿到了发布令牌,直接发了一个新版本,里面加入了木马。
软件投毒不是新鲜事,新鲜的是发布令牌怎么泄漏的。背后的故事简直是好莱坞电影,根本防不胜防。
axios 属于使用最广泛的 JS 软件库之一,每周下载量接近1亿次,所以这次投毒的感染面很大。
而且,木马的恶性程度很高。根据官方的清除说明,如果不幸中毒,机器上所有的密钥、令牌和凭证都要作废。这个木马会扫描所有目录,收集密钥,然后发出去。
大家要知道,像 axios 这种超级流行的软件库,每个环节都有完整防护,每一行代码都被严格审查。这次攻击完全是一场精心策划的社会工程,把这些防护都攻破了。
攻击目标选定首席维护者 Jason Saayman。据本人透露,事件过程是这样的。
他们根据我的情况量身定制了这一流程,具体做法如下:
- 他们冒充某公司的创始人联系我,不仅克隆了该公司创始人的外貌,还克隆了该公司本身。
- 他们随后邀请我加入一个真实的 Slack 工作区。这个工作区使用了该公司的品牌标识,名称也十分可信。Slack 的工作区设计得非常精巧,他们设有专门的频道来分享 LinkedIn 上的帖子。我猜这些 LinkedIn 帖子最终会发布到该公司的真实账号上,整体效果非常逼真。他们甚至还创建了一些我推测是该公司团队成员以及其他一些开源软件维护者的虚假账号。
- 他们安排了一次与我的会面,目的是进行沟通。会议是在微软 Teams 上进行的。参会人员似乎是一群人。
- 会议指出我系统上的某些东西过时了。我以为是和 Teams 有关,就安装了缺失的组件,结果发现是远程木马(RAT)。
- 一切都安排得井井有条,看起来很正规,而且做事方式也很专业。
可以看到,这个攻击是有剧本的,每一步都经过了策划,充分准备和排练,完全为你度身定制,就等你落入圈套。
行骗者非常耐心,投入了巨大的前期成本。首先,假冒某公司的创始人联系你,为了提升可信度,还做了假的公司网站;然后,邀请你加入他们的 Slack 工作区,里面有各种讨论、项目文档、宣传物料,看上去就像真的一样;最绝的是,他们还让你在 Teams 软件上参加公司的视频会议,一群骗子亲自露面,陪你一起开会。
会议开始后不久,主持人突然说:"奇怪,你的系统怎么跟我们不一样,是不是微软的插件过时了,我发你一个最新版。"你就这样收到了传过来的安装包,看到别的与会者都在等你,你也就没有多想,直接双击执行了。哦喔,就这样中招了,发布令牌一秒钟就泄漏了。
作假到这种程度,让人叹服。
这让我联想到不久前看到的一条印度新闻,作假程度有过之而无不及,也是如同好莱坞电影。
去年圣诞节,一位印度新德里的77岁老太太,收到了"警察局"的 Whatsapp 视频电话。视频右下角居然还有手语翻译。
警察跟她说,银行发现她的账户有洗钱记录,必须对她进行调查,如果不配合,账户资金将被没收,通知她远程出席法院的调查听证会。
媒体后来披露了"警察局"的布景照片,大家看看多么逼真。
前三张照片是印度警察局,最后一张是巴基斯坦警察局,它们在一栋楼里,房间紧邻着。要知道这两个国家在现实中是对立的,但是不妨碍骗子两边都骗。
再回到案子本身,几天后,老太太参加了线上听证会,在一个法院里举行,由"法官"亲自主持。他查看了资金记录,听取了"警察"的证词,向老太太询问了一些问题。
最后,"法官"告诉老太太,当局需要核实她的所有资产是否合法。她必须每天都跟警察局连线,回答问题,直到查清为止。
下面就是这个案件最精彩的部分,一连16天,老太太每天开着摄像头连线,大家看看骗子演到了什么程度。
在这16天里,老太太渐渐喜欢上了在假警局轮班的警官们。她开始称他们为自己的孩子们。而他们也反过来称她为"母亲"。
晚上,她和最年轻的军官一起阅读印度教宗教经典,这位军官请她把她觉得特别感人的段落发给他。
"他们就像家人一样,"老太太回忆说。"他们说,'女士,我们想尽快把事情解决。我们日夜为您工作。'"
天哪,骗子从早到晚演了16天,跟老太太促膝长谈,一起读经典,请教人生问题,直到深夜。这要是拍成电影,该有多动人。
老太太没有丝毫疑心,心甘情愿卖掉了自己的投资,累计九次向假警察局的账户总共转出了160万美元。
第二天,她再跟"警察局的孩子们"连线,就连不上了。
从上面两个案例,大家可以看到,现在的互联网骗局可以演到什么程度,完全是精准投放的"剧本杀",成功率极高。要是再加上 AI 的加持,几乎不可能分辨真假、。
网站开发有一条规则:客户端的每一个请求都不可信任,必须假定是恶意请求。以后,现实生活恐怕也是这样:每一个陌生人都不可信任,必须假定是恶意骗局。
最近发生了三件事,说明算力当前依然很紧张。
第一件事,OpenAI 关闭了视频生成服务 Sora,主要原因是算力不够,公司要把计算资源用于核心业务。
第二件事,Anthropic 公司正式禁止将包月套餐用于第三方服务(比如 OpenClaw、OpenCode 等等)。
原因是包月套餐如果足额使用,消耗的算力将远远超过套餐费用。公司的算力很宝贵,必须优先保证自家产品(比如 Claude Code),不能让外部产品增加机房负担。
第三件事,有文章称,GitHub 今年前三个月的代码提交量是去年同期的14倍!
原因显然是 AI 编程暴增,去年年初可没有 Claude Code。GitHub 的资源根本不足以应付这种增量,所以不断发生故障。
上图显示,GitHub 过去三个月的正常运行时间只有89.47%,合格数字应该是99.99%。
以上三件事说明,主要的几家 AI 服务公司,算力资源都很紧张,硬件依然不足。
这意味着,硬件价格暴涨还没到头,还会继续涨,而 GitHub 很可能会收紧免费服务,全面转向收费。
我看到一个开发者说,前端本质上是相同的工作:向用户展示一些数据,并让用户处理这些数据。
他觉得,没必要重复解决同样的问题。
他就做了一个"自适应浏览器"。它通过 AI 自动生成前端 UI,后端只需要提供数据,以及网页用途的描述。
不知道这是不是前端的结局?
Adobe 公司的主要产品是"创意云"套件(Creative Cloud),包含了许多著名软件,比如 Photoshop、Illustrator、Premiere。
一个网友安装后,震惊地发现,安装程序修改了他的 hosts 文件。
上图可以看到,Adobe 在 hosts 里面加了一个本地的 DNS 记录。
一个应用程序为什么要修改系统文件呢?
据知情人士透露,这是为了测试用户是否安装了 Creative Cloud。用户访问官网时,网页会向上图的域名发出一个请求,因为该域名的 DNS 记录只有本地才有,服务器收到了请求,就意味着用户安装了 Creative Cloud。
这么著名的软件,居然想出这种类似"开后门"的解法,而且对象是付钱给他的人,真让人无语。
1、MDN 新前端的底层结构(英文)
MDN 是互联网最大的文档网站,本文介绍这个网站的前端架构,没想到这么复杂。
2、杀死那个写代码的人(中文)
作者是某大厂前端程序员,回顾自己这一年,从手写代码转变到 AI 编程。AI 改变了一切,消解了"35岁退休"。(@wind-liang 投稿)
3、我如何用安卓手机搭建短信网关(英文)
作者介绍如何在一部二手的安卓手机上,安装一个短信网关,通过网络收发短信(使用你自己的套餐)。
4、使用 QEMU 进行大端字节序测试(英文)
一篇 C 语言的初级教程,在本机上通过 qemu 虚拟机,运行一个不到十行的程序,就能查看某个架构是大端还是小端字节序。
6、Python 的 importtime 功能(英文)
Python 使用 import 命令输入模块,这有性能开销。本文介绍内置的 importtime 功能,可以显示每个模块加载所消耗的时间。
6、2000年库尔斯克号核潜艇灾难(英文)
2000年8月,俄罗斯核潜艇"库尔斯克"号在演习中爆炸沉没,118名船员全部遇难。这场事故发生得十分缓慢,现场一片混乱,救援工作进展不断延迟,本文用大量照片还原了整个过程。
本周,谷歌官方推出了一款苹果手机 App,为手机提供离线使用的 Gemma 4 模型。不需要上网,手机也能使用大模型了。
2、apfel
Mac 电脑内置了一个本地大模型,可以离线使用。但是,默认只有苹果自家的 Siri 能调用,安装了这个工具以后,就可以自己在命令行调用它了。
3、Docking
为 Linux 桌面添加类似苹果桌面的程序坞。
4、Tantivy
Rust 语言写的全文搜索引擎库,可以替代 Apache Lucene,参见介绍文章。
跨平台的桌面应用,用来录屏后制作介绍视频,提供各种配套编辑功能。
6、epub-tts
这个开源工具将 epub 文件转成音频文件,也就是电子书转成有声书。
7、NVTOP
一个 Linux 系统的命令行程序,用来监控 GPU 显卡的状态,等同于显卡专用的 top 命令。
8、dmcheck
检查某个主题词的域名占用情况。(@PlayerYK 投稿)
开源的动画曲线编辑网站。(@AmyangXYZ 投稿)
10、gitlogue
这个工具可以将 Git 仓库的提交历史,在终端里面以动画形式重现,甚至可以显示为屏保。
1、佛津
全球佛教古籍数字化聚合平台。(@xr843 投稿)
实时 3D 显示全球的航班。(@haojiang99 投稿)
3、GPU 时间线
这个网站用图片展示了 GPU 显卡的发展历程,从1996年的 Voodoo 卡到2025年的 RTX 5090 显卡。
中美洲的哥斯达黎加出产橙汁,产生了大量的橘子皮,以前都是垃圾填埋。
一个环保组织说服工厂,把12000吨橘子皮倾倒在荒山上,用来积肥。
山头覆盖了橘子皮,除此以外,没有做任何处理。
过了6个月,橘子皮彻底腐烂,成为了黑色的泥土,慢慢开始长东西了。
16年以后,当科学家重新来到现场时,那里已经是茂密的树林了。
这真是绿化荒山的最简单方法,只要堆满了橘子皮,任其腐烂就可以了。
美国、法国、日本等16个粒子物理实验室,联合举办了一个摄影比赛,邀请摄影师拍摄物理实验室,用来向大众宣传物理学。
上图是意大利国家核物理研究所 (INFN) 的低温探测器实验室,它可以将物质冷却到仅仅略高于绝对零度。
上图拍摄地是法国的重离子国家加速器研究中心,拍摄的装置是直线加速器的供电系统。
更多照片看这里。
我们去海边玩,沙子会粘在皮肤、鞋子、衣服和头发上。
沙子的主要成分是二氧化硅,跟岩石一样。岩石没有粘性,为什么沙子会有粘性呢?
原来,沙子本身没有粘性,但具有亲水性,它会吸水。人体也是亲水的,在烈日下汗流浃背。当沙子接触到湿润的东西时,水分子之间就会产生粘性。
皮肤上往往还有油脂或者防晒霜,它们也会让沙子粘在皮肤上。
另外,皮肤还有一些微小褶皱,也会卡住沙子。
总之,想要去除沙子,就是等到皮肤变干,或者用水冲洗。
1、
如果你认为编写代码的速度是你的问题,那你面临的问题更大。
-- Andrew Murphy,澳大利亚程序员
2、
有一种兴奋,叫做2017年才刚接触加密货币的人才有的兴奋。
-- Andrew Murphy,澳大利亚程序员
3、
一项民意调查发现,美国年轻人对于婚姻、子女、信仰的重视程度,远不及他们的父母,对于传统的价值观----爱国主义、宗教、社区和家庭也很冷淡。
年轻人把市场和金钱当作道德准则。在他们眼里,市场决定了事物的价值、事件的意义、谁是正确的、谁是赢家、谁举足轻重。
-- 《预测市场的最糟糕后果》
4、
对我来说,未来城市实际上是像阿姆斯特丹那样的地方,到处都是舒适的街道和自行车道,而不是像迪拜那样的地方,有16车道的高速公路,以及一群被压迫的劳工阶级在俗气的豪华购物中心里工作。
5、
高校都要求博士生发表论文,至于你写什么、怎么写的、内容与研究方向有没有关系,系里其实都不在意。系里需要论文,因为论文能证明经费的合理性,而经费又能证明系的存在价值。学生只不过是达成这个目标的生产资料。
HDMI 2.2 影音可能到头了 (#345)
巧妙的灯泡钟(#295)
摩天大楼是反人类的(#245)
你做过不在乎结果的项目吗?(#195)
(完)
