每日科技摘要-02-09-早报

从“谁能贡献”到“代码如何启动”，信任链正在被重新补齐；同时老漏洞依然能带来实际追踪与绕过。

背书：给开源项目加一层“信任名单”。没背书的人不能碰某些部分，也能公开撤销信任。作者直指 AI 带来的低质量贡献问题，项目仍在实验阶段。
Roundcube Webmail：SVG feImage 绕过图片屏蔽，追踪邮件打开情况：Roundcube 的清理器没处理好 SVG 的 <feImage>，导致“阻止远程图片”失效，可被用来追踪是否打开邮件。低于 1.5.13 和 1.6.13 的版本受影响，已修复，建议尽快更新。
利用已签名的 bootloader 绕过 UEFI Secure Boot：解释 Secure Boot 的限制与现实漏洞：利用已被信任的签名链（如某些预加载器/救援盘签名），仍可能启动不受信任的 EFI 程序，提醒“只看签名”并不等于安全。
用“子代理组合 + 代理定义”这套连招就能绕过计费：报告称 Copilot 计费可被组合调用方式绕过，让高价模型几乎免费持续跑。作者称已提交但被拒绝处理，风险点在“工具调用不计费、按初始模型计费”等规则组合。

自动化更强、运行更快，但“默认安全边界”是否够用，开始变得关键。

GitHub 智能体工作流：把“用文字写任务”编译成 GitHub Actions 工作流，用于自动处理 issue、分析 CI 失败、补文档等。强调默认只读、写入需批准，并有沙箱、白名单与网络隔离。
Bun v1.3.9：新增并行/顺序跑脚本参数，修了 ARMv8.0 崩溃，改进 HTTP/2、测试 mock、Markdown 渲染和正则性能，并继续补 Node/Web API 与 TypeScript 兼容性。
SpiceDB 查询规划器：权限检查新增查询规划器，会根据关系数据的形状和成本调整执行顺序，减少无谓遍历，目标是在大数据量和复杂关系下把延迟压下去。

调度、语言标准、硬件限制：很多“老问题”换了新形态，但结论仍是细节决定成败。

Apple XNU：离合调度器：讲 XNU 的 Clutch/Edge 调度器：分层做决策，兼顾交互任务低延迟与低优先级不饿死，并扩展到异构多集群，用迁移和负载策略平衡性能与能耗。
毁灭小布尔（2025）：GCC 15 默认 C23 后，Chocolate Doom 的自定义 boolean 与 C23 的 bool 冲突。更麻烦的是改用 _Bool 后会因“非法布尔值”触发未定义行为导致运行错误，提醒代码里别指望布尔能装任意整数。

一边是个人也能“玩到互联网核心协议”，另一边是桌面端登录体验补上现代标准。

自建 AS：在 FreeBSD 上用 FRR、GRE 隧道和策略路由跑 BGP：从申请 AS 号和 IPv6 前缀开始，讲到用 FreeBSD+FRR 对接上游、用隧道给下游分发子网、用多路由表做双栈与策略路由，是一篇“可复现”的 BGP 实操笔记。
Linux 凭证：将 Passkeys 带到 Linux 桌面端：介绍 Credentials for Linux：做标准 FIDO2 平台 API，让 Linux 桌面更容易用 Passkeys，并兼容沙盒应用与浏览器；已集成 Firefox。
国际图像互操作框架：IIIF 用一组开放 API 让各机构的高质量图像/视听资源能跨库访问、比对、标注与检索，解决“各做各的”带来的复用困难。
RFC 3092——“Foo”的词源（2001）：解释 “foo/bar/foobar” 的来历与在 RFC 里的长期用法，是一份轻松但很实用的术语背景资料。
Dave Farber 去世了：NANOG 邮件列表确认网络先驱 Dave Farber 去世，引发业内悼念。

AI 不只在产品里，也进了广告预算和法院议程；平台责任与商业冲动一起升温。

Crypto.com 豪掷 7000 万美元押注 AI.com 域名，抢在超级碗前出手：AI.com 以 7000 万美元易主，创纪录。买家计划把它做成个人 AI 助手入口，但这种“天价域名=未来回报”仍是赌局。
从 Svedka 到 Anthropic，各大品牌在超级碗广告里用 AI 放手一搏：AI 被用来做广告，也被用来卖 AI 产品；从生成式广告到智能眼镜、Alexa+，一场集中展示“AI 已经无处不在”的营销战。
Section 230 三十而立，却迎来迄今最严峻的考验：美国互联网平台责任保护条款迎来 30 周年，却面临废止和重写压力。多起诉讼会测试它的边界，而 AI 生成内容也被排除在保护之外。

用旧机器做新事、用新机器复刻旧环境：工程能力往往在这些“看起来没用”的项目里最扎实。

我把实时 3D 着色器塞进了 Game Boy Color：在极弱硬件上做实时 3D 光照渲染：用查表替代乘法、用自修改代码榨性能。作者也提到 AI 在底层优化上帮不太上忙。
像 1997 年那样编译 Quake：在 Windows NT 4.0 + VC++6 的环境里重编 Quake Win32 版本，补全当年的工具链细节，带你理解“当时为什么这么写、这么构建”。
GTA 模组大神让 1997 年原版在现代 PC 和 Steam Deck 上跑起来了：围绕经典 GTA 的现代运行与体验改进做讨论，重点在兼容性、界面与设置选项等“让老游戏好用”的细节。

平台变冷清、用户更极端：公共讨论空间在变小，也在变尖。

2020—2024 年美国社交媒体使用变迁：下滑、碎片化、两极分化：用选举研究数据对比 2020 与 2024：总体使用下降，平台更分散；政治发帖与情绪极化强相关，活跃发帖者更偏极端，线上公共领域规模变小但更尖锐。

电池化学体系继续分叉：低成本、耐低温路线开始走向量产车。

首款搭载钠离子电池的电动汽车，冬季续航猛到离谱：宁德时代与长安称将于 2026 年中推出钠离子电池量产乘用车，约 400 公里续航，低温衰减小；主打成本、安全与资源可得性，瞄准“与锂电共存”的新格局。