Synth Daily

每日科技摘要-02-09-早报

安全与信任

从“谁能贡献”到“代码如何启动”,信任链正在被重新补齐;同时老漏洞依然能带来实际追踪与绕过。

  • 背书:给开源项目加一层“信任名单”。没背书的人不能碰某些部分,也能公开撤销信任。作者直指 AI 带来的低质量贡献问题,项目仍在实验阶段。
  • Roundcube Webmail:SVG feImage 绕过图片屏蔽,追踪邮件打开情况:Roundcube 的清理器没处理好 SVG 的 <feImage>,导致“阻止远程图片”失效,可被用来追踪是否打开邮件。低于 1.5.13 和 1.6.13 的版本受影响,已修复,建议尽快更新。
  • 利用已签名的 bootloader 绕过 UEFI Secure Boot:解释 Secure Boot 的限制与现实漏洞:利用已被信任的签名链(如某些预加载器/救援盘签名),仍可能启动不受信任的 EFI 程序,提醒“只看签名”并不等于安全。
  • 用“子代理组合 + 代理定义”这套连招就能绕过计费:报告称 Copilot 计费可被组合调用方式绕过,让高价模型几乎免费持续跑。作者称已提交但被拒绝处理,风险点在“工具调用不计费、按初始模型计费”等规则组合。

开发者工具与工程效率

自动化更强、运行更快,但“默认安全边界”是否够用,开始变得关键。

  • GitHub 智能体工作流:把“用文字写任务”编译成 GitHub Actions 工作流,用于自动处理 issue、分析 CI 失败、补文档等。强调默认只读、写入需批准,并有沙箱、白名单与网络隔离。
  • Bun v1.3.9:新增并行/顺序跑脚本参数,修了 ARMv8.0 崩溃,改进 HTTP/2、测试 mock、Markdown 渲染和正则性能,并继续补 Node/Web API 与 TypeScript 兼容性。
  • SpiceDB 查询规划器:权限检查新增查询规划器,会根据关系数据的形状和成本调整执行顺序,减少无谓遍历,目标是在大数据量和复杂关系下把延迟压下去。

系统与底层技术

调度、语言标准、硬件限制:很多“老问题”换了新形态,但结论仍是细节决定成败。

  • Apple XNU:离合调度器:讲 XNU 的 Clutch/Edge 调度器:分层做决策,兼顾交互任务低延迟与低优先级不饿死,并扩展到异构多集群,用迁移和负载策略平衡性能与能耗。
  • 毁灭小布尔(2025):GCC 15 默认 C23 后,Chocolate Doom 的自定义 boolean 与 C23 的 bool 冲突。更麻烦的是改用 _Bool 后会因“非法布尔值”触发未定义行为导致运行错误,提醒代码里别指望布尔能装任意整数。

网络、身份与标准

一边是个人也能“玩到互联网核心协议”,另一边是桌面端登录体验补上现代标准。


AI 热潮:钱、广告与法律边界

AI 不只在产品里,也进了广告预算和法院议程;平台责任与商业冲动一起升温。


复古计算与游戏工程

用旧机器做新事、用新机器复刻旧环境:工程能力往往在这些“看起来没用”的项目里最扎实。


研究与数据

平台变冷清、用户更极端:公共讨论空间在变小,也在变尖。


交通与硬科技

电池化学体系继续分叉:低成本、耐低温路线开始走向量产车。