Synth Daily

科技爱好者周刊(第 392 期):axios 投毒与好莱坞式骗术

本期内容探讨了著名软件库 axios 遭投毒的事件,揭示了黑客如何通过堪比好莱坞电影的社会工程骗局,诱使维护者安装木马并窃取发布令牌。同时,内容也指出了当前科技行业面临的算力资源严重不足问题,表现为 OpenAI 关闭 Sora 服务、Anthropic 限制套餐以及 GitHub 因 AI 编程激增而频繁故障。最终,文章通过这些事件反映了当前技术世界的安全挑战与资源瓶颈。

axios 投毒与好莱坞式骗术

上周,每周下载量近 1 亿次的著名软件库 axios 被投毒。这次攻击并非技术破解,而是一场精心策划的社会工程攻击,其手法之高明,堪比电影剧本。

木马的危害性极高,一旦中毒,设备上所有的密钥、令牌和凭证都可能被窃取。

攻击者将目标锁定为首席维护者 Jason Saayman,并为他量身定做了一套骗局:

  • 伪装身份: 冒充某公司创始人,克隆其外貌和公司网站。
  • 建立信任: 邀请受害者加入一个看起来非常真实的 Slack 工作区,里面有虚假的团队成员、项目讨论和品牌资料。
  • 真实互动: 安排一场线上的微软 Teams 视频会议,由多名骗子真人出镜表演。
  • 植入木马: 会议中,以“系统插件过时”为借口,诱使受害者安装一个伪装成更新包的远程木马(RAT),从而窃取了发布令牌。

他们根据我的情况量身定制了这一流程……一切都安排得井井有条,看起来很正规,而且做事方式也很专业。

这种投入巨大、耐心十足的“剧本杀”式骗局并非孤例。另一则印度新闻中,骗子团伙为骗取一位 77 岁老太太 160 万美元,上演了更夸张的戏码:

  • 搭建逼真场景: 骗子搭建了极其逼真的“警察局”和“法庭”作为视频背景。
  • 角色扮演: 骗子扮演警察、法官等角色,与老太太进行长达 16 天的视频连线。
  • 情感攻势: 骗子们在 16 天里与老太太建立“家人般”的感情,陪她读经、聊天,最终让她心甘情愿地转账。

这两个案例揭示了现代网络骗局的复杂性和精准性。过去,我们常说“客户端的每一个请求都不可信任”,未来在现实生活中,或许每一个陌生人都不可信任

算力依然不足

最近发生的三件事表明,AI 行业的算力依然非常紧张

  • OpenAI 关闭 Sora: 由于算力不足,OpenAI 关闭了视频生成服务 Sora,以保证核心业务的计算资源。
  • Anthropic 限制用量: Anthropic 禁止包月套餐用于第三方服务,因为足额使用会消耗远超套餐费用的算力,公司需优先保障自家产品。
  • GitHub 频繁故障: 由于 AI 编程工具导致代码提交量暴增(今年前三月是去年的 14 倍),GitHub 资源不堪重负,过去三个月正常运行时间仅为 89.47%

这些现象说明,主流 AI 公司的硬件资源依然紧缺。这意味着 硬件价格可能继续上涨,而像 GitHub 这样的平台可能会收紧免费服务,全面转向收费。

前端是不是重复劳动?

一位开发者认为,前端工作的本质是重复的:向用户展示数据并让用户处理数据。因此,他开发了一个“自适应浏览器”,通过 AI 自动生成前端 UI,后端只需提供数据和用途描述。这或许揭示了前端开发的某种未来趋势。

Adobe 修改 hosts 文件

有用户发现,Adobe 的 Creative Cloud 安装程序会擅自修改系统的 hosts 文件

据称,此举是为了在用户访问官网时,通过请求一个仅存在于本地 DNS 记录中的域名,来检测用户是否安装了 Creative Cloud。这种类似“开后门”的做法,尤其针对付费用户,令人感到失望。

文章

  • MDN 新前端的底层结构: 介绍大型文档网站 MDN 复杂的前端架构。
  • 杀死那个写代码的人: 一位大厂前端程序员回顾从手写代码到 AI 编程的转变。
  • 我如何用安卓手机搭建短信网关: 教程,介绍如何用二手安卓手机通过网络收发短信。
  • 使用 QEMU 进行大端字节序测试: C 语言初级教程,通过虚拟机查看 CPU 的字节序。
  • Python 的 importtime 功能: 介绍 Python 内置功能,用于分析模块加载的性能开销。
  • 2000年库尔斯克号核潜艇灾难: 用大量照片回顾俄罗斯核潜艇“库尔斯克”号的沉没事故。

工具

  • Google AI Edge Gallery: 谷歌官方推出的 App,可在苹果手机上离线使用 Gemma 4 模型。
  • apfel: 一个可以在命令行调用 Mac 电脑内置本地大模型的工具。
  • Docking: 为 Linux 桌面添加类似 macOS 的程序坞。
  • Tantivy: 一个 Rust 语言编写的全文搜索引擎库,可替代 Apache Lucene。
  • Open Screen: 用于录屏和制作介绍视频的跨平台桌面应用。
  • epub-tts: 将 epub 电子书文件转换为有声书的开源工具。
  • NVTOP: Linux 命令行下的 GPU 显卡状态监控工具。
  • dmcheck: 检查某个关键词的域名占用情况。
  • Reze Studio: 开源的动画曲线编辑网站。
  • gitlogue: 将 Git 提交历史在终端以动画形式重现的工具。

资源

  • 佛津: 全球佛教古籍数字化聚合平台。
  • Flight Viz: 实时 3D 显示全球航班的网站。
  • GPU 时间线: 以图片形式展示从 1996 年到 2025 年 GPU 显卡的发展历程。

绿化荒山的简单方法

哥斯达黎加的一个环保项目提供了一种极其简单的绿化方法。一个环保组织说服工厂将 12000 吨橘子皮倾倒在一片荒山上。

  • 起初: 橘子皮覆盖了整个山头。
  • 6个月后: 橘子皮腐烂成黑色的肥沃土壤,开始长出植物。
  • 16年后: 原本的荒山变成了一片茂密的树林。

这个案例证明,有时最简单的自然方法可能是最有效的。

2025年全球物理摄影大赛

多国粒子物理实验室联合举办摄影比赛,旨在向公众宣传物理学。照片展示了尖端物理实验装置的美感,例如意大利国家核物理研究所的低温探测器,以及法国重离子国家加速器研究中心的供电系统。

为什么沙子有粘性?

沙子本身没有粘性,但其主要成分二氧化硅具有亲水性。当沙子接触到人体皮肤上的汗水或油脂时,水分子和油分会产生粘性,将沙粒粘在皮肤上。想要去除沙子,最好的方法是等皮肤变干或直接用水冲洗。

言论

如果你认为编写代码的速度是你的问题,那你面临的问题更大。

有一种兴奋,叫做2017年才刚接触加密货币的人才有的兴奋。

年轻人把市场和金钱当作道德准则。在他们眼里,市场决定了事物的价值、事件的意义、谁是正确的、谁是赢家、谁举足轻重。

对我来说,未来城市实际上是像阿姆斯特丹那样的地方,到处都是舒适的街道和自行车道,而不是像迪拜那样的地方,有16车道的高速公路。

高校都要求博士生发表论文,至于你写什么、怎么写的……系里其实都不在意。系里需要论文,因为论文能证明经费的合理性……学生只不过是达成这个目标的生产资料。