安全与隐私
这几篇都在提醒一件事:攻击者越来越会伪装,开发者和普通用户都得把“默认不信任”变成习惯。
- LinkedIn 招聘邀请中的后门:有人借招聘消息引导开发者查看 GitHub 仓库,仓库里藏着会在
npm install时自动执行的后门。攻击者还冒用真实身份和提交记录,伪装得很像正常面试流程。 - 用多项式分解“短袖”RSA密钥:研究人员发现,一类随机性很差的 RSA 密钥会留下明显模式,能被快速分解。他们在真实网络里找回了数百个私钥,问题还追到旧版 CompleteFTP 的实现错误。
- Rust 与 C/C++ 的内存安全 CVE 有何不同:文章指出,Rust 的“安全代码不该把库用坏”是更强的承诺,所以 Rust 库里这类问题更应算作库漏洞。直接拿 Rust 和 C/C++ 的 CVE 数量做横向对比,很容易得出错结论。
- 谷歌将保存更多你的搜索数据用于训练 AI,但你可以选择退出:谷歌正在把更多搜索相关数据纳入保存和个性化范围,并可能用于 AI 训练。用户可以单独关闭部分记录,或设置自动删除。
- 一场加密货币骗局盯上了一位同性恋 OnlyFans 明星。随后,他的 X 信息流被“让美国再次伟大”宣传刷屏。:黑客用钓鱼链接劫持账号,再把账号改成政治宣传和加密骗局工具。受害者不只丢号,还会失去合作和收入,说明社交平台账号安全已经直接影响现实生计。
AI:监管、落地与工具
AI 这周的主线很清楚:一边是政府开始直接限制模型访问,另一边是 AI 正更深地进入开发、企业系统和航天场景。
- 美国政府对 Anthropic 模型的禁令从来就不是因为 AI 越狱:美国商务部要求 Anthropic 限制最新模型向非美国人开放,理由更多是出口管制,不是外界先前以为的“越狱”问题。这让 AI 服务第一次明显带上了国籍边界。
- 网络安全老兵抗议美国政府对 Anthropic 最强大模型的“危险”禁令:76 名安全专家联名反对这项限制,认为防守方反而会因此失去先进工具。争议点不只是模型强不强,而是谁有资格用。
- 特朗普叫停 Anthropic,反而给“非美国 AI”做了最强广告:这次封禁让更多国家意识到,核心 AI 能力完全依赖美国公司并不稳妥。所谓“主权 AI”不再只是口号,而是在变成政策和投资方向。
- Meta 在 Facebook 上推出的全新“AI 模式”会从其各个平台上的公开信息中抓取内容:Meta 把 AI 问答直接塞进 Facebook,并调用帖子、群组、Reels 等公开内容来组织答案。它想做的不是单独的聊天机器人,而是把整个平台都变成 AI 的素材库。
- 问一问 HN:有人把 Claude/GPT 换成本地模型来日常写代码了吗?:开发者的实际反馈很一致:本地模型能用,但速度、工具链和稳定性还很难完全替代云端模型。对多数人来说,本地部署更像补充,不是彻底替代。
- 我的 Homelab AI 开发平台:作者把 AI 放进一个受控开发流程里:AI 提交代码到分支,人来审 PR,再走 GitOps 部署。这种做法的重点不是“全自动”,而是让 AI 帮忙,又不给它直接碰生产环境。
- 一颗卫星刚刚学会了自主寻找目标——这意味着什么:地球观测卫星首次在轨用视觉语言模型自主识别目标,减少对地面人工筛选的依赖。AI 正从地面软件走向真实硬件和高成本任务。
- Sarvam 以 2.34 亿美元融资轮成为印度最新的 AI 独角兽,由 HCLTech 领投:印度本土 AI 公司 Sarvam 获大额融资,重点做印度语言和本地场景。它说明一个趋势:各国都在推动自己的模型、数据和算力体系。
- 随着 AI 代理逐渐成为“员工”,NewCore 融资 6600 万美元,为它们赋予身份:企业开始把 AI 代理当成需要账号、权限和审计的“新身份”。这类创业方向的核心不是生成内容,而是管住 AI 能访问什么、能做什么。
开发工具与基础设施
这组新闻更务实:网络、数据库、排版、部署和系统启动都在朝着更稳定、更可控走。
- Iroh 1.0:Iroh 发布 1.0,主打“用密钥找设备,而不是靠 IP 地址”。它把点对点直连、NAT 穿透、多路径传输和多语言接口一起做稳了,适合需要设备直连的应用。
- TimescaleDB 如何压缩时间序列数据:文章解释了 TimescaleDB 如何用列式压缩、delta 编码和 Gorilla XOR 等方法压缩旧数据。重点不只是省空间,还能让分析查询更快。
- Typst 0.15.0:Typst 这次更新很实在,补上了可变字体、MathML 导出、多参考文献和更多 PDF 标准支持。同时也带来一些破坏性变更,升级前最好先检查旧项目。
- 工作面试让我对 Kubernetes 有了这些认识:作者发现,很多公司用 Kubernetes,不是因为业务真有那么复杂,而是因为它统一、好招人、好审计。对小团队来说,太早上 K8s 仍可能是负担。
- 裸机启动 Linux:作者把 Linux 精简到只负责启动一个程序,并在虚拟机和真机上跑通。这样能缩小体积、加快启动,也能减少攻击面,但维护成本会更高。
- Hetzner 价格调整:Hetzner 将上调多地云服务器和独立服务器价格,新订单和扩容会按新价执行。对依赖其低价优势的小团队来说,这会直接影响预算。
- 重振一个被弃置的开源项目:Atomic Calendar Revive 的 6 年历程:这篇回顾很坦白:接手开源项目后,真正难的是兼容性、自动化、发布节奏和长期精力,不是修一两个 bug。对想“接盘”老项目的人很有参考价值。
- 每个程序员都该知道的伽马校正:图像混色、透明、缩放和渲染如果直接在 sRGB 空间里算,结果常常是错的。文章把这个老问题讲得很清楚,适合所有做图形和前端的人补课。
公司、平台与监管
大公司这边,一半在并购和融资,另一半在重新划定平台规则。
- SpaceX 史上最大规模的 IPO 募资额飙升至 857 亿美元:SpaceX 的 IPO 规模继续放大,募资创纪录,市值也被推到极高位置。市场显然把 Starlink、Starship 和 AI 基础设施一起打包押注了。
- 福克斯将以 220 亿美元收购 Roku:福克斯想用内容和 Roku 的终端入口做更深绑定,直接拿到更多家庭用户和广告数据。传统媒体和流媒体平台的边界正在继续变薄。
- Salesforce 以 36 亿美元收购 AI 客户服务平台 Fin:Salesforce 买下 Fin,明显是在补强自家的 AI 客服和代理平台。企业软件公司现在最急的事,就是把“AI 能用”变成“AI 能卖”。
- 这些国家正准备禁止儿童使用社交媒体:越来越多国家在推动未成年人社交媒体禁令,理由集中在成瘾、霸凌和心理健康。真正难点在年龄验证:既要管,又不能把隐私一并交出去。
- 英国出台大范围社交媒体禁令,16岁以下用户将受限:英国准备对 16 岁以下用户实施更严格限制,还把 AI“恋爱伴侣”聊天机器人纳入年龄门槛。平台监管已经从内容治理,走到产品设计本身。
科技与社会
技术项目不再只是技术问题,它们会碰到土地、制度、社区和现实生活。
- 科技自由意志主义者正蜂拥前往加勒比地区:加密富豪提出在尼维斯建设带独立货币和法院的未来社区,当地居民强烈反对。它反映出一个老问题:技术理想一旦落到现实土地上,就会立刻变成政治和利益冲突。
- 美国电池制造产量继续刷新纪录:联储工业生产数据所对应的电池制造指标继续走高,说明美国本土电池产能扩张仍在持续。它是产业政策、能源转型和制造回流共同作用下的一个直观信号。