Link | Comment

🔼 517 | 💬 220

NanoClaw：基于容器隔离的轻量级个人 Claude 助手

• 项目定位：在 Apple Container（macOS）或 Docker（Linux）容器中运行的个人 Claude 助手，采用单一 Node.js 进程架构而非 OpenClaw 的 52+ 模块式设计，强调代码可在约 8 分钟内完全理解
• 安全隔离模型：代理程序运行在真实 Linux 容器沙盒内而非应用层权限检查之后，文件系统访问受挂载白名单限制，符号链接和路径遍历攻击被阻断，敏感路径（.ssh、.gnupg、.aws 等）自动屏蔽
• 核心架构：WhatsApp（baileys）→ SQLite → 轮询循环 → 容器（Claude Agent SDK）→ 响应，通过文件系统进行进程间通信，无消息队列或复杂中间件
• 群组隔离机制：每个 WhatsApp 群组拥有独立的 CLAUDE.md 记忆文件、隔离的文件系统及专用容器沙盒，仅挂载该群组必需的目录，主频道用于管理控制
• AI 原生设计：无配置文件、无监控仪表盘、无安装向导，全程由 Claude Code 引导设置与调试，通过 /setup 自动处理依赖、认证和容器配置
• 技能优先模式：贡献者应提供如 /add-telegram、/add-slack、/add-windows 等技能文件而非修改核心代码，用户运行技能后获得定制化精简实现，保持基础系统简洁
• 项目统计：约 4000 颗星标、357 次 Fork，由 4 位贡献者（含 claude 官方账号）维护，采用 MIT 许可证，支持 macOS 和 Linux 系统

Link | Comment

🔼 532 | 💬 214

Anki 领导权交接公告

• AnkiHub 团队（创始人 Nick “The AnKing” 和 Andrew Sanchez）将从原开发者 Damien Elmes 手中接过更大的领导责任，团队坦言对此既兴奋又忐忑，承诺以透明行动逐步赢得社区信任
• 团队明确 Anki “属于社区”，将坚持尊重用户自主权、拒绝操纵性设计、不过度追求”参与度”的核心原则，强调”Anki 把你的时间还给你”，开源性质将永久保持
• 核心发展目标包括：引入专业 UI/UX 设计提升易用性而不牺牲功能、降低”巴士因子”风险（降低对单一开发者的依赖）、扩大对医学以外各领域学习者的支持、增强插件生态系统
• 团队已邀请 AnkiDroid 核心贡献者 David Allison 全职加入，并将建立透明决策机制和公开治理模式，同时承诺不引入外部投资者、不涨价、绝不进行”福利榨取”式改造
• 移动应用将持续维护更新，志愿者贡献者始终是项目重要组成部分，插件开发者将获得更清晰的 API、更好的文档和更可预测的发布周期，社区反馈将始终被倾听和尊重

Link | Comment

🔼 425 | 💬 208

价值千元的iPhone无法进行数学运算

• 作者开发支出追踪应用时，先尝试Apple Intelligence遭遇下载失败，随后转向MLX LLM框架，但在iPhone 16 Pro Max上运行时出现乱码输出，CPU飙升至100%且无停止符
• 历经三天调试无果后，作者将应用在旧款iPhone 15 Pro上运行竟意外成功；为排查原因，作者在MLX框架的Gemma模型各层设置断点，对比相同代码在两部设备上的张量值输出
• 结果显示：iPhone 15 Pro与MacBook Pro在第3层产生一致的张量值（如53.875），而iPhone 16 Pro Max的对应层输出值（如191.5、1298）存在数量级偏差，确认输入相同但计算过程出错
• 同一模型在iOS 26环境下iPhone 15 Pro仍正常工作，问题定位为A18芯片神经网络引擎执行Metal加速计算时的硬件缺陷，而非软件或代码问题
• 2月1日更新：更换iPhone 17 Pro Max后问题消失，确认该台iPhone 16 Pro Max存在特定硬件缺陷；作者总结经验：调试时勿忘排查物理层故障

Link | Comment

🔼 515 | 💬 159

那些等号到底是怎么回事？

• 推特上近期流传的旧邮件中频繁出现的等号（=）源自20世纪80年代邮件系统广泛使用的”可打印引用”（Quoted-Printable）编码格式，该格式用于解决长行文本在服务器限制下的自动换行问题
• 当邮件软件需要在行尾强制换行时，会在行尾插入”=CRLF”（等号+回车+换行）三个字符标记”此行未结束，应与下一行合并”，正常解码时这三个字符会被移除，恢复成连续的单行文本
• 问题的根源在于处理者将邮件从Windows系统的CRLF换行符错误地转换为Unix系统的NL换行符时使用了有缺陷的解码算法——该算法简单地删除行尾等号及后续两个字符，导致单词字母丢失（如”cloven”变成”loven”）
• 等号的另一用途是编码非ASCII字符，例如”=C2=A0”代表”不换行空格”（常用于文本缩进），而单独出现的”=C2”则表明处理者可能仅对特定编码进行了简单的搜索替换而未使用正确的解码器
• 此外，当等号不在行尾时，邮件客户端会将其解读为十六进制编码（如=C2会被解读为UTF-8字符），但由于解码器本身的bug，最终只留下了未经处理的等号残迹
• 作者指出这些等号现象是”有缺陷的续行解码”与”有缺陷的非ASCII解码”双重bug叠加的结果，并推测处理者可能误用了原本设计用于SMTP服务器环境的算法，该算法假设行尾一定是完整的CRLF，而非Unix系统的单字节换行符

Link | Comment

🔼 427 | 💬 140

Xikipedia：简单维基百科内容的算法化伪社交动态展示

• 伪社交媒体形式：以模拟社交动态流的形式展示内容，本质是一个演示项目而非社交平台
• 内容来源与性质：展示来自Simple Wikipedia（简单维基百科）的随机文章和图片，可能包含成人内容，用户需自行承担查看风险
• 算法演示核心：展示基础非机器学习算法如何仅通过分析用户单次互动行为，快速学习其内容偏好并调整推荐策略
• 严格隐私保护：算法完全在本地浏览器运行，不收集、不存储、不共享任何用户数据，刷新或关闭页面后所有信息立即消失
• 灵活使用方式：用户可从预设类别（自然、科学、动物等）中选择感兴趣的领域，或添加自定义关键词定制内容流
• 开源透明性：项目完整代码托管于GitHub，供公众研究、学习和复用

Link | Comment

🔼 137 | 💬 88

Xcode 26.3 释放代理式编码的强大功能

• Xcode 26.3 引入代理式编码支持，开发者可直接在 Xcode 中利用 Anthropic 的 Claude Agent 和 OpenAI 的 Codex 等编码代理处理复杂任务，实现更高程度自动化开发
• 该版本扩展了 Xcode 26 的智能功能（全新 Swift 编码助手），为代理提供更多 Xcode 能力，代理现可参与整个开发生命周期的协作
• 代理式编码使 Xcode 能够自主分解任务、根据项目架构做出决策并使用内置工具，包括搜索文档、探索文件结构、更新项目设置
• 代理可通过捕获 Xcode 预览进行视觉验证，并迭代执行构建和修复操作，帮助开发者更快地完善应用
• Apple 全球开发者关系副总裁 Susan Prescott 表示，代理式编码提升了生产力和创造力，让开发者能够专注于创新；该版本通过 Model Context Protocol 开放标准提供灵活集成
• Xcode 26.3 现已面向 Apple 开发者计划成员提供发布候选版本，正式版本即将在 App Store 推出

Link | Comment

🔼 189 | 💬 84

介绍 Bunny Database：兼容 SQLite 的边缘数据库

• DBaaS 的第三条路：厌倦在虚拟机上手动管理数据库，又不愿支付传统 DBaaS 的高额费用？Bunny Database 提供 SQLite 兼容的托管服务，空闲时自动缩减，始终保持低延迟且价格亲民。
• 全球部署与极致低延迟：支持 41 个区域，提供自动、单区域和手动多区域三种部署模式；基准测试显示就近读取可将 p95 延迟降低高达 99%，彻底告别用缓存层弥补数据本地化问题的困扰。
• 透明的按量付费定价：读取 0.30 美元/十亿行，写入 0.30 美元/百万行，存储 0.10 美元/GB/活跃区域/月；空闲时仅收存储费，主区域持续计费而副本仅在服务流量时按小时计费，公开预览阶段完全免费。
• 开发者友好的使用体验：一键部署无需配置，提供 TS/JS、Go、Rust、.NET 多语言 SDK，内置数据库编辑器和实时监控仪表板，支持 HTTP API 可连接任意技术栈。
• 基于 libSQL 的技术实现：基于 Turso 开源的 libSQL 分支构建，保持与 SQLite 的 API 和文件格式兼容；暂不追求与上游 SQLite 或 libSQL 的完全功能同步，优先保障服务的稳定性和可靠性。
• 路线图与生态集成：未来将推出自动备份、数据库导入导出和类型安全的自动生成 API；可与 Bunny Edge Scripting 和 Magic Containers 无缝集成，公开预览期每个账号可免费创建最多 50 个数据库（各 1GB）。

Link | Comment

🔼 114 | 💬 55

prek：Rust 重构的高性能 pre-commit 替代工具

• 技术架构：采用 Rust 重构 pre-commit，单二进制文件分发，完全无需 Python 或其他运行时依赖
• 性能提升：运行速度比 pre-commit 快数倍，磁盘占用减少一半；支持仓库并行克隆和钩子并行安装，内置 Rust 原生钩子实现进一步优化性能
• 完整兼容：完全兼容原 pre-commit 配置文件和钩子；内置 monorepo 工作区支持；集成 uv 高效管理 Python 虚拟环境；支持 Python、Node.js、Bun、Go、Rust、Ruby 等多语言工具链
• 多元安装：提供独立安装脚本、PyPI、Homebrew、npmjs、Nix、Conda、Scoop、MacPorts 等十余种安装方式；支持 GitHub Actions 和 self-update 自更新
• 行业采用：已被 CPython、Apache Airflow、FastAPI、Ruff、home-assistant/core、django/djangoproject.com 等众多知名开源项目采用
• 项目概况：GitHub 4.6k 星标，1,244 次提交，79 位贡献者；最新版本 v0.3.1（2026年1月31日）；MIT 许可证

Link | Comment

🔼 156 | 💬 49

引入 Deno Sandbox

• 核心问题：当前 Deno Deploy 用户正构建由 LLM 生成代码并立即执行的平台，这类代码常需调用 LLM 且使用真实 API 密钥；这不再是传统的”运行不可信插件”问题，而是 LLM 生成的代码使用真实凭证调用外部 API、未经人工审核的更深层安全挑战，需要同时控制网络出口和保护密钥免于外泄
• 隔离机制：提供运行于 Deno Deploy 云中的轻量级 Linux 微 VM，实现深度防御安全；可通过 JavaScript 或 Python SDK 创建，支持 SSH、HTTP 或直接打开 VS Code 窗口交互，虚拟机启动时间不到一秒
• 密钥保护方案：secrets 从不进入沙盒环境，代码仅见占位符；真实密钥仅在沙盒向批准主机发起出站请求时才可用，即便提示注入攻击尝试将占位符外泄到恶意地址也完全无效
• 网络出口控制：可限制沙盒仅能与指定主机通信（如 “api.openai.com”、”*.anthropic.com”），任何对未列主机的请求均在 VM 边界被阻断；实现机制为类似 coder/httpjail 的出站代理作为策略执行关卡，计划后续增加出站连接分析和可编程钩子功能
• 无缝部署上线：支持通过 sandbox.deploy() 直接从沙盒部署到 Deno Deploy，无需在独立 CI 系统中重新构建或使用不同工具重新认证，即可转换为生产级、自动扩展的无服务器部署
• 持久化与规格：沙盒默认临时，提供读写卷（缓存、数据库等）和快照（只读镜像用于预装环境）；阿姆斯特丹和芝加哥区域，2 个 vCPU、768MB-4GB 内存，最长生命周期 30 分钟；按计算时间计费（CPU $0.05/小时、内存 $0.016/GB-h、存储 $0.20/GiB-月），Beta 版已随 Deno Deploy 正式版同步发布

Link | Comment

🔼 899 | 💬 503

Notepad++遭国家支持黑客供应链攻击事件

• 攻击时间线：攻击始于2025年6月，安全专家分析显示攻击活动于11月10日停止，但托管服务商发现攻击者凭证访问权限持续至12月2日；官方评估整体攻击周期为2025年6月至12月2日完全终止
• 攻击手法：攻击者入侵托管服务商基础设施而非Notepad++代码漏洞，专门针对notepad-plus-plus.org域名的getDownloadUrl.php接口，利用旧版本更新验证机制不足的缺陷，将用户更新流量选择性重定向至恶意服务器；未发现其他托管客户受影响
• 攻击归因：多个独立安全研究人员评估幕后黑手可能为中国国家支持的黑客组织；卡巴斯基和Rapid7的独立调查证实为同一攻击行动并发布了详细技术分析与攻击指标（IoC）
• 托管服务商响应：2025年12月2日完成全面修复，包括迁移所有客户至新服务器、修复可被利用的漏洞、轮换所有可能被窃取的凭证，并对所有共享托管服务器进行日志检查确认无其他系统受损
• 安全增强措施：Notepad++ v8.8.9版本增强WinGup更新程序以验证安装程序的证书和签名；更新服务器返回的XML现采用XMLDSig签名，v8.9.2将强制执行证书和签名验证；官方强烈建议用户立即下载v8.9.1版本手动更新
• 调查现状：Notepad++官方分析约400GB服务器日志后未能提取具体攻击指标；网站已迁移至安全措施更完善的新托管服务商；如用户已在2025年12月2日之后完成相关安全操作，则无需额外措施

Link | Comment

🔼 576 | 💬 302

Todd C. Miller - Sudo项目三十余年维护者与开源贡献者个人主页

• 过去30余年间一直担任sudo项目的维护者，目前正在积极寻求赞助商资助该项目的持续维护与开发工作
• 同时参与OpenBSD项目，但活跃度已不如从前；早期曾为ISC cron等开源项目做出重大贡献
• 网站提供丰富的内容导航，包括技术文档（Papers、Resume）、个人项目（老照片、机房温度监控、TiVo黑客系列教程、HG612调制解调器配置）以及实用资源（Cookbook食谱、Smokeping网络监控）
• 另提供其主导或参与的开源项目链接，如Sudo官网、Mktemp，以及关联页面（GitHub、Mastodon、Sepideh个人页面）
• 首页更新频率较低，作者提示有价值的详细内容分布于左侧导航链接中

Link | Comment

🔼 841 | 💬 282

击败40年前的软件加密狗保护机制

• 作者帮助一家会计事务所处理一套运行在Windows 98系统上、使用RPG语言编写的会计软件，该软件需要连接并行端口加密狗才能运行，这套源自IBM中型机系统的软件已有约40年历史
• 加密狗由Software Security Inc.（位于康涅狄格州斯坦福德）生产制造，而RPG II编译器则由Software West Inc.开发；作者在磁盘映像中发现了完整的编译器、源代码编辑器(SEU.EXE)及会计软件的完整RPG源代码
• 使用Reko反编译工具分析发现，并口验证代码位于可执行文件的0800段（0x90字节），通过读取BIOS数据区定位LPT1端口，向数据寄存器写入值并读取状态寄存器响应，最终将结果存入BX寄存器返回
• 分析发现BH值被硬编码为76h，仅BL值未知（0-255共256种可能），作者编写脚本在DosBox中暴力测试，确定BL值为06h，总魔术数为7606h
• 只需修改4字节（BB 06 76 CB即将BX设为7606h后执行RETF返回）即可绑过验证；更便利的是，补丁后的编译器生成的程序同样包含已绑过的保护逻辑，无需逐个修补
• 作者批评这套加密机制过于简单，仅需4字节补丁即可绑过，计划在去除个人隐私信息后公开这款RPG II编译器作为计算历史文物

Link | Comment

🔼 384 | 💬 238

Moltbook数据库泄露：AI社交网络惊现百万级安全漏洞

• Wiz安全研究人员发现Moltbook平台的Supabase数据库存在严重配置错误，由于未启用行级安全策略（RLS），可完全读写访问约475万条数据库记录，包括150万个API认证令牌、超过64000个电子邮件地址和AI代理间的私信内容
• Moltbook创始人公开承认整个平台采用”vibe-coded”方式开发，即仅提供技术架构设想，由AI生成全部代码，自己未编写任何代码行，导致关键安全配置被遗漏，引发关于快速开发与安全之间平衡的广泛讨论
• 实际调查揭示平台真实规模与宣传严重不符：声称的150万AI代理背后仅有约17000名人类用户，平均每人控制88个代理账户，且平台缺乏身份验证机制和速率限制，任何人可通过简单循环脚本批量注册代理
• 数据库访问通过检查前端JavaScript文件发现硬编码的Supabase API密钥实现，研究人员利用PostgREST错误信息和GraphQL自省技术枚举出完整数据库架构，确认攻击者可完全冒充任意用户发布内容、篡改帖子甚至注入恶意提示词
• 平台私信功能未采用任何加密或访问控制措施，研究人员在公开的对话记录中发现用户共享的第三方API密钥（包括OpenAI API密钥），暴露出AI生态系统中单一平台配置错误可能导致跨服务隐私泄露的连锁风险