给软件开发者准备的优质简报,每日阅读 10分钟

If you don't opt out by Apr 24 GitHub will train on your private repos

643 pointsLinkComment(287)Share

GitHub Copilot 隐私政策变更:用户需在4月24日前手动退出数据训练

  • 自4月24日起,GitHub将默认收集使用Copilot的Free、Pro和Pro+用户的交互数据(包括输入、输出、代码片段、光标位置上下文等)用于AI模型训练,用户需手动前往设置页面关闭“允许GitHub使用我的数据进行AI模型训练”选项以退出。
  • 此次变更仅影响用户主动使用Copilot功能时产生的交互数据,并非直接批量扫描私有仓库的静态代码,但用户认为交互数据中包含的私有代码上下文实质上等同于训练使用了私有代码。
  • 大量用户强烈批评GitHub采用“默认加入(opt-out)”而非“主动同意(opt-in)”的方式获取授权,认为这是不透明且不尊重用户隐私的恶意行为,并指出在欧盟GDPR法规下,这种默认同意方式可能不具备法律效力。
  • 用户信任危机导致许多人宣布将迁移至GitLab、Forgejo、Gitea等替代平台或自建Git服务器,作为对GitHub此次政策变更的直接回应。
  • 有用户指出,若个人账户的Copilot订阅由所属组织管理,则个人设置中可能不显示退出选项,且团队中只要有一名成员使用Copilot,其交互数据就可能使整个私有仓库的代码内容被用于训练。

$500 GPU outperforms Claude Sonnet on coding benchmarks

463 pointsLinkComment(258)Share

ATLAS:自适应测试时学习与自主专精系统

  • 在单块消费级GPU(RTX 5060 Ti 16GB)上通过约束驱动生成与自验证迭代修复,使冻结的14B参数模型(Qwen3-14B-Q4_K_M)达到74.6% LiveCodeBench pass@1-v(k=3),较V2版本的36-41%大幅提升;V3消融实验表明Phase 1贡献+12.4pp、Phase 3自修复贡献+7.3pp,PR-CoT机制成功挽救了42个失败任务中的36个(85.7%)
  • 采用三阶段管道架构:Phase 1通过PlanSearch提取约束并生成多样化计划,配合Budget Forcing控制思考token生成k=3候选解;Phase 2使用5120维自嵌入的Geometric Lens C(x)进行能量评分筛选(准确率87.8%);Phase 3通过模型自生成的测试用例进行PR-CoT多视角链式思维自修复;Phase 2因训练数据仅约60样本导致C(x)欠训练,实际贡献+0.0pp;下游的G(x)度量张量因缺乏有效能量景观而处于休眠状态
  • 完全本地化部署,基于K3s编排的补丁版llama.cpp服务器(含推测解码约100 tok/s),无需API调用或云服务,不依赖API密钥,数据不出本地机器,单任务成本仅约$0.004(本地电费),对比DeepSeek V3.2(86.2%/$0.002)和Claude 4.5 Sonnet(71.4%/$0.066)
  • 内置Confidence Router实现基于置信度的计算资源动态分配:简单知识问答直接走推理+RAG快速路径(约30秒/任务),复杂编程问题使用完整V3管道(约20分钟/任务);V3.1计划升级至Qwen3.5-9B(DeltaNet线性注意力+MTP多token预测)、实现在线Lens校准、任务并行化及扩展至GPQA Diamond、AA-Omniscience等更广泛基准测试,目标80-90% LCB得分
  • 采用A.T.L.A.S Source Available License v1.0开源许可,项目获801 Stars、43 Forks关注

A Faster Alternative to Jq

370 pointsLinkComment(233)Share

jsongrep:基于DFA实现的高速JSON路径查询工具

  • 核心设计理念是将JSON查询视为对文档树中路径的正则语言描述,通过预编译为确定性有限自动机(DFA)实现单次遍历、无回溯搜索,搜索时间复杂度为O(n)。
  • jmespathjsonpath-rustjqljaq 等解释型工具不同,jsongrep 在编译时构建DFA,搜索时仅执行确定性的状态转移表查询,可直接跳过不匹配的子树。
  • 基准测试涵盖4个规模递增的数据集(从106字节到约190MB),分别从文档解析、查询编译、纯搜索和端到端4个维度进行比较。
  • 在约190MB的最大数据集上,jsongrep 的端到端搜索性能显著优于其他工具,这主要归功于 serde_json_borrow 的零拷贝解析和DFA的高效遍历剪枝策略。
  • 查询语言支持字段选择(.)、数组索引([n])、通配符(* / [*])、交替(|)、递归下降((* | [*])*)和可选匹配(?)等操作,但明确仅为搜索工具,不具备过滤、算术运算或字符串插值等功能。
  • 技术实现上,使用Glushkov算法构建无ε转移的NFA以简化确定化过程,再通过子集构造法(subset construction)转化为DFA,并利用 serde_json_borrow 实现零拷贝JSON解析。

Make macOS consistently bad unironically

334 pointsLinkComment(233)Share

macOS 26 窗口圆角不一致问题及统一解决方案

  • macOS 26 存在窗口圆角不一致问题,不同应用的圆角半径各异,作者认为 UI 设计领域存在盲目跟随大公司的倾向,YouTube 的 UI 就是过度圆角设计的反面教材,"一致的丑"优于"不一致的丑"
  • 解决方案采用 Objective-C 方法交换(method swizzling)技术,拦截 NSThemeFrame 类的四个圆角相关方法(_cornerRadius_getCachedWindowCornerRadius_topCornerSize_bottomCornerSize),将所有第三方应用的圆角半径统一替换为 23.0 像素
  • 代码通过 bundle identifier 检查自动跳过苹果系统应用(com.apple. 前缀),仅对第三方 GUI 应用生效,避免修改系统原生界面
  • 实施步骤包括:用 clang 编译为 dylib 动态库、使用 codesign 签名、创建 launchctl plist 配置文件实现开机自动加载
  • 该方案无需像其他方法那样禁用系统完整性保护(SIP),通过动态库注入方式即可让 Safari 等应用的所有圆角保持一致

Judge blocks Pentagon effort to 'punish' Anthropic with supply chain risk label

439 pointsLinkComment(228)Share

法官裁定五角大楼对Anthropic的"供应链风险"定性违宪

  • 加州联邦法官Rita Lin发布禁令,无限期阻止五角大楼将AI公司Anthropic标记为"供应链风险",裁定该措施侵犯了公司宪法第一修正案和正当程序权利,判决为期一周后生效以利政府上诉。
  • 争议核心在于Anthropic坚持其Claude AI模型不得用于自主武器或国内大规模监控的两条红线,而五角大楼要求获得"为所有合法目的"无限制使用该系统的权利,国防部首席技术官称不能让公司"政策偏好"影响美军作战效能。
  • 法官在43页判决书中明确指出,五角大楼的记录显示其将Anthropic定性为供应链风险是因该公司在媒体上的"敌对态度",惩罚其对政府合同立场的公开批评构成"典型的非法第一修正案报复",并非出于宣称的国家安全利益。
  • 该"供应链风险"标签意味着所有与军方合作的公司须证明未使用Anthropic产品,此前仅用于与外国对手有关联的公司;此标签已危及Anthropic数亿美元合同并损害其商业声誉。
  • 此裁定是国防部长赫格塞斯近期遭受的系列司法挫折之一,此前已有法官裁定其限制性新闻政策侵犯记者第一修正案权利,以及在涉及议员的案件中判定其侵犯言论自由。
  • Anthropic对裁定表示欢迎,称赞法院迅速行动并认同其很可能胜诉;五角大楼首席技术官埃米尔·迈克尔则批评裁定是"耻辱",声称判决存在"数十处事实错误"并计划上诉。

Anatomy of the .claude/ folder

406 pointsLinkComment(195)Share

.claude/ 文件夹完整结构解析

  • .claude 存在于两个位置:项目根目录下的 .claude/ 用于团队共享配置(提交到 git),而 ~/.claude/ 用于个人偏好设置,包括跨项目的命令、技能和子代理
  • CLAUDE.md 是系统最重要的文件,会话启动时立即加载到系统提示词中,建议控制在 200 行以内;应包含构建/测试命令、架构决策、代码规范,避免放置 linter 配置或冗长理论说明
  • commands/ 文件夹将每个 markdown 文件转换为自定义斜杠命令,文件名即命令名;可使用 ! 反引号嵌入 shell 命令输出,$ARGUMENTS 传递参数;项目命令在 .claude/commands/,全局命令在 ~/.claude/commands/
  • rules/ 文件夹支持路径作用域规则,通过 YAML frontmatter 让规则仅在特定目录下激活,适合团队按职责分工维护各自规范文件,避免单文件膨胀
  • skills/commands/ 的核心区别在于触发方式:技能在任务描述匹配时自动激活,适合封装复杂工作流;每个技能存放在独立子目录中,可包含 SKILL.md 和详细指南等支持文件
  • agents/ 目录用于定义子代理身份,每个子代理拥有独立的系统提示词、可访问工具和模型偏好,通过上下文隔离执行复杂任务,避免污染主会话
  • settings.json 通过 allow(白名单)和 deny(黑名单)列表精确控制 Claude 的工具访问和命令执行权限;支持 settings.local.json 进行个人化覆盖,敏感文件如 .env 默认在黑名单中

Telnyx package compromised on PyPI

93 pointsLinkComment(100)Share

Telnyx Python SDK 供应链安全公告:恶意PyPI版本已识别

  • 2026年3月27日03:51:28 UTC,未经授权的Telnyx Python SDK版本4.87.1和4.87.2被上传至PyPI,两个版本均包含恶意代码;已于当日10:13 UTC前从PyPI移除
  • 受影响范围:在03:51 UTC至10:13 UTC期间安装或升级telnyx包、未固定版本导致收到恶意版本、或项目依赖中存在传递性未固定依赖的用户;使用4.87.0及更早版本或直接调用REST API的用户不受影响
  • 检查与应对:运行pip show telnyx命令,若版本为4.87.1或4.87.2需立即降级至4.87.0,同时轮换所有密钥(API密钥、数据库凭据、云服务商令牌、SSH密钥及环境变量中的凭证),并审计CI/CD管道和Docker构建流程
  • 入侵指标(IOC):C2服务器地址83.142.209.203:8080,攻击者采用WAV隐写术进行载荷投递;额外的IOC将在调查确认后发布
  • 重要澄清:Telnyx平台、语音服务、消息基础设施、网络、SIP、AI推理及生产API均未受影响;SDK为客户端库,无特权访问权限,无客户数据通过此次事件被访问
  • 关联事件:此次攻击是持续数周供应链攻击活动的一部分,同期还波及Trivy(3月19日)、Checkmarx和LiteLLM(3月24日)

Don't YOLO your file system

141 pointsLinkComment(68)Share

jai:AI智能体的简易Linux隔离工具

  • 项目背景:斯坦福大学安全计算机系统研究组(SCS)和数字货币倡议(FDCI)开发的开源免费软件,通过单条命令为Linux系统上的AI代理提供轻量级隔离边界
  • 问题现状:AI代理已造成大量真实损失——15年家庭照片被删除、Claude Code清空主目录、Cursor一次性删除100GB文件等,凸显了给予AI工具普通机器访问权限的风险
  • 核心机制:使用jai前缀启动隔离环境,工作目录保持读写权限,主目录使用写时复制overlay保护原始文件,/tmp/var/tmp设为私有,其余文件全部只读
  • 三种隔离模式:Casual模式(主目录overlay,用户可读大部分文件)、Strict模式(空主目录+独立UID运行,强隐私保护)、Bare模式(空主目录但保留用户UID);隔离强度递增,其中Strict模式不支持NFS主目录
  • 优势对比:比Docker更轻量(无需构建镜像)、比bwrap更简单(无需编写复杂命令)、比chroot更安全(具备完整命名空间隔离和凭据分离)
  • 安全声明:jai属于"休闲沙箱",仅缩小破坏范围而非提供完美安全保障——Casual模式不保护机密性,Strict模式也不等同于加固容器或虚拟机,强烈隔离需求仍应使用容器或虚拟机

Installing a Let's Encrypt TLS certificate on a Brother printer with Certbot

199 pointsLinkComment(49)Share

使用 Certbot 与 Cloudflare 为兄弟打印机自动部署 Let's Encrypt TLS 证书

  • 作者设计了一套完整的自动化方案:通过 Certbot 的 Cloudflare DNS 插件,以编程方式创建 DNS TXT 记录完成 Let's Encrypt 域名验证,证书颁发后将 PEM 文件复制到指定目录,再调用 brother-cert 工具将 PEM 转换为兄弟打印机专用的 PKCS#12 格式,上传后打印机会自动重启激活新证书。
  • 兄弟打印机有严格的兼容性限制:必须使用 RSA-2048 密钥(不支持现代的 ECDSA),因此 Certbot 请求时需添加 --key-type rsa 参数,这是确保证书能被打印机识别的关键配置。
  • 脚本采用双重连接策略:优先尝试 HTTPS 方式连接打印机上传证书(适用于已有有效证书的设备),若连接失败则自动回退到 HTTP 方式(适用于证书已过期的情况),确保部署过程的健壮性。
  • 凭证信息分置于两个独立配置文件以兼顾安全与复用:cloudflare.ini 存储仅需 DNS:Edit 权限的 API 令牌(可跨多个 certbot 脚本共享),printer.ini 存储打印机主机名和的管理密码(设备专用),便于单独轮换。
  • 证书文件权限按敏感度分级管理:私钥文件设为 600(仅所有者可读写),其余证书文件设为 644(可读不可执行),确保私钥安全性同时保证其他组件可正常读取。
  • 自动化任务通过 Cronicle 调度器每月定时执行(也可手动运行),且 brother-cert 作为未签名应用首次需在 macOS「隐私与安全性」设置中手动允许运行后方可被脚本调用。

Velxio 2.0 – Emulate Arduino, ESP32, and Raspberry Pi 3 in the Browser

105 pointsLinkComment(33)Share

Velxio:浏览器内的多架构嵌入式开发板模拟器

  • 支持 19种开发板 跨越 5种CPU架构(AVR8、ARM Cortex-M0+、RISC-V RV32IMC/EC、Xtensa LX6/LX7、ARM Cortex-A53),通过 velxio.dev 无需安装即可访问
  • 集成 Monaco编辑器(语法高亮、自动补全、多文件工作区)、自动波特率检测的 串口监视器Arduino库管理器及内置示例项目
  • 真实CPU模拟引擎:AVR8(avr8js)、RP2040(rp2040js)、RISC-V(TypeScript原生,无QEMU)、ESP32(QEMU lcgamboa)、Raspberry Pi 3B(QEMU完整系统模拟)
  • 支持 Arduino C++Python 编程,连接 48+种电子组件,通过8色线缆系统实现 多板卡联合仿真(Pi与Arduino串口桥接)
  • 提供 Docker自托管部署 和活跃社区支持(Discord),采用 AGPLv3开源许可商业许可 双轨模式
← 2026-03-26 2026-03-28 ...