给软件开发者准备的优质简报,每日阅读 10分钟。
Zerostack – A Unix-inspired coding agent written in pure Rust
zerostack:超轻量级 Rust 编码智能体
- 极致轻量化:约 7000 行代码,8.9MB 二进制文件,空闲内存仅 8MB、工作时约 12MB(对比 JS 方案约 300MB),CPU 空闲时 0%、工具执行时约 1.5%(对比 opencode 空闲约 2%、工作时约 20%)
- 多模型与多工具支持:默认 OpenRouter,支持 OpenAI、Anthropic、Claude、Ollama 及自定义 OpenAI 兼容接口;内置文件操作(read/write/edit/grep/find_files/list_dir 含 diff 显示)、Bash 执行(可选 bubblewrap 沙盒)、MCP 服务器扩展及 Exa 搜索(WebFetch/WebSearch)
- 四层权限控制系统:restrictive/standard/accept-all/yolo 模式可选,支持按工具配置细粒度权限和会话白名单,内置 doom-loop 检测(重复操作 3 次以上触发警告或拒绝)
- 运行时提示词切换:内置 code、plan、review、debug、ask、brainstorm、frontend-design、review-security、simplify、write-prompt 共 10 种预设模式,可通过
/prompt随时切换,也支持加载 AGENTS.md/CLAUDE.md 配置文件 - 会话与循环管理:支持保存/加载/恢复会话和自动压缩以适应上下文窗口;迭代循环系统(loop)可用于长周期任务,支持通过 CLI 实现 headless 运行并可配置每次迭代的验证命令
- Git worktree 集成:提供
/worktree、/wt-merge、/wt-exit三个斜杠命令实现分支工作流,可创建工作树、处理任务、合并并清理,全程在聊天界面内完成
Security researcher says Microsoft built a Bitlocker backdoor, releases exploit
安全研究员揭露微软BitLocker存在后门,发布YellowKey漏洞利用工具
- 安全研究员"Nightmare-Eclipse"(前名"Chaotic Eclipse")发布YellowKey漏洞利用工具,声称能完全绕过BitLocker全盘加密
- 攻击方式:将FsTx文件夹复制到USB驱动器(支持NTFS、FAT32、exFAT格式)或Windows EFI分区,重启后进入Windows恢复环境并执行特定操作序列即可获得命令行shell,无需密码即可访问加密数据
- 该漏洞仅影响Windows 11及Server 2022/2025系统,Windows 10不受影响;触发漏洞的组件仅存在于官方WinRE镜像中,标准Windows安装镜像中虽存在相同组件但不具此绕过行为,研究员据此认为这是微软故意植入的后门
- 第三方研究人员已通过公开的GitHub资料确认YellowKey确实存在所述的BitLocker绕过行为;研究员同时发布GreenPlasma漏洞利用工具,声称可实现权限提升,但未公开完整的SYSTEM级访问概念验证代码
- 安全专家建议避免依赖单一加密系统,考虑使用VeraCrypt等开源全盘加密替代方案
Elon Musk has lost his lawsuit against Sam Altman and OpenAI
Musk诉Altman及OpenAI案败诉
- 九名加利福尼亚州陪审员作出一致裁决,Musk针对Altman、OpenAI、微软及Greg Brockman的全部诉讼因超过法定追诉时效而被驳回,陪审员仅用不到两小时即达成结论
- Musk指控被告方通过创建营利性关联公司"窃取慈善资产",违反OpenAI最初承诺的非营利使命,陪审团认定Musk所主张的损害发生在相关诉讼时效截止日期之前
- OpenAI援引时效抗辩,具体截止日期因指控而异:首项指控为2021年8月5日前,次项为2022年8月5日前,第三项为2021年11月14日前
- 法官Rogers认为陪审团裁决有充分证据支撑,称"Your analysis seems to be devoid of connection to the underlying facts",批评Musk方估算的788亿至1350亿美元赔偿金额"与事实缺乏关联"
- OpenAI首席律师称该诉讼是"事后虚构的虚伪抹黑企图",微软发言人表示欢迎裁决并"致力于与OpenAI合作推进AI发展",而Musk首席律师已表示将提起上诉
- 此案终结意味着OpenAI在报道的IPO前消除了一个重大威胁,为其重组计划扫清了障碍
Show HN: Files.md – Open-source alternative to Obsidian
files.md:纯 Markdown 文件驱动的本地优先笔记与知识管理应用
- 本地优先与隐私至上:数据以 .md 文件存储在本地设备,文件永不离开设备,支持完全离线使用,提供最大程度的隐私保护
- 纯浏览器运行,PWA 即装即用:无需安装任何软件,直接打开 index.html 即可运行,可作为 PWA 安装,支持 Telegram 机器人随时随地访问文件
- 四种同步方案自由选择:纯本地存储、iCloud/Dropbox/Google Drive 云同步、自托管 Go 单二进制服务端、官方托管服务 app.files.md,满足从最大隐私到即开即用的不同需求
- 极简代码架构:代码极度精简,单人或 AI 助手均可完全理解整个项目,强调每个 PR 应简化代码而非添加功能,无构建系统依赖
- 主动思考的知识管理哲学:批评"第二大脑"工具导致"延迟思考"的问题,主张从零开始建立结构,每条笔记一个想法并主动链接相关笔记,用大脑深度思考而非工具替代思考
- 五年持续维护的开源项目:开发者团队坚持五年,提供聊天式快速记录、丰富快捷键及多种实用 Go 脚本(WHOOP 指标导入、维基链接转换、反向链接插入、时间戳调整等)
AI is a technology not a product
AI是技术而非产品——Gruber对"苹果需推杀手级AI产品"的反驳
- Steven Levy在Wired撰文认为苹果新任CEO必须推出一款"杀手级AI产品"来主导AI时代,Gruber对此强烈反对,称这是"AI蛇油炒作"影响下的胡言乱语
- Gruber支持苹果高管的观点:苹果一贯的做法是从来不卖技术,而是卖令人惊艳的产品、功能和体验,iPod卖的从来不是MP3或硬盘,而是音乐
- Gruber认为AI更像无线网络技术——它将渗透一切、成为无处不在的基础设施,而不是一个需要被包装成独立产品的"杀手级应用"
- Gruber质疑Levy关于AI将"淘汰"整个iPhone生态系统的断言,认为AI更可能"改变"而非"取代"iPhone,就像当年"云计算"的概念虽热但并不像炒作的那样颠覆一切
- Gruber嘲讽Levy描绘的AI代理自动预约顺风车、提前在家门口等待的场景为"纯粹的高烧幻想",并追问实际操作中的硬件问题:用什么麦克风收音、什么扬声器反馈、用什么屏幕查看车辆距离
- Gruber指出手机的摄像头、屏幕等核心功能无可替代,智能手表、耳机、眼镜等小型设备仍需与手机配对使用,没有理由让它们独立运行
- Gruber承认AI确实不可忽视,但它本质上只是技术,苹果应该让它像无线连接一样渗透所有产品,而非单独创建一个"AI产品"
The Quiet Renovation at Bitwarden
Bitwarden 静默变革:领导层更替与价值观调整背后的隐忧
- 长期 CEO Michael Crandell 于2026年2月悄然退居顾问角色,新任 CEO Michael Sullivan 曾任 Acquia 和 Insightsoftware 首席执行官,领英首页强调其在并购及私募股权领域的丰富经验,其职业履历明确指向帮助公司实现退出并出售给潜在买家(如大科技公司或 1Password 等竞争对手);CFO Stephen Morrison 也于同年4月离职
- Bitwarden 悄悄修改了公司文化价值观体系,将 GRIT 缩写的"包容(Inclusion)"与"透明(Transparency)"替换为"创新(Innovation)"与"信任(Trust)",原有的"始终免费(Always free)"承诺措辞也从个人密码管理器产品页面移除;2024年 Crandell 仍向 Fast Company 表示免费版是"firm commitment, fully featured, free forever"
- 公司对这些重大变动(领导层更替、价值观修改、免费承诺调整)未发布任何官方公告,仅对一篇 2022 年的旧博文进行了不完整的编辑——正文更新显示新价值观,但结尾解释段落仍保留旧表述,导致同一篇文章自相矛盾,CTO Kyle Spearrin 作为 Bitwarden 创始人于2015年因担忧 LastPass 被新东家收购而创建该项目的讽刺性因此更加突出
- 这延续了科技行业的一贯模式:先建立用户信任与依赖,然后逐步静默修改条款——通过功能公告内嵌价格调整、LinkedIn 悄然更新、价值观页面微调等方式规避用户注意,而非通过正式公告
- 对于自托管用户,Vaultwarden 的存续取决于 Bitwarden 是否继续开放源码客户端和保持 API 兼容性;虽然自托管是付费企业功能且 Bitwarden 客户端采用 Apache 2.0 许可证允许分支开发,但若 API 兼容性被悄悄破坏,用户只能依赖社区快速响应并重新品牌
- 作者已于2026年初迁移至 Vaultwarden 并关闭了 Bitwarden 云账户,认为仍使用 Bitwarden 云服务的用户应认真对待这些信号,因为并购退出可能导致用户被迫迁移到曾经逃离的公司
Anthropic acquires Stainless
Anthropic收购SDK开发工具公司Stainless
- Anthropic收购SDK和MCP服务器工具领域的领先公司Stainless,以扩展AI代理能触及的工具和数据范围
- AI领域正从“回答问题的模型”转向“执行行动的代理”,代理的能力直接取决于其能连接的系统数量和质量
- Stainless成立于2022年,自Anthropic API早期便为其生成官方SDK,现已有数百家公司依赖其生成的SDK、CLI工具和MCP服务器
- Stainless的核心技术是将API规范自动转换为TypeScript、Python、Go、Java、Kotlin等多种语言的SDK,生成结果速度快、可靠且符合各语言原生习惯
- Anthropic创建了MCP(Model Context Protocol)协议用于实现代理连接性,此次整合旨在进一步提升开发者体验和代理连接能力
- Stainless创始人Alex Rattray表示SDK应得到与API同等的重视,Anthropic是首批支持他们的团队,开发者在Claude上构建的丰富成果是促成此次合并的关键因素
We stopped AI bot spam in our GitHub repo using Git's –author flag
AI垃圾正在蚕食开源生态:Archestra的抗争与应对
- GitHub Octoverse报告因统计方式忽视贡献质量而备受争议;某$900悬赏问题被AI机器人轰炸至253条评论,合法贡献者对话被淹没;x.ai提供商支持请求收到27个pull request,其中大多数贡献者甚至未测试代码
- 团队每周需花费半天时间清理AI垃圾,关闭未测试的PR和虚构的问题;先后尝试构建"London-Cat"声誉机器人和"AI sheriff"均未能有效解决问题,反而后者还误关了合法PR
- 他们明确表态:在质量与数量之间坚定选择质量,拒绝被AI垃圾数据污染的指标;这对于一家需接受GitHub活动指标审视的VC支持创业公司来说是一个艰难的"核选项"
- GitHub的"仅限之前的贡献者"设置无法区分AI机器人和真实开发者;他们利用Git的
--author参数和GitHub noreply邮箱(<ID+username@users.noreply.github.com>)创建归属提交,将提交归属到用户名下从而授予贡献者状态 - 完整流程为:用户在官网完成道德AI规则学习并通过CAPTCHA验证后,GitHub Action自动通过API查询用户ID并推送归属提交至main分支,实现白名单机制
- AI垃圾不仅打击贡献者积极性,还带来严重安全风险,LiteLLM仓库曾发生攻击者试图利用AI机器人操纵对话的事件,凸显AI slop对开源生态的系统性威胁
Show HN: Semble – Code search for agents that uses 98% fewer tokens than grep
Semble - 面向AI Agent的快速精准代码搜索库
- 极致token节省:比grep+read节省约98%的tokens,在仅2k tokens时达到94%召回率,而grep+read需完整100k上下文窗口才能达到85%召回率
- 极速性能:平均仓库索引仅需约250毫秒,查询响应约1.5毫秒;索引速度比专用transformer模型快约200倍,查询速度快约10倍
- 高质量检索:NDCG@10达0.854,达到CodeRankEmbed(137M参数)混合模型99%的检索质量,同时体积和成本大幅降低
- 零门槛运行:纯CPU运行,无需API密钥、GPU或外部服务;支持MCP服务器(Claude Code、Cursor、Codex、OpenCode等)及独立CLI两种模式
- 核心技术架构:基于tree-sitter进行代码感知分块,结合Model2Vec语义嵌入(potion-code-16M模型)与BM25词法匹配双路检索,通过倒数排名融合(RRF)整合结果,并采用自适应权重分配、定义位置提升、标识符词干匹配、文件一致性boost和噪声惩罚等信号进行重排序
- 多种接入方式:支持pip/uv安装或uvx直接运行,提供CLI命令(semble search、semble find-related、semble savings)和Python库API(SembleIndex类)两种调用方式
Two computers, one monitor, zero fiddling (2025)
内置KVM显示器配合DDC命令实现双电脑无缝切换
- 作者使用Mac笔记本(工作)和Linux台式机(爱好),通过带有内置KVM功能的显示器(如MSI MPG 321URX)共用一套键鼠和显示器,显示器上的USB端口会自动跟随当前视频输入源切换,无需外置KVM设备
- DDC(显示数据通道)协议可通过HDMI、DisplayPort或USB-C线缆向显示器发送指令,可控制音量、亮度、对比度等参数,核心功能是实现输入源切换而无需触碰显示器
- macOS系统使用m1ddc工具配合Hammerspoon,将
m1ddc display <id> set input 15命令绑定到Ctrl+Shift+=快捷键以切换到DisplayPort输入;Linux系统(KDE桌面)使用ddcutil工具,通过ddcutil setvcp 0x60 0x10命令切换到USB-C输入 - MSI MPG 321URX配备4K 240Hz QLED面板,通过USB-C连接MacBook、DisplayPort连接Linux台式机,显示器USB接口通过Hub扩展外设数量;三星和Alienware使用同款面板但MSI价格更低
- 值得注意的是,ddcutil识别USB-C端口为"DisplayPort-2",这是因为USB-C采用DisplayPort Alt Mode协议;Windows用户可直接使用MSI官方软件绑定快捷键切换输入,无需额外的命令行工具
- 该方案实现了"手不离键盘"的流畅切换体验,所有操作通过统一的快捷键触发,真正消除了传统KVM切换需要手动拔插线缆或使用外置设备的不便
Haiku OS runs on M1 Macs now
Haiku arm64 移植进展与开发者环境搭建
- Haiku arm64 最新构建版本(hrev59669)已在 QEMU 中成功启动,提供了完整的运行参数配置(使用
-M virt、-cpu cortex-a76、ramfb 驱动等),用户可通过 FAT32 磁盘镜像在宿主机与虚拟机之间传输文件 - UTM 模拟器虽然也能运行 Haiku arm64,但存在鼠标移动缓慢和不流畅的问题,用户体验不佳
- 当前夜间构建版本属于"未引导"状态,镜像中缺少 git、gcc 等开发工具包,软件包数量有限,暂无 haikuports 构建器支持,开发环境搭建存在困难
- pkgman 安装包功能存在"操作不支持"错误,可能与镜像未编译 openssl 支持有关;用户可尝试通过 wget 从 depot 直接下载包,或使用 FAT32 磁盘镜像作为文件传输媒介
- 开发者社区正在探索在 x86_64 Haiku 或 Linux 上交叉编译 ARM64 的 .hpkg 安装包的可能性,以解决开发工具缺失的问题
- 开发者 PulkoMandy 表示支持这些架构是出于兴趣和乐趣,虽然硬件可能因简单或古怪而有趣,但他不认为这会帮助 Haiku 在桌面操作系统领域取得成功
A nicer voltmeter clock
伏特计时钟升级版制作详解
- 作者2019年制作了第一版伏特计时钟,2026年重新设计,新版采用枫木材料制作外壳,使用CNC数控机床加工前后面板以隐藏廉价表头丑陋的塑料边框,并用装饰性凹槽图案增添美感(第一版为手工制作木壳)
- 使用三个亚马逊购买的90度面板伏特计(约9美元/个,品牌为Baomain 65C5),拆卸后精确测量表盘尺寸,在粘性纸上打印自制贴纸替换原表盘,提供可下载的PDF模板供他人使用
- 小时表盘设计为13格刻度(0-12),分针和秒针表盘为61格刻度(00-60),目的是实现小时指针的连续平滑运动,而非传统时钟的跳跃式移动
- 弯曲侧壁制作采用在木材内部切割一系列缺口的方法实现无需蒸汽弯曲工具的弯曲,随后加湿、夹紧并干燥两天使其定型,再用胶水与前后面板粘合;无CNC设备者也可采用双面对粘打印纸模板的方式手工制作
- 电路采用AVR128DB28单片机配8MHz晶振,通过定时器中断以10Hz频率递增计数,主循环计算占空比并手动切换PC0、PC1、PC2三个输出引脚驱动表头,PD6、PD7两个按钮用于校时
- 利用高频1位数字脉冲信号驱动表头,通过软件控制信号占空比配合表头惯性和线圈电感实现指针定位,无需数模转换器等额外元件,代码简洁且注释详细