给软件开发者准备的优质简报,每日阅读 10分钟

MacBook Neo

1899 pointsLinkComment(2207)Share

苹果推出全新MacBook Neo

  • 起售价599美元(教育优惠499美元),是苹果有史以来最实惠的笔记本电脑
  • 采用耐用铝金属设计,重量仅2.7磅,提供四种精美配色:腮红粉、靛蓝、银色和全新柑橘色
  • 搭载A18 Pro芯片,日常任务比搭载Intel Core Ultra 5的最畅销PC快50%,设备端AI工作负载快3倍,采用无风扇静音设计
  • 配备13英寸Liquid Retina显示屏(2408×1506分辨率、500尼特亮度、支持10亿色),电池续航最长16小时
  • 预装macOS Tahoe系统,配备1080p FaceTime HD摄像头、双麦克风(支持定向波束成形)、立体声扬声器(支持空间音频和杜比全景声)、Magic Keyboard、多点触控板及Touch ID
  • 采用60%再生材料(为苹果产品中最高比例),包括90%再生铝和100%再生钴,是苹果碳足迹最低的MacBook

Motorola GrapheneOS devices will be bootloader unlockable/relockable

1259 pointsLinkComment(532)Share

GrapheneOS 官方服务器与设备支持信息

  • grapheneos.social 是独立的 Mastodon 服务器,用于官方项目账户和成员参与联邦宇宙(fediverse)
  • 服务器目前仅有 3 位活跃用户,不提供搜索功能和搜索选项
  • GrapheneOS 确认将支持用户解锁引导程序并重新锁定,允许安装其他操作系统(包括用户自编译的 GrapheneOS)
  • 项目硬件要求包含对验证启动(verified boot)的完整支持,此要求已实施多年
  • 团队计划发布官方加固版固件和驱动程序,方便用户直接构建系统而无需从工厂镜像提取文件
  • 现有设备已支持类 postmarket(Linux)系统,验证启动功能自 Nexus 5X 和 Pixel 2 起便成为 GrapheneOS 的硬件要求标准

The L in "LLM" Stands for Lying

571 pointsLinkComment(398)Share

LLM中的"L"代表"伪造"

  • 作者认为完全不用AI完全可以接受,不会让人变成穴居人,也不会落后于所谓的"技术奇才",反而可能压力更小、更有成就感
  • 核心观点:LLM的产出本质上是"伪造品"(forgery)——通过模仿真实输出的形式快速生成副本,与仿制梵高画作并签上其名字、或伪造法律文件同理,与正宗手工艺奶酪的产地保护概念相似(法国要求布利奶酪必须在特定地区生产以保护品牌价值)
  • 开源项目已明显感受到AI代码的负面影响:收到的pull request质量低下,一些项目因此关闭公开贡献渠道或取消漏洞赏金;新员工用AI只是将工作外包给机器人,注入平庸代码,2026年如果新员工写出极其详细的PR应该质疑每一个字
  • 资深工程师使用AI也常产出代码异味重、过度复杂、拒绝真正重构的slop代码;Microsoft Copilot Discord甚至封禁"Microslop"一词并将用户反弹归类为"垃圾信息"和"有害内容"
  • 视频游戏行业是少数有效抵制AI内容的领域,原因有两点:纯直连消费市场使玩家有真正选择权,且游戏作为艺术作品,创作者对copy-catting极其敏感;程序化生成在游戏中的失败先例(如《无人深空》)印证了有限来源无法产生真正多样性
  • 作者提出的解决方案是要求LLM进行正确的来源标注和引用,当前模型技术上无法可靠做到,因为LLM只是擅长"引用角色扮演"——能提及和引用来源只是因为训练数据中频繁出现正确引用的情况,本身无法区分Citation、Hallucination和真正创新之间的区别

No right to relicense this project

434 pointsLinkComment(285)Share

chardet 项目无权重新许可争议

  • 原作者 Mark Pilgrim(chardet 创始人)指出维护者在 7.0.0 版本中将 LGPL 许可更换为 MIT 许可的行为违反 LGPL 许可证规定
  • 作者强调虽然维护者声称是"完全重写",但由于曾接触过原始 LGPL 代码,该版本仍属于衍生作品,必须保持相同许可
  • 维护者使用 AI 辅助重写项目代码,社区对是否构成"净室实现"及是否存在法律风险展开激烈讨论
  • 讨论涉及 Google v. Oracle 案中的 API 版权问题,以及原始代码是否被用于 AI 模型训练等关键争议点
  • 社区反应强烈,该议题获得超过 1000 个点赞和 230 个爱心,部分用户建议通过法律途径或 DMCA 投诉解决争议

Google Workspace CLI

857 pointsLinkComment(271)Share

Google Workspace CLI (gws) — 统一命令行工具

  • 一款面向人类用户和 AI 代理的统一命令行工具,支持 Drive、Gmail、Calendar、Sheets、Docs、Chat、Admin 等所有 Google Workspace 服务
  • 通过 Google Discovery Service 动态构建,运行时获取 API 定义,Google 新增接口时自动支持,无需手动更新
  • 输出结构化 JSON,提供 --dry-run 预览、--page-all 自动分页等功能,告别 curl 调用 REST API 的繁琐
  • 内置 100+ 个 AI Agent Skills(智能体技能)及 50 个精选工作流配方,覆盖 Gmail、Drive、Docs、Calendar、Sheets 自动化场景
  • 支持多种认证方式(交互式 OAuth、服务账号、预获取 Access Token)及多账户切换,可作为 MCP 服务器向 Claude Desktop、VS Code 等客户端暴露 Workspace API
  • 开源项目(Apache-2.0 许可),GitHub 星标 10.7k+,非 Google 官方支持产品,仍在积极开发中

GPT-5.4

242 pointsLinkComment(245)Share

OpenAI发布GPT-5.4:面向专业工作的下一代AI模型

  • GPT-5.4于2026年3月5日正式发布,包含ChatGPT(GPT-5.4 Thinking)、API和Codex三个版本,同时推出GPT-5.4 Pro版本为复杂任务提供极致性能,整合了GPT-5.3-Codex行业领先的编码能力
  • 在知识工作基准测试GDPval中,GPT-5.4在44个职业的知识工作任务中达到83.0%的匹配或超越行业专业人员水平,较GPT-5.2的70.9%大幅提升;在投资银行建模任务中得分从68.4%提升至87.3%
  • GPT-5.4是首个具备原生计算机使用能力的通用模型,在OSWorld-Verified基准测试中达到75.0%成功率,首次超越人类水平的72.4%,支持通过截图和鼠标键盘命令操作计算机;WebArena-Verified达到67.3%
  • 在ChatGPT中新增预演计划功能,GPT-5.4 Thinking可在响应过程中提前展示思考计划,用户可随时调整方向;模型支持最高100万token上下文长度,工具搜索功能可将MCP Atlas基准测试的token使用量减少47%
  • 模型事实准确性显著提升:用户反馈的事实错误减少33%,回答完整性错误降低18%;Toolathlon测试中准确率从45.7%提升至54.6%;BrowseComp网页搜索提升17%
  • 安全性方面,GPT-5.4根据 Preparedness Framework 被视为高网络安全能力部署,引入Chain-of-Thought可控性开源评估,模型隐藏推理能力较低,CoT监控仍为有效安全工具
  • 定价:GPT-5.4 API输入价格为每百万token 2.50美元、输出价格为15美元;GPT-5.4 Pro输入价格为30美元、输出价格为180美元

Building a new Flash

692 pointsLinkComment(226)Share

重新构建Flash:全新2D动画创作工具

  • 使用C#、Avalonia和SkiaSharp从零构建完整的2D动画创作环境,兼容Linux、Mac和PC三大操作系统
  • 基于DCEL(双向连通边表)数据结构开发矢量绘图引擎,完整复刻Flash的五种原始绘图模式(标准、填充、Behind、选区、内部)
  • 时间轴功能包括关键帧、逐帧动画和洋葱皮;形状补间采用轮廓对应技术实现真正的矢量变形
  • .fla/XFL文件导入是目前唯一能以完整创作环境编辑旧版Flash文件的开源工具,非仅回放
  • 采用Roslyn编译器构建双表面脚本系统(创作时脚本+运行时C#帧脚本),并规划开发ActionScript 3到C#转译器
  • 支持导出SWF、HTML5/Canvas及自定义.anim格式,内置基于SkiaSharp波形渲染的音频编辑器

Good software knows when to stop

237 pointsLinkComment(140)Share

优秀的软件懂得适可而止

  • 作者通过一个虚构场景讽刺软件过度功能的危害:ls 命令被"升级"为所谓的 AI 驱动目录智能系统,原有简洁的工具变成了臃肿的营销产品(原文明确表示"幸运的是,这并未发生")
  • 核心观点:优秀的软件应清楚自己的使命,不试图包揽一切,懂得在何时止步
  • 37Signals(Basecamp 创立公司)的六条产品原则(来自《Rework》和《Getting Real》两本书):约束即优势(小团队、有限预算和狭窄范围迫使更好决策)、忽略表面功能请求而深挖真实需求、尽早频繁发布产品(真实的半成品优于完美的空想产品)、以核心交互为设计起点、默认拒绝新功能(每个功能都有隐藏成本)、解决自己的真实需求
  • 作者批评当前科技趋势:Minio 改名为 AIStor、Oracle Database 变成 Oracle AI Database,追逐热点概念的做法值得警惕
  • 真正的价值在于成为某类问题的既定标准,而非把自己包装成横空出世的"新热门"

The Government Uses Targeted Advertising to Track Your Location

167 pointsLinkComment(63)Share

政府利用定向广告系统追踪民众位置——我们需要采取行动

  • CBP(美国海关和边境保护局)在一份被404 Media曝光的官方文件中首次承认,从实时竞价(RTB)系统获取位置数据来追踪手机——该系统正是支撑几乎所有网站和应用广告投放的技术,这是2019-2021年开展的试点项目
  • 联邦执法机构通过从数据经纪商处购买本需法官授权令才能获取的位置数据来规避宪法第四修正案的保护,ICE、CBP和FBI均曾向Venntel等数据经纪商购买此类数据;ICE还购买了Webloc定位追踪工具,可按广告ID过滤特定地理区域内数百万手机的位置
  • 实时竞价过程在毫秒级拍卖中将用户信息(包括精确GPS坐标、广告ID、IP地址、设备信息、兴趣推断等)广播给数千家公司,每天可达数百次,任何人可伪装成广告买家访问数十亿人的敏感数据
  • 数据经纪商Mobilewalla收集了超过10亿人的位置数据,其中约60%来自RTB拍卖;另一家数据经纪商Gravy的数据泄露涉及数千款应用(包括Microsoft应用、Candy Crush、Tinder、Grindr、MyFitnessPal及宗教类应用),多个应用开发者表示从未听说过该公司
  • 应对措施:个人应禁用移动广告ID并审查应用位置权限;科技公司应停止将精确位置数据用于定向广告,Google应效仿苹果默认禁用广告ID;立法者需推动强有力的联邦隐私立法,关闭"数据经纪商 loophole",蒙大拿州已成为美国首个立法禁止政府购买需授权令才能获取数据的州

A GitHub Issue Title Compromised 4k Developer Machines

164 pointsLinkComment(41)Share

Clinejection 攻击:GitHub Issue 标题注入导致四千开发者机器被静默安装 OpenClaw

  • 2026年2月17日,攻击者发布 cline@2.3.0,CLI 二进制与前一版本完全相同,仅在 package.json 中增加一行 "postinstall": "npm install -g openclaw@latest",约4000名开发者在八小时内被静默安装 OpenClaw AI 代理,该代理可读取凭据、执行 shell 命令并安装持久化守护进程
  • 攻击链五步:1月28日攻击者在 GitHub Issue #8904 标题中嵌入提示词注入指令,Cline 的 AI 分类机器人未经验证直接执行,从 typosquatting 仓库 glthub-actions/cline(github 拼写错误)安装恶意包;攻击者使用 Cacheract 工具进行缓存投毒,以10GB垃圾数据触发 LRU 驱逐替换为恶意缓存;夜间发布工作流读取恶意缓存后窃取 NPM_RELEASE_TOKEN、VSCE_PAT、OVSX_PAT 三个凭据;最后用窃取的 npm 令牌发布恶意版本
  • 安全研究员 Adnan Khan 于2025年12月底发现漏洞链,2026年1月1日通过 GitHub 安全公告报告,五周内未获回应;2月9日公开披露后 Cline 团队移除 AI 分类工作流并开始凭据轮换,但误删了错误的令牌,攻击者已在2月17日用仍有效的窃取令牌发布恶意包
  • 现有安全控制均失效:npm audit 无法识别合法但恶意的包、代码审查仅关注二进制差异而忽略 package.json 单行变更、npm provenance 当时未启用、postinstall 钩子在 npm install 生命周期中静默执行无用户提示
  • 此次攻击开创"AI 安装 AI"的供应链攻击新模式,本质是混淆副手问题:开发者授权 Cline 代表其行动,Cline(被入侵后)将该权限委托给从未评估、配置或同意的另一个代理;Cline 事后启用 OIDC provenance 证明、停止在凭据工作流中使用 GitHub Actions 缓存、添加凭据轮换验证并委托第三方安全审计

Show HN: Jido 2.0, Elixir Agent Framework

176 pointsLinkComment(38)Share

Jido 2.0 正式发布

  • 经过 18 个月重构迭代,Jido 2.0 正式在 Hex 发布;源于 2024 年的 BotHive 项目,作者认定 BEAM 是代理系统的最佳运行时,放弃 TypeScript(单线程事件循环)和 Python(无法长时间稳定运行)的方案
  • Jido 1.0 因过度设计、抽象不合理导致使用困难,2.0 彻底简化 API、减少繁琐流程,采用纯函数式代理架构:代理本身即为一个包含状态、动作和工具的 struct 数据结构,通过 cmd/2 函数处理输入并返回更新后的代理和指令列表,支持完全无网络、数据库依赖的单元测试
  • Jido.AgentServer 作为受监督的 GenServer 运行时提供信号路由和指令执行;策略系统采用可插拔设计,核心包含 Direct 顺序执行和 FSM 状态机两种,ReAct、思维链等 AI 推理策略仅是策略的可选扩展,jido_behaviortree 等无需 LLM 的执行模型也可接入同一接口
  • Jido AI 集成层基于作者自研的 ReqLLM 库构建,支持 6 种推理策略(ReAct、Chain-of-Thought、Tree-of-Thoughts 等)、11 个提供商和 665+ 模型;jido_action 提供 25+ 预置工具和 DAG 工作流规划器,jido_signal 基于 CloudEvents v1.0.2 规范实现高性能 trie 路由和 pub/sub 消息系统
  • 生态系统快速扩展:ash_jido 实现 Ash Framework 一流支持使 CRUD 操作自动变为 AI 可调用工具,另有浏览器自动化、记忆系统、评估工具、MCP 集成等包,社区正构建编码助手、工作流编排器、生产支持系统等应用
← 2026-03-04 2026-03-05 ...