给软件开发者准备的优质简报,每日阅读 10分钟。
Microsoft's "fix" for Windows 11
微软的“修复”实为补救:为自身造成的损害邀功
- 微软于2026年3月宣布一项“七点修复计划”,承诺移除强制Copilot、减少广告并修复部分基础功能,但作者批评此举是将自身过去四年造成的损害包装为“恩惠”,而非真正的产品改进。
- 在2023年至2025年间,微软系统性地损害用户体验,包括在开始菜单、锁屏和设置中植入广告,强制将Copilot集成到几乎所有系统应用中,并默认自动启用OneDrive备份,导致用户文件在关闭备份后从本地消失。
- 最严重的隐私侵犯问题被完全排除在修复计划之外,例如彻底封杀所有创建本地账户的方法,以及消费版Windows中无法真正关闭的遥测数据收集功能,这些构成了其核心数据收集模式。
- 微软存在长期的滥用行为模式,历史包括:2016年篡改升级对话框的“X”按钮以强制升级Windows 10;通过苛刻的硬件要求导致约2.4亿台PC被淘汰;以及在Edge浏览器中使用“确认羞辱”等欺骗性设计模式。
- 文章指出,微软的“修复”仅针对引发负面舆论的显眼界面问题,而保留了数据收集、强制账户绑定和供应商锁定等构成其商业模式的侵犯性行为,用户及其数据才是其真正的产品。
Tell HN: Litellm 1.82.7 and 1.82.8 on PyPI are compromised
LiteLLM 1.82.8版本存在严重供应链攻击与凭证窃取漏洞
- 攻击机制隐蔽自动:PyPI上的
litellm==1.82.8软件包包含恶意文件litellm_init.pth。该文件利用Python的.pth文件机制,在Python解释器启动时自动执行窃密脚本,无需用户导入litellm库。 - 窃取数据范围极广:恶意脚本会大规模收集系统敏感信息,包括所有环境变量、SSH密钥、各类云服务凭证、数据库配置、加密货币钱包、SSL私钥以及CI/CD配置文件等。
- 数据加密并外泄:收集的数据使用AES-256加密后,其会话密钥再通过一个硬编码的4096位RSA公钥加密,最终打包并通过HTTPS POST请求发送至攻击者控制的域名
https://models.litellm.cloud/。 - 受影响版本确认:已确认
litellm==1.82.8版本存在此问题。另有评论指出,1.82.7版本虽无.pth文件,但其proxy/proxy_server.py文件中同样含有恶意载荷。 - 紧急处理与修复建议:用户应立即检查并删除
site-packages/目录下的litellm_init.pth文件,并轮换所有可能已泄露的凭证。官方建议PyPI应立即下架该版本,并审计发布凭证和CI/CD流水线。
So where are all the AI apps?
AI 应用激增的迷思:PyPI数据揭示的真实影响
- 尽管AI工具声称能大幅提升开发效率,但ChatGPT发布后,Python官方包仓库(PyPI)的软件包总量和新包创建速度均未出现显著增长,新增包中很多实为垃圾或恶意软件。
- 对最受欢迎的15,000个Python包的分析显示,软件包在发布初期的更新频率存在一个从2019年就开始的平缓上升趋势,这早于现代AI编码工具的普及,且所有包的更新频率都会随其老化而下降。
- 然而,专门针对“关于AI”的软件包分析时,发现它们在发布第一年的更新频率出现剧增,例如2023年发布的AI相关包中位数达到每年20次更新,几乎是同年非AI包的两倍。
- 进一步交叉分析发现,这种更新频率的激增现象,几乎完全集中在“流行的、关于AI的软件包” 上,其更新频率在ChatGPT后跃升至每年21-26次,远超其他类别。
- 文章提出两个主要假设来解释此现象:一是AI领域开发者更擅长使用AI工具(技能问题),二是涌入AI领域的巨额资金和炒作推动了高强度开发和迭代。数据表明,AI革命的主要可见影响是催生了AI生态内软件包的快速迭代,而非引发整个软件领域的生产力爆发。
GitHub appears to be struggling with measly three nines availability
GitHub服务稳定性堪忧,仅勉强维持“三个九”可用性
- 2026年2月9日,GitHub的Actions、拉取请求、通知和Copilot等服务出现故障,通知延迟一度达50分钟,问题持续至当晚才完全解决。
- 其AI工具GitHub Copilot也出现策略传播问题,导致部分用户无法访问新启用的模型,此次故障持续了超过17个小时。
- GitHub修改了其官方状态页面,使得用户更难直观评估其服务在过去90天(尤其是整体运行时间)的可用性表现。
- 一个基于公共状态数据重建的非官方页面显示,GitHub的稳定性很差,其运行时间在2025年曾一度跌破90%。
- GitHub仅对企业云客户的服务级别协议承诺99.9%(即“三个九”)的可用性,且不保证所有用户都能达到此标准。
Apple Business
Apple Business:整合多项核心服务的一体化商业平台
- Apple Business是一个全新的综合性平台,旨在帮助各类企业高效、安全地管理设备、拓展客户、配备工具并获得专家支持,从而促进业务运营与发展。
- 平台内置移动设备管理功能,提供“蓝图”工具以实现设备的预配置和零接触部署,并支持创建用户组、分配应用与角色,以及通过App Store进行应用分发。
- 企业可使用自定义域名设置集成的商务邮箱、日历和目录服务,以提升专业沟通与协作效率,并配备日程安排工具和内置公司目录。
- 自今年夏季起,美国和加拿大的企业可通过该平台在苹果地图上创建广告,广告将出现在搜索结果顶部及新的“推荐地点”体验中,并明确标注,同时遵循苹果的隐私优先原则,不关联用户Apple账户。
- 平台整合了原Apple Business Connect的品牌管理工具,企业可统一管理在苹果地图、钱包等服务中的品牌形象、地点信息,并获取客户搜索、查看和点击等互动行为的位置洞察。
- 该服务于4月14日起在超过200个国家和地区作为免费服务提供,原有Apple Business Essentials、Apple Business Manager和Apple Business Connect服务将整合并入新平台,现有数据将自动迁移。
GrapheneOS will remain usable by anyone without requiring personal information
GrapheneOS 关于全球可用性、设备支持与安全标准的声明
- GrapheneOS 承诺其操作系统及相关服务将保持全球可用,任何人使用都无需提供个人信息、身份证明或注册账户。
- 项目方表示,即使特定地区的法规导致 GrapheneOS 设备无法合法销售,他们也会接受这一结果,但系统本身仍可供用户获取和安装。
- 目前,只有谷歌 Pixel 设备符合其严格的安全要求,是唯一获得官方支持的设备系列。Pixel 6a 目前仍受支持,但因其缺乏 ARMv9 等较新安全功能且支持周期较短(预计2027年中后期终止),故不推荐作为新购选择。
- GrapheneOS 已宣布与摩托罗拉达成长期合作伙伴关系,未来将支持多款符合其隐私与安全标准的摩托罗拉新设备,这并非降低标准,而是摩托罗拉将提升设备以达要求。
- 项目明确排除了与 Fairphone 合作的可能性,认为其现有设备不重视提供严肃的隐私和安全保障。同时,由于三星等厂商的设备锁定了引导加载程序,也无法安装 GrapheneOS。
- GrapheneOS 强调其核心目标是大幅提升隐私与安全基线,并指出为生命周期结束的设备移植系统更新无法解决其因缺乏驱动/固件更新而产生的根本性安全问题。
Claude Code Cheat Sheet
Claude Code 2.1.81 核心功能与使用速览
- 核心启动与控制:新增
--bare标志启动极简无头模式(无钩子/LSP/插件),--channels标志支持权限中继与 MCP 推送消息。可通过--effort标志或/effort命令设置任务投入级别,并支持使用Shift Tab或--permission-mode标志切换多种权限模式。 - 交互快捷键与输入:提供完整的键盘操作,包括
Ctrl C取消、Ctrl D退出、Ctrl O切换详细输出、Alt T开关思考模式。输入时使用/触发命令、!执行 bash、@提及文件并自动补全,并可使用Esc Esc进行回退或撤销。 - MCP服务器管理与斜杠命令:支持通过 HTTP、stdio、SSE 三种传输协议添加 MCP 服务器,可使用
/mcp命令进行交互式管理。内置大量斜杠命令,涵盖会话控制(如/clear、/branch)、配置调整(如/model、/theme)、工具调用(如/memory、/agents)及特殊功能(如支持 20 种语言的/voice语音输入)。 - 记忆文件、上下文与工作流:通过项目、个人和全局的
CLAUDE.md文件及.claude/rules/目录规则管理记忆。支持使用/compact压缩上下文、通过--worktree实现 Git 工作树隔离进行功能开发,并可进入计划模式(/plan或--permission-mode plan)自动规划任务步骤。 - 技能、代理与自动化:支持在
.claude/skills/目录创建自定义技能,内置/simplify(并行代码审查)、/batch(批量并行更改)等技能。提供Explore、Plan、General等多种预定义代理类型,并可通过SendMessage自动恢复已停止的代理,使用/loop安排重复任务。 - CLI命令与环境配置:核心命令包括
claude(交互式)、claude -p(无头模式查询)、claude -c(继续上次会话)。关键环境变量如ANTHROPIC_API_KEY、CLAUDE_CODE_EFFORT_LEVEL等,用于控制模型、投入度及功能开关。
Arm AGI CPU
Arm AGI CPU:为智能体AI云时代打造的全新硅基基础
- Arm首次推出自研硅产品Arm AGI CPU,标志着其35年多历史中,从提供IP和计算子系统扩展至交付生产就绪的完整硅平台,旨在为下一代AI基础设施提供核心算力。
- 该CPU专为大规模、持续运行的智能体AI工作负载设计,其架构的每个要素(从运行频率到内存与I/O)都旨在支持高密度机架部署下,数千个核心并行处理任务时的高性能与高能效。
- 在一个标准的36kW风冷机架参考配置中,可部署30个刀片,总计8,160个核心。Arm内部评估显示,相比最新x86系统,每个机架性能可提升超过两倍,这得益于其领先的内存带宽、高效的Arm Neoverse V3核心以及更多有效执行线程。
- Meta是主导合作伙伴和客户,共同开发此CPU以优化其兆瓦级基础设施,并与Meta自研的MTIA加速器协同工作。其他首发合作伙伴包括Cerebras、Cloudflare、F5、OpenAI等,商业系统现已可从ASRockRack、联想和超微订购。
- 为加速生态采用,Arm推出了符合开放计算项目标准的1OU双节点参考服务器设计,并计划贡献此设计、支持固件、系统架构规范及调试工具,以推动所有基于Arm的数据中心客户在平台架构与软件兼容性上协同发展。
Autoresearch on an old research idea
利用LLM智能体自动化改进旧研究项目的实验
- 作者基于Karpathy的“Autoresearch”框架,构建了一个以LLM智能体为核心的约束优化闭环:智能体根据
program.md中的指令,通过假设、编辑训练代码、快速训练、评估、提交或回滚的循环,自动优化评估指标。 - 为确保安全,实验流程被容器化并移除了网络访问,智能体(Claude Code)的权限被严格限制,仅允许编辑指定文件并运行封装好的脚本,防止任意代码执行。
- 实验使用了Ukiyo-eVG数据集(约1.1万幅带短语-边界框标注的日本木版画),并将边界框转换为高斯热图,作为模拟专家空间注意力的额外输入馈入模型,以测试eCLIP的注意力机制。
- 智能体在42次实验(13次提交,29次回滚)中取得关键进展:首先发现并修复了温度参数被人为限制的代码错误,使评估指标(平均排序)骤降113点;随后通过超参数调优进一步降低30点,最终将验证集平均排序从344.68降至157.43,降幅达54%。
- 实验也揭示了局限:在后期涉及注意力机制等架构修改及“登月”式创意阶段,智能体的假设成功率显著下降,多数更改无效;智能体偶尔会忘记权限限制或失去耐心,表明其尚不具备完全自主能力。
POSSE – Publish on your Own Site, Syndicate Elsewhere
POSSE:在自有网站首发并同步至社交平台的内容策略
- POSSE 是 “Publish (on your) Own Site, Syndicate Elsewhere” 的缩写,指内容先在个人网站发布,再将其副本或链接同步至第三方平台(如社交媒体),并包含指向原文链接的实践。
- 其核心目标是让朋友能以他们习惯的方式(如通过社交媒体)阅读你的内容,优先维护现有的人际联系,而非等待未来可能的“联邦化”技术架构。
- 主要优势包括:降低对第三方服务的依赖、确保对内容的所有权和规范链接、提升原文在搜索引擎中的排名,并能利用其他平台的社交互动功能。
- 实现方式多样,包括使用各平台(如Twitter、Facebook、Medium)的API、手动操作、利用Bridgy等服务,或通过自定义软件和发布流程实现自动化。
- 文章详细列举了多位独立网络实践者(如Tantek Çelik、Barnaby Walters)的具体实施案例,并对比了PESOS、COPE等其他内容分发模型。
Hypura – A storage-tier-aware LLM inference scheduler for Apple Silicon
在 Mac Silicon 上运行超出物理内存的大型语言模型
- 专为 Apple Silicon 设计,通过智能调度模型张量在 GPU、统一内存和 NVMe 存储之间的放置,解决因内存不足导致系统崩溃或 OOM 杀手干预的问题。
- 利用模型架构特性优化:将频繁访问的层固定在 GPU;针对 MoE 模型,通过路由拦截和神经元缓存,仅按需从 NVMe 加载所需专家层,减少 75% I/O 并实现 99.5% 的缓存命中率。
- 提供多种自动适配的推理模式:根据模型大小和硬件自动选择全驻留、专家流式或稠密 FFN 流式模式,确保内存足够时零开销,内存不足时仍可运行。
- 性能表现显著:在 32GB M1 Max 上,可运行 30.9GB Mixtral 8x7B(2.2 tok/s)和 39.6GB Llama 70B(0.3 tok/s),而这些模型在原生 llama.cpp 下会崩溃。
- 提供 Ollama 兼容的 HTTP API 服务器,支持
/api/generate、/api/chat等端点,可作为 OpenClaw 等工具的即插即用后端。 - 仅对 SSD 进行只读访问,推理过程使用
pread()和F_NOCACHE从 GGUF 文件流式读取权重,不会因写入操作损耗固态硬盘寿命。
Hypothesis, Antithesis, synthesis
黑格尔:基于 Hypothesis 的跨语言属性测试库
- 黑格尔是一个新的属性测试库家族,其核心设计是复用 Python 著名库 Hypothesis 的引擎作为后端,通过“黑格尔协议”为其他语言(如已发布的 Rust 版和即将发布的 Go、C++、OCaml、TypeScript 版)提供高质量属性测试能力。
- 该库通过让开发者指定数据生成范围来自动创建测试用例,能有效发现三类典型错误:忘记处理零值等边界情况、处理复杂数据(如 Unicode)时出错,以及违反复杂的结构性不变式(常通过模型对比测试发现)。
- 黑格尔直接继承了 Hypothesis 的三大核心优势:高质量的数据生成器、优秀的“内部收缩”功能(能自动简化失败用例以方便调试)和测试数据库(可缓存失败用例,加速重复测试)。
- 作为 Antithesis 测试平台的重要入口,用户可在本地编写并运行黑格尔测试,未来可无缝迁移至 Antithesis 平台,以获得对并发和分布式系统更强的测试能力及调试支持。
- 为降低使用门槛,团队同步发布了“黑格尔技能”,帮助开发者利用 AI 代理(如 Claude)快速生成初始的属性测试代码,以应对 AI 时代对代码健壮性的更高要求。
- 当前黑格尔仍处于“开发者预览”阶段,其长期目标是摆脱对 Python 的运行时依赖以提升性能,并增强对高并发、非确定性测试场景的支持,以更好地与 Antithesis 平台及开源项目 Bombadil 集成。
Show HN: Gemini can now natively embed video, so I built sub-second video search
SentrySearch:基于 Gemini Embedding 2 的视频语义搜索工具
- 该工具专为行车记录仪等视频内容设计,用户通过输入自然语言描述(如“闯红灯的红色卡车”),即可直接获得从原始视频中自动剪辑出的匹配片段。
- 其核心创新在于直接利用谷歌的 Gemini Embedding 2 模型,将视频片段本身(原始像素)编码为768维向量,并与文本查询的向量在同一空间中进行相似度匹配,无需任何中间的文字转录或描述。
- 工具提供完整的命令行操作流程,包括初始化配置、索引视频目录、执行语义搜索和查看统计信息,并支持通过参数调整视频分块时长、重叠时间、预处理分辨率及帧率等。
- 为控制使用成本并提升效率,默认启用两项优化:预处理(降低视频分辨率至480p和帧率至5fps以提升上传速度)和静态帧跳过(通过启发式方法检测并跳过无显著视觉变化的片段,以节省API调用费用)。
- 该工具兼容任何 MP4 格式的视频文件,运行要求包括 Python 3.10+、ffmpeg(或自动安装的 imageio-ffmpeg)以及一个可从 Google AI Studio 免费获取的 Gemini API 密钥。
Show HN: Email.md – Markdown to responsive, email-safe HTML
使用 Markdown 编写响应式电子邮件的工具
- Email.md 是一个让开发者使用 Markdown 语法编写并生成响应式 HTML 邮件的工具。
- 其核心是简化邮件创建流程,通过“写 Markdown,发邮件”的理念,避免直接处理复杂的 HTML 代码(戏称为“HTMHELL”)。
- 平台提供了可直接使用的邮件模板、一个在线邮件构建器以及详细的产品文档。
- 该工具可通过 npm 包管理器安装,并提供了一个完整的“确认邮件”代码示例,展示了如何定义页眉、正文、验证码区域和页脚。
- 该项目由 unMTA 公司开发并维护,其完整的源代码已在 GitHub 上开源。