Link | Comment

🔼 1353 | 💬 1040

彼得·斯坦伯格加入OpenAI，OpenClaw将转型为基金会

• 作者宣布加入OpenAI，致力于开发一款连母亲都能使用的AI智能体（agent），让AI技术惠及大众
• OpenClaw原为作者的”游乐场”实验性项目，意外在全球引发广泛关注，社区被形容为”具有魔力”，致力于为用户提供数据自主权
• 作者明确表示无意创办大公司，曾用13年创办公司的经历让他更渴望直接改变世界，与OpenAI合作是实现这一目标的最快途径
• OpenClaw将转型为基金会，继续保持开源，由OpenAI提供赞助并支持其独立运营
• 基金会将支持更多模型和企业，为思考者、黑客及注重数据自主权的人群提供平台
• 作者上周在旧金山与各大AI实验室交流，获得前沿研究访问权限，对行业未来充满期待

Link | Comment

🔼 231 | 💬 117

Ghidra软件逆向工程框架

• 由美国国家安全局（NSA）研究总署开发并维护，专为软件逆向工程（SRE）任务设计，用于解决复杂项目的规模化和团队协作问题
• 提供全套高级软件分析工具，包括反汇编、反编译、图形化分析和脚本编写功能，支持Windows、macOS和Linux多平台运行
• 支持多种处理器指令集和可执行格式，可运行于用户交互和自动化两种模式，用户可通过Java或Python开发自定义扩展和脚本
• 采用Apache-2.0开源许可证，主要使用Java语言（占86.2%），拥有64.5k星标、7.1k个fork和348位贡献者
• 安装需JDK 21 64位，最新版本为Ghidra 12.0.3；存在已知安全漏洞，使用前需查阅官方安全公告

Link | Comment

🔼 176 | 💬 104

自建 XMPP 服务器全指南

• 作者选择 Prosody 配合 Docker 搭建 XMPP 服务器，XMPP 是自1999年存在的联邦式协议，服务器间自动互联，用户消息存储在自有硬件上，不依赖单一服务提供商，可与任何 XMPP 服务器用户通讯
• DNS 需配置 SRV 记录：_xmpp-client._tcp 指向 5222 端口（客户端连接），_xmpp-server._tcp 指向 5269 端口（服务器 federation），以及 A 记录指向服务器 IP，还可添加 upload.xmpp 和 conference.xmpp 子域名分别用于文件上传和群聊
• TLS 证书使用 Let’s Encrypt 配合 Cloudflare DNS challenge 获取，无需暴露 80 端口，需修复权限让 Prosody 可读取证书，并设置月度自动续期
• Prosody 核心模块：carbons 实现跨设备消息同步、smacks 流管理确保网络不稳定时消息可靠送达、cloud_notify 移动端推送通知、mam 消息存档；安全方面强制 c2s/s2s TLS 加密、启用 s2s_secure_auth 拒绝证书有问题的远程服务器、禁用公开注册改为手动用 prosodyctl 创建账户
• OMEMO 端到端加密基于 Signal 相同协议，由客户端处理，服务器无需配置，Monal、Conversations、Gajim 均默认支持；消息默认存档一年，客户端可单独设置关闭
• 语音视频通话需部署 coturn 作为 TURN/STUN 服务器处理 NAT 穿透，使用共享密钥认证，Prosody 自动为客户端生成临时凭证，需开放 3478⁄5349 端口及 49152-49200 UDP 端口
• 客户端推荐：iOS/macOS 用 Monal，Android 用 Conversations，桌面用 Gajim；验证配置可用 prosodyctl check 和 XMPP Compliance Tester 评分

Link | Comment

🔼 174 | 💬 63

你的蓝牙设备暴露了哪些信息

• 作者开发了Bluehood蓝牙扫描器，通过被动扫描监听附近蓝牙设备，根据厂商标识和BLE服务UUID识别手机、音频设备、可穿戴设备、车辆、IoT设备等类型，并生成小时/日热力图分析设备出现规律、停留时间和设备关联性
• 研究人员披露了WhisperPair漏洞（CVE-2025-36911），影响数亿蓝牙音频设备，允许攻击者远程劫持耳机、窃听对话并通过Google Find Hub网络追踪位置，揭示蓝牙并非无害的隐形信号
• 任何拥有基本技术的人用树莓派或普通笔记本运行扫描工具，无需连接即可推断邻居作息规律、家庭成员回家时间、同一用户手机与智能手表关联性、住宅何时无人等敏感信息；现代手机使用的随机MAC地址会被检测到并从主界面隐藏
• 许多设备无法由用户关闭蓝牙：助听器需持续广播BLE信号供听力学家调试，心脏起搏器等植入式医疗设备同样如此，物流车队、警车、救护车等交通工具的蓝牙系统驾驶员也无法控制
• Briar和BitChat等注重隐私的通讯工具需要开启蓝牙才能实现点对点加密和离线消息同步，这形成了隐私保护工具反而需要牺牲部分隐私的矛盾
• Bluehood代码已开源，支持Docker或手动安装，数据存储于SQLite，可通过ntfy.sh发送设备到达/离开通知，旨在让用户直观理解开启蓝牙广播的风险，从而做出更知情的决定

Link | Comment

🔼 82 | 💬 42

WebMCP规范：使网页能够为AI代理提供JavaScript工具

• WebMCP是由W3C Web Machine Learning社区组发布的草稿规范，是一个新的JavaScript API，允许Web开发者将网页应用功能暴露为可被AI代理（agent）和浏览器代理调用的“工具”
• 使用WebMCP的网页可视为在客户端脚本中实现工具的Model Context Protocol（MCP）服务器，支持用户与代理在同一Web界面中协作工作
• Navigator接口扩展提供modelContext属性，通过ModelContext对象注册和管理可被代理调用的工具
• ModelContext接口提供四个方法：provideContext()批量注册工具（会清除现有工具）、clearContext()清除所有工具、registerTool()注册单个工具、unregisterTool()移除指定工具
• ModelContextTool字典定义工具结构，包含name（唯一标识符）、description（自然语言描述）、inputSchema（JSON Schema参数模式）、execute（代理调用时执行的回调函数）和annotations（含readOnlyHint等可选元数据）
• ModelContextClient接口允许工具执行过程中通过requestUserInteraction()异步请求用户交互，该API需在安全上下文（SecureContext）中运行

Link | Comment

🔼 145 | 💬 36

使用协议，而非服务

• 互联网在设计上几乎是匿名且保护隐私的，但通信向封闭平台的集中化破坏了这些特性，平台方自身或迫于政府压力都能识别用户身份
• 服务商是容易攻击的目标——政府只需向一家公司发出传票、法院命令或监管要求，就能迫使服务就范或面临罚款、诉讼或封禁
• Discord已率先行动，推行”青少年默认”设置，要求用户提交面部扫描或政府签发的身份证件以证明年龄
• 协议无法被同样针对，因为没有单一实体可被强制执行监管要求，政府需同时向数十个司法管辖区、数千个独立服务器运营商施压，这在立法和执法上几乎不可能
• 切换服务商毫无意义——新服务商要么在同一司法管辖区面临相同规则，要么最终被封锁或施压，用户只是从一个可监管实体转移到另一个
• 协议具有真正的弹性：以SMTP为例，即使Google封禁你的账户，你可以切换到其他提供商并仍能联系所有Gmail用户；即使Google和Microsoft完全停止服务（在你的地区），协议实现依然存在且可用，这与Discord等中心化服务有本质区别

Link | Comment

🔼 654 | 💬 276

Modern CSS：告别2015年的旧写法

• 这是一个现代CSS代码片段对比网站，提供64个“旧方法→现代方法”的代码示例，用原生CSS替代旧的hack技巧
• 涵盖颜色（oklch、color-mix）、布局（Grid、Flexbox、容器查询）、排版、动画、选择器和工作流六大领域，共追踪26个CSS新特性
• 核心特点是无需JavaScript或预处理器，用纯CSS实现过去需要复杂代码的效果，如:has()父元素选择、自动增长文本框、滚动链接动画、对话框等
• 每个示例都标注浏览器兼容性百分比，从”广泛可用”到”有限支持”不等，2026年内容已同步更新
• 口号为”Stop writing CSS like it’s 2015”，每周推送新对比，无外部依赖