给软件开发者准备的优质简报,每日阅读 10分钟

France Aiming to Replace Zoom, Google Meet, Microsoft Teams, etc.

846 pointsLinkComment(727)Share

法国拟在2027年前以主权视频会议系统替代国际平台

  • 法国经济财政部(Bercy)宣布,计划在2027年前用"主权解决方案"取代Zoom、Google Meet、Microsoft Teams等国际视频会议软件
  • 鉴于当前地缘政治背景,作者认为这一决定符合逻辑,且相关软件已经存在(但尚未完全向公众开放)
  • 作者对实施可行性持保留态度,认为改变用户习惯并非易事
  • Numerama报道显示,该主权工具名为"Visio",旨在打造法国自主可控的视频会议系统

Windows 11's Patch Tuesday nightmare gets worse

414 pointsLinkComment(325)Share

Windows 11 1月安全更新导致部分电脑无法启动

  • 微软确认1月13日发布的Windows 11安全更新(KB5074109)导致部分电脑无法启动,显示“UNMOUNTABLE_BOOT_VOLUME”错误代码,受影响设备主要为Windows 11 24H2和25H2版本的物理机
  • 故障表现为黑屏并提示“你的设备遇到问题,需要重启”,系统无法完成启动过程,微软表示目前仅收到有限数量报告,正在调查原因和探索解决方案
  • 受影响的用户需手动进入Windows恢复环境卸载最新安全更新才能恢复系统,这是当前唯一的临时解决方法
  • 这是1月补丁星期二更新引发的第三波严重问题,此前已出现23H2版本无法关机/休眠、24H2/25H2版本远程桌面登录失败,以及云同步应用(Outlook、OneDrive等)失效等问题
  • 微软已发布两个紧急带外更新修复部分问题,但启动故障尚未解决,可能需要发布第三个紧急更新
  • 文章指出此次更新问题频发表明微软的Windows质量控制可能处于历史最低水平,呼吁重新评估开发流程

ChatGPT Containers can now run bash, pip/npm install packages and download files

433 pointsLinkComment(308)Share

ChatGPT 容器重大升级:编程能力与包管理全面进化

  • Bash 命令实现原生支持:ChatGPT 容器现已可直接执行 Bash Shell 命令,彻底摆脱此前仅能通过 Python subprocess 模块间接调用的局限。这一变化使其与 Anthropic 去年 9 月为 Claude 实现的代码解释器方案趋于一致,真正实现了"能敲命令就能干活"的目标。
  • 编程语言扩展至 10 种(含 Bash 共 11 种):除 Python 外,新增对 Node.js/JavaScript 的原生支持,作者实测还可在容器中运行 Ruby、Perl、PHP、Go、Java、Swift、Kotlin、C、C++ 等语言的 "Hello World" 程序,涵盖 9 种新语言(不含 Rust),加上可直接执行的 Bash 命令总计支持 11 种语言环境。该功能演进自约三年前推出的 "Code Interpreter",后更名为 "Advanced Data Analysis",但官方一直未提供详细文档。
  • 包管理器代理机制揭秘:容器虽禁止直接外网访问,但 OpenAI 部署了内部代理服务器 applied-caas-gateway1.internal.api.openai.org,通过配置 PIP_INDEX_URLUV_INDEX_URLNPM_CONFIG_REGISTRY 等环境变量,使 pip、uv、npm 等包管理器可经由代理安装依赖包;环境中还预置了 Go、Maven、Gradle、Cargo、Docker 等 registry 引用(虽对应程序尚未安装)。
  • container.download 实现安全下载:ChatGPT 现可定位网页文件 URL 并下载至沙盒容器处理,下载请求来源于 IP 52.230.164.178(位于美国爱荷华州微软 Azure 数据中心)。经作者测试,该工具设有严格安全限制——尝试通过提示注入构造含敏感信息的 URL 时,系统返回错误"ERROR: download failed because url not viewed in conversation before",仅允许下载对话中用户直接输入或来自搜索结果的 URL,数据外泄风险可控。
  • 官方文档与命名双重缺位:作者指出这些功能已在数月前悄然上线,但 OpenAI 既未更新发布说明也未提供官方文档,更未为此功能确定正式名称,仅呼吁官方尽快弥补这一缺陷,并自称为"ChatGPT Containers"。作者已在免费 ChatGPT 账户上验证这些新功能确实可用。

Kimi Released Kimi K2.5, Open-Source Visual SOTA-Agentic Model

425 pointsLinkComment(200)Share

Kimi K2.5:开源多模态智能体模型新突破

  • Kimi K2.5 是目前最强的开源多模态模型,基于约 15T 图文混合 token 继续预训练,在编程和视觉任务上达到业界领先水平,在 SWE-Bench Verified(76.8%)、MMMU Pro(78.5%)、MathVision(84.2%)等多项基准测试中表现优异
  • 引入创新的**并行智能体强化学习(PARL)**训练方法,支持自主创建多达 100 个子智能体 的智能体集群,并行执行高达 1500 次工具调用端到端运行时间减少最高 4.5 倍,关键路径步骤减少 3-4.5 倍
  • 具备强大的视觉编程能力,可通过图像/视频推理生成代码,实现交互式界面和复杂动画效果;首次支持自主视觉调试,能够视觉化检查自身输出并自主迭代优化,突破传统代码生成的局限
  • 在办公生产力场景表现突出,内部评测显示 AI Office 任务提升 59.3%通用智能体任务提升 24.3%;支持万词长文、百页文档处理,能完成财务建模、LaTeX 公式编辑等专业任务
  • 提供四种使用模式(K2.5 Instant/Thinking/Agent/Agent Swarm),Agent Swarm 模式目前在 Kimi.com 上处于 Beta 阶段,高级付费用户可免费使用;可通过 Kimi 官网、App、API 及全新终端产品 Kimi Code(开源,支持 VSCode、Cursor、Zed 等主流 IDE)接入

I made my own Git

288 pointsLinkComment(124)Share

我自己实现了一个 Git

  • 项目动机:作者曾对版本控制的工作原理一无所知,不了解文件如何存储、diff 如何生成以及 commit 的具体结构。出于对"重新造轮子"的热爱,决定自己实现一个简易版本控制系统。
  • 核心原理:Git 本质是一个内容寻址的文件存储系统(key-value store)。文件经哈希后存储在对象目录中,目录结构通过"树对象"记录,提交对象则包含树哈希、父提交哈希、作者和提交信息,所有对象均以压缩形式持久化。
  • 技术选型:压缩算法选用 zstd 而非 Git 的 zlib(附对比图证明 zstd 在速度和压缩比上更优);哈希算法选用更现代的 SHA-256 而非 Git 的 SHA-1(作者明确表示不 care SHA-1 的密码学漏洞,因为仅用于内容寻址而非安全场景);项目取名"tvc"(Tony's Version Control),作者认为简单且值得信赖。
  • 实现细节:使用 Rust 开发,完整实现包括读取参数与忽略文件、哈希压缩文件、递归生成树对象与提交对象、更新 HEAD 文件及检出提交等功能。代码中未区分 commit author 和 committer(因不计划实现合并与变基);检出功能强制要求传入目标路径参数,以防覆盖现有代码。
  • 设计亮点:未更改的文件因哈希值不变而不会重复存储,实现内容去重。核心难点在于对象格式的解析工作,作者建议未来可使用 YAML 或 JSON 等结构化语言简化存储与解析。
  • 项目成果:完整代码已在 GitHub 开源,该文章曾登上 HackerNews 头版。

Lennart Poettering, Christian Brauner founded a new company

79 pointsLinkComment(67)Share

Amutable:构建Linux系统加密完整性基础

  • 公司使命:向全球Linux工作负载提供可验证的完整性,确保每个系统从验证状态启动并在整个生命周期中保持可信
  • 核心技术:将加密可验证的完整性构建到Linux系统中,覆盖构建、启动和运行时三个层面的完整性保护
  • 创始团队背景
    • Christian Brauner:创始人兼首席技术官,Linux VFS子系统维护者
    • Chris Kühl:创始人兼首席执行官,曾创立Kinvolk后被微软收购
    • Lennart Poettering:创始人兼首席工程师,systemd的创建者和维护者
    • David Strauss:首席产品官,曾是Pantheon的创始人兼首席技术官
  • 创始工程团队:包括Aleksa Sarai、Daan De Meyer、Joaquim Rocha、Kai Lüke、Michael Vogt、Rodrigo Campos Catelin和Zbyszek Jędrzejewski-Szmek等七位创始工程师
  • 公司愿景:提供毫不妥协的完整性保障,打造新的安全基础

OpenSSL: Stack buffer overflow in CMS AuthEnvelopedData parsing

56 pointsLinkComment(29)Share

OpenSSL 安全漏洞公告(2026年1月)

  • 2026年1月27日,OpenSSL项目发布12个安全漏洞公告,影响3.6至1.0.2全系列版本;其中2个高危漏洞均可能导致远程代码执行:CVE-2025-15467源于CMS AuthEnvelopedData解析时AEAD参数中的IV未做边界检查,CVE-2025-11187涉及PKCS#12文件中PBMAC1参数缺失验证导致栈溢出
  • 高危漏洞CVE-2025-15467的利用条件较低:攻击者无需有效密钥即可通过发送特制CMS消息触发栈缓冲区溢出,影响使用AES-GCM等AEAD算法的S/MIME AuthEnvelopedData应用
  • 中危漏洞CVE-2025-11187的实际风险较低,因为PKCS#12文件通常用于存储可信私钥,应用主动解析不可信文件的场景较少;但攻击者仍可通过构造恶意文件导致服务拒绝或潜在的代码执行
  • 本次披露的低危漏洞涵盖多个特定场景:QUIC协议中未知密码套件导致空指针解引用(CVE-2025-15468)、openssl dgst命令对16MB以上文件静默截断(CVE-2025-15469)、TLS 1.3证书压缩可能导致每次连接分配约22MiB内存(CVE-2025-66199)
  • 12个漏洞均由Aisle Research团队发现(主要研究员包括Stanislav Fort、Luigino Camastra等),部分漏洞由OpenSSL开发人员自主修复;所有漏洞均不影响FIPS模块,因为相关代码实现位于FIPS模块边界之外
  • 建议用户立即升级至对应修复版本(3.6.1、3.5.5、3.4.4、3.3.6、3.0.19、1.1.1ze、1.0.2zn)以消除安全风险
← 2026-01-26 2026-01-27 → 2026-01-28