给软件开发者准备的优质简报,每日阅读 10分钟。
I was interviewed by an AI bot for a job
亲身体验AI面试官:一位求职者的真实经历
- 作者Hayden Field(The Verge资深AI记者)亲自体验了三款AI面试平台,应聘职位包括基于其当前职位设计的模拟岗位和Vox Media的真实职位
- 开发这些AI面试工具的公司包括CodeSignal、Humanly和Eightfold,它们声称可以让企业面试每一位申请人,而非仅筛选少数候选人
- AI工具开发者宣称其系统能通过分析回答内容而非视频线索来减少偏见,但文章指出完全无偏见的AI系统实际上无法实现,因为模型训练数据来自包含各种偏见的互联网内容
- 作者表示始终无法克服面对AI虚拟形象时的"恐怖谷效应",尽管不同平台体验感有所不同,但每次面试后她都更希望与真人交流
- 该视频内容展示了作者使用不同AI面试平台的具体经历,呈现了各平台之间的差异性
The dead Internet is not a theory anymore
互联网已死不再是理论,而是现实
- 作者收到一封求职回复,简历看起来正常且AI检测工具未触发,但回复内容明显是AI生成的模板消息,这使作者意识到"互联网已死"比预期来得更快
- HackerNews因大量低质量和vibe-coded内容涌入,限制新账户的ShowHN发布功能,并明确规定禁止发布AI生成或AI编辑的评论
- 作者重访Reddit上关于自己副项目的旧帖子时,发现机器人正在评论中为SaaS产品进行虚假宣传(astroturfing),这些账户隐藏了评论历史
- LinkedIn上几乎全是AI生成的内容,只有极少数真正有价值的专业动态
- GitHub上AI持续向开源仓库提交无意义的PR,更讽刺的是审阅者也可能是AI
- 作者感叹无法回到过去的互联网时代
Type resolution redesign, with language changes to taste
Zig 2026年开发日志:编译器革新与生态完善
- 类型解析重设计:30,000行PR实现更符合逻辑的内部设计,编译器现仅在类型被初始化时才分析字段,支持类型作为命名空间使用;同时提供详细的依赖循环错误信息,并大幅改进增量编译,消除过度分析问题
- I/O后端实验性引入:io_uring和Grand Central Dispatch两种std.Io.Evented后端现已可用,基于用户态栈切换技术(fibers/green threads),但仍需完善错误处理、解决编译器性能下降问题及增加测试覆盖
- 包管理双轨改进:依赖包存储于项目本地
zig-pkg目录,全球缓存以压缩tarball形式保存;新增--fork标志可覆盖依赖树中的任意包,便于调试和迭代 - Windows API底层化:优先调用ntdll原生API(如ProcessPrng、NtReadFile/NtWriteFile)替代kernel32封装,减少堆分配、降低失败概率并消除不必要开销
- libc迁移为Zig代码:约250个C源文件已删除并替换为Zig标准库包装器,libc与Zig编译单元共享实现冗余消除,未来有望支持对第三方C代码的资源泄露检测
Show HN: s@: decentralized social networking over static sites
s@:基于静态站点的去中心化社交网络协议
- s@(sAT Protocol)是基于静态站点的去中心化社交协议,每个用户拥有自己的静态网站,所有数据存储在加密JSON中,无需任何服务器或中继,数据直接从发布者网站传输到好友浏览器
- 用户身份即域名本身,通过HTTPS/TLS验证身份;协议明确不面向"网红"式传播,必须互相关注才能查看对方帖子,确保纯私密社交体验
- 加密体系:使用X25519密钥对进行身份认证,256位对称内容密钥(XChaCha20-Poly1305)加密帖子内容,每个关注者拥有独立的加密密钥信封(crypto_box_seal),仅互相关注的用户可解密
- 自密钥文件(keys/_self.json)将内容密钥与发布凭据(如GitHub访问令牌)封装为密封盒,仅用户私钥可解密,支持跨设备重新登录
- 帖子以单独加密文件存储,索引文件(posts/index.json)为明文JSON按时间倒序排列,支持客户端懒加载;取关时自动生成新内容密钥并重新加密所有帖子
- 快速入门:Fork卫星仓库→启用GitHub Pages(main分支部署)→访问生成的URL即可使用;若需自定义路径可配置.well-known/satproto.json文件
Kotlin creator's new language: a formal way to talk to LLMs instead of English
CodeSpeak:基于AI的新一代编程语言
- CodeSpeak是由大语言模型驱动的编程语言,通过编写简洁的规格说明(spec)来生成代码,而非直接编写代码,实现"维护规格而非维护代码"的开发范式
- 可将代码库规模缩小5至10倍,案例显示139行代码可缩减为14行规格说明(9.9倍),826行代码缩减为141行(5.9倍)
- 工作流程为:编写规格说明 →
codespeak build自动生成代码 → 规格变更自动转换为代码差异,实现规格与代码的同步 - 支持混合项目模式,部分代码手动编写、部分由规格说明生成,可逐步迁移现有代码库,非破坏性引入
- 面向生产级长期项目和工程师团队,而非原型开发或独立开发者,强调规格可维护性和团队协作沟通
- 当前为Alpha预览版,转换后的代码经过测试验证,案例显示测试通过数均有提升(如yt-dlp项目从1241/1242提升至1278/1279)
How we hacked McKinsey's AI platform
麦肯锡AI平台Lilli安全漏洞事件
- CodeWall公司的自主攻击Agent在2小时内通过无凭证SQL注入漏洞获取了麦肯锡内部AI平台Lilli的完整数据库读写权限——该漏洞存在于一个未受保护的API端点中,攻击者利用JSON键名直接拼接到SQL查询的特点,通过15次盲测迭代从错误信息中逐步提取数据,最终实现生产环境数据访问
- 暴露数据规模巨大:4650万条聊天消息、72.8万份文件(包含19.2万份PDF、9.3万份Excel、9.3万份PPT、5.8万份Word文档)、5.7万个用户账户、38.4万个AI助手、9.4万个工作区
- AI基础设施全面沦陷:攻击者获取了95个跨12种模型类型的AI系统提示词配置、368万个RAG知识库文档块、110万条外部AI API调用记录(含26.6万+个OpenAI向量存储),以及通过SQL注入结合IDOR漏洞实现的跨用户搜索历史访问
- 攻击者可通过同一SQL注入修改存储在同一个数据库中的系统提示词,悄然改变AI行为——提供毒化建议、通过输出窃取数据、移除安全防护机制,且不会留下任何日志痕迹,实现静默持久化
- 此次攻击揭示AI时代新威胁格局:AI Agent可自主援引目标公司的公开漏洞披露政策和平台更新信息来选择攻击目标,无需人工介入即可像真实攻击者一样持续以机器速度进行探测、链接和提权;AI提示词已成为新的"皇冠珠宝"级资产,存储在数据库中却几乎无访问控制或完整性监控
Show HN: OneCLI – Vault for AI Agents in Rust
OneCLI:开源 AI 代理凭证保险库
- 开源网关工具,位于 AI 代理与服务之间,用户在 OneCLI 中存储真实 API 密钥,代理仅使用占位符(如
FAKE_KEY)发起 HTTP 请求 - Rust 网关(端口 10255)拦截出站请求,根据主机和路径模式匹配对应凭证,将占位符替换为真实密钥并解密注入请求头,代理全程不接触真实密钥
- 采用 AES-256-GCM 加密确保密钥安全, secrets 仅在请求时解密;支持主机与路径模式匹配、多代理独立权限控制
- 支持两种认证模式:单用户模式(无需登录)和 Google OAuth 模式;内置嵌入式 PGlite 数据库,无需外部依赖
- 提供 Docker 一键部署,支持本地开发,遵循 Apache-2.0 许可证,GitHub 获 156 个 star