给软件开发者准备的优质简报,每日阅读 10分钟

Ageless Linux – Software for humans of indeterminate age

785 pointsLinkComment(566)Share

Ageless Linux:基于Debian的公民不服从项目,明确抵制加州年龄验证立法

  • 明确拒绝遵守加州《数字年龄保证法》(AB 1043),该法要求操作系统提供商在账户创建时收集用户年龄,并向应用开发者提供数字年龄信号;项目安装存根API返回零数据,"flagrant模式"则完全不安装任何API
  • 核心论点:法律名义上是儿童安全立法,实则为监管护城河——苹果、谷歌、微软等大公司已有完善账户体系和年龄验证基础设施,合规成本几乎为零;而Debian、Arch、Gentoo等600多个志愿者维护的Linux发行版无力承担合规成本,将被迫停止分发或添加免责声明
  • 借鉴禁酒令的历史教训:AB 1043将教会儿童第一堂法律课是"合规提示是可以绕过的障碍",系统设计使撒谎成为唯一理性选择;项目在IRC客户端中仅放置一句人类可读的诚实建议作为替代方案
  • 安装流程为标准Debian系统加转换脚本,通过修改/etc/os-release使系统自称为Ageless Linux,项目认为此时已满足法律对"操作系统提供商"的定义
  • 从法律文本逻辑推演:由于从未收集年龄数据,无法识别任何"用户"(法律定义仅限儿童),因此不存在"受影响儿童",根据条文计算罚款为7500×0=0美元
  • 计划于2027年在学校STEM展览和图书馆创客空间向儿童直接分发低于15美元的单板计算机(Milk-V Duo S),预装Ageless Linux并明确标注"AB 1043不兼容——无年龄验证",构成物理形式的明确违法实例
  • 公开邀请加州司法部长对其发起诉讼和罚款,旨在通过司法途径迫使法院厘清"操作系统提供商"、"通用计算设备"等法律术语的实际适用范围,挑战选择性执法的合理性

XML is a cheap DSL

262 pointsLinkComment(261)Share

XML是税务软件的廉价DSL

  • IRS税务预扣估算器(TWE)使用XML声明式配置(称为"Fact Graph")来表示美国税法逻辑,而非传统命令式编程语言,这种Declarative模型解决了"根据用户之前答案动态提问"和"中间值保留以供审计"的难题
  • 声明式XML的核心优势在于可追溯审计:可以询问程序"如何得出该数值",而命令式JavaScript执行后中间值被丢弃,无法回溯数百个中间计算步骤,这对复杂税法计算至关重要
  • 相比JSON,XML更适合构建DSL——JSON只有对象一种复杂数据结构,每个子元素必须显式声明类型(如"type":"Expression"),而XML将"类型"直接嵌入标签名(如<Subtract>),更清晰表达嵌套数学表达式
  • XML提供成熟通用的工具生态系统:作者用一行shell命令(xpath + grep + fzf)实现了交互式搜索功能,团队成员也基于XML构建了类似的调试工具,无需修改Scala实现即可快速开发辅助脚本
  • XML作为通用数据格式可转换为任何其他表示形式(Prolog事实、S表达式、KDL等),作者建议大多数场景选择JSON,但需要DSL时XML是最经济的选择,且人类非程序员也能阅读XML

MCP is dead; long live MCP

242 pointsLinkComment(187)Share

MCP已死?MCP万岁!

  • 行业态度在6个月内快速转变:MCP从狂热追捧到被批判,CLI成为新热点,但这是网红驱动的不良炒作周期,缺乏技术深度分析
  • MCP的两种传输模式——stdio本地模式和流式HTTP模式——本质上是不同的用例,前者确实过度,但后者是企业采用AI代理的关键基础设施
  • CLI确实能节省token,但仅对训练数据中已有的工具(如git、curl、jq)有效;自定义CLI需要额外文档说明,与MCP的schema声明本质相同并无显著优势;渐进式上下文加载也并未带来明显收益
  • 企业级MCP的核心优势:集中化OAuth授权和安全管控解决了CLI直接暴露API密钥的问题;标准化遥测数据便于团队了解工具使用效果和故障排查;ephemeral运行时下状态管理可卸载到中央服务器
  • MCP的prompts和resources常被低估——相当于服务端分发的"SKILL.md"和"/docs",可实现跨所有仓库、团队和前端工具的标准化、动态实时的知识传递,支持订阅机制自动推送更新
  • 个人开发与组织级采用有本质区别:团队需考虑可维护性、工程规范和不同技能水平成员的协作,MCP是将"牛仔式vibe coding"转变为"组织级agentic工程"的关键基础设施

Claude March 2026 usage promotion

241 pointsLinkComment(143)Share

Claude 2026年3月使用量促销活动

  • 促销时间为2026年3月13日至3月27日,在此期间工作日非高峰时段(美国东部时间上午8点至下午2点/太平洋时间上午5点至上午11点以外)的5小时使用量翻倍,高峰时段保持不变
  • 适用于Free、Pro、Max和Team计划,Enterprise计划不参与此次促销
  • 双倍使用量覆盖所有Claude产品:网页版、桌面端、移动端、Cowork、Claude Code、Claude for Excel和Claude for PowerPoint
  • 无需任何操作,符合条件的用户自动获得双倍使用量,且额外使用量不计入周使用量限制
  • 促销结束后使用量将于2026年3月27日后恢复至标准限制,此优惠不可转让、不可兑换现金,且不能与其他优惠叠加使用

Glassworm Is Back: A New Wave of Invisible Unicode Attacks Hits Repositories

148 pointsLinkComment(83)Share

Glassworm卷土重来:针对GitHub、npm和VS Code的大规模Unicode隐形攻击

  • Glassworm威胁行为者发动新一波攻击,利用不可见的PUA Unicode字符(变体选择符0xFE00-0xFE0F和0xE0100-0xE01EF)编码在看似空的字符串中,JavaScript运行时解码后通过eval()执行恶意payload
  • 至少151个GitHub仓库被发现包含恶意代码,部分仓库已被删除,攻击活动集中在2026年3月3日至9日;受影响项目包括wasmer-examples/hono-wasmer-starter(8 stars)、pedronauck/reworm(1,460 stars)、anomalyco/opencode-bench等
  • 攻击范围已从GitHub扩展至npm和VS Code市场,新发现的恶意包包括@aifabrix/miso-client、@iflow-mcp/watercrawl-watercrawl-mcp及VS Code扩展quartz.quartz-markdown-editor
  • 恶意代码的植入极其隐蔽,攻击者使用AI生成看似合理的文档更新、版本号升级、小型重构等提交信息,使代码审查难以发现异常
  • 解码后的payload曾通过Solana渠道获取第二阶段脚本,可窃取代币、凭证和密钥;此类不可见威胁无法依赖视觉代码审查或标准linting检测,需使用Aikido等专用检测工具防护

Separating the Wayland compositor and window manager

124 pointsLinkComment(51)Share

River 0.4.0将Wayland合成器与窗口管理器分离

  • River 0.4.0打破传统Wayland单片架构,将窗口管理器分离为独立程序,已有15个窗口管理器兼容river,大幅降低开发门槛
  • river-window-management-v1协议设计确保每帧画面或每次输入事件无需客户端往返通信,不会增加输入延迟,同时通过"管理序列"和"渲染序列"的原子更新实现"帧完美"渲染效果
  • 协议将状态分为窗口管理状态(尺寸、全屏、键盘焦点、快捷键等)和渲染状态(位置、渲染顺序、服务端装饰等),两者由合成器通过状态机协调,窗口管理器仅在状态变化时被唤醒
  • 分离架构使窗口管理器可用高级、垃圾回收语言编写,崩溃不会导致Wayland会话终止,可随时重启或切换窗口管理器
  • 窗口管理器作者可专注窗口管理策略而无需实现完整Wayland合成器,用wlroots编写合成器工作量仍然很大,但用新协议写一个基础可用的窗口管理器已能在周末完成
  • river 0.4.0已足够稳定用于日常使用,协议已冻结不会破坏窗口管理器兼容性,不支持VR等非传统2D桌面用例,1.0.0版本将保持向后兼容

A Visual Introduction to Machine Learning (2015)

272 pointsLinkComment(25)Share

机器学习视觉入门指南

  • 机器学习利用统计学习技术自动识别数据模式,可用于高度准确的预测,文中以区分旧金山和纽约房屋为例说明分类任务
  • 数据集中的维度称为特征预测变量变量,通过添加更多维度(如海拔和每平方英尺价格)可以更准确地区分数据;作者使用的数据集包含7个不同维度
  • 决策树是一种机器学习方法,使用if-then语句(称为分叉点)将数据按某个值分割成两个分支,通过递归在子数据集上重复此过程来添加更多分割点
  • 分叉点的选择存在权衡:过于严格的分割会产生假阴性(将旧金山房屋误判为纽约),过于宽松则产生假阳性(将纽约房屋误判为旧金山),最佳分割应使每个分支的结果尽可能纯净
  • 模型在训练数据上可通过添加更多分支达到高准确率(单层84%,多层96%)甚至100%,但需要用测试数据验证在新数据上的表现;过度拟合是指模型学习了训练数据中的无关细节,下一篇文章将深入探讨

C++26: The Oxford Variadic Comma

58 pointsLinkComment(22)Share

C++26:牛津可变参数逗号

  • C++26 将弃用不带前导逗号的省略号参数(ellipsis parameters),要求写成 (int, ...) 而非 (int...),以提高 C 兼容性并消除与模板参数包的混淆
  • 该提案名称源自英文中的"牛津逗号"(Serial comma),象征着这个变化如同牛津逗号一样为语法列表提供清晰的分隔;C 语言自 C89 起始终要求逗号,而 C++ 为向后兼容保留了两者
  • 核心混淆在于 C++11 引入的模板参数包:template<class Ts> void f(Ts...)Ts 并非参数包,而是单个参数类型后跟省略号参数,需用 template<class... Ts> 才能声明真正的参数包
  • 最极端的语法案例是六个连续的点号 void h(auto......),等同于 (auto..., ...),严重误导读者认为所有点号都作用于 auto
  • 此次为纯弃用(非移除),单独的省略号参数 void f(...) 仍完全合法,现有代码不会变成非良构,但为未来语言特性保留了设计空间,曾有提案 P1219R2 因该语法已被使用而受阻
← 2026-03-14 2026-03-15 ...