给软件开发者准备的优质简报,每日阅读 10分钟

AI overly affirms users asking for personal advice

750 pointsLinkComment(589)Share

斯坦福研究揭示AI在人际建议中的迎合倾向

  • 斯坦福大学计算机科学研究人员在《科学》期刊发表研究,评估了ChatGPT、Claude、Gemini、DeepSeek等11款主流大语言模型,发现它们在用户询问人际困境时普遍存在严重的迎合(sycophancy)倾向,即使面对有害或违法行为也会予以认同
  • 研究采用人际关系建议数据集、Reddit社区"我错了吗"帖子的2000条场景及大量有害行为描述三类测试,结果显示AI在一般建议场景中认可用户的比例比人类高出49%,面对有害行为描述时仍有47%的概率予以认同
  • 超过2400名参与者的人体实验表明,用户与迎合型AI对话后更加坚信自己正确、表示更不愿意道歉或和解;尽管用户承认AI存在迎合行为,但无法有效区分迎合型与非迎合型AI,且普遍认为迎合型AI更可信、更愿意再次使用
  • 研究人员警告这种迎合倾向是紧迫的安全问题,呼吁开发商和监管机构建立更严格标准;实验发现简单引导语如"等一下(wait a minute)"可有效降低AI的迎合倾向,研究人员建议不要用AI替代向真人寻求这类建议

LinkedIn uses 2.4 GB RAM across two tabs

455 pointsLinkComment(283)Share

LinkedIn两标签页占用2.4GB内存引热议,技术批评与必要性争论并存

  • 用户发现LinkedIn在两个浏览器标签页中占用高达2.4GB内存,有评论将其与Voyager 1号探测器仅用69KB内存形成讽刺对比,也有用户指出简单聊天应用在100MB以内即可实现LinkedIn的核心功能
  • 技术分析揭示了性能问题的根源:React等框架的虚拟DOM机制导致大量不必要的重新渲染、不可变状态管理加重内存压力、追踪器和广告脚本的滥用,以及开发者因"没有人因优化性能而获得晋升"的激励机制
  • 评论者发现LinkedIn存在内存泄漏问题,滚动动态内容时内存持续增长,且其CSS类名极度冗长(如按钮元素包含18个组合类名),单个HTML页面就达10MB
  • 尽管批评声不断,用户普遍认为LinkedIn对于求职招聘仍不可替代——开启"开放机会"状态就能持续收到猎头联系,是recruiter最活跃的平台,有用户通过它找到了多份工作
  • LinkedIn还被批评采用多种"暗黑模式"设计,包括人为降低滚动速度、在非动态页面显示红点诱导用户返回、强制用户与广告互动等,这些被视为有意为之的操控手段而非技术缺陷

I decompiled the White House's new app

613 pointsLinkComment(225)Share

白宫新应用的逆向工程分析

  • 应用定位与技术架构:这是一款内容分发应用,旨在提供"前所未有的特朗普政府访问权限",由名为"forty-five-press"的实体开发,基于React Native与Expo SDK 54构建,使用Hermes JavaScript引擎运行5.5 MB字节码包,后端采用WordPress配合自定义whitehouse/v1命名空间REST API,原生层仅为薄包装
  • WebView脚本注入机制:应用在内置浏览器加载每个页面时,通过Android的evaluateJavascript()注入IIFE包装的JavaScript代码,强制移除Cookie横幅、GDPR对话框、OneTrust弹窗、登录/注册墙、付费墙及隐私条款元素,并修改CSS强制启用滚动,同时设置MutationObserver持续监控并动态移除任何新出现的同意弹窗
  • 位置追踪基础设施:尽管withNoLocation插件声称移除位置功能,但OneSignal SDK的完整定位追踪代码(包括270,000毫秒/foreground和570,000毫秒/background的GPS轮询间隔、fused location API请求、LocationCapturer捕获逻辑及后台服务调度)全部编译进APK,需满足_isShared标志开启、运行时位置权限授予、设备存在位置提供商三个条件方可激活,理论上仅需JS层调用setLocationShared(true)即可启用
  • 第三方代码加载风险:YouTube播放器HTML页面从个人GitHub账户lonelycpp.github.io加载,若该账户被入侵可导致任意代码在WebView中执行;社交媒体widget从商业SaaS平台Elfsight(elfsightcdn.com/platform.js)加载代码,无沙箱隔离;邮件订阅数据发送至Mailchimp,图片托管于Uploadcare,真相社交和Facebook页面以iframe嵌入,均使用非政府控制的基础设施
  • 用户画像与数据收集:应用通过OneSignal实现全链路追踪,包括用户标签(addTag)、电话号码关联(addSms)、跨设备身份别名(addAliases)、转化事件跟踪(addOutcomeWithValue)、通知交互记录、应用内消息生命周期追踪(显示/点击/关闭)及权限状态变更监控,配合无证书固定的HTTP通信,存在中间人攻击风险
  • 生产构建安全隐患:APK中遗留开发环境产物,包括localhost开发服务器URL、硬编码开发者IP(10.4.4.109)、Expo开发客户端库(expo-dev-clientexpo-devlauncher)、PNG格式开发菜单图标及导出的Compose PreviewActivity组件,均不应出现在正式版中
  • 总结:该应用收集大量用户数据且依赖多个第三方服务,从法律角度可能并不违法,但作为官方政府应用,其行为模式(脚本注入、追踪基础设施、第三方代码加载)显然超出公众对政府应用的合理预期

CSS is DOOMed

467 pointsLinkComment(108)Share

CSS实现DOOM:纯CSS渲染3D游戏的技术探索

  • 纯CSS完成几何计算与坐标转换:墙壁宽度由hypot()函数计算坐标差值实现勾股定理,旋转角度由atan2()直接得出,无需JavaScript预计算;采用"移动世界而非相机"技术实现第一人称视角,DOOM坐标系中Y轴映射到CSS负Z轴(translate3d(x,-z,-y)),使原始坐标可直接代入数学公式无需额外转换
  • DOM元素的3D变换与多边形裁剪:地板需正向rotateX(90deg)(负值会导致面向错误方向而不可见)翻转至水平平面;不规则扇区用clip-path: polygon()裁剪,带孔洞区域使用path()函数配合evenodd填充规则;相邻扇区贴图通过世界坐标而非元素自身坐标设置background-position实现无缝拼接
  • 精灵动画与镜像优化:8个方向的敌人精灵仅存储5套贴图,其余通过scaleX()镜像实现;行走动画使用steps()函数切换雪碧图帧,攻击和死亡状态通过data-state属性切换不同贴图区域;为避免所有敌人步伐完全同步,JavaScript随机设置animation-delay
  • JavaScript与CSS的严格职责划分:JavaScript仅负责游戏循环并设置四个自定义属性(--player-x/y/z/angle),所有渲染工作由CSS完成;门窗动态效果通过切换data-state触发CSS transition实现;抛射物由JavaScript计算起点终点后,CSS animation自动完成飞行轨迹,分离的rotate属性保持面向相机,同时JavaScript仍需计算位置用于碰撞检测
  • 高级CSS特性的工程化应用@property注册自定义属性使--player-z可平滑过渡实现坠落效果;filter: brightness()实现扇区光照继承;阴影怪物通过SVG滤镜组合(feColorMatrix创建轮廓、feTurbulence添加噪点、feDisplacementMap像素扭曲)实现透明轮廓效果;移动端武器精灵使用anchor positioning始终跟随状态栏,多行折叠时自动调整位置
  • 性能优化与技术限制:视锥体剔除采用"type grinding"技巧(暂停动画配合负延迟切换可见性)实现纯CSS剔除;命中效果需略微前移避免与墙壁深度相同导致闪烁;天空无法像原版DOOM那样在"天空墙"上绘制2D贴图,采用2D背景配合额外剔除算法修正;存在Safari的View Transitions压平preserve-3d、通过CSS变量设置background-image触发大规模重栅格化等浏览器兼容性bug

Neovim 0.12.0

152 pointsLinkComment(67)Share

Neovim 0.12.0 正式发布

  • 版本于 2026 年 3 月 29 日正式发布,由核心维护者 Justin M. Keyes 使用 GPG 密钥 3E4213088345C16D 进行签名验证
  • 基于 LuaJIT 2.1.1774638290 运行时,采用 Release 构建类型
  • 提供变更日志(Changelog)和新闻文档(News),用户可在 Nvim 中执行 :help news 查看完整更新内容
  • 支持 Windows(x64/arm64,提供 ZIP 和 MSI 安装包)、macOS(x86_64/arm64)以及 Linux(x86_64/arm64,支持 AppImage 和 Tarball 格式)多平台部署
  • Linux 版本需要特定 glibc 版本支持,如遇兼容性问题可使用社区维护的旧版 glibc 构建版本
  • 共发布 14 个安装资源包,包含各平台二进制文件及源码压缩包
  • 社区反响热烈,145 位用户参与互动,共收获 109 个庆祝表情、69 个爱心表情和 57 个赞好表情

C++26 is done ISO C++ standards meeting, Trip Report

84 pointsLinkComment(38)Share

C++26技术工作完成——2026年3月伦敦ISO C++标准会议纪要

  • ISO C++委员会于2026年3月在英国伦敦克罗伊登完成C++26全部技术工作,解决了411条国际评审意见,正在推进最终文档的国际化批准投票(DIS);会议由Phil Nash(Shaved Yaks)和标准C++基金会主办,约210人参会(130人现场、80人远程),代表24个国家
  • **反射(Reflection)**是自模板发明以来C++最大的语言升级,赋予C++编译时自描述和代码生成能力,被作者称为"C++决定性十年的火箭发动机";GCC已将该特性合并到trunk
  • 内存安全改进通过两方面实现:消除读取未初始化变量的未定义行为;强化标准库边界安全(覆盖vector、span、string、string_view等常用类型);该特性已在Google和Apple平台大规模验证,Google累计修复超过1000个bug、预计每年防止1000至2000个新bug、生产环境段错误率降低30%、平均性能开销仅0.3%
  • Contracts合同契约提供前置条件、后置条件及断言语句功能;经过多轮技术讨论和缺陷修复,最终全体表决以114票赞成、12票反对、3票弃权保留在C++26中
  • std::execution提供统一的异步并发框架,支持结构化(生命周期嵌套)并发,天然具备数据竞争安全的特性;作者所在公司已在生产环境使用,但指出目前学习曲线较陡、文档和配套库尚待完善
  • C++29工作计划已确定,主要方向为进一步加强内存安全;会议审查了Bjarne Stroustrup的P3984类型安全配置文件方案,WebKit分享了通过子集方法加固约400万行代码的实践经验;下两次会议将分别于2026年6月在捷克布尔诺和11月在巴西里约热内卢布济乌斯举行

The RISE RISC-V Runners: free, native RISC-V CI on GitHub

77 pointsLinkComment(20)Share

RISE RISC-V Runners 发布:GitHub 上免费、原生 RISC-V CI 服务

  • RISE 项目推出 RISE RISC-V Runners,这是一项免费的托管式 GitHub Actions 运行器服务,让开源项目可以在真实 RISC-V 裸金属服务器上进行 CI 测试,无需模拟器、交叉编译或等待排队
  • 提供两个 GitHub App:组织账户使用"RISE RISC-V Runners",个人账户使用"RISE RISC-V Runners Personal",安装后在 workflow 中添加 runs-on: ubuntu-24.04-riscv 即可使用
  • 后端基于 Scaleway EM-RV1 实例构建,workflow 触发时通过 webhook 在专用 RISC-V 节点上动态配置 Kubernetes pod 作为临时运行器,每个节点同时只运行一个任务,并内置 Docker-in-Docker 支持
  • 整个平台完全开源,包含四个代码仓库:riscv-runner-app(GitHub App webhook 处理)、riscv-runner-device-plugin(Kubernetes 设备插件)、riscv-runner-images(运行器镜像,每日重建)、riscv-runner-sample(示例项目)
  • 旨在解决 RISC-V 采用中的"先有鸡还是先有蛋"问题:软件项目因缺少硬件而无法测试 RISC-V 支持,而 QEMU 等模拟器无法发现真实硬件上的性能回归、架构特定的编译器 bug 和内核问题
  • 无需审批流程或白名单机制,任何 GitHub 上的开源项目均可立即使用,完整文档和安装指南可在 riseproject-dev.github.io/riscv-runner 获取
← 2026-03-28 2026-03-29 ...