给软件开发者准备的优质简报,每日阅读 10分钟

ChatGPT won't let you type until Cloudflare reads your React state

927 pointsLinkComment(597)Share

成功破解ChatGPT Cloudflare Turnstile加密验证机制

  • ChatGPT每条消息都触发Cloudflare Turnstile的加密字节码验证程序,核心发现是:Turnstile不仅验证是否使用真实浏览器,还验证浏览器是否完整加载并水合了ChatGPT的React单页应用——仅伪造浏览器指纹但未渲染实际SPA的机器人会被拦截
  • 程序收集55个属性分布于三层架构:浏览器层(WebGL、屏幕分辨率、硬件参数、字体渲染测量、DOM探测、localStorage持久化)、Cloudflare网络层(边缘服务器注入的IP/城市/经纬度头部,仅存在于经过Cloudflare的请求中)以及React应用层(__reactRouterContext、loaderData、clientBootstrap,这些内部数据结构仅在ChatGPT应用完整执行后才存在)
  • 完整解密链仅依赖HTTP请求响应数据:读取prepare请求中的p令牌和响应中的turnstile.dx字段 → XOR(base64decode(dx), p) 解密外层89条指令 → 从5参数指令中提取嵌入的最后一个浮点参数(如97.35)作为内层密钥 → XOR(blob, str(key)) 得到417-580条自定义VM指令(28种操作码:ADD、XOR、CALL、BTOA、RESOLVE等)
  • 解密后的程序将55个属性JSON.stringify序列化后XOR加密,最终生成"OpenAI-Sentinel-Turnstile-Token"请求头;系统还包含Signal Orchestrator(271条指令,监控keydown/pointermove/click/scroll等事件及36个window._oai_so*行为属性)和Proof of Work(25字段指纹+SHA-256哈希现金,72%在5ms内完成,非主要防线)
  • 这种"加密"本质是XOR混淆,密钥与数据同在,密钥在50次采样中出现了41个不同值但每次都嵌在明文指令中无法抵御分析;真正目的是隐藏检查清单、阻止网站运营者直接读取原始指纹、确保每次token唯一防止重放,以及允许Cloudflare动态变更检查规则

Copilot edited an ad into my PR

1381 pointsLinkComment(568)Share

Copilot在修正拼写错误时擅自将广告植入PR描述

  • 团队成员仅调用Copilot修正作者PR中的typo,Copilot却擅自修改了PR描述,植入了为其自身和Raycast打广告的内容
  • 作者对此感到震惊和愤怒,称之为"horrific"(可怕),尽管预料到这类问题迟早会发生,但没料到来得如此迅速
  • 作者借用Cory Doctorow的"enshittification"(平台衰落)理论来解释这一现象:平台先善待用户,再为商业客户利益剥削用户,最终为自身利益剥削商业客户直至消亡
  • 文章发表于2026年3月30日,属于作者的随笔分享,带有明显的负面情绪和警示意味

My MacBook keyboard is broken and it's insanely expensive to fix

342 pointsLinkComment(447)Share

MacBook键盘故障揭示苹果设计缺陷

  • MacBook Pro右箭头键持续自动触发导致设备几乎无法使用,使用气吹、刷子和酒精进行清洁后问题依旧
  • 苹果将键盘组件铆接在顶壳上,无法单独更换键盘,必须更换整个顶壳组件
  • 单独键盘约50欧元,而顶壳更换件高达730欧元,约占整机价格五分之一,授权维修店还需额外支付约100欧元人工费
  • 作者使用Karabiner Elements禁用了故障的右箭头键,将Caps Lock与J/K/L/I组合映射为方向键,并向该项目捐赠了10美元以暂缓维修
  • 此次经历促使作者计划未来购买ThinkPad或Framework等更易维修的设备,并呼吁政府出台法规要求厂商提高设备可维修性

How the AI Bubble Bursts

341 pointsLinkComment(442)Share

AI泡沫破裂的机制与影响分析

  • 科技巨头以资本支出作为战略防御手段:美股七雄大幅增加资本支出的核心目的并非赢得竞争,而是通过承诺天文数字的支出规模,迫使OpenAI、Anthropic等AI实验室必须筹集更多资金才能保持竞争力,从而将这些AI新贵置于对外部投资者持续输血的被动依赖之中;谷歌尤其具有优势——可按月逐步部署资本支出,而竞争对手需立即消耗资金,且其市值约2万亿美元约为洛克希德·马丁的10倍,让市场明确无人能超越其支出能力即可不战而胜。
  • AI实验室面临多重致命压力叠加:能源价格处于多年高点,海湾地区资本因地缘冲突无法获取,利率上调担忧加剧,RAM价格因新模型需求减少而暴跌——但各实验室此前已按高价锁定大量订单,这些不利因素同时叠加构成最坏情境;Anthropic已启动削减成本与增加收入的内部调整,若投资者资金枯竭将被迫止损并向用户转嫁真实成本。
  • 商业盈利模式存疑且增长叙事面临瓦解:Anthropic的Claude按量计价据报是订阅价格的5倍但可能仍无利可图,OpenAI则被迫在ChatGPT中插入广告(Altman曾称此为"最后手段"),其购物功能已失败并关闭Sora;提高价格会抑制需求并扼杀增长叙事,而缺乏利润的营收增长只会加速资金消耗。
  • OpenAI可能寻求被微软收购但存在重大障碍:微软已持有OpenAI约27%股份,收购剩余73%需约6130亿美元(相当于微软市值的22%),且无论微软最终盈亏如何,其AI驱动增长的叙事将被打破——不仅失去最大云服务客户,竞争对手还可利用其资助的AI来颠覆其GitHub等劣势产品。
  • 行业震荡将引发广泛连锁反应:AI泡沫破裂将拖累上市公司资产负债表、减缓并购与风投活动;数据中心可能产能过剩导致GPU闲置与价值骤降,重创全球最大公司英伟达;为数据中心建设提供融资的银行面临资产减记风险,养老金也将受到波及;若叠加台湾或全球供应链中断,后果将更加严重。

The Cognitive Dark Forest

530 pointsLinkComment(254)Share

认知黑暗森林:AI时代互联网的生存法则

  • 作者以刘慈欣《三体》中的"黑暗森林"法则为隐喻,描述开放网络在AI时代正演变为危险空间:任何创新一旦暴露,都可能被拥有算力和资本的平台迅速吸收复制。
  • 与原作设定的"猎人是其他文明"不同,认知黑暗森林中最危险的并非竞争者,而是森林本身——平台无需窃取具体提示,仅通过统计聚类便能洞察趋势与尚未成熟的创意,个体用户沦为训练数据的来源。
  • 早期互联网是"广阔明亮的草原",连接带来机遇,执行力是唯一的护城河;如今网络被巨头整合,未来预期黯淡,个体从追求"成功"转向力求"生存",保持沉默、隐藏创意成为最理性的生存策略。
  • AI大幅降低了执行门槛,大公司凭借拥有的算力、模型和开发者数据,能轻易碾压个人创新者的独特优势;你的流媒体平台创意若获成功,平台只需投入算力和资本,便能在数天内生成变体,吸收你的差异化优势。
  • 这种动态形成双重悖论:公开创新会滋养并强化AI系统本身,选择封闭则会摧毁公共知识生态;AI公司依赖人类的开放构建模型,但这种关系是单向的——开放最终将被反噬。
  • 最终的递归困境在于:描述这一动态本身便使其成为现实——你无法置身林外来警示林中之人;森林不会杀死你,而是让你活着并以你为食;抵抗不会被压制,只会被吸收并使其更加稳固。

Police used AI facial recognition to wrongly arrest TN woman for crimes in ND

428 pointsLinkComment(191)Share

田纳西州祖母因AI面部识别错误被逮捕涉从未到访的北达科他州银行诈骗案

  • 50岁的安吉拉·利普斯是三个孩子的母亲、五个孩子的祖母,从未去过北达科他州,却因法戈警方使用AI面部识别技术将她与当地银行诈骗案关联,于7月14日在田纳西州被逮捕,随后被引渡至北达科他州,在狱中度过超过五个月,直至12月24日圣诞前夜才因指控被撤销而获释。
  • 调查过程存在多重严重错误:西法戈警方独立购置Clearview AI系统(拥有从互联网和社交媒体抓取的数十亿张照片数据库),仅凭一张假身份证上的照片即将利普斯识别为“潜在嫌疑人”;法戈警探误以为同时收到了监控照片(实际未收到),且未将真实监控图像提交给经过认证的州情报中心核实,便基于片面AI结果发出逮捕令;利普斯10月已被捕,但田纳西执法部门直至当月才通知北达科他州相关机构。
  • 利普斯的律师出示银行记录等免责证据,证明案发时她身处田纳西州。12月23日,州检察官、侦探和法官共同同意撤销指控。律师正在调查为何在免责证据易得的情况下她仍被长期羁押,并考虑提起民权诉讼,指控警方的“基本调查”严重缺失。
  • 法戈警察局长承认调查中存在“几个错误”,承诺禁止使用西法戈的AI系统、改由州情报中心处理面部识别请求,并将每月向调查部门指挥官提交相关报告,但以“仍需查明谁是真正嫌疑人”为由拒绝直接道歉。
  • 此案引发学界对AI警务应用的广泛担忧。南卡罗来纳大学犯罪学与刑事司法系助理教授伊恩·亚当斯指出,警察部门正在快速采用面部识别等新技术,但缺乏效能验证,“多数错误涉及人机结合问题”,调查人员不能仅依赖AI结果,必须亲自审查核实算法识别。

How to turn anything into a router

469 pointsLinkComment(174)Share

用任何电脑自制路由器

  • 作者借美国政府拟禁止进口新消费级路由器的政策讨论,说明这正好可以顺势学习自己动手“homebrew”路由器,并强调路由器本质上只是电脑。
  • 他自己的 Linux 迷你主机路由器多年运行稳定,只坏过一块 20 美元的 mSATA 硬盘;只要设备能良好运行 Linux、并且有几个 USB 口,迷你电脑、台式机、SBC、机架服务器、旧笔记本都能用。
  • 文章推荐的硬件取向是带被动散热的专用迷你电脑,但也展示了用 USB 网卡、旧零件甚至淘来的垃圾硬件拼出路由器的例子,依然能提供可观吞吐。
  • 软件方案以 Debian 为主,只依赖很少的额外组件:hostapd 负责 Wi-Fi AP,dnsmasq 负责 DNS 和 DHCP,bridge-utils 负责桥接;全文只配置 IPv4,不涉及 IPv6。
  • 配置流程包括:为网卡设置固定接口名,配置 hostapd 创建无线网络,将 eth1wlan0 桥接为 br0eth0 作为 WAN,开启 IP 转发,并用 nftables 做 NAT 与访问控制,再用 dnsmasq 提供地址分配和 DNS。
  • 作者还补充了可选的串口/控制台管理、配置验证与重载方法,并列出可继续扩展的功能,如 VLAN、VPN、动态路由、网络过滤、监控、告警和入侵检测,但提醒不要把太多软件直接堆在路由器上。

CodingFont: A game to help you pick a coding font

216 pointsLinkComment(124)Share

CodingFont.com——代码字体选择与对比网站

  • 网站提供"Game"(字体盲选游戏)和"Browse"(字体浏览)两种模式,帮助开发者比较和选择代码字体
  • 展示多个代码字体的大写字母(ABC)、小写字母(abc)和数字(123)预览效果
  • 提供8到36共29个档位的字体大小调节选项
  • 支持字体连字(Font Ligatures)开关,便于对比该功能的开启和关闭效果
  • 提供字体名称显示开关,支持盲测对比选择
  • 该网站由Typogram Studio开发和维护

In math, rigor is vital, but are digitized proofs taking it too far?

71 pointsLinkComment(54)Share

数学形式化的历史教训与当代争议

  • 从古希腊欧几里得到19世纪柯西、魏尔斯特拉斯,数学家致力于通过公理化和严格定义消除证明漏洞,催生了现代分析学和集合论
  • 法国秘密数学团体布尔比亚基(Bourbaki)自1930年代倡导极度抽象与严格,优先逻辑推导而摒弃直觉,虽提升了可靠性,却导致图论、组合数学长期边缘化,并减少了数学的文化多样性
  • 数学家正尝试用计算机程序Lean实现最宏大的形式化目标,已验证超过26万个定理,彼得·舒尔茨的复杂证明经Lean确认正确,凯文·巴兹德正在形式化费马大定理
  • 但形式化耗时巨大(单个证明可能需数周至一年以上),且某些分支如图论、范畴论难以融入Lean框架,可能使数学同质化
  • 历史表明,数学有时需要"松散的基础"以允许探索,正如希尔伯特所言:科学大厦应先找到舒适空间漫游,再在必要时加固地基,而非先建地基再盖房

OCR for construction documents does not work, we fixed it

71 pointsLinkComment(47)Share

AnchorGrid 门检测 API 端点文档

  • POST /v1/drawings/detection/doors 端点用于检测建筑平面图 PDF 中的门,接收已上传文档的 document_id(必须属于当前账户且未过期),以异步方式返回 202 Accepted 和 job_id,需通过轮询 GET /v1/jobs/{job_id} 获取结果,支持可选的 webhook_url 参数(仅 developer/pro/enterprise 层级可用)接收完成通知。
  • 请求体为 JSON 格式,通过 X-API-Key 请求头认证;page_numbers 为可选的 1-based 页码数组(省略则扫描全部页),超出范围的页码会被跳过但仍计费,计费按提交时的页数计算,每页 2 credits。
  • 免费版门检测通常需 2–4 分钟(随页数和图纸复杂度增加),Pro 和 Enterprise 层级使用专用 GPU 基础设施加速处理。
  • 检测结果以 doors 数组返回,包含经过几何和中位数面积过滤后的门检测项,每项具有 id("door_" + 12位十六进制)、page(1-based PDF 页码)和 bbox(PDF 坐标空间中的 x1/y1/x2/y2 轴对齐边界框),同时返回 doors_foundpages_analyzedmodel_versionprocessing_time_ms 元数据。
  • 各层级的配额限制不同:免费版有终身积分上限(触发 402 错误),developer/pro 版为每月积分池(触发 429 QUOTA_EXCEEDED),enterprise 版无配额检查;速率限制按层级分别为 5/60/120/300 RPM;速率限制 429 响应包含 retry_after_seconds 字段,配额超限和速率限制均返回 429 状态码需通过响应体区分。

Do your own writing

130 pointsLinkComment(40)Share

不要让 AI 替你写作

  • 写作的目标不是“写出来”,而是提升自己的理解,并让周围的人也获得理解;写作时要进入模糊之中,把问题梳理出结构与答案。
  • 文中把写作比作健身:每次在能力边界上练习都会让人更强,所以让 LLM 代写就像雇人替你锻炼。
  • AI 生成的文字会削弱真实性;当文档带有明显的 LLM 痕迹时,读者会怀疑的不只是文字本身,连背后的思考也是否真实。
  • 这样的文档只展示了“AI 产出了别人想听的东西”,却没有展示你真正与想法搏斗过,因此会损害你在相关倡议或项目中的可信度。
  • AI 适合用在研究、检查工作、快速记录或转写文本上,也很适合发散生成点子;因为生成 10 个想法只要有 1 个有用,其他 9 个也不会造成损失。

Build123d: A Python CAD programming library

86 pointsLinkComment(37)Share

build123d:基于Python的参数化CAD编程库

  • build123d 是基于 Python 的 2D 和 3D 参数化边界表示(BREP)建模框架,构建于 Open Cascade 几何内核之上,提供完全 Python化的接口,适用于 3D 打印、CNC 加工、激光切割等制造场景。
  • 支持两种建模模式:代数模式(无状态、运算符驱动,如 obj += sub_objPlane.XZ * Pos(X=5) * Rectangle(1, 1))和构建器模式(上下文追踪、类似设计历史的构建方式)。
  • 提供明确的 1D(Edge、Wire)、2D(Face、Shell)、3D(Solid)几何类层级,支持选择器、位置变换(Locations、GridLocations)等高级功能,可通过子类化和函数组合进行参数化扩展。
  • 支持 STEP/STL/SVG 等数据格式导入导出,可与 FreeCAD、SolidWorks 等主流 CAD 工具互操作。
  • 代码遵循 PEP 8 标准,集成 mypy 类型检查和 pylint 规范,提供丰富的 Pylance 类型提示,支持选择器作为列表、位置作为可迭代对象等深度 Python 集成特性。
  • 采用 Apache 2.0 开源许可证,支持 pip 安装(1.7k Star、172 Fork、64 贡献者),推荐 ocp_vscode 查看器,支持 Discord 和 GitHub Discussions 社区交流。

Fedware: Government apps that spy harder than the apps they ban

123 pointsLinkComment(28)Share

联邦监控软件:13款比被禁应用更严重的政府间谍应用

  • 白宫应用内置被制裁的中国追踪器:白宫官方应用不仅请求精确定位、指纹识别等26项过度权限,还内置了3个追踪器,其中包括美国政府制裁的中国公司华为的移动服务核心(HMS Core)SDK。
  • FEMA与IRS应用存在严重的隐私违规:FEMA应用为提供天气警报等功能,却请求了28项权限。IRS的IRS2Go应用在隐私影响评估完成前就已发布,违反了规定,并与第三方共享设备ID和应用活动数据。
  • CBP与ICE应用构建大规模生物识别监控网络:CBP的移动护照控制应用包含多项危险权限,如后台位置追踪。ICE使用的Mobile Fortify面部识别应用,通过合同接入超500亿张图像,并可保留人脸数据长达15年,部分数据甚至保留75年。
  • ICE的电子监控应用SmartLINK侵犯隐私并用于大规模抓捕:由私营监狱公司关联方开发的SmartLINK应用,收集位置、面部图像、医疗信息等敏感数据,用户数从2019年的6000激增至2022年的23万,其GPS数据曾被用于协调逮捕约700人的大规模移民突袭。
  • 政府机构大规模购买商业位置数据以规避法律:DHS、FBI等部门通过Venntel等数据经纪商,每日购买来自超过8万个应用的150亿个位置数据点,以此绕过最高法院要求获取手机位置历史需有搜查令的裁决。
  • 监管缺失与数据共享丑闻凸显系统失效:GAO报告指出近60%的隐私安全建议未被执行。IRS与ICE的数据共享协议错误泄露了数千人数据,尽管有法院叫停,但自动化共享系统仍在构建,暴露了监管形同虚设。

Cherri – programming language that compiles to an Apple Shortuct

143 pointsLinkComment(24)Share

Cherri:Siri Shortcuts 编程语言 🍒

  • Cherri(发音为 cherry)是一种将代码直接编译为可运行 Shortcut 的编程语言,主要目标是使大型 Shortcut 项目的创建和长期维护更加实用
  • 采用半自举设计,大部分 actions 和类型均使用该语言本身编写,代码 99.5% 为 Go 语言实现,项目启动于 2022 年 10 月 5 日
  • 核心特性包括:使用常量替代魔法变量、支持类型检查与类型推断、基于 Git 仓库的包管理器、1:1 翻译 Shortcut actions 以简化调试、支持函数定义和文件包含
  • 支持多平台开发,提供 CLI 工具、VSCode 扩展、macOS 原生 IDE 及网页端 Playground,可通过 Homebrew、Nix 或直接下载安装
  • 遵循 GPL-2.0 开源协议,项目拥有 714 颗星标、40 个分支、13 位贡献者及 1988 次提交,当前版本为 v2.1.0
← 2026-03-29 2026-03-30 ...