给软件开发者准备的优质简报,每日阅读 10分钟。
Opus 4.7 to 4.6 Inflation is ~45%
Anthropic Opus 4.6与4.7 Token成本社区对比
- 社区数据来源:基于386条匿名用户提交记录的非官方对比项目,展示两款模型在真实场景中的Token消耗差异
- 平均Token增长37%:用户从Opus 4.6升级到4.7后,单次请求的Token消耗平均增加37.0%,成本同步上涨37.0%
- 平均请求规模扩大:平均请求Token数从371个增长至495个,两项指标增幅一致
- 具体涨幅因场景而异:表格中50个最新案例显示,Token涨幅从21.8%到75%不等,复杂请求涨幅通常更高
- 开源匿名提交机制:数据仅存储匿名提交ID,网站声明与Anthropic无关联,提供公开透明的对比平台
- 实际成本示例:996 Token请求在4.7版本中成本从$0.0149升至$0.0209(+39.8%),而43 Token请求则从$0.000645升至$0.000915(+41.9%)
US Bill Mandates On-Device Age Verification
美国《家长决定法》:以儿童保护为名的强制身份识别体系
- 法案(H.R. 8250)于2026年4月由共和党议员戈特海默提出,要求苹果、谷歌及所有操作系统供应商在用户激活任何设备时强制收集出生日期,成年人无豁免选项——这实质上创建了美国首个设备开机的全国性身份证制度
- 法案第2(a)(3)条将苹果和谷歌定位为"年龄经纪人",授权任何应用开发者向操作系统查询用户已验证的年龄,在操作系统层与所有应用之间建立了一条强制数据管道
- 该系统以儿童安全为名,实则在操作系统级别构建了一套内容访问控制基础设施,一旦普及,将动摇匿名获取合法内容的第一修正案权利基础,未来监管机构可将其用于限制新闻报道、政治评论或任何被认定需年龄分级的言论
- 法案未规定数据保留限制、最小化要求或禁止与现有标识符关联,仅将机制设计责任转嫁给联邦贸易委员会在实施后逐步制定,等同于国会在尚未设计出具体方案的情况下授权建立监控系统
- 实施激励指向成本最低的验证方案(面部分析或身份证上传),同时赋予苹果和谷歌对整个应用生态系统的商业支配地位,使隐私导向的新竞争者实质上无法进入市场
- 法案将"操作系统"定义为涵盖电脑、手机、游戏机、智能电视及车载信息娱乐软件等所有通用计算设备,现有设备级家长控制、家长链接等侵入性更小的替代方案被直接跳过
I’m spending months coding the old way
手工编码静修:在AI时代重新理解编程本质
- 作者在AI编程工具被普遍认为已"解决"编程问题的时代背景下,从Aily Labs离职后前往纽约布鲁克林的Recurse Center进行为期6或12周的免费编程静修,通过手工编码深化技术基础
- 他引用Cal Newport的类比:写作需要亲身思考正如运动需要锻炼,手工编写代码的"思维负担"是编程技艺的核心而非应消除的障碍,这种深度思考能为后续使用AI工具提供更强的判断力
- 在Aily Labs两年间观察到:手工编码能同步理解目标内容和代码库结构,而AI编码助手会自动做出假设,导致学习深度不足且难以建立对代码库的全面认知,但AI在快速迭代和作为学习导师方面仍极具价值
- 静修设定了三个核心目标——从头训练LLM(自己编写Transformer实现预训练和后训练)、提高Python手工编码能力(建立减少依赖文档和AI的直觉)、建立完整的计算机系统认知模型
- 已独立完成斯坦福CS336课程第一个50页作业,用Python实现优化分词器和升级版GPT-2架构,在A100 GPU上训练17M参数模型进行参数扫描,后续计划完成全部作业并最终手工后训练自己的模型
- 配对编程是最有效的学习方式,通过观察有10年以上经验的程序员如何快速在终端验证代码,参与Unix/CTF挑战、在Apple IIe上用BASIC编程、参与Clojure工作坊、每周技术演讲等活动,全面加深对计算机系统的理解
Migrating from DigitalOcean to Hetzner
从 DigitalOcean 迁移到 Hetzner:月费从 $1,432 降至 $233,实现零停机
- 成本与硬件全面升级:月费从 $1,432 降至 $233,每年节省约 $14,388;硬件配置反而更强:内存从 192GB 升至 256GB DDR5,CPU 从 32 核虚拟处理器升至 AMD EPYC 9454P(48 核 96 线程),存储从 600GB SSD 加 2TB Block Volume 升级为 2TB NVMe Gen4 RAID1
- 大规模生产环境迁移:涉及 248GB MySQL 数据(30 个数据库)、34 个 Nginx 站点、GitLab EE(42GB 备份)、Neo4j 图数据库(30GB)以及数十万用户的移动应用;同时将操作系统从已停止维护的 CentOS 7 升级至 AlmaLinux 9.7
- 六阶段零停机策略:首先在新服务器完整安装配置所有服务;使用 rsync 克隆 65GB 网站文件(150 万文件);建立 MySQL 主从实时复制;将 DNS TTL 从 3600 秒降至 300 秒以加速切换;将旧服务器 Nginx 转为反向代理确保 DNS 切换期间流量不中断;最后通过 API 批量更新 DNS 记录完成切换
- MySQL 并行迁移方案:使用 mydumper 替代 mysqldump,通过 32 线程并行导出导入,将原本需要数天的迁移压缩至数小时完成;复制过程中遇到 1062 错误(重复键)通过设置
slave_exec_mode = IDEMPOTENT解决;MySQL 从 5.7 升级至 8.0 后查询性能显著提升 - 三项关键故障排除:MySQL 8.0 导入后 sys 库被导入为普通表而非视图导致认证失败,通过删除 sys 库后重新执行升级解决;24 个应用用户持有 SUPER 权限会绕过
read_only设置导致从库异常写入,需批量撤销该权限;GitLab webhook 在迁移后仍指向旧服务器 IP,通过脚本批量更新解决 - 核心经验与脚本资源:MySQL 复制是零停机迁移的基础;所有批量操作必须脚本化以避免 34+ 站点的操作失误;mydumper/myloader 对大数据库迁移性能远优于 mysqldump;作者已将全部 Python 脚本开源至 GitHub 仓库并支持 DRY_RUN 模式预览
The "Passive Income" trap ate a generation of entrepreneurs
"被动收入"陷阱吞噬了一代创业者
- 作者以一个典型案例开场:一位男士在Alibaba以1.2美元进货翡翠滚轮,在Shopify以29.99美元出售,从未使用产品,从未与任何客户交谈,五个月后亏损800美元,却把自己的失败当作发明了轮子一样炫耀
- 2015至2022年间,"被动收入"从一个平淡的财务术语演变成一种救赎叙事——只要你搭建的系统产生的收入超过日常开支,"末日审判"就会到来,人们可以永远逃离朝九晚五的工作
- 真正赚到钱的恰恰是那些出售"被动收入课程"的人——一个自我循环的闭环,一头在特拉华州注册并投放Facebook广告的贪食蛇(ouroboros)
- 这种混淆并非偶然:如果教授真正的商业技能,就必须直面艰难的问题——是否有人真正需要你所售卖的东西;但教授"被动收入流"则可以直接跳到那些刺激的战术技巧
- 被动收入运动彻底摧毁了互联网内容生态:2019至2021年间约70万家新Shopify店铺涌现,90%在第一年倒闭;数十万篇SEO优化的联盟博客充斥着从未被作者触碰过的产品评测,"信息荒漠"由此形成,而AI内容正在以更快、更便宜的方式取代这些毫无人类价值的内容
- 真正创造经济价值的方式从未改变:找到一个真实的问题,为真实的人群真正解决它,持续投入并不断改进——这一切都需要日复一日地对某件具体事务付出热情,根本不存在任何"被动"的可能
"cat readme.txt" is not safe if you use iTerm2
iTerm2终端模拟器安全漏洞:终端输出可触发代码执行
- iTerm2的SSH集成功能存在严重信任验证漏洞:恶意文件通过在终端输出中植入伪造的DCS 2000p钩子和OSC 135响应序列,无需真实的SSH conductor即可欺骗iTerm2执行任意代码
- iTerm2的SSH集成通过"conductor"辅助脚本实现,该协议使用DCS 2000p和OSC 135终端转义序列作为传输机制,所有通信经由PTY进行
- 漏洞根因在于iTerm2未验证终端输出中的SSH conductor协议消息是否来自真实可信的conductor会话,导致恶意文件可冒充远程conductor
- 恶意文件利用iTerm2自身的正常工作流:伪造getshell和pythonversion命令的回复,触发iTerm2自动发送后续的"run"命令请求
- 攻击者精心构造sshargs字段,使得iTerm2生成的base64编码命令末尾128字节块恰好解析为有效的相对路径可执行文件(如ace/c+aliFIo),从而实现代码执行
- 该漏洞于2026年3月30日披露,次日即在commit a9e745993c2e2cbb30b884a16617cd5495899f86中修复,但截至文章发布时稳定版本尚未推送更新
Official Clojure Documentary page with Video, Shownotes, and Links
Clojure 纪录片:一部编程语言的诞生与演进
- 纪录片再现了Rich Hickey在两年休假中诞生的"固执想法"如何演变为支撑全球最大独立数字银行Nubank核心基础设施的编程语言,由Rich Hickey本人及Alex Miller、Stuart Halloway等核心贡献者主演,追溯Clojure的非传统起源、价值驱动型社区及其对软件思维的深远影响
- 理论基础建立在三篇关键研究之上:Ben Moseley等人的《Out of the Tarpit》指出可变状态是软件偶然复杂性的主要根源;Phil Bagwell的Hash Array Mapped Tries(HAMT)研究直接启发了Clojure的持久化数据结构;Tim Harris等人的软件事务内存(STM)论文深刻影响了Clojure的并发模型;Paul Graham的《On Lisp》及其 Essays(如《Beating the Averages》)则为Clojure提供了Lisp传统的思想资源
- Clojure已形成多平台方言生态:运行于JVM的核心版本、编译为JavaScript的ClojureScript、面向.NET的ClojureCLR;超越JVM的扩展包括快速脚本工具Babashka(无需JVM启动)、原生编译的Jank(基于LLVM)、面向Flutter的ClojureDart,以及编译为ES模块的Squint/Cherry等
- 2020年Nubank收购了长期守护Clojure发展的咨询公司Cognitect并接管语言维护;Datomic是由Rich Hickey设计的分布式数据库,基于不可变事实构建;关键入门书籍包括Stuart Halloway的《Programming Clojure》(随Clojure 1.0发布)及Fogus与Houser合著的《The Joy of Clojure》
- 入门路径覆盖多种场景:官方指南提供全平台分步安装视频;Babashka实现无需JVM配置的即时脚本体验;ClojureScript配合Shadow CLJS支持Web开发;libpython-clj允许直接调用Python生态库;Calva插件为VS Code提供交互式REPL、结构化编辑和AI集成
- Rich Hickey的经典演讲构成了理解Clojure设计哲学的核心文献:《Simple Made Easy》(重新定义"简单"与"容易"的区别)、《Are We There Yet?》(剖析编程中的时间模型与状态)、《Hammock Driven Development》(倡导写代码前深度思考)、《The Value of Values》(倡导不可变值优于可变对象);Clojure的核心概念可通过Glossary理解:REPL(交互式求值循环)、持久化数据结构(修改后保留原版本)、STM(软件事务内存,通过事务而非锁协调并发)
Michael Rabin has died
计算机科学家迈克尔·O·拉宾的学术成就
- 1931年生于德国布雷斯劳(今波兰弗罗茨瓦夫),1935年随家人移居巴勒斯坦,2026年4月14日在以色列拉阿纳纳去世,享年94岁;其女儿塔尔·拉宾同样成为杰出计算机科学家
- 1956年在普林斯顿大学师从阿隆佐·丘奇获博士学位,29岁担任希伯来大学数学研究所所长兼副教授,33岁晋升正教授,1975年曾任该校校长
- 1976年与达纳·斯科特共同获得图灵奖,表彰其在1959年发表的论文"有限自动机及其判定问题"中引入非确定性机器概念,该概念现已成为计算复杂性理论的核心基础
- 发明了Miller-Rabin素性测试算法(1975年)、Rabin签名算法(1978年,首个安全性被证明等价于整数分解困难性的非对称密码系统)、以及Rabin-Karp字符串搜索算法(1987年与理查德·卡普合作)
- 1966年独立引入多项式时间概念,1969年引入无限树自动机并证明S2S理论的可判定性,1981年重新发明遗忘传输协议,为安全计算奠定基础
- 获得以色列奖(1995年计算机科学奖)、丹·大卫奖(2010年)、迪杰斯特拉奖(2015年)、巴黎卡奈尔akis理论奖(2003年)等多项大奖,入选美国国家科学院、美国艺术与科学学院、英国皇家学会、法国科学院等顶级学术机构