给软件开发者准备的优质简报,每日阅读 10分钟

The West forgot how to make things, now it’s forgetting how to code

1155 pointsLinkComment(827)Share

西方工业化进程中的知识断层

  • "毒刺"导弹重启困境:2023年重启生产线需召回70多岁退休工程师,用卡特政府时期的手绘图纸教年轻人制造导弹;电子元件已过时,探测器组件已停产;2022年5月下单到2026年才能交付,历时四年——并非资金问题,而是掌握制造技术的工人在十年前退休后无人接替
  • 核材料Fogbank的"无意识依赖":该材料由美国发明,1975-1989年生产后停产;政府启动复产项目后发现几乎所有相关人员已退休、离世或离职,记录残缺不全;投入6900万美元、多次失败后终于复产成功,却又发现新批次"太纯"——原工艺依赖一种从未被识别的无意杂质,这是材料功能的关键;连当年的一线工人都不知道自己使用了这一关键依赖,知识从未被任何人完全理解
  • 欧洲弹药产能全面崩溃:欧盟承诺一年内向乌克兰交付100万发炮弹,实际产能仅为声称的三分之一,直到2024年12月才完成;法国2007年停止推进剂生产、德国仅有两天的弹药储备、丹麦Nammo工厂2020年停产后被迫从头重建;整个欧洲大陆的国防产业已优化为生产小批量定制高价产品,无人规划大规模产能
  • 1993年国防整合导致供应链脆弱化:五角大楼强制要求合并,51家主要承包商缩减为5家,技术导弹供应商从13家降至3家,造船商从8家减至2家,从业人员从320万骤降至110万;弹药供应链遍布单点故障——155毫米弹壳仅加州一家厂商生产,恰好位于圣安德烈亚斯断层,加拿大一家工厂负责推进剂装药,整个系统以最小成本优化,零应急余量
  • 软件工程正在重蹈覆辙:Salesforce宣布2025年停止招聘软件工程师,54%的工程负责人认为AI工具将长期减少初级岗位,62%的计算机系报告招生下降;作者公司2253份简历仅录用4人(转化率0.18%),兼具技术判断力与辨别AI错误能力的人才几乎绝迹;代码审查成为瓶颈,AI生成快而人工审查慢的行业困境已显现
  • 知识积累无法压缩,AI加速而非解决危机:潜艇设计10%的技术技能需要十年在职经验,防御行业学徒需二至四年、升任主管需五至八年;软件工程师从初级到高级需五至八年、成为架构师需十年以上,复杂防御系统产能爬坡需五至十年;METR随机对照试验发现,资深开发者使用AI编程工具后实际完成开源任务的时间反而增加19%,而事前预测能快24%,预测与现实的差距达43个百分点;"AI介导能力"正在取代真正的专业技能——能提示AI,却无法指出AI哪里错了

AI should elevate your thinking, not replace it

797 pointsLinkComment(560)Share

AI应提升思维而非取代思维

  • 软件工程领域正在形成两类人的分化:一类利用AI消除重复劳动,将时间投入问题定义、权衡取舍、风险识别等真正重要的领域;另一类则将AI生成的输出当作自己的推理呈现——这是智力依赖被美化为"杠杆"的危险陷阱,用长期能力换取短期表象
  • AI的真正危险不在于让人变得懒惰,而在于让人轻易模拟能力而不构建真正能力——每次用生成内容替代自身理解,都在跳过那些本应锻造判断力的练习
  • 判断力没有捷径:没有任何生成式解释能将真正的掌握转移到你的大脑中,无论如何外包推理,最终都不会因此变强;可以外包的是机械性工作,但无法跳过技能的真正形成过程
  • 工程的核心价值从来不是代码生产,而是判断力——识别隐藏约束、发现团队在解决错误问题、还原模糊争论为清晰权衡、debug真实问题;最优秀的工程师还会创造AI自身难以生成的设计原则、领域理解和决策框架,从而反哺AI系统
  • 职业早期阶段尤为关键,这是形成调试直觉、系统直觉、精确性、品味和怀疑精神等基础技能的时候——这些能力必须通过挣扎、试错和追踪失败根源来锻造,无法绕过
  • 组织同样面临这条分界线:无法区分加速理解的AI使用与模拟理解的AI使用的领导者,可能会因奖励表面流畅而忽视技术深度,最终导致评审变弱、设计讨论变浅、整个知识环境逐渐恶化

GitHub Copilot is moving to usage-based billing

389 pointsLinkComment(305)Share

GitHub Copilot 将转向基于使用量的计费模式

  • 自2026年6月1日起,GitHub Copilot 所有计划将弃用高级请求单位(PRU),改用按 token 消耗计量的 GitHub AI Credits,涵盖输入、输出和缓存 token,按各模型公开 API 费率计算
  • 各计划基础定价保持不变:Pro 为10美元/月、Pro+ 为39美元/月、Business 为19美元/用户/月、Enterprise 为39美元/用户/月
  • 代码补全和 Next Edit 建议继续包含在所有计划中,不消耗 AI Credits;原有的降级体验(fallback)将不再提供,用量完全由可用额度和预算控制决定
  • 个人月付用户自动迁移,Pro 和 Pro+ 分别获得与月费等额的10美元和39美元月度额度;年付用户维持原定价至合同到期(届时将转为 Copilot Free 或转为月付),6月1日后仅模型乘数调整
  • 企业用户在6至8月获得促销额度(Business 每月30美元、Enterprise 每月70美元),并新增跨组织共享额度池以及按企业、成本中心、用户级别设置预算上限的功能
  • 5月初上线预览账单功能,Copilot 代码审查除消耗 AI Credits 外还同时消耗 GitHub Actions 分钟数,按工作流标准费率计费

Pgbackrest is no longer being maintained

366 pointsLinkComment(190)Share

pgBackRest 宣布停止维护

  • 项目创始人经过十三年投入后正式宣布停止维护,因 Crunchy Data 被收购后一直在独自维护项目,虽努力寻找相关职位和赞助支持但未能成功,需转向更广泛的职业机会以维持生计
  • pgBackRest 是可靠、可扩展的 PostgreSQL 备份与恢复解决方案,支持全量、差异、增量备份(文件级和块级),当前稳定版本为 v2.58.0
  • 采用并行处理与高效压缩算法(lz4、zstd)解决性能瓶颈,支持断点续传、Delta 恢复和流式压缩校验和,确保大规模数据库备份的完整性与恢复速度
  • 支持 TLS/SSH 本地或远程操作,具备多存储仓库、并行异步 WAL 归档、S3/Azure/GCS 对象存储、存储库加密、表空间与链接重映射等企业级功能
  • 兼容 PostgreSQL 五个当前支持版本及五个已停止支持版本,当前赞助商为 Supabase,Crunchy Data 和 Resonate 曾为项目提供赞助

Men who stare at walls

328 pointsLinkComment(167)Share

虚焦凝视墙壁:对抗信息过载的专注力训练法

  • 作者从YouTube创作者Simple Lucas的视频中发现这一方法:工作时避免使用屏幕和娱乐,感到精神疲惫时坐下虚焦凝视墙壁来恢复专注力
  • 现代人面临严重的信息过载困境:2008年人均每日接收约34GB信息,年增长率约5.4%,按此推算目前已达约87GB
  • 作者描述了典型的"脑雾循环":睡眠不佳→摄入大量咖啡因→无法专注时听音乐或刷新闻来缓解→因咖啡因和多巴胺刺激熬夜→循环往复,通常在下午1-2点击墙
  • 具体方法:结合外周视觉虚焦凝视墙壁(激活副交感神经系统)和"放空思绪"技巧,每次5-10分钟
  • 这种方法执行难度远超预期——静坐且不思考任何事情其实非常困难,如同锻炼一样让人初期想逃避但完成后会产生满足感
  • 作者亲测后感受到专注力和生产力的显著提升,计划继续坚持这一习惯并观察长期效果

4TB of voice samples just stolen from 40k AI contractors at Mercor

358 pointsLinkComment(133)Share

Mercor数据泄露:4TB语音样本与身份文件被窃,4万名AI合同工面临深度伪造风险

  • 2026年4月4日,勒索组织Lapsus$在暗网泄露站公布Mercor公司数据,泄露量约4TB,涉及超过4万名AI训练合同工的语音样本(每条约2-5分钟录音)及政府签发的身份证件(护照或驾照扫描件),两者存储于同一数据库行中,构成完整语音克隆所需材料
  • 该泄露与以往数据泄露性质不同:此前要么仅窃取呼叫中心录音但无对应身份信息,要么仅泄露证件但无语音数据;而Mercor承包商入职流程同时要求提交证件扫描件、网络摄像头自拍及安静环境录音序列,《华尔街日报》2026年2月报道当前商用工具仅需约15秒干净语音即可完成高质量克隆
  • 攻击者可利用泄露数据实施多种已知的现实威胁:克隆声音配合泄露身份证件绕过银行双因素验证(语音+知识问答);冒充员工致电企业HR或财务部门转账或解锁工作站;香港Arup公司2024年因多人在场深度伪造视频会议损失约2500万美元;Pindrop报告显示2025年针对保险呼叫中心的合成语音攻击同比暴增475%
  • 五名合同工在泄露后十天内提起诉讼,指控Mercor以"训练数据"为名收集语音印记,却未明确告知这是永久性生物特征标识符;FBI数据显示2026年60岁以上受害者因紧急冒充电话诈骗损失达23亿美元
  • 合同工可采取的紧急措施包括:审核并删除公开平台的语音内容、与家属和财务联系人约定从未录音的语音口令、重新在新环境中录制语音以替换各平台语音印记、向银行申请禁用语音验证改用应用令牌或硬件密钥、对可疑音频进行深度伪造检测
  • ORAVYS提供免费服务为Mercor泄露受害者分析前三个可疑样本,法医检测清单包括:编解码器不匹配、呼吸模式异常、毫秒级抖动、声道轨迹异常、房间混响不一致、音调能量方差过窄、语速过于稳定等技术指标

Networking changes coming in macOS 27

140 pointsLinkComment(116)Share

macOS 27 网络变更前瞻

  • Apple罕见地在WWDC前约六周提前预告两项可能影响企业用户的网络变更,且不会追溯既往版本,但企业用户仍有时间评估影响
  • AFP文件共享协议可能在macOS 27中被移除,受影响最大的是仍在使用Time Capsule或不支持SMB3的老旧NAS系统用户;Apple Silicon Mac若升级到macOS 27将无法继续使用AFP进行文件共享和Time Machine备份
  • Apple要求未来macOS中特定服务器连接必须使用TLS 1.2及以上版本(推荐TLS 1.3),并需采用符合ATS标准的密码套件和有效证书,该要求最早可能在下一个主要版本中生效
  • TLS新规主要影响MDM、DDM、自动化设备注册、应用分发安装及Apple软件更新相关的服务器连接,本地内容缓存服务器不受影响
  • 检测合规性需安装Apple提供的网络诊断日志配置文件,使用sysdiagnose收集日志并通过复杂的谓词筛选ATS违规条目,目前macOS没有图形界面工具可完成此操作
  • macOS 27时间线:开发者Beta版6月8日发布,公开Beta版7月8日左右发布,正式版预计9月中旬发布,距今仅五个月

Show HN: OSS Agent I built topped the TerminalBench on Gemini-3-flash-preview

263 pointsLinkComment(99)Share

Dirac:高效低成本的AI编程代理

  • 开源AI编程代理,专注于效率和上下文管理,平均降低API成本64.8%(2.8倍削减),同时生成更高质量的代码,基于Cline项目fork开发
  • 在TerminalBench 2.0排行榜中以65.2%得分登顶,超越Google官方基准(47.6%)和Junie CLI(64.3%),使用gemini-3-flash-preview模型完成评测
  • 评测涵盖8项复杂重构任务(涉及transformers、vscode、django等真实仓库),Dirac全部成功完成,平均成本$0.18/任务,而竞争对手平均$0.49/任务
  • 核心技术包括:哈希锚定编辑(避免传统行号编辑的"翻译丢失"问题)、AST原生操作(支持函数提取和类重构)、多文件批处理(单次LLM往返完成多文件编辑)、高带宽上下文优化
  • 提供VS Code扩展和CLI工具,支持Anthropic、OpenAI、OpenRouter、Gemini等多种AI提供商,支持AGENTS.md自定义行为,但不支持MCP协议
  • 采用Apache-2.0开源许可证,GitHub仓库获524个star和21次fork,由Max Trivedi在Dirac Delta Labs开发

Self-updating screenshots

451 pointsLinkComment(70)Share

自更新截图系统:解决文档维护中的截图困境

  • 作者 James Adam 为 Jelly 应用构建了自更新截图系统,通过在 Markdown 中嵌入 <!-- SCREENSHOT: --> HTML 注释指令,指定目标页面、CSS 选择器及截图参数,实现帮助文档截图的自动化捕获与更新
  • 技术实现基于 Rake 任务驱动无头 Chrome 浏览器,借助 Capybara 和 Cuprite 自动化访问页面并按指令捕获截图,按团队分组登录以优化效率
  • 系统支持三种截图模式:element(指定 DOM 元素)、full_page(整页可裁剪)、viewport(可视区域);另有 click(模拟点击打开弹窗/表单)、wait(等待动画完成)、crop(区域裁剪)、hide(隐藏导航栏、Cookie 弹窗等干扰元素)、torn(撕纸边缘 CSS 裁剪效果)等选项处理复杂场景
  • 运行 rails manual:build 命令即可自动更新所有截图并构建完整帮助页面,源文件位于 public/manual/,处理后输出为 app/views/help/ 下的 ERB 视图,自动生成面包屑导航和章节导航
  • 边缘用例处理(滚动定位、弹窗点击、动画等待、区域裁剪等)花费的时间比主体功能更长,但该系统使代码与文档可在同一 PR 或提交中同步更新
  • 系统大幅降低了文档维护的摩擦成本,截图始终与 UI 保持同步,无需手动打开浏览器和截图工具即可完成文档更新

China blocks Meta's acquisition of AI startup Manus

121 pointsLinkComment(59)Share

中国阻止Meta收购AI初创公司Manus

  • 中国国家发展改革委要求Meta及Manus撤销这笔价值20亿美元的收购交易,称该决定依法作出,已要求相关方撤回交易
  • Manus创立于中国、后迁至新加坡,中国商务部于今年1月启动审查,调查交易是否符合出口管制、技术进出口及海外投资相关法律法规;Meta回应称"完全符合适用法律"
  • 交易引发中美双方同时施压:美国立法者禁止美国投资者直接支持中国AI公司,北京则加大力度阻止中国AI创始人将业务转移海外,"新加坡洗白"模式引发高度关注
  • Manus开发通用AI代理,去年3月推出首款产品,去年12月ARR突破1亿美元,创下全球最快达到该里程碑的初创公司记录,此前还获得美国风投Benchmark领投的7500万美元融资
  • Meta曾表示将把Manus的AI代理技术整合至其消费和企业产品,以加速商业AI创新;APEC官员就此表示"各方应以互利精神行事"

The woes of sanitizing SVGs

126 pointsLinkComment(50)Share

Scratch SVG清理的安全困境

  • Scratch将用户生成的SVG内容直接插入主文档执行,这从根本上导致XSS攻击和HTTP泄露等安全问题持续出现,清理机制本质上是一种注定失败的防御策略
  • 2019年仅用正则移除<script>标签,可被大写<SCRIPT>绕过;2020年改用DOMPurify后仍存在绕过方式(如内联事件处理器);2022年起漏洞类型从XSS转向HTTP泄露,攻击者可通过<image>href属性、CSS @importurl()等途径获取访客IP信息
  • 2026年修复代码已极度复杂却仍有疏漏:CSS转义编码可写出url(...)、style属性中多个url()仅首个被检测、CSS变量中定义的url()通过var()引用时无法识别
  • css-tree解析器与浏览器真实解析器存在差异——2026年Claude发现的CSS嵌套简略语法漏洞中,不以&为前缀的嵌套规则整体被解析为原始文本而绕过清理;src()image()等尚未被主流浏览器实现的CSS新函数也可能成为未来漏洞
  • 利用超长transition动画的全页面样式注入攻击仅需两个看似完全良性的SVG(无JavaScript或外部资源引用),通过强制浏览器重算样式实现对整个页面的攻击(如隐藏举报按钮或伪造钓鱼信息),当前无解决方案
  • TurboWarp的替代方案使用allow-same-origin沙箱iframe配合严格CSP策略(default-src 'none'),将SVG隔离于主文档之外,利用浏览器原生机制防御所有新旧攻击向量,无需持续追踪新的攻击方式
← 2026-04-26 2026-04-27 ...