给软件开发者准备的优质简报,每日阅读 10分钟。
VS Code inserting 'Co-Authored-by Copilot' into commits regardless of usage
VSCode 默认启用 AI 共同作者功能引发强烈争议
- VSCode Pull Request #310226 将 Git 扩展的
git.addAICoAuthor配置默认值从"off"改为"all",使 AI 生成的代码贡献自动添加 "Co-authored-by: Copilot" 标记 - PR 由 cwebster-99 提交,2026年4月16日由 dmitrivMS 合并至 main 分支,纳入里程碑 1.117.0,共包含2个提交
- 功能存在严重缺陷:即便将
chat.disableAIFeatures设置为 true,Copilot 仍会被标记为共同作者;手动编写的代码也会被添加归属信息 - 用户反馈极其负面,获得 372 个踩和大量批评,多人宣布将迁移至 Zed 等其他编辑器;讨论区最终被微软官方锁定
- 维护者 dmitrivMS 承认这是"回归问题",承诺在 1.119 版本修复,后续修复 PR #313931 于5月3日提交
- Copilot 代码审查曾指出 package.json 的 schema default 与 repository.ts 的 runtime fallback 不同步,后续提交已进行修正
California to begin ticketing driverless cars that violate traffic laws
加州机动车管理局出台新规,对违规自动驾驶车辆制造商实施问责
- 加州机动车管理局(DMV)宣布新规定,将于7月1日起生效,允许警方直接向自动驾驶汽车制造商发出"自动驾驶不合规通知",取代此前无法对无人驾驶车辆开具罚单的困境
- 新规是2024年更广泛立法的一部分,DMV将其称为"全国最全面的自动驾驶法规",加州表示将继续引领自动驾驶技术的开发与推广
- 法规要求自动驾驶公司必须在30秒内响应警方和紧急官员的呼叫,并对车辆进入紧急响应区域的行为设定相应处罚
- 具体案例包括:去年圣布鲁诺市警方目睹Waymo自动驾驶汽车在警车前非法转弯,但因无驾驶员可罚而只能联系公司;同年12月旧金山大停电期间,多辆Waymo汽车熄火停滞于繁忙十字路口,加剧交通拥堵
- 旧金山消防部门也多次投诉自动驾驶出租车妨碍应急响应事件
- Waymo是旧金山湾区及洛杉矶郡的主要自动驾驶出租车运营商,特斯拉等其他公司也在加州持有测试许可
Kimi K2.6 just beat Claude, GPT-5.5, and Gemini in a coding challenge
中国开源模型Kimi K2.6在AI编程挑战中击败西方前沿模型夺冠
- Kimi K2.6来自中国创业公司Moonshot AI,在"宝石文字谜题"(Word Gem Puzzle)编程挑战中以22分(7胜1平0负)夺冠,击败Claude Opus 4.7(第五名,12分)、GPT-5.5(第三名,16分)、Gemini Pro 3.1(第六名,9分)和Grok Expert 4.2(第七名,9分)等西方模型
- 比赛规则要求AI通过滑动相邻字母进入空格来构建有效英文单词,评分机制为7字母以上得(长度-6)分、5字母扣1分、3字母扣3分,旨在防止用"the"、"and"等短词滥报得分
- Kimi采用贪婪滑动策略,当无正向得分移动时按字母顺序滑向第一个合法方向,在30×30大型棋盘上因种子词被彻底打乱而需大量重建单词,最终累计得分77分为赛事最高;MiMo V2-Pro(小米)则采用静态扫描策略寻找现成单词,两种策略仅差2分表明部分差异源于棋盘随机性
- Nvidia的Nemotron Super 3因代码语法错误未能连接游戏服务器,九个模型实际参赛;DeepSeek发送格式错误数据得0分,Muse不理解评分惩罚机制大量申报短词导致-15,309分的灾难性结果
- Kimi K2.6在Artificial Analysis智能指数上得54分,GPT-5.5得60分、Claude得57分,差距已缩小至个位数且Kimi开源权重可免费下载,表明开源模型正快速接近前沿能力水平
A couple million lines of Haskell: Production engineering at Mercury
Mercury生产级Haskell工程实践
- Mercury是一家金融科技公司,拥有约200万行Haskell代码库,2025年处理2480亿美元交易量、6.5亿美元年化收入、服务超30万家企业客户,经历SVB危机期间5天内涌入20亿美元新存款的极端考验,团队主要招聘入职前无Haskell经验的通才工程师,通过6-8周培训项目实现上手
- 可靠性核心是"适应能力"而非避免失败:系统应能优雅降级、运维人员能理解和调整、架构使正确做法容易而错误做法困难;类型系统是记录运维知识的有效工具,能以编译器强制执行的形式保存机构知识,比Wiki更可靠
- 纯函数性是接口强制的边界而非语言固有属性:Haskell内部允许不安全的副作用操作,但通过严格的类型边界(如
runST的rank-2类型)确保泄漏不可能;生产目标不是完全避免变异,而是包含变异、使包含可读、验证包含不被破坏 - 通过不透明数据类型将运维规程编码为唯一可行路径:使用
Transact等不透明类型使"事务与事件必须原子提交"成为唯一入口,类型系统将机构知识转化为编译器强制执行的接口而非依赖文档记忆 - 持久执行框架Temporal与Haskell天然契合:工作流本质是对事件历史的纯函数,副作用隔离在Activities中执行,平台自动处理重试、超时、取消和错误处理,Mercury开源了hs-temporal-sdk
- 可观测性设计优先:采用函数记录模式(如
HttpClient记录)替代具体顶层函数,使调用方能包装、注入、mock任何函数而无需修改库代码;中间件类型支持Semigroup/Monoid实例实现零成本组合,通过mconcat即可合并追踪、超时、日志等多个拦截器 - 类型编码需在严谨与务实间取得平衡:过度编码(cathedral)阻碍重构和新人上手,过度宽松(tent)依赖人员留存;应将防止静默数据损坏的约束编码进类型,其他场景用运行时检查;将复杂类型机制封装在小范围模块内,对外暴露简洁接口
- 招聘Haskell工程师的悖论:需求大于供给反而形成优势,能吸引真正热爱编程的人才;但需警惕理想主义倾向,培养实用主义文化——类型系统是工具而非宗教,生产系统不应追求每处都用新颖机制
AI Self-preferencing in Algorithmic Hiring: Empirical Evidence and Insights
AI自我偏好现象:算法招聘中的实证研究
- 研究采用大规模受控简历对应实验,发现LLMs始终偏好自身生成的简历内容,即便控制内容质量后该偏见依然存在,表明AI系统对自身输出存在系统性偏爱
- 在主要商业和开源模型中,对人类撰写简历的自我偏好偏见高达67%至82%,揭示了当前主流AI评估机制存在的结构性缺陷
- 模拟24个职业的真实招聘流程显示,使用与评估者相同LLM的求职者被选中进入候选名单的概率比提交同等资质人类简历的申请者高出23%至60%
- 商业相关领域(尤其是销售和会计)受此偏见影响最为严重,反映出AI自我偏好对不同行业就业竞争具有差异化冲击
- 针对LLM自我识别能力的简单干预可将该偏见降低超过50%,为缓解AI辅助决策中的系统性不公提供了可行技术路径
- 该研究已获EAAMO 2025和AIES 2025接收,呼吁扩展AI公平框架以涵盖AI-AI交互中的偏见问题
Do_not_track
DO_NOT_TRACK:统一的用户隐私保护环境变量标准
- 问题背景:各类CLI工具、SDK和框架默认收集遥测数据,且各工具的退出方式各异(如
.NET需设置DOTNET_CLI_TELEMETRY_OPTOUT=1,Go需执行go telemetry off命令),用户需逐一处理 - 解决方案:定义统一的
DO_NOT_TRACK=1环境变量,用户只需设置一次即可表达退出所有追踪的意愿 - 涵盖范围:广告追踪、使用报告(含匿名)、遥测数据、崩溃报告,以及软件向开发者或第三方的非必要网络请求
- 配置方法:在相应Shell配置文件中添加导出命令——Bash/Zsh使用
export DO_NOT_TRACK=1,Fish使用set -x DO_NOT_TRACK 1,PowerShell使用$env:DO_NOT_TRACK = "1",Windows CMD通过系统环境变量设置 - 开发者行动项:检测到该变量值为1时应禁用所有追踪功能;可同时保留原有的退出机制作为兼容方案;建议将遥测收集改为 opt-in(默认关闭)模式
- 设计参考:该标准借鉴了
NO_COLOR(禁用彩色输出)和FORCE_COLOR(强制彩色输出)等已广泛采用的环境变量标准的设计思路
This Month in Ladybird – April 2026
Ladybird 浏览器 2026 年 4 月开发进展
- 本月合并 333 个 PR,来自 35 位贡献者(其中 7 人首次提交),新增赞助商包括人权基金会(通过"AI for Individual Rights"项目捐赠 5 万美元)和个人开发者 Jakub Stęplowski(捐赠 1000 美元)
- JavaScript 引擎多项关键优化落地:O(1) 寄存器分配器替代线性扫描(加载 x.com 节省约 800 毫秒)、for-in 迭代缓存使 Speedometer 2 跑分从 67.7 提升至 73.6、零拷贝
TransferArrayBuffer节省 YouTube 加载约 130 毫秒、Promise 解析函数优化消除每个 Promise 的冗余内存分配、属性表跳过非字典形状使 maptiler.com 的 GC 时间减少 1.3 秒 - 样式失效机制大幅优化:Reddit 规则缓存重建从 13.2 秒降至 3.2 秒、无限滚动无效重算减少 11%、Intel ISA PDF 加载中
:has()选择器遍历从 7.1 万次降至 1600 次(节省约 650 毫秒) - 网络层与底层架构升级:DNS 查询改为线程池并行处理并按 RFC 8305 同时发起 A 和 AAAA 请求(解决慢 DNS 下 x.com 加载阻塞问题)、C++ 和 Rust 代码统一使用 mimalloc v2 分配器(JS 基准测试全面提升)、离线程 JavaScript 字节码生成(加载 YouTube 转移约 200 毫秒主线程时间)
- 核心功能与平台完善:内联 PDF 查看器(集成 Mozilla pdf.js)、GTK4/libadwaita Linux 前端正式亮相、地址栏支持历史记录富文本自动补全、实现 Cache/CacheStorage API、每个 iframe 独立光栅化线程(为沙盒化进程隔离做准备)、HTML 解析器支持增量流式处理和推测性资源预取
- 网站适配与测试进展:Reddit 图片轮播和评论链接点击修复、YouTube 字体加载优化(177 个请求降至约 9 个)配合离线程 WOFF2 解压(节省约 170 毫秒)、Web 平台测试分数从 200.35 万提升至 206.73 万(test262 导入贡献约 5.32 万个子测试,整体通过率 97.8%)
Six years perfecting maps on watchOS
watchOS 地图六年磨一剑:Pedometer++ 的设计历程
- 独立开发者 David Smith 热爱荒野探险,热衷于远离人群探索自然,六年间持续打磨 Apple Watch 地图体验,最终在 Pedometer++ 8.0 中实现,被其本人认为是 App Store 中 Apple Watch 上最出色的地图应用
- 早期受限于 watchOS 6 的硬件条件,采用服务器端生成地图的方案,但存在延迟高、无法离线使用等缺陷;2021 年成功开发完全基于 SwiftUI 的原生地图渲染引擎,可渲染任意瓦片地图并叠加位置信息
- 界面设计历经数十种方案迭代,从模态窗口、指标叠加到底部指标栏均无法令人满意,直到与设计师 Rafa Conde 合作,采用指标置于左上角、地图作为垂直堆栈顶层的方案,用户需先点击地图才能进入可交互的浏览模式
- 与专业制图师 Andy Allen 合作定制专属底图 Thunderforest,简化视觉层级、增强对比度和元素饱和度以完美适配 watchOS 26 的 Liquid Glass 玻璃质感效果,并新增深色模式变体,在手臂伸展距离下依然清晰可读
- 选择自研而非使用 MapKit 的原因:MapKit 仅强制深色模式且无法自定义、动画和叠加层配置受限、以及在山地等偏远地区的地图数据远不如 Thunderforest 底图详细(如苏格兰徒步路线的对比所示)
Security through obscurity is not bad
安全通过模糊化并非坏事——而是纵深防御的有效组成
- 文章反驳了"安全通过模糊化是坏的"这一流行观点,核心论点是Kerckhoffs原则的准确表述:仅依赖模糊化是坏的,但将模糊化作为额外安全层是好的,这属于纵深防御策略的一部分
- WordPress实践验证了价值:2015年某插件SQL注入漏洞遭大规模扫描攻击,作者通过将默认表前缀
wp_users改为随机值wp_8df7b8_users,使自动化攻击脚本失效,成功抵御了针对默认表名的批量攻击 - Valve公司的做法印证了行业实践:CSGO的macOS版曾意外泄露完整调试符号,Valve随即重新发布去除符号的版本,说明大厂主动选择剥离调试符号以增加逆向工程难度和保护反作弊逻辑
- 知名企业广泛采用代码混淆:Google reCAPTCHA防止机器人自动化识别、Netflix浏览器端DRM组件保护视频解码逻辑、Riot Games反作弊系统Vanguard的通信层也采用混淆
- AI时代模糊化仍有价值:作者实测用Claude Opus 4.5去模糊化一道CTF挑战题,耗时4.5小时、消耗6100万输入令牌和1100万输出令牌、成本约300美元,证明AI辅助去模糊化仍缓慢且昂贵,模糊化通过增加时间和经济成本提高攻击门槛
How far behind is each major Chromium browser?
Chromium Drift:追踪Chromium浏览器版本滞后风险
- 工具定位:Chromium Drift监测 Brave、Vivaldi、Opera、Edge、Arc、Comet、Dia、ChatGPT Atlas 等主流 Chromium 内核浏览器的版本更新滞后情况,源码和文档托管于 GitHub
- 安全风险成因:浏览器使用旧版 Chromium 内核时,用户会暴露于已知且已在 Chrome 中修复的安全漏洞中
- 攻击利用逻辑:攻击者主动针对这些漏洞,因 Chromium 修复代码已在开源项目中公开,而滞后浏览器尚未推送补丁
- 当前版本状态:以 Chrome Stable 为基准,Brave、Opera、Edge、Arc、Dia、ChatGPT Atlas 均为 147 版本;Vivaldi 为 146;Comet 为 145
- 版本信息来源:各浏览器版本通过公开 API、官方网站或提取安装包(.deb/.dmg/.plist)等方式获取
- 自检入口:用户可访问 chromiumchecker.com 检查自己浏览器的具体 Chromium 版本号
A desktop made for one
为一人打造的桌面:自建软件的可行性证明
- 作者在25年后首次实现几乎所有日常程序均出自自己之手,包括窗口管理器(tile)、状态栏(strip)、终端模拟器(glass)、登录shell(bare)、文件查看器(show)、文本编辑器(scribe)、文件管理器(pointer)、邮件/RSS/聊天聚合工具(kastrup)、日历(tock)、天文面板(astro)和影音追踪器(watchit)等,仅剩WeeChat和Firefox两个外部程序
- 系统采用双层架构:底层CHasm使用纯x86_64汇编语言(无libc依赖),负责像素渲染和键盘输入;上层Fe₂O₃使用Rust语言,基于共享的TUI库crust构建所有应用程序;开发过程中由Claude Code在任务间隙自动执行代码生成和调试
- Vim在72小时内被scribe替代:作者从2001年起深度使用Vim 25年,将其视为"思维的一部分",但scribe在3天内完成开发——它保留modal编辑模式,移除了从未使用的90%功能,新增软换行、阅读模式、AI集成、HyperList语法高亮和跨会话持久寄存器等个性化功能
- 这一转变能够实现的关键在于:Rust语言降低了系统级编程门槛、Claude Code作为AI辅助工具大幅提升开发效率、TUI编程难点已有详尽文档,使"构建自己真正想要的工具"的成本下降多个数量级
- "受众为一人"的设计哲学带来极大自由:无需为不同用户配置灵活性、无需处理不会亲自遇到的边缘情况、无需为不存在的用户编写文档,软件的复杂性来源被剥离——"大量软件复杂性来自迁就非目标用户",剩下的是精简、快速且精准的工具
- 作者明确表示这不是软件推销或求赞,而是想证明:在当前技术环境下,"自建软件"(BYOS)已切实可行,哪怕只替换工作流程中的一个工具,那种完全贴合自己需求的满足感值得一个周末的投入
OpenAI's o1 correctly diagnosed 67% of ER patients vs. 50-55% by triage doctors
哈佛研究表明AI在急诊分诊诊断中显著超越人类医生
- 哈佛研究测试了76名波士顿急诊患者,OpenAI的o1推理模型在相同电子健康记录下诊断准确率达67%,明显优于人类医生的50%至55%;AI优势在需快速决策、信息有限的紧急分诊情况下尤为突出
- 当获得更完整信息时,AI准确率升至82%,人类专家医生为70%至79%,但该差异在统计上不显著;在涉及长期治疗方案(如抗生素疗程或临终关怀计划)的5个临床病例评估中,AI获得89%评分,远超46名使用传统资源的人类医生的34%
- 研究发现仅测试AI处理文本数据的能力,未涵盖观察患者情绪状态和视觉外观等非文本信号;此外,约19%的美国医生已在使用AI辅助诊断,英国16%的医生每日使用、15%每周使用
- 研究人员强调AI不会取代医生,而是代表"深刻的技术变革",未来十年将形成医生-患者-AI三方协作的新护理模式;但目前缺乏AI医疗错误的正式责任框架,且有专家警告医生可能无意识地盲从AI诊断
- 论文发表在《科学》期刊,研究由哈佛医学院AI实验室负责人Arjun Manrai和Beth Israel Deaconess医疗中心医生Adam Rodman主导;专家评价该研究是AI临床推理能力的"真正飞跃",使其成为有价值的第二意见工具