给软件开发者准备的优质简报,每日阅读 10分钟。
Trademark violation: Fake Notepad++ for Mac
假冒 Notepad++ macOS 版网站侵权警示
- notepad-plus-plus-mac.org 是假冒网站,声称提供官方 macOS 版 Notepad++,与 Notepad++ 项目毫无关联,未获任何授权、认可或附属关系。
- 该网站未经许可使用 Notepad++ 商标,甚至盗用作者 Don Ho 的姓名和简介来伪装成官方版本,已成功欺骗用户及部分科技媒体。
- Notepad++ 从未发布过 macOS 版本,任何声称 Notepad++ 已登陆 Mac 的说法均为冒用商标的侵权行为。
- 作者已通过 GitHub 联系该假冒网站所有者,截至发稿时尚未收到回复。
- 呼吁用户在 Reddit、Twitter、Mastodon、Discord、StackOverflow 等平台看到相关宣传时,回复澄清这是未经授权的侵权项目,并附上本公告链接。
I am worried about Bun
对 Bun 前景的担忧与转向 pnpm 的理由
- 2025 年 12 月,Anthropic 收购了 Bun,承诺保持 MIT 开源许可证并维持原团队,但作者对 Anthropic 的产品治理态度产生了疑虑。
- Bun 本身仍表现卓越:启动快、内置 TypeScript 支持、提供打包、测试等功能,使开发流程比传统 Node.js 工具链更简洁高效。
- 基于 Bun 的 Claude Code 自 2026 年起质量急剧下滑,出现功能限制、计费混乱等问题,尤其 “OpenClaw” 事件——仅因 Git 提交记录中出现关键词就被拒绝请求或额外收费,暴露出产品层面的退化。
- 作者担心随着 Anthropic 对 Bun 的进一步整合,类似的退化可能波及 Bun 本身,导致其也出现 “enshittification”。
- 为保证日常开发的可靠性,作者在多数项目改用 pnpm 仅作包管理,仍认可 Bun 的技术价值,但不建议他人盲目跟随,同时希望 Bun 能在 Anthropic 的资源支持下继续保持优秀。
US healthcare marketplaces shared citizenship and race data with ad tech giants
美国医疗市场向广告技术巨头泄露公民身份和种族数据
- 彭博社调查显示,美国近20个州政府运营的医疗保险市场与Google、LinkedIn、Meta及Snap等广告技术巨头共享居民申请信息
- 纽约州医疗保险交易所向多家科技公司共享用户是否有被监禁家庭成员等敏感申请信息
- 华盛顿特区医疗保险交易所向TikTok共享了居民的邮箱地址、电话号码、国籍标识符以及性别和种族数据,尽管TikTok像素追踪器对部分种族信息进行了遮盖
- 华盛顿特区已暂停TikTok追踪器部署,弗吉尼亚州发现居民邮编被共享给Meta后已移除其追踪器
- 此类像素追踪器泄露问题并非新现象,此前远程医疗初创公司和蓝盾加州等大型医疗机构均曾因此泄露用户健康数据
- 超过700万美国居民通过州医疗保险交易所购买保险,政府网站使用追踪器可能影响大量人口隐私安全
Securing a DoD Contractor: Finding a Multi-Tenant Authorization Vulnerability
Strix在DoD承包商Schemata平台发现多租户授权漏洞
- Strix(拥有24,000+ GitHub stars的开源AI黑客代理工具)扫描发现,由Andreessen Horowitz投资、持有美国防部合同的AI军事训练平台Schemata存在严重授权漏洞:普通低权限账户即可跨租户访问整个平台数据,包括全部用户姓名、邮箱、注册数据及驻扎基地信息
- 漏洞暴露内容包括:海军维护人员3D虚拟培训课程(含保密标注)、涉及爆炸物安全操作与战术部署的陆军野战手册课程、数百份含机密标记的军事培训手册及AWS S3直链,且存在可修改或删除课程的写入接口
- 披露历时152天:2025年12月2日首次联系时CEO质疑"是否想收费",经多次提醒Schemata最终于2026年5月1日承认漏洞并承诺修复,5月3日公开发布前完成补救
- 该漏洞违反DFARS 252.204-7012及CMMC相关要求,处理受控非机密信息(CUI)的平台在五个月内未修复可能已构成须报告的安全事件,且用户数据匿名化程度极低使美军人员面临定向钓鱼或人肉搜索风险
- Strix提醒开发者:授权是多租户应用的基本安全底线,处理敏感数据的平台必须部署持续自动化安全验证,主动建立漏洞披露渠道,而非依赖善意假设