ShortNews.dev 2025-11-17
给软件开发者准备的优质简报,每日阅读 10分钟。
Hacker News
Open-source Zig book
🔼 684 | 💬 357
Zigbook – 从语法到哲学,重塑编程思维方式
- 学习 Zig 不仅是掌握新语言,更是彻底改变软件开发与设计思维
- 课程共 61 章,以项目为基础,强调实践与动手操作
- 内容完全由人工编写,零 AI 生成,作者为 @zigbook
- 提供交互式终端界面,用户可通过输入命令(如
zig build zigbook)直接开始学习 - 核心标语“你为语法而来,将带着哲学离开”突显从技术细节到编程理念的转变
Show HN: I built a synth for my daughter
🔼 733 | 💬 142
为女儿手工打造便携式步进音序合成器
- 为三岁女儿生日设计触感音乐玩具,四个推子控制循环音符序列,滑动即可实时调整音高,无需持续按压按键
- 集成内置合成器模块、扬声器、多参数控制旋钮,以及带跳舞熊猫动画的OLED屏幕提供视觉反馈
- 从零硬件经验起步,自学Arduino编程、CAD设计、PCB制板与3D打印,最终完成定制电路与外壳
- 经历多次迭代:从面包板原型到手焊版本,再到优化电源管理和屏幕显示延迟的PCB量产版本
- 计划小批量生产并探索开源或众筹,但面临安全认证(如CE/FCC)和注塑模具等高成本量产挑战
Dark Pattern Games
🔼 323 | 💬 125
游戏暗黑模式识别与健康游戏推荐
- 网站致力于帮助用户识别并避免使用心理操控手段的成瘾性游戏暗黑模式
- 明确定义游戏暗黑模式为游戏开发者故意添加、对玩家产生负面体验但有利于开发者的设计元素
- 详细分类四种暗黑模式:时间消耗型、社交利用型、金钱诱导型和心理操控型
- 提供健康游戏推荐列表(如Beholder、DISTRAINT 2等评分5.0的游戏)和暗黑游戏警示列表
- 目前专注于iOS和Android平台游戏评测,邀请用户参与游戏评价以完善数据库
Supercookie: Browser Fingerprinting via Favicon (2021)
🔼 347 | 💬 100
利用网站图标实现浏览器指纹追踪的Supercookie技术
- 通过网站图标(favicon)的缓存机制为访问者分配唯一标识符,该标识符几乎永久存储且用户难以清除
- 追踪方法在浏览器隐私模式下依然有效,不受清除缓存、关闭浏览器、重启系统、使用VPN或安装广告拦截器影响
- 适用于Chrome、Firefox、Safari、Edge等主流桌面和移动浏览器,但Brave最新版本(v1.19.92)已免疫
- 项目仅用于教育和演示目的,旨在提高对利用网站图标进行追踪这一安全问题的关注
- 提供完整技术文档和在线演示,支持通过Docker或本地Node.js环境部署测试
- 防御方法包括手动删除浏览器特定的favicon缓存文件(如Chrome的Favicons文件)
I finally understand Cloudflare Zero Trust tunnels
🔼 292 | 💬 95
Cloudflare Zero Trust隧道核心概念与配置实践
- 隧道(Tunnels):通过
cloudflared在私有网络(如家庭局域网或Kubernetes集群)中部署,作为流量出口,将外部请求路由到内部服务(如本地HTTP服务或SSH服务器),无需公网IP或处理NAT穿透 - 路由(Routes):定义IP流量导向规则(如
192.168.1.3/32或10.128.1.1/24),仅在Warp客户端连接时生效,将指定IP的请求通过隧道转发至目标服务,甚至支持虚拟IP映射 - 目标(Targets):标识需保护的网络资源(IP、主机名或整个网段),用于绑定访问策略(如限制登录方式或邮箱域名),实现精细化权限控制
- 访问策略(Access Policies):基于条件(如邮箱、GitHub认证、Warp连接状态)控制资源访问,支持允许、拒绝、绕过或服务令牌认证,并可区分公开访问与私有网络场景
- Warp客户端集成:通过Zero Trust控制台配置Enrollment策略(如限定GitHub认证的特定邮箱),部署时自动安装CA证书、分配虚拟IP,并依据路由规则转发私有网络请求
Project Gemini
🔼 128 | 💬 85
Gemini协议核心特性
- 一种支持相互链接的电子文本文档库的新型互联网技术,专注于将文档作为核心概念而非边缘案例处理
- 核心理念并非创新或颠覆,而是为认为互联网已被过度干扰的用户提供喘息空间
- 致力于打造轻量级在线空间,让文档保持纯粹文档形态,关注读者隐私、注意力和带宽
- 提供完整的官方资源,包括技术文档、新闻动态、历史记录和已知软件列表
- 所有内容默认采用CC BY-NC-ND 4.0许可证,禁止商业使用和衍生作品创作
WeatherNext 2: Our most advanced weather forecasting model
🔼 106 | 💬 45
WeatherNext 2:谷歌最先进的气象预报模型
- 由Google DeepMind和Google Research联合推出的WeatherNext 2是迄今为止最高效、最先进的天气预报模型,可生成分辨率高达1小时的气象预测
- 该模型能在单块TPU上不到一分钟内生成数百种可能的天气情景,相比传统物理模型极大提升了计算速度
- WeatherNext 2在99.9%的气象变量(如温度、风速、湿度)和预报时效(0-15天)上超越了前代模型
- 采用新型“功能生成网络”(FGN)架构,通过注入噪声生成物理上合理且相互关联的预报结果
- 预报数据已开放于Earth Engine和BigQuery,并可通过Google Cloud Vertex AI早期访问计划获取
FreeMDU: Open-source Miele appliance diagnostic tools
🔼 187 | 💬 44
FreeMDU:美诺家电光学诊断接口的开源通信工具
- 提供开源硬件和软件工具,通过美诺家电的红外光学诊断接口进行通信,作为专有Miele Diagnostic Utility(MDU)软件的免费开源替代方案
- 适用于1996年后生产的大多数美诺设备,光学接口隐藏在前面板指示灯后方,旧款设备标记为”程序校正(PC)”标签
- 项目包含三个核心组件:协议库、终端用户界面诊断工具,以及支持MQTT和Home Assistant集成的通信适配器固件
- 使用前需安装Rust工具链并自建通信适配器,支持设备诊断测试、家庭自动化集成和自定义工具开发三种应用场景
- 属于高度实验性项目,操作不当可能对设备造成永久损坏,且与美诺公司无任何关联
- 通过16位软件ID识别设备兼容性,已确认支持部分型号,新增设备支持方法将后续发布
The fate of "small" open source
🔼 281 | 💬 212
AI时代下“小型”开源库的命运
- 作者开发的
blob-util(处理JavaScript Blob的实用工具库)已有10年历史,每周下载量仍超500万次,但面临AI生成代码的冲击 - 调查显示约80%的开发者日常使用AI编程,类似
blob-util的小型功能库可直接由LLM(如Claude)即时生成,减少对外部依赖的引入 - 作者认为AI编程虽提升效率,但牺牲了教育价值:开源库的文档和设计本意是教会开发者解决问题的方法,而不仅是提供工具
- 小型低价值开源库的时代已结束,因Node.js/浏览器原生功能增强和LLM普及,但复杂、创新或小众领域的开源项目仍不可替代
- 作者鼓励继续探索LLM难以生成的原创性开源项目(如内存泄漏检测工具
fuite),并赞赏人类开发者突破AI局限的创新精神
I have recordings proving Coinbase knew about breach months before disclosure
🔼 646 | 💬 210
Coinbase数据泄露时间线存在严重疑点
- 作者于2025年1月7日遭遇高度精准的网络钓鱼攻击,攻击者不仅掌握其社保号、比特币余额精确数值,还知道账户注册日期、驾照信息等本应只有Coinbase系统内才有的敏感数据
- 作者当天向Coinbase提交了包含完整技术证据的详细报告(邮件头分析、双重DKIM验证、通话录音、诈骗号码等),但除当日收到信任与安全主管“将调查”的回复外,后续四次追问“攻击者如何获知账户数据”均未获答复
- Coinbase四个月后的2025年5月15日才公开披露泄露事件,称系印度外包公司TaskUs员工受贿导致数据被盗,预估财务影响达1.8–4亿美元,超过200名外包员工被解雇
- 攻击手法专业且多层:伪造邮件通过亚马逊SES服务冒充官方发送,使用Google Voice号码呼叫,并在通话后立即实施短信洪水攻击,可能旨在淹没真正的安全警报
- 核心时间线矛盾:作者1月的报告已包含数据遭滥用的确凿证据,但Coinbase声称5月11日(当攻击者勒索2000万美元时)才首次知晓泄露,这四个月空白期引发对用户报告处理及监管披露合规性的严重质疑
Google is killing the open web, part 2
🔼 262 | 💬 206
谷歌正在扼杀开放网络(第二部分)
- 谷歌以安全漏洞为由逐步淘汰浏览器原生XSLT支持,但未修复问题库或升级标准,反而强制开发者改用非标准的JavaScript polyfill方案,且拒绝将其内置以实现平滑过渡
- 此举存在两种可能:polyfill无法完全覆盖XSLT功能而将维护负担转嫁开发者,或是借安全名义故意打击RSS等XML格式以削弱独立网络生态
- 作者呼吁用户拒绝安装polyfill,持续向浏览器厂商反馈要求保留XSLT支持,并强调此决策无技术依据,实为谷歌扼杀开放网络的政治性举措
- 对比Mozilla此前移除RSS支持时未提供官方替代方案,指出企业表面支持开放网络,实则通过功能阉割推行监控资本主义模式
- 批评WHATWG已被企业利益主导,将Web从知识库转变为营利性应用平台,并探讨独立浏览器(如Pale Moon)和替代网络协议(如Gemini)的可行性
- 主张坚持使用XSLT、RSS、JPEG XL等开放技术,将浏览器兼容性问题报告为厂商过错而非内容问题,以抵抗企业垄断
The internet is no longer a safe haven
🔼 243 | 💬 194
AI爬虫泛滥:个人网站主的困境与反抗
- 作者的小型服务器近期再次被爬虫攻击导致瘫痪,这已是多次发生的事件,促使他考虑采用更激进的防御措施如Anubis系统
- 攻击源自Alibaba新加坡主机IP段47.79.0.0/16,通过伪造正常浏览器User-Agent头绕过检测,Fail2ban防御系统不堪重负
- 作者观察到Referer头伪造现象日益严重,包括bioware.com、mcdonalds.com等知名域名被恶意利用来伪造流量来源
- 尽管可以通过屏蔽整个IP段暂时解决问题,但作者认为这种被动防御效率低下且无法阻止来自其他IP段的后续攻击
- 作者表达了对集中化解决方案(如迁移到CloudFlare)的抗拒,认为这违背了软件爱好者的自主精神,但承认可能需要将Gitea迁移至Codeberg
GitHub Trending
google / adk-go
⭐ 3800 | 🔀 222 | Go 95.0%, HTML 4.8%
Go 语言智能体开发套件 (ADK)
- 一个开源的、代码优先的 Go 工具包,用于灵活可控地构建、评估和部署复杂的人工智能智能体
- 采用 Apache 2.0 许可证,支持模型无关和部署无关的设计,兼容多种框架
- 专为云原生智能体应用设计,充分利用 Go 语言的并发和高性能特性
- 提供丰富的工具生态系统,支持预置工具、自定义功能及现有工具集成
- 支持模块化多智能体系统设计,可轻松容器化并部署到云端环境(如 Google Cloud Run)
Indie Hacker
Embeddable - Create stunning widgets and landing pages by chatting with AI
Embeddable:通过AI对话创建精美组件与落地页
- 由Common Ninja开发的AI驱动平台,专为企业、营销机构及市场营销人员设计
- 无需编程或设计技能,用户可通过与AI对话快速生成精美且高性能的组件和落地页
- 整个创建过程仅需几分钟,大幅提升效率
- 用户反馈积极,评价其为“改变游戏规则的工具”,尤其适合AI辅助的UI/UX设计师使用
- 已在Indie Hackers社区引发讨论,获得实际用户的使用认可
Building a successful niche product as a wedge into a bigger market IH+ Subscribers Only Neel Bhattacharya saw an opportunity before AI was ready to handle it. So she waited and, when the tech caught ...
通过小众产品切入更广阔市场的成功策略
- 创始人Neel Bhattacharya基于20年企业营销自动化经验,发现企业因响应速度慢而流失客户的问题,于2023年创建了语音AI应答系统TheSolarAI
- 该系统专为澳大利亚太阳能行业设计,通过语音、短信和邮件多渠道协同,在60秒内响应潜在客户并将其转化为预约,解决企业无法24小时人工接待的痛点
- 产品采用完全按效果付费的定价模式(仅当客户成功预约才收费),虽初期导致现金流紧张,但有效建立了客户信任并验证了市场需求
- TheSolarAI作为垂直领域切入点,月收入超过8000美元,并以此为基础横向扩展至汽车、房地产等行业的通用平台LeadTrackAI
- 增长主要依靠行业关系网和口碑传播,而非营销炒作,强调领域专业知识积累和解决实际工作流程问题比技术本身更重要
Why I Started Building Zeno (and maybe you’ve felt this too?)
为什么我开始开发 Zeno(或许你也有同感?)
- 作者因个人生活信息分散在7个互不关联的应用中(如 Notion 记灵感、Google Keep 存任务、WhatsApp 存随机想法)而频繁丢失内容,意识到核心问题是记忆组织而非缺乏动力
- Zeno 旨在成为统一的“个人记忆伴侣”,支持即时存储任何内容(想法、目标、随机念头)、通过聊天辅助头脑风暴、自动将想法转为任务,并追踪习惯与生活模式
- 它强调信息互联与情景化回溯,允许用户后续查询如发布计划、月度开支、饮食记录等细节,甚至支持记录个人探索使命(如尝试过的食物、待体验菜系)
- 与传统效率工具不同,Zeno 构建可对话的生活档案馆,将想法、任务、习惯、计划、日志与对话全部关联,确保一切内容可追溯且带上下文
- 产品目前处于早期可用阶段,作者邀请受信息碎片化困扰的用户参与内测,并提供了开源链接与使用反馈收集渠道
AI Image Translator: Translate Images with AI
AI图像翻译工具:解决图像内文本本地化难题
- 专为解决图像内文本翻译难题而开发,通过AI自动检测、翻译并重新排版文字,同时最大限度保留原始设计
- 针对当前手动流程(截图、裁剪、翻译、设计修改)效率低下、成本高昂的问题提供一站式自动化解决方案
- 主要服务于个人和小型团队,帮助他们无需设计技能即可快速创建专业的多语言视觉内容
- 目前月收入为100美元,产品仍处于持续开发和优化阶段
- 社区反馈积极,认可其解决实际痛点的价值,同时关注复杂字体、布局处理能力及商业模式可持续性
MagicTraffic: I built an AI engine that turns one blog post into 20+ pieces of content
MagicTraffic:AI驱动的全流程内容自动化增长引擎
- 自动化全流程内容营销:从关键词研究、SEO文章撰写、图像生成到一键发布至WordPress等CMS,并自动转化为多平台社交媒体内容及短视频
- 显著提升内容产出效率:早期用户案例显示,使用后单周内容发布量从3-6篇提升至15-20篇,部分用户以1名兼职员工替代原4人营销团队
- 解决碎片化工具痛点:通过统一平台整合SEO分析、内容创作、发布及数据分析,减少多工具切换导致的时间浪费与质量损耗
- 支持多平台内容适配:自动生成符合LinkedIn、TikTok等不同平台调性的内容,并内置性能跟踪功能(集成Google Search Console与GA)
- 当前月收入为200美元,处于早期验证阶段,创始人积极收集用户反馈并持续迭代功能
Don't miss what's next. Subscribe to shortnews.dev: