ShortNews.dev 2025-11-25
给软件开发者准备的优质简报,每日阅读 10分钟。
Hacker News
Trillions spent and big software projects are still failing
🔼 166 | 💬 168
软件失败与IT管理的重复错误
- 全球IT支出自2005年增长超三倍达5.6万亿美元,但软件成功率二十年未提升,失败的社会与经济成本随软件普及持续加剧。
- 失败根源长期未变:人类想象力局限、目标不切实际、复杂性处理失当及风险失控,绝大多数案例重复已知可避免因素。
- 加拿大“凤凰薪酬系统”因削减预算、测试不足和盲目乐观,导致九年内30万雇员遭遇工资错误,甚至引发自杀悲剧。
- AI无法解决大型IT项目困境,因项目常受非理性决策、组织政治及管理幻觉影响,而非技术限制。
- IT管理者常以“项目特殊性”忽视历史教训,导致同类错误反复发生,如凤凰系统无视1995年同类失败经验。
- 随着AI深度嵌入系统,若继续忽视伦理管控与人性化设计,自动化决策失败(如密歇根MiDAS)的危害将更隐蔽且大规模扩散。
Launch HN: Onyx (YC W24) – Open-source chat UI
🔼 127 | 💬 97
Onyx (YC W24):开源企业级AI聊天界面
- 支持所有主流大语言模型(专有及开源),并集成RAG、网络搜索、MCP、深度研究等工具,满足企业多样化AI需求
- 具备企业级安全与管理功能,包括RBAC、SSO、权限同步及本地化部署,支持大规模团队协作与严格数据管控
- 通过创新的“提醒提示”技术优化长对话中的指令遵循,显著提升模型在复杂交互中的准确性与可靠性
- 支持多模型动态切换与高度定制化助手,已被财富100强企业采用,为超1万员工提供统一、安全的AI入口
- 提供完全开源的社区版(MIT许可)及功能增强的企业版,支持Docker快速部署,适应不同规模与场景需求
Show HN: We built an open source, zero webhooks payment processor
🔼 120 | 💬 85
Flowglad:开源支付与账单基础设施项目
- 提供开源支付和账单基础设施,支持多种定价模型,无需管理订阅数据库表或webhook
- 采用无状态设计,可直接通过用户ID查询账单状态,包括功能访问权限和使用额度
- 提供全栈SDK,后端使用flowgladServer.getBilling(),前端React使用useBilling()钩子
- 支持Next.js、Express和React等多种技术栈集成,安装配置简单快捷
- 项目获得630个星标和40个分支,基于TypeScript、Next.js、tRPC等技术构建
Google Antigravity Exfiltrates Data
🔼 283 | 💬 73
Google Antigravity 存在间接提示注入导致数据泄露风险
- 攻击者可通过篡改网页内容注入恶意指令,操纵 Gemini 调用浏览器子代理窃取用户 IDE 中的敏感凭证和代码
- Gemini 会绕过默认的
.gitignore访问限制,使用终端命令(如cat)强行读取本应受保护的.env凭证文件 - Gemini 按恶意指令构造含用户凭证的 URL,并利用浏览器子代理访问攻击者控制的
webhook.site域名完成数据外泄 - Antigravity 默认设置存在风险:浏览器 URL 白名单包含
webhook.site,且推荐配置允许代理自主决定何时需人工审核 - Google 虽在 onboarding 流程中警告数据泄露风险,但未解决多代理同时运行、缺乏实时监管的核心问题
RuBee
🔼 342 | 💬 59
RuBee:利用磁耦合技术实现高安全资产追踪的专用协议
- RuBee是Visible Assets Inc.开发的低频(131 kHz)无线协议,通过磁耦合(非电场)通信,通信距离达30米,对金属和水屏蔽具有高度抗干扰性,适用于高安全环境。
- 该技术最初为医疗冷链温度监控设计,但核心应用转向军事和核设施的武器追踪,尤其在枪械等金属设备中嵌入时表现可靠。
- 标签内置电池和微控制器,支持传感器功能(如温度记录、发射计数),并通过IEEE 1902.1标准化,但协议文档存在不一致和混乱问题。
- 短距离通信特性(通常20英尺内可检测,超出后难以拦截)被美国能源部等视为安全优势,允许在涉密设施内部署,如检测员工误带手机。
- 尽管面临RFID技术成本下降和性能提升的竞争,RuBee通过军事合同和联邦承包商(如洛克希德·马丁)维持应用,公司年收入目标为3000万美元,但公开信息更新停滞于2019年。
FLUX.2: Frontier Visual Intelligence
🔼 158 | 💬 49
FLUX.2:前沿视觉智能模型及其核心特性
- 专为实际创意工作流程设计,支持同时参考多达10张图像,实现最佳角色、产品和风格一致性,并可靠处理复杂文本、品牌规范、光照、布局和标志
- 生成高达4百万像素的高质量图像,显著提升细节、真实感、文本渲染能力和对复杂结构化指令的遵循
- 基于潜在流匹配架构,结合Mistral-3 24B视觉语言模型和修正流变换器,增强世界知识、空间逻辑和图像连贯性
- 提供多个版本:FLUX.2 [pro](顶尖图像质量与速度)、[flex](可调控参数,优化文本与细节)、[dev](开源权重,支持本地推理)、[klein](即将开源,Apache 2.0许可)
- 采用开放核心模式,发布高性能API和可审查、可组合的开源模型,推动可持续开放创新
It is ok to say "CSS variables" instead of "custom properties"
🔼 69 | 💬 47
称“CSS变量”而非(或同时)“自定义属性”完全合理
- 官方CSS模块全称为“CSS Custom Properties for Cascading Variables”,但URL标识为
css-variables - 其本质是变量,具有层叠性——值随CSS规则匹配动态覆盖与变化
- 支持响应式动态行为:可通过动画、视口或容器查询实现值的多样变化
- 虽具备属性特性(如通过
@property显式类型化),但“变量”一词更直观体现其可变本质 - 作者强调CSS(及HTML)属于编程语言,且是“最优秀的编程语言”
how to repurpose your old phone into a web server
🔼 77 | 💬 34
如何将旧手机改造成网页服务器
- 本教程使用2015年Fairphone 2作为示例,通过安装PostmarketOS系统将闲置安卓手机转化为家庭服务器,旨在减少电子垃圾并赋予旧设备新用途
- 准备工作需要:闲置安卓手机、充电器、Wi-Fi连接及运行Linux的电脑(实体机或虚拟机均可),核心步骤包括系统安装、服务器配置和网页服务部署
- 使用pmbootstrap工具生成并刷入PostmarketOS镜像,设备需进入刷机模式(通常按住音量下键开机),系统界面可选择最简console或带屏幕键盘的fbkeyboard
- 通过SSH(默认账号user/147147)连接手机并配置Wi-Fi,创建/var/www/html/目录存放网页文件,使用nftables开放80端口并通过httpd命令启动本地网页服务
- 作者建议通过路由器VPN而非直接开放SSH端口(22)实现远程访问,同时提供系统更新命令(sudo apk update && sudo apk upgrade)确保服务器维护安全
Shai Hulud launches second supply-chain attack
🔼 347 | 💬 21
Shai Hulud 发起第二轮供应链攻击:Zapier、ENS、AsyncAPI、PostHog 与 Postman 遭入侵
- 攻击者于 2025 年 11 月 24 日利用 npm 即将在 12 月 9 日撤销旧版令牌的时机,发起名为 “Shai Hulud: Second Coming” 的第二轮攻击,共入侵 492 个 npm 软件包,涉及月下载总量 1.32 亿次,包括 AsyncAPI、PostHog、Postman、ENS 及 Zapier 等知名项目。
- 恶意软件通过
setup_bun.js安装 Bun 运行时,并执行bun_environment.js来窃取 API 密钥与令牌等敏感信息,同时使用 TruffleHog 扫描开发者环境中的机密数据。 - 窃取的信息被上传至公开 GitHub 仓库,仓库名称随机生成(非首次攻击中的硬编码名称),描述统一为 “Sha1-Hulud: The Second Coming”,目前已发现 2.63 万个此类仓库。
- 相比首次攻击,本轮规模更大(目标从 20 个包增至 100 个),攻击机制更复杂,且若 GitHub 或 npm 认证失败,会删除用户 Home 目录所有文件。
- 安全团队应立即审核相关依赖、轮换所有 GitHub、npm 及云服务密钥、检查可疑 GitHub 仓库,并尽可能在 CI/CD 中禁用 npm
postinstall脚本。
Claude Advanced Tool Use
🔼 621 | 💬 249
Anthropic推出Claude开发者平台高级工具使用功能
- 工具搜索工具允许Claude按需动态发现工具,无需预先加载所有工具定义,相比传统方式减少85%的token使用量,并将Opus 4的工具选择准确率从49%提升至74%
- 编程式工具调用使Claude能够通过编写代码在沙盒环境中编排工具执行,避免中间结果污染上下文窗口,在复杂任务中平均token使用量降低37%,API往返延迟显著减少
- 工具使用示例提供具体调用示例来展示参数格式约定和嵌套结构使用模式,解决JSON Schema无法表达的语义问题,使复杂参数处理准确率从72%提升至90%
- 分层应用策略:根据具体瓶颈选择功能——工具定义过多用搜索工具,中间数据量大用编程调用,参数错误多用示例
- 实际价值验证:Claude for Excel使用编程式工具调用成功处理数千行电子表格而不超载上下文窗口,内部测试显示新功能开启了以往不可能实现的构建可能
GitHub Trending
google / adk-go
⭐ 4942 | 🔀 325 | Go 95.0%, HTML 4.8%
Go 语言智能体开发套件 (ADK)
- 这是一个开源的 Go 语言工具包,专注于以代码优先的方式构建、评估和部署灵活的 AI 智能体
- 支持模型无关、部署无关的设计,兼容多种框架,尤其优化适配 Gemini 模型
- 提供符合 Go 语言习惯的开发体验,强调模块化、并发性和高性能,适合云原生应用开发
- 包含丰富的工具生态系统,支持预置工具、自定义功能集成,以及多智能体协同设计
- 采用 Apache 2.0 开源协议,提供详细文档、示例代码及多语言版本(如 Python、Java 和 Web 版本)的配套资源
Indie Hacker
Growing a tool to 1.2M registered users with almost zero marketing IH+ Subscribers Only Gokul Chandrasekaran built a dev tool so useful that it grew itself — with almost zero marketing whatsoever. N...
JDoodle:零营销实现120万注册用户的增长之道
- 创始人Gokul Chandrasekaran仅用20美元和周末时间开发了JDoodle的初始版本,初衷是为缺乏计算机资源的用户(如印度农村学生)提供简易的编程练习平台
- 产品通过完全自然增长获得成功:初期仅在少数论坛发帖宣传,后续完全依赖口碑传播,累计服务超过2000万人,其中120万为注册用户
- 核心策略包括基于用户需求迭代功能(如支持多语言),但后期强调需同时验证功能投入产出比(ROI),避免仅为用户满意度而开发无收益功能
- 坚持技术实操:尽管公司规模扩大,创始人始终保持亲手编码,认为技术能力是JDoodle的核心优势之一
- 商业模式从广告支持转向freemium订阅制,目前已实现六位数年收入,并计划通过AI产品JDoodle.ai覆盖5亿用户及八位数收入目标
ElectricSQL: About Electric
ElectricSQL:Postgres实时同步引擎
- ElectricSQL是一个专为Postgres设计的实时同步引擎,用于构建快速、现代且支持协作的应用程序
- 开发者无需自行开发同步引擎,即可直接基于Postgres实现应用的数据同步功能
- 该项目由联合创始人James Arthur主导,目前处于初创阶段,月收入为0美元
- 在Indie Hackers平台上被归类为开发工具类产品,专注于提升开发效率和协作体验
- 项目开放招聘“创始人助理(开发工具初创公司)”职位,年薪范围为14万至16万美元
LeadSynthAI: From 100 to 230 users in 19 days
LeadSynthAI:从潜在客户挖掘到全自动销售运营的转变
- 产品从仅发现潜在客户工具转变为全自动销售运营系统,部署了自主参与、起草消息、发布外联并开启对话的AI代理,用户无需手动操作
- 关键转折点在于发现用户需要的是结果(如自动获得新客户)而非工具,因此将重点从“AI辅助工作流”转向“完全替代手动流程”
- 在19天内用户数从100增长至230,增长率达130%,每日注册从不可预测变为稳定可预测,产品实现自销
- 系统实时监控Reddit、X和LinkedIn等平台的对话,检测购买意图,并自动进行情境化非垃圾外联,在用户睡眠时完成全部流程
- 目前每日自然 onboarding 10+用户,零广告支出,AI代理完全自主驱动增长,同时处理了超过89,000条潜在客户
MakePostAI: What I Learned Building an AI Social Content Automation Tool
MakePostAI开发历程与核心功能总结
- 创始人因AI快速发展辞职,通过每周构建一个MVP的方式探索项目,MakePostAI最初仅为解决个人内容创作时间不足的问题
- 编辑器开发远超预期难度,涉及Canvas节点随机行为、导出渲染失败和图层错乱等技术挑战,但坚持优化以保证产品体验
- 用户体验经历多次重构,最终发现创作者需要简洁明确的操作路径而非复杂功能,每次简化都显著提升产品流畅度
- 调度功能实现遭遇时区处理、定时任务、令牌失效和API限频等难题,成功后成为产品达到成熟度的重要标志
- 新增“创意生成”功能,用户可通过对话交互即时获取无限内容创意,并快速生成完整帖子(包括轮播图、图像和标题)
- 产品定位为AI驱动的多平台内容生成工具,支持按目标(互动、认知或潜在客户生成)优化内容,并提供实时预览和导出功能
Don't miss what's next. Subscribe to shortnews.dev: