Link | Comment

🔼 1615 | 💬 999

苹果因礼品卡问题永久封禁25年资深用户账户，致数字生活全面瘫痪

• 作者作为25年资深苹果用户、多本苹果编程语言技术书籍作者和开发者，因尝试兑换从大型实体零售商购买的500美元礼品卡触发账户永久封禁
• 账户包含数TB家庭照片、完整信息记录和工作资料，导致价值超过3万美元的硬件设备无法同步使用，同时失去数千美元已购软件和媒体
• 苹果客服拒绝提供具体封禁原因，明确表示即使升级至高级客服也无法改变结果，并建议创建新账户（但存在触发二次封禁风险）
• 用户作为开发者会议组织者和长期技术推广者，已通过苹果内部朋友渠道申诉未果，认为这是自动化风控系统的误判
• 尽管提供了礼品卡购买凭证和序列号，苹果仍以”违反媒体服务条款”为由维持封禁，且封锁了所有需要Apple ID登录的官方求助渠道
• 封禁导致无法使用iMessage、iCloud照片同步等核心功能，甚至无法通过安全文件传输系统与苹果沟通

Link | Comment

🔼 321 | 💬 122

Linux沙盒与Fil-C的内存安全协同防护

• 内存安全与沙盒防护是正交概念：程序可仅具备内存安全（如纯Java程序可修改任意用户文件）但无沙盒限制，或仅有沙盒防护（如汇编程序主动撤销权限）但存在内存安全漏洞
• Fil-C作为可运行于系统底层组件（如init、udevd）的内存安全C/C++实现，支持与OpenSSH的Linux沙盒技术（seccomp-BPF、chroot、setrlimit、低权限用户）完整集成
• 通过新增zlock_runtime_threads()接口预先创建并锁定运行时线程，解决Fil-C垃圾回收线程机制与沙盒”禁止新建进程”规则的冲突
• 调整OpenSSH沙盒配置：使用SECCOMP_RET_KILL_PROCESS确保违规时终止所有线程，允许MAP_NORESERVE（Fil-C分配器使用）和sched_yield（锁实现使用）系统调用
• Fil-C通过线程握手机制确保prctl调用（如设置no_new_privs和安装过滤器）应用于所有运行时线程，防止线程级权限绕过，并在存在多用户线程时触发安全错误

Link | Comment

🔼 272 | 💬 107

用24年博客文章训练马尔可夫模型

• 作者分享了仅30行Python代码的极简马尔可夫文本生成器_Mark V. Shaney Junior_，灵感源自1980年代同名程序
• 使用24年博客内容（约200篇文章、20万单词，排除评论数据）训练后，模型生成出看似合理但实际无意义的文本片段
• 默认采用三元组（trigram）模型：以前两个词为键，记录后续词列表，通过随机选择构建文本链，直至无法继续或达到100词限制
• 增加模型阶数（如4阶）可提升文本连贯性，但过高阶数（如5阶）会导致直接复制原文段落，失去生成趣味性
• 与当代大语言模型相比，这种简单马尔可夫模型无法捕捉全局结构或长程依赖，仅依赖局部词频统计，但作为语言模型入门工具具有教育价值

Link | Comment

🔼 130 | 💬 80

Trigger.dev遭受Shai-Hulud供应链攻击的完整复盘

• 攻击始于工程师在开发机上安装含恶意脚本的npm包，导致GitHub凭证被盗，攻击者获得组织访问权限并进行破坏性操作。
• 攻击者进行了长达17小时的侦察，克隆了669个内部仓库，并实时监控了工程师的正常工作活动，最后在10分钟内强制推送了199个分支并关闭了42个拉取请求。
• 公司发布的@trigger.dev/*包和CLI工具未被感染，生产数据库和AWS资源也未遭访问，但内部代码和文档被大量窃取。
• 团队在攻击开始后4分钟内检测并撤销了攻击者访问权限，7小时内通过GitHub事件API和本地记录恢复了所有分支。
• 事后公司全面启用分支保护、禁用npm脚本、升级至pnpm 10，并采用OIDC发布机制，从根本上防御此类攻击。

Link | Comment

🔼 75 | 💬 67

停止抓取HTML，请使用API！

• 作者强烈批评AI数据抓取者滥用暴力方法抓取其网站的HTML内容，认为这暴露了现代人缺乏批判性思维
• 网站已提供完整的WordPress JSON API（/wp-json/），所有页面头部均包含结构化数据链接，可直接获取机器可读内容
• 除标准API外，还支持ActivityPub、oEmbed（JSON/XML）及纯文本格式，通过<link rel=alternate>标签明确标注
• 网站提供符合标准的XML站点地图（/wp-sitemap.xml），方便抓取工具高效发现所有页面而不需扫描HTML
• 作者以OpenBenches项目为例，指出抓取者忽视现成的GeoJSON数据和API，反而低效地批量请求数千HTML页面

Link | Comment

🔼 172 | 💬 62

AI自动化的讽刺与挑战——第二部分

• 工业自动化与AI自动化存在关键差异（如时间压力与后果严重性），但人类在监督AI时仍需在高压下快速决策，错误可能引发重大风险
• 当前AI代理常生成冗长、过度自信的多步计划，使人类难以发现隐藏错误，形成极差的监控用户体验
• 人类操作员需通过定期实操维持技能，但AI追求超高效能可能导致依赖模拟器培训，而模拟器无法覆盖未知或未经历的故障场景
• 培训存在悖论：既要求操作员遵循规程，又需他们在异常情况下智能干预，未来AI越精准，人类干预越罕见却越复杂
• 人类需承担领导型角色，主动指导AI代理（非仅被动监控），这要求全新的沟通与约束设定技能，而非简单优化提示词
• 高度成功的自动化系统反而需要更大量且持续的人类操作员培训投入，形成成本与效率的新矛盾

Link | Comment

🔼 277 | 💬 60

谷歌依据过时法院命令将Sci-Hub域名从美国搜索结果中移除

• 谷歌近期根据2018年的一项法院永久禁令，在美国移除了数十个Sci-Hub新域名，这些域名未出现在原始禁令中但确实与Sci-Hub相关。
• 该禁令源于美国化学学会（ACS）2017年对Sci-Hub的诉讼胜利，法院判决要求搜索引擎、托管服务商等停止为Sci-Hub提供访问便利。
• 禁令签署后多年未强制执行，直到2025年ACS通过英国律所Wiggin LLP向谷歌发出通知，要求移除34个Sci-Hub相关子域名。
• 移除仅限美国地区的谷歌搜索结果，其他国家的用户仍可正常访问这些域名，这是谷歌首次在美国基于“网站屏蔽”式禁令对盗版网站进行全站清理。
• 谷歌的配合行为可能是自愿的，而非法律强制，因为科技公司历来主张中立第三方服务不属于“积极参与”侵权的范畴。

Link | Comment

🔼 579 | 💬 351

欧洲健康数据遭售予美国公司，高管为以色列前情报人员

• 荷兰加密通信公司Zivver被美国Kiteworks收购，其CEO等多名高管为以色列国防军8200部队前成员，该部队以通信监听和加密破解能力闻名
• Zivver服务欧盟和英国政府机构、医院、法院及移民部门，处理包括医疗记录、法律文书在内的高度敏感数据
• 调查显示Zivver网页端发送的信息会以明文形式短暂上传服务器，公司可读取内容，与其“零权限访问”宣传不符
• 数据现受美国法律管辖，美政府可依法要求访问，且特朗普重返白宫后相关法律执行更趋强硬
• 荷兰政府未将收购纳入安全审查，专家批评此举属重大失误，暴露欧洲对数字基础设施缺乏战略管控

Link | Comment

🔼 74 | 💬 58

GraphQL在企业级应用中的现实挑战与局限

• GraphQL旨在解决数据过度获取问题，但企业环境中已有BFF（Backend for Frontend）架构通常通过聚合和裁剪响应解决了这一问题，使得GraphQL的核心优势被削弱
• 实现复杂度显著高于REST：需额外定义模式、类型、解析器和数据源，开发效率降低，且需保持多组件同步，增加了维护负担
• 默认可观测性较差：错误处理语义混乱（如HTTP 200状态码可能包含执行错误），与REST清晰的错误码约定相比，运维调试更困难
• 缓存机制脆弱：Apollo的规范化缓存需手动处理字段差异，而REST的响应级缓存简单稳定，额外数据传输成本远低于复杂性的增加
• 强依赖ID字段与许多企业API不兼容（如无唯一键或ID的接口），需额外生成标识符，反而导致数据过度获取和逻辑冗余
• 不适用于二进制数据处理（如文件上传下载），实际仍需依赖REST端点，无法实现真正的统一API层

Link | Comment

🔼 139 | 💬 30

Hashcards：基于纯文本的间隔重复记忆系统

• Hashcards是一款本地优先的间隔重复应用，使用先进的FSRS算法进行复习调度，与Anki和Mochi功能类似但采用独特设计
• 所有卡片以Markdown文件形式存储（无需数据库），支持基础问答和填空卡片格式，可通过命令行启动本地网页端进行复习
• 纯文本存储带来多重优势：可用任意编辑器修改、支持Git版本控制、可通过脚本批量生成卡片、支持Unix工具查询和操作
• 设计初衷源于对Anki（界面复杂、插件体验差）和Mochi（算法简陋、填空语法冗长）的不满，追求卡片创建零摩擦
• 采用内容寻址机制（文本哈希值标识卡片），复习数据存储在同级SQLite数据库中，确保数据可移植性和透明度

Link | Comment

🔼 264 | 💬 238

告别微服务：从数百个问题服务到一个超级单体

• Twilio Segment最初采用微服务架构处理服务器端目的地，每个目的地有独立服务和队列，以解决头部阻塞问题，但导致运维复杂性爆炸式增长
• 随着目的地数量超过140个，共享库版本分散、测试部署困难，开发效率急剧下降，三名全职工程师大部分时间仅用于维持系统运行
• 团队决定转向单体架构：将所有目的地代码合并至单一代码库，统一依赖版本，并开发流量录制工具（Traffic Recorder）实现毫秒级测试
• 迁移后部署时间从多小时缩短至几分钟，年度共享库改进从32次提升至46次，且混合负载模式使自动扩缩容更稳定
• 单体架构需权衡故障隔离难度、内存缓存效率下降及依赖更新影响，但综合运维收益和开发效率提升显著优于微服务模式

Link | Comment

🔼 283 | 💬 129

寻回安东尼·波登遗失的Li.st清单

• 作者借助Common Crawl公共网络爬虫档案，成功恢复了安东尼·波登在Li.st平台上遗失的几乎全部文字内容，仅一页未能找回
• 复原的清单内容广泛，涵盖波登的个人厌恶、钟爱酒店、理想电视节目、美食渴望、随机观察和纽约三明治推荐等多个主题
• 所有原始图片均已丢失，因相关时期的云端存储完全失效，但文字内容严格保留波登特有的标点、语法和表达风格
• 作者将代码和复原结果开源至GitHub，旨在鼓励公众参与并共同保存这类数字文化遗产
• 此次尝试证明了利用公开网络档案进行数字考古的可行性，但图像恢复仍面临不可逾越的技术障碍

Link

⭐ 52981 | 🔀 6757 | Rust 97.6%, Python 1.0%

OpenAI Codex CLI 本地编程助手安装与使用指南

• 提供两种主要安装方式：通过 npm 全局安装 (npm i -g @openai/codex) 或使用 Homebrew 安装 (brew install --cask codex)，安装后运行 codex 命令即可启动
• 支持使用 ChatGPT 账户登录（推荐），适用于 Plus/Pro/Team/Edu/Enterprise 套餐用户，也可配置 OpenAI API 密钥（需额外设置）
• 可访问 Model Context Protocol (MCP) 服务器，通过 ~/.codex/config.toml 配置文件进行丰富定制
• 提供 Execpolicy 功能管理可执行命令规则，支持沙箱安全机制和 GitHub Release 平台特定二进制文件下载
• 包含完整文档体系：快速入门、配置指南、身份验证、高级功能及常见问题解答，支持 GitHub Action 和 TypeScript SDK 自动化集成

Link

⭐ 2460 | 🔀 229 | Python 100.0%

Tinker Cookbook：语言模型定制化工具与示例库

• Tinker 提供两个核心库：tinker 是面向研究者和开发者的训练 SDK，通过 API 请求处理分布式训练的复杂性；tinker-cookbook 则基于 Tinker API 提供实际微调示例和通用抽象
• 安装流程包括：通过等待列表注册、在控制台创建 API 密钥并导出环境变量、使用 pip 安装 tinker 客户端，并推荐在虚拟环境中安装 tinker-cookbook
• Tinker 核心功能包括 LoRA 训练客户端（支持前向传播、优化步进、状态保存/加载）和采样客户端，同时支持通过 REST 客户端下载模型权重
• Tinker Cookbook 包含六大高级示例：对话监督学习、数学推理强化学习、三阶段偏好学习（RLHF）、工具使用优化、提示词蒸馏以及多智能体对抗训练
• 项目采用开源协作模式，欢迎社区贡献（需等待私有测试结束），并提供完整的学术引用格式（BibTeX 和文本格式）

Link

⭐ 42712 | 🔀 7603 | Python 58.1%, TypeScript 37.7%, Shell 1.8%, Batchfile 1.6%

AI驱动的对冲基金概念验证项目

• 这是一个仅供教育研究用途的概念验证项目，旨在探索利用AI进行交易决策，明确不涉及真实交易或投资
• 系统整合了18个专业代理，包含12位知名投资策略的数字化版本（如Aswath Damodaran估值分析、Ben Graham价值投资）和6个核心功能模块（估值、情绪、基本面、技术指标、风险管理和组合决策）
• 支持命令行和网页应用两种运行方式，可通过指定股票代码、时间周期及使用本地LLM模式进行操作
• 项目要求用户必须设置至少一个LLM API密钥，并提供免费的基础金融数据（AAPL等5只股票），其他股票需额外API密钥
• 包含完整的免责声明：不提供投资建议、不承担财务损失、过往表现不预示未来结果，使用者需同意仅作学习用途
• 项目采用MIT开源协议，欢迎通过标准化流程提交功能请求和代码贡献

Link

⭐ 9963 | 🔀 22985 | Markdown 99.9%

MDN Web Docs：开源Web技术文档与协作平台

• MDN Web Docs 是一个开源协作项目，致力于记录CSS、HTML、JavaScript及Web API等Web技术
• 项目使命是为更好的互联网提供蓝图，赋能新一代开发者和内容创作者进行建设
• 自2005年以来，约45,000名贡献者共同创建了超过45,000份文档，形成全面且免费的开发者资源
• 除英文内容外，超过35名志愿者负责中文、法语、日语、韩语、葡萄牙语、俄语和西班牙语的翻译和本地化工作
• 社区鼓励通过内容贡献、工程开发或翻译工作参与协作，需遵守行为准则和社区参与指南
• 本地开发需安装Node.js和npm，通过npm start可在localhost:5042端口预览实时效果

Link

⭐ 7803 | 🔀 285 | Rust 88.2%, Shell 11.5%

Paru：功能丰富的Arch用户仓库（AUR）辅助工具

• Paru是基于pacman封装的AUR辅助工具，提供丰富的功能且交互简洁，支持交互式搜索和安装
• 提供三个版本：paru、paru-bin和paru-git，用户可通过AUR安装
• 通过paru.conf配置文件可自定义多项功能，包括颜色显示、文件管理式审查、倒序搜索等
• 支持PKGBUILD编辑与永久保存、-git包更新跟踪，并提供开发数据库生成命令（paru –gendb）
• 包含多种实用命令，如安装特定包、升级AUR包、查询可用更新及下载PKGBUILD文件等

Link

⭐ 5176 | 🔀 1334 | Python 100.0%

CUPP - 常见用户密码分析器

• 通过交互式提问或分析现有字典，生成基于用户个人信息（如生日、昵称、宠物名）的弱密码列表
• 适用于合法的渗透测试和法证犯罪调查，评估密码强度并防范密码猜测攻击
• 需要 Python 3 运行，支持从 Alecto 数据库解析默认凭据，并可下载大型词库
• 提供多种选项：交互模式(-i)、词库分析(-w)、下载词表(-l)和版本信息(-v)
• 遵循 GNU 通用公共许可证，由 Muris Kurgas 原创并由多位贡献者在 GitHub 持续维护

Link

⭐ 37215 | 🔀 2785 | TypeScript 47.7%, MDX 22.9%, Go 15.4%, Python 9.8%, JavaScript 1.4%

Daytona：AI生成代码的安全弹性运行基础设施

• 专为执行AI生成代码设计，提供完全隔离的运行环境，确保基础设施零风险
• 实现极速沙箱创建，从代码到执行的全过程耗时低于90毫秒
• 即将推出沙箱文件系统和内存状态fork功能，支持大规模并发AI工作流
• 提供完整的程序化控制API，包括文件、Git、LSP和执行操作接口
• 完全兼容OCI/Docker镜像标准，支持沙箱的无限持久化
• 采用AGPL-3开源协议，开发者可通过文档和社区参与项目贡献

Link

⭐ 5870 | 🔀 795 | Vue 56.0%, TypeScript 30.8%, Rust 13.2%

HuLa：基于Tauri和Vue 3的跨平台即时通讯系统

• 采用Tauri、Vite 7、Vue 3和TypeScript构建，结合轻量级桌面容器与现代化前端技术
• 支持Windows、macOS、Linux、iOS和Android多平台，暂不兼容Web端
• 提供完整的即时通讯功能，包括私聊、群组、消息撤回、已读状态、表情包和文件传输
• 集成AI聊天助手、多设备登录、深色主题、语音视频通话及系统托盘通知
• 遵循开源许可，可通过GitHub、Gitee或微信社区获取支持与赞助详情

Link

通过公开监督和赠送Kindle来改善睡眠习惯

• 作者创建了Naprevive.com网站，通过游戏化挑战解决自己长达十年的睡眠问题，强调责任感和后果驱动
• 挑战规则要求连续28天在早上8点前起床，失败3次则必须向一名订阅者赠送Kindle或等值现金
• 睡眠数据通过Garmin智能手表自动同步并公开，确保无法作弊，失败时会面临公开羞辱
• 订阅者可以关注进展、在公共留言板互动或发送实时消息鼓励或调侃作者，作者每日记录日志分享体验
• 作者已坚持超过一周，表示虽然睡眠质量未显著提升，但早起带来了生活质量改善，且不再难以入睡

Link

从副业到月入1.5万美元的MVP开发服务

• 创始人Manoj Ahirwar在开发个人项目时频繁收到如何将想法转化为MVP的咨询，促使他辞职并创立了专注MVP开发的UniqueSide公司
• 公司目前月收入在1万至2万美元之间，同时他还在运营自己的SaaS产品UseArticle，月经常性收入约300美元
• 采用NextJS、Supabase、Postgres和TypeScript技术栈，强调这些工具能整合前后端和用户认证，适合产品初期阶段
• 服务定价从最初的3000美元逐步提升至目前的8000美元左右，认为成长必须伴随价格上涨，且多数客户在MVP发布后选择长期合作
• 通过Twitter建立个人品牌并分享产品开发历程获得初始客户，现正拓展LinkedIn、Reddit和博客等多元化渠道来降低对单一平台的依赖

Link

BuildersBoard：专为创始人型通才打造的精选招聘平台

• 由前创始人Teddy创建，旨在解决自身重返职场时遇到的职位匹配困境，即传统招聘岗位对创始人型人才而言普遍存在“过高、过低、过窄或过专”的问题
• 平台专门服务于前创始人、早期运营者、0到1构建者和多技能通才，尤其适合那些喜欢处理模糊性、从零开始构建项目的人群
• 采用完全人工精选模式，重点关注岗位的高自主权、跨职能范围、早期阶段背景以及从零构建能力，而非仅依据职位名称筛选
• 目前处于早期阶段，完全免费，创始人通过Slack、LinkedIn等渠道主动寻找并筛选合适的职位，而非依赖公司自主提交
• 更新策略以质量优先，定期添加重视综合能力和实际贡献（而非完美企业头衔）的岗位，暂时不追求快速规模化扩张

Link

LeadSynthAI：全天候AI销售代理实现自动化客户获取

• AI代理全天候监控Reddit、X和LinkedIn，自动检测“寻找”、“需要帮助”、“求推荐”等高意向购买信号，并在8-15分钟内生成上下文相关回复开启对话
• 基于意图的互动实现40%响应率，远超传统冷 outreach的0.5%，因为目标用户已处于主动寻求解决方案的购买模式
• 在19天内实现用户数从100增长至230，月经常性收入从80美元增至150美元，零广告支出完全依靠自主代理获客
• 产品从“潜在客户查找工具”升级为“完整销售操作系统”，自动处理潜在客户发现、互动和转化，解决用户手动跟进痛点
• 已处理89,000+潜在客户，每天稳定获取10+新用户注册，覆盖全球不同时区的全天候需求，用户可在睡眠时获得新客户

Link

MediaFast：在Reddit上安全高效营销的工具

• 该工具专门帮助用户在Reddit上进行内容推广，避免账号被封禁，同时提升流量和用户参与度
• 核心功能包括精准匹配与用户领域相关的高活跃度子版块，并分析各社区偏好的内容类型（如故事、提问、进展分享等）
• 提供完整的30天行动计划，每日具体指导发帖、评论、休息的节奏，确保账号安全并维持增长势头
• 内置安全机制，如发帖频率控制、账号预热规则和智能互动模式，减少被系统标记为营销账号的风险
• 支持跨平台同步，可将Reddit内容策略无缝延伸至X（原Twitter）和LinkedIn，实现多平台一致的内容分发