Link | Comment

🔼 1233 | 💬 292

Hacker News 诚实版头条要闻

• Mullvad VPN 宣布用 Rust 重写 WireGuard 工具，声称“用 Rust 重写就是为了让你必须点赞”
• 学术出版商 ACM 承认付费墙一直是骗局，开放近 2000 篇论文免费获取，获 1839 点高赞
• 德州起诉电视制造商非法收集用户数据，意外成为隐私保护的胜利，引发近 500 条评论
• 开发者因依赖检查缺失导致互联网服务大规模中断，揭露开源生态链的脆弱性
• OpenAI 发布 GPT-5.2 Codex 模型，社区质疑是为转移董事会内部纠纷的注意力
• 中国在 AI 芯片领域突破制裁限制，日本媒体报道其芯片技术已超越西方

Link | Comment

🔼 564 | 💬 208

Mac Studio 集群实现 1.5 TB 统一内存与雷电 5 RDMA 技术

• Apple 提供四台 Mac Studio 组成的集群用于测试 macOS 26.2 新增的雷电 5 RDMA 功能，可通过开源工具 Exo 1.0 实现多设备内存池化，显著提升大模型 AI 计算性能。
• 测试集群包含两台 512 GB 内存和两台 256 GB 内存的 Mac Studio，总成本接近 4 万美元，由 Apple 和 DeskPi 分别提供设备和 4 柱迷你机架。
• 与 Nvidia DGX Spark 和 AMD AI Max+ 395 系统相比，单台 M3 Ultra Mac Studio 内存容量高出四倍，FP64 计算性能突破 1 Tflop，能效比显著更优。
• RDMA 支持将内存访问延迟从 300μs 降至 50μs 以下，但在测试中出现了稳定性问题，如 HPL 计算崩溃和软件兼容性挑战，且目前仅支持最多四台设备直连。
• Exo 1.0 是目前唯一支持 RDMA 的集群工具，在运行千亿参数模型（如 Kimi K2 Thinking）时可达 30 token/秒，但其开发过程不透明，引发社区信任疑虑。

Link | Comment

🔼 88 | 💬 126

Graphite 正式加入 Cursor

• Cursor 宣布已与代码审查平台 Graphite 达成最终收购协议
• Graphite 团队将继续独立运营，保持原有产品和团队不变
• 未来数月将探索两个产品的深度整合，包括本地开发与拉取请求的紧密集成
• 计划开发更智能的代码审查系统，融合双方技术优势
• 此次收购旨在解决代码协作与审查日益成为软件开发瓶颈的问题

Link | Comment

🔼 454 | 💬 99

Mullvad VPN发布GotaTun：WireGuard®的Rust实现未来

• GotaTun是Mullvad VPN基于Cloudflare的BoringTun项目开发的WireGuard®实现，使用Rust语言编写，专注于高速、高效和可靠性
• 该项目增强了隐私保护功能，包括集成DAITA和Multihop技术，并为Android平台提供了一流支持
• 开发动机源于原有wireguard-go实现的问题：在Android应用中导致超过85%的崩溃，且Rust与Go的互操作存在调试困难
• 自2025年11月底在Android平台部署后，用户感知崩溃率从0.40%大幅降至0.01%，且用户反馈速度和电池续航均有改善
• 2026年计划包括进行第三方安全审计、在所有平台（桌面和iOS）替换wireguard-go，以及进一步优化性能

Link | Comment

🔼 299 | 💬 60

Garage：高度可靠的S3对象存储，可在数据中心外运行

• 专为高可靠性设计，支持在普通服务器或边缘设备上部署，适用于数据中心外运行环境
• 采用三区域冗余复制机制，每个数据块在三个不同逻辑区域（含多台服务器）中存储
• 提供单一无依赖二进制文件，兼容x86_64（近10年CPU）、ARMv7/ARMv8架构，最低仅需1GB内存和16GB磁盘
• 完全实现Amazon S3 API，支持Nextcloud、Matrix、Mastodon、Rclone等应用无缝集成
• 项目获得欧盟NGI计划多次资助，包括NGI POINTER、NGI0 Entrust和NGI0 Commons Fund的研发资金支持

Link | Comment

🔼 102 | 💬 40

FreeBSD基金会笔记本电脑支持与可用性改进项目

• 项目总投资额为75万美元，于2024年9月27日获批，2024年第四季度启动，预计持续1-2年
• 核心目标是提供改进或新增的FreeBSD功能包，确保在广泛个人计算设备上实现”开箱即用”
• 重点改进领域包括现代WiFi、完整音频支持、现代休眠与恢复、改进图形显示和蓝牙功能
• 采用用户故事方法定义功能需求，主要面向开发者用户体验优化
• 社区可通过桌面邮件列表和笔记本电脑与桌面工作组参与讨论并跟踪进展
• 每月在GitHub仓库发布更新，并通过基金会通讯和技术团队更新分享项目进展

Link | Comment

🔼 523 | 💬 500

Firefox 将提供完全禁用所有AI功能的选项

• Firefox 将提供一项完全禁用所有AI功能的选项，内部称之为“AI终止开关”（AI kill switch），但最终发布时会使用更温和的名称
• 所有AI功能都将采用“选择启用”（opt-in）方式，而非默认开启，但开发团队承认“选择启用”对不同用户可能存在灰色理解差异
• 该“终止开关”将彻底移除所有AI相关功能，并且未来也不会再显示这些功能，确保用户拥有完全控制权
• 开发团队强调他们非常严肃地对待用户对AI功能的控制需求，承诺提供明确无误的禁用方案
• 尽管开发人员个人不直接负责AI功能开发，但承诺尽力回答用户疑问，同时呼吁用户不要预先认定团队会做出错误决策

Link | Comment

🔼 72 | 💬 29

Anthropic收购Bun团队揭示AI时代的真实人才观

• Anthropic的AI代理曾是Bun代码库最活跃的贡献者，提交并合并的PR数量超过所有人类开发者，但Anthropic仍斥资数百万美元收购了其人类团队
• 尽管Bun项目采用MIT开源协议（可免费复制代码），Anthropic仍选择通过竞购获得该团队，凸显其真正看重的是人的判断力而非代码产出量
• 公开场合AI公司鼓吹”工程师将被自动化取代”，实际却重金收购深度参与AI开发的人类团队，这种矛盾行为揭示了其真实战略意图
• 核心瓶颈在于判断力而非代码生成：AI能大幅提升代码产量，但无法替代人类在架构设计、风险识别和关键决策中的高阶认知能力
• 技术领导者应关注企业的资本运作（如收购目标和薪酬体系）而非宣传话术，将AI作为高阶人才的效能放大器而非替代方案
• 需要加强判断力培养（系统架构、性能建模、安全思维等），保持初级工程师培养通道，避免陷入对稀缺资深人才的竞价陷阱

Link | Comment

🔼 123 | 💬 24

TP-Link Tapo C200 安全漏洞分析：硬编码密钥、缓冲区溢出与AI辅助逆向工程

• 固件加密与密钥泄露：TP-Link 将所有设备固件存储在公开的 S3 存储桶中，无需认证即可下载，且使用同一加密方式，可通过公开的 GPL 代码提取密钥解密，导致 HTTPS 流量可被中间人攻击解密。
• 预认证 ONVIF 服务内存溢出：ONVIF 服务（端口 2020）的 XML 解析器缺乏边界检查，发送超量 XML 元素可导致内存溢出和设备崩溃，需断电重启恢复。
• HTTPS 服务整数溢出漏洞：HTTPS 服务器（端口 443）直接使用 atoi() 解析 Content-Length 头部，输入特定值（如 4294967295）可触发整数溢出并导致设备崩溃。
• 无认证 WiFi 配置劫持：未认证的 connectAp API 允许远程攻击者强制摄像头连接到恶意网络，实现中间人攻击、视频流量拦截或持久控制，甚至断开合法网络连接。
• 无认证 WiFi 网络扫描与位置泄露：未认证的 scanApList API 可获取附近 WiFi 网络的 SSID、BSSID 和信号强度，结合苹果定位服务可精确定位设备物理位置至数米内。

Link | Comment

🔼 51 | 💬 23

航空公司API因缺少安全验证导致数百万乘客信息可被暴力破解

• API端点仅需6位字母数字确认码即可访问完整预订信息，缺少必需的姓氏验证和请求频率限制
• 攻击者用价值400-700美元的服务器集群可在6小时内破解全部21.8亿种组合，实际因存在800万有效预订码，数秒内即可获取有效数据
• 泄露的敏感信息包括乘客全名、出生日期、政府ID号（含已知旅客号码和护照号）、联系方式、完整行程、支付信息及部分磁条数据
• 漏洞还允许攻击者修改或取消所有乘客预订，可能造成大规模旅行中断
• Avelo安全团队在披露后反应迅速专业，于2025年11月13日部署修复并经验证确认漏洞已修补

Link

⭐ 33533 | 🔀 2283 | Python 61.7%, Svelte 17.0%, Swift 9.2%, Rust 7.1%, TypeScript 3.9%

exo：使用日常设备搭建家庭AI集群

• 将多台设备连接成AI集群，整合所有设备资源以运行大型模型，支持运行超过单设备容量的模型
• 提供自动设备发现功能，无需手动配置，设备间可自动识别并建立连接
• 支持基于Thunderbolt的RDMA技术，显著降低设备间通信延迟，提升模型运行速度
• 具备拓扑感知自动并行能力，根据设备资源和网络状况智能分配模型计算任务
• 支持Tensor并行技术，在2台设备上可实现1.8倍加速，4台设备上可达3.2倍加速

Link

⭐ 72545 | 🔀 16346 | Python 83.8%, Ruby 6.3%, ASP.NET 3.8%, XSLT 2.6%, Classic ASP 1.4%, ...

Payloads All The Things：Web应用安全实用负载与绕过技术集合

• 该项目提供一系列用于Web应用安全测试的有用负载（payloads）和绕过技术，供安全研究人员和渗透测试人员使用
• 鼓励用户提交自己的负载和技术来改进项目，并支持通过GitHub赞助按钮或线下交流（:beers: IRL）进行贡献
• 每个章节包含README.md（漏洞描述和利用方法）、Intruder文件、图片及相关文件，结构清晰便于参考
• 项目推荐了同系列资源，包括InternalAllTheThings（Active Directory和内网渗透笔记）和HardwareAllTheThings（硬件/IOT安全维基）
• 开源贡献者可阅读CONTRIBUTING.md了解参与方式，项目已获得SerpApi、ProjectDiscovery和VAADATA等公司的赞助

Link

⭐ 1427 | 🔀 103 | Python 76.2%, Cuda 8.9%, C 8.3%, C++ 6.6%

Mini-SGLang：轻量且高性能的大语言模型推理框架

• 是 SGLang 的精简实现，代码约 5000 行 Python，兼具高性能推理引擎与透明参考实现的双重价值
• 集成 Radix 缓存（跨请求共享前缀 KV 缓存）、分块预填充（降低长上下文内存峰值）、重叠调度（隐藏 CPU 调度开销）等先进优化
• 支持多 GPU 张量并行，整合 FlashAttention 和 FlashInfer 优化内核以实现最高效率
• 提供 OpenAI 兼容的 API 服务和交互式终端 shell，支持从单卡到多卡（如 4 卡）部署不同规模模型（如 0.6B 到 70B）
• 在离线和在线推理基准测试中均表现优异，支持高吞吐量和低延迟，例如在线测试中处理千级请求

Link

⭐ 346 | 🔀 28 | TypeScript 89.0%, HTML 8.3%, JavaScript 2.7%

TypeScript 代理开发工具包 (ADK)

• 这是一个由 Google 开发的开源、代码优先的 TypeScript 工具包，用于构建、评估和部署复杂的人工智能代理，支持灵活和精细的控制。
• 工具包提供丰富的工具生态系统，包括预构建工具、自定义函数、OpenAPI 规范集成，以及与 Google 生态系统的紧密集成。
• 采用模块化多代理系统设计，允许开发者通过组合多个专业代理构建可扩展的应用程序层次结构。
• 内置开发界面，支持代理的测试、评估、调试和展示，并提供与 A2A 协议集成的远程代理间通信功能。
• 项目使用 Apache 2.0 许可证，目前处于预览阶段，遵循 Google Cloud 的预 GA 服务条款，支持通过 npm 或 yarn 快速安装。

Link

⭐ 18980 | 🔀 4137

斯坦福CS 229机器学习速查表资源

• 提供斯坦福大学CS 229机器学习课程核心内容速查表，涵盖监督学习、无监督学习、深度学习及实用技巧
• 包含多语言版本，如阿拉伯语、英语、西班牙语、波斯语、法语、韩语、葡萄牙语、土耳其语、越南语、简体中文和繁体中文
• 设有预备知识复习材料，重点包括概率统计、代数与微积分，帮助巩固课程基础
• 提供三类核心资源：分领域速查表、知识点复习指南及综合终极版速查表
• 所有材料可通过专用网站跨设备访问，并开放社区翻译协作

Link

⭐ 45116 | 🔀 6094 | Clojure 50.0%, TypeScript 38.3%, JavaScript 10.9%

Metabase：开源商业智能与数据分析平台

• 一款简单易用的开源工具，旨在让公司全员无需SQL知识即可查询数据并从中学习
• 提供云端托管和自托管两种部署方式，云端版本包含技术支持、备份、安全审计等增值服务
• 核心功能包括可视化仪表盘、定时订阅、数据预警、嵌入式分析以及支持React的嵌入式分析SDK
• 支持多种数据库连接，提供官方驱动和社区驱动，具备高度可扩展性和多语言国际化支持
• 采用双许可证模式（AGPL开源许可和商业许可），拥有活跃的社区生态和专家合作伙伴网络

Link

GitHub Wrap：将您的 GitHub 年度贡献转化为科幻叙事

• 利用 AI 分析用户的 GitHub 提交和拉取请求数据，生成以用户为主角的个性化太空冒险故事
• 项目官网为 https://githubwrap.space，旨在为 GitHub 贡献记录（如绿色方格）提供多巴胺激励式的趣味体验
• 由 Sumeet Naik 开发并于 2025 年 12 月 18 日在 Indie Hackers 的“Building in Public”小组中分享
• 用户反馈将其比作 Spotify 的年度回顾，并询问开发过程中面临的 UI/UX 设计挑战
• 开发者指出，对于提交记录较少的 GitHub 账户，AI 模型可能产生幻觉或意外泄露提示词

Link

从年薪百万的服务陷阱到产品重生之路

• 创始人Torben Anderson在离开20年企业生涯后，创立区块链咨询公司Rewired.one，年 recurring revenue（ARR）突破100万美元，但发现这本质是“用时间换金钱”的新版企业牢笼
• 他意识到服务业务如同“金手铐”，无法像产品那样规模化，因此重新转型为产品构建者，开发无密码安全存储工具Icebox和提供分时CTO服务
• 通过“客户源泉”（持续推荐资源的合作伙伴）策略实现增长，并坚持订阅制收入模式，避免依赖单一客户，增强业务可预测性和扩展性
• 利用AI辅助编程（如Cursor工具）实时学习并开发产品，采用Rust、Flutter等技术栈，注重极简设计，遵循“删除多余功能，优化用户体验”原则
• 未来计划打造“Rewired”产品组合品牌，追求通过产品实现财务自由，并强调“如果不能编程实现，就不做”以保持专注，避免分散精力

Link

TimeTuna：拥有精美视频背景的日程安排工具在ProductHunt登顶榜首

• 创始人Pavelk2自2025年5月起开发TimeTuna，旨在打造比Calendly更美观的日程安排页面
• 该产品提供类似WeTransfer的精美视频背景功能，让用户乐于分享自己的预约页面
• 在ProductHunt发布当天即登上榜首位置，获得高度关注和积极反馈
• 产品原名Bookva，后更名为TimeTuna，界面设计简洁直观，用户体验获得好评
• 实际用户反馈显示其能无缝集成只读Google日历（包括非用户账户的公共日历），解决了竞品的兼容性问题

Link

VoiceNotes.Me：专为语音思考者设计的简洁笔记工具

• 专为习惯口头表达但不愿处理音频文件或未加工转录稿的用户设计，旨在消除现有语音工具的摩擦
• 核心功能是将语音输入自动转换为整洁、可编辑且支持搜索的文本笔记，提升使用效率
• 目前处于早期开发阶段，定位为个人辅助工具，强调简洁性，尚未进行大规模推广
• 创始人在社区发起讨论，询问他人使用语音记录想法的具体场景、适用情况及痛点
• 用户反馈显示，即使有多种科技工具可用，部分人仍依赖传统方式（如发邮件给自己）记录想法