Link | Comment

🔼 362 | 💬 111

蓝牙耳机劫持：通往手机安全的钥匙

• 研究人员在广泛使用的Airoha蓝牙音频芯片中发现三个高危漏洞（CVE-2025-20700、CVE-2025-20701、CVE-2025-20702），影响索尼、马歇尔、拜亚动力和Jabra等主流厂商设备
• 漏洞可实现蓝牙耳机的完全控制，通过设备间信任关系进一步攻击配对智能手机，演示中成功攻破最新一代耳机
• 研究过程中发现名为RACE的自定义蓝牙协议，该协议支持直接读写设备闪存和RAM，为固件修改和定制提供可能
• 具体受影响设备包括索尼WH1000-XM5/XM6、WF-1000XM5，马歇尔Major V、Minor IV，拜亚动力AMIRON 300及Jabra Elite 8 Active等热门型号
• 研究团队将发布检测工具供用户自查，并公开技术细节助力进一步研究，同时批评部分厂商在漏洞告知和更新推送方面的不足
• 研究揭示了蓝牙外设被攻破后的广泛影响：随着手机安全增强，攻击可能转向周边设备，特别是蓝牙链路密钥被盗会导致外设身份被冒用

Link | Comment

🔼 263 | 💬 90

OpenWorkers：基于 Rust 的自托管 Cloudflare Workers 运行时

• OpenWorkers 是使用 Rust 开发并基于 V8 隔离（Isolate）执行 JavaScript 的开源运行时，将边缘计算能力引入自有基础设施
• 完全兼容 Cloudflare Workers 语法，提供 KV 存储（get/put/delete/list）、PostgreSQL 数据库、S3/R2 兼容存储、Service Bindings、环境变量与密钥等绑定功能
• 支持核心 Web API（fetch、Request/Response、ReadableStream、crypto.subtle、TextEncoder/Decoder、Blob、setTimeout、AbortController）
• 采用模块化架构，通过 nginx 代理、API、日志、运行器、NATS 调度器和 postgate 等组件协同工作；V8 隔离对每个 Worker 施加 CPU（100ms）与内存（128MB）限制，并内置 5 或 6 字段 cron 定时调度
• 部署极简，仅需一个 PostgreSQL 数据库和一个 Docker Compose 文件即可完成安装与启动（支持一键拉起 postgres 并完成迁移）
• 价值主张：数据留在自有基础设施，无按请求计费、避免供应商锁定，并提供与 Cloudflare Workers 一致的开发体验

Link | Comment

🔼 154 | 💬 71

Python程序员必知的性能基准数据

• Python对象内存开销显著：空列表占56字节、空字符串41字节、小整数28字节；使用__slots__可大幅减少大量类实例内存占用（1,000个__slots__类实例总内存79.1 KB vs 常规类165.2 KB）
• 字典和集合的键查找极快（约20纳秒），比列表成员检查（1,000项时3.85微秒）快约200倍，体现哈希表O(1)平均复杂度优势
• 字符串操作中，f-string最快（64.9纳秒），优于.format()（103纳秒）；列表推导比等效for循环快约20%
• JSON序列化性能：orjson比标准库json快约11倍（复杂对象310纳秒 vs 2.65微秒）；Web框架性能中Starlette最快（124.8k req/sec），Django最慢（55.4k req/sec）
• 异步操作开销：创建空协程仅47纳秒，但run_until_complete执行需27.6微秒，说明异步机制仅在需要并发时才有价值
• 文件I/O与数据库：SQLite主键查询仅3.57微秒，而磁盘缓存（diskcache）读取需4.25微秒；写入1MB文件耗时207微秒

Link | Comment

🔼 808 | 💬 434

2025年大语言模型年度回顾

• 推理能力的突破：OpenAI在2024年9月推出o1系列开启”推理”革命，2025年各大AI实验室纷纷跟进。推理模型结合工具使用后能规划多步骤任务、执行并根据结果更新计划，显著提升了代码调试和AI辅助搜索的效果
• 编码智能体的爆发：Anthropic在2月悄然发布的Claude Code成为年度最重要事件，标志着编码智能体时代的到来。这些系统能编写代码、执行代码、检查结果并迭代改进，Claude Code在12月2日已达10亿美元运行率收入
• 异步编程新模式：Claude Code for web等异步编码智能体让用户能提交任务后无需监管，系统会在后台完成工作并提交Pull Request，极大提升了编程效率
• 中国开源模型的崛起：GLM-4.7、Kimi K2 Thinking、MiMo-V2-Flash、DeepSeek V3.2、MiniMax-M2.1等中国开源模型包揽人工智能分析开源模型排名前五位，DeepSeek R1的发布甚至引发NVIDIA市值蒸发5930亿美元
• 图像编辑技术的飞跃：OpenAI的图像生成功能支持用户上传图片并用提示词修改，创造单周1亿ChatGPT注册的纪录。Google的Nano Banana在图像文本生成方面表现出色，Qwen的开源图像编辑模型也能在消费级硬件上运行
• 长期任务处理能力的跃升：METR数据显示2025年AI模型能够独立完成人类需要数小时的任务，相比2024年不足30分钟的限制有了巨大提升，AI处理任务的时长每7个月翻一番

Link | Comment

🔼 353 | 💬 396

浏览器已停止拦截弹窗广告——问题卷土重来

• 弹窗广告最初是浏览器一项欠考虑的功能，允许网站作者在用户电脑上打开新窗口，并很快被滥用于展示广告，遮盖用户想要浏览的内容
• 在2000年代初情况恶化后，浏览器开发商开始内置弹窗拦截功能，成为Firefox 1.0（2004年）和Internet Explorer的重要卖点和默认功能
• 广告开发者并未放弃，而是进化出绕过浏览器内置拦截器的新技术，导致弹窗广告在2025年以更恶劣的形式回归，干扰模式与2000年代初完全相同
• 虽然区分”合法”弹窗和广告弹窗是难题，但浏览器曾在2000年代中期为此开发了专门的用户界面组件来处理误拦截情况，这些组件至今仍存在
• 作者强烈呼吁浏览器开发商重新重视弹窗拦截，开发”弹窗拦截2.0”并默认启用，认为这将获得用户好评并引发改善网页体验的新讨论

Link | Comment

🔼 420 | 💬 197

Hacker News社区2025年年度回顾与新年展望

• 职业转型与创业成就显著：用户kombine成功从学术界转向工业界AI实验室，Sharanxxxx自学开发15天内构建SaaS产品获得250+用户和$100+收入，Theoleff通过技术内容创作在LinkedIn获得1000万曝光和1.5万关注者
• 健康与生活方式改善：用户通过GLP-1抑制剂减重100磅、坚持健身实现400磅硬拉（3倍体重）、建立固定睡眠作息、戒酒10个月成功等健康转变
• 开源与创作贡献突出：多个开源项目获得数百星标，用户vldszn的EasyInvoicePDF项目获得300+星标，Theoleff出版技术书籍售出185本，Peterspath阅读52本书并撰写225篇博客
• 全球社区祝福与文化多样性：来自全球各地的用户从挪威、日本、塞尔维亚、南非、哥伦比亚、中国等国家和地区发来新年祝福，展现了Hacker News的国际性
• 个人挑战与成长反思：用户Nyeb在医院面对新生儿夭折的悲痛，TurkishPoptart经历订婚关系结束，washup坦诚讨论戒酒历程，社区展现了面对困难时的相互支持与理解

Link | Comment

🔼 218 | 💬 134

iOS日本用户可使用替代浏览器引擎的应用类型

• iOS 26.2及以上版本允许日本用户在两类应用中使用非WebKit浏览器引擎：提供完整网页浏览体验的专用浏览器应用，以及由浏览器引擎维护者开发的使用嵌入式浏览器引擎的应用
• 开发者必须申请相应权限（Web Browser Engine Entitlement或Embedded Browser Engine Entitlement）并获得苹果授权，同时应用必须仅在日本iOS平台分发
• 必须满足严格的功能性测试要求：通过90%的Web Platform Tests和80%的Test262测试，且即使在JIT编译不可用（如启用Lockdown Mode）时也需达标
• 需遵循持续的安全开发要求：采用内存安全编程语言、实施指针认证等最新安全缓解措施、监控软件供应链漏洞、30天内修复被利用的漏洞
• 隐私保护要求包括：默认阻止跨站第三方Cookie、按顶级网站分区存储状态、未经用户明示同意不得同步状态或与网站共享设备标识符

Link

⭐ 1960 | 🔀 720 | Jupyter Notebook 58.2%, Python 29.5%, TypeScript 4.8%, Shell 3.4%, JavaScript 1.5%, ...

Amazon Bedrock AgentCore 示例库概览

• 提供框架与模型无关的 AI 智能体部署与运维方案，支持 Strands Agents、CrewAI、LangGraph 等多种框架及任意大语言模型
• 包含五大核心组件教程：Runtime（无服务器运行时）、Gateway（API 工具网关）、Memory（托管记忆系统）、Identity（身份管理）、Tools（内置代码解释器和浏览器工具）
• 提供端到端应用案例、主流框架集成指南、基础设施即代码模板及完整可部署的全栈参考应用
• 可通过本地测试快速验证智能体功能，并支持一键部署至 AWS 云端环境
• 开源项目采用 Apache 2.0 协议，包含贡献指南、文档链接及社区交流渠道（Discord）

Link

⭐ 8749 | 🔀 2311 | Python 96.2%, C++ 1.8%

LiveKit Agents：实时多模态AI代理开发框架

• 框架定位：专为服务器端实时可编程参与者设计的代理框架，可创建具备看、听、理解能力的对话式多模态语音代理
• 灵活生态集成：支持STT、LLM、TTS、实时API等组件的自由组合，提供丰富的模型插件和工具链
• 核心架构设计：Agent（LLM应用）、AgentSession（用户交互容器）、entrance（交互入口）、Worker（任务调度协调器）四大核心概念
• 开发部署方式：基于Python开发，支持pip安装，提供控制台测试、开发和生产三种运行模式
• 开源技术栈：完全开源支持自部署，包含LiveKit WebRTC媒体服务器在内的完整技术生态系统
• 扩展能力：原生支持MCP协议、内置测试框架、广泛的SDK和UI组件生态、多平台客户端支持

Link

⭐ 16119 | 🔀 1668 | TypeScript 91.8%, JavaScript 5.8%, CSS 1.7%

Next AI Draw.io：AI驱动的智能图表创建工具

• 基于Next.js构建的Web应用，结合AI能力与draw.io图表功能，通过自然语言命令创建、修改和增强图表
• 支持多种AI提供商，包括字节跳动豆包、AWS Bedrock、OpenAI、Anthropic、Google AI等，除AWS Bedrock和OpenRouter外均支持自定义端点
• 具备丰富功能：基于大语言模型的图表创建、图像/PDF/文本文件上传生成图表、AI推理过程显示、版本历史记录、云架构图支持和动画连接器
• 提供多种部署方式：在线演示、桌面应用程序、Docker运行，以及一键部署到EdgeOne Pages、Vercel和Cloudflare Workers
• 实验性支持MCP服务器功能，可与Claude Desktop、Cursor和VS Code等AI代理集成，实现实时图表创建
• 特别感谢字节跳动豆包赞助演示站点的API令牌使用，注册ARK平台可获得50万免费令牌

Link

⭐ 47963 | 🔀 3453 | Go 51.1%, TypeScript 47.1%, CSS 1.6%

Memos：开源自托管笔记服务

• 基于Go和React构建的隐私优先知识库，专为个人笔记、团队维基和知识管理设计，确保数据完全自主控制
• 采用自托管架构，零遥测、零广告且无订阅费用，使用MIT开源许可证永久免费
• 原生支持Markdown格式和纯文本存储，具备即时加载的高速性能，优化任意规模使用
• 提供Docker一键部署，支持SQLite、MySQL和PostgreSQL数据库，简化安装流程
• 提供完整REST和gRPC API接口，支持开发者集成，拥有简洁界面及暗色模式
• 包含在线演示、详细文档和活跃社区，鼓励用户提交错误报告、功能建议和代码贡献

Link

⭐ 1837 | 🔀 102 | TypeScript 59.8%, Go 38.8%, CSS 1.0%

SpotiFLAC：从多平台获取无损 FLAC 格式的 Spotify 音轨

• 无需账户即可从 Tidal、Qobuz 和亚马逊音乐获取 Spotify 音轨的 FLAC 无损格式
• 兼容 Windows 10+、macOS 10.13+ 及所有 Linux 发行版操作系统
• 提供由社区维护的移动版 SpotiFLAC Mobile，支持 Android 和 iOS 设备
• 另有 SpotiDownloader 工具，可通过 spotidownloader.com API 下载 MP3 和 FLAC 格式音轨
• 该工具为第三方开发，与 Spotify 等流媒体平台无任何关联或授权关系
• 免责声明明确仅限教育及私人用途，使用者需自行承担法律责任风险

Link

⭐ 1106 | 🔀 68 | Shell 65.8%, Dockerfile 34.2%

docker-android：作为服务运行的最小化Android模拟器Docker镜像

• 基于Alpine的轻量级Docker镜像，内置Android模拟器、KVM支持及JRE 11；默认包含Android SDK和平台工具，专注于远程网络控制的完全功能化Android模拟器。
• 支持通过构建参数自定义Android版本（API级别）、镜像类型（Google APIs vs Play Store）及CPU架构（x86_64或x86），例如API_LEVEL=28、IMG_TYPE=google_apis_playstore、ARCHITECTURE=x86。
• 内置端口转发功能，将模拟器和ADB服务暴露至容器网络接口；采用无头模式运行，完美适配CI环境，并可通过ADB连接配合scrcpy实现远程屏幕控制。
• 提供便捷启动方式：使用docker-compose可快速部署标准版或GPU加速版本（android-emulator、android-emulator-cuda等），或直接通过docker构建运行；Docker Hub提供预构建镜像（如halimqarroum/docker-android:api-33）。
• 灵活的存储配置：所有AVD数据存储在容器/data目录（名称为android），支持通过~/android_avd:/data挂载实现数据持久化；可将Android SDK存储在外部分布式文件系统，显著减少镜像体积。
• 资源需求与优化：API 33版本需确保4GB内存和8GB磁盘空间；提供多种大小变体（包含SDK：1.46-1.97GB vs 无SDK：138MB）；支持禁用动画、隐藏策略、ADB认证跳过及内存/核心数自定义。

Link

⭐ 1380 | 🔀 360 | Python 99.6%

Polymarket Agents：基于AI的预测市场自主交易开发框架

• 采用MIT开源许可的开发者工具包，为Polymarket预测市场提供AI代理构建能力，核心功能包括Polymarket API集成、预测市场专用AI代理工具、本地/远程RAG支持以及多源数据整合（博彩服务、新闻提供商、网络搜索）
• 基于Python 3.9开发，提供完整的环境配置流程：仓库克隆、虚拟环境创建与激活、依赖安装、钱包私钥和API密钥配置（POLYGON_WALLET_PRIVATE_KEY、OPENAI_API_KEY）以及USDC资金准备
• 提供命令行界面和直接交易两种交互方式，CLI支持市场数据检索、新闻查询、本地数据查询、大语言模型交互和交易执行等操作，命令格式为”python scripts/python/cli.py 命令名 [参数值]”
• 架构采用模块化设计，包含Chroma向量数据库、Gamma API市场客户端、Polymarket API交互与交易执行模块以及基于Pydantic的数据模型对象等标准化连接器
• 严格的合规要求：根据Polymarket服务条款，美国及特定司法管辖区用户禁止使用该框架进行交易活动，但市场数据可全球访问

Link

⭐ 19353 | 🔀 4597 | Jupyter Notebook 100.0%

《动手学大语言模型》核心内容概述

• 由Jay Alammar和Maarten Grootendorst合著，采用近300张定制插图进行可视化教学，副标题为“图解LLM书”
• 全书共12章，覆盖语言模型基础、Transformer内部机制、文本分类、聚类、提示工程、语义搜索与多模态模型等内容
• 所有代码示例均适配Google Colab免费T4 GPU环境，提供本地安装指南与Conda环境配置说明
• 在Amazon、O’Reilly、Kindle等全球平台发行，获吴恩达、Nils Reimers等顶尖AI专家高度评价
• 额外提供Mamba、量化技术、混合专家系统等前沿主题的视觉化扩展教程作为补充内容

Link

从高级工程师到独立创业者：3个月实现$62K MRR的创业历程

• Cameron Trew在采访中分享了自己从伦敦高级软件工程师转变为独立开发者的完整历程：13岁开始编程，拥有6年企业级开发经验，26岁时辞去年薪丰厚的工作，结束33层公寓租约搬回父母家，最终联合创立Kleo（$62K MRR）和Mentions（$20K MRR）两家盈利企业
• Kleo 1.0作为免费LinkedIn数据抓取工具曾拥有6万用户，因收到LinkedIn禁止函被迫下架，团队没有放弃而是深入分析竞品机会，仅用四周时间基于Vercel AI聊天机器人模板重建Kleo 2.0，采用TypeScript、Next.js、Vercel、Claude AI等技术栈确保快速迭代开发
• 充分利用联合创始人的分发优势实现爆发式增长：Jake Ward在LinkedIn拥有18万+粉丝，Lara Acosta拥有30万+粉丝，团队针对LinkedIn创作者这一精准目标群体举办3次预售网络研讨会每次实现$5K+销售额，并分两批限时销售1000个终身折扣名额快速验证付费意愿
• 采用分层订阅模式进行市场验证和定价优化：首批500个终身折扣名额定价$59/月，第二批500个终身折扣名额定价$79/月，标准定价$99/月，同时计划推出面向代写机构的企业版无限团队套餐，通过逐步提价测试市场承受能力
• 建立以用户反馈为核心的快速迭代开发流程：早期邀请测试用户提供建议和报告漏洞，将bug修复置于最高优先级，按收入潜力和用户明确要求确定功能开发顺序，用户反复要求的保存最佳内容格式和语音输入功能都被快速集成到产品中
• 强调AI代码编辑工具对经验丰富的独立开发者的革命性价值：拥有10+年编程经验的Cameron认为Claude Code等AI工具彻底改变了开发速度，但强调只有结合深厚技术经验才能真正发挥AI的潜力——能够正确架构解决方案、审查AI输出、快速catch错误
• 团队制定了明确的18个月被收购目标和2026年增长计划：目标在2026年实现Kleo达到$300K MRR、Mentions达到$100K MRR，并在未来18个月内寻求被收购机会，体现了从0到成功退出的完整创业野心

Link

首个人工智能原生金融数据即服务（DaaS）实现七位数年度经常性收入

• 创始人Braden Dennis从核能与水电工程领域转行，因发现市场空白而创立了Fiscal.ai，专注于为投资研究提供专业且易用的数据服务
• 公司目前月收入超过40万美元，年度经常性收入（ARR）达到中七位数，并预计在六个月内突破八位数
• Fiscal.ai采用人工智能技术，解决了传统金融数据终端成本高、延迟大以及免费平台质量差的问题，现已获得数十万用户信任和超过50家企业客户
• 公司坚持“持续改进”理念，借鉴丰田“Kaizen”框架，快速迭代产品并平衡实验性与市场适应性，同时结合产品驱动增长和直接销售两种模式
• Braden建议创业者尽早开始行动，依靠直觉决策，并保持情绪稳定，强调早期阶段获取核心客户和解决问题的重要性

Link

验证帮助专业人士安全回复棘手工作消息的创意

• 许多专业人士在处理来自上级（如经理、客户、利益相关者）的压力性或高风险工作消息时感到困难
• 核心挑战并非语言表达，而是如何在避免激化矛盾或降低自身风险的前提下组织回复内容
• 作者正在开发一款名为ReplySafe的小型工具，旨在帮助用户构建专业且低风险的回复方案
• 目前仅通过简易登陆页面收集意向，尚未推出实际产品，也未进行任何销售行为
• 工具设计考虑加入语境感知、场景化回复及语气调节滑块（如强硬程度/正式度）等特色功能
• 用户验证中发现”安全回复”存在双重维度：维护关系安全与保障自身权益，需根据具体情况平衡

Link

LeadSynthAI：解决独立开发者获客中的时机问题，而非产品功能不足

• 核心问题：产品失败常因错失实时购买意图信号，用户常在几小时内完成决策，而手动检查平台会导致回复过晚
• 解决方案：AI 系统 24⁄7 监控 Reddit、X、LinkedIn，自动检测“寻找/需要帮助/推荐”等关键词，并在数分钟内以有帮助的语境回复，开启温暖对话
• 关键优势：响应率约 40%（远高于冷邮件的 0.5%），零广告投入下实现 230+ 用户和 150 美元 MRR，支持全时段自动注册和增长
• 产品定位：从“线索发现工具”升级为“完整销售运营系统”，覆盖监控、检测、互动全流程，让开发者专注产品构建而非手动拓客
• 安全与差异化：仅参与用户主动寻求帮助的对话，避免垃圾邮件和平台违规，确保零账号封禁和零垃圾投诉，与传统冷邮件工具形成对比
• 社区支持：为 Indie Hackers 提供 30% 折扣（代码 IH30），官网 leadsynthai.app，鼓励关注意图信号而非冷线索量

Link

SumMeet 2.0：AI驱动的会议模拟器重大更新

• SumMeet是由Javlonbek Shadmanov开发的AI驱动会议模拟器产品，已发布全新的2.0版本
• 新版本包含焕然一新的用户界面设计，声称更加简洁、直观且速度更快
• 系统性能得到显著改进，实现了更流畅的运行效果和更好的实时可靠性
• 集成了个性化聊天摘要功能，能够总结整个对话内容并提供智能回复建议
• 获得了用户积极反馈，多位测试者称赞新版本在易用性和速度方面都有明显提升
• 开发者通过后端优化和TypeScript重构项目，显著提升了系统整体效率和性能