curl 项目将在 2026 年 7 月整个月暂停接收和处理任何漏洞报告,称为“curl 夏日极乐”。Hackerone 提交表单和安全邮箱均关闭,8 月 3 日恢复。受此影响,curl 8.22.0 版本推迟至 9 月 2 日发布。维护者表示过去几个月压力巨大,需要休息。
坏家伙们大概不会休息,但我们会。
Emacs 内置功能虽多,但很多鲜为人知。本文是“电池已含”系列第三篇,精选三个可在 5 分钟内学会的冷门功能:鼠标悬停查词典(dictionary-tooltip-mode)、find-file 和 Dired 支持通配符、一键列出缓冲区所有 URI(ffap-menu)。无需安装包,现代 Emacs 28.1+ 即开即用。
如果你还没用过 undo-in-region,那还有很多低垂的果实可摘,等摘完再回来看本文。
一位作者发现,自己通过 epubcheck 验证的 EPUB 文件在 Kobo 设备上被标记为“损坏”,但在其他阅读器上正常。排查后发现,问题出在 Kobo 使用的 Adobe RMSDK 渲染引擎上——它不支持 CSS 的 min() 函数,遇到不认识的 CSS 就静默崩溃。epubcheck 无法检测这种渲染器兼容性问题。作者提醒:要确保 Kobo 兼容,光靠 epubcheck 不够,还得用 Adobe Digital Editions 测试。
epubcheck 无法验证 CSS 是否兼容一个根本上就有缺陷的渲染器。
美国上周五发布出口管制令,禁止 Anthropic 向外国人提供其最新模型 Claude Fable 和 Mythos。作者指出,Anthropic CEO Dario Amodei 几天前刚发文要求政府有权阻止高风险模型部署,且该权力应适用于网络安全等四类风险。如今政府依据亚马逊的第三方评估,以网络安全为由对 Anthropic 实施限制。作者认为 Anthropic 多年来积极推动监管,却没想到自己先被“反噬”,并讽刺其“求锤得锤”。
他们大概以为这些法规只针对别人,尤其是开源项目、学术界和小公司。
Reddit 上一条呼吁恢复本地账户的帖子引发共鸣,用户直言“不需要绕过技巧,只求微软改回来”。微软以 BitLocker 加密和云同步为由强制要求账户,但用户认为这是对控制权的剥夺。尽管 Windows K2 计划在听取反馈,账户问题却始终未解决。
“重点是在 OOBE 里就该有个选项让你选择本地账户,就像我们一直以来那样。”
Kage 是一个新工具,能把整个网站克隆到本地,去除所有脚本,保留 CSS、图片和字体,生成可离线浏览的静态文件。它使用真实 Chrome 渲染页面,抓取最终 DOM,然后剥离 JavaScript。支持打包为 ZIM 归档或单个自包含二进制文件,无需任何依赖即可运行。已获 243 星。
页面从来都不是真正属于你的——它只是别人 JavaScript 的瘦客户端。
瑞士选民在公投中否决了一项旨在将全国人口限制在1000万以内的提案。该提案由环保组织发起,担心人口增长导致环境压力,但政府反对,认为会损害经济并违反国际协议。最终约63%的选民投了反对票。
瑞士选民明确拒绝了限制人口增长的提议,表明他们更看重经济开放而非人口控制。
每月经典帖:分享你正在做的项目或新想法。无论是业余爱好、创业尝试还是开源工具,这里都是展示和交流的好地方。
有什么新想法正在酝酿?
网站管理员部署了Anubis,一种基于Hashcash工作量证明的方案,来抵御AI公司的大规模爬取。该方案对单个用户影响可忽略,但能显著增加爬虫成本。Anubis是临时方案,后续将转向无头浏览器指纹识别(如字体渲染差异),以减少对合法用户的干扰。注意:JShelter等插件会禁用Anubis所需的现代JavaScript功能。
在个体规模下额外负载可忽略,但在大规模爬取时成本会显著增加。
里约热内卢市政府发布的 Rio-3.5-Open-397B 模型被指并非原创,而是 Nex-N2_pro 和 Qwen3.5-397B 的加权合并(约 0.6 Nex + 0.4 Qwen)。证据包括:去掉系统提示后,模型 79% 自称为 Nex,0% 自称 Rio;权重张量在所有 60 层中与合并假设的共线性高达 0.98-0.99,远超独立模型的可能性。
去掉系统提示后,模型 79% 自称为 Nex,0% 自称 Rio——它甚至逐字复述了我们的专属背景故事。
作者有 2207 个 GoPro 骑行视频,为了快速找到精彩瞬间,他用开源 ML 模型在 M1 Max 上本地建索引。最终索引了 628 个视频(共 668.68GB,时长 15 小时 13 分),并可直接将精选片段发送到达芬奇时间线。
我建了个项目,用开源 ML 模型在本地 M1 Max 上索引视频,搜索精彩瞬间,然后把最佳片段直接发送到达芬奇时间线。
纽约时报曾宣称“人人都在用 AI 做一切事”,但实际数据打脸:微软最新数据显示仅 30% 美国工作年龄人口每月使用 AI 超 90 分钟;盖洛普调查中 21% 的 Z 世代从未使用 AI,且愤怒情绪同比飙升 40%。真实分布是:三分之一活跃使用、三分之一偶尔使用、三分之一完全不用。用户对 AI 的担忧集中在失业、隐私和虚假信息,净正面评价仅 +8%,与社交媒体相当。
所谓‘人人都在用 AI 做一切事’,实际上只是‘有些人在用 AI 做一些事’。
北大西洋一片海域自1900年以来降温近1°C,形成神秘的“冷斑”。新研究通过海洋实测与气候模型分析,确认这一异常并非由大气条件引起,而是大西洋经向翻转环流(AMOC)减弱所致。AMOC若崩溃,将导致美国东海岸海平面加速上升、欧洲冬季严寒、非洲季风紊乱引发干旱,全球气候面临灾难性后果。
AMOC正在改变海洋热输送,这正是冷斑形成的驱动因素。
zeroserve 是一款基于 eBPF 的高性能 HTTPS 服务器,现在支持 Caddyfile 配置,通过 JIT 编译为 eBPF 再转为原生机器码,运行在 io_uring 事件循环上。基准测试显示,在 HTTPS 反向代理场景下,zeroserve 吞吐量达 38948 req/s,是 Caddy 的 3 倍多;p99 延迟仅 3.91ms,比 Caddy 的 13.11ms 降低 70%,内存占用也更低。此外,zeroserve 支持在 Caddyfile 中调用自定义 eBPF
zeroserve 将 Caddyfile JIT 编译为 eBPF,再转为原生机器码,运行在 io_uring 事件循环上。
Gary Bernhardt 在 PyCon 2014 上的演讲,以科幻/喜剧/严肃的混合风格,讲述了 JavaScript 从 1995 年诞生到 2035 年消亡的历程。坦率讨论语言缺陷,但强调其对行业的巨大正面影响。
JavaScript 的缺陷被坦诚讨论,但它对行业的最终影响是极其积极的。
Jane Street 的 Yaron Minsky 宣布,公司过去 25 年对形式化方法不感兴趣,但现在因 AI 编码智能体的崛起而彻底改变看法,并正在组建专门团队。核心原因有二:智能体代码质量堪忧,形式化方法可减轻验证负担;同时,形式化方法能为智能体提供强反馈,提升其解决难题的能力。
我们希望让形式化方法像今天的复杂类型系统一样,成为构建软件时普遍有用的工具。
YC 创始人 Paul Graham 用简单数学证明:从 200 万美元起步,以 93% 月增长率,只需 9.5 个月就能成为亿万富翁。即使保守的 15% 月增长,5 年也能达到。政客说“不靠作弊赚不到十亿”是错的,指数增长让看似不可能成为可能。
指数增长就像魔法,能产生看似不可能的结果。
LLM 的上下文窗口被分为“聪明区”和“愚蠢区”,有效注意力仅在前 10 万 token 内,超出后模型开始遗忘。厂商宣传的 200k、1M 窗口只是营销数字,实际性能远低于标称。编码 agent 极易快速消耗 token 进入愚蠢区,导致输出质量下降。建议手动拆分会话、用书面规范传递上下文,或使用自动压缩工具(如 Claude Code)缓解问题。
我把上下文窗口当预算:只有前一小块真正有效,把信息移出会话写成文档,就能减少注意力的争夺。
LiveView 1.2 正式发布,最大亮点是支持在 HEEx 模板中直接编写同地 CSS,并通过 `@scope` 规则实现样式隔离,避免组件样式污染。该特性通过编译时注入 `phx-r` 属性标记模板边界,配合 `phx-css-*` 唯一标识实现精准作用域。不过由于浏览器兼容性,官方未默认启用 `@scope`,而是提供了可自定义的 `@behaviour` 接口。此外,1.2 还改进了 HEEx 格式化、JS 结构自动编码等小功能。
我们花了大力气做同地 CSS,但并未默认启用作用域,因为 `@scope` 在 2026 年 6 月浏览器支持仍不完善。
作者一直觉得吃豆人里的幽灵很可怜,于是做了个小游戏让你扮演幽灵。你的任务是赶在吃豆人清空迷宫前抓住他,但他吃掉能量豆后角色会短暂互换,你反而要逃命。在线可玩。
如果吃豆人吃到了能量豆,局势瞬间逆转,轮到你逃命了。