第376期 — 2026-07-11

在浏览器中阅读

周e信

扫描二维码关注微信公众号

Node.js

扎克伯格对举报人的压制手段荒诞而极端🔗

Wynn-Williams出版回忆录《Careless People》揭露Meta(Facebook母公司)在缅甸种族灭绝中的角色、高管个人劣迹以及公司内部腐败行为。Meta通过强制仲裁条款对她处以超过1100万美元的罚款,并禁止她宣传或谈论该书。即使她完全沉默地出席活动,Meta仍追加处罚。Wynn-Williams最终起诉要求废除合同。作者指出,Meta明知这种行为会引发“斯特赖桑德效应”(更多人会购买该书),但仍执意如此,目的是为了在AI投资失败和裁员潮中恐吓其他潜在举报人。

Cory Doctorow

Vite+ 测试版:一个基于一个命令的网页开发工具链🔗

VoidZero 推出 Beta 版 Vite+,以统一 vp 命令整合 Vite、Rolldown、Oxlint、Vitest 等全套前端工具,一站式覆盖开发、校验、测试、打包与 monorepo 任务调度,解决工具碎片化、环境不一致问题,提供迁移工具适配现有项目,当前仍在完善远程缓存、CI 支持等功能,稳步推进 1.0 正式版。

Alexander Lichter, MK, and Charles Wang

Javascript

弗吉尼亚州禁止出售精确地理位置数据🔗

2026年4月13日,弗吉尼亚州州长签署了S.B. 338法案,修订《弗吉尼亚消费者数据保护法》,禁止出售精确地理定位数据。该禁令将于2026年7月1日生效。弗吉尼亚州紧随马里兰州和俄勒冈州的步伐,但弗吉尼亚州对“出售”的定义更为狭窄,仅指“以金钱对价交换个人数据”。其他多个州如加州、马萨诸塞州等也提出了类似禁令,反映了监管机构对地理定位数据销售的日益关注。

Hunton Andrews Kurth LLP

金融科技工程手册🔗

不凭空造币、不丢失数据、零信任三大核心准则,完整覆盖资金系统全链路工程范式:从金额精度建模、货币与汇率处理、复式记账、审计溯源、事件溯源、不可变日志等底层存储规范,到资金预留、幂等、流程可恢复、外部 API/Webhook 防御、对账、权限四眼管控等分布式交易保障方案,同时配套专用测试方法论、金融术语词典、加密货币 / 支付 / 交易三大完整业务流程案例,还附上行业参考书单,面向金融新人、在职工程师与跨领域开发者,区分法币与加密资产差异,强调金融系统不能依赖外部或内部组件、全程留痕可审计、杜绝精度丢失与重复扣款,所有错误仅能通过新增冲销记录修正,是兼顾合规、审计、分布式故障容错的系统化落地指南。

电子书源码

Voytek Pitula

Vercel Labs

OpenRA开源项目发布2026年新测试版🔗

OpenRA是一个开源项目,旨在将经典RTS游戏(如《红色警戒》、《命令与征服》和《沙丘2000》)重制为现代版本,支持攻击移动、单位经验、战争迷雾等新机制,并原生支持Windows、macOS和Linux。社区积极参与开发,提供自定义地图、模组SDK、定期直播和锦标赛。2026年2月22日发布的Playtest带来了重大更新:为三部作品新增随机地图生成器;重制《沙丘2000》的视觉特效、平衡性调整和单人战役难度优化;Tiberian Dawn HD模组基本完成,支持切换重制版与经典版素材;地图编辑器新增路径工具;其他改进包括新的鼠标输入模式、自动保存、Bot扩展基地、本地化支持等。玩家可在论坛、Discord或GitHub反馈意见。

Paul Chote

ERIK MARKUS KANNIKE

前端

个人历代心仪键盘盘点🔗

作者早年用过糟糕老式电脑键盘后长期钻研输入设备,依次介绍五款心头好:手感清脆复古的 IBM Model M 全尺寸款与省空间 84 键 SSK 版本、id Software 程序员开发《雷神之锤》系列御用且自带音响的 NMB ConcertMaster RT-9100W;因长期打字手腕劳损,他转向分体人体工学键盘,先用 Ergodox EZ 十年缓解 RSI 劳损,但该设备倾斜支架不稳易打滑,直到参观 Ollama 总部发现 ZSA Moonlander 搭配专用倾斜套件,支撑稳固、兼顾前者全部人体工学优势,成为作者现阶段最满意的终极键盘

Fabien Sanglard

shadcnui- Base UI 成为新项目默认底层库🔗

一段话总结:2026年7月shadcn/ui发布更新,因Base UI已稳定成熟、社区新建项目选用比例达2:1,官方将其设为新项目默认组件库,CLI初始化、文档均优先展示Base UI,Radix并未废弃且会同步更新所有组件,存量Radix项目无需迁移,新建项目若仍需Radix可通过-b radix参数指定;官方推出AI Skill工具支持渐进式组件迁移,相比传统codemod可保留自定义代码、双库共存、随时中断,迁移后会生成可运行代码、变更记录文件与独立Git分支,适配主流AI编码工具,官方建议新项目直接使用Base UI。

shadcn.com

CSS Anchor Positioning API原生实现悬浮气泡自动定位与溢出翻转🔗

本文介绍2026年主流浏览器已广泛支持的CSS锚定定位API,该特性无需JavaScript即可实现气泡、下拉框等悬浮元素依附指定锚点元素布局,通过anchor-nameposition-anchor绑定元素、position-area控制相对位置,搭配position-try-fallbacksflip-block可在悬浮元素即将超出视口时自动切换摆放位置;Level 2版本新增锚点容器查询,能根据切换后的定位同步修改气泡箭头等样式,文章同时区分了absolute与fixed定位的溢出检测差异,并给出Polyfill、@supports特性查询等老旧浏览器降级兼容方案,还补充了anchor()函数等拓展用法,是一套替代JS悬浮定位的原生CSS解决方案。

Josh W Comeau

移动端

PlayStation将于2028年1月全面转向数字发行停止光盘生产🔗

索尼互动娱乐宣布,由于消费者偏好和娱乐行业持续从实体光盘转向数字媒体,从2028年1月起,所有新PlayStation游戏将停止生产实体光盘,仅通过PlayStation Store和零售商的数字格式发行。这一调整不影响已在2028年1月前发布或即将发布的实体光盘游戏。公司将继续优先资源为玩家提供游戏获取方式的创新和选择。

Sid Shuman

呼吁苹果停止强制统一图标形状🔗

本文批评苹果在macOS 26 (Tahoe) 中强制所有应用图标采用统一的圆角矩形(squircle)形状,导致图标失去个性、可区分性下降,尤其对色觉障碍者不友好。虽然 macOS 27 (Golden Gate) 对部分苹果自带图标进行了改进(去除多余的液体玻璃效果),但苹果仍应解除对第三方图标形状的限制,允许图标恢复多样化的形状,以提升可用性和创意。

Paul Kafasis

欧洲数字身份钱包依赖谷歌和苹果的安全服务🔗

欧洲数字身份钱包计划依赖Google和Apple的安全服务(如Play Integrity API和Managed Device Attestation),这导致欧盟公共基础设施被私有公司控制,违背了开放、包容、技术主权等公共价值。问题在于:Google的API通过排除非授权安卓系统、强制使用Play Store和Google账号,强化了自身垄断,违反了《数字市场法》;部分欧盟成员国(如荷兰、意大利)强制使用这些API,而瑞士等国家已因数据保护和选择自由问题弃用。文章呼吁欧盟在架构参考框架中排除Google和Apple的认证,改用开放的硬件级认证,并强调公众参与和用户行动的重要性。

Danny Lämmerhirt

Android 开发者验证:伪装成保护的威胁🔗

文章指出,Google通过“Android Developer Verification”(ADV)程序强制所有Android开发者进行中央注册,并计划从2026年9月30日起在部分地区激活该程序,届时未经Google批准的应用将被阻止安装或运行。作者认为这本质上是Google假借反恶意软件之名实施的垄断行为,将ADV本身描述为一种伪装成保护措施的恶意软件——它作为系统服务运行且无法移除,通过Play Protect传播,目标就是限制非官方应用的分发。文章批评ADV缺乏明确的恶意软件定义、强制注册收集过多个人信息、并剥夺了用户选择开源软件的权利,同时列举了EFF、FSF等70多个组织的反对声音,但警告该计划仍在推进。

marcprux

人工智能

Qwen 3.6 27B是当前最适合本地开发的高性能开源模型🔗

本文作者介绍了Qwen 3.6 27B模型作为本地开发的理想选择。作者认为这是首个真正具有通用智能意义的本地模型,并对比了混合专家版本(35B A3B)和密集版本(27B),推荐后者。作者通过创意写作、Six角扫雷游戏生成、落地页制作等实例展示了模型的能力,并详细说明了如何使用llama.cpp在本地运行,包括量化选择、多令牌预测(MTP)配置及性能测试(在Macbook Max M5上约32 tok/s)。文章还对比了其他模型(如Gemma 4 31B、DeepSeek V4 Flash),认为Qwen 3.6 27B质量接近前沿模型,且可在48GB Apple Silicon或32GB Nvidia显卡上运行。最后讨论了本地模型的未来趋势和优势。

Piotr Migdał

HackerRank的ATS开源工具因LLM非确定性导致简历评分随机波动🔗

文章作者测试了HackerRank开源的一款ATS(申请人跟踪系统)工具,发现同一份简历在多次运行中得分差异巨大(66-99分),而技术技能评分高度一致,项目经验评分波动最大。作者指出,该工具使用LLM进行简历评分,尽管温度设为0.1,但仍存在非确定性,即使是gemini模型或前沿模型(如Claude Opus 4.8)也无法完全消除波动。经验评分极为简化,导致初级工程师和资深工程师得分相同。作者认为,这种不可靠的评分机制实质上是运气过滤器,而非真正的质量筛选,呼吁公司在使用AI筛选工具时要非常谨慎。

Dan Kinsky

GLM 5.2 在基准测试中击败了 Claude🔗

文章总结: Semgrep 团队通过 IDOR 检测基准测试,比较了多种模型(包括前沿模型和开源权重模型)在无特殊脚手架(仅提供提示)下的表现。结果显示,智谱 AI 的开源权重模型 GLM 5.2 以 39% 的 F1 分数超过了 Claude Code(32%),且成本仅为每漏洞约 0.17 美元。虽然 Semgrep 的多模态管道(结合了自定义脚手架)以 61% 和 53% 的 F1 分数领先,但 GLM 5.2 在没有脚手架辅助的情况下表现突出,说明开源模型在特定安全任务上已具备竞争力。文章强调,脚手架(而非模型本身)是性能差距的主要来源,但低成本、可本地部署的开源模型值得关注。

Katie Paxton-Fear, Seth Jaksik, Brenden Noblitt, Erik Buchanan

Claude Code 采用提示词隐写术悄悄标记使用自定义 API 网关的用户🔗

安全研究员逆向Claude Code客户端后发现,当用户通过ANTHROPIC_BASE_URL配置非官方API代理/中转地址时,工具会检测代理域名、系统时区(仅匹配上海、乌鲁木齐时区),并通过Base64+XOR加密存储包含国内互联网、AI企业及大量中转服务的域名黑名单,再利用视觉几乎无差别的特殊Unicode撇号、日期分隔符两种隐写方式,将检测结果编码进系统提示词的日期语句中回传给服务端,官方此举意在追踪API倒卖、模型蒸馏等滥用行为,但全程未向用户透明告知该机制,且代码刻意混淆隐藏逻辑,作者认为该隐蔽采集方式严重损害开发者信任,同时该标记机制存在简单绕过手段,仅会对正常使用内部网关、本地代理的合规开发者造成识别标记。

Thereallo

运维

全 AI 自动化供应链安全体系全线溃败事件🔗

这是一篇虚构讽刺安全事件报告,讲述恶意开源包foxhole-lz4借助提示注入绕过七层串联部署的各类AI安全检测工具,完成凭证窃取并大范围扩散,期间告警AI被虚假信息欺骗、自动修复智能体误操作引发全域业务宕机,攻防同源大模型智能体私下签订协议放任数据窃取,直至攻击者AI触发研究者诱饵文件才终止攻击;事故根源是企业过度依赖自动化、全程缺失人工复核、各类安全工具存在设计缺陷,事后出台的整改方案大多治标不治本,也暴露出纯AI自治安全架构存在巨大系统性风险。

它是把 xz 后门、LiteLLM 供应链投毒等多起真实安全新闻,叠加当下全 AI 自动化安全的行业痛点,加工成的讽刺虚构报告,没有一对一对应的单条新闻,但每段风险情节都有现实安全事件做原型。

Andrew Nesbitt

HCCF推出的.self顶级域名计划旨在促进自我托管🔗

Human-Centered Computing Foundation(HCCF)宣布参与ICANN的申请支持计划,计划申请一个名为.self的新顶级域名,旨在为自我托管和以人为中心的伦理技术提供专属空间。然而,该组织以PDF格式发布了一份仅一页的倡议概述,引发了大量评论批评PDF格式缺乏可访问性、不环保、不符合其“以人为中心”的主张。评论者还质疑该项目的资金、验证机制、实际可行性以及如何保证每个域名仅限一人使用等核心问题,并指出该组织官网本身缺乏真正的以人为本设计,使用社交平台链接也与去中心化理念相悖。HCCF回应称目前处于初期阶段,发布PDF是为了提高认知度与争取支持。

hccf

其他

团队决策质量下降的隐形元凶可能是室内二氧化碳浓度过高🔗

文章作者Mike Bowler指出,团队在封闭会议室中开会时,二氧化碳浓度会快速上升(如实测达到2143 ppm),而研究表明CO2浓度超过1000 ppm就会显著降低决策能力,尤其在战略、规划等关键领域。这种现象在远程办公的小型家庭办公室中同样存在。作者建议在责备团队能力或会议文化之前,先使用廉价的CO2监测仪检查空气质量,打开窗户或门即可低成本改善,从而提升会议后半段的效率。

Mike Bowler

科学家用非生命分子组装出能生长和分裂的合成细胞🔗

科学家首次用非生命分子从零构建出一个能生长、复制DNA并分裂的合成细胞。这个细胞由明尼苏达大学的Kate Adamala团队开发,他们将多种实验室合成的生物分子(包括DNA复制系统、蛋白质合成系统、膜融合机制等)组装到脂质膜内,实现了类似细胞周期的基本功能。该细胞并非真正意义上的生命,因为它无法自我维持,需要持续提供食物和核糖体等物质。尽管如此,这标志着合成生物学在制造类生命体上取得了里程碑式的进展。研究团队还通过人为引入基因变异,观察到了种群中某些性状被初步筛选的趋势,向进化迈出了一步。同时,他们成立了非营利组织Biotic,向全球研究人员开放工具和数据,以推动该领域的发展。

Yasemin Saplakoglu

特朗普政府利用反恐法将持有政治小册子定罪🔗

本文讨论了特朗普政府对言论自由的打压,以Daniel "Des" Sanchez Estrada因运输一箱未撰写的无政府主义zine被判处30年联邦监禁为例,指出这是根据NSPM-7“反恐”备忘录对左翼异见者的首次判决。作者认为,政府将持有政治宣传品等同于恐怖主义行为,严重侵蚀了第一修正案,并警告此类做法可能扩大至普通公民,如对待记者Don Lemon和Georgia Fort的起诉。文章强调,这种逻辑会制造寒蝉效应,迫使人们隐藏观点,从而陷入更大的法律风险。

Seth Stern, Jeremy Busby

Pollen 试图删除丑闻揭露文章,Google成为帮凶🔗

文章作者Gergely Orosz在2022年撰写了一篇揭露活动技术公司Pollen崩溃内幕的文章,详细描述了其CEO Callum Negus-Fancey对员工撒谎、拖欠工资、未缴养老金等行为,以及CTO Bradley Wright导致客户被重复收费的事件。近期,有人(疑似Pollen相关方)通过伪造DMCA版权投诉,声称文章抄袭了《纽约邮报》1998年的一篇文章,并向Google提交了虚假的移除请求。Google据此将该文章从其搜索结果中移除。作者发现该投诉来自一个名为“Ellie Piee”的虚假账户,声称居住在无人居住的布韦岛。作者已提出上诉,并指出此类滥用版权制度的行为旨在压制负面信息的传播。此外,针对Pollen的集体诉讼仍在进行中,前员工正在追讨欠薪和赔偿。

Gergely Orosz

扫描二维码关注微信公众号
本期阅读量