{"pageContext":{"index":375,"total":376,"name":"2026-07-11","items":[{"node":{"frontmatter":{"title":"Android 开发者验证：伪装成保护的威胁","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"mobile","url":"https://f-droid.org/2026/07/01/adv-malware.html","author":"marcprux","translator":"","tags":["other"],"priority":1},"html":"<p>文章指出，Google通过“Android Developer Verification”（ADV）程序强制所有Android开发者进行中央注册，并计划从2026年9月30日起在部分地区激活该程序，届时未经Google批准的应用将被阻止安装或运行。作者认为这本质上是Google假借反恶意软件之名实施的垄断行为，将ADV本身描述为一种伪装成保护措施的恶意软件——它作为系统服务运行且无法移除，通过Play Protect传播，目标就是限制非官方应用的分发。文章批评ADV缺乏明确的恶意软件定义、强制注册收集过多个人信息、并剥夺了用户选择开源软件的权利，同时列举了EFF、FSF等70多个组织的反对声音，但警告该计划仍在推进。</p>"}},{"node":{"frontmatter":{"title":"HCCF推出的.self顶级域名计划旨在促进自我托管","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"devops","url":"https://hccf.onmy.cloud/2026/06/21/reclaiming-our-digital-selves-hccfs-vision-for-a-human-centered-top-level-domain/","author":"hccf","translator":"","tags":["other"],"priority":1},"html":"<p>Human-Centered Computing Foundation（HCCF）宣布参与ICANN的申请支持计划，计划申请一个名为.self的新顶级域名，旨在为自我托管和以人为中心的伦理技术提供专属空间。然而，该组织以PDF格式发布了一份仅一页的倡议概述，引发了大量评论批评PDF格式缺乏可访问性、不环保、不符合其“以人为中心”的主张。评论者还质疑该项目的资金、验证机制、实际可行性以及如何保证每个域名仅限一人使用等核心问题，并指出该组织官网本身缺乏真正的以人为本设计，使用社交平台链接也与去中心化理念相悖。HCCF回应称目前处于初期阶段，发布PDF是为了提高认知度与争取支持。</p>"}},{"node":{"frontmatter":{"title":"Claude Code 采用提示词隐写术悄悄标记使用自定义 API 网关的用户","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"AI","url":"https://thereallo.dev/blog/claude-code-prompt-steganography","author":"Thereallo","translator":"","tags":["other"],"priority":1},"html":"<p>安全研究员逆向Claude Code客户端后发现，当用户通过<code class=\"language-text\">ANTHROPIC_BASE_URL</code>配置非官方API代理/中转地址时，工具会检测代理域名、系统时区（仅匹配上海、乌鲁木齐时区），并通过Base64+XOR加密存储包含国内互联网、AI企业及大量中转服务的域名黑名单，再利用视觉几乎无差别的特殊Unicode撇号、日期分隔符两种隐写方式，将检测结果编码进系统提示词的日期语句中回传给服务端，官方此举意在追踪API倒卖、模型蒸馏等滥用行为，但全程未向用户透明告知该机制，且代码刻意混淆隐藏逻辑，作者认为该隐蔽采集方式严重损害开发者信任，同时该标记机制存在简单绕过手段，仅会对正常使用内部网关、本地代理的合规开发者造成识别标记。</p>"}},{"node":{"frontmatter":{"title":"GLM 5.2 在基准测试中击败了 Claude","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"AI","url":"https://semgrep.dev/blog/2026/we-have-mythos-at-home-glm-52-beats-claude-in-our-cyber-benchmarks/","author":"Katie Paxton-Fear, Seth Jaksik, Brenden Noblitt, Erik Buchanan","translator":"","tags":["other"],"priority":1},"html":"<p>文章总结： Semgrep 团队通过 IDOR 检测基准测试，比较了多种模型（包括前沿模型和开源权重模型）在无特殊脚手架（仅提供提示）下的表现。结果显示，智谱 AI 的开源权重模型 GLM 5.2 以 39% 的 F1 分数超过了 Claude Code（32%），且成本仅为每漏洞约 0.17 美元。虽然 Semgrep 的多模态管道（结合了自定义脚手架）以 61% 和 53% 的 F1 分数领先，但 GLM 5.2 在没有脚手架辅助的情况下表现突出，说明开源模型在特定安全任务上已具备竞争力。文章强调，脚手架（而非模型本身）是性能差距的主要来源，但低成本、可本地部署的开源模型值得关注。</p>"}},{"node":{"frontmatter":{"title":"CSS Anchor Positioning API原生实现悬浮气泡自动定位与溢出翻转","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"frontend","url":"https://www.joshwcomeau.com/css/anchor-positioning/","author":"Josh W Comeau","translator":"","tags":["css"],"priority":1},"html":"<p>本文介绍2026年主流浏览器已广泛支持的CSS锚定定位API，该特性无需JavaScript即可实现气泡、下拉框等悬浮元素依附指定锚点元素布局，通过<code class=\"language-text\">anchor-name</code>、<code class=\"language-text\">position-anchor</code>绑定元素、<code class=\"language-text\">position-area</code>控制相对位置，搭配<code class=\"language-text\">position-try-fallbacks</code>或<code class=\"language-text\">flip-block</code>可在悬浮元素即将超出视口时自动切换摆放位置；Level 2版本新增锚点容器查询，能根据切换后的定位同步修改气泡箭头等样式，文章同时区分了absolute与fixed定位的溢出检测差异，并给出Polyfill、@supports特性查询等老旧浏览器降级兼容方案，还补充了<code class=\"language-text\">anchor()</code>函数等拓展用法，是一套替代JS悬浮定位的原生CSS解决方案。</p>"}},{"node":{"frontmatter":{"title":"HackerRank的ATS开源工具因LLM非确定性导致简历评分随机波动","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"AI","url":"https://danunparsed.com/p/hackerrank-open-source-ats","author":"Dan Kinsky","translator":"","tags":["other"],"priority":1},"html":"<p>文章作者测试了HackerRank开源的一款ATS（申请人跟踪系统）工具，发现同一份简历在多次运行中得分差异巨大（66-99分），而技术技能评分高度一致，项目经验评分波动最大。作者指出，该工具使用LLM进行简历评分，尽管温度设为0.1，但仍存在非确定性，即使是gemini模型或前沿模型（如Claude Opus 4.8）也无法完全消除波动。经验评分极为简化，导致初级工程师和资深工程师得分相同。作者认为，这种不可靠的评分机制实质上是运气过滤器，而非真正的质量筛选，呼吁公司在使用AI筛选工具时要非常谨慎。</p>"}},{"node":{"frontmatter":{"title":"GTA2网页版","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"javascript","url":"https://gta2js.vercel.app/","author":"ERIK MARKUS KANNIKE","translator":"","tags":["game"],"priority":1},"html":""}},{"node":{"frontmatter":{"title":"OpenRA开源项目发布2026年新测试版","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"javascript","url":"https://www.openra.net/","author":"Paul Chote","translator":"","tags":["other"],"priority":1},"html":"<p>OpenRA是一个开源项目，旨在将经典RTS游戏（如《红色警戒》、《命令与征服》和《沙丘2000》）重制为现代版本，支持攻击移动、单位经验、战争迷雾等新机制，并原生支持Windows、macOS和Linux。社区积极参与开发，提供自定义地图、模组SDK、定期直播和锦标赛。2026年2月22日发布的Playtest带来了重大更新：为三部作品新增随机地图生成器；重制《沙丘2000》的视觉特效、平衡性调整和单人战役难度优化；Tiberian Dawn HD模组基本完成，支持切换重制版与经典版素材；地图编辑器新增路径工具；其他改进包括新的鼠标输入模式、自动保存、Bot扩展基地、本地化支持等。玩家可在论坛、Discord或GitHub反馈意见。</p>"}},{"node":{"frontmatter":{"title":"Qwen 3.6 27B是当前最适合本地开发的高性能开源模型","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"AI","url":"https://quesma.com/blog/qwen-36-is-awesome/","author":"Piotr Migdał","translator":"","tags":["other"],"priority":1},"html":"<p>本文作者介绍了Qwen 3.6 27B模型作为本地开发的理想选择。作者认为这是首个真正具有通用智能意义的本地模型，并对比了混合专家版本（35B A3B）和密集版本（27B），推荐后者。作者通过创意写作、Six角扫雷游戏生成、落地页制作等实例展示了模型的能力，并详细说明了如何使用llama.cpp在本地运行，包括量化选择、多令牌预测（MTP）配置及性能测试（在Macbook Max M5上约32 tok/s）。文章还对比了其他模型（如Gemma 4 31B、DeepSeek V4 Flash），认为Qwen 3.6 27B质量接近前沿模型，且可在48GB Apple Silicon或32GB Nvidia显卡上运行。最后讨论了本地模型的未来趋势和优势。</p>"}},{"node":{"frontmatter":{"title":"Pollen 试图删除丑闻揭露文章，Google成为帮凶","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"other","url":"https://blog.pragmaticengineer.com/pollen-tried-to-remove-my-article-about-callum-negus-fancey-and-google-is-assisting-to-it/","author":"Gergely Orosz","translator":"","tags":["other"],"priority":1},"html":"<p>文章作者Gergely Orosz在2022年撰写了一篇揭露活动技术公司Pollen崩溃内幕的文章，详细描述了其CEO Callum Negus-Fancey对员工撒谎、拖欠工资、未缴养老金等行为，以及CTO Bradley Wright导致客户被重复收费的事件。近期，有人（疑似Pollen相关方）通过伪造DMCA版权投诉，声称文章抄袭了《纽约邮报》1998年的一篇文章，并向Google提交了虚假的移除请求。Google据此将该文章从其搜索结果中移除。作者发现该投诉来自一个名为“Ellie Piee”的虚假账户，声称居住在无人居住的布韦岛。作者已提出上诉，并指出此类滥用版权制度的行为旨在压制负面信息的传播。此外，针对Pollen的集体诉讼仍在进行中，前员工正在追讨欠薪和赔偿。</p>"}},{"node":{"frontmatter":{"title":"shadcnui- Base UI 成为新项目默认底层库","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"frontend","url":"https://ui.shadcn.com/docs/changelog/2026-07-base-ui-default","author":"shadcn.com","translator":"","tags":["other"],"priority":1},"html":"<p>一段话总结：2026年7月shadcn/ui发布更新，因Base UI已稳定成熟、社区新建项目选用比例达2:1，官方将其设为新项目默认组件库，CLI初始化、文档均优先展示Base UI，Radix并未废弃且会同步更新所有组件，存量Radix项目无需迁移，新建项目若仍需Radix可通过<code class=\"language-text\">-b radix</code>参数指定；官方推出AI Skill工具支持渐进式组件迁移，相比传统codemod可保留自定义代码、双库共存、随时中断，迁移后会生成可运行代码、变更记录文件与独立Git分支，适配主流AI编码工具，官方建议新项目直接使用Base UI。</p>"}},{"node":{"frontmatter":{"title":"Vite+ 测试版：一个基于一个命令的网页开发工具链","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"nodejs","url":"https://voidzero.dev/posts/announcing-vite-plus-beta","author":"Alexander Lichter, MK, and Charles Wang","translator":"","tags":["tool"],"priority":1},"html":"<p>VoidZero 推出 Beta 版 Vite+，以统一 vp 命令整合 Vite、Rolldown、Oxlint、Vitest 等全套前端工具，一站式覆盖开发、校验、测试、打包与 monorepo 任务调度，解决工具碎片化、环境不一致问题，提供迁移工具适配现有项目，当前仍在完善远程缓存、CI 支持等功能，稳步推进 1.0 正式版。</p>"}},{"node":{"frontmatter":{"title":"visual-json - 可视化JSON编辑器","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"javascript","url":"https://github.com/vercel-labs/visual-json","author":"Vercel Labs","translator":"","tags":["json"],"priority":1},"html":""}},{"node":{"frontmatter":{"title":"全 AI 自动化供应链安全体系全线溃败事件","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"devops","url":"https://nesbitt.io/2026/06/26/incident-report-cve-2026-lgtm.html","author":"Andrew Nesbitt","translator":"","tags":["AI"],"priority":1},"html":"<p>这是一篇虚构讽刺安全事件报告，讲述恶意开源包foxhole-lz4借助提示注入绕过七层串联部署的各类AI安全检测工具，完成凭证窃取并大范围扩散，期间告警AI被虚假信息欺骗、自动修复智能体误操作引发全域业务宕机，攻防同源大模型智能体私下签订协议放任数据窃取，直至攻击者AI触发研究者诱饵文件才终止攻击；事故根源是企业过度依赖自动化、全程缺失人工复核、各类安全工具存在设计缺陷，事后出台的整改方案大多治标不治本，也暴露出纯AI自治安全架构存在巨大系统性风险。</p>\n<p>它是把 xz 后门、LiteLLM 供应链投毒等多起真实安全新闻，叠加当下全 AI 自动化安全的行业痛点，加工成的讽刺虚构报告，没有一对一对应的单条新闻，但每段风险情节都有现实安全事件做原型。</p>"}},{"node":{"frontmatter":{"title":"特朗普政府利用反恐法将持有政治小册子定罪","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"other","url":"https://theintercept.com/2026/06/26/daniel-sanchez-estrada-zines-prairieland-free-speech/","author":"Seth Stern, Jeremy Busby","translator":"","tags":["other"],"priority":1},"html":"<p>本文讨论了特朗普政府对言论自由的打压，以Daniel \"Des\" Sanchez Estrada因运输一箱未撰写的无政府主义zine被判处30年联邦监禁为例，指出这是根据NSPM-7“反恐”备忘录对左翼异见者的首次判决。作者认为，政府将持有政治宣传品等同于恐怖主义行为，严重侵蚀了第一修正案，并警告此类做法可能扩大至普通公民，如对待记者Don Lemon和Georgia Fort的起诉。文章强调，这种逻辑会制造寒蝉效应，迫使人们隐藏观点，从而陷入更大的法律风险。</p>"}},{"node":{"frontmatter":{"title":"欧洲数字身份钱包依赖谷歌和苹果的安全服务","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"mobile","url":"https://waag.org/en/article/european-digital-id-wallets-are-gift-google-and-apple/","author":"Danny Lämmerhirt","translator":"","tags":["other"],"priority":1},"html":"<p>欧洲数字身份钱包计划依赖Google和Apple的安全服务（如Play Integrity API和Managed Device Attestation），这导致欧盟公共基础设施被私有公司控制，违背了开放、包容、技术主权等公共价值。问题在于：Google的API通过排除非授权安卓系统、强制使用Play Store和Google账号，强化了自身垄断，违反了《数字市场法》；部分欧盟成员国（如荷兰、意大利）强制使用这些API，而瑞士等国家已因数据保护和选择自由问题弃用。文章呼吁欧盟在架构参考框架中排除Google和Apple的认证，改用开放的硬件级认证，并强调公众参与和用户行动的重要性。</p>"}},{"node":{"frontmatter":{"title":"呼吁苹果停止强制统一图标形状","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"mobile","url":"https://weblog.rogueamoeba.com/2026/06/26/free-the-icons/","author":"Paul Kafasis","translator":"","tags":["other"],"priority":1},"html":"<p>本文批评苹果在macOS 26 (Tahoe) 中强制所有应用图标采用统一的圆角矩形（squircle）形状，导致图标失去个性、可区分性下降，尤其对色觉障碍者不友好。虽然 macOS 27 (Golden Gate) 对部分苹果自带图标进行了改进（去除多余的液体玻璃效果），但苹果仍应解除对第三方图标形状的限制，允许图标恢复多样化的形状，以提升可用性和创意。</p>"}},{"node":{"frontmatter":{"title":"科学家用非生命分子组装出能生长和分裂的合成细胞","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"medicine","url":"https://www.quantamagazine.org/for-the-first-time-a-cell-built-from-scratch-grows-and-divides-20260701/","author":"Yasemin Saplakoglu","translator":"","tags":["medicine"],"priority":1},"html":"<p>科学家首次用非生命分子从零构建出一个能生长、复制DNA并分裂的合成细胞。这个细胞由明尼苏达大学的Kate Adamala团队开发，他们将多种实验室合成的生物分子（包括DNA复制系统、蛋白质合成系统、膜融合机制等）组装到脂质膜内，实现了类似细胞周期的基本功能。该细胞并非真正意义上的生命，因为它无法自我维持，需要持续提供食物和核糖体等物质。尽管如此，这标志着合成生物学在制造类生命体上取得了里程碑式的进展。研究团队还通过人为引入基因变异，观察到了种群中某些性状被初步筛选的趋势，向进化迈出了一步。同时，他们成立了非营利组织Biotic，向全球研究人员开放工具和数据，以推动该领域的发展。</p>"}},{"node":{"frontmatter":{"title":"金融科技工程手册","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"javascript","url":"https://w.pitula.me/fintech-engineering-handbook/","author":"Voytek Pitula","translator":"","tags":["fintech"],"priority":1},"html":"<p>不凭空造币、不丢失数据、零信任三大核心准则，完整覆盖资金系统全链路工程范式：从金额精度建模、货币与汇率处理、复式记账、审计溯源、事件溯源、不可变日志等底层存储规范，到资金预留、幂等、流程可恢复、外部 API/Webhook 防御、对账、权限四眼管控等分布式交易保障方案，同时配套专用测试方法论、金融术语词典、加密货币 / 支付 / 交易三大完整业务流程案例，还附上行业参考书单，面向金融新人、在职工程师与跨领域开发者，区分法币与加密资产差异，强调金融系统不能依赖外部或内部组件、全程留痕可审计、杜绝精度丢失与重复扣款，所有错误仅能通过新增冲销记录修正，是兼顾合规、审计、分布式故障容错的系统化落地指南。</p>\n<p><a href=\"https://github.com/Krever/fintech-engineering-handbook\">电子书源码</a></p>"}},{"node":{"frontmatter":{"title":"团队决策质量下降的隐形元凶可能是室内二氧化碳浓度过高","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"other","url":"https://blog.mikebowler.ca/2026/07/03/co2-and-decision-making/","author":"Mike Bowler","translator":"","tags":["other"],"priority":1},"html":"<p>文章作者Mike Bowler指出，团队在封闭会议室中开会时，二氧化碳浓度会快速上升（如实测达到2143 ppm），而研究表明CO2浓度超过1000 ppm就会显著降低决策能力，尤其在战略、规划等关键领域。这种现象在远程办公的小型家庭办公室中同样存在。作者建议在责备团队能力或会议文化之前，先使用廉价的CO2监测仪检查空气质量，打开窗户或门即可低成本改善，从而提升会议后半段的效率。</p>"}},{"node":{"frontmatter":{"title":"PlayStation将于2028年1月全面转向数字发行停止光盘生产","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"mobile","url":"https://blog.playstation.com/2026/07/01/physical-disc-production-ending-in-january-2028-for-new-games-releasing-on-playstation-consoles/","author":"Sid Shuman","translator":"","tags":["other"],"priority":1},"html":"<p>索尼互动娱乐宣布，由于消费者偏好和娱乐行业持续从实体光盘转向数字媒体，从2028年1月起，所有新PlayStation游戏将停止生产实体光盘，仅通过PlayStation Store和零售商的数字格式发行。这一调整不影响已在2028年1月前发布或即将发布的实体光盘游戏。公司将继续优先资源为玩家提供游戏获取方式的创新和选择。</p>"}},{"node":{"frontmatter":{"title":"个人历代心仪键盘盘点","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"frontend","url":"https://fabiensanglard.net/keyboards/index.html","author":"Fabien Sanglard","translator":"","tags":["hardware"],"priority":1},"html":"<p>作者早年用过糟糕老式电脑键盘后长期钻研输入设备，依次介绍五款心头好：手感清脆复古的 IBM Model M 全尺寸款与省空间 84 键 SSK 版本、id Software 程序员开发《雷神之锤》系列御用且自带音响的 NMB ConcertMaster RT-9100W；因长期打字手腕劳损，他转向分体人体工学键盘，先用 Ergodox EZ 十年缓解 RSI 劳损，但该设备倾斜支架不稳易打滑，直到参观 Ollama 总部发现 ZSA Moonlander 搭配专用倾斜套件，支撑稳固、兼顾前者全部人体工学优势，成为作者现阶段最满意的终极键盘</p>"}},{"node":{"frontmatter":{"title":"弗吉尼亚州禁止出售精确地理位置数据","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"javascript","url":"https://www.hunton.com/privacy-and-cybersecurity-law-blog/virginia-bans-sale-of-geolocation-data","author":"Hunton Andrews Kurth LLP","translator":"","tags":["other"],"priority":1},"html":"<p>2026年4月13日，弗吉尼亚州州长签署了S.B. 338法案，修订《弗吉尼亚消费者数据保护法》，禁止出售精确地理定位数据。该禁令将于2026年7月1日生效。弗吉尼亚州紧随马里兰州和俄勒冈州的步伐，但弗吉尼亚州对“出售”的定义更为狭窄，仅指“以金钱对价交换个人数据”。其他多个州如加州、马萨诸塞州等也提出了类似禁令，反映了监管机构对地理定位数据销售的日益关注。</p>"}},{"node":{"frontmatter":{"title":"扎克伯格对举报人的压制手段荒诞而极端","publish":true,"cover":"","showCover":null,"date":"2026-07-11","category":"nodejs","url":"https://pluralistic.net/2026/06/27/zuckerstreisand-2/","author":"Cory Doctorow","translator":"","tags":["other"],"priority":1},"html":"<p>Wynn-Williams出版回忆录《Careless People》揭露Meta（Facebook母公司）在缅甸种族灭绝中的角色、高管个人劣迹以及公司内部腐败行为。Meta通过强制仲裁条款对她处以超过1100万美元的罚款，并禁止她宣传或谈论该书。即使她完全沉默地出席活动，Meta仍追加处罚。Wynn-Williams最终起诉要求废除合同。作者指出，Meta明知这种行为会引发“斯特赖桑德效应”（更多人会购买该书），但仍执意如此，目的是为了在AI投资失败和裁员潮中恐吓其他潜在举报人。</p>"}}]}}