这篇文章指出,实现无密码魔法链接登录时,最容易踩的坑是邮件客户端预加载链接导致令牌提前失效,以及在邮箱内置浏览器登录后原页面未同步登录状态;作者给出的稳健方案是让魔法链接仅跳转到确认页,需用户手动点击确认才完成登录,同时原页面轮询验证状态,配合短期有效、单次使用、加密存储令牌的策略,既保证安全又解决体验问题。
"}},{"node":{"frontmatter":{"title":"Wine 11通过内核级重写大幅加速Linux运行Windows 游戏","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"devops","url":"https://www.xda-developers.com/wine-11-rewrites-linux-runs-windows-games-speed-gains/","author":"Adam Conway","translator":"","tags":["other"],"priority":1},"html":"Wine 11 是 Linux 游戏兼容性与性能的一次重大突破,核心亮点是引入NTSYNC内核级同步驱动。该机制由 Elizabeth Figura 开发并合入 Linux 6.14 内核,取代了 esync、fsync 等低效用户态方案,通过 /dev/ntsync 接口在内核中直接实现 Windows NT 同步原语,大幅降低线程调度开销与 wineserver 往返成本。实测多线程游戏帧率暴涨,例如《DiRT 3》从 110.6 FPS 提升到 860.7 FPS,增幅高达 678%。\nWine 11 还完整实现 WoW64 架构,可在 64 位 Linux 上原生运行 32 位甚至 16 位 Windows 程序,不再依赖 multilib。其他升级包括成熟的 Wayland 支持、X11 默认使用 EGL、Vulkan 1.4、Vulkan Video 硬解 H.264、增强力反馈、蓝牙 BLE、MIDI、Unicode 17、IPv6 ping 及大量游戏适配修复。
"}},{"node":{"frontmatter":{"title":"Push 失效,Pull 求值:Signal 响应式的核心设计","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"javascript","url":"https://willybrauner.com/journal/signal-the-push-pull-based-algorithm","author":"Willy Brauner","translator":"","tags":["other"],"priority":1},"html":"本文深入解析了前端响应式系统的核心——Signal 的 Push‑Pull 算法,阐明 Signal 作为响应式基础值采用 Push 机制,在数据更新时仅向订阅者推送失效通知而非直接传值,Computed 计算值则基于 Pull 机制实现惰性求值,仅在被读取且标记为脏时才重新计算并缓存结果,二者通过全局 STACK 栈完成自动依赖追踪与订阅关系清理,最终形成“推送失效、拉取求值”的高性能细粒度响应式模型,该算法也是 Solid、Vue、Preact 等现代框架响应式的底层通用逻辑,目前正推进成为 JavaScript 原生标准。
"}},{"node":{"frontmatter":{"title":"litellm 1.82.8 PyPI 包中恶意的文件","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"python","url":"https://github.com/BerriAI/litellm/issues/24512","author":"isfinne","translator":"","tags":["other"],"priority":1},"html":"该文章报告了PyPI上litellm 1.82.8版本包中存在的严重安全漏洞:该包包含一个恶意的litellm_init.pth文件(34,628字节),这是一个Python路径配置文件,会在Python解释器启动时自动执行,无需显式导入litellm模块。该.pth文件内嵌双层base64编码的恶意脚本,解码后会系统性地窃取主机上的各类敏感凭证信息,包括环境变量(含API密钥)、SSH私钥、Git凭据、AWS/GCP/Azure云平台凭证、Kubernetes配置、Docker配置、各种包管理器和数据库认证文件、Shell历史记录、加密货币钱包、SSL/TLS私钥以及CI/CD配置中的Webhook URL等;收集到的数据经AES-256-CBC加密后,再用硬编码的4096位RSA公钥加密会话密钥,最终打包为tpcp.tar.gz并通过curl上传至攻击者控制的域名models.litellm.cloud(非官方litellm.ai)。此供应链攻击影响所有安装过该版本的系统,包括本地开发机、CI/CD流水线、Docker容器及生产服务器,要求立即下架该包、用户排查并轮换所有可能泄露的凭证,并审计发布流程安全性。
"}},{"node":{"frontmatter":{"title":"node.js-re2 - 快速、安全的正则表达式引擎","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"nodejs","url":"https://github.com/uhop/node-re2","author":"Eugene Lazutkin","translator":"","tags":["regex"],"priority":1},"html":"node-re2 是 Google RE2 正则引擎的 Node.js 绑定,用线性时间 DFA 算法替代原生 JS 正则的回溯 NFA,能彻底避免 ReDoS 攻击与灾难性回溯,性能更稳更快,API 基本兼容原生 RegExp,支持直接处理 Buffer,缺点是不支持反向引用、前瞻后顾等高级语法,适合服务端安全校验、高并发与长文本正则场景。
"}},{"node":{"frontmatter":{"title":"pretext - 纯 JS 轻量文本测量与多行布局库","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"frontend","url":"https://github.com/chenglou/pretext","author":"cheng lou","translator":"","tags":["layout"],"priority":1},"html":""}},{"node":{"frontmatter":{"title":"个人百科全书","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"javascript","url":"https://whoami.wiki/blog/personal-encyclopedias","author":"Jeremy","translator":"","tags":["other"],"priority":1},"html":"文章讲述了作者Jeremy如何受到整理祖母家中老照片的启发,利用维基百科式软件(MediaWiki)构建个人生活百科全书的过程。起初,他为祖父婚礼等家庭历史事件手动整理照片、采访长辈、记录口述史,并尝试以维基格式撰写结构化条目;随后逐步引入AI工具(如Claude Code),使其基于照片EXIF数据、地理定位、银行账单、Uber行程、Shazam记录、社交媒体消息和语音笔记等多源数字足迹自动生成并持续完善百科页面。项目演变为名为whoami.wiki的开源工具,强调数据主权(本地运行、数据不上传)、结构化叙事与跨数据源关联能力——不仅高效保存记忆,更意外唤起被遗忘的情感细节,深化对家人与朋友的理解与联结,使技术最终服务于人文关怀与关系重建。
"}},{"node":{"frontmatter":{"title":"封禁网络存档挡不住 AI,只会毁掉公共历史","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"AI","url":"https://www.techdirt.com/2026/02/17/preserving-the-web-is-not-the-problem-losing-it-is/","author":"Mark Graham","translator":"","tags":["other"],"priority":1},"html":"《卫报》《纽约时报》、Reddit 等媒体与平台因担忧生成式AI大规模抓取,开始限制或屏蔽互联网档案馆(Wayback Machine)对其内容的收录,此举虽出于对AI的顾虑,但毫无依据且危害极大。互联网档案馆是非营利数字公共图书馆,已保存30年网络历史,是记者、研究者、公众与司法的核心史料工具,封禁它无法阻止AI滥用,只会摧毁公共历史记录,让网络记忆不可逆消失,损害公共利益与数字文明传承,文章强调保护内容不应以牺牲网络存档为代价。
"}},{"node":{"frontmatter":{"title":"微软Windows 11修复计划实为选择性撤回部分骚扰功能","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"other","url":"https://www.sambent.com/microsofts-plan-to-fix-windows-11-is-gaslighting/","author":"Sam Bent","translator":"","tags":["other"],"priority":1},"html":"文章猛烈批评微软近年来对Windows 11的系统性“破坏”行为:过去四年间,微软强行植入Copilot AI功能(无法移除、劫持快捷键、遍布各系统应用)、在操作系统多处(开始菜单、锁屏、设置、文件资源管理器等)插入广告(如KB5036980更新)、彻底取消本地账户选项(强制绑定微软云账户)、默认启用OneDrive自动同步并导致用户文件丢失、推出存在严重隐私风险的Recall屏幕录制功能(初始以明文存储敏感信息)、制造电子垃圾(因硬件限制迫使2.4亿台PC提前淘汰)、滥用暗黑模式操纵用户(Edge浏览器欺骗性设计)、虚假禁用遥测(Home/Pro版注册表设置AllowTelemetry=0被静默覆盖),并屡次违反反垄断承诺(欧盟累计罚款超22亿欧元)。尽管微软近期宣布“7点修复计划”,但该计划仅针对最表层的UI问题(如任务栏位置、广告数量减少),而所有涉及数据监控、账户锁定、文件控制、隐私侵犯等核心商业模式相关的侵害行为均未列入修复范围——作者尖锐指出,这并非真正的修复,而是将自身施加的伤害“撤回”后索要掌声,实质是继续将用户视为数据和利润来源。
"}},{"node":{"frontmatter":{"title":"有价值的事情就是需要时间","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"other","url":"https://lucumr.pocoo.org/2026/3/20/some-things-just-take-time/","author":"Armin Ronacher","translator":"","tags":["other"],"priority":1},"html":"本文是Armin Ronacher于2026年3月20日发表的一篇深刻反思性随笔,核心论点是“有些事情就是需要时间”——无论是自然生长的树木、人类成熟的过程、优质软件与开源项目的长期维护,还是信任关系与社区的建立,都无法被加速或绕过。作者对比了社会对“即时满足”的狂热追求(尤其在AI时代催生的快速编码、极速迭代、自动化替代人工等趋势)与真正有价值事物所依赖的“时间沉淀”之间的根本矛盾:瑞士手表、百年老宅、法定成年年龄等都体现了社会对时间价值的认可;而当前创业与开发文化中盲目消除一切“摩擦”(如合规流程、代码审查、审慎决策期)实则削弱了质量、可持续性和信任基础。作者以自身维护开源项目近二十年、经营一家初创公司十年的经历为例,强调持续投入、韧性坚持和代际传承才是构建持久价值的关键;同时批判了“节省时间”营销话术的虚幻性——AI工具并未真正释放时间,反而加剧了时间贫困。最后回归种树隐喻,重申耐心、承诺与时间积累不可替代。
"}},{"node":{"frontmatter":{"title":"欧盟仍试图扫描你的私人消息和照片","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"other","url":"https://fightchatcontrol.eu/?foo=bar","author":"Patrick Breyer","translator":"","tags":["other"],"priority":1},"html":"文章指出欧盟保守派政党欧洲人民党(EPP)正试图在周四(26日)推动对《聊天控制法案》(Chat Control)重新投票,意图推翻欧洲议会此前否决该法案的决定。该法案要求对私人通信(如消息和照片)进行大规模、无差别扫描,以检测非法内容,但被批评为严重侵犯公民隐私权和通信保密权,是对民主原则的直接攻击。多个数字权利组织——包括EDRI(欧洲数字权利组织)、noyb(欧洲数字权利中心)以及“抵制聊天控制”(Fight Chat Control)运动——联合发声反对,强调“否决就是否决”,呼吁公众立即采取行动捍卫基本权利。
"}},{"node":{"frontmatter":{"title":"将西班牙全部立法文件以 Git 仓库形式管理","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"devops","url":"https://github.com/EnriqueLop/legalize-es","author":"Enrique Lopez","translator":"","tags":["other"],"priority":1},"html":"旨在将西班牙全部立法文本以Git仓库形式进行版本化管理。项目将超过8600部西班牙法律(包括宪法、组织法、普通法、皇家法令等)转化为Markdown格式文件,每部法律对应一个独立文件,每次法律修订都作为一个独立的Git commit提交,commit日期采用官方公布的修订日期,并在commit信息中包含修订标识符和官方来源链接。所有法律文本均来自西班牙政府官方BOE(国家官方公报)的开放数据API,属于公共领域;而仓库结构、元数据和工具则采用MIT许可证。项目提供了快速入门指南,展示如何克隆仓库、搜索特定法律条款、查看修改历史以及比较不同版本间的精确差异。此外,项目还计划推出Legalize API,支持程序化访问、搜索、版本比较和变更通知等功能。
"}},{"node":{"frontmatter":{"title":"赌博与预测市场所引发的最坏影响尚未显现","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"other","url":"https://www.derekthompson.org/p/we-havent-seen-the-worst-of-what","author":"Derek Thompson","translator":"","tags":["other"],"priority":1},"html":"文章探讨了美国赌博业和预测市场(如Polymarket、Kalshi)爆炸式增长所带来的深层社会危机。作者通过三个真实案例揭示其危害:一是2025年克利夫兰守护者队两名投手被控“操纵投球”以配合赌注牟利;二是有人在美军空袭伊朗前数小时于Polymarket下注并获利55.3万美元,引发对内幕交易与战争投机的严重质疑;三是记者在报道伊朗导弹袭击地点时遭赌徒胁迫修改内容,以影响1400万美元赌注赔付。文章指出,体育博彩合法化(2018年最高法院裁决后)使年投注额十年间从50亿美元飙升至1600亿美元,规模堪比全美国内航空业;预测市场2025年营收已达500亿美元,正将赌博逻辑扩展至奥斯卡奖、政治事件乃至饥荒与核爆等人类悲剧。作者警示四大风险:赌徒成瘾与破产激增;运动员与记者遭网络暴力与威胁;体育与新闻公信力崩塌(三分之二美国人已怀疑球员操纵比赛);最危险的是政治领域出现“ rigged pitch”——政客为自身或盟友赌注利益而扭曲政策决策。文章最终批判一种更深层的异化:在传统价值(爱国、信仰、家庭)衰微的“低信任时代”,金钱已成为社会唯一的道德语言与终极仲裁者,导致人性让位于市场效率,连对饥荒、战争的投注都丧失基本道德禁忌。
"}},{"node":{"frontmatter":{"title":"苹果推出免费基础服务加可选增值服务模式的企业版","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"mobile","url":"https://www.apple.com/newsroom/2026/03/introducing-apple-business-a-new-all-in-one-platform-for-businesses-of-all-sizes/","author":"Apple","translator":"","tags":["other"],"priority":1},"html":"Apple于2026年3月24日宣布推出全新的“Apple Business”一体化商业平台,该平台将于4月14日正式上线,面向全球200多个国家和地区免费提供。该平台整合了此前分散的Apple Business Connect、Apple Business Essentials和Apple Business Manager三大服务,旨在为各类规模企业(尤其小型企业)提供端到端的数字化运营支持。核心功能包括:内置移动设备管理(MDM),支持零接触部署、预配置“Blueprints”模板、加密分离工作与个人数据的Managed Apple Accounts、员工分组与权限管理、App分发及Admin API;集成式商务邮箱、日历与公司通讯录服务,支持自定义域名;增强型品牌与位置管理工具,统一管控企业在Apple Maps、Wallet、Mail、Safari等生态中的品牌呈现(如富媒体地点卡片、定制行动按钮、订单追踪品牌化、Tap to Pay品牌显示);新增基于隐私优先原则的Apple Maps本地广告功能(今夏起率先在美国和加拿大上线),支持在搜索结果和“推荐地点”中智能展示并提供自动化投放流程;配套推出Apple Business移动应用,便于员工安装工作应用、查看同事信息及提交支持请求。此外,平台还提供可选的付费增值服务,如升级iCloud存储(起价$0.99/用户/月)和AppleCare+ for Business(起价$6.99/设备/月)。原有三项商业服务将在新平台上线后停止运营,现有用户数据将自动迁移。
"}},{"node":{"frontmatter":{"title":"队列无法解决容量问题,只会延迟问题","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"nodejs","url":"https://pushtoprod.substack.com/p/queueing-requests-queues-your-capacity-problems-too","author":"Matthew Hawthorne","translator":"","tags":["other"],"priority":1},"html":"文章指出,请求排队(queue)并不能解决系统的容量问题,它只是一个“缓冲器”:当请求到达速度超过系统处理能力时,任务就会被堆积在队列中,而不会让系统变得更快。([Slys][1]) 随着队列变长,请求的延迟会线性增长,本质上大部分时间都在“等待”而不是处理。([Made of Bugs][2]) 队列的出现往往意味着系统已经接近或超过容量上限,其根本原因是处理能力不足、资源瓶颈(CPU/IO/连接池等)或并发控制不当,而不是单纯流量大。([APIPark][3]) 因此,正确做法不是一味加队列,而是控制输入(限流/拒绝)、减少工作量、提高处理效率或扩展容量,否则队列只会掩盖问题并放大延迟甚至导致级联故障。
"}},{"node":{"frontmatter":{"title":"AI代理和放慢节奏的一些思考","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"AI","url":"https://mariozechner.at/posts/2026-03-25-thoughts-on-slowing-the-fuck-down/","author":"Mario Zechner","translator":"","tags":["other"],"priority":1},"html":"本文是一篇对当前AI编程代理(coding agents)热潮的深刻反思与批判性分析。作者指出,尽管AI编码代理在个人项目和快速原型开发中具有一定价值,但将其盲目应用于生产环境已导致软件质量严重下滑——系统变得脆弱、Bug频出、架构混乱、复杂度失控。文章剖析了多个核心问题:代理缺乏学习能力,导致错误持续重复并指数级累积;人类退出开发闭环后,失去了作为“瓶颈”的质量控制作用,使微小缺陷迅速演变为不可维护的代码怪物;代理在架构决策中成为“习得复杂性的商人”,堆砌无效抽象与冗余代码;其搜索能力(agentic search)在大型代码库中召回率极低,加剧重复与不一致。作者强调,真正有效的使用方式应是“人主导、代理辅助”:严格限定代理任务范围(局部、可评估、非关键),由人类把控架构、API、核心设计等系统“气质”要素,主动放慢节奏、保留思考与审查空间,并将减速本身视为一种必要纪律和专业责任。
"}},{"node":{"frontmatter":{"title":"切勿将儿童保护变成互联网访问管控","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"python","url":"https://news.dyne.org/child-protection-is-not-access-control/","author":"Jaromil","translator":"","tags":["other"],"priority":1},"html":"本文是一篇批判性技术政策评论,作者Jaromil指出当前全球范围内兴起的“年龄验证”立法浪潮(在欧洲、美国、英国、澳大利亚等地蔓延至社交媒体、通讯、游戏、搜索引擎等主流互联网服务)正将儿童保护异化为普遍性的互联网准入控制机制。文章强调,年龄验证本质上不是单纯的内容安全工具,而是一种系统性身份基础设施——它正从网站级一次性检查,下沉至操作系统层(如Linux systemd新增birthDate字段),构建持久化的设备级年龄身份层,从而颠覆互联网“默认开放访问”的根本原则。作者尖锐指出,这混淆了“内容审核”(技术性分类过滤)与“监护责任”(家长、教师、学校等基于具体情境的教育性判断)两个本质不同的问题;所谓保护儿童的名义下,实则推动大规模身份采集、元数据留存和中间商介入,加剧隐私侵蚀、数字排斥,并为未来扩展至国籍、位置等其他身份维度埋下伏笔。更关键的是,该机制在技术上极易被绕过(VPN、借号、伪造证件等),却成本高昂,实则服务于某些数据驱动型企业的利益。作者主张回归本地化、去中心化方案:内容审核应靠近终端(浏览器、设备、校园网),监护权应回归家庭与社区;操作系统仅作为用户可控的本地策略界面,而非向远程服务广播年龄信息的通用层。真正有效的儿童保护应直指推荐算法、黑暗模式、成瘾性设计及失责商业模型等根源问题。
"}},{"node":{"frontmatter":{"title":"为何如此多的控制室采用海泡沫绿配色","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"AI","url":"https://bethmathews.substack.com/p/why-so-many-control-rooms-were-seafoam","author":"Beth Mathews","translator":"","tags":["other"],"priority":1},"html":"文章以作者参观美国橡树岭国家实验室曼哈顿计划遗址时注意到控制室普遍采用海藻绿(seafoam green)为切入点,展开对20世纪中叶工业色彩设计理论的深入探究。核心线索指向美国著名色彩理论家法伯·伯伦(Faber Birren),他虽未接受正规艺术教育,却通过自主研究开创了工业色彩心理学与应用实践。二战期间,伯伦与杜邦公司合作,为战时工业设施制定了一套系统化、功能导向的色彩安全编码体系,并于1944年获美国国家安全委员会批准、1948年起成为国际强制标准。其中,“浅绿色”(Light Green)被明确指定用于墙壁,旨在减轻视觉疲劳、营造沉静专注的工作环境;“安全绿”(Safety Green)则用于标识急救设备与出口。文章通过对比X-10反应堆控制室、汉福德B反应堆控制室等真实历史空间的配色方案,证实该理论被严格贯彻——墙面采用浅绿与中绿搭配,机械为中灰,消防设施为火红色,充分体现了“色彩应具功能性而非仅装饰性”的理念。作者还延伸提及该色彩影响遍及医院、学校及工厂,并引发读者关于色彩文化流行与理论先导关系的讨论。
"}},{"node":{"frontmatter":{"title":"微软内部人员正努力取消强制使用微软账户","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"python","url":"https://www.windowscentral.com/microsoft/windows-11/people-inside-microsoft-are-fighting-to-drop-windows-11s-mandatory-microsoft-account-requirements-during-setup","author":"Zac Bowden","translator":"","tags":["other"],"priority":1},"html":"文章报道了微软内部正就Windows 11强制要求用户在初始设置时绑定Microsoft账户这一政策展开争论。尽管微软近期宣布了一系列针对Windows 11性能、更新可靠性、AI功能冗余及广告过多等问题的重大改进,但并未触及这一饱受诟病的强制账户政策。作者指出,该要求引发大量用户不满,且微软官方公告中甚至未提及Microsoft账户相关议题。不过,微软副总裁兼知名开发者Scott Hanselman在社交平台X上公开表示“我也讨厌这一点,正在推进解决”,暗示内部已有高层支持放松该限制。文章强调,这并非技术难题,而是涉及多部门利益协调的政策决策问题——云服务、广告、同步生态等团队均从强制账户中获益,因此需经跨部门委员会审议。目前尚无明确时间表或承诺,但内部推动已初见端倪,反映出微软在用户体验与商业利益之间正面临关键权衡。
"}},{"node":{"frontmatter":{"title":"过山车大亨中看到的优化黄金标准","publish":true,"cover":"","showCover":null,"date":"2026-04-04","category":"javascript","url":"https://larstofus.com/2026/03/22/the-gold-standard-of-optimization-a-look-under-the-hood-of-rollercoaster-tycoon/","author":"Lars Thießen","translator":"","tags":["other"],"priority":1},"html":"这篇文章分析了经典游戏《RollerCoaster Tycoon》为何被视为“优化的黄金标准”。作者指出,其性能优势并不只是因为使用汇编语言,而在于开发者对硬件运行机制的深刻理解,并据此做出系统性设计:例如采用数据导向结构,将数据连续存储以提升缓存命中率;用位运算和乘法替代除法、用查表法减少实时计算;尽量使用整数避免浮点开销;同时减少内存访问和对象创建。在算法层面,避免全局扫描和高复杂度方案,转而使用局部更新、启发式规则以及分帧处理,把大任务拆分执行。此外,开发者接受“近似正确”,用简单规则替代精确模拟,从而显著降低计算成本。文章强调,真正的优化在于建立清晰的性能模型,通过这些具体技巧让程序始终只做必要的工作,而非依赖语言或硬件性能。
"}}]}}