惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

G
Google Developers Blog
Jina AI
Jina AI
大猫的无限游戏
大猫的无限游戏
Martin Fowler
Martin Fowler
博客园 - 司徒正美
云风的 BLOG
云风的 BLOG
C
Cybersecurity and Infrastructure Security Agency CISA
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
S
Securelist
S
Security Affairs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
L
LINUX DO - 热门话题
博客园 - 三生石上(FineUI控件)
T
Threatpost
T
The Blog of Author Tim Ferriss
C
CERT Recently Published Vulnerability Notes
IT之家
IT之家
P
Palo Alto Networks Blog
Microsoft Azure Blog
Microsoft Azure Blog
Spread Privacy
Spread Privacy
Cyberwarzone
Cyberwarzone
腾讯CDC
L
LangChain Blog
Know Your Adversary
Know Your Adversary
C
CXSECURITY Database RSS Feed - CXSecurity.com
GbyAI
GbyAI
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
I
Intezer
T
Tor Project blog
AWS News Blog
AWS News Blog
T
Tenable Blog
NISL@THU
NISL@THU
Security Latest
Security Latest
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
H
Hackread – Cybersecurity News, Data Breaches, AI and More
人人都是产品经理
人人都是产品经理
MongoDB | Blog
MongoDB | Blog
MyScale Blog
MyScale Blog
D
DataBreaches.Net
Microsoft Security Blog
Microsoft Security Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
量子位
美团技术团队
The Cloudflare Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
罗磊的独立博客
The GitHub Blog
The GitHub Blog
阮一峰的网络日志
阮一峰的网络日志
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Stack Overflow Blog
Stack Overflow Blog

Agili 的 Hacker Podcast

Agili 的 Hacker Podcast 2026-07-16 Agili 的 Hacker Podcast 2026-07-15 Agili 的 Hacker Podcast 2026-07-14 Agili 的 Hacker Podcast 2026-07-13 Agili 的 Hacker Podcast 2026-07-12 Agili 的 Hacker Podcast 2026-07-11 Agili 的 Hacker Podcast 2026-07-10 Agili 的 Hacker Podcast 2026-07-09 Agili 的 Hacker Podcast 2026-07-08 Agili 的 Hacker Podcast 2026-07-07 Agili 的 Hacker Podcast 2026-07-04 Agili 的 Hacker Podcast 2026-07-06 Agili 的 Hacker Podcast 2026-07-05 Agili 的 Hacker Podcast 2026-07-03 Agili 的 Hacker Podcast 2026-07-02 Agili 的 Hacker Podcast 2026-07-01 Agili 的 Hacker Podcast 2026-06-30 Agili 的 Hacker Podcast 2026-06-29 Agili 的 Hacker Podcast 2026-06-28 Agili 的 Hacker Podcast 2026-06-27 Agili 的 Hacker Podcast 2026-06-26 Agili 的 Hacker Podcast 2026-06-25 Agili 的 Hacker Podcast 2026-06-24 Agili 的 Hacker Podcast 2026-06-23 Agili 的 Hacker Podcast 2026-06-22 Agili 的 Hacker Podcast 2026-06-21 Agili 的 Hacker Podcast 2026-06-20 Agili 的 Hacker Podcast 2026-06-19 Agili 的 Hacker Podcast 2026-06-18 Agili 的 Hacker Podcast 2026-06-17 Agili 的 Hacker Podcast 2026-06-16 Agili 的 Hacker Podcast 2026-06-15 Agili 的 Hacker Podcast 2026-06-14 Agili 的 Hacker Podcast 2026-06-13 Agili 的 Hacker Podcast 2026-06-12 Agili 的 Hacker Podcast 2026-06-11 Agili 的 Hacker Podcast 2026-06-10 Agili 的 Hacker Podcast 2026-06-09 Agili 的 Hacker Podcast 2026-06-08 Agili 的 Hacker Podcast 2026-06-07 Agili 的 Hacker Podcast 2026-06-06 Agili 的 Hacker Podcast 2026-06-05 Agili 的 Hacker Podcast 2026-06-04 Agili 的 Hacker Podcast 2026-06-03 Agili 的 Hacker Podcast 2026-06-02 Agili 的 Hacker Podcast 2026-06-01 Agili 的 Hacker Podcast 2026-05-31 Agili 的 Hacker Podcast 2026-05-30 Agili 的 Hacker Podcast 2026-05-29 Agili 的 Hacker Podcast 2026-05-28 Agili 的 Hacker Podcast 2026-05-27 Agili 的 Hacker Podcast 2026-05-26 Agili 的 Hacker Podcast 2026-05-25 Agili 的 Hacker Podcast 2026-05-24 Agili 的 Hacker Podcast 2026-05-23 Agili 的 Hacker Podcast 2026-05-22 Agili 的 Hacker Podcast 2026-05-21 Agili 的 Hacker Podcast 2026-05-20 Agili 的 Hacker Podcast 2026-05-19 Agili 的 Hacker Podcast 2026-05-18 Agili 的 Hacker Podcast 2026-05-17 Agili 的 Hacker Podcast 2026-05-16 Agili 的 Hacker Podcast 2026-05-15 Agili 的 Hacker Podcast 2026-05-14 Agili 的 Hacker Podcast 2026-05-12 Agili 的 Hacker Podcast 2026-05-11 Agili 的 Hacker Podcast 2026-05-10 Agili 的 Hacker Podcast 2026-05-09 Agili 的 Hacker Podcast 2026-05-08 Agili 的 Hacker Podcast 2026-05-07 Agili 的 Hacker Podcast 2026-05-06 Agili 的 Hacker Podcast 2026-05-05 Agili 的 Hacker Podcast 2026-05-04 Agili 的 Hacker Podcast 2026-05-03 Agili 的 Hacker Podcast 2026-05-02 Agili 的 Hacker Podcast 2026-05-01 Agili 的 Hacker Podcast 2026-04-30 Agili 的 Hacker Podcast 2026-04-29 Agili 的 Hacker Podcast 2026-04-28 Agili 的 Hacker Podcast 2026-04-27 Agili 的 Hacker Podcast 2026-04-26 Agili 的 Hacker Podcast 2026-04-25 Agili 的 Hacker Podcast 2026-04-24 Agili 的 Hacker Podcast 2026-04-23 Agili 的 Hacker Podcast 2026-04-22
Agili 的 Hacker Podcast 2026-05-13
Agili 的 Hack · 2026-05-14 · via Agili 的 Hacker Podcast

欢迎阅读今日的 Agili 的 Hacker Podcast 博客内容。今天我们关注硬件领域的创新与反抗、底层基础软件的安全挑战,以及航空航天与材料科学的最新突破。

社区版切片软件恢复拓竹 3D 打印机完整网络控制

厂商施加的人为限制

名为 OrcaSlicer-bambulab 的开源项目近期发布,为拓竹(Bambu Lab)3D 打印机恢复了完整的 BambuNetwork 网络支持。这款切片软件(将 3D 模型转换为打印机指令的工具)允许用户在本地局域网环境下发送打印任务,同时保留通过互联网进行远程监控的能力。拓竹官方近期的固件更新将这两种功能拆分为相互排斥的“云端模式”和“局域网模式”。社区用户指出,这种功能分割在技术上没有必要,是厂商通过软件更新施加的人为限制。

硬件所有权与开源协议争议

这引发了社区关于硬件所有权的讨论。购买设备时具备的功能在后期被移除,被许多用户视为对个人财产的侵权。对于将打印机放在远程工作室的用户,没有配置 VPN(虚拟专用网络)时局域网模式形同虚设。拓竹官方切片软件基于要求开源网络服务代码的 AGPL(Affero 通用公共许可证)协议项目 PrusaSlicer 开发。拓竹利用开源成果却通过封闭插件限制用户,这一行为吸引了 FULU 基金会等维修权(Right to Repair)组织的介入。

突破限制的实现方式

该修复版本通过模拟官方的云端认证接口,让软件能同时处理本地任务分发和云端视频监控。用户可以在切片时实时获取打印机内剩余耗材的状态,解决了不同耗材信息同步的难题。在 Windows 系统上运行需要借助 WSL 2(适用于 Linux 的 Windows 子系统)。开发者鼓励用户配合使用第三方自定义固件,以获得对硬件更完整的控制权。这种社区驱动的对抗性互操作,正成为用户维护硬件所有权的手段。

主流媒体封锁网页档案馆引发历史记录流失担忧

遵守规则的档案馆受限

包括《纽约时报》(New York Times)和《大西洋月刊》(The Atlantic)在内的多家媒体正在封锁互联网档案馆(Internet Archive)的 Wayback Machine(自动保存网页历史记录的数字档案馆)。数字权益组织发起请愿,100 多名记者签署联名信呼吁停止封锁。媒体封锁的主要理由是防止生成式 AI 利用其内容进行训练。互联网档案馆因遵守 robots.txt(告知搜索引擎哪些页面可以抓取的协议)规则而被成功拦截,但部分依靠抓取获利的商业 AI 公司却无视规则继续获取数据。

寻找商业与公益的平衡

媒体此举也被认为意在防止用户绕过付费墙(Paywall)阅读新闻。社区讨论提出了一种托管期(Escrow)折中方案,允许文章在发布一段时间后再进入公共档案馆。中立档案库的核心价值在于对事实的监督,新闻网站经常在发布后修改内容或订正错误,第三方记录让公众能够追踪这些变动。非营利性历史记录的缺失可能导致重要报道在数年后彻底失传,削弱防止数字信息被篡改的屏障。

运行 Rust 代码的智能毕业帽

高昂租金激发的创意

开发者 Eric Park 为自己的大学毕业典礼设计了一个运行 Rust 编程语言的毕业帽。这个项目的起因是他对美国昂贵的毕业礼袍租赁制度感到不满,他支付了 94 美元租金却只能在仪式上短暂穿戴。他决定自己动手增加这件衣服的附加值。通过使用微型控制器和 48 颗 LED 灯珠,他制作了一个能够感应帽穗动作的发光装置。当帽穗从右侧拨到左侧时,帽子底部的灯光会自动亮起。

纯粹的编程乐趣

这个项目使用了 Digispark ATtiny85(一种低成本微型控制器)。为了在这个对 Rust 支持不够完善的芯片上运行代码,他修改了底层硬件抽象库,手动配置了时钟频率。使用 Arduino 库原本能省去大量时间,但他选择 Rust 的原因仅是因为“我的毕业帽运行 Rust”这个博客标题听起来很有趣。社区对这种抛开效率考量、纯粹为爱好编程的行为给予了正面评价。

仪式上的个性考量

完成开发后,Eric 觉得全彩灯效看起来太像电竞电脑,最终选择不开启灯光参加典礼以免干扰他人。社区用户建议可以尝试更低调的灯光模式,或者将帽子改造成抛起后直接飞走的无人机。也有务实的讨论建议学生直接从第三方平台购买便宜的礼袍,以对抗不合理的校园垄断定价。

SpaceX 披露星舰 V3 细节与轨道数据中心构想

硬件设计的大幅精简

SpaceX 推出的第三代星舰(Starship V3)整合了之前的飞行测试经验。超重型助推器将格栅舵(Grid fins)从四个减少到三个,增大了单体面积并调低了位置,以降低热分离阶段的损耗。负责驱动的猛禽 3 号(Raptor 3)发动机外观十分简洁,将大量传感器和管线整合进引擎内部。海平面版的推力提升至 250 吨,单台发动机为整舰减轻了约 1 吨重量。推进系统经过重新设计,使 33 台发动机能够实现同步启动。

轨道数据中心的挑战

埃隆·马斯克(Elon Musk)提出了将 AI 数据中心部署在地球轨道的愿景,利用太空中近乎无限的太阳能解决地面电力和冷却瓶颈。Hacker News 社区探讨了这一构想的技术难点。在真空环境中,热量只能依靠大面积散热板通过辐射散热(Radiative cooling)排出,效率低于地面。高能粒子辐射对商业计算芯片的寿命构成威胁,后期的空间维护成本目前难以估量。

加速测试与太空基建

SpaceX 计划将发射场运营机场化。新建的 2 号发射台配备了缩短版的捕获塔臂和双向火焰导流器(Flame diverter),以减少发射后的维护成本。系统性回顾之前的故障表明,燃料输送管承压超限和硬件疲劳是导致飞行器解体的主要原因。SpaceX 正在建设高 116 米的大型集成厂房,支持星际连接直连手机(Starlink Direct to Cell)星座的大规模发射,并为长远的火星物资运输储备产能。

诞生近五十年的 vi 编辑器家族为何依然流行

不断分化的发展史

vi 诞生于 1977 年,凭借其广泛的系统预装率和各主流代码编辑器的按键绑定支持,至今保持着生命力。受限于早期商业授权,开发者编写了众多免费克隆版本。1991 年发布的 Vim 引入了多缓冲区处理和脚本扩展,成为最普及的版本。2014 年诞生的 neovim 移除了旧兼容代码,增加了内建终端和 Lua 脚本支持。伴随 AI 辅助编程的兴起,部分追求纯粹性的用户近期分叉出了不包含大语言模型功能的经典分支。

肌肉记忆与心智负担

习惯 vi 操作逻辑的用户拥有极高的文本编辑效率。操作 vi 类似寻找最短按键路径的解谜游戏,能够缓解编码过程的枯燥。对于在多系统服务器间切换的专业人士,基于肌肉记忆(通过重复练习形成的身体反应)的操作能大幅降低心智负担。当服务器出现故障且无法加载图形界面时,不依赖复杂库的 vi 往往是系统恢复的关键工具。

现代重构与新兴模式

新一代模态编辑器(Modal Editor,具有多种操作模式的编辑器)提供了不同的交互思路。Kakoune 和 Helix 采用了先选中对象再执行动作的逻辑。这种模式让用户在操作前能直观看到选中的内容,降低了误操作率。即便在现代图形界面工具丰富的环境下,终端编辑器凭借其极低的资源占用和快速启动特性,依然是许多开发者的常规工具。

全静态 x86 到 ARM 二进制翻译工具 Elevator 发布

摒弃猜测的超集反汇编

加州大学欧文分校的研究团队开发了 Elevator 二进制翻译工具。它能够将 x86-64 架构的可执行文件全静态翻译为 AArch64(ARM 64位)文件。该工具放弃了传统模拟器区分指令和数据的经验猜测,采用超集反汇编(Superset Disassembly)策略,将文件中的每个字节同时视为数据和潜在的代码起点。它会为所有不导致程序崩溃的解析路径生成对应的翻译代码,并在运行时通过查找表进行地址映射。

确定性带来的安全价值

这种全量翻译输出的是一个完全独立的二进制文件,不包含类似即时编译(JIT)引擎的运行时组件。这使得输出的代码在部署前可以进行完整的安全验证和加密签名。在对安全性要求严格的工业或国防场景中,这有效缩小了系统的可信代码基(系统中负责核心安全的极小部分),减少了潜在的攻击面。

性能表现与当前局限

Elevator 在特定基准测试中的性能优于常见的用户模式模拟器。这种静态翻译方法的代价是输出文件的体积会显著膨胀。由于缺乏运行时引擎,它无法处理在运行过程中动态生成新指令的程序(如基于 Electron 框架构建的 Slack 应用)。目前的版本仅支持单线程,不支持异常处理。它为在现代 ARM 硬件上安全运行部分老旧的闭源软件提供了一条新路径。

平台揭示欧洲政府网站数字安全基准现状

三大隐患浮出水面

SecurityBaseline.eu 是一个监测欧洲 32 个国家政府数字安全基准的公开平台。监测数据显示,超过 3000 个政府网站因嵌入外部视频或广告服务,非法向用户推送追踪程序,违反了用户隐私保护条例。超过 1000 个数据库管理接口直接暴露在公网,极易受到未授权访问攻击。绝大多数国家政府的电子邮件系统未能采用最新的加密传输标准,存在通信被窃听的风险。

安全文化与制度差异

不同国家的安全文化直接影响了防护水平。德国严格的刑法使得非官方授权的系统漏洞测试处于法律灰色地带,阻碍了独立安全研究员提交问题。相比之下,意大利政府推广统一的市政网站模板和子域名架构,降低了基层单位的维护门槛,在安全地图上表现更佳。政府大量使用开源组件却鲜有资金回馈,也削弱了基础设施的长期可靠性。面对不断升级的密码学标准,建立持续更新的防御机制比单次修补漏洞更具价值。

新型不锈钢大幅降低海水制氢材料成本

锰元素构筑的第二层防线

香港大学研究团队开发出名为 SS-H2 的新型不锈钢,能够承受海水提取绿色氢气过程中的极端腐蚀环境。传统不锈钢依靠铬(Cr)产生的薄膜防腐,但在电解水所需的高电压下会发生崩坏。SS-H2 包含的锰(Mn)元素会在更高的电压下形成第二层防护膜,使材料保持结构稳定。这一发现打破了材料科学界普遍认为锰会削弱耐腐蚀性的行业认知。

降低绿色氢气造价

目前工业电解设备在处理含盐溶液时,通常依赖昂贵的钛部件和贵金属涂层。在一个 10 兆瓦的电解槽系统中,使用 SS-H2 替代现有结构材料,可以将材料成本降低约 40 倍。电解设备的造价是制约氢能规模化的主要障碍,低成本材料有助于提高利用闲置可再生能源制氢的商业可行性。

跨行业的应用潜力

除了能源领域,这种合金在民用设施中同样具备潜力。在沿海环境的船舶紧固件或建筑构件中,常规不锈钢容易因盐雾腐蚀而失效,SS-H2 有望成为钛金属的平价替代品。该项目已进入工业化应用阶段,生产出了数吨重的不锈钢丝,目前团队正在解决将其实用化加工为网状电极结构的工程问题。

Linux 内核旧代码导致 Cloudflare 网络故障

移植代码遗漏的安全补丁

Cloudflare 的网络协议栈在内部测试中暴露了一个拥塞控制算法漏洞。在经历严重丢包后,网络传输速度会永久卡在极低水平无法恢复。该算法的逻辑在 2020 年从 Linux 内核移植到用户态软件中。内核代码在发布一周后就修复了一个相关的计算漏洞,但移植版本错过了这次补丁更新。脱离内核维护周期的代码如果缺乏持续追踪,很容易成为系统的隐患。

极端状态下的死亡螺旋

当网络拥堵导致每次只能发送少量数据包时,算法会误将短暂的数据清空期识别为应用停止发送的空闲状态。它计算出一个错误的时间增量,导致系统认为连接始终处于丢包恢复期,从而拒绝提升发送速度。修复方案仅需修改三行代码,将最后一次收到确认包的时间纳入计算基准,使系统能够准确区分真正的空闲和暂时的网络停顿。

测试用例与算法对比

这次故障在常规的吞吐量监控中很难被发现。开发团队编写的针对极端网络崩溃场景的冷门边界测试发挥了关键作用。CUBIC 这类基于丢包信号的算法在现代网络中恢复较慢,目前业界正在测试基于网络延迟模型的替代算法,以提升复杂网络环境下的传输稳定性。

专为双精度浮点数打造的无损压缩器 Fc

性能竞赛模式的元压缩器

fc 是一款针对 64 位双精度浮点数(具有极高计算精度的数字格式)开发的无损压缩库。它被设计为一个元压缩器(Metacompressor),在处理数据时,它会将数据切分为小块,并同时运行约 50 种专用编码器,最终选取体积最小的压缩结果。在多项合成数据集测试中,fc 的综合压缩表现优于目前主流的通用压缩工具。

结构化数据的压缩优势

fc 非常擅长处理具有数学结构的数据流,例如物理抛物线轨迹或周期性传感器信号。得益于手写的向量化指令集优化和多线程解码技术,其数据读取速度可达每秒 1200 兆字节,十分适合时间序列数据库这种一次写入、多次读取的场景。在处理随机噪声较多的科学计算数据时,它的表现不如特定领域的传统压缩器。

社区建议与演进方向

目前该工具处于研究阶段,要求输入数据符合特定的内存对齐标准。社区建议未来引入更多字节流拆分算法,以增强处理复杂线性数据的能力。由于尚未经过模糊测试(输入大量随机数据以寻找漏洞的安全测试),目前不建议将其直接用于处理来源不明的外部数据流。

播客全文

女:Hello 大家好,欢迎收听 Agili 的 Hacker Podcast,我是莓莓。

男:大家好,我是阿哲。

女:这几天正好是美国的毕业季,我看社区里有个叫 Eric Park 的普渡大学学生火了。他嫌学校的毕业礼袍租赁费太贵,花了 94 美元只能穿几个小时,干脆自己做了一顶会发光的毕业帽。

男:是的,他在帽子里塞了一个 Digispark ATtiny85(一种微型控制器)和 48 颗 LED 灯珠。有意思的是他用磁簧开关(Reed switch,一种由磁场控制的开关)配合磁铁来感应帽穗。拨动帽穗,底部的灯就会亮。电源线还是从一根报废的苹果 USB-C 线里剥出来的。

女:这听起来就是个很硬核的手工活,大家有共鸣主要是觉得学校把学生当成了摇钱树。这跟买了个东西却不完全属于自己感觉很像。

男:他最让程序员们兴奋的一点是,这顶帽子运行的是 Rust 代码。ATtiny85 原生不太支持 Rust,他硬是花了两个小时修改底层库,手动调时钟频率。用他的话说,就是被“我的毕业帽运行 Rust”这个标题给吸引了。

女:这种纯粹为了好玩去折腾技术的精神挺打动人的。不过说到花钱买了东西却做不了主,拓竹(Bambu Lab)3D 打印机的用户最近就在抗议这事。拓竹通过固件更新,硬生生把局域网模式和云端模式拆开了。

男:官方现在的设定是,你想用手机 App 远程看打印机的摄像头,就必须把打印任务发到拓竹的服务器上。如果你想在本地局域网发任务保护隐私,手机监控功能就没了。

女:这就像是你买了个带院子的房子,开发商告诉你,想在院子里烧烤就不能开客厅的灯。很多把打印机放在工作室的人,连上局域网模式就成了瞎子,这让人挺生气的。

男:技术社区现在用一种叫“对抗性互操作”的方式反击。有个叫 OrcaSlicer-bambulab 的 GitHub 项目刚发布,它模拟了官方的云端认证接口。这样切片软件(将 3D 模型转换为打印机可识别指令的工具)既能本地发任务,又能让手机看监控。它甚至连 AMS(自动供料系统,负责切换耗材的装置)的信息都能实时同步。

女:这背后其实是硬件所有权之争。你买回家的机器,厂商到底有没有权力通过网络去阉割它的功能。批评声音挺大的,维修权(Right to Repair)组织 FULU 基金会也介入了,因为拓竹一边用着开源社区的代码,一边又限制用户。

男:拓竹的官方软件是基于 PrusaSlicer 开发的,用的是 AGPL(要求派生软件必须开源其网络服务代码的协议)授权。现在开发者们鼓励大家干脆刷入第三方自定义固件,彻底摆脱云服务的控制。

女:这种限制用户获取信息和功能的事情,最近在内容平台也发生了。《纽约时报》和《大西洋月刊》这些主流媒体,正在把互联网档案馆(Internet Archive)的 Wayback Machine(一个自动保存网页历史记录的非营利档案馆)给封锁掉。

男:媒体封锁的理由是防止生成式人工智能(Generative AI)抓取内容去训练模型。但问题是,互联网档案馆是个老实人,它严格遵守 robots.txt(告知搜索引擎哪些页面可以抓取的协议文件),所以一封就灵。那些真正靠抓取赚钱的 AI 公司,反而根本不理会这些规则。

女:这导致遵守规则的公益机构没法保存历史,新闻网站偷偷修改个标题、删掉几句话,以后公众就查无对证了。一百多个记者都在联名抗议,说这就叫“数字中世纪”。

男:社区里有人提了个折中方案,叫 30 天托管期(Escrow)。文章刚发布时不上架档案馆,等过了一个月,过了媒体的赚钱期,再让档案馆收录,兼顾商业收入和历史记录。

女:历史记录不被保存挺可怕的。同样可怕的是有些网站假装自己很安全,其实到处都是漏洞。欧洲最近上线了一个叫 SecurityBaseline.eu 的平台,把 32 个国家的政府网站安全底裤都给扒下来了。

男:这个项目查了 8 万家组织,数据确实不好看。有超过三千个政府网站在非法使用追踪 Cookie,违反了 GDPR(《通用数据保护条例》)。超过一千个 phpMyAdmin(数据库管理接口)直接暴露在公网,稍微一扫就能进去。

女:很多政府网站就是外包给第三方做个表面光鲜的页面,随便嵌个 YouTube 视频,就把广告追踪代码带进来了。公民去市政网站填个种树申请,结果隐私全泄露了。

男:这里面还有个开源生态的问题。政府都在用 phpMyAdmin 这种开源工具,但几乎没人给开源社区捐过钱,系统缺乏维护。德国的情况更典型,他们的《刑法》第 202 条让渗透测试变成了灰色地带,安全研究员帮政府找漏洞反而可能被起诉。

女:解决不了漏洞,就解决找漏洞的人。这种缺乏长期维护导致大问题的例子,在底层网络协议里也有。Cloudflare 最近就在他们开源的 QUIC 协议栈 quiche 里找出了一个藏得很深的 Bug。

男:这是一个关于 CUBIC 拥塞控制算法的漏洞。当网络发生严重丢包时,拥塞窗口(限制发送方在收到确认前可发送的数据量)会缩到最小,然后就卡死在那儿,传输速率再也上不来。

女:这听起来是个很折磨人的状态。

男:原因挺让人感慨的。2017 年 Linux 内核加了一段优化代码,处理应用层空闲的时间计算。Cloudflare 在 2020 年把这段代码移植到了用户态,但漏掉了内核后来发布的一个边界处理补丁。这就导致算法算错了一个时间增量,判定连接永远在恢复期。

女:就像抄作业漏抄了最后一行订正。他们加了三行代码就修好了,但找出这个冷门边界情况的测试用例非常有价值,说明网络崩溃后的恢复测试往往是被忽略的盲区。

男:说到这些老旧代码和工具的生命力,最近有个关于 Linux 终端编辑器的调查,vi 家族依然非常火。这个诞生于 1977 年的工具马上就五十岁了。

女:很多人新手期连怎么退出 vi 都不知道。但习惯之后,用它就像在玩解谜游戏,找最短的按键路径去修改代码。

男:vi 的历史就是一部克隆史。80 年代源码不开放,大家就写免费克隆版,比如后来的 Vim。它的核心价值是肌肉记忆(Muscle Memory,通过重复练习形成的身体反应),掌握了之后在任何服务器上都能低心智负担地工作。

女:现在连大模型(LLM)写代码的时代了,很多人用着 AI 工具,最后还是顺手敲开 vi 去改文件。甚至有人为了保持编辑器的纯粹性,专门 fork(分支开发)出了不带 AI 功能的 Vim Classic。

男:不仅是老树开新花,底层技术也在不断被重新发明。比如加州大学欧文分校最近做了一个叫 Elevator 的工具,能把 x86-64 架构的可执行文件,全静态翻译成 ARM 64 位的二进制文件。

女:翻译二进制文件一直挺难区分哪里是数据哪里是指令的。

男:Elevator 用了一种叫“超集反汇编”的方法。它不去猜了,干脆把每一个字节都同时当成数据和指令序列的起点,提前生成所有可能的控制流路径,然后删掉会报错的那些。

女:这像是一种暴力美学。好处是翻译出来的文件非常独立,不需要运行时组件,安全性很高。

男:对,在极限环境里这很有用。还有一个类似的极限优化项目叫 fc,是个专门压缩 64 位双精度浮点数的库。它里面有 50 种编解码器,每次压缩都在内部跑一次比赛,选体积最小的结果输出,这种叫“元压缩器”。

女:它处理那种有规律的数学数据,比如抛物线轨迹,压缩比能达到常见工具 zstd 的好几千倍。这种对基础材料和数据的极限压榨,在工业界也正在发生。香港大学团队刚研发了一种新型不锈钢 SS-H2。

男:这种钢材是专门为了在海水中提取绿色氢气设计的。传统不锈钢靠铬产生的钝化膜防腐蚀,但在电解水的高电压下会崩盘。SS-H2 能在更高电压下形成第二层基于锰的防护膜。

女:大家都以为锰会降低防腐蚀性,结果它反而起到了“三个臭皮匠”的阻挡效应。这把电解槽的材料成本降了 40 倍,原本可是要用昂贵的钛和铂金的。

男:降低成本是做大工程的前提。SpaceX 的第三代星舰(Starship V3)和超重型助推器最近也公布了大量细节,都是在通过硬件优化降本增效。

女:他们的猛禽 3 号(Raptor 3)发动机外观变得极其干净,传感器和管线都集成到内部了。

男:工程师们认为这打破了康威定律(即产品结构通常反映组织架构边界)。因为推力变大,每台发动机还给星舰减了大约 1 吨的重量。他们还要把发射场“机场化”,捕获塔的驱动方式都从液压改成了机电。

女:埃隆·马斯克还提出要把 AI 数据中心放到太空轨道上,去用太空里无限的太阳能。

男:这在工程上面临巨大的散热挑战。真空中热量只能靠辐射散热(Radiative cooling),需要面积夸张的散热板。高能粒子辐射也会影响商业芯片的寿命。

女:感觉人类走向多行星文明,要克服的不仅是火箭推力,还有太空里的生物学和物理学障碍。科技在不断打破各种边界,从一顶会发光的毕业帽,到抗腐蚀的特殊钢材,再到飞向火星的巨型火箭。

男:是的,技术始终在帮我们解决眼前和未来的问题。

女:今天聊的内容非常丰富,感谢大家的收听。也提醒大家,可以使用任何泛用型播客客户端通过 RSS 订阅我们,随时获取最新节目。我们下期再见。

男:下期见。

参考链接