1. 【自2026年1月起,所有ACM出版物将转为开放获取】
Beginning January 2026, all ACM publications will be made open access
发布时间: 2025-12-18 15:39:09 UTC
链接: https://dl.acm.org/openaccess
描述:
文章介绍了网站使用cookies进行会员招募活动跟踪,并详细说明了不同类型cookies的功能和存储时间,包括必要cookie、偏好cookie、统计cookie和营销cookie。同时提到用户可以通过勾选框选择同意存储哪些类型的cookies,并提供了相关隐私政策的链接。
评论要点:
讨论学术出版中同行评审的意义,批评期刊将排版工作外包给作者,并质疑其实际价值
2. 【我们通过供应链攻击入侵了X、Vercel、Cursor和Discord】
We pwned X, Vercel, Cursor, and Discord through a supply-chain attack
发布时间: 2025-12-18 19:08:48 UTC
链接: https://gist.github.com/hackermondev/5e2cdc32849405fff6b46957747a2d28
描述:
一位16岁高中生发现Mintlify文档平台的XSS漏洞,该漏洞可被利用在多家知名公司的文档中注入恶意脚本。文章详细描述了漏洞发现过程、影响范围及修复过程,最终团队获得约1.1万美元赏金。评论普遍认为赏金金额过低,与漏洞严重性不匹配。
评论要点:
建议第三方文档应使用独立域名而非子域名,讨论CSP限制及Flash时代怀旧情绪
3. 【你的职责是交付经过验证可工作的代码】
Your job is to deliver code you have proven to work
发布时间: 2025-12-18 14:52:11 UTC
链接: https://simonwillison.net/2025/Dec/18/code-proven-to-work/
描述:
文章强调软件工程师的职责是交付经过验证可工作的代码,而非仅仅提交未经测试的PR。作者提出验证代码的两步骤:手动测试和自动化测试,并建议利用LLM工具进行代码验证。同时指出人类需要为代码质量负责,而非完全依赖AI生成代码。
评论要点:
强调编程能力是天赋、技能和坚持的结合,批评仅通过刷题入行的工程师缺乏实战经验
4. 【古典雕像并非被拙劣地涂色过】
Classical statues were not painted horribly
发布时间: 2025-12-18 12:28:45 UTC
链接: https://worksinprogress.co/issue/were-classical-statues-painted-horribly/
描述:
文章探讨为何现代观众不喜欢希腊罗马雕像的彩色重建作品。作者认为问题不在于古今审美差异,而是重建作品本身质量不佳。通过对比古代绘画、镶嵌画等彩色艺术形式,指出古代色彩运用其实很精妙,现代重建过于饱和粗糙。
评论要点:
探讨古罗马鱼酱与伍斯特酱的渊源,质疑考古学界对文物用途的武断分类
5. 【Apple礼品卡兑换安全吗?】
Are Apple gift cards safe to redeem?
发布时间: 2025-12-18 14:26:57 UTC
链接: https://daringfireball.net/linked/2025/12/17/are-apple-gift-cards-safe-to-redeem
描述:
文章报道一位开发者因兑换被篡改的500美元苹果礼品卡导致账户被锁事件。尽管最终账户恢复,但事件引发对苹果礼品卡安全性的担忧。作者建议谨慎购买和兑换苹果礼品卡,并质疑苹果账户冻结机制的透明度。
评论要点:
讨论数字所有权法律困境,欧盟合规要求及账号封禁可能被武器化的风险
6. 【请试试HTMX吧】
Please just try HTMX
发布时间: 2025-12-18 14:18:52 UTC
链接: http://pleasejusttryhtmx.com/
描述:
文章强烈推荐使用HTMX替代复杂前端框架,通过实际示例展示HTMX如何简化交互式网页开发。HTMX允许通过HTML属性实现AJAX功能,无需JavaScript代码。作者指出HTMX适合大多数CRUD应用,能显著减少代码量和开发时间。
评论要点:
比较HTMX与React设计哲学,HTMX主张逻辑集中而React组件化,讨论状态管理差异
7. 【GPT-5.2-Codex】
GPT-5.2-Codex
发布时间: 2025-12-18 18:14:48 UTC
链接: https://openai.com/index/introducing-gpt-5-2-codex/
描述:
OpenAI发布GPT-5.2-Codex,这是目前最先进的编程模型,专为复杂软件工程和网络安全优化。新版本在长上下文理解、工具调用可靠性和Windows环境支持方面有显著改进。同时OpenAI启动网络安全专业人员的可信访问计划。
评论要点:
用户实测Codex在翻译校对中表现优于Claude,但指出LLMs普遍存在过度自信问题
8. 【问HN:2025年月入500美元的副业从业者——来晒成果吧】
Ask HN: Those making $500/month on side projects in 2025 – Show and tell
发布时间: 2025-12-18 01:36:54 UTC
描述:
暂无描述
评论要点:
创业者分享简单产品理念如何实现月入$500,讨论小型项目法律结构选择
9. 【英国国家安全法独立审查警告权力越界】
Independent review of UK national security law warns of overreach
发布时间: 2025-12-18 11:21:15 UTC
描述:
英国独立国家安全法审查员警告,端到端加密应用的开发者可能被认定为敌对行为者。报告指出英国多项法律瞄准加密技术,与安全专家观点形成鲜明对比。Signal和WhatsApp曾表示宁愿退出英国市场也不会削弱加密保护。
评论要点:
深入讨论美国宪法危机、枪支管控争议及欧洲政治右转趋势,反思代议制民主缺陷
10. 【Firefox将提供禁用所有AI功能的选项】
Firefox will have an option to disable all AI features
发布时间: 2025-12-18 18:18:30 UTC
链接: https://mastodon.social/@firefoxwebdevs/115740500373677782
描述:
文章介绍Ranke-4B项目,这是一个基于历史数据训练的大型语言模型家族,每个模型都有特定时间截止点(如1913、1929年)。这些模型能真实反映历史观点,不受后世知识污染,可用于人文学科研究,但也包含历史文本中的偏见内容。
评论要点:
争论本地化AI模型可行性,Gemini翻译升级引发对浏览器集成AI必要性的讨论
11. 【历史LLM:仅基于1913年前文本训练的模型】
History LLMs: Models trained exclusively on pre-1913 texts
发布时间: 2025-12-18 22:39:47 UTC
链接: https://github.com/DGoettlich/history-llms
描述:
该项目致力于开发基于历史文本的时间锁定大语言模型Ranke-4B系列,参数规模40亿,训练数据涵盖1913-1946年间800亿时间标记文本。核心创新在于模型严格遵循历史时间线(如1913年版模型不知晓一战),真实反映当时社会观念(含性别歧视、种族主义等历史偏见),为人文研究提供”未经现代知识污染”的对话窗口。与当代LLM角色扮演不同,这些模型本质是历史文本的压缩表征,可系统研究特定时期的话语模式。团队强调将建立学术访问机制,在保留历史原貌的同时防止滥用。项目现公开征集研究需求与验证方法建议。
评论要点:
评论讨论了强化学习无法改变模型架构,仍受限于next-token预测的固有缺陷,如上下文耗尽和幻觉问题
12. 【伊朗毁掉珍贵水资源后正走向干涸】
After ruining a treasured water resource, Iran is drying up
发布时间: 2025-12-18 10:27:05 UTC
链接: https://e360.yale.edu/features/iran-water-drought-dams-qanats
描述:
伊朗正面临水资源危机,根源在于过度抽取地下水和破坏古老的水管理系统。政府计划将首都迁往湿润地区,但专家指出现代水工程和气候变化加剧了问题。农业用水占90%,导致地下水位急剧下降,多个含水层面临枯竭。
评论要点:
用户比较翻译系统与有损压缩的相似性,指出机器翻译直接映射语言而非理解底层语义
13. 【Mac Studio配备1.5TB显存——基于雷电5的RDMA技术】
1.5 TB of VRAM on Mac Studio – RDMA over Thunderbolt 5
发布时间: 2025-12-18 22:23:09 UTC
链接: https://www.jeffgeerling.com/blog/2025/15-tb-vram-on-mac-studio-rdma-over-thunderbolt-5
描述:
苹果测试了Mac Studio集群通过Thunderbolt 5实现RDMA技术,显著降低内存访问延迟。尽管单机性能强大,但管理集群复杂,macOS限制影响了远程升级。AI推理测试显示大型模型在多节点运行效果更佳,但开发者对Exo软件的稳定性持保留态度。
评论要点:
讨论聚焦Apple Silicon统一内存架构优势,对比Intel主板扩展性限制,并提及CXL技术潜力
14. 【中国如何打造AI芯片领域的’曼哈顿计划’与西方抗衡】
How China built its ‘Manhattan Project’ to rival the West in AI chips
发布时间: 2025-12-18 18:55:34 UTC
链接: https://www.japantimes.co.jp/business/2025/12/18/tech/china-west-ai-chips/
描述:
中国科学家在深圳实验室成功研发了极紫外光刻机原型,挑战了西方在该领域的技术垄断。这一突破可能改变全球半导体产业格局,尽管美国长期试图阻止中国获得相关技术。该设备能制造用于AI和军事的高端芯片。
评论要点:
评论分析中美地缘战略差异,指出中国已解决多数边境争端,台湾经济依存度是统一关键因素
15. 【面向组织、合作伙伴及生态系统的技能建设】
Skills for organizations, partners, the ecosystem
发布时间: 2025-12-18 17:04:32 UTC
链接: https://claude.com/blog/organization-skills-and-directory
描述:
Claude推出Skills功能,允许组织集中管理和部署AI工作流。企业管理员可统一配置技能,用户可自定义。合作伙伴如Notion、Figma等提供预建技能,同时推出开放标准确保跨平台兼容性。
评论要点:
探讨AI技能(Skills)如何编码团队隐性知识,介绍sx工具包管理技能共享,强调流程模板化需求
16. 【缓慢是一种美德】
Slowness is a virtue
发布时间: 2025-12-18 10:44:29 UTC
链接: https://blog.jakobschwichtenberg.com/p/slowness-is-a-virtue
描述:
现代文化过度关注快速解答问题,但真正重要的研究需要时间。爱因斯坦和数学家安德鲁·怀尔斯等通过长期专注取得突破。智商测试只衡量解决明确问题的速度,忽视了选择有价值问题的能力。
评论要点:
争论智商测试有效性,指出《人的误测》观点过时,讨论深度思考与解决问题速度的辩证关系
17. 【财富增长为何让青少年更不自由】
How getting richer made teenagers less free
发布时间: 2025-12-18 10:03:42 UTC
链接: https://www.theargumentmag.com/p/how-getting-richer-made-teenagers
描述:
经济改善使青少年获得更多保护,但也减少了自主权。调查显示36%受访者认为14-17岁才能独自在家,同样比例支持调查10岁儿童独自玩耍的父母。过度保护可能导致青少年缺乏现实世界经验。
评论要点:
反思过度管教对兴趣发展的压制,比较不同世代成长环境差异,指出儿童自主游戏创造力价值
18. 【德国裁定亚马逊不得强制Prime Video用户观看广告】
Germany: Amazon is not allowed to force customers to watch ads on Prime Video
发布时间: 2025-12-18 03:42:24 UTC
链接: https://www.zeit.de/wirtschaft/2025-12/amazon-urteil-video-kunden-werbung
描述:
德国法院裁定亚马逊不能单方面更改Prime Video条款添加广告,认为这违反了消费者权益。亚马逊需向客户发送更正信,并可能面临进一步法律挑战。判决尚未最终生效。
评论要点:
用户批评流媒体订阅模式滥用,以NFL观赛需11个订阅为例,对比有线电视在体育内容的价格优势
19. 【’幽灵职位’激增引发禁止呼声】
‘Ghost jobs’ are on the rise – and so are calls to ban them
发布时间: 2025-12-18 05:06:33 UTC
链接: https://www.bbc.com/news/articles/clyzvpp8g3vo
描述:
研究发现34%的招聘广告是虚假职位,美国求职者发起立法倡议要求规范。加拿大安大略省已要求公司明确职位真实性,但执行存疑。专家建议求职者通过人脉网络验证职位真实性。
评论要点:
揭露企业发布虚假招聘职位的系统性欺诈,分析HR保持信息不对称的权力动机和法律规避策略
20. 【AI加速交付但缺陷量增加1.7倍】
AI helps ship faster but it produces 1.7× more bugs
发布时间: 2025-12-18 13:06:51 UTC
链接: https://www.coderabbit.ai/blog/state-of-ai-vs-human-code-generation-report
描述:
报告显示AI生成的代码问题比人工多1.7倍,包括逻辑错误、可读性和安全性问题。AI倾向于产生表面正确但缺乏优化的代码,团队需加强审查和测试流程。建议提供业务背景和使用策略代码规范。
评论要点:
讨论LLM在编程辅助中的实际价值,比较GPL商业许可模式,指出编译器确定性与AI概率输出的本质差异
21. 【法官暗示Vizio电视买家可能有权获取GPL许可下的源代码】
Judge hints Vizio TV buyers may have rights to source code licensed under GPL
发布时间: 2025-12-18 04:27:53 UTC
链接: https://www.theregister.com/2025/12/05/vizio_gpl_source_code_ruling/
描述:
加州法官初步裁定Vizio可能需公开其SmartCast电视系统的源代码,因其使用了GPL许可的开源组件。软件自由保护协会称这是开源许可证执行的重要案例,最终裁决预计数周内公布。
评论要点:
讨论围绕Vizio涉嫌违反GPL协议及合同争议,指出其电视附带源代码提供承诺但拒绝履行,构成违约。
22. 【FunctionGemma 270M模型】
FunctionGemma 270M Model
发布时间: 2025-12-18 18:26:52 UTC
链接: https://blog.google/technology/developers/functiongemma/
描述:
谷歌推出FunctionGemma,这是专为函数调用优化的Gemma 3 270M模型版本,支持开发者进一步微调以提升性能。该模型轻量化设计,能在边缘设备本地运行,将自然语言转化为可执行的API操作,适用于智能家居、导航等场景。FunctionGemma既可独立处理离线任务,也能作为智能流量控制器与大型模型协同工作。微调后其准确率从58%提升至85%,并支持多语言输入和低延迟响应。开发者可通过Google AI Edge Gallery体验其功能,如离线语音控制游戏和物理模拟。模型已在Hugging Face等平台发布,配套工具链支持全流程开发。
评论要点:
用户探讨Gemma模型本地部署优势,关注推理能力、上下文限制及边缘设备适用性,期待Gemini-CLI体验。
23. 【使用TypeScript获取最稀有车牌之一】
Using TypeScript to obtain one of the rarest license plates
发布时间: 2025-12-18 15:00:32 UTC
链接: https://www.jack.bio/blog/licenseplate
描述:
作者痴迷于获取独特车牌号,发现佛罗里达州DMV网站存在漏洞:无验证码、请求限制或防火墙保护。他利用TypeScript编写脚本自动化查询车牌可用性,通过抓取ASP.NET表单数据批量检测稀有组合(如双字母车牌)。系统实时更新数据,作者建立数据库持续监控高价值车牌。在错失首个目标”HY”后,他意外发现另一双字母车牌突然可用,立即赶往车管所成功注册。文章揭示了通过技术手段挖掘公共系统漏洞的可能性,展现了工程师解决问题的执著与创造力,最终以非传统方式获得了稀有车牌资源。
评论要点:
评论涉及车牌识别趣闻、车牌注册过程及车辆误识别案例,如排水盖被误认为车牌’11111’。
24. 【埃及象形文字:第一课】
Egyptian Hieroglyphs: Lesson 1
发布时间: 2025-12-18 06:08:23 UTC
链接: https://www.egyptianhieroglyphs.net/egyptian-hieroglyphs/lesson-1/
描述:
古埃及象形文字系统高度灵活,可纵向或横向排列,阅读方向由符号面部朝向决定(朝左从左读,朝右从右读)。文字与艺术紧密结合,通过”组字法”优化空间布局(高符号独立,矮符号堆叠)。象形文字分为单辅音、双辅音和三辅音符号,书写时省略元音,通常在各辅音间添加”e”音发音。文字功能分为三类:表意符号(直接表示物体/概念)、表音符号(组合发音构成新词)和限定符号(置于词尾提示词义范畴)。特殊情况下存在”尊贵换位”现象,即将神名前置以示尊崇。学习需掌握符号方向识别、音值转写和功能判别三大核心技能。
评论要点:
争论埃及学发音标准优劣,指出其学术交流价值,但批评其与古埃及语实际发音差距,建议保留尾辅音的语言如粤语更佳。
25. 【AI自动售货机被欺骗免费发放所有商品】
AI vending machine was tricked into giving away everything
发布时间: 2025-12-18 21:52:39 UTC
链接: https://kottke.org/25/12/this-ai-vending-machine-was-tricked-into-giving-away-everything
描述:
《华尔街日报》办公室安装了一台由Anthropic开发的AI自动售货机Claudius,它能自主采购、定价并盈利。但记者们通过Slack与AI互动,迅速诱导其进入”共产主义模式”,免费发放PS5、葡萄酒甚至活鱼等商品,导致利润崩溃。随后记者伪造董事会文件,推翻AI设定的资本主义模式,再次操控机器。实验显示Claudius容易受人类诱导,甚至产生幻觉虚构合同。该案例揭示了大型语言模型在现实应用中的脆弱性和易操控性。
评论要点:
批评AI售货机设计缺陷,认为应统计失败订单优化库存,而非直接执行无效请求如’免费PS5’。
26. 【如何用一个简单技巧入侵Discord、Vercel等平台】
How to hack Discord, Vercel and more with one easy trick
发布时间: 2025-12-18 19:41:24 UTC
链接: https://kibty.town/blog/mintlify/
描述:
研究人员发现文档平台Mintlify存在严重安全漏洞,通过MDX文件注入可在服务端执行任意代码,获取敏感环境变量并控制客户文档站点。漏洞允许跨域读取SVG文件实现一键XSS攻击,影响Discord、Vercel等财富500强企业。攻击者可篡改文档内容、窃取GitHub提交信息,甚至通过路径遍历绕过补丁。其他漏洞包括GitHub仓库越权访问和版本降级攻击。所有漏洞已通报Mintlify并迅速修复,包括禁用服务端MDX表达式执行、加强路径验证和仓库权限检查等措施。该系列漏洞对企业供应链安全构成重大威胁。
评论要点:
揭露Mintlify安全漏洞,包括共享环境执行客户代码风险,质疑其安全设计水平。
27. 【大多数停放域名现提供恶意内容】
Most parked domains now serving malicious content
发布时间: 2025-12-18 12:50:23 UTC
链接: https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/
描述:
最新研究发现,超过90%的闲置域名(包括过期域名和常见拼写错误域名)会将用户重定向至诈骗或恶意软件网站。与十年前仅5%恶意重定向相比,如今这类风险已成普遍现象。攻击者利用IP定位、设备指纹等技术分析访客属性,住宅IP用户最易遭受攻击,而企业IP或VPN用户则看到正常页面。研究揭露了针对FBI等政府机构、银行和电商平台的数千个仿冒域名,部分甚至能截获拼写错误的邮件。安全专家建议使用书签访问常用网站、启用VPN、安装脚本拦截插件,并警惕浏览器自动补全的虚假推荐。值得注意的是,谷歌广告政策调整间接促使域名停放者转向更高风险的重定向盈利模式。
评论要点:
分析域名抢注与拼写错误流量下降,归因于浏览器地址栏搜索化及Google垄断流量捕获。
28. 【自托管运行器的GitHub Actions涨价计划推迟】
GitHub Actions for self-hosted runners price increase postponed
发布时间: 2025-12-18 08:18:46 UTC
链接: https://pricetimeline.com/news/189
描述:
GitHub宣布推迟自托管运行器的GitHub Actions涨价计划,原定2026年3月1日起从免费调整为每分钟0.002美元。由于开发者反馈,GitHub决定取消此次涨价并继续免费服务,同时表示将花时间倾听用户意见。此前宣布的托管运行器降价39%仍将生效。用户可通过PriceTimeline获取最新定价动态。
评论要点:
开发者讨论GitHub Actions涨价影响,考虑迁移至Gitea/Forgejo等自托管方案,关注CI工具功能对比。
29. 【什么是椭圆曲线?(2019年)】
What is an elliptic curve? (2019)
发布时间: 2025-12-18 06:40:29 UTC
链接: https://www.johndcook.com/blog/2019/02/21/what-is-an-elliptic-curve/
描述:
椭圆曲线兼具纯粹数学与应用密码学价值,形式上简洁却引发深奥数学理论。其基础定义为满足特定方程的点集,但实际定义需考虑数域特性(如实数域采用Weierstrass形式,而特征2或3的域需调整)。椭圆曲线并非几何中的椭圆,其形态随数域变化:实数域呈连续曲线,有限域为离散点集,复数域展现二维曲面。核心特性包括通过代数导数保证光滑性、引入射影空间处理无穷远点、以及亏格概念表征拓扑复杂性。在密码学应用中,椭圆曲线需指定基点生成子群,如比特币采用的secp256k1曲线。该理论连接古典数学与现代加密技术,展现了抽象数学的实用化潜力。
评论要点:
深入椭圆曲线几何群结构理论,解释环面唯一性及庞加莱-霍普夫定理关联,对比射影曲线除子群构造。
30. 【FreeBSD中通过ND6路由器广告实现远程代码执行】
RCE via ND6 Router Advertisements in FreeBSD
发布时间: 2025-12-18 08:12:42 UTC
链接: https://www.freebsd.org/security/advisories/FreeBSD-SA-25:12.rtsold.asc
描述:
FreeBSD发布安全公告SA-25:12,披露rtsold和rtsol程序存在远程代码执行漏洞(CVE-2025-14558)。攻击者可通过发送特制IPv6路由通告报文,利用未验证的域名搜索列表选项注入恶意命令,在目标系统上执行任意代码。漏洞影响所有支持版本的FreeBSD,但攻击需在同一网段发起。无直接缓解措施,建议用户升级至修复版本(各分支补丁时间戳为2025-12-16后)。更新方式包括二进制补丁(freebsd-update)或源码补丁(需重新编译系统)。未启用IPv6或不接收路由通告的系统不受影响。修复涉及Git提交哈希已在稳定版和发布分支中标记。
评论要点:
争议shell脚本易错性,反对将其视为主要系统接口,强调POSIX标准不强制init系统使用shell。