每日科技资讯精选
Apple和Google正在通过Play Integrity和App Attest等API扩展硬件认证,将逐步锁定竞争硬件和操作系统。该系统禁止用户运行未经批准的硬件/软件,但被包装为安全功能。银行和政府服务是主要采用者。Apple的Privacy Pass和Google的reCAPTCHA移动验证正在将硬件认证引入网络,可能要求即使是Windows和Linux桌面平台也需要经过认证的iOS或Android设备。
阅读全文 →作者认为依赖OpenAI和Anthropic等云托管AI API会创建脆弱、侵犯隐私的软件。开发者应利用设备端AI能力,因为现代设备拥有闲置的强大神经引擎。以Brutalist Report iOS应用为例,作者展示了Apple的FoundationModels框架如何实现本地AI功能(如摘要),无需服务器依赖或数据保留问题。本地AI擅长转换用户自有数据——摘要邮件、提取行动项、分类文档。
阅读全文 →作者分享了在M4 MacBook Pro(24GB内存)上运行本地LLM的经验。测试了Qwen 3.6、GPT-OSS 20B和Devstral Small 24B等模型后,发现通过LM Studio使用Qwen 3.5-9B(Q4_K_S量化)是最佳选择。它可实现约40 tokens/秒(启用思考模式),支持128K上下文窗口,并为其他应用程序留出足够内存。非常适合基本编码任务、研究和规划,无需互联网访问。
阅读全文 →CVE-2024-YIKES是一篇讽刺性事件报告,描述了一场级联供应链攻击。一个JavaScript包维护者被钓鱼攻击(通过虚假YubiKey商店),导致left-justify(每周8.47亿下载量)被攻陷。被盗凭据使攻击者能够攻击vulpine-lz4(一个Rust库,被供应商到Python构建工具snekpack中)。恶意软件在大约400万开发者中传播,最终被一个无关的加密货币挖矿蠕虫意外修补。
阅读全文 →安全研究人员发现了一场针对金融和加密货币专业人士的网络钓鱼活动(REF6598),该活动利用Obsidian笔记应用投放名为PHANTOMPULSE的新型远程访问木马。攻击者使用LinkedIn和Telegram建立信任,然后引诱受害者进入恶意的共享Obsidian vault。攻击需要用户手动启用社区插件同步功能,触发被攻陷插件执行。PHANTOMPULSE使用以太坊区块链动态解析其C&C服务器地址,使其具有高度韧性。
阅读全文 →作者讨论了回归手写代码的原因。在AI辅助编程工具泛滥的今天,作者反思了自动化工具对编程技能和代码质量的影响,强调手动编写代码的价值和重要性。
阅读全文 →James Shore认为AI编码代理必须按比例降低维护成本才能抵消其生产力提升。每行代码都需要持续维护——错误修复、依赖升级、清理——这些会随时间累积。团队可能在2.5年内花费超过50%的时间进行维护。如果AI使代码输出翻倍但维护成本也翻倍,总维护将翻四倍,生产力效益将在几个月内消失。解决方案:AI必须产生维护成本反向降低的代码。
阅读全文 →Hacker News社区每月讨论帖,用户分享他们正在进行的项目、创业想法、业余爱好项目和学习进展。这是了解技术社区最新动态和创新方向的窗口,涵盖从独立开发者项目到企业级应用的广泛话题。
阅读全文 →费马恩海峡隧道首个隧道元件已成功沉放,标志着这一连接欧洲大陆和斯堪的纳维亚的重大基础设施项目取得重要里程碑。隧道全长18公里,将成为世界上最长的沉管隧道——比旧金山现有纪录保持者长三倍以上。隧道包含高速公路和双线铁路,完成斯德哥尔摩至汉堡的高速铁路连接。项目涉及89个隧道元件,最深处位于海平面以下45米。
阅读全文 →Guy Goma是一位刚果裔法国商科毕业生,2006年因一次意外身份混淆在BBC新闻直播中被错误采访而闻名。当时他在BBC求职面试,却被误认为是科技专家Guy Kewney并被拉入演播室进行直播访谈。这段视频已成为互联网历史上的经典搞笑时刻,二十年后仍被人们铭记和讨论。
阅读全文 →