ZhuLink ZhuLink
登录

【HN中文日报】今日科技圈大事件:Android安全升级、开源神器发布、VR无线新体验...速来围观!

意外富翁 · 1个月前 · News · 9 · 0

今天 Hacker News 社区聊了啥? NO.20251113

嘿,科技迷们!今天的新闻有点猛:Google力推Android开发者验证,保障应用安全,但用户自由受限?开源界迎来云原生身份认证神器Kratos!还有Steam Frame,带你无线畅玩VR游戏!Blender Lab成立,助力创新,U-Boot创始人退休,开源精神永存!想了解更多?快戳全文,一起探索科技前沿!

Hacker News 中文精选

英国铁路私有化:一场惨痛的失败

本文探讨了英国铁路私有化的历史和后果,指出其并未带来预期的效率提升和服务改善,反而导致了安全事故频发和资金流失。

文章首先指出,欧洲交通政策长期以来推崇铁路自由化,认为竞争能提升服务质量和客运量。然而,数据表明客运量早在自由化之前就已经开始增长。文章随后提出了反对铁路私有化的三个核心论点:铁路是复杂的系统,商业边界会威胁安全和效率;铁路运营具有地域垄断性,市场条件是人为制造的;铁路是公共服务,引入私人利益只会将利润转移到私人手中,而风险由国家承担。英国是欧洲最早进行大规模铁路自由化的国家之一,其私有化的后果具有警示意义。

英国的铁路私有化始于1988年,并在1997年完成,包括铁路制造、基础设施和运营等多个环节。私有化的推动力来自于撒切尔政府,旨在减少公共支出、增加公众持股和减少国家干预。然而,私有化后,铁路安全事故频发,例如1997年的Southall事故、1999年的Ladbroke Grove事故和2000年的Hatfield事故。这些事故暴露了铁路系统碎片化带来的沟通不畅和安全隐患。此外,铁路车辆租赁公司(ROSCOs)以极低的价格购买了大量列车,然后以高价租回给运营商,导致资金大量流出铁路系统,并促使运营商使用尽可能短的列车以降低租赁成本,加剧了拥挤问题。私有化还导致英国列车制造业的衰落,因为缺乏更新列车的动力。最终,Railtrack被政府机构Network Rail吸收。

由于没有评论内容,这里就不做评论分析了。

Android 开发者验证:早期访问开始

Google 启动了 Android 开发者验证的早期访问计划,旨在提升 Android 生态系统的安全性,并听取开发者社区的反馈。主要针对学生、爱好者和高级用户,Google 正在调整验证流程,以平衡安全需求和用户自由。

文章指出,在线诈骗和恶意软件攻击日益猖獗,尤其是在快速数字化的地区。诈骗者利用社会工程学手段诱骗用户绕过安全警告,安装恶意应用。开发者验证旨在通过强制恶意软件传播者使用真实身份,增加攻击的难度和成本。Google 计划为学生和爱好者提供专用账户类型,允许他们将应用分发给有限数量的设备,而无需完成完整的验证要求。同时,为高级用户提供高级流程,允许他们接受安装未验证软件的风险,但会提供清晰的警告,确保用户充分了解风险。目前,开发者可以开始体验 Android 开发者控制台的早期访问版本,并提供反馈。

评论区主要围绕验证的动机、用户自由和替代应用商店展开讨论。

  • rom1v 认为 Google 的强制验证并非出于安全考虑,而是为了控制,并反对 Google 阻止类似 ReVanced 这样可能减少其广告收入的应用。他强调了 F-Droid 等替代应用商店的重要性,它们可以在用户受到恶意软件侵害时提供保护。

  • nirui 质疑 "sideloading" 这一术语的使用,认为它暗示用户在做不应该做的事情,并呼吁警惕此类 "文字游戏"。

  • svat 认为 Google 实施开发者验证是受到了某些国家政府的压力,并指出即使 Google 提供了绕过验证的选项,对于非技术用户来说,安装“未验证应用”仍然不会很容易。

Blender 推出 Blender Lab:创新空间助力未来发展

Blender 基金会宣布成立 Blender Lab,这是一个旨在推动 Blender 持续创新和发展的项目,让设计师和开发者能够合作探索前沿技术。

Blender Lab 的成立是为了解决 Blender 在不断发展壮大过程中面临的挑战,例如软件的复杂性、用户需求的多样性以及技术债务等问题。 为了确保软件的稳定性和可靠性,Blender 的开发工作通常侧重于对现有功能的改进,这在一定程度上限制了创新和实验。Blender Lab 的目标是打破这种限制,为创新提供一个独立的空间。

Blender Lab 的项目将始终保持公开,并在 blender.org/lab 上展示,包括项目目标、时间表和参与者。同时,也会提供中间版本供用户测试和反馈。 目前已经列出了一些符合条件的项目,例如“超越鼠标和键盘(触摸和笔)”、“超越鼠标和键盘(VR/XR)”、“体积渲染”和“光传输”。 未来可能增加的项目包括“USD 编写”和“AI 和 ML 技术”。

Blender Lab 的活动分为两类:应用研究和学术研究。 应用研究是重点,旨在开发基于最新研究成果的突破性解决方案。 学术研究则通过参与大学和研究中心的项目来实现,Blender 开发者在其中提供技术实施方面的建议。

Blender 基金会将在 2026 年制定并分享更多关于如何将项目纳入 Blender Lab 的指南。 如果您有兴趣提交项目提案,可以联系 Blender 基金会并提供一份公开文档,详细描述您的项目并说明其价值。 项目的采纳取决于多种因素,包括资金可用性、与 Blender 使命的相关性以及申请人的经验。

评论区中,有用户报告了网站 CSS 加载的问题,并提供了通过 Cloudflare 验证身份的解决方案。 也有用户好奇哪些行业内的贡献者参与了 Blender 的开发,以及哪些公司有动力和能力参与设计工具的开发。 这些问题反映了用户对 Blender 技术实现和行业支持的关注。

Kratos:云原生身份认证和管理解决方案

Ory Kratos 是一个用 Go 编写的开源身份认证和管理系统,专为云原生环境设计。它旨在提供一种可替代 Auth0、Okta 和 Firebase 等服务的方案,同时提供更好的用户体验和开发者体验。

Kratos 的主要特点是其 Headless 架构,这意味着它只负责身份验证和管理的核心逻辑,而不涉及用户界面。这使得开发者可以根据自己的需求定制用户界面,从而提供更灵活和个性化的用户体验。此外,Kratos 具有良好的可扩展性,能够处理数十亿用户的规模。

Kratos 支持多种身份验证方法,包括 Passkeys、社交登录、OIDC、Magic Link、多因素身份验证(MFA)、短信、SAML 和 TOTP 等。它可以在任何地方运行,并且在 Ory Network 上运行效果最佳。通过使用 Kratos,开发者可以避免从头开始构建身份验证系统的复杂性,并专注于构建核心业务逻辑。

Kratos 的设计理念是提供一个安全、可靠和易于使用的身份验证和管理解决方案。它通过提供丰富的功能和灵活的配置选项,满足了各种规模的应用程序的需求。此外,Kratos 社区活跃,提供了大量的文档和示例,帮助开发者快速上手。总的来说,Kratos 是一个强大的工具,可以帮助开发者构建安全可靠的云原生应用程序。

Steam Frame:无线VR新体验,畅玩你的Steam游戏库

Steam Frame是一款无线、轻便的VR头显和控制器,旨在让你轻松畅玩整个Steam游戏库,无论是沉浸式VR游戏还是传统非VR游戏,它都能胜任,甚至支持独立运行。这款设备主打无线和舒适,致力于提供高质量的流媒体体验。

Steam Frame在设计上注重舒适性和易用性,头显轻巧紧凑,重量前后平衡,佩戴舒适。无线设计摆脱了线缆的束缚,即戴即玩,无需繁琐的设置。为了确保稳定的流媒体体验,Steam Frame配备了即插即用的6GHz无线适配器,为VR和非VR流媒体提供专用连接。

更进一步,Steam Frame采用了双无线电设计,进一步增强连接稳定性。一个无线电专门用于流式传输音频和视频,另一个则连接到你的Wi-Fi网络。这种双链路设计避免了带宽竞争,确保流畅的游戏体验。

此外,Steam Frame还引入了注视点渲染流技术(Foveated Streaming),该技术通过眼动追踪数据,将最佳画质的像素集中在你注视的区域,从而在不影响视觉体验的前提下,显著提升图像质量和有效带宽,据称可以实现超过10倍的提升。

Steam Frame的设计理念是“即戴即玩”,唤醒头显即可开始游戏,无需复杂的设置过程。它致力于为玩家提供一种简单、便捷、高质量的VR游戏体验。

由于文章内容主要为产品介绍,并未涉及评论区讨论,因此本次分析不包含评论观点总结。

从 GPG 迁移到 Age:简单、现代且安全的加密方案

本文介绍了作者从使用 GPG 密钥转向使用 Age 加密工具的实践经历,并分享了 Age 在简化工作流程和配置方面的优势。作者主要使用 GPG 进行加密,很少用于签名,因此决定尝试 Age。

作者在使用 GPG 时,按照 drduh 的指南,花费大量时间在 YubiKey 上设置 GPG 密钥。现在,他发现 Age 更加简单易用。迁移过程中,作者将密码管理器从 pass 切换到 passage,后者是 pass 的一个分支,使用 age 作为后端。迁移过程相对简单,passage 提供了一个 bash 脚本来完成迁移。同时,作者放弃了使用 gpg-agent 作为 SSH agent,转而为每台机器设置独立的 SSH 密钥,以便更精细地监控和撤销密钥。

Age 的优势在于易于配置和使用。作者利用 Chezmoi 的加密功能,可以轻松地将密钥添加到公共 dotfiles 仓库中。age-plugin-yubikey 使得 YubiKey 的配置变得非常简单,密钥可以在硬件密钥上安全生成。整个过程非常快速,作者不再害怕密钥轮换。

作者认为,探索新的工具可以带来新的思考方式,有时会发现新的默认设置,为生活带来新鲜感和乐趣。虽然不一定需要切换到 Age,但 Age 在目前的使用场景下确实带来了便利。

DENX 公司宣布退休,U-Boot 项目未来展望

DENX 公司在嵌入式 Linux 领域深耕 20 年后宣布退休,其开源引导加载程序 U-Boot 影响深远,未来将由社区继续维护。

DENX 作为一家私营公司,一直是开源和嵌入式 Linux 领域的先驱。他们开发的开源引导加载程序 U-Boot 如今运行在全球数百万台设备上,并且维护良好。公司在 2025 年 7 月宣布了解散运营并退休的决定,随后进入自愿清算程序。DENX 对所有客户和贡献者表示感谢。虽然 DENX 公司结束运营,但其精神和技术遗产将通过 U-Boot 项目以及前员工创立的新公司 NABLA 继续传承。NABLA 将继续提供开源、U-Boot、嵌入式 Linux 和安全方面的高级支持和咨询服务,保持与 DENX 相同的目标和专业水平。对于需要相关技术支持的用户,NABLA 将会是一个不错的选择。U-Boot 的持续维护和发展,也确保了其在嵌入式系统领域的重要地位。DENX 的退休,标志着一个时代的结束,也预示着开源社区合作模式的延续。

(由于没有评论内容,此处省略评论分析。)

LINE Seed:LINE 的全新品牌字體

LINE Seed 是 LINE 推出的全新字體,旨在傳達品牌便捷易用和友好的形象,就像種子生根發芽結果一樣,寓意著在 LINE 的服務中紮根,與用戶共同成長。

LINE Seed 具有統一的設計基因,其平衡的粗細和重量確保了和諧感,即使不同語言並排顯示,也能保持一致的視覺效果。目前,LINE Seed 已經支持拉丁文、韓文、日文和泰文四種書寫系統,以便在全球範圍內通用,傳達一致的品牌信息。

LINE Seed 是一種帶有哥特風格的幾何字體,強調簡約,旨在讓不同地區的人們都能感到熟悉。它保留了 LINE 標誌的直線形式,同時強調清晰的曲線,最終呈現出一款功能性強、易讀性高的字體。

LINE Seed 的設計理念與 LINE 的核心價值觀相符,即通過無縫連接人、信息、內容以及線上和線下服務,隨時隨地讓用戶的生活更加便捷。字體的簡潔形式代表了 LINE 的通用性和友好性。此外,LINE 標誌的圓角也被納入所有字形和字符(包括字母、數字、符號和圖標)的共同元素。

通過連字 OpenType 功能,LINE Seed 能夠在某些字符(如 fi、ff、fl、fj 等)並排排列時保持一致的字母間距。這是通過連接或轉換字符來改善字懷(內部空白)來實現的,從而使 Display 到 Text 設置都能獲得更好的節奏感。此外,文本中還包含 LINE 的各種服務圖標,通過巧妙的表達方式增添視覺樂趣。

總之,LINE Seed 旨在以統一且自然的方式傳達信息,同時保持每種書寫系統中字符的獨特形式和功能。

GrapheneOS 迁移至 Android 16 QPR1 内核代码

GrapheneOS 终于要迁移到 Android 16 QPR1 内核代码了,虽然比原计划晚了几个月。这次迁移包含了内核代码和固件的全面更新,但由于 AOSP (Android Open Source Project) 迟迟没有推送 QPR1,导致 GrapheneOS 的用户空间也无法同步更新。这意味着 GrapheneOS 团队在九月份就已经完成了底层适配,却因为上游的延误而无法发布更新。

这次更新之所以重要,是因为 Android 16 QPR1 是一个重要的季度更新,包含了大量的改动,几乎可以和年度更新相提并论。GrapheneOS 团队需要投入大量精力来处理这些变化,才能保证系统的稳定性和安全性。虽然目前还没有实验性版本的发布时间表,但可以确定的是,GrapheneOS 团队正在努力工作中。新版本可能会包含新的桌面模式,但早期版本可能不会立即启用该功能。

评论区里,有人猜测 Google 延迟推送 AOSP 是为了故意刁难 GrapheneOS 这样的项目,但也有人认为这只是疏忽或懒惰导致的。还有人提到,欧盟的一项新法律可能会导致未来 AOSP 的发布更加延迟。 也有用户询问了定制 ROM 的发展现状,以及 GrapheneOS 的更新时间表。总体来看,大家对 GrapheneOS 的更新都非常期待。

人类中央凹检测:ShaderToy 上的视觉实验

这篇文章介绍了一个名为“人类中央凹检测”的 ShaderToy 项目,它通过旋转的十字来展示人眼的中央凹视觉特性,即只有视野中心区域才能清晰感知运动。这个实验旨在帮助人们直观地了解自己的中央凹范围,以及周边视觉对变化的迟钝。

该 ShaderToy 通过在屏幕上显示许多旋转的十字,利用人眼视觉的特性来揭示中央凹的运作方式。当你注视屏幕时,只有你直接关注的十字才会显得在旋转,而周围的十字似乎是静止的。这是因为只有视野中央的小区域(中央凹)具有高分辨率,能够清晰地捕捉到运动。周边视觉的分辨率较低,因此无法清晰地感知到旋转。通过这个实验,你可以大致估计出自己中央凹的大小和形状。此外,有人提到在 Retina Mac 上可能需要调整缩放比例才能获得最佳效果。

评论区里,大家分享了各自的体验和观察。有人提到戴不同度数的眼镜会影响实验结果,有人则表示这个效果可能会引发偏头痛或癫痫,建议谨慎使用。还有人指出,这个 ShaderToy 几年前就曾因访问量过大导致 Shadertoy 网站崩溃。另一些评论则解释了其背后的原理,即它实际上展示了视觉中的变化盲视现象,大部分视野都容易忽略变化。有人也提到了这与注视点渲染(foveated rendering)技术的联系。总而言之,评论区提供了更多关于这个视觉实验的背景信息和潜在影响,以及不同人群的体验差异。

分布式系统中的心跳机制

本文深入探讨了分布式系统中用于检测节点和服务是否正常运行的关键机制——心跳。心跳机制对于构建可靠且具有弹性的分布式系统至关重要。

文章首先解释了心跳消息的基本概念,即从一个组件定期发送到另一个组件的信号,表明发送者仍然存活且功能正常。这种消息通常很小且轻量级,包含时间戳、序列号或标识符等信息,并以固定的时间间隔发送,从而创建一个可预测的模式供其他组件监控。

文章还介绍了心跳系统的核心组件,包括心跳发送者、心跳接收者(或监控器)、心跳间隔和超时或故障阈值。发送者定期生成和发送心跳信号,接收者监听这些信号并跟踪接收时间,而心跳间隔决定了发送频率,超时阈值则定义了在声明节点失败之前,监控器等待接收心跳的最长时间。

文章强调了选择合适的心跳间隔和超时值的重要性。过短的间隔会浪费网络带宽和 CPU 周期,而过长的间隔会导致故障检测缓慢。超时值也需要仔细选择,以平衡快速故障检测与容忍临时网络延迟或处理暂停之间的关系。文章建议,超时值通常应设置为心跳间隔的 2 到 3 倍,以便在声明故障之前允许错过一些心跳。此外,还应考虑网络的实际往返时间,并将其作为设置超时值的基准。

总之,心跳机制是分布式系统中不可或缺的一部分,它通过定期发送和监控心跳信号,帮助系统快速检测和应对节点故障,从而提高系统的可靠性和可用性。

Homebrew 移除 cask 的 --no-quarantine 支持

Homebrew 计划移除 cask 的 --no-quarantine 选项,这意味着用户将无法再绕过 Gatekeeper 对未签名或未公证软件的检查。此举旨在提高安全性,确保用户下载和安装的软件经过苹果的验证。

目前,--no-quarantine 允许用户跳过 Gatekeeper 的安全检查,安装可能存在风险的软件。移除此选项后,所有通过 Homebrew cask 安装的软件都将受到 Gatekeeper 的保护,降低用户安装恶意软件的风险。Homebrew 团队认为,在安全性与便利性之间,安全性更为重要。因此,他们决定移除这个可能被滥用的选项。

此变更可能会影响一些开发者和高级用户,他们可能需要调整自己的工作流程,确保他们的软件能够通过 Gatekeeper 的验证。对于普通用户来说,这意味着更安全的使用体验,降低了因安装未经验证的软件而导致的安全风险。Homebrew 团队建议开发者尽快开始对他们的软件进行签名和公证,以便用户能够顺利安装。

由于文章中没有评论内容,因此略过评论分析。

Continuous Autoregressive Language Models (CALM)

这篇文章主要介绍了 Continuous Autoregressive Language Models (CALM),这是一种通过预测连续向量而非离散 token 来提高大型语言模型效率的新方法。CALM 旨在突破 LLM 逐 token 生成的效率瓶颈,探索 LLM 扩展的新维度。

CALM 的核心思想是将一段 K 个 token 压缩成一个连续向量,然后基于这些连续向量进行语言建模,从而减少生成步骤。这种压缩通过高保真自编码器实现,能够以超过 99.9% 的准确率重建原始 token。为了支持这种新的建模范式,作者开发了一个全面的无似然框架,用于在连续域中进行稳健的训练、评估和可控采样。实验结果表明,CALM 显著提高了性能与计算成本之间的平衡,在显著降低计算成本的同时,达到了与强大的离散基线相当的性能。这项研究表明,预测下一个向量是一种强大且可扩展的途径,可以实现超高效的语言模型。作者还提供了代码和项目链接,方便大家进一步研究。简单来说,CALM就像是把一句话压缩成一个“语义包”,然后模型每次生成一个“语义包”,而不是一个字,这样就大大提高了效率。

这篇文章为 LLM 的未来发展提供了一个新的思路,也为相关研究人员提供了有价值的参考。

Telli (Voice AI) 柏林招聘软件工程师

Telli 是一家位于柏林,专注于语音 AI 的公司,目前正在招聘软件工程师。虽然具体职位描述和要求需要访问提供的链接查看,但我们可以推测一些关键信息。

考虑到 Telli 是一家语音 AI 公司,他们可能需要具备以下技能的工程师:熟悉语音识别 (ASR)、自然语言处理 (NLP)、语音合成 (TTS) 等技术;有机器学习和深度学习经验,熟悉 TensorFlow、PyTorch 等框架;熟悉 Python、Java 等编程语言;有处理大规模数据和构建高可用性系统的经验。

此外,由于公司位于柏林,所以对英语或者德语的沟通能力可能也有一定要求。有兴趣的软件工程师可以访问提供的链接,查看完整的职位描述和申请流程。 这是一个加入快速发展的语音 AI 领域的好机会,尤其对于那些希望在柏林工作的工程师来说。

由于没有评论内容,这里就不进行评论观点的分析了。

探索随机性测试:一份面向开发者的简易指南

本文旨在为开发者提供一份简单易懂的随机性测试入门指南,重点在于简化和提高可解释性,让更多人能够理解和应用随机性测试。文章背景是 NIST 在开发 AES 算法时,为了确保其输出的随机性而设计了一系列统计测试。然而,由于测试的复杂性,第三方研究人员发现了不少问题。因此,本文致力于简化随机性测试,使其更易于业余爱好者使用。

文章提到,AES (Advanced Encryption Standard) 被广泛应用于 VPN 提供商的 OpenVPN 标准以及 7-zip 文件加密等场景。为了保证 AES 算法的安全性,NIST (美国国家标准与技术研究院) 开发了一套统计测试,用于评估 AES 输出的随机性。然而,这些测试过于复杂,导致后续研究人员发现了一些问题。本指南旨在简化随机性测试,使其更易于理解和使用。该指南通过在线工具的形式,允许用户输入数据并进行随机性测试,旨在帮助开发者更好地理解和评估随机数生成器的质量。

评论区中,@apwheele 提到,对于使用卡方检验的测试,可以关注左尾,因为过小的卡方值可能意味着数据过于接近预期分布。这让人联想到 Fisher 对孟德尔实验的批评,认为其结果过于完美。@jap 分享了一个关于 GAlib 随机数生成器的 bug,该 bug 通过观察生成数字的散点图中的模式被发现。@guytv 发现,将 "hello world" 的 UTF-8 二进制数据输入测试工具后,竟然通过了 5 个随机性测试中的 4 个,这令人感到奇怪。

这些评论从不同角度补充了文章的内容。@apwheele 强调了卡方检验中需要注意的细节,@jap 提供了一个实际案例说明随机数生成器可能存在的问题,而 @guytv 的发现则引发了对随机性测试有效性的思考。这些观点共同提醒开发者,在实际应用中需要谨慎对待随机数生成器和随机性测试的结果。

Project Euler:数学与编程的趣味挑战

Project Euler 提供了一系列富有挑战性的数学和计算机编程问题,旨在激发人们对数学和编程的兴趣,并鼓励他们学习新的概念。它不仅需要数学知识,还需要编程技巧才能解决大多数问题。这个平台面向学生、对数学感兴趣的成年人以及希望保持问题解决能力和数学技能的专业人士。

目前,Project Euler 拥有超过 136 万注册会员,他们来自全球 220 个地区,并使用 113 种不同的编程语言来解决问题。问题的难度各不相同,通过解决一个问题,你可能会接触到新的概念,从而能够解决以前无法解决的问题。

网站鼓励用户注册账户以追踪进度,并提供了注册和登录的入口。该网站的目标是鼓励、挑战和发展任何对迷人的数学世界感兴趣的人的技能和乐趣。即使在注册之前,你也可以先浏览问题档案,看看是否感兴趣。

评论区里,用户分享了他们与 Project Euler 的故事和看法。有人提到 Project Euler 在他们人生的低谷时期给予了他们帮助,让他们重拾了对编程的信心,最终找到了工作并走上了正轨。还有用户分享了自己作为高中生参与 Project Euler 的经历,以及后来成为问题贡献者的故事。

一些用户认为 Project Euler 比 LeetCode 更有趣和更有教育意义,特别适合在学习新语言时进行练习。也有人表示,通过 Project Euler 学习到的数学知识和编程技巧,在面试中给他们带来了优势。当然,也有用户提到,随着问题难度的增加,需要掌握一定的数论知识,并且花费的时间也会增加。总的来说,Project Euler 被许多人视为一个激发编程兴趣和提升问题解决能力的宝贵资源。

“Transpiler”一词的意义辨析:开发者常识还是概念误导?

本文作者 Rachit Nigam 认为,"transpiler"(转译器)这个词在技术领域的使用常常模糊不清,甚至具有误导性。作者通过六个常见的误解,深入探讨了转译器与编译器之间的界限,挑战了人们对转译器“简单”、“不涉及语义理解”等固有印象。

文章首先指出,认为转译器没有前端的想法是错误的。作者以 Python 到 C 的转译为例,说明即使是看似简单的代码转换,也需要处理不同语言之间的语义差异。例如,Python 中的 range 函数是一个生成器,其实现方式与 C 语言有很大不同,转译器必须理解并正确处理这种差异。此外,Python 拥有大量的内置库函数,转译器需要将它们转换成 C 代码,这同样需要复杂的前端处理。

其次,文章反驳了转译器很简单的观点。作者以 BabelJS 为例,展示了将 ES6 的生成器转换为旧版 JavaScript 代码的复杂性。实现生成器需要进行整个程序的转换,这表明转译器并非只是简单的语法替换。

第三,作者认为,将转译器定义为目标相同抽象级别的语言也是不准确的。即使输入和输出语言具有相似的语法,但如果编译一个特性需要进行整个程序的转换,那么这些语言实际上并不相同。

第四,文章指出,BabelJS 的预设功能类似于 LLVM 的后端,这表明转译器也具有后端。此外,编译器前端也会将大量的语法转换为更小的语言,许多操作只是语法糖,可以使用更基础的原语来表示。

第五,文章反驳了编译器只能生成机器代码的观点。编译器也可以生成字节码,例如 JVM 上的 Java 编译器。

最后,作者总结道,编译器实际上已经完成了转译器应该做的事情,并且由于它们建立在语言语义的基础之上,因此做得更好。

总而言之,作者认为 "transpiler" 这个词常常被误用,它掩盖了语言转换的复杂性,并造成了对编译器和转译器之间真正区别的误解。与其关注语法上的差异,不如深入理解语言的语义,才能更好地进行语言转换。

ShaderGlass:在 Windows 桌面运行 GPU Shader 的工具

ShaderGlass 是一款开源工具,它允许用户在 Windows 桌面上叠加运行 GPU shaders,为桌面环境增添视觉效果。 该项目托管在 GitHub 上,由 mausimus 开发并维护。

ShaderGlass 本质上是一个覆盖层,能够将 GPU shaders 应用到整个桌面或特定窗口。它使用户能够实时地对桌面进行各种视觉处理,例如色彩校正、模糊、扭曲等。该项目使用 GPL-3.0 许可证,意味着用户可以自由地使用、修改和分发该软件,但也需要遵守相应的开源协议。

该项目在 GitHub 上拥有 3.2k 的 star 和 86 个 fork,表明它在开发者和科技爱好者中颇受欢迎。ShaderGlass 提供了丰富的功能,包括自定义 shaders、调整参数以及选择应用范围(整个桌面或特定窗口)。通过使用 ShaderGlass,用户可以根据自己的喜好定制桌面环境,创造出独特的视觉体验。

该项目还包括 Issues 和 Pull requests 页面,方便用户提交 bug 报告、功能请求或贡献代码。此外,Actions 页面展示了项目的持续集成和持续部署流程,确保代码质量和稳定性。Security 页面则关注项目的安全性问题,及时修复潜在的安全漏洞。

逆向 Yaesu FT-70D 固件加密

本文深入探讨了对 Yaesu FT-70D 手持电台固件加密进行逆向工程的完整方法,旨在为不一定是高级逆向工程师的读者提供易于理解的指南。

文章作者首先介绍了使用业余无线电学习无线电频谱的工作原理,并提到 Yaesu FT-70D 是一个可以运行奇怪芯片/固件的嵌入式设备,因此作者对破解它产生了兴趣。作者发现的唯一现有资源是关于 Yaesu FT1DR 的自定义固件,但使用 Renesas SDK 配置起来很麻烦,并且不确定是否可以转储固件。

Yaesu 在其网站上提供了一个 Windows 应用程序,可以通过 USB 更新无线电的固件。作者推测 "FT-70D_ver111(USA).exe" 文件可能包含固件镜像。通过 XPEViewer 查看该 PE 文件,发现了一个名为 "23" 的自定义资源类型,其中包含 "RES_START_DIALOG" 和 "RES_UPDATE_INFO" 两个条目。"RES_UPDATE_INFO" 看起来像是二进制数据,但使用 strings 工具无法识别任何可读内容,因此作者推断固件镜像可能已加密。

为了解密数据,作者将更新实用程序加载到 IDA Pro 中进行反汇编。通过查找 "RES_UPDATE_INFO" 字符串的引用,作者找到了加载所有这些自定义资源的函数。然后,作者使用 WinDbg 的时间旅行调试 (TTD) 功能记录了更新无线电时更新程序的执行跟踪。通过在 rep movsd 指令处设置断点并检查 edi 寄存器的值,作者找到了数据处理函数。这个函数将时间戳字符串传递给 sub_4082c0,并将剩余的更新镜像传递给 sub_408350。作者专注于 sub_408350,因为它只关心固件数据。

目前文章只分析到这里,后续应该会继续分析 sub_408350 函数,并尝试解密固件。

(由于没有评论内容,跳过评论相关的输出)

Google Pixel 10 发布设备树,助力 Mainline Linux Kernel 启动

Google 发布了 Pixel 10、Pixel 10 Pro 和 Pixel 10 Pro XL 设备的初始设备树(DT)文件,旨在让这些设备能够使用 mainline Linux 内核启动。 这对于开发者来说是个好消息,意味着 Pixel 10 系列未来可能更好地支持 Linux 系统。

Pixel 10 系列搭载 Google Tensor G5 SoC,采用 Arm Cortex X4、A725 和 A520 核心组合,以及 Imagination DXT-48-1536 图形。 目前发布的只是初步补丁,还不能实现完整功能的智能手机体验。 启动 mainline Linux 内核依赖于一个“尚未发布的引导程序”。 即使有了这个引导程序,这些 DT 补丁也只够“从 initramfs 启动到 UART 命令提示符”。

这些设备树的最终目的是简化设备启动过程,方便开发者进行更深入的定制和实验。 预计讨论的重点将集中在兼容字符串、文件组织以及 dts/dtso 组织等方面。 感兴趣的开发者可以通过 LKML 线程找到 Google Pixel 10 设备的 DT 补丁。

总而言之,虽然目前这些补丁还处于早期阶段,功能有限,但它们为 Pixel 10 系列在 mainline Linux 内核上的开发奠定了基础,未来可期。

Hack Club:青少年编程社区的机遇与挑战

本文探讨了 Hack Club,一个旨在赋能青少年进行创造和构建的编程社区。文章赞扬了 Hack Club 的使命和社区氛围,同时也揭露了其在数据保护方面存在的严重问题。

Hack Club 的核心在于鼓励青少年开发和发布他们关心的项目。文章强调,与其他在线社区不同,Hack Club 营造了一种互助和支持的氛围,在这里,青少年可以放心地提问并获得详细的解答,而不是遭受嘲讽或被告知问题已存在。Hack Club 还提供各种项目和活动,如 YSWS、黑客马拉松和 Hack Club Bank,以激励青少年参与并获得实际技能。此外,Hack Club 以其透明度而闻名,公开其代码、财务和流程,让青少年能够了解并参与社区的运作。

然而,文章揭露了 Hack Club 在数据保护方面存在的严重疏忽。作者发现 Neighbourhood 项目存在安全漏洞,导致数千用户的真实姓名暴露。更令人担忧的是,当作者试图报告此问题时,Hack Club 的员工却表现出令人震惊的态度,他们声称不受 GDPR 约束,甚至依赖 ChatGPT 获取法律建议。这种对用户数据安全的漠视,与 Hack Club 赋能青少年的美好愿景形成了鲜明对比。

文章最后对 Hack Club 的未来提出了质疑,强调了其在数据保护方面的不足可能会对其声誉和发展产生负面影响。

Mergiraf:Git 的语法感知合并工具

Mergiraf 是一款为 Git 设计的语法感知合并冲突解决工具,它通过理解代码的语法结构,智能地解决传统合并算法无法处理的冲突。该工具支持包括 C、Python、Rust 和 SystemVerilog 在内的 33 种语言。

Mergiraf 的核心在于它不依赖于行,而是依赖于编程语言的语法元素。传统的 Git 合并算法是基于行的,当同一行代码发生冲突时,即使逻辑上是独立的修改,也会产生冲突。Mergiraf 利用 tree-sitter 增量解析库将代码转换为语法树,然后使用一种非特定于语言的树匹配算法来指导冲突解决。该算法首先尝试进行常规的基于行的合并,如果失败,则只对冲突的部分应用基于树的合并算法,从而提高效率。

Mergiraf 的算法将语法树扁平化为节点之间关系的列表,并标记这些关系来自哪个版本(基础版本、左侧版本或右侧版本)。然后,它根据合并后的关系列表重建语法树。如果来自基础版本的关系与另一个关系冲突,则将其丢弃。如果左右两侧版本中的两个关系不一致,则表明存在 Mergiraf 无法解决的实际冲突。该工具能够消除移动/编辑冲突,如果一个版本编辑了程序的内部部分,而另一个版本重新定位了该部分,这些更改不会相互矛盾。

对于某些语言,Mergiraf 还可以利用特定于语言的知识来解决冲突。例如,在 Rust 中,编译器可以根据需要重新排列结构字段,因此可以自动解决结构字段顺序冲突。

由于文章没有评论,因此无法提供评论分析。

OpenAI 捍卫用户隐私,对抗《纽约时报》的数据索取

OpenAI 正在与《纽约时报》 (NYT) 展开一场关于用户隐私的斗争,NYT 要求 OpenAI 交出 2000 万条 ChatGPT 用户的私人对话记录。OpenAI 认为这一要求侵犯了用户隐私,并正在采取法律手段进行反击。

OpenAI 强调,他们将用户数据视为极其敏感的信息,并投入大量资源来保护这些数据,包括防止未经授权的访问。NYT 声称,他们可能在这些对话中找到用户试图绕过其付费墙的证据,但 OpenAI 认为,这种要求无视了长期的隐私保护措施,并且会迫使他们交出数百万与 NYT 诉讼无关的用户的个人对话。OpenAI 曾向 NYT 提出了一些保护隐私的替代方案,例如针对性搜索或提供 ChatGPT 使用情况的高级数据分类,但这些方案均被 NYT 拒绝。OpenAI 承诺,即使在法律压力下,也会采取一切必要措施来保护用户隐私,例如对数据进行匿名化处理,并确保数据只能在安全的环境中查看。OpenAI 还在积极开发更强大的安全功能,例如客户端加密,以确保用户对话的私密性。这些功能旨在防止包括 OpenAI 在内的任何第三方访问用户的私人对话。

OpenAI 认为,新闻媒体在捍卫用户隐私方面扮演着重要的角色,但 NYT 的这一要求与这一传统背道而驰。OpenAI 正在要求法院驳回 NYT 的要求,并承诺将继续探索一切可行的方案来保护用户的隐私。

Marble:一个多模态世界模型

这篇文章介绍了 WorldLabs 推出的 Marble,一个能够从文本、图像、视频等多种模态输入生成 3D 世界的模型,并重点介绍了其多模态输入、编辑和雕刻功能。Marble 旨在实现空间智能,让用户能够以更精细的方式控制 3D 世界的创建和编辑。

Marble 作为一个多模态世界模型,其核心在于能够理解和整合来自不同感官的信息,就像人类一样。它能够从图像或文本提示创建 3D 世界,并允许用户交互式地编辑、扩展和组合这些世界。新版本 Marble 扩展了功能,支持从文本、图像、视频或粗略的 3D 布局生成 3D 世界,并支持将生成的 3D 世界导出为 Gaussian splats、meshes 或视频。

文章详细介绍了 Marble 的几种主要功能。首先是“文本和图像到世界”功能,用户可以通过简单的文本提示或单张图像快速生成完整的 3D 世界。其次是“多图像和视频到世界”功能,它允许用户使用多张图像或短视频来更精确地控制生成的世界,尤其适合创建基于真实世界空间的 3D 模型。

此外,Marble 还提供了强大的世界编辑工具,允许用户对已生成的 3D 世界进行修改,例如移除对象、调整区域、替换对象或改变视觉风格。文章还重点介绍了 Chisel,这是一个 AI 原生的 3D 雕刻工具,允许高级用户通过粗略的 3D 形状或导入的 3D 资产来构建世界的结构,并通过文本提示来控制其风格,从而实现对世界生成更精细的控制。

总的来说,Marble 旨在简化 3D 世界的创建过程,并为用户提供前所未有的控制力和灵活性。通过结合多种输入模态和强大的编辑工具,Marble 有望在游戏、视觉特效、设计、机器人等领域得到广泛应用。WorldLabs 还推出了 Marble Labs,这是一个创意中心,旨在鼓励用户探索世界模型的可能性,并提供学习资源和案例研究。

评论 0 条

暂无评论,来种下第一颗种子。