Sign up to save your podcasts
Or
Share Agili 的 Hacker Podcast 2026-02-02
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Agili 的 Hacker Podcast 2026-02-02
Agili 的 Hacker Podcast
今日精选涵盖开源软件安全事件、AI 用户分化现象、苹果硬件缺陷调查,以及从考古发现到并发计算理论的多元话题。
Notepad++ 遭国家级黑客劫持
攻击始末
Notepad++ 官方确认其网站在 2025 年 6 月至 12 月 2 日期间遭遇国家级黑客攻击。攻击并非源于软件代码漏洞,而是前托管服务商的基础设施被入侵。攻击者利用该权限拦截并重定向了软件更新流量,将特定目标用户的请求导向恶意服务器。
托管服务商日志显示,尽管服务器在 9 月 2 日通过内核和固件更新清除了攻击者的直接访问权,但对方仍掌握内部服务凭据,持续劫持流量直至 12 月 2 日所有凭证重置完毕。
修复措施
官方已采取三项应对:网站迁移至新托管平台;内置更新器 WinGup 在 v8.8.9 版本中增强了证书和签名校验;更新服务器返回的 XML 配置文件现已签名,即将发布的 v8.9.2 版本将强制执行此验证。
安全实践争议
社区对 Notepad++ 之前的安全实践提出批评。直到 v8.8.7 版本,开发者仍在使用自签名证书,甚至曾将证书包含在 GitHub 源码中,导致用户习惯于忽略系统的"未知发布者"警告,为劫持攻击埋下伏笔。
受影响用户应停止使用旧版本的自动更新功能,手动下载并安装 v8.9.1 或更高版本。
AI 用户的两极分化
权力用户与聊天用户
当前 AI 用户群体呈现明显分化。第一类是"权力用户",深度使用 Claude Code、MCP(Model Context Protocol,用于连接 AI 与外部数据源的协议)等工具。这类用户往往并非技术背景出身,许多非技术人员开始在终端中用 Claude Code 处理财务、运营等任务。
第二类是普通"聊天用户",仅停留在与 ChatGPT 或 Copilot 网页端对话的阶段。微软的 Copilot 虽然普及,但被吐槽为"ChatGPT 的拙劣克隆版"。由于企业 IT 政策限制,员工往往无法运行本地脚本或连接内部 API,AI 能力被锁定在低效的聊天框内。
小公司的降维打击
小公司正利用这种差距实现突破。非技术高管可以通过 Claude Code 将拥有 30 个工作表的复杂 Excel 财务模型一键转化为 Python 代码,进而运行蒙特卡洛模拟等高级分析。
社区对此持保留意见。有用户分享教训:AI 在处理价格趋势图时,将月份按字母顺序而非时间顺序排列,若不仔细检查根本无法察觉。
第 50 天难题
社区提出了"第 50 天难题":当项目规模超出 AI 的上下文窗口(通常约 200k tokens)时,生产力会断崖式下跌。用户会花费数小时向 AI 解释它刚刚忘记的代码逻辑。
iPhone 16 Pro Max 运行本地模型输出乱码
问题发现
开发者 Rafael Costa 发现,他的 iPhone 16 Pro Max 在运行 MLX(苹果专为芯片优化的机器学习框架)模型时产生完全错误的输出。iPhone 15 Pro 和 MacBook Pro 运行相同代码表现正常,但这台 iPhone 16 Pro Max 的 Neural Engine 在处理张量运算时,数值出现数量级偏差。
即使询问"2+2 等于几"这种基础测试,设备也只输出乱码,且无法生成停止令牌,导致 CPU 占用率持续锁定在 100%。
调试过程
作者将测试模型的采样温度设为 0.0 以消除变量,对 Gemma 模型各层数值进行断点调试。对比发现,输入数据在两台手机上完全一致,但 iPhone 16 在经过几层处理后,内部状态数值开始失控。例如,某层归一化处理前,iPhone 15 显示数值为 42.6,而 iPhone 16 则是 1298。
硬件缺陷确认
社区指出,这种规模的数值偏差超出正常计算扰动,更像是芯片或 Metal 编译器在 A18 芯片上的实现存在严重漏洞。作者最终通过折抵换购 iPhone 17 Pro Max 解决问题,后者测试结果完全正常,证明该特定批次或个体的 A18 芯片确实存在硬件缺陷。
Xikipedia:维基百科的无限滚动版
项目设计
Xikipedia 将简单英语维基百科转化为伪社交媒体流。开发者 rebane2001 强调该项目未借助 AI 辅助,整个应用逻辑仅 21kB,以单个 HTML 文件形式存在。为实现文章间的关联推荐,用户首次加载需下载约 40MB 数据以在本地构建完整的跨文章链接图。
该项目完全不收集用户数据,一旦刷新页面,所有点击记录都会消失。
社区争议
支持者认为这是一种"整洁刷屏",可以作为戒掉短视频成瘾的替代品,将碎片化时间引向知识获取。批评者指出,即便是教育内容,这种高频语境切换和滑动操作本身就像"斯金纳箱",利用多巴胺诱导用户期待"下一条会更有趣",削弱深度阅读能力。
HS2 高铁沿线发掘 45 万件文物
发掘规模
英国 HS2 高铁建设过程中,考古学家挖掘出约 45 万件珍贵文物,目前储存在约克郡一个保密仓库中。自 2018 年以来,约 1000 名考古学家在沿线进行了 60 处挖掘。英国考古委员会称此次发掘"史无前例"。
代表性发现
仓库内存放着约 7300 盒历史遗物,包括:超过 4 万年历史的旧石器时代手斧,可能由尼安德特人制造;刻有"愿胜利者获胜并好运"字样的罗马角斗士标签;由牛股骨制成的盎格鲁-撒克逊纺锤盘;19 世纪金假牙;以及 18 世纪末瓷器厂生产的哈巴狗雕塑。
考古团队正说服土地所有者进行捐赠,希望让大部分文物能够回到发现地附近的当地博物馆展出。
Actor 模型:并发计算的理论基石
模型定义
Gul Agha 在 1985 年提出的 Actor 模型是分布式系统中并发计算的基础架构。Actor 被定义为一种计算代理,在接收消息时执行三个基本操作:向其他 Actor 发送消息、创建新 Actor、指定替换行为(处理下一条消息时采用的新状态或逻辑)。
在 Actor 系统中不存在全局时钟,每个 Actor 都有自己的局部时间。消息通过邮政系统进行缓冲和投递,保证最终必达。通信是异步的,发送者无需等待接收者就绪,有效避免了递归结构中的死锁问题。
应用场景争议
社区对 Actor 模型的应用范围存在争论。有观点认为,在单进程内为实现并发而强行引入 Actor 有时是"过度设计",结构化并发往往更易于管理。但在管理 Git 仓库等需要串行化操作的任务时,使用 Actor 可以避免复杂的互斥锁,使设计更具可读性。Erlang OTP、Elixir、Microsoft Orleans 和 Akka 等框架证明了该模型在电信和大规模机器通信中的威力。
MacBook Pro DFU 端口文档错误
文档与实际不符
Apple 官方文档在 M4 系列 MacBook Pro 的 DFU(设备固件更新模式)端口定义上存在错误。文档称所有 Apple 芯片 MacBook Pro 的 DFU 端口都应位于"面对 Mac 左侧时最左边的 USB-C 接口",但在 16 英寸 M4 Pro 机型上实测证明,DFU 端口实际位于机身右侧。
导致的问题
这一错误直接导致外部磁盘更新 macOS 时连续失败。Apple 要求使用外部存储设备安装系统时,设备必须插入除 DFU 端口以外的任何兼容端口。如果误用 DFU 端口,系统不会给出"端口错误"提示,而是照常执行下载、准备和重启的全流程,但在漫长等待后系统版本原地踏步,没有任何错误代码。
macOS 无法在检测到错误端口连接时主动报错,这种黑盒体验让不少用户感慨,相比 Intel 和 PowerPC 时代,现在的 Mac 磁盘管理变得过度复杂且缺乏透明度。
用 rsync 实现 Time Machine 式备份
核心原理
该方案利用 rsync 的 --link-dest 参数实现增量备份。通过创建硬链接(多个文件名指向磁盘上同一块物理数据),备份脚本对比当前数据与上一次备份,仅存储发生变化的文件;对于未变动的文件,仅创建指向旧文件的硬链接。每份快照在外观上都是完整文件夹,但不会重复占用存储空间,用户可随意删除旧快照而不影响其他版本。
进阶方案
社区推荐了更成熟的工具:rsnapshot 在处理大规模备份任务时更加稳健;在 Linux 环境下配合 ZFS 或 LVM 使用,可在执行同步前生成文件系统级别快照;restic 或 kopia 在加密和数据去重方面表现更佳;对于目录镜像同步,Syncthing 是更流行的选择。
Nix 语言的契约式类型检查
解决的问题
Nix 语言缺乏完善的类型系统。虽然社区有 Cue、Dhall 或 Nickel 等替代方案,但它们都难以为现有遗留 Nix 代码添加类型注解。"Contracts"库利用验证器来定义"契约",开发者可以直接将正则表达式或非空检查定义为类型。
技术特性
Contracts 支持与 NixOS 现有的 lib.types 和 mkOption 配合使用;契约检查触发的是可恢复错误,可被 tryEval 捕获;提供清晰的调试追踪,在类型不匹配时能准确定位原始值;考虑到运行时开销,用户可选择性关闭,例如仅在 CI 环境下启用检查。
社区有观点认为运行时断言只是类型系统的廉价替代品,但支持者辩护称,由于 Nix 语言具有纯函数特性且倾向于延迟加载,全求值时的运行时错误几乎等同于传统语言的编译错误。考虑到 Nixpkgs 庞大的存量代码,渐进式方案是唯一现实的出路。
创业是一场滚雪球
雪球比喻
创业始于一种纯粹的冲动。就像在大雪纷飞的清晨,随手抓起一把潮湿的雪,放在地上开始滚动,周围的雪会自然粘附上来。滚动过程中,有时独自前行,有时有人加入。当大家齐心协力时,雪球会迅速膨大;当多双手推向不同方向时,雪球就会停滞。
比喻的局限
社区指出这种描述过于浪漫化,忽视了创业中主动创造价值的必要性。雪球的增长在比喻中是相对被动的,而现实中的创业必须面对产品市场匹配和营收压力。一个完整的隐喻不能缺少"太阳"——它代表税收、竞争或环境变迁等外部消融力量。如果坚持在没有积雪的地方"推上坡",创业就会变成西西弗斯式的徒劳。
相关链接:
- Notepad++ hijacked by state-sponsored actors
- Two kinds of AI users are emerging
- My iPhone 16 Pro Max produces garbage output when running MLX LLMs
- Show HN: Wikipedia as a doomscrollable social media feed
- Treasures found on HS2 route stored in secret warehouse
- Actors: A Model of Concurrent Computation [pdf] (1985)
- Apple's MacBook Pro DFU port documentation is wrong
- Time Machine-style Backups with rsync (2018)
- Contracts in Nix
- Founding is a snowball
View all episodes
By Agili 的 Hacker PodcastAgili 的 Hacker Podcast
今日精选涵盖开源软件安全事件、AI 用户分化现象、苹果硬件缺陷调查,以及从考古发现到并发计算理论的多元话题。
Notepad++ 遭国家级黑客劫持
攻击始末
Notepad++ 官方确认其网站在 2025 年 6 月至 12 月 2 日期间遭遇国家级黑客攻击。攻击并非源于软件代码漏洞,而是前托管服务商的基础设施被入侵。攻击者利用该权限拦截并重定向了软件更新流量,将特定目标用户的请求导向恶意服务器。
托管服务商日志显示,尽管服务器在 9 月 2 日通过内核和固件更新清除了攻击者的直接访问权,但对方仍掌握内部服务凭据,持续劫持流量直至 12 月 2 日所有凭证重置完毕。
修复措施
官方已采取三项应对:网站迁移至新托管平台;内置更新器 WinGup 在 v8.8.9 版本中增强了证书和签名校验;更新服务器返回的 XML 配置文件现已签名,即将发布的 v8.9.2 版本将强制执行此验证。
安全实践争议
社区对 Notepad++ 之前的安全实践提出批评。直到 v8.8.7 版本,开发者仍在使用自签名证书,甚至曾将证书包含在 GitHub 源码中,导致用户习惯于忽略系统的"未知发布者"警告,为劫持攻击埋下伏笔。
受影响用户应停止使用旧版本的自动更新功能,手动下载并安装 v8.9.1 或更高版本。
AI 用户的两极分化
权力用户与聊天用户
当前 AI 用户群体呈现明显分化。第一类是"权力用户",深度使用 Claude Code、MCP(Model Context Protocol,用于连接 AI 与外部数据源的协议)等工具。这类用户往往并非技术背景出身,许多非技术人员开始在终端中用 Claude Code 处理财务、运营等任务。
第二类是普通"聊天用户",仅停留在与 ChatGPT 或 Copilot 网页端对话的阶段。微软的 Copilot 虽然普及,但被吐槽为"ChatGPT 的拙劣克隆版"。由于企业 IT 政策限制,员工往往无法运行本地脚本或连接内部 API,AI 能力被锁定在低效的聊天框内。
小公司的降维打击
小公司正利用这种差距实现突破。非技术高管可以通过 Claude Code 将拥有 30 个工作表的复杂 Excel 财务模型一键转化为 Python 代码,进而运行蒙特卡洛模拟等高级分析。
社区对此持保留意见。有用户分享教训:AI 在处理价格趋势图时,将月份按字母顺序而非时间顺序排列,若不仔细检查根本无法察觉。
第 50 天难题
社区提出了"第 50 天难题":当项目规模超出 AI 的上下文窗口(通常约 200k tokens)时,生产力会断崖式下跌。用户会花费数小时向 AI 解释它刚刚忘记的代码逻辑。
iPhone 16 Pro Max 运行本地模型输出乱码
问题发现
开发者 Rafael Costa 发现,他的 iPhone 16 Pro Max 在运行 MLX(苹果专为芯片优化的机器学习框架)模型时产生完全错误的输出。iPhone 15 Pro 和 MacBook Pro 运行相同代码表现正常,但这台 iPhone 16 Pro Max 的 Neural Engine 在处理张量运算时,数值出现数量级偏差。
即使询问"2+2 等于几"这种基础测试,设备也只输出乱码,且无法生成停止令牌,导致 CPU 占用率持续锁定在 100%。
调试过程
作者将测试模型的采样温度设为 0.0 以消除变量,对 Gemma 模型各层数值进行断点调试。对比发现,输入数据在两台手机上完全一致,但 iPhone 16 在经过几层处理后,内部状态数值开始失控。例如,某层归一化处理前,iPhone 15 显示数值为 42.6,而 iPhone 16 则是 1298。
硬件缺陷确认
社区指出,这种规模的数值偏差超出正常计算扰动,更像是芯片或 Metal 编译器在 A18 芯片上的实现存在严重漏洞。作者最终通过折抵换购 iPhone 17 Pro Max 解决问题,后者测试结果完全正常,证明该特定批次或个体的 A18 芯片确实存在硬件缺陷。
Xikipedia:维基百科的无限滚动版
项目设计
Xikipedia 将简单英语维基百科转化为伪社交媒体流。开发者 rebane2001 强调该项目未借助 AI 辅助,整个应用逻辑仅 21kB,以单个 HTML 文件形式存在。为实现文章间的关联推荐,用户首次加载需下载约 40MB 数据以在本地构建完整的跨文章链接图。
该项目完全不收集用户数据,一旦刷新页面,所有点击记录都会消失。
社区争议
支持者认为这是一种"整洁刷屏",可以作为戒掉短视频成瘾的替代品,将碎片化时间引向知识获取。批评者指出,即便是教育内容,这种高频语境切换和滑动操作本身就像"斯金纳箱",利用多巴胺诱导用户期待"下一条会更有趣",削弱深度阅读能力。
HS2 高铁沿线发掘 45 万件文物
发掘规模
英国 HS2 高铁建设过程中,考古学家挖掘出约 45 万件珍贵文物,目前储存在约克郡一个保密仓库中。自 2018 年以来,约 1000 名考古学家在沿线进行了 60 处挖掘。英国考古委员会称此次发掘"史无前例"。
代表性发现
仓库内存放着约 7300 盒历史遗物,包括:超过 4 万年历史的旧石器时代手斧,可能由尼安德特人制造;刻有"愿胜利者获胜并好运"字样的罗马角斗士标签;由牛股骨制成的盎格鲁-撒克逊纺锤盘;19 世纪金假牙;以及 18 世纪末瓷器厂生产的哈巴狗雕塑。
考古团队正说服土地所有者进行捐赠,希望让大部分文物能够回到发现地附近的当地博物馆展出。
Actor 模型:并发计算的理论基石
模型定义
Gul Agha 在 1985 年提出的 Actor 模型是分布式系统中并发计算的基础架构。Actor 被定义为一种计算代理,在接收消息时执行三个基本操作:向其他 Actor 发送消息、创建新 Actor、指定替换行为(处理下一条消息时采用的新状态或逻辑)。
在 Actor 系统中不存在全局时钟,每个 Actor 都有自己的局部时间。消息通过邮政系统进行缓冲和投递,保证最终必达。通信是异步的,发送者无需等待接收者就绪,有效避免了递归结构中的死锁问题。
应用场景争议
社区对 Actor 模型的应用范围存在争论。有观点认为,在单进程内为实现并发而强行引入 Actor 有时是"过度设计",结构化并发往往更易于管理。但在管理 Git 仓库等需要串行化操作的任务时,使用 Actor 可以避免复杂的互斥锁,使设计更具可读性。Erlang OTP、Elixir、Microsoft Orleans 和 Akka 等框架证明了该模型在电信和大规模机器通信中的威力。
MacBook Pro DFU 端口文档错误
文档与实际不符
Apple 官方文档在 M4 系列 MacBook Pro 的 DFU(设备固件更新模式)端口定义上存在错误。文档称所有 Apple 芯片 MacBook Pro 的 DFU 端口都应位于"面对 Mac 左侧时最左边的 USB-C 接口",但在 16 英寸 M4 Pro 机型上实测证明,DFU 端口实际位于机身右侧。
导致的问题
这一错误直接导致外部磁盘更新 macOS 时连续失败。Apple 要求使用外部存储设备安装系统时,设备必须插入除 DFU 端口以外的任何兼容端口。如果误用 DFU 端口,系统不会给出"端口错误"提示,而是照常执行下载、准备和重启的全流程,但在漫长等待后系统版本原地踏步,没有任何错误代码。
macOS 无法在检测到错误端口连接时主动报错,这种黑盒体验让不少用户感慨,相比 Intel 和 PowerPC 时代,现在的 Mac 磁盘管理变得过度复杂且缺乏透明度。
用 rsync 实现 Time Machine 式备份
核心原理
该方案利用 rsync 的 --link-dest 参数实现增量备份。通过创建硬链接(多个文件名指向磁盘上同一块物理数据),备份脚本对比当前数据与上一次备份,仅存储发生变化的文件;对于未变动的文件,仅创建指向旧文件的硬链接。每份快照在外观上都是完整文件夹,但不会重复占用存储空间,用户可随意删除旧快照而不影响其他版本。
进阶方案
社区推荐了更成熟的工具:rsnapshot 在处理大规模备份任务时更加稳健;在 Linux 环境下配合 ZFS 或 LVM 使用,可在执行同步前生成文件系统级别快照;restic 或 kopia 在加密和数据去重方面表现更佳;对于目录镜像同步,Syncthing 是更流行的选择。
Nix 语言的契约式类型检查
解决的问题
Nix 语言缺乏完善的类型系统。虽然社区有 Cue、Dhall 或 Nickel 等替代方案,但它们都难以为现有遗留 Nix 代码添加类型注解。"Contracts"库利用验证器来定义"契约",开发者可以直接将正则表达式或非空检查定义为类型。
技术特性
Contracts 支持与 NixOS 现有的 lib.types 和 mkOption 配合使用;契约检查触发的是可恢复错误,可被 tryEval 捕获;提供清晰的调试追踪,在类型不匹配时能准确定位原始值;考虑到运行时开销,用户可选择性关闭,例如仅在 CI 环境下启用检查。
社区有观点认为运行时断言只是类型系统的廉价替代品,但支持者辩护称,由于 Nix 语言具有纯函数特性且倾向于延迟加载,全求值时的运行时错误几乎等同于传统语言的编译错误。考虑到 Nixpkgs 庞大的存量代码,渐进式方案是唯一现实的出路。
创业是一场滚雪球
雪球比喻
创业始于一种纯粹的冲动。就像在大雪纷飞的清晨,随手抓起一把潮湿的雪,放在地上开始滚动,周围的雪会自然粘附上来。滚动过程中,有时独自前行,有时有人加入。当大家齐心协力时,雪球会迅速膨大;当多双手推向不同方向时,雪球就会停滞。
比喻的局限
社区指出这种描述过于浪漫化,忽视了创业中主动创造价值的必要性。雪球的增长在比喻中是相对被动的,而现实中的创业必须面对产品市场匹配和营收压力。一个完整的隐喻不能缺少"太阳"——它代表税收、竞争或环境变迁等外部消融力量。如果坚持在没有积雪的地方"推上坡",创业就会变成西西弗斯式的徒劳。
相关链接:
- Notepad++ hijacked by state-sponsored actors
- Two kinds of AI users are emerging
- My iPhone 16 Pro Max produces garbage output when running MLX LLMs
- Show HN: Wikipedia as a doomscrollable social media feed
- Treasures found on HS2 route stored in secret warehouse
- Actors: A Model of Concurrent Computation [pdf] (1985)
- Apple's MacBook Pro DFU port documentation is wrong
- Time Machine-style Backups with rsync (2018)
- Contracts in Nix
- Founding is a snowball