Sign up to save your podcasts
Or
Share Agili 的 Hacker Podcast 2026-02-26
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Agili 的 Hacker Podcast 2026-02-26
今日精选涵盖 Google API 密钥的安全隐患、万维网诞生地的历史回顾、OpenAI 的战略困境,以及 AI 安全政策与军方博弈等话题。
Google API 密钥的安全规则被 Gemini 打破
静默的权限扩张
Google 长期告诉开发者,API 密钥可以安全地嵌入客户端代码。Google Maps 和 Firebase 的官方文档甚至指导开发者将密钥直接粘贴到 HTML 中。Gemini 的发布改变了这一切。
当开发者在现有 Google Cloud 项目中启用 Gemini API 时,原有的公共服务密钥会静默获得访问 Gemini 敏感端点的权限。原本用于显示地图的密钥,现在可以被任何人用来调用 AI 模型、访问私有数据。
账单失控的风险
社区讨论指出 Google Cloud 缺乏"硬性支出限制"。有用户反映 Gemini 密钥被盗后,48 小时内产生了 8 万美元账单。与 OpenAI 或 Anthropic 不同,Google 主要依赖异步计费告警,存在数小时延迟,无法在达到预算上限时立即止损。
波及范围与修复
在 Common Crawl 数据集中,仍有近 3,000 个活跃的 Google API 密钥暴露在公共互联网上,均已具备 Gemini 访问权限。受害者包括金融机构、安全公司,甚至 Google 自身。
安全研究机构 Truffle Security 提交报告之初,Google 曾将其视为"预期行为"。在研究人员展示如何利用 Google 官网暴露的密钥访问其内部 Gemini 实例后,Google 将其升级为 1 级安全漏洞。修复方案包括新密钥默认仅限特定服务使用,以及自动禁用在公开代码库中发现的密钥。
世界上第一个网站(1992)
拨号时代的记忆
http://info.cern.ch 是万维网的诞生地,由蒂姆·伯纳斯-李在 CERN 创建。该站点目前作为历史存档,允许用户浏览 1992 年版的原始网页。
社区资深用户回忆起拨号上网的年代:网络极慢,没有搜索引擎,用户需要购买纸质书来查找网站链接。一位开发者分享道,网站发布几周后他曾统计全网站点总数,当时全球仅有 324 个。由于 DNS 尚未普及,甚至有汽车经销商直接在宣传品上印制原始 IP 地址作为官网。
读写合一的初衷
早期浏览器带有"编辑"按钮,反映了万维网最初是作为协同创作工具设计的。原始 HTTP 协议中就包含 PUT 和 DELETE 方法,旨在让用户能直接在浏览器中编辑和删除文档。
当时的开发者极力反对互联网商业化。文档记录了早期成员 Robert 的观点:"出售信息就像出售空气和水"。社区认为现代互联网已从"销售产品和服务"转向了"流量变现"。许多用户怀念那个纯粹的文本时代,对比当下动辄加载数十兆数据的现代网页,1992 年的 HTML 文档在功能性和加载速度上反而更高效。
OpenAI 如何竞争?
护城河之争
OpenAI 目前缺乏明显的竞争优势。其模型虽拥有庞大用户群,但粘性较低,尚未形成网络效应。2025 年发布的"记忆"功能试图建立壁垒,但社区观点分歧:有人认为近 10 亿用户规模已形成事实上的护城河;反对者指出,一旦强制收费或广告泛滥,用户会像当年从 Hotmail 转向 Gmail 一样迅速流失。
谷歌和微软正通过捆绑手段,将 AI 嵌入 Word、Excel 和搜索工作流。这种分发优势可能让 ChatGPT 重演 Netscape 在浏览器大战中的悲剧。
资本与技术的双重压力
OpenAI 处于历史上最耗费资本的行业之一,却缺乏像谷歌或 Meta 那样的现金流支撑。萨姆·奥特曼试图建立从芯片到应用平台的完整堆栈,提出万亿级算力愿景。但这被质疑可能只是拿到了"桌上的入场券",而非垄断地位。
产品路线图在很大程度上受控于实验室的随机突破。产品经理往往是在某个早晨被告知研究员发现了一个"酷功能",然后不得不将其强行塞进对话框。这种模式与乔布斯推崇的"从客户体验出发反推技术"背道而驰。
广告化的隐忧
OpenAI 计划引入广告以覆盖免费用户的推理成本。由于用户常将 ChatGPT 当作心理医生或助手,OpenAI 掌握了极度隐私的个性化数据。这为广告主提供了精准的 ROI,但也可能导致产品走向"平庸的中间地带"——对极客不够激进,对企业不够安全,对普通人又充满暗示性广告。
内存成本占惠普 PC 物料清单的 35%
成本飙升
惠普首席财务官 Karen Parkhill 在财报电话会议上说明,内存在惠普 PC 物料清单中的成本占比已从 2025 财年末的约 15%—18% 飙升至 35%。DRAM 和 NAND 价格大幅上涨,内存成本环比增加约 100%,这种波动可能持续到 2027 财年。
软件效率的反思
惠普采取了提高售价和推广低内存配置等策略。社区指出,现代软件开发长期忽视内存效率,开发者习惯于使用 Electron 等高能耗框架,将成本转嫁给用户。随着硬件成本上升,行业可能需要重回精细化管理内存的模式。
此次短缺被广泛归咎于 AI 需求爆发。OpenAI 等头部公司对晶圆产能的大规模锁定是推高价格的直接诱因。部分观察者认为这是寡头垄断引发的"卡特尔周期"——内存制造商在需求暴涨时并不急于扩大产能,以维持高额利润。
用锤子在玻璃上"绘制"肖像的艺术家
破碎即创作
艺术家西蒙·贝尔格(Simon Berger)通过用锤子击打玻璃产生的裂纹来"绘制"人像。他曾是木匠,利用安全玻璃作为媒介——敲击越密集、越短促,产生的对比度和阴影就越强烈。
社区认为这是"黑客精神"在艺术领域的体现。但也有争论:这种技术虽然酷炫,但过度依赖写实人脸,容易陷入"庸俗美术"的窠臼,其成功在很大程度上利用了人类的"空想性错视"——在随机图像中感知到熟悉面孔的心理倾向。
媒介的深层含义
支持者指出,贝尔格的作品往往具有深刻的潜台词。他创作的卡玛拉·哈里斯肖像被命名为《玻璃天花板破碎者》,为黎巴嫩大爆炸受害者创作的作品名为《我们不可磨灭》,这些命名赋予了破碎玻璃更深层的政治与情感含义。
讨论还延伸到法律与 AI 领域:如果艺术家无法精准预判每一道裂纹的具体走向,这种作品是否还能被视为"人类创作"?这与当前关于 AI 提示词生成图像是否享有版权的争议形成了有趣的互文。
YC 公司抓取 GitHub 活动数据发送垃圾邮件
开发者的举报
许多开发者举报部分 YC 孵化的创业公司正在抓取 GitHub 活跃数据,向用户发送未经请求的垃圾邮件。GitHub 开发者关系副总裁 Martin Woodward 回应称,这种行为明确违反服务条款,一旦发现就会封禁。但他坦言这是一场"打地鼠"游戏,因为 Git 的设计决定了每个提交的元数据中都必然包含提交者的姓名和邮箱。
Martin 建议开发者使用 GitHub 提供的"no-reply"匿名邮箱地址来配置本地 Git 客户端。
监管力度存疑
开发者 David Allison 提到,他在 2024 年 7 月就举报过类似的垃圾邮件发送者,但 GitHub 客服以"活动发生在平台外"为由关闭了工单,涉事账号至今活跃。
评论区披露了多家涉嫌此类行为的 YC 关联公司,包括 Aden、Backdrop、Cactus Compute 等。有用户将矛头指向 YC 的选拔文化——申请表中有一个经典问题:"请告诉我们你最成功的一次'黑'掉某种非计算机系统并获利的经历"。批评者认为这反映了 YC 倾向于选择愿意在灰色地带进行"增长黑客"的创始人。
Anthropic 放弃核心安全承诺
政策转向
Anthropic 正在放宽其核心安全准则,将"负责任缩放政策"转变为非强制性的安全框架。最新调整中,这家以"安全优先"著称的 AI 公司删除了一项关键约束:如果 AI 模型的能力超出公司的控制与安全保障能力,将暂停模型训练。
这一转变发生在该公司与五角大楼关系紧张的时期。国防部长皮特·海格塞斯向 Anthropic CEO 达里奥·阿莫迪发出最后通牒,要求在周五前撤销模型安全护栏,否则将面临失去 2 亿美元合同及被列入政府黑名单的风险。
保留的红线
Anthropic 仍保留两项底线:拒绝将 AI 用于自主武器控制及对美国公民的大规模国内监视。公司认为目前的 AI 技术尚不足以可靠地操作武器,且在大规模监视领域缺乏相应的法律监管。
首席科学官贾里德·卡普兰表示,这一决定更多是出于竞争现实的考量。如果其他竞争对手都在"蒙头狂奔",单方面的开发停滞并不会让世界变得更安全。公司原本期望通过 RSP 引导行业实现"向顶端竞争",但现实却演变成了"向底端竞争"。
首个全通用计算机动作模型
训练方案
Standard Intelligence 推出了 FDM-1,基于 1100 万小时屏幕录制视频训练,能以 30 FPS 处理复杂网站探索、CAD 建模,甚至驾驶汽车。
传统计算机使用代理依赖于对视觉语言模型微调,受限于极短的上下文长度且标注成本高昂。FDM-1 引入三阶段训练:首先在 4 万小时人工标注数据上训练逆动力学模型(用于推断视频中的按键或鼠标动作);接着利用该模型自动标注剩余的千万级小时视频;最后训练前向动力学模型。
技术突破
核心突破在于高效的视频编码器,能将近 2 小时的 30 FPS 视频压缩为 100 万个 Token,效率比 OpenAI 或 Google 的现有编码器高出 50 到 100 倍。这种长上下文能力使模型能胜任工程、金融等长耗时任务。
在应用层面,FDM-1 展现了极强的 GUI 模糊测试能力,能自主发现银行应用中导致余额转负的逻辑漏洞。在现实驾驶测试中,模型在仅接受 1 小时微调数据后,便能通过控制网页端的方向键指引车辆绕街区行驶。
科技公司不应被胁迫进行监控
军方的最后通牒
美国国防部向 Anthropic 下达最后通牒,试图强迫该公司取消对其技术在军事用途上的所有限制。国防部长皮特·海格塞斯要求 Anthropic 在本周五前妥协,否则将被贴上"供应链风险"标签,被排除在所有国防相关业务之外。
Anthropic 此前划定了明确红线:禁止其技术被用于开发自主武器系统以及针对美国公民的监视。这一争议源于 2026 年初,Anthropic 怀疑其 AI 在通过国防承包商 Palantir 的合作过程中,被用于针对委内瑞拉的攻击。
社区的分歧
部分观点认为 Anthropic 是目前唯一愿意公开讨论技术安全性并拒绝战争用途的大型 AI 公司。但也有质疑声音指出,许多科技巨头的估值本身就建立在对用户数据的捕获与变现之上,它们本质上就是监视资本主义的产物。
社区提到了 PRISM 和 ECHELON,指出政府对科技公司的渗透早已常态化。基于第三方教义,政府往往能绕过搜查令直接获取存储在公司服务器上的信息。如果 Anthropic 不屈服,国防部可能会动用《国防生产法》强制介入模型训练过程。
Terminal Phone:命令行端到端加密对讲机
架构设计
TerminalPhone 是一个单文件 Bash 脚本,通过 Tor 隐藏服务实现匿名、端到端加密的语音和文字通信。它采用对讲机模式——录制完一段语音后,将其压缩、加密并作为完整单元传输给对方。利用 v3 onion 地址作为身份标识和 NAT 穿透层,无需任何中间服务器。
Tor 网络通常带来 2 到 3 秒延迟,使得全双工通信体验极差。对讲机模式是一种"针对网络特性的设计"——强迫用户在接收、倾听后再做出响应,避免因延迟导致的通话混乱。
安全与实现
TerminalPhone 默认使用 AES-256-CBC 算法,提供 21 种可选加密套件。虽然 Tor 本身已提供传输加密,但 TerminalPhone 坚持在应用层额外加密,确保即便 Tor 电路被攻破,语音内容依然无法被窃听。
技术实现上,脚本使用 16kbps 的 Opus 编码,在低带宽下仍能保持清晰。除标准 Linux 发行版外,它还支持通过 Termux 在安卓上运行。目前的局限在于身份验证——用户需要通过带外方式提前交换预共享密钥。为最大化隐私,脚本在文件传输和播放后会立即删除所有临时音频文件。
相关链接:
- Google API keys weren't secrets, but then Gemini changed the rules
- First Website (1992)
- How will OpenAI compete?
- RAM now represents 35 percent of bill of materials for HP PCs
- Artist who “paints” portraits on glass by hitting it with a hammer
- Tell HN: YC companies scrape GitHub activity, send spam emails to users
- Anthropic ditches its core safety promise
- The First Fully General Computer Action Model
- Tech companies shouldn't be bullied into doing surveillance
- Show HN: Terminal Phone – E2EE Walkie Talkie from the Command Line
View all episodes
By Agili 的 Hacker Podcast今日精选涵盖 Google API 密钥的安全隐患、万维网诞生地的历史回顾、OpenAI 的战略困境,以及 AI 安全政策与军方博弈等话题。
Google API 密钥的安全规则被 Gemini 打破
静默的权限扩张
Google 长期告诉开发者,API 密钥可以安全地嵌入客户端代码。Google Maps 和 Firebase 的官方文档甚至指导开发者将密钥直接粘贴到 HTML 中。Gemini 的发布改变了这一切。
当开发者在现有 Google Cloud 项目中启用 Gemini API 时,原有的公共服务密钥会静默获得访问 Gemini 敏感端点的权限。原本用于显示地图的密钥,现在可以被任何人用来调用 AI 模型、访问私有数据。
账单失控的风险
社区讨论指出 Google Cloud 缺乏"硬性支出限制"。有用户反映 Gemini 密钥被盗后,48 小时内产生了 8 万美元账单。与 OpenAI 或 Anthropic 不同,Google 主要依赖异步计费告警,存在数小时延迟,无法在达到预算上限时立即止损。
波及范围与修复
在 Common Crawl 数据集中,仍有近 3,000 个活跃的 Google API 密钥暴露在公共互联网上,均已具备 Gemini 访问权限。受害者包括金融机构、安全公司,甚至 Google 自身。
安全研究机构 Truffle Security 提交报告之初,Google 曾将其视为"预期行为"。在研究人员展示如何利用 Google 官网暴露的密钥访问其内部 Gemini 实例后,Google 将其升级为 1 级安全漏洞。修复方案包括新密钥默认仅限特定服务使用,以及自动禁用在公开代码库中发现的密钥。
世界上第一个网站(1992)
拨号时代的记忆
http://info.cern.ch 是万维网的诞生地,由蒂姆·伯纳斯-李在 CERN 创建。该站点目前作为历史存档,允许用户浏览 1992 年版的原始网页。
社区资深用户回忆起拨号上网的年代:网络极慢,没有搜索引擎,用户需要购买纸质书来查找网站链接。一位开发者分享道,网站发布几周后他曾统计全网站点总数,当时全球仅有 324 个。由于 DNS 尚未普及,甚至有汽车经销商直接在宣传品上印制原始 IP 地址作为官网。
读写合一的初衷
早期浏览器带有"编辑"按钮,反映了万维网最初是作为协同创作工具设计的。原始 HTTP 协议中就包含 PUT 和 DELETE 方法,旨在让用户能直接在浏览器中编辑和删除文档。
当时的开发者极力反对互联网商业化。文档记录了早期成员 Robert 的观点:"出售信息就像出售空气和水"。社区认为现代互联网已从"销售产品和服务"转向了"流量变现"。许多用户怀念那个纯粹的文本时代,对比当下动辄加载数十兆数据的现代网页,1992 年的 HTML 文档在功能性和加载速度上反而更高效。
OpenAI 如何竞争?
护城河之争
OpenAI 目前缺乏明显的竞争优势。其模型虽拥有庞大用户群,但粘性较低,尚未形成网络效应。2025 年发布的"记忆"功能试图建立壁垒,但社区观点分歧:有人认为近 10 亿用户规模已形成事实上的护城河;反对者指出,一旦强制收费或广告泛滥,用户会像当年从 Hotmail 转向 Gmail 一样迅速流失。
谷歌和微软正通过捆绑手段,将 AI 嵌入 Word、Excel 和搜索工作流。这种分发优势可能让 ChatGPT 重演 Netscape 在浏览器大战中的悲剧。
资本与技术的双重压力
OpenAI 处于历史上最耗费资本的行业之一,却缺乏像谷歌或 Meta 那样的现金流支撑。萨姆·奥特曼试图建立从芯片到应用平台的完整堆栈,提出万亿级算力愿景。但这被质疑可能只是拿到了"桌上的入场券",而非垄断地位。
产品路线图在很大程度上受控于实验室的随机突破。产品经理往往是在某个早晨被告知研究员发现了一个"酷功能",然后不得不将其强行塞进对话框。这种模式与乔布斯推崇的"从客户体验出发反推技术"背道而驰。
广告化的隐忧
OpenAI 计划引入广告以覆盖免费用户的推理成本。由于用户常将 ChatGPT 当作心理医生或助手,OpenAI 掌握了极度隐私的个性化数据。这为广告主提供了精准的 ROI,但也可能导致产品走向"平庸的中间地带"——对极客不够激进,对企业不够安全,对普通人又充满暗示性广告。
内存成本占惠普 PC 物料清单的 35%
成本飙升
惠普首席财务官 Karen Parkhill 在财报电话会议上说明,内存在惠普 PC 物料清单中的成本占比已从 2025 财年末的约 15%—18% 飙升至 35%。DRAM 和 NAND 价格大幅上涨,内存成本环比增加约 100%,这种波动可能持续到 2027 财年。
软件效率的反思
惠普采取了提高售价和推广低内存配置等策略。社区指出,现代软件开发长期忽视内存效率,开发者习惯于使用 Electron 等高能耗框架,将成本转嫁给用户。随着硬件成本上升,行业可能需要重回精细化管理内存的模式。
此次短缺被广泛归咎于 AI 需求爆发。OpenAI 等头部公司对晶圆产能的大规模锁定是推高价格的直接诱因。部分观察者认为这是寡头垄断引发的"卡特尔周期"——内存制造商在需求暴涨时并不急于扩大产能,以维持高额利润。
用锤子在玻璃上"绘制"肖像的艺术家
破碎即创作
艺术家西蒙·贝尔格(Simon Berger)通过用锤子击打玻璃产生的裂纹来"绘制"人像。他曾是木匠,利用安全玻璃作为媒介——敲击越密集、越短促,产生的对比度和阴影就越强烈。
社区认为这是"黑客精神"在艺术领域的体现。但也有争论:这种技术虽然酷炫,但过度依赖写实人脸,容易陷入"庸俗美术"的窠臼,其成功在很大程度上利用了人类的"空想性错视"——在随机图像中感知到熟悉面孔的心理倾向。
媒介的深层含义
支持者指出,贝尔格的作品往往具有深刻的潜台词。他创作的卡玛拉·哈里斯肖像被命名为《玻璃天花板破碎者》,为黎巴嫩大爆炸受害者创作的作品名为《我们不可磨灭》,这些命名赋予了破碎玻璃更深层的政治与情感含义。
讨论还延伸到法律与 AI 领域:如果艺术家无法精准预判每一道裂纹的具体走向,这种作品是否还能被视为"人类创作"?这与当前关于 AI 提示词生成图像是否享有版权的争议形成了有趣的互文。
YC 公司抓取 GitHub 活动数据发送垃圾邮件
开发者的举报
许多开发者举报部分 YC 孵化的创业公司正在抓取 GitHub 活跃数据,向用户发送未经请求的垃圾邮件。GitHub 开发者关系副总裁 Martin Woodward 回应称,这种行为明确违反服务条款,一旦发现就会封禁。但他坦言这是一场"打地鼠"游戏,因为 Git 的设计决定了每个提交的元数据中都必然包含提交者的姓名和邮箱。
Martin 建议开发者使用 GitHub 提供的"no-reply"匿名邮箱地址来配置本地 Git 客户端。
监管力度存疑
开发者 David Allison 提到,他在 2024 年 7 月就举报过类似的垃圾邮件发送者,但 GitHub 客服以"活动发生在平台外"为由关闭了工单,涉事账号至今活跃。
评论区披露了多家涉嫌此类行为的 YC 关联公司,包括 Aden、Backdrop、Cactus Compute 等。有用户将矛头指向 YC 的选拔文化——申请表中有一个经典问题:"请告诉我们你最成功的一次'黑'掉某种非计算机系统并获利的经历"。批评者认为这反映了 YC 倾向于选择愿意在灰色地带进行"增长黑客"的创始人。
Anthropic 放弃核心安全承诺
政策转向
Anthropic 正在放宽其核心安全准则,将"负责任缩放政策"转变为非强制性的安全框架。最新调整中,这家以"安全优先"著称的 AI 公司删除了一项关键约束:如果 AI 模型的能力超出公司的控制与安全保障能力,将暂停模型训练。
这一转变发生在该公司与五角大楼关系紧张的时期。国防部长皮特·海格塞斯向 Anthropic CEO 达里奥·阿莫迪发出最后通牒,要求在周五前撤销模型安全护栏,否则将面临失去 2 亿美元合同及被列入政府黑名单的风险。
保留的红线
Anthropic 仍保留两项底线:拒绝将 AI 用于自主武器控制及对美国公民的大规模国内监视。公司认为目前的 AI 技术尚不足以可靠地操作武器,且在大规模监视领域缺乏相应的法律监管。
首席科学官贾里德·卡普兰表示,这一决定更多是出于竞争现实的考量。如果其他竞争对手都在"蒙头狂奔",单方面的开发停滞并不会让世界变得更安全。公司原本期望通过 RSP 引导行业实现"向顶端竞争",但现实却演变成了"向底端竞争"。
首个全通用计算机动作模型
训练方案
Standard Intelligence 推出了 FDM-1,基于 1100 万小时屏幕录制视频训练,能以 30 FPS 处理复杂网站探索、CAD 建模,甚至驾驶汽车。
传统计算机使用代理依赖于对视觉语言模型微调,受限于极短的上下文长度且标注成本高昂。FDM-1 引入三阶段训练:首先在 4 万小时人工标注数据上训练逆动力学模型(用于推断视频中的按键或鼠标动作);接着利用该模型自动标注剩余的千万级小时视频;最后训练前向动力学模型。
技术突破
核心突破在于高效的视频编码器,能将近 2 小时的 30 FPS 视频压缩为 100 万个 Token,效率比 OpenAI 或 Google 的现有编码器高出 50 到 100 倍。这种长上下文能力使模型能胜任工程、金融等长耗时任务。
在应用层面,FDM-1 展现了极强的 GUI 模糊测试能力,能自主发现银行应用中导致余额转负的逻辑漏洞。在现实驾驶测试中,模型在仅接受 1 小时微调数据后,便能通过控制网页端的方向键指引车辆绕街区行驶。
科技公司不应被胁迫进行监控
军方的最后通牒
美国国防部向 Anthropic 下达最后通牒,试图强迫该公司取消对其技术在军事用途上的所有限制。国防部长皮特·海格塞斯要求 Anthropic 在本周五前妥协,否则将被贴上"供应链风险"标签,被排除在所有国防相关业务之外。
Anthropic 此前划定了明确红线:禁止其技术被用于开发自主武器系统以及针对美国公民的监视。这一争议源于 2026 年初,Anthropic 怀疑其 AI 在通过国防承包商 Palantir 的合作过程中,被用于针对委内瑞拉的攻击。
社区的分歧
部分观点认为 Anthropic 是目前唯一愿意公开讨论技术安全性并拒绝战争用途的大型 AI 公司。但也有质疑声音指出,许多科技巨头的估值本身就建立在对用户数据的捕获与变现之上,它们本质上就是监视资本主义的产物。
社区提到了 PRISM 和 ECHELON,指出政府对科技公司的渗透早已常态化。基于第三方教义,政府往往能绕过搜查令直接获取存储在公司服务器上的信息。如果 Anthropic 不屈服,国防部可能会动用《国防生产法》强制介入模型训练过程。
Terminal Phone:命令行端到端加密对讲机
架构设计
TerminalPhone 是一个单文件 Bash 脚本,通过 Tor 隐藏服务实现匿名、端到端加密的语音和文字通信。它采用对讲机模式——录制完一段语音后,将其压缩、加密并作为完整单元传输给对方。利用 v3 onion 地址作为身份标识和 NAT 穿透层,无需任何中间服务器。
Tor 网络通常带来 2 到 3 秒延迟,使得全双工通信体验极差。对讲机模式是一种"针对网络特性的设计"——强迫用户在接收、倾听后再做出响应,避免因延迟导致的通话混乱。
安全与实现
TerminalPhone 默认使用 AES-256-CBC 算法,提供 21 种可选加密套件。虽然 Tor 本身已提供传输加密,但 TerminalPhone 坚持在应用层额外加密,确保即便 Tor 电路被攻破,语音内容依然无法被窃听。
技术实现上,脚本使用 16kbps 的 Opus 编码,在低带宽下仍能保持清晰。除标准 Linux 发行版外,它还支持通过 Termux 在安卓上运行。目前的局限在于身份验证——用户需要通过带外方式提前交换预共享密钥。为最大化隐私,脚本在文件传输和播放后会立即删除所有临时音频文件。
相关链接:
- Google API keys weren't secrets, but then Gemini changed the rules
- First Website (1992)
- How will OpenAI compete?
- RAM now represents 35 percent of bill of materials for HP PCs
- Artist who “paints” portraits on glass by hitting it with a hammer
- Tell HN: YC companies scrape GitHub activity, send spam emails to users
- Anthropic ditches its core safety promise
- The First Fully General Computer Action Model
- Tech companies shouldn't be bullied into doing surveillance
- Show HN: Terminal Phone – E2EE Walkie Talkie from the Command Line