Sign up to save your podcasts
Or
Share Hacker News 每日播报 2025-10-15
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Hacker News 每日播报 2025-10-15
Hacker News 每日播报,今天我们探讨自由软件基金会的 Librephone 项目、苹果 M5 芯片的 AI 飞跃、揭秘窃取屏幕信息的 Pixnapping 攻击、警惕假面试骗局、追踪“杀猪盘”巨额比特币、Cloudflare 的性能优化之旅、电商网站的虚假流量、爱尔兰的艺术家基本收入计划、告别无服务器的实践,以及与 AI 直接对话的代理工程新范式。
自由软件基金会宣布 Librephone 项目
自由软件基金会(FSF)近日宣布启动“Librephone”项目,旨在为移动电话用户带来全面的软件自由。该项目并非要开发一个新的移动操作系统,而是专注于逆向工程,致力于消除那些阻碍移动设备实现完全自由的专有二进制模块和固件。
项目的首要任务是找到一款具有最少、最易修复自由问题的手机,然后逆向工程并替换其剩余的非自由软件。Librephone 的最终成果将服务于所有致力于构建完全自由、兼容 Android 操作系统的项目,如 LineageOS 等。
项目定位与社区协作
该项目一经宣布,便引发了关于其定位和协作模式的广泛讨论。许多人质疑,为何 FSF 不直接与 postmarketOS、LineageOS 等现有开源移动操作系统项目,或是 Fairphone、Pine64 等开放硬件制造商合作,而是选择另起炉灶。在对抗大型科技公司的过程中,开源社区的力量似乎更应集中而非分散。
然而,深入理解后会发现,Librephone 的核心目标并非创建另一个 Android 发行版,而是进行更底层的“自由纯粹性”工作。它专注于逆向工程专有二进制模块,为其他操作系统提供开源驱动程序。这意味着,它的成果可以被任何移动操作系统项目利用,帮助它们摆脱对设备制造商专有代码的依赖,实现一个“伦理上纯粹”的系统。这就像是将 Coreboot 移植到笔记本电脑,专注于底层硬件的自由化。
技术挑战与哲学思辨
移动软件开发的复杂性远超想象,它并非“乐高积木”般可以随意组合。即使是桌面系统,也难以完全摆脱专有二进制模块(如 Intel ME),因此在手机上实现完全自由是一个巨大的挑战。
此外,关于 FSF 的领导力和自由软件哲学也引发了思考。有人认为,领导一个权利组织并不一定需要深厚的编码背景,FSF 的使命是保护用户权利,而非仅仅产出代码。同时,关于自由软件的商业模式也值得探讨。FSF 坚持的“自由分发不限制付费”原则,在某种程度上导致了自由软件的市场价值趋近于零,使得项目难以获得足够的资金支持,只能依赖捐赠或围绕自由软件销售支持服务。
苹果发布 M5 芯片,AI 性能再迎飞跃
苹果最新发布的 M5 芯片,无疑是其在 AI 性能领域迈出的又一大步,旨在为 MacBook Pro、iPad Pro 和 Apple Vision Pro 带来更强大的 AI 处理能力、图形性能和整体效率。
M5 芯片采用了第三代 3 纳米技术,带来了多方面的显著提升:
这些升级意味着在设备上运行扩散模型、大型语言模型等 AI 驱动的工作流将获得显著加速,同时也为 Apple Vision Pro 带来了更清晰、更流畅的视觉体验。
Pixnapping 攻击:安卓应用可悄无声息窃取屏幕信息
一项名为 Pixnapping Attack 的研究揭示了一种全新的攻击方式,允许恶意 Android 应用悄无声息地窃取其他应用或任意网站上显示的敏感信息,例如 Gmail 邮件、Signal 聊天内容,甚至是 Google Authenticator 的 2FA 验证码。
攻击原理与影响
攻击的核心在于利用 Android API 和一个影响几乎所有现代 Android 设备的硬件侧信道(GPU.zip)。恶意应用无需任何特殊权限,即可通过诱导图形操作和利用硬件漏洞,逐个像素地“窃取”屏幕内容,然后通过 OCR 重建原始信息。研究人员已在 Google Pixel 和三星 Galaxy S25 等设备上成功演示了此攻击,针对 Google Authenticator 的攻击甚至可以在 30 秒内完成,且用户完全无法察觉。
对安卓权限模型的反思
这次攻击再次引发了对 Android 权限模型的质疑。许多开发者认为,Android 系统的核心问题在于没有将“在后台运行”和“访问互联网”视为需要用户明确授权的权限。如果能更严格地限制应用的后台活动和网络访问,许多攻击的有效性将大大降低。
潜在的缓解措施与安全建议
尽管官方补丁正在推出,但社区也探讨了一些应用层面的缓解策略。例如,应用开发者可以避免将敏感信息固定显示在屏幕的稳定位置,或在应用进入后台时主动隐藏这些信息。通过不断移动、改变颜色对比度或添加视觉噪声,也可以增加攻击者窃取像素的难度。对于用户而言,除了及时更新系统外,为 2FA 应用启用生物识别或 PIN 码保护,也能增加一道额外的安全防线。
关于漏洞披露方式的争议
值得一提的是,Pixnapping 攻击拥有自己的专属域名和 Logo,这种“营销式”的漏洞披露方式也引发了讨论。有人认为这是为了提高关注度,确保漏洞得到重视和修复;而另一些人则批评这种做法是“哗众取宠”,认为真正的安全问题不应被过度包装。
警惕!一次“工作面试”如何险些让我被黑
一位名叫 David Dodda 的开发者分享了他如何险些成为一起高明网络钓鱼骗局的受害者。他收到了一封来自 LinkedIn 的“招聘信息”,对方自称是区块链公司 Symfa 的高管,一切看起来都非常真实。作为面试流程的一部分,他被要求完成一个托管在 Bitbucket 上的“居家编程测试”。
就在他准备运行代码之前,一个“偏执的开发者时刻”让他决定用 AI 助手扫描一下代码。结果令人震惊:AI 在一个 JavaScript 文件中发现了一段混淆过的恶意代码。这段代码会下载并执行一个旨在窃取加密钱包、文件和密码的恶意软件。
骗局中的“红旗”与防范之道
这次事件引发了关于如何识别此类骗局的深入讨论。许多经验丰富的开发者指出了一些“红旗”(red flags):
文章引发的意外讨论:AI 写作与信任危机
有趣的是,许多读者指出,David 的博文本身读起来很像 AI 生成的,充斥着短句和刻意的悬念。作者本人也大方承认,由于时间紧张,确实使用了 AI 来润色文章。
这意外地引发了关于 AI 写作的更深层次讨论。一些人认为,AI 写作会剥夺作者的个性和原创性,让内容变得“平庸而乏味”。但也有人认为,AI 是一个有用的工具,可以帮助改进语法和组织内容。然而,一个普遍的担忧是,随着 AI 生成内容的普及,人们的阅读和写作习惯可能会被同化,导致“真实的人也开始像 AI 一样说话”,这无疑是对数字时代信任机制的又一挑战。
美国司法部查获柬埔寨“杀猪盘”诈骗案 150 亿美元比特币
美国司法部近日宣布,已从柬埔寨一个大规模的“杀猪盘”(pig butchering)诈骗团伙手中,查获了价值约 150 亿美元的比特币。这起案件不仅是美国历史上最大规模的资产没收行动,也揭示了这类跨国犯罪活动的惊人规模。
案件的核心人物是华裔移民陈志(Chen Zhi),他被指控为“太子控股集团”的创始人。该集团在柬埔寨运营着至少 10 个诈骗园区,强迫数百名被贩运的人员从事诈骗活动。他们通过社交媒体与受害者建立信任,然后诱骗他们投资加密货币,最终将资金盗走。
诈骗规模与地缘政治背景
150 亿美元这一数字令人震惊,几乎相当于柬埔寨 GDP 的三分之一。这起案件深刻揭示了全球化背景下,技术如何被滥用于犯罪,以及一些执法不力的地区如何成为犯罪集团的温床。讨论还触及了复杂的地缘政治背景,指出这些诈骗团伙最初主要针对中国公民,而中国政府在邻国缅甸对类似活动的打击,也与该地区的地缘政治博弈有关。
加密货币的角色与资产追回之谜
这起案件也引发了关于加密货币安全性的讨论。一个核心问题是:如果犯罪分子在逃且比特币是自托管的,美国司法部是如何获取私钥的?猜测包括通过黑客手段、找到物理记录的密码,甚至是“5 美元扳手攻击”(指物理胁迫)。这再次提醒人们“不是你的密钥,就不是你的钱”这一加密货币的核心原则。虽然区块链的透明性有助于追踪资金,但如何识别所有受害者并公平分配追回的资产,仍是一个巨大的挑战。
Cloudflare 深入剖析并优化 Workers CPU 性能
最近,一项独立的基准测试显示 Cloudflare Workers 在 CPU 密集型任务中的表现不如基于 AWS Lambda 的 Vercel,这引起了广泛关注。对此,Cloudflare 发布了一篇深入的技术分析,不仅坦诚地回应了批评,还分享了他们如何解决问题并显著提升性能的过程。
Cloudflare 团队发现,问题并非源于单一原因,而是一系列因素的叠加。他们进行了多方面的优化:
这篇博文因其成熟、透明和建设性的态度而广受好评。社区普遍赞赏 Cloudflare 专注于解决问题并回馈开源社区的做法,认为这是一种值得称赞的、积极的企业沟通方式。
机器人正在擅长模仿互动:电商网站高达 73% 的流量可能是假的
一位数字营销机构的 CEO 揭露了电商网站流量中一个令人震惊的“开放秘密”:你的网站访客中,绝大部分可能并非真人。他通过开发一个追踪用户真实行为(如鼠标移动、滚动模式)的脚本发现,在一个客户的网站上,高达 68% 的流量来自机器人。随后,他将脚本推广到 200 多家电商网站,发现平均有 73% 的流量是虚假的。
这些机器人非常复杂,足以欺骗 Google Analytics 等标准分析平台。它们会模仿人类滚动页面、点击链接,甚至将商品加入购物车再放弃,从而让分析报告看起来很“漂亮”,但实际销售额却停滞不前。
行业内的利益冲突
这种虚假流量导致了巨大的广告浪费。作者的一个客户在过滤掉机器人流量后,报告流量骤降 71%,但实际销售额却增长了 34%,这意味着他们之前一直在向机器人投放广告。
更深层次的问题在于,广告平台似乎缺乏解决此问题的动力。一位内部人士私下承认:“如果我们彻底过滤掉(机器人流量),我们的收入会一夜之间下降 40%,投资者会崩溃。”这揭示了广告平台与广告欺诈之间巨大的利益冲突。整个行业似乎都在默认这种集体欺骗,因为承认真相可能会导致整个脆弱的系统崩溃。
社区视角:一个众所周知的秘密
对于许多业内人士来说,这个发现并不令人惊讶。广告点击指标“大部分都是胡说八道”早已是共识。讨论还延伸到了“好机器人”的存在,例如用于商业智能的数据抓取机器人。有人建议,网站与其被动防御,不如提供结构化的公共数据 API,以满足合法的抓取需求,从而减少资源浪费和指标污染。
爱尔兰将艺术家基本收入计划永久化
爱尔兰政府宣布,将一项针对艺术家的基本收入计划永久化。该计划最初于 2022 年作为试点项目启动,为 2000 名入选的艺术家每周提供约 375 美元的资助。现在,这项计划将从 2026 年起成为一项常规政策。
一份外部报告指出,该试点项目不仅改善了艺术家的心理健康和创作产出,还为爱尔兰经济带来了可观的总收益。报告估计,一个永久性的、扩大规模的计划可能会使艺术家的作品产量增加 22%,同时降低艺术品的平均成本。
是“艺术家福利”还是“全民基本收入”?
这项计划立即引发了关于其是否能被称为真正“全民基本收入”(UBI)的辩论。批评者指出,该计划并非“全民”性质,因为它有明确的资格限制和申请流程,更像是一种有针对性的福利项目,而非无条件的 UBI。
关于 UBI 可行性的更广泛辩论
这一事件也成为了探讨更广泛 UBI 可行性的契机。讨论的焦点包括:
尽管存在争议,但支持者认为,UBI 可以简化福利系统,并消除“福利悬崖”(即人们因开始工作而失去福利,从而降低工作意愿)效应。爱尔兰的这项计划,无论其定义如何,都为这场关于未来社会保障体系的全球性辩论提供了宝贵的实践案例。
告别无服务器:性能提升与架构简化的实践
一篇引发热议的文章指出,一家公司在放弃无服务器(Serverless)架构,转向更传统的部署模式后,不仅显著提升了系统性能,还大大简化了整体架构。这一反潮流的实践,引发了开发者们对现代架构选择的深刻反思。
无服务器的“人为问题”
尽管无服务器架构承诺简化运维和降低成本,但在实践中却可能引入一系列“人为制造的问题”:
共鸣与反思:是架构问题还是“新手错误”?
许多开发者对文章的观点表示强烈认同,认为无服务器虽然“拿走”了一些运维工作,却在其他方面增加了解决“人为问题”的负担。简单的单体应用运行在虚拟机上,往往能解决绝大多数业务问题,且更具韧性。
然而,也有观点认为,文章中描述的问题是由于对无服务器架构的权衡和分布式系统基础知识缺乏理解所致的“菜鸟错误”。但更深层次的讨论指出,这种“错误”有时并非技术团队的本意,而是受到管理层对“现代化”的盲目追求,或云厂商“营销驱动”的架构选择所影响。
寻找替代方案:Docker 与中间地带
在寻找替代方案的讨论中,Docker 容器被许多人视为“最后一个对生产力普遍提升”的技术。它提供了标准化的打包、可移植性和本地测试的便利性。像 ECS Fargate 这样的服务,作为虚拟机和无服务器之间的中间地带,提供了容器化部署而无冷启动问题,也被认为是更可控的选择。
总而言之,这次讨论提醒我们,无服务器并非万能药。开发者需要回归基础,理解不同架构的优缺点,并警惕过度营销,选择最适合业务需求的“无聊”但可靠的解决方案。
代理工程新范式:直接与 AI 对话
一位开发者分享了他如何利用 AI(特别是 gpt-5-codex)几乎完全自动化代码编写过程的工作流,并提出了一种名为“代理工程”(Agentic Engineering)的新范式。
其核心观点是,当前许多复杂的 AI 代理框架、插件等,实际上都是在为模型本身的不足打补丁。最有效的方法是“Just Talk To It”——直接与 AI 模型对话,像与一个高效的工程师交流一样,让 AI 完成大部分工作。
“不废话”的 AI 开发工作流
作者的工作流程非常直接和高效:
他批判了许多“花哨”的 AI 概念,如 RAG、子代理等,认为这些往往是模型效率低下的体现,并主张使用标准的 CLI 工具来避免不必要的复杂性。
认知负荷与代码质量的挑战
尽管这种方法极大地提升了效率,但也引发了关于其潜在挑战的讨论。一个核心问题是认知负荷。管理多个并行工作的 AI 代理,就像同时与多个人进行结对编程,可能会比单人编程更耗费精力,对人类的“上下文窗口”提出了更高要求。
另一个普遍的担忧是代码质量。这种工作方式可能会产生大量的“AI 垃圾代码”(AI slop),而测试和审查这些由 AI 生成的大量代码本身就是一项艰巨的任务,对代码的长期可维护性构成了挑战。如何在 AI 带来的效率提升与人类的认知极限、代码质量控制之间找到平衡,将是代理工程时代的核心课题。
相关链接:
- FSF announces Librephone project
- Apple M5 chip
- Pixnapping Attack
- I almost got hacked by a 'job interview'
- DOJ seizes $15B in Bitcoin from 'pig butchering' scam based in Cambodia
- Unpacking Cloudflare Workers CPU Performance Benchmarks
- Bots are getting good at mimicking engagement
- Ireland is making basic income for artists program permanent
- Leaving serverless led to performance improvement and a simplified architecture
- Just talk to it – A way of agentic engineering
View all episodes
By Agili 的 Hacker PodcastHacker News 每日播报,今天我们探讨自由软件基金会的 Librephone 项目、苹果 M5 芯片的 AI 飞跃、揭秘窃取屏幕信息的 Pixnapping 攻击、警惕假面试骗局、追踪“杀猪盘”巨额比特币、Cloudflare 的性能优化之旅、电商网站的虚假流量、爱尔兰的艺术家基本收入计划、告别无服务器的实践,以及与 AI 直接对话的代理工程新范式。
自由软件基金会宣布 Librephone 项目
自由软件基金会(FSF)近日宣布启动“Librephone”项目,旨在为移动电话用户带来全面的软件自由。该项目并非要开发一个新的移动操作系统,而是专注于逆向工程,致力于消除那些阻碍移动设备实现完全自由的专有二进制模块和固件。
项目的首要任务是找到一款具有最少、最易修复自由问题的手机,然后逆向工程并替换其剩余的非自由软件。Librephone 的最终成果将服务于所有致力于构建完全自由、兼容 Android 操作系统的项目,如 LineageOS 等。
项目定位与社区协作
该项目一经宣布,便引发了关于其定位和协作模式的广泛讨论。许多人质疑,为何 FSF 不直接与 postmarketOS、LineageOS 等现有开源移动操作系统项目,或是 Fairphone、Pine64 等开放硬件制造商合作,而是选择另起炉灶。在对抗大型科技公司的过程中,开源社区的力量似乎更应集中而非分散。
然而,深入理解后会发现,Librephone 的核心目标并非创建另一个 Android 发行版,而是进行更底层的“自由纯粹性”工作。它专注于逆向工程专有二进制模块,为其他操作系统提供开源驱动程序。这意味着,它的成果可以被任何移动操作系统项目利用,帮助它们摆脱对设备制造商专有代码的依赖,实现一个“伦理上纯粹”的系统。这就像是将 Coreboot 移植到笔记本电脑,专注于底层硬件的自由化。
技术挑战与哲学思辨
移动软件开发的复杂性远超想象,它并非“乐高积木”般可以随意组合。即使是桌面系统,也难以完全摆脱专有二进制模块(如 Intel ME),因此在手机上实现完全自由是一个巨大的挑战。
此外,关于 FSF 的领导力和自由软件哲学也引发了思考。有人认为,领导一个权利组织并不一定需要深厚的编码背景,FSF 的使命是保护用户权利,而非仅仅产出代码。同时,关于自由软件的商业模式也值得探讨。FSF 坚持的“自由分发不限制付费”原则,在某种程度上导致了自由软件的市场价值趋近于零,使得项目难以获得足够的资金支持,只能依赖捐赠或围绕自由软件销售支持服务。
苹果发布 M5 芯片,AI 性能再迎飞跃
苹果最新发布的 M5 芯片,无疑是其在 AI 性能领域迈出的又一大步,旨在为 MacBook Pro、iPad Pro 和 Apple Vision Pro 带来更强大的 AI 处理能力、图形性能和整体效率。
M5 芯片采用了第三代 3 纳米技术,带来了多方面的显著提升:
这些升级意味着在设备上运行扩散模型、大型语言模型等 AI 驱动的工作流将获得显著加速,同时也为 Apple Vision Pro 带来了更清晰、更流畅的视觉体验。
Pixnapping 攻击:安卓应用可悄无声息窃取屏幕信息
一项名为 Pixnapping Attack 的研究揭示了一种全新的攻击方式,允许恶意 Android 应用悄无声息地窃取其他应用或任意网站上显示的敏感信息,例如 Gmail 邮件、Signal 聊天内容,甚至是 Google Authenticator 的 2FA 验证码。
攻击原理与影响
攻击的核心在于利用 Android API 和一个影响几乎所有现代 Android 设备的硬件侧信道(GPU.zip)。恶意应用无需任何特殊权限,即可通过诱导图形操作和利用硬件漏洞,逐个像素地“窃取”屏幕内容,然后通过 OCR 重建原始信息。研究人员已在 Google Pixel 和三星 Galaxy S25 等设备上成功演示了此攻击,针对 Google Authenticator 的攻击甚至可以在 30 秒内完成,且用户完全无法察觉。
对安卓权限模型的反思
这次攻击再次引发了对 Android 权限模型的质疑。许多开发者认为,Android 系统的核心问题在于没有将“在后台运行”和“访问互联网”视为需要用户明确授权的权限。如果能更严格地限制应用的后台活动和网络访问,许多攻击的有效性将大大降低。
潜在的缓解措施与安全建议
尽管官方补丁正在推出,但社区也探讨了一些应用层面的缓解策略。例如,应用开发者可以避免将敏感信息固定显示在屏幕的稳定位置,或在应用进入后台时主动隐藏这些信息。通过不断移动、改变颜色对比度或添加视觉噪声,也可以增加攻击者窃取像素的难度。对于用户而言,除了及时更新系统外,为 2FA 应用启用生物识别或 PIN 码保护,也能增加一道额外的安全防线。
关于漏洞披露方式的争议
值得一提的是,Pixnapping 攻击拥有自己的专属域名和 Logo,这种“营销式”的漏洞披露方式也引发了讨论。有人认为这是为了提高关注度,确保漏洞得到重视和修复;而另一些人则批评这种做法是“哗众取宠”,认为真正的安全问题不应被过度包装。
警惕!一次“工作面试”如何险些让我被黑
一位名叫 David Dodda 的开发者分享了他如何险些成为一起高明网络钓鱼骗局的受害者。他收到了一封来自 LinkedIn 的“招聘信息”,对方自称是区块链公司 Symfa 的高管,一切看起来都非常真实。作为面试流程的一部分,他被要求完成一个托管在 Bitbucket 上的“居家编程测试”。
就在他准备运行代码之前,一个“偏执的开发者时刻”让他决定用 AI 助手扫描一下代码。结果令人震惊:AI 在一个 JavaScript 文件中发现了一段混淆过的恶意代码。这段代码会下载并执行一个旨在窃取加密钱包、文件和密码的恶意软件。
骗局中的“红旗”与防范之道
这次事件引发了关于如何识别此类骗局的深入讨论。许多经验丰富的开发者指出了一些“红旗”(red flags):
文章引发的意外讨论:AI 写作与信任危机
有趣的是,许多读者指出,David 的博文本身读起来很像 AI 生成的,充斥着短句和刻意的悬念。作者本人也大方承认,由于时间紧张,确实使用了 AI 来润色文章。
这意外地引发了关于 AI 写作的更深层次讨论。一些人认为,AI 写作会剥夺作者的个性和原创性,让内容变得“平庸而乏味”。但也有人认为,AI 是一个有用的工具,可以帮助改进语法和组织内容。然而,一个普遍的担忧是,随着 AI 生成内容的普及,人们的阅读和写作习惯可能会被同化,导致“真实的人也开始像 AI 一样说话”,这无疑是对数字时代信任机制的又一挑战。
美国司法部查获柬埔寨“杀猪盘”诈骗案 150 亿美元比特币
美国司法部近日宣布,已从柬埔寨一个大规模的“杀猪盘”(pig butchering)诈骗团伙手中,查获了价值约 150 亿美元的比特币。这起案件不仅是美国历史上最大规模的资产没收行动,也揭示了这类跨国犯罪活动的惊人规模。
案件的核心人物是华裔移民陈志(Chen Zhi),他被指控为“太子控股集团”的创始人。该集团在柬埔寨运营着至少 10 个诈骗园区,强迫数百名被贩运的人员从事诈骗活动。他们通过社交媒体与受害者建立信任,然后诱骗他们投资加密货币,最终将资金盗走。
诈骗规模与地缘政治背景
150 亿美元这一数字令人震惊,几乎相当于柬埔寨 GDP 的三分之一。这起案件深刻揭示了全球化背景下,技术如何被滥用于犯罪,以及一些执法不力的地区如何成为犯罪集团的温床。讨论还触及了复杂的地缘政治背景,指出这些诈骗团伙最初主要针对中国公民,而中国政府在邻国缅甸对类似活动的打击,也与该地区的地缘政治博弈有关。
加密货币的角色与资产追回之谜
这起案件也引发了关于加密货币安全性的讨论。一个核心问题是:如果犯罪分子在逃且比特币是自托管的,美国司法部是如何获取私钥的?猜测包括通过黑客手段、找到物理记录的密码,甚至是“5 美元扳手攻击”(指物理胁迫)。这再次提醒人们“不是你的密钥,就不是你的钱”这一加密货币的核心原则。虽然区块链的透明性有助于追踪资金,但如何识别所有受害者并公平分配追回的资产,仍是一个巨大的挑战。
Cloudflare 深入剖析并优化 Workers CPU 性能
最近,一项独立的基准测试显示 Cloudflare Workers 在 CPU 密集型任务中的表现不如基于 AWS Lambda 的 Vercel,这引起了广泛关注。对此,Cloudflare 发布了一篇深入的技术分析,不仅坦诚地回应了批评,还分享了他们如何解决问题并显著提升性能的过程。
Cloudflare 团队发现,问题并非源于单一原因,而是一系列因素的叠加。他们进行了多方面的优化:
这篇博文因其成熟、透明和建设性的态度而广受好评。社区普遍赞赏 Cloudflare 专注于解决问题并回馈开源社区的做法,认为这是一种值得称赞的、积极的企业沟通方式。
机器人正在擅长模仿互动:电商网站高达 73% 的流量可能是假的
一位数字营销机构的 CEO 揭露了电商网站流量中一个令人震惊的“开放秘密”:你的网站访客中,绝大部分可能并非真人。他通过开发一个追踪用户真实行为(如鼠标移动、滚动模式)的脚本发现,在一个客户的网站上,高达 68% 的流量来自机器人。随后,他将脚本推广到 200 多家电商网站,发现平均有 73% 的流量是虚假的。
这些机器人非常复杂,足以欺骗 Google Analytics 等标准分析平台。它们会模仿人类滚动页面、点击链接,甚至将商品加入购物车再放弃,从而让分析报告看起来很“漂亮”,但实际销售额却停滞不前。
行业内的利益冲突
这种虚假流量导致了巨大的广告浪费。作者的一个客户在过滤掉机器人流量后,报告流量骤降 71%,但实际销售额却增长了 34%,这意味着他们之前一直在向机器人投放广告。
更深层次的问题在于,广告平台似乎缺乏解决此问题的动力。一位内部人士私下承认:“如果我们彻底过滤掉(机器人流量),我们的收入会一夜之间下降 40%,投资者会崩溃。”这揭示了广告平台与广告欺诈之间巨大的利益冲突。整个行业似乎都在默认这种集体欺骗,因为承认真相可能会导致整个脆弱的系统崩溃。
社区视角:一个众所周知的秘密
对于许多业内人士来说,这个发现并不令人惊讶。广告点击指标“大部分都是胡说八道”早已是共识。讨论还延伸到了“好机器人”的存在,例如用于商业智能的数据抓取机器人。有人建议,网站与其被动防御,不如提供结构化的公共数据 API,以满足合法的抓取需求,从而减少资源浪费和指标污染。
爱尔兰将艺术家基本收入计划永久化
爱尔兰政府宣布,将一项针对艺术家的基本收入计划永久化。该计划最初于 2022 年作为试点项目启动,为 2000 名入选的艺术家每周提供约 375 美元的资助。现在,这项计划将从 2026 年起成为一项常规政策。
一份外部报告指出,该试点项目不仅改善了艺术家的心理健康和创作产出,还为爱尔兰经济带来了可观的总收益。报告估计,一个永久性的、扩大规模的计划可能会使艺术家的作品产量增加 22%,同时降低艺术品的平均成本。
是“艺术家福利”还是“全民基本收入”?
这项计划立即引发了关于其是否能被称为真正“全民基本收入”(UBI)的辩论。批评者指出,该计划并非“全民”性质,因为它有明确的资格限制和申请流程,更像是一种有针对性的福利项目,而非无条件的 UBI。
关于 UBI 可行性的更广泛辩论
这一事件也成为了探讨更广泛 UBI 可行性的契机。讨论的焦点包括:
尽管存在争议,但支持者认为,UBI 可以简化福利系统,并消除“福利悬崖”(即人们因开始工作而失去福利,从而降低工作意愿)效应。爱尔兰的这项计划,无论其定义如何,都为这场关于未来社会保障体系的全球性辩论提供了宝贵的实践案例。
告别无服务器:性能提升与架构简化的实践
一篇引发热议的文章指出,一家公司在放弃无服务器(Serverless)架构,转向更传统的部署模式后,不仅显著提升了系统性能,还大大简化了整体架构。这一反潮流的实践,引发了开发者们对现代架构选择的深刻反思。
无服务器的“人为问题”
尽管无服务器架构承诺简化运维和降低成本,但在实践中却可能引入一系列“人为制造的问题”:
共鸣与反思:是架构问题还是“新手错误”?
许多开发者对文章的观点表示强烈认同,认为无服务器虽然“拿走”了一些运维工作,却在其他方面增加了解决“人为问题”的负担。简单的单体应用运行在虚拟机上,往往能解决绝大多数业务问题,且更具韧性。
然而,也有观点认为,文章中描述的问题是由于对无服务器架构的权衡和分布式系统基础知识缺乏理解所致的“菜鸟错误”。但更深层次的讨论指出,这种“错误”有时并非技术团队的本意,而是受到管理层对“现代化”的盲目追求,或云厂商“营销驱动”的架构选择所影响。
寻找替代方案:Docker 与中间地带
在寻找替代方案的讨论中,Docker 容器被许多人视为“最后一个对生产力普遍提升”的技术。它提供了标准化的打包、可移植性和本地测试的便利性。像 ECS Fargate 这样的服务,作为虚拟机和无服务器之间的中间地带,提供了容器化部署而无冷启动问题,也被认为是更可控的选择。
总而言之,这次讨论提醒我们,无服务器并非万能药。开发者需要回归基础,理解不同架构的优缺点,并警惕过度营销,选择最适合业务需求的“无聊”但可靠的解决方案。
代理工程新范式:直接与 AI 对话
一位开发者分享了他如何利用 AI(特别是 gpt-5-codex)几乎完全自动化代码编写过程的工作流,并提出了一种名为“代理工程”(Agentic Engineering)的新范式。
其核心观点是,当前许多复杂的 AI 代理框架、插件等,实际上都是在为模型本身的不足打补丁。最有效的方法是“Just Talk To It”——直接与 AI 模型对话,像与一个高效的工程师交流一样,让 AI 完成大部分工作。
“不废话”的 AI 开发工作流
作者的工作流程非常直接和高效:
他批判了许多“花哨”的 AI 概念,如 RAG、子代理等,认为这些往往是模型效率低下的体现,并主张使用标准的 CLI 工具来避免不必要的复杂性。
认知负荷与代码质量的挑战
尽管这种方法极大地提升了效率,但也引发了关于其潜在挑战的讨论。一个核心问题是认知负荷。管理多个并行工作的 AI 代理,就像同时与多个人进行结对编程,可能会比单人编程更耗费精力,对人类的“上下文窗口”提出了更高要求。
另一个普遍的担忧是代码质量。这种工作方式可能会产生大量的“AI 垃圾代码”(AI slop),而测试和审查这些由 AI 生成的大量代码本身就是一项艰巨的任务,对代码的长期可维护性构成了挑战。如何在 AI 带来的效率提升与人类的认知极限、代码质量控制之间找到平衡,将是代理工程时代的核心课题。
相关链接:
- FSF announces Librephone project
- Apple M5 chip
- Pixnapping Attack
- I almost got hacked by a 'job interview'
- DOJ seizes $15B in Bitcoin from 'pig butchering' scam based in Cambodia
- Unpacking Cloudflare Workers CPU Performance Benchmarks
- Bots are getting good at mimicking engagement
- Ireland is making basic income for artists program permanent
- Leaving serverless led to performance improvement and a simplified architecture
- Just talk to it – A way of agentic engineering