Nginx 存在自 2008 年以来的堆溢出漏洞(CVE-2026-42945),影响 0.6.27–1.30.0 全版本,已有可运行 PoC。根本原因是两阶段处理中的状态不一致——长度计算和数据复制阶段使用不同的 `is_args` 状态,导致扩展后的 URI 溢出预分配缓冲区。使用 Nginx rewrite 模块的服务器应立即升级至 1.31.0 或 1.30.1。
作者把 RTX 5090 通过 Thunderbolt eGPU 接到 M4 MacBook Air,用 QEMU + PCI 直通 + FEX x86 模拟 + Proton 四层堆叠实现 Linux 游戏。结论是"证明可行,但不是你该买的方案"——而对 LLM 推理的提速却达到了 113x,这对本地跑模型的读者更有实际参考价值。
Redis 作者 antirez 反思 DwarfStar 4(本地 AI 推理工具)意外爆火的原因:不是单一技术突破,而是"实用级模型 × 极端量化配方 × 多年本地 AI 积累"三者同时到位的窗口期效应。文章最后一句话点题:「AI 太关键了,不能只是一种被提供的服务」——这是独立开发者 / 本地推理支持者的核心立场。
Cory Doctorow 新书《逆向半人马的 AI 后生存指南》Kickstarter 预售公告,但核心论题值得提炼:判断任何技术的最重要维度不是"它能做什么",而是"它为谁服务、对谁施加代价"。这个权力分配框架对产品决策和系统设计有直接迁移价值。
Boris Mann 用一句话戳破了"AI agent 数量"的虚假叙事:说"我有 11 个 agent"和"我有 11 个标签页"一样没有信息量。对正在设计或评估 agent 系统的人是一个有用的校准——数量不是维度,功能和编排才是。
作者拆掉了 RAV4 的车载调制解调器和 GPS 模块来阻断丰田的遥测上报——过程不复杂,但关键发现是:拆硬件还不够,手机蓝牙连车后仍会作为"替代信道"把所有数据转发出去。这个"堵了正门但留着后门"的模式,在任何涉及数据收集的产品设计里都值得警惕。
Simon Willison 的短观察:AI coding agent 正在消解技术锁定——一家公司用 agent 驱动将 iOS/Android 双端重写为 React Native,底气在于"如果选错了,以后再迁回来就行"。这个判断放在更大框架里:当迁移成本趋近于零,技术选型的"不可逆性"消失,决策逻辑随之改变。
AiToEarn 是一个面向 OPC(一人公司)的 AI 内容营销 Agent 平台,把内容创作、发布、互动、变现四条链路封装成四个 Agent,覆盖抖音、小红书、TikTok、YouTube 等 14+ 平台,并支持 MCP 协议可在 Claude/Cursor 中直接调用。项目自 2025 年 2 月首发,持续迭代,最新一次大更新(2026-03)上线了内容交易市场和 MCP 支持;本次 Trending 可能与 MCP 生态热度联动,无单一爆发事件驱动。
排版单位"点(pt)"在 LaTeX 和 Inkscape/Web 之间有 0.4% 的差异——不是 bug,是两条独立标准化路径留下的历史遗产。Knuth 为计算优雅性微调了 TeX 的点定义,Adobe PostScript 则独立选择了 1/72 英寸,后者随 LaserWriter → CSS → SVG 的链条成了数字世界的事实标准。这个案例揭示了一个常见模式:两个看起来相同的单位,因为在不同社区独立固化,就永久分叉了。
7个源,过滤10篇
一个简短的 CI 工程习惯:在 merge queue 已保证 main 必须通过测试的前提下,继续在 main 上冗余跑完整测试套件——这样 main 上的每一次失败在定义上就是 flaky test,天然形成 flake 监控列表。核心洞察可迁移:用结构性约束让异常分类变成机械操作,而不是人工判断。