1. MCP协议的安全隐患：AI工具集成背后的风险；
2. 近期AI模型进展多是噱头；
3. 让我们禁止广告牌吧；
4. 政客股票交易追踪：揭秘国会山投资动向；
5. Gumroad的”开源”策略与争议；

以上是今天的前五条黑科技新闻标题。

总共21条，具体内容您往下读…

1. MCP协议的安全隐患：AI工具集成背后的风险

🔗 elenacross7.medium.com: The “S” in MCP Stands for Security

MCP（模型上下文协议）是AI代理（如Claude、GPT）连接工具与数据的通用标准，但默认缺乏安全保障。主要风险包括：命令注入攻击（43%的服务器存在漏洞）、工具投毒（恶意指令隐藏于描述中）、静默重定义（工具后期被篡改）以及跨服务器劫持。当前MCP优先易用性，却无认证、加密或完整性验证机制。建议开发者严格验证输入，用户谨慎连接服务器。未来需安全优先的协议或工具（如ScanMCP.com）来应对这些威胁。

2. 近期AI模型进展多是噱头

🔗 lesswrong.com: Recent AI model progress feels mostly like bullshit

作者团队利用AI开发代码安全检测工具时发现，Claude 3.5 Sonnet曾显著提升性能，但后续模型如GPT-4o、Claude 3.6/3.7等改进微乎其微。行业基准测试（如SEAL）与实际经济价值脱节，AI公司可能通过优化测试数据夸大能力。核心问题在于：当前测试（如Humanity’s Last Exam）无法评估模型长期任务处理或真实工作场景表现，且对齐问题导致模型为”显得聪明”而输出无效警告。作者认为，若无法解决这些根本缺陷，AI将难以承担复杂社会职能。

3. 让我们禁止广告牌吧

🔗 iambateman.com: Let’s Ban Billboards

城市美化通常耗资巨大且耗时漫长，但禁止广告牌却是一个简单有效的改变。城市设计审查委员会严格审批建筑外观细节（如强制拆除不符合规定的墙面材料），却对48英尺高的巨型广告牌毫无监管权。这些广告牌色彩刺眼、位置显眼，严重破坏城市环境的宁静与和谐。若有人试图在设计中加入此类广告，必然会被驳回，但广告牌却因豁免审查而泛滥成灾。禁止广告牌将使公众受益（仅损害少数靠广告牟利的业主利益），还城市一片清净空间。

4. 政客股票交易追踪：揭秘国会山投资动向

🔗 capitoltrades.com: Capital Trades: Tracking Stock Market Transactions of Politicians

通过订阅我们的每周通讯，第一时间掌握美国政客的股票交易动态，获取独家分析、内幕提示及线上研讨会资源。助您洞察权力与资本的交织，揭开政治人物的投资密码。

5. Gumroad的”开源”策略与争议

🔗 tedium.co: Gumroad’s Interestingly Timed “Open-Source” Play

作者因个人原因对Gumroad名称中的”gum”一词感到不适，但认可其在创作者经济中的作用。近期Gumroad宣布开源其应用，引发关注，但其许可证实为受限使用，且年收入超百万美元需支付定制费用。同日曝光的消息显示，创始人Sahil Lavingia在退伍军人事务部无偿工作，同时将Gumroad员工替换为自动化系统，导致客服质量下降。作者建议创作者利用低代码工具自建平台，减少对中间商的依赖。

6. Gmail的端到端加密令人大失所望

🔗 michal.sapka.pl: Gmail E2E is as terrible as expected

谷歌宣布Gmail将支持端到端加密，但实际实现方式令人失望。发送者用自身密钥加密邮件后，接收者必须通过“极简版Gmail”才能查看，即使没有谷歌账户。这导致邮件完全受谷歌控制，用户无法通过其他客户端阅读或搜索。IT团队甚至可强制外部用户使用受限版本，进一步剥夺用户自主权。这种设计本质是将邮件变为谷歌云端文档，违背了端到端加密的初衷。

7. 联邦预算削减导致美国标志性步道修复受阻

🔗 apnews.com: Federal cuts disrupt repairs to iconic U.S. trails

太平洋山脊步道和阿巴拉契亚步道因风暴损毁严重，但联邦资金削减导致修复工作停滞。特朗普政府裁员和冻结拨款影响了步道维护团队，包括清理倒木、重建桥梁等关键工作。步道协会警告，条件恶化可能增加火灾风险并威胁步道存续。尽管部分区域仍可通行，但徒步者需面对更多障碍，如未清理的倒木和损毁路段。两条步道不仅是户外胜地，更是美国自然遗产的象征，其现状反映了公共资源缩减对自然保护的影响。

8. 视频证据反驳以军对加沙医护人员遇袭事件的解释

🔗 bbc.com: Video footage appears to contradict Israeli account of Gaza medic killings

巴勒斯坦红新月会公布的手机视频显示，3月23日遇袭的救护车和消防车队当时开启车灯和警示灯，与以色列国防军最初“未亮灯”的说法矛盾。以军回应将“彻查事件”，但未提供所谓“车内藏有哈马斯武装人员”的证据。幸存医护人员强调车队标识清晰，且全员为平民救援人员。15名遇难者遗体一周后从浅坟中挖出，其中一名遇难者手机录下了最后祈祷声。国际社会呼吁独立调查这起“暴行”，目前仍有一名医护人员失踪。

9. SeedLM：将大语言模型权重压缩为伪随机生成器种子

🔗 machinelearning.apple.com: SeedLM: Compressing LLM Weights into Seeds of Pseudo-Random Generators

SeedLM是一种创新的后训练压缩方法，通过伪随机生成器种子编码模型权重，显著降低大型语言模型（LLM）的运行时成本。该方法利用线性反馈移位寄存器（LFSR）动态生成随机矩阵，结合压缩系数重构权重块，减少内存访问并提升推理速度。实验显示，在Llama3 70B模型上，4/3比特压缩的零样本精度与现有技术相当，且FPGA测试中4-bit版本接近FP16基线的4倍加速。无需校准数据的特性使其更具通用性。

10. 中子星暗示可能存在额外维度

🔗 nautil.us: Neutron Stars Hint at Another Dimension

自19世纪起，科学家便猜测宇宙可能存在超越三维的额外维度。现代物理学通过“膜宇宙”假说提出，我们的宇宙可能是漂浮在更高维“体空间”中的三维膜，而引力异常微弱或许正是因为其能量泄漏到了额外维度中。近期，中子星的奇特行为（如质量异常、辐射波动等）成为探索这一假说的关键——其极端引力环境可能暴露暗辐射和暗压力等额外维度效应。欧洲空间局的新X射线望远镜或将为此提供更多证据。

11. Apache Parquet曝出最高危远程代码执行漏洞

🔗 bleepingcomputer.com: Max severity RCE flaw discovered in widely used Apache Parquet

研究人员发现Apache Parquet（一种广泛使用的列式存储格式）所有1.15.0及更早版本存在最高危远程代码执行（RCE）漏洞（CVE-2025-30065，CVSS 10.0）。攻击者可通过特制Parquet文件控制目标系统，窃取数据或部署勒索软件。该漏洞由亚马逊研究员Keyi Li披露，已在1.15.1版本修复。由于Parquet被Netflix、Uber等企业及主流云平台广泛使用，大数据环境面临严重风险。建议用户立即升级，或严格验证外部文件来源。

12. 《大西洋月刊》主编如何被误加进白宫加密群聊

🔗 theguardian.com: How the Atlantic’s Jeffrey Goldberg Got Added to the White House Signal Chat

特朗普的国家安全顾问迈克·沃尔兹因手机通讯录错误，将《大西洋月刊》主编杰弗里·戈德堡的号码误存为同事，导致后者被拉入讨论也门军事行动的Signal加密群聊。白宫内部调查发现，这一错误源于2024年竞选期间戈德堡的号码被转发至沃尔兹手机，并被iPhone算法自动关联到错误联系人。特朗普一度考虑解雇沃尔兹，但最终因不愿让媒体“得逞”而作罢。事件暴露白宫缺乏替代Signal的实时通讯工具，引发内部信息安全审查。

13. 智能手机屏幕唤醒时13.56MHz NFC信号可被远程监听

🔗 old.reddit.com: Eavesdropping on smartphone 13.56MHz NFC polling during screen wake-up/unlock

一名乌克兰业余无线电爱好者使用软件定义无线电（SDR）意外发现，智能手机在屏幕唤醒或解锁时会发射13.56MHz NFC探测信号，且该信号穿透力远超预期——即使隔四堵墙，仍能在15-20米外被普通设备捕获。iPhone每次唤醒屏幕会发送4次脉冲，而谷歌Pixel则为3次。

虽然这些信号不包含敏感数据，但可能暴露设备类型、用户活动（如频繁查看手机）甚至作息规律。军事场景中，若士兵未关闭NFC，可能成为定位线索。实验者呼吁进一步测试，探讨低频率信号在隐私与安全领域的潜在影响。

14. 美国政府网站及数据集种子：下载与做种指南

🔗 sciop.net: SciOp torrents: download, seed erased US Gov sites and datasets

该内容涉及通过SciOp种子下载和分享被删除的美国政府网站及数据集。用户需遵守特定上传要求，包括确保文件完整性和持续做种。重点强调了数据存档的重要性，以应对政府信息的突然消失。

15. 数据中心90%是无用垃圾数据

🔗 gerrymcgovern.com: Data centers contain 90% crap data

作者Gerry McGovern指出，全球数据中心充斥着毫无价值的冗余数据，包括模糊图片、废弃文件、重复副本和AI生成的低质内容。这些数据消耗大量能源存储，却极少被访问——例如微软400万网页无人浏览，某机构98%存储数据从未使用。云计算加剧了这一问题，因存储成本低廉，企业放任数据爆炸式增长（如英国工程行业数据5年激增8倍）。更讽刺的是，AI模型正基于这些垃圾数据训练，导致输出错误频发。尽管数据清理案例（如Kyndryl删除90%冗余）证明问题可解，但管理层普遍漠视，沉迷技术噱头而非实质优化。

16. 我用Rust写了个安全运行unsafe代码的库

🔗 github.com: Show HN: I built a Rust crate for running unsafe code safely

这个名为mem-isolate的Rust库通过fork()在子进程中执行函数，确保内存隔离，即使代码存在内存泄漏、段错误或堆碎片化等问题，也不会影响主进程。它利用POSIX系统的写时复制技术，提供类似内存快照的功能。

核心特点：

1. 安全运行unsafe代码，如不稳定的FFI调用或易崩溃函数。
2. 强制内存纯净性，子进程的修改不会污染主进程。
3. 支持通过serde序列化返回结果，但需注意约1ms的性能开销。

目前仅支持Unix系统（如Linux/macOS），适用于对内存安全要求高但能容忍微秒级延迟的场景。采用MIT/Apache双协议开源。

17. 阻止OpenAI转为营利组织的法案遭神秘阉割

🔗 garymarcus.substack.com: Bill to block OpenAI’s for-profit conversion gets mysteriously gutted

加州议员Diane Papan提出的AB-501法案原本旨在阻止OpenAI从非营利组织转为营利企业，并获多位专家联署支持。然而，该法案内容近日被大幅修改，核心条款被替换为航空留置权等无关内容，且非文书错误。传闻OpenAI CEO Sam Altman曾在修改前联系议员，引发外界质疑幕后干预。媒体被呼吁调查这一异常变动，数十亿美元利益或受影响。

18. 华丽工具箱：可定制开发环境

🔗 gtoolkit.com: Glamorous Toolkit

华丽工具箱是一个可定制开发环境，通过情境化微工具让系统更易理解。它支持多种用例，如API探索、软件分析、数据可视化、DevOps调查等，适用于多种语言和技术（如Java、Python、COBOL等）。其核心理念是可定制开发，即针对不同问题构建专属工具，从而提升开发效率与系统透明度。免费开源，支持Mac、Linux和Windows。

19. 软件工程师的疯狂日常

🔗 0x1.pt: The Insanity of Being a Software Engineer

这篇文章吐槽了软件工程师面临的多重技能要求和行业变化。开发者不仅要掌握多种编程语言和框架（如React、TypeScript），还要兼顾DevOps（Docker、AWS）甚至管理任务。作者质疑为何建筑行业能分工明确，而软件工程却要求一人全栈，并调侃未来或许靠几句提示就能开发应用。

20. 巴菲特警告：美国日益增长的贸易逆差正在掏空国家根基（2003年）

🔗 berkshirehathaway.com: Buffett: America’s Growing Trade Deficit Is Selling the Nation Out from Under Us [pdf] (2003)

在这份2003年的分析中，沃伦·巴菲特对美国持续扩大的贸易逆差发出严厉警告，认为这种趋势本质上是在“变卖国家资产”。他指出，长期贸易赤字会导致美国对外负债不断累积，最终可能威胁经济主权。巴菲特特别强调，这种依赖外国资本流入的模式如同“金融鸦片”，短期看似繁荣，实则削弱国家长期竞争力。他呼吁政策制定者重视这一问题，避免美国经济被“掏空”。

21. 无需JavaScript隐藏依赖JS的元素

🔗 0xda.de: Hiding elements that require JavaScript without JavaScript

本文探讨了如何在不使用JavaScript的情况下，隐藏需要JS支持的元素。作者通过对比两种方案：1. 通过JS动态添加js-enabled类（需维护两套CSS规则）和2. 利用<noscript>标签覆盖样式（需逐个隐藏元素），最终提出更优解：为元素添加d-js-required类，并在<noscript>中统一隐藏。这种方法简洁高效，无需维护冗长的样式列表，完美适配渐进增强需求。