1. 我黑了一个交友软件（以及如何错误对待安全研究员）；
2. 巴比肯艺术中心的建筑奇遇；
3. 嵌入技术被严重低估了；
4. 美国版权局认定AI公司侵权 局长次日遭解雇；
5. FTC推迟执行“一键取消”新规；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. 我黑了一个交友软件（以及如何错误对待安全研究员）

🔗 alexschapiro.com: I hacked a dating app (and how not to treat a security researcher)

一名安全研究员发现约会应用Cerca存在严重漏洞：OTP验证码直接暴露在响应中，仅凭手机号即可接管任意账户。更严重的是，通过未受保护的API端点可获取用户全部个人信息，包括性取向、聊天记录甚至护照资料。研究员虽在2025年2月向团队披露漏洞并获修复承诺，但截至4月21日，Cerca既未公开事件也未通知用户。该漏洞可能导致数万用户面临身份盗窃、勒索等风险，凸显初创公司对安全的漠视。研究员最终选择公开细节以警示行业。

2. 巴比肯艺术中心的建筑奇遇

🔗 arslan.io: The Barbican

三年前寻找Vitsoe家具时，作者意外发现伦敦巴比肯庄园——这座1965-1976年建成的粗野主义建筑群，从最初觉得”丑陋”到深深着迷。实地探访时，他参加了居民导览的2小时建筑之旅，获知许多细节：迷宫式设计让小偷进得来出不去、地下车库停满无主老爷车、灵感源自埃及卡托什纹样，甚至藏有千年犹太墓地和古罗马遗迹。居民拥有专属钥匙扣可进入隐藏区域，冬季无法调节的集中供暖常引发温度困扰。这里还是影视取景地（如《慢马》洗衣房），并设有音乐学院分支。推荐书籍包括居民生活实录和建筑史研究。

3. 嵌入技术被严重低估了

🔗 technicalwriting.dev: Embeddings are underrated (2024)

本文探讨了嵌入技术在技术文档领域的潜力。嵌入能将任意长度的文本转换为固定维度的数字数组（如768或1024维），通过计算数组间的数学距离来衡量文本的语义相似性。这种技术可用于智能推荐相关文档，且成本低廉。作者以Sphinx文档为例，展示了如何用嵌入自动匹配内容关联性，并呼吁开放文档的嵌入数据以激发更多创新。嵌入的本质是将文本映射到高维潜在空间，虽无法直观理解维度含义，却能捕捉如“国王-男性+女性≈女王”的语义关系。

4. 美国版权局认定AI公司侵权 局长次日遭解雇

🔗 theregister.com: US Copyright Office found AI companies breach copyright. Its boss was fired

美国版权局发布报告草案，指出AI公司在商业用途中使用受版权保护的内容训练模型，已超出合理使用范围。报告认为，此类行为可能损害原创作品市场价值，对正在诉讼中的谷歌、Meta等公司不利。次日，局长希拉·珀尔穆特被特朗普政府解雇。民主党议员质疑此举与马斯克推动AI训练免版权计划有关，而白宫则称解雇是因图书馆（版权局上级机构）负责人“过度推行DEI政策”。事件引发对AI版权争议与政治干预的担忧。

5. FTC推迟执行“一键取消”新规

🔗 theverge.com: The FTC puts off enforcing its ‘click-to-cancel’ rule

美国联邦贸易委员会（FTC）原定于5月14日强制实施“一键取消”规则，要求企业取消订阅服务的流程必须与注册时同样简便。现因评估合规压力，该机构将执行期限推迟至7月14日。新规核心是禁止企业设置比注册更复杂的取消障碍（如必须在线注册则需支持在线取消）。FTC以3-0投票通过延期，但两名委员因被特朗普非法解雇缺席投票。7月后，FTC将全面执行新规，但保留修订条款的可能性。

6. Organic Maps社区分叉项目进展迅速

🔗 comaps.app: A community-led fork of Organic Maps

2025年5月12日，社区主导的CoMaps项目（暂定名）取得显著进展，核心原则包括透明性、社区决策和隐私优先。首个版本开发中，技术基础搭建与命名投票（5月20日截止）同步推进。项目完全开源且非营利，鼓励通过Codeberg参与开发、治理或宣传。

与此同时，Organic Maps股东谈判停滞，创始人Viktor仅承诺不出售项目，但控制权分歧未解决，项目未来仍不明朗。

7. macOS权限弹窗还能信任吗？

🔗 wts.dev: Can you trust that permission pop-up on macOS?

近日，macOS Sequoia 15.5修复了一个高危漏洞（CVE-2025-31250），该漏洞允许恶意应用A伪造应用B的权限请求弹窗，却将用户授权结果应用于完全无关的应用C。攻击者无需构建虚假应用或篡改Dock图标，仅需通过XPC消息向系统守护进程tccd发送特制指令即可实现欺骗。漏洞根源在于TCCAccessRequestIndirect函数未验证弹窗显示对象与实际权限接收对象的一致性，导致权限体系被绕过。尽管需用户点击授权，但该漏洞仍可能被用于诱导用户授予敏感权限（如访问摄像头或通讯录）。苹果通过更新修复了此逻辑缺陷。

8. 德州大学团队突破核聚变能源关键难题

🔗 news.utexas.edu: University of Texas-led team solves a big problem for fusion energy

由德州大学奥斯汀分校、洛斯阿拉莫斯国家实验室和Type One Energy Group组成的研究团队，在《物理评论快报》发表论文，解决了仿星器（一种核聚变装置）中高能粒子泄漏的长期难题。传统方法需耗费大量计算资源定位磁场漏洞，而新方法基于对称性理论，将设计效率提升10倍且不损失精度。该突破为1950年代提出的仿星器设计扫清了最大障碍，并可能应用于托卡马克装置中的逃逸电子问题。团队称这是”70年来未解难题的范式转变”。研究获美国能源部支持。

9. 苹果发布FastVLM：速度大幅提升的高效视觉语言模型

🔗 github.com: Fastvlm: Efficient vision encoding for vision language models

该仓库是CVPR 2025论文《FastVLM：高效视觉语言模型的视觉编码技术》的官方实现，核心亮点包括：

1. 提出FastViTHD混合视觉编码器，显著减少高分辨率图像的编码时间和输出令牌数；
2. 最小模型性能超越LLaVA-0.5B，视觉编码速度快85倍且体积缩小3.4倍；
3. 支持iOS演示应用，并提供模型训练、推理及苹果设备部署指南。论文代码开源，含多阶段预训练模型和量化工具。

10. Ruby 3.5 新特性：读取时命名空间

🔗 bugs.ruby-lang.org: Ruby 3.5 Feature: Namespace on read

Ruby 3.5 将引入一项实验性功能——读取时命名空间，允许开发者创建虚拟的顶级命名空间，从而隔离不同库的加载环境。该功能通过环境变量 RUBY_NAMESPACE=1 启用，旨在解决库之间的名称冲突和全局共享对象问题。

核心概念：

• “读取时”设计：命名空间在加载库时创建，无需修改库代码，便于逐步采用。
• 隔离性：每个命名空间拥有独立的常量、类变量和全局变量，避免意外污染。
• 多版本支持：未来可能结合 RubyGems/Bundler 实现多版本 gem 共存。

示例中，通过 Namespace.new 创建独立环境加载同名库，互不干扰。此功能为 Ruby 4 可能的 namespace 关键字奠定了基础。

11. 复兴1930年代的模块化货运自行车设计

🔗 core77.com: Reviving a modular cargo bike design from the 1930s

法国移动出行公司Cyclauto重新设计了1930年代Auguste Reymond的创意，推出模块化货运自行车Cyclauto。该设计将骑手置于前轮上方，直接蹬踏前轮，无需链条，减少维护需求。后部可拆卸的货箱类似半挂车，支持多种用途（载货、载人甚至商用设备）。两段式车架便于运输，且转弯半径更小，适合城市环境。目前尚未公布量产计划。

12. 就用HTML，别整那些没用的

🔗 justfuckingusehtml.com: Just use HTML

这篇文章用激烈言辞抨击现代前端框架的过度复杂化，强调HTML作为网页基础语言的持久性和实用性。作者指出HTML无需依赖框架就能实现按钮、表单、对话框等基础功能，且兼容性极强，而现代框架却带来依赖臃肿、部署繁琐等问题。文中还嘲讽了“水合错误”等框架术语，并举例说明HTML原生支持的交互功能（如折叠面板、弹窗）。最后呼吁开发者回归本质：“HTML早把车造好了，你却在 reinvent the wheel”。

13. USENIX年度技术大会落幕：一个时代的终结

🔗 bcantrill.dtrace.org: RIP Usenix ATC

USENIX宣布停办其旗舰会议年度技术大会（ATC），这一始于1975年的盛会曾是系统实践者分享创新的核心平台。作者回忆了1990年代ATC的黄金时期，以及2004年DTrace论文在此发表的辉煌，但也指出后期会议过度学术化，与工业界脱节。他认为开源运动改变了技术传播方式，实践者转向代码仓库而非传统论文。尽管ATC最终因学术会议模式的局限和线下会议式微而终结，它仍是系统领域的重要里程碑。

14. 加密货币创始人伪造死亡，被曝藏身父亲家中

🔗 sfstandard.com: A crypto founder faked his death. We found him alive at his dad’s house

23岁的加密货币创始人Jeffy Yu发布疑似自杀视频并发布讣告，自称”科技神童”，其发行的Zerebro代币市值达4400万美元。网友质疑视频真实性后，媒体在其父母家中找到他。Yu承认遭遇骚扰，但拒绝解释伪造死亡原因。链上数据显示，其关联账户在”死后”转移了140万美元加密货币，被质疑为”假死套现”策略。其发布的纪念币$LLJEFFY也被指为营销手段。事件仍在发酵，有人计划为其举办”区块链葬礼”。

15. 美国零工平台剥削工人权利：算法操控与工资陷阱

🔗 hrw.org: Gig Companies Violate Workers Rights

人权观察组织报告指出，Uber、Lyft、DoorDash等七家美国零工平台通过将工人错误归类为独立承包商，规避最低工资、社保等法定责任。调查显示，德州工人实际时薪仅5.12美元（扣除成本后），远低于生活工资标准。平台利用不透明算法分配任务与薪酬，工人面临随时被“停用”且无申诉渠道的风险。尽管公司营收激增（如Uber 2024年收入439亿美元），多数工人却难以支付基本生活开支。报告呼吁政府加强监管，保障零工权益。

16. 为何国家实验室正大力投资人工智能？

🔗 lanl.gov: A conversation about AI for science with Jason Pruet

本文通过对话Jason Pruet（洛斯阿拉莫斯国家实验室国家安全AI办公室主任），探讨了AI对科学与安全的颠覆性影响。Pruet指出，AI已从工具演变为科学研究的范式变革，其潜力远超预期，但需平衡风险与机遇。实验室正与高校合作，共享如Venado超级计算机等资源，以推动公共AI基础设施建设。他强调，全球AI竞赛中，理解模型机理将成为战略优势，而国际合作对管控风险至关重要。中国等国家已将AI视为战略核心，美国需加快布局以保持竞争力。

17. 打造本地化、设备端的专属Siri助手

🔗 thehyperplane.substack.com: Build your own Siri locally and on-device

本文介绍如何构建一个完全离线运行的语音助手，无需依赖云端服务，保障用户隐私。通过微调LLaMA 3.1模型并整合Whisper语音识别，实现自然语言指令到本地功能的直接调用（如锁屏、笔记等）。课程涵盖数据集构建、模型量化（GGUF格式）及端到端部署，特别适合开发隐私优先应用或敏感场景的团队。核心优势在于数据完全存储在设备端，且支持macOS/Linux/移动平台。

18. Airweave：让智能代理无缝搜索任何应用的工具

🔗 github.com: Show HN: Airweave – Let agents search any app

Airweave 是一个支持智能代理语义化搜索任何应用的平台，兼容MCP协议，可无缝连接应用、数据库或API，将其内容转化为代理可用的知识库。它提供数据同步、实体提取、版本管理及语义搜索功能，支持25+数据源，并配备Python/TypeScript SDK。技术栈包括React、FastAPI和Qdrant，采用MIT开源协议，适合开发者快速集成。

19. 英国特种部队前成员揭露战友涉嫌战争罪行

🔗 bbc.com: Ex-UK Special Forces break silence on ‘war crimes’ by colleagues

英国特种部队（包括SAS和SBS）前成员首次公开指控战友在伊拉克和阿富汗犯下战争罪行，包括杀害手无寸铁的平民、儿童和伤员。目击者称，士兵会伪造现场，如放置武器掩盖非法杀戮，并篡改行动报告以逃避调查。时任首相卡梅伦被曝多次收到相关警告，但未采取行动。目前英国已启动公开调查，但军方拒绝评论具体指控。国际法严禁此类行为，但部分士兵表现出”心理变态倾向”，甚至以杀人为乐。

20. 美国交通高死亡率是政策选择的结果

🔗 asteriskmag.com: Traffic Fatalities Are a Choice

美国道路死亡率（12.8人/10万）是发达国家的两到六倍，2022年造成4.2万人死亡。安全系统方法（Safe System）通过道路设计减少人为错误，如荷兰的自行车道和瑞典的2+1道路，使这些国家死亡率骤降。美国虽有个别城市试点改造（如芝加哥保护性自行车道），但缺乏全国性政策协调，州级部门常阻碍地方改革。联邦虽口头支持安全系统，却未落实资金或强制标准，导致事故预防效果有限。

21. Spade：一种简化硬件设计的现代语言

🔗 spade-lang.org: Spade Hardware Description Language

Spade是一种新型硬件描述语言（HDL），借鉴软件编程语言的优势，通过语言级支持常见硬件结构（如流水线和枚举类型），降低设计复杂度与错误率。其核心特性包括：

1. 流水线作为一级构造，无需手动定义寄存器，简化时序调整；
2. 强类型系统（含结构体、枚举等），支持模式匹配，提升代码安全性；
3. 友好的编译器错误提示及工具链（如依赖管理工具Swim）。

Spade仍处早期阶段，但已支持生成Verilog，适用于学术与工业探索。开源项目，采用EUPL-1.2许可。

22. Tailscale 4via6：规模化连接边缘部署的解决方案

🔗 tailscale.com: Tailscale 4via6 – Connect Edge Deployments at Scale

Tailscale推出4via6子网路由功能，专为解决复杂边缘部署中的网络难题，如IP冲突、多重NAT和严格防火墙限制。该功能支持在机器人、边缘设备或多VPC场景中无缝连接，无需管理IP或CIDR范围。4via6通过为每个网络分配唯一标识符，实现跨环境（如LTE、5G或卫星网络）的安全访问，同时支持云部署中的VPC互联。结合Tailscale的精细ACL策略，用户可轻松管理分布式设备，如传感器、摄像头或AI服务器，提升远程运维效率。

23. 字节潜在变换器：块比词元更具扩展性

🔗 arxiv.org: Byte latent transformer: Patches scale better than tokens (2024)

该研究提出了一种名为字节潜在变换器（BLT）的新型字节级大语言模型架构。与传统基于词元化的模型不同，BLT通过动态分块处理字节数据，根据下一字节的熵值调整计算资源分配。实验表明，BLT在8B参数和4T训练字节规模下，首次实现了与词元化模型相当的性能，同时显著提升了推理效率和鲁棒性。其核心优势在于：动态长块处理可预测数据，并在固定计算成本下展现出更优的扩展性，尤其在推理和长尾泛化任务中表现突出。

24. GitHub仓库风险检测工具：自动识别虚假Star与依赖陷阱

🔗 github.com: Show HN: CLI that spots fake GitHub stars, risky dependencies and licence traps

StarGuard是一款CLI工具，专为检测GitHub仓库风险设计，包括虚假Star刷量、高风险依赖项和许可证陷阱。其核心功能通过算法分析星标增长异常（如突发刷量）、依赖包来源（如未注册或恶意包）及许可证合规性（如GPL/AGPL风险），并生成信任评分。适用于CTO、安全团队和投资者快速自动化审计开源项目，支持多格式报告输出。基于Apache-2.0开源，仅需Python环境即可运行。

25. 保罗·麦卡特尼、埃尔顿·约翰等艺术家呼吁AI公司公开数据抓取行为

🔗 theregister.com: Paul McCartney, Elton John and other creatives demand AI comes clean on scraping

超过400名英国顶尖媒体和艺术界人士联名致信首相，要求修改《数据使用与访问法案》，以确保AI模型训练中使用的受版权保护内容透明化。签署者包括保罗·麦卡特尼、埃尔顿·约翰、理查德·柯蒂斯等知名人士。他们批评政府提出的“版权例外”条款可能纵容AI公司侵权，并强调透明度要求是保护创作者权益的关键。此外，美国版权局近期也认定部分AI公司滥用版权，引发广泛争议。