1. 信用卡终端上的Root Shell漏洞分析；
2. 《安多》摄影指导专访：从胶片到LED的视觉革命；
3. 俄军41架战略轰炸机遭乌军无人机集群突袭；
4. 《武士杰克》的视觉艺术：沉默叙事的动画革命；
5. 雅达利Mega ST：进军专业市场的尝试；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. 信用卡终端上的Root Shell漏洞分析

🔗 stefan-gloor.ch: Root shell on a credit card terminal

一名安全研究员对瑞士广泛使用的Worldline Yomani XR支付终端进行逆向工程，发现其存在严重安全隐患。设备采用多重物理防拆机制（如压力感应连接器、锯齿形检测电路），但通过外部调试接口可绕过防护直接访问未加密的Linux系统（内核版本3.6.0）。研究员意外发现root账户无密码即可登录，但敏感操作由独立加密处理器处理，降低了数据泄露风险。厂商已获知此漏洞，部分新版固件已修复。该研究揭示了硬件安全与软件防护不匹配的典型问题。

2. 《安多》摄影指导专访：从胶片到LED的视觉革命

🔗 pushing-pixels.org: Cinematography of “Andor”

摄影师Christophe Nuyens在访谈中分享了《安多》第二季的创作历程。他提到数字技术如何改变夜间场景布光，尤其推崇LED灯光的灵活性与色彩控制。为衔接《侠盗一号》，他采用全画幅变形镜头，并减少绿幕使用，转而选择实体布景与LED墙增强真实感。此外，他强调了跨部门协作的重要性，与导演、美术及特效团队紧密合作，确保视觉风格的统一。Nuyens认为，如今剧集制作的品质已媲美电影，技术革新为创意提供了更多可能。

3. 俄军41架战略轰炸机遭乌军无人机集群突袭

🔗 npr.org: Ukraine destroys more than 40 military aircraft in drone attack deep in Russia

乌克兰安全局（SBU）通过代号”蜘蛛网”的行动，利用伪装在卡车木屋顶部的FPV无人机，远程袭击了俄罗斯境内4个空军基地的41架重型轰炸机，包括A-50预警机、图-95和图-22M3。行动策划长达18个月，打击目标最远距乌克兰4000公里。俄方已确认部分基地遇袭，视频显示多架轰炸机起火。此次低成本无人机战术重创了俄军价值数十亿美元的远程打击力量，总统泽连斯基与SBU局长亲自督战。

4. 《武士杰克》的视觉艺术：沉默叙事的动画革命

🔗 animationobsessive.substack.com: The Visual World of ‘Samurai Jack’

《武士杰克》以极简对话和视觉叙事为核心，突破传统动画框架。导演Genndy Tartakovsky受宫崎骏和黑泽明电影启发，强调背景氛围与角色动作的感染力。艺术总监Scott Wills融合写实光影与抽象风格，创造独特美学。团队通过有限动画技术（如定格与循环动作）强化表现力，海外工作室Rough Draft Korea的协作至关重要。这部实验性作品虽商业表现中庸，却以大胆的视觉语言成为经典。

5. 雅达利Mega ST：进军专业市场的尝试

🔗 goto10retro.com: Atari Means Business with the Mega ST

1987年推出的Mega ST是雅达利首款面向专业用户的工作站电脑，采用低矮的“披萨盒”机箱设计，配备樱桃机械键盘和内置风扇。其核心升级包括2MB/4MB大内存和图形加速芯片，但性能仍与廉价机型相同（8MHz主频）。尽管定位高端（售价是1040ST的两倍），却因品牌游戏形象、DRAM短缺及设计缺陷（如扩展性差）未能成功，最终被1991年的Mega STE取代。键盘成为少数备受好评的部件。

6. 免费公共领域有声书平台：LibriVox

🔗 librivox.org: LibriVox

LibriVox是一个提供免费公共领域有声书的平台，所有内容由全球志愿者录制。用户可在线收听或下载至设备，涵盖多语言作品（如英语、德语等），目前拥有超2万部作品和1.4万名朗读者。平台鼓励用户参与志愿录制，并定期发布社区播客，分享项目动态和趣闻。非英语作品占比约12.5%，展现了文化多样性。

7. Canonical面试经历：一场令人困惑的招聘流程

🔗 dustri.org: Canonicals Interview Process

作者分享了自己两次申请Canonical职位的经历。首次申请因未虚构高中成绩被秒拒，后按员工建议“优化”申请材料通过初审，但冗长的笔试、伪科学心理测试及空洞的技术面试令人失望。第二次申请进入终面，创始人Mark Shuttleworth的提问聚焦高中经历而非专业技能，态度强硬且中途用餐，最终以“文化不匹配”为由拒绝。值得注意的是，其他面试官多数给出积极评价，但Shuttleworth的一票否决权成为关键。整个流程自动化程度高，缺乏透明度，且重复性步骤多，引发作者对招聘合理性的质疑。

8. 乌克兰无人机深入俄境内摧毁40余架军机

🔗 npr.org: Ukraine destroys more than 40 military aircraft in drone attack deep in Russia

乌克兰安全官员透露，乌方通过耗时18个月的隐秘行动，用卡车将无人机运入俄罗斯境内，袭击了包括伊尔库茨克州别拉亚空军基地在内的多个目标，摧毁40余架俄军机。此次行动由泽连斯基亲自监督，是乌无人机首次现身该地区。同日，俄军对乌发动大规模空袭，发射472架无人机及7枚导弹，并击中乌军后方训练单位，造成12人死亡。双方将于伊斯坦布尔举行新一轮和谈，乌方要求俄方提前提交停战备忘录。俄军近期在苏梅州等地持续推进攻势。

9. OpenAI无需再伪装：从非营利到商业化的转型争议

🔗 theatlantic.com: OpenAI can stop pretending

OpenAI最初作为非营利研究机构成立，旨在开发安全且造福人类的AI。然而，随着ChatGPT的爆红，公司迅速转向商业化，引发内部矛盾。CEO Sam Altman试图将主体转为营利性公司，但遭到Elon Musk等多方反对，指控其背离初心。尽管最终妥协保留非营利架构，但投资者利益与AI伦理的冲突持续发酵。监管缺失和模糊的“安全”定义加剧了外界对AI失控的担忧。

10. 肯尼迪文件曝光家族秘密：亲属竟是中情局线人

🔗 washingtonpost.com: JFK files expose family secrets: Their relatives were CIA assets

最新解密的肯尼迪遇刺档案揭示了多名中情局资产的身份，其间谍活动连家人也毫不知情。例如，学者E.B.史密斯曾以学术交流为掩护，向中情局提供苏联情报；斯坦福教授罗伯特·诺思在古巴导弹危机期间秘密搜集卡斯特罗支持者的信息。部分亲属直到文件公开才得知真相，震惊之余也重新理解了亲人的过往。档案虽未解开刺杀谜团，却意外曝光了冷战时期隐蔽战线的复杂网络。

11. 得州警方动用8.3万摄像头追踪堕胎女性

🔗 eff.org: Texas cop searched license plate cameras nationwide for woman who got abortion

美国媒体揭露，得州一名警官利用8.3万个车牌识别摄像头追踪一名涉嫌自行堕胎的女性，搜查范围包括华盛顿州和伊利诺伊州等堕胎合法地区。此案凸显后罗伊案时代执法机构滥用监控技术跨州追查生殖医疗的行为。自动车牌识别系统（ALPR）原用于追查失窃车辆，现已成为侵犯隐私的工具，且数据共享缺乏监管。专家警告，反堕胎组织可能利用此类数据库迫害女性，甚至跨州起诉。呼吁立法限制监控数据共享，保护公民自由。

12. 为什么我更喜欢Svelte而非React（状态管理篇）

🔗 river.berlin: I like Svelte more than React (it’s store management)

作者认为Svelte的开发体验远超React，尤其是其内置的状态管理机制。React默认缺乏全局状态管理，导致复杂的属性透传（prop drilling）问题，而Svelte通过writable等原生存储方案简化了流程。文中对比了React依赖第三方库（如Zustand、Jotai）的繁琐，而Svelte只需$count即可直接访问状态，更直观高效。最终结论：Svelte的状态管理更优雅，减少依赖与心智负担。

13. 乌军成功实施战争中最具破坏力的突袭行动

🔗 phillipspobrien.substack.com: The Ukrainians Just Pulled Off the Most Successful Operation of the War

乌克兰在一次协同行动中，对俄罗斯境内四个空军基地发动袭击，摧毁或重创至少40架高价值战机，包括图-95战略轰炸机等关键装备。此次行动策划长达18个月，采用隐蔽卡车释放无人机群的创新战术，严重削弱俄军远程打击能力。事件暴露俄军防御漏洞，同时凸显乌克兰在西方支持下具备扭转战局的潜力。俄方可能采取激烈报复，但战略损失已难以弥补。

14. “生产环境修复bug成本高100倍”的研究可能根本不存在（2021）

🔗 theregister.com: “Bugs are 100x more expensive to fix in production” study might not exist (2021)

一篇2021年的文章质疑了软件行业广泛引用的“生产环境修复bug比需求阶段贵100倍”的说法。调查发现，这一结论源自IBM系统科学研究所的课程笔记，但原始数据无法验证，且可能早至1967年。专家指出，尽管后期修复成本更高的趋势可能成立，但现有研究定义混乱，学术激励机制更倾向于创新而非实证。文章强调应关注代码审查和短迭代周期等实证有效的方法，并警惕互联网时代二手信息的误导性。

15. 普林斯顿INTERCAL编译器源代码首次公开

🔗 esoteric.codes: The Princeton INTERCAL Compiler’s source code

2025年9月将出版新书《四十四种深奥语言》，首次收录INTERCAL-72编译器的源代码扫描件与转录文本。该语言由Don Woods和Jim Lyon于1972年在普林斯顿大学创立，是首个明确意义上的深奥编程语言（esolang），以故意增加编程难度著称，例如用PLEASE命令讨好编译器。源代码近期被发现并转录，揭示了其通过字符串操作实现数学运算的奇特设计，导致除法需30秒完成。此次公开为研究早期编程语言提供了珍贵资料。

16. 如何通过个人项目赚取100万美元

🔗 alexwest.co: Making $1M from my personal projects

作者的首本书籍已在Product Hunt上线，无需点赞即可查看。免费获取后续书籍的早期访问权限，只需通过邮件订阅即可。文中强调了抓住机会和提前订阅的重要性，为读者提供了一条快速获取资源的途径。

17. 从Amiga API/ABI中学习

🔗 asm-basic-coder.neocities.org: Learning from the Amiga API/ABI

本文探讨了Amiga OS的独特设计，其直接调用共享库的ABI机制无需运行时链接，通过固定地址的跳转表实现高效调用。核心库Exec.library作为微内核，管理内存、任务和系统功能，展现了早期微内核的成功范例。此外，Intuition窗口系统的异步事件处理避免了现代系统中常见的程序无响应问题，体现了Amiga OS在多任务处理和用户体验上的前瞻性。文章还提到AmigaDOS的演进，最终通过ARP库优化了C语言兼容性，彰显了该操作系统的灵活性与动态性。

18. 面向Lisp开发者的RSC解析

🔗 overreacted.io: RSC for Lisp Developers

本文探讨了Lisp中代码即数据的核心思想，并通过'(+ 2 2)的引用机制演示如何将代码作为数据延迟执行。作者类比Web开发中服务端生成客户端代码的场景，提出类似Lisp引用的模块级解决方案（如React的'use client'指令），实现跨环境组合逻辑。虽然这种模式受框架限制，不如Lisp灵活，但为JavaScript开发者提供了服务端与客户端协同编程的新思路，并呼吁更多Lisp理念的跨界解读。

19. Blender转向Vulkan为何是革命性突破

🔗 youtube.com: Why Blender Changing to Vulkan Is Groundbreaking [video]

这段视频探讨了Blender从OpenGL转向Vulkan渲染引擎的重大意义。Vulkan作为现代图形API，能显著提升性能、降低延迟，并更好地利用多核CPU与GPU资源。这一变革将为3D创作带来更流畅的实时渲染体验，尤其对复杂场景和动画制作至关重要。

20. 乌克兰无人机从卡车现身袭击轰炸机

🔗 bbc.com: Ukraine drones ‘emerged from trucks’ before strikes on bombers

乌克兰与俄罗斯将于伊斯坦布尔举行第二轮直接谈判，美国前总统特朗普推动的停火协议成为焦点。但双方立场悬殊：乌克兰要求无条件停火、释放囚犯及遣返被掳儿童，俄方则拒绝并持续空袭。乌方指责俄方拖延谈判，同时警告俄军可能发动夏季攻势。两国均试图向特朗普展示合作意愿——乌克兰寻求更多军援，俄罗斯希望美国放宽经济制裁。此前首轮谈判仅达成换俘协议，突破希望渺茫。

21. AI恶意软件来袭：虚假AI工具正传播勒索病毒

🔗 blog.talosintelligence.com: AI Malware Is Here: New Report Shows How Fake AI Tools Are Spreading Ransomware

网络安全公司Cisco Talos发现，黑客利用虚假AI工具安装包传播三种恶意软件：CyberLock勒索病毒（通过伪造网站诱导下载，加密文件并索要赎金）、Lucky_Gh0$t勒索病毒（伪装成ChatGPT 4.0安装程序）以及新型破坏性恶意软件Numero（仿冒视频创作工具InVideo AI，瘫痪系统界面）。攻击者通过SEO污染、社交平台等渠道分发这些恶意软件，主要针对B2B销售、科技和营销领域的企业。用户需谨慎验证来源，仅从可信渠道获取AI工具。

22. 特朗普预算提案拟关闭美国LIGO天文台 威胁引力波研究领先地位

🔗 tri-cityherald.com: Science cuts may close WA LIGO observatory that confirmed theory of relativity

特朗普政府提议在2026年前关闭全美两座激光干涉引力波天文台（LIGO）中的一座，并削减国家科学基金会57%的预算。LIGO曾首次探测到爱因斯坦预言的引力波，推动多信使天文学发展。若关闭将中断设备升级、流失专业人才，并削弱美国在该领域的全球领导力。华盛顿州和路易斯安那州的LIGO设施自2015年以来已探测到290次黑洞与中子星碰撞事件，其中2017年首次实现引力波与光信号联合观测，开创宇宙研究新范式。

23. 什么鬼，Kees？

🔗 lore.kernel.org: WTF,Kees?

该网站使用Anubis系统防止AI公司恶意爬取数据导致服务器瘫痪。其原理类似Hashcash的验证机制，通过增加爬虫的计算成本来遏制大规模抓取。当前方案依赖现代JavaScript功能，但未来计划开发无JS解决方案。指纹识别技术将用于区分合法用户与自动化工具，减少对真实用户的干扰。

24. 我们失去了什么：PHP与jQuery时代的简单性

🔗 idiallo.com: What We Lost with PHP and jQuery

本文对比了早期PHP+jQuery的简洁开发与现代前端生态的复杂性。过去，开发者只需直接编写HTML、PHP处理逻辑、jQuery实现交互，无需构建工具或依赖管理。如今，即使简单项目也涉及React、Webpack等复杂工具链，带来版本冲突、安全漏洞和维护负担。作者通过将旧React项目重写为静态HTML的案例，强调过度工程化的问题，并指出许多现代方案只是用新工具解决老问题。虽然PHP/jQuery存在缺陷（如安全风险），但其核心理念是快速解决问题而非追求完美架构。文章呼吁在技术选型时权衡效率与复杂度，保留Web开发的易用性本质。

25. 美国将移民儿童DNA纳入犯罪数据库引发争议

🔗 theguardian.com: US authorities are collecting DNA information of children in criminal database

美国海关与边境保护局（CBP）被曝收集包括儿童在内的移民DNA数据，并上传至联邦调查局的犯罪数据库Codis。数据显示，2020年以来此类采集激增5000%，逾130万份样本中包括13万余名青少年及230名13岁以下儿童。专家批评此举是”基因监控的大规模扩张”，侵犯隐私且加剧对移民群体的歧视。尽管官方称此举旨在打击犯罪，但文件显示多数被采集者未被指控重罪。移民拘留的宽松定义使DNA采集几乎无限制，引发法律与伦理争议。