1. 我让虚拟机以为自己有CPU风扇；
2. 开源零信任平台Octelium：替代Teleport/Cloudflare/Tailscale的一站式解决方案；
3. 美国关键卫星数据中断或使飓风预测倒退”数十年”；
4. 在没有IPv4连接的情况下使用互联网；
5. 多数勒索软件会检测俄语键盘并自动终止安装；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. 我让虚拟机以为自己有CPU风扇

🔗 wbenny.github.io: I made my VM think it has a CPU fan

某些恶意软件会通过检查硬件组件（如CPU风扇）来检测是否运行在虚拟机中，以逃避分析。作者发现，Windows通过SMBIOS类型27（冷却设备）获取风扇信息。为了欺骗恶意软件，作者在Xen虚拟机中手动添加了SMBIOS数据，但发现还需关联的温度探头（类型28）才能生效。最终，通过修改Xen源码并重新编译，成功让虚拟机识别到虚拟CPU风扇。相比之下，QEMU/KVM无需补丁即可直接加载SMBIOS数据。这一方法也可用于模拟其他硬件组件，增强虚拟机隐蔽性。

2. 开源零信任平台Octelium：替代Teleport/Cloudflare/Tailscale的一站式解决方案

🔗 github.com: Show HN: Octelium – FOSS Alternative to Teleport, Cloudflare, Tailscale, Ngrok

Octelium是一款自托管的开源零信任安全访问平台，集成了远程访问VPN、ZTNA架构、API/AI网关、PaaS平台及安全隧道等功能。它支持WireGuard/QUIC隧道和无客户端访问（BeyondCorp模式），通过策略即代码实现动态权限控制，适用于Kubernetes、SSH、数据库等场景。

核心优势包括：

• 统一架构：覆盖人类用户与工作负载，支持私有资源（如本地服务器）和公有资源（如SaaS API）的零信任访问。
• 动态无密钥认证：消除API密钥、SSH证书等长期凭证，通过OAuth2/OIDC实现持续强验证。
• 策略即代码：基于CEL/OPA的细粒度访问控制，支持按请求上下文（如时间、身份）动态路由。

此外，Octelium可作为PaaS部署容器化应用，或替代Kubernetes Ingress，并内置OpenTelemetry审计功能。其设计避免了传统VPN的路由冲突问题，且无需改造现有基础设施。

3. 美国关键卫星数据中断或使飓风预测倒退”数十年”

🔗 theguardian.com: Loss of key US satellite data could send hurricane forecasting back ‘decades’

美国国防气象卫星计划（DMSP）将于2025年6月30日突然停止数据共享，导致气象学家在飓风季来临之际失去高分辨率云层监测能力。该卫星系统是追踪飓风内部结构、极地海冰变化的核心工具，其独特数据目前无替代来源。科学家警告，此举将大幅削弱对飓风快速增强的预测能力，尤其在近年飓风强度持续增加的背景下。

NOAA声称其他工具可弥补数据缺口，但内部匿名人士透露，此举将导致预报能力”瞬间减半”。DMSP自1963年运行至今，其数据还用于野火、极光等监测。此次中断疑似与特朗普政府削减环境项目经费有关，专家批评这是”对科学的系统性破坏”。美国太空军表示卫星仍在运行，但海军数据处理端变更导致公共数据流中断。

4. 在没有IPv4连接的情况下使用互联网

🔗 jamesmcm.github.io: Using the Internet without IPv4 connectivity

作者因ISP断电后IPv4连接中断，但IPv6仍正常工作，导致许多网站无法访问。为解决这一问题，他利用Hetzner VPS和WireGuard隧道，通过IPv6连接转发IPv4流量，恢复了完整的网络访问。

文中解释了NAT（网络地址转换）和CG-NAT（运营商级NAT）的工作原理，以及IPv6无需NAT的优势（地址充足）。通过配置WireGuard服务器和客户端，作者成功建立了隧道，并解决了IPv4访问限制的问题。此外，他还提到使用网络命名空间隔离工作VPN流量，避免与WireGuard冲突。

这一方案不仅解决了临时网络问题，还展示了IPv6和隧道技术的实用性。

5. 多数勒索软件会检测俄语键盘并自动终止安装

🔗 krebsonsecurity.com: Many ransomware strains will abort if they detect a Russian keyboard installed (2021)

许多勒索软件（如DarkSide）内置了“地域规避”机制：若检测到系统安装了俄语、乌克兰语等虚拟键盘，便会中止感染。这一设计旨在避免攻击独联体国家（CIS），因为这些地区的黑客需遵守“不攻击本国目标”的潜规则，以规避当地法律风险。例如，俄罗斯通常仅受理境内受害者的网络犯罪投诉，因此黑客通过技术手段排除本土目标。

近期针对Colonial Pipeline的勒索攻击中，DarkSide虽声称“不涉政治”，但其恶意软件仍通过硬编码排除CIS国家。安全专家指出，用户可通过安装俄语键盘或修改注册表伪装成俄语系统，短期内可能避免感染，但长期可能迫使黑客在“法律保护”与“收入损失”间抉择。不过，此方法并非万能，仍需结合其他安全措施。

专家提醒，类似“伪装虚拟机”的旧防御手段已逐渐失效，而语言检测因涉及黑客自身利益，短期内仍可能有效。纽约网络安全公司Unit221B的研究员甚至开发了一键脚本，可模拟俄语系统环境而无须实际安装语言包。

6. 布隆过滤器实例解析

🔗 llimllib.github.io: Bloom Filters by Example

布隆过滤器是一种高效且节省内存的数据结构，用于快速判断元素是否存在于集合中。其核心是概率性数据结构，结果分为“绝对不存在”或“可能存在”。基础结构为位向量，通过多个哈希函数将元素映射到位向量中并标记为1。

查询时，若所有哈希位均为1，则元素可能存在（可能误判）；若任一位为0，则元素必定不存在。优化时需权衡过滤器大小（m）、哈希函数数量（k）和预期元素量（n），公式 (1-e^(-kn/m))^k 计算误判率。

实际应用中，推荐使用快速哈希函数（如Murmur、xxHash），避免加密哈希。典型场景包括网络优化、生物信息学等。参考资料包括Broder与Mitzenmacher的论文及维基百科。

7. 我钟爱的工具：mise（环境管理利器）

🔗 blog.vbang.dk: Tools I love: mise(-en-place)

mise是一款革命性的命令行工具，能无缝管理多语言版本、软件包及环境变量。它整合了asdf、nvm等工具的功能，通过目录级mise.toml配置文件自动切换工具版本（如Python 3.8与3.11），确保开发环境一致性。

其核心优势在于：

1. 快速试用工具：如mise use jj一键安装并激活新工具；
2. 智能版本隔离：根据项目目录自动加载对应配置，避免全局冲突；
3. CI/CD友好：统一开发与构建环境，并通过声明式任务（如测试/构建）标准化流程。

需注意供应链安全风险，因依赖来源透明度有限。mise以简洁设计大幅提升开发效率，值得尝试！

8. 特斯拉欧洲销量连续五个月下滑

🔗 abcnews.go.com: Tesla sales drop for fifth month in a row in Europe

特斯拉5月在欧洲的销量暴跌28%，连续第五个月下滑，尽管欧洲整体电动车市场增长25%。投资者原本期待消费者对埃隆·马斯克的不满情绪消退，但数据显示其支持德国极右翼政党等争议行为仍在影响销量。与此同时，中国上汽集团凭借38%的销量增长超越特斯拉，成为欧洲市场亮点。

特斯拉正押注于年底推出的低价车型和自动驾驶出租车服务以扭转颓势，但后者在测试中已出现车辆逆行等问题，引发监管关注。

9. 2.5万美元平价车为何濒临消失？

🔗 media.hubspot.com: The $25k car is going extinct?

近年来，平价新车在美国市场几乎绝迹。以福特Maverick皮卡为例，其基础款售价从2019年的1.99万美元飙升至2025年的2.8万美元，涨幅达41%。数据显示，2025年2月售价低于2.5万美元的新车仅占销量的4.8%，远低于2019年同期的23%。

根本原因在于利润驱动：车企发现，豪华车型的利润率远高于平价车（如F-150皮卡利润率约20%），而两者的生产成本差异有限。此外，经销商倾向囤积高配车型，消费者对豪华配置的需求也推高了市场均价。尽管近期经济压力使部分平价车销量回升（如日产Sentra增长40%），但新车市场已整体转向高端化，正如专家所言：”如今每辆新车都是奢侈品。”

10. Go语言高性能进程内事件总线

🔗 github.com: 4-10x faster in-process pub/sub for Go

这是一个专为Go应用设计的高性能进程内事件分发器，支持同步/异步处理，速度比原生通道快4-10倍。核心特性包括：泛型事件接口、非阻塞异步订阅（每个订阅者独立协程）、零内存分配的高吞吐（每秒处理数百万事件）。适用于模块解耦、轻量级发布订阅场景，但不支持跨进程通信或持久化。

提供全局默认分发器（On()/Emit()）和独立实例（NewDispatcher()），代码简洁。基准测试显示，在10类事件×100订阅者时仍保持82M ops/s的吞吐。采用MIT协议开源，当前仓库获35星。

典型用例：异步日志、组件状态通知。限制：无事件重放、动态订阅开销大时性能下降。

11. 中国占据全球44%可见捕捞活动

🔗 oceana.org: China Dominates 44% of Visible Fishing Activity Worldwide

根据最新数据，中国在全球可见的捕捞活动中占比高达44%，显示出其在海洋渔业领域的显著主导地位。这一数据突显了中国作为全球最大渔业国家的角色，同时也引发了对海洋资源可持续性的关注。分析指出，中国的捕捞活动主要集中在近海和远洋区域，其规模远超其他国家。这一现象可能对全球渔业生态平衡产生深远影响，需进一步探讨如何平衡经济发展与环境保护。

12. 我们通过观看100万小时YouTube视频意外破解了机器人技术

🔗 ksagar.bearblog.dev: We accidentally solved robotics by watching 1M hours of YouTube

这篇2025年的文章揭示了一个突破性发现：大规模语言模型（LLM）无法解决机器人物理交互问题，但视频预训练模型V-JEPA 2通过分析海量YouTube视频学会了预测物理世界的动态。其核心在于用潜在表征空间（而非像素）预测动作，通过遮蔽视频片段（”tubelets”）训练模型补全物理场景。

升级后的模型V-JEPA 2-AC仅用62小时机器人操作视频，就能让机械臂在陌生环境中实现零样本抓取（成功率65%-80%），且规划速度比扩散模型快15倍。更惊人的是，当与语言模型结合时，它在视频问答任务中超越了传统多模态模型，无需文本监督即可理解物理世界。

当前局限包括摄像头角度敏感和长时规划偏差，但这一发现挑战了“语言是智能基础”的假设，为具身智能开辟了新路径。

13. Rust中的错误处理现状与创新方案

🔗 felix-knorr.net: Error handling in Rust

本文探讨了Rust生态中错误处理的现状与改进方向。当前主流做法是为每个模块或整个库定义大型错误枚举，导致函数返回的Result可能包含无关错误变体，需依赖文档人工甄别，违背了Rust类型系统的精确性优势。

作者指出，错误本质上是独立信息单元，应使用结构体而非枚举变体表示。早期创新方案如terrors库虽理念优雅，但存在频繁调用.map_err和重复定义的问题。目前作者更推荐error_set!宏方案，它能自动生成错误枚举间的转换逻辑，支持子集匹配和?操作符，大幅简化代码（如联合多个错误集时无需手动声明包含关系）。

文末提及其他探索方向，如SmartErr和神秘失踪的”根据函数体自动生成错误类型”的宏库，呼吁社区继续优化错误处理体验。核心矛盾在于：类型安全需精细设计，但开发效率要求简洁工具链。

14. 前澳大利亚总理护照号竟在Instagram泄露（2020）

🔗 mango.pdf.zone: Finding a former Australian prime minister’s passport number on Instagram (2020)

一位网友偶然发现，澳大利亚前总理托尼·阿博特在Instagram晒出的登机牌照片中，条形码和预订编号未做模糊处理。通过航空公司官网的“管理预订”功能，仅需预订编号和姓氏即可登录账户。作者尝试扫描条形码失败后，竟发现预订编号直接印在行李收据上。登录后，页面HTML源码中赫然显示阿博特的护照号码、电话号码以及航空公司内部备注（如员工请求为其“快速通关”）。尽管未找到更敏感信息，但此举暴露了航空系统的安全隐患——登机牌信息可能被用于身份欺诈。作者耗时六个月联系相关部门，最终确认此举未构成犯罪。事件揭示了公众人物和企业在隐私保护上的疏忽。

15. 非洲四国近两成抗癌药存在质量问题

🔗 dw.com: Nearly 20% of cancer drugs defective in 4 African nations

一项由美国和泛非研究团队发表在《柳叶刀-全球健康》上的研究显示，埃塞俄比亚、肯尼亚、马拉维和喀麦隆的医院及药房中，约17%的抗癌药物活性成分不达标或为假药。这些缺陷药物可能导致患者肿瘤继续生长甚至扩散。研究指出，问题根源包括制造缺陷、储存不当及假药泛滥，而当地缺乏检测技术和监管体系加剧了风险。世界卫生组织正与相关国家合作应对，但专家强调需加强药品供应链监管和快速筛查技术开发。值得注意的是，多数受检药品仍符合标准，但部分供应商问题集中。此前类似问题已在抗生素和抗疟药中出现，但这是首次针对抗癌药的大规模系统性调查。

16. curl漏洞赏金计划提交的AI安全报告汇总

🔗 gist.github.com: AI slop security reports submitted to curl

本文整理了通过Hackerone平台提交至curl漏洞赏金计划的安全报告，涵盖多个高危漏洞。其中，CVE-2023-38545的代码变更被公开披露，引发严重风险。其他关键问题包括：缓冲区溢出（如WebSocket处理、strcpy函数等）、格式字符串漏洞（curl_mfprintf）、协议限制绕过、路径遍历（IPFS_PATH变量）以及内存泄漏（Location头处理）。此外，报告还涉及HTTP/2/3的洪水攻击、双释放漏洞（cookie.c）和弱加密算法风险。这些漏洞可能导致远程代码执行或敏感信息泄露，凸显了curl库在安全防护上的挑战。

17. Medley Interlisp项目：复兴历史性软件系统

🔗 interlisp.org: The Medley Interlisp Project: Reviving a Historical Software System [pdf]

该PDF文档介绍了Medley Interlisp项目，旨在复兴Interlisp这一具有历史意义的编程环境。Interlisp是20世纪70年代开发的Lisp方言，曾广泛应用于人工智能和早期计算机科学研究。项目团队通过现代化技术（如虚拟化和开源协作）修复并优化了这一系统，使其能在现代硬件上运行。

文档可能包含技术细节，如代码结构、兼容性解决方案或社区参与方式。核心目标是保存计算历史遗产，同时为当代开发者提供研究早期编程范式的工具。由于内容为PDF元数据，实际摘要需基于全文进一步提炼。

18. 利用eBPF实现快速TCP指纹识别

🔗 halb.it: Implementing fast TCP fingerprinting with eBPF

本文记录了作者使用eBPF技术为Golang Web服务器实现快速TCP指纹识别的探索过程。TCP指纹识别是反爬虫方案中检测异常请求的关键技术，尤其在当前LLM数据抓取需求激增的背景下尤为重要。文章分为两部分：第一部分解析TCP指纹识别的原理（如通过MSS值分析网络路径特征），并对比传统LibPCAP方案的延迟问题；第二部分详细介绍基于eBPF的优化方案——通过内核态程序实时存储TCP SYN数据到共享哈希表，用户态程序通过文件描述符直接访问，避免了数据拷贝和线程同步的开销。作者强调这是学习eBPF的理想入门项目，并开源了PoC代码。全文从HTTP/1.0协议基础切入，通过C语言示例揭示操作系统底层网络机制，最终过渡到eBPF的高效实现方案。

19. 扎克伯格夫妇停止资助社会公益项目

🔗 washingtonpost.com: The Chan-Zuckerbergs stopped funding social causes

2016年，普莉希拉·陈与丈夫马克·扎克伯格在加州东帕洛阿尔托创办The Primary School，旨在通过免费教育、医疗和家长辅导缩小低收入家庭儿童的学业与健康差距。然而，由于资金短缺（其唯一资助方Chan Zuckerberg Initiative撤资），该校将于2025-2026学年关闭。

该校90%学生为少数族裔，98%家庭符合低收入标准。关闭后，学生将转入当地财政紧张的公立学区，尽管CZI承诺提供5000万美元过渡资金（包括学生教育储蓄和学区拨款），但家长仍批评此举违背承诺。

CZI近年逐步退出社会议题，转向生物科学与AI研究，反映出富豪慈善的不可持续性。社区人士指出，依赖单一金主的模式对弱势群体风险巨大，而扎克伯格夫妇的决策再次凸显科技巨头与基层需求的脱节。

20. 美国即将面临的烟雾危机

🔗 theatlantic.com: America’s Coming Smoke Epidemic

2017年，蒙大拿州Seeley Lake居民连续49天暴露在野火烟雾中，肺功能在一年后显著恶化，46%的人低于正常水平。研究表明，长期烟雾暴露的危害可能延迟显现，且影响深远。近年来，野火烟雾已成为美国空气污染的主要来源，导致呼吸道疾病、心脏病甚至痴呆症风险上升。

科学家发现，烟雾的毒性因燃烧物质（如树木、塑料）而异，且可能随“老化”增强。动物实验显示，幼年暴露会导致终身肺功能损伤和免疫系统减弱。此外，烟雾还可能影响生育能力，降低精子质量。

随着气候变化加剧，野火频发，烟雾相关死亡人数可能激增。研究人员正紧急开展长期追踪，以揭示烟雾对健康的累积影响，但科学认知仍处于早期阶段。这场危机正迫使美国直面空气质量的倒退与公共健康的新挑战。

21. 手机基站可兼作低成本港口雷达系统（2014年）

🔗 spectrum.ieee.org: Cell Towers Can Double as Cheap Radar Systems for Ports and Harbors (2014)

2014年的一项研究表明，利用蜂窝基站发射的被动无线电信号，可有效检测港口水域的小型船只，提升安防效率。德国弗劳恩霍夫FKIE研究所开发的被动相干定位系统通过分析现有通信信号实现目标追踪，无需额外发射雷达波，显著降低了部署成本。该系统将通信基础设施转化为监测网络，尤其适合预算有限的港口区域，为传统雷达提供了经济替代方案。（198字）

22. 复古科技爱好者以”七位数低价”收购Commodore品牌

🔗 tomshardware.com: Commodore acquired for a ‘low seven figure’ price – CEO from retro community

YouTube博主Christian “Peri Fratic” Simpson宣布以100万至500万美元的价格收购了经典电脑品牌Commodore，并自任代理CEO。收购团队已抵押房产、变卖家产筹集资金，但仍在寻找天使投资人完成交易。多位Commodore元老级人物将加盟新公司，包括C64之父Albert Charpentier等。新公司定位”复古未来主义”，计划推出新硬件产品（视频结尾留有悬念），同时管理品牌授权业务。尽管有人质疑”这不是真正的Commodore”，但收购方强调已获得47项1982年商标并集结原班人马。财务细节尚未完全敲定，团队同时招募周边产品设计师和社交媒体运营人员。

23. 欧盟拟禁止航空公司收取随身行李费

🔗 bbc.com: EU to ban carry-on baggage fees

欧盟立法者于6月24日通过提案，最早2025年7月起，乘客可免费携带一件7公斤以内的随身行李（最大100厘米）及一件个人物品（40x30x15厘米），适用于所有欧盟境内及进出航班。此举旨在终结廉价航空的不合理收费，此前西班牙曾对五家航司罚款1.49亿英镑。新规还禁止对12岁以下儿童收取选座费，并强化延误赔偿权益。

航空公司反对该政策，认为成本将转嫁至票价，剥夺乘客选择权。消费者协会则支持更透明的收费规则。提案需55%成员国批准生效，是欧盟提升旅客权益的举措之一。

24. 比特币安全预算危机：问题、解决方案与误区澄清

🔗 budget.day: Bitcoin’s Security Budget Issue: Problems, Solutions and Myths Debunked

比特币通过工作量证明（PoW）解决双花问题，但其安全性依赖矿工收入（安全预算），包括区块补贴和交易费。随着每四年补贴减半（2024年降至3.125 BTC），而交易费未能填补缺口（仅占奖励的1.25%），矿工收入可能下降，导致算力减少，51%攻击风险上升。

解决方案包括：链上扩容（如增大区块）、更改共识机制（如PoS，但违背去中心化原则）或修改发行规则（如尾随排放，但破坏2100万上限）。常见误区如“算力增长即安全”被驳斥——安全取决于经济成本，而非单纯算力数值。

专家警告，若不调整激励，比特币未来可能面临严重安全危机。当前需务实讨论方案，而非空喊口号。

25. 《谋杀之地：连环杀手时代的犯罪与嗜血》

🔗 newyorker.com: Murderland: Crime and Bloodlust in the Time of Serial Killers

本文探讨了真实犯罪题材的文化演变及其社会影响。文章以《周六夜现场》对真实犯罪狂热现象的讽刺开场，指出该题材长期被贬为“低俗娱乐”，但近年来在女性创作者主导下转向了社会正义视角，如《我身边的陌生人》等作品。

作者卡罗琳·弗雷泽的新书《谋杀之地》聚焦美国西北太平洋地区为何成为连环杀手温床，提出环境毒素（如冶炼厂排放的铅和砷）可能是关键因素。她将工业化贪婪与暴力犯罪联系起来，认为像泰德·邦迪这样的杀手实为“进步”的副产品。书中批判了社会对凶案的猎奇心态，呼吁将其视为历史而非谜题。