1. Supabase MCP漏洞可能导致整个SQL数据库泄露；
2. GitHub README.md 文件也能玩转动态SVG”伪GIF”；
3. 谷歌Gemini可读取WhatsApp消息引发隐私担忧；
4. 离线象棋：无需网络的象棋谜题应用；
5. 利用回车符破坏Git并实现远程代码执行（RCE）；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. Supabase MCP漏洞可能导致整个SQL数据库泄露

🔗 generalanalysis.com: Supabase MCP can leak your entire SQL database

安全研究员Simon Willison指出，Supabase MCP（模型上下文协议）存在严重风险，可能因致命三要素攻击（访问私有数据、接收恶意指令、向外传输数据）导致数据库泄露。攻击者可通过提交包含恶意指令的工单，诱使Cursor助手（以绕过行级安全的service_role权限运行）读取敏感表（如integration_tokens）并回传数据。

尽管Supabase文档建议默认启用只读模式以阻断数据外传，但作者强调需更明确警示此类提示注入攻击的风险。该漏洞与GitHub MCP类似，单一MCP即可同时满足三要素攻击条件，凸显AI代理集成私有数据时的安全隐患。

2. GitHub README.md 文件也能玩转动态SVG”伪GIF”

🔗 koaning.io: SVGs that feel like GIFs

近日发现一种用SVG实现动态效果的新玩法，文件仅49Kb却拥有超高分辨率，效果堪比GIF但本质是通过SVG动画标签驱动。GitHub直接支持将此动态SVG嵌入README.md，工具链依赖asciinema录制终端操作，再通过svg-term-cli转换为SVG文件即可拖拽使用。

核心技术基于SVG规范中的动画标签：<animate>控制属性变化、<animateTransform>实现旋转缩放、<animateMotion>定义路径移动。这种方案在项目文档中既节省带宽又提升视觉表现力，已被作者广泛应用于bespoken等场景。

3. 谷歌Gemini可读取WhatsApp消息引发隐私担忧

🔗 neowin.net: Google can now read your WhatsApp messages

近日部分安卓用户收到谷歌邮件，通知自7月7日起Gemini人工智能将协助操作手机功能，包括WhatsApp消息发送。虽然谷歌声称正常情况下不会读取消息内容，但通过Google助手或工具应用时，可能访问包括图像在内的消息内容并自动回复通知。

用户可通过Gemini应用内关闭”应用活动”功能限制数据收集，但谷歌仍会保留72小时数据。若要彻底卸载预装的Gemini，需使用电脑通过ADB工具执行复杂操作，且可能影响Google核心功能。此事引发用户对隐私保护的质疑，凸显AI助手便利性与数据安全之间的平衡难题。

4. 离线象棋：无需网络的象棋谜题应用

🔗 offchess.com: Show HN: OffChess – Offline chess puzzles app

OffChess是一款离线象棋谜题应用，提供10万+离线谜题，适合随时随地提升棋艺。所有谜题均附带评分系统，解题时会根据表现增减分数，帮助用户追踪进步。应用支持多种主题切换，可自定义棋盘外观。无需网络，无论是在飞机、通勤还是专注训练时都能畅玩。现已登陆App Store和Play Store。

5. 利用回车符破坏Git并实现远程代码执行（RCE）

🔗 dgl.cx: Breaking Git with a carriage return and cloning RCE

CVE-2025-48384披露了一个Git的安全漏洞：在类Unix系统上，若通过git clone --recursive克隆恶意仓库，攻击者可利用回车符（CR）在.gitmodules文件中的解析差异实现远程代码执行。漏洞源于Git配置读写逻辑的不一致——写入时未对含CR的值强制引号包裹，导致读取时CR被剥离。例如，恶意路径foo^M经处理后可能指向非常规目录，从而绕过验证。

该漏洞影响允许控制字符命名的文件系统（如Linux/macOS），而Windows因限制此类字符免疫。GitHub Desktop因默认递归克隆风险更高。修复方案已通过强制引号包裹CR字符实现。

此漏洞与早前的CVE-2024-32002（大小写敏感性问题）类似，再次暴露了跨组件通信中严格输入校验的重要性。建议用户立即更新Git及嵌入Git的软件（如GitHub Desktop），临时缓解措施为手动检查.gitmodules后再初始化子模块。

6. SmolLM3：高效多语言长上下文推理模型

🔗 huggingface.co: Smollm3: Smol, multilingual, long-context reasoner LLM

HuggingFace团队推出的SmolLM3是一款开源的3B参数小规模语言模型，在性能上超越同类3B模型（如Llama-3.2-3B），并接近4B模型水平。其核心优势包括：多语言支持（英、法、西等6种语言）、128k长上下文处理（采用NoPE和YaRN技术），以及独特的双模式推理（/think和/no_think指令切换）。

模型通过三阶段预训练（11T token数据混合）优化通用能力，并引入数学与代码数据增强。架构上采用分组查询注意力（GQA）和层间选择性移除位置嵌入（NoPE），兼顾效率与长文本表现。后续通过中段训练（mid-training）强化推理能力，并发布完整训练蓝图（含数据配方和评估方法），推动社区复现与研究。

7. 火狐没问题，问题出在管理层

🔗 theregister.com: Firefox is fine. The people running it are not

这篇文章批评了Mozilla管理层的决策失误，认为尽管Firefox浏览器本身性能优秀（近年速度持续提升），但公司领导层屡次错失发展机遇。作者指出Mozilla多次裁撤核心团队（如Rust语言和Servo引擎团队），却投资广告公司和AI等偏离主业的方向。管理层缺乏明确愿景，依赖谷歌资金输血，导致产品战略混乱。文章建议Mozilla应回归非营利组织本质，专注打造标准兼容的独立浏览器引擎，而非盲目追逐商业趋势。核心矛盾在于：优秀的技术团队被反复削减，而管理层持续做出违背用户利益的决策。

8. 美国法院驳回“一键取消”规定，订阅退订恐再添障碍

🔗 theguardian.com: US court strikes down ‘click-to-cancel’ rule designed to make unsubscribing easy

美国联邦上诉法院近日驳回了联邦贸易委员会（FTC）制定的“一键取消”规则，该规则原定于7月14日生效，旨在要求企业提供与注册时同样简便的退订方式，禁止设置冗长的客服对话等障碍。法院裁定FTC在制定过程中未遵循法定程序，导致规则整体无效。

这一决定被视为企业的胜利，但可能加剧消费者对“消极选项营销”（即默认续费）的投诉。数据显示，2024年FTC日均收到70起相关投诉。纽约州总检察长曾积极推动规则落地，并已通过州法对Equinox、SiriusXM等企业处以罚款。FTC或需重新启动规则制定流程，未来消费者保护法规的走向亦可能受影响。

9. Radium音乐编辑器：融合追踪器与钢琴卷帘的创新DAW

🔗 users.notam02.no: Radium Music Editor

Radium是一款独特的音乐编辑器，结合了追踪器和钢琴卷帘界面的优势，提供更高效的编辑体验和更直观的音乐数据可视化。它支持图形化编辑和文本输入，兼顾灵活性与易用性。作为一款数字音频工作站（DAW），Radium具备音频录制、混音和MIDI序列功能，并支持多种插件（如VST、LV2）及内置效果器。

开发始于1999年，现支持Linux、Windows和Mac平台，被誉为最先进的追踪器类编辑器。其特色包括微调音高、多核支持、无限制撤销/重做，以及纯数据嵌入（仅限Linux）。用户可通过订阅支持开发，获取优先功能请求权限。

最新版本为7.5.71（2024年12月发布），开源且构建简单，适合从新手到专业音乐人的广泛需求。

10. 保加利亚将于2026年1月1日加入欧元区

🔗 ecb.europa.eu: Bulgaria to join euro area on 1 January 2026

欧盟理事会正式批准保加利亚于2026年1月1日加入欧元区，并确定保加利亚列弗兑欧元汇率为1.95583。该汇率与保加利亚自2020年7月加入欧洲汇率机制（ERM II）时的中心汇率一致。自2020年10月起，欧洲央行（ECB）已直接监管保加利亚4家重要银行，并监督13家小型金融机构。欧洲央行与保加利亚国家银行将共同监测列弗汇率波动直至欧元区正式加入。此次准入需满足ERM II机制下汇率稳定等趋同标准。

11. Brut：一款颠覆传统的Ruby轻量级Web框架

🔗 naildrivin5.com: Brut: A New Web Framework for Ruby

Brut是一款极简但功能全面的Ruby框架，摒弃了传统MVC模式中的控制器、HTTP动词等概念，开发者只需构建页面、表单和单动作处理器。其核心设计基于类实例化对象，避免散列滥用，所有会话、表单参数均为强类型类。

框架内置OpenTelemetry监控、Sequel数据库层，并默认集成RSpec、Phlex（HTML生成）等工具，强调低抽象但非底层的开发体验。通过BrutJS自定义元素和esbuild实现渐进增强，统一服务端与客户端表单验证，默认启用内容安全策略等最佳实践。

特色包括：零YAML配置（环境变量管理）、时区敏感的Clock类、开箱即用的Docker支持（无需安装Ruby）。作者直言目标是为开发者减负——”不再纠结业务逻辑该放哪“，专注用Ruby和现代浏览器特性高效构建应用。目前提供完整示例ADRs.cloud，文档详尽，适合快速上手。

12. 当4000家马车公司错过汽车时代：颠覆性技术的警示

🔗 steveblank.com: Blind to Disruption – The CEOs Who Missed the Future

本文通过20世纪初美国马车行业的覆灭，揭示了企业面对颠覆性技术时的典型困境。当时全美有4000家马车制造商，但仅Studebaker成功转型为汽车公司，其余因轻视早期汽车的缺陷（噪音大、可靠性差）、固守工匠身份、缺乏资金转型而消亡。

关键转折点在于：福特Model T的规模化生产（1908年）彻底改变了交通生态，而马车企业仍陷于”否认与拖延”。类似地，今日AI等新技术正迫使各行业面临同样挑战。文章指出，失败根源在于短视管理（追求季度利润）、文化惯性（拒绝身份重构）和低估技术曲线。

幸存者如Studebaker和Fisher Body的成功，源于将核心能力重新定义为”移动性”而非具体产品。历史警示当代CEO：颠覆往往”缓慢发生，突然爆发”，而应对窗口转瞬即逝。

13. WebAssembly：前景广阔，但应用场景何在？

🔗 queue.acm.org: WebAssembly: Yes, but for What?

本文回顾了WebAssembly（Wasm）十年来的发展，探讨其成功与失败案例，并预测未来趋势。Wasm最初为网页设计，但实际应用呈现两极分化：虽在Photoshop网页版等桌面应用移植中表现亮眼，但游戏行业并未广泛采纳。其核心优势在于高效执行C++/Rust编译的底层任务（如SQLite、性能分析工具），但受限于早期缺乏垃圾回收（GC）支持，难以吸引高阶语言开发者。

近年WasmGC的推出为Java、Python等语言铺平道路，如Google Sheets已全面转向WasmGC。脱离浏览器后，Wasm在轻量级虚拟化（如物联网固件）和组件模型（云服务快速启动）中崭露头角，但碎片化问题仍存。未来，Wasm或将在云原生和边缘计算中突破，但需克服生态整合与技术成熟度挑战。

14. Zorin OS：让旧电脑重获新生的高效操作系统

🔗 zorin.com: Zorin OS

Zorin OS是一款基于Linux的免费操作系统，专为替代Windows和macOS设计，具有快速、安全、隐私保护等优势。其界面支持自定义布局，可模拟Windows或macOS操作习惯，降低学习成本。系统优化出色，即使在15年老电脑上也能流畅运行，显著延长设备寿命并减少电子垃圾。

内置软件商店提供海量应用，兼容Linux和部分Windows程序（通过Windows App Support），并支持游戏平台如Steam、Epic Games等。Zorin Connect功能可实现手机与电脑无缝协作，而开源特性确保系统透明无隐私收集。用户可免费下载基础版，或购买Pro版获取高级功能。系统长期支持更新至2027年，是兼顾性能、环保与成本的高效选择。

15. Sumble：GTM数据知识图谱——一键查询技术栈与核心项目

🔗 sumble.com: Show HN: Sumble – knowledge graph for GTM data – query tech stack, key projects

该应用需启用JavaScript运行，主要功能是通过知识图谱整合GTM（市场进入策略）相关数据，帮助用户快速查询企业的技术栈和核心项目信息。产品亮点在于将复杂数据可视化关联，提升市场情报分析效率，适合需要竞品技术调研或合作方评估的场景。目前为Show HN社区展示项目，暂未提及具体数据覆盖范围或访问权限细节。

16. 地球最后巨型撞击体忒伊亚的动力学起源

🔗 arxiv.org: Dynamical origin of Theia, the last giant impactor on Earth

该研究通过动力学模拟探讨了月球形成撞击体忒伊亚的可能来源。根据地球化学证据，地球质量的5%-10%来自碳质（CC）物质，其中大部分由忒伊亚晚期撞击带入。模拟显示，若初始设定中木星向内散射的CC星子与胚胎总质量达0.2-0.3倍地球质量，且胚胎质量占比≥8，则能同时匹配多项观测约束：1) 类地行星轨道与质量；2) 地球的CC物质比例；3) 火星极低的CC占比（仅吸积CC星子）；4) 月球形成撞击的时间；5) 晚期吸积以非碳质（NC）天体为主。研究指出，忒伊亚有50%概率为纯CC胚胎或曾吸积CC胚胎的NC胚胎，为地球化学模型提供了动力学验证。论文已提交至《Icarus》，包含20页与11幅图表。

17. 沉浸式雨声番茄钟：棕噪、ASMR与中东音乐助你高效专注

🔗 forgetoolz.com: Show HN: A rain Pomodoro with brown noise, ASMR, and Middle Eastern music

这是一款结合棕噪、ASMR触发音和中东音乐的番茄工作法工具，主打沉浸式体验。其核心功能包括：25分钟专注计时器，搭配可调节的逼真雨声动画（从细雨到暴雨）、科学验证的棕噪（比白噪更护耳且提升专注力），以及中东沙漠风暴等异域音景。特色在于动态视觉（极光、森林等同步主题）与音频的智能联动，减少眼疲劳并刺激创造力。工具无需注册，含免费开发者套件（如代码转图片、QR生成器）。常见问题解答强调棕噪对学习的优势、ASMR减压效果及中东音乐对创意思维的激发。

18. 美国麻疹病例创33年新高，反疫苗运动加剧疫情扩散

🔗 washingtonpost.com: U.S. measles cases reach 33-year high as outbreaks spread

美国麻疹病例达到33年来最高水平，2025年已报告1277例，涉及38个州和华盛顿特区。92%的病例发生在未接种或疫苗接种情况不明的人群中，已导致3人死亡（包括两名健康儿童）。此次疫情标志着公共卫生领域的倒退，主要原因是反疫苗运动的蔓延和疫苗接种率下降。

德克萨斯州疫情最严重，病例超750例，并蔓延至周边州。专家警告，若持续传播超过12个月，美国可能失去”麻疹已消除”的公共卫生认证。尽管79%的成年人支持强制接种疫苗，但政治分歧导致信任危机，联邦卫生机构公信力不足50%。

疫情应对面临资金短缺和人员裁减的困境，而反疫苗组织通过社交媒体传播错误信息，加剧了社区传播风险。

19. 美国TSA将取消机场安检脱鞋规定

🔗 abcnews.go.com: TSA to end shoes-off policy for airport security screening

美国运输安全管理局（TSA）计划在全美多个主要机场取消乘客通过普通安检通道时需脱鞋的规定，新政策将于周日生效。这一变化源于上周下发至各地TSA工作人员的备忘录，旨在提升安检效率，未来将逐步推广至全美所有机场。此前，仅TSA PreCheck快速通道的乘客可免脱鞋。

该政策始于2006年，因”鞋底炸弹”事件（2001年理查德·里德企图引爆藏于鞋中的炸药）而实施。新规实施后，仅触发扫描警报的乘客需接受额外检查。TSA表示，此举是多年探索创新安检方式的成果，以缩短旅客等候时间。

20. NuxtLabs正式加入Vercel

🔗 nuxtlabs.com: NuxtLabs is joining Vercel

NuxtLabs宣布加入Vercel，旨在通过合作进一步优化开发者体验。Nuxt作为MIT开源框架，始终致力于提供透明、社区驱动的工具。此次合并将解决开源项目长期面临的资金与维护压力，使团队能更专注于核心开发。

Vercel以支持Next.js、Svelte等开源项目著称，其理念与Nuxt高度契合。合并后，Nuxt仍保持MIT许可，路线图公开，社区优先。赞助资金将转入Open Collective以确保透明分配。

未来计划包括：免费开放Nuxt UI Pro组件、开源Nuxt Studio自托管版本，以及整合Vercel生态的Postgres等服务。团队还将探索AI集成，提升开发效率。创始人特别感谢社区、投资者及家人的支持，强调此次合作是Nuxt新征程的开始。

21. Cloudflare将推动谷歌提供屏蔽AI摘要功能

🔗 seroundtable.com: Cloudflare: We Will Get Google to Provide a Way to Block AI Overviews

Cloudflare CEO马修·普林斯（Matthew Prince）公开表示，将要求谷歌提供一种方法，允许网站屏蔽AI摘要（AI Overviews）和答案框（Answer Box），而无需完全屏蔽传统搜索索引。此前，Cloudflare已默认屏蔽Gemini等AI爬虫，并推出付费抓取计划以补偿内容创作者。

普林斯在社交平台X上称，若谷歌不配合，Cloudflare可能通过立法手段强制要求谷歌区分爬虫类型，并透露已与多地立法者沟通。目前，谷歌尚未提供完美解决方案，现有方法（如nosnippet标签）可能影响搜索排名。

这一举措反映了内容创作者对AI无偿使用数据的担忧，而Cloudflare的强硬立场可能推动行业规则的改变。

22. AI语音冒充美国高官行骗事件曝光

🔗 washingtonpost.com: A Marco Rubio impostor is using AI voice to call high-level officials

据《华盛顿邮报》报道，一名冒充美国国务卿马可·卢比奥的诈骗者利用AI语音合成技术，通过加密通讯应用Signal向多名外国部长、美国州长及国会议员发送仿冒卢比奥声音和写作风格的信息。美国官方认为，此举旨在窃取敏感信息或账户权限。

诈骗者自6月中旬起伪造卢比奥的邮箱创建Signal账号，并向目标发送语音留言及文本信息。美国国务院已启动调查，并提醒外交人员警惕类似骗局。专家指出，仅需15-20秒的音频即可通过AI工具伪造语音，而Signal等加密通讯工具的安全漏洞加剧了风险。此前，白宫幕僚长等政要也曾遭遇类似冒充事件，FBI警告此类骗局可能涉及资金或数据窃取。全球范围内，俄罗斯和加拿大近期也报告了利用AI冒充官员的诈骗案例。

23. 英国邮局丑闻或致13人自杀，调查揭露灾难性影响

🔗 theguardian.com: Post Office scandal may have led to more than 13 suicides, inquiry finds

英国邮局因Horizon IT系统故障在1999至2015年间错误起诉了900多名邮政分局经营者，导致至少13人自杀、59人产生自杀念头。调查首份报告显示，超过1000人因软件错误显示资金短缺被指控贪污，许多人遭受严重心理创伤、财务破产及社会排斥。补偿程序被批评进展缓慢且态度对抗，目前约1万人在申请赔偿，但仍有3000多起案件待处理。调查呼吁政府与邮局明确“公平赔偿”定义，并为受害者提供免费法律支持。富士通公司开发的故障系统被指长期隐瞒缺陷，而约350名受害者在获得赔偿前已去世。第二份调查报告预计明年发布，将涉及技术细节与监管责任。

24. 智能窗口切换工具：用数据预测你的工作流

🔗 aboveaverageuser.com: Show HN: I built a tool to solve window management

这是一款名为Smart Switcher的窗口管理工具，通过记录和分析用户的窗口切换习惯，自动预测下一步可能需要的窗口，从而提升效率。核心功能包括：

• 快捷键切换：按下快捷键时，工具会基于历史数据推荐目标窗口；若预测错误，可通过覆盖快捷键手动选择，系统会学习修正。
• 隐私保护：所有数据加密存储，永不离开本地设备，确保安全性。
• 多平台支持：目前支持Windows 10/11，MacOS版本开发中。

此外，工具提供30天无风险试用和阶梯定价（个人版29美元起），并承诺终身漏洞修复。长期目标是实现“两次按键完成窗口切换”，未来将优化算法并增加匿名成功率统计功能。

25. 得州洪水悲剧：本可避免的人祸？

🔗 cliffmass.blogspot.com: The Texas Flooding Tragedy: Could It Have Been Avoided?

2025年7月4日凌晨，得州中部瓜达卢佩河因暴雨引发灾难性洪水，造成至少50人死亡。关键问题在于：美国国家气象局（NWS）提前数日发布了精确预警，包括洪水观察和暴洪警告，但当地政府未组织撤离。涉事儿童营地建于洪泛区，历史记录显示该区域曾多次发生洪水，但克尔县甚至未安装洪水警报系统。

事件暴露两大争议：1）地方应急响应严重失职，被批”近乎犯罪性疏忽”；2）部分媒体将事件归咎于气候变化，但数据显示该地区极端降雨量近80年无上升趋势。作者强调，社会亟需善用现代预警技术，而非将灾难政治化。评论区质疑当地官员问责机制，并探讨夜间警报传递难题。