1. 没有线程安全，就没有内存安全；
2. Visa与万事达：全球支付双头垄断（2024）；
3. 石墨烯OS：强化安全的安卓定制系统；
4. 星链服务突发中断，团队正在紧急排查；
5. SQLite WAL校验失败静默丢弃数据，存在潜在风险；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. 没有线程安全，就没有内存安全

🔗 ralfj.de: There is no memory safety without thread safety

本文探讨了内存安全与线程安全的紧密关联。作者指出，传统观点将两者视为独立概念，但实际上，数据竞争可能直接破坏内存安全。以Go语言为例，演示了并发场景下因接口类型数据竞争导致的段错误（如访问非法地址0x2a），证明其虽标榜“内存安全”，却无法避免由线程不安全引发的内存违规。相比之下，Java等语言通过严格内存模型确保即使存在数据竞争，程序行为仍明确定义，不会引发底层内存错误。

作者强调，真正的安全边界在于未定义行为（UB）的消除——一旦程序触发UB（无论通过内存越界还是数据竞争），语言的基本抽象即被破坏，安全承诺便失效。Go的缺陷在于既未像Java那样全面约束并发行为，也未像Rust通过类型系统静态消除数据竞争，仅依赖运行时检测工具，导致实际项目中内存安全问题频发。这一设计取舍虽简化语言，却模糊了安全语言的本质标准。

2. Visa与万事达：全球支付双头垄断（2024）

🔗 quartr.com: Visa and Mastercard: The global payment duopoly (2024)

Visa和万事达主导了全球支付处理市场，占据中国以外90%的份额，总市值约8500亿美元。这一垄断地位源于1950年代信用卡行业的兴起，两家公司通过先发优势、银行合作及排他性合同巩固市场。

其商业模式依赖网络效应和低边际成本，像“数字铁路”般控制交易流通。但近年来面临挑战：亚马逊等巨头要求降低手续费，印度RuPay等国家支付系统崛起，以及数字钱包（如支付宝）和“先买后付”服务的竞争。

尽管监管压力增大，但双头垄断的规模和历史优势使其仍占据主导。未来，支付市场的格局可能因技术革新和政策调整而改变。

3. 石墨烯OS：强化安全的安卓定制系统

🔗 lwn.net: Graphene OS: a security-enhanced Android build

石墨烯OS是基于安卓开源项目（AOSP）的深度定制系统，专注于隐私保护和安全加固。它移除了大量冗余代码，并引入如硬件内存标记、控制流完整性等底层防护功能，同时提供沙盒化Google Play、存储隔离等用户可见的安全特性。

该系统仅支持Google Pixel 6至9系列设备，强调硬件级安全，如ARMv9的7年更新支持。安装过程提供网页和命令行两种方式，但前者更稳定。初始系统极为简洁，预装应用仅13款，包括自研浏览器Vanadium和注重元数据剥离的相机应用。

用户可通过Accrescent或沙盒化Google Play获取更多应用，但部分应用可能因系统完整性检测拒绝运行。其他亮点包括网络权限控制、胁迫PIN自毁功能及频繁的自动更新机制。

项目由加拿大基金会支持，但治理透明度较低，创始人Daniel Micay仍是核心人物。尽管社区活跃度存疑，石墨烯OS仍为注重隐私的用户提供了安卓生态中的高安全性替代方案。

4. 星链服务突发中断，团队正在紧急排查

🔗 starlink.com: Starlink is currently experiencing a service outage

星链（Starlink）目前出现服务中断问题，官方团队已确认并正在调查原因。此次故障可能影响个人、商业及住宅用户的联网体验，具体恢复时间尚未公布。用户可通过帮助中心或查看实时更新获取进展。技术团队强调将优先解决核心网络问题，建议受影响用户耐心等待后续通知。

5. SQLite WAL校验失败静默丢弃数据，存在潜在风险

🔗 avi.im: PSA: SQLite WAL checksums fail silently and may lose data

本文是作者此前关于SQLite默认不校验数据完整性的后续分析。虽然SQLite在WAL模式（预写式日志）中引入了校验机制，但问题在于：当检测到某帧校验失败时，SQLite会静默丢弃该帧及后续所有帧，即使后续帧可能完好。这一行为是设计使然，并非漏洞。

WAL模式下，每个帧的校验采用滚动校验和，即当前帧校验依赖前一帧结果。若重建索引（如因.db-shm文件缺失或异常关闭触发）时发现校验失败，SQLite会直接截断后续数据且不报错，导致潜在数据丢失。更严重的是，自动检查点机制会立即将残缺数据写入主库，用户无法干预。

作者指出，此设计可能源于SQLite面向嵌入式设备的考量（如廉价SD卡易损坏），但默认静默处理仍不合理。理想方案应抛出错误并提供选项，允许用户决定是否忽略损坏。对比其他数据库，SQLite因运行环境特殊，校验机制的实际风险更高。

6. 善用类型系统避免低级错误

🔗 dzombak.com: Use Your Type System

本文探讨了一种简单却鲜少应用于实际代码的技巧：为不同数据创建专属类型，而非直接使用基础类型（如整型、字符串）。例如，用type UserID uuid.UUID代替裸UUID，可防止混淆用户ID与账户ID。作者以Go语言库libwx为例，展示如何通过类型安全避免单位混淆（如华氏度与摄氏度）或参数顺序错误。

核心观点：类型系统能彻底消除因基础类型滥用导致的运行时错误，且实现成本极低。尽管该技巧在Go等类型系统较简单的语言中效果显著，却未得到广泛应用。文末附有代码库链接供参考。

7. AI颠覆编程？两种截然不同的叙事

🔗 calnewport.com: Two narratives about AI

关于AI对编程行业的影响，目前存在两种对立观点。第一种叙事强调大型语言模型（LLM）与代码生成的高度适配性，认为编程将首当其冲被AI颠覆：案例显示AI工具可将任务耗时从数天缩短至1小时，微软等企业裁员也被归因于AI替代。然而第二种叙事通过实验指出，开发者使用AI工具后效率反而降低19%，业界资深人士反驳称AI如同”电锯之于木匠”，仅是工具升级而非职业终结。深入分析发现，微软裁员实为业务重组，CS专业人数波动则与市场周期相关。作者建议：警惕极端言论，关注身边切实变化，并以审慎态度跟进AI新闻——这项技术的影响尚未明朗，过早定论为时尚早。

8. 2023年：网页指纹追踪比想象中更可怕

🔗 bitestring.com: Web fingerprinting is worse than I thought (2023)

这篇文章揭露了网页指纹追踪技术的隐私威胁。传统跨站追踪依赖Cookie，用户可通过清除数据或使用隐私模式防范。但指纹追踪通过收集浏览器版本、硬件配置、屏幕尺寸等数十项参数生成唯一ID，即使清空缓存或启用隐私模式仍能识别用户。

测试显示，默认配置的Firefox和Chrome均无法抵御指纹追踪，而Tor浏览器或开启privacy.resistFingerprinting的Firefox能有效防护。文章点名FingerprintJS等公司将此技术商业化，甚至突破VPN和隐私模式。移动端仅Tor和加固版Firefox安全，VPN对指纹防护无效。作者建议优先选择抗指纹工具，避免助长广告垄断。

9. 饮食而非缺乏运动才是肥胖的主要驱动力

🔗 npr.org: Diet, not lack of exercise, drives obesity, a new study finds

一项新研究发现，全球不同肥胖率地区的人群每日消耗的总热量相近，表明肥胖差异并非由运动量导致。研究者通过同位素追踪法测量了4200多名成年人的能量消耗，发现即便生活方式差异显著（如狩猎采集者与久坐办公族），代谢调整机制会使人体维持稳定的总热量支出。

专家指出，现代肥胖流行的核心原因是饮食结构变化，尤其是超加工食品的普及。研究强调，公共健康信息应聚焦改善饮食而非单纯倡导运动，因为“无法通过运动抵消不良饮食的影响”。运动虽对健康有多重益处，但对抗肥胖的关键在于调整饮食。

10. 英特尔CEO致员工信：裁员15%并聚焦三大战略方向

🔗 morethanmoore.substack.com: Intel CEO Letter to Employees

英特尔CEO Lip-Bu Tan在内部信中宣布，公司第二季度营收超预期，但将实施15%的裁员，全球员工数缩减至7.5万人，同时管理层级减少50%。9月将恢复办公室办公，以提升组织效率。

战略调整聚焦三大方向：

1. 强化晶圆代工业务，暂停德国/波兰项目，集中资源推进18A和14A制程，严格按客户需求投资；
2. 重振x86生态，优先开发Panther Lake笔记本芯片，数据中心业务重新引入SMT技术以提升竞争力；
3. 优化AI战略，转向推理与智能体AI，构建软硬件协同体系。

信中提到，裁员与业务收缩旨在降低成本、提高敏捷性，为未来增长铺路。CEO强调需以紧迫感和纪律性重塑英特尔。

11. 英国多地区遭遇大规模通信中断：EE、BT、Three、沃达丰等服务瘫痪

🔗 the-independent.com: UK: Phone networks down: EE, BT, Three, Vodafone, O2 not working in mass outage

英国多家主要电信运营商（包括EE、BT、Three和沃达丰）于周四下午突发大规模服务中断，导致数百万用户无法拨打电话或接听来电。故障追踪平台Downdetector显示，伦敦、伯明翰、曼彻斯特和格拉斯哥受影响最为严重。用户纷纷在社交媒体抱怨，EE用户称听到“嘟嘟声”，沃达丰用户则无法联系家人。

沃达丰官方致歉并承认技术故障，承诺全力修复；EE表示正在调查。O2虽收到少量投诉，但坚称其网络运行正常，问题可能源于用户尝试联系其他故障运营商所致。此次中断凸显英国通信基础设施的脆弱性，具体原因尚未公布。

12. AMD CEO：美国制造台积电芯片贵5%-20%，但值得投入

🔗 tomshardware.com: AMD CEO says U.S.-made TSMC chips are 5%-20% more expensive, but worth it

AMD CEO苏姿丰表示，台积电美国亚利桑那州工厂生产的芯片比台湾同级别工厂成本高5%至20%，但公司愿承担这部分成本以提升供应链韧性。她强调，疫情期间的教训表明，供应链需兼顾可靠性与抗风险能力，而非仅追求最低成本。尽管美国制造芯片更贵，但政府激励措施部分抵消了成本压力，且从整体计算基础设施投资角度看，这一选择具有长期价值。

台积电亚利桑那厂已开始量产4nm芯片，良率与品质媲美台湾工厂。尽管成本较高，客户需求旺盛，订单已排至2027年底。AMD预计年底前接收该厂芯片，成为继苹果后又一采用”美国制造”的科技巨头。此举标志着美国推动半导体本土化的初步成果。

13. curl | bash 模式的安全卫士：vet工具简介

🔗 github.com: Vet is a safety net for the curl | bash pattern

vet是一款命令行工具，旨在解决curl | bash这种常见但高风险模式的隐患。它通过下载检查、版本对比和代码审查三重机制，为远程脚本执行提供安全防护。核心功能包括：自动获取远程脚本至临时目录、显示与历史版本的差异变化、调用shellcheck进行静态分析（需预装），并在最终执行前要求用户显式确认。项目强调安全哲学，拒绝以兼容性妥协代码健壮性，强制要求Bash 4+环境。提供Homebrew一键安装或分步手动安装方案，后者本身即演示了vet倡导的”先审查后执行”原则。MIT协议开源，适合DevOps和系统管理员集成至工作流。

14. Anthropic团队如何利用Claude Code提升效率

🔗 anthropic.com: How Anthropic teams use Claude Code

Anthropic内部团队通过Claude Code工具显著优化工作流程，涵盖数据基础设施、产品开发、安全工程等多个部门。该工具帮助开发者与非技术人员自动化任务、快速调试复杂问题（如Kubernetes集群故障）、生成单元测试及文档，并加速新人 onboarding（如代码库导航）。例如，财务团队无需编程即可通过文本描述执行数据流程，而安全团队用其5分钟完成原本需15分钟的基础设施调试。

关键亮点包括：并行任务管理（多实例无上下文丢失）、自学习文档更新（自动优化工作记录），以及跨部门协作（如产品团队用其70%自主完成Vim模式开发）。团队建议详细编写Claude.md文档，并区分异步任务（原型设计）与需监督的核心功能开发。

15. 美军一部队暂停使用西格绍尔手枪，因一名空军士兵枪击身亡

🔗 nhpr.org: Air Force unit suspends use of Sig Sauer pistol after shooting death of airman

美国空军全球打击司令部因怀俄明州F.E.沃伦空军基地一名士兵的死亡事件，宣布立即暂停使用西格绍尔M18手枪，并启动全面审查。该基地指挥官表示哀悼，但未透露具体细节。此次事件再次引发对西格绍尔P320系列手枪安全性的质疑，该型号曾被指控存在非故意击发的设计缺陷，并涉及多起诉讼。西格绍尔公司回应称已向军方提供协助，并强调其产品经过严格测试。目前，全球打击司令部人员将换装其他武器，并对所有M18进行安全检查。美军多个军种此前已列装M17/M18作为制式手枪，但近年类似事件频发，引发持续争议。

16. 星际网络特别兴趣小组

🔗 ipnsig.org: Inter-Planetary Network Special Interest Group

IPNSIG（星际网络特别兴趣组）致力于将互联网扩展至太空，由Vint Cerf与学术界及NASA/JPL研究人员于1998年创立，现为互联网协会旗下正式分会。其目标是通过延迟与容断网络技术（DTN）构建太阳系互联网，推动地外联网发展，践行“互联网属于全人类”的愿景。小组发布《架构与治理报告》及《战略工作组报告》，提出技术路线与实施框架，并通过推广DTN技术在地面及太空的应用提升其成熟度。核心使命包括：建立星际网络共同愿景、制定发展路线图，以及促进技术落地，最终实现“为人类造福”的跨行星互联。

17. 一种有效的HTML压缩炸弹

🔗 ache.one: A valid HTML zip bomb

本文介绍了一种针对LLM网络爬虫的防御方案——HTML压缩炸弹。由于许多爬虫无视robots.txt且通过分布式IP绕过封锁，作者设计了一个合法的HTML文件，内含经过gzip/brotli压缩的10MB重复字符（如注释中的”H”），解压后可达10GB，从而耗尽爬虫内存。

关键点包括：

1. 资源不对称：服务器只需传输约10KB的压缩文件，而爬虫需处理GB级数据。
2. 技术实现：通过HTML注释嵌入压缩数据，确保文件合法性，并利用Nginx的gzip_static模块预加载压缩版本。
3. 测试效果：Chrome和Firefox均因内存不足崩溃，验证了对自动化爬虫（如Selenium）的有效性。

作者强调需在robots.txt中禁用该路径，避免误伤合规爬虫，并探讨了优化方向（如多样化HTML结构）。文末附带了Brotli压缩版本，效率更高。

18. 美国女子因协助朝鲜IT人员渗透企业获刑8.5年

🔗 fortune.com: American sentenced for helping North Koreans get jobs at U.S. firms

美国亚利桑那州女子克里斯蒂娜·查普曼因参与朝鲜IT人员欺诈计划，被判处8.5年监禁。她通过建立“笔记本电脑农场”，协助朝鲜人员伪装身份，骗取美国企业远程工作职位，涉案金额达1710万美元。查普曼还须退还28.4万美元非法所得并支付17.685万美元罚款。

该计划是朝鲜规避国际制裁的重要手段，每年为朝鲜政权创收2.5亿至6亿美元，资金疑似用于核武器计划。美国司法部强调，此案警示企业需加强远程员工身份核查，防范国家安全风险。耐克等《财富》500强企业曾误雇朝鲜IT人员，损失严重。

FBI指出，查普曼等美国公民的协助使朝鲜得以渗透300多家公司，并盗用近70名美国人身份，导致受害者面临税务及社保问题。此判决旨在震慑潜在协助者，并向平壤传递强硬信号。

19. 18岁天才少年破解量子计算优势，经典算法实现突破

🔗 quantamagazine.org: Major quantum computing advance made obsolete by teenager (2018)

2018年，18岁的Ewin Tang证明经典计算机能以接近量子计算机的速度解决推荐问题，打破了量子计算在该领域的性能优势。推荐问题（如Netflix的影片推荐）曾被认为是量子计算机显著优于经典计算机的典型案例。Tang受2016年量子算法的启发，通过改进经典算法，实现了多项式对数时间的高效求解。

这一成果虽削弱了量子计算的竞争优势，但也展现了量子与经典算法研究的相互促进。Tang的突破始于大学期间与导师Scott Aaronson的合作，最终通过严谨验证获得学界认可。

20. 裸盖菇素延长细胞寿命，改善老年小鼠生存率

🔗 news.emory.edu: Psilocybin treatment extends cellular lifespan, improves survival of aged mice

埃默里大学研究发现，裸盖菇素（迷幻蘑菇活性成分）的代谢产物裸盖菇醇能使人类皮肤与肺细胞的寿命延长50%以上。在针对19个月大（相当于人类60-65岁）小鼠的实验中，接受低剂量（5 mg/kg）初始注射并每月补充高剂量（15 mg/kg）的小鼠，生存率提高30%，且毛发质量改善、白毛减少。

研究指出，裸盖菇素通过减少氧化应激、增强DNA修复和维持端粒长度，影响衰老的多重机制。资深作者Louise Hecker博士强调，该发现为系统性抗衰老干预开辟了新方向，尤其对晚年治疗具有临床意义。

此外，研究者提出裸盖菇素或能提升老年生活质量，而不仅是延长寿命。目前埃默里大学正推进裸盖菇素治疗抑郁症的II/III期临床试验，未来或可拓展至抗衰老领域。

21. OpenAI将于8月推出GPT-5，微软安全漏洞引担忧

🔗 theverge.com: OpenAI prepares to launch GPT-5 in August

OpenAI计划在8月初发布GPT-5，该模型将整合其o系列推理能力，提供标准版、mini版和nano版（仅限API）。CEO Sam Altman透露，GPT-5在测试中展现出超越人类的解答能力，但尚未达到AGI（通用人工智能）标准。微软正为其部署服务器资源，但双方合作关系可能因AGI定义问题面临调整。

与此同时，微软因SharePoint本地版零日漏洞遭黑客攻击，波及50余家机构（包括美国核武器部门）。漏洞源于5月黑客竞赛中曝光的两个缺陷，攻击者疑似与中国政府关联。此外，微软被曝曾允许中国工程师参与美国国防部系统维护，现已紧急叫停该计划。

其他科技动态包括：微软突然关闭Xbox/Windows影视商店，GitHub推出无代码AI应用开发工具，以及Windows 11将新增跨设备云游戏同步和AI设置助手功能。

22. Zig语言新动态：Aarch64后端与并行编译优化

🔗 ziglang.org: New Aarch64 Back End

2025年7月23日，Zig团队发布了新的Aarch64后端，由Andrew Kelley和Jacob Young主导开发。该后端目前通过79%的行为测试（1547/1960），代码量比x86后端更精简（约25K行 vs 206K行），且采用创新设计：直接使用机器码指令编码，并在多线程中并行处理编码任务，显著提升性能。初步测试显示，其编译速度比x86后端快24.8%，资源占用更低。

6月30日，团队预告了2026年路线图讨论；6月14日则宣布了并行自托管代码生成的重大优化，x86后端在Debug模式下编译速度提升5%-50%，并支持多线程生成机器码。6月8日，x86后端正式成为Debug模式默认选项，编译速度较LLVM快70%，且通过更多行为测试。

此外，5月20日新增了FreeBSD/NetBSD交叉编译支持，6月6日发布了Zig构建系统入门教程视频。这些进展标志着Zig在性能优化和跨平台支持上的持续突破。

23. Windsurf员工控诉：股权兑现仅获1%价值

🔗 twitter.com: Windsurf employee #2: I was given a payout of only 1% what my shares where worth

一名Windsurf员工揭露，公司仅以1%的实际价值兑现其持有的股权，远低于预期。该员工在社交媒体平台X（原Twitter）发文投诉时，因浏览器JavaScript功能禁用导致页面显示异常，平台提示需启用JavaScript或更换支持浏览器访问。文中还提到，某些隐私保护插件可能干扰X.com正常功能，建议临时禁用后重试。平台服务条款、隐私政策及技术支持链接均出现在错误页面底部，但核心矛盾聚焦于员工股权兑现严重缩水问题。

24. 当滑动取代剪刀：触屏背后的隐性代价

🔗 caseorganic.medium.com: When swiping supplants scissors: The hidden cost of touchscreens

本文探讨了触屏设备普及对儿童精细动作技能发展的负面影响。调查显示，77%的教师发现学生使用铅笔、剪刀等工具的能力明显下降，69%观察到系鞋带等基础生活技能退化。作者通过教师访谈指出，学校过度依赖Chromebook等设备，而手工艺术活动（如绘画、积木）大幅减少，导致儿童失去通过触觉探索世界的关键机会。

作者以自身童年经历对比，强调动手实践（如焊接电路板、手工制作玩具）对空间思维和问题解决能力的培养价值。文中引用“切斯特顿栅栏”理论警示：在未理解传统教育方法的价值前，盲目数字化可能造成不可逆的认知损害。神经科学研究佐证，手写能激活更多大脑区域，而键盘输入削弱了字母辨识的肌肉记忆。

最后呼吁科技公司开发兼顾数字与实体的创新产品（如电子纸笔记本），并建议教育者平衡屏幕时间与手工活动，以修复触屏时代对儿童发展的潜在伤害。

25. 地狱之城：迪拜的浮华与罪恶

🔗 newleftreview.org: Everything Else

作者以旁观者身份参与迪拜一场由俄罗斯-乌克兰富豪资助的古怪小提琴比赛，揭露这座城市的矛盾本质。人造棕榈岛的奢华酒店与沙漠中的劳工营地形成尖锐对比，外籍工人（主要来自南亚）在严酷环境下建造和服务，而富裕游客则享受免税天堂的便利。

迪拜的畸形繁荣建立在系统性剥削之上：无税收的诱惑掩盖了劳工权益的缺失，社交媒体上的炫富背后是现代奴隶制的阴影。作者最终陷入道德困境，意识到这座城市本质是“人类劣根性的地狱式呈现”，提供购买他人苦难的“纯净商品”。文末警示：当金钱能购买一切时，唯有尊严、自由等核心价值值得捍卫。