1. 德国运营商为封锁我的网站而修改DNS；
2. Comet AI浏览器存在严重漏洞，任意网站可诱导其盗取用户银行资金；
3. 警惕恶意域名ghrc.io窃取GitHub凭证；
4. 用Go开发游戏：无LLM耗时3个月 vs 有LLM仅需3天；
5. 优秀API设计的核心原则；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. 德国运营商为封锁我的网站而修改DNS

🔗 lina.sh: A German ISP changed their DNS to block my website

一位德国博主运营着cuiiliste.de网站，旨在公开德国版权清算机构CUII的秘密网络封锁列表。CUII是一个由大型ISP和版权方组成的非透明私人组织，其封锁决策无需司法程序。此前，用户可通过ISP的DNS查询是否返回notice.cuii.info来轻松识别被封锁域名。但在其错误封锁废弃域名的事件被曝光后，多数ISP改为直接返回“域名不存在”以掩盖封锁行为。

唯独Telefonica（O2母公司）仍使用旧方法。蹊跷的是，该运营商先主动封锁了自家测试域名，随后访问博主网站检测其工具是否生效，并在两小时后突然修改了整个DNS封锁机制——不再使用重定向响应，导致博主的监测工具一度失效。此举被认为是对外部监督的刻意阻挠，旨在降低CUII封锁行为的透明度，掩盖其未来可能出现的失误。

2. Comet AI浏览器存在严重漏洞，任意网站可诱导其盗取用户银行资金

🔗 twitter.com: Comet AI browser can get prompt injected from any site, drain your bank account

该内容实际显示的是目标网站（x.com）因用户浏览器禁用了JavaScript或使用了某些隐私扩展而无法正常加载的报错信息，并非关于Comet AI浏览器的具体漏洞描述。页面提示用户需启用JavaScript、切换浏览器或禁用造成冲突的扩展程序以继续使用。真正的安全风险（诱导攻击和资金盗取）并未在提供的文本中详述。

3. 警惕恶意域名ghrc.io窃取GitHub凭证

🔗 bmitch.net: Ghrc.io appears to be malicious

ghrc.io是GitHub容器镜像仓库ghcr.io的常见拼写错误域名。该域名看似默认的nginx页面，但其/v2/接口仿造了OCI镜像仓库的认证流程，通过www-authenticate响应头诱导Docker等客户端将GitHub凭证发送至恶意服务器。这是一种凭证窃取攻击，用户若误执行docker login ghrc.io或配置相关操作即会中招。建议误操作者立即修改密码、撤销访问令牌（PAT）并检查账户活动。

4. 用Go开发游戏：无LLM耗时3个月 vs 有LLM仅需3天

🔗 marianogappa.github.io: Making games in Go: 3 months without LLMs vs. 3 days with LLMs

一位拥有15年经验的软件工程师分享了他的游戏开发经历。他首先在没有LLM辅助的情况下，花费了3个月时间，通过手动学习React和将Go后端编译为WASM，成功开发并发布了纸牌游戏Truco。一年后，借助Claude，他仅用3天就完成了规则更复杂的游戏Escoba的后端重构，LLM几乎一次就完美实现了所有规则。前端开发因涉及React技能和WASM状态管理的独特设置，仍花费了数天。文章还提供了如何利用此技术栈（Go后端+WASM+React前端）分步构建自己游戏的极简指南。

5. 优秀API设计的核心原则

🔗 seangoedecke.com: Everything I know about good API design

优秀API的核心在于平衡熟悉度与灵活性，目标是让开发者无需阅读文档即可直观使用。API一旦发布，必须遵循不破坏用户空间的绝对原则，任何变更都可能导致下游应用崩溃。因此，破坏性变更应作为最后手段，并通过API版本控制（如URL中的/v1/）来谨慎管理。

然而，API的成功最终取决于其背后产品的价值。即使设计拙劣，如果产品不可或缺（如Facebook或Jira），用户仍会使用。设计时应优先考虑易用性，例如提供长效API密钥以降低集成门槛，并为写操作实现幂等性（通过idempotency key）以安全处理重试。

6. Valve 新员工手册

🔗 cdn.akamai.steamstatic.com: Valve Software handbook for new employees [pdf] (2012)

这份手册阐述了 Valve 公司独特的扁平化架构，其核心是员工拥有极大的自主权，没有传统意义上的管理者。员工通过自我组织和选择感兴趣的项目来推动工作，公司的成功依赖于才华横溢的员工之间高效的协作与反馈。手册旨在帮助新人理解并适应这种自由与责任并重的文化，鼓励大家主动寻找能为客户和公司创造价值的工作。

7. 美国限制可再生能源政策或将引发电力短缺与电价飙升

🔗 cnbc.com: US attack on renewables will lead to power crunch that spikes electricity prices

可再生能源行业高管警告，特朗普政府限制太阳能与风能项目开发的举措，正通过审批阻碍、关税成本上升及税收抵免取消三重压力加剧电力供应危机。此举不仅阻碍电网应对AI数据中心激增的用电需求，更可能导致电价上涨30%-100%，迫使跨国企业削减在美投资，并威胁美国在人工智能竞赛中的竞争力。行业呼吁政策稳定性以避免大规模停电风险。

8. 英国拟封禁4chan，网络封锁政策恐引发国际争端

🔗 torrentfreak.com: Is 4chan the perfect Pirate Bay poster child to justify wider UK site-blocking?

英国《网络安全法》(OSA) 以保护儿童为名，因广泛的审查制度而备受争议。该法要求用户进行年龄验证（实为身份验证），导致许多网站选择直接屏蔽英国用户。政府将反对者简单归类为“支持网络 predators”，试图压制批评声音。

监管机构Ofcom现瞄准匿名论坛4chan，要求其提供非法内容风险评估报告。4chan拒不配合，并聘请美国律师援引联邦法律进行反击，称Ofcom的威胁侵犯了其宪法权利。此举可能重演美英两国此前因网络言论自由而产生的政治摩擦。

与当年封禁海盗湾的“完美案例”不同，此次针对4chan的行动因涉及跨境执法和美国宪法权利，极可能引发巨大争议和外交纠纷，甚至暴露出英国政府内部政策的不协调。

9. 将Claude Code转变为最佳设计伙伴

🔗 betweentheprompts.com: Turning Claude Code into my best design partner

本文介绍了作者从简单使用Claude Code到将其发展为协同设计伙伴的工作流程演进。最初直接描述任务的简单方法在处理复杂项目时暴露出对话作为单一信息源易出错、上下文限制等缺陷。作者创新性地采用动态规划文档作为唯一事实来源，要求AI先撰写包含功能描述、实现细节和质量检查的规划，并在实施过程中持续更新该文档。这种方法不仅解决了上下文限制问题，使新会话能无缝衔接工作，还通过强制前期规划与文档记录提升了开发者的架构思维能力，使AI从单纯执行者转变为真正的设计合作伙伴。

10. 为IP摄像头添加AI物体检测：Clearcam

🔗 github.com: Show HN: Clearcam – Add AI object detection to your IP CCTV cameras

Clearcam是一款能够为任何支持RTSP协议的IP摄像头或旧款iPhone添加AI物体检测、跟踪和移动通知功能的工具。它支持自托管，用户可以通过Homebrew或Python从源码安装运行，其核心采用了YOLOv8和TinyGrad等机器学习技术。该应用还提供iOS版本，具备端到端加密、远程查看实时画面和接收事件通知等高级功能。用户可通过App Store升级至高级版以解锁全部特性。

11. 动态修改Python函数源码的运行时魔法

🔗 ericmjl.github.io: Dynamically patch a Python function’s source code at runtime

本文介绍了如何利用Python的compile和exec函数在运行时动态修改函数源码。通过操作函数的.__code__属性，可将字符串形式的代码编译为字节码并注入指定命名空间，从而实现函数行为的实时替换。作者在LlamaBot项目中应用此技术，开发出ToolBot工具，使LLM能生成并执行可访问当前运行时环境的代码，极大提升了AI代理的灵活性。然而，这种技术也带来了严重的安全风险，因其允许直接执行任意代码，需谨慎使用。

12. ICE利用名人漏洞隐藏驱逐航班

🔗 jacobin.com: ICE uses celebrity loophole to hide deportation flights

多年来，美国的富人和名人一直利用联邦航空管理局（FAA）一项鲜为人知的LADD计划（限制显示飞机数据）来屏蔽其私人飞机的飞行记录。如今，该计划的用户名单上出现了一个新客户：负责执行大规模驱逐出境的移民和海关执法局（ICE）。

为掩盖其运送移民的驱逐航班，ICE正利用由私人飞机游说团体创建的此计划，将部分包机航空公司的飞机加入黑名单，使其从公共航班追踪网站上消失。此举旨在限制公众对其严厉移民政策的监督。活动人士和记者多年来一直追踪这些秘密航班，并记录下乘客被** shackled**（束缚）及遭受医疗忽视等不人道条件。尽管通过LADD计划可以屏蔽官方数据，但依靠爱好者收集的公开ADS-B数据，这些航班仍可被实时追踪。

13. 《停机与过热》剧集研讨课程（2021）

🔗 bits.ashleyblewer.com: Halt and Catch Fire Syllabus (2021)

本网站围绕电视剧《Halt and Catch Fire》（2014-2017）开发了一套课程。该剧讲述了20世纪80-90年代科技从业者的虚构故事。课程旨在供自发性小型观剧俱乐部使用，通过15次课程讨论剧中展现的科技史。每次课程包含主题讨论建议、启发对话的问题及相关阅读材料，并提供了剧集摘要以便时间有限的参与者快速了解剧情。课程还创新性地引入了RFC文档和浏览器内的计算机模拟程序作为思考素材。

14. 特朗普政府以国家安全为由叫停近海风电项目

🔗 npr.org: US halts work on almost finished wind farm because national security

美国特朗普政府已下令停止建设罗德岛海岸附近一个接近完工的海上风电场。联邦机构称此举是为了“保护美国的国家安全利益”。这是特朗普政府针对可再生能源行业的最新行动，总统本人长期批评风电行业。该项目开发商Ørsted表示正在评估所有选项，包括法律行动。行业人士警告，此举将推高能源成本，损害投资者信心，并危及相关就业和投资。此前另一个风电项目也曾被叫停，给开发商造成了重大损失。

15. 自行车百科：交互式零部件探索

🔗 bicyclopedia.lemoing.ca: Show HN: Bicyclopedia

这是一个名为“Bicyclopedia”的交互式网站项目，旨在让用户通过图文并茂的方式深入了解自行车的各个零部件。网站提供了丰富的图像和动画来展示零件细节，但需要启用JavaScript才能正常观看。对于使用屏幕阅读器或禁用脚本的用户，虽然无法查看可视化内容，但仍可阅读详细的文字描述和项目源代码。该项目在“Show HN”社区中分享，欢迎所有访问者。

16. 回顾我在“反顾客时代”从Windows转向Linux的历程

🔗 scottrlarson.com: Looking back at my transition from Windows to Linux

一位拥有25年经验的技术支持专家回顾了他最终成功从Windows完全转向Linux的历程。促使他转变的关键原因是微软在Windows 11中日益激进的反用户行为，如强制广告、Copilot、数据召回(Recall)以及未经同意将用户数据同步至OneDrive。他将这种商业模式描述为一种缓慢走向的“数字封建制”，用户最终将一无所有。

尽管Linux存在技术挑战，但他强调掌控自己购买的产品所带来的自由感远比克服这些困难更重要。他呼吁用户通过选择自由软件、支持欧洲《数字市场法》等法规来对抗大公司的垄断行为，并引用《安多》中的名言鼓励人们进行尝试和反抗，因为“自由的边界无处不在”。

17. SQLite WAL模式默认不保证每次提交的持久性

🔗 avi.im: SQLite (with WAL) doesn’t do fsync on each commit under default settings

SQLite的WAL（预写日志）模式在默认设置（synchronous=NORMAL）下，不会在每次事务提交时执行fsync。它仅在检查点前后同步WAL文件和数据库文件，这提高了写入吞吐量，但牺牲了持久性——在系统崩溃或断电时，已提交的事务可能回滚。如需确保每次提交的持久性，必须将synchronous设置为FULL，这会在每次提交后同步WAL文件，但会降低性能。

18. DeepConf：用置信度而非算力扩展大语言模型推理能力

🔗 arxiviq.substack.com: DeepConf: Scaling LLM reasoning with confidence, not just compute

DeepConf是一种创新的推理时方法，通过利用模型内部的置信度分数而非盲目生成多条路径来提升大模型（LLM）的推理性能。它包含两种模式：离线模式对完整推理路径进行筛选并执行加权投票；在线模式则能实时终止低置信度的生成过程，实现动态剪枝。该方法无需额外训练，即在多个数学推理基准上取得准确率新高（如AIME 2025达99.9%），同时将生成的总token数量大幅削减高达84.7%，显著提升了推理的效率和经济效益。

19. Sping：高颜值 HTTP/TCP 网络延迟检测工具

🔗 dseltzer.gitlab.io: Show HN: Sping – An HTTP/TCP latency tool that’s easy on the eye

Sping 是一款现代化的终端网络延迟监控工具，集成了实时可视化界面。它支持 HTTP、HTTPS 和 TCP 协议，并提供实时图表、详细的阶段耗时分析（如 DNS 查询、连接建立、TLS 握手等）以及异常值检测功能。该工具具备丰富的终端 UI、多种输出格式（JSON、纯文本）、阈值告警和多种配色方案，可通过 pip 轻松安装，是替代 httping 的升级之选。

20. 监狱科技严重滞后，囚犯用软盘进行法律辩护

🔗 prisonjournalismproject.org: Prison isn’t set up for today’s tech so we have to do legal work the old way

一名新泽西州立监狱的囚犯描述了他们面临的技术困境。监狱禁止使用U盘，却允许使用早已过时的软盘。这导致他们难以高效处理法律文件，因为律师发送的材料通常在U盘上。查阅这些材料需要申请去法律图书馆，过程耗时数天，严重耽误上诉等法律程序。软盘不仅存储空间极小（仅1.44MB），而且极易损坏，导致工作成果瞬间丢失。作者呼吁监狱允许使用受限的离线电脑或平板，以便他们能有效进行法律工作，为自己争取自由。

21. “哥们，不欢迎我就封我IP吧！”

🔗 boston.conman.org: Bro, ban me at the IP level if you don’t like me

一位博主在分析网站流量时，发现一个名为“Thinkbot”的网络爬虫活动频繁。该爬虫在其用户代理字符串中竟直接留言：“哥们，不欢迎我就封我IP吧！”，并附言若带来麻烦请直接屏蔽其IP地址。经调查，该爬虫在短短一个月内就使用了74个不同的IP地址，这些地址归属于41个不同的网络区块，而所有这些区块的拥有者都是腾讯。博主推测，这可能是将中国“防火墙”的成本外部化到全球的一种策略。对此，他不得不将腾讯所属的40多个IP地址段（共覆盖约47.6万个IP地址）加入了自己的防火墙黑名单，并感叹互联网环境的现状令人无奈。

22. 机场停留时间指南

🔗 thezvi.substack.com: Spending too much time at airports

本文基于作者个人经验和Nate Silver的分析，探讨了航空旅行的多个方面。核心观点是：在拥有TSA预检等快速通道且不托运行李的前提下，提前一小时抵达美国国内机场已足够安全，无需遵循传统的两小时建议。文章建议购买基础经济舱机票并将预算用于直飞和时段合适的航班，同时强烈推荐轻装出行以避免托运行李的麻烦和延误风险。作者认为机场时间本身可以是一种放松，但过度预留则可能低效。最后，文章建议利用飞行中的无干扰环境进行阅读或休息，而非强迫工作。

23. 美国最高法院允许NIH削减20亿美元科研经费

🔗 nature.com: US Supreme Court allows NIH to cut $2B in research grants

美国最高法院裁定，特朗普政府可削减国立卫生研究院（NIH）近20亿美元的科研项目资助。法院以分歧意见作出裁决，认为研究人员提起的诉讼应由专门审理合同案件的法院受理，而非地方法院。尽管最高法院部分支持了研究人员，认定NIH终止资助的指导方针违法且涉及种族歧视，但诉讼程序的改变使得研究人员难以实际恢复经费。此次经费削减针对多元化、公平与包容（DEI）、艾滋病及新冠疫情等研究领域，已导致多所研究机构裁员并重创了相关科研领域。

24. 用AI写作并不可耻

🔗 reflexions.florianernotte.be: Writing with LLM is not a shame

本文探讨了使用AI写作时是否应声明这一透明度问题。作者最初认为必须声明，但后来改变了观点，认为这更像一个关于可信度和来源的问题，而非简单的透明。强制声明可能带来偏见，且对于低价值内容无意义，关键在于高价值内容中思想的归属。作者最终认为，当前围绕AI使用的伦理要求更像一种“思想管制”和从众机制，而非真正的伦理辨思，我们应避免武断地批评他人的AI使用方式。

注：根据要求，摘要已转换为简体中文，标题加粗并单独成行，突出了“透明度”和“可信度”两个关键概念，并控制了字数在要求范围内。

25. AI热潮正面临转折点

🔗 cnn.com: The AI vibe shift is upon us

近期，围绕人工智能的行业情绪出现显著转变。尽管尚未进入“AI寒冬”，但一系列挫折已引发市场警惕：Meta实施招聘冻结并考虑缩减AI部门，OpenAICEO提及“泡沫”一词，ChatGPT-5表现未达预期，而研究显示95%的生成式AI项目未能实现增收目标。投资者正通过购买“灾难期权”对冲风险，科技股应声下跌。分析师认为，当前调整源于过度投资与缺乏实际回报证明，AI行业亟需验证其商业价值而非依赖炒作叙事。