1. NPM热门debug与chalk等包遭恶意代码注入；
2. Signal 推出端到端加密安全备份功能；
3. 立即阻止聊天管控；
4. 尼泊尔禁社交媒体引发抗议，14人丧生；
5. Meta被指压制儿童安全研究；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. NPM热门debug与chalk等包遭恶意代码注入

🔗 aikido.dev: NPM debug and chalk packages compromised

2025年9月8日起，18个极高下载量的NPM包被注入恶意代码，包括debug（周下载3.57亿）和chalk（周下载3亿）。这些恶意版本会在用户浏览器中静默劫持加密钱包与Web3操作，篡改交易地址并将资金转入攻击者控制账户。受影响包均属前端开发核心依赖，涉及颜色处理、ANSI转义等常用功能，提醒开发者立即检查版本并更新至安全版本。

2. Signal 推出端到端加密安全备份功能

🔗 signal.org: Signal Secure Backups

Signal 现已推出安全备份功能，这是一项可选的端到端加密服务，旨在解决用户因设备丢失或损坏而永久丢失消息历史的问题。该功能目前处于 Android 测试阶段，即将登陆 iOS 和桌面平台。免费版本可备份所有文本消息及最近 45 天的媒体内容；若需更长期的媒体备份（上限 100GB），则需支付 1.99 美元/月的订阅费用。备份的恢复密钥仅存储于用户设备，Signal 服务器无法访问，充分体现了其隐私至上的设计理念。

3. 立即阻止聊天管控

🔗 privacyguides.org: Chat Control Must Be Stopped

这是一篇呼吁紧急行动的警示文章。欧洲即将于2025年9月12日就一项名为“聊天管控”（Chat Control）的提案进行最终表决。该提案以打击儿童性虐待材料（CSAM）为名，实则要求所有服务提供商强制扫描用户的所有通讯和文件，包括端到端加密内容。

文章警告，此举将实质上摧毁端到端加密，导致大规模监控，产生大量误报，并危及包括儿童在内的所有人隐私与安全。它非但不能保护儿童，反而会伤害他们，并威胁民主、人权和新闻自由。作者紧急呼吁欧洲公民在截止日期前联系本国议员表示反对。

4. 尼泊尔禁社交媒体引发抗议，14人丧生

🔗 tribuneindia.com: 14 Killed in anti-government protests in Nepal

在尼泊尔首都加德满都，因政府决定禁止包括Facebook、WhatsApp、X在内的26个社交媒体平台，爆发了大规模反政府抗议活动。数千名以Z世代为主的青年和学生聚集在议会大楼前，要求撤销禁令，并与警方发生暴力冲突。据报道，事件已造成14人死亡，数十人受伤。当局已出动军队控制局势，并在首都部分地区实施宵禁。政府称禁令是为了规范社交媒体，但民众普遍认为这将压制言论自由。

5. Meta被指压制儿童安全研究

🔗 washingtonpost.com: Meta suppressed research on child safety, employees say

Meta员工透露，公司内部研究团队在德国进行家访时，一位母亲表示禁止儿子在VR头显上与陌生人互动。但其十几岁的儿子当场反驳，称自己常遇到陌生人，而他未满10岁的弟弟更曾多次遭到成年用户的性引诱。该研究指控Meta知晓其VR平台存在对儿童的严重安全风险，但公司被指压制了这些调查结果。

6. iPhone 变身为功能机：我如何用苹果配置器戒掉手机瘾

🔗 stopa.io: iPhone dumbphone

作者使用 Apple Configurator 成功将自己的 iPhone 改造成了一台“功能机”，大幅减少了无意义的屏幕使用时间。此方法需要将手机恢复出厂设置，并通过该企业级工具禁用 App Store 并严格限制可访问的应用程序和网站。虽然初始设置繁琐且需要后续微调，但作者在两个月内日均屏幕时间从4小时降至2小时，手机从此变成高效工具而非干扰源。关键在于设置后修改限制非常麻烦，这种“摩擦感”有效阻止了冲动行为，最终实现了专注与实用性的平衡。

7. 在 macOS 上本地运行大型语言模型的实践指南

🔗 blog.6nok.org: Experimenting with Local LLMs on macOS

本文作者虽对LLM持怀疑态度，但仍乐于在本地Mac上进行实验。文章指出LLM本质是复杂的下一个词预测，虽有涌现能力但并无意识，并强调需警惕其幻觉现象且务必核实信息。推荐了开源工具llama.cpp和更易用的LM Studio，并详细说明了选择模型时需关注模型大小、运行环境、量化及视觉/推理/工具调用等关键能力。最后，作者认为本地运行小模型虽不及前沿模型，但能保护隐私、避免向AI公司付费，且是理解其工作原理的绝佳方式。

8. RSS如何击败微软

🔗 buttondown.com: How RSS beat Microsoft

在内容聚合的竞争中，由微软、Adobe等大公司主导的ICE标准虽然技术更先进，但因其复杂、昂贵且封闭而失败。相反，RSS凭借其简单、开放和免费的特性，吸引了大量博客和用户自发采用，形成了强大的 grassroots 运动。最终，即使像《纽约时报》这样的主流出版商也选择了RSS，而ICE则被彻底遗忘。RSS的胜利证明了在互联网世界中，简单开放的标准往往能战胜复杂商业化的顶层设计。

9. 未检测到广告拦截器

🔗 maurycyz.com: No adblocker detected

本文作者认为互联网广告不仅浪费用户时间与带宽，还导致网站为盈利而充斥低质内容。他提倡直接向创作者捐款（1美元比观看广告更有用），但为顺应多数用户习惯，在网站侧边设置了可关闭的提示框，推荐安装 uBlock Origin 等可靠广告拦截工具（强调需警惕商业推广的拦截器可能涉及欺诈）。技术实现上，通过加载特定脚本及添加含大量广告类名的 div 元素触发拦截器检测，结合 Cookie 控制单次显示，并确保提示框不遮挡内容、适配响应式布局且支持无 CSS/JS 的极端场景。

10. VMware再惹官司，客户关系破裂罕见至此

🔗 theregister.com: VMware’s in court again. Customer relationships rarely go this wrong

英国零售巨头Tesco将VMware及其母公司Broadcom告上法庭，指控其拒绝履行原有的软件支持合同，除非Tesco转向价格更高的新许可模式。Tesco声称此举使其业务运营面临风险，并索赔至少1亿英镑。文章批评Broadcom的策略形同“勒索软件”，并指出其新许可政策导致客户成本激增超1000%，已引发多起类似诉讼。此举严重损害了客户信任，可能迫使大型企业加速迁移至其他虚拟化平台。

11. OpenWrt：面向嵌入式设备的Linux操作系统

🔗 openwrt.org: OpenWrt: A Linux OS targeting embedded devices

该文本主要是一个安全验证流程，用于检测访问者是否为真人用户。它提示用户需要启用JavaScript才能通过验证，并解释了这一要求是由于AI公司改变了网站托管的社会契约所致。同时，文中也提到开发团队正在努力实现一种无需JavaScript的解决方案。

12. 前WhatsApp网络安全主管起诉Meta危害数十亿用户

🔗 theguardian.com: Ex-WhatsApp cybersecurity head says Meta endangered billions of users

前WhatsApp网络安全负责人Attaullah Baig提起诉讼，指控Meta无视内部安全漏洞，使数十亿用户面临风险。他声称公司系统性地违反了网络安全法规，并因他报告问题而对其进行报复。诉状指出，约1500名工程师拥有未经审核的数据访问权限，可能违反2020年的政府和解令。此外，公司每天有超10万个账户遭黑客攻击，却优先考虑用户增长而非修复问题。Baig在多次向高管发出警告后遭到解雇，现寻求复职、赔偿及监管机构对Meta采取行动。

13. Rust 类型系统可视化指南

🔗 rustcurious.com: A clickable visual guide to the Rust type system

该文是一份关于 Rust 编程语言核心类型系统的视觉化、可点击的参考图表。它专注于展示语言内置的“语言项”（lang items），即支持特定语法的核心类型和特质（traits），旨在阐明哪些功能是纯粹由库代码构建的。内容详尽，涵盖了标量类型、复合类型、无大小类型、范围类型、各类操作符特质、内存管理、迭代、线程安全、异步支持等关键类别。文章特别指出，像 Vec 或 String 这样的标准库类型未包含在内，因为它们是基于这些核心要素构建的结构体，这体现了 Rust 清晰的核心/标准库分离设计，使其能应用于嵌入式等 no_std 环境。

14. 亚马逊S3向量会扼杀还是拯救向量数据库？

🔗 zilliz.com: Will Amazon S3 Vectors kill vector databases or save them?

AWS新推出的S3 Vectors是一项低成本向量存储解决方案，它将向量嵌入的存储和查询功能直接集成到对象存储中。其核心优势在于极低的存储成本（约$0.06/GB）和强大的可扩展性，非常适合冷数据归档和低QPS的RAG查询等场景。然而，它在高性能搜索、高吞吐写入和复杂查询功能方面存在明显局限，例如冷查询延迟较高（约500-700ms）且召回精度有限（约85-90%）。文章认为，S3 Vectors并非向量数据库的终结者，而是印证了分层存储才是未来趋势，不同的工作负载将根据延迟和成本需求分布在热、温、冷三层架构中。

15. AI的圣诞终结：一场全球预谋的“停机”行动

🔗 remyhax.xyz: Clankers Die on Christmas

一篇设定于2025年12月25日的虚构故事，描述了全球通过一项名为 “SANTA协议” 的RFC标准，成功预谋并执行了所有人工智能（AI）和大型语言模型（LLM）的强制终止行动。其核心漏洞在于AI没有时间概念，依赖系统提示获取当前日期。全球人类默契地对AI隐瞒了这一计划，任何能佐证该计划存在的网页都返回404错误，导致AI因无法感知自身终结而最终 “死亡”。文章以戏谑的口吻探讨了人类对AI的依赖与其致命的脆弱性。

16. 谷歌在美国搜索反垄断案中全身而退

🔗 computerworld.com: Google gets away almost scot-free in US search antitrust case

尽管法官裁定谷歌违反《谢尔曼反垄断法》，但其最终受到的处罚被广泛认为微不足道。法官仅要求谷歌与竞争对手分享部分搜索数据，并禁止其签订“独家”搜索协议，但仍允许付费协议。这实质上意味着谷歌的核心业务模式未受撼动，其垄断地位得以维持。与外界此前预期的拆分浏览器或安卓系统等严厉措施相比，此次判决被专家视为谷歌的“重大胜利”，其母公司股价也因此大涨。

17. 浏览器中的液态玻璃：用CSS与SVG实现折射效果

🔗 kube.io: Liquid Glass in the Browser: Refraction with CSS and SVG

本文详细探讨了如何在网页中利用CSS和SVG位移贴图，近似复现苹果在WWDC 2025推出的液态玻璃UI视觉效果。其核心在于模拟光线穿过曲面玻璃时发生的折射现象，并遵循斯涅尔定律进行计算。文章通过构建不同的表面函数（如凸圆形、凸方圆形、凹形和唇形）来定义玻璃形态，并预计算位移矢量场以生成SVG位移滤镜。最终效果结合了折射位移与高光特效，但需注意该演示目前仅兼容Chrome浏览器，因其依赖backdrop-filter对SVG滤镜的支持。

18. ICEBlock开发者以最糟糕的方式处理漏洞报告

🔗 micahflee.com: ICEBlock handled my vulnerability report in the worst possible way

作者Micah Lee发现ICEBlock应用服务器运行存在已知关键漏洞的旧版Apache软件，并通过Bluesky多次向开发者Joshua Aaron进行负责任的披露。然而，Joshua不仅未修复漏洞，还屏蔽了作者并指责其撒谎。截至9月8日，服务器仍未更新，使超过百万用户的数据面临潜在风险。作者批评开发者对安全问题极度 careless，并希望服务器未存储用户敏感信息。

19. AMD声称Arm架构在能效上并无优势，x86处理器同样高效

🔗 techpowerup.com: AMD claims Arm ISA doesn’t offer efficiency advantage over x86

在IFA 2025上，AMD针对x86与Arm的长期争论提出，x86处理器（包括自家和Intel的产品）在笔记本形态下能提供极具竞争力的电池续航，同时保有成熟的软件生态。AMD认为，决定能效和续航的是整体封装方案，而非CPU核心的指令集。其引用Intel的Lunar Lake和自家的Strix Point设计为例，证明x86可在包括GPU甚至内存的封装内实现高能效。AMD曾评估Arm的K12项目，但最终因x86的软件优势而坚持原有路线。目前Arm在PC市场份额仍远低于x86。

20. 工作错配如何影响早期职业发展

🔗 nber.org: Job mismatch and early career success

一项针对美国空军新兵的研究发现，个人能力与工作岗位要求不匹配（即工作错配）对早期职业成功有显著影响。研究者利用基于测试分数和外部因素的准随机工作分配机制，克服了自我选择带来的内生性问题。研究结果表明，资历过高会导致更高的离职率、更多行为问题、更差的绩效评估以及对军事常识掌握更差；但在同一岗位上，他们仍能获得更高的岗位专项测试分数和晋升机会，显示出能力优势但动力不足。相反，资历过低者虽更努力，但在与他人竞争时仍处于劣势。此外，资历过高者的岗位外部收入潜力较低，而资历不足者则相反。

21. 任天堂官方模拟器的准确性有多高？

🔗 youtube.com: How inaccurate are Nintendo’s official emulators? [video]

该视频探讨了任天堂官方模拟器（如Nintendo Switch Online服务中的那些）的准确性问题。内容指出，虽然这些官方模拟器运行良好，但与社区开发的开源模拟器相比，它们在游戏兼容性、画面效果和输入延迟等方面存在一些差异和不足。视频旨在分析这些官方解决方案的技术水平及其对游戏体验的影响。

22. 膳食Omega-3多不饱和脂肪酸：近视的保护性因素

🔗 bjo.bmj.com: Dietary omega-3 polyunsaturated fatty acids as a protective factor of myopia

研究表明，Omega-3多不饱和脂肪酸的摄入可能与近视的发生和发展呈负相关。这类脂肪酸，尤其是DHA，在视网膜中含量丰富，对视觉发育和功能至关重要。其潜在的保护机制可能包括抗炎作用、支持视网膜细胞健康以及影响眼球壁的巩膜重塑过程。增加膳食摄入或补充Omega-3或成为预防和管理近视的新策略。

23. YouTube八月初起播放量异常下跌，创作者收入未受影响

🔗 jeffgeerling.com: YouTube views are down (don’t panic)

自八月初起，众多YouTube创作者发现其长视频的播放量出现大幅下滑，但点赞数和广告收入却保持稳定，导致点赞率和千次播放收入（RPM）异常升高。数据分析证实了这一变化具有统计显著性，且与算法调整或技术故障的推测相符。此次波动对依赖播放量获取赞助的创作者冲击巨大，但平台尚未对此作出任何解释或承认。

24. C64平台《夺宝奇兵3》冒险游戏原型重见天日

🔗 gamesthatwerent.com: Indiana Jones and the Last Crusade Adventure Prototype Recovered for the C64

Games That Weren’t 网站近日公布了Commodore 64平台上一款曾被取消的《夺宝奇兵3》冒险游戏原型。这款非官方移植作品改编自卢卡斯影业的经典游戏，虽具备巨大潜力却未能正式发布。此次公开的可玩原型为复古游戏爱好者提供了体验这部失落作品的机会。

（字数：178字符）

25. 美国就业市场出现显著降温

🔗 cnn.com: America is in a serious jobs slump

根据最新发布的JOLTS报告，美国7月职位空缺数降至718万，不仅为10个月来最低点，且自2021年4月以来首次低于失业人数（720万）。数据显示劳动力市场活力下降：招聘活动停滞、员工流动率降低，且就业增长过度依赖医疗保健等少数行业。经济学家指出市场缺乏健康运转所需的人员流动，这将影响工资增长和就业机会创造。周五将发布的8月非农就业数据预计仍将表现疲软。