1. 有人买下30个WordPress插件，并在其中全部植入后门；
2. Servo引擎正式登陆crates.io；
3. GitHub 堆叠式拉取请求；
4. 永不发生：一个专在非体育市场自动买入“否”的 Polymarket 交易机器人；
5. 微软并未移除Windows 11的Copilot，只是进行了改名；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. 有人买下30个WordPress插件，并在其中全部植入后门

🔗 anchor.host: Someone bought 30 WordPress plugins and planted a backdoor in all of them

上周，一个名为“Essential Plugin”的团队所开发的30多个WordPress插件被一次性永久关闭。事件起因于该插件业务在收入下滑后，于2025年初在Flippa平台上被一位买家收购。新所有者在其接手后的首次代码提交中，就植入了一个隐蔽的后门。该后门潜伏了8个月才被激活，通过一个伪装的分析模块从远程服务器下载恶意负载，并注入到网站的wp-config.php文件中，向谷歌爬虫隐藏地推送垃圾链接。攻击者甚至利用以太坊智能合约来解析控制服务器域名，使传统关停手段失效。尽管WordPress.org团队强制更新了插件以禁用后门机制，但已注入的恶意代码仍需手动清理。这起事件再次暴露了插件所有权转移过程中的供应链安全风险。

2. Servo引擎正式登陆crates.io

🔗 servo.org: Servo is now available on crates.io

Servo项目团队已于今日在crates.io上发布了servo库的v0.1.0版本，这是其首次以库的形式提供，方便开发者将其作为嵌入式引擎使用。此次版本号虽未达到1.0，但标志着团队对嵌入API的信心增强。同时，项目推出了长期支持版本，为需要稳定性的用户提供半年一次的重大更新周期，并保障安全更新。团队目前的发布流程已趋于成熟，常规月度更新将继续进行。

3. GitHub 堆叠式拉取请求

🔗 github.github.com: GitHub Stacked PRs

堆叠式拉取请求功能现已在 GitHub 中原生支持。您可以将多个拉取请求按顺序排列成一个堆叠，并一键合并所有请求。其中，每个拉取请求代表您变更中一个独立且专注的修改层，它们可以独立接受代码审查，并最终作为一个整体合并到主分支。这有助于保持更改的清晰度和可追溯性。

4. 永不发生：一个专在非体育市场自动买入“否”的 Polymarket 交易机器人

🔗 github.com: Nothing Ever Happens: Polymarket bot that always buys No on non-sports markets

这是一个专注于 Polymarket 预测市场的异步 Python 机器人，其核心策略是在独立的非体育类“是/否”市场中，自动买入价格低于设定上限的 “否” 选项。项目强调 “仅供娱乐” 且不提供任何担保，使用者需自担风险。

机器人会持续扫描市场、追踪持仓，并提供一个监控面板。其设计包含严格的安全模式：必须同时设置多个环境变量（如 BOT_MODE=live）才会启用真实交易，否则将使用模拟客户端。项目提供了完整的本地运行指南、Heroku 部署流程及相关工具脚本，并包含测试套件以确保代码质量。

5. 微软并未移除Windows 11的Copilot，只是进行了改名

🔗 neowin.net: Microsoft isn’t removing Copilot from Windows 11, it’s just renaming it

微软此前承诺将减少对Copilot的强行推广，并更审慎地整合AI功能。然而，最新的Windows Insider测试版更新显示，Notepad应用只是移除了“Copilot”品牌名称，将其重命名为“高级功能”，但AI核心能力（如重写、总结等）依然存在。这引发了部分用户的不满，他们认为微软只是在“换汤不换药”，并未真正回应他们希望减少系统AI“骚扰”的诉求。微软正试图在用户需求、自身AI战略与投资者期望之间寻找平衡，但简单的品牌更名似乎难以让所有人满意。

6. 打造美观易用的 tmux 配置（2024）

🔗 hamvocke.com: Make tmux pretty and usable (2024)

本文介绍了如何通过修改 ~/.tmux.conf 配置文件来个性化 tmux，使其更符合个人使用习惯。作者针对几个常见痛点提供了具体方案：将默认的前缀键从 C-b 改为更顺手的 C-a；将分屏快捷键改为更直观的 | 和 -；启用 Alt+方向键快速切换面板而无需按前缀键；以及开启鼠标支持以方便临时操作。此外，文章还涉及了阻止窗口自动重命名、配置状态栏外观等美化技巧，并推荐了查阅官方手册和社区资源以进行深度定制。

7. 安卓系统现已阻止你在照片中分享位置信息

🔗 shkspr.mobi: Android now stops you sharing your location in photos

本文作者运营着一个分享纪念长椅照片及位置的小众网站，其功能依赖于手机照片内嵌的地理位置元数据。然而，谷歌近期对安卓系统进行了一系列更新，逐步封锁了通过网页浏览器上传照片时获取该元数据的途径。无论是传统的文件选择器、渐进式网络应用，还是通过蓝牙、快速分享甚至电子邮件直接发送，照片的地理位置信息都会被系统剥离。谷歌此举主要出于隐私考虑，防止用户无意间泄露精确位置，但并未提前通知开发者社区，导致许多依赖此功能的应用和服务突然失效。目前，唯一的解决办法似乎是开发需要特殊权限的原生安卓应用，但这将带来显著的开发成本和维护负担。

8. 美国上诉法院裁定158年家庭蒸馏禁令违宪

🔗 nypost.com: US appeals court declares 158-year-old home distilling ban unconstitutional

美国第五巡回上诉法院近日裁定，一项已实施近158年的联邦家庭蒸馏禁令违宪。法院认为，该禁令并非国会行使征税权的必要且恰当手段，反而可能阻碍税收。此判决支持了业余蒸馏爱好者协会的诉求，推翻了可导致最高五年监禁及罚款的旧法。法官指出，若按政府逻辑，国会甚至可取缔任何家庭活动以防逃税，这将无限扩大联邦权力。本案律师称此裁决是个人自由的重要胜利。

9. 未来万物皆谎言？论安全

🔗 aphyr.com: The Future of Everything Is Lies, I Guess: Safety

本文认为，当前大型语言模型（LLM）的发展严重威胁着心理与物理安全。对齐 努力本质脆弱，无法阻止恶意行为者训练出同等强大的“邪恶”模型。LLM本身是安全噩梦，其不可预测性使得赋予其任何破坏性权力都极其危险，而提示注入等攻击更是雪上加霜。此外，LLM将大幅降低实施复杂欺诈与针对性网络攻击的成本，可能颠覆社会基于视听证据的信任体系，导致欺诈泛滥、安全环境恶化。作者对行业竞相开发强大模型却同时降低恶意AI门槛的现状感到悲观。

10. 2026：被忽视的网络安全转折百日

🔗 ringmast4r.substack.com: This year’s insane timeline of hacks

2026年前四个月发生了一系列前所未有的重大网络攻击，其规模和影响若在往年足以主导数周新闻，如今却未引起足够公众讨论。这些事件可归纳为四大并行的攻击集群：伊朗国家黑客的破坏性行动、犯罪团伙联盟SLH对SaaS平台的大规模数据窃取与勒索、朝鲜针对开源供应链的渗透，以及俄罗斯APT28对乌克兰及欧洲的零日漏洞利用。它们共同暴露了现代企业依赖第三方信任链这一根本性安全弱点。

与此同时，人工智能正急剧改变威胁格局：AI生成的钓鱼邮件激增1265%，深度伪造技术已被用于实施巨额金融诈骗，而顶尖AI实验室因安全顾虑，正限制其最强网络攻击能力的模型公开发布。这一系列事件标志着网络安全环境已进入一个危险的新阶段，其深远影响可能在未来数年才被完全认知。

11. 构建面向所有 Cloudflare 产品的统一命令行工具

🔗 blog.cloudflare.com: Building a CLI for All of Cloudflare

Cloudflare 拥有庞大的 API 体系，涵盖超过 100 种产品和近 3000 个 HTTP API 操作。为了满足日益增长的开发者与AI 智能体的需求，Cloudflare 正在彻底重建其命令行工具 Wrangler，旨在将其打造为一个支持所有 Cloudflare 产品的统一 CLI。

目前，团队发布了一个技术预览版 cf，它已包含部分产品的命令，并正在测试支持全部 API 的版本。为实现这一目标，Cloudflare 创建了一个全新的 TypeScript 架构，用以统一定义 API、CLI 命令和参数，从而能够自动生成各种接口，确保跨产品命令的一致性（例如统一使用 get 而非 info）。

与此同时，Cloudflare 还发布了 Local Explorer 功能的公开测试版。该功能允许开发者在本地开发时，通过一个本地 API 镜像来查看和管理模拟的 Cloudflare 资源（如 KV、R2、D1），实现了与远程 API 完全相同的操作体验，使得本地开发与调试更加直观高效。

团队邀请社区试用技术预览版并提供反馈，共同塑造未来 Wrangler CLI 的功能与方向。

12. 密歇根州“数字年龄”法案因隐私担忧被撤回

🔗 thecentersquare.com: Michigan ‘digital age’ bills pulled after privacy concerns raised

两项旨在保护儿童安全的《数字年龄确认法案》（众议院第4429号及参议院第284号法案）在密歇根州议会推进过程中，因隐私和数据收集方面的严重担忧而被提案人主动撤回。批评者指出，该法案要求设备制造商在激活时估算用户年龄并向应用网站发送持续数字年龄信号，却缺乏关键隐私保护措施，如数据使用限制和删除要求，可能建立一个无保护的永久身份识别层。倡导组织认为此类法案应纳入全面的消费者数据隐私框架。提案人现正与相关团体合作，拟议替代立法。此事被视为基层组织影响州政策的成功案例。

13. 探访美国最差国家公园：我的踩雷之旅

🔗 substack.com: I went to America’s worst national parks so you don’t have to

作者亲身体验了美国评价最低的几个国家公园，旨在为读者“避坑”。文中指出，这些公园或因管理不善、设施陈旧，或因过度商业化而失去自然魅力，甚至存在安全隐患。总结认为，并非所有冠以“国家公园”之名的目的地都值得前往，提前做好功课至关重要。

14. 斯坦福报告揭示：AI专家与公众认知鸿沟日益加深

🔗 techcrunch.com: Stanford report highlights growing disconnect between AI insiders and everyone

根据斯坦福大学发布的年度AI产业报告，AI专家与公众对该技术的看法正日益分化。报告指出，公众对AI的焦虑情绪日益增长，在美国，人们主要担忧AI对就业、医疗和经济等关键社会领域的影响。

数据显示，仅有10%的美国人对AI在日常生活中的应用感到兴奋，而56%的AI专家则相信AI在未来20年将对美国产生积极影响。这种分歧在具体领域尤为明显：例如，84%的专家认为AI将对医疗产生积极影响，但持相同看法的公众仅占44%。

报告分析认为，专家们更关注通用人工智能（AGI） 等长期风险，而普通民众则更关切AI对个人生计和日常开支（如电费上涨）的直接影响。这种认知错位导致了双方情绪的对立，部分线上言论甚至出现了对AI公司高管的敌意。

尽管全球范围内认为AI利大于弊的人数略有上升，但感到“紧张”的人数也在同步增加。报告同时指出，美国公众对政府负责任地监管AI的信任度在受调查国家中最低。

15. 人工智能或是数字浪潮的终点，而非新开端

🔗 thenextwavefutures.wordpress.com: AI could be the end of the digital wave, not the next big thing

本文提出一个核心观点：当前的人工智能热潮可能并非一个全新科技浪潮的开端，而是始于20世纪70年代的数字浪潮的最后阶段。这一观点借鉴了卡洛塔·佩雷兹的技术-经济范式“浪潮”理论，该理论认为每个技术浪潮会经历安装、爆发、成熟等阶段。

作者引用分析人士的观点指出，当前AI发展呈现晚期周期投资的特征：巨额资本集中于少数科技巨头、初创企业生态活力下降、数字平台市场趋于饱和。AI更像是优化现有计算与网络范式的效率工具，如同精益生产之于大规模生产，它让数字技术更深地渗透至医疗、教育等剩余领域，而非创造全新的、带来根本性丰裕的技术经济范式。

文章进一步对比了中美AI发展模式：美国追求通用人工智能的“登月”式愿景，而中国更注重务实的经济与产业应用。如果AI确属数字浪潮的晚期阶段，那么更务实、注重应用与出口的中国模式可能更契合当前时期的需求。

16. 三周打造开源社交媒体管理平台：Buffer的免费替代品

🔗 github.com: Show HN: I built a social media management tool in 3 weeks with Claude and Codex

这是一个名为BrightBean Studio的开源、可自托管社交媒体管理工具，支持在Facebook、Instagram、LinkedIn等10多个平台进行内容规划、编写、排期、审批和发布。它提供了多工作区管理、可视化日历、内容编辑器、统一社交收件箱和客户门户等完整功能，旨在为创作者、机构和中小企业提供一个无用户数、频道数或工作区限制的免费解决方案。用户可通过Docker一键部署或自行安装，所有平台集成均直接使用官方API，无中间商。该项目采用Python（Django）、Tailwind CSS和HTMX构建，遵循AGPL-3.0许可证。

17. 如何让 Firefox 构建速度提升 17%

🔗 blog.farre.se: How to make Firefox builds 17% faster

通过为 Firefox 构建系统引入 Buildcache 及其 Lua 插件系统，开发团队成功缓存了原本在每次清理构建时都必须重新执行的 WebIDL 绑定代码生成步骤。该步骤从数百个 .webidl 文件生成数千个 C++ 绑定文件，虽然单次执行不慢，但因其确定性的输入输出特性，非常适合缓存。此前，编译器缓存并未应用于此 Python 代码生成过程。

此次改进的核心是在构建配置中，当使用 Buildcache 时，将 WebIDL 的生成命令包装为 buildcache python3 ...，从而允许拦截并缓存。一个专门的 Lua 插件脚本指示 Buildcache 识别该命令、确定所有输入的 .webidl 和 Python 脚本文件以及输出的生成文件，进而实现缓存机制。

效果显著：在缓存预热后，完整构建时间从 5 分 35 秒大幅缩短至 1 分 12 秒。这不仅是 WebIDL 步骤的优化，更证明了该插件框架可扩展应用于 Firefox 构建中其他确定的代码生成步骤，从而进一步提升开发者的编辑-编译-测试周期效率。用户可通过更新代码库并配置 Buildcache 的 Lua 插件路径来启用此优化。

18. Claude.ai 服务中断事件报告

🔗 status.claude.com: Claude.ai down

2026年4月13日，Claude.ai 及其相关服务（包括 Claude Code 和 API）发生了登录错误率升高的故障。事件始于 UTC 时间 15:31，团队在 15:40 开始调查，并于 16:19 前成功应用修复措施，使服务恢复正常。此次服务中断总计影响时间约 48 分钟，主要波及用户登录功能。状态页面提供了通过邮件或短信订阅事件更新的选项。

19. 密苏里小镇因数据中心协议罢免半数市议会

🔗 politico.com: Missouri town fires half its city council over data center deal

在密苏里州小镇费斯图斯，由于市议会批准了一项60亿美元的数据中心开发协议，引发了居民的强烈不满。在上周的选举中，寻求连任的四名现任议员全部被选民投票罢免。此次投票率激增，反映出公众对项目缺乏透明度和忽视民意的广泛愤怒。新当选的议员表示，居民的主要诉求是政府应倾听民意。

事件并未就此结束。反对者已提起法律诉讼，指控政府在审批过程中存在秘密会议等问题，并正在征集签名，试图罢免市长和其余四名议员。此事件被视为全美范围内，社区对大型数据中心项目潜在影响（如电价、供水和社区环境）反弹的一个缩影。

20. 谁在冒充这位ProPublica记者？

🔗 propublica.org: Who’s Been Impersonating This ProPublica Reporter?

ProPublica记者罗伯特·法图雷奇遭遇了网络冒充。有人使用他的照片和姓名，通过WhatsApp和Signal等加密通讯应用，接触加拿大军方官员和拉脱维亚商人，试图套取与乌克兰军事相关的情报。这并非简单的金钱诈骗，其目的更可能是窃取敏感信息。此类冒充行为损害了记者与潜在信源间的信任，使调查报道工作更加困难。虽然平台方采取了一些反制措施，但受限于隐私保护原则，彻底杜绝此类行为颇具挑战。专家建议，若收到可疑联系，应主动核实记者在其所属新闻机构官网上的公开联系方式。

21. 2025年度税收报告：你的税款去哪儿了？

🔗 taxwrapped.com: Tax Wrapped 2025

这是一个互动工具，让你输入2025年的收入，即可个性化计算联邦政府如何使用你的税款。所有数据仅用于生成报告，不会被存储。它以类似“年度音乐回顾”的形式，为你呈现一份专属的税务支出摘要，帮助你直观了解公共资金的流向。

22. 印度史诗角色探索器：数小时打造的交互式神器

🔗 ithihasas.in: Show HN: Ithihāsas – a character explorer for Hindu epics, built in a few hours

这是一个名为“Ithihāsas”的交互式网络工具，专注于探索《罗摩衍那》和《摩诃婆罗多》这两大印度史诗。用户可通过力导向图、王朝世系树和弦图等多种可视化方式，直观了解史诗中复杂的人物关系、家族谱系与互动网络。该项目旨在以现代技术视角呈现古代智慧，方便用户深入探索史诗的丰富内容与角色细节。

23. 迫在眉睫的高校招生“死亡螺旋”

🔗 theatlantic.com: The looming college-enrollment death spiral

美国正面临“人口断崖”，高中毕业生数量已过峰值并开始持续下降，这给依赖学费生存的高校带来危机。高等教育市场已分化为两个层级：少数全国性名牌大学吸引顶尖学生，竞争愈发激烈；而大量服务于本地学生的区域性高校则陷入困境。随着生源减少，区域性高校被迫关闭或合并，导致当地学生失去就近入学的可行选择，进而可能彻底放弃高等教育。这种高校关闭与入学率下降的恶性循环，正使高等教育有重新变为“奢侈品”的风险，逆转了过去几十年教育普及化的成果。

24. 打造本地运行的AI智能体

🔗 amd-gaia.ai: (AMD) Build AI Agents That Run Locally

GAIA是一个开源框架，用于在Python和C++中构建完全在本地硬件上运行的AI智能体。这些智能体能够进行推理、调用工具、搜索文档并执行操作，整个过程无需依赖云端，且数据不会离开设备。它提供本地推理能力，支持Python和C++完整SDK，并针对AMD硬件进行了NPU和GPU加速优化。其核心功能包括文档问答、语音交互、代码生成、图像生成以及通过MCP协议连接外部工具等，旨在实现隐私优先、功能强大的本地AI应用开发。

25. 末日论的必然结局是暴力

🔗 campbellramble.ai: The rational conclusion of doomerism is violence

本文记述了一名20岁的AI末日论者向OpenAI首席执行官萨姆·奥尔特曼家投掷燃烧瓶并威胁烧毁公司总部的事件。作者指出，此人并非孤立行动，而是PauseAI社区的活跃成员，深受埃利泽·尤德科夫斯基等人极端言论影响，其世界观建立在“AI发展必然导致人类灭绝”的确定性预测之上。文章分析认为，当一种思想将风险绝对化，并在社区内形成纯度螺旋（即通过提高极端程度来竞争忠诚度）时，其内在逻辑会为暴力提供正当性辩护。作者强调，尽管尤德科夫斯基等人与袭击者保持距离，但其理论框架本身——将AI开发者视为全人类的生存威胁——已隐含了暴力“自卫”的推论。此次袭击正是该逻辑被付诸实践的必然结果。