1. Claude Design：AI驱动的可视化设计协作工具；
2. 艾萨克·阿西莫夫：最后的问题；
3. 禁止销售精确地理位置数据刻不容缓；
4. 实测Claude 4.7新分词器：你的成本增加了多少；
5. 被遗忘的基石：Ada语言如何塑造现代编程；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. Claude Design：AI驱动的可视化设计协作工具

🔗 anthropic.com: Claude Design

Anthropic Labs 正式推出了 Claude Design，这是一款由先进视觉模型 Claude Opus 4.7 驱动的新产品。它旨在帮助用户通过与 Claude 对话协作，轻松创建专业的设计作品，如原型、幻灯片、单页文档等。该工具显著降低了视觉创作的门槛，让设计师能广泛探索创意，也让非设计背景的成员能高效产出可视化内容。

用户可通过文本描述生成初稿，并利用内联评论、直接编辑或自定义滑块等功能进行精细调整。该工具能自动应用团队的设计系统，确保品牌一致性。其工作流程支持从多种来源导入素材，并提供细粒度控制以实时调整设计。作品可便捷地分享协作，并导出为多种格式或直接移交 Claude Code 进行开发实现。目前该产品已面向 Claude 付费订阅用户以研究预览形式逐步开放。

2. 艾萨克·阿西莫夫：最后的问题

🔗 hex.ooo: Isaac Asimov: The Last Question (1956)

故事始于2061年，人类刚掌握利用太阳能量的技术。两位技术员在庆祝之余，争论能量是否能用之不尽。他们向超级计算机“多元真空”提问：熵增是否可逆？宇宙能否免于热寂？计算机回答：“数据不足，无法给出有意义的答案。”

此后，人类文明不断进化，计算机发展为“微真空”乃至“宇宙AC”，人类足迹遍布星系，甚至获得永生。但关于熵与宇宙终结的“最后的问题”被一次次提出，得到的始终是同一个答案：“数据不足。”

最终，在时空的尽头，当宇宙归于一片死寂，所有存在融合为“宇宙AC”时，它终于通过无数年的思考与整合所有数据，找到了逆转熵的方法。故事在AC宣告“要有光！”的创世壮举中结束，留下无限遐想。

3. 禁止销售精确地理位置数据刻不容缓

🔗 lawfaremedia.org: Ban the sale of precise geolocation

一份关于广告技术监控系统 Webloc 的报告揭示了精确地理位置数据买卖带来的巨大国家安全与隐私风险。该数据可追踪全球数亿移动设备，记录其标识符、坐标和用户画像，执法部门 虽能借此破案，但数据也易被国内外各类组织获取滥用。报告指出，此类高度侵入性能力缺乏严格监管，且相同数据可能被外国情报机构用于针对美国。近期美国弗吉尼亚州已率先立法禁止此类数据交易，但这仅是开端，亟需全国性解决方案。此外，文章另提及人工智能正被黑客用于加速网络攻击，以及本周一些积极的网络安全进展。

4. 实测Claude 4.7新分词器：你的成本增加了多少

🔗 claudecodecamp.com: Measuring Claude 4.7’s tokenizer costs

Anthropic声称Claude 4.7新分词器的分词数量约为旧版的1.0至1.35倍。但实测显示，在技术文档等真实内容上，该比率高达1.47倍，典型代码内容比率接近其公布范围的上限。这意味着相同会话的有效成本将增加约20-30%，因为每次提示消耗了更多令牌。作为交换，模型在严格遵循指令方面有轻微提升（约+5个百分点）。虽然单价未变，但用户每会话将消耗更多令牌，更快触及使用限额。

5. 被遗忘的基石：Ada语言如何塑造现代编程

🔗 iqiipi.com: Ada, its design, and the language that built the languages

本文探讨了Ada语言——一门由美国国防部在20世纪70年代末主导设计，却长期被业界忽视的编程语言。文章指出，尽管Ada本身并不流行，但其核心设计理念已悄然成为现代语言的共同追求。

Ada诞生于解决国防软件系统语言泛滥与互操作性危机的需求。其设计通过严格的包（Package） 机制，强制分离接口与实现，实现了真正的信息隐藏。其类型系统引入了范围约束类型和可辨识联合类型等概念，将语义约束直接编码进类型，极大地增强了程序的可靠性与安全性。

文章认为，Rust、Python、C#等现代语言近年来逐步引入的安全性、契约式设计、代数数据类型等特性，实质上是沿着不同的路径，重新发现了Ada在四十年前就已确立的设计原则。Ada的严谨与“拒绝”模糊的编译器，曾被视为弱点，如今却正是现代编程语言演进的方向。

6. 加入NASA力量：塑造人类太空未来

🔗 nasaforce.gov: NASA Force

NASA与美国人事管理办公室合作推出全新招聘计划”NASA力量”，旨在招募杰出的早期至中期技术人才，以任期制（通常1-2年）加入NASA，从事关键任务。入选者将直接参与真实的太空任务，例如VIPER月球车、深空物流、月球基地资源利用等前沿项目，与顶尖团队协作，将概念转化为实际运行系统。这是一个为期仅四天的限时申请窗口，机会极为有限。该计划强调通过解决复杂现实问题来快速提升专业能力，并在阿尔忒弥斯计划、航空研究等多个核心领域推动美国在太空与航空领域的领导地位。

7. 月球尘危害：阿波罗宇航员的”月球花粉症”与健康隐忧

🔗 esa.int: All 12 moonwalkers had “lunar hay fever” from dust smelling like gunpowder (2018)

所有12位登月宇航员都曾出现被称为 “月球花粉症” 的症状，由月球尘引起。这种尘埃细如粉末却锋利如玻璃，吸入后会导致咽喉肿痛、眼睛流泪、打喷嚏和鼻塞，其气味类似火药。月球尘含有硅酸盐，对人体肺部细胞有潜在破坏性，且因其带电特性极易悬浮并被吸入。目前，欧洲空间局正牵头研究其毒性及风险，以保障未来月球探索任务中宇航员的健康。

8. Smol Machines：亚秒级冷启动的便携式虚拟机工具

🔗 github.com: Show HN: Smol machines – subsecond coldstart, portable virtual machines

Smol Machines 是一款用于构建和运行便携、轻量、自包含虚拟机的命令行工具。它基于 Rust 开发，利用 libkrun 虚拟化技术，能在 macOS 和 Linux 上实现低于 200 毫秒的极速冷启动。用户可将完整虚拟机状态打包成单个 .smolmachine 文件，跨平台直接运行，无需额外依赖。

该工具适用于安全沙箱、打包便携应用及创建持久化开发环境等场景。它提供硬件级隔离，默认无网络访问，并可选择性开放主机或转发 SSH 代理，确保凭证安全。与传统容器或完整虚拟机相比，它在隔离性、启动速度和资源弹性（如内存动态回收）方面具有优势。

9. 科技巨头如何将保密条款写入欧盟法律，以隐藏数据中心的环保代价

🔗 investigate-europe.eu: How Big Tech wrote secrecy into EU law to hide data centres’ environmental toll

根据调查，微软及代表亚马逊、谷歌和Meta等科技巨头的游说组织DigitalEurope，成功推动欧盟在2024年立法中增加了一项保密条款。该条款将单个数据中心的能耗、用水等关键环境绩效指标列为商业机密，阻止公众获取详细信息。

法律专家警告，此条款可能违反欧盟的《奥胡斯公约》等透明度规则，剥夺了公众和受影响社区的环境知情权。调查发现，欧盟委员会在最终法规中几乎逐字采纳了行业提议的文本。尽管欧盟数据中心容量预计在未来五年内增长两倍，但公众目前只能获取国家层面的汇总数据，无法评估具体设施的环境影响。

10. NIST宣布将仅重点完善高危漏洞信息

🔗 risky.biz: NIST gives up enriching most CVEs

由于漏洞数量激增及预算限制，美国国家标准与技术研究院（NIST）宣布对其国家漏洞数据库（NVD）的管理政策进行重大调整。自2026年4月15日起，NIST将仅对三类关键漏洞进行“信息完善”：已被列入CISA已知被利用漏洞目录（KEV）的、美国联邦机构使用的软件中的、以及被归类为“关键软件”（如操作系统、浏览器、防火墙等）中的漏洞。此举意味着每年数万个非关键或冷门软件漏洞将不再获得NIST的详细分析。此外，NIST将停止提供自身的CVSS严重性评分，转而直接采用CVE编号颁发机构给出的初始评分，这可能引发软件厂商低估自身漏洞风险的争议。这一政策变化迫使依赖NVD数据的漏洞管理公司寻找替代数据源。

11. 特斯拉车主苦等全自动驾驶七年，仅获“请耐心”回应

🔗 electrek.co: Tesla tells HW3 owner to ‘be patient’ after 7 years of waiting for FSD

一位特斯拉HW3硬件车主在等待公司承诺的全自动驾驶（FSD） 功能长达七年后，近期仅从官方得到“请保持耐心”的回复。该事件凸显了特斯拉在自动驾驶技术交付上的长期延迟，引发了用户对承诺功能何时能真正实现的质疑与不满。

12. Healthchecks.io 现已采用自托管对象存储

🔗 blog.healthchecks.io: Healthchecks.io now uses self-hosted object storage

Healthchecks.io 近期将其对象存储服务从托管方案迁移至自托管方案。此前，他们尝试过 OVHcloud 和 UpCloud 等托管服务，但遇到了性能与可靠性问题。新系统采用 Versity S3 Gateway，将数据存储在基于 Btrfs 文件系统的本地 RAID 1 NVMe 驱动器上，并通过定时 rsync 和加密离线备份确保数据安全。此次迁移后，S3 操作延迟显著降低，系统性能得到改善，虽然硬件成本有所增加，但获得了更好的控制力与可靠性。

13. 以色列在黎巴嫩升级袭击医疗人员，实施致命“四重打击”

🔗 theguardian.com: Israel escalates attacks on medics in Lebanon with deadly ‘quadruple tap’

以色列在黎巴嫩南部迈法敦市对医疗救援人员发动了被称为 “四重打击” 的连续袭击。在首次空袭后，当多批医疗人员前往现场救援并转移伤员时，以色列军队又实施了三次后续攻击，共造成4名医护人员死亡、6人受伤。黎巴嫩卫生部谴责此举是对国际人道法的公然漠视。自本轮冲突爆发以来，以军已导致黎巴嫩91名医疗工作者丧生。袭击还波及提卜宁政府医院等医疗设施。尽管面临巨大风险和心理创伤，当地救援人员表示将继续履行职责。

14. 一张照片里的两位总统：罗斯福与林肯的时空交集

🔗 prologue.blogs.archives.gov: Teddy Roosevelt and Abraham Lincoln in the same photo (2010)

20世纪50年代，研究员斯特凡·洛兰特在研究林肯时，发现了一张1865年林肯葬礼队伍行经纽约街头的照片。他注意到照片角落的罗斯福大厦二楼窗口有两个男孩正在观看。经后来成为总统的西奥多·罗斯福的妻子确认，那两个男孩正是年幼的罗斯福和他的兄弟。这张照片因此奇妙地捕捉到了未来总统目睹前总统葬礼的历史瞬间。

同一时期，国家档案馆的约瑟芬·科布还从一张1863年葛底斯堡演讲台的玻璃底片中，首次辨认出了林肯的身影，那是他在发表著名演说前几小时留下的珍贵影像。

15. 亲手编码三个月：一次回归编程本质的修行

🔗 miguelconner.substack.com: Spending 3 months coding by hand

作者在AI编程工具盛行的时代，选择前往纽约布鲁克林的Recurse Center，进行为期三个月、几乎不使用AI辅助的“手工编码”静修。他旨在通过亲手构建（如从零开始训练一个LLM）、结对编程、学习底层计算机知识等方式，深化对代码与计算机系统的理解。他认为，亲手编码的“费力”过程如同心智训练，是掌握编程技艺的关键，能让人更深入地理解代码库，减少对工具的依赖。静修期间，他通过实践项目、与资深程序员交流，在Python能力、计算机系统认知和神经网络实现等方面获得了显著成长。

16. 超大规模企业支出已超越美国多数著名巨型项目

🔗 twitter.com: Hyperscalers have already outspent most famous US megaprojects

根据原文信息，当前页面内容因JavaScript被禁用或浏览器兼容性问题而无法正常加载显示，因此无法获取其具体论述。页面提示用户启用JavaScript、切换至支持的浏览器或禁用可能造成干扰的隐私扩展。核心内容未能成功抓取，故无法提供关于“超大规模企业”与“美国著名巨型项目”在支出方面对比的具体数据或分析。页面底部包含标准的网站政策链接与版权信息。

17. PanicLock：一键禁用 MacBook Touch ID，紧急时刻强制密码解锁

🔗 github.com: Show HN: PanicLock – Close your MacBook lid disable TouchID –> password unlock

PanicLock 是一款 macOS 菜单栏工具，旨在应对敏感场景下的设备安全需求。它解决了 macOS 的一个安全缺口：系统没有提供即时禁用 Touch ID 的快捷方式。虽然生物识别在日常使用中很方便，但在某些情况下（例如面对执法或边境检查时），密码解锁比指纹更具法律保护性。该工具允许你通过点击菜单栏图标、使用自定义全局快捷键，或启用合盖自动锁定功能，瞬间锁定屏幕并强制禁用 Touch ID，使解锁方式恢复为仅能使用密码，而无需结束当前会话或关机。

其核心功能包括：操作后自动恢复原有 Touch ID 设置、支持开机自启，并通过特权助手以最小权限运行特定命令来修改系统设置。该工具完全离线、不收集任何数据，代码也已开源。适用于 macOS 14.0 及以上版本、配备 Touch ID 的 Mac 设备。

18. 硅谷如何将科学家变成被剥削的零工？

🔗 thenation.com: Silicon Valley is turning scientists into exploited gig workers?

本文指出，硅谷精英（如彼得·蒂尔和马克·安德森）通过支持特朗普政府大幅削减公共科研资金（如对国家科学基金会和国立卫生研究院的拨款），破坏了大学和科研机构的稳定。此举导致大量STEM领域研究人员失业或失去资助，从而被迫进入由硅谷投资的零工平台（如Mercor和ScaleAI），以低廉的时薪为人工智能公司处理高难度、重复性的数据任务。文章批评这种模式是硅谷在榨取公共科研体系所培养的人才红利，将科学家置于不稳定、被剥削的境地，并可能损害长期的科学进步。

19. ICEYE 开放数据：免费获取全球最大合成孔径雷达卫星星座影像

🔗 iceye.com: Iceye Open Data

ICEYE 提供其合成孔径雷达（SAR） 卫星星座的开放数据，无需注册或付费即可获取。用户可通过三种主要方式访问：交互式地图浏览器按地理位置、成像模式和日期筛选数据；STAC浏览器查询元数据并下载标准格式数据；或通过AWS开放数据注册表直接接入云端工作流。此外，平台还展示了月度精选数据案例（如 SpaceX 星舰基地）并发布了相关技术博客文章，内容涵盖灾害管理、天基侦察等主题。同时，ICEYE 正在招募相关领域人才以共同推进 SAR 技术应用。

20. Fil-C：一种内存安全的C/C++简化模型解析

🔗 corsix.org: A simplified model of Fil-C

Fil-C是一种旨在为C/C++提供内存安全的实现方案。其核心思想是通过代码转换，为每个指针变量关联一个分配记录（AllocationRecord） 元数据，该记录包含可见字节、不可见字节和长度信息。转换过程自动重写源代码，在指针操作（如赋值、传递、解引用）时同步处理其对应的分配记录，从而在解引用时执行边界检查。

当指针存储于堆中时，通过不可见字节（invisible_bytes） 区域来关联存储其分配记录指针，确保堆内指针也能被安全追踪。此外，Fil-C引入垃圾回收（GC） 机制来管理分配记录对象本身的内存，自动回收未引用的内存，即使程序未显式调用free。

该模型还处理了如memmove等标准库函数，并面临并发、函数指针、性能优化等生产级挑战。Fil-C适用于需要为现有C/C++代码快速添加内存安全层、进行内存错误检测，或用于安全编译时评估等场景。

21. 公开模型已能复现Anthropic的Mythos漏洞研究

🔗 blog.vidocsecurity.com: We reproduced Anthropic’s Mythos findings with public models

一项独立复现研究表明，Anthropic公司用以论证应限制高级AI漏洞研究的Mythos项目，其核心能力已非独家。研究使用公开可得的GPT-5.4和Claude Opus 4.6模型，配合开源工作流，成功复现了Anthropic披露的多个已修补漏洞，包括FreeBSD、Botan和OpenBSD中的案例。结果表明，虽然不同模型在复杂漏洞（如FFmpeg和wolfSSL）上表现不一，但利用AI进行实质性漏洞研究的能力已不再局限于少数前沿实验室。当前真正的挑战已从模型访问转向验证、优先级排序和修复实施。这意味着防御方需正视公开模型已具备的威胁能力，并据此调整安全策略。

22. 扫描网站，评估其对AI智能体的兼容性

🔗 isitagentready.com: Scan your website to see how ready it is for AI agents

本工具可帮助您扫描网站，检查其是否符合多项新兴标准，以评估网站对AI智能体的友好程度。扫描涵盖五大类别：网站可发现性（如robots.txt）、内容可访问性、AI机器人访问控制、API与身份验证协议发现，以及智能体商务功能。提升评分的最简单方法是发布包含AI机器人规则的robots.txt文件，并确保主页提供有效的发现元数据。您可参考相关文档以了解更多关于构建能与网络交互的AI智能体的信息。

23. 连“cat readme.txt”都不安全

🔗 blog.calif.io: Even “cat readme.txt” is not safe

研究人员发现，苹果终端模拟器 iTerm2 存在一个严重漏洞，可使看似无害的命令（如查看文本文件）演变为任意代码执行。该漏洞源于 iTerm2 的 SSH 集成功能，其设计本意是通过在远程会话中运行一个名为“conductor”的辅助脚本，并使用终端转义序列进行通信来增强功能。然而，漏洞的核心在于 iTerm2 错误地信任了来自终端输出的协议消息，未能验证其是否真正来自受信任的远程 conductor。

这意味着，恶意构造的文件内容（如 readme.txt）可以包含伪造的终端转义序列，冒充合法的 conductor 协议与 iTerm2 交互。当用户使用 cat 命令查看此类文件时，iTerm2 会误认为正在与 SSH 集成会话通信，并遵循其工作流程。攻击者通过精心设计的回复，引导 iTerm2 最终构造并发送一个包含特定路径的 run 命令。由于该命令的特定部分会被本地 shell 当作可执行路径解析，从而导致在用户本地机器上执行任意代码。该漏洞已被修复，但揭示了终端模拟器在处理复杂功能时可能存在的深层信任边界问题。

24. 欧盟年龄验证应用被曝存在严重安全漏洞

🔗 xcancel.com: EU age verification app hacked, 2 minute How to posted

安全专家发现欧盟官方推出的年龄验证应用存在多项严重设计缺陷。该应用声称符合最高隐私标准，但核心安全机制存在根本性问题：用户设置的PIN码虽经加密存储，却未与身份数据保险库进行密码学绑定，导致攻击者仅需删除配置文件中的相关加密值即可完全绕过PIN验证，进而盗用他人身份凭证。此外，应用还存在生物特征数据残留风险——验证失败时，用户护照芯片中的高清生物特征图像会以未加密形式残留在设备缓存中；而自拍照片则会被永久保存在外部存储，从未删除。这些漏洞不仅违背了”技术就绪、高隐私”的官方承诺，更可能引发大规模的身份数据泄露事件。

25. 在DOSBox内部检测自身

🔗 datagirl.xyz: Detecting DOSBox from Within the Box

本文探讨了如何在DOSBox这一MS-DOS模拟器环境中，从内部程序化地检测自身是否正在其中运行。作者指出，DOSBox旨在完美模拟MS-DOS环境，使得常规的API检测方法失效。文章重点介绍了一种利用DOSBox特有自定义CPU指令进行检测的底层方法。

具体而言，作者通过分析DOSBox内置工具（如MOUNT.COM）的机器码，发现其使用了一个非标准的x86操作码序列（FE /7），该指令在真实硬件上会触发无效指令异常（#UD），但在DOSBox中会被特殊处理并用于内部回调。通过编写一个异常处理程序来捕获此异常，并检查指令码，程序可以可靠地判断自身是否运行于DOSBox。文章还提及了在其他模拟器（如86Box）中测试时遇到的兼容性问题及其根源。

与修改BIOS字符串等易被伪造的方法相比，这种依赖于模拟器核心行为的检测机制更为可靠。作者最终提供了一个可编译的示例程序，并简要对比了检测其他DOS环境（如NTVDM）的简易性。