1. Ghostty 宣布离开 GitHub；
2. 你的手机即将不再属于你；
3. LocalSend：开源跨平台文件传输工具；
4. 经期追踪应用Flo因向Meta出售用户数据被判有罪；
5. VibeVoice：微软开源前沿语音AI；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. Ghostty 宣布离开 GitHub

🔗 mitchellh.com: Ghostty is leaving GitHub

Mitchell Hashimoto，GitHub 的18年资深用户（2008年加入），因对平台频繁中断和性能恶化感到极度失望，宣布其开源项目 Ghostty 将迁移出 GitHub。他坦言自己曾深爱GitHub，将其视为“最快乐的地方”，甚至为获得一份工作而创建了Vagrant。然而，近期的每日服务中断（如Actions故障）严重阻碍了开发工作，使他无法再依赖该平台。Ghostty将逐步移除对GitHub的依赖，并保留只读镜像，而他的个人项目暂留GitHub。他强调，这一决定基于实际改善需求，而非空头承诺。

2. 你的手机即将不再属于你

🔗 keepandroidopen.org: Your phone is about to stop being yours

谷歌宣布从2026年9月起，所有安卓应用开发者必须向谷歌注册、付费、提交政府身份证件并列出所有应用标识符，否则其应用将在全球所有安卓设备上被静默屏蔽。这包括通过F-Droid等第三方商店或朋友间分享的应用。谷歌声称“高级用户”仍可通过繁琐的九步操作和24小时等待期侧载应用，但这一流程完全由谷歌Play服务控制，可随时被收紧或取消。此举被视为对安卓开放性的根本背叛，将严重伤害独立开发者、民间社会及隐私敏感用户，并被电子前哨基金会（EFF）等69个组织谴责为审查和垄断工具。

3. LocalSend：开源跨平台文件传输工具

🔗 github.com: Localsend: An open-source cross-platform alternative to AirDrop

LocalSend是一款免费开源的跨平台应用，通过REST API和HTTPS加密，无需互联网即可在本地网络设备间安全共享文件与消息。它支持Android、iOS、macOS、Windows及Linux系统，提供多种下载渠道，并允许用户通过翻译或代码修复参与贡献。

4. 经期追踪应用Flo因向Meta出售用户数据被判有罪

🔗 femtechdesigndesk.substack.com: Period tracking app, Flo, found to be selling user data to Meta

Flo应用秘密向Meta、谷歌等第三方分享用户的敏感健康数据，包括月经周期、排卵和怀孕信息，尽管其隐私政策承诺保护用户隐私。2025年的集体诉讼裁决认定Flo和Meta负有责任，揭示了非医疗健康追踪软件中同意机制的灰色地带。当前健康数据隐私法规（如HIPAA）严重滞后于技术发展，导致用户隐私权被商业利益侵蚀。Flo的设计决策刻意强调症状追踪以驱动广告销售，而非真正服务于用户健康。此案为数字时代健康数据隐私的法律保护树立了重要先例，也警示用户在选择健康追踪应用时需更加审慎。

5. VibeVoice：微软开源前沿语音AI

🔗 github.com: VibeVoice: Open-source frontier voice AI

VibeVoice是微软开源的前沿语音AI模型家族，包含语音识别（ASR）与语音合成（TTS）两大核心。其创新在于使用超低帧率连续语音分词器（7.5Hz），结合大语言模型与扩散模型，高效处理长序列音频。ASR模型可单次处理60分钟音频并生成包含说话人、时间戳和内容的转录，支持自定义热词。TTS模型支持长达90分钟的多说话人语音合成，实时流式TTS模型仅0.5B参数，延迟约300毫秒。该项目采用MIT许可，旨在推动语音合成社区研究合作。

6. GitHub 可用性更新

🔗 github.blog: An update on GitHub availability

GitHub 首席技术官 Vladimir Fedorov 拥有数十年工程领导经验，曾领导 Meta 超过 2000 人的工程团队，并联合创立数据治理初创公司 UserClouds。他致力于以 开发者优先 理念塑造未来开发工具，目前还担任 Codepath.org 董事会成员，推动培养 AI 原生 工程师。

7. OpenAI CEO的身份验证公司闹乌龙，错认布鲁诺·马尔斯为合作伙伴

🔗 vice.com: OpenAI CEO’s Identity Verification Company Announced Fake Bruno Mars Partnership

Sam Altman旗下公司Tools For Humanity（TFH）在2026年4月17日宣布与布鲁诺·马尔斯合作，但随后被其团队和Live Nation否认。TFH实际合作的乐队是Thirty Seconds to Mars，而非布鲁诺·马尔斯。该公司声称通过虹膜扫描设备验证人类身份，却闹出“认错人”的乌龙，颇具讽刺意味。

8. Claude服务中断与API错误已修复

🔗 status.claude.com: Claude.ai unavailable and elevated errors on the API

2026年4月28日，Claude遭遇服务中断，导致用户无法访问Claude.ai，同时API和Claude Code出现认证错误。团队从17:41 UTC开始调查，于17:51确认问题，并在18:59恢复服务。影响持续约78分钟（17:34–18:52 UTC），涉及claude.ai、API、Console、Code、Cowork及政府版服务。现已解决并持续监控。

9. 谷歌与五角大楼达成AI协议，允许“任何合法”用途

🔗 theverge.com: Google and Pentagon reportedly agree on deal for ‘any lawful’ use of AI

据报道，谷歌与美国国防部签署了一份机密协议，允许其AI模型用于“任何合法政府目的”。该协议不赋予谷歌否决权，无法阻止政府如何使用其AI。尽管协议声称禁止用于国内大规模监控或自主武器（需有人类监督），但条款并未提供法律约束力，更像“君子协定”。谷歌还需应政府要求调整AI安全设置。此举引发员工担忧，认为AI可能被用于“不人道或极端有害”的方式。

10. GitHub Copilot 代码审查将消耗Actions分钟

🔗 github.blog: GitHub Copilot code review will start consuming GitHub Actions minutes

自2026年6月1日起，GitHub Copilot代码审查在私有仓库上运行时，将消耗GitHub Actions分钟，并从现有套餐额度中扣除。同时，所有Copilot使用（包括代码审查）将按AI Credits新计费模式收费。公共仓库不受影响。建议用户提前审查账单、调整预算并配置运行器。

11. AI代码的版权到底归谁？

🔗 legallayer.substack.com: Who owns the code Claude Code wrote?

AI辅助代码的版权归属取决于三个关键因素：人类是否做出足够创造性决策、雇佣合同是否已转让所有权、以及模型是否从GPL许可数据中复制了代码。法律上，完全由AI生成的代码可能不受版权保护，而人类有意义的创作贡献才是保护的关键。你的雇佣合同很可能已将工作期间的所有代码归雇主所有，包括AI辅助生成的。此外，AI工具可能无意中复制了GPL许可代码，导致你的商业产品面临版权污染风险。建议立即运行许可证扫描、记录你的创造性贡献，并仔细阅读雇佣合同中的知识产权条款。

12. Waymo 驶入波特兰：安全出行新篇章

🔗 waymo.com: Waymo in Portland

Waymo 正式宣布将服务扩展至波特兰，与当地政府合作制定监管路径，并手动驾驶车辆熟悉城市路况。此举旨在支持波特兰的零愿景目标，消除交通死亡事故。Waymo 宣称其自动驾驶技术已在运营城市将严重碰撞事故减少13倍，并获市长及反醉驾组织支持，承诺为居民和游客提供安全可靠的出行选择。

13. Anthropic 加入 Blender 开发基金成为企业赞助商

🔗 blender.org: Anthropic Joins the Blender Development Fund as Corporate Patron

Blender 基金会宣布，AI 研究公司 Anthropic 以企业赞助商身份加入 Blender 开发基金，资金将专门用于核心开发，特别是改进 Blender Python API，以支持艺术家和开发者的自定义工作流程。此举旨在不确定时期确保 Blender 的独立发展，并继续为创作者提供免费开源工具。

14. GitHub之前：开源世界的黄金时代与失落记忆

🔗 lucumr.pocoo.org: Before GitHub

文章回顾了GitHub成为开源中心之前的时代：开发者曾自建基础设施（如Trac、Subversion），项目依赖需要谨慎选择，社区信任建立在长期维护和个人声誉之上。GitHub的出现极大降低了参与门槛，成为社交基础设施，但也催生了微依赖爆炸。如今GitHub因产品混乱、领导缺失而衰落，作者呼吁建立公共资金支持的档案库，保存开源代码与社会上下文，避免回到链接失效、项目遗忘的旧世界。

15. GitHub 核心漏洞 CVE-2026-3854：一次 git push 即可远程控制服务器

🔗 wiz.io: GitHub RCE Vulnerability: CVE-2026-3854 Breakdown

Wiz Research 发现 GitHub 内部 Git 基础设施存在严重注入漏洞。任何认证用户仅需一次 git push，即可在 GitHub 后端服务器上执行任意命令。该漏洞利用了内部协议中的 X-Stat 字段注入，用户可通过 git push 选项中的分号注入恶意字段，覆盖安全策略。通过链式注入 rails_env、custom_hooks_dir 和 repo_pre_receive_hooks 三个字段，攻击者可绕过沙箱并执行任意二进制文件，实现 远程代码执行。在 GitHub.com 上，此漏洞允许攻击者访问共享存储节点上的数百万个公共和私有仓库；在 GitHub Enterprise Server 上则可完全控制服务器。GitHub 已在 6 小时内修复在线服务并发布补丁，但截至发文仍有 88% 的 GHES 实例未升级。这是首批利用 AI 辅助逆向工程 发现的闭源二进制关键漏洞之一，标志着安全研究方法的重大转变。

16. Warp 终端开发环境现已开源

🔗 github.com: Warp is now open-source

Warp 是一个智能代理开发环境，源自终端，现已开源并接受社区贡献。其 UI 框架采用 MIT 许可，其余代码使用 AGPL v3。项目支持内置或第三方 CLI 代理（如 Claude Code），并欢迎开发者通过 Issue 和 PR 参与改进。

17. GitHub Actions 成为开源供应链最薄弱环节

🔗 nesbitt.io: GitHub Actions is the weakest link

文章指出，过去一年半的多数开源供应链攻击（如Ultralytics、nx、tj-actions等事件）均源于GitHub Actions的默认不安全设计。核心问题包括：pull_request_target触发器允许未授权代码在拥有完整密钥的环境中执行；可变Git标签导致依赖可被篡改；以及默认写入权限的GITHUB_TOKEN。尽管GitHub已发布安全路线图，但所有修复均为选择性加入，而非默认启用。作者强调，在GitHub改变默认设置前，维护者应使用第三方工具（如zizmor）扫描工作流、固定SHA哈希并限制权限，否则任何未认证用户输入都可能成为攻击入口。

18. 派拉蒙合并后外资持股49.5%引争议

🔗 deadline.com: FCC Funding Application Notes Paramount Will Be 49.5% Foreign-Owned Post-Merger

派拉蒙在提交给FCC的文件中披露，与华纳兄弟探索公司合并后，非美国投资者将持有新公司49.5%的股份，其中三个中东主权基金（沙特、卡塔尔、阿布扎比）共同持股38.5%，投资额达240亿美元。派拉蒙强调这些投资者为被动支持者，无投票控制权，但涉及CBS和CNN的新闻业务使沙特参与成为敏感点。该交易已获大部分监管批准，预计9月完成，但部分州检察长正评估法律选项。

19. AI的经济学说不通

🔗 wheresyoured.at: AI’s economics don’t make sense

GitHub Copilot将从2026年6月起改为按用量计费，终结了用户每月固定费用无限使用的模式。这暴露了生成式AI的核心问题：每月订阅模式根本不可行，因为每个用户的token消耗差异巨大，而公司一直在补贴用户，每收1美元订阅费可能倒贴8到13.50美元。AI公司故意隐藏真实成本，让用户误以为服务便宜，一旦转向按实际消耗收费，用户将面临剧痛。这并非像Uber涨价那样简单，而是整个商业模式的基础崩塌。

20. OpenAI模型登陆AWS：Altman与Garman谈AI云新格局

🔗 stratechery.com: OpenAI models coming to Amazon Bedrock: Interview with OpenAI and AWS CEOs

OpenAI与AWS宣布合作，通过Bedrock托管代理提供OpenAI模型。此前OpenAI与微软的协议已修订，Azure失去独家权限，OpenAI可在任何云提供服务。微软保留主要云合作伙伴地位及2032年前的IP许可，但不再支付收入分成。此举旨在扩大OpenAI企业市场覆盖，尤其针对已使用AWS的客户。访谈中，双方讨论了AI如何像云一样赋能初创企业，以及推理时代与训练时代的差异。

21. 破产申请量增长11.9%

🔗 uscourts.gov: Bankruptcies increase 11.9 percent

根据美国法院行政办公室数据，截至2026年3月31日的12个月内，破产申请总量达到591,850件，同比增长11.9%。其中，商业破产申请增长11.4%至25,960件，非商业破产申请增长11.9%至565,890件。尽管自2022年6月触及历史低点后连续增长，当前总量仍远低于2010年9月近160万件的峰值。报告还按章节分类统计了数据，其中第七章申请最多，达369,702件。

22. 无人机飞行员迫使美国撤销针对无标记、移动ICE车辆的禁飞区

🔗 arstechnica.com: Drone pilot makes US rescind no-fly zones around unmarked, moving ICE vehicles

2026年1月，在明尼阿波利斯移民突袭抗议中，联邦特工射杀一名女性后，国土安全部扩大禁飞区，首次将无标记、移动中的联邦车辆纳入范围。这一模糊政策导致记者罗布·莱文无法飞行，他随后联合电子前哨基金会提起诉讼。4月15日，美国联邦航空管理局撤销了禁飞令，改为“建议”无人机避让，但警告仍可能扣押或摧毁无人机。莱文认为这是初步胜利，但计划继续诉讼以维护宪法权利。

23. AISLE在OpenEMR医疗软件中发现38个安全漏洞

🔗 aisle.com: AISLE Discovers 38 CVEs in OpenEMR Healthcare Software

AISLE团队利用AI分析引擎在开源电子病历系统OpenEMR中发现了38个CVE漏洞，超过半数影响严重。最危险的包括SQL注入漏洞（如CVE-2026-24908和CVE-2026-23627），可导致数据库完全沦陷、患者受保护健康信息（PHI）大规模泄露及远程代码执行。此外，授权绕过漏洞（如FHIR CareTeam端点绕过患者隔离）和跨站脚本攻击（XSS）也大量存在。AISLE与OpenEMR维护者合作，在数周内修复了所有问题，并将AI分析集成到代码审查流程中，以在漏洞进入生产环境前将其拦截。

24. 实时太阳与月球仪表盘：NASA影像

🔗 lumara-space.app: Show HN: Live Sun and Moon Dashboard with NASA Footage

一个动态的太阳等离子球体，由NASA的SDO卫星每12秒在12个波长下拍摄，从5000K表面到1000万K的耀斑等离子体，每个波长揭示太阳活动的隐藏层。

25. Warp 正式开源，开启智能体协作新时代

🔗 warp.dev: Warp is now open-source

Warp 宣布其客户端正式开源，采用 AGPL 许可证，并引入由 Oz 平台 驱动的智能体优先工作流。社区成员可参与管理 AI 智能体，专注于产品构思与验证，而智能体负责编码与测试。此举旨在加速开发，并让开发者共同塑造未来智能体开发环境。OpenAI 作为创始赞助商，其模型将支撑这一协作模式。