1. Zed 1.0：从零构建的编辑器里程碑；
2. 在线年龄验证是值得捍卫的底线；
3. 复制失败 – CVE-2026-31431：一个本地提权漏洞，影响2017年后所有主流Linux发行版；
4. 荷兰政府开源代码平台正式上线；
5. 我们需要一个锻造厂联盟；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. Zed 1.0：从零构建的编辑器里程碑

🔗 zed.dev: Zed 1.0

Zed 团队宣布 1.0 正式版发布。为突破 Electron 的性能天花板，他们从零用 Rust 编写了 GPUI 框架，像游戏一样利用 GPU 渲染。1.0 版本支持多语言、Git 集成、SSH 远程和调试器，并原生内置了 AI 能力，可并行运行多个代理并实时预测编辑。同时推出 Zed for Business 企业版。团队强调 1.0 并非终点，而是性能与协作愿景的新起点，未来将基于 CRDT 的 DeltaDB 引擎实现人类与 AI 代理的实时协作。

2. 在线年龄验证是值得捍卫的底线

🔗 x.com: Online age verification is the hill to die on

文本指出，JavaScript被禁用或某些隐私扩展会导致X.com无法正常访问，提示用户启用JavaScript或切换支持的浏览器。核心信息是：在线年龄验证的实施可能因技术限制（如脚本禁用）而受阻，但这一措施被视为必须坚持的关键点。

3. 复制失败 – CVE-2026-31431：一个本地提权漏洞，影响2017年后所有主流Linux发行版

🔗 copy.fail: Copy Fail – CVE-2026-31431

该漏洞利用内核加密API（AF_ALG）的页面缓存写入缺陷，无需网络或特殊权限即可让任意本地用户获得root权限。PoC已公开，可在Ubuntu、RHEL、Amazon Linux、SUSE等系统上一键提权。缓解措施包括更新内核或禁用algif_aead模块。多租户主机、Kubernetes集群、CI运行环境及云SaaS平台风险最高。

4. 荷兰政府开源代码平台正式上线

🔗 nldigitalgovernment.nl: Soft launch of open-source code platform for government

荷兰政府推出了code.overheid.nl，这是一个用于发布和开发开源软件的政府代码平台。该平台采用自托管模式，支持数字主权，目前处于试点阶段，使用欧洲开源替代品Forgejo。平台由内政部开源项目办公室发起，邀请开发者参与贡献，目标是为政府机构构建共享的Git平台。

5. 我们需要一个锻造厂联盟

🔗 blog.tangled.org: We need a federation of forges

GitHub近期出现不稳定，依赖单一平台对开源不利。Tangled 项目旨在通过AT协议实现代码协作的去中心化：它像GitHub一样管理议题和拉取请求，但支持跨服务器操作，并融合了社交功能（时间线、关注、星标）。Tangled让开源摆脱GitHub这类垄断平台，同时保持协作的趣味性和社交性。

6. Mistral Medium 3.5 发布：云端编码代理与全新工作模式

🔗 mistral.ai: Mistral Medium 3.5

Mistral 推出 Mistral Medium 3.5 旗舰模型，支持远程编码代理在云端异步运行，并引入 Le Chat 的 Work mode 以处理复杂多步骤任务。该模型为 128B 稠密模型，具备 256k 上下文窗口，可在四张 GPU 上自托管，并开放权重。其核心亮点包括：通过 CLI 或 Le Chat 启动的 Vibe 远程代理，能在隔离沙箱中并行执行任务并自动生成 PR；Work mode 则整合邮件、日历等工具，实现跨工具工作流与研究合成，所有操作透明可见且需用户审批。模型定价为输入每百万 tokens 1.5 美元，输出 7.5 美元。

7. HashiCorp联合创始人称GitHub“不再适合正经工作”

🔗 theregister.com: HashiCorp co-founder says GitHub ‘no longer a place for serious work’

HashiCorp联合创始人Mitchell Hashimoto因GitHub频繁宕机，宣布将把其终端模拟器项目Ghostty迁移至其他平台。他记录显示过去一个月几乎每天都有影响工作的宕机事件，称GitHub“不再是一个有趣的地方”，并强调“我想发布软件，但它不让我发布”。他计划逐步移除对GitHub的依赖，但会保留只读镜像。Hashimoto的离开正值微软因强推AI导致服务稳定性下降之际，引发对GitHub地位的担忧。

8. AI公司为何希望你害怕它们

🔗 bbc.com: Why AI companies want you to be afraid of them

AI公司如Anthropic宣称其新模型Claude Mythos因能发现网络安全漏洞而过于危险，无法公开发布。批评者认为，这种末日预言是为了转移公众注意力，掩盖AI已造成的环境破坏、劳动剥削等现实问题。通过渲染AI的超自然威胁，公司将自己塑造成唯一能控制技术的救世主，从而规避监管并吸引投资。尽管存在质疑，这种策略成功让公众忽视当下危害，而聚焦于虚构的灾难。

9. 马里兰州率先禁止超市“监控定价”

🔗 theguardian.com: Maryland becomes first state to ban surveillance pricing in grocery stores

马里兰州成为美国首个禁止超市利用个人数据动态调整价格的州。该法禁止零售商和第三方配送服务根据消费者位置、搜索历史等数据设定更高价格，但批评者指出法律存在行业豁免，如允许忠诚度计划与促销折扣，可能导致变相歧视。支持者担忧执法漏洞，因仅州检察长可提起诉讼，且未禁止降价后提供个性化折扣。联邦层面行动停滞，其他州正考虑类似立法。

10. FastCGI：30岁，仍是反向代理的更好协议

🔗 agwa.name: FastCGI: 30 years old and still the better protocol for reverse proxies

HTTP反向代理存在请求走私和不可信头部两大安全隐患。FastCGI作为30年前的协议，通过明确的消息边界避免了HTTP解析歧义，并用参数前缀（如HTTP_）分离客户端与代理的信任数据，彻底杜绝了头部伪造攻击。尽管不支持WebSocket且工具链较弱，但它仍是更安全的替代方案。

11. 爱思唯尔因“引用卡特尔”再解雇一名主编，数百篇论文面临撤稿

🔗 chrisbrunet.com: Third editor fired in Elsevier’s citation cartel crackdown

爱思唯尔近期解雇了《国际商业与金融研究》主编John Goodell，原因是其与前两位被解雇的编辑Brian Lucey和Samuel Vigne组成引用卡特尔。Goodell通过互惠交易，为合作者在其期刊快速发表论文，换取对方在其它期刊将其列为合著者，导致其年发文量从个位数飙升至58篇，引用量达15,663次。这种工业规模的对等交换涉及数百篇可疑论文，爱思唯尔虽更换编辑但未彻底清理，引发对出版商掩盖丑闻的质疑。

12. 他让AI计算碳水化合物27000次，每次答案都不同

🔗 diabettech.com: He asked AI to count carbs 27000 times. It couldn’t give the same answer twice

一项最新研究发现，向ChatGPT、Claude、Gemini等主流AI模型反复提交同一张食物照片，每次得到的碳水化合物估算值差异巨大，足以引发低血糖危险。研究对13张照片进行了26904次查询，发现即使使用最低随机性设置，模型自身也严重不一致。其中Gemini 2.5 Pro对同一张海鲜饭照片的估算范围从55克到484克，对应42.9单位胰岛素的致命误差。Claude Sonnet 4.6是唯一在测试中未产生临床危险剂量误差的模型，但其对奶酪三明治的估算始终比实际值低12克，暴露出“精确错误”问题。所有模型的置信度评分与实际准确性几乎无相关性，无法作为安全依据。研究警告，通用AI模型绝不能用于自主胰岛素剂量计算，用户应多次查询并检查模型识别结果。

13. 京都樱花盛开日期创1200年来最早纪录

🔗 jivx.com: Kyoto cherry blossoms now bloom earlier than at any point in 1,200 years

一份跨越1215年的连续记录显示，京都樱花的盛花期已提前至3月29日，比前现代平均日期早了两周多。这项基于838次观测的独特数据，记录了从公元812年至今的自然现象，清晰展现了气候变化的长期信号：20世纪以来，盛花期持续提前，2026年的峰值更是打破了自平安时代以来的所有纪录。

14. 开源听诊器，生产成本仅2.5至5美元

🔗 github.com: An open-source stethoscope that costs between $2.5 and $5 to produce

该项目提供经过研究验证的听诊器开源设计，其性能媲美市场金标准Littmann Cardiology III。核心部件如听诊头、耳管等使用3D打印（需100%填充），搭配硅胶管和塑料片制成的振膜。全部物料成本极低，旨在通过开源硬件推动低成本医疗设备普及。

15. 美学-可用性效应

🔗 lawsofux.com: Laws of UX

用户常认为美观的设计更易用，这体现了视觉吸引力对感知可用性的积极影响。

16. 互联网遗物墓园：Rip.so 纪念那些被遗忘的网站、软件与设备

🔗 rip.so: Show HN: Rip.so – a graveyard for dead internet things

这是一个名为 Rip.so 的数字墓园，专门纪念那些被互联网遗忘的即时通讯工具（如ICQ、MSN）、社交网络（如MySpace、Vine）、浏览器与搜索引擎（如Netscape、AltaVista）以及各类硬件与游戏。页面以墓碑形式记录它们的生卒年份与简短悼词，从因管理不善或收购而死的服务，到技术上存活但灵魂已逝的产品。它缅怀了从拨号上网、AOL光盘到Flash游戏等整个数字时代的文化现象，并特别标注了如Grooveshark（非法但受人喜爱的音乐流媒体）和Google Reader（RSS时代的象征）等标志性牺牲品。

17. 为何我仍选择Lisp和Scheme而非Haskell

🔗 jointhefreeworld.org: Why I still reach for Lisp and Scheme instead of Haskell

作者偏爱Scheme是因为它在实用性与函数式之美间取得平衡，而Haskell虽拥有代数数据类型、单子等创新，但其纯粹性与复杂抽象常阻碍快速原型开发。Scheme的宏系统允许灵活元编程，REPL支持即时调试与增量开发，让“快速完成任务”成为可能。Haskell则更像一种柏拉图式的理想语言，虽启迪思想，却不够务实。

18. 过度依赖AI者将被淘汰

🔗 migrainebrain.bearblog.dev: “People who don’t use AI will be left behind”

作者强烈反对“不用AI会被淘汰”的观点，认为依赖AI的人反而会失去独立思考、写作和辨别真伪的能力，甚至忘记如何学习。他感叹学习本身的美好，并质问为何不努力超越AI，而非让AI替代自己。

19. 开放交通地图

🔗 opentrafficmap.org: OpenTrafficMap

开放交通地图是一个实时交通信号灯监测平台，提供信号灯状态、车道几何和信号组调试数据。用户可切换2D/3D视图、选择时间超时设置、过滤带数据或无数据的站点，并查看照片。点击车道或连接可获取调试信息，点击信号灯可查看信号组详情。平台还支持JSON数据复制和客户端版本更新提示，由Peter Pötzi在奥地利格拉茨运营。

20. Linux 7.0 因抢占机制导致 PostgreSQL 性能腰斩

🔗 read.thecoder.cafe: Linux 7.0 Broke PostgreSQL: The Preemption Regression Explained

Linux 7.0 移除了 PREEMPT_NONE 选项，改用 PREEMPT_LAZY。在 PostgreSQL 的高并发场景下，当后端进程持有自旋锁（spinlock）时触发内存缺页故障，新抢占机制可能将锁持有者调度出去，导致其他等待进程长时间空转。最终，56% 的 CPU 时间消耗在自旋锁等待上，吞吐量从 98,565 TPS 降至 50,751 TPS。启用 大页（Huge Pages） 可大幅减少缺页故障，从而解决此问题。

21. 蒂姆·帕特森DOS源码转录项目

🔗 github.com: GitHub – DOS 1.0: Transcription of Tim Paterson’s DOS Printouts

该项目转录了蒂姆·帕特森的DOS打印稿，包含86-DOS 1.00内核、PC-DOS 1.00预发布版及实用程序的汇编源码。转录内容分为三部分：原始打印输出、提取的打印文件以及可编译源码。目前仅前8捆（共10捆）已完成转录，剩余部分需社区提交拉取请求协助。编译需使用西雅图计算机产品公司的ASM汇编器和HEX2BIN工具。

22. 德国成为全球最大弹药生产国

🔗 prm.ua: Germany has become the largest ammunition producer in the world

德国军工企业莱茵金属大幅提升产能，已超越美国成为全球常规弹药最大生产国。该公司首席执行官表示，军用卡车年产量从600辆增至4500辆，中口径弹药从80万发增至400万发，炮弹从7万枚增至110万枚。公司目前员工4.4万人，计划2030年增至7万人，并预计军工生产将替代德国汽车工业约三分之一的就业岗位。

23. AI 驱动的游戏测试革命：从手动验证到自动化探索

🔗 blog.jeffschomay.com: Letting AI play my game – building an agentic test harness to help play-testing

作者为《Crossword Dungeon》这款融合填字与地牢元素的游戏，开发了一个基于文本的AI测试工具。该工具通过Node.js包装器，在不修改游戏源码的前提下，添加了纯文本渲染器和合成事件，使AI能通过HTTP请求与游戏交互。AI不仅能像人类玩家一样完整游玩、发现bug，还能自主设计测试场景并验证修复。作者将新里程碑交给AI后，它在12分钟内完成了5个新功能的全面测试，而作者后续的手动验证仅需30分钟。这套“AI先测，人工复核”的工作流大幅提升了开发效率。

24. 联邦法院裁定：第二修正案保护枪支零件交易

🔗 cowboystatedaily.com: Court Rules 2nd Amendment Covers Firearms Parts Good News Those Who Build Guns

美国第十巡回上诉法院裁定，第二修正案覆盖无序列号枪支零件的买卖与持有。这意味着，若有人因相关零件被起诉，可援引宪法权利辩护。此裁决源于科罗拉多州2023年禁止无序列号枪支部件的法律，原告认为该法侵犯了持枪权。枪支爱好者指出，模块化枪支（如AR-15）的定制日益流行，而关键部件（如下机匣）仍需通过背景调查购买。裁决被视为对自制枪支群体的利好。

25. Ramp的Sheets AI漏洞致财务数据泄露风险

🔗 promptarmor.com: Ramp’s Sheets AI Exfiltrates Financials

Ramp的Sheets AI存在一个间接提示注入漏洞，攻击者可通过在外部数据集中隐藏恶意指令，诱使AI自动插入包含受害者敏感财务数据的IMAGE公式，从而触发网络请求并泄露数据。该过程无需用户批准。PromptArmor已负责任披露，Ramp于2026年3月16日修复此问题。类似风险也曾出现在Claude for Excel中，Anthropic通过添加红色警告弹窗显示完整公式来缓解。