1. 移除2024款RAV4混动版车载调制解调器与GPS；
2. MIT校长谈资金与人才双重危机；
3. RTX 5090 外接 M4 MacBook Air：疯狂实验与性能挑战；
4. AI让我变蠢了；
5. 比特币持有者借助Claude找回遗忘密码的钱包；

以上是今天的前五条黑科技新闻标题。

总共25条，具体内容您往下读…

1. 移除2024款RAV4混动版车载调制解调器与GPS

🔗 arkadiyt.com: Removing the modem and GPS from my 2024 RAV4 hybrid

本文作者为保护隐私，物理拆除了车辆的数据通信模块（DCM）和内置GPS，以阻止其向丰田发送定位、速度等遥测数据。移除后，云端服务失效，且蓝牙连接手机会导致车辆通过手机网络继续上传数据，因此作者改用USB连接CarPlay。为恢复车内麦克风功能，需安装DCM旁路套件。项目需拆解中控台和屏幕，难度中等，完成后车辆核心功能不受影响，但可能影响保修。作者认为，强力的联邦隐私法才是根本解决方案。

2. MIT校长谈资金与人才双重危机

🔗 president.mit.edu: A message from President Kornbluth about funding and the talent pipeline

MIT校长Sally Kornbluth指出，学院正面临资金与人才管道两大持续挑战。联邦研究经费实际下降超过20%，加上8%的捐赠税，导致校园研究活动缩减10%。同时，研究生新生入学率预计减少近500人，部分因政策变化使国际人才却步。尽管团队正通过争取行业资助、加强校友支持等方式应对，但短期内难以逆转科研与人才培养的损失。

3. RTX 5090 外接 M4 MacBook Air：疯狂实验与性能挑战

🔗 scottjg.com: RTX 5090 and M4 MacBook Air: Can It Game?

文章探索了将 NVIDIA RTX 5090 显卡通过 Thunderbolt 外接至 M4 MacBook Air 的可行性。由于 macOS 不支持 NVIDIA 驱动，作者采用 PCI 直通 技术，在 macOS 的 Linux 虚拟机中运行显卡。过程中遇到严重技术障碍：直接映射显存会导致系统崩溃，最终通过移除内存映射的 可执行权限 才解决。DMA 方面，因缺少 IOMMU 支持，需手动处理内存映射与对齐问题。性能测试显示，外接显卡在《赛博朋克 2077》等游戏中帧率远低于原生 PC，但在 AI 推理 任务中表现尚可。项目虽未实现流畅游戏，但证明了技术可行性。

4. AI让我变蠢了

🔗 jpain.io: AI is making me dumb

作者坦言过度依赖AI写作和编程，导致自身技能退化，甚至几乎忘记如何手写代码。AI加剧了自我怀疑和冒名顶替综合征，产出的内容缺乏个人风格。作者决心重新手写代码，并认为未来仍需懂代码的专业人士，而非完全依赖AI。

5. 比特币持有者借助Claude找回遗忘密码的钱包

🔗 tomshardware.com: Bitcoin trader recovers wallet with help of Claude

一名比特币持有者在“吸嗨”后更改了钱包密码并遗忘，历经11年尝试，最终借助AI工具Claude成功找回内含5枚BTC（价值近40万美元）的钱包。用户将大学时期的电脑文件全部输入Claude，AI发现了一个2019年的旧备份文件，并识别出btcrecover工具在密码组合上的配置错误。修复该问题后，Claude成功解密私钥，让用户得以转移这笔因比特币升值而价值暴涨的资产。

6. NGINX高危漏洞：CVE-2026-42945远程代码执行

🔗 github.com: New Nginx Exploit

该漏洞是NGINX ngx_http_rewrite_module 模块中一个存在多年的堆缓冲区溢出漏洞，影响2008年以来的所有版本。攻击者无需认证即可利用rewrite和set指令触发远程代码执行。漏洞根源在于脚本引擎的两遍处理流程中，is_args标志在长度计算和复制阶段不一致，导致复制时缓冲区溢出。利用该漏洞可实现任意命令执行。

7. arXiv新规：伪造参考文献将封禁一年

🔗 twitter.com: New arXiv policy: 1-year ban for hallucinated references

arXiv发布新政策，对伪造参考文献的行为实施一年封禁。该政策旨在打击AI生成的虚假引用，维护学术诚信。违规者将面临账号暂停，且需在解禁后提交更正。此举引发学界对AI工具使用规范的讨论。

8. 首个公开的Apple M5芯片macOS内核内存破坏利用

🔗 blog.calif.io: First public macOS kernel memory corruption exploit on Apple M5

安全团队与Mythos Preview合作，仅用五天便成功攻破了Apple耗时五年、耗资数十亿美元打造的MIE（内存完整性强制）硬件防护机制。该利用是一个数据仅限的内核本地权限提升链，从非特权用户出发，通过两个漏洞和多种技术，在M5硬件上获取了root权限。团队认为，这预示着AI与专家结合将能突破最顶级的防护，是“AI漏洞大爆发”时代的前兆。完整技术报告将在Apple修复后公开。

9. 加拿大计算机爱好运动

🔗 museum.eecs.yorku.ca: Computer Hobby Movement in Canada

该展览聚焦1976-1985年间多伦多地区计算机爱好者协会（TRACE）的兴衰，揭示加拿大计算机爱好运动如何推动个人电脑普及。通过TRACE的历史，展览展现了北美爱好运动与电子产业的互动，以及其最终在1980年代末衰落的文化遗产。关键转折点是微处理器的诞生，使业余者能自制廉价电脑，而TRACE早期成员多为专业人士，但很快吸引了各类爱好者。

10. Meta新高：利润破纪录，士气创新低

🔗 wired.com: Meta’s New Reality: Record High Profits. Record Low Morale

Meta员工正面临大规模裁员与强制AI监控，导致公司内部“士气历史最低”。尽管利润创下近270亿美元新高，但公司计划再裁10%员工，并强制安装追踪软件收集员工数据训练AI。同时，薪酬缩水、顶尖工程师被强制调岗、法庭败诉等事件加剧了员工的不满与恐惧。许多员工宁愿被裁以获取遣散费，部分英国员工甚至开始组建工会抗议。

11. 大学的AI僵尸化

🔗 thenewcritic.com: The AI Zombification of Universities

作者以亲身经历揭露，AI工具正在从作弊工具演变为吞噬大学教育核心的“癌症”。从学生用ChatGPT完成作业、考试作弊，到学生刊物甚至教授开始依赖AI生成内容，这种“替代”而非“整合”正在摧毁学习、教学与交流的本质。更令人担忧的是，高校管理层一面高调宣布投入巨资推动AI教学创新，一面却对校园内日益猖獗的AI作弊与学术腐败视而不见，形成一道“无法逾越的鸿沟”。作者警告，这种趋势正将学生变成只会依赖机器指令的“僵尸”，最终可能彻底瓦解大学作为人文精神与道德训练场所的根基。

12. 亚马逊机器人终于开始遵守robots.txt协议

🔗 xeiaso.net: Amazonbot is finally respecting robots.txt

亚马逊的爬虫程序Amazonbot现在尊重网站管理员通过robots.txt文件设置的访问规则，不再无视这些限制。这意味着网站所有者可以更好地控制Amazonbot如何抓取他们的内容，避免不必要的资源消耗或数据抓取。这一变化对于网站优化和隐私保护有积极影响，因为过去Amazonbot常被指责忽略这些标准。用户现在可以更放心地管理其网站与亚马逊搜索索引的交互。

13. 硬盘固件逆向工程实战

🔗 icode4.coffee: HDD Firmware Hacking

作者因Xbox 360漏洞开发需要，深入研究了硬盘固件修改技术。文章详细记录了如何获取、分析和修改多款硬盘（西数、三星、日立）的固件。关键突破包括：通过逆向西数硬盘的LZHUF压缩算法实现固件解压，利用三星官方更新工具逆向出固件解密算法，以及通过PC-3000工具获取固件镜像。作者最终虽未实际修改固件（因找到了其他漏洞利用方法），但完整展示了从固件提取到代码分析的工程技术流程，为后续AI辅助逆向研究奠定了基础。

14. Anthropic与盖茨基金会达成2亿美元合作

🔗 anthropic.com: Anthropic forms $200M partnership with the Gates Foundation

Anthropic与盖茨基金会合作，承诺投入2亿美元赠款、Claude使用额度及技术支持，未来四年聚焦全球健康、教育及经济流动领域。重点包括加速疫苗研发、改善中低收入国家医疗决策、提升K-12教育成果，并利用Claude分析疾病数据与农业生产力。双方将公开研究成果以推动AI普惠应用。

15. 运行第二个公共 ODoH 中继：为 DNS 查询提供真正的匿名保护

🔗 numa.rs: Show HN: Running the second public ODoH relay

传统 DNS 查询会暴露你的 IP 和问题，而 ODoH（RFC 9230）通过分离路径解决了这一隐私问题：中继看到你的 IP 但看不到请求，目标服务器看到请求但看不到你的 IP。Numa v0.14 在一个二进制文件中集成了客户端、中继和公共部署，成为生态系统中第二个公共 ODoH 中继。它使用 HPKE 加密查询，并内置了 SSRF 防护和 eTLD+1 同运营商检查，确保中继与目标由不同组织运营。不过，ODoH 不能解决目标服务器记录查询、递归模式下目标出口泄漏、以及小中继的流量分析问题。你可以通过 cargo install numa 并设置 mode = "odoh" 来使用，让查询经过两个独立、开源且可审计的组织。

16. 德国主权技术基金向KDE注资130万欧元

🔗 theregister.com: Germany’s Sovereign Tech Fund Backs KDE with €1.3M

德国主权技术基金向KDE项目提供128.5万欧元资助，用于强化其核心基础设施（包括Plasma桌面、KDE Linux及通信服务框架）的结构可靠性与安全性。此举正值欧洲加速寻求数字主权，以摆脱对美国科技依赖。KDE Linux作为基于Arch Linux的不可变发行版，借鉴了SteamOS的设计理念，其韧性已获验证。与此同时，法国DINUM正通过Nix配置构建定制化安全操作系统Sécurix，进一步推动欧洲本土操作系统替代方案的发展。

17. 欧盟支持意大利强制Meta为新闻付费

🔗 niemanlab.org: The European Union backs Italy’s right to make Meta pay for news

欧洲法院裁定，Meta必须遵守意大利法律，与新闻出版商谈判并为其内容支付公平报酬。法院驳回了Meta关于欧盟版权法禁止此类国家监管体系的说法，认为该法律旨在保护新闻生产投资，并平衡出版商与平台之间的谈判地位。

18. 古巴称燃料耗尽，归咎美国封锁

🔗 upi.com: Cuba says it has run out of fuel, blames U.S. embargo

古巴能源部长宣布柴油和燃油库存完全耗尽，电力系统仅靠本国原油和天然气维持。总统指责美国实施“种族灭绝式能源封锁”导致每日停电超20小时。美方声称提供1亿美元援助，但古巴否认知情，称其为“谎言”。

19. 关于DS4的几点看法

🔗 antirez.com: A few words on DS4

本文简要讨论了DS4，重点强调了其核心功能、设计理念与潜在影响。DS4作为一项创新工具，旨在提升效率并简化复杂流程。文章指出，其模块化架构允许用户灵活配置，而数据隐私保护则是其关键优势。尽管存在学习曲线，但DS4有望在相关领域推动显著进步，值得关注其后续发展。

20. Bun的Rust重写已合并

🔗 old.reddit.com: Bun’s Rust rewrite has been merged

Bun项目已将其代码库从Zig重写为Rust，合并了约60万行代码，主要由AI（Claude）完成，仅用一周时间。此举引发争议：Ladybird的类似翻译（3万行）因人工审查而受好评，但Bun的代码包含约1.3万个unsafe块，质量堪忧。评论者质疑重写的必要性，认为大量unsafe代码削弱了Rust的内存安全优势，且可能只是Anthropic的营销手段。

21. 苹果永远不会为家庭打造的Siri

🔗 taoofmac.com: The Siri for Families Apple Will Never Build

作者渴望一个家庭级AI助手，能跨设备协调日历、用药提醒和接送等琐事，而非仅作为个人账户的附加层。尽管苹果拥有OS、硬件和同步层等垂直优势，却因将家庭视为账单结构而非产品类别而无所作为。作者自己用Go语言在树莓派上实现了类似功能，而苹果因缺乏意志和开放API，连共享清单都做不好。

22. 真正的对齐不是配置，而是共同塑造

🔗 danieltan.weblog.lol: The people writing AI alignment policy are not whose work is being replaced

文章批判AI对齐政策由远离被替代者的精英制定，他们（如Yudkowsky与Andreessen）在“安全”与“加速”的激烈争论中，实则共享一个前提：设计者决定一切，而被设计者（大众）被排除在外。大众的抵触被污名化为“怨恨”或“不适应”，但这是对被排除在设计之外的合理感受。真正的对齐应是双方共同塑造的互动过程，而非单向的“配置”。文章呼吁大众信任自身经验，拒绝被定义，并参与构建一种更包容的、共同塑造的替代路径。

23. GGUF：单文件模型格式的现状与缺失

🔗 nobodywho.ooo: What’s in a GGUF, besides the weights – and what’s still missing?

GGUF 是 llama.cpp 使用的语言模型文件格式，其核心优势是将所有元数据（如聊天模板、特殊令牌和采样器配置）整合在一个文件中，极大提升了易用性。然而，该格式仍存在关键缺失：工具调用格式缺乏统一语法解析器，思考令牌字段常被遗漏导致推理引擎无法区分推理内容，以及投影模型无法内嵌从而破坏单文件体验。作者呼吁社区添加功能标志，使模型无关的推理库能更智能地处理不同模型的能力差异。

24. Grok 构建工具早期测试版发布

🔗 x.ai: Grok Build

xAI 推出 Grok Build 早期测试版，这是一款面向专业软件工程与复杂编码的终端命令行编码代理。目前仅限 SuperGrok Heavy 订阅用户使用，可通过单行命令安装。该工具支持计划模式，用户可审批、评论或重写执行步骤，所有变更以清晰差异显示。它兼容 AGENTS.md、插件、钩子、技能及 MCP 服务器，并能并行运行子代理处理大型任务。此外，无头模式（-p）支持脚本与自动化集成，并提供完整 ACP 支持用于构建自定义机器人。用户可通过 CLI 输入 /feedback 反馈意见。

25. 关于/dev/urandom的迷思（2014）

🔗 2uo.de: Myths about /dev/urandom (2014)

本文澄清了Linux系统中关于随机数生成器的常见误解。核心观点是：/dev/urandom 是比 /dev/random 更优的加密随机数来源。两者都使用相同的加密安全伪随机数生成器（CSPRNG），主要区别在于当熵估计不足时，/dev/random 会阻塞，而 /dev/urandom 不会。文章指出，阻塞行为本身是一个严重问题，且“熵耗尽”的担忧是站不住脚的，因为约256比特的熵足以保证长期计算安全。尽管内核的熵估计是保守的，但现代密码学算法本身只提供计算安全性，因此使用/dev/urandom是合理且被专家推荐的做法。