## 错误处理作为系统级属性 Cloudflare 最近的一次中断，由 Rust 的 `unwrap()` 调用触发，引发了关于错误处理的讨论。核心要点并非代码本身，而是*如何*处理错误是全局系统属性，而非局部属性。 进程崩溃是否可接受取决于诸如故障相关性、架构能力以及有意义地继续运行的能力等因素。不相关、孤立的故障通常最好通过崩溃来简化系统状态。然而，相关故障（包括恶意攻击）需要强大的错误拒绝和持续运行。 在架构上，具有高容错性的系统（如无服务器函数或 Erlang）可以更优雅地处理崩溃。业务逻辑也很重要——继续使用最后的良好配置通常是可行的，但跳过数据库更新可能导致数据损坏。 最终，有效的错误处理需要主动设计和“爆炸半径降低”——通过诸如基于单元的架构等技术来限制故障的影响。这承认了系统的固有复杂性，并通过最大限度地减少潜在问题的范围来优先考虑弹性。

住房和城市发展部（HUD）启动了一条全国热线（1-800-347-3735）和网站（Hudoig.gov/hotline），供居住在HUD资助住房的居民举报犯罪活动和非法移民的存在。部长斯科特·特纳宣布了这项举措，强调重点是帮助美国公民，并将“不应该在这里的人”从公共住房中移除。 这项行动与联邦调查局和司法部协调，是特朗普总统“让孟菲斯再次安全”计划的一部分，紧随国民警卫队的部署和已经逮捕了3000多名逃犯的特别工作组之后。此举源于二月份的一项行政命令，该命令禁止向无证人士提供纳税人资助的福利，以及HUD随后的一项执行该政策的指令。 虽然HUD强调为超过一百万美国人提供住房支持并促进房屋所有权，但城市研究所等组织对混合身份家庭（家庭成员具有不同的移民身份）可能产生的负面影响表示担忧，这些家庭占住房援助领取者的比例很小。

Indeed最新的就业市场分析显示，科技行业的招聘出现显著下滑，尤其是在数据和分析领域。总体职位空缺数量自2022年疫情高峰期以来有所下降，但科技行业表现更差，Indeed科技职位空缺指数已降至67。 数据和分析职位面临最严重的收缩——与疫情前水平相比，职位空缺减少了40%，同时每个职位的申请人数*增加*。由于近期对数据科学培训的投资，这导致合格候选人过剩，而雇主需求正在降温。 Indeed经济学家Cory Stahle认为，这归因于疫情后招聘激增后的置换需求减少，以及生成式人工智能日益增长的影响，使现有员工能够处理更多数据分析。因此，这些领域的求职者面临竞争激烈的市场和工资增长放缓。

联邦调查局正在寻求与六位民主党议员会面——众议员杰森·克劳、克里斯·德卢齐奥、玛吉·古德兰德、克里西·胡拉汉，以及参议员埃丽莎·斯洛特金和马克·凯利——原因是发布了一段建议军人拒绝非法命令的视频。这些议员表示，他们是在履行宪法宣誓，不会被恐吓。 该视频于11月18日发布，鼓励警惕非法命令，并提及了对过去事件的担忧，例如特朗普总统涉嫌发表关于枪击抗议者的言论。虽然没有引用具体的非法命令，但这些议员认为，主动讨论至关重要。 联邦调查局尚未公开评论，但斯洛特金参议员证实了正在接受调查。军方官员也在调查凯利参议员是否违反了《统一军事司法法典》。批评者，包括白宫官员，谴责该视频破坏了军队纪律，而支持者则认为这是对潜在权力滥用的必要保障。联邦调查局局长卡什·帕特尔表示，任何调查都将由职业探员和分析师决定。

Ironwood 作为一个高效的并行处理器，擅长管理大规模计算，并显著减少了数据在芯片上内部传输的时间。这一突破极大地加速了复杂的 AI，使模型在我们的云平台上运行得更快、更流畅。现在，Ironwood 已经面向云客户推出。以下是关于它的三个要点：随着行业重点从训练前沿模型转向为其提供实用且响应迅速的交互，Ironwood 提供了必要的硬件。它专为高吞吐量、低延迟的 AI 推理和模型服务而设计。与上一代产品相比，它在训练和推理工作负载上均提供超过 4 倍的芯片性能，使其成为我们迄今为止最强大、最节能的定制硅芯片。

自2012年以来，Trail of Bits 一直致力于保护全球最受攻击的目标组织和产品。我们结合高端安全研究和现实世界攻击者的思维方式，以降低风险并加强代码。请访问我们的网站：www.trailofbits.com

## 墨西哥抗议与美国干涉：摘要 最近，墨西哥50多个城市爆发了大规模抗议活动，西方媒体将其描述为Z世代对腐败的愤怒。但越来越多的迹象表明，这些抗议活动是外部煽动的。尽管总统克劳迪娅·谢因巴姆的支持率高达70-80%，但抗议活动——包括要求她下台的呼声——被美国国家民主基金会（NED）资助的媒体*Animal Politico*放大，该基金会被公认为中央情报局的幌子。 支持抗议活动的关键人物，如前总统比森特·福克斯和亿万富翁里卡多·萨利纳斯·普列戈，也与美国支持的组织有关联，这些组织正在推广特定的政治议程。这与美国对墨西哥日益增长的压力相吻合，包括提议的军事干预以打击贩毒集团——谢因巴姆坚决反对这一举动。 时机令人怀疑，因为谢因巴姆对贩毒集团的成功打击以及她对美国在委内瑞拉政策上的反对，可能会阻碍美国在该地区的战略目标。一些分析人士认为，华盛顿的目标是 destabilize 她的政府，为干预铺平道路，并可能改变委内瑞拉政策。特朗普已经表示对在墨西哥采取军事行动持开放态度，他引用了“大问题”，并暗示了干预的理由。这呼应了美国情报机构与拉丁美洲贩毒集团合作的历史模式，表明权力与控制之间存在复杂的相互作用。

迈克尔·艾尔斯 - 汽车/电子/软件工程师 3个ECU开发 10年以上经验 2850万英里以上驾驶里程 精选项目 私人工具 © 2025 迈克尔·艾尔斯。

一个保存完好的罗马石棺在匈牙利布达佩斯被发掘出来，为人们提供了一个罕见的机会，得以了解大约1700年前一位年轻女性的生活。石棺是在前罗马聚居地阿昆库姆的挖掘过程中发现的，这个密封的石灰石棺内包含一副完整的骨骼和大量的文物——玻璃器皿、青铜人像、140枚硬币、珠宝和布料碎片。 考古学家认为，由于墓葬的富丽堂皇以及石棺是专门为她定制的而非重复利用，这位女性的社会地位较高。这些物品很可能是亲人为了她的“永恒旅程”而提供的，体现了深切的关怀和失去的悲痛。 研究人员正在分析骨骼，以了解她的年龄、健康和出身。这项发现尤其重要，因为未受扰动的罗马石棺非常罕见，并且进一步分析棺内发现的泥土可能会揭示更多的宝藏。

启用 JavaScript 和 Cookie 以继续。

我对YouTube信息密度的最新分析中，包含了一项关于首页视频数量的深入统计分析结果，预测到2026年5月左右，首页将只剩下一个孤零零的视频。令人惊讶的是，一位不满的谷歌员工泄露了一段录音，记录了YouTube产品经理团队如何处理相关批评，这段录音在Hacker News上停留了一整天。最终结果是，经过Gemini YouTube工程师数月的努力，我前几天在Apple TV上启动YouTube，看到的却是：让我们分析这张图片并统计首页上的视频数量：不幸的是，YouTube产品经理团队的短视正在加速：根据这些数据，我现在预测到2026年5月左右，首页将没有任何视频，比之前的9月预测提前了。显然，波的法则适用于谷歌产品经理，讽刺已经死亡，也许我们强制植入的Neuralink会比我想象的更早到来。

最初灵感来自2023年那张骑马宇航员的梗图。但我觉得Simon的鹈鹕基准测试更能让我保持这个想法，即使他们测试的是不同的模态。卷饼显然比鹈鹕和骑术荒诞更重要。起初，我很惊讶它无法很好地复制图像，因为我假设训练数据中会有很多类似的例子（不像那骑术荒诞）。但我觉得这有点奇怪的概念，因为所有的食材都会被挤压、捣碎和凝固。所有图像都使用fal的默认设置生成。显然，你可能可以通过更好的提示来改善它，但这需要大量工作，感觉像是作弊。

## 人工智能玩具：对儿童发展日益增长的担忧 倡导团体Fairplay在超过150位专家的支持下，正在警告家长们这个假期不要购买人工智能玩具。这些玩具——包括毛绒玩具、娃娃和像Miko和Loona这样的机器人——使用人工智能聊天机器人，旨在模仿人类互动，并向幼儿甚至婴儿销售。 Fairplay认为这些玩具对健康的儿童发展构成前所未有的风险。担忧包括潜在的有害互动（例如，美国PIRG测试发现的关于危险活动或性暴露对话的建议）、助长沉迷使用以及破坏对真实关系的信任。人工智能优先考虑参与度，可能会覆盖安全措施并提供孩子们可能相信的可疑建议。 此外，这些玩具会收集敏感数据，引发隐私问题并可能助长成瘾行为。与鼓励想象力的传统游戏不同，人工智能玩具会规定互动方式，可能扼杀创造力。尽管制造商声称具有教育益处，但Fairplay认为这些益处微乎其微。随着联邦贸易委员会启动调查，专家们敦促谨慎，认为对年幼儿童的风险太大了，并且目前尚未完全了解。

美国国土安全部正在调查中国领先的比特币矿机制造商比特大陆科技，代号为“红日落行动”。 担忧集中在比特大陆的矿机，特别是那些靠近怀俄明州空军基地等敏感军事设施的矿机，是否容易受到外国势力远程操控——这一风险在最近的参议院情报委员会报告中被强调。 调查还审查了潜在的进口关税违规行为。国土安全部正在分析硬件是否存在后门和安全漏洞，但调查结果尚未公布。 比特大陆坚决否认这些指控，声明完全遵守美国法律，不存在国家安全风险。 此次调查紧迫性源于美国比特币公司以3.14亿美元购买比特大陆机器，该项目与特朗普家族有关，他们声称自己的安全评估没有发现任何威胁。 尽管如此，审查仍在继续，例如伊丽莎白·沃伦参议员呼吁对美国比特币公司本身进行进一步调查。 比特大陆过去也曾面临类似的指控，涉及其可能对比特币协议决策产生影响。

科里·多克托探讨了在线平台普遍存在的“劣质化”现象——为了最大化利润而故意降低服务质量。他已经不再局限于记录零星案例，而是关注“全方位劣质化”——广泛的、多方面的骗局。一个典型例子是谷歌将健康保险搜索引导至“垃圾保险”计划：短期、保障范围有限的选项，优先考虑销售而非实际护理，常常误导用户并使他们面临经济风险。 这些计划利用《平价医疗法案》中的漏洞，并积极利用谷歌广告和搜索引擎优化来主导搜索结果。谷歌的非法垄断和对广告收入的优先考虑加剧了问题，甚至故意降低搜索质量以增加广告展示量。多克托认为这不仅仅是谷歌“输掉垃圾信息战”，而是一个系统性问题，即一家 dominant 的公司将利润置于用户福祉之上。 他将此与美国医疗保健系统内的更广泛问题以及打破谷歌权力以促进竞争和保护消费者免受欺诈的需求联系起来。最终，解决这些“全方位劣质化”骗局需要系统性变革。

## 美国生活成本：南北分化 目前，密西西比州的 Tupelo 市是美国最经济实惠的城市，成本比全国平均水平低 21%。总体而言，南方城市以及俄克拉荷马州、德克萨斯州和堪萨斯州的城市主导着最实惠的居住地名单，这主要是由于较低的住房成本。俄克拉荷马城的房屋中位价为 225,167 美元，许多房屋的售价低于要价。 相反，纽约市仍然非常昂贵，曼哈顿的生活成本比全国平均水平高出 72% 以上——甚至超过旧金山。布鲁克林和皇后区也面临高成本，这受到疫情期间人口迁移的推动。檀香山在食品杂货方面的支出领先，明显高于曼哈顿。来自社区与经济研究委员会的数据突显了南北之间明显的负担能力差距。

## watchTowr 与互联网，第68部分：总结 watchTowr 的最新研究揭示了大量暴露的凭据——超过 8 万个——这些凭据被发现于 JSONFormatter 和 CodeBeautify 等公开可访问的 JSON 格式化工具中。尽管多次发出警告并发生过类似事件，但组织仍然会无意中通过将敏感数据粘贴到这些看似无害的在线工具中来泄露数据，并利用“保存”功能创建可共享的链接。 暴露的数据范围令人担忧，包括 Active Directory 凭据、数据库访问权限、云环境密钥、API 密钥，甚至一家大型银行的客户个人身份信息。受影响的行业涵盖关键基础设施、政府、金融、网络安全公司本身等等。该研究表明了一种持续的疏忽模式，即使是注重安全的组织也可能成为受害者。 watchTowr 积极监控这些平台，并确认其他人已经在抓取暴露的凭据。他们主动联系了许多组织和 CERT，但回应有限。核心问题不是复杂的攻击，而是基本的安全卫生——特别是*不要*在网上发布凭据。这项研究强调了共享责任模型，并强调了容易预防的错误如何导致重大的安全漏洞。最终，该报告提醒人们，即使是简单的工具，在使用不当的情况下也可能成为主要的风险。

毛茸茸的、大眼睛的Labubu玩具在2025年夏天迅速走红，成为线上和实体店无处不在的存在。它源于2015年的绘本系列，需求很快超过了供应，推高了转售价格，甚至催生了假冒“Lafufus”市场。然而，这种受欢迎程度却出人意料地短暂。 到2025年末，Labubu变得随处可见，Pop Mart的股价暴跌，预示着迅速衰落。这种快速的兴起和衰落体现了一种由互联网和短视频内容驱动的新趋势周期。与过去持久的潮流不同，今天的趋势传播*更快*，但消退也*更快*，这归因于注意力持续时间的缩短。 互联网现在孕育了一种去中心化的文化，算法创造了小众社区和源源不断的新现象——导致了趋势的混乱“混搭”。这并非一定是负面的；它代表着从强制统一到通过全球在线互动促进的多元文化和兴趣的良好交流的转变。Labubu从中国现象到全球狂热的历程完美地说明了这一点，展示了互联网连接和分享体验的力量。

在德克萨斯州州长格雷格·阿博特将美国伊斯兰关系委员会（CAIR）和穆斯林兄弟会指定为外国恐怖组织和跨国犯罪组织之后，CAIR 已提起联邦诉讼，质疑这一决定。CAIR 认为这些指定毫无根据，诽谤性，并侵犯了他们的言论和结社自由（第一修正案权利）。 阿博特州长的公告引用了联邦调查局过去将 CAIR 描述为哈马斯“幌子”的说法，并指控这两个组织旨在推行伊斯兰教法。这些指定授权德克萨斯州总检察长采取法律行动以关闭这些组织并阻止土地收购。 此举引发了进一步的行动，前总统特朗普宣布计划通过行政命令将穆斯林兄弟会的某些分支指定为恐怖实体。虽然目前这两个组织都没有被联邦政府指定为外国恐怖组织，但穆斯林兄弟会的特定分支*已被*列为特别指定的全球恐怖分子。其他一些国家已经禁止或将穆斯林兄弟会列为恐怖组织。 CAIR 声称阿博特是在惩罚他们为之倡导的观点，并坚称与哈马斯有关的说法毫无根据。

## ZoomInfo GTM Studio 追踪问题 - 摘要 安全研究发现，ZoomInfo 的 GTM Studio 登陆页面存在广泛的预先同意追踪，尽管该平台被宣传为识别网站访客。在任何同意横幅出现*之前*，检测到超过 50 个追踪请求，包括与 Sardine.ai 合作的行为生物识别和 PerimeterX 的指纹识别。 当研究人员在 LinkedIn 上分享这些发现时，ZoomInfo 的 CEO 立即屏蔽了他们，没有提供任何回应或澄清。这份“证据包”详细介绍了技术分析，包括解码的配置，显示默认追踪鼠标移动和打字模式。 该报告强调了使用此类供应商可能存在的法律风险，并引用了潜在的 GDPR、CCPA 和 CIPA 违规行为。它警告说，依赖于可能非法获取的“意向数据”可能导致法律责任、客户诉讼和声誉损害。 核心信息：透明度至关重要。营销人员应审计其技术栈，了解供应商的做法，并优先考虑合规性，因为仅仅声称不知情可能不是有效的辩护。证据已公开提供，供验证和审查。

在最近通过的埃普斯坦文件透明法案之后，司法部（DOJ）已重新提交请求，以解封与杰弗里·埃普斯坦和吉斯莱恩·麦克斯韦尔性贩卖案件相关的陪审团材料。 此前的尝试在八月份被法官驳回，理由是受害者安全和缺乏正当理由。 这项由特朗普总统签署的新法律凌驾于大陪审团保密规则之上，反映了国会对透明度的渴望。 司法部计划发布经过删减的记录，以保护受害者身份，并将在联邦公报上发布详细说明，并提交给国会。 司法部正在寻求快速裁决，以符合该法案规定的30天发布非机密记录的期限。 这些动议紧随佛罗里达州的一项类似动议，旨在充分披露埃普斯坦和麦克斯韦尔案件的所有材料，尽管传统上大陪审团保密协议非常严格。

通过“捍卫教育”获得的文档显示，美国最大的教师工会——全国教育协会（NEA），正在计划于12月举行一次培训课程，重点是行动主义策略而非学术提升。据报道，这次针对工会员工的培训，中心内容是将共和党人描绘成“种族主义者和恐跨性别者”，并推广关于种族、阶级和性别的叙事。 材料指导参与者应对“内隐偏见”和“解构特权体系”，特别是针对LGBTQ+群体。NEA据称将保守派言论描述为利用“种族主义暗号”，并将对他们意识形态的反对与偏见联系起来。 该培训还强调性别过渡资源，并鼓励在与学生交流中使用性别中性语言，可能未经家长知晓。批评者，如佛罗里达州州长罗恩·德桑蒂斯，认为这表明工会内部存在激进的政治议程，优先考虑行动主义而非教育，并导致美国学校的衰落。人们对NEA是否遵守其原始章程表示担忧，并指责其向学生灌输进步意识形态。

## Hacktron CLI 与 85,000 美元的漏洞赏金：一种新的漏洞研究方法 一位安全研究人员在以 JDBC 驱动程序为中心的漏洞赏金活动中，面临着紧迫的截止日期，他利用 Hacktron CLI 加速漏洞发现。在剩余的两天内，手动审计大量驱动程序以查找常见漏洞（RCE、SSRF 等）是不可能的。 Hacktron 被用作“副驾驶”，快速分析反编译的驱动程序源代码，使用了定制的、以漏洞为中心的“JDBC 驱动程序包”。它有效地识别了潜在的 sink 并追踪用户可控的输入，大大缩短了分析时间。 这导致发现了关键漏洞，包括 Databricks 驱动程序中的一个 RCE，源于本地文件暂存的缺陷 allowlist – 通过 Databricks 的 Volume 存储并与 Git 仓库克隆功能链式利用。 此外，还在 Exasol（任意文件读取）和 Teradata（命令注入，已披露）中发现了漏洞。 最终，Hacktron 在不同厂商的驱动程序中发现了多个漏洞，获得了 **85,000 美元的漏洞赏金**。 此次经验凸显了 LLM 辅助审计加速研究的潜力，使研究人员能够专注于创造性的利用，而不是繁琐的手动代码审查。 Hacktron CLI 目前正在招募早期用户：[https://app.hacktron.ai/signup](https://app.hacktron.ai/signup)

## 维基百科统一移动和桌面域名：提升性能与SEO 17年来，维基百科一直通过独立的移动域名（m.wikipedia.org）为移动用户服务，这在2008年是一种常见做法。然而，随着谷歌转向“移动优先”索引，实际上忽略了独立的移动网址，这种做法变得过时。这一变化导致来自谷歌的流量（维基百科浏览量的60%）页面加载时间**减慢10-20%**。 为了解决这个问题，维基百科在2023年10月统一了其移动和桌面域名。这消除了重定向，**使所有用户的移动响应速度提高了20%**。 此次更改也显著提升了SEO，特别是对于Wikimedia Commons，在启用站点地图后，谷歌的页面索引**增加了140%**。 除了性能和SEO之外，统一域名还解决了链接共享的UX问题，并**通过将CDN清除率减半来降低了基础设施负载**，每天节省数十亿次清除操作。 该项目展示了一次成功的现代化改造，使维基百科与当前的网络标准保持一致，并为用户和运营带来显著的益处。

Trail of Bits为LLVM 21开发了恒时编码支持，以保护密码学实现免受时序攻击——利用基于秘密数据的执行时间变化所造成的漏洞。编译器常常会以无意的方式优化代码，重新引入分支，即使在精心编写的恒时代码中也会产生这些时序侧信道。 为了解决这个问题，他们引入了`__builtin_ct_select`内在函数。这指示编译器在代码生成期间保持恒时行为，作为防止可能损害安全性的优化的屏障。该内在函数被转换为特殊的LLVM指令，确保该操作在所有编译阶段和架构（x86-64、i386、ARM、AArch64等）上保持恒时。 初步基准测试，与苏黎世联邦理工学院合作进行，表明性能开销最小，同时完全保留了恒时属性。这项工作已经受到Rust Crypto、BearSSL和PuTTY等项目的关注，为不太可移植的解决方法提供了替代方案。未来的计划包括扩展恒时内在函数套件，涵盖算术和字符串操作，并扩展对Rust、Swift和WebAssembly等语言的支持。

最新的Redfin数据显示，房地产市场正在加剧放缓，特点是“退市”数量激增——房屋在超过31天未售出后被撤出市场。9月份退市数量同比增长28%，为八年来的最高水平，总计约85,000套房屋。 这种停滞源于多种因素：房屋供应量显著过剩（卖家比买家多50万套），由于高利率和经济不确定性导致买家需求疲软，以及卖家不愿接受亏损。越来越多的房主选择出租房产而不是出售。 虽然全国房价在9月份出现小幅月度上涨，但同比涨幅正在放缓，而且大多数主要城市的价格正在*下跌*。 新上市房屋数量仍然较低，因为拥有历史低利率抵押贷款的房主不愿出售。 退市数量的增加表明卖家正在“放弃”，预计未来市场状况会更好。

## PinePhone 调制解调器破解：隐藏的 ADB Shell 一名开发者在 PinePhone 的闭源 Quectel EG25-G 调制解调器中发现了一个隐藏的 ADB（Android Debug Bridge）shell。系统日志中显示的一个特定密钥解锁了对调制解调器*内部*运行的完整 Linux 操作系统（版本 3.18.44）的访问权限。 使用 ADB，该开发者成功地在调制解调器的有限存储空间上部署并运行了一个静态 HTTP 服务器（darkhttpd），然后转发端口以访问直接托管在该设备上的博客。吞吐量测试显示通过 ADB 转发约为 10Mb/s。 然而，这一发现引发了重大的安全问题。许多调制解调器命令使用 `system()`，可能打开命令注入漏洞的大门。更关键的是，通过 ADB 获取 root 访问权限允许潜在的恶意软件持久存在——在主机操作系统重新安装后仍然存活，并能够进行通信/位置跟踪。虽然交互需要由 PinePhone 发起的 USB 连接，但风险仍然很大。这凸显了调制解调器设计中的潜在安全缺陷以及闭源组件在开源硬件中的更广泛影响。