## Bluehood:揭示蓝牙的隐私影响 出于对隐私的担忧,开发者丹尼·麦考利构建了Bluehood,一个蓝牙扫描器,旨在揭示始终开启的蓝牙设备发出的令人惊讶的数据。受到WhisperPair等近期漏洞的启发,Bluehood展示了我们的生活信息是如何轻易被广播的——即使没有主动连接任何设备。 Bluehood被动运行,检测并分析附近的蓝牙信号,识别设备并追踪它们出现的时间模式。麦考利发现他可以辨别出送货员的日程安排、邻居的日常活动,甚至人们在家的时间,所有这些都不需要专门的设备。 核心问题不是有意分享,而是设备持续广播——包括那些*没有*用户控制的设备,如助听器、医疗植入物和车队车辆。具有讽刺意味的是,注重隐私的应用程序,如Briar和BitChat *需要*蓝牙,这在安全性和暴露之间造成了一种紧张关系。 Bluehood是一个Python应用程序,带有Web仪表板,它不是一个黑客工具,而是一个教育演示。它强调了看似无害的模式如何揭示我们生活中的重要信息,敦促用户在启用蓝牙时考虑便利性与隐私之间的权衡。该项目的源代码可在GitHub上获取,鼓励进一步的探索和贡献。
每日HackerNews RSS
## 蓝牙追踪与隐私问题 - 摘要
一篇近期文章及其配套Python脚本(“Bluehood”)展示了蓝牙设备被追踪的容易程度,引发了隐私担忧。这些工具揭示了大量设备持续广播身份信号,允许潜在地监控移动模式——甚至可以通过其设备识别个人。
讨论强调了这种数据可能被利用的方式:从窃贼利用它进行侦察(“他们在家吗?”设备)到零售商追踪店内购物者,甚至执法部门监控交通。担忧还包括持续广播的医疗设备,以及通过蓝牙、轮胎压力传感器或车牌识别器轻松识别车辆。
虽然MAC地址随机化存在,但其有效性备受争议。许多评论者对蓝牙的持续启用以及用户缺乏控制表示沮丧。这篇文章引发了关于现有追踪行为(例如电动滑板车公司和道路管理部门的行为)的讨论,以及对这些隐私权衡的更大意识的需求。 也有一些用户指出文章内容似乎大部分是由LLM生成的。
Ghidra是由美国国家安全局开发的强大、免费且开源的软件逆向工程 (SRE) 框架。它为分析 Windows、macOS 和 Linux 上的编译代码提供了一套全面的工具,包括反汇编、反编译和脚本编写功能。Ghidra 支持多种处理器类型和可执行文件格式,可在交互式和自动化模式下运行。
用户可以通过 Java 或 Python 脚本扩展 Ghidra 的功能并开发自定义扩展。Ghidra 最初是为了解决复杂 SRE 任务中的扩展性和协作挑战而创建的,它有助于分析恶意代码并识别漏洞。
安装需要 JDK 21,并涉及下载和提取发布文件。也可以通过 GitHub 进行开发构建,需要额外的构建依赖项和工具,如 Gradle 和 Eclipse。有兴趣贡献的用户可以在项目资源中找到开发和贡献指南。**重要提示:**在使用前请注意已知的安全漏洞并查阅 Ghidra 的安全公告。
## 自托管 XMPP 用于联合消息传递 本指南详细介绍了使用 Prosody 在 Docker 中设置功能齐全的自托管 XMPP 服务器,为 Signal 等集中式消息应用程序提供注重隐私的替代方案。XMPP 的联合特性可防止厂商锁定,确保消息所有权和持久性。 设置涉及 Docker、Docker Compose、域名和 TLS 证书(可通过 Let’s Encrypt 轻松获得)。关键步骤包括配置 DNS 记录(用于发现的 SRV,用于文件上传的 A/CNAME)、使用 TLS 保护连接以及自定义 Prosody 的配置文件。 `carbons`(跨设备同步)、`smacks`(可靠传递)、`cloud_notify`(推送通知)和 `mam`(消息归档)等基本模块可增强移动体验。安全性是首要任务,强制加密并禁用公共注册。 通过 OMEMO 实现端到端加密,客户端如 Monal (iOS/macOS) 和 Conversations (Android) 支持此功能。语音和视频通话通过联合托管的 coturn 服务器实现 NAT 穿透。最后,必须调整防火墙规则以允许必要的端口。 尽管作者仍使用 Signal 进行日常通信,但他们认为这个自托管的 XMPP 服务器是一个有价值的、独立的的消息解决方案,提供控制权和面向未来的保障。
## 运行自己的聊天服务器:Hacker News 讨论
最近 Hacker News 的讨论集中在寻找真正独立的即时通讯解决方案的挑战上,导致许多人探索自托管选项,例如 XMPP。最初的发帖者详细介绍了设置自己的 XMPP 服务器以避免依赖 Signal 等集中式服务,但对话很快突出了现代即时通讯环境的复杂性。
许多评论者分享了类似的经历——尝试 Matrix,发现它资源密集且难以配置,最终又回到了 XMPP。虽然 XMPP 提供了联合和控制,但客户端兼容性和易用性仍然是障碍。Signal 经常被提及为一种方便的选择,但对其集中式性质和封闭生态系统的担忧仍然存在。Telegram 因安全问题而被一些人否定。
一个关键的结论是,由于网络效应,很难说服其他人切换平台——每个人都已经在使用 WhatsApp、Signal 或 iMessage。 几位用户赞扬了 Snikket 等项目,因为它简化了 XMPP 服务器的设置,并称 Movim 是一个有希望的客户端。最终,讨论强调了隐私、易用性和主流消息应用程序的便利性之间的权衡。理想的解决方案,一种通用兼容且去中心化的协议,仍然难以捉摸。
司法部正在关闭 Courtsdesk,这是一个重要的数字档案,被超过 1500 名记者用于跟踪刑事案件,尽管存在广泛反对。英国皇家法院及法庭服务处 (HMCTS) 以“未经授权的信息共享”为由,发布通知要求删除所有记录。
Courtsdesk 强调了一个重要的未报道案件问题——发现三分之二的法院经常在未通知记者的情况下举行听证会。尽管该公司提出了 16 次申诉,甚至前司法部长克里斯·菲尔普介入,政府仍拒绝重新考虑。
Courtsdesk 的创始人认为 HMCTS 自己的数据不可靠(仅有 4.2% 的准确率),并且有 160 万场听证会未被媒体知晓,这使得他们的平台对于公开司法至关重要。HMCTS 坚持媒体将继续获得法院信息,但人们仍然担心这会对报道和透明度产生影响。
以色列监控公司Paragon Solutions在LinkedIn上意外暴露了其“Graphite”间谍软件仪表盘,揭示了一个价值数十亿美元的行业,目标是全球记者、活动家和个人。泄露展示了该系统入侵设备、拦截通信(甚至加密通信)和收集数据的能力,凸显了现代监控资本主义令人不安的现实。 Paragon最近以9亿美元被收购,其创始人包括前以色列总理埃胡德·巴拉克,这说明了情报机构与商业监控市场之间的密切联系。尽管该公司试图将自身定位为像NSO Group这样的公司的“道德”替代品,但研究证实Graphite提供了全面的设备访问权限,超出了其声称的限制。 此次暴露紧随有关Paragon间谍软件攻击WhatsApp用户的报告,其中包括记者,并显示美国机构(如ICE)正在使用该技术。这凸显了一种令人不安的趋势:最初为控制被占领土而开发的工具现在在全球范围内销售,引发了对隐私、安全和脆弱性商品化的担忧。此事件提醒人们,设备入侵会绕过加密,并要求对那些从这种普遍存在的监控系统中获利的人追究责任。
预计硬盘价格将大幅上涨,西部数据已售罄2026年的存储容量,并且2027年和2028年大部分也已承诺给主要客户。这并非典型的供应问题,人工智能公司的需求正在迅速超过消费者需求。 西部数据报告称,消费者现在仅占其收入的5%,优先考虑推动人工智能繁荣的企业客户。这种需求的激增正在影响整个科技行业,导致RAM等组件短缺和价格上涨,并可能推迟PlayStation等产品的发布。 除非人工智能投资放缓,否则这些短缺和由此带来的消费者价格上涨可能会持续,因为人工智能公司正在积极消耗可用硬件和存储。这种情况凸显了科技行业优先级的转变,即优先发展大规模人工智能,而非个人消费者购买。
Anthropic的Claude Code AI工具最近更新了其输出,将编码任务期间访问的文件名合并为概括性陈述,例如“读取了3个文件”。这一变化引发了开发者的强烈反对,他们认为详细的文件访问信息对于安全性、调试和高效的token使用至关重要——这让他们能够快速识别错误并中断不正确的进程。 Anthropic最初辩护说,这一改变是为了简化用户界面,并建议开发者使用“详细模式”来获取更多细节。然而,反馈表明详细模式由于信息过多而无用。该公司随后重新调整了详细模式,使其*仅*显示文件路径,这让之前依赖其完整细节的用户感到沮丧。 核心问题是透明度:开发者担心隐藏的操作会增加出错和浪费资源的风险。虽然Anthropic认为输出复杂性增加是改变的驱动因素,但许多用户强调了易于获取的信息对于监督和信任AI流程的价值。Claude Code继续默认采用压缩视图,未来预计还将进行进一步调整。
为了制作 Gelman 的《贝叶斯数据分析》的可搜索版本,作者使用了 DeepSeek 开源 OCR 模型,克服了旧硬件和昂贵商业选择的限制。他们利用 Modal,一个无服务器计算平台,在云 GPU (A100) 上运行 OCR 流程,无需服务器管理,只需为计算时间付费。
该过程包括通过 Modal 部署一个 FastAPI 服务器,接受图像上传,并返回 markdown 文本。构建了一个包含必要依赖项(PyTorch、transformers 等)的容器镜像。为了提高效率,采用了批量推理,同时处理多页。DeepSeek 模型的输出,包括定位标签,被清理以生成可搜索的 markdown 文件,每页一个。
处理这本 600 页的书籍大约花费了 45 分钟,成本约为 2 美元。生成的可搜索文本允许轻松查询、粘贴到语言模型中以及构建搜索索引——将以前基于图像的 PDF 转换为可用的资源。OCR 质量,特别是对于数学符号,出乎意料地好。
## 无服务器 OCR:40 行代码实现 - 摘要
最近一篇 Hacker News 上的帖子详细介绍了如何使用预训练的大型语言模型 (LLM) 构建无服务器光学字符识别 (OCR) 系统。作者旨在数字化一本统计学教科书,该书特意选择了包含大量数学符号的版本,并发现 DeepSeek-OCR 适合该任务。
讨论强调了“无服务器”的细微之处——它并不一定意味着*没有*服务器,而是抽象化基础设施管理,并且仅为使用的计算时间付费。虽然 Tesseract 是处理简单文档的可行免费选项,但基于 LLM 的 OCR 在处理复杂布局、手写和数学公式方面表现更出色。
其他替代方案,如 dots 和 olmOCR,也被建议为可能更优秀的开源选项。成本是关键考虑因素;作者在 A100 GPU 上处理 600 页内容花费了约 2 美元,而其他解决方案则可能提供更便宜的价格。核心要点是利用云资源进行 OCR 任务,即使这意味着依赖他人的服务器。
## Pencil:Vim 写作工具 – 摘要
Pencil 插件旨在通过简化散文编辑体验,使 Vim 对写作者更具吸引力。它侧重于细微的调整——例如根据行折叠偏好调整导航,以及在标点符号处创建撤销点——以弥合 Vim 的编码优势与写作需求之间的差距。
Pencil 支持软行折叠和硬换行,可以自动检测首选方法,或允许为每个缓冲区或文件类型手动配置。它利用 Vim 的自动格式化功能,在硬换行模式下提供选项,以便临时暂停代码块和表格的格式化。该插件纯 Vimscript 编写,无依赖项,并与 Vim 的 Conceal 功能集成,以实现更清晰的标记显示。
最终,Pencil 的目标不是 *取代* 文字处理器,而是通过以作者为中心的调整来增强 Vim 现有的功能。它鼓励自定义和探索 Vim 广泛的插件生态系统,为已经熟悉模态编辑器的人们提供高度可配置且潜在高效的写作环境。安装通过 Vim 的包管理器即可轻松完成。