我花了几个月解决评论的 spam 问题，没能奏效，最后以 tg 给我评论区封了成功解决。

#security
NPM debug 包出现大新闻，任何安装/运行了这个包的电脑均应视为已失陷。

更新：
多个npm包的作者 Qix- 被钓鱼，npm账号失陷。黑客上传了多个有恶意代码的npm包。具体包列表可以在以下链接查看：https://github.com/debug-js/debug/issues/1005#issuecomment-3266868187

编者注：考虑到黑客动手的速度之快，可以认为是一次定向的钓鱼攻击。热门包的维护者应该考虑从TOTP转到FIDO2。

这就是我们丝之歌啊，真是坐坐又牢牢

2025年9月10日早，Op.Link2infinity在多国Agent配合下圆满完成，从中国甘肃玉门成功连接至美国阿拉斯加 Unalaska，完成了 Ingress 游戏史上迄今为止最长的 Link——6881.279958 km。

这一距离，距离理论极限42毫米。
详细战报会在6小时内发布，敬请期待！

The Op.Link2infinity project was successfully completed in the early morning of September 10, 2025, through international cooperation of Agents from multiple countries, connecting Yumen, Gansu, China to Unalaska, Alaska, USA. This Link marks the longest ever in Ingress history, spanning 6,881.279958 kilometers.
This distance is just 42 millimeters short of the theoretical maximum, setting a groundbreaking record.
The detailed operation report will be officially released within 6 hours. Please stay tuned!

2025年9月10日早朝、中国・甘粛省玉門とアメリカ・アラスカ州ウナラスカを多国籍のエージェントが協力し、Ingress史上最長のリンクを成功裏に完成させました。リンク距離は6,881.279958キロメートルに達しました。
この距離は理論上の最大値よりわずか42ミリメートル短い記録となり、画期的な成果です。
詳細な戦況レポートは6時間以内に公式発表されますので、ご期待ください。

CI 最后过了，一点小反思就是因为我还没接触过这种构建缓存巨大，构建一次巨慢的仓库。所以以前我都是先改代码，看看报错再说，但这次我光本地就全量构建了两三次，每次大概半小时或更多，不包括其中的增量构建。很多时间都是在等机器，包括其中还尝试用 codespace 结果空间不足，作罢；但其实这个小问题看看 log 自己锁定下，就很容易猜到 ，可以省掉很多次验证性质的构建。如上一点小小反思。
https://github.com/GreptimeTeam/greptimedb/pull/6946

#py #game #ci

据称泄露自 GFW 开发部门的约 600 GB 内容被发布。

- 根据文件名，这些内容包含大量文档、源代码及 JIRA 等系统的数据等。
- 原文链接下可以下载到包含这些内容的 BitTorrent 种子文件*。它的 infohash 是 8464ce47b9462cb88b9a0d160418194eab13d385 。

https://gfw.report/blog/geedge_and_mesa_leak/zh/

*由于 BitTorrent 网络设计，第三方（例如做种者、下载者、tracker 服务器提供商或 DHT 的 peer）均可能知道在下载特定种子的 IP 列表。如果订户认为这些文件较为敏感，可能需要考虑通过 BitTorrent 之外的手段获取这些文件，并在网络隔离环境下阅读它们。

#GFW

百度网盘客户端被发现远程命令执行漏洞；新版已经修复。

- 利用者需要访问用户 localhost 上开放的 HTTP 端点，因此漏洞可能被访问恶意页面的浏览器触发。
- 7.59.5.104 及之前版本受到影响。

https://linux.do/t/topic/929234

[感谢 夜坂雅 提供此消息。]

#PSA #Baidu

Google 新政策：2026 年中起，被安装或 sideload 应用的开发者必须进行实名认证。

- Google 宣称此举是为「让 Android 更安全」及「保护 Android 的开放环境」。
- 预载了 GMS 套件的 Android 认证设备将受此政策影响。
- 政策将于 2026 年九月在部分地区（巴西、印尼、新加坡、泰国等）生效；后续将覆盖更多地区。

1. https://developer.android.com/developer-verification
2. androidauthority.com/~

#Google #Android

精华内容：难道说，GFW 通过参考了一篇 GFW Report 研究分析 GFW 识别 FET 的手段和行为的 paper、才实现了识别 FET 的功能、在代码实现过程中还 参考/借鉴/移植 了 AperNet 团队参考 GFW Report 那篇论文 实现并 开源在 GitHub 上的 OpenGFW 代码？

发一个暴论，考虑到比较暴论，所以就只丢我的 TG 频道和 Mastodon 上好了。

这次积至泄漏的疑似 GFW 相关文件 一石激起千层浪，闹得沸沸扬扬，并且可以肯定的是，积至确实开发了一个类似 GFW 的网络审查工具（在下文中，我将其称之为「积至 GFW」），可以按照一定的误伤率支持识别部分 VPN 和隧道协议、并且有主动发现 VPN 的能力（暴论：这个功能一听就像是海外一些国家的定制需求）。

从积至泄漏的源码中关于 FET（即 Fully Encrypted Traffic，Shadowsocks 流量即是 FET 的一个典型且著名的 example）识别功能的实现代码（CPP-based）、存在一段注释、包含下述两个 URL：

- GFW Report 为二作的这篇 paper： https://www.usenix.org/conference/usenixsecurity23/presentation/wu-mingshi
- AperNet 团队（ https://apernet.io ，他们也是 Hysteria 和 Hysteria2 协议背后的开发者）的 玩具 IDS/IPS/DPI 项目 OpenGFW 中基于上述 paper 而实现的 FET 识别功能 https://github.com/apernet/OpenGFW/blob/278d731b6f0df6665e00987fa9e8afa99244d5f6/analyzer/tcp/fet.go

感兴趣的观众可以在积至泄漏文件中找到 /decoders/session_flags/fet.cpp 文件，即可在文件开头看到我所说的包含两个 URL 的代码注释。

难道说，GFW 通过参考了一篇 GFW Report 研究分析 GFW 识别 FET 的手段和行为的 paper、才实现了识别 FET 的功能、在代码实现过程中还 参考/借鉴/移植 了 AperNet 团队参考 GFW Report 那篇论文 实现并 开源在 GitHub 上的 OpenGFW 代码？

先有鸡还是先有蛋的问题 听着非常匪夷所思，但是让我们做一个思维实验：如果我们把 2015 年起部署在国际出口和北京根 DNS 镜像上、并历经多年升级迭代至今的 GFW 称作「The True Original GFW（原初 GFW）」；积至根本无法获取到「The True Original GFW」的源码、不得不在开发「积至 GFW」的过程中进行 cleanroom 净室开发，在开发过程中甚至 参考/借鉴/移植 了 AperNet 在 GitHub 上的开源的 OpenGFW 的代码。进一步暴论，积志这套「积至 GFW」和「The True Original GFW」可能 除了都是网络审查工具之外，没有任何其他关系。

我们可以进一步推测：中央控制的网络审查手段可能仍只有「The True Original GFW」一个、且仍只部署在 DNS 和国际出口；地方政府、地方运营商分公司，为了满足各种 KPI（反诈、对异见人士的识别和抓捕、地方网安/网警的行政诉求），向积至和其他厂商招标、定制、采购「GFW 类似物」。这也解释了为什么江苏虽然向积至采购了「积至 GFW」产品，却只用于反诈拦截。

这个暴论完全可以自圆其说，并且也能够解释为什么「GFW 呈现去中心化和边缘计算的趋势」。「The True Original GFW」本身并没有去中心化，可能也没有在多地大量部署；真相可能是，在「中央集权+地方分权」的政治大背景下，整个网络审查制度自发地、自下而上地 实现了去中心化，「边缘计算」只不过是相应的错觉罢了。

然而，网络审查制度的去中心化，只会 让 审查对抗手段 面临更多挑战。

这篇文章从第一性原理重新思考了 Web 开发中的历史遗留问题，包括冗余的 DOM API，CSS 语义混乱，框架大行其道以绕过原生缺陷。非常好的文章，看余弦推荐好久了，今天才慢慢看完这篇，很推荐看一看

https://acko.net/blog/html-is-dead-long-live-html/

#selected
https://jia.je/hardware/2025/06/10/terminal-emulator-text-rendering/#texture-atlas

再次在 HN 碰到这个博客了，强烈推荐，和 endler . dev 类似，这个注重于讲些 AI，软件工程的内容。（好像我之前也推过几篇其中的文章

推荐先从 popular 看起（强烈推荐

https://www.seangoedecke.com/popular

我早就觉得你不会玩了，你在这世上过于追求意义，明明已经创造了太多价值却总还要更多。我就看开了，过分沉迷做事和沉迷游戏一样不健康，我在工作第一年会听到带我的国企领导评价某位非常能干的学长“太忙了也不好”，我用了十年才理解到底哪里不好。希望奥哥能慢慢少做点“正事”，对我来说“浪费一个小时刷b站让我平静”就是人生正事，我甚至都不用提游戏，玩游戏更是我人生正事了。

最后，旋涡怎么住别墅啊卧槽，怎么还有地下室😭

也许我们真的会见证到 JetBrains 的落幕了 😂

https://fxtwitter.com/zhangjintao9020/status/1973727722561229308