Agili 的 Hacker Podcast

今日精选涵盖开源软件安全事件、AI 用户分化现象、苹果硬件缺陷调查，以及从考古发现到并发计算理论的多元话题。

Notepad++ 遭国家级黑客劫持

攻击始末

Notepad++ 官方确认其网站在 2025 年 6 月至 12 月 2 日期间遭遇国家级黑客攻击。攻击并非源于软件代码漏洞，而是前托管服务商的基础设施被入侵。攻击者利用该权限拦截并重定向了软件更新流量，将特定目标用户的请求导向恶意服务器。

托管服务商日志显示，尽管服务器在 9 月 2 日通过内核和固件更新清除了攻击者的直接访问权，但对方仍掌握内部服务凭据，持续劫持流量直至 12 月 2 日所有凭证重置完毕。

修复措施

官方已采取三项应对：网站迁移至新托管平台；内置更新器 WinGup 在 v8.8.9 版本中增强了证书和签名校验；更新服务器返回的 XML 配置文件现已签名，即将发布的 v8.9.2 版本将强制执行此验证。

安全实践争议

社区对 Notepad++ 之前的安全实践提出批评。直到 v8.8.7 版本，开发者仍在使用自签名证书，甚至曾将证书包含在 GitHub 源码中，导致用户习惯于忽略系统的"未知发布者"警告，为劫持攻击埋下伏笔。

受影响用户应停止使用旧版本的自动更新功能，手动下载并安装 v8.9.1 或更高版本。

AI 用户的两极分化

权力用户与聊天用户

当前 AI 用户群体呈现明显分化。第一类是"权力用户"，深度使用 Claude Code、MCP（Model Context Protocol，用于连接 AI 与外部数据源的协议）等工具。这类用户往往并非技术背景出身，许多非技术人员开始在终端中用 Claude Code 处理财务、运营等任务。

第二类是普通"聊天用户"，仅停留在与 ChatGPT 或 Copilot 网页端对话的阶段。微软的 Copilot 虽然普及，但被吐槽为"ChatGPT 的拙劣克隆版"。由于企业 IT 政策限制，员工往往无法运行本地脚本或连接内部 API，AI 能力被锁定在低效的聊天框内。

小公司的降维打击

小公司正利用这种差距实现突破。非技术高管可以通过 Claude Code 将拥有 30 个工作表的复杂 Excel 财务模型一键转化为 Python 代码，进而运行蒙特卡洛模拟等高级分析。

社区对此持保留意见。有用户分享教训：AI 在处理价格趋势图时，将月份按字母顺序而非时间顺序排列，若不仔细检查根本无法察觉。

第 50 天难题

社区提出了"第 50 天难题"：当项目规模超出 AI 的上下文窗口（通常约 200k tokens）时，生产力会断崖式下跌。用户会花费数小时向 AI 解释它刚刚忘记的代码逻辑。

iPhone 16 Pro Max 运行本地模型输出乱码

问题发现

开发者 Rafael Costa 发现，他的 iPhone 16 Pro Max 在运行 MLX（苹果专为芯片优化的机器学习框架）模型时产生完全错误的输出。iPhone 15 Pro 和 MacBook Pro 运行相同代码表现正常，但这台 iPhone 16 Pro Max 的 Neural Engine 在处理张量运算时，数值出现数量级偏差。

即使询问"2+2 等于几"这种基础测试，设备也只输出乱码，且无法生成停止令牌，导致 CPU 占用率持续锁定在 100%。

调试过程

作者将测试模型的采样温度设为 0.0 以消除变量，对 Gemma 模型各层数值进行断点调试。对比发现，输入数据在两台手机上完全一致，但 iPhone 16 在经过几层处理后，内部状态数值开始失控。例如，某层归一化处理前，iPhone 15 显示数值为 42.6，而 iPhone 16 则是 1298。

硬件缺陷确认

社区指出，这种规模的数值偏差超出正常计算扰动，更像是芯片或 Metal 编译器在 A18 芯片上的实现存在严重漏洞。作者最终通过折抵换购 iPhone 17 Pro Max 解决问题，后者测试结果完全正常，证明该特定批次或个体的 A18 芯片确实存在硬件缺陷。

Xikipedia：维基百科的无限滚动版

项目设计

Xikipedia 将简单英语维基百科转化为伪社交媒体流。开发者 rebane2001 强调该项目未借助 AI 辅助，整个应用逻辑仅 21kB，以单个 HTML 文件形式存在。为实现文章间的关联推荐，用户首次加载需下载约 40MB 数据以在本地构建完整的跨文章链接图。

该项目完全不收集用户数据，一旦刷新页面，所有点击记录都会消失。

社区争议

支持者认为这是一种"整洁刷屏"，可以作为戒掉短视频成瘾的替代品，将碎片化时间引向知识获取。批评者指出，即便是教育内容，这种高频语境切换和滑动操作本身就像"斯金纳箱"，利用多巴胺诱导用户期待"下一条会更有趣"，削弱深度阅读能力。

HS2 高铁沿线发掘 45 万件文物

发掘规模

英国 HS2 高铁建设过程中，考古学家挖掘出约 45 万件珍贵文物，目前储存在约克郡一个保密仓库中。自 2018 年以来，约 1000 名考古学家在沿线进行了 60 处挖掘。英国考古委员会称此次发掘"史无前例"。

代表性发现

仓库内存放着约 7300 盒历史遗物，包括：超过 4 万年历史的旧石器时代手斧，可能由尼安德特人制造；刻有"愿胜利者获胜并好运"字样的罗马角斗士标签；由牛股骨制成的盎格鲁-撒克逊纺锤盘；19 世纪金假牙；以及 18 世纪末瓷器厂生产的哈巴狗雕塑。

考古团队正说服土地所有者进行捐赠，希望让大部分文物能够回到发现地附近的当地博物馆展出。

Actor 模型：并发计算的理论基石

模型定义

Gul Agha 在 1985 年提出的 Actor 模型是分布式系统中并发计算的基础架构。Actor 被定义为一种计算代理，在接收消息时执行三个基本操作：向其他 Actor 发送消息、创建新 Actor、指定替换行为（处理下一条消息时采用的新状态或逻辑）。

在 Actor 系统中不存在全局时钟，每个 Actor 都有自己的局部时间。消息通过邮政系统进行缓冲和投递，保证最终必达。通信是异步的，发送者无需等待接收者就绪，有效避免了递归结构中的死锁问题。

应用场景争议

社区对 Actor 模型的应用范围存在争论。有观点认为，在单进程内为实现并发而强行引入 Actor 有时是"过度设计"，结构化并发往往更易于管理。但在管理 Git 仓库等需要串行化操作的任务时，使用 Actor 可以避免复杂的互斥锁，使设计更具可读性。Erlang OTP、Elixir、Microsoft Orleans 和 Akka 等框架证明了该模型在电信和大规模机器通信中的威力。

MacBook Pro DFU 端口文档错误

文档与实际不符

Apple 官方文档在 M4 系列 MacBook Pro 的 DFU（设备固件更新模式）端口定义上存在错误。文档称所有 Apple 芯片 MacBook Pro 的 DFU 端口都应位于"面对 Mac 左侧时最左边的 USB-C 接口"，但在 16 英寸 M4 Pro 机型上实测证明，DFU 端口实际位于机身右侧。

导致的问题

这一错误直接导致外部磁盘更新 macOS 时连续失败。Apple 要求使用外部存储设备安装系统时，设备必须插入除 DFU 端口以外的任何兼容端口。如果误用 DFU 端口，系统不会给出"端口错误"提示，而是照常执行下载、准备和重启的全流程，但在漫长等待后系统版本原地踏步，没有任何错误代码。

macOS 无法在检测到错误端口连接时主动报错，这种黑盒体验让不少用户感慨，相比 Intel 和 PowerPC 时代，现在的 Mac 磁盘管理变得过度复杂且缺乏透明度。

用 rsync 实现 Time Machine 式备份

核心原理

该方案利用 rsync 的 --link-dest 参数实现增量备份。通过创建硬链接（多个文件名指向磁盘上同一块物理数据），备份脚本对比当前数据与上一次备份，仅存储发生变化的文件；对于未变动的文件，仅创建指向旧文件的硬链接。每份快照在外观上都是完整文件夹，但不会重复占用存储空间，用户可随意删除旧快照而不影响其他版本。

进阶方案

社区推荐了更成熟的工具：rsnapshot 在处理大规模备份任务时更加稳健；在 Linux 环境下配合 ZFS 或 LVM 使用，可在执行同步前生成文件系统级别快照；restic 或 kopia 在加密和数据去重方面表现更佳；对于目录镜像同步，Syncthing 是更流行的选择。

Nix 语言的契约式类型检查

解决的问题

Nix 语言缺乏完善的类型系统。虽然社区有 Cue、Dhall 或 Nickel 等替代方案，但它们都难以为现有遗留 Nix 代码添加类型注解。"Contracts"库利用验证器来定义"契约"，开发者可以直接将正则表达式或非空检查定义为类型。

技术特性

Contracts 支持与 NixOS 现有的 lib.types 和 mkOption 配合使用；契约检查触发的是可恢复错误，可被 tryEval 捕获；提供清晰的调试追踪，在类型不匹配时能准确定位原始值；考虑到运行时开销，用户可选择性关闭，例如仅在 CI 环境下启用检查。

社区有观点认为运行时断言只是类型系统的廉价替代品，但支持者辩护称，由于 Nix 语言具有纯函数特性且倾向于延迟加载，全求值时的运行时错误几乎等同于传统语言的编译错误。考虑到 Nixpkgs 庞大的存量代码，渐进式方案是唯一现实的出路。

创业是一场滚雪球

雪球比喻

创业始于一种纯粹的冲动。就像在大雪纷飞的清晨，随手抓起一把潮湿的雪，放在地上开始滚动，周围的雪会自然粘附上来。滚动过程中，有时独自前行，有时有人加入。当大家齐心协力时，雪球会迅速膨大；当多双手推向不同方向时，雪球就会停滞。

比喻的局限

社区指出这种描述过于浪漫化，忽视了创业中主动创造价值的必要性。雪球的增长在比喻中是相对被动的，而现实中的创业必须面对产品市场匹配和营收压力。一个完整的隐喻不能缺少"太阳"——它代表税收、竞争或环境变迁等外部消融力量。如果坚持在没有积雪的地方"推上坡"，创业就会变成西西弗斯式的徒劳。

相关链接：