最新

一个有趣的玩具内存分配器（非线程安全，这是未来的待办事项）。我还想解释一下我的实现思路，所以我写了一篇教程博客文章（大约 20 分钟阅读），涵盖了代码，你可以在 README 中找到链接。

上个季度，复杂的 npm 供应链攻击事件层出不穷，例如 [Shai-Hulud](<a href="https:&#x2F;&#x2F;www.cisa.gov&#x2F;news-events&#x2F;alerts&#x2F;2025&#x2F;09&#x2F;23&#x2F;widespread-supply-chain-compromise-impacting-npm-ecosystem" rel="nofollow">https:&#x2F;&#x2F;www.cisa.gov&#x2F;news-events&#x2F;alerts&#x2F;2025&#x2F;09&#x2F;23&#x2F;widesprea...</a>()) 和 [Chalk/debug 供应链攻击](<a href="https:&#x2F;&#x2F;www.wiz.io&#x2F;blog&#x2F;widespread-npm-supply-chain-attack-breaking-down-impact-scope-across-debug-chalk" rel="nofollow">https:&#x2F;&#x2F;www.wiz.io&#x2F;blog&#x2F;widespread-npm-supply-chain-attack-b...</a>())。这个命令行工具可以帮助用户防范最近被攻破的软件包，它只下载发布时间较长的软件包（默认是 90 天或更早）。 安装：npm install -g @dendronhq/safe-npm 使用方法：safe-npm install react@^18 lodash 工作原理： - 查询 npm 注册表，获取所有符合你 semver 范围的版本 - 过滤掉过去 90 天内发布的内容 - 安装最新的“旧”版本 局限性： - 无法防御从一开始就具有恶意行为的软件包 - 无法控制传递依赖（尚未实现 - 正在研究覆盖方案） - 延迟获取合法的全新功能 这旨在作为一种 80/20 措施，用于防范最近被攻破的 NPM 软件包，并非万能药。请试用一下，并告诉我你的反馈。

<a href="https://archive.ph/lEmzI" rel="nofollow">https://archive.ph/lEmzI</a>

大家好，HN — 我开发了 BlankTrace，一个跨平台（Linux/macOS）的 Rust CLI/守护进程，它充当本地 HTTP/HTTPS MITM 代理，用于匿名化您的浏览器流量。 ## 它的作用 / 为什么您可能会使用它 - 随机化浏览器指纹：轮换 User-Agent（通过 rand_agents）和 Accept-Language 标头。 - 移除或阻止请求/响应中的 Cookie。 - 基于正则表达式的追踪器/域名阻止，支持白名单。 - 作为 MITM 代理在 localhost:8080 上运行，具有完整的 TLS 拦截功能（生成自己的 CA）用于 HTTPS。 - 将代理活动异步记录到 SQLite 中（请求、被阻止的域名、指纹轮换、Cookie 行为）。 - 提供 CLI 界面：查看统计数据、管理白名单/黑名单、导出数据等。 ## 技术细节 - 用 Rust 编写。 - 使用：hudsucker（用于 MITM 代理）、rand_agents（用于真实的 UA 轮换）、rusqlite（日志记录）、tokio、clap 等。 - 通过 config.yaml 进行配置，允许您调整轮换模式、阻止模式、保留策略等。 - 日志记录模式包括域名、IP、Cookie 尝试、指纹轮换等表格。 - 需要在您的浏览器/操作系统中信任生成的 CA 证书才能进行 HTTPS 拦截。 - MIT 许可。 ## 当前状态 - 代理功能齐全：HTTP/HTTPS 拦截工作正常。 - 指纹随机化在请求中生效。 - Cookie 移除和域名阻止已实现。 - 异步记录到 SQLite 中运行正常。 - 支持正常关闭、CA 持久化和日志清理。 - 已知限制：需要手动安装 CA 证书才能拦截 HTTPS。 ## 为什么我开发了它 我想要一个轻量级、高性能且可配置的代理，以便在浏览时获得更多隐私 — 而无需依赖于重量级的浏览器扩展。BlankTrace 让您可以控制指纹识别、Cookie 和追踪器，所有这些都在您自己的守护进程下进行。 ## 开始使用 - GitHub 仓库：<a href="https://github.com/mrorigo/blanktrace" rel="nofollow">https://github.com/mrorigo/blanktrace</a> - 项目主页/文档：<a href="https://mrorigo.github.io/blanktrace/" rel="nofollow">https://mrorigo.github.io/blanktrace/</a> - 构建：cargo build --release → 运行 ./target/release/blanktrace - 在您的系统/浏览器中信任生成的 CA 证书以启用 HTTPS 拦截。 - 使用 CLI：blanktrace stats, domains, whitelist, export, 等。 ## 反馈/需要帮助 我很乐意收到关于配置用户体验的反馈（默认设置是否合理？您希望公开哪些设置？） 它还很新 — 在不同的平台/浏览器上进行测试将有助于确保稳定性。 非常欢迎贡献（代码、文档、检测规则）。 如果您关心隐私、指纹随机化，或者想更好地了解您浏览器的网络行为 — 我很感谢您来试用。

我们正在开发一款 SaaS 许可证管理工具，并且一直听到同样的故事：“我们知道我们在未使用的许可证上浪费了钱，但我们不知道具体浪费了多少。” 因此，我们构建了一个非常简单的计算器。一个滑块（员工数量）→ 三个估算值： • 总 SaaS 应用数量（约每位员工 13 个） • 年度浪费（约每位员工 250 美元，用于幽灵账户、未使用的席位） • IT 部门在手动跟踪上花费的时间 这些比例来自行业研究 + 早期客户数据。好奇 HN 社区的人们在他们的公司是否看到了类似的模式——我们接近了吗？还是差得很远？ （另外：欢迎对计算器的用户体验提出反馈。我们试图让它变得非常简单。）

总结：我喜欢 AI 聊天机器人，因为它们让你在没有任何干扰内容的情况下搜索网络。<p>ChatGPT 已经成为我最喜欢的搜索网络的方式。它重新定义了我与互联网的互动方式：万维网是内容，传统的搜索引擎是货架和过道，而聊天机器人是图书管理员。<p>很遗憾，如此多的争论都围绕着验证我们先入为主的恐惧。 太多人都在寻找一个可以完全否定 AI 的机会。如果你使用默认的聊天机器人来制定你的膳食计划或回答数学问题，你就是在让它失败。它的优势在于将自然语言映射到用于训练的数据的能力。从某种意义上说，AI 是用户界面的巅峰：它对用户的要求仅仅是能够说话或写作。<p>我试着列出了我喜欢它的原因：<p>- 聊天机器人和它的用户之间的关系是透明的：你提前知道你正在处理生成的内容。许多其他在线服务已经演变成一个模糊的领域，你永远无法确定你是在与用户、机器人和/或托儿互动。<p>- 向聊天机器人提问可以过滤掉我在寻找答案的途中可能看到的所有广告和赞助内容。下次你用谷歌搜索某样东西时，数一下从搜索结果页面到你找到你想要的东西之间，你看到了多少广告。这就像穿过购物中心的强制路径布局。<p>- 聊天机器人的回复大多没有图片。如果你想看到什么，你需要去要求。这与浏览的行为非常不同，在浏览中，普通用户只需一个拼写错误、一次点击或一次滚动，就可能接触到令人不愉快的内容。<p>- 没有侧边栏，推荐链接或从视口外弹出的元素！作为一个有强迫症的人，缺乏杂乱是完美体验。<p>我很想听听你对此事的看法。在我看来，几年后，我们会回顾旧式的“浏览”，想知道我们到底是如何在网上找到任何有用的东西的。我们生活在一个“金发姑娘”时代，AI 聊天机器人是出色的搜索助手，而且它们还没有被赞助内容玷污。让我们在还能享受的时候好好享受吧。