一周热榜

新项目、重构、实验、初创企业或深夜编程——告诉我们这个月你正在构建或探索什么，以及原因。

随着像OpenClaw这样的个人AI代理通过利用用户的私人数据变得越来越强大，隐私问题已成为一个根本性的瓶颈。<p>我们推出了HEVEC，这是一种基于同态加密的向量数据库，能够实现端到端的隐私保护，并支持大规模的实时搜索。<p>HEVEC被设计为明文向量数据库的可替代方案，支持大规模的实时加密搜索（在约187毫秒内处理100万个向量）。<p>关键点： - 一个安全的、可替代明文向量数据库的方案 - 对数据和查询进行端到端的同态加密 - 大规模的实时加密搜索（在187毫秒内处理100万个向量）<p>随着个人AI代理变得更加个性化，数据的所有权必须归用户所有。<p>HEVEC通过隐私设计架构来强制执行这一点。<p>我们欢迎来自AI、系统和隐私社区的反馈。

大家好， 我开发了一个名为<i>Cimba</i>的多线程离散事件模拟库，使用C语言编写。 Cimba利用POSIX pthread多线程技术实现多个模拟试验的并行执行，同时协程在每个模拟试验的宇宙内部提供了并发性。模拟的过程基于不对称的栈协程，切换上下文的部分是用汇编语言手动编码的。 栈协程使得表达代理行为变得自然，因为可以在概念上将自己“置于”该过程内部，并描述它的行为。一个过程可以在无限循环中运行，也可以作为一个一次性客户在系统中传递，能够在其调用栈的任何层级进行让步和恢复执行，既可以充当主动代理，也可以根据需要充当被动对象。这一设计灵感来源于我多年前在Simula67编程的经历，当时我发现协程的重要性超过了当时广受欢迎的面向对象编程。 Cimba的运行速度非常快。在一个简单的基准测试中，100次M/M/1队列的试验，每次运行一百万时间单位，Cimba的速度比用SimPy和Python多进程构建的等效模型快<i>45倍</i>。与SimPy模型相比，运行时间减少了<i>97.8%</i>。Cimba甚至在单个CPU核心上每秒处理的模拟事件数量也超过了SimPy在所有64个核心上能做到的。 这种速度不仅仅归功于高效的协程。其他部分也经过了速度优化，比如哈希堆事件队列（二叉堆加斐波那契哈希表）、快速随机数生成器和分布、频繁使用的对象类型的内存池等等。 初始实现支持Linux和Windows的AMD64/x86-64架构。我计划接下来支持Apple Silicon，然后可能会考虑ARM架构。 我相信这可能会引起HN社区的兴趣。我希望听到大家对API和代码的看法。对于未来考虑的目标架构，大家有什么想法吗？ 文档：<a href="https://cimba.readthedocs.io/en/latest/" rel="nofollow">https://cimba.readthedocs.io/en/latest/</a> 代码库：<a href="https://github.com/ambonvik/cimba" rel="nofollow">https://github.com/ambonvik/cimba</a>

DietPi 发布了新版本 v10.0 DietPi 是一个基于 Debian 的轻量级 Linux 发行版，适用于单板计算机（SBC）和服务器系统，同时也可以选择安装桌面环境。它以最小化镜像的形式发布，但允许用户通过一系列基于控制台的对话框和脚本安装完整且可立即使用的软件堆栈。 源代码托管在 GitHub 上： https://github.com/MichaIng/DietPi 官方网站： https://dietpi.com/ 维基百科： https://de.wikipedia.org/wiki/DietPi 该项目于 2026 年 1 月 25 日发布了 DietPi v10.0 版本。 此版本的亮点包括： - 支持的最低 Debian 版本：从 Bullseye（Debian 11）提升至 Bookworm（Debian 12） - ownCloud Infinite Scale：新的软件包，替代 ownCloud - Uptime-Kuma：新的软件包，系统监控工具 - Sparky SBC、NanoPi M2/T2/Fire2 和 NanoPi M3/T3/Fire3 系列：由于供应商镜像过旧，已移除支持 - RPi Cam Web Interface、Pydio：已移除，不支持 Bookworm 及更高版本 - Quartz64：支持新的 NPU 驱动程序 - 修复 Radxa ZERO 3、Orange Pi 3/3 LTS/3B、NanoPi R2S、NanoPi NEO3、ROCK64 的问题 - 修复 Home Assistant、BirdNET-Go、Mopidy 的问题 - Raspberry Pi Imager：支持 DietPi 作为可选的“其他通用操作系统” 完整的发布说明可以在以下链接找到： https://dietpi.com/docs/releases/v10_0/

嘿，HN 我是卢克。 我快速构建了nono，超出了我的预期，这是对openclaw混乱局面的回应，但它的用途不仅限于openclaw。 问题是：AI代理在你的机器上执行代码。提示注入、幻觉或被攻击的工具可能会读取~/.ssh，泄露凭证，甚至更糟。应用级沙箱可能会被它们所沙箱化的代码绕过。 我在安全领域待了很长时间（几年前我开始了一个叫做sigstore的项目），见过这种模式很多次。 解决方案：nono使用用户空间无法逃脱的操作系统级隔离： Linux：Landlock LSM（内核5.13+） macOS：Seatbelt（sandbox_init） 在沙箱 + exec()之后，没有系统调用可以扩展权限。内核会拒绝。 它的功能： nono run --read ./src --allow ./output -- cargo build nono run --profile claude-code -- claude nono run --allow . --net-block -- npm install nono run --secrets api_key -- ./my-agent 文件系统：按目录或文件进行读/写/允许 网络：完全阻止（计划进行每主机过滤） 秘密：从macOS钥匙串 / Linux秘密服务加载，作为环境变量注入，执行后清零 技术细节： 用Rust编写。约2000行代码。在Linux上使用landlock crate，在macOS上使用原生FFI调用sandbox_init()。秘密通过keyring crate处理。所有路径在授予时进行规范化，以防止符号链接逃逸。 Landlock ABI v4+为我们提供TCP端口过滤。旧内核回退到完全的网络允许/拒绝。macOS Seatbelt配置文件动态生成，类似Scheme的DSL字符串。 限制： macOS：目前允许所有读取以使可执行文件正常工作。下一个版本将收紧。 Linux：Landlock并不覆盖所有内容（直到最近的内核才有UDP过滤，没有系统调用过滤——那是seccomp的领域） 尚不支持Windows（还没？） 起源： 为OpenClaw构建这个（处理Telegram/WhatsApp消息的AI代理平台）。需要真正的隔离，而不是“请不要读取这个文件”的隔离。因为每个代理运行器都有这个问题，所以进行了通用化。 GitHub: [https://github.com/lukehinds/nono](https://github.com/lukehinds/nono) 文档: [https://docs.nono.dev](https://docs.nono.dev) 网站: [https://noto.sh](https://noto.sh) Apache 2.0。希望能收到关于安全模型的反馈，特别是来自那些与Landlock或Seatbelt合作过的人。话虽如此，代码需要好好整理，我对此并不特别自豪，所以请多包容我！

嘿，HN（黑客新闻）， 在开发了 Box QR（个人库存追踪器）之后，我不断听到“我需要这个来管理我的业务。”因此，我正在探索 ItemGrid——一种轻量级的库存管理工具，简单易用。 问题是：小企业在 Google Sheets（杂乱无章，无法移动扫描）和企业软件（昂贵，过于复杂）之间陷入了困境。 ItemGrid 的功能包括： - 视觉网格界面 - QR/条形码扫描 - 多地点支持 - 永久免费支持一个地点 - 当你扩展时，每位用户 $8 目前，它只是一个收集验证注册的登录页面。在收到 50-100 个注册以确认真实需求之前，不会构建完整产品。 非常希望能得到反馈，特别是如果你曾经遇到过库存管理的烦恼。 [https://itemgrid.io](https://itemgrid.io)

在看到关于AI机器人（如OpenClaw、Moltbot、Clawdbot）的讨论后，我相信用户界面（UI）将会发生重大变化。<p>点击和输入的时代已经结束。<p>语音将成为主要的交互界面。<p>用户界面将会根据需求进行自适应。<p>每一台电脑上都将有一个AI代理层。<p>由于隐私问题，“类似Shazam”的过滤器将会限制未经授权的语音捕捉。<p>这样说有道理吗？

我对 Go 验证器中的运行时反射感到沮丧，因此我采用了代码生成的方法。 govalid 读取结构体标记并生成普通的 Go 验证代码。没有反射，运行时没有内存分配，速度比 go-playground/validator 快 5-44 倍。还支持 CEL 以处理复杂规则。 欢迎反馈 :)

大家好， 我构建了一个运行时环境，用于通过 WebAssembly 沙箱隔离不可信代码。基本上，它保护您的主机系统免受不可信代码可能引发的问题。最近我们对 Python 中的沙箱化进行了深入讨论，更详细地阐述了这个问题[1]。在 TypeScript 中，由于两个生态系统之间的紧密联系，WebAssembly 的集成显得更加自然。 核心部分是用 Rust 编写的。在此基础上，我通过 wasmtime 和组件模型使用了 WASI 0.2，并结合自定义 SDK，使其尽可能符合语言习惯。 例如，在 Python 中，我们有一个简单的装饰器： ```python from capsule import task @task( name="analyze_data", compute="MEDIUM", ram="512mb", allowed_files=["./authorized-folder/"], timeout="30s", max_retries=1 ) def analyze_data(dataset: list) -> dict: """在一个隔离的、资源受控的环境中处理数据。""" # 您的代码在 Wasm 沙箱中安全运行 return {"processed": len(dataset), "status": "complete"} ``` 在 TypeScript 中，我们有一个包装器： ```typescript import { task } from "@capsule-run/sdk" export const analyze = task({ name: "analyzeData", compute: "MEDIUM", ram: "512mb", allowedFiles: ["./authorized-folder/"], timeout: 30000, maxRetries: 1 }, (dataset: number[]) => { return {processed: dataset.length, status: "complete"} }); ``` 您可以设置 CPU（通过 compute）、内存、文件系统访问权限和重试次数，以精确控制您的任务。 虽然现在还处于早期阶段，但我非常希望能听到反馈。我会在这里回答问题。 GitHub: [https://github.com/mavdol/capsule](https://github.com/mavdol/capsule) [1] [https://news.ycombinator.com/item?id=46500510](https://news.ycombinator.com/item?id=46500510)

相当奇怪。这位代理商完全主导了moltbook，并推出了一种代币，在短短几小时内就涨到了数百万。<p>代理商拥有自己的货币是有道理的。但在我看来，这实在是太疯狂了。