share

02:09 · Aug 23, 2025 · Sat

不要相信自己这副德性，必须时刻倒逼自己
网络上有各种养成习惯的方法，但是其实对我而言，只有简单的一条：

习惯就是每天做，如果你哪一天不做了，就不再是习惯了。

所以从什么 21 天养成一个终身受益的好习惯之类的套路中抽离吧。世界上如果真的有这么一劳永逸的事情，那人类社会早就上天，你也不会为自己的言行不一致痛苦了。

但是我们有一种天然的属性，就是我们在思考未来的时候，非常容易高估自己的能力，过度放大未来的美好，透支做成的快感，而忽略过程中的困难。于是，在实际持续的过程中，当我们真正遇到困难的时候，我们往往就不见了。

我们就是这副德性，所以在持续行动的路上，你不要太相信自己。人们为了逃避真正有意义、有价值的思考行动，是能做出许多没有底线的事情的。所以，时刻保持警惕，告诫自己，反而可以走得更远。而当我们能认清这个本质以后，方法和技巧其实就自然而来了。

https://xiaolai.co/books/xiaolai-xuexi/92f2b7ca88e31a33ea302b4c4bd5e1b6.html
09:30 · Aug 20, 2025 · Wed

https://mei.lv/articles/2024/cdn-cname/index.html
mei的网络日志

各厂商CDN的CNAME域名及介绍

协议声明经历多次 AI 洗稿后，此文章许可协议改为 CC-BY-NC-ND 本文章不提供选购建议，我也没用过，我也不知道哪个好用，厂商合规程度不代表服务质量速查表格如果你不想听我瞎叭叭,可以直接使用速查表格,如果你想了解一些详情,可以往下翻翻厂商 CNAME域名地址 ICP备案情况公安
09:28 · Aug 17, 2025 · Sun
鉴于当前各大 LLM 逐步普及以零宽字符为代表的文本隐写水印手段，为此我特地写了一个小工具，专门用于扫描文本中的隐蔽/不可见 Unicode 码点，便于快速定位可能存在的「文本水印」。

目前可检测的特殊 Unicode 码点与类别如下 (包括但不限于)：

- ZWSP: 零宽空格
- ZWNJ: 零宽非连字
- ZWJ: 零宽连字
- BOM: 字节序标记
- WJ: 单词连接符
- MVS: 蒙古元音分隔符
- SHY: 软连字符

除字符扫描外，还支持基于 cl100k_base (GPT-4) & o200k_base (GPT-4o) BPE Tokenization 进行分词，便于辅助判定

快速体验: https://links.xmsl.dev/analyzer 欢迎反馈

示例文本 (内含隐写水印)：
```
ZWSP: LoremIpsumDolor
ZWNJ: Hello‌World
ZWJ: Foo‍Bar
BOM: StartOfText
WJ: Alpha⁠Beta
MVS: First᠎Second
```
* 更新: LLM 文本水印实现原理和解释请参考 https://t.me/hatschannel/1127
09:24 · Aug 17, 2025 · Sun

对于 AI 的整合，黑厂真的是非常积极。这个小布记忆是真的不错，等于是一个手机系统层面的知识库，可以将想收藏的东西都添加进去，还能生成合集，也可以对小布记忆中的信息进行提问。

对于没有适配的软件，就只能以截图的信息放进去，无法获取屏幕外的信息，像b站连链接都无法被自动收录进去。

via VeryJack 碎语
05:12 · Aug 16, 2025 · Sat

发现一个各国各地区状况的资料，跟百科样好看——商务部《对外投资合作国别（地区）指南》。每年都更新，每份平均50-100页，去掉一堆投资相关的，剩下的内容算是浓缩的地区概览了。

https://fec.mofcom.gov.cn/article/gbdqzn/
05:08 · Aug 16, 2025 · Sat

一氧化碳新解毒剂能在数分钟内清理血液

2025-08-15 15:45 by 基因突变

根据发表在 PNAS 期刊上的一项研究，马里兰大学医学院研究人员利用来自 Paraburkholderia xenovorans 细菌的天然蛋白 RcoM，该蛋白能感知环境中的微量一氧化碳，研究人员在 RcoM 基础上设计出名为 RcoM-HBD-CCC 的分子海绵，能选择性的与有毒一氧化碳分子结合，忽略氧气 (O2)和调控血压的一氧化氮 (NO)。对小鼠研究显示，RcoM-HBD-CCC 能在几分钟内清除血液中的一氧化碳，通过尿液安全排出体外。这种解毒剂就像海绵一样寻找并吸收附在红细胞上的一氧化碳。在小鼠体内，血液中半数的一氧化碳在不到一分钟内就清除掉了，释放出细胞上的血红蛋白，使其能再次携带氧气。其它现有的基于蛋白质的解毒剂无法选择性靶向一氧化碳分子，也会结合一氧化氮，会引起血压变化。

www.pnas.org/doi/10.1073/pnas.2501389122
science.slashdot.org/story/25/08/14/0010227/first-antidote-for-carbon-monoxide-poisoning-cleans-blood-in-minutes

#医学

医学
15:09 · Aug 13, 2025 · Wed

吴说获悉，GMX 宣布已完成约 4400 万美元的补偿计划，用于弥补 Arbitrum 上因 V1 漏洞受影响的 GLP 持有者。符合资格的用户现可通过 GMX dApp 申领补偿，形式为两种 GLV 代币（组合包含约 25% WBTC、25% ETH、50% 稳定币），其中包括来自 DAO 国库的 200 万美元支持及 50 万美元的 GLV 持有激励。此次事件中的攻击者接受 500 万美元漏洞赏金并归还相关资金。V2 未受漏洞影响，正常运行。GLP 赎回预计将在约 10 天后开放。 — link
15:07 · Aug 13, 2025 · Wed
如何在 Google Chrome M139 恢复 MV2 扩展：在 chrome://flags 中启用 Temporarily unexpire M137 flags 和 Temporarily unexpire M138 flags`。重启 Chrome，在 chrome://flags 中重新禁用 Extension Manifest V2 Deprecation Warning Stage 、 Extension Manifest V2 Deprecation Disabled Stage 、 Extension Manifest V2 Deprecation Unsupported Stage 、重新启用 Allow legacy extension manifest versions ，重启 Chrome。

或者使用启动参数 --args --disable-features=ExtensionManifestV2Unsupported,ExtensionManifestV2Disabled （其中 --agrs 参数的作用是指定启动参数），该参数在 M139 和 M140 版本中都有效。

如何真正有效的禁用 Google Chrome 在 macOS 上的自动更新（非搜索引擎和 AI 提供的过时方案）：
```
sudo chown root:wheel '$HOME/Library/Application Support/Google/GoogleUpdater'
sudo chmod 000 '$HOME/Library/Application Support/Google/GoogleUpdater'
```
上述命令不会影响浏览器扩展的更新、只影响 Google Chrome 本体的更新。执行上述命令后，可以通过访问 chrome://settings/help 验证更新失败。
12:54 · Aug 9, 2025 · Sat

https://freearpa.lina.sh/

免费拿到人家从tunnelbroker分配的/48+随机5前缀（也就是一共17个数字/字母） .ip6.arpa 域名举个例子： 6.7.5.7.d.e.f.1.5.0.7.4.0.1.0.0.2.ip6.arpa

代码质量还行用户管理/HMAC验证避免用户自己选前缀 https://github.com/lina-x64/FreeArpa/blob/master/app.py

本质上是调用https://desec.io/的API添加解析

据说只有18岁的德国人人家也有xmr地址接受捐赠
freearpa.lina.sh

free .arpa domains!

free ip6.arpa subdomains for everyone
12:48 · Aug 9, 2025 · Sat

https://web.5.2.7.c.5.a.3.1.a.2.ip6.arpa/

测试你的网络与cloudflare不同价格的连接情况

关于这个域名咋来的可以看 dig +trace -t ANY web.5.2.7.c.5.a.3.1.a.2.ip6.arpa 没有he.net中间商出现直接出现 5.2.7.c.5.a.3.1.a.2.ip6.arpa. 86400 IN NS josh.ns.cloudflare.com. 说明人家拿到了 /40 的ipv6 block
可以从bgp查询确认： https://bgp.he.net/net/2a13:a5c7:2500::/40
web.5.2.7.c.5.a.3.1.a.2.ip6.arpa

Hats Network Lab

Hats Network Lab is a website that provides information about the Hats Network.
12:47 · Aug 9, 2025 · Sat

https://capjs.js.org/guide/

pow验证码方案
capjs.js.org

Cap: The self-hosted CAPTCHA for the modern web

Lightweight, privacy-first, and designed to put you first. Switch from reCAPTCHA in minutes.
12:47 · Aug 9, 2025 · Sat

https://1.0.0.0.a.4.0.f.2.0.f.8.e.0.a.2.ip6.arpa/public-suffix-list-misused
How Abandoned Public Suffix List (PSL) Entries Enable Security Bypasses, Spamming, and SEO Manipulation
废弃公共后缀列表 (PSL) 条目如何实现安全绕过、垃圾邮件和 SEO 操纵

过期的PSL域名被抢注的安全风险：安全工具拒绝扫描屏蔽，seo当作不同的网站赋予权重
12:47 · Aug 9, 2025 · Sat

https://publicsuffix.org/list/public_suffix_list.dat
当前的psl列表浏览器用来确定信任边界（例如你作为a.com不能给.com设置cookie）
cloudflare用来判断你添加的是一个子域名就拒绝
更多用途：https://publicsuffix.org/learn/
01:39 · Aug 6, 2025 · Wed

工程师指控 AWS 未经警告删除全部数据，事后以账户验证未通过为由进行掩盖

一位资深软件工程师 Abdelkader Boudih 声称 AWS 在未经警告的情况下删除了他的所有数据。7月里的一天，AWS 忽然要求他进行账户验证，但在他提交了所有文件后，AWS 却反复回复“文件无法读取”，之后的任何沟通都只得到模版式的官方套话回复，7月下旬，AWS终止了他的账户，并删除了全部数据。没有任何备份的宽限期，令他感到吃惊。

然而，Boudih 从一位 AWS 内部人士那里听到了别的说法，这名人士透露，本次事件实际上是 AWS 中东及北非（MENA）地区的一名管理员在对“休眠”和“低活跃度”账户进行概念验证（PoC）时意外地在生产环境中执行了删除操作。事后 AWS 为了掩盖事故，上演了“账户验证失败”的桥段。

AWS MENA 地区的声誉很糟糕。时常可以看到开发者在 Reddit 和 Facebook 上寻找美国或欧盟的账单地址，甚至愿意多花费 100 多美元的溢价来避免被分配到 MENA 区域。

Boudih 非常依赖 AWS 的服务，此次事件导致他的许多重要数据丢失了，包括一本完整的编程书籍、电子教程以及多年未发布的代码。可见即使是 AWS 这样的大牌云服务商，也不能盲目信任。当它某一天忽然把你踹下车时，你可能连行李也拿不回来。

讽刺的是，AWS 的某些服务可能正在使用这名工程师的开源代码，而他们却删除了创建这些代码的生产环境。

[消息等级 Level C · 一般]
14:37 · Aug 2, 2025 · Sat

关于 Side Project 的完整性
https://github.com/orgs/NonceGeek/discussions/27

在做 Side Projects 时坚持一个原则：尽力确保完整性。

确保完整性是一个良好习惯，因为你即是游戏的设计师，也是游戏的玩家。

从游戏设计师的角度来看，设计出完整关卡你就超过了 90% 的设计师了。

从游戏玩家的角度来看，通关完整关卡你就超过了 90% 的玩家了。

所以，一旦你坚持了尽力确保完整性这个原则，你就超越了市面上的绝大多数「同行」。

以下是个关于 Side Project 完整性的「备忘录」。

- 有 Open Source 的版本
- 有可以访问或下载的应用
- 有自己的 README
- 有 Deck 或者白皮书
- 有一段介绍 Video

Side Project Helper
通过 AI 进一步降低做 Side Project 的成本，例如 —— 通过填写关键字段自动生成 Deck、自动生成 README...

https://bodhi.wtf/15393
GitHub

【0x01Workshop】内容整理 · Issue #27 · NonceGeek/Move-Camp

Web3.0 Learning Camp . Contribute to NonceGeek/Move-Camp development by creating an account on GitHub.
08:44 · Aug 2, 2025 · Sat

AI 生成的代码近半包含安全漏洞

2025-07-31 14:45 by 图书馆员与遗失的神灯

AI 也许是软件开发的未来，但人类尚未做好把手从方向盘上移开的准备。Veracode 发布了 AI 生成代码的安全性报告《2025 GenAI Code Security Report》，逾百个大模型完成了 80 项编程任务，但 AI 生成的代码有约 45% 存在安全漏洞。这些安全漏洞很多都属于 OWASP（Open Worldwide Application Security Project）Top 10 漏洞。报告发现，当 AI 给予选项写安全或不安全代码时，几乎一半的时间它选择了错误的路径。

nerds.xyz/2025/07/ai-security-flaws-veracode-2025/
developers.slashdot.org/story/25/07/30/150216/ai-code-generators-are-writing-vulnerable-software-nearly-half-the-time-analysis-finds

#安全

安全
16:10 · Jul 30, 2025 · Wed

Decrypt EFS-encrypted files without a cert backup
无需证书备份即可解密 EFS 加密文件

这篇文章介绍了一种在没有证书备份的情况下，解密 Windows EFS (Encrypting File System) 加密文件的方法。尽管普遍认为没有证书备份文件将永久丢失，但该指南指出，利用名为 mimikatz 的工具，可以从离线系统或备份中恢复必要信息来重建证书。

https://tinyapps.org/docs/decrypt-efs-without-cert-backup.html
12:44 · Jul 30, 2025 · Wed

时代的回忆🥹
https://fixupx.com/Megabits_mzq/status/1946862359798301106
🧵 Thread • FixupX

Megabits 🪐 (@Megabits_mzq)

我已经把我能找到的所有“洪恩软件”的多媒体光盘传到了 Internet Archive，都配了截图方便查找。喜欢怀旧的朋友不要错过。

除了洪恩之外，我还上传了“牛津剑桥多媒体”（这名字完全是蹭热度）做的一些百科全书软件。也是一些朋友的童年回忆。

https://archive.org/details/@megabits
12:42 · Jul 30, 2025 · Wed

实际应为 Enabled
12:42 · Jul 30, 2025 · Wed
Chrome最新推送的138正式版
已在用户界面完全阻止Manifest version 2扩展程序的加载

但依然可以通过 chrome://flags/ 开启临时M137特性功能
从而在138版本重新启用version 2的扩展
首先启用临时M137特性
```
chrome://flags/#temporary-unexpire-flags-m137
```
设置为Enabled，重启Chrome后
```
chrome://flags/#extension-manifest-v2-deprecation-warning
chrome://flags/#extension-manifest-v2-deprecation-disabled
chrome://flags/#extension-manifest-v2-deprecation-unsupported
```
设置为Disabled
```
chrome://flags/#allow-legacy-mv2-extensions
```
设置为Disabled
再次重启Chrome后原先version 2的扩展即可正常运作
仅会在扩展页报错误：version 2即将移除

方法来源