Hacker News 每日播报 2025-09-16

Hacker News 每日播报为你带来最新的科技动态，从 NPM 供应链的惊天漏洞到软件定义无线电的无限可能，从 Waymo 自动驾驶的商业落地到 Linux 手机的未来之辩，更有用汇编从零编写 GUI 的硬核教程，以及对苹果设计理念的深刻反思。

Shai-Hulud 恶意软件攻击：Tinycolor 及 40 多个 NPM 包遭殃

一场代号为“Shai-Hulud”的恶意软件攻击正席卷 NPM 生态系统，知名库 tinycolor 和超过 40 个其他 NPM 包受到影响，攻击范围甚至已扩展至 CrowdStrike 的多个 NPM 包。这次攻击再次为我们敲响了软件供应链安全的警钟。

攻击手法揭秘

这个名为“Shai-Hulud”（致敬科幻小说《沙丘》）的恶意软件，其核心是一个名为 bundle.js 的脚本。一旦执行，它会采取一系列隐蔽而危险的行动：

1. 利用合法工具作恶：下载并运行合法的秘密扫描工具 TruffleHog，用于扫描受感染系统上的敏感信息，如 API 令牌和云凭证。
2. 精准窃取凭证：专门搜索系统中的 GITHUB_TOKEN、NPM_TOKEN、AWS_ACCESS_KEY_ID 等关键环境变量。
3. 实现持久化攻击：在受感染的仓库中创建未经授权的 GitHub Actions 工作流文件（通常命名为 shai-hulud.yaml），即使初始感染被清除，这些恶意工作流也可能在未来的 CI/CD 运行中被触发，持续窃取数据。
4. 数据外泄：将所有收集到的敏感数据秘密发送到一个硬编码的 webhook 端点。

行业反思与应对

这次事件引发了业界对开源生态系统安全的深刻反思。软件供应链的脆弱性再次凸显，一个看似无害的依赖包，就可能成为整个项目甚至公司安全的“阿喀琉斯之踵”。

开发者和组织需要立即采取行动：

• 审查依赖：立即卸载受影响的包或锁定到已知的安全版本。
• 审计环境：检查所有安装了受影响版本的环境，包括 CI/CD 代理和开发人员的电脑。
• 轮换凭证：如果这些包存在于拥有发布凭证的机器上，务必轮换 NPM 令牌和其他可能暴露的秘密。

同时，这也促使社区思考如何加强防范措施。除了依赖 npm audit 等工具，开发者在引入新依赖时应进行更严格的审查。像 Socket.dev 这样的自动化安全工具在预警此类攻击中的作用也愈发重要，将其集成到开发工作流中已成为一种必要。归根结底，这次攻击提醒我们，凭证管理必须遵循最小权限原则，并建立严格的存储、使用和轮换策略。

软件定义无线电（SDR）能做的 50 件事 (2024)

你是否想过，我们周围的空中充满了看不见的信号？一位开发者仅用一个简单的 USB 接收器和天线，在一周内完成了 50 项令人惊叹的软件定义无线电（SDR）实验，向我们展示了电磁频谱这个“隐形世界”的无限魅力。

SDR 是什么？

简单来说，SDR 是一种大部分数据处理都由计算机软件完成的无线电。这使得它能够检测到比普通收音机宽广得多的电磁波范围。作者使用的 RTL-SDR Blog V4 USB 接收器价格亲民，是进入这个世界的绝佳起点。

50 项奇妙探索

作者采用“做五十件事”的方法，避免陷入过深的细节，从而在短时间内广泛探索。他的实验五花八门，涵盖了：

• 日常通信：收听 FM 广播、机场天气报告（ATIS）、追踪飞机（ADS-B）和船只（AIS）的位置。
• 业余无线电：接收摩尔斯电码、流行的 FT8 数字模式通信，甚至解码了业余无线电爱好者发送的慢扫描电视（SSTV）图片。
• 天气与太空：成功接收 NOAA 气象卫星的信号并解码出部分图像。
• 物联网与传感器：令人惊讶地读取到邻居的 433 MHz 无线传感器数据（温度、湿度）、汽车胎压监测系统（TPMS）的数据，以及智能电表的数据。
• 神秘信号：监听了传说中的“数字电台”（Number Stations）和神秘的“蜂鸣器”（The Buzzer）电台。

这次经历不仅充满乐趣，也引发了关于无线电监听的法律和伦理讨论。虽然接收公开广播通常合法，但解码私人通信则可能触犯法律。同时，物联网设备数据如此容易被读取，也引发了人们对其隐私和安全设计的担忧。许多技术爱好者受到启发，分享了更多可以探索的方向，如接收国际空间站的图像、进行射电天文学观测，甚至解码数字语音通信。这证明了 SDR 不仅是一个有趣的技术玩具，更是激发好奇心和实践精神的强大工具。

Waymo 获准在旧金山国际机场（SFO）进行商业运营

自动驾驶巨头 Waymo 宣布已获得在旧金山国际机场（SFO）进行商业运营的试点许可，这是其自动驾驶服务在湾区乃至全球交通枢纽商业化部署的重要里程碑。

逐步开放，连接机场

根据计划，Waymo 将分阶段在 SFO 推出其完全自动驾驶的接送服务。初期将首先面向员工进行测试，随后逐步向湾区乘客开放。乘客的上下车点将设在机场的“Kiss & Fly”区域，该区域可通过 AirTrain 轻轨系统方便地抵达各个航站楼。

这并非 Waymo 首次涉足机场服务，他们在凤凰城天港国际机场（PHX）已积累了多年运营经验。此次获得 SFO 许可，是其加速在更多城市和机场扩展服务战略的一部分。

期待与担忧并存

这一消息在科技界引发了热议。一方面，许多人对自动驾驶技术的进步感到兴奋，认为在机场这种人流、车流高度复杂的环境中部署服务，是技术成熟度的有力证明。大家期待 Waymo 能有效缓解机场交通拥堵，为携带大量行李的旅客提供前所未有的便利。

另一方面，谨慎和怀疑的声音也不绝于耳。安全问题是关注的焦点。尽管 Waymo 拥有数百万英里的自动驾驶经验，但在机场这种动态且不可预测的环境中，车辆如何应对行人突然出现、行李车操作失误或紧急车辆通行等“边缘情况”，仍然是人们担忧的核心。同时，大家也关注“试点许可”的具体限制，以及这项创新服务的定价策略是否亲民。Waymo 在 SFO 的表现，无疑将成为自动驾驶技术能否真正融入复杂城市生活的一次重要考验。

丹麦疫苗推广后，致癌 HPV 病毒株接近被清除

丹麦的一项全国性研究传来捷报：自 2008 年启动 HPV 疫苗接种计划以来，导致宫颈癌的主要元凶——HPV 16 型和 18 型病毒株，已在该国几乎被清除。这不仅是丹麦公共卫生的巨大成功，也为全球癌症预防提供了宝贵经验。

数据驱动的公共卫生奇迹

这项研究的关键发现极具说服力：

• 直接保护：在疫苗接种前，HPV 16/18 型的流行率在 15% 到 17% 之间。到 2021 年，在接种疫苗的女性中，这一数字已降至惊人的 1% 以下。
• 群体免疫：更令人振奋的是，疫苗接种计划带来了强大的“群体免疫”效应。即使是未接种疫苗的女性，其 HPV 16/18 型感染率也大幅降至 5%，因为病毒在人群中的传播链被有效阻断。

技术进步与未来展望

丹麦的成功还得益于疫苗技术的不断进步。最初，丹麦为女孩提供的是针对四种 HPV 类型的疫苗。自 2017 年起，则改用能预防九种 HPV 类型的“九价”疫苗，覆盖了约 90% 的宫颈癌致病病毒。

这一成功案例展示了技术进步与有效医疗政策结合的巨大威力。它也引发了对未来的思考：随着 HPV 感染率持续下降，宫颈癌的筛查频率和方式是否需要调整？这不仅关系到医疗资源的优化分配，也可能减轻患者的负担。丹麦的经验证明，通过科学、数据和坚定的公共卫生行动，我们距离战胜某些癌症的目标正越来越近。

Linux 手机比以往任何时候都更重要

随着主流移动生态系统日益封闭，对一个真正开放的替代方案的呼声越来越高。一篇观点鲜明的文章指出，Android 生态系统正经历一场“极其迅速的退化”，其开放性正被逐步侵蚀，这使得 Linux 手机的开发比以往任何时候都更加重要。

Android 的“围墙花园”

文章认为，Google 正在效仿苹果，逐步收紧对 Android 的控制，体现在以下几个方面：

• AOSP 组件封闭化：越来越多的 Android 开源项目（AOSP）组件转为私有开发。
• Bootloader 锁定：三星、小米等主流厂商已在新设备上移除 Bootloader 解锁选项，阻碍用户安装第三方操作系统。
• 强制 API 和验证：Play Integrity API 和开发者验证的强制推行，使得许多应用（包括开源应用）难以在非官方系统上运行，甚至迫使一些开发者放弃 Android 平台。

理想与现实的碰撞

这篇文