DwarfStar 中分布式 LLM 推理
文章探讨了在 Mac Studio 上运行大型 LLM 的方案。高端 NVIDIA 显卡及配套设施成本高昂,尤其是需要足够 VRAM 运行超大模型时。Mac Studio 提供最多 512GB 统一内存,是性价比较高的替代方案,虽然内存带宽相对有限但远优于 DGX Spark。作者在 DwarfStar 项目中研究了如何充分利用 Mac Studio 的硬件特性进行分布式 LLM 推理,包括预填充(prefill)阶段的优化。
文章探讨了软件供应链安全中签名的真正价值——为什么在已有 TLS 加密、仓库哈希校验、lockfile 版本锁定的情况下,还需要签名和证明(attestations)。作者指出,在平静无事的工作日,签名确实只是增加了发布时的 CPU 开销。但到了「糟糕的日子」——当供应链被攻破、信任链断裂时,Sigstore 的透明日志和 in-toto 证明能提供关键的事后溯源和验证能力。签名的核心价值在于 incident response 阶段的证据链,而非日常安全防护。
Have I Been Pwned 的免费政府服务迎来第 45 个政府用户——不丹。不丹国家计算机事件响应团队( BtCIRT )将可以监控不丹政府域名是否出现在 HIBP 数据泄露库中。作为不丹的国家 CIRT, BtCIRT 负责消费威胁情报并向其 constituent 分享相关洞察,帮助识别和响应影响政府服务及公民的网络风险。该服务通过为各国政府提供主动的数据泄露监控能力,补充了传统的事件响应机制。
Datasette 1.0a30 是该数据库工具的新 alpha 版本,主要特性是全新的可自定义「Jump to...」菜单系统。新的 jump_items_sql() 插件钩子允许插件向搜索菜单中添加自定义项,用户可通过按 / 键在 latest.datasette.io 上体验该功能。该版本为 Datasette 的扩展性提供了新的插件接口,使工具更加灵活。
文章探讨了在 Mac Studio 上运行大型 LLM 的方案。高端 NVIDIA 显卡及配套设施成本高昂,尤其是需要足够 VRAM 运行超大模型时。Mac Studio 提供最多 512GB 统一内存,是性价比较高的替代方案,虽然内存带宽相对有限但远优于 DGX Spark。作者在 DwarfStar 项目中研究了如何充分利用 Mac Studio 的硬件特性进行分布式 LLM 推理,包括预填充(prefill)阶段的优化。
作者思考了一个问题:为什么那么多技术材料要么「准确但难以理解」要么「通俗但略有错误」。他认为这是一个常见的技术写作困境。借着遛狗的间隙,他尝试用对话形式与 Claude 一起探索这个话题,用真实的对话录音整理成文,试图找到「既准确又易读」的中间地带。
WorkOS: ‘Agents Need Context. Ship the Integrations That Give It to Them.’
Solving the board game Quoridor
Datasette-agent 0.1a4 利用了 Datasette 1.0a30 新增的 makeJumpSections() JavaScript 插件钩子,现在在 Jump to 菜单中集成了「Start a new agent chat」入口。用户可以通过按 / 键快速访问 AI agent 对话界面。该版本体现了 Datasette 插件系统之间的协同能力,用户可在 agent.datasette.io 使用 GitHub 账号登录体验。
datasette-fixtures 0.1a0
荷兰当局逮捕了两家相关互联网托管公司的共同所有者,指控其运营被俄罗斯用于在欧洲联盟内实施网络攻击、影响行动和虚假宣传活动的 IT 基础设施。这两人是 2025 年 KrebsOnSecurity 报道的对象,该报道揭示其托管公司曾接管 Stark Industries Solutions 的技术基础设施——后者是去年被欧盟制裁的互联网服务提供商。荷兰执法部门查封了约 800 台服务器以切断攻击者的基础设施。
2025 年 1 月,多位安全研究人员发布了 rsync 的 6 个安全漏洞,其中部分可导致任意代码执行和文件泄露。作者因此审查了自己用 Go 语言(内存安全语言)实现的 gokrazy/rsync 是否受影响。文章深入探讨了:使用现代内存安全语言实现兼容协议,是否真的能排除整类安全漏洞?作者通过代码分析和实际测试,验证了 Go 实现对常见内存损坏漏洞的天然免疫,并分享了实现兼容但最小化 rsync 的技术细节。
Trump Mobile 网站漏洞导致预购用户的完整姓名、地址和电话号码暴露在外。一位澳大利亚安全研究员发现了这一数据泄露问题,哥伦比亚大学程序教授 Jonathan Soma 审查了代码后发现该网站使用了常见的不安全模式。Trump Mobile 已声明正在「独立网络安全专业人员的协助下」调查此事。这是又一次因 Web 应用安全配置失误导致的大规模个人信息泄露事件。
这是作者在 PyCon US 2026 的演讲文字版。分析覆盖了约 864,000 个 PyPI 包,其中约 387,000 个声明了 GitHub 仓库 URL,去重后对应 343,000 个独立仓库;152,000 个仓库包含 .github/workflows/ 配置。开源 Python 生态几乎只有一套 CI 系统:Travis CI 仍占约 11%。文章深入分析了这些工作流配置的安全隐患,包括供应链攻击风险,并提供了如何加固 GitHub Actions 安全性的建议。
Pluralistic: No honor among (ad-tech) thieves (25 May 2026)
Quoting Armin Ronacher