Episode Details

歡迎來到 DAVID888 Daily 每日放送，今天我們將為您帶來從 LinkedIn 精準釣魚後門、智慧燈泡改裝禁書庫，到本地 AI 編碼實戰、P2P 網路庫 Iroh 1.0 發布，以及重溫極客初心與慢科技溝通的精彩科技與生活觀察。

LinkedIn 招聘陷阱：一個隱藏在代碼審查中的惡意後門

社交工程與 npm 生命週期的完美結合

這是一起針對開發者的精準定向攻擊。攻擊者假扮成招聘人員，在 LinkedIn 上向開發者發出面試邀請，並要求進行一項簡單的「代碼審查（Code Review）」。然而，當開發者複製了惡意的 GitHub 倉庫並習慣性地執行 npm install 時，災難就發生了。

攻擊者巧妙地利用了 package.json 中的 prepare 生命週期腳本。在 npm 的機制中，prepare 會在依賴安裝完成後自動執行。在這個案例中，該腳本觸發了 app/test/index.js 中隱藏的惡意代碼。這段代碼被夾雜在大量看似無害的注釋測試代碼中，並通過變數片段動態拼接出一個遠端 URL（https://rest-icon-handler.store/icons/77），從而實現遠端代碼執行（RCE）。更可怕的是，惡意倉庫的提交歷史完全偽造了一位真實開發者的 GitHub 帳號，連招聘人員的頭像也是盜用自知名人士，極具欺騙性。

信任危機與北韓黑客的陰影

社群對此展開了熱烈討論。許多受害者現身說法，指出這種手法與北韓 Lazarus Group（Famous Chollima）的典型作風高度吻合，其終極目標通常是竊取加密貨幣開發者的熱錢包（Hot Wallets）私鑰。

同時，開發者們對 LinkedIn 泛濫的假帳號與緩慢的申訴機制感到憤怒。有人甚至透露，必須透過私下關係才能讓 LinkedIn 處理假冒帳號。此外，npm 預設允許執行任意腳本的歷史包袱也再次成為眾矢之的，不少人建議改用 pnpm 或在安裝時預設禁用腳本（--ignore-scripts）。

編輯觀點：如何安全地進行面試代碼審查？

這起事件給所有求職的開發者敲響了警鐘：在面試過程中，千萬不要因為急於展現技術而放鬆警惕。絕對不要在本地機器上直接運行任何未經審查的第三方面試代碼。使用隔離的 Docker 容器、拋棄式 VPS，或者利用唯讀的 AI 代理工具（如作者使用的 pi 掃描工具）進行靜態代碼掃描，應該成為現代開發者的基本安全衛生習慣。

智慧燈泡變身「禁書圖書館」：極客的 4MB 物理抗審查實驗

在 4MB 晶片上極限施壓

如何將一個售價僅幾美元的 Wi-Fi 智慧燈泡，改造成一個去中心化、抗審查的「網路死角（Digital Dead Drop）」？作者利用搭載 ESP32C3 晶片的 Athom 智慧燈泡完成了這項壯舉。

由於晶片內建的 Flash 空間僅有 4MB，且預設的 Tasmota 韌體僅給儲存分區留了 320KB，作者不得不重構分區表。他將應用程式分區縮減至 1.125MB，並將 spiffs（LittleFS）儲存分區擴大至 2MB，剛好能塞進幾本約 350KB 的 .epub 電子書。為了繞過 Arduino IDE 的安全寫入限制，他轉向官方的 ESP-IDF 開發框架，強行刷入自定義分區表。最終，利用強制門戶（Captive Portal）技術，任何連接到該燈泡 Wi-Fi 的手機或電腦，都會被自動重定向到一個離線的禁書閱讀網頁。

什麼是「禁書」？社群的政治與物理防禦爭議

在 Hacker News 上，關於「禁書」定義的討論異常激烈。部分保守派網友認為，作者選入的《野性的呼喚》等書在美國並未被政府真正禁止，只是被部分學區移出教學大綱，稱其為「禁書」有誇大之嫌；而反對者則認為，任何將書籍移出公共流通領域的審查行為本質上都是對自由的侵害。

在技術層面，也有極客指出這種「智慧硬體寄生」的物理暴露風險：雖然燈泡作為 AP 極其隱蔽，但透過簡單的 RF（射頻）訊號定位，或者直接切斷電源測試，很容易就能找出這個物理節點。

Iroh 1.0 正式發布：撥號公鑰而非 IP，重塑 P2P 網路底層

撥號公鑰（Dial Keys, Not IPs）的全新抽象

去中心化網路庫 Iroh 終於迎來了 1.0 穩定版。Iroh 提出了一個顛覆傳統網路思維的口號：「撥號公鑰，而非 IP 位址（Dial keys, not IPs）」。在傳統網路中，設備的 IP 會因為切換 Wi-Fi 或行動網路而頻繁漂移，且隱藏在複雜的 NAT（網路位址轉換）和防火牆後面。Iroh 將加密公鑰作為設備的永久地址，讓設備之間的連線不再受限於物理位置。

Iroh 基於 Rust 實現，底層完全依賴 QUIC 與 TLS。它自研了「QUIC 多路路徑」技術，允許在單個連接中管理多條路由並進行無縫熱切換；其 NAT 穿透直連成功率高達 95%。此外，1.0 版本正式恢復了多語言綁定（Python、Node.js、Swift、Kotlin），並支持編譯至 WASM 在瀏覽器中運行。

Iroh vs. Tailscale：應用級 P2P 的降維打擊

社群最關心的問題是：Iroh 與熱門的 Tailscale 有何不同？

簡單來說，Tailscale 是「作業系統層級」的 VPN，需要安裝客戶端、註冊中心化帳號，適合用來管理「你自己的設備群」；而 Iroh 是「應用程式層級（Application-embedded）」的 P2P 庫。開發者可以直接將 Iroh 的 P2P 連線能力打包進 App 中，用戶不需要安裝任何額外軟體或註冊帳號，就能實現點對點直連。這對於 Local-first（本地優先）應用、邊緣運算以及跨國隱私通訊開發者來說，無疑是一個能顯著降低雲端流量成本（Egress Bill）的利器。

致電腦的深情情書：在 AI 狂熱與中心化時代重拾極客初心

懷念那個「確定性」的黃金時代

這是一篇引發無數資深程式設計師共鳴的抒情散文。作者回顧了 90 年代初期與 IBM 486 電腦初次相遇的感動，那是一個透過實體雜誌附帶的軟碟探索數位世界、野蠻生長的時代。

作者與社群網友共同懷念起電腦曾經擁有的「確定性（Determinism）」——相同的輸入必然帶來相同的輸出，編譯器報錯永遠有跡可循。然而，當前的 AI 狂熱（LLM）奪走了這一切。現在，開發者必須依賴「直覺」去猜測 Prompt 為什麼會失敗，軟體工程的嚴謹性正在被隨機性的機率模型所侵蝕。

當開源項目變成巨頭的「剽竊機器」

文章更深層的憤怒指向了當前網路的中心化與高度商業化（Enshittification）。作者控訴，自己傾注無數心血開發的開源項目，在未經授權的情況下被科技巨頭抓取進 LLM，然後被包裝成訂閱服務高價賣回給開發者。

這種「技術中年危機」正在推動極客社群產生一股反思力量。越來越多的開發者開始向 Gemini 協議、自託管（Self-hosting）等「復古技術」回流，試圖在科技巨頭的陰影之外，重建一個純粹、可控且具確定性的技術烏托邦。

TinyWind：風向物理模擬與街機趣味的像素帆船冒險

真實物理與遊戲樂趣的拉鋸戰

在 Hacker News 上爆紅的網頁像素風遊戲 TinyWind，憑藉其「真實風向物理模擬」吸引了大量玩家。玩家在遊戲中扮演海盜，必須根據風向調整帆面角度（Trim Sails）以獲得最大推力，並在航行中擊沉敵船、佔領島嶼。

然而，真正的帆船運動員在體驗後指出，遊戲為了趣味性對物理引擎進行了極大簡化。例如，船隻在「逆風」狀態下依然能緩慢前進，而現實中則會直接停滯或倒退。這引發了關於「硬核物理模擬」與「街機遊戲流暢感」之間如何平衡的有趣討論。大多數玩家認為，過於硬核的物理會讓遊戲變得像工作，