开源基础设施正经历深刻的重构。Ghostty 项目宣布离开 GitHub,维护者 Mitchell Hashimoto 归咎于平台频繁的 outage 影响工作流。与此同时,OpenAI 正在 ChatGPT 中测试广告系统,通过 SSE 流注入与浏览器 SDK 构建追踪闭环。前 GitHub 用户 Armin Ronacher 在回顾性文章中探讨了该平台的演变与“社会基础设施”的角色。荷兰政府推出了基于 Forgejo 的开源代码平台,寻求数字主权;而 HardenedBSD 正尝试迁移至 P2P Git forge Radicle,以探索去中心化路径。技术层面,Rust 在重写核心工具时仍暴露出 TOCTOU 类漏洞,而 OpenAI 的商业扩张则引发了关于隐私与算法控制的讨论。
新闻速递
挥别家园:Ghostty 离开 GitHub
Mitchell Hashimoto,Ghostty 的维护者,宣布该项目将离开 GitHub。他在一封个人信中解释了这一决定,称自己自 2008 年以来每天使用 GitHub,但在过去一个月中,几乎每天都会受到 outage 的影响,阻碍工作。他批评 GitHub 现在无法支持严肃的工作。Hashimoto 计划在几个月内逐步移除对 GitHub 的依赖,但目前只计划将 Ghostty 移走。个人项目将保留。
算法中的广告位:OpenAI 的追踪闭环
OpenAI 的广告系统在 ChatGPT 的响应流中注入广告。技术分析显示,后端在 SSE 流中插入 single_advertiser_ad_unit 对象。广告选择基于对话语境,例如“北京之旅”会显示外卖广告。追踪由名为 OAIQ 的浏览器 SDK 执行,通过 4 个 Fernet 加密标记(ads_spam_integrity_payload, oppref 等)在服务器和浏览器之间建立联系。
往事如烟:在 GitHub 之前
Armin Ronacher 回顾了 GitHub 之前的开源历史。他提到 SourceForge 和早期的 Bitbucket。他强调 GitHub 改变了开源的“社交基础设施”,使发布和消费代码变得几乎毫无摩擦。Ronacher 批评当前的 GitHub 状态,将其与 SourceForge 时代的信任和“微依赖”时代进行对比,认为那时的依赖是项目的历史,而不仅仅是包名。
数字主权:荷兰政府开源平台上线
荷兰政府推出了 code.overheid.nl,这是一个用于发布和开发开源软件的平台。该平台完全自托管,支持数字主权。目前,它是一个使用 Forgejo(开源的 GitHub 替代品)的试点项目。并非所有政府组织都可以使用,但目标是建立共享的 Git 平台。这标志着政府软件基础设施的战略转变。
Rust 的边界:44 个未被捕获的漏洞
Canonical 在 uutils(Rust GNU coreutils 的重写版)中发现 44 个 CVE。这些漏洞是由外部审计发现的,并且没有被 Rust 的借用检查器或 Clippy 捕获。主要问题是 TOCTOU(检查时间与使用时间)模式,即一个系统调用检查路径,而另一个调用操作,在此期间攻击者可以替换符号链接。文章建议使用 create_new 或 openat 来修复。
去中心化尝试:HardenedBSD 迁移至 Radicle
HardenedBSD 官方宣布将其代码仓库迁移至 P2P Git forge Radicle。维护者 Shawn Webb 表示,这是为了探索去中心化的替代方案。目前 Radicle 已可用于下载 HardenedBSD 的 ports tree 和 pkg,但配置需要调整以支持较大的仓库。HardenedBSD 计划在未来逐步将所有仓库迁移至 Radicle。
编辑手记
Ghostty 离开 GitHub 和 HardenedBSD 迁移至 Radicle 的新闻,共同指向了开源社区对中心化平台的不满与替代探索。Mitchell Hashimoto 的个人情感宣泄揭示了平台可靠性对开发者信任的致命影响,而 HardenedBSD 的技术迁移则展示了在工程层面的具体实践。这种情绪在 Armin Ronacher 的回顾文章中得到了印证,他强调 GitHub 曾经是开源的“社会基础设施”,而现在的“微依赖”生态可能正在侵蚀那种基于信任的深度连接。
另一方面,OpenAI 的广告系统上线和 Rust 在 uutils 中暴露的漏洞,则揭示了技术进步背后的商业压力与安全复杂性。广告注入的闭环机制表明,即使是封闭的 AI 服务也在寻求变现,这可能改变用户对“纯粹 AI 助手”的认知。而 Rust 的安全承诺在处理底层系统调用时依然面临挑战,TOCTOU 漏洞提醒我们,高级语言的抽象并不意味着绝对的安全。
荷兰政府选择 Forgejo 作为开源平台,代表了另一种去中心化的路径——通过主权托管而非完全去中心化来规避风险。这三者(开发者出走、P2P 技术尝试、政府托管)共同构成了当前开源生态的变局:社区不再迷信单一巨头,而是在寻找更可控、更独立的基础设施。
接下来值得观察的具体信号:GitHub 的稳定性改善情况是否能挽回核心开发者的信任;Radicle 等去中心化工具能否解决“不可发现性”的技术瓶颈,从而吸引更多项目迁移;以及 OpenAI 的广告系统在用户中的接受度与隐私反馈。