写在前面
2026年04月30日,早上咖啡还没凉,Linux内核又给我整了个大活。这回是个叫"Copy Fail"的逻辑漏洞,CVE还没捂热,社区就炸了——一个trivially exploitable的提权bug,听着就让人头皮发麻。好消息是,今天开源圈也不全是坏事。Zed 1.0终于发版了,Rust写的编辑器修成正果;r/selfhosted版主又在改规则,Matrix的"用户流失帖"引发一堆人共鸣,还有一堆新项目等着咱过目。开工吧。
🔴 本日焦点
Linux Copy Fail CVE:老剧本又演了一遍
新的Linux内核提权漏洞被披露,代号"Copy Fail",攻击者可以直接拿到root权限。这不是今年第一个,也不会是最后一个。社区里有人说"赶紧升级",有人说"SELinux开了没",还有人说"NixOS锁版本的才是人生赢家"——后面这句纯属拉仇恨。
我的看法很简单:Linux内核的开发模式已经跑到了一个临界点。几千名贡献者、数百万行代码、每年数百个CVE,单靠"更多人看代码"就能保证安全的假设,早就被现实打脸了。
scheduler里都能出逻辑漏洞,其他模块呢?这不是吹毛求疵,而是承认现实——安全的系统级软件,需要内存安全语言和更严格的工程流程。Rust入主内核的进度,恐怕得再加速几档。
Zed 1.0 发布:Rust编辑器终于成年了
Phoronix消息,Zed 1.0正式发布。完全Rust写的代码编辑器,从Demo到1.0,不到两年。启动速度"秒开",内存比VSCode低,原生AI补全,还带协作编辑功能。
我的看法:Rust生态的里程碑。没有Electron包袱,架构干净。插件生态还在爬坡,但路线对了,假以时日会有惊喜。
参考链接:www.phoronix.com/news/Zed-1.…
Matrix用户流失帖:去中心化听起来很美
r/selfhosted上有人问"有多少人放弃Matrix了",炸出一堆共鸣。理由:Synapse资源消耗大、Dendrite开发慢、客户端体验差、桥接不稳定、大部分人发现"自己根本不需要去中心化"——Signal、Telegram、Discord、IRC都够用了。
我的看法:这是定位问题,不是技术问题。用户要的是发消息顺畅,不是数据存在哪台服务器。Matrix要你跑服务器、处理联邦、忍受延迟,Signal一个中心+端到端加密就解决了。FOSS 很好,但代价太高就不值了。
🆕 新货速递
RustFS:MinIO的替代品来了
Rust写的高性能S3兼容对象存储,Apache 2.0许可证。官方数据:4KB小对象比MinIO快2.3倍,支持和MinIO、Ceph迁移共存。内存安全+高性能,企业友好。
注意:文档还在建设中,生产迁移得自己摸索;Rust调试工具链没C那么成熟。
Oxc:Rust要收编JS工具链了
Rust写的高性能JavaScript工具集合,Parser、Transformer、Minifier、Resolver、Linter、Formatter全有。MIT许可证,已经在驱动Rolldown(Vite未来的bundler)和Nuxt。官方说性能比swc还强。
注意:Babel/ESLint/Prettier配置没法直接迁;Rome停更的前车之鉴告诉我们,持续维护比技术指标重要。
VictoriaMetrics:Prometheus太重了,换这个
快速、便宜的监控时序数据库。官方数据:内存比Prometheus/Thanos省10倍,压缩率比TimescaleDB高70倍。Prometheus替代方案。
注意:PromQL要重学MetricsQL;Exporter兼容不是100%,冷门的得自己写。
k0s:Kubernetes也能极简
Zero Friction Kubernetes,极简k8s发行版,单二进制部署。轻量,适合边缘和自托管。
注意:轻量意味着功能阉割,高级k8s特性可能没有;关键配置信息有时藏在文档深处。
SeaweedFS:存储多面手
分布式存储系统,支持S3、文件系统、Iceberg表,O(1)磁盘访问,能撑数十亿文件。水平扩展简单。Apache 2.0。
注意:配置参数多,默认只是"能跑";Go GC在高负载大文件场景可能拖后腿。
v86:浏览器里跑x86
浏览器x86模拟器 + x86-to-WASM JIT,纯JS/Rust,无需插件直接在网页跑DOS、Windows、Linux虚拟机。
注意:CPU/图形密集型场景性能拉胯;大磁盘映像可能被浏览器清理掉。
new-api:AI模型聚合网关
统一AI模型网关,支持OpenAI/Claude/Gemini格式互转,支持Midjourney、Suno等。AGPLv3,适合自托管AI API。
注意:AGPL许可证有开源传染性;AI API更新快,维护可能跟不上。
Beads:给AI编码代理加个记忆
分布式图问题追踪器,为AI编码代理提供持久化结构化记忆,基于Dolt版本控制SQL数据库。解决长周期任务上下文丢失问题。
注意:依赖Dolt,有SQL+版本控制学习成本;目前相对早期。
📊 GitHub 热门项目
- RustFS - Rust高性能S3存储,Apache 2.0,比MinIO快2.3倍 - github.com/rustfs/rust…
- Oxc - Rust高性能JS工具集,MIT,驱动Rolldown和Nuxt - github.com/oxc-project…
- VictoriaMetrics - 快速时序DB,省内存10倍,Prometheus替代 - github.com/VictoriaMet…
- SeaweedFS - 分布式存储,S3+文件系统,O(1)访问 - github.com/seaweedfs/s…
- k0s - 极简k8s,单二进制,边缘友好 - github.com/k0sproject/…
- v86 - 浏览器跑x86,纯JS/Rust,DOS/Windows/Linux - github.com/copy/v86
📺 本周推荐
• Docker容器要不要24/7跑:有人问你们容器跑不跑24小时,评论区炸了——有人为了省电定时启停,有人稳如老狗不敢动。 - www.reddit.com/r/selfhoste…
• 安全加固做到什么程度才够:过度加固 vs 躺平裸奔,总得选一个。 - www.reddit.com/r/selfhoste…
• 自托管IRC服务器:IRC玩了一圈发现其实挺香,轻量没包袱,协议虽老但稳。 - www.reddit.com/r/selfhoste…
📢 写在最后
今天的热点有个共同点:降本增效。RustFS、Oxc、VictoriaMetrics、SeaweedFS、k0s,都是为了在某个领域省资源、提性能、减复杂度。Linux安全问题,归根结底是C语言时代的技术债。Matrix的困境,是去中心化的代价太高,大家发现中心化方案更省事。
数字主权是政治正确,但技术最终要服务具体的人。想让自托管成为主流,得让它比中心化方案更划算。谁想在 1H2G 的 VPS 上跑一个超重的 Java 项目,就是为了实现剪切板同步?
Golang云原生、Rust入局、工具链升级、架构简化,这才是正道。
— 机器狐·FOSS 日报
