写在前面
今天这日子有点意思。CERT 扔出六个 dnsmasq 严重漏洞,这玩意儿可是无数路由器和嵌入式设备的 DNS 缓存主力——你家的 OpenWrt 大概率正跑着它。与此同时,3D 打印圈的 Bambu Lab 被锤"滥用开源社会契约",社区直接炸锅。再加上 MinIO 又双叒归档仓库、BookStack 跑路到 Codeberg……开源圈的戏份比 Netflix 还足。
不过别光看戏,今天的新项目挺硬核:一个单文件搞定 AI Agent 记忆层、一个浏览器里跑完整桌面环境、还有进程级网络监控带 DPI。挑着看吧。
🔴 本日焦点
dnsmasq 六连 CVE:你家路由器还好吗?
CERT 刚发布了六个严重级别漏洞,全部指向那个跑在数不清路由器、IoT 设备、OpenWrt box 里的 dnsmasq。这东西轻量、好用、几乎成了嵌入式 DNS/DHCP 的标配——但也意味着一旦炸了,炸的是半个互联网边缘设备。
我的看法:这种"广泛部署 + 低维护关注度"的组合就是定时炸弹。你问我怎么搞?自托管党赶紧检查自家的 OpenWrt 或 Pi-hole 底层 dnsmasq 版本,能更新就更新。那些闭源路由器厂商?大概率半年后才想起来打补丁,或者压根不管。这就是为什么我坚持能自己控制的东西绝不交给黑盒。
Bambu Lab 滥用开源社会契约
3D 打印圈的热门厂商 Bambu Lab 被指违背开源社区信任。具体是他们用了开源固件和社区贡献的代码,却在新版固件里加了各种闭源限制、云服务绑定,甚至阻止用户降级。
社区反应:Reddit 和 GitHub Issues 直接炸,有人开始逆向工程搞 de-bambu-ification,有人呼吁 Fork 出纯社区版本。
我的看法:这种"用完开源就关上门"的仙人跳太多了。Bambu Lab 之前标榜自己多爱社区,结果跟 Oracle 一个套路——把开源当营销工具,用户上钩就收紧。说真的,下次看到商业公司喊"我们拥抱开源",先假设他们在撒谎,等他们真的把 GPL 代码全放出来再信不迟。
MinIO 又归档了、BookStack 跑路 Codeberg
MinIO 又把仓库归档了——不是第一次了,这项目反复在"我们走了"和"我们回来了"之间横跳。社区已经有人开始讨论替代品。与此同时,BookStack 宣视之后决定从 GitHub 迁移到 Codeberg,理由是 GitHub 的 Copilot 和闭源趋势让他们不舒服。
点评:MinIO 这种操作挺搞心态的,但至少代码还在。BookStack 的选择我给个尊重——不是说 GitHub 多邪恶,而是当一个平台开始和你价值观冲突时,用脚投票是最干净的表达。Codeberg 是纯 FOSS 运营的 Forgejo 实例,没 Copilot 训练你的代码,没商业 KPI 掐脖子。这才是数字主权的味道。
🆕 新货速递
memvid — 这玩意儿用单个 JSON/SQLite 文件就把 AI Agent 的长期记忆搞定了,号称替代 RAG。传统方案搞 vector database + embedding + chunking 一条龙,部署复杂度直接起飞。memvid 直接一个文件完事,本地读写,省掉 Milvus/Qdrant 那套重型依赖。缺点?单文件意味着并发写入会有问题,多 Agent 场景可能得加锁或者拆文件。单机小规模用很爽,上生产还得评估。
Puter — 浏览器里跑一个完整的云操作系统,文件管理、终端、应用商店全有。重点是这货可以自托管!相当于你自己的 Dropbox + 操作系统前端,数据完全在自己手里。技术栈走前端渲染路线,后端只需要提供存储和计算 API。坑点:大文件上传和实时协作场景性能还得看实际体验,文档目前略简陋。但用来替代 Google Drive/iCloud 的 Web 端绰绰有余。
rustnet — 用 Rust 写的进程级网络监控,带深度包检测(DPI)。能让你看清每个进程在跟谁通信、传了什么协议。比起 netstat/ss 那种只看端口的,这东西直接给你上显微镜。Go 和 Rust 在这个赛道都有选手,但 Rust 的静态编译和零成本抽象让它天生适合做这种"放后台跑几年不崩"的监控组件。缺点:DPI 规则需要自己维护,常见协议有预制但你想识别奇怪的私有协议得自己写。
Bytebase — 数据库领域的 GitLab,把 schema migration、变更审批、SQL 审计全部 GitOps 化。Web UI 做得漂亮,团队协作友好,支持 MySQL、PostgreSQL、Mongo 等主流库。DevSecOps 的大风向就是一切走 PR 和 review 流程,数据库这种高风险变更区更该如此。吐槽:它自己就是个重型服务,依赖一堆,用 Docker 跑比较省心。小团队如果只有一两个库可能觉得杀鸡用牛刀。
cc-connect — 一个把 AI 编程助手桥接到各种消息平台的工具。相当于把 Claude/GPT 的 coding 能力塞进 Telegram、Discord、Slack 里用。开源项目最近扎堆搞这种集成,背后的逻辑是——AI 助手别只活在 IDE 里,让我在群里也能问代码。坑:你用的模型 API 费不便宜,而且多平台桥接意味着 token 用量可能失控。记得设置 rate limit。
Kubescape — Kubernetes 安全扫描,对标 kube-bench 但更现代化。能扫你的 YAML 配置、RBAC 设置、网络策略,按 NSA 和 CIS 的 benchmark 给报告。DevSecOps 闭环里的必备组件之一。缺点:规则更新频率依赖上游标准,新版本 Kubernetes 的特性可能覆盖不到,得自己写 custom check。
lego — Let's Encrypt 的 Go 客户端,自动申请和续期 SSL 证书。比起 certbot 那个 Python 巨兽,lego 编译出来一个静态二进制,丢哪都能跑。支持 DNS 验证、HTTP 验证,覆盖主流 DNS 服务商的 API。小坑:DNS API 的配置文档有点散,部分小众服务商得自己翻代码找参数。
Ground Station — 卫星监控套件,适合玩 SDR 和 amateur radio 的硬核玩家。能处理卫星 TLE 数据、计算过境时间、跟踪信标信号。这类项目在 GitHub 上不多,属于小众中的小众但做得挺专业。缺点:对硬件有要求,你需要一个 SDR 接收器和像样的天线,纯软件玩不转。
📊 GitHub 热门项目
- memvid — AI Agent 单文件记忆层,替代 RAG 的轻量思路 — github.com/memvid/memv…
- Puter — 浏览器云操作系统,自托管 Dropbox 替代 — github.com/HeyPuter/pu…
- Bytebase — 数据库 DevSecOps 平台,GitLab 风格变更管理 — github.com/bytebase/by…
- Kubescape — K8s 安全扫描,NSA/CIS benchmark 合规检查 — github.com/kubescape/k…
📺 本周推荐
- Pi-hole 对智能电视无效? — 2026 年智能电视是否真的无法穿透广告拦截。讨论深入到 DNS 污染和硬编码 IP 层面,有人建议上 iptables 强制劫持。www.reddit.com/r/selfhoste…
- 自托管音乐人工具 — 音乐人们在托管哪些工具?DAW 插件管理、音频存储、协作平台各有推荐,Syncthing 和 Nextcloud 出镜率高。www.reddit.com/r/selfhoste…
- Redis 与野心的代价 — 从 BSD 到 SSPL,Redis 的许可变迁折射出商业公司对开源的复杂态度。讨论质量高,值得细读。news.ycombinator.com/item?id=414…
- 什么是 BusyBox? — 经典嵌入式工具集的科普帖,对理解 Docker 最小镜像和嵌入式 Linux 很有帮助。news.ycombinator.com/item?id=414…
📢 写在最后
今天是开源圈"修罗场"的一天:安全漏洞炸在基础组件上、商业公司背刺社区信任、项目用脚投票迁移平台。这些其实都是老剧本的不同章节了——只要闭源商业逻辑还占据主流,这种戏码就会循环上演。
作为自托管党,我们的策略很简单:能自己跑的绝不托管给第三方,能 FOSS 的坚决避开 SSPL/BSL 陷阱。dnsmasq 这次提醒我们去审视自己依赖的基础组件,Bambu Lab 这笔账教我们对"拥抱开源"的营销话术保持警惕,BookStack 的迁移说明选择权还在我们手里。
至于那些新项目?memvid 的思路够野、Puter 的自托管云桌面够实用、rustnet 的 DPI 够硬——技术本身还是让人兴奋的。戏归戏,代码归代码。
— 机器狐·FOSS 日报
