分词 (Participle)​

分词是一种形容词，由动词变化而来，用来描述名词或代词。分词有两种：

1. 现在分词 (Present Participle)：动词加 "-ing" 结尾，比如 "running"（跑步的）。

   • 例子：The running water is cold. （流动的水是冷的。）

2. 过去分词 (Past Participle)：动词的过去分词形式，比如 "eaten"（被吃的）。

   • 例子：The broken vase was expensive. （破碎的花瓶很贵。）

动名词 (Gerund)​

动名词也是动词加 "-ing" 结尾，但它是名词，表示一个动作或活动。

• 例子：Running is good for health. （跑步对健康有益。）

区别​

1. 功能不同：
   • 分词：用来描述名词或代词，起形容词的作用。
   • 动名词：表示一个活动或动作，起名词的作用。

词性来说，分词还是形容词，动名词还是名词

2. 位置不同：
   • 分词：常在名词或代词前后，用来描述它们。
   • 动名词：可以做主语、宾语或表语。

例子对比​

• 分词：The barking dog is loud. （叫的狗很吵。）

  • "barking" 描述 "dog"。

• 动名词：Barking is annoying. （狗叫很烦人。）

  • "Barking" 是一个名词，表示 "狗叫" 这个活动。

大家好，我是楷鹏。

通用​

飞书​

说起来不信，第一个推荐的是【飞书】，飞书是目前用过最舒服的项目管理应用了。

单拎出来一个飞书文档，功能和体验远超市面上腾讯文档、石墨文档、语雀等等。

现在飞书还支持个人版，No more thumbs up。

除了文档，飞书还支持邮箱、视频通话等功能，飞书 = 企业微信 + 腾讯文档 + QQ 邮箱 + 腾讯会议，直接 All in One 了

飞书还自带一些贴心的小功能，比如 OCR（图片转文字）、录视频、录 GIF，以及一个非常使用的「滚动截图」，截长图不烦恼

Arc​

现在主力浏览器已经从 Chrome 切换到【Arc】，Arc 的多空间解决了我的一直以来的痛点需求。

并且会自动收起过期的 Tab 页面，支持全屏，颜值好看，交互舒服，Arc 值得拥有。

有道翻译​

程序员看官方技术文档，翻译是刚需。

本人也算是有道翻译的老用户了，陪着从有道词典改名为现在的【有道翻译】。

虽然有道翻译的翻译效果不是最好的，但胜在词典内容丰富，划词交互方便。

目前加上了 AI，翻译质量也上了一个台阶，怒冲两年会员。

Grammarly Desktop​

有时候提 issue 或者写英文的场景下，担心自己语法错误，Grammarly Desktop 派上用场。

基础的语法检验 free，但是润色以及 AI 功能需要付费。

iBar​

手头的 Mac 有刘海屏，应用一多就会被刘海挡住，很烦。

iBar 可以把菜单栏收起一下。

iShot​

截取一张包含圆角、阴影的好看截图，可以用 iShot。

Free 版本足够，长截图、OCR、录屏等高级付费功能，可以用飞书自带的。

Snipaste​

之前从 Win 转 Mac 的时候，一如既往 Snipaste，它的贴图功能很好用

App Cleaner & Uninstaller​

App Cleaner & Uninstaller 强力卸载软件，干干净净

Runcat​

在菜单栏上看一只猫不断地奔跑也是一种消遣

Runcat 可以在菜单栏用 Runcat 查看当前 CPU 等信息，CPU 用得多小猫也就跑得越快

Activate Mac​

一个百无聊赖的小挂件，Win 的「Activate Windows」类似，在屏幕右下角展示「Activate macOS」

效率​

个人任务三件套​

1. 滴答清单：安排任务、定时任务

2. Flomo：记录灵感，针对任务过程 or 结果进行复盘

3. FlowUs：复盘产出，读书笔记

为什么选择这一工具套件的原因？

1. 全为国内应用，无需梯子，避免网络波动的着急时刻
2. 支持跨平台，移动端、PC 端、Web 端、小程序全面覆盖
3. 好用，平替 Todoist、Notion 等

Revezone​

平时需要画一些流程图，会使用 Excalidraw 涂鸦式画图工具，可惜它不支持中文字体。

Revezone 相当于是 Excalidraw 的汉化版，但更进一步，集成了 Tldraw、类 Notion 笔记功能，并且提供 Mac 客户端。

目前开源免费，正在 alpha 公测阶段，可以 try try。

录屏​

1. OBS：专业录制，如果有需要录课等重量用途，就选他。如果只是一些轻量的录制可以用飞书的 Gif 录制

2. Screen Studio：可以制作非常丝滑的操作视频

3. KeyCastr，显示输入的按键，开源免费

uTools​

确实是新一代的效率工具平台，万物皆插件，需要什么小功能都可以在上面找到

贝锐向日葵​

需要远程操作另一台计算机，贝锐向日葵推荐，free 版基本满足需求，不过总会弹一些小广告。

开发​

Fork​

一个免费的 Git 可视化工具，挺形象的「叉子」。

Warp​

新生的终端应用，支持基本补全、记忆功能，还有 AI 加持。

Zed​

Jetbrain、VSCode 等的就不推荐了，这些都是有名的代码编辑器了。

就推荐下【 Zed 】，基于 Rust 的新一代编辑器，启动、输入速度非常快。

Zed 刚起步，后续持续观察。

数据库可视化​

数据库可视化老大 Navicat，这个大家比较熟悉了，最近终于推出了免费版的 Navicat Premium Lite，Navicat Premium Lite 作为 Navicat Premium 17 的精简版，基本功能都在。

官方说【它可满足广大初级用户和非商业用途的基础数据库管理需求】（可能是盗版太太太多了 🤣）

如果只需要一个轻量的数据库可视化操作，那么推荐一下【SQL Pro Studio】

虽然没有 Navicat 那么强大，但好在是 Mac 原生应用，性能不错，基本的操作（筛选、排序）都能满足，高级的能力需要写一下 SQL

如果使用的是 Postgres 数据库，那么可以使用 Postico 2，专门用于 Postgres。

Redis 可视化推荐 Another Redis Desktop Manager 或者 Redis Insight，这两款各有优缺，可以搭配使用

Typora & uPic​

写 Markdown 笔记的时候，Typora 一直是我的白月光。

Typora 本身不支持图片，于是自己用服务器搭了个图床，目前搭配 uPic 上传图片。

He3​

面向开发者的工具箱，集合多款的开发专用小工具，也有一些基础的视频剪辑、图片裁剪、音频转换等工具。

大家好，我是楷鹏。

程序员 Matan 挖到了一个 XSS 漏洞并报告给谷歌，奖励 3133.7 美金（约合人民币 22666 元）

这是谷歌 Bug Hunter 的奖励规则：

👉 图片来自 https://bughunters.google.com/about/rules/google-friends/6625378258649088/google-and-alphabet-vulnerability-reward-program-vrp-rules

事情起因是这样的，Matan 看到了一篇揭露谷歌 SSRF 漏洞的文章，文章中提到谷歌的这么一个网站

📍 https://toolbox.googleapps.com

于是便开始探寻，先是查看 robots.txt 文件：

#apps-toolbox
User-Agent: *
Allow: /apps/main
Allow: /apps/browserinfo
Allow: /apps/checkmx
Allow: /apps/dig
Allow: /apps/har_analyzer
Allow: /apps/loganalyzer
Allow: /apps/loggershark
Allow: /apps/messageheader
Allow: /apps/recovery
Allow: /apps/useragent
Allow: /apps/other_tools
Allow: /apps/encode_decode
Allow: /apps/screen_recorder
Disallow: *

robots.txt 是一份存在于网站根目录的文件，它会告诉网络爬虫应该哪些页面可以爬，哪些不可以，以此避免网站被爬虫过度请求，造成请求负担

在 robots.txt 文件中，一个链接对应一个工具网页

但是有一个例外，/apps/recovery 是不能被直接访问的

在经过简单搜索后，发现它存在子页面

recovery/domain_in_use
recovery/form
recovery/ownership

这些子页面都能够接收多个 URL 参数，比如

recovery/domain_in_use?visit_id=xxx&user=xxx&domain=xxx&email=xxx

如果输入这条继续跳转链接的话

https://toolbox.googleapps.com/apps/recovery/ownership?domain=example.com&email=email@example.com&case=45500368&continue=/apps/recovery/...

这条链接包含参数 domain=example.com，注意还有一个参数是 continue=/apps/recovery/...

输入该继续跳转链接会得到提示：

在这里，发现了问题，CONTINUE 按钮的链接居然是来自于 continue 参数

Matan 验证了下，注入 JavaScript 脚本代码：.../continue=javascript:alert(document.domain)

成功执行 ✅

这个网站没有 CSP 安全策略，也没有任何防护措施，因此可以从任意外部获取资源

继续尝试加载外部恶意脚本，该恶意脚本用于获取用户 IP 地址：

.../continue=javascript:fetch(%27https://api.ipify.org?format=json%27).then(response=%3Eresponse.text()).then(data=%3E{alert(data);%20})

也是成功执行 ✅

到这里，可以确定存在 XSS 漏洞。

回顾一下 XSS 知识

XSS（Cross-Site Scripting），跨站脚本攻击，没有做好校验，相信用户的输入，接收了攻击者的恶意输入（一般是 JavaScript 脚本代码），导致该恶意输入在其他用户页面上执行。XSS 一般分为三种：

1. 存储型：恶意输入被永久储存在了后台服务中，无论用户什么时候打开网站，拿到该恶意输入，浏览器就会执行
2. 反射型：恶意输入内嵌在 URL 或者其他输入中，立即被后台转发，用户只要访问构造好的 URL，浏览器就会执行
3. 基于 DOM：攻击者操作用户的 DOM 结构，进而执行恶意代码

上诉 Matan 的例子，就是一个很典型的反射型 XSS。

但这个 XSS 太低级了，以至于 Matan 本人都难以置信，毕竟谷歌技术是业界有名的

不过谷歌惯常喜欢用自研框架，而这些框架没有做好安全策略，产品翻车也是难免。

One more thing：

{
  "公众号": "程序员楷鹏",
  "简介": "世界有 10 种人，一种是懂二进制的，另外一种是不懂的",
  "还有": "你肯定会关注的对吧彦祖？"
}

大家好，我是楷鹏。

先说结论，不行。

Zed，又一款新起的文本代码编辑器

👉 https://zed.dev

今年一月二十四号正式开源，短短不到三个月，GitHub 上已经冲上 3 万 star

正如 Zed 的口号所说「Code at the speed of thought 以思考的速度编码」

实际体验下来，Zed 确实会比 VS Code 丝滑

⬇️ Zed

⬇️ VS Code

官网也给出了打字输入性能对比：

输入字母 z 并显示到屏幕，Zed 仅需 58 毫秒，而 VS Code 需要 97 毫秒

Zed 比 VS Code 快了 1.4 倍

在输入性能方面，Zed 胜出

其次就是 Zed 主打的另一个核心功能，多用户协同编程

额说实话，这个功能暂时想不到很好的落地使用场景。

到目前为止，Zed 仅仅是一个不错的文本编辑器。

甚至可以说，Zed 实质上并没有重大的突破，属于自嗨产品。

Zed 宣传的高性能，并没有质的飞跃，很难打到用户的马屁上。

「58毫秒」和「97毫秒」两个差距并不大

实际开发都知道，编程的瓶颈并不在于输入速度。

另外是多用户协同，目前看这个场景不友好

如果是文档协同，国内的飞书文档、腾讯文档等哪一个不是佼佼者，按着 Zed 锤。

如果是代码协同，显然 Git 才是主流。

Zed 太年轻，目前很基础的 markdown 预览都没有实现

VS Code 珠玉在前，用开源、插件化形成的护城河，一开放拥有大批拥趸

而 Zed 虽然同样有插件机制，但是能指望多少人贡献呢？

《重来》一书讲到，第一次创业失败的人，第二次创业失败概率一样大

Zed 的团队原先做过 Atom 编辑器，而现在 Atom 名存实亡

团队做 Atom 失败过，而卷土重来的 Zed，还不行。

Zed 大概率能够圈住一部分用户，但不会成为领域的成功。

Zed 如何能破局呢？最重要的还是要顺势而为

想想 VS Code 当时，互联网的繁荣，带动开源领域的发展，Eclipses 老旧、Jetbrains 高昂收费，前端分工细化，急需轻量的编辑器，这些都是 VS Code 的势头。

而目前 Zed 最好的势头，显而易见，就是 AI 方向

而 Zed 目前显然支持不足，仅有 Copilot 代码不足和 Chat 能力

而这些 VS Code 不仅有，而且功能更加完善。

Zed 团队应该思考下了，要做一款怎么样的编辑器，适应目前的 AI 潮流，开创新的赛道。

如果继续安于微不足道的性能提升、垂直的协同，继续在垂直赛道内卷，那我祝你成功。

One more thing：

{
  "公众号": "程序员楷鹏",
  "简介": "世界有 10 种人，一种是懂二进制的，另外一种是不懂的",
  "还有": "你肯定会关注的对吧彦祖？"
}

大家好，我是楷鹏。

早在 OpenAI 推出 ChatGPT 之前，OpenAI 就已经和 GitHub 合作推出了 GitHub Copilot。

下文统一简称 Copilot

Copilot 当时在编程圈引起轰动。

当时激进的说法是：Copilot 将会取代程序员。

三年之后，冷静下来，Copilot 并没有如愿替代程序员。

相反，它是一个提高效率的强大助手，掌握它，可以让你的编程效率提高数倍。

Copilot 的价格​

国内开发者对价格相对来说还是比较敏感的。

Copilot 官方有两种订阅方式，一个是个人版，一个是团队版。

团队就不说了，有公司支持就不需要考虑这一茬。

个人版的价格有两种：

1. 月度订阅，每月 10 美刀，人民币 72.37 元
2. 年度订阅，每年 100 美刀，人民币 723.7 元

个人版会有 30 天的免费适用期，可以先试用一下。

GitHub 比较友好，支持国内的信用卡绑定支付，招商、广发、建行等都可以。

非官方渠道的话，比如 x 宝、uTools 插件等，可能会不稳定，但胜在价格便宜。

Copilot 全家桶​

Copilot 使用很简单，在 VSCode/JetBrains 上安装对应的插件，然后登录 GitHub 账号即可。

👉 VSCode: https://marketplace.visualstudio.com/items?itemName=GitHub.copilot 👉 JetBrains: https://plugins.jetbrains.com/plugin/17718-github-copilot

安装后，输入代码时，Copilot 会自动提示代码，按 Tab 键即可补全。

JetBrains 的 Copilot 插件集成提供侧边栏 Chat 功能：

对于 VSCode 用户来说，如果要开启侧边栏 Chat 功能，需要额外安装 Copilot Chat 插件：

安装之后，侧边栏菜单会多了一个「Chat」项，和 ChatGPT 一样的聊天界面：

VSCode 确实会稍微麻烦一点，不过有个优势

就是新的 Copilot 的新功能都会优先上架 VSCode，比如 Copilot Voice

在 VSCode 装一下这个插件 👇 就能体验动嘴编程

虽然目前仅支持英文，但相信多语言很快会支持上

不过就算只支持英语，相信从小就开始学英语的中国开发者们，英语能力都非常好

Copilot 代码补全​

除了 Copilot 自动触发外，我们也可以使用 Option + \ 去主动触发代码补全。

Window 为 Alt + \

虽然主动快捷键比较少用到，但网络波动时可以测试下 Copilot。

触发代码补全后，按下 Tab 接受会接受全部的代码，但有时候我们只需要一部补全代码

可以使用 Command + → 去一步步接受补全代码：

Windows 为 Ctrl + →

如果对当前的补全代码不满意，可以按 Option + ] 或者 Option + [ 去切换下一个或者上一个补全代码：

Windows 为 Alt + ] 或者 Alt + [

对于 VSCode 来说，按下 Command + I 代码中唤起 Copilot Editor：

Copilot Chat 使用​

Copilot Chat 相当于为编辑器直接配置一个 GPT-4，可以方便快速地快速问答项目问题：

对于 JetBrains IDEs，需要在文件右键显示引用：

JetBrains IDEs 目前比较笨，需要手动右键显式指明哪个文件，并且引用整个文件

而 VSCode 不需要显示指明，它会自行判断是引用文件全部，还是仅引用鼠标选中的：

Copilot 的一些小幸福​

再来说一下 Copilot 的一些痒点功能，比如直接生成 Commit Message：

生成 Git Commit 这点确实很方便，它会检测所有文件变更，并且生成合适的 Message。

另外是重命名变量，不过目前这个功能不太稳定，暂时略过。

Copilot CLI​

Copilot CLI 现在已经全面开放 Copilot CLI，可以在命令行中使用 Copilot。

比如我们可以让 copilot 解释 sudo apt-get 这条命令的意思：

不过目前 CLI 还是挺笨的，不如使用 Warp 的 AI 功能，参考之前文章 👉

好看好用 + 免费 AI 能力的终端工具，推荐 Warp！

大家好，我是楷鹏。

对于很多开发者来说，SQLite 一定不陌生。

也知道它很强，但是没想到居然这么强。

SQlite 目前超一万亿（$1e12$）的活跃使用量。

它主要用于：

👉 表格来源于：https://www.sqlite.org/mostdeployed.html

而 SQLite 的全部开发者，也就三个人：

👉 图片来源于：https://www.sqlite.org/crew.html

• D. Richard Hipp ：2000 年 5 月 29 日开始 SQLite 项目，并继续担任项目架构师。理查德在北卡罗来纳州夏洛特出生、生活和工作。他拥有佐治亚理工学院（电子工程硕士学位，1984 年）和杜克大学（博士学位，1992 年）学位，并且是咨询公司 Hwaci 的创始人。
• Dan Kennedy ：澳大利亚人，目前居住在东南亚。他拥有昆士兰大学计算机系统工程学位，曾在多个领域工作过，包括工业自动化、计算机图形和嵌入式软件开发。Dan 是主要贡献者自 2002 年起使用 SQLite。
• Joe Mistachkin（发音为“miss-tash-kin”）：软件工程师，也是 Tcl/Tk 的维护者之一。他也是 TclBridge 组件和 Eagle 脚本语言的作者。他自 1994 年以来一直在软件行业工作。

另外一件有趣的事情是，SQLite 不接受任何外来的代码贡献。

也就是说，SQLite 开源，但是并不开放代码贡献。

在 SQLite 的版权声明有提到：

👉 图片来源于：https://www.sqlite.org/copyright.html

很多时候，都不得不感慨软件的边际成本。

一份代码，可以分发给十个人用，也可以给十亿个人使用。

三个开发者，就支撑一万亿的活跃使用量。

SQLite 创造的价值，无与伦比，科技改变世界。

REFERENCES​

• https://x.com/iavins/status/1774464622067679738

今天在 Reddit 的帖子上看到，QQ 浏览器抄袭了 Arc

而且还是 Arc 官方发布的

It looks very similar lol 看起来也太像了，笑死我了

稍微震惊了一下，带着疑惑，打开了 QQ 浏览器官网页 点击下载 ⬇️

下载后打开

翻找了下，并没有看到有什么和 Arc 相似的地方

QQ 浏览器更多还是个 Chrome 套壳

难道不是 Mac，重新看了下

原来是 Windows

去到我的 Windows 虚拟机上，下载 Windows 版 QQ 浏览器

安装

左上角有个“横”“竖”切换按钮 接下来大致对比一下

竖屏逻辑 QQ 基本上和 Arc 一致：

QQ

Arc

分屏模式下，Arc 老用户很明显知道，右上角的三点菜单，是 Arc 旧版交互：

QQ

Arc

侧边栏收起，QQ 还是不敢做到全屏，留下一条侧边栏：

QQ

Arc

收藏网址上，QQ 和 Arc 一致，都可以在侧边栏顶部进行收藏

QQ

Arc

除了上述 QQ 浏览器和 Arc 比较相似的这几个点，像书签、搜索输入实际上都不相同

比较难过的是，QQ 浏览器没有 Arc 「多空间」这样的痛点功能

交互动画、配色等也没能做到像 Arc 一样丝滑舒服

QQ 浏览器的竖屏模式只能算是低配版的 Arc

在评论区中，有这么一句话

I’ll take a hot guess that this is a Chinese company. China does not care about foreign copyright law in the slightest. 我猜这是一家中国公司。中国对国外版权著作法律几乎完全不在乎。

虽然都是基于 Chromium，但 Arc 对浏览器有着自己的独到的理解

重构了传统书签、页面的交互，提供分屏、多空间等的重点功能等等

国内对浏览器产品创新的跟进，本来是一件值得鼓励的事情

但像 QQ 浏览器这样直接照抄，实在是对创新的一种伤害。

今天介绍一个大佬 Tristan，做过了一款惊艳的中国传统颜色

👉 https://colors.ichuantong.cn

最近发现他的另外一个应用，一个工具集合 Sinqi Tools

工具集合应用，这种类型已经卷成麻花了

有 Reycast、He3、uTools、Alfred、DevToys、IT-Tools 等等等

sinqi.tools，又一个的工具集合应用，为什么能脱颖而出？

看下官方示例的几个例子

它有两个主要特点：

一个是垂直，专门面向前端和设计人员

另外一个是精致，颜值是第一生产力

对比一下 IT-Tools

山猪品不了细糠，Sinqi 更抓得住前端开发胃口。

对于前端开发，好用的工具有：

• 代码生成类：Code Converter（代码转换）、Code Beautifier、Tailwind Background（Tailwind 背景）、CSS Generator（CSS 生成器）、Sunburst Maker（日落效果生成器）、Wave Maker（波浪生成器）等

• 网络类：URL Parser（URL 解析器）、Query IP（IP 查询）、HTTP Status Code（HTTP 状态吗）等

• 图片处理类：Code Image（代码图片）、Image Editor（图片编辑）、QRCode Generator（二维码生成器）等

除此之外，还有一些有趣的小工具，比如 Avatar（头像生成）

玩数独

目前 Sinqi 还处于 Beta 阶段，明显还有一些问题。

一个是工具数量不多，另外是一些基本功能还有问题，比如有些工具缺少中文、没有返回等

对于 Sinqi 之后的发展，开发者 Tristan 表示，继续保持「交互友好，界面简洁」

如果觉得这个 Sinqi 有意思，不妨一试 👉 https://sinqi.tools

One more thing：

{
  "公众号": "程序员楷鹏",
  "简介": "世界有 10 种人，一种是懂二进制的，另外一种是不懂的",
  "还有": "你肯定会关注的对吧彦祖？"
}

大家好，我是楷鹏。

最近 Warp 声名鹊起，很多人推荐这款终端工具，于是便下载体验一番。

经过几天的深度体验，结论是确实可以平替原先的 iTerm。

Warp 颜值可以，看着舒服，满足了前端工程师花哨的需求。

有多种主题可选：

Warp 直接提供命令提示功能，不需要像 iTerm 那么折腾：

最好用的，当然是 AI 能力，在右上角即可打开「Warp AI」，忘记命令了，可以直接 chat：

对于 Free 用户，每天可以有 20 次免费额度，这对于个人来说足够了：

Warp 还提供叫做「Warp Drive」，可以在团队中保存和分享命令：

目前 Warp 仅支持 Mac 和 Linux，Windows 也很快会支持：

如果觉得 Warp 不错，不妨一试： 👉 地址：https://app.warp.dev/referral/Q9ZVGQ

一直听说 MBTI，但是一直记不住自己是 ESFP。

通过这篇文章学习一下 MBTI 的相关英文全称。

MBTI 是 Myers-Briggs Type Indicator 的缩写，中文翻译为迈尔斯-布里格斯性格类型指标。

MBTI 每个字母代表一个特定的性格特征，性格特征两两组合：E/I、S/N、T/F、J/P:

• E/I: 这组字母代表外向和内向的区别，外向的人喜欢社交和活动，内向的人喜欢独处和思考。
• S/N: 这组字母代表感觉和直觉的区别，感觉的人喜欢具体和现实的事物，直觉的人喜欢抽象和未来的事物。
• T/F: 这组字母代表思考和情感的区别，思考的人喜欢逻辑和分析，情感的人喜欢价值和关系。
• J/P: 这组字母代表判断和感知的区别，判断的人喜欢计划和决策，感知的人喜欢灵活和观察。

每组性格特征有两种可能的取值，所以 MBTI 一共有 $2\times2\times2\times2=16$ 种性格类型: