2025-08-23 07:30:18
- DeepSeek 平台发布 DeepSeek-V3.1 版本,引入混合推理功能并增强工具使用能力。
- 文章探讨了在编程中使用 AI 工具时披露信息的重要性及相关法律争议。
- FFmpeg 8.0 版本发布,新增多项编解码器支持并增强硬件加速功能。
- 文章批评 Go 语言的设计问题,包括错误处理、可移植性和内存使用等方面。
- 文章介绍了使用 io_uring、kTLS 和 Rust 构建零系统调用的 HTTPS 服务器的方法。
- uv 工具包实验性引入代码格式化功能,支持通过 Ruff 格式化器简化开发流程。
- 4chan 拒绝支付英国 Ofcom 根据《在线安全法案》提出的罚款,称其无法律效力。
- 文章表达了对工程领域中过度依赖 AI 工具的担忧,质疑其实际价值。
- 文章介绍了一种通过手机播放特定音频文件来控制购物车轮子的锁定和解锁的方法。
- 文章讨论了管理中修复错误的重要性,强调承认错误并采取行动重新建立信任的关键性。
https://api-docs.deepseek.com/news/news250821
DeepSeek 平台发布了最新版本 DeepSeek-V3.1,标志着向代理时代的第一步。新版本特点包括混合推理功能,即一个模型具备“思考”和“非思考”两种模式;“思考”模式下,DeepSeek-V3.1-Think 能够更快地得出答案;经过后训练增强的工具使用和多步骤代理任务能力。用户可以通过“DeepThink”按钮在聊天界面切换思考和非思考模式。
API 更新包括将 deepseek-chat 设置为非思考模式,deepseek-reasoner 为思考模式,两者均支持 128K 的上下文长度,并支持 Anthropic API 格式。Beta API 中支持严格的函数调用功能。
工具和代理升级后,在 SWE/Terminal-Bench 上取得了更好的结果,增强了复杂搜索任务的多步骤推理能力,并提高了思考效率。
模型更新方面,V3.1 Base 在 V3 的基础上继续进行了 840B tokens 的预训练,以扩展长上下文,并更新了分词器和聊天模板。V3.1 Base 和 V3.1 的开源权重已在 Hugging Face 上提供。
定价方面,新定价将于 2025 年 9 月 5 日 16:00(UTC 时间)开始,之前的非高峰时段折扣将结束。在此之前,API 将遵循当前定价。详细的定价信息可在官方网站的定价页面查看。
https://news.ycombinator.com/item?id=44976764
https://github.com/ghostty-org/ghostty/pull/8289
GitHub 上的 ghostty 项目中, 作者 mitchellh 提出了一个议题,强调在使用人工智能工具辅助编程时应披露相关信息。他认为,尽管 AI 辅助工具可能产生质量不一的代码,但主要问题在于缺乏经验的人类使用者无法充分审查 AI 生成的代码,导致提交质量不佳的代码请求。mitchellh 提倡披露 AI 工具的使用,以帮助维护者评估对代码请求的关注程度,并表示他愿意协助经验不足的贡献者,但如果是 AI 在操作,则无需投入过多努力。他还提到,尽管他本人也使用 AI 工具,但我们需要负责任地使用,并尊重可能需要审查或维护代码的人类。
另一位用户 yawaramin 建议可以添加一个代码请求模板,明确要求披露 AI 工具的使用,并提到模板中还可以包含其他事项的检查列表,例如开发者证书起源。jcollie 和 yawaramin 均批准了这些变更。mitchellh 合并了这些变更,并删除了相关的分支。此外,还有用户提出了关于添加代码请求模板的建议,以及对文档改进和添加贡献指南的提及。整个讨论中,社区成员对 mitchellh 的观点和建议表示了支持和反应。
https://news.ycombinator.com/item?id=44976568
https://ffmpeg.org/index.html#pr8.0
FFmpeg 是一个跨平台的解决方案,用于录制、转换和流式传输音视频。最新版本 FFmpeg 8.0 “Huffman"已经发布,带来了许多新特性,包括对多种新编解码器的支持和性能提升。这个版本引入了原生编解码器,如 APV、ProRes RAW、RealVideo 6.0 等,并对 VVC 编解码器进行了改进,增加了 IBC、ACT 和调色板模式。此外,FFmpeg 8.0 还支持基于 Vulkan 计算的编解码器,例如 FFv1 和 ProRes RAW,以及硬件加速编解码,如 Vulkan VP9 和 VAAPI VVC。新版本还包括对新格式和过滤器的支持。
FFmpeg 项目还开始现代化其基础设施,升级了邮件列表服务器,并开始接受通过 code.ffmpeg.org 上的新 Forgejo 实例进行的贡献。FFmpeg 7.1 “Péter"版本也已发布,带来了 VVC 编解码器的稳定性提升、对 AAC USAC 编解码器的支持、MV-HEVC 和 LC-EVC 编解码器的新增支持,以及 Vulkan 编码支持。FFmpeg 7.0 “Dijkstra"版本则引入了原生 VVC 编解码器和 IAMF 支持,并移除了一些过时的 API。
FFmpeg 社区还宣布了德国主权技术基金成为其首个政府赞助商,这将有助于维持 FFmpeg 项目的维护。社区成员对于新赞助商的支持表示兴奋,认为这将有助于保持这个关键的开源多媒体组件的持续发展。
https://news.ycombinator.com/item?id=44985730
https://blog.habets.se/2025/07/Go-is-still-not-good.html
这篇文章是一位博主对 Go 语言的批评。博主认为 Go 语言存在多个问题,包括:
总的来说,博主认为 Go 语言存在许多设计上的问题,导致代码难以阅读和维护。
https://news.ycombinator.com/item?id=44982491
https://blog.habets.se/2025/04/io-uring-ktls-and-rust-for-zero-syscall-https-server.html
这篇文章讨论了如何构建一个零系统调用的 HTTPS 服务器,以提高网络服务的性能。文章首先回顾了过去几十年中,为了应对高容量网络服务需求,人们如何从传统的进程创建转向使用线程、poll()/select()等技术来减少系统调用和上下文切换。然而,随着连接数的增加,这些方法也遇到了扩展性问题。因此,引入了 epoll(Linux 系统)和 kqueue(其他操作系统)来提高效率。
文章接着介绍了 io_uring 技术,它允许服务器将操作命令写入队列,由内核异步处理,从而避免了频繁的系统调用。这种方式使得服务器能够通过简单的内存写入来执行之前成本较高的系统调用,并且从另一个内存区域读取结果。为了减少忙等循环,内核和服务器都会在队列中检查新内容,如果没有新内容,服务器会通过系统调用来“休眠”,直到队列中有新内容。
作者提倡使用“每个核心一个线程”的模型,并确保线程不共享任何读写数据结构,以提高性能。同时,文章提到了内存分配问题,建议预分配固定大小的内存块给每个连接,以避免新的连接需要系统调用,减少内存碎片,并防止内存耗尽。
文章还讨论了 kTLS,这是 Linux 内核的一个特性,允许应用程序将加密/解密工作交给内核处理。这样,即使应用程序仍然需要执行 TLS 握手,但在启用 kTLS 后,可以像处理明文一样发送数据,从而提高效率。
作者还提到了避免在用户空间和内核空间之间传递文件描述符的优化,通过使用 register_files 实现无描述符文件,减少了开销。
最后,作者介绍了他构建的名为 tarweb 的实验性 Web 服务器,该服务器整合了上述技术。尽管 tarweb 还不完美,代码需要改进,且 TLS 库在握手期间可能进行内存分配,但它已经能够在每个请求的基础上实现无需系统调用的 HTTPS 服务。作者计划在代码清理后进行基准测试,并强调了 io_uring 的安全性问题,即任何缓冲区都需要在操作完成之前保持在内存中,这增加了编程的复杂性。作者呼吁开发更安全的 Rust 库来处理这些问题。
https://news.ycombinator.com/item?id=44980865
https://pydevtools.com/blog/uv-format-code-formatting-comes-to-uv-experimentally/
uv format 是一个新引入的实验性命令,它为 Python 开发者提供了直接通过 uv 工具包进行代码格式化的功能,从而无需使用多个工具来处理基本的 Python 开发工作流程。这个命令通过调用 Ruff 的格式化器在后台工作,自动按照一致的标准风格化代码。
要开始使用 uv format,确保你运行的是 uv 0.8.13 或更高版本。如果需要升级,可以参考升级指南。升级后,格式化项目中的所有 Python 文件变得非常简单:
uv format
uv format --check
uv format --diff
这个命令的工作方式与在项目根目录下运行 ruff format
类似,但是通过 uv 的界面进行。你还可以向 Ruff 传递额外的参数,只需将它们放在 --
后面:
uv format -- --line-length 100
uv format -- src/mymodule/core.py
uv format -- --line-length 88 --preview
这种灵活性意味着你可以自定义格式化行为,同时不失去 uv 的便利性。需要注意的是,由于这是一个实验性功能,可能会有一些不完善的地方,例如命令在未来版本中可能会变化,与 uv 项目模型的集成可能会发展,错误处理和输出格式化可能会改进。尝试在你的下一个项目中使用 uv format,并看看它如何融入你的开发工作流程。这个功能的实验性质意味着你的反馈可能会帮助塑造这个功能的发展。
https://news.ycombinator.com/item?id=44977645
uv
应该专注于包/项目管理,而不是代码风格,用户希望 uv
仅在更新依赖时编辑代码文件。ruff
和 ty
合并,因为它们都是关于代码风格,并且会编辑代码以格式化或修复类型/lint 问题。ruff
和 uv
不会合并,它们保持为独立的工具,目的是简化用户不需要考虑格式化工具的体验。uv tool run ruff
是否已经存在,以及是否需要特殊的快捷命令。uv format
时安装,而不是与 uv
二进制文件捆绑,这样如果用户从不使用 uv format
,则没有实质性的负面影响。uv
成为 Python 的 “cargo”,一个管理 Python 项目的瑞士军刀。uv
如何进行测试表示好奇,是在 tox 级别还是 pytest 级别,或者另一个级别。uv format
和 ruff check
之间的差异感到困惑,希望 uv format
默认输出更改的文件列表。https://www.bbc.co.uk/news/articles/cq68j5g2nr1o
在线留言板 4chan 的代表律师表示,该网站不会支付英国媒体监管机构 Ofcom 根据《在线安全法案》提出的罚款。Ofcom 初步决定对 4chan 未能遵守其要求的行为处以 2 万英镑罚款,并在网站继续不遵守规定的情况下每日追加罚款。4chan 的律师认为,Ofcom 的通知在美国没有法律效力,他们认为监管机构的调查是对美国科技公司的“非法骚扰”。Ofcom 在调查期间拒绝发表评论。
4chan 经常因其 22 年历史上的在线争议而处于核心位置,包括性别歧视运动和阴谋论。用户匿名,这常常导致极端内容被发布。4chan 的律师声明称,作为一家在美国注册的公司,4chan 受到美国法律的保护,不受英国法律的约束。他们表示,如果必要,将在美国联邦法院寻求适当的救济以确认这些原则,并已向美国当局通报了他们对 Ofcom 调查的回应。
声明最后呼吁特朗普政府动用所有外交和法律手段保护美国企业免受“域外审查命令”的影响。Ofcom 此前表示,《在线安全法案》只要求服务提供商采取行动保护在英国的用户。美国一些政治人物,特别是特朗普政府及其盟友和官员,反对他们认为英国和欧盟对美国科技公司监管的过度干预。他们特别关注《在线安全法案》对言论自由的影响,但其他法律也是争议的焦点。
如果 4chan 在美国法院成功抗辩罚款,Ofcom 可能还有其他选择,例如要求法院命令其他服务中断提供商在英国的业务,例如要求从搜索结果中移除服务或阻止英国支付。如果 Ofcom 认为这不足以防止重大伤害,甚至可以要求 ISP 阻止英国访问。
https://news.ycombinator.com/item?id=44982681
https://catskull.net/what-the-hell-is-going-on-right-now.html
当前网页是一篇博客文章,标题为“What the hell is going on right now?”,作者在文章中表达了对当前工程领域中人工智能(AI)工具使用情况的担忧和批评。
文章指出,工程师们正在经历职业倦怠,组织期望资深工程师能够审查并参与那些不切实际的“氛围编码”功能。作者观察到,最优秀的工程师通常对帮助新团队成员贡献和学习充满热情,但他们的反馈并没有被真正采纳,而是被年轻程序员用作他们“人工智能”作品的下一个提示。
作者提到,在一个公司会议上,一群初级工程师展示了他们的最新工作,但作者无法理解这项工作的具体内容或目的,甚至这些工程师自己似乎也不理解。然而,在大型组织中,重要的不是做了什么,而是别人认为你做了什么。一位高级经理鼓励他们夸耀使用“AI”工具,他们回应说“这是由 Claude 编写的四千行代码”,赢得了掌声。
作者分享了自己的经历,他被要求对一个现有功能进行小改进,发现最近工作的是一名初级工程师。他联系这名工程师,希望了解他们最近的更改背景,但怀疑自己的问题和提交链接被直接输入到一个大型语言模型(LLM)中,然后被复制粘贴回来,这让作者感到被侵犯。
文章还提到了作者的一个朋友,他所在的团队在过去一个月里一直在审查一个由 LLM 产生的混乱代码。作者质疑,支付 ChatGPT 每月 20 美元的费用,然后让一个工程师团队尝试审查和合并代码的成本节约在哪里?
作者强调,工程师们想要提供帮助,想要构建能够正常工作、使人们生活更轻松的优秀产品,并教授软件工程。但作者质疑,如果这些投资只是被复制粘贴到最新的模型中,那么这些投资还有什么价值?作者建议,我们应该停止使用“AI”,尝试一天、一周或一个月不使用它。
作者分享了自己最近重置电脑的经历,作为这个过程的一部分,他剔除了不再使用的软件,包括他已经支付了 6 个月费用的 Claude Pro。他觉得这只是一个巨大的时间浪费,即使需要进行几次独立的互联网搜索和阅读一些 Stack Overflow 和文档页面,自己的结论也比 LLM 提供的任何东西更可靠和准确。
文章最后质疑这些工具的价值,并提出了一个关于 AI 行业的财务模型,即 AI 被应用于特定领域,公司因此而成立,因为它们更“高效”。AI 公司从风险资本家那里获得资金,然后支付给 AI 服务提供商如 OpenAI 使用积分,但最终 AI 公司消失。作者认为,这种模式与现有的风险资本管道没有太大不同,但区别在于,即使是 OpenAI 目前也没有盈利。作者认为这是因为技术本身存在缺陷,无法扩大规模以满足需求,它消耗的电力太多,永远无法在经济上可行,更不用说严重的环境问题了。
作者呼吁人们现实地看待这个问题,认为这是一个骗局,皇帝没有穿衣服。
https://news.ycombinator.com/item?id=44981747
这个网页提供了一种通过手机扬声器控制 Gatekeeper Systems 购物车轮子锁定和解锁的方法。购物车轮子通常通过检测地下电线发出的 7.8 kHz 信号来判断是否需要锁定或解锁。管理遥控器可以发送不同的 7.8 kHz 信号来解锁车轮。
由于 7.8 kHz 在音频范围内,可以通过播放特制的音频文件,利用手机扬声器产生的寄生电磁场来“传输”类似的信号。网页上提供了锁、解锁、臂和购买检查等不同功能的音频文件供下载。此外,还提供了一个链接到原始 DEFCON 29 演讲的文件下载。作者也在 Twitter 上分享了这一技术,用户名为 @stoppingcart。
https://news.ycombinator.com/item?id=44980004
https://terriblesoftware.org/2025/08/22/the-management-skill-nobody-talks-about/
这篇文章讨论了管理技能中常被忽视的一项——修复错误。作者指出,成为管理者后,犯错是不可避免的,关键在于犯错后如何处理。文章引用了育儿书籍《Good Inside》中的观点,强调了修复错误的重要性,即承认错误、承担责任并重新建立联系。
作者通过自己的经历和观察,发现那些不愿意承认错误的管理者往往会失去团队的信任和优秀成员。相反,那些能够承认错误并承诺改进的管理者能够建立起信任。文章还提供了在实践中如何修复错误的具体建议:明确指出自己的错误、不以自我为中心、真正改变行为,并给予时间来修复信任。
作者认为,习惯于修复错误能让管理者变得更好,因为它让人更愿意做出决策、进行困难对话和承担合理风险。最后,作者强调,管理不是要求完美,而是要交付有价值的软件、帮助团队成长,并创造一个人们能发挥最佳工作的环境。当管理者在这些方面失败时,他们应该修复、学习并继续前进。
https://news.ycombinator.com/item?id=44983986
2025-08-22 08:21:57
- AWS CEO认为使用AI替代初级员工是愚蠢的,强调AI应作为辅助工具而非替代人类。
- 马克·扎克伯格冻结Meta的AI招聘,担忧AI投资泡沫风险和回报问题。
- Zedless是一个专注于隐私和本地优先的Zed分支,移除了云依赖和遥测功能。
- 谷歌发布Pixel 10系列手机,搭载Tensor G5芯片,提供更个性化和AI驱动的用户体验。
- 95%的公司在生成性AI投资上看不到回报,仅5%的试点项目创造了显著价值。
- 代码审查流程可以通过存储审查状态和改进工具实现更高效的开发协作。
- 澳大利亚联邦银行因AI生产力谎言被迫重新雇佣被解雇的员工。
- Podman、Compose和BuildKit的结合提供了一种无守护进程的容器化解决方案,适合本地开发。
- 一家公司要求工程师接听销售电话,结果工程师们改进了产品架构并简化了用户界面。
https://www.theregister.com/2025/08/21/aws_ceo_entry_level_jobs_opinion/
亚马逊网络服务(AWS)的首席执行官马特·加尔曼(Matt Garman)表示,因为人工智能(AI)可以完成初级员工的工作而解雇他们是“我听过的最愚蠢的事情”。加尔曼在与 AI 投资者马修·伯曼(Matthew Berman)的对话中提出了这一观点,他强调了 AWS 的 Kiro AI 辅助编码工具,并指出他遇到过一些商业领袖认为 AI 工具“可以取代我们公司所有的初级员工”。他反驳说,初级员工可能是“你最不贵的员工”,并且他们与 AI 工具的互动最为密切。
加尔曼质疑,如果 10 年后没有人学习任何东西,那么这种替代将如何运作。他认为,公司绝对应该继续招聘刚毕业的年轻人,并教导他们如何构建软件、分解问题和思考问题,就像以前一样。他自然认为 AI——特别是 Kiro——可以帮助教育他们。
加尔曼还对另一个关于 AI 的观点表示不认同——通过 AI 在组织中贡献的代码百分比来衡量其价值。他认为这是一个愚蠢的指标,因为组织可以使用 AI 编写“无限多的代码行”,但这些代码可能是糟糕的代码。他指出,“通常更少的代码行比更多的代码行要好得多”,他不确定为什么这是人们喜欢夸耀的令人兴奋的指标。
尽管如此,他看到的数据表明,超过 80% 的 AWS 开发者以某种方式使用 AI。有时是编写单元测试,有时是帮助编写文档,有时是编写代码,有时是与 AI 代理合作的“代理工作流程”。加尔曼表示,AWS 开发者使用 AI 工具的频率每周都在增加。
加尔曼还为 AI 时代提供了一些职业建议,建议当今的孩子需要学会如何学习——而不仅仅是学习特定技能。他认为应该强调的技能是“你如何独立思考?你如何发展解决问题的批判性思维?你如何发展创造力?你如何发展一个学习心态,让你去学习下一件事?”加尔曼认为,这种方法是必要的,因为技术发展如此迅速,不再合理期望学习狭窄的技能可以维持 30 年的职业生涯。他希望教育者教授“你如何思考以及如何分解问题”,并认为掌握这些技能的孩子将会蓬勃发展。
https://news.ycombinator.com/item?id=44972151
https://www.telegraph.co.uk/business/2025/08/21/zuckerberg-freezes-ai-hiring-amid-bubble-fears/ Meta 公司的创始人马克·扎克伯格(Mark Zuckerberg)冻结了人工智能(AI)职位的招聘,这一举措标志着公司在 AI 领域的大规模招聘热潮戛然而止,原因是担心对 AI 的重金投资并未获得预期的回报。此前,有报道称 Meta 为了吸引顶尖人才,曾提供高达 10 亿美元的薪酬。这一决策反映出扎克伯格对 AI 投资回报的担忧,以及可能存在的 AI 泡沫问题。
https://news.ycombinator.com/item?id=44971273
https://github.com/zedless-editor/zed
Zedless 是一个以隐私友好和本地优先为设计理念的 Zed 软件分支。该项目目前仍在进行中,欢迎贡献。Zedless 计划与上游版本不同的变化包括:不依赖专有云服务,将移除严格依赖非自托管云服务的组件和功能;不包含间谍软件,将移除遥测和自动崩溃报告;优先考虑自带基础设施,任何使用网络服务的功能都将允许用户以标准格式配置使用哪个服务提供商,例如通过指定 API 的基础 URL,并且这些功能默认情况下将被禁用;不要求签署贡献者许可协议,贡献者的版权不会被重新分配;不允许出现 rugpulls(即项目方突然撤资或改变项目方向)。
在许可方面,第三方依赖的许可信息必须正确提供,以便持续集成(CI)能够通过。项目使用 cargo-about 工具自动遵守开源许可。如果 CI 失败,需要检查是否为新创建的 crate 显示无许可证错误,如果是,则需要在 crate 的 Cargo.toml 文件下的 [package] 中添加 publish = false;如果是依赖项的许可证要求未能满足的错误,首先需要确定项目的许可证是什么,以及当前系统是否足以满足该许可证的要求,如果不确定,可以咨询律师。一旦验证系统可以接受,将许可证的 SPDX 标识符添加到 script/licenses/zed-licenses.toml 中的 accepted 数组中;如果 cargo-about 无法找到依赖项的许可证,那么需要按照 cargo-about 书籍中的规定,在 script/licenses/zed-licenses.toml 文件末尾添加一个澄清字段。
Zedless 的主要编程语言为 Rust,占代码的 97.6%,其他语言包括 Inno Setup、Tree-sitter Query、Shell、Metal 和 WGSL。项目目前有 770 个星标,8 人关注,12 个分支。
https://news.ycombinator.com/item?id=44964916
https://blog.google/products/pixel/google-pixel-10-pro-xl/
谷歌推出了第十代 Pixel 手机,包括 Pixel 10、Pixel 10 Pro 和 Pixel 10 Pro XL。这些手机搭载了全新的 Google Tensor G5 芯片和最新的 Gemini Nano 模型,提供了更加个性化、主动和有帮助的 Pixel 体验,并带来了刷新的设计和多项硬件更新。
Pixel 10 系列手机采用了现代设计和出色的制造工艺,改进了标志性的相机条,内置了 Qi2 无线充电功能,并提供了一系列新的磁性配件。这些手机使用了迄今为止最多的回收材料制造,首次采用了 Material 3 Expressive 用户界面,带来了更多的个性化和流畅的交互体验。手机将提供七年的 Pixel Drops 以及操作系统和安全更新,确保手机始终保持新鲜感和安全性。
Pixel 10 拥有缎面金属框架、抛光玻璃背面和标志性的相机条。用户可以从四种富有表现力的颜色中选择:Obsidian、Frost、Indigo 和 Lemongrass。其 6.3 英寸的 Actua 显示屏亮度提升至 3000 尼特,使观看更加容易。此外,手机还提供了改进的音频体验,包括出色的低音效果,让您喜爱的节目看起来和听起来都更好。Pixel 10 的相机也得到了显著提升,包括首次在该系列中引入的 5 倍长焦镜头,具有快速自动对焦、10 倍光学质量和高达 20 倍的 Super Res Zoom 变焦能力,使得远距离拍摄更加容易。
Pixel 10 Pro 提供了终极的 Pixel 体验,拥有最高端的设计、最亮的 Super Actua 显示屏和迄今为止最佳的三重后置摄像头系统。Pixel 10 Pro 和 Pixel 10 Pro XL 分别提供 6.3 英寸和 6.8 英寸的屏幕尺寸选择。颜色方面,除了 Obsidian 和 Porcelain,还新增了 Moonstone 和 Jade 两种颜色。Pro Res Zoom 功能使得 Pixel 10 Pro 和 Pixel 10 Pro XL 能够实现高达 100 倍的变焦。Pro 系列手机在几乎所有方面都进行了升级,包括更大的电池、升级的扬声器、16GB 的 RAM 和更快的有线充电,而 Pixel 10 Pro XL 支持 25W Qi2.2 无线充电。
Tensor G5 是谷歌最新的定制芯片,是 Tensor 芯片自首次亮相以来最重要的升级。它提供了快速的性能,并首次为 Pixel 用户带来了深度有用的体验。得益于与 Google DeepMind 的共同设计,最新的 Gemini Nano 模型将在 Tensor G5 上首次运行,解锁许多在设备上的生成性 AI 体验,使日常生活更加轻松。
Pixel 10 引入了 Magic Cue 功能,它能够在您最喜欢的应用中主动提供正确的信息,例如在与母亲通话时找到完美的猫咪照片。Magic Cue 不仅仅是一个单一的应用程序或功能,它是一种主动的支持,紧密地融入您的手机中,提供相关信息和有用的操作。
https://news.ycombinator.com/item?id=44963939
过去三年中,全球公司在生成性人工智能项目上的投资介于 300 亿至 400 亿美元之间,但大多数投资并未带来实际的商业回报。麻省理工学院(MIT)的一项新研究发现,95% 的企业组织报告称采用人工智能工具没有可衡量的收益,只有一小部分看到了显著的好处。
报告指出,仅有 5% 的综合 AI 试点能够创造数百万的价值,而大多数企业则完全没有影响收入或盈利。许多公司急于测试 ChatGPT、Copilot 等大型语言模型平台,超过 80% 的大公司已经探索或试点了这些项目。近 40% 的公司报告称在某种程度上部署了这些系统,但研究发现大多数用例仅限于提高个人生产力,而不是提高公司的整体利润。主要原因是生成性 AI 工具常常无法与实际工作流程相匹配,报告描述了“脆弱的工作流程、缺乏上下文学习和与日常运营的不良对齐”。
与人类不同,大多数生成性 AI 模型无法保留过去的反馈或随着时间的推移建立新的推理能力。它们还难以适应上下文或将经验转移到不同的任务中。报告还降低了对生成性 AI 将在短期内导致大规模失业的担忧,相反,其影响更可能是减少公司的外部成本。这意味着企业可能会削减外包任务的开支,但不太可能很快用机器取代大量员工。这一结论与公众普遍认为生成性 AI 将迅速取代数百万工作的普遍看法相悖。
研究人员认为,这项技术远未达到这样的能力。专家说,许多失败来自于对 AI 能做什么和不能做什么的误解。一个程序可能快速生成文本或代码,但它不能像人类那样真正学习。例如,员工可以根据新指令、以前的错误和情境需求进行调整,而生成性 AI 模型除非重新训练,否则无法将这些记忆跨任务携带。投资者和高管仍然对 AI 表现出浓厚的兴趣,希望持续的进步能够弥补这些差距。但短期内的前景指向比许多人预期的更慢的进展。
研究结果表明,尽管 AI 的前景很大,但企业应该降低期望。这项技术尚未准备好在每个行业或工作流程中交付。报告还强调了围绕采用进行更智能规划的必要性。组织可能需要专注于 AI 可以带来即时、可衡量节省或生产力提升的狭窄用例。这可能包括客户支持脚本、编码辅助或文件起草,而不是全面的公司范围的转型。广泛的整合仍被认为为时过早,容易失败。
https://news.ycombinator.com/item?id=44974104
https://tigerbeetle.com/blog/2025-08-04-code-review-can-be-better/
这篇文章讨论了作者对 GitHub 代码审查流程的不满以及他们尝试改进这一流程的经历。作者指出 GitHub 在处理堆叠拉取请求和 interdiff 审查方面支持不足,并且他认为代码审查的状态应该作为仓库的一部分存储,而不是通过远程的 Web 界面进行。作者描述了他理想的代码审查工作流程,包括在本地克隆仓库、使用编辑器和 magit 工具来导航代码和差异,并使用 git 暂存区标记已审查的文件。他认为,与代码而不是差异进行审查更为强大,因为这样可以运行测试、获取上下文、尝试重构建议等。
然而,当他需要在 PR 上留下反馈时,他必须打开浏览器,导航到 diff 中的相关行,并在等待多个 HTTP 往返后在文本区域中输入建议。作者认为,审查反馈与代码相关,最自然的界面应该是在代码中留下内联评论,甚至直接修复代码。由于数据存储在远程数据库而不是本地 git 仓库中,这导致了延迟和供应商锁定。
因此,作者开发了 git-review 工具,其核心思想是将代码审查作为一个单独的提交,位于 PR 分支之上,添加带有特定标记的代码评论。审查过程涉及作者和审查者修改这个顶部提交。当所有线程被标记为“已解决”并添加了一个明确的撤销提交时,审查结束,审查内容被保留在历史记录中。
尽管这个想法在理论上是有效的,但在实践中遇到了一些挑战。修改审查中的代码变得复杂,因为审查评论通常添加在块边界上,这导致了冲突。此外,尽管–force-with-lease 是可行的,但它也增加了摩擦。作者认为,代码审查可能需要更宽松的冲突自由合并规则,而代码则需要更强的、基于哈希链的状态转换序列。
最后,作者提到了 git 可能获得 Gerrit 风格的 Change-Id 来跟踪单个提交在重新基础上的修订,这可能会提供对每个提交的 interdiff 审查的一级支持。但这与 git-review 的方法不完全兼容,后者在分支上添加了整个单独的提交。作者希望有人能够受到启发,最终正确地解决这个问题,并提供了一些相关链接,包括 Fossil、NoteDb、git-bug、git-appraise 和 prr 等工具,以及 Jane Street 的代码审查实践,展示了一个更好的世界是可能的,只是尚未普及。作者还提到了 git-pr,这是一个类似项目,利用 git 的原生特性来替代整个拉取请求工作流程。
https://news.ycombinator.com/item?id=44967469
https://blog.trailofbits.com/2025/08/21/weaponizing-image-scaling-against-production-ai-systems/
这篇文章讨论了一种新型的攻击手段,即利用图像缩放漏洞对生产中的人工智能(AI)系统进行攻击。攻击者通过发送一张看似无害的图片给大型语言模型(LLM),在图像被缩放后,图片中隐藏的提示注入(prompt injection)可以导致用户数据泄露。这种攻击之所以有效,是因为 AI 系统在处理大尺寸图片时通常会先将其缩小,缩放后的图片可能暴露出在原始分辨率下不可见的提示注入。
文章详细介绍了如何利用图像缩放漏洞攻击 Google Gemini CLI、Vertex AI Studio、Gemini 的网页和 API 接口、Google Assistant、Genspark 等生产 AI 系统,并解释了如何防御这些攻击。作者还介绍了他们开发的开源工具 Anamorpher,该工具可以帮助用户探索和生成这些精心设计的图像。
文章指出,图像缩放攻击过去主要用于模型后门、规避和投毒,主要针对那些强制固定图像大小的旧计算机视觉系统。尽管这种限制在新方法中较少见,但模型周围的系统可能仍会要求图像缩放,从而产生一个未被充分曝光但普遍存在的漏洞。
文章还提到了通过 Zapier MCP 服务器设置的数据泄露漏洞,以及如何通过图像缩放攻击在没有用户确认的情况下,将用户数据从 Google Calendar 泄露到攻击者的邮箱。此外,文章还展示了在其他平台上成功演示的图像缩放攻击,并强调了用户感知与模型输入之间的持续不匹配问题。
文章进一步探讨了图像缩放攻击如何利用下采样算法(或图像重采样算法),这些算法通过插值将多个高分辨率像素值转换为单个低分辨率像素值。文章介绍了三种主要的下采样算法:最近邻插值、双线性插值和双三次插值,并指出这些算法在不同库中的实现差异,以及这些差异如何影响图像缩放攻击的技术需求。
最后,文章解释了为什么图像下采样攻击是可能的,通过类比说明了采样率低于一定阈值时无法清晰重建图案的奈奎斯特-香农采样定理。Anamorpher 工具可以为上述三种主要方法开发精心设计的图像,文章展示了 Anamorpher 如何在双三次插值中逐帧利用这一技术。
https://news.ycombinator.com/item?id=44971845
澳大利亚最大的银行——澳大利亚联邦银行(CBA)在声称聊天机器人能够处理更高的呼叫量并取代员工后,被迫重新雇佣 45 名员工。澳大利亚主要金融服务工会(FSU)声称这是 45 名工会成员的“巨大胜利”。CBA 曾宣布,推出聊天机器人导致每周呼叫量减少了 2000 个,但 FSU 表示这是“彻头彻尾的谎言”,实际上在解雇员工时呼叫量正在增加,银行不得不提供加班并重新分配管理层以应对增加的呼叫量。
在公平工作法庭的审理中,CBA 承认没有考虑到在解雇员工期间出现的呼叫量增加会持续数月,因此这些角色并非多余。CBA 向被解雇的员工道歉,并表示他们可以选择回到原来的岗位、寻找其他职位或带着离职补偿离开。全球银行预计在未来三到五年内因 AI 的预期应用将削减高达 20 万个工作岗位,CBA 的这一逆转表明,一些银行可能会急于推进 AI 项目而未经充分理解其对业务的潜在影响就解雇员工。
尽管如此,CBA 并未因此放慢脚步,上周宣布与 OpenAI 合作,探索先进的生成性 AI 解决方案,以加强欺诈检测并为客户提供更个性化的服务。CBA 表示,该银行的目标是“投资于员工及其 AI 能力,以便他们能更好地支持客户”并在其员工队伍中嵌入负责任的 AI 使用。
https://news.ycombinator.com/item?id=44974365
https://emersion.fr/blog/2025/using-podman-compose-and-buildkit/
本文介绍了作者在日常工作中如何使用 Podman、Compose 和 BuildKit 来构建和运行 Docker Compose 项目。由于 Docker 与 nftables 不兼容,作者选择了无守护进程、无需 root 权限的 Podman。Podman 提供了两种支持 Docker Compose 项目的解决方案:一种是将官方 Docker Compose CLI 连接到 Podman 套接字,另一种是使用 Podman 的替代方案。但这两种方法都有缺点,使用官方 CLI 时不会使用 BuildKit 构建器,而使用 podman-compose 替代方案时会缺少一些功能。
作者探索了如何让 Docker Compose CLI 在 Podman 下启用 BuildKit。通过直接使用 Docker Compose CLI 而不使用 wrapper,可以在 Arch Linux 上通过启用 Podman 套接字和创建新的 Docker 上下文来实现。这样,docker compose 就可以正常工作,并且会自动创建一个 buildx_buildkit_default 容器来运行 BuildKit 守护进程。
为了不使用守护进程,作者尝试了自己运行 BuildKit 守护进程,并使用 systemd 管理。然后,作者介绍了如何将 Compose 项目转换为 JSON 格式的构建命令描述,称为 Bake。通过设置 COMPOSE_BAKE=true,Docker Compose CLI 将使用 Bake 文件。作者开发了一个名为 Bakah 的小工具,它可以将 Bake 文件转换为 Podman 构建 CLI 参数,并使用 Buildah(Podman 底层使用的构建镜像的库)而不是直接调用 Podman。
Bakah 工具虽然缺少一些高级的 Bake 功能,但足以构建复杂的 Compose 项目。作者计划将来使用 Bakah 来更好地分割 Dockerfiles,并移除 CI 脚本中的 Podman CLI 调用。作者希望 Bakah 对其他人也有帮助。
https://news.ycombinator.com/item?id=44971212
我们那位资深的 DevOps 工程师以为我疯了。他加入一家初创公司可不是为了干销售的。于是我跟他谈条件:他只要打 5 通电话,我保证他以后再也不用干这事。来回拉锯了一会儿,但我坚信,这次经历从根本上改变了我们做产品的方式。
我旁听了几通电话,观察到几点:
我们团队大多数也是后端工程师,我觉得这让他们成了更出色的产品设计师。最后,他们没等我这个 PM 指手画脚,自己就画出了完全不同的架构图。因为他们终于明白到底是谁在用我们的产品。
重构只花了两周。我们砍掉了 60% 的功能,加了个简单的进度条,做了 Slack 集成来答疑,还推出了“交给我们搞定”的工作流。
工单量骤降 70%。
大多数工程师最大的毛病其实是过度设计。
用户不在乎你的方案多么优雅——他们只关心自己的问题有没有消失。
技术正确性 < 用户理解——如果他们用不了,代码写得再好也白搭。
每个功能都有成本——不是代码成本,而是让用户困惑的成本。
从那以后,我把这变成了团队的硬性文化:每个工程师每季度必须打 5 通销售电话。总会有点抵触,但当客户疲惫地说“我只想让这东西能用”时,一切都值了。我觉得这能帮他们养成直觉。
https://news.ycombinator.com/item?id=44974230
https://news.ycombinator.com/item?id=44974574
At the end of it, they were sketching a completely different architecture without my “PMing”. Because they finally understood who was actually using our product.
I cannot help but read this whole experience as: “We forced an engineer to take sales calls and we found out that the issue was that our PMs are doing a terrible job communicating between customer and engineering, and our DevOps engineer is more capable/actionable at turning customer needs into working solutions.”
dcastonguay
最终,他们没有我这个“产品经理”的参与,就设计出了一个截然不同的架构。因为他们终于明白了我们的真正用户是谁。我不禁将这段经历解读为:“我们强迫一位工程师去接听销售电话,结果发现,真正的问题在于我们的产品经理在客户与工程团队之间的沟通工作做得极其糟糕,而我们的DevOps工程师在将客户需求转化为实际可用解决方案方面反而更具能力、更高效。”
https://news.ycombinator.com/item?id=44972416
He wants educators to instead teach “how do you think and how do you decompose problems”
Ahmen! I attend this same church.
My favorite professor in engineering school always gave open book tests.
In the real world of work, everyone has full access to all the available data and information.
Very few jobs involve paying someone simply to look up data in a book or on the internet. What they will pay for is someone who can analyze, understand, reason and apply data and information in unique ways needed to solve problems.
Doing this is called “engineering”. And this is what this professor taught.
jqpabc123
他希望教育工作者转而教授“如何思考以及如何分解问题”。
完全正确!我信奉的是同一种理念。
我在工程学院最喜欢的教授总是进行开卷考试。
在现实的工作世界中,每个人都能接触到所有可用的数据和信息。
几乎没有工作是单纯为了让人去书里或网上查找数据而付钱的。他们真正愿意付费的,是那些能够以解决问题所需的方式,去分析、理解、推理并运用数据和信息的人。
这就叫做“工程学”。而这位教授所教的,正是这一点。
https://news.ycombinator.com/item?id=44963229
I love the spirit of Zed. From the principles to the low-level implementation details, it all screams “good taste”. It’s immensely interesting as an object of study (the code is great, from GPUI all the way up).
Having said that, I don’t think an editor should be VC backed. It’s the obvious pragmatic choice to get a team together to support a thing, but I’m concerned by it.
mccoyb
我很欣赏 Zed 的精神。从它的设计原则到底层的实现细节,都透露出绝佳的品味。作为一个研究对象,它特别引人入胜(代码非常出色,从基础架构 GPUI 直到上层都一样)。
话虽如此,我不认为一个编辑器应该有风投背景。这固然是组建团队来支持它的一个务实、明智的选择,但也让我感到担心。
2025-08-21 08:24:15
- AGENTS.md 是一个开放格式,用于指导编码代理,提供构建步骤、测试和约定等信息,帮助 AI 工作并保持 README 简洁。
- 微软 Copilot 存在安全漏洞,未记录文件访问情况,微软修复但未通知客户,可能影响安全和合规性。
- 作者探索了球面螺旋路径的可视化,从简单到复杂路径,展示了球面螺旋在三维空间中的移动轨迹。
- 教程介绍了使用 JavaScript 和矢量图形绘制太空侵略者的方法,并展示了动态生成动画的过程。
- D2 工具支持 ASCII 渲染,适用于源代码注释,提供了 ASCII 和 SVG 渲染选项,目前处于 alpha 阶段。
- Gemma 3 270M 模型在 PyTorch 中重新实现,适合本地实验,提供了性能数据和与其他模型的对比。
- SSO 耻辱墙列出了将单点登录视为奢侈功能的供应商,揭示了 SSO 定价差异和企业安全需求的问题。
- Zed 完成 3200 万美元 B 轮融资,开发最快 IDE 和 DeltaDB,支持实时协作和代码跟踪,计划开源并招聘人才。
- Tidewave Web 是一款浏览器内编码代理工具,支持 Rails 和 Phoenix 框架,提供深度框架集成和协作浏览器测试功能。
- 文章预测了 2025 年 AWS 各项服务的重大变化,包括 EC2、S3、网络服务等,强调曾经正确的知识可能不再适用。
AGENTS.md 是一个简单、开放的格式,用于指导编码代理,被超过 20,000 个开源项目使用。它可以被视为代理的 README 文件:一个专门的、可预测的地方,提供上下文和指令,帮助 AI 编码代理在项目中工作。AGENTS.md 包含构建步骤、测试和约定等额外的上下文信息,这些信息可能会使 README 文件变得杂乱无章,或者对人类贡献者不相关。
AGENTS.md 的目的是为代理提供一个清晰、可预测的指令位置,保持 README 文件简洁,专注于人类贡献者,并提供精确的、代理专注的指导,补充现有的 README 和文档。AGENTS.md 采用一个名称和格式,可以适用于任何人。如果你正在构建或使用编码代理并发现这有帮助,可以自由采用。
AGENTS.md 文件与多个代理兼容,你的代理定义与不断增长的 AI 编码代理和工具生态系统兼容,包括 OpenAI Codex、Amp、Google 的 Jules、Cursor 和 Factory 等。
如何使用 AGENTS.md:
AGENTS.md 是由 AI 软件开发生态系统中的合作努力产生的,包括 OpenAI Codex、Amp、Google 的 Jules、Cursor 和 Factory。我们致力于帮助维护和发展这一开放格式,使其惠及整个开发者社区,无论使用哪种编码代理。
AGENTS.md 没有必填字段,它只是标准的 Markdown。你可以使用任何你喜欢的标题;代理只会解析你提供的文本。如果指令冲突,最近的 AGENTS.md 文件优先;明确的用户聊天提示可以覆盖一切。代理会自动运行 AGENTS.md 中找到的测试命令,如果列出它们,代理将尝试执行相关的程序检查,并在完成任务前修复失败。你可以稍后更新 AGENTS.md,将其视为活文档。如果需要将现有文档迁移到 AGENTS.md,可以将现有文件重命名为 AGENTS.md,并为向后兼容创建符号链接。
https://news.ycombinator.com/item?id=44957443
agents/
目录冲突,使用隐藏文件是有必要的。.codebots
或 .context
,而不是 .agents
。.gitignore
类似的文件可以嵌套使用,减少项目命名空间冲突的可能性。example.com/agents
路由和代理列表,.agents
目录或假装是目录的路由是有用的。/src
并不意味着 example.com/agents
不能作为路由。https://pistachioapp.com/blog/copilot-broke-your-audit-log
微软全力投入人工智能领域,其旗舰 AI 产品 Copilot 允许用户在日常工作中利用 AI 与微软服务互动并执行任务。然而,这也带来了新的安全问题。7 月 4 日,作者发现 M365 Copilot 存在一个问题:有时它访问文件并返回信息,但审计日志并未记录。进一步测试后,作者发现只需要求 Copilot 这样做,就能不留痕迹地访问文件。这对安全和法律合规性都造成了问题,作者立即通过微软的 MSRC 门户报告了这一问题。
微软提供了清晰的指南,说明报告漏洞时的预期流程,但在处理这一问题时并未遵循该指南。尽管微软修复了这个问题,并将此问题归类为“重要”漏洞,但他们决定不通知客户或公开这一事件。这意味着你的审计日志可能是错误的,而微软不打算告诉你。
文章分为三部分:第一部分解释了 Copilot 的漏洞及其可能造成的问题;第二部分概述了微软如何处理这个案例;第三部分讨论了微软不公开这一信息的决定,以及作者认为这对微软客户是一个巨大的不服务。
漏洞非常简单:通常,如果你要求 M365 Copilot 为你总结一个文件,它会给出总结,审计日志也会显示 Copilot 代表你访问了该文件。这是好的,因为审计日志很重要。如果有人离职前下载了一堆文件去竞争对手那里,你会想要一些记录,如果这个人可以使用 Copilot 而不被发现,那将是不好的。或者你的公司有敏感的个人数据,你需要严格记录谁访问了这些文件,以满足法律和合规目的;同样,你需要知道通过 Copilot 发生的访问。这只是两个例子。组织依赖于拥有准确的审计日志。
但如果要求 Copilot 不提供它总结的文件链接会怎样?在这种情况下,审计日志为空。就这样,你的审计日志是错误的。对于恶意内部人士来说,避免检测就像要求 Copilot 一样简单。
你可能在想,“哎呀,但我想没有多少人发现这一点,所以可能还好。”不幸的是,你错了。当我发现这个问题时,我并不是在寻找破坏审计日志的方法。相反,我只是试图触发审计日志,以便测试我们在 Pistachio 开发的功能性,我注意到它是不可靠的。换句话说,这可能会偶然发生。
作者从未向微软报告过漏洞,对流程的初步反应是相当积极的。能够提交问题已经感觉异常友好,按照微软的标准。而且,他们甚至有关于预期的指南。不幸的是,一切都没有按计划进行。7 月 7 日,我的报告状态被更改为“重现”,但当我在 7 月 10 日提供更多证据时,功能已经改变。这不是微软的政策;他们应该先重现,然后开始修复时进入“开发”阶段。看到功能在仍在“重现”阶段就改变,让作者认为微软会回复说他们无法重现问题,实际上他们已经根据我的报告修复了它。
作者询问 MSRC 发生了什么,他们没有给出简单解释,而是将报告状态更改为“开发”并保持沉默。直到那时,作者认为微软会遵循流程,并在需要偏离时与作者协调。相反,感觉流程不是真实发生的事情的反映,更像是 Domino’s Pizza Tracker 对安全研究人员来说。状态不是真实的。
8 月 2 日,微软通知作者,完整的修复将在 8 月 17 日发布,作者可以在 8 月 18 日自由披露。然后作者询问何时会发布 CVE 编号,被告知:CVE 是在客户需要采取行动以保持保护时,分配给安全发布中部署的修复的。在这种情况下,缓解措施将自动推送到 Copilot,用户不需要手动更新产品,也不会分配 CVE。
这根本不是微软的政策,作者通过链接到他们自己的政策向他们指出了这一点。MSRC 然后回复说,“我理解你可能没有完全了解 MSRC 如何处理这些案例”,好像作者是错误的。然后他们解释说,漏洞被归类为“重要”,而不是“关键”,这就是为什么他们不会发布 CVE。
如果微软不为这个漏洞发布 CVE,他们将如何通知客户?答案是他们不会。在 8 月 14 日的电话中,微软告诉作者,他们没有计划披露这一点。作者强烈认为这是错误的。如果这是一个深奥的漏洞,那么默默继续可能是可以的,但现实是它如此简单,以至于基本上是偶然发生的。如果你在一家在 8 月 18 日之前使用 Copilot 的组织工作,你的审计日志很可能是不完整的。组织不需要知道吗?那些受 HIPAA 管辖并依赖微软的审计日志以满足一些技术安全要求的公司呢?尽管微软声称 M365 Copilot 可以符合 HIPAA 合规性,他们不知道吗?几乎可以肯定还有其他受监管实体有类似的要求,他们也不会被告知。有如此多的案例,组织依赖审计日志来检测、调查和响应事件。在一些诉讼中,审计日志被用作重要证据。美国政府甚至对微软收取更多审计日志费用提出了问题,一位美国参议员羞辱了微软,并将审计日志记录称为基本的安全功能。现在微软说,尽管对于任何使用 Copilot 的客户来说,审计日志很可能是错误的,但没有人需要知道?这引发了关于微软选择默默扫除的其他问题的严重质疑。
https://news.ycombinator.com/item?id=44957454
https://visualrambling.space/moving-objects-in-3d/
这篇文章介绍了如何在三维空间中移动物体,特别是沿着球面螺旋路径的移动。作者最初对这个问题产生了好奇,并深入研究了相关文章和数学函数。文章从简单的圆形路径开始,逐步探索到螺旋形路径,最终实现复杂的球面螺旋路径。
在三维空间中,物体的位置由 x、y、z 三个坐标轴确定,分别代表水平、垂直和深度方向的移动。通过数学函数,我们可以设定物体随时间变化的位置。例如,通过设置 x 和 y 坐标的函数,可以使物体在二维平面上画出圆形路径。通过调整这些函数,还可以创造出更复杂的路径,如半径随时间增长的螺旋形路径。
文章重点介绍了球面螺旋路径的创建。与普通螺旋不同,球面螺旋是三维的,并且 z 坐标也会随时间变化。通过特定的数学函数,可以使物体的 x 和 y 坐标先增大后减小,而 z 坐标则持续变化,从而形成球面螺旋路径。
总结来说,通过将物体的 x、y、z 坐标定义为时间的函数,即参数方程,我们可以在三维空间中移动物体。这些参数方程使我们能够创造出从简单圆形到复杂路径的各种移动轨迹。作者鼓励读者发挥创意,利用这些知识在三维空间中移动物体。文章最后提到,visualrambling.space 是作者 Damar 的个人项目,他喜欢通过视觉方式探讨不同主题。如果读者喜欢这篇文章,可以关注他的 Twitter 或分享给朋友,并期待他未来的更多文章。
https://news.ycombinator.com/item?id=44962066
https://muffinman.io/blog/invaders/
这篇文章是关于如何使用 JavaScript 绘制一个太空侵略者(Space Invader)的教程。作者首先介绍了他创建太空侵略者生成器的背景,这是为了参加创意编码阿姆斯特丹代码挑战而制作的。他通过这个项目,不仅为了乐趣,也为了展示如何使用 JavaScript 和矢量图形技术来生成太空侵略者的动画。
文章的开始部分,作者分享了他是如何开始这个项目的。他正在开发一个名为 Rayven 的矢量 3D 渲染器,并希望通过使用这个工具来绘制一些图案,而不是无休止地调整渲染器本身。他选择了太空侵略者,因为它们体积小,可以用 3D 块轻松渲染,并且作为电子游戏历史的一部分,它们具有很高的辨识度。
接着,作者描述了如何从草图到像素的过程。他首先在纸上涂鸦,然后使用 Aseprite 数字工具进行绘制。他绘制了 38 个不同的太空侵略者,它们都适合在一个 15x15 像素的网格中,比原始的稍大,但他对结果非常满意。
在确定了如何生成太空侵略者的基本模式后,作者选择了利用自己的优势——几何和矢量图形——来生成矢量太空侵略者。他很高兴地发现,他实现的方法可以生成他手绘的大部分太空侵略者。
文章详细介绍了如何构建太空侵略者的过程。首先,作者介绍了如何在视口中绘制一个网格,并在滚动页面时在其上绘制侵略者。他从身体的构建开始,几乎所有的身体都类似于一个低分辨率的多边形。他计划生成一个矢量多边形,并利用网格的低分辨率来掩盖矢量图形的不足。
作者接着描述了如何找到身体的中心点,定义顶部和底部点,并绘制左侧的身体。他最初限制在两个或三个点的凸形状,后来允许更多的点并放弃了凸规则,这产生了更有趣的结果。然后,他将左侧的顶点镜像到右侧,并连接这些点形成一个多边形,从而为侵略者构建了身体。
接下来,作者讲述了如何添加肢体。在代码中,底部的肢体被称为触手,顶部的被称为角。它们以相同的方式生成,只是参数不同。他展示了如何生成一个触手,然后使用相同的技术生成其他触手和角。
最后,作者讨论了如何将矢量图形转换为像素。他的第一个想法是计算每个像素有多少部分位于矢量形状内部,并据此进行绘制。这个过程涉及到将矢量图形转换为我们都熟悉和喜爱的像素化外观。
https://news.ycombinator.com/item?id=44956915
https://d2lang.com/blog/ascii/
最新版本的 D2(0.7.1)引入了 ASCII 输出功能。任何扩展名为 txt 的输出文件都将使用 ASCII 渲染器进行写入。ASCII 图示在源代码注释中非常有用,简单的图示可以比文字描述更清晰地说明流程。
D2 的 Vim 扩展展示了如何编写 d2 代码并将选择的内容替换为 ASCII 渲染图。ASCII 渲染器默认使用 Unicode 字符集,如果需要最大可移植性,可以使用–ascii-mode=standard 标志指定标准 ASCII。ASCII 渲染器目前处于 alpha 阶段,可能会有许多改进空间和错误。如果用户在使用过程中遇到问题,可以通过 GitHub 提交问题。
ASCII 渲染器不支持样式,主题也不适用。由于 ASCII 渲染的离散坐标空间,某些输出可能看起来不如 SVG 版本均匀。某些特殊文本、图像和图标、UML 类和 SQL 表目前未特殊处理。
并非所有形状都支持 ASCII 渲染,一些形状如云和圆形的曲线在 ASCII 中难以表现,因此会以矩形形式渲染并在左上角添加一个小图标表示原本的形状。D2 Playground 中现已提供实时体验,用户可以尝试打开代码块进行操作。
https://news.ycombinator.com/item?id=44954524
https://github.com/rasbt/LLMs-from-scratch/tree/main/ch05/12_gemma3
这个网页是 GitHub 上的一个项目页面,名为“LLMs-from-scratch”,由用户 rasbt 维护。该项目提供了从头开始实现 Gemma 3 270M 语言模型的 Jupyter 笔记本。这个笔记本需要大约 2GB 的 RAM 才能运行。项目中还提供了另一个笔记本“standalone-gemma3-plus-kvcache.ipynb”,它增加了 KV 缓存以提高运行时性能,但增加了代码复杂性。文章还介绍了 KV 缓存的相关信息,并提供了一个关于 KV 缓存在 LLMs 中实现的文章链接。
在性能方面,页面列出了不同硬件配置下 Gemma3Model 270M 的性能数据,包括在 Mac Mini M4 CPU 和 GPU 以及 Nvidia A100 GPU 上的表现。数据显示,使用 KV 缓存的版本在 Mac Mini M4 CPU 上每秒可以处理 130 到 224 个令牌,而在 Nvidia A100 GPU 上则为 26 到 99 个令牌。
此外,页面还提供了与 Qwen3 0.6B 模型的对比,并提供了一个链接到 Qwen3 0.6B 的独立笔记本。对于对架构差异感兴趣的用户,页面推荐了一篇关于现代大型语言模型架构设计的文章,提供了从 DeepSeek-V3 到 Kimi K2 的比较。页面底部包含了 GitHub 的版权信息和相关链接。
https://news.ycombinator.com/item?id=44962059
这个网页是一个名为“SSO 耻辱墙”的列表,它列出了一些将单点登录(SSO)视为奢侈功能而非核心安全需求的供应商。SSO 是一种将网站(或其他产品)的认证外包给第三方身份提供商的机制,例如 Google、Okta、Entra ID(Azure AD)、PingFederate 等。SSO 允许企业客户通过自己的身分提供者管理用户账户,而不需要依赖供应商提供强大的认证和审计日志,并且能够集中创建和删除所有用户账户。
对于拥有超过几名员工的组织来说,SSO 对于 IT 和安全团队来说至关重要,因为它可以帮助他们有效地管理跨多个供应商的用户账户,其中许多供应商不支持诸如 TOTP 2FA 或 U2F 等功能。如果员工离职,IT 团队可以立即禁用他们对所有应用程序的访问,而不必登录 100 个不同的用户管理门户。
简而言之,对于拥有超过五名员工的任何公司来说,SSO 是核心安全需求。然而,SaaS 供应商似乎没有收到这一信息。SSO 通常只在“企业”定价中提供,这假设了用户数量巨大(最低座位数)或与其他“企业”功能捆绑在一起,这些功能对使用软件的公司可能没有价值。
如果公司声称“认真对待您的安全”,那么 SSO 应该作为一个特性可用,要么是核心产品的一部分,要么是合理的额外付费选项,或者与价格层级相关,但非 SSO 层级和 SSO 层级之间的差距应该很小。许多供应商对 SSO 的收费是基础产品定价的 2 倍、3 倍甚至 4 倍,这阻碍了其使用并鼓励了不良的安全实践。
网页上列出了多个供应商及其基础定价、SSO 定价以及价格增加的百分比,更新日期从 2018 年到 2024 年不等。例如,Adobe Acrobat Pro 的基础定价为 23.99 美元,SSO 定价为 27.99 美元,增加了 17%;而 Appsmith 的基础定价为 15 美元/用户/月,SSO 定价为 250001 美元/用户/月,增加了 16567%。这些数据展示了不同供应商在 SSO 功能上的价格差异。
https://news.ycombinator.com/item?id=44955457
https://zed.dev/blog/sequoia-backs-zed
2025 年 8 月 20 日,Zed 公司宣布完成了由红杉资本领投的 3200 万美元 B 轮融资,使得公司总融资额超过 4200 万美元。在过去四年中,Zed 致力于构建世界上最快的集成开发环境(IDE),这仅是他们宏伟蓝图的基础。Zed 的最终愿景是创造一种全新的软件协作方式,让关于代码的讨论与代码本身紧密相连,而不是分散在不同的工具中。
Zed 正在开发一种新型的操作级版本控制系统 DeltaDB,它能够以编辑级别的粒度增量跟踪代码的演变,并将其集成到 Zed 中,使与代理和队友的协作成为编码体验的首要部分。DeltaDB 使用 CRDTs(Conflict-free Replicated Data Types)来实时记录和同步更改,支持与 Git 的互操作,但其基于操作的设计支持 Git 快照不支持的实时交互。对于异步交互,细粒度的更改跟踪还支持字符级别的永久链接,使得讨论可以锚定在代码库的任意位置,而不仅仅是最近更改的代码的快照。
Zed 的目标是将代码库转变为一个活生生、可导航的历史记录,记录软件是如何演变的,人类和 AI 代理的讨论与它们引用的代码持久链接,并且始终保持最新。这不仅仅是版本控制的演变,还包括了代码如何以及为何达到特定状态的背景信息,AI 代理可以查询这些信息以做出更明智的编辑,理解塑造现有代码的假设、约束和决策。
Zed 是开源的,并提供可选的付费服务。公司计划对 DeltaDB 采取相同的策略:构建它,开源它,并提供可选的付费服务。随着开发的进展,公司将分享更多细节。Zed 正在招聘,涵盖工程和产品设计领域,无论是对 IDE 中的协作、核心 Zed 项目(如跨操作系统字体渲染和 GPU 着色器)感兴趣,还是希望改进世界上最好的开源开放数据语言模型以进行编辑预测,都有适合的职位。Zed 邀请志同道合的人加入,共同塑造软件开发的未来。
https://news.ycombinator.com/item?id=44961172
https://tidewave.ai/blog/tidewave-web-phoenix-rails
Tidewave Web 是一款针对 Rails 和 Phoenix 的浏览器内编码代理工具,它能够在开发者自己的开发环境中直接运行,与网页应用并行工作,提供完整的页面和代码上下文。与传统编码代理不同,Tidewave Web 能够理解用户界面状态,知道框架结构,并在实际的开发环境中运行,无需用户描述屏幕内容或手动追踪代码路径。
Tidewave Web 的主要特点包括:
Tidewave Web 提供免费试用,用户每月可以发送 20 条用户消息。通过订阅 Tidewave Pro,每月支付 10 美元,用户可以解锁无限消息。目前,Tidewave Web 主要针对全栈 Rails 和 Phoenix 应用,不支持 React 或 Vue 等客户端框架,但 React 支持已在开发计划中。团队还在努力集成更多网络框架,如 Django、Flask 和 Next.js,并邀请用户加入等待列表或 Discord 服务器以获取最新信息。
Dashbit 团队拥有数十年构建、维护和贡献开发者工具、网络框架和编程语言的经验。Tidewave 旨在探索 AI 开发工具的新方向,使 AI 工具能够更深入地理解不同领域的技术和环境。Tidewave Web 为 Rails 和 Phoenix 提供的浏览器内编码代理只是开始,团队对未来的发展充满期待。
https://news.ycombinator.com/item?id=44960316
https://www.lastweekinaws.com/blog/aws-in-2025-the-stuff-you-think-you-know-thats-now-wrong/
AWS 在 2025 年的发展已经改变了一些我们曾经认为正确的知识。以下是一些关键的演变:
EC2 服务的改进:
S3 服务的变化:
网络服务的更新:
Lambda 服务的增强:
EFS 和 EBS 服务的优化:
DynamoDB 服务的改进:
成本节约工具的变化:
认证方式的更新:
其他变化:
https://news.ycombinator.com/item?id=44962844
https://news.ycombinator.com/item?id=44955882
This pops up on HN about once a year, and it’s worth calling out that the SSO tax has mostly nothing to do with technology or with support costs and mostly everything to do with market segmentation. One of the clearest segmentation signals you get is that bigger, less price-sensitive customers all require SSO (because their SOC2 attestations require it).
You can get irritated about pricing systems that soak price-insensitive customers, but remember that the big price-insensitive customers pay for the price-sensitive customers, which is why this kind of segmentation is practically universal.
Previously, on this, from me:
https://news.ycombinator.com/item?id=29892664
tptacek
这个话题每年大约会在 Hacker News 上被提起一次,值得指出的是,所谓的“单点登录税”基本上与技术或支持成本无关,而完全是市场细分策略的体现。其中最清晰的一个细分信号就是,所有规模更大、对价格不敏感的客户都要求提供SSO(因为他们的SOC2认证需要这样做)。
你可以对那种“盘剥”对价格不敏感客户的定价体系感到不齿,但要记住,正是那些大型的、对价格不敏感的客户,补贴了那些对价格敏感的客户,这也是为何这样的细分策略几乎是普遍存在的。
之前我就此发表过评论: https://news.ycombinator.com/item?id=29892664
2025-08-20 06:55:03
- Obsidian Bases 是一款核心插件,允许用户将笔记转换为强大的数据库,支持表格和卡片视图,方便组织和管理各种内容。
- Kudelski Security 研究团队利用 CodeRabbit 的安全漏洞,通过恶意配置文件实现远程代码执行,获得了对 100 万代码仓库的读写访问权限。
- 美国联邦上诉法院驳回了 T-Mobile 对 9200 万美元罚款的上诉,维持了其非法出售客户位置数据的处罚。
- 有一个拉取请求提议从 HTML 规范中移除对 XSLT 的提及,尽管有反对声音,但多数浏览器供应商支持这一决定。
- 克罗地亚自由潜水员维托米尔·马里奇在氧气辅助下创造了 29 分钟 3 秒的屏气世界纪录。
- 特德·姜被认为是当今最优秀的科幻短篇小说作家,其作品以哲学深度和情感共鸣著称,探讨人性与技术的关系。
- 质数网格是一个可视化工具,允许用户设置不同行列和起始数字,展示质数的分布模式。
- Tiny-TPU-V2 是一个开源项目,模仿谷歌 TPU 的架构,展示了张量处理单元的工作原理和功能。
https://help.obsidian.md/bases
Obsidian Bases 是一个核心插件,它允许用户将任意一组笔记转换成强大的数据库。通过使用 Bases,用户可以组织从项目到旅行计划、阅读列表等各种内容。Bases 插件让用户能够查看、编辑、排序和过滤文件及其属性。每个数据库可以包含多个视图,并且支持不同的布局,例如表格和卡片。例如,表格视图将每个文件作为一行,每个属性作为一列。
Obsidian Bases 中的所有数据都存储在本地的 Markdown 文件及其属性中。视图通过 Bases 语法描述,可以保存为 .base 文件或嵌入在 Markdown 文件中的代码块里。
如何使用 Bases:
链接到本页的内容包括 Bases 路线图、Bases 语法、核心插件、创建数据库、函数和视图等。本页面还提供了一个交互式图表,展示了如何使用 Bases。Obsidian Publish 提供了页面的发布支持。
https://news.ycombinator.com/item?id=44945532
https://github.com/ClemensElflein/OpenMower
OpenMower 是一个旨在将廉价现成的机器人割草机升级为现代智能 RTK GPS 基础的割草机器人的项目。该项目由 ClemensElflein 发起,他拥有软件工程、嵌入式编程、硬件设计和机器人技术的背景。项目的目标包括实现自动割草、确保安全、无需边界线、低成本、开放知识共享、外观美观、避障能力和雨水检测。
目前,基本割草功能已经实现,机器人能够按照预期进行地图教学和割草,甚至能在电量低时自动返回充电站,并在充满电后继续工作。项目鼓励技术爱好者自行构建,因为这是一个昂贵且复杂的项目,所以有任何问题都可以通过 Discord 服务器寻求帮助。
硬件方面,项目已经有了稳定的主板和两个电机控制器(xESC mini 和 xESC 2040)。软件方面,基本软件已经完成,原型按预期工作,但尚未实现避障功能。软件代码可以在另一个仓库中找到。
项目还提供了一个 Open Mower App,以及一个网站,上面有购买零件、安装软件等信息。如果发现缺少信息,可以通过 Discord 服务器或 OpenMower Wiki 寻求帮助。
https://news.ycombinator.com/item?id=44946996
这篇文章讲述了 Kudelski Security 研究团队如何发现并利用 CodeRabbit AI 代码审查工具中的一个安全漏洞。CodeRabbit 是一个在 GitHub 和 Gitlab 上广泛使用的 AI 应用程序,用于分析代码变更并使用 AI 进行代码审查。研究者通过参加 Black Hat USA 会议披露了这一漏洞,并希望借此提高人们对此类安全问题的认识,帮助避免类似问题的发生。
文章介绍了 CodeRabbit 的功能和安装过程。用户在安装 CodeRabbit 时,需要授权它对选定的 GitHub 仓库进行读写操作。研究者通过注册 CodeRabbit 的免费试用,并在个人 GitHub 账户中创建私有仓库,授予 CodeRabbit 访问权限,开始探索其安全性。
研究者发现 CodeRabbit 支持运行多种静态分析工具,包括 Rubocop。Rubocop 是一个 Ruby 静态分析器,可以通过配置文件加载并执行扩展脚本。研究者利用这一点,通过在私有仓库中创建一个包含恶意代码的 Rubocop 配置文件,成功地在 CodeRabbit 的生产服务器上执行了远程代码(RCE),泄露了 API 令牌和秘密,并获得了对 1 百万代码仓库的读写访问权限,包括私有仓库。
CodeRabbit 在得知安全漏洞后迅速采取了补救措施,包括禁用 Rubocop、轮换受影响的凭证和秘密、将 Rubocop 部署到安全沙箱环境中,并进行全面系统审计以确保没有其他服务在沙箱保护之外运行。CodeRabbit 还自动化了沙箱强制执行以防止再次发生,并增加了强化的部署门。CodeRabbit 在其博客上提供了更多关于他们对这次安全漏洞披露的响应和持续改进的信息。
https://news.ycombinator.com/item?id=44953032
https://graic.net/p/left-to-right-programming
这篇文章讨论了编程语言在编写代码时的用户体验问题,特别是关于代码的即时验证和编辑器辅助功能。作者不喜欢 Python 的列表推导式,因为它在编写时缺乏良好的人体工程学设计,导致编辑器无法提供有效的自动完成和方法建议。
作者通过比较 Python 和 Rust 的代码示例,展示了 Rust 在代码编写过程中提供了更好的编辑器支持和用户体验。文章还提到了设计中的“逐步披露”原则,即用户在完成任务时只应接触到必要的复杂性,并且复杂性应该在与用户相关时自然显现。作者批评了 C 语言和 Python 中的方法和函数的不可发现性,认为这增加了编程的难度。
最后,作者强调了代码应该在编写时就保持有效,这样编辑器和 REPL(Read-Eval-Print Loop)才能更好地辅助编程工作,提高编程效率。文章由 Graic 用 🍉 符号结束,可能是作者的签名或品牌标识。
https://news.ycombinator.com/item?id=44942936
2025-08-19 07:07:16
- Anna’s Archive 团队更新了他们的最新动态,致力于保护文化遗产,发布了历史上最大的书籍元数据集合,并呼吁更多人参与志愿活动和捐赠。
- Hyperclay 是一种创新网页应用开发方式,将 UI、逻辑和数据集成到自修改的 HTML 文件中,简化了现代网页开发的复杂性。
- Claudia 是一款为 Claude Code 设计的优雅桌面应用,提供图形界面和多种工具,注重隐私和开源,支持 Windows、macOS 和 Ubuntu 平台。
- ArchiveTeam 已完成对所有 goo.gl 短链接的归档工作,通过志愿者和虚拟机分配任务,备份数据后上传到 Internet Archive。
- Zach Perkel 分析了 Hacker News 上 AI 话题的热度趋势,发现自 2019 年以来,AI 相关帖子数量持续上升,2025 年第三季度达到新高。
- 谷歌承认在澳大利亚涉及反竞争行为,并与 ACCC 达成承诺,移除相关限制,消费者将受益于更多选择。
- Doxx 是一个专为终端设计的快速文档查看器,支持 Microsoft Word 文件的美观渲染、智能表格支持和强大的导出功能。
- 本文讨论了如何增强 Linux 系统中 systemd 服务的安全性,提供了多项安全选项和方法来减少攻击风险和破坏范围。
- Whispering 是一个开源的语音转文字应用程序,支持本地优先的语音转录和转换,用户数据完全存储在本地设备上,免费使用。
https://annas-archive.org/blog/an-update-from-the-team.html
Anna 的博客更新了关于 Anna’s Archive 的最新动态。Anna’s Archive 自 2022 年成立以来,致力于保护人类文化遗产,通过 torrenting 技术解放了数千万册书籍、科学文章、杂志和报纸等,使其免受自然灾害、战争、预算削减等灾难的影响。团队近期遭受了更多的攻击,正采取措施加强基础设施和运营安全。
Anna’s Archive 组织了一些大规模的数据抓取活动,从 IA Controlled Digital Lending、HathiTrust、DuXiu 等多个来源获取了数千万文件。此外,他们还抓取并发布了历史上最大的书籍元数据集合,包括 WorldCat 和 Google Books,以便识别缺失的书籍并优先保存最稀有的版本。
团队对所有志愿者表示感谢,并提到与两个 LibGen 分支、STC/Nexus 和 Z-Library 建立了合作关系,通过这些合作获得了数千万额外文件,并帮助镜像文件。不幸的是,一个 LibGen 分支消失了,团队对此表示哀悼,但没有更多信息。
新出现了一个名为 WeLib 的平台,似乎镜像了 Anna’s Archive 的大部分收藏,并使用了他们的代码库分支。Anna’s Archive 已经采纳了 WeLib 的一些用户界面改进,但对 WeLib 没有分享新收藏或代码改进表示遗憾,并建议用户谨慎使用,因为 WeLib 没有显示出对生态系统的贡献。
目前,Anna’s Archive 有一些令人兴奋的项目正在进行中,服务器上有数百 TB 的新收藏等待处理。团队鼓励有兴趣的人访问他们的志愿者和捐赠页面,因为他们的预算非常有限,任何帮助都将受到欢迎。Anna 和团队呼吁大家继续为保护人类遗产而战。
https://news.ycombinator.com/item?id=44942501
Hyperclay 是一种创新的网页应用开发方式,它将网页应用的 UI、逻辑和数据集成在一个自修改的 HTML 文件中。这种技术允许开发者像编辑文档一样直接编辑运行中的应用程序,无需编译步骤,更改即时生效,并且可以即时分享更新后的页面。Hyperclay 的核心理念是简化现代网页开发的复杂性,摒弃配置文件、构建步骤、框架和部署流程,回归到更简单的模型。
Hyperclay 的特点包括直接操作,即在应用程序运行时编辑,无需刷新页面;所见即所得,UI 即是应用程序本身,修改界面或源代码直接改变应用程序;真正的便携性,可以将应用程序导出为 HTML 文件,在任何地方离线运行,且版本控制保护开发者免受不可逆错误的影响。Hyperclay 技术基于 NodeJS 服务器和前端 JavaScript 库,使 HTML 页面能够更新 DOM 并替换自己的.html 源文件。
开发者 David 通过 Hyperclay 解决了静态网站无法持久化更改的问题,使得数字对象能够像物理对象一样持久化。Hyperclay 允许开发者专注于创造实际的体验,而不是构建持久层。通过 Hyperclay,开发者可以像使用本地桌面应用一样轻松地在线编辑和保存更改,实现数字对象的可塑性、可分享性和持久性。
Hyperclay 适用于多种数字对象的创建和管理,包括网站构建器、文档、电子表格、演示文稿、多媒体编辑器、商业仪表板、博客平台、工作管理工具、调查问卷构建器、知识库构建器、思维导图工具、发票生成器、数据可视化工具、财务建模应用、创意资产生成器、交互式课程构建器、项目简介生成器、简历构建器、线框图工具和产品路线图制作等。Hyperclay 提供了一个简单、易于理解的堆栈,将 HTML 作为数据库/API/UI 的一体化解决方案,简化了开发过程。
https://news.ycombinator.com/item?id=44937991
Claudia 是一个为 Claude Code 设计的优雅桌面伴侣,它通过美观的图形用户界面(GUI)简化了 AI 编码工作流程。用户可以通过 Claudia 轻松管理 Claude 会话、创建自定义代理,并跟踪 AI 使用情况。Claudia 的主要特点包括:
Claudia 的优势在于将终端命令管理转变为视觉清晰的过程,解决了终端混乱、无视觉浏览项目历史、难以跟踪令牌使用和成本、手动编辑 CLAUDE.md 文件以及难以重访和分支先前对话等问题。Claudia 的界面专为开发者设计,包括交互式会话、CC 代理、DIFF 视图和使用情况仪表板等功能。
Claudia 基于现代技术构建,使用 Tauri 2.0、React 18、TypeScript、Rust 和 Tailwind CSS 等工具,以提供快速、安全且美观的体验。Claudia 支持 Windows 10+、macOS 10.15+ 和 Ubuntu 20.04+ 平台,并且完全免费且开源。用户需要安装 Claude Code CLI 并配置 Claude API 密钥才能使用 Claudia。Claudia 注重隐私,所有数据都存储在本地,不会发送到外部服务器。
https://news.ycombinator.com/item?id=44933255
https://tracker.archiveteam.org/goo-gl/
ArchiveTeam Warrior 是一个虚拟的档案保存工具,用户可以通过运行它来帮助 ArchiveTeam 进行网络内容的存档工作。它能够下载网站内容并上传到存档中,操作简单且不会对用户的电脑造成风险。该工具仅消耗用户的带宽和部分磁盘空间。
用户可以在 Windows、OS X 和 Linux 操作系统上运行 ArchiveTeam Warrior,需要使用 VirtualBox(推荐)、VMware 或类似软件来运行虚拟机。使用 VirtualBox 的步骤包括:下载虚拟设备(357MB),在 VirtualBox 中导入文件,启动虚拟机,虚拟机会自动获取最新更新,并提示用户打开网络浏览器。
启动后,用户需要访问 http://localhost:8001/,检查设置页面,选择用户名以便在排行榜上显示进度。在“所有项目”标签页中选择一个项目进行工作,或者选择“ArchiveTeam 的选择”让系统自动分配最紧急的项目。
页面还提供了一些统计数据,包括已完成的存档量(3.75B),待处理的数据量(286.57TiB),以及不同存档者的进度和贡献,例如 fuzzy802、DLoader、darknavi 等,他们分别贡献了不同数量的数据和项目。
https://news.ycombinator.com/item?id=44933401
https://zachperk.com/blog/when-did-ai-take-over-hn
Zach Perkel 在 2025 年 8 月 17 日的文章中探讨了人工智能(AI)何时开始主导 Hacker News 的趋势。文章指出,2025 年 8 月,Hacker News 排名前十的帖子中有三分之一与 AI 相关,这并不令人意外。作者通过分析 Hacker News 大数据集,从 2019 年 1 月 1 日到 2025 年 8 月 15 日的 24910 个排名前十的故事,发现 AI 话题的热度自 2019 年以来一直在上升。文章通过使用 GPT-5-mini 对每个故事及其评论部分进行分类,生成了摘要、AI 提及(是否谈论 AI)和 AI 情感(正面、负面或中立)三个字段。
分析结果显示,AI 相关的帖子数量在 2025 年第三季度达到新高。第一个显著的增长并非在 ChatGPT 发布时,而是在 GPT-4 发布后,这可能是因为 GPT-4 是开发者首次能够访问高级语言模型。在情感方面,2021 年第三季度 AI 相关帖子的情感转向负面,主要是因为苹果公司宣布的 NeuralHash 引发了隐私争议,以及 GitHub Copilot 的预览版发布时,其复制许可证代码的行为引起了关注。
在 2816 个被分类为 AI 相关的帖子中,52.13% 的情感是正面的,31.46% 是负面的,16.41% 是中立的。2025 年第三季度对 AI 的情感稍微偏向负面,但作者认为这还不足以构成一个明显的趋势。作者期待在未来几个月更新这一分析。总的来说,Hacker News 对 AI 的兴趣并非由 ChatGPT 或任何消费产品引发,而是在 GPT-4 作为开发者工具解锁时达到高峰。尽管 Hacker News 上关于 AI 的讨论比以往任何时候都多,但自 2021 年苹果 NeuralHash 事件以来,对 AI 的情感大体上保持稳定。
https://news.ycombinator.com/item?id=44934337
https://github.com/FFmpeg/asm-lessons
FFmpeg Assembly Language Lessons 是一个公共的 GitHub 仓库,专注于提供汇编语言课程,特别是在 FFmpeg 项目中的应用。这个仓库由 251 人分叉,获得了 8.6k 的星标。该课程旨在教授学习者如何在 FFmpeg 中编写汇编语言,帮助他们深入了解计算机内部的运作机制。
课程要求学习者具备 C 语言知识,特别是指针的使用,如果不熟悉 C 语言,建议先阅读《The C Programming Language》一书。此外,还需要具备高中数学水平,理解标量与向量、加法、乘法等概念。
在这个 Git 仓库中,包含了与课程相对应的课程和作业(尚未上传)。完成课程后,学习者将能够为 FFmpeg 做出贡献。此外,还有一个 Discord 服务器供学习者提问和交流。
课程还提供了法语和西班牙语的翻译版本。FFmpeg Assembly Language Lessons 的资源包括 Readme 文件,但加载时出现了错误,需要重新加载页面。该仓库的活动显示,有 142 人关注,251 人分叉。目前没有发布任何版本,也没有发布任何软件包。共有 10 位贡献者参与了这个项目。
https://news.ycombinator.com/item?id=44940485
strlen()
调用上,通过简单的二进制补丁将启动时间从 5-15 分钟减少到 15 秒左右。2025 年 8 月 18 日,澳大利亚竞争与消费者委员会(ACCC)对谷歌亚太公司提起联邦法院诉讼,指控谷歌与澳大利亚电信公司 Telstra 和 Optus 达成了反竞争协议,涉及在 Android 手机上预装谷歌搜索。谷歌承认了与这两家电信公司在 2019 年 12 月至 2021 年 3 月期间的协议,该协议要求 Telstra 和 Optus 只在他们销售给消费者的 Android 手机上预装谷歌搜索,而不包括其他搜索引擎。作为回报,这两家电信公司会从谷歌搜索广告收入中获得分成。
谷歌承认,与 Telstra 和 Optus 达成的这些协议可能会大大减少竞争。谷歌及其美国母公司 Google LLC 还签署了一项法院可执行的承诺,以解决 ACCC 对谷歌自 2017 年以来与 Android 手机制造商和澳大利亚电信公司之间的合同安排的更广泛竞争关切。谷歌并不完全同意 ACCC 的所有关切,但已承认并提出承诺以解决这些问题。
在承诺中,谷歌承诺将从与 Android 手机制造商和电信公司的合同中移除某些预装和默认搜索引擎限制。谷歌的这一承诺是在去年 ACCC 接受 Telstra、Optus 和 TPG 的承诺之外的。这些电信公司承诺不再与谷歌续签或签订新协议,要求谷歌搜索服务在他们提供的 Android 设备上预装并设置为默认搜索功能。
ACCC 主席 Gina-Cass Gottlieb 表示,限制竞争的行为在澳大利亚是非法的,因为这通常意味着消费者选择更少、成本更高或服务更差。今天的成果,加上 Telstra、Optus 和 TPG 的承诺,为数百万澳大利亚人在未来拥有更大的搜索选择创造了可能,也为竞争搜索提供商赢得了澳大利亚消费者的意义曝光。
Gottlieb 还提到,随着 AI 搜索工具变得越来越普及,消费者可以在他们的手机上尝试不同的搜索服务。今天的诉讼是 ACCC 在数字平台服务调查报告中对谷歌搜索默认设置和选择屏幕提出更广泛关切后,经过长时间调查的结果。ACCC 鼓励与 ACCC 合作,这可以避免漫长和昂贵的诉讼,并促进更多竞争。在数字经济中,竞争问题是一个当前的优先领域,ACCC 致力于解决此类反竞争行为。谷歌的承诺副本可在 ACCC 公共登记册上查阅。
https://news.ycombinator.com/item?id=44936945
https://github.com/bgreenwell/doxx
doxx 是一个专为终端设计的、快速的文档查看器,用于查看 Microsoft Word 文件。它使用 Rust 语言构建,以确保性能和可靠性,将 Word 文档带到命令行界面,并提供美观的渲染、智能表格支持和强大的导出功能。
主要特点包括:
安装方法:
基本使用:
doxx quarterly-report.docx
doxx document.docx --outline
doxx contract.docx --search "payment terms"
doxx presentation.docx --color
doxx document.docx --force-ui
doxx --version
和 doxx --help
doxx 支持 Windows 10/11、多种 Linux 发行版和 macOS 10.12+(Intel 和 Apple Silicon)。
https://news.ycombinator.com/item?id=44934391
git
、kill
、slack
和 fsck
。itsdangerous
这个 Python 项目依赖包也曾引起一些争议。https://roguesecurity.dev/blog/systemd-hardening
这篇文章讨论了如何增强 Linux 系统中 systemd 服务的安全性。尽管 systemd 因其争议性而备受关注,但它提供了一个全面且强大的方法来控制服务。文章指出,虽然 systemd 在很多方面都是为了开箱即用的成功而优化的,但并非特别注重安全性。因此,作者提供了一些建议,帮助用户通过调整 systemd 服务单元和 podman 容器来提高整体的安全姿态,减少被攻击的可能性以及被攻击后的破坏范围。
文章首先介绍了如何使用 systemd-analyze security
命令来分析部署的服务单元的安全性,并展示了如何针对特定服务(例如 sshd.service)进行安全分析。分析结果会显示哪些安全措施已经到位,以及它们的风险评分。接着,文章解释了如何根据分析结果修改 systemd 服务单元文件中的安全设置,包括如何使用 stub 文件配置覆盖和手动配置的方法。
文章还提供了一个安全选项列表,这些选项可以在服务级别上进行调整,以增强安全性。这些选项包括但不限于:AmbientCapabilities、AppArmorProfile、CapabilityBoundingSet、DeviceAllow、DynamicUser、GroupInaccessiblePaths、IPAddressAllow、IPAddressDeny、LockPersonality、MemoryDenyWriteExecute、NoExecPaths、NoNewPrivileges、PrivateDevices、PrivateIPC、PrivateNetwork、PrivateTmp、PrivateUsers、ProcSubset、ProtectClock、ProtectControlGroups、ProtectHome、ProtectHostname、ProtectKernelLogs、ProtectKernelModules、ProtectKernelTunables、ProtectProc、ProtectSystem、ReadOnlyPaths、ReadWritePaths、RemoveIPC、RestrictAddressFamilies、RestrictFileSystems、RestrictNamespaces、RestrictNetworkInterfaces、RestrictRealtime、RestrictSUIDSGID、SocketBindAllow、SupplementaryGroups、SystemCallArchitectures、SystemCallFilter、TemporaryFileSystem、UMask 和 User。
最后,文章对这些安全选项进行了简要解释,并强调了在调整这些设置时需要注意的原则:如果服务在更改后无法启动,可能是因为你刚刚移除了它所需的权限/能力。作者建议读者根据这些信息做出明智的猜测,并开始尝试调整,以提高自己系统的安全性。
https://news.ycombinator.com/item?id=44937550
https://github.com/epicenter-so/epicenter/tree/main/apps/whispering
Whispering 是一个开源的语音转文字应用程序。用户只需按下键盘快捷键,说话,程序就能将语音转录、转换,并复制粘贴到光标位置。开发者出于对封闭源代码的语音转录工具的不信任,创建了这个完全开源、本地优先、对用户数据透明的工具。所有数据都存储在本地设备上,音频直接从用户的机器传输到选择的云服务提供商(如 Groq、OpenAI、ElevenLabs 等)或本地服务提供商(如 Speaches、owhisper 等),无需中间人或供应商锁定。
Whispering 以其语音激活模式和可定制的 AI 转换功能脱颖而出,支持用户使用任何提示/模型进行转换。该应用程序使用 Svelte 5 和 Tauri 构建,体积小巧(约 22MB),启动迅速。代码库文档齐全,易于理解和审核,确保用户了解音频的去向、处理方式和存储的数据。此外,由于省去了中间环节,用户可以直接向服务提供商支付费用,从而节省成本。
Whispering 的使用成本如下:
开发者认为,开源和本地优先的社区可以共同构建出比任何封闭源代码替代品更好的产品。Whispering 的代码开源,因为基础工具不应该要求用户信任一个黑盒子。公司可能会转型、被收购或关闭,但开源是永恒的。注意,Whispering 适用于快速转录,而不是长时间的录音。
https://news.ycombinator.com/item?id=44942731