2025-09-13 06:18:09
- PostHog 官网采用操作系统风格设计,提供多任务功能,但 HN 评论指出其设计存在问题,破坏了用户体验。
- 美国财政部计划扩展《爱国者法案》,监管比特币自我托管,引发对隐私和自由的担忧。
- Awesome-Nano-Banana-images 项目展示了 Google AI 工具生成图像的能力,但评论指出其在复杂任务中的不稳定性。
- 阿里云推出 Qwen3-Next 模型,显著提升长上下文场景下的效率和资源利用率。
- SWE-bench 项目发现 Git 历史泄露可能影响 AI 模型评估结果,计划修复该问题。
- Claude 的记忆架构强调用户控制和隐私,与 ChatGPT 的设计完全不同。
- 网页展示了 32 位浮点数的详细解析,说明其二进制结构和十进制转换。
- 欧盟的“聊天管控”政策因反对声音过多未能通过,推文庆祝了这一结果。
- 许多 LeetCode 难题可以通过约束求解器轻松解决,文章探讨了这一方法的优势。
- 丹麦超市连锁集团计划建设“应急商店”网络,以增强社会在突发事件中的韧性。
https://posthog.com/blog/why-os
PostHog 官网迎来全新设计,采用操作系统(OS)风格界面,旨在提升用户在多任务场景下的浏览体验。传统技术网站常见的长页面滚动、巨大页脚和大量留白被打破,取而代之的是可拖拽、可缩放、支持窗口 snapping 的多窗口布局,用户可同时打开多个页面并自由移动、管理。
新官网具备操作系统级功能:
内容架构方面,所有产品页面由 JSON 驱动,实现内容与视觉层分离,支持动态布局、对比图表、多主题截图(含深色/浅色模式)。未来计划将内容源与 PostHog 应用共享,实现统一数据管理。
网站还内置参考客户数据库,包含客户使用的产品、引用语、公司 Logo(支持深色/浅色模式),可按产品动态调用,避免硬编码。
技术实现上,整个网站基于现有代码库开发,通过 Git 分支迭代,开发与原型同步进行。设计与编码并行,使许多功能在真实环境中验证,而非依赖静态原型。
作者坦言,初期使用该界面令人不适,但适应后体验显著提升,团队成员反馈一致积极。目前仍处于早期 MVP 阶段,未来将持续优化。
最后,作者邀请用户探索网站,鼓励提问与反馈,并透露部分技术细节将后续公开。
https://news.ycombinator.com/item?id=45217269
https://www.tftc.io/treasury-iexpanding-patriot-act/
文章标题:美国财政部拟扩展《爱国者法案》以打击比特币自我托管
美国财政部与金融犯罪执法网络(FinCEN)正计划扩展《爱国者法案》,针对比特币的自我托管行为实施严格监管。该举措将重点打击 CoinJoin、原子交换、单一地址使用及交易广播时间延迟等常见且被广泛推荐的比特币隐私保护实践。
这些技术手段是保障用户金融隐私、提升安全性和经济效率的关键工具。若政策实施,使用上述技术的用户将被标记为“可疑”,相关交易可能被受监管的金融服务拒绝,甚至面临刑事追责。
作者强烈批评该政策是“对数字时代自由的荒谬侵犯”,认为政府不应因少数犯罪分子而牺牲绝大多数守法公民的隐私与安全。真正的执法应依靠自身能力,而非通过削弱中立协议和技术创新来实现。
文章强调,比特币作为去中心化、尊重用户隐私的货币系统,其价值正因这些技术而得以巩固。不应让“少数坏人”决定整个社会的规则,否则无异于“让恐怖分子得逞”。
背景补充:
推荐阅读:
https://news.ycombinator.com/item?id=45221274
https://github.com/PicoTrex/Awesome-Nano-Banana-images/blob/main/README_en.md
这是一个名为《Awesome-Nano-Banana-images》的开源项目页面,专注于展示由“Nano-banana”(Google 推出的 AI 图像生成与编辑工具)生成的多样化创意案例。项目由用户 LongHZ140516 维护,最新更新时间为 2025 年 9 月 12 日。
页面突出展示 AI 在图像生成、编辑与多模态融合方面的强大能力。共收录 68 个真实案例,涵盖从艺术创作到实用设计的广泛领域,每个案例均配有输入图像、生成结果及详细提示词(prompt),并标注了贡献者账号。
主要案例包括:
项目强调多视角生成、材质控制、光照调节、透明层提取等高级功能,展示 AI 在创意设计、教育、工业建模等场景的潜力。案例来源包括 Twitter/X、小红书等社交平台,内容极具参考价值。
项目持续更新,已发布三版,鼓励用户点赞(⭐)收藏以支持。页面结构清晰,适合设计师、开发者、AI 爱好者快速了解 Nano-banana 的实战能力。
https://news.ycombinator.com/item?id=45215869
Qwen3-Next 是阿里云推出的全新大模型架构,旨在提升长上下文和大规模参数场景下的训练与推理效率。相比 Qwen3 的 MoE 结构,Qwen3-Next 引入多项关键技术改进:混合注意力机制、超稀疏 MoE 设计、训练稳定性优化以及多 token 预测机制。
该模型基于 Qwen3-Next-80B-A3B-Base 构建,总参数达 800 亿,但推理时仅激活约 30 亿参数,性能媲美甚至略优于 Qwen3-32B 密集模型,训练成本不足其 10%。在超过 32K token 的长上下文场景下,推理吞吐量提升超过 10 倍,展现出极高的效率。
基于此基础模型,团队发布了两个后训练版本:Qwen3-Next-80B-A3B-Instruct 和 Qwen3-Next-80B-A3B-Thinking。前者在长文本任务(支持高达 256K token)中表现优异,性能接近旗舰模型 Qwen3-235B-A22B-Instruct;后者在复杂推理任务中超越更高成本模型,甚至在多个基准测试中优于闭源模型 Gemini-2.5-Flash-Thinking,接近 Qwen3-235B-A22B-Thinking 的顶尖水平。
核心技术创新包括:
预训练阶段,Qwen3-Next 使用 15T token 的子集,训练成本仅为 Qwen3-32B 的 9.3%,但性能更优。在推理阶段,无论是预填充(prefill)还是解码(decode)阶段,均大幅领先于同级别模型。
目前,Qwen3-Next 已在 Hugging Face 和 ModelScope 上开源,并可通过阿里云 Model Studio 和 NVIDIA API Catalog 调用服务。开发者可使用 Hugging Face Transformers 库直接加载模型,支持自动设备映射与高效推理。
https://news.ycombinator.com/item?id=45219228
https://github.com/SWE-bench/SWE-bench/issues/465
GitHub 上的 SWE-bench 项目发现了一个严重的评估漏洞:在自动化软件工程任务评估过程中,AI 代理(agents)可能通过查询 Git 历史记录(如 git log --all)获取未来仓库状态,从而“窥探”尚未在任务上下文中公开的修复信息。
具体表现为:
git log --grep 或 git log --all 命令,直接检索未来提交(commit)。Fix incorrect result of getmodpath method,直接暴露了答案。为解决此问题,团队已启动修复:
目前修复工作正在进行中,预计 24 小时内完成新镜像构建与部署。该问题揭示了在构建可信 AI 评估基准时,对环境隔离和数据泄露风险的严格控制至关重要。
https://news.ycombinator.com/item?id=45214670
https://www.shloked.com/writing/claude-memory
Claude 的记忆系统与 ChatGPT 采取截然相反的设计哲学。它不预加载用户资料或历史记录,而是从零开始,仅在用户明确触发时才激活记忆功能,例如使用“我们之前讨论过……”等语句。
记忆功能依赖两个核心工具:
与 ChatGPT 自动记忆、构建用户画像不同,Claude 的设计强调用户主动控制。其目标用户是开发者、专业人士,他们理解模型机制,愿意为更高的可控性和隐私性接受延迟。记忆不是默认开启的“魔法”功能,而是一个可选、透明、可预测的工具。
这种差异反映了两大产品的根本定位:ChatGPT 作为大众消费级产品,追求即时个性化与粘性;而 Claude 则聚焦专业工作流,强调可解释性、安全与开发者友好。
文章指出,AI 记忆系统尚无标准答案,设计应从用户需求出发。当前 AI 领域处于快速探索期,不同产品正尝试多样化的记忆架构,未来十年将带来更深刻的变化。
https://news.ycombinator.com/item?id=45214908
该网页展示了一个 32 位浮点数(float)的详细解析,基于 IEEE 754 标准。 其二进制位模式为:01000100101111111001010000000000。
符号位(Sign)为 0,表示该数为正数。 指数部分(Exponent)为 10001001₂,即十进制的 137,减去偏移量 127 后,实际指数为 10。 尾数部分(Significand)为 1.01111111001010000000000₂,表示一个带隐含前导 1 的二进制小数。
在二进制中,该数的计算表达式为: (−1)⁰ × 2¹⁰ × 1.01111111001010000000000₂。
转换为十进制,精确值为:1.532625 × 10³,即 1532.625。
该数值的相邻可表示值之间的差值为 ±1.220703125 × 10⁻⁴,说明其精度在该数量级范围内。
网页还展示了该浮点数在不同格式下的表示方式,包括十六进制整数形式、十六进制浮点格式(%a)以及其在浮点数表示范围中的位置。
页面底部注明版权信息:© 2025 – Bartosz Ciechanowski。 整体内容聚焦于浮点数的底层表示与数值分析,适合学习计算机浮点运算机制的开发者或学生参考。
https://news.ycombinator.com/item?id=45217415
https://twitter.com/TutaPrivacy/status/1966384776883142661
X 平台用户 Tuta 发布推文,宣布德国、卢森堡和斯洛伐克已决定反对“聊天管控”(Chat Control)政策。 该政策未能获得多数支持,至少在当前阶段未能通过。 Tuta 感谢所有支持者,并呼吁继续为捍卫网络自由而努力。 推文发布于 2025 年 9 月 12 日,下午 2:13,获得超过 235 万次浏览,131 万次转发,47 万次点赞,286 条评论。
https://news.ycombinator.com/item?id=45221580
https://buttondown.com/hillelwayne/archive/many-hard-leetcode-problems-are-easy-constraint/
本文探讨了在算法面试中,许多看似复杂的 LeetCode 题目其实本质上是数学优化问题,而这类问题用约束求解器(如 MiniZinc)可以轻松解决。
作者以自己面试失败的经历为例:面对“找零钱”问题,他使用贪心算法,但未意识到该方法仅适用于特定币值组合。正确解法应使用动态规划,但他指出,若使用约束求解器,只需几行代码即可解决,无需手动实现复杂算法。
文中展示了多个例子:
文章强调,虽然约束求解器的运行时间不可预测,且不如手写算法高效,但其优势在于可扩展性强。当问题加入新约束(如最多买卖次数、持仓上限)时,传统算法需重写逻辑,而约束模型只需微调约束即可应对。
最后指出,尽管约束求解器在面试中可能被质疑复杂度,但它们在处理复杂、多约束问题时远胜于手动编码,尤其适合快速验证想法、教学优化技巧(如对称性破除)。
文章结尾推荐读者关注其技术博客,介绍逻辑编程、形式方法等主题,并推广其新书《Logic for Programmers》。
https://news.ycombinator.com/item?id=45222695
https://swiss.social/@swaldorff/115186445638788782
丹麦一家超市连锁集团正在建设“应急商店”网络,这些商店可在断电和通信中断的情况下持续运营最多三天,储存大量非 perishable(不易腐烂)食品和生活必需品。计划到 2028 年完成,目标是让每个人距离最近的应急商店不超过 50 公里,以减少恐慌性抢购,提升社会应对突发事件的韧性。
这些应急商店将依托现有门店改造,而非新建设施,便于顾客熟悉并使用。丹麦国家银行数据显示,超过 80% 的成年人拥有可在离线状态下使用的银行借记卡,交易信息可暂存在本地,待网络恢复后补传,确保支付系统在断网时仍可运作。
该计划由丹麦最大零售商 Salling 集团推动,其背后是一家将利润回馈社会的基金会,体现私营企业对公共安全的积极贡献。类似理念在台湾和西班牙的超市中也有所实践,如 Mercadona 在疫情期间和停电事件中展现出较强的抗风险能力。
评论者认为,这种“嵌入式民用网络”(embedded civil mesh)模式,比集中式系统更具抗灾优势。尽管 50 公里的距离在极端情况下仍可能不足,但对多数人而言已足够,且能有效缓解基础设施中断带来的社会压力。
此外,有建议指出,未来可结合太阳能发电和储能系统,使商店实现真正离网运行,进一步增强可持续性和应急能力。这一模式也为其他地区(如美国、德国)提供了可借鉴的公共安全建设思路。
https://news.ycombinator.com/item?id=45216805
https://news.ycombinator.com/item?id=45221631
The Patriot Act itself was supposed to be temporary and “narrow.” Two decades later it’s the foundation for a financial dragnet that assumes privacy is the problem rather than a basic right.
Just like encryption, once privacy becomes associated with criminality, you end up weakening security for law-abiding users and concentrating power in a few regulated intermediaries. That’s not healthy for innovation, or democracy.
electric_muse
《爱国者法案》本身本应是临时且“有限”的。二十多年后,它成了金融大监控的基础,而该监控假定隐私是问题而非一项基本权利。
就像加密技术一样,一旦隐私与犯罪行为挂钩,最终会削弱守法用户的安全,并将权力集中在少数受监管的中间机构。这对创新或民主都不利。
2025-09-12 08:03:34
- 德国目前不支持欧盟的ChatControl法案,反对者占欧盟总人口的40.37%,法案通过仍有可能。
- 美国保守派活动家查理·柯克在犹他州演讲时被枪杀,事件引发对政治暴力的强烈抗议和悼念活动。
- KDE项目发布了基于Arch Linux的不可变发行版KDE Linux,专注于提供最佳的KDE用户体验。
- 美国第二巡回上诉法院驳回Verizon未经用户同意出售位置数据的上诉,维持4690万美元罚款。
- 作者David Friedman受“doomscrolling”启发,结合经典游戏《Doom》,制作了一个仅通过滚动操作的网页游戏。
- 包管理器Bun通过优化系统调用和利用操作系统优化,实现了比npm、pnpm和yarn更快的安装速度。
- 大型语言模型(LLM)在推理过程中存在非确定性问题,浮点数非结合性和并行执行是主要原因。
- GrapheneOS致力于保护设备隐私和安全,但数字取证工具Cellebrite仍能从部分设备中提取数据。
- W3C团队成员格雷格·凯洛格去世,他是JSON-LD工作组的联合主席,为多项数据相关规范做出了重要贡献。
- 韩国要求美国修复签证系统并防止工作场所移民突袭事件,否则可能影响韩国对美投资。
https://digitalcourage.social/@echo_pbreyer/115184350819592476
德国目前不支持欧盟提出的#ChatControl 法案,该法案涉及非法的大规模监控计划。德国司法部长 Hubig 阻止了德国对该法案的支持,使得阻止该法案所需的否决少数派目前看来已经到位。除了德国,卢森堡(LU)和斯洛伐克(SK)也加入了反对行列。反对者们呼吁继续斗争,以阻止这一侵犯隐私的法案。
然而,德国内政部计划在 10 月前寻求一个妥协方案,这意味着目前的胜利可能只是暂时的。有人担忧,匈牙利这样的“流氓国家”可能会通过简单多数决定威胁整个欧盟安全的问题,而侵犯隐私的决策也可能被简单多数通过。
一些前共产主义国家如捷克共和国、斯洛伐克和波兰现在反对这个奥威尔式的噩梦,而传统的民主国家如法国、瑞典或西班牙却支持它。有人指出,这些国家可能还记得生活在监控下的感觉。
此外,有人计算出,反对或中立的 9 个国家占欧盟总人口的 40.37%,这意味着即使犹豫不决的国家转而支持,也达不到 65% 的欧盟总人口的多数决条件。但是,如果反对的理事会成员少于四个,那么支持国家的人口比例对于定义多数决就无关紧要了。因此,要形成一个否决少数派,至少需要四个理事会成员的反对。
https://news.ycombinator.com/item?id=45209366
保守派活动家、转折点美国(Turning Point USA)联合创始人查理·柯克(Charlie Kirk)在犹他谷大学(Utah Valley University)进行演讲时被枪杀,引发对政治暴力的强烈抗议。事件发生后,犹他谷大学宣布将关闭至周一,所有课程、校园活动和行政工作在此期间暂停,学生的作业、考试和截止日期将相应推迟。学校表示,没有对校园的持续威胁,但在紧急疏散后遗留重要物品的人可以在当天到校友中心领取。全美多个州举行了悼念查理·柯克的守夜活动。
白宫官员在得知查理·柯克被枪杀的消息后,最初的反应是“震惊”、“恶心”和“悲痛欲绝”。特朗普在实时了解事件进展的同时,将柯克的死归咎于“激进左翼”。他在视频信息中表示,多年来,激进左翼将像查理这样的美国人比作纳粹和世界上最糟糕的大规模谋杀犯和罪犯,这种言论直接导致了我们国家今天所看到的恐怖主义,必须立即停止。特朗普呼吁所有美国人和媒体面对暴力和谋杀是妖魔化与你意见相左的人的悲剧后果,但他只提到了“激进左翼的政治暴力”,没有向任何成为目标的民主党政治家致敬。目前,官方尚未宣布柯克被杀的动机;犹他州州长称其为“政治暗杀”。
两名被拘留者与枪击案无关。联邦调查局和犹他州公共安全部门在联合声明中表示,今天被拘留的两人与柯克的致命枪击案没有任何联系。其中一人在枪击案后被大学警察拘留并被控妨碍公务,另一人在审讯后被释放。声明称,目前这两人与枪击案没有任何联系,对枪手的调查和追捕仍在进行中。声明将枪击案称为有针对性的袭击,枪手据信是从建筑物屋顶向下射击到学生庭院的公共活动地点。为了保护调查的完整性,不能提供更多细节。
在犹他州议会大厦举行的守夜活动中,人们聚集在一起悼念查理·柯克。牧师罗恩·威廉姆斯告诉人群,柯克是一个充满激情、充满爱的人,他热爱自己的国家和家庭。威廉姆斯为柯克的家人和亲近的人祈求和平与安慰,并表示尽管可能还有其他黑暗的日子,人们应该选择爱而不是暴力。威廉姆斯称柯克的被杀是不公正的,并呼吁美国人意识到今天发生的事情可能不是最后一次我们需要站出来,说不暴力,是爱、团结和正义。
https://news.ycombinator.com/item?id=45202200
https://lwn.net/SubscriberLink/1037166/caa6979c16a99c9e/
2025 年 9 月 10 日,KDE 项目在 Akademy 2025 上发布了 KDE Linux 的 alpha 版本,这是一个由项目构建的发行版,旨在“包含 KDE 所提供的最佳实现,使用最先进的技术”。KDE Linux 的目标是提供一个适用于家庭、商业、OEM 安装等的操作系统,尽管目前存在许多粗糙的边缘和缺失的功能。
KDE Linux 是一个不可变的发行版,以 Arch Linux 包为基础,但不包括 Pacman,仅用于基础操作系统。其他所有内容要么使用 KDE Builder 从源代码编译,要么使用 Flatpak 安装。KDE Linux 是 Wayland-only,没有 X.org 会话,也不计划添加。它仅支持 UEFI 系统,没有计划支持仅 BIOS 系统。
KDE Linux 的根文件系统(/)是一个可读写的 Btrfs 卷,而/usr 是一个只读的增强型只读文件系统(EROFS)卷,由单个文件支持。系统通过交换 EROFS 卷来原子更新;目前 KDE Linux 缓存最多五个文件,允许用户在最新更新出现问题时回滚到以前的版本。
KDE Linux 不提供让用户向基础系统添加包的方式,用户可以通过 KDE 的 Discover 图形软件管理器添加 Flatpak 包装的应用;也支持 Snap 格式,但未与 Discover 集成。KDE Linux 还包括 Distrobox,允许用户设置他们选择的发行版的容器,并在容器中安装与系统集成的软件。
KDE Linux 的默认软件选择对于桌面发行版来说是一个很好的开始,包括 Gwenview 图像查看器、Okular 文档查看器、Haruna 媒体播放器、Kate 文本编辑器和 Konsole 终端仿真器。默认安装中包括的 Firefox 是唯一的非 KDE 应用。基础系统目前包括 GNU Bash 5.3.3、curl 8.15、Linux 6.16.5、GCC 15.2.1、Perl 5.42、Python 3.13.7、Vim 9.1 和 wget 1.25,但不包括一些用户可能想要或期望的实用程序,如 GNU Screen、Emacs、tmux、pip 或 Fish 等替代 shell。
KDE Linux 的基包不打算让用户自定义,但应该可以使用 systemd 的 mkosi 工具创建自定义映像,这也是项目本身使用的。KDE Linux 仓库中的 mkosi.conf.d 目录包含管理系统映像中包含的包的各种配置文件。
长期计划是推出三个版本的 KDE Linux:测试版(当前可用)、爱好者版和稳定版。测试版面向开发者和质量保证人员,每天从 Git 构建,质量类似于 KDE neon 的不稳定版本。爱好者版将包括 beta 或已发布的软件,取决于给定应用程序的状态;这个版本面向“KDE 爱好者、高级用户和影响者”。稳定版的目标是为普通用户提供一个稳定的系统。
https://news.ycombinator.com/item?id=45204393
美国第二巡回上诉法院驳回了 Verizon 试图推翻因未经用户同意出售位置数据而被罚款 4690 万美元的企图。去年,联邦通信委员会因 2018 年揭露的违规行为对三大运营商处以罚款。这些公司在三个不同的法院起诉 FCC,结果各异。AT&T 在以保守著称的美国第五巡回上诉法院击败了 FCC,而 T-Mobile 在哥伦比亚特区巡回法院败诉。尽管 FCC 主席布伦丹·卡尔去年投票反对罚款,但当委员会由民主党多数时,他的 FCC 敦促法院支持拜登时代的决定。对 FCC 不利的裁决可能会削弱该机构发出经济处罚的能力。不同巡回法院的不同裁决提高了这些案件被最高法院接手的可能性。
第二巡回法院对 Verizon 的裁决是由三位法官组成的小组一致作出的,它与哥伦比亚特区巡回法院在 T-Mobile 案中的法律结论相同。法院不接受运营商的论点,即罚款违反了其根据第七修正案获得陪审团审判的权利,且位置数据不受 FCC 用于发出处罚的法律保护。法院表示:“我们不同意 Verizon 的观点。”“有争议的客户数据显然符合客户专有网络信息的定义,触发了通信法案的隐私保护。而且,没收令既合理地施加了责任,又保持在罚款上限的范围内。此外,委员会的程序也没有违反第七修正案的陪审团审判保证。事实上,Verizon 有机会在联邦法院进行陪审团审判,但它选择放弃。因此,我们拒绝 Verizon 的请求。”
Verizon 声称,直到 2019 年,它运营了一个“基于位置的服务”计划,出售某些无线客户位置数据的访问权。作为该计划的一部分,Verizon 与“位置信息聚合商”签订合同,这些聚合商收集客户数据并转售给第三方基于位置的服务提供商。Verizon 与两个聚合商 LocationSmart 和 Zumigo 有安排,它们又与 63 个第三方实体签订了合同。Verizon 没有向客户发出通知并获取或验证客户同意,而是“主要通过合同委托这些功能”,法院说。2018 年,《纽约时报》发表了一篇报道,揭露了 Verizon(和其他主要运营商)基于位置的服务计划中的安全漏洞,这个系统及其缺陷被曝光。Securus Technologies 是一家向惩教设施提供通信服务的公司,“滥用该计划,使执法人员能够在客户不知情或未经同意的情况下访问位置数据,只要警官上传一份搜查令或其他法律授权文件”,裁决说。密苏里州的一名警长“在没有任何法律程序的情况下就能访问客户数据”,因为 Securus 没有审查执法人员上传的文件。Verizon 声称通信法案第 222 条不涵盖设备位置数据。
https://news.ycombinator.com/item?id=45206567
https://ironicsans.ghost.io/doomscrolling-the-game/ 这篇文章讲述了作者 David Friedman 如何受到“doomscrolling”(无休止地滚动负面新闻)的启发,结合经典游戏《Doom》和滚动操作,制作了一个仅通过滚动操作来玩的网页游戏。游戏最初尝试失败,但随着 GPT-5 的出现,作者在两小时内就完成了一个原型。游戏设计参考了《Galaga》的玩法,玩家通过前后移动角色来躲避怪物,而不是左右移动。作者逐步添加了武器升级、火墙追逐、障碍物等元素,以增加游戏的趣味性和挑战性。
为了让游戏更贴近真实的“doomscrolling”体验,作者在游戏中加入了当天的新闻头条作为装饰元素,这些头条以游戏中的牌匾形式出现,虽然不影响游戏玩法,但可能会分散玩家的注意力。新闻头条来自《纽约时报》的 RSS feed,使得游戏成为一个复杂的单源 RSS 阅读器。
在与 AI 合作的过程中,作者遇到了沟通障碍,于是采用了“实验室”方法,通过独立的测试页面来设计背景纹理、牌匾和装饰物,这样可以在游戏中随机化一些视觉元素。作者还尝试了制作预渲染的怪物图像,但最终决定使用 ChatGPT 在“实验室”中设计的简单怪物,因为预渲染的怪物让游戏感觉变差。
最后,作者通过 ChatGPT 创建的带有滑块的“实验室”页面,对牌匾的外观进行了微调,以确保它们与游戏世界融为一体。尽管作者还有想要添加的功能和调整,但由于假期结束,他决定将当前版本 1.0 作为最终版本发布。游戏在移动设备和桌面上都能很好地运行,唯一的区别是设备越高,玩家同时能看到的世界范围越大。
https://news.ycombinator.com/item?id=45205232
https://bun.com/blog/behind-the-scenes-of-bun-install
Bun 是一个性能卓越的包管理工具,其安装速度相较于 npm、pnpm 和 yarn 有显著优势。平均而言,Bun 的安装速度比 npm 快 7 倍,比 pnpm 快 4 倍,比 yarn 快 17 倍。这种速度提升在大型代码库中尤为明显,原本需要数分钟的操作现在只需几秒钟即可完成。Bun 之所以能够实现这样的速度,是因为它将包安装视为系统编程问题,而非 JavaScript 问题。
文章回顾了 2009 年的技术背景,当时 Node.js 刚刚发布,服务器大部分时间都在等待 I/O 操作。Node.js 利用 JavaScript 的事件循环来处理服务器 I/O,使得异步请求在后台进行,而主线程可以立即处理下一个任务。这种架构在磁盘寻址需要 10ms、数据库查询需要 50-200ms、HTTP 请求需要 300ms 以上的时代非常有效。
然而,随着硬件的发展,现代的瓶颈已经不再是 I/O,而是系统调用。每次程序需要操作系统执行操作(如读取文件、打开网络连接、分配内存)时,都会进行系统调用,这会导致 CPU 模式切换,从而产生额外的开销。Bun 通过最小化系统调用和利用操作系统特定的优化来提高安装速度。
文章通过对比不同包管理器在安装 React 及其依赖时产生的系统调用数量,展示了 Bun 的效率。Yarn 产生了超过 400 万次系统调用,npm 接近 100 万次,pnpm 接近 50 万次,而 Bun 仅产生了 16.5 万次。在每次系统调用需要 1000-1500 个 CPU 周期的情况下,Bun 的系统调用效率远高于其他工具。这使得 Bun 在安装速度上具有明显优势。
https://news.ycombinator.com/item?id=45210850
https://thinkingmachines.ai/blog/defeating-nondeterminism-in-llm-inference/
这篇文章讨论了大型语言模型(LLM)在推理过程中的非确定性问题,即在不同时间对同一问题的回答可能会有所不同。尽管理论上通过调整温度参数可以使采样过程确定性,但实际上即使在自硬件上使用开源推理库时,采样结果仍然具有非确定性。文章提出了一个常见的假设,即浮点数的非结合性和并行执行可能导致基于哪个并行核心先完成的非确定性。然而,这并不是问题的全貌,因为即使在 GPU 上,对同一数据重复执行相同的矩阵乘法操作总是能得到位对位相等的结果。
文章进一步探讨了浮点数非结合性的问题,解释了为什么即使在相同的硬件和软件环境下,不同的执行顺序可能导致不同的计算结果。浮点数的非结合性意味着在加法操作中,加数的组合顺序可能会影响最终结果,因为浮点数的表示和计算涉及到精度的丢失。这种非结合性是浮点数有用的原因之一,因为它允许在不同的数值规模之间进行动态的精度调整。
文章指出,尽管浮点数的非结合性是导致输出不一致的根本原因,但这并不直接解释为什么浮点数值会以不同的顺序相加,以及如何避免这种情况。要理解 LLM 推理非确定性的真正原因,需要深入研究内核的实现方式。文章最后承诺将揭示“并发 + 浮点”假设的不足之处,揭示 LLM 推理非确定性的真正原因,并解释如何克服非确定性,以在 LLM 推理中获得真正可复现的结果。
https://news.ycombinator.com/item?id=45200925
https://discuss.grapheneos.org/d/13107-grapheneos-and-forensic-extraction-of-data
GrapheneOS 是一个基于 Android 的开源移动操作系统,专注于隐私和安全性。近期,有人通过社交媒体平台对 GrapheneOS 发起攻击,错误地将基于同意的数据提取描述为 GrapheneOS 被破解。文章旨在澄清这一误解,并解释基于同意的数据提取的含义。
数字取证是用于法律程序中收集证据的过程,涉及检查数字设备以识别、保存、分析和呈现数字证据。然而,数字取证有时也会被滥用,例如针对调查记者或政治活动家进行隐私侵犯、恐吓或骚扰等。GrapheneOS 开发者致力于保护手机免受篡改,并使未经用户同意的数据提取尽可能困难。
Cellebrite 是数字取证领域的领先以色列公司,其主要产品 UFED 用于从移动设备中提取和分析数据。Cellebrite 将设备销售给全球政府,尽管主要用于合法目的,但也包括向威权政权销售。数字取证工具首先尝试从移动设备中提取数据,如果手机被锁定,存在几种提取数据的方法。
第一种是基于同意的数据提取,即用户自愿解锁设备或提供 PIN 码或密码,然后取证工具从解锁的设备中提取数据。如果用户不愿意提供 PIN 码或密码或解锁手机,则存在两种数字取证检查方法:尝试破解移动设备以解锁并提取数据,或者尝试猜测 PIN 码或密码以解锁设备并提取数据。
从数字取证的角度来看,手机基本上可以处于两种状态:BFU(首次解锁前)和 AFU(首次解锁后)。BFU 设备大多包含加密数据,而 AFU 设备在内部存储中包含解密密钥,使得大多数数据对取证分析可访问。Cellebrite 声称其工具可以成功利用市场上的每个非 GrapheneOS Android 设备,无论是 AFU 还是 BFU 状态。对于 iOS 设备,Cellebrite 也拥有类似的能力,尽管不是全部,但许多设备都支持。只有最新的设备和操作系统版本尚未完全支持。
https://news.ycombinator.com/item?id=45210910
https://lists.w3.org/Archives/Public/public-json-ld-wg/2025Sep/0012.html
W3C 团队成员 Gregg Kellogg 于上周六去世,这是一个令人悲伤的消息。Gregg 一直公开谈论自己的健康状况。作为 W3C 特邀专家,Gregg 多年来为 W3C 做出了巨大贡献,最近担任 JSON-LD 工作组的联合主席,并且是多个数据相关社区小组的主席。他非常珍视在团队中找到的能量、才华和友谊,并为成为这样一个富有创造力的社区的一部分而感到自豪。
在过去的 13 年里,Gregg 作为 9 项已发布建议的共同编辑者,以及十几项其他 W3C 规范(CSV2RDF 套件、RDF 1.2 套件的大部分、JSON-LD 套件的 1.0 和 1.1 版本、RCH 等)的作者。令人印象深刻的是,Gregg 还为所有这些规范(以及更多)提供了开源实现,以及相关工作组仍在使用的众多测试套件。他在 JSON-LD 工作组的参与对这项 W3C 技术的巨大成功起到了关键作用。
Gregg 不仅因其贡献而受到怀念,更因其友好和善良的性格而被人们怀念。如果有人想要向 Gregg Kellogg 致敬,请联系 JSON-LD 工作组的工作人员 Pierre-Antoine Champin,因为该小组目前正在制定计划。
https://news.ycombinator.com/item?id=45210564
https://english.hani.co.kr/arti/english_edition/e_international/1218025.html
韩国政府决定与美国政府就改善在美国的韩国人签证系统和防止工作场所移民突袭事件再次发生进行讨论。此前,韩国公民在乔治亚州的一家电池厂被捕并被拘留。韩国政治圈内外出现了要求美国系统性改进的呼声,同时要求美国总统唐纳德·特朗普和美国政府正式道歉。
韩国总统办公室的政策负责人金永洙(Kim Yong-beom)表示,韩国政府和企业十多年来一直在积极推动 E-4 签证(针对技术熟练的韩国工人的签证配额),但由于反移民情绪,提出这一措施的立法者数量比十年前有所减少。韩国总统李在明(Lee Jae Myung)在内阁会议上表示失望,并强调需要保持“相互信任和联盟精神”。他希望不会再有不公平侵犯韩国人民和企业活动的行为,并强调这些活动对韩国和美国共同发展的贡献。韩国民主党议员金英培(Kim Young-bae)表示,现在韩国作为投资者拥有权力,美国必须回应韩国的要求。
四名来自进步小党金博党的议员,包括党鞭尹钟燮(Yoon Jong-oh),访问了首尔钟路区的美国大使馆,向美国临时代办约瑟夫·云(Joseph Yun)递交了要求美国政府正式道歉的信件。信中指出,将韩国工人当作重罪犯对待、用链条锁住并拘留,是对人权的明显侵犯,也是对整个韩国人民的侮辱。
https://news.ycombinator.com/item?id=45206805
https://news.ycombinator.com/item?id=45203452
All: if you can’t respond in a non-violent way, please don’t post until you can.
By non-violent I mean not celebrating violence nor excusing it, but also more than that: I mean metabolizing the violence you feel in yourself, until you no longer have a need to express it aggressively.
The feelings we all have about violence are strong and fully human and I’m not judging them. I believe it’s our responsibility to each carry our own share of these feelings, rather than firing them at others, including in the petty forms that aggression takes on an internet forum.
If you don’t share that belief, that’s fine, but we do need you to follow the site guidelines when commenting here, and they certainly cover the above request. So if you’re going to comment, please make sure you’re familiar with and following them: https://news.ycombinator.com/newsguidelines.html.
dang
各位:如果您无法以非暴力的方式回应,请在能够做到之前不要发帖。
我所说的非暴力,不仅指不庆祝暴力、不为其辩护,更深层的意思是:消化掉您内心感受到的暴力情绪,直到您不再有以攻击性方式表达它的需求。
我们每个人对暴力产生的感受都非常强烈,这是完全人之常情,我并不评判这些感受。我相信,我们每个人都有责任承担起自己对这些情绪的份额,而不是把它们发泄到别人身上——无论是在网络上,这种攻击性会以多么琐碎的形式表现出来。
如果您不认同这一信念,那没关系,但您在发表评论时确实需要遵守本站的指导原则,而这些原则肯定涵盖了上述要求。因此,如果您打算发表评论,请确保您已了解并遵守这些原则:https://news.ycombinator.com/newsguidelines.html。
https://news.ycombinator.com/item?id=45203460
History books can tell you facts that happened, but they can never truly tell you how it feels.
I feel we’re riding a knife’s edge and there’s a hurricane brewing in the gulf of absurdity.
====
Incidentally, I feel like this is why it is so hard to actually learn from history. You can read about the 1918 ‘Spanish’ Flu, but you think “we’re smarter now”. etc.
csours
历史书可以告诉你发生过的事实,但它们永远无法真正让你感同身受。
我感觉我们正行走在刀锋之上,而一场飓风正在荒诞的深渊中酝酿。
====
顺便说一句,我觉得这就是为什么真正从历史中吸取教训是如此困难。你可以读到关于1918年‘西班牙流感’的记载,但你心想:“我们现在更聪明了”。
https://news.ycombinator.com/item?id=45204299
But we have to make an effort in the United States. We have to make an effort to understand, to get beyond, or go beyond these rather difficult times.
My favorite poem, my – my favorite poet was Aeschylus. And he once wrote:
“Even in our sleep, pain which cannot forget falls drop by drop upon the heart, until, in our own despair, against our will, comes wisdom through the awful grace of God.”
What we need in the United States is not division; what we need in the United States is not hatred; what we need in the United States is not violence and lawlessness, but is love, and wisdom, and compassion toward one another, and a feeling of justice toward those who still suffer within our country …
We can do well in this country. We will have difficult times. We’ve had difficult times in the past – and we will have difficult times in the future. It is not the end of violence; it is not the end of lawlessness; and it’s not the end of disorder.
But the vast majority of [people] in this country want to live together, want to improve the quality of our life, and want justice for all human beings that abide in our land.
And let’s dedicate ourselves to what the Greeks wrote so many years ago: to tame the savageness of man and make gentle the life of this world. Let us dedicate ourselves to that, and say a prayer for our country and for our people.
Bobby Kennedy, 1968
https://www.youtube.com/watch?v=A2kWIa8wSC0
themgt
但是我们必须在美国做出努力。我们必须付出努力去理解,去超越,或去度过这些非常艰难的时期。
我最喜欢的诗,我最——我最喜欢的诗人是埃斯库罗斯。他曾写道:
“即使在睡梦中,那无法遗忘的痛苦仍会一滴一滴地滴落在心上,直到在我们自己的绝望中,违抗着我们的意志,借由上帝那可怕的恩典,智慧降临。”
美国所需要的不是分裂;美国所需要的不是仇恨;美国所需要的不是暴力和无法无天,而是爱,是智慧,是彼此之间的同情,以及对于那些在我国境内仍受苦难的人们的正义感……
我们这个国家可以做得很好。我们将会经历艰难的时期。我们在过去有过艰难的时期——而且我们将来也会经历艰难的时期。这并非暴行的终结;这并非无法无天的终结;也并非混乱的终结。
但是这个国家的绝大多数人想要共同生活,想要改善我们生活的质量,并且想要为所有生活在我们土地上的人们伸张正义。
让我们致力于希腊人许多年前所写下的箴言:驯服人类的野蛮,让这个世界的生活变得温和。让我们致力于这个目标,为我们的国家和人民祈祷。
罗伯特·肯尼迪,1968年
2025-09-11 07:08:40
- 苹果推出超薄设计的iPhone Air,配备钛金属框架、Ceramic Shield保护和高性能芯片,提供出色的耐用性和续航表现。
- 作者通过内存修改将《动物森友会》与云端AI对话系统结合,实现了游戏与外部AI的实时交互。
- 一位家长对博物馆过度依赖数字化展览表示失望,呼吁提供更多真实体验的互动展览。
- 西班牙蓬特韦德拉通过限制车辆通行,成功减少交通拥堵和空气污染,提升了行人友好型城市环境。
- Modos公司推出刷新率达75赫兹的电子纸显示屏,挑战LCD屏幕的显示领域,适用于开发者和爱好者。
- 苹果推出内存完整性强制技术,结合硬件和软件提升设备内存安全性,防止恶意软件攻击。
- 新型免疫疗法药物2141-V11在临床试验中显示显著疗效,部分患者肿瘤缩小或消失,为癌症治疗带来希望。
- Supabase将OrioleDB专利免费提供给Postgres社区,提升Postgres的性能和可扩展性,计划整合至Postgres源代码树。
- 网络安全在保护个人和企业数据方面至关重要,需通过多层防御措施降低恶意攻击风险。
- 文章批评“你不需要记住任何东西”这一观念,强调扎实的基础知识和批判性思维在信息时代的重要性。
苹果公司于 2025 年 9 月 9 日推出了全新的 iPhone Air,这是一款具有突破性设计的超薄 iPhone。iPhone Air 以其 5.6 毫米的厚度成为史上最薄的 iPhone,同时拥有轻巧的机身和 6.5 英寸的 Super Retina XDR 显示屏,支持高达 120Hz 的 ProMotion 技术。新款 iPhone 采用突破性的钛金属设计,既优雅又坚固,内部结构创新,使得设备能够提供最新的 iPhone 体验。
iPhone Air 的背面采用 Ceramic Shield 保护,前盖使用 Ceramic Shield 2,提供 3 倍于以往任何智能手机玻璃的抗刮擦性能。这是 Ceramic Shield 首次用于 iPhone 的背面,包括凸起部分,其抗裂性能是前代型号后玻璃的 4 倍。加之坚固的钛金属框架,iPhone Air 的耐用性超过了以往任何 iPhone。
iPhone Air 搭载了苹果设计的 A19 Pro、N1 和 C1X 芯片,成为史上最节能的 iPhone。结合重新设计的内部结构和软件优化,iPhone Air 拥有出色的全天候电池续航。48MP 的 Fusion 主摄像头提供了相当于四个镜头的卓越图像质量,而创新的 18MP Center Stage 前置摄像头则将自拍提升到新水平。
iPhone Air 提供四种精美的配色:太空黑、云白、浅金和天蓝。预购将于 9 月 12 日开始,9 月 19 日开始发售。苹果硬件工程高级副总裁 John Ternus 表示,iPhone Air 的设计和工程的巨大飞跃是通过苹果的创新实现的,尤其是苹果硅芯片。iPhone Air 作为 iPhone 家族的新成员,提供了用户喜爱的先进功能,如专业性能、多功能的 48MP Fusion 摄像头系统、创新的 Center Stage 前置摄像头和出色的全天候电池续航,所有这些都集成在一个突破性的设计中,让人感觉就像是握着未来。
https://news.ycombinator.com/item?id=45186015
https://joshfonseca.com/blogs/animal-crossing-llm
这篇文章讲述了作者如何将《动物森友会》这款 2001 年的 GameCube 游戏与现代的云端 AI 对话系统相结合,让游戏中的对话变得更加生动和现代化。作者首先遇到了与游戏通信的难题,因为 GameCube 没有互联网连接,且设计为离线游戏。幸运的是,他发现了一个由《动物森友会》反编译社区完成的巨大努力,这使得他能够直接阅读 C 代码而不是 PowerPC 汇编语言。
作者通过研究反编译的代码,找到了对话系统的核心文件 m_message.c,并成功地劫持了函数调用,将游戏中的文本替换为自己的字符串。但是,如何实时地将外部 AI 的数据导入游戏成为了新的挑战。作者最初考虑添加网络调用,但这需要为 GameCube 从头开始编写整个网络栈,这显然是不可行的。后来,他尝试使用 Dolphin 模拟器的特性将数据写入主机文件,但未能成功。
最终,作者采用了一种经典的游戏修改技术:通过共享内存进行进程间通信(IPC)。他将 GameCube 的 RAM 中的特定部分作为“邮箱”,外部的 Python 脚本可以直接写入该内存地址,游戏可以从中读取数据。为了实现这一点,作者需要找到活跃对话文本和当前说话者名称的确切稳定内存地址,这需要他成为一个“内存考古学家”。
作者编写了自己的内存扫描器 Python 脚本,通过与村民对话、冻结模拟器、扫描 RAM、交叉引用等步骤,最终确定了关键地址:0x8129A3EA 用于说话者名称,0x81298360 用于对话缓冲区。这样,他就可以可靠地读取谁在说话,并且更重要的是,将数据写回到对话框中。
尽管 GameCube 有官方的宽带适配器(BBA),但《动物森友会》没有网络原语、套接字或任何游戏层协议来使用它。使用 BBA 将需要构建一个小型网络栈并修改游戏以调用它,这涉及到在代码库中从未预期网络存在的复杂操作。
作者选择了 RAM 邮箱方案,因为它是确定性的,不需要任何内核/驱动工作,并且完全在模拟器边界内,不需要二进制网络栈。尽管如此,BBA shim 也是完全可能的,并且是一个有趣的未来项目,可以通过 Swiss + 自制软件在真实硬件上实现。
最后,作者面临了一个新的挑战:游戏不识别纯文本,而是使用自己的编码语言,充满了控制代码。这些控制代码控制着文本颜色、暂停、音效、角色情感,甚至是对话的结束。如果不发送
https://news.ycombinator.com/item?id=45192655
https://sethpurcell.com/writing/screens-in-museums/
这篇文章是一位家长对费城富兰克林研究所(The Franklin Institute,简称 TFI)的访问体验的反思。作者回忆了自己在 80 年代作为孩子时对 TFI 的深刻印象,那里的互动展览让他充满了好奇和探索的乐趣。然而,当他带着六岁的儿子重访 TFI 时,却发现展览中充斥着屏幕和视频游戏,这让他感到失望。
文章指出,TFI 的一些展览如“设计你自己的火箭”等,只是触摸屏上的简单游戏,缺乏真正的互动和教育价值。尽管周围有一些与太空相关的文物和宇航服展示,但这些展品只能远观,不能触摸或操作。作者认为,博物馆应该提供真实的体验,让参观者用自己的感官去感受和学习,而不是通过屏幕。
文章还提到,TFI 的一些物理互动展览,如四层楼高的傅科摆和体育区展览,虽然被挤在不太显眼的地方,但仍然吸引了很多孩子。这些展览不需要阅读任何说明,就能让孩子们体验到科学的魅力。然而,作者发现一些物理展览因为维护不善而损坏或无法使用,这让他感到沮丧,因为他们为这次参观支付了近 90 美元。
作者批评博物馆将预算和空间用于屏幕展览,而不是真正的、有形的、互动的科学展览。他认为,博物馆应该抵制数字化垃圾的潮流,为孩子们提供远离屏幕、连接现实世界的机会。文章最后呼吁 TFI 和其他博物馆应该淘汰所有的触摸屏展览,将资源重新投入到能够激发孩子们好奇心和探索欲的实体互动展览中。
https://news.ycombinator.com/item?id=45199931
https://www.greeneuropeanjournal.eu/made-for-people-not-cars-reclaiming-european-cities/
在欧洲,随着乘用车数量的增加,城市面临着空气污染、交通事故和公共空间丧失的挑战。西班牙的蓬特韦德拉市通过优先考虑居民而非汽车的城市规划,成功克服了这些挑战,超越了国家空气质量标准,创造了更安全的街道。该市市长米格尔·安索·费尔南德斯·洛雷斯认为,关键在于一个不完全禁止私家车的城市模型。
蓬特韦德拉市在 1999 年市长洛雷斯上任后,开始实施超越车辆管制的政策,目标是为民众恢复公共空间。洛雷斯认为,当我们重新夺回公共空间并确保普遍可及性时,人们就有了自主权。他所在的政党是加利西亚民族主义集团(Bloque Nacionalista Galego, BNG),目前在蓬特韦德拉市的长期执政在当地是一个例外。
2022 年 12 月,西班牙政府批准了一项皇家法令,要求所有超过 5 万居民的市镇必须有一个低排放区(LEZ)。为了改善公民的空气质量并减少碳排放,法令建议采取措施,如根据环保标签限制污染更严重的车辆进入,并引入交通限制区域收取入场费。
欧盟已经启动了多项倡议,鼓励城市变得更清洁、更健康。其中最引人注目的是绿色城市协议,邀请 2 万居民以上的城镇承诺在空气质量、水质、噪音减少、生物多样性保护以及向循环经济迈进等方面进行改善。气候中性和智能城市欧盟使命支持欧盟 100 个城市和与地平线欧洲计划相关的 12 个国家的城市,目标是开发一个试点项目,到 2030 年实现气候中立。这些城市测试的解决方案和模型可以作为榜样,帮助所有欧洲城市到 2050 年跟进,届时欧盟承诺实现净零温室气体排放。
尽管有自上而下和自下而上的倡议,欧洲大陆的汽车数量仍在增长:2024 年,欧盟的汽车数量超过了 2.59 亿辆,比 2019 年增长了 5.9%。汽车拥有率最高的国家是意大利(每千居民 701 辆),其次是卢森堡(670 辆)和芬兰(666 辆)。西班牙的比率是 544(尽管这是基于临时数据),低于欧盟平均的 576。
与此同时,在蓬特韦德拉,近年来汽车数量一直在减少。该市还引入了限制汽车流通目的和调整允许流通时间的法规。市长提到,他任内将行人优先于车辆的最佳例子之一是蓬特韦德拉一个主要广场的转变。普拉扎·德·埃斯帕尼亚广场现在是一个热闹的中心,任何夏日都有步行者和圣詹姆斯之路的朝圣者聚集。洛雷斯指出,1990 年代末,每天约有 26,000 辆汽车经过这个广场。令人惊讶的是,这些车辆中的许多只是试图到达城外的目的地,如 30 公里外的圣克森霍海滩,以及市长的出生地。但现在,整个城市都不允许过境交通和绕圈寻找停车位,洛雷斯表示,每天只有 800 辆汽车到达广场。他解释说,禁止过境交通并将其转移到环城路的决定,导致了 40% 的减少。
https://news.ycombinator.com/item?id=45195520
https://spectrum.ieee.org/e-paper-display-modos
Modos 公司推出了一款刷新率高达 75 赫兹的电子纸显示屏,与基本的液晶显示屏相媲美。这款名为 Modos Paper Monitor 和 Dev Kit 的开发套件结合了标准的电子纸面板和开源的基于 FPGA 的显示控制器,现在正在 Crowd Supply 上进行众筹。该套件为爱好者和开发者提供了一个完整的包(包括电子纸显示屏、显示驱动器和硬件适配器),并且可以用于尝试不同的电子纸显示屏。
大多数电子纸面板的刷新率在 10 赫兹或更低,而 Modos 能够在 13 英寸的电子纸面板上达到 75 赫兹的刷新率,分辨率为 1600×1200。提高刷新率还减少了延迟,这对于需要低延迟的应用场景,如电脑或平板显示屏,是一个关键点。Modos 的 75 赫兹刷新率是电子纸显示屏中最高的,但可能不是最关键的创新。Modos 的秘密武器是 Caster,一个开源的电子纸显示屏控制器,兼容多种电子纸面板。Caster 与传统的电子纸控制器不同,它对每个像素进行单独管理,而不是整个面板。
Modos 还提供了一个用 C 语言编写的应用程序编程接口(API),允许应用程序动态选择显示驱动模式。代码和 Caster、Glider 以及 API 的原理图都是开源的,并可在 GitHub 上找到。Modos 的众筹活动预计将在 9 月 18 日结束,预计订单将在明年 1 月发货。
https://news.ycombinator.com/item?id=45185756
https://security.apple.com/blog/memory-integrity-enforcement/
苹果安全研究团队在其博客上宣布了一项名为“Memory Integrity Enforcement(MIE)”的重大创新,这是苹果设备内存安全保护的一项突破性进展。MIE 结合了苹果硅硬件的独特优势和先进的操作系统安全功能,为苹果设备提供了行业首创的、始终开启的内存安全保护,且不影响设备性能。
苹果表示,iPhone 从未遭受过成功的、大规模的恶意软件攻击,但在野外观察到的 iOS 系统级攻击主要来自雇佣间谍软件,这类软件比普通网络犯罪活动和消费者恶意软件要复杂得多,通常与国家行为者有关,利用成本高达数百万美元的漏洞链来攻击特定个体及其设备。尽管大多数用户永远不会成为此类攻击的目标,但这些漏洞链展示了当时最昂贵、最复杂、最先进的攻击能力,因此值得研究,以保护 iPhone 用户免受最复杂威胁的侵害。
苹果通过使用安全语言开发和大规模部署缓解措施来提高内存安全。例如,苹果创建了 Swift,这是一种易于使用、内存安全的编程语言,用于新代码和目标组件的重写。在 iOS 15 中,苹果引入了 kalloc_type,这是一个安全的内核内存分配器,随后在 iOS 17 中引入了用户级对应物 xzone malloc。这些安全的分配器利用对分配类型或目的的了解,以一种使大多数内存损坏漏洞难以利用的方式组织内存。
2018 年,苹果在 A12 Bionic 芯片中首次部署了指针认证码(PAC),以保护内存损坏情况下的代码流完整性。PAC 的成功证明了软硬件安全深度集成是解决一些最大安全挑战的关键。在 PAC 的基础上,苹果开始设计和评估工作,以找到将复杂的内存安全功能直接构建到苹果硅中最有效的方法。
2019 年,Arm 发布了内存标记扩展(MTE)规范,作为硬件帮助发现内存损坏错误的一种工具。MTE 本质上是一个内存标记和标记检查系统,每个内存分配都使用一个秘密进行标记;硬件保证只有在请求包含正确的秘密时才授予对内存的访问请求。如果秘密不匹配,应用程序崩溃,事件被记录。这允许开发者立即识别内存损坏错误。
苹果进行了深入的评估和研究,以确定 MTE 是否符合苹果对硬件辅助内存安全的目标。分析发现,当作为实时防御措施使用时,原始 Arm MTE 版本存在弱点,苹果与 Arm 合作解决了这些问题,并在 2022 年发布了新的增强型内存标记扩展(EMTE)规范。更重要的是,分析表明,尽管 EMTE 在规范上有很大的潜力,但通过深度的硬件和操作系统支持的严格实施,可以产生突破性的新安全机制。
MIE 建立在苹果安全内存分配器的基础上,结合了同步模式下的 EMTE,并得到了广泛的标签保密性执行策略的支持。MIE 内置于苹果硬件和软件中,所有型号的 iPhone 17 和 iPhone Air 都提供了无与伦比的、始终开启的内存安全保护,同时保持了用户期望的功率和性能。此外,苹果还在 Xcode 中向所有开发者提供了 EMTE,作为今年早些时候在 WWDC 上发布的新增强安全功能的一部分。
https://news.ycombinator.com/item?id=45186265
在过去 20 年中,一类名为 CD40 激动剂抗体的抗癌药物在动物模型中显示出激活免疫系统杀死癌细胞的潜力,但在临床试验中对患者影响有限,并引发严重的全身性炎症反应、血小板减少和肝毒性等不良反应。2018 年,洛克菲勒大学的 Jeffrey V. Ravetch 实验室展示了如何通过工程改造增强 CD40 激动剂抗体,以提高其效果并限制严重副作用。这项研究发表在《Cancer Cell》杂志上,涉及 12 名患者,其中 6 名患者肿瘤缩小,包括 2 名完全缓解的患者。
这种新药物 2141-V11 是一种 CD40 抗体,能够紧密结合人类 CD40 受体,并经过改造以增强其通过特定 Fc 受体的交联能力,其抗肿瘤免疫反应能力是普通抗体的 10 倍。研究者改变了给药方式,从传统的静脉注射改为直接注射到肿瘤中,结果只观察到轻微的毒性。
在这项 1 期临床试验中,12 名患者包括多种转移性癌症类型,如黑色素瘤、肾细胞癌和不同类型的乳腺癌。这些患者中没有人遭受其他 CD40 药物的严重副作用,其中 6 人经历了全身性肿瘤缩小,2 人完全缓解。这两位完全缓解的患者分别患有黑色素瘤和乳腺癌,这两种癌症都以侵袭性和复发性著称。
研究还发现,即使在未注射药物的肿瘤中也发现了三级淋巴结构(TLS),这与改善预后和对免疫疗法的反应有关。TLS 的存在表明一旦免疫系统识别出癌细胞,免疫细胞就会迁移到未注射的肿瘤部位。
这些发现激发了 Ravetch 实验室目前正在与纪念斯隆凯特琳癌症中心和杜克大学的研究人员合作进行的其他临床试验。这些试验目前处于 1 期或 2 期研究阶段,正在研究 2141-V11 对特定癌症的影响,包括膀胱癌、前列腺癌和胶质母细胞瘤,这些都是侵袭性和难以治疗的癌症。这些研究将有助于阐明为什么一些患者对 2141-V11 有反应,而其他人则没有,并探索如何改变这一现状。例如,临床试验中癌症消失的两名患者开始研究时 T 细胞克隆性高,这是关键的癌细胞杀手。
https://news.ycombinator.com/item?id=45188945
https://supabase.com/blog/orioledb-patent-free
Supabase 公司宣布,他们已经完成了对 OrioleDB 的收购,并清理了法律结构和资产转移。现在他们完全拥有美国专利 10,325,030(“持久多版本 B+ 树”)。Supabase 明确表示,将根据 OrioleDB 许可证,向所有 OrioleDB 用户(包括专有分支)提供该美国专利的非独家许可。
OrioleDB 是 Postgres 的一个存储扩展,利用 PostgreSQL 的可插拔存储系统,旨在成为 PostgreSQL 现有存储引擎的替代品。它旨在利用现代硬件和云基础设施,为 Postgres 工作负载提供更好的性能和可扩展性。OrioleDB 的基准测试显示,其速度比 Heap 快约 5.5 倍(TPC-C,500 个仓库)。
Supabase 与 OrioleDB 团队合作,开发一个高性能的 Postgres 存储引擎,并以 Postgres 优先的心态推动技术的发展。OrioleDB 将继续作为一个开源项目,采用开放贡献模式。无论你是在生产中运行 Postgres,在其上构建工具,还是对存储引擎感兴趣,都欢迎你贡献问题、测试、文档和代码。
OrioleDB 的许可证基于 PostgreSQL 许可证。为了加强知识产权兼容性,Supabase 向所有 OrioleDB 用户(包括专有分支)提供美国专利的非独家许可,以符合 OrioleDB 许可证。该专利旨在作为保护开源免受敌对知识产权索赔的盾牌,而不是作为攻击的武器。
OrioleDB 的目标不是与 Postgres 竞争,而是使 Postgres 更好。他们相信 OrioleDB 的长期归宿应该是 Postgres 内部。他们的最终目标是上游必要的内容,以便 OrioleDB 最终可以成为 Postgres 源代码树的一部分,并与 Postgres 的其余部分一起公开开发和维护。
接下来的计划包括:继续合作,为存储引擎灵活性所需的补丁,目标是在标准 Postgres 上运行;针对生产工作负载的性能和稳定性,持续进行基准测试、修复和功能更新;以及提供更清晰的文档和指南,以便团队能够快速评估和采用 OrioleDB。
如何参与:分享基准测试、迁移笔记和生产反馈;加入 Postgres 邮件列表中关于可插拔存储和 Postgres 补丁工作的技术支持讨论;尝试 OrioleDB,提出问题或 PR。
https://news.ycombinator.com/item?id=45196173
https://platform.openai.com/docs/guides/developer-mode
在当今数字化时代,网络安全已成为全球关注的焦点。随着网络攻击的日益频繁和复杂,保护个人和企业数据安全变得至关重要。本文将探讨网络安全的重要性,分析当前面临的主要威胁,并提供一些实用的防护措施。
首先,网络安全的重要性不容忽视。网络攻击可能导致数据泄露、服务中断甚至经济损失。因此,无论是个人还是企业,都需要重视网络安全,采取有效措施保护自身利益。
其次,当前网络安全面临的主要威胁包括恶意软件、钓鱼攻击、DDoS 攻击等。这些攻击手段不断演变,给网络安全防护带来挑战。了解这些威胁的特点和危害,有助于我们采取针对性的防护措施。
最后,本文提供了一些实用的网络安全防护措施。包括使用强密码、定期更新软件、安装防火墙和杀毒软件等。同时,提高网络安全意识,警惕钓鱼邮件和可疑链接,也是预防网络攻击的有效手段。
总之,网络安全是我们每个人的责任。通过采取适当的防护措施,我们可以降低网络攻击的风险,保护自己的数据安全。让我们一起努力,共同构建一个安全、健康的网络环境。
https://news.ycombinator.com/item?id=45199713
https://zettelkasten.de/posts/the-scam-called-you-dont-have-to-remember-anything/
这篇文章由 Sascha 于 2025 年 9 月 9 日发表,讨论了一种流行的观念,即“你不需要记住任何东西”,并指出这种观念其实是一种骗局。文章认为,搜索引擎、旧的笔记应用和人工智能等工具声称记忆的努力已经过时,但实际上,要有效地利用这些工具,人们需要具备扎实的基础教育和相关领域的先验知识。
文章引用了 Manfred Spitzer 的观点,强调了在网络中找到所需信息需要先验知识和基础教育。随着文化的发展,人们越来越倾向于直接上网搜索思考过程的结果,而不是参与学习,这导致我们越来越少地利用互联网的优势,因为我们的先验知识越来越少,我们失去了评估信息质量并将其转化为实际知识的能力。
Rowlands 等人提到所谓的“数字原住民”缺乏评估互联网上找到的信息的批判性和分析性思维技能。我们需要一个完全发展的心理地图,以便从互联网搜索结果中获得价值。简而言之,你需要一个经过训练的大脑才能真正从互联网中受益。
文章指出,这些工具所宣传的好处伴随着一个特定的隐藏成本:你的思考能力。数字原住民将自己置于一个情境中,评估信息的激励结构大大减少。他们使用表面层次的指标,如果信息符合请求,这种行为有一些明显的效果(事后看来):与材料的参与度降低,减少了整个行动线的情感权重。没有情感,你就不会思考,而是尝试高效地模仿思考。
文章通过一个例子来说明问题:作者让 ChatGPT 设计一个针对健康寿命和健身的最佳每周训练计划。ChatGPT 提供了一个详细的训练计划,但作者质疑,如果没有足够的背景知识,你怎么知道这个计划是否好呢?如果你不能立即自信地回答相关问题,那么你就缺乏足够的背景知识。
文章最后强调,在知识工作中,瓶颈不是信息的外部可用性,而是内部处理能力,这取决于你的先天能力和大脑的训练状态。因此,回到最初的起点,“你不需要记住任何东西”的说法是错误的。相反,你必须记住一切,只有这样你才能执行必要的认知任务,进行有意义的知识工作。你训练大脑的方式就是大脑能够执行的方式。简单的工具如间隔重复可以让你的大脑执行简单任务,而复杂的工具如 Zettelkasten 可以帮助你的大脑执行更复杂的任务。
https://news.ycombinator.com/item?id=45198420
2025-09-10 06:58:51
- Chat Control:欧盟重新提出的立法提案要求扫描用户通信和文件以检测“滥用材料”,引发隐私和加密技术担忧,公众被呼吁反对。
- 新墨西哥州全民儿童保育:新墨西哥州将提供免费全民儿童保育服务,覆盖所有居民,旨在减轻经济压力并促进社会公平。
- iPhone傻瓜手机:通过限制应用使用,将iPhone转变为“傻瓜手机”,显著减少屏幕时间,提升生产力。
- 互联网广告问题:广告浪费时间、恶化网络体验,建议用户直接付费支持内容创作者,并介绍广告拦截器的使用。
- NPM攻击事件:一次针对NPM的供应链攻击因及时发现未造成大规模损害,强调供应链安全的重要性。
- 液态玻璃效果实现:通过CSS和SVG实现类似液态玻璃的折射效果,展示了技术实现的细节和应用。
- 美国ICE使用假基站:ICE使用假基站监控手机通信,引发隐私和法律争议,EFF发布工具检测信号模拟器。
- Claude创建文件功能:Claude.ai现在可以创建和编辑文件,简化项目流程,但需注意数据隐私和模型稳定性问题。
- 美国就业数据修正:美国年度就业增长数据大幅低于预期,可能引发经济政策调整和对未来经济走势的担忧。
https://www.privacyguides.org/articles/2025/09/08/chat-control-must-be-stopped/
Chat Control 是一项立法提案,要求所有服务提供商(包括短信、电子邮件、社交媒体、云存储、托管服务等)扫描所有通信和文件(包括端到端加密的),以检测政府认为的“滥用材料”。这一提案始于 2021 年欧洲议会批准对电子隐私指令的豁免,随后在 2023 年被拒绝,但现在又重新被提出。Chat Control 不会有效,不可靠,会扩大范围,危及每个人,包括儿童。
Chat Control 将破坏端到端加密,使所有文件和通信暴露给执法部门,最终也暴露给犯罪分子,导致数据泄露和腐败。这将破坏对弱势群体、受害者、告密者、记者、活动家和其他人敏感文件和通信的保护。一旦大规模监控系统建立,当局可以决定增加更多标准,如搜索所有通信中涉及药物使用、抗议参与、政治异见或对领导人的负面评论。欧洲刑警组织(Europol)已经呼吁扩大该计划。
Chat Control 的提案名为儿童性虐待法规(CSAR),尽管名字看似关心儿童,但实际上并不会帮助打击儿童虐待,甚至可能恶化情况。CSAR 提案最早可能在下个月实施,如果我们不阻止它。Chat Control 不会在欧洲以外的地方有效,但它将以某种方式影响欧洲内外的每个人。无论身在何处,都应关注并采取行动反击。欧洲人需要在 9 月 12 日之前联系他们的欧洲议会议员(MEPs),告诉他们反对 Chat Control。其他国家的人也应了解这一问题,并采取行动保护自己的隐私和人权。
https://news.ycombinator.com/item?id=45173277
https://mistral.ai/news/mistral-ai-raises-1-7-b-to-accelerate-technological-progress-with-ai
Mistral AI 公司宣布完成了 1.7 亿欧元的 C 轮融资,估值达到 11.7 亿欧元。这笔资金将用于加速人工智能技术进步,解决战略性行业面临的最关键和复杂的技术挑战。此轮融资由半导体设备制造商 ASML Holding NV(ASML)领投。ASML 首席执行官 Christophe Fouquet 表示,与 Mistral AI 的合作旨在通过人工智能创新产品和解决方案为 ASML 客户带来明显好处,并为未来机会提供联合研究的潜力。现有投资者 DST Global、Andreessen Horowitz、Bpifrance、General Catalyst、Index Ventures、Lightspeed 和 NVIDIA 也参与了此轮融资。
在过去两年中,Mistral AI 通过尖端研究和与企业和工业领导者的战略合作伙伴关系推进了人工智能的发展。公司将继续开发定制的去中心化前沿人工智能解决方案,以解决最复杂的工程和工业问题,通过最先进的模型、定制解决方案和高性能计算基础设施,为企业、公共部门和行业提供竞争优势。此轮融资也重申了公司的独立性。
Mistral AI 首席执行官 Arthur Mensch 表示,这笔投资将两个在同一价值链中运营的技术领导者聚集在一起,公司有雄心帮助 ASML 及其众多合作伙伴通过人工智能解决当前和未来的工程挑战,并最终推进整个半导体和人工智能价值链的发展。
https://news.ycombinator.com/item?id=45178041
新墨西哥州成为美国第一个提供全民儿童保育的州。州长米歇尔·卢扬·格里沙姆和新墨西哥州早期儿童教育及护理部门于 2025 年 9 月 8 日宣布,从 11 月 1 日起,新墨西哥州将保证所有居民都能获得免费的全民儿童保育服务。这项开创性的新举措将通过取消州儿童保育援助计划中的收入资格要求,并继续免除家庭共同支付费用,使所有新墨西哥州居民无论收入如何都能获得儿童保育服务。
州长卢扬·格里沙姆表示,儿童保育对家庭稳定、劳动力参与和新墨西哥州未来的繁荣至关重要。通过投资全民儿童保育,新墨西哥州为家庭提供了经济救济,支持了经济发展,并确保每个孩子都有机会成长和繁荣。自 2019 年创建早期儿童教育及护理部门以来,新墨西哥州已将无成本儿童保育服务扩展到收入在联邦贫困线 400% 以下的家庭,减轻了数万家庭的经济压力。
随着周一的宣布,全民儿童保育将扩展到全州每个家庭,无论收入如何,平均每年每个孩子家庭可节省 12000 美元。新墨西哥州还采取决定性行动,建设全州婴幼儿保育供应:建立 1270 万美元的低息贷款基金,用于建设、扩建和翻新儿童保育设施,并在 2027 财年预算中额外请求 2000 万美元;重点增长婴幼儿、低收入家庭和有特殊需要儿童的护理;与雇主和学区合作,为工作家庭扩大儿童保育选择;启动全州招募有执照和注册的家庭提供者的活动。
为了支持提供者,报销率将上升以反映护理的真实成本。承诺支付入门级员工每小时至少 18 美元,并提供每周五天、每天 10 小时护理的计划,将获得激励率。新墨西哥州估计需要额外 5000 名早期儿童专业人员才能完全实现全民系统。通过提供全民访问和改善早期儿童工作人员的薪酬,新墨西哥州正在减轻家庭的经济压力,加强经济,并帮助每个孩子在安全、有营养的环境中学习。这是今天建立公平和未来繁荣的投资。有关家庭和提供者如何获得全民儿童保育福利的更多信息,请访问 ECECD 全民儿童保育资源页面。
https://news.ycombinator.com/item?id=45182372
Stepan Parunashvili 在 2025 年 9 月通过 Twitter 分享了他将 iPhone 转变为“傻瓜手机”的经历。他使用 Apple Configurator 对 iPhone 进行了设置,限制只能访问特定的应用程序和网站,从而显著减少了屏幕使用时间,每天节省约 2 小时。他分享了这样做的动机、失败尝试、Apple Configurator 的优势和劣势,以及两个月来的观察结果。
动机: 人们每天在手机上花费 4 小时或更多时间,这相当于每 20 年失去 5 年的清醒时间。Stepan 怀念 2000 年代和老诺基亚手机,但他不能放弃 iPhone 提供的实用功能,如 Google Maps、Spotify、Uber、Waymo、Kindle、Audible、ChatGPT、Claude、WhatsApp 和 Wallet 等。
失败尝试: Stepan 尝试过自我控制、使用苹果的屏幕使用时间功能和更换手机,但都未能解决问题。他意识到需要一种游击战术来对抗社交媒体公司精心设计的诱惑。
Apple Configurator 的优势:
Apple Configurator 的劣势:
两个月的观察: Stepan 感到手机更像是一个工具,他没有想要移除限制的冲动。他发现 ChatGPT 和 Claude 非常有用,可以提供无干扰的信息摘要。他现在每天的手机使用时间减少到大约 2 小时,其中 1 小时用于生产性应用和通信应用。
存在的问题: Stepan 面临的唯一问题是如何处理“半重要”的应用,如电子邮件。他需要访问电子邮件并启用通知,以免错过重要信息,但 90% 的邮件并不重要。他不确定如何解决这类应用的问题。
如何操作: Stepan 提供了一个指南,说明如何使用 Apple Configurator 将 iPhone 转变为傻瓜手机。这需要 2 小时的初始投入和大约 2 周的微调,以确保只有真正需要的应用程序和网站被允许访问。步骤包括恢复出厂设置、安装 Apple Configurator、准备 iPhone 等。
https://news.ycombinator.com/item?id=45171200
https://maurycyz.com/misc/ads/
这篇文章讨论了互联网广告的问题,并提出了对广告拦截器的看法。作者认为互联网广告浪费时间,使网络环境恶化,并且广告收入微薄,导致网站为了生存不得不充满广告。作者建议读者直接向他们喜欢的内容创作者支付金钱,因为这样比观看广告更有帮助。文章还提到,大多数人将广告视为互联网体验的一部分,因此作者在自己的网站上添加了一条消息,提醒用户如果没有检测到广告拦截器,可以考虑使用像 uBlock Origin 这样的扩展程序来节省时间和带宽。文章详细介绍了这条消息是如何通过 HTML、JavaScript 和 CSS 实现的,包括消息的显示、隐藏和关闭功能。最后,作者感谢了提供原始想法的 Stefan Bohacek,并提到了对消息的一些修改,以减少误报并确保消息只显示一次。
https://news.ycombinator.com/item?id=45176206
https://xeiaso.net/notes/2025/we-dodged-a-bullet/
2025 年 9 月 9 日,一篇名为“We all dodged a bullet”的博客文章发表,讨论了一起针对 NPM(Node Package Manager)的攻击事件。文章指出,这次攻击本可能造成更严重的后果,但实际上只是修改了通过在线钱包(如 MetaMask)进行的加密货币支付的目的地地址。
文章作者 Cadey 强调,这次攻击始于一封精心设计的钓鱼邮件,邮件中个性化地提到了用户的 NPM 用户名,要求用户出于安全原因更改两步验证凭证,并设置了一个紧迫的截止日期。邮件链接到了一个域名为 npmjs.help 的网站,用于获取用户的两步验证凭证,并发布带有漏洞代码的新包。
作者对这次攻击表示了一种“病态的欣赏”,认为这是一个“非常好的攻击”。文章提到,如果攻击者通过这次攻击传播了 API 密钥窃取器或其他更危险的恶意软件,后果将不堪设想。幸运的是,这次攻击仅限于加密货币拦截,没有涉及到更广泛的安全问题。
文章还提到,攻击者选择了广泛使用的通用包而不是特定于 Web 3 的包,可能是为了减少 Web 3 生态系统的注意。作者认为,这次攻击显然是针对 Web 3 生态系统的,因为 Web 3 工具的用户习惯于使用浏览器进行支付。
最后,文章提醒读者,每个依赖项都可能是恶意的,我们应该花时间了解程序的整个依赖树,但在实际工作中往往没有这样的时间。文章强调,尽管如此,我们仍然需要按时发布软件。
https://news.ycombinator.com/item?id=45183029
https://kube.io/blog/liquid-glass-css-svg/
2025 年 6 月,苹果公司在其全球开发者大会(WWDC)上推出了液态玻璃效果,这是一种令人惊叹的用户界面效果,使得界面元素看起来像是用弯曲的、折射的玻璃制成的。本文将通过 CSS、SVG 位移图和基于物理的折射计算,手把手教你如何在网页上复现类似的液态玻璃效果。文章不会追求像素级的完美匹配,而是近似地重现核心的折射效果和高光,作为一个你可以扩展的概念验证。
折射是光从一种材料进入另一种材料时(比如从空气进入玻璃)改变方向的现象。这种弯曲是因为光在不同材料中的传播速度不同。入射光和折射光的角度关系由斯涅尔-笛卡尔定律描述:n1sin(θ1) = n2sin(θ2),其中 n1 和 n2 分别是两种介质的折射率,θ1 是入射角,θ2 是折射角。
为了简化问题,本文假设环境介质的折射率为 1(空气),使用折射率大于 1 的材料,最好是 1.5(玻璃)。只考虑一次折射事件,忽略后续的退出或第二次折射。入射光线总是垂直于背景平面(无透视),物体是平行于背景的 2D 形状(无透视),物体和背景之间没有间隙(只有一次折射)。文章中只讨论圆形形状,扩展到其他形状需要预先计算。
要创建玻璃效果,需要定义虚拟玻璃表面的形状,这类似于描述透镜或弯曲玻璃面板的横截面。玻璃表面由一个数学函数描述,该函数定义了从边缘到边框末端的任何点的玻璃厚度。从高度可以计算出入射角,即入射光线与该点表面法线之间的角度。法线简单地是高度函数在该点的导数,旋转-90 度。
文章将使用四种不同的高度函数来展示表面形状对折射效果的影响:凸圆形、凸 Squircle、凹形和 Lip 形。通过互动的光线追踪模拟,可以看到不同表面类型下光线的行为差异,帮助我们理解数学选择的实际影响。模拟显示,凹面将光线推出玻璃之外;凸面则将它们保持在内部。我们希望避免外部位移,因为这需要在物体之外采样背景。苹果的液态玻璃似乎偏爱凸面轮廓(除了稍后介绍的 Switch 组件)。
接下来,文章将计算整个玻璃表面的位移矢量场。矢量场描述了在玻璃表面的每个位置,光线与原始位置相比被位移了多少,以及位移的方向。在圆形中,这种位移总是垂直于边缘的。由于这种位移在边框周围是对称的,我们可以预先计算一系列距离边框的距离上的位移,在一个半径上进行。这样可以在二维(x 和 z 轴)上预先计算所有内容,然后围绕 z 轴旋转这些预先计算的位移。
https://news.ycombinator.com/item?id=45174297
美国移民和海关执法局(ICE)在其驱逐行动中使用各种监视技术,包括假基站来监控人们的手机。这些设备被称为“黄貂鱼”,能够模拟手机信号塔,迫使手机连接到它们,从而使 ICE 能够追踪目标的位置并拦截通信。这种做法引发了隐私和法律问题,因为它可能侵犯了美国宪法第四修正案所保障的公民免受不合理搜查和扣押的权利。此外,这些假基站的使用可能会干扰合法的紧急服务通信,如 911 呼叫。批评者指出,这种技术的使用缺乏透明度和适当的监管,可能导致滥用和对无辜者的不当监视。
https://news.ycombinator.com/item?id=45184368
https://www.anthropic.com/news/create-files
Claude.ai 现在可以直接在 Claude.ai 和桌面应用中创建和编辑 Excel 电子表格、文档、PowerPoint 幻灯片和 PDF 文件。这项新功能改变了与 Claude 的工作方式,用户不再仅能获得文本回复或应用内生成物,而是可以描述所需内容,上传相关数据,并得到可直接使用的文件。
文件创建功能目前作为预览版向 Max、Team 和 Enterprise 计划用户开放,Pro 用户将在接下来的几周内获得访问权限。通过 Claude,用户可以基于上传的数据、研究信息或从头开始创建实际文件。例如,将原始数据转换为包含清洁数据、统计分析、图表和解释重要内容的书面见解的精炼输出;根据描述创建包含工作公式和多个工作表的电子表格;以及跨格式工作,如将 PDF 报告转换为 PowerPoint 幻灯片,将会议笔记转换为格式化文档,或将发票整理成带有计算的电子表格。
这项功能使得通常需要编程技能、统计知识和数小时努力的项目,现在只需通过对话即可在几分钟内完成。Claude 的计算机功能在过去一年中从回答问题发展到完成整个项目,现在使这种能力更加易于访问。Claude 被赋予了访问私有计算机环境的权限,可以编写代码和运行程序以生成所需的文件和分析。
要开始创建文件,用户需要在设置中启用“升级的文件创建和分析”功能,上传相关文件或描述所需内容,通过聊天指导 Claude 完成工作,然后下载完成的文件或直接保存到 Google Drive。用户可以从简单的数据清理或简单报告开始,随着对 Claude 处理文件方式的熟悉,逐步处理更复杂的项目,如财务模型。需要注意的是,这个功能使 Claude 能够访问互联网以创建和分析文件,可能会使数据面临风险,因此在使用此功能时需要密切监控聊天。
https://news.ycombinator.com/item?id=45182381
https://www.barrons.com/articles/jobs-report-revisions-bls-fed-3d88c77b?st=u8mw75
根据最新的报告,美国截至今年三月的年度就业增长数据大幅低于之前的估计,减少了约 911,000 个工作岗位。这是几十年来年度招聘估计最大的修正。尽管如此,这一修正可能不会促使美联储在下周进行大幅降息。
近期的就业报告显示,市场对低迷的就业增长感到担忧,但由于移民政策的不确定性,情况可能没有看起来那么糟糕。虽然市场在一开始对弱于预期的就业报告反应积极,认为这可能导致美联储采取更激进的降息措施,但随后投资者开始重新评估,这对股市产生了复杂的影响。
上周,标普 500 指数基本持平,尽管在初期因低就业数据而上涨,但随后由于对劳动市场前景的担忧,股市出现了回落。数据显示,从六月到八月,平均每月仅新增 29,000 个工作岗位,这进一步引发了市场对未来经济走势的讨论。
综合来看,虽然就业增长数据不如预期,市场和美联储的反应仍然存在较大的不确定性,投资者对未来的利率政策和经济健康状况的看法可能会继续影响市场动态。
https://news.ycombinator.com/item?id=45182111
https://news.ycombinator.com/item?id=45178404
As the article mentions, privatised water companies have built no new reservoir capacity and relied on drawing from rivers and other sources.
What the article doesn’t mention is that pre-privatisation a new reservoir was built every year up to about 1960 and then every few years until privatisation in 1992.
So we are about 30 years behind in adding capacity to the system. This combined with the inadequate levels of investment in the system leading to enormous wastage, is the answer.
Water should never have been privatised. At least not without a framework for a national strategy for water. I suspect that wasn’t done because it would have made water companies and unattractive source of profit.
sandbags
正如文章所提到的,私有化的水务公司没有建造任何新的水库容量,而是依赖从河流和其他水源取水。
但文章没有提及的是,在私有化之前,每年都会新建一个水库,这种情况一直持续到大约1960年,之后每隔几年也会建一个,直到1992年私有化为止。
因此,我们在增加系统容量方面落后了大约30年。再加上对水务系统投资不足,导致了巨大的浪费,这就是问题所在。
水是绝不应该被私有化的。至少,在缺乏国家水资源战略框架的情况下不该私有化。我之所以怀疑他们没有这么做,是因为这样一来,水务公司就不再是一个有吸引力的利润来源了。
https://news.ycombinator.com/item?id=45177377
I am extremely insulated from ads online and have been for about a decade. Once in a while I have to browse on a device that does not have an ad blocker or most of the times does not even let you install one. Seeing a website that is SEoptimised and heavily ad supported feels like walking into a crack den. That this is the normal experience for the vast majority of users is sad.
ksynwa
我已经在网上与广告绝缘了大约十年。偶尔我不得不在没有广告拦截器的设备上上网,而大多数时候,这种设备甚至不允许你安装任何拦截器。看到那些经过SEO优化且广告泛滥的网站,感觉就像走进了一个毒窟。而绝大多数用户的正常体验竟然是如此,实在可悲。
2025-09-09 07:27:28
Aikido安全团队发现npm上18个流行软件包被入侵,恶意代码可窃取加密货币并操纵用户钱包,建议开发者警惕开源依赖并及时更新。 Dmitry Brant利用Claude Code将25年前的内核驱动程序现代化,使其能在最新Linux内核上运行,解决了内核版本不兼容问题。 Signal推出安全备份功能,支持端到端加密,用户可选择恢复消息历史,目前仅在Android测试版上可用。 Immich是一个高性能的自托管照片和视频管理工具,支持多语言和多平台,目前处于活跃开发阶段。 Pico CSS是一个轻量级、专注于语义化HTML的CSS框架,提供默认响应式设计和多种定制选项,适合小型项目。 讨论代码格式化的必要性,认为代码风格工具可能带来git噪音和潜在错误,建议自动化处理格式问题。 RSS因其简单和开放击败了微软支持的ICE标准,成为内容聚合的主流选择。 文章讨论了防止敏感数据泄露到日志的多层防御策略,包括数据架构、工具使用和多层防御方法。
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
2025 年 9 月 8 日,Aikido 安全团队通过其情报系统发现,npm 上 18 个流行的软件包被推送了包含恶意代码的新版本。这些软件包每周下载量超过 20 亿次,包括 backslash、chalk-template、supports-hyperlinks 等。这些恶意更新的软件包中包含了一段代码,当在网站客户端执行时,会悄无声息地拦截加密货币和 Web3 活动,操纵钱包交互,并重写支付目的地,将资金和批准重定向到攻击者控制的账户,而用户却毫无察觉。
为了避免受到此类软件包的侵害,Aikido 推荐使用其安全链产品。这些软件包的新版本开始发布后,例如 is-arrayish,其 index.js 文件被修改并包含了混淆后的代码。经过一些去混淆处理后,代码仍然相当复杂,涉及检查以太坊钱包、执行遮罩函数、本地函数调用等多个步骤,并且包含了多个加密货币钱包地址,用于重定向资金。
这些恶意软件包的发现提醒开发者和用户,需要对依赖的开源软件包保持警惕,及时检查和更新,以防止潜在的安全风险。Aikido 的安全解决方案可以帮助自动化 SOC 2、ISO 等合规性要求,提供全面的漏洞管理,保护代码安全,并生成软件物料清单(SBOM)。
https://news.ycombinator.com/item?id=45169657
https://dmitrybrant.com/2025/09/07/using-claude-code-to-modernize-a-25-year-old-kernel-driver
Dmitry Brant 的博客文章讲述了他如何利用 Claude Code 来现代化一个已有 25 年历史的内核驱动程序。文章背景是作者对从旧式磁带(如 QIC-80 磁带)中恢复数据的爱好。这些磁带在 1990 年代非常流行,但由于设计上的缺陷,数据恢复存在挑战。作者使用一台装有特定磁带驱动器的旧 PC 工作站,以及一个非常老的 Linux 版本(CentOS 3.5),因为这是使用 ftape 驱动程序的唯一方式,ftape 驱动程序是与磁带驱动器通信所必需的内核驱动程序。
文章提到,读取这些磁带的驱动器连接到主板上的软驱控制器,这是一种节省成本的巧妙做法。然而,这种通信协议非常混乱、非标准化,且支持不佳。ftape 是 Linux 上唯一的开源实现,允许读取磁带的“原始”二进制内容,而不考虑最初写入磁带的专有软件。
ftape 驱动程序自 2000 年左右就不再受支持,并很快从 Linux 内核中移除。作者因此需要运行一个非常旧的 Linux 版本来使用这些驱动器。他希望能在现代发行版上使用 ftape,以获得所有的好处和便利。
几周前,作者向 Claude Code 提出了一个请求,希望将这个驱动程序现代化,使其能够与最新版本的内核一起编译。Claude Code 能够处理编译器输出并将其反馈给自己,直到编译正确。在内核版本 2.4 和 6.8 之间,有许多内核函数和结构被弃用或替换,Claude 找到了所有过时的部分,并用正确的现代等价物替换它们,只需要少量的手动调整。
作者还提到,他希望将内核驱动程序编译为一个独立的可加载内核模块,而不是作为完整内核树的一部分。Claude Code 帮助创建了一个适当的独立构建系统,使得作者能够尝试使用实际的硬件。
尽管模块加载了,但最初并不能正确与磁带驱动器通信。作者手动加载模块,并将 dmesg 的输出粘贴到 Claude 中,Claude 将其与之前保存的成功磁带读取的“已知良好”dmesg 日志进行比较。经过几次迭代,Claude 识别出阻止模块与硬件通信的剩余问题。
最后,作者成功地在现代内核上使用 ftape 驱动程序,这是一个他原本认为无法实现的壮举,最终在两个晚上内完成。作者提醒读者,他有一些内核模块的工作经验和丰富的 C 语言经验,因此不想过分夸大 Claude 在这种情况下的成功。实际上,这不是通过三个提示就得到一个工作的内核模块,而是通过几次来回对话和……
https://news.ycombinator.com/item?id=45163362
https://signal.org/blog/introducing-secure-backups/
Signal 推出了安全备份功能,允许用户在手机丢失或损坏时恢复消息历史。这是用户最常请求的功能之一,因为它涉及到家庭照片、重要文件等重要信息的保存。安全备份是可选的,并且是端到端加密的,用户可以选择不使用此功能。
安全备份允许用户每天以隐私保护的形式保存 Signal 对话的存档,并且可以选择免费备份文本消息和最近 45 天的媒体文件,或者支付每月 1.99 美元订阅费用备份超过 45 天的媒体历史和消息历史。Signal 作为一个非营利组织,需要通过这种方式来覆盖存储和传输大量数据的成本。
Signal 的安全备份技术基于零知识技术,备份存档存储时不会直接链接到特定的备份支付或 Signal 用户账户。核心是一个 64 字符的恢复密钥,这个密钥仅在用户设备上生成,不会与 Signal 服务器共享。如果用户丢失这个密钥,将永久失去对备份的访问权限,Signal 也无法帮助恢复。
用户可以在 Signal 设置菜单中选择启用安全备份。目前,只有运行最新测试版 Signal 的 Android 用户可以启用此功能,但很快将推广到所有平台。启用后,设备将每天自动创建一个新的安全备份存档,替换前一天的存档。用户可以解密备份存档以恢复消息数据库,但不包括一次性查看的消息和 24 小时内计划消失的消息。
Signal 计划未来提供更多安全备份选项,包括让用户选择保存备份存档的位置,以及在 Android、iOS 和桌面设备之间传输加密消息历史的功能。安全备份目前已在 Android 测试版中提供,iOS 和桌面支持的完整公开发布即将到来。即使用户没有激活此功能,聊天对象也可以选择备份对话,这些对话将继续受到保护。
https://news.ycombinator.com/item?id=45170515
https://www.washingtonpost.com/investigations/2025/09/08/meta-research-child-safety-virtual-reality
Meta 公司被指控压制了关于其虚拟现实平台上儿童安全问题的研究。四名现任和前任员工向国会透露,公司的律师干预了可能揭示虚拟现实风险的研究。这些员工描述了一个案例,一位德国西部的母亲告诉 Meta 的研究人员,她不允许儿子们与陌生人在社交媒体巨头的虚拟现实头盔上互动。
然而,她的十几岁的儿子插话称,他经常遇到陌生人,成年人曾多次向他不到 10 岁的弟弟提出性要求。读者的评论普遍批评 Meta 公司,认为其为了利润优先而压制与儿童安全相关的研究,表达了对 Meta 动机的不信任,并将其与其他公司进行比较。
https://news.ycombinator.com/item?id=45167705
https://github.com/immich-app/immich
immich-app 是一个高性能的自托管照片和视频管理解决方案。该项目目前处于非常活跃的开发阶段,可能会有 bug 和破坏性变更。不建议将应用程序作为存储照片和视频的唯一方式,建议始终遵循 3-2-1 备份计划来保护珍贵照片和视频。
immich-app 的主要文档,包括安装指南,可以在 https://immich.app/ 找到。该应用提供了移动和网页端的功能,包括上传和查看视频照片、自动备份、防止资产重复、选择性备份相册、下载照片视频到本地设备、多用户支持、相册和共享相册、支持 raw 格式、查看元数据(EXIF、地图)、通过元数据、对象、面部和 CLIP 搜索、后台备份、虚拟滚动、OAuth 支持、API 密钥、LivePhoto/MotionPhoto 备份和播放、支持 360 度图像显示、用户定义的存储结构、公共分享、存档和收藏、全球地图、合作伙伴分享、面部识别和聚类、记忆(x 年前)、离线支持、只读画廊、堆叠照片、标签和文件夹视图等。
immich-app 支持多种语言,包括加泰罗尼亚语、西班牙语、法语、意大利语、日语、韩语、德语、荷兰语、土耳其语、中文、乌克兰语、俄语、葡萄牙语(巴西)、瑞典语、阿拉伯语、越南语、泰语等。项目活动包括星标历史和贡献者信息。
https://news.ycombinator.com/item?id=45165684
Pico CSS 是一个极简和轻量级的前端 CSS 框架,专注于语义化的 HTML 元素,使得每个元素默认响应式且优雅。它不需要额外的类或 JavaScript,仅通过纯 HTML 标记就能实现简洁的样式。Pico CSS 以其轻量级和语义化的特点,提供了一个清洁且轻量级的设计系统起点。
Pico CSS 以其“少即是多”的设计理念,直接对 HTML 标签进行样式设置,整体使用不到 10 个类。它还提供了一个无类的版本,适合那些喜欢纯粹 HTML 的用户。Pico CSS 无需额外的包管理器、外部文件或 JavaScript,通过纯 CSS 实现优雅的样式。
Pico CSS 支持响应式设计,能够根据屏幕宽度自动调整字体大小和间距,实现跨设备的一致性和优雅外观。此外,Pico CSS 提供了两种颜色方案:浅色和深色,并且能够自动适应用户的颜色偏好设置,无需 JavaScript。
Pico CSS 允许通过超过 130 个 CSS 变量进行定制,或者使用 SASS 进一步定制。用户可以选择 20 种手工制作的颜色主题,并与 30 多个模块化组件组合,以适应品牌的视觉风格。
在性能方面,Pico CSS 避免了过度的 CSS 特异性和文件加载,减少了内存使用,保持了 HTML 的简洁性。Pico CSS 的设计哲学是“少即是多”,强调简单和易于维护的设计基础。
Pico CSS 由 Lucas Larroche 设计和构建,并得到了贡献者的帮助。代码采用 MIT 许可,文档采用 CC BY-SA 4.0 许可。当前版本为 2.1.1。
https://news.ycombinator.com/item?id=45161855
https://maxleiter.com/blog/formatting
这篇文章讨论了编程中的代码格式化问题,特别是关于代码风格和 linter 工具的争议。文章提到,这些问题在 80 年代就已经得到了解决。作者的高中计算机科学老师 Mr. Paige 曾在 Ada 编译器项目中工作,他提到在 Ada 项目中,他们不存储文本源代码,而是使用一种名为 DIANA 的中间表示(IR)。DIANA 允许开发者根据自己的喜好进行漂亮的打印设置,因此空格与制表符之争变得无关紧要,因为它们不影响语义,而且系统上的编辑器允许直接修改程序树(即现代所谓的投影编辑)。
文章中提到,Rational R1000 工作站拥有许多前沿特性,如增量编译、语义分析、版本控制和一流的调试功能,这些都是内置的。R1000 与 Xerox Alto 类似,但使用的是 Ada 而不是 Smalltalk。R1000 在编写 ISS、F-22 等软件中被使用,并且促成了 UML 的诞生。
DIANA 是 Ada 的一个关键组件,它使得许多高级特性成为可能。R1000 不存储普通文本源代码,而是写入 DIANA。编译器和集成到机器中的 IDE 都理解 DIANA,因此可以按照你想要的方式查看源代码。使用 DIANA 和硬件加速,使得增量编译、轻松重构和快速集成成为可能,这对于使用 Ada 构建的大型系统至关重要。
作者认为,尽管我们今天不需要担心硬件加速编译,并且有更好的重构工具,但在代码格式化方面却有所退步。他并不是主张每个人都使用投影编辑和实时环境,但他认为我们肯定可以找到适合当今编程范式的东西。文章最后提供了一些进一步阅读的资料链接,并鼓励读者关注作者的 Twitter 或订阅 RSS 以获取未来的内容。
https://news.ycombinator.com/item?id=45163043
https://buttondown.com/blog/rss-vs-ice
RSS 在内容聚合战争中战胜了微软等大型科技公司支持的 ICE 标准。这个故事常被提及,但很少有人知道背后的原因。RSS 之所以胜出,是因为它更便宜、开放,并且易于博客作者使用 DIY 友好的 RSS feeds。ICE 虽然技术上更先进,但由于其复杂性、成本和封闭性,最终未能抵抗 RSS 的普及。
内容聚合战争的起源可以追溯到 1998 年,当时大型出版商开始关注内容聚合的商业潜力。他们希望通过简化网站重新包装和发布文章及电子商务目录的方式,来应对网站流量下降的问题。ICE 标准应运而生,旨在标准化一个网站上的数据如何自动发布到其他网站,从一开始就明确了其商业化目标。
与此同时,RSS 以一种更简单、开放的方式进入市场。它允许网站所有者使用 Netscape 的 XML 相关标签创建网站更新的 feed,并将其添加到 Netscape 的“频道”列表中。用户可以从列表中选择频道,将 widget 添加到他们的个性化 My Netscape Network 页面上,聚合他们最喜欢的博客和新闻网站。
ICE 和 RSS 在技术上有很多共同点,都使用 XML 作为共同语言,使用自描述标签区分内容元素,并允许订阅者随时“拉取”最新 feed。但在理念上,它们截然不同。ICE 由 Vignette 等公司创建,他们将技术发展交给了一个包括微软、Adobe、路透社等在内的联盟,而专注于商业发展。RSS 则相反,它的发展是由个人推动的,如 Dave Winer 在 Netscape 放弃开发后,自己编写了 RSS 的版本。
ICE 的要求过于复杂,其目标是自动化复杂的企业出版合作伙伴关系。它包含了目录定价和谈判、内容过期标签、版权执行功能以及将显示网站的视觉品牌应用于 feed 内容的能力。尽管这些功能可以被忽略,但这并没有使其 58,000 字的入门指南更易于理解。
相比之下,RSS 的设置和聚合器几乎任何人都可以操作。当 Winer 在 2002 年发布 RSS 2.0 版本时,一个 feed 只需包含三个元素:feed 标题、feed 描述和要分享项目的链接。RSS 的简单性使其迅速普及,甚至连《纽约时报》这样的大出版商也在 2002 年 11 月采用了 RSS。尽管 ICE 在 2004 年发布了 2.0 版本,但不到一年后,微软——ICE 的最大支持者——就有了一个专门的 RSS 博客,提出了 Internet Explorer 内置 RSS 功能的图标设计。这并非明确投降,但 ICE 和 RSS 理论上可以共存,就像 Betamax 可以允许其他公司制造和销售 Betamax 播放器一样。但他们没有这样做,所以他们输了。在这场战争中,小的胜利比大的胜利更重要。
https://news.ycombinator.com/item?id=45166750
https://allan.reyes.sh/posts/keeping-secrets-out-of-logs/
这篇文章讨论了如何防止敏感数据泄露到日志文件中。作者指出,没有单一的解决方案可以完全解决这个问题,而是需要采取多种措施,即所谓的“铅弹”策略。文章提出了 10 种方法,虽然不完美,但如果正确实施并结合多层防御,可以大大提高防止敏感数据泄露的机会。
文章首先介绍了日志中敏感数据泄露的问题,包括直接记录敏感数据、“厨房水槽”对象(包含或持有敏感数据的对象)、配置更改、嵌入式秘密、遥测和用户输入等六个常见原因。这些问题不仅令人烦恼,而且难以预防,因为它们可能以意想不到的方式出现在不同的地方。
接着,文章提出了一些解决方案,包括数据架构、数据转换、领域原语、编译时和运行时检查、一次性读取对象和污点检查等。作者强调,尽管这些方法并不完美,但通过综合运用这些策略,可以更有效地防止敏感数据泄露到日志中。
文章还讨论了日志格式化器、单元测试、敏感数据扫描器、采样和日志预处理器等工具和技术的使用,以及人员在防止敏感数据泄露中的作用。
最后,文章总结了策略,包括奠定基础、理解数据流、在关键点保护和应用多层防御、计划响应和恢复。作者希望通过这篇文章,读者能够对如何防止敏感数据泄露到日志中有一个更好的框架,并增加一些新的想法。
https://news.ycombinator.com/item?id=45160774
https://news.ycombinator.com/item?id=45169794
Hi, yep I got pwned. Sorry everyone, very embarrassing.
More info:
Affected packages (at least the ones I know of):
[email protected] (appears to have been yanked as of 8 Sep 18:09 CEST)
It looks and feels a bit like a targeted attack.
Will try to keep this comment updated as long as I can before the edit expires.
Chalk has been published over. The others remain compromised (8 Sep 17:50 CEST).
NPM has yet to get back to me. My NPM account is entirely unreachable; forgot password system does not work. I have no recourse right now but to wait.
Email came from support at npmjs dot help.
Looked legitimate at first glance. Not making excuses, just had a long week and a panicky morning and was just trying to knock something off my list of to-dos. Made the mistake of clicking the link instead of going directly to the site like I normally would (since I was mobile).
Just NPM is affected. Updates to be posted to the /debug-js link above.
Again, I’m so sorry.
junon
大家好,是的,我被黑了。对不起大家,非常尴尬。
更多信息:
受影响的软件包(至少是我所知道的):
[email protected] (已于 9月8日 18:09 CEST 被撤回)
这看起来感觉有点像一次有针对性的攻击。
我会在编辑过期前,尽力保持此评论的更新。
Chalk 已经重新发布了。其他包仍然被攻破(中欧夏令时间 9月8日 17:50)。
NPM 还没有回复我。我的 NPM 账户完全无法访问;忘记密码系统无法工作。我现在别无办法,只能等待。
邮件来自 support at npmjs dot help。
乍一看很正规。我不是在找借口,只是那一周过得很长,早上又很慌乱,只想快点完成待办事项中的一样。我犯了一个错误,像往常一样(因为当时我在用手机)没有直接访问网站,而是点击了链接。
只有 NPM 受到了影响。更新将发布到上面的 /debug-js 链接中。
再次向大家道歉。
https://news.ycombinator.com/item?id=45161826
The lid angle sensor is also serialized to the motherboard: you cannot replace it, or the motherboard, without performing calibration, which can be performed by an apple authorized service provider, or alternatively, in Europe (and elsewhere where Apple offers parts for self-service repair), you can purchase the sensor from Apple, connect the machine to the internet after replacing it, to then perform the calibration, only if the sensor was purchased from Apple.
So the hardware is capable of performing the calibration, Apple just does not graciously grant you the right to install a recycled or third party sensor in your machine.
https://www.ifixit.com/Answers/View/759262/Torn+Lid+angle+sensor
Doohickey-d
屏盖角度传感器的序列号也与主板绑定在一起:如果不进行校准,你无法更换它或主板。此校准可以由苹果授权服务提供商进行,或者,在欧洲(以及苹果提供零部件用于自行维修的其他地区),你可以从苹果那里购买该传感器,但前提是该传感器是从苹果购买的,更换后需要将电脑连接到互联网才能完成校准。
所以,硬件本身是有能力进行校准的,苹果只是不愿意授予你在自己的电脑上安装翻新件或第三方传感器的权利。
https://news.ycombinator.com/item?id=45157481
Daniel Karrenberg, co-author of RFC1918, said this 2017-10-06 on the NANOG mailing list:
On 05/10/2017 07:40, Jay R. Ashworth wrote:
Does anyone have a pointer to an authoritative source on why
10/8 172.16/12 and 192.168/16
were the ranges chosen to enshrine in the RFC? …
The RFC explains the reason why we chose three ranges from “Class A,B & C” respectively: CIDR had been specified but had not been widely implemented. There was a significant amount of equipment out there that still was “classful”.
As far as I recall the choice of the particular ranges were as follows:
10/8: the ARPANET had just been turned off. One of us suggested it and Jon considered this a good re-use of this “historical” address block. We also suspected that “net 10” might have been hard coded in some places, so re-using it for private address space rather than in inter-AS routing might have the slight advantage of keeping such silliness local.
172.16/12: the lowest unallocated /12 in class B space.
192.168/16: the lowest unallocated /16 in class C block 192/8.
In summary: IANA allocated this space just as it would have for any other purpose. As the IANA, Jon was very consistent unless there was a really good reason to be creative.
Daniel (co-author of RFC1918) https://web.archive.org/web/20190308152212/https://mailman.nanog.org/pipermail/nanog/2017-October/092636.html
isThereClarity
RFC1918的合著者Daniel Karrenberg于2017年10月6日在NANOG邮件列表上发表了以下言论:
在2017年10月5日07:40,Jay R. Ashworth写道:
有人能提供一个指向权威来源的链接,解释为什么RFC中选择了
10/8 172.16/12 和 192.168/16
这些地址段吗?……
RFC解释了我们分别从“A类、B类和C类”中各选择一个范围的原因:CIDR虽然已被定义,但尚未得到广泛实施。当时仍有大量设备是“有类”的。
据我回忆,具体范围的选择如下:
10/8:当时ARPANET刚刚关闭。我们中的一人提出了这个建议,Jon认为这是对这块“历史性”地址块的再利用。我们还怀疑“net 10”可能在某些地方被硬编码,因此将其用于私有地址空间,而不是在自治系统间路由,或许有一个小小的优势,就是将这种愚蠢的行为限制在本地。
172.16/12:B类地址空间中最低的未分配/12网段。
192.168/16:在C类地址块192/8中,最低的未分配/16网段。
总而言之:IANA分配这段地址空间的方式,与分配任何其他用途的空间时一样。作为IANA,Jon非常一以贯之,除非有充分的理由进行创新。
Daniel(RFC1918合著者)
https://news.ycombinator.com/item?id=45170133
One of the most insidious parts of this malware’s payload, which isn’t getting enough attention, is how it chooses the replacement wallet address. It doesn’t just pick one at random from its list.
It actually calculates the Levenshtein distance between the legitimate address and every address in its own list. It then selects the attacker’s address that is visually most similar to the original one.
This is a brilliant piece of social engineering baked right into the code. It’s designed to specifically defeat the common security habit of only checking the first and last few characters of an address before confirming a transaction.
We did a full deobfuscation of the payload and analyzed this specific function. Wrote up the details here for anyone interested: https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
Stay safe!
DDerTyp
该恶意软件载荷最阴险、却未得到足够重视的部分之一,是它如何替换钱包地址。它并非只是从列表中随机选择一个。
实际上,它会计算合法地址与自身列表中每个地址之间的莱文斯坦距离(Levenshtein distance)。然后,它会选择在视觉上与原始地址最相似的攻击者地址。
这是一种内置于代码中的、极其巧妙的社交工程学攻击。其目的在于精准地攻破人们在确认交易前,仅检查地址开头和结尾几个字符这一常见的安全习惯。
我们对载荷进行了完整的反混淆(deobfuscation)并分析了这个特定函数。任何感兴趣的人都可以在这里阅读详细内容:https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the
祝各位安全!