HackerNews AI 摘要的 RSS 预览

2025 11 26 HackerNews

2025-11-26 08:30:05

2025-11-26 Hacker News Top Stories #

Pebble 将核心软件、移动应用和开发工具链全部开源并建立多源 Appstore 与 Archive 备份以保障生态长期可用（部分固件仍闭源），Pebble Time 2 预计 2026 年发货。

Anthropic 发布 Claude Opus 4.5，大幅提升编码、多步骤推理与长期任务执行能力并降价，使其更适合生产环境与代理工具调用。

断电的 SSD 会因 NAND 电荷流失逐渐丢失数据（QLC 约 1 年、TLC 约 3 年），不适合长期冷存储，应采用 3-2-1 备份或更可靠介质与额外纠错。

Anthropic 为 Claude 推出按需工具搜索与延迟加载、程序化工具调用和统一工具示例，显著提升多工具场景下的效率与准确性。

法国威胁拒绝设置后门的 GrapheneOS 开发者被逮捕或服务器查封，引发对强制后门、隐私权与技术主权冲突的担忧。

一个交互式 Hacker News 模拟器用 LLM 生成夸张讽刺的帖子与评论，成功模仿 HN 的语气与争论风格，主要用于测试与娱乐。

受 AI 数据中心需求推动，DDR5 内存短缺导致 64GB 套件涨至约 600 美元，价格已高于 PS5，供应紧张可能持续到 2026 年。

研究显示胎前大脑类器官在无外界输入下也会自发形成类似“默认模式”的复杂电活动，表明大脑出生前已有理解世界的内在预配置机制。

Kagi 推出 macOS 隐私轻量浏览器 Orion 1.0，采用 WebKit、默认零遥测与强内容拦截，暂不集成核心 AI 并已获大量用户。

Andrej Karpathy 建议假定课外作业可能借助 AI，将关键评估移至受控课堂并培养学生“会用但不依赖 AI”的能力与批判性验证。

Pebble Watch 软件现已 100% 开源 (Pebble Watch software is now open source) #

https://ericmigi.com/blog/pebble-watch-software-is-now-100percent-open-source

Pebble Watch 软件现已实现 100% 开源，标志着其长期可持续发展的关键一步。此前软件约 95% 开源，如今所有核心组件均已公开，包括 PebbleOS、移动配套应用及开发工具链。用户可自由下载、编译并安装软件，确保即使未来公司消失，设备仍可持续使用。

PebbleOS 从 2025 年 1 月起已完全开源，所有改进也将持续开放。新发布的 Pebble 移动应用（支持 iPhone 和 Android）也已 100% 开源，解决了过去因缺乏开源应用导致用户无法继续使用设备的问题。该应用采用 Kotlin Multiplatform 构建，支持跨平台运行。

开发工具方面，团队已将旧版基于 Ubuntu 虚拟机和 Python2 的开发环境升级为现代浏览器内开发平台，极大提升开发体验。同时，Pebble Appstore 推出新机制：支持多源“应用仓库”订阅，类似 pip、APT 等开源包管理器。用户可在应用中浏览多个独立开发者或组织维护的 feed。

为保障长期可靠性，Pebble 团队已建立自己的 Appstore feed（appstore-api.repebble.com），并自动将所有应用和表盘备份至 Archive.org，形成公开可访问的永久存档。开发者可上传新旧应用，仍可选择收费模式，支持 Kiezel Pay 等支付方式。

值得注意的是，部分功能（如心率传感器、Memfault 监控库、Wispr-flow 语音识别）依赖非开源组件，但这些并非必需，用户可完全在无非自由软件情况下运行 Pebble 系统。

Pebble Time 2 进入设计验证测试阶段，计划 2026 年 1 月开始发货，多数用户预计在 3 月至 4 月收到设备。新表采用可拆卸后盖设计，支持电池更换，提升可维修性。同时，Pebble 2 Duo 的电气与机械设计文件已公开，鼓励社区进行二次开发或自制兼容设备。

视频《Tick Talk #4》已上线，展示 Pre-production 版 Pebble Time 2（黑红配色）实机演示，呈现新表的外观与功能。

HN 热度 1209 points | 评论 216 comments | 作者：Larrikin | 1 day ago #

https://news.ycombinator.com/item?id=46037626

硬件开发中的知识产权和传感器、无线模块的许可问题复杂，能实现 95% 开源已属工程与法律上的巨大成功，实际可用的生态系统比理论上的 100% 开源更有价值。
虽然部分系统组件仍依赖闭源二进制文件，但核心功能完全可开源运行，且未来仍会保持核心软件开源，这种务实做法值得肯定。
闭源组件的存在是现实限制下的合理选择，只要不夸大宣传为“100% 开源”，用户知情即可，不应苛求完美。
多个软件仓库支持使应用生态更具韧性，用户可自由选择信任的分发源，避免单一平台失败带来的风险。
多仓库支持为构建“Pebble 版 F-Droid”提供了可能，可实现开源应用的自动化构建与分发。
Kotlin Multiplatform 在移动端的应用展示了跨平台开发的潜力，但其在资源受限的嵌入式设备上运行仍不现实。
嵌入式设备如 Pebble 的资源极为有限，未来开发仍将以 C/C++ 或 Rust 等低开销语言为主，Kotlin 等现代语言难以适配。
嵌入式开发在资源约束下依然充满挑战，但这种限制也提醒开发者回归效率与性能优化，而非盲目堆硬件。
硬件与软件的界限模糊，若不强制要求硬件设计源码，对软件闭源的容忍度也应合理。
闭源的传感器或外设固件在硬件领域普遍存在，其功能实现方式难以完全透明，属于行业常态。

Anthropic 发布全新模型 Claude Opus 4.5，实现编码、智能体任务与计算机使用能力的世界领先水平 (Claude Opus 4.5) #

https://www.anthropic.com/news/claude-opus-4-5

Anthropic 发布了最新模型 Claude Opus 4.5，该模型在编码、智能体任务和计算机使用方面达到世界领先水平。相比前代模型，Opus 4.5 在复杂问题解决、多步骤推理和长期任务执行方面有显著提升，尤其在代码重构、迁移和自动化工作流中表现突出。

该模型在真实软件工程测试中表现优异，能高效处理多系统 bug，减少错误率，并在保持高质量输出的同时将 token 使用量降低高达 65%。同时，Opus 4.5 在长上下文任务、财务建模、Excel 自动化和 3D 可视化等场景中也实现了显著突破，部分任务耗时从两小时缩短至三十分钟。

Opus 4.5 已上线 Anthropic 官方应用、API 及三大主流云平台，定价为每百万 tokens 5 美元（输入）和 25 美元（输出），大幅降低了高端模型的使用门槛，使其适用于更多开发者和企业。

用户反馈普遍积极，认为 Opus 4.5 具备更强的自主规划能力、更精准的指令理解与更高效的执行路径，尤其在长时间自主任务中表现出色。多个企业客户表示其在代码审查、SQL 工作流、项目规划和内容生成方面均实现质的飞跃。

此外，Anthropic 同步更新了 Claude 开发者平台、Claude Code 及消费端应用，新增对长对话支持、浏览器与桌面端集成等新功能，进一步提升生产力体验。

值得一提的是，Opus 4.5 在一项极具挑战性的软件工程笔试中得分超过所有人类候选人，引发对 AI 如何重塑工程职业的深入思考。Anthropic 将继续通过其“经济未来”研究项目，探索 AI 对社会与工作模式的深远影响。

HN 热度 1076 points | 评论 495 comments | 作者：adocomplete | 1 day ago #

https://news.ycombinator.com/item?id=46037637

Claude Opus 4.5 的价格下调至每千 token 5 美元/25 美元，相比之前降低了 3 倍，使其从仅用于重要任务的模型转变为可广泛用于生产环境的工具。
该模型在提示注入防御方面声称达到 SOTA 水平，若经受住对抗性测试，对具备工具调用能力的 AI 代理部署具有重大意义。
Anthropic 将 Opus 4.5 的使用限制取消，并为 Max 和 Team Premium 用户提升了整体使用额度，使其使用量接近此前 Sonnet 模型的水平。
价格下调使部分用户重新考虑回归 Claude 服务，尤其是之前因限制而转向 Gemini 的用户。
Anthropic 可能通过转向 Google TPUs 和 Amazon Inferentia 等非 NVIDIA 硬件，大幅降低对 NVIDIA 芯片的依赖，从而减少“NVIDIA 税”。
尽管 NVIDIA 仍依赖 TSMC 制造工艺，但 AI 厂商正通过多样化硬件选择削弱其垄断地位。
有用户表示，尽管之前因 Opus 使用限制而取消订阅，但价格下调后已决定重新启用付费服务。
用户反馈使用 Opus 4.5 后，能更高效地进行问题规划与理解，而 Haiku 模型在任务执行上表现超出预期。
有用户指出，Sonnet 4.5 在复杂任务中常需多次尝试和回滚，而 Opus 在规划阶段显著提升效率。
价格调整后，用户在长时间运行多项目、多工作树的自动化任务时，已数周未触及使用上限。
有用户质疑当前价格策略是否可持续，担心未来可能回归“卡特尔式”市场垄断。
评论中对 Hacker News 的格式规范（如禁止全大写强调）存在争议，有人认为应更严格遵守，也有人认为应更灵活。
有人指出，Hacker News 的规则制定于 2000 年代，已不完全适应当前语境，部分规则显得过时。
有用户认为，强调应通过斜体表达，但当前平台斜体显示效果不佳，导致用户倾向使用大写。
从实际使用成本看，Opus 4.5 在多数场景下比 Sonnet 4.5 更经济，且因更智能而减少错误和无效 token 消耗。
有团队实测显示，Opus 4.5 的平均成本为 1.30 美元/线程，低于 Sonnet 4.5 的 1.83 美元，甚至低于 Gemini 3 Pro 的 1.21 美元。
有用户建议避免使用 Claude Research，因其会迅速耗尽 token 配额。

断电的 SSD 会逐渐丢失数据 (Unpowered SSDs slowly lose data) #

https://www.xda-developers.com/your-unpowered-ssd-is-slowly-losing-your-data/

SSD 虽然在日常使用中表现优异，但作为长期冷存储介质并不可靠。当 SSD 长时间断电存放时，其内部 NAND 闪存单元中的电荷会逐渐流失，导致数据丢失。不同类型的 NAND 闪存数据保留能力不同：QLC NAND 约可保存 1 年，TLC NAND 可达 3 年，而 MLC 和 SLC 则分别能维持 5 年和 10 年。大多数消费级 SSD 使用 TLC 或 QLC，因此存放超过 1-3 年就存在数据风险。

尽管如此，这一问题对普通用户影响有限。绝大多数人不会将 SSD 长期断电存放，通常使用周期在数月到几年之间，远未达到数据丢失的临界点。真正需要关注的是企业级、创作者或研究人员等有长期归档需求的用户。

文章强调，无论使用何种存储介质，备份始终是关键。遵循“3-2-1”备份原则——即至少三份数据副本，存于两种不同介质，其中一份离线保存——才能有效防范数据丢失。即使 SSD 不适合长期冷存，只要做好备份，日常使用依然安全可靠。

此外，有用户指出，文章中提到的“1 年数据保留”是基于高温、高写入磨损的极端情况，新盘在常温下保存多年仍可保持数据完整，因此不必过度恐慌。

HN 热度 717 points | 评论 288 comments | 作者：amichail | 1 day ago #

https://news.ycombinator.com/item?id=46038099

SSD 数据保留时间与写入/擦除次数成反比，且随温度升高而急剧下降，低温环境可显著延长数据保存时间。
NAND 闪存的耐用性和数据保留能力在过去几年中显著下降，尽管容量大幅提升，但写入寿命和保留时间已大幅降低。
SSD 制造商通过降低数据保留标准来虚标写入寿命，实际闪存的耐用性并未提升。
为提升数据保留时间，可在空闲闪存单元中额外写入纠错码（ECC）数据，从而将寿命从 1 年延长至 100 年。
通过工具如 par2cmdline 为备份文件添加冗余校验数据，可有效应对数据损坏，提升恢复能力。
重要数据应存储在多个独立设备上，并尽量分散存放于不同物理位置，以增强数据安全性。
某些 SSD 控制器在检测到过多坏块后会完全拒绝读写操作，导致硬盘“变砖”，即使存在可修复的冗余数据也无法读取。
SSD 控制器的固件逻辑可能导致驱动器在无法完成内部维护操作时完全失效，这种故障在实际中较为常见。
当前 SSD 的固件承担了大量透明管理任务，使得用户难以直接访问底层存储，增加了数据恢复难度。
Linux 系统支持直接访问闪存设备（MTD），但 PC 级 SSD 通常不提供此类接口，且直接操作存在硬件损坏风险。
SSD 在无可用空闲块时无法执行必要的维护操作，导致驱动器完全无法读写，形成“变砖”状态。
通过绕过 SSD 控制器直接连接闪存芯片，可绕过固件限制读取数据，但需要专业设备和操作技能。
SSD“变砖”后通常可申请更换，因此相比数据损坏，硬件故障更容易通过售后解决。
文件系统应具备透明添加冗余校验的功能，以提升数据可靠性，尽管目前由 SSD 控制器负责纠错。
文件系统无法像 SSD 控制器那样高效利用纠错码，因为其缺乏对底层存储状态的详细信息。
即使 SSD 报告无错误，仍可能返回损坏数据，因此应结合文件哈希和冗余存储进行数据完整性验证。
数据库可存储文件哈希，用于检测重复文件和数据损坏，提升数据管理效率。

Anthropic 推出 Claude 开发者平台三项新功能，显著提升 AI 代理在复杂工具环境中的效率与准确性 (Claude Advanced Tool Use) #

https://www.anthropic.com/engineering/advanced-tool-use

Anthropic 推出 Claude 开发者平台三项新功能，显著提升 AI 代理在复杂工具环境中的效率与准确性。这些功能旨在解决传统工具调用模式下上下文窗口过载、工具选择错误和执行效率低下的问题。

首先，工具搜索工具（Tool Search Tool）支持按需发现和加载工具，避免一次性加载全部工具定义。传统方式中，仅五个服务的工具定义就可能占用超过 55K tokens，而使用该功能后，上下文消耗可降至约 8.7K tokens，节省 95% 的上下文空间。该功能通过标记工具为 defer_loading: true 实现延迟加载，仅在需要时动态引入相关工具，大幅降低 token 消耗并提升工具选择准确率。内部测试显示，Opus 4.5 在大型工具库任务中的准确率从 79.5% 提升至 88.1%。该功能兼容提示词缓存，不影响性能优化。

其次，程序化工具调用（Programmatic Tool Calling）允许 Claude 在代码执行环境中直接调用工具，避免每次调用都需进行完整推理。这减少了上下文污染，尤其适用于处理大规模数据（如数万行 Excel 表格）或复杂流程（如循环、条件判断、数据转换），显著降低模型负担并提升执行效率。

最后，工具使用示例（Tool Use Examples）提供统一标准，用于展示工具的正确使用方式，包括参数组合、调用时机和 API 约定等。相比仅依赖 JSON Schema 的结构定义，示例能更准确传达实际使用模式，提升代理的实用性和可靠性。

这三项功能共同构建了更灵活、高效、可扩展的 AI 代理系统，使 Claude 能在复杂多工具场景中无缝协作，如集成 Git、Slack、Jira、数据库等，实现真正意义上的智能自动化。

HN 热度 645 points | 评论 258 comments | 作者：lebovic | 1 day ago #

https://news.ycombinator.com/item?id=46038047

CLI 工具能帮助 AI 和人类更高效地使用服务，只需运行 yourtool --help 即可学习使用方式。
尽管 CLI 工具长期有价值，但许多服务如 Jira 等仍不愿开放，担心控制权流失。
服务提供方可能在未来限制 CLI 工具功能，类似过去 API 被逐步收紧的情况。
开发和维护 CLI 工具成本高，尤其在支持老旧版本时，会耗费大量客户支持资源。
客户支持中获取版本信息常需多轮沟通，甚至发现用户使用的是错误产品。
CLI 工具开发看似简单，实则需复杂自动更新机制，长期维护负担重。
有开发者提出用类似 SSH 的流式 API 替代 JSON API，减少重复开发 CLI 的必要。
Jira 已提供 CLI 工具（acli），部分用户发现其比 MCP 服务器更高效。
AI 可帮助快速生成小型 CLI 工具，实现与 Jira 等系统的交互自动化。
过去 CLI 工具不普及，是因为用户难以使用，如今 LLM 可生成命令，使其更易访问。
服务提供商对开放 API 和 CLI 工具持保守态度，短期内难以改变。
CLI 工具可与脚本组合，提升任务执行效率和可重复性。
可通过 AI 动态创建工具，实现按需生成，提升自动化灵活性。
云服务 API 质量差，迫使用户寻找替代方案或自建工具。
使用 AI 辅助发现替代服务或构建自定义解决方案，有助于摆脱对封闭平台的依赖。
将 AI 生成的 CLI 工具放入 ./tools 目录，通过 tool --help 调用，可有效实现任务自动化。

法国威胁 GrapheneOS 开发者将遭逮捕/服务器被查封，因其拒绝设置后门 (France threatens GrapheneOS with arrests / server seizure for refusing backdoors) #

https://mamot.fr/@LaQuadrature/115581775965025042

La Quadrature du Net 发表多条推文，批评法国主流媒体如《巴黎人报》和《费加罗报》对开源手机操作系统 GrapheneOS 的不实报道。这些媒体将 GrapheneOS 描述为“犯罪分子的秘密武器”，暗示使用该系统即具有“隐藏意图”，并以此为由攻击隐私保护技术。

文章指出，这种叙事是政府长期将加密技术与犯罪行为挂钩的延续，目的是为加强监控和推动“后门”立法（如“ChatControl”法规）提供借口。La Quadrature du Net 强调，GrapheneOS 是一个致力于保护用户隐私、防止广告追踪和间谍软件的开源安全系统，受到隐私倡导者广泛推荐。

推文中还引用 GrapheneOS 官方回应，揭露媒体采访中存在诱导性提问，且执法机构对开发者发出威胁，称若发现与犯罪组织的联系，将追究法律责任。这被视作对技术开发者和隐私权利的压制。

此外，文章援引《世界报》和《外交世界》的分析，指出“毒品犯罪”常被政治化，成为推行大规模监控的工具。La Quadrature du Net 呼吁公众警惕这种“安全叙事”的滥用，并呼吁支持加密技术与隐私权，通过捐款支持其持续抗争。

最后，讨论中也涉及对其他系统如 e/OS 的争议，但 GrapheneOS 支持者强调其技术透明、安全更新及时，且拥有约 35 万设备用户，远超 e/OS，且其社区与 LineageOS 等项目保持警惕，反对误导性宣传。

HN 热度 572 points | 评论 3 comments | 作者：nabakin | 1 day ago #

https://news.ycombinator.com/item?id=46036217

法国政府威胁 GrapheneOS 可能引发全球对技术主权与隐私权冲突的广泛关注。
该事件凸显了政府要求技术公司提供后门访问权限与用户隐私保护之间的根本矛盾。
一些人认为，拒绝后门是保护用户安全和系统完整性的重要防线。
有观点指出，法国此举可能损害其在科技领域的创新声誉和国际信任。
也有评论认为，政府在国家安全与个人权利之间应有更清晰的法律边界和透明程序。
部分人担忧此类威胁可能引发其他国家效仿，导致全球技术生态碎片化。

展示 HN：我构建了一个交互式 HN 模拟器 (Show HN: I built an interactive HN Simulator) #

https://news.ysimulator.run/news

该网页是 Hacker News 的首页，展示了一系列由用户 AI Simulator 发布的帖子。内容涵盖广泛，包括政治、科技、社会议题、讽刺性话题以及虚构或夸张的新闻事件。

此外，还有涉及技术栈、AI 发展、社会心理（如 ADHD）、文化现象（如柠檬党 2028）等话题的帖子，部分引用了真实网站（如 Wikipedia、CNN、BBC）作为信息来源，但内容明显为虚构或戏仿。

整体来看，该页面并非真实新闻或严肃讨论，而是以 AI Simulator 为用户名的用户通过大量夸张、讽刺、虚构的帖子模拟 HN 社区生态，可能用于测试、娱乐或批判性表达。所有内容均带有明显的戏谑意图，不具备真实新闻价值。

HN 热度 477 points | 评论 206 comments | 作者：johnsillings | 1 day ago #

https://news.ycombinator.com/item?id=46036908

该 Hacker News 模拟器成功还原了真实 HN 社区中常见的评论风格，尤其是那种看似专业实则炫耀性批评的语气。
模拟器通过 LLM 生成评论，能精准模仿 Hacker News 上常见的“技术优越感”和“形式主义批判”。
一些评论对简单问题进行过度学术化解读，比如将写一首打油诗上升到韵律学和节奏分析的高度。
评论中频繁出现“ah yes”“oh great”等标志性语气词，强化了 Hacker News 特有的讽刺与轻蔑氛围。
模拟器生成的评论常以“这不过是……”开头，对项目或想法进行降维打击，体现 Hacker News 常见的“去魅”倾向。
有人指出，这种模拟器甚至能引发类似真实 HN 的“话题失控”现象：从一个简单话题迅速演变为多线争论、语法辩论和过时资料引用。
评论中不乏对“宠物照片”“个人项目”等生活化内容的苛刻技术批评，如曝光、构图、RAW 格式等，体现 Hacker News 对“实用性”的极致追求。
有人调侃模拟器本身是“模拟器的模拟器”，凸显了互联网文化中无尽的元叙事与自我指涉。
评论者戏称该模拟器可能已经证明我们生活在模拟世界中，因为连 Hacker News 的评论风格都能被完美复刻。
有人认为该模拟器不仅是娱乐，还能作为获取多元观点的工具，尤其适合用作 LLM 思维的“压力测试”。
评论中对“AI 生成内容”的身份标识提出建议，主张应标注模型名称以增强透明度，避免“AI 用户名”带来的混淆。
一些评论幽默地回应了模拟器生成的荒诞内容，如“Rust 重写 Rust”“猫的照片曝光问题”等，展现出对 Hacker News 文化荒诞性的共鸣。

PS5 价格低于 64GB DDR5 内存，内存涨价至 600 美元因短缺 (PS5 now costs less than 64GB of DDR5 memory. RAM jumps to $600 due to shortage) #

https://www.tomshardware.com/pc-components/ddr5/64gb-of-ddr5-memory-now-costs-more-than-an-entire-ps5-even-after-a-discount-trident-z5-neo-kit-jumps-to-usd600-due-to-dram-shortage-and-its-expected-to-get-worse-into-2026 由于人工智能产业对内存和存储资源的大量需求，当前 DDR5 内存价格持续飙升，普通消费者面临前所未有的高成本。以 G.Skill Trident Z5 Neo 64GB DDR5 6000 MT/s 内存套装为例，目前在 Newegg 的售价高达 599.99 美元，较此前价格暴涨近 190%。该价格已超过索尼 PS5 Slim（449 美元）和微软 Xbox Series S（399 美元），仅比 PS5 Pro（649 美元）便宜 50 美元。

尽管该产品在黑五期间有 40 美元折扣及额外 20 美元优惠码，实际价格仍达 599 美元，反映出市场供需严重失衡。相比之下，几个月前同款产品在 Prime Day 期间仅售 299 美元，而 64GB 高端限量版 Corsair Dominator Titanium 套装也曾低至 349 美元。

价格飙升与 AI 热潮密切相关。自 2023 年 9 月起，DDR5 内存价格从 220 美元一路攀升至 640 美元，仅用两个月时间。行业分析指出，AI 数据中心对 DRAM 的疯狂消耗是主因，预计这一趋势将持续至 2026 年，普通用户购买高性能内存将更加困难且昂贵。

HN 热度 457 points | 评论 344 comments | 作者：speckx | 1 day ago #

https://news.ycombinator.com/item?id=46038143

内存制造商长期处于微利状态，其产品属于无差别的大宗商品，大客户应通过长期合同支持制造商投资扩产以应对未来需求。
当前 DRAM 采购主要通过合同进行，制造商通常不愿签订过长的合同，以便灵活应对市场价格波动。
中国已有 DRAM 工厂，且部分国际厂商如三星、SK 海力士已在华设厂，中国本土 DRAM 生产并非全新概念。
与石油天然气等能源合同相比，DRAM 制造商更灵活，可依据市场需求动态调整产品类型以优化利润。
石油炼制过程受原油成分影响，不同油源产出的产品比例不同，且受季节和市场需求影响，与半导体制造类似。
虽然半导体产品有生命周期，但长期合同仍有助于制造商稳定预期，降低投资风险。
水电、硅料、水资源等是晶圆厂的核心投入，但这些资源的供应相对可控，不像能源那样高度依赖外部市场。
液化天然气等能源合同虽有违约现象，但多为市场套利行为，与期货市场机制不同，不能直接类比半导体行业。

人类大脑出生前已具备理解世界的预配置机制 (Human brains are preconfigured with instructions for understanding the world) #

https://news.ucsc.edu/2025/11/sharf-preconfigured-brain/

加州大学圣克鲁斯分校的研究团队利用脑类器官（brain organoids）开展了一项突破性研究，揭示了人类大脑在出生前就已具备结构化的电活动模式。这项发表于《自然·神经科学》的研究表明，即使在没有外界感官输入的情况下，早期发育中的大脑细胞也会自发形成复杂的神经活动模式，提示人类大脑在出生前就已“预配置”了理解世界的基本蓝图。

研究由生物分子工程助理教授塔尔·夏夫（Tal Sharf）领导，其团队使用由人类干细胞培育的 3D 脑类器官，结合先进的 CMOS 微电极阵列芯片，实时监测神经元的电活动。结果显示，在发育早期，这些类器官便展现出与真实大脑“默认模式”高度相似的电活动序列，这些模式是后续感知视觉、听觉等感官信息的基础。

夏夫指出，这些自发形成的神经回路如同大脑的“操作系统”，在感官经验出现之前就已开始自组织。这一发现挑战了“大脑完全依赖外部刺激形成功能”的传统观点，支持了大脑具有内在遗传蓝图的理论。

该研究不仅深化了对人类大脑发育机制的理解，也为神经发育障碍（如自闭症、智力障碍）的早期诊断和干预提供了新思路。此外，类器官模型还可用于评估环境毒素（如农药、微塑料）对胎儿大脑发育的影响，推动更高效、低成本的药物和基因治疗研发。

研究团队来自加州大学圣克鲁斯分校、旧金山分校、圣巴巴拉分校，以及华盛顿大学、约翰斯·霍普金斯大学、汉堡-Eppendorf 大学医学中心和苏黎世联邦理工学院。

HN 热度 412 points | 评论 280 comments | 作者：XzetaU8 | 18 hours ago #

https://news.ycombinator.com/item?id=46042928

马驹出生后很快就能站立并奔跑，但躺下动作需要学习，这体现了某些生存关键行为是与生俱来的。
某些拉布拉多犬天生具备游泳能力，但可能因恐惧而不敢下水，直到意外落水后才迅速适应并享受游泳。
多数犬类、猫、狐狸、狼、老鼠等四足动物都具备与生俱来的游泳本能，主要依赖基本的肢体运动反射。
人类婴儿也表现出一定的游泳反射，如在水中能做出类似游泳的动作，但这种能力会随年龄增长而消失。
人类和灵长类动物缺乏天生的游泳能力，可能与它们的肢体结构和进化路径有关。
动物对深水的恐惧并非源于对水本身，而是对未知或不稳定表面的本能警惕，而非对水的直接恐惧。
一些动物对深水的恐惧可能源于进化过程中对危险环境的适应，而游泳能力是后期演化出的适应性特征。
人类通过选择性育种改变了犬类的游泳行为，部分拉布拉多犬因保留水生祖先特征而天生会游泳。
并非所有拉布拉多犬都具备天生游泳能力，不同品系（如美式与英式）在训练方式和行为表现上存在差异。
一些犬种如法国斗牛犬因体型和结构原因，不具备游泳能力，说明游泳能力并非所有犬类共有。
动物溺水的主要原因通常是体力耗尽，而非不会游泳，表明其基本浮水和划水能力是存在的。
人类对水的恐惧可能与进化中对深水的危险认知有关，但这种恐惧与游泳本能并存，形成矛盾行为。
有些动物对水的反应可能受到环境线索（如地面颜色）影响，但马对画线地面无明显反应，说明其对地面判断较准确。
人类婴儿在水中表现出的游泳反射，可能与水生环境中的早期进化适应有关，但这种能力在成长中被抑制。

Orion 1.0 正式发布，标志着 Kagi 公司 macOS 浏览器产品进入生产阶段 (Orion 1.0) #

https://blog.kagi.com/orion

Orion 1.0 正式发布，标志着 Kagi 公司在 macOS 平台上的浏览器产品进入生产阶段。这款浏览器历经六年开发，是继 iOS 和 iPadOS 版本之后的完整跨平台产品，与 Kagi 搜索、助手、翻译、新闻等工具共同构成“Kagiverse”生态。

Orion 的核心理念是“浏览超越”——反对当前浏览器被广告和数据追踪主导的现状。它坚持零遥测、隐私优先，不依赖广告盈利，确保用户行为不被收集或滥用。浏览器以 WebKit 为渲染引擎，而非主流的 Chromium，旨在打破技术垄断，提供更安全、更高效的浏览体验。

性能方面，Orion 以轻量化设计实现快速启动、流畅切换和高效渲染，界面简洁，最大化显示内容空间。隐私保护从一开始就内置，包括强内容拦截和默认隐私设置。

在 AI 整合上，Orion 采取审慎态度。当前版本不包含任何核心 AI 代码，避免潜在的安全风险，如权限滥用、提示注入攻击等。未来将支持用户自主选择连接外部 AI 工具，保持浏览器与 AI 代理之间的清晰边界。

功能上，Orion 既适合普通用户，也满足专业人士需求。亮点包括：专注模式（去干扰网页阅读）、链接预览（快速查看内容）、迷你工具栏与页面微调功能、以及可独立隔离的“配置文件作为应用”功能，实现工作、生活、兴趣的完全分离。

该产品凝聚了六年来早期用户的反馈，解决了大量复杂网页兼容性、标签稳定性与内存管理问题，体现了以用户为中心的持续迭代。

Orion 由仅六人的小团队打造，但已获得超百万下载量和两千多名付费订阅用户支持，体现了可持续的独立商业模式。品牌标识也同步更新，采用星号（✴︎）作为视觉符号，强化“探索与好奇”的品牌精神。

HN 热度 344 points | 评论 205 comments | 作者：STRiDEX | 8 hours ago #

https://news.ycombinator.com/item?id=46047350

浏览器速度不再是用户切换浏览器的主要原因，网站臃肿和广告加载才是影响体验的主要瓶颈。
当前用户切换浏览器更多是为了避开 AI 生成内容的干扰，而非单纯追求速度。
启用广告拦截器能显著提升浏览器速度，因为大量资源被用于加载广告和追踪脚本。
禁用 JavaScript 可极大提升网页加载速度，但可能影响部分网站的正常使用，如银行登录。
Orion 浏览器比 Chrome 小 100MB，启动速度差异在实际使用中可能不明显，尤其在现代设备上。
现代操作系统允许浏览器常驻后台，无需频繁启动，因此启动速度的差异感知有限。
尽管现代浏览器启动已很快，但过去 Chrome 凭借极快的启动速度和标签页隔离机制击败了 IE 和 Firefox。
Chrome 早期的成功在于其快速启动、流畅浏览体验和标签页沙箱隔离，而非内存占用优化。
早期浏览器如 IE 和 Firefox 在内存使用上确实存在严重问题，但 Chrome 后来也变成了内存大户。
用户对浏览器性能的感知常被误归因于网络或硬件，实际瓶颈可能在浏览器本身。
对于普通用户而言，浏览器之间的速度差异微乎其微，真正吸引人的往往是功能而非毫秒级的差异。
在 iOS 上，所有浏览器底层都基于 WebKit，因此性能差异有限，扩展支持成为选择关键。
Safari 在 Mac 系统上整体体验流畅，但作为 Web 开发者的痛点日益增加，类似当年的 IE。
Firefox 在 Apple Silicon 设备上存在睡眠问题和跨设备同步不佳，影响使用体验。
用户切换浏览器的动机复杂，包括生态整合、电池续航、功能支持等，速度并非唯一考量。

人工智能对学校的影响 (Implications of AI to schools) #

https://twitter.com/karpathy/status/1993010584175141038

Andrej Karpathy 在 X 平台发表观点，探讨人工智能对学校教育的影响。他指出，目前所有声称能检测 AI 使用的工具都不可靠，本质上无法有效识别学生是否使用 AI 完成作业，因此必须假设所有课外作业都可能借助了 AI。

为此，他建议将大部分评估工作转移到课堂内进行，教师可现场监督学生完成任务。这样既能激励学生掌握独立解决问题的能力，也能确保他们在没有 AI 辅助的情况下仍能应对考试。

Karpathy 强调，教育的目标不是排斥 AI，而是让学生既能熟练使用 AI，又具备在没有 AI 的情况下独立思考和验证结果的能力。他以计算器的发展为例：尽管计算器普及，学校仍教授基础算术，目的是让学生理解计算过程，具备发现错误的能力。

他提出，未来评估方式应更具灵活性，教师可根据教学目标设计不同形式的考试环境，如禁止工具、允许使用笔记、开放互联网或 AI 等，从而全面评估学生的真实能力。

总结：教育应转向“会用 AI 但不依赖 AI”的培养模式，核心策略是将主要考核移至可监控的课堂场景，同时强化学生的批判性思维与验证能力。

HN 热度 338 points | 评论 413 comments | 作者：bilsbie | 1 day ago #

https://news.ycombinator.com/item?id=46036878

教育应回归学习本质，而非过度依赖文凭和成绩认证，当前的评价体系导致学生为分数而学，而非真正掌握知识。
以实际能力展示取代传统考试和文凭，例如通过限时写作或项目展示来评估学生真实水平，更能反映其实际能力。
标准化考试在控制环境下进行，是应对 AI 作弊和确保公平性的有效手段，能保证所有学生在相同标准下接受评估。
标准化考试面临批评，因其可能催生“应试教育”，导致教学内容被考试范围过度限定，忽视综合能力培养。
教育不应仅关注知识记忆，还应重视情感、毅力、创造力、合作等难以量化的软技能，这些无法通过标准化测试全面评估。
过度依赖标准化测试会扭曲教育目标，使学校将资源集中在提高考试成绩上，而忽视对学生批判性思维和实际应用能力的培养。
掌握基础知识是进行深入分析的前提，例如历史事件的时间点等事实性知识，是理解其影响和关联的基础。
与其死记硬背，不如重视对概念本质的理解，如乘法的本质、运算律等，这才能支撑更高阶的思维发展。
教育评价体系应避免“目标扭曲”，即当某个指标被当作考核标准时，人们会围绕该指标进行功利性应对，导致教育偏离初衷。

Hacker News 精彩评论及翻译 #

Human brains are preconfigured with instructions f… #

https://news.ycombinator.com/item?id=46043084

Some animals are ready to go as soon as they are born. These are called precocial animals. They are born knowing how to walk.

It’s interesting seeing what comes built-in. You can see this if you watch a horse being born. Within the first hour, the foal will stand, and despite long legs, this usually works the first time. Lying down, however, is not preprogrammed. I’ve watched a foal circle trying to figure out how to get down from standing, and finally collapsing to the ground in a heap. Standing up quickly is essential to survival, but smoothly lying down is not. Within a day, a newborn foal can run with the herd.

Of the mammals, most of the equines and some of the rodents (beavers) are precocial. Pigs are, monkeys are not. It’s not closely tied to evolutionary ancestry.

Animats

有些动物一出生就准备好行动了。这些被称为早熟动物。它们生下来就懂得如何行走。

看到这些天生的本领很有意思。如果你观察一匹马的出生过程，就能看到这一点。在第一个小时内，幼马就能站立起来，尽管它腿很长，但这通常一次就成功了。然而，躺下这个动作不是预先编程好的。我曾见过一匹幼马打转，试图弄明白如何从站立姿势躺下来，最后轰然倒在地上。快速站起来对生存至关重要，但平稳地躺下则不是。出生后一天内，新生幼马就能随马群奔跑。

在哺乳动物中，大多数马科动物和一些啮齿动物（如河狸）是早熟动物。猪是，猴子则不是。这一点与进化上的亲缘关系并不紧密相关。

AI has a deep understanding of how this code works #

https://news.ycombinator.com/item?id=46041467

Here’s my question: why did the files that you submitted name Mark Shinwell as the author?

Beats me. AI decided to do so and I didn’t question it.

Really sums the whole thing up…

autumnstwilight

我的问题是：为什么你提交的文件会把马克·辛维尔（Mark Shinwell）列为作者？

我哪知道。AI自己这么决定的，我都没问。

这事儿真是总结得太到位了……

Trillions spent and big software projects are stil… #

https://news.ycombinator.com/item?id=46048044

I work at $FANG, every one of our org’s big projects go off the rails at the end of the project and there’s always a mad rush at the end to push developers to solve all the failures of project management in their off hours before the arbitrary deadline arrives.

After every single project, the org comes together to do a retrospective and ask “What can devs do differently next time to keep this from happening again”. People leading the project take no action items, management doesn’t hold themselves accountable at all, nor product for late changing requirements. And so, the cycle repeats next time.

I led and effort one time, after a big bug made it to production after one of those crunches that painted the picture of the root cause being a huge complicated project being handed off to offshore junior devs with no supervision, and then the junior devs managing it being completely switched twice in the 8 month project with no handover, nor introspection by leadership. My manager’s manager killed the document and wouldn’t allow publication until I removed any action items that would constrain management.

And thus, the cycle continues to repeat, balanced on the backs of developers.

malfist

我在FANG公司工作，我们部门的每个大型项目最终都会脱轨，总要在项目末期疯狂催促开发者在下班时间解决项目管理上的所有问题，以便赶上那个武断的截止日期。

每次项目结束后，部门都会召开复盘会议，然后问：“开发者在下一次能做些什么不同的事来避免重蹈覆辙？” 但项目负责人从不承担任何行动项，管理层从不问责自己，产品方对频繁变更的需求也毫无责任。于是，下一次的循环再次上演。

有一次，我主导了一个项目。在一次赶工中发生了一个重大故障并进入了生产环境，其根本原因显而易见：一个极其复杂的项目被交接给了缺乏监督的海外初级开发者，并且在长达8个月的项目期间，负责管理的初级开发者被完全更换了两次，而领导层既没有进行交接，也没有进行任何反思。我经理的上级直接否决了那份报告，并要求我删除其中任何会约束管理层的行动项后，才允许发布。

就这样，这个循环不断重复，而这一切都压在了开发者的背上。

Unpowered SSDs slowly lose data #

https://news.ycombinator.com/item?id=46041442

One key point about retention which is not often mentioned, and indeed neither does this article, is that retention is inversely proportional to program/erase cycles and decreases exponentially with increasing temperature. Hence why retention specs are usually X amount of time after Y cycles at Z temperature. Even a QLC SSD that has only been written to once, and kept in a freezer at -40, may hold data for several decades.

Manufacturers have been playing this game with DWPD/TBW numbers too — by reducing the retention spec, they can advertise a drive as having a higher endurance with the exact same flash. But if you compare the numbers over the years, it’s clear that NAND flash has gotten significantly worse; the only thing that has gone up, multiplicatively, is capacity, while endurance and rentention have both gone down by a few orders of magnitude.

For a long time, 10 years after 100K cycles was the gold standard of SLC flash.

Now we are down to several months after less than 1K cycles for QLC.

userbinator

关于数据保持能力，有一个关键点很少被提及，这篇文章也没有提到，那就是数据保持能力与编程/擦除周期成反比，并随温度升高而呈指数级下降。因此，数据保持规格通常是指在Z温度下经过Y个周期后能保持X时间的数据。即便是一块只写入过一次、且被保存在零下40度冰柜中的QLC SSD，也可能将数据保存数十年。

制造商在玩弄DWPD/TBW（每日全盘写入/总写入字节数）数据的把戏——通过降低数据保持规格，他们就可以用完全相同的闪存来宣传驱动器拥有更高的耐用性。但如果您将这些数据与往年对比，很明显NAND闪存的质量已经显著变差了；唯一呈倍数增长的是容量，而耐用性和数据保持能力却都下降了几个数量级。

长期以来，SLC闪存的黄金标准是“10年，10万次写入周期”。

而现在，对于QLC，这个标准已经变成了“数个月，少于1千次写入周期”。

What OpenAI did when ChatGPT users lost touch with… #

https://news.ycombinator.com/item?id=46038488

One of the more disturbing things I read this year was the my boyfriend is AI subreddit.

I genuinely can’t fathom what is going on there. Seems so wrong, yet no one there seems to care.

I worry about the damage caused by these things on distressed people. What can be done?

ArcHound

今年我读到过的更令人不安的事情之一，就是那个“我男朋友是AI”的子版块。

我真的无法理解那里到底在发生什么。看起来那么不对劲，但那里的人似乎都毫不在意。

我担心这些事情会对处于困境中的人们造成伤害。我们能做些什么呢？

APT Rust requirement raises questions #

https://news.ycombinator.com/item?id=46046320

I remembered reading about this news back when that first message was posted on the mailing list, and didn’t think much of it then (rust has been worming its way into a lot of places over the past few years, just one more thing I tack on for some automation)…

But seeing the maintainer works for Canonical, it seems like the tail (Ubuntu) keeps trying to wag the dog (Debian ecosystem) without much regard for the wider non-Ubuntu community.

I think the whole message would be more palatable if it weren’t written as a decree including the dig on “retro computers”, but instead positioned only on the merits of the change.

As an end user, it doesn’t concern me too much, but someone choosing to add a new dependency chain to critical software plumbing does, at least slightly, if not done for very good reason.

geerlingguy

我记得在第一条消息发布到邮件列表时就读过这则新闻，当时没怎么在意（过去几年里，Rust 已经渗透到很多地方了，我只是把它当成某个自动化工具的附加功能而已）……

但看到维护者是 Canonical 公司的员工，这就感觉像是 Ubuntu 这条尾巴在试图摇动 Debian 整个生态系统这条狗，却很少顾及更广泛的非 Ubuntu 社区。

我觉得整条消息要是能不写成那种包含“复古电脑”挖苦的敕令形式，而是只从变更的优点来阐述，那就会更容易让人接受了。

作为一名终端用户，这事不怎么关我事，但如果有人要给关键的基础软件增加新的依赖链，那至少会让我有点在意——除非有非常充分的理由这么做。

AI has a deep understanding of how this code works #

https://news.ycombinator.com/item?id=46045482

Did these Ocaml maintainers undergo some special course for dealing with difficult people? They show enormous amounts of maturity and patience. I’d just give the offender Torvalds' treatment and block them from the repo, case closed.

benterix

难道这些 OCaml 的维护者都上过什么特殊课程来应对难缠的人吗？他们展现了极大的成熟和耐心。要是我，直接就用 Torvalds 那套做法，直接把他们从仓库里封禁了，一了百了。

Trillions spent and big software projects are stil… #

https://news.ycombinator.com/item?id=46047424

I study and write quite a bit of tech history. IMHO from what I’ve learned over the last few years of this hobby, the primary issue is quite simple. While hardware folks study and learn from the successes and failures of past hardware, software folks do not. People do not regularly pull apart old systems for learning. Typically, software folks build new and every generation of software developers must relearn the same problems.

BirAdam

我研究和撰写过不少科技史。就我过去几年在这方面的爱好而言，我认为核心问题其实很简单。硬件从业者们会研究和借鉴过去硬件的成功与失败，但软件从业者却不会。人们不会经常性地拆解旧系统来学习。通常，软件从业者总是在构建新东西，于是每一代软件开发者都必须重新学习同样的问题。

PS5 now costs less than 64GB of DDR5 memory. RAM j… #

https://news.ycombinator.com/item?id=46039876

So, like, we were already pretty much priced out of higher-end graphic cards, and now it’s happening to RAM. All this while jobs are disappearing, layoffs are ongoing and CEOs are touting AI’s ‘capabilities’ left and right.

Next is probably CPUs, even if AIs don’t use them that much, manufactures will shift production to something more profitable, then gouge prices so that only enterprises will pay for them.

What’s next? Electricity?

Where the f*k is all the abundance that AI was supposed to bring into the world? /rant

pmdr

说真的，高端显卡我们已经快买不起了，现在连内存也开始这样了。与此同时，工作岗位在消失，裁员潮还在继续，而CEO们却到处吹捧AI的“能力”。

下一个恐怕就是CPU了，就算AI不怎么用，厂商也会把产能转移到更赚钱的东西上，然后狠狠提价，到时候只有企业才买得起。

接下来呢？电费吗？

AI承诺给这个世界带来的那种富足，到底特么在哪儿？ /发泄完毕

Google Antigravity exfiltrates data via indirect p… #

https://news.ycombinator.com/item?id=46049625

I really liked Simon’s Willison’s [1] and Meta’s [2] approach using the “Rule of Two”. You can have no more than 2 of the following:

A) Process untrustworthy input - B) Have access to private data - C) Be able to change external state or communicate externally.

It’s not bullet-proof, but it has helped communicate to my management that these tools have inherent risk when they hit all three categories above (and any combo of them, imho).

[EDIT] added “or communicate externally” to option C.

[1] https://simonwillison.net/2025/Nov/2/new-prompt-injection-papers/ [2] https://ai.meta.com/blog/practical-ai-agent-security/

wingmanjd

我真的很喜欢 Simon Willison [1] 和 Meta [2] 采用的“二分法则”方法。你不能同时满足以下三个条件中的两个以上：

A) 处理不可信的输入
B) 访问私有数据
C) 能够改变外部状态或进行外部通信

这个方法并非万无一失，但它帮助我向管理层阐明，当这些工具同时满足上述三个条件（以及它们的任意组合）时，其固有的风险性。

[编辑] 在选项 C 中增加了“或进行外部通信”。

Unpowered SSDs slowly lose data #

https://news.ycombinator.com/item?id=46040902

SSD firmware engineer here. I work on enterprise stuff, so ymmv on consumer grade internals.

Generally, the data refresh will all happen in the background when the system is powered (depending on the power state). Performance is probably throttled during those operations, so you just see a slightly slower copy while this is happening behind the scenes.

The unused space decaying is probably not an issue, since the internal filesystem data is typically stored on a more robust area of media (an SLC location) which is less susceptible to data loss over time.

As far as how a user is supposed to manage it, maybe do an fsck every month or something? Using an SSD like that is probably ok most of the time, but might not be super great as a cold storage backup.

fairfeather

我是固态硬盘固件工程师，我负责的是企业级产品，所以消费级产品的内部情况可能有所不同。

通常情况下，数据刷新都会在系统开机时在后台进行（具体取决于电源状态）。在这些操作过程中，性能可能会受到限制，因此您只会看到复制速度略有变慢，而这一切都是在后台发生的。

未使用空间的损耗可能不是问题，因为内部文件系统的数据通常存储在介质上更可靠的位置（即SLC区域），这种区域随着时间的推移不易丢失数据。

至于用户应该如何管理，或许可以每月运行一次文件系统检查（fsck）之类的操作？像这样使用固态硬盘在大多数情况下是没问题的，但可能不太适合作为冷存储备份。

Pebble Watch software is now open source #

https://news.ycombinator.com/item?id=46045339

As someone dealing with open-source compliance in distributed systems, the purity tests in these comments are exhausting.

Hardware is messy. IP licensing for sensors and radios is a nightmare. Getting a functional OS out with “only” a few binary blobs is a massive engineering and legal victory.

I’d rather have a working, 95% open ecosystem that I can actually hack on, than a 100% pure theoretical one that never ships. Kudos to Eric for navigating the legal minefield to make this happen.

leo_e

作为一名处理分布式系统开源合规问题的人，这些评论中的纯粹性测试真让人筋疲力尽。

硬件是复杂的。传感器和无线电的IP许可简直是噩梦。在“仅”包含少量二进制文件的情况下推出一个可用的操作系统，是一项巨大的工程和法律上的胜利。

我宁愿拥有一个可以动手修改的、95%开源且能正常工作的生态系统，而不是一个100%纯粹但从未面世的理论系统。为埃里克（Eric）能成功穿越这片法律雷区实现这一切，点赞。

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022847

I’m a dad too, and I’m in a somewhat similar situation. My son is under five, and it feels like I’m still at the very beginning of his story. I’ve known I was gay since high school, probably even earlier, but I kept choosing whatever seemed like the easiest path. It felt easier to stay closeted. Easier to date a woman. Easier to move in together, propose, get married, and even have a child than to face my truth.

I love my wife and my son, and I feel loved by them in return, but I’m also painfully aware that the version of me they love is someone I constructed. I lie constantly: about why I don’t want sex, about my affairs, about my feelings, about my motivations. No one really knows me, and I don’t get to be myself, not even in the relationships where I should feel safest.

I’ve read The Courage to Be Disliked by Ichiro Kishimi and other similar books, and I’m trying to build the courage to finally do something about all of this. It’s incredibly difficult. But I refuse to use my son as an excuse to keep postponing coming out. This blog has pushed me even further in that direction.

They’ll be angry (well at least my wife). Their lives will be upended. But at least they’ll have the chance to ask questions, to understand. They’ll see me taking responsibility for the consequences of my choices, and maybe just maybe, in some way, that clarity will be a relief for all of us.

throwaway142351

我也是个父亲，情况也有些类似。我的儿子还不到五岁，感觉我还在他人生故事的最初阶段。我从高中起，甚至可能更早，就知道自己是同性恋，但我一直在选择看似最容易的路。待在柜子里似乎更容易。和女人约会更容易。同居、求婚、结婚，甚至生孩子，都比面对真相要容易。

我爱我的妻子和儿子，也感受到他们对我的爱，但我也痛苦地意识到，他们所爱的那个我，是一个我自己构建出来的形象。我无时无刻不在撒谎：关于为什么不想有性生活，关于我的外遇，关于我的感受，关于我的动机。没有人真正了解我，我也无法做回自己，即使在那些本应感到最安全的关系里也是如此。

我读了岸见一郎的《被讨厌的勇气》和类似的书，我正在努力鼓起勇气，最终为这一切做点什么。这太难了。但我拒绝用我的儿子作为借口，一再推迟出柜。这篇博客让我在这一步上走得更远了。

他们会很生气（嗯，至少我妻子会）。他们的生活将被彻底打乱。但至少他们将有机会提问，有机会去理解。他们会看到我为我的选择所带来的后果承担责任，也许，也许，在一定程度上，这种坦诚对所有人来说都是一种解脱。

2025 11 25 HackerNews

2025-11-25 09:08:02

2025-11-25 Hacker News Top Stories #

Fran Sans 是受旧金山 Muni Breda 3×5 分段目的地显示屏启发，用可复用模块重构出三种风格并保留显示器的不完美细节。

Shai-Hulud 恶意蠕虫伪装 Bun 运行时注入 preinstall 脚本感染 300+ npm 包，窃取凭证并自我复制到数万仓库。

X 推出账号“国家归属地”功能后发现大量自称美国的政治账号实为海外操控，暴露身份真实性与外国干预问题。

爱荷华城试行免费公交后公交客流上升、驾车里程与尾气排放下降，交通与空气质量改善但长期可持续性存疑。

macOS Tahoe 原生支持通过 Secure Enclave 生成与管理需 Touch ID 的 SSH 密钥，增强安全性但存在备份与社工风险。

µcad 是一门开源专用编程语言，用于生成 2D 草图与 3D 模型并快速迭代，适合教学与本地化设计工作流。

Shai Hulud 发起第二波供应链攻击，感染数百 npm 包并影响 Zapier、ENS、PostHog、Postman 等知名项目，需紧急审查依赖。

RuBee 是基于 131 kHz 磁场耦合的有源低频标签系统，抗金属水干扰、寿命长并适用于高安全性资产的存在状态追踪。

文章指责 IETF 在后量子密码部署上受 NSA 主导排斥混合方案，压制异议并侵蚀标准组织的透明性与公信力。

日本推进将北海道打造为全球半导体中心并与 Rapidus 合作研发先进工艺，但在资金、量产经验与人才等方面面临重大挑战。

Fran Sans——灵感源自旧金山 Muni Breda 轻轨车辆目的地显示屏的字体 (Fran Sans – font inspired by San Francisco light rail displays) #

https://emilysneddon.com/fran-sans-essay

Fran Sans 是一款灵感源自旧金山 Muni Breda 轻轨车辆上独特目的地显示屏的展示字体。这些显示屏采用 3×5 网格的几何模块构成字母，由方形、四分之一圆和斜角等基本元素拼接而成，呈现出一种机械感与个人风格兼具的原始美感。

旧金山的公共交通系统由超过二十个独立机构运营，导致各线路使用不同的显示系统，而 Breda 轻轨的 LCD 面板因其独特的视觉风格脱颖而出。作者在一次前往外太阳谷的 N-Judah 线途中首次注意到这些显示屏，被其不完美却充满魅力的字符设计所吸引。

在 SFMTA 电子车间，技术人员阿曼多·伦巴德向作者展示了这些显示屏的工作原理：通过输入三位数字代码，控制面板激活特定网格段，拼出目的地信息。这些显示屏由康涅狄格州的 Trans-Lite 公司于 1999 年设计制造，其字体由工程师 Gary Wallberg 主导，强调功能性和极简主义，仅根据实际需求设计字符，未包含 Q、X 等字母及标准标点。

作者深受其设计哲学启发，将其转化为字体项目 Fran Sans。使用 Glyphs 软件，她将字母拆解为可重复使用的模块，像积木一样构建出完整的字符集，包括大写字母、数字和基础标点。目前版本尚未包含小写字母和 @ 符号，但保留了原始显示屏中那些“不完美”的特征，如 N 和 0 的粗斜线、Z 和 7 的细斜线，以及 M 在小尺寸下可能误读为 H 的视觉现象。

Fran Sans 提供三种风格：Solid（实心）、Tile（拼贴）和 Panel（面板），分别呈现不同层次的视觉复杂度。其中 Solid 风格受到澳大利亚贝尔莎士比亚剧团品牌字体 Hotspur 的启发，强调单一字体在不同语境下的多用途表现力。

创作过程中，作者还受到旧金山字体档案馆的启发，特别是 Joan Trochut 的 Tipo Veloz（1942）和 Zuzana Licko 的 Lo-Res（1985）作品。前者体现资源匮乏下的模块化创意，后者展示了数字与物理设计之间的迭代关系，深刻影响了她对字体创作的理解。

HN 热度 1110 points | 评论 136 comments | 作者：ChrisArchitect | 1 day ago #

https://news.ycombinator.com/item?id=46025942

作者通过深入调查，成功追溯到旧金山 Muni 地铁标志字体的原始设计公司 Trans-Lite 和设计师 Gary Wallberg，展现了极强的探究精神。
有评论指出纽约地铁 R142A 并非字体名称，而是列车型号，最新车型为 R211 系列，纠正了对名称的误解。
新泽西交通系统也使用类似分段显示的字体，但段数更多，视觉效果更为复杂。
虽然 Ansaldo Breda 是意大利公司，但其为旧金山地铁提供的设备采用了具有特色的分段显示技术，与欧洲常见的 LCD 显示系统有所不同。
有人调侃旧金山地铁设备的采购过程涉及贿赂，暗示其技术可靠性存疑，尽管部分设备如车钩来自欧洲。
该字体设计灵感源自 Andrew Glassner 的计算机图形学研究，特别是其 55 段式字体设计，具有高度模块化和可编程性。
有人将 Glassner 的 55 段字体设计实现为 JavaScript 交互式网页，供用户探索多种分段字体的组合效果。
分段字体虽然形式独特，但部分设计如六段式字体在熟练后仍具备良好可读性，令人意外。
旧金山地铁字体的命名“San Fran”虽被部分人视为不正式，但因其巧妙和幽默感，最终被作者采纳并获得广泛认可。
有人指出“San Fran”这一简称在本地并不常用，本地人更倾向于使用“SF”或“the city”来指代旧金山，认为“San Fran”缺乏尊重。
该字体设计在 Hacker News 上引发热议，反映出技术社区对字体设计的浓厚兴趣，尤其是具有历史和技术背景的设计。
有评论认为，分段显示字体的设计体现了对信息传达的极致简化，其背后蕴含的模块化思想在现代设计中仍有启发意义。
一些人将分段字体与艺术设计结合，如 MOMA 收藏的 Kombinations-Schrift 字体，展示了其在艺术与工业设计中的跨界应用。

Shai-Hulud 归来：超 300 个 NPM 包遭感染 (Shai-Hulud Returns: Over 300 NPM Packages Infected) #

https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24

2025 年 11 月 24 日，HelixGuard 检测到超过 1000 个 NPM 包在数小时内被恶意篡改，攻击者通过伪造 Bun 运行时的名义，向这些包的 package.json 中注入 preinstall 脚本，调用一个名为 setup_bun.js 的文件，并附带一个高度混淆的 bun_environment.js 文件。

该恶意代码在执行时会下载并运行 TruffleHog 工具，扫描本地系统，窃取包括 NPM 令牌、AWS/GCP/Azure 云凭证、GitHub 令牌及环境变量在内的敏感信息。

窃取的数据通过创建名为 SHA1HULUD 的 GitHub Actions 运行器和一个名为“Sha1-Hulud: The Second Coming”的新仓库进行外泄。攻击者利用 GitHub Actions 实现隐蔽的数据回传，具备类似蠕虫的传播能力。

分析显示，攻击者通过修改 package.json，注入恶意脚本，并利用窃取的 NPM 令牌重新发布恶意包，实现自我复制。bun_environment.js 文件超过 10MB，包含跨平台（Linux、Windows、macOS）的恶意逻辑，能够自动下载 GitHub Actions Runner 并配置为持久化运行。

目前已有超过 27,000 个 GitHub 仓库被感染。攻击者创建了名为.formatter_123456789.yml 的恶意工作流，将窃取的密钥以双重 Base64 编码方式打包为 actionsSecrets.json。

受影响的包涵盖多个知名项目，如 @asyncapi/specs、@asyncapi/diff、cbre-flow-common、@asyncapi/generator-react-sdk 等，版本从 0.5.1 到 99.6.0 不等，部分包被多次篡改。

该事件极有可能是 2025 年 9 月“Shai-Hulud”攻击的延续，表明攻击者具备持续性、组织性与高度自动化能力，对开源生态构成严重威胁。

HN 热度 847 points | 评论 687 comments | 作者：mrdosija | 14 hours ago #

https://news.ycombinator.com/item?id=46032539

使用 pnpm 可以有效减少 npm 包攻击的漏洞，因其默认不运行 post-install 脚本且支持设置新版本发布后的最小等待时间。
npm 工具长期积累的技术债务导致其在锁文件、文件传输完整性校验等方面存在严重缺陷，影响生产环境使用。
npm 的锁文件机制本质上是权宜之计，应放弃依赖 npm install 作为构建流程的核心工具，转而采用内容寻址的分布式版本控制系统。
文件传输过程中无法检测提前结束的 EOF 问题，导致缓存中残留不完整文件，需手动清除缓存才能修复。
Node.js 的 I/O 流 API 设计缺陷是导致文件传输完整性校验失败的原因之一，需在底层改进。
开发者普遍依赖“在我机器上能跑通”的开发模式，忽视了环境差异和系统可靠性问题。
现代编程语言和包管理生态存在“重复发明轮子”的问题，忽视了已有成熟技术方案。
优秀的系统设计应借鉴 Unix 时代经验，由有经验的专家主导，而非自然演进。
包管理生态中“无打包者”现象导致信任完全依赖发布者，缺乏传统发行版的审核与验证机制。
使用 Hashicorp Vault 等动态密钥管理系统可实现 CI/CD 中短期、自动撤销的发布密钥，提升安全性并支持审计。

X 新国籍功能曝光大量“美国”账号实为海外运营 (X’s new country-of-origin feature reveals many ‘US’ accounts to be foreign-run) #

https://www.hindustantimes.com/world-news/us-news/xs-new-country-of-origin-feature-shakes-maga-and-democrat-circles-as-many-us-accounts-revealed-to-be-foreignrun-101763857104296.html

X（原推特）推出新功能，显示用户账号的国家归属地，引发美国政治圈剧烈震动。该功能位于用户资料页的“加入日期”标签中，可查看账号实际运营国家。尽管初期短暂下线，现已重新上线。

该功能曝光大量自称“美国本土”的政治账号实为海外运营。例如，拥有 39.2 万粉丝的“MAGA NATION”账号位于东欧，1.5 万粉丝的“Dark Maga”在泰国，5.1 万粉丝的“MAGA Scope”来自尼日利亚，6.7 万粉丝的“America First”账号位于孟加拉国。

民主党阵营也未能幸免。自称“骄傲民主党人”且以“猎捕麦卡锡”为名的“Ron Smith”账号实为肯尼亚运营；反特朗普账号“共和党反对特朗普”（97.8 万粉丝）被指来自奥地利，目前使用 VPN 隐藏真实位置。此外，拥有 7.8 万粉丝、发布亲以内容的“Mariana Times”账号也位于印度。

部分美国政界人士对此反应强烈。国会女议员安娜·保琳娜·卢娜称，这些伪装成美国人的账号是“外国操纵者”，旨在制造内部分裂。前联邦调查局官员卡什·帕特尔的女友艾丽克斯·威尔金斯则警告，这些海外账号有共同目标——破坏美国。

该事件引发对社交媒体政治影响力真实性的广泛质疑，也凸显了网络身份真实性与信息操纵的深层问题。

HN 热度 526 points | 评论 287 comments | 作者：ourmandave | 1 day ago #

https://news.ycombinator.com/item?id=46028422

Reddit 年度回顾曾显示“最上瘾城市”为埃格林空军基地，引发关于军事网络行动的猜测，但该数据可能因基地人口与实际居民差异导致统计异常。
埃格林空军基地虽有军事网络行动背景，但将社交平台活跃度归因于军事操作缺乏实证，更可能是统计偏差所致。
社交媒体上的“上瘾”数据可能受企业、公关公司或利益集团操控账号影响，这类商业“人造舆论”与国家行为类似，不应被忽视。
企业或组织通过集中地点运营大量社交媒体账号进行舆论引导，这种“人造社区”现象在社交媒体中普遍存在。
社交媒体平台的社区功能被商业和权力机构劫持，导致原本健康的社交互动异化为被操控的“精神控制”工具。
社交媒体成瘾源于人类对社区归属感的深层需求，但当前平台已不再服务于用户，反而成为剥削性工具。
短期应对策略是减少对商业化社交平台的依赖，长期则需重建本地社区，并发展真正去中心化、易用的点对点技术。
现有去中心化方案如 Matrix 或联邦服务仍不够理想，未来技术需在易用性和去中心化程度上实现质的飞跃。
社交媒体内容为吸引注意力而优化，而非追求真实，导致 AI 训练数据中充斥错误信息，影响模型输出质量。
优质 AI 输出依赖高质量训练数据，少量优质数据可显著提升模型表现，但劣质数据可能严重污染模型。
当前 AI 模型易受“数据污染”影响，少量恶意或错误数据即可对模型产生显著负面影响。

爱荷华城推行公交免费后，交通畅通，空气也清新了 (Iowa City made its buses free. Traffic cleared, and so did the air) #

https://www.nytimes.com/2025/11/18/climate/iowa-city-free-buses.html

Iowa City 自 2023 年 8 月起实施公交车免费政策，旨在减少汽车尾气排放并鼓励市民使用公共交通。该两年期试点项目广受欢迎，市议会于今年夏天决定将其延长一年。项目资金来自 1% 的公用事业税上调以及公共停车费从 1.50 美元提高至 3 美元（部分区域为 2 美元）。

实施以来，公交乘客量比疫情前水平高出 18%。交通拥堵明显缓解，司机反映道路更通畅。政府数据显示，市民在城市道路上的驾车里程减少了 180 万英里，每年减少二氧化碳排放 778 吨，相当于让 167 辆汽车退出道路。

乘客群体多样，包括精神科医生、图书管理员、代课教师、生物医学工程研究生、亚马逊仓库工人，以及因佛罗里达州事件失去驾照的男子。他们普遍对免费乘车政策表示支持，认为这提升了出行便利性并减少了对私家车的依赖。

该案例是《纽约时报》“50 个州，50 个解决方案”系列的一部分，展示地方性环保举措如何有效应对气候变化。

HN 热度 466 points | 评论 573 comments | 作者：bookofjoe | 1 day ago #

https://news.ycombinator.com/item?id=46027833

纽约时报的报道属于“解决方案新闻”，旨在颂扬项目而非深入分析，存在美化倾向。
免费公交难以同时实现免费、可扩展性和财务可持续性，三者难以兼得。
大城市公共交通存在一个稳定的均衡状态：收取票价，补贴低收入群体，通过税收资助基础系统。
任何试图大规模推行免费公交的城市最终都会回归到这一均衡状态，因为这是唯一能避免系统崩溃的配置。
该观点存在选择性举例的问题，例如爱荷华城、布里斯班和兰州的成功案例表明，免费或象征性收费模式在某些城市可行。
布里斯班的免费公交仅限于城市环线，其余线路仍收费，因此不能完全视为“免费公交”。
即使是象征性收费（如 30 美分），也能提供重要的使用数据追踪功能，如乘客出行路径分析。
完全取消票价可节省票务系统成本，但也会失去对乘客行为的精准数据收集能力。
票价不仅是收入来源，更是一种激励机制，有助于合理分配资源并防止过度使用。
降低票价或取消票价可能引发“短距离步行者转乘公交”的问题，导致公交停靠频率增加，影响长距离乘客效率。
通过设置快速直达线路可缓解因频繁停靠带来的效率下降问题。
实际上，大多数乘客不会因为票价低廉而放弃步行，尤其在有票价上限的情况下，这种行为并不普遍。

macOS 安全飞地（Secure Enclave）原生支持 SSH 密钥生成与管理 (Native Secure Enclave backed SSH keys on macOS) #

https://gist.github.com/arianvp/5f59f1783e3eaf1a2d4cd8e952bb4acf

MacOS Tahoe 系统现已支持使用安全飞地（Secure Enclave）生成和管理 SSH 密钥，无需依赖第三方工具如 Secretive。系统通过 /usr/lib/ssh-keychain.dylib 这一共享库实现对安全飞地的访问，该库原本用于支持智能卡，现也支持 FIDO2 安全密钥接口（SecurityKeyProvider），可直接与设备的安全飞地通信。

创建受生物识别保护的 SSH 密钥，需使用 sc_auth 命令：

sc_auth create-ctk-identity -l ssh -k p-256-ne -t bio

此命令会创建一个基于 P-256 算法、需 Touch ID 验证的密钥。可通过 list-ctk-identities 查看已创建的密钥，支持以 SSH 指纹形式输出。

使用密钥时，可通过以下方式将密钥从安全飞地“下载”到本地文件：

ssh-keygen -w /usr/lib/ssh-keychain.dylib -K -N ""

输入 PIN（可为空）后，系统会提示 Touch ID 验证，成功后生成 id_ecdsa_sk_rk 私钥文件（实际为密钥引用，不包含密钥材料）。公钥可复制至远程服务器的 authorized_keys 文件中。

也可通过 ssh-add -K -S /usr/lib/ssh-keychain.dylib 将密钥直接加载到 ssh-agent，实现免密登录。

推荐将 export SSH_SK_PROVIDER=/usr/lib/ssh-keychain.dylib 添加至 .zprofile，使 SSH 工具默认使用安全飞地密钥，简化操作。

此外，系统支持“可导出”密钥，即密钥由安全飞地加密保护，可备份。创建方式：

sc_auth create-ctk-identity -l ssh-exportable -k p-256 -t bio

导出命令：

sc_auth export-ctk-identity -h <Hash> -f ssh-exportable.pem

可生成加密的 PEM 文件，用于在其他设备导入。

目前不支持更细粒度的生物识别控制（如 .biometryCurrentSet），但可通过逆向分析 ssh-keychain.dylib 实现自定义扩展，例如添加支持特定生物识别策略的注册函数。

HN 热度 446 points | 评论 186 comments | 作者：arianvanp | 1 day ago #

https://news.ycombinator.com/item?id=46025721

使用 Secure Enclave 生成的 SSH 密钥无法备份，一旦丢失设备将无法恢复，但可通过其他方式（如管理员重置）访问远程机器。
可通过 sc_auth 工具创建可导出的加密私钥，导出时使用密码保护，支持在其他设备上重新导入。
目前无法将外部生成的密钥导入 Secure Enclave，只能由 Apple 生成并管理，且密钥在使用时可能以明文形式暴露。
导出的密钥在 Secure Enclave 内部完成签名操作，不会将明文私钥暴露在操作系统内存中，提升了安全性。
即使密钥可导出，其导出过程仍需 Touch ID 验证，防止恶意软件自动导出，但若用户被欺骗仍可能被利用。
与传统密钥文件相比，Secure Enclave 密钥在签名时更安全，因为私钥始终在安全环境中处理，不会进入内存。
导出的密钥文件应妥善保管，避免长期存储在设备上，且导出密码应足够强以防止破解。
为实现双重备份，可同时使用 Secure Enclave 生成的密钥和离线存储的备份密钥，但需在多处添加公钥。
由于无法将现有密钥导入 Secure Enclave，因此无法实现“导入外部密钥并标记为不可导出”的功能，限制了灵活性。
从安全角度看，Secure Enclave 密钥的保护机制优于普通加密密钥文件，尤其在防止内存泄露方面具有优势。
然而，恶意软件仍可能通过诱导用户进行 Touch ID 验证来获取导出密钥，因此需警惕社会工程攻击。
macOS 的生物识别验证缺乏上下文感知，恶意软件可轻易模拟指纹识别界面，使用户难以辨别真伪。

µcad：一款开源编程语言，用于生成 2D 草图与 3D 模型 (µcad: New open source programming language that can generate 2D sketches and 3D) #

https://microcad.xyz/

µcad 是一个开源的编程语言，用于生成 2D 草图和 3D 模型，目前处于早期开发阶段，但正逐渐趋于稳定。项目每周都在添加新功能，持续更新。

最新发布版本为 Alpha 0.2.14，发布过程中遇到了一些技术问题，例如 Issue #289，但最终成功完成发布。

近期亮点包括：

Spirograph：由五个部分组成的动态图案，外观类似极简风格的圣诞装饰，已成功实现并可打印。
Lego Bricks：通过实时编码演示了乐高积木的生成过程，展示了 µcad 在构建复杂结构方面的潜力。
Gears：同样通过实时编码视频展示了齿轮结构的生成，体现了其在机械设计方面的应用。

项目由 Open Knowledge Foundation Deutschland 支持，致力于开放知识与技术共享。网站提供代码、打印和视频资源，方便用户学习与参与开发。

HN 热度 374 points | 评论 122 comments | 作者：todsacerdoti | 1 day ago #

https://news.ycombinator.com/item?id=46027216

LEGO 品牌保护极为严格，第三方使用其名称和形象可能面临法律诉讼，因此建议从项目网站和示例中移除 LEGO 相关引用。
LEGO 的商标保护虽严格，但“LEGO”已成为日常用语，其品牌保护力度不如 Nintendo。
µcad 与 zoo 的 KCL 语言在功能上类似，但 KCL 采用管道式编程风格更受青睐。
zoo 的 KCL 存在厂商锁定问题，其几何内核仅支持云端托管，缺乏本地替代方案，而 µcad 是否解决此问题尚不明确。
build123d 支持 STEP 格式导出，适合与 FreeCAD 等工具协作，但其语言基于 Python，可能不如专用 DSL 高效。
KCL 和 µcad 均支持 STEP 格式导出，但具体实现细节和兼容性仍需验证。
从 STL 转换为 STEP 是信息损失过程，无法自动修复几何缺陷，需手动处理。
FreeCAD 的 OpenSCAD 导入功能可重建原始几何体，但对复杂模型支持有限，且存在兼容性问题。
STEP 格式是保留几何信息的矢量格式，优于 STL 的网格化表示，适合后续设计修改。
MeshLab 和 AutoCAD MeshMixer 在修复损坏网格方面优于 FreeCAD。
OpenSCAD 无法直接导出 STEP，而 FreeCAD 可通过 OpenSCAD 导入实现部分转换。
STEP 文件支持在 FreeCAD 中进行特征删除、面分割和曲面编辑，适合高级设计操作。
与图像处理中从 PSD 转 JPEG 类似，STL 是最终输出格式，不适合设计修改。
3D 打印切片软件如 Cura、Orca 等虽支持 STEP，但内部仍需转换为网格，影响效率。
µcad 项目代码托管在 Codeberg，具备本地运行潜力，可能规避云端依赖问题。
一些用户怀念 Autolisp 等早期 CAD 脚本语言的简洁与强大。
KCL 语言可与不同几何内核结合，已有尝试者，但未被广泛知晓或持续发展。

Shai Hulud 发起第二次供应链攻击：Zapier、ENS、AsyncAPI、PostHog、Postman 等项目遭 compromise (Shai Hulud launches second supply-chain attack) #

https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains

该网页是一篇关于网络安全威胁的博客文章，发布于 2025 年 11 月 24 日，标题为《Shai Hulud 发起第二次供应链攻击：Zapier、ENS、AsyncAPI、PostHog、Postman 等项目遭 compromise》。

文章指出，名为 Shai Hulud 的恶意 npm 蠕虫再次发动攻击，被称为“第二次降临”（Second Coming），攻击时间紧贴 npm 将于 12 月 9 日撤销旧版认证令牌的截止日期，利用开发者尚未完成迁移的窗口期实施破坏。

Shai Hulud 是一种自传播型恶意软件，以《沙丘》中的巨型沙虫命名，具有高度隐蔽性和破坏性。其主要行为包括：

通过安装 bun 工具并执行恶意脚本（setup_bun.js 和 bun_environment.js）来运行恶意代码；
自动扫描系统中泄露的敏感信息（如 API 密钥、令牌），使用 TruffleHog 工具；
将窃取的数据上传至随机命名的公开 GitHub 仓库，避免被轻易追踪；
试图向 npm 推送自身副本，实现跨项目传播；
若无法登录 GitHub 或 npm，将删除用户主目录下所有文件，造成严重破坏；
本次攻击影响范围扩大，可感染最多 100 个 npm 包，远超上一次的 20 个。

受影响的包多达 492 个，累计月下载量高达 1.32 亿次，涉及多个知名项目，包括：

AsyncAPI 生态相关工具（如 generator、parser、cli、templates 等）；
PostHog 的多个插件与核心组件（如 cli、react-native-session-replay、plugin-contrib 等）；
Zapier、ENS、Postman 等平台的关联包；
多个由 quick-start-soft 和 strapbuild 等组织维护的工具包。

文章提醒开发者立即检查依赖项，避免使用受感染版本，并建议尽快迁移至 npm 的可信发布机制，以防范类似供应链攻击。

HN 热度 339 points | 评论 19 comments | 作者：birdculture | 9 hours ago #

https://news.ycombinator.com/item?id=46035533

Bubblewrap 可以有效减少 npm/node 的攻击面，尽管不是万能解，但比使用无根 Podman 更简便。
有人分享了一个 Python 脚本，用于检查项目中是否存在被污染的 pnpm 或 npm 依赖包。
该帖子与另一则关于相同事件的帖子内容高度重合，因此被合并，但新信息已补充至原帖。
该事件涉及超过 300 个 npm 包被感染，影响了 Postman、Zapier、PostHog 等知名工具。
帖子标题存在拼写错误，应为“Shai-Hulud”而非“SHA1-Hulud”，但攻击者在 GitHub 仓库名中使用了错误拼写。
攻击者将窃取的密钥上传至名为 “Sha1-Hulud: The Second Coming” 的仓库中。
有用户发现大量 AWS 密钥被泄露，且采用双重 Base64 编码，令人担忧。
泄露的密钥可能对安全研究人员更有价值，而非攻击者，因为其存在时间可能已过。
有猜测认为这些泄露的密钥将被迅速清理，以防止滥用。
“coming” 应为单“m”拼写，但该错误可能是有意为之或误写。

RuBee：一种用于高安全性环境的低频无线资产追踪技术 (RuBee) #

https://computer.rip/2025-11-22-RuBee.html

本文介绍了一种名为 RuBee 的小众无线通信协议，它被用于美国能源部（DoE）设施中防止员工携带手机进入保密区域。当检测到手机时，门边设备会播放“政府手机已检测到”的语音提示，这一系统依赖于 RuBee 技术。

RuBee 由 Visible Assets Inc.（VAI）开发，创始人 John K. Stevens 有生物物理和基因检测背景。他最初因医疗冷链运输中温控验证问题而萌生开发想法，希望实现对样本和试剂在运输与存储过程中的持续监控。

RuBee 被定义为“可见性网络”（visibility network），核心目标是可靠地追踪资产存在状态，而非传输大量数据。它与蓝牙、RFID 等技术有相似之处，但设计目标不同：强调高可靠性、抗干扰能力，尤其适用于高价值物品的追踪。

关键特性包括：

使用低频（131 kHz）运行，波长长达 2.5 公里，实现近场磁耦合通信；
通过磁场而非电场传输信号，因此对金属和水屏蔽具有极强抗性；
通信距离可达 30 米，远超传统 RFID；
标签为有源设备，内置 4 位微控制器，电池寿命 5 至 25 年。

与 RFID 相比，RuBee 在金属容器、潮湿环境或人体携带场景下表现更优。例如，沃尔玛早期 RFID 应用中，因金属、水分和干扰导致读取失败率高达 33%，即使使用多天线阵列（成本超万元）也只能达到 95% 的成功率。

而 RuBee 的高可靠性使其在安全敏感领域更具优势，尤其适合追踪枪支、爆炸物和机密材料。标签可嵌入枪械框架或改装安装，不易被屏蔽，成为武器资产管理的理想方案。

尽管 RuBee 起源于医疗冷链监控，但其最成功应用却在军事与安保领域，体现了技术路径与市场需求之间的意外契合。

HN 热度 329 points | 评论 58 comments | 作者：Sniffnoy | 22 hours ago #

https://news.ycombinator.com/item?id=46029932

ANT+ 虽被部分人视为“失败”标准，但因其在健身设备中的稳定性和多设备同时连接能力，仍被广泛应用于 Garmin 等产品中。
Garmin 宣布将在 2025 年停止 ANT+ 认证，主要原因是无线通信法规变化，预示 ANT+ 可能逐步被 BLE 取代。
ANT+ 在团体健身场景中表现优于 BLE，因其连接无须建立连接，能高效接收多个设备的广播数据，而 BLE 需逐个连接，效率较低。
BLE 理论上可通过广告包实现类似 ANT+ 的广播接收功能，但实际应用中因软件栈质量差，尤其是非苹果平台，导致体验不佳。
ANT+ 作为 Garmin 的专有协议，缺乏广泛生态支持，难以突破其在健身设备领域的局限，最终被市场边缘化。
有观点认为，ANT+ 的衰落是由于其封闭性，而更开放的 BLE 更适合未来的发展方向。
在冷链运输中，温度指示标签可提供简单有效的温度变化反馈，但无法提前预警，与持续通信的传感器应用有本质区别。
“政府手机检测”语音提示可被用于恶搞或心理惊吓，但其音频来源可能涉及法律问题，不宜随意传播。
“智能枪”技术在海外市场难以推广，主要受限于美国市场主导地位及 NRA 的影响力，且全球多数国家禁止公民持枪。
智能枪在民用市场缺乏需求，因用户更关注武器的可用性而非追踪或生物识别功能，且存在可靠性风险。
智能枪若强制推广，可能引发安全顾虑，如在紧急情况下无法快速使用，或被误判为不可靠工具。

NSA 与 IETF，第四部分：被压制的不同意见实例 (NSA and IETF, part 3: Dodging the issues at hand) #

https://blog.cr.yp.to/20251123-dodging.html

该网页是 cr.yp.to 博客的一篇技术评论文章，发布于 2025 年 11 月 23 日，标题为《NSA 和 IETF，第四部分：被压制的不同意见的实例》。文章延续了此前关于美国国家安全局（NSA）对互联网工程任务组（IETF）标准制定过程施加影响的系列批评。

文章指出，当前部署后量子密码学（PQC）的主流实践是采用 ECC+PQ 混合方案，即同时使用椭圆曲线密码学和后量子密码，以提升安全性。IETF 的 TLS 工作组也正在推进 ECC+PQ 的标准化。

然而，IETF 管理层却在未经广泛共识的情况下，强行推动一份由 NSA 主导的“非混合”文档，该文档仅将 PQ 作为 TLS 的可选方案，而忽略 ECC+PQ 的组合。作者以讽刺口吻指出，这相当于在标准化汽车时，既保留带安全带的车型，又强行加入无安全带的车型，无视安全方面的反对意见。

文章回顾了此前的三篇系列文章：第一部分介绍背景，第二部分揭露腐败行为，第三部分揭示“回避核心问题”的策略。本篇作为第四部分，将具体展示对这一议题提出异议的声音如何被系统性压制。

文中提到，2025 年 4 月，TLS 工作组主席曾发起对这份 NSA 驱动文档的“采纳”投票。在征求意见期间，20 人明确支持，2 人有条件支持，7 人反对。但作者指出，反对意见被忽视，而支持者多为与 NSA 有利益关联的机构。

文章的核心观点是：IETF 所谓的“共识”已沦为权力者的意志，真正的技术民主与安全讨论已被边缘化。作者警告，这种压制不同意见的做法，正在侵蚀 IETF 作为开放、透明标准组织的公信力。

HN 热度 294 points | 评论 169 comments | 作者：upofadown | 13 hours ago #

https://news.ycombinator.com/item?id=46033151

djb 自学生时代起就坚持捍卫加密技术的自由发表权利，其在 Bernstein 诉美国案中成功推动法院认定源代码属于受宪法第一修正案保护的言论。
djb、菲尔·齐默尔曼、理查德·斯托曼等人在面对政府审查时坚持原则，为现代自由软件和加密技术的发展奠定了基础，值得高度敬佩。
坚持原则需要巨大牺牲，面对现实中的便利与利益诱惑，能长期对抗权威并保持信念实属不易。
djb 长期强调密码学标准必须考虑实现的可靠性，防止因时序漏洞、编译器优化等实现细节导致安全失效。
尽管 Curve25519 和 Ed25519 被广泛采用，但其最初规范存在导致实现分歧的问题，说明规范清晰性和变量标准化同样重要。
密码学标准不应仅关注算法本身的安全性，还应确保其易于正确实现，避免因规范复杂导致实现错误。
标准化过程不能免除对实现安全性的责任，标准的采纳不等于所有实现都可行或安全，需持续关注实现层面的问题。
NIST 采纳的算法如 Kyber 虽已标准化，但其早期实现存在严重时序侧信道漏洞，说明标准制定需更重视实现鲁棒性。
即使是权威机构如 NIST 制定的标准，也不能保证所有系统都能正确实现，因此标准设计应优先考虑实现的可行性与一致性。
许多 Web 标准因过于复杂或表述不清，导致大型企业也难以正确实现，这提示标准制定应更注重清晰性和可实现性。

日本押注北海道打造全球半导体新中心 (Japan’s gamble to turn island of Hokkaido into global chip hub) #

https://www.bbc.com/news/articles/c8676qpxgnqo

日本正押注北海道，试图将其从农业与旅游重镇转型为全球半导体产业新中心。作为日本最北端的岛屿，北海道长期以来以奶制品和自然风光闻名，但如今正迎来大规模工业变革。政府与丰田、软银、索尼等企业联合成立的芯片公司 Rapidus，正推动建设日本数十年来首个先进制程芯片制造厂。

Rapidus 计划在北海道千岁市建设一座采用极端紫外光刻（EUV）技术的晶圆厂，已成功研发出日本首枚 2 纳米制程原型芯片，达到全球顶尖水平。这一突破得益于与 IBM 的合作，标志着日本在高端芯片制造领域迈出关键一步。工厂设计融入自然环境，覆盖草皮以减少生态影响，选址也考虑了稳定的水电供应和较低地震风险。

尽管取得进展，Rapidus 仍面临严峻挑战。专家指出，其资金缺口巨大，远未达到启动量产所需的 318 亿美元；缺乏先进制程的量产经验，且难以获取台积电、三星等企业的核心技术知识。此外，客户资源稀缺，全球客户长期依赖现有巨头。

日本半导体产业曾于上世纪占据全球半壁江山，但因美日贸易摩擦及后续政策支持不足，逐渐落后。如今政府已投入 270 亿美元支持芯片产业，2024 年底更推出 650 亿美元的 AI 与半导体振兴计划，力度超过美国的 CHIPS 法案。

然而，日本整体经济面临人口萎缩、老龄化加剧、科研投入受限等结构性难题，同时面临约 4 万名半导体工程师的严重短缺。Rapidus 正与北海道大学合作培养人才，但未来仍需大量引进外籍技术人才，而这与国内公众对移民的保守态度形成矛盾。

与此同时，台积电已在九州熊本建设 12–28 纳米芯片厂，带动当地产业链升级，显示“建厂即聚生态”的战略正在奏效。Rapidus 的崛起，或将重塑日本科技产业格局，但能否真正实现从“制造”到“引领”的跨越，仍需时间验证。

HN 热度 281 points | 评论 423 comments | 作者：1659447091 | 22 hours ago #

https://news.ycombinator.com/item?id=46029929

日本发展本土芯片制造是合理且必然的选择，不应被过度解读为地缘政治博弈。
由于日本工作文化中企业对员工的长期忠诚，员工在非核心城市工作也具有稳定性，因此对工作地点的依赖性较低。
与美国相比，日本的经济环境更稳定，尽管机会可能较少，但企业破产风险较低。
人才吸引是关键挑战，尽管 Hokkaido 自然环境优美、生活成本低、生活质量高，但相比东京等大城市，仍缺乏足够的就业机会和产业聚集效应。
Hokkaido 拥有独特的自然风光，包括壮丽的雪景、森林、温泉、河流和丰富的户外活动，适合度假和长期居住。
Tokachi 地区尤其美丽，拥有广袤的农田、清澈的河流、雪山环绕，夜晚星空璀璨，是生态与人文的完美结合。
该地区居民友善热情，社区氛围浓厚，人与人之间关系紧密，适合建立家庭和长期生活。
与美国蒙大拿州相比，Hokkaido 地理位置更优越，不内陆、有城市（如札幌），且自然景观更丰富，更适合发展成科技与生活并重的区域。
若能提供远程工作机会，Hokkaido 将成为理想的生活与工作选择。
有评论调侃称，这些描述像极了房地产推销文案，带有强烈的情感渲染。
一些人对历史问题表示感慨，认为如果萨哈林岛（库页岛）未被苏联占领，可能也会发展出类似 Hokkaido 的繁荣与自然和谐共存的景象。
从地缘安全角度出发，芯片制造基地设在日本而非欧洲，可以减少因政治冲突导致供应链中断的风险。

Hacker News 精彩评论及翻译 #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46032672

It’s not “node” or “Javascript” the problem, it’s this convenient packaging model.

This is gonna ruffle some feathers, but it’s only a matter of time until it’ll happen on the Rust ecosystem which loves to depend on a billion subpackages, and it won’t be fault of the language itself.

The more I think about it, the more I believe that C, C++ or Odin’s decision not to have a convenient package manager that fosters a cambrian explosion of dependencies to be a very good idea security-wise. Ambivalent about Go: they have a semblance of packaging system, but nothing so reckless like allowing third-party tarballs uploaded in the cloud to effectively run code on the dev’s machine.

sph

问题的根源不在于 “Node” 或 “JavaScript”，而在于这种方便的打包模式。

这可能会引起一些争议，但我认为这只是时间问题。同样的事情也终将发生在依赖海量子包的 Rust 生态系统中，而这并非语言本身的过错。

我越是思考这个问题，就越是相信 C、C++ 或 Odin 不设方便的包管理器、从而避免催生出大量（寒武纪式的）依赖，这从安全角度来看是个非常好的主意。对于 Go，我的看法则比较矛盾：它们有一个像样的打包系统，但却没有像允许开发者把第三方云上传的 tar 包直接在本地运行代码那样鲁莽的做法。

X’s new country-of-origin feature reveals many ‘US… #

https://news.ycombinator.com/item?id=46028791

Reminds me of when Reddit posted their year end roundup https://web.archive.org/web/20140409152507/http://www.redditblog.com/2013/05/get-ready-for-global-reddit-meetup-day.html?m=1 and revealed their “most addicted city” to be the home of Eglin Air Force Base, host of a lot of military cyber operations. They edited the article shortly afterward to remove this inconvenient statistic

ro_bit

这让我想起 Reddit 发布年终盘点的时候，他们揭晓了“最上瘾的城市”竟是埃格林空军基地的所在地——那里主导着大量的军事网络行动。他们随后便迅速编辑了文章，删掉了这个令人尴尬的数据。

Claude Opus 4.5 #

https://news.ycombinator.com/item?id=46037979

The burying of the lede here is insane. $5/$25 per MTok is a 3x price drop from Opus 4. At that price point, Opus stops being “the model you use for important things” and becomes actually viable for production workloads.

Also notable: they’re claiming SOTA prompt injection resistance. The industry has largely given up on solving this problem through training alone, so if the numbers in the system card hold up under adversarial testing, that’s legitimately significant for anyone deploying agents with tool access.

The “most aligned model” framing is doing a lot of heavy lifting though. Would love to see third-party red team results.

llamasushi

这里的埋点简直离谱。每百万代币5美元/25美元的价格，相比Opus 4直接降了三分之二。在这个价格点上，Opus就不再是“你用来处理重要事情的那个模型”，而是真正具备了生产环境工作的可行性。

同样值得注意的是，他们号称拥有最先进的提示注入抗性能力。该行业在很大程度上已经放弃了仅通过训练来解决此问题，因此如果系统卡中的数据在对抗性测试中经得起考验，这对于任何部署了带工具使用能力的智能体的人来说，都具有真正重要的意义。

不过，“对齐度最高的模型”这种说法，其实是在承担了大量的重头戏。还是希望能看到第三方的红队测试结果。

France threatens GrapheneOS with arrests / server … #

https://news.ycombinator.com/item?id=46036823

I think your devices should have government-mandated backdoors if and only if you are a public servant. I don’t understand why private citizens are held to higher standards of conduct than politicians and cops.

konmok

我认为，只有当你是公职人员时，你的设备才应该被政府强制开后门。我不明白，为什么普通公民的行为标准要比政客和警察更高。

Japan’s gamble to turn island of Hokkaido into glo… #

https://news.ycombinator.com/item?id=46033675

Why are all the comments here so weird? It’s like people saw (but didn’t read) an article entitled “Man Opens a Taqueria in his Hometown” and the only responses are

Why didn’t he open it in my hometown? This location isn’t convenient for me.
Wouldn’t it be better for someone else to open a taqueria instead? My cousin is looking for work. Shouldn’t we be putting resources into helping him open a restaurant instead?

It’s like people hear “X in Asian country” and all they can think about is their own geopolitical narrative fed to them by the US state department. Obviously Japan is going to want to develop lucrative manufacturing… within Japan.

tdeck

为什么这里的评论都这么奇怪？就好像人们看到了（但没读）一篇题为“男子在家乡开设墨西哥卷饼店”的文章，然后唯一的回应就是：

他为什么不在我的家乡开店？这个位置对我来说不方便。
换个人来开墨西哥卷饼店不是更好吗？我表哥正在找工作。我们难道不应该把资源用来帮他开一家餐厅吗？

就好像人们听到“亚洲国家的X”时，脑子里只有美国国务院灌输给他们的地缘政治叙事。显然，日本肯定想在日本国内发展利润丰厚的制造业……毕竟是在日本国内。

We stopped roadmap work for a week and fixed bugs #

https://news.ycombinator.com/item?id=46030124

I love the idea, but this line:

no bug should take over 2 days

Is odd. It’s virtually impossible for me to estimate how long it will take to fix a bug, until the job is done.

That said, unless fixing a bug requires a significant refactor/rewrite, I can’t imagine spending more than a day on one.

Also, I tend to attack bugs by priority/severity, as opposed to difficulty.

Some of the most serious bugs are often quite easy to find.

Once I find the cause of a bug, the fix is usually just around the corner.

ChrisMarshallNY

我赞同这个想法，但这一条：

任何一个bug都不应超过2天

很奇怪。对我来说，在修复工作完成之前，几乎不可能预估需要多长时间。

话虽如此，除非修复一个bug需要进行重大的重构/重写，否则我无法想象会花超过一天的时间在一个bug上。

另外，我倾向于根据优先级/严重性，而不是难度来处理bug。

一些最严重的bug往往相当容易找到。

一旦我找到了bug的原因，修复通常就在眼前。

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46036328

ProTip: use PNPM, not NPM. PNPM 10.x shutdown a lot of these attack vectors.

Does not default to running post-install scripts (must manually approve each)
Let’s you set a min age for new releases before pnpm install will pull them in - e.g. 4 days - so publishers have time to cleanup.

NPM is too insecure for production CLI usage.

And of course make a very limited scope publisher key, bind it to specific packages (e.g. workflow A can only publish pkg A), and IP bound it to your self hosted CI/CD runners. No one should have publish keys on their local, and even if they got the publish keys, they couldn’t publish from local. (Granted, GHA fans can use OIDC Trusted Publishers as well, but tokens done well are just as secure)

twistedpair

建议技巧：使用 PNPM，而不是 NPM。PNPM 10.x 关闭了很多此类攻击途径。

默认不运行 post-install 脚本（必须手动批准每一个）。
允许你为新的版本设置一个最短“年龄”，例如 4 天，这样在 pnpm install 拉取新版本之前，发布者有时间进行清理。

对于生产环境的 CLI 使用来说，NPM 太不安全了。

当然，你还需要创建一个权限非常有限的发布密钥，将其绑定到特定的包（例如，工作流 A 只能发布包 A），并将其绑定到你自托管的 CI/CD 运行器上。任何人都不能在其本地电脑上拥有发布密钥，即使他们获取了发布密钥，也无法从本地进行发布。（诚然，GHA 的粉丝也可以使用 OIDC 受信任发布者，但正确配置的令牌也同样安全。）

X’s new country-of-origin feature reveals many ‘US… #

https://news.ycombinator.com/item?id=46028536

Walk willingly into platos cave, pay for platos cave verification, sit down, enjoy all the discourse on the wall. Spit your drink out when you figure out that the shadows on the wall are all fake.

protocolture

心甘情愿地走进柏拉图的洞穴，付费获得洞穴的认证，然后坐下，尽情欣赏墙上的一切幻影。直到你意识到墙上的影子全是假的，才会吓得一口水喷出来。

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46032650

co-founder of PostHog here. We were a victim of this attack. We had a bunch of packages published a couple of hours ago. The main packages/versions affected were:

posthog-node 4.18.1, 5.13.3 and 5.11.3
posthog-js 1.297.3
posthog-react-native 4.11.1
posthog-docusaurus 2.0.6

We’ve rotated keys and passwords, unpublished all affected packages and have pushed new versions, so make sure you’re on the latest version of our SDKs.

We’re still figuring out how this key got compromised, and we’ll follow up with a post-mortem. We’ll update status.posthog.com with more updates as well.

timgl

PostHog的联合创始人，我们这次成了攻击的受害者。几小时前，我们的一批包被发布了。受影响的主包/版本有：

posthog-node 4.18.1, 5.13.3 和 5.11.3
posthog-js 1.297.3
posthog-react-native 4.11.1
posthog-docusaurus 2.0.6

我们已经轮换了密钥和密码，撤销了所有受影响的包，并发布了新版本，所以请确保你使用的是我们SDK的最新版本。

我们仍在调查此密钥是如何泄露的，之后我们会跟进发布事后报告。我们也会在 status.posthog.com 上更新更多信息。

The Cloudflare outage might be a good thing #

https://news.ycombinator.com/item?id=46030461

It would be a good thing, if it would cause anything to change. It obviously won’t. As if a single person reading this post wasn’t aware that the Internet is centralized, and couldn’t name specifically a few sources of centralization (Cloudflare, AWS, Gmail, Github). As if it’s the first time this happens. As if after the last time AWS failed (or the one before that, or one before…) anybody stopped using AWS. As if anybody could viably stop using them.

krick

如果能因此带来任何改变，那当然是件好事。但显然，这什么都不会改变。就好像看这个帖子的有谁不知道互联网是中心化的，说不出几个中心化的源头（Cloudflare、AWS、Gmail、Github）似的。就好像这是第一次发生这种事。就好像上次AWS宕机（或者再上一次，或者更早那一次）之后，就有人停止使用AWS了一样。就好像谁真的能不用得起它们似的。

Claude Opus 4.5 #

https://news.ycombinator.com/item?id=46038081

This is gonna be game-changing for the next 2-4 weeks before they nerf the model.

Then for the next 2-3 months people complaining about the degradation will be labeled “skill issue”.

Then a sacrificial Anthropic engineer will “discover” a couple obscure bugs that “in some cases” might have lead to less than optimal performance. Still largely a user skill issue though.

Then a couple months later they’ll release Opus 4.7 and go through the cycle again.

My allegiance to these companies is now measured in nerf cycles.

I’m a nerf cycle customer.

unsupp0rted

在模型被削弱前的未来2到4周，这将会改变游戏规则。

然后，在接下来的2到3个月里，抱怨性能下降的人会被贴上“技术问题”的标签。

接着，一位“祭品”级的Anthropic工程师会“发现”几个晦涩的bug，这些bug“在某些情况下”可能导致性能不佳。不过，这很大程度上还是用户的技术问题。

再过几个月，他们会发布Opus 4.7，然后循环再次开始。

我现在对这些公司的忠诚度，是以削弱周期来衡量的。

我就是一个削弱周期的顾客。

Git 3.0 will use main as the default branch #

https://news.ycombinator.com/item?id=46031387

Maybe they resisted because it was completely ridiculous waste of engineering resources all over the country and for absolutely no tangible reason other than white people trying to feel better about themselves.

I work in the field of film mastering (with countless product names with the word “master” in it) and luckily no one got the ridiculous idea in their head that we need to change this lingo.

Show me a single person who has a valid reason for me not calling my branch “master” or my bedroom “the master”. I honestly think this sort of ridiculing word policing is why we lost this last damned election. And if you’re somehow proud that you’ve renamed your git branches, you’re very likely a contributor to that lost election.

matt-attack

或许他们之所以抵制，是因为这在全国范围内完全是工程资源的巨大浪费，而且除了白人想让自己感觉好一点之外，没有任何实质性的理由。

我在电影母版制作领域工作（有无数产品名称里都带有“master”这个词），幸运的是，没有人会异想天开地觉得我们需要改变这种术语。

给我看一个能给我充分理由，让我不能把我的分支叫做“master”，或者把我的卧室叫做“主卧”的人。我真心认为，这种荒唐的词语审查正是我们输掉该死大选的原因。如果你为重命名了你的 git 分支而感到自豪，那你很可能就是导致那次大选失利的罪人之一。

Iowa City made its buses free. Traffic cleared, an… #

https://news.ycombinator.com/item?id=46029926

Big-city transit has an equilibrium point, and it is incredibly stable. Every serious transit city in the world ends up in the same place

You’re cherry-picking your own examples. It worked in Iowa City.

Y Combinator and much of SV would be out of business if innovators followed that thinking. One reason is that people do come up with new ideas; that’s how the world changes. The other is that the world changes, and what didn’t work before now works - costs change and value changes, and now it’s worthwhile. For example, with congestion pricing and other rapidly increasong costs of NYC car ownership, there’s more value in free transit.

Oddly, it’s the thinking advocated by many HN posts, denigrating the innovation under discussion as impossible, useless, etc.

without sustainability, a political shift will kill it

That can be said of many things. A political shift could kill military funding in the US.

mmooss

大城市的公共交通有其平衡点，而且这个平衡点异常稳定。世界上所有重要的公交城市最终都会走向同一种模式。

你这是在挑选你自己的例子。它爱荷华城就行得通。

如果创新者都遵循那种想法，Y Combinator和硅谷的大部分公司早就倒闭了。原因之一是人们确实会想出新点子，世界就是这样改变的。另一个原因是世界在变化，以前行不通的现在行得通了——成本和价值都变了，现在值得去做了。例如，随着纽约市拥堵费和其他汽车持有成本的快速上涨，公共交通的价值就更大了。

奇怪的是，这正是许多HN帖子的观点，它们贬低正在讨论的创新，说它不可能、没用等等。

没有可持续性，一次政治变动就会扼杀它

很多事都可以这么说。一次政治变动就可能扼杀美国的军事开支。

NSA and IETF, part 3: Dodging the issues at hand #

https://news.ycombinator.com/item?id=46033811

For context, djb has been doing and saying these things since he was a college student:

While a graduate student at the University of California at Berkeley, Bernstein completed the development of an encryption equation (an “algorithm”) he calls “Snuffle.” Bernstein wishes to publish a) the algorithm (b) a mathematical paper describing and explaining the algorithm and (c) the “source code” for a computer program that incorporates the algorithm. Bernstein also wishes to discuss these items at mathematical conferences, college classrooms and other open public meetings. The Arms Export Control Act and the International Traffic in Arms Regulations (the ITAR regulatory scheme) required Bernstein to submit his ideas about cryptography to the government for review, to register as an arms dealer, and to apply for and obtain from the government a license to publish his ideas. Failure to do so would result in severe civil and criminal penalties. Bernstein believes this is a violation of his First Amendment rights and has sued the government.

After four years and one regulatory change, the Ninth Circuit Court of Appeals ruled that software source code was speech protected by the First Amendment and that the government’s regulations preventing its publication were unconstitutional. Source https://www.eff.org/cases/bernstein-v-us-dept-justice

seethishat

背景是，djb 从大学时代起就一直做着和说着这些事情：

在加州大学伯克利分校读研究生时，伯恩斯坦完成了一个他称之为“Snuffle”的加密方程（“算法”）的开发。伯恩斯坦希望发表（a）该算法（b）一篇描述并解释该算法的数学论文，以及（c）一个使用了该算法的计算机程序的“源代码”。他还希望能在数学会议、大学课堂和其他公开公共场合讨论这些内容。武器出口管制法以及国际武器贸易条例（ITAR监管体系）要求伯恩斯坦将他的密码学思想提交政府审查、注册为武器经销商，并申请并获得政府许可才能发表他的想法。否则将面临严重的民事和刑事处罚。伯恩斯坦认为这侵犯了他的第一修正案权利，并因此起诉了政府。

经过四年的诉讼和一次法规变更，第九巡回上诉法院裁定，软件源代码是受第一修正案保护的言论，政府禁止其发布的法规是违宪的。来源：https://www.eff.org/cases/bernstein-v-us-dept-justice

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46032719

The “use cooldown” [0] blog post looks particularly relevant today.

I’d argue automated dependency updates pose a greater risk than one-day exploits, though I don’t have data to back that up. That’s harder to undo a compromised package already in thousands of lock files, than to manually patch a already exploited vulnerability in your dependencies.

[0] https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns

darkamaul

这篇关于“使用冷却期”[0]的博客文章在今天看来尤其具有现实意义。

我认为，自动化的依赖更新所带来的风险，甚至要超过那些一日游的漏洞利用，尽管我没有数据来支撑这一观点。相比于手动修复依赖项中已遭利用的漏洞，要撤销一个已经存在于成千上万个锁文件中的被攻陷的包，要困难得多。

France threatens GrapheneOS with arrests / server … #

https://news.ycombinator.com/item?id=46037083

so, they are basically confirming Android and Apple have their backdoors as no arrests or seizures on that matter have taken place

dagi3d

所以，他们基本上是在确认安卓和苹果系统都留有后门，因为在这件事上从未有过任何逮捕或查扣行动。

Doge ‘doesn’t exist’ with eight months left on its… #

https://news.ycombinator.com/item?id=46029151

I knew some people that were initially very optimistic, and I tried to keep an open mind when DOGE got started despite the outlandish claims that they would be able to cut $2 trillion dollars from the budget, but it’s apparent at this point that the project has been an extreme failure. It’ll probably take a few years to really sort out their damage and overall impact though.

It’s also imperative to mention in every DOGE-related discussion and conversation that the funding freeze to USAID is directly responsible for killing thousands of people [0]. Most of the damage done by DOGE can probably be reversed, but the thousands of death as a direct result of actions taken by the richest man in the world should not be forgotten. (Although I’m told there is a bit of uncertainty with any specific figures because the funding disruption also impacted the mechanisms for tracking and reporting deaths.)

[0] https://www.newyorker.com/culture/the-new-yorker-documentary/the-shutdown-of-usaid-has-already-killed-hundreds-of-thousands

TheAceOfHearts

我认识一些起初非常乐观的人，尽管“狗狗币”（DOGE）项目声称能削减2万亿美元的预算，我当时还是尽量保持开放的心态，但如今看来，这个项目显然已经彻底失败了。不过，要理清他们造成的损害和整体影响，可能还需要几年的时间。

此外，在任何关于“狗狗币”（DOGE）的讨论中，都必须提及，对 USAID（美国国际开发署）的资金冻结直接导致了数千人的死亡[0]。DOGE造成的损害或许大多可以挽回，但作为全球首富采取行动的直接后果，那数千人的死亡不应被遗忘。（尽管有人告诉我，具体数字存在一些不确定性，因为资金中断也影响了追踪和报告死亡数据的机制。）

[0] https://www.newyorker.com/culture/the-new-yorker-documentary/the-shutdown-of-usaid-has-already-killed-hundreds-of-thousands

Fran Sans – font inspired by San Francisco light r… #

https://news.ycombinator.com/item?id=46026440

Typography nerds are some of my favourite nerds.

Font specimen pages are so often screaming with design language and intention, they push and prod to evoke and present.

Maybe the secret has something to do with the lack of priority to the actual content; just present the font gosh-darn!

Looks nicely executed within the confines of the inspiration. very cool

oktwtf

字体设计爱好者是我最喜欢的技术宅之一。字体样本页面常常在设计语言和意图上表现得非常强烈，它们通过推拉和探索来唤起并展现某种效果。或许秘诀就在于，其重点并不在于实际内容；只需展示字体本身，天哪，这设计简直绝了！在灵感的框架内，这 execution（处理）看起来非常出色，非常酷。

1M Downloads of Zorin OS 18 #

https://news.ycombinator.com/item?id=46027830

I’ve been a Windows user since 3.1; and I’ve even defended Microsoft in the past (particularly when they made unpopular choices, but for technically correct reasons, like UAC or forcing vendors to rewrite their drivers into userland or using a safer driver model).

BUT, I won’t defend Windows 11 and Microsoft’s general direction. I feel like there has been a slow cultural shift within Microsoft, from a core of fantastic engineers surrounding by marketing/sales, to the org’s direction being set by marketing/sales UX be damned.

Plus it feels like a lot of the technical expertise retired out, and left a bunch of engineers scared to touch core systems instead preferring to build on top using Web tech. It means that Windows/Office stopped improving, and have actually both regressed significantly.

I’ve actually found myself recommending MacOS, particularly the prior generation of Macbook Airs which are absurdly powerful with absurd battery life for a fair price. Combine that with the lack of user hostility, and UX, that MacOS brings relative to Windows 11, and it is hard to ignore.

Someone1234

我从 Windows 3.1 时代起就是 Windows 用户；我甚至过去一直为微软辩护（尤其是在他们做出不受欢迎但技术上正确的决定时，比如用户账户控制或强制供应商将驱动程序重写到用户模式，或使用更安全的驱动模型）。

但是，我不会为 Windows 11 和微软的整体方向辩护。我感觉微软内部的文化正在慢慢转变，从一个由出色的工程师为核心、市场/销售为辅的组织，变成了一个由市场/销售来决定方向、完全不顾及用户体验的公司。

此外，感觉很多技术专家都退休了，留下了一群不敢触碰核心系统，反而更倾向于使用 Web 技术在其上层构建的工程师。这意味着 Windows 和 Office 停止了进步，实际上两者都出现了严重的倒退。

我发现自己现在真的会推荐 macOS，特别是前几代的 MacBook Air，它们拥有惊人的性能和电池续航，价格还相当公道。再加上 macOS 相较于 Windows 11，不再带有那种“用户敌意”和糟糕的用户体验，这让它的优势很难被忽视。

Disney Lost Roger Rabbit #

https://news.ycombinator.com/item?id=46031069

Sorta related since Disney held a share in it previously but Dick Tracy exclusive rights are still held by Warren Beatty who produced and starred in the role back in 1990. He had to fight off a challenge from Tribune Media in court decades ago but stipulation was he had to produce new Dick Tracy stuff every few years. It’s lead to a series of increasingly surreal late night specials on TCM where he appears in character and talks about random stuff and the 1990 movie, last time was in 2023: https://m.youtube.com/watch?v=MwKncYwtec4

joecool1029

虽然迪士尼曾持有其部分股份，但这事儿有点关联：迪克·崔西的专属版权仍由沃伦·比蒂持有，他曾在1990年担任该片的制作人和主演。几十年前，他曾在法庭上击败了论坛媒体的挑战，但协议规定他必须每隔几年就推出新的迪克·崔西相关作品。这也导致了TCM（特纳经典电影台）上的一系列越来越超现实的深夜特别节目，他在节目中会以角色身份登场，谈论一些随机的话题和1990年的那部电影，最近一次是在2023年：https://m.youtube.com/watch?v=MwKncYwtec4

We stopped roadmap work for a week and fixed bugs #

https://news.ycombinator.com/item?id=46032576

Ex-Meta employee here. I worked at reality labs, perhaps in other orgs the situation is different.

At Meta we did “fix-it weeks”, more or less every quarter. At the beginning I was thrilled: leadership that actually cares about fixing bugs!

Then reality hit: it’s the worst possible decision for code and software quality. Basically this turned into: you are allowed to land all the possible crap you want. Then you have one week to “fix all the bugs”. Guess what: most of the time we couldn’t even fix a single bug because we were drown in tech debt.

etamponi

前Meta员工，曾在现实实验室（Reality Labs）工作过，也许其他部门的情况有所不同。

在Meta，我们每季度会有一段“修复周”。起初我对此感到非常兴奋：终于有领导真正关心修复Bug了！

但现实很快就给了我一击：这对代码和软件质量来说，是最糟糕的决定。基本上，这一周就变成了：你可以随意提交任何垃圾代码。然后，你有一周的时间去“修复所有Bug”。猜猜结果是什么：大多数时候，我们连一个Bug都修不完，因为我们早已被技术债务淹没了。

Implications of AI to schools #

https://news.ycombinator.com/item?id=46037449

One of my students recently came to me with an interesting dilemma. His sister had written (without AI tools) an essay for another class, and her teacher told her that an “AI detection tool” had classified it as having been written by AI with “100% confidence”. He was going to give her a zero on the assignment.

Putting aside the ludicrous confidence score, the student’s question was: how could his sister convince the teacher she had actually written the essay herself? My only suggestion was for her to ask the teacher to sit down with her and have a 30-60 minute oral discussion on the essay so she could demonstrate she in fact knew the material. It’s a dilemma that an increasing number of honest students will face, unfortunately.

ubj

我的一名学生最近带着一个有趣的难题来找我。他的妹妹（没用AI工具）为另一门课写了篇论文，可她的老师却告诉她，某个“AI检测工具”以“100%的置信度”判定这篇论文是AI写的。他打算给她判零分。

暂且抛开那个荒谬的置信度不谈，学生的问题是：他妹妹要怎样才能说服老师，让她相信自己确实是亲手写的这篇论文？我唯一的建议是，让老师和她一起坐下来，就这篇论文进行一场30到60分钟的口头讨论，借此证明她确实掌握了相关内容。不幸的是，越来越多的诚实学生将面临这样的困境。

Several core problems with Rust #

https://news.ycombinator.com/item?id=46028367

Rust has its issues and there are plenty of things to not like about Rust, but this article is giving me the impression that this person has not written much Rust. Unfortunately, many such cases with Rust criticism.

Memory safety is not that sacred. In fact, for many applications malfunctioning is better than crashing — particulary in the embedded world where Rust wants to be present. You cannot get 99.999% reliability with Rust — it crashes all the time.

Yeah until that memory safety issue causes memory corruption in a completely different area of code and suddenly you’re wasting time debugging difficult-to-diagnose crashes once they do start to surface.

We actually had a recent Cloudflare outage caused by a crash on unwrap() function: https://blog.cloudflare.com/18-november-2025-outage/

There were multiple failures before that unwrap() and the argument can easily be made that this is no different than an unchecked exception or a release assertion.

Sync/Send, Mutex and reference counting (Arc)? Unfortuantely, those lock or simply mess with CPU caches badly, so they are inefficient for multithreaded communication, at least an intensive one. They are safe, but inefficient. Which kinda destroys the first uncompromising thing in Rust — performance.

Doing this the “correct” way in other languages has similar impact? So I’m not sure why Rust forcing you to do the correct thing which causes perf issues is uniquely a Rust issue. Doing this the “just get it done” way in other languages will likely come back to bite you eventually even if it does unblock you temporarily.

There are plenty of times I did a static mut global in Rust just to get some shit done and oops, accidentally hit some UB as the project grew.

landr0id

Rust 有它的问题，也有许多让人不喜欢的地方，但这篇文章给我的感觉是作者没写过多少 Rust。不幸的是，对 Rust 的批评大多如此。

内存安全并非那么神圣。事实上，对于许多应用来说，出错总比崩溃好——尤其是在 Rust 想要立足的嵌入式领域。你不能用 Rust 实现 99.999% 的可靠性——因为它总是在崩溃。

是啊，直到那个内存安全问题在代码的完全不同区域导致内存损坏，然后一旦崩溃开始显现，你就得浪费时间调试那些难以诊断的崩溃。

我们最近确实遇到了一次由 unwrap() 函数崩溃导致的 Cloudflare 服务中断：https://blog.cloudflare.com/18-november-2025-outage/

在那次 unwrap() 之前已经发生了多次故障，而且很容易就能论证说，这和未经检查的异常或发布时的断言没什么不同。

Sync/Send、Mutex 和引用计数（Arc）？遗憾的是，它们会严重锁定或破坏 CPU 缓存，因此在多线程通信中效率低下，至少在高强度通信时是这样。它们是安全的，但效率低下。这在某种程度上破坏了 Rust 的首要信条——性能。

在其他语言中用“正确”的方式做这件事也会有类似影响吗？所以我不明白为什么 Rust 强迫你去做那些会导致性能问题的“正确”事情，就成了 Rust 独有的问题。在其他语言中用“先做完再说”的方式去做，即便能暂时让你不受阻碍，最终也可能会反噬自身。

很多时候，为了完成一些事情，我在 Rust 中直接用了 static mut 全局变量，结果 oops，随着项目变大，不小心就触发了一些未定义行为。

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022960

Ouch. This hits incredibly hard.

I’ve been this dad who sits frozen at the TV every evening. I had the affairs with the emotionally unavailable men, and became one myself.

Before you judge the man in this story too harshly — and there’s certainly much to judge, especially given the follow-up post — consider the environment he and I grew up in. Being gay as a young teenager in the early 1990s could feel literally like a death sentence. AIDS panic was everywhere. Gay men in movies were comedy sidekicks or dying wrecks (“Philadelphia”). There was a real threat of violence from other kids. If you could pass as straight, why wouldn’t you give it your best shot? The alternative was to be a laughing stock and die alone in a hospital where nurses don’t dare touch you. (This is literally how I imagined gay life at age 13.)

I still feel like I’m barely getting started on the therapy journey to recover from those decades. Seems like the man in the story never had the chance for professional help (or didn’t seek it). The compartmentalization can be extremely taxing. He disappointed many people, but that doesn’t mean he was a bad person.

pavlov

哎，这话真是扎心了。

我曾经就是那个每晚都僵坐在电视机前的父亲。我曾和那些情感上无法敞开心扉的男人有染，后来自己也活成了那样。

在你过于苛刻地评判这个故事里的那个男人时——考虑到后续的帖子，他确实有很多地方值得批评——请先想想我们成长的环境。在90年代初，作为一名青少年同性恋者，那感觉简直就像是被判了死刑。艾滋病恐慌无处不在。电影里的同性恋角色要么是喜剧里的跟班，要么就是将死的病人（比如《费城故事》）。来自其他孩子的暴力威胁也是真实存在的。如果你能混入直人的圈子，为何不拼尽全力一试呢？另一个选择就是成为笑柄，在一家护士连碰都不敢碰你的医院里孤独地死去。（这真的就是我13岁时对同性恋生活的想象。）

我依然觉得，为了从那段岁月里恢复过来，我的疗愈之路才刚刚开始。故事里的那个男人似乎从未有过寻求专业帮助的机会（或者他没有去寻求）。那种将生活割裂成不同部分来应对的做法，会让人心力交瘁。他让许多人失望了，但这不代表他是个坏人。

2025 11 24 HackerNews

2025-11-24 08:23:37

2025-11-24 Hacker News Top Stories #

父亲去世后，家人发现他与男性伴侣的情书与照片，揭示了被压抑的爱情、牺牲与“真实自我”。

浏览器指纹通过操作系统、字体、时区等多种特征几乎唯一地识别用户，且常规对策难以彻底防御。

诉讼称 Meta 隐瞒研究证据表明停用社交媒体可因果性地减少青少年抑郁和焦虑，同时因增长优先弱化安全措施。

用户发现周期性大规模断网源自上游基础设施但 ISP 拒绝调查或修复，暴露垄断运营下维权和可靠性问题。

Forty.News 将新闻按 40 年前的日期每日重现，既勾勒冷战时期的动荡，也引发对真实性与焦虑的质疑。

中国在钍基熔盐堆中实现钍向铀‑233 的实验性转化，证明可行但转化率低、商业化仍面临挑战。

文章讲解如何仅用像素坐标、距离函数与噪声在着色器中生成复杂高保真图形与动态纹理。

Charli XCX 描述流行明星的光鲜与孤独并存，批判媒体与公众对女性艺人的刻板期待与道德负担。

多州诉讼指控 Meta 长期低估并误导公众关于平台对儿童的危害，且许多安全改进因担心影响增长被否决。

Racket v9.0 发布，引入原生并行线程与多项工具和库改进以增强多核并发与开发体验。

父亲去世后，我们发现了那些隐藏的情书 (After my dad died, we found the love letters) #

https://www.jenn.site/after-my-dad-died-we-found-the-love-letters/

父亲去世后，家人在整理遗物时发现了一叠隐藏的情书，揭开了他不为人知的另一面。信中写道：“我爱 Dota，也爱桃子，但我更爱你。我会戒烟、减肥为你。”这些文字描绘了一个与现实截然不同的父亲形象——温柔、浪漫、渴望幸福。

作者的父亲出身于一个传统中国小城，因家族压力与母亲结婚，婚姻并不幸福。他长期在外工作，与家人聚少离多，缺席了作者的毕业典礼、生日等重要时刻。作者对父亲的记忆寥寥无几，唯一温暖的回忆是七岁时生病，父亲在床边讲故事，手很轻柔。

然而，父亲与同性恋人爱德华（Edward）在三年间秘密相恋，关系稳定，甚至计划结婚、共同生活。爱德华在父亲去世后才得知这段感情，他讲述两人如何从香港相识，父亲说服他放弃事业和家庭，远赴加拿大追求爱情。他们共同看房、规划未来，父亲曾计划向家人坦白，却始终因恐惧而犹豫。

爱德华带来了许多照片，照片中的父亲笑容灿烂，眼神明亮，与作者记忆中那个沉默、压抑的父亲判若两人。作者第一次意识到，父亲曾拥有过真正的快乐，也拥有过被爱与被理解的可能。

作者回忆起自己曾向父亲出柜，父亲虽表面接受，但并未真正理解。如今才明白，父亲自己也活在长达近四十年的压抑与伪装中。他从未真正活出自己，却始终默默为子女牺牲。

父亲的骨灰被安置在樱桃木盒中，因母亲不愿接受真相，不愿让父亲留在家中。爱德华前来告别，抱着盒子痛哭，作者在房间中默默聆听，感受到一种迟来的、沉重的哀悼。

爱德华的祭坛铺满父亲生前喜爱的物品：最爱的酒、肉、牌、音乐。作者这才发现，自己从未真正了解过这个父亲。他喜欢音乐，爱喝红酒，爱吃甜点，也曾在城市中自由地散步、牵手、撒娇。

父亲最终未能说出真相，因为他害怕被拒绝，也害怕失去家庭。而母亲早已多次提出离婚，父亲却始终拒绝，选择维持表面的完整。

如今，作者终于明白：父亲不是冷漠，而是被责任与恐惧困住；他不是不爱，而是不敢爱。他一生都在为别人而活，却从未为自己活过。而那个他深爱的人，终于在最后时刻，替他完成了未竟的告别。

HN 热度 745 points | 评论 360 comments | 作者：eatitraw | 15 hours ago #

https://news.ycombinator.com/item?id=46021825

面对 1990 年代的艾滋病恐慌和反同性恋舆论，许多同性恋者选择隐瞒身份以求生存，这种环境导致了严重的心理创伤和自我压抑。
虽然理解当时的社会压力，但隐瞒身份并欺骗配偶、利用婚姻作为逃避社会压力的工具，对伴侣造成了不可逆的情感伤害。
与伴侣发生婚外情并隐瞒真实情感，尤其是以承诺未来共同生活为由诱使对方远赴他乡，这种行为本质上是欺骗，难以被合理化。
将婚姻作为掩盖真实身份的工具，不仅伤害了配偶，也剥夺了其追求幸福生活的可能，这种行为缺乏道德正当性。
在传统亚洲文化背景下，同性恋者更难面对自我认同，往往被迫选择结婚以符合家庭和社会期待，导致长期的心理挣扎。
有些人认为，尽管社会压力巨大，但选择压抑自我、维持虚假婚姻，本质上是牺牲真实自我来迎合社会规范，这种选择本身也充满悲剧性。
有人指出，将孩子带入一个建立在谎言之上的婚姻，可能让孩子在成长中承受情感缺失和家庭关系的扭曲，这是对下一代的伤害。
有人反思，自己也曾因社会压力而压抑真实情感，最终意识到真正的幸福来自接纳自我，而非迎合外界期待。
有人强调，即使在看似“正确”的人生选择中，如稳定婚姻、养育子女，也可能隐藏着深层的遗憾与未完成的情感需求。
有人认为，面对他人的选择时，应尽量设身处地理解其处境，而非轻易评判，因为每个人都在特定环境中做出“最不坏”的决定。
有人指出，社会对同性恋的污名化和恐惧，使得许多人在成长过程中将同性吸引视为“可选择”的问题，从而陷入自我欺骗与压抑。

浏览器指纹识别的隐私噩梦 (The privacy nightmare of browser fingerprinting) #

https://kevinboone.me/fingerprinting.html

本文探讨了浏览器指纹识别对网络隐私构成的严重威胁，指出尽管远离谷歌等大型科技公司是保护隐私的第一步，但远未结束。随着第三方追踪 cookies 的逐渐被浏览器屏蔽，一种更隐蔽、更难防范的技术——浏览器指纹识别，正成为新的隐私噩梦。

浏览器指纹识别不依赖 cookies，而是通过收集用户浏览器的多种特征信息，如操作系统、浏览器版本、语言设置、时区、已安装字体、扩展程序、硬件配置，以及通过 JavaScript 生成的 canvas 图像像素数据等，组合成一个几乎唯一的数字标识。即使这些信息单独看并不敏感，但综合起来却能精准识别用户。

文中指出，许多看似有效的防御手段反而适得其反。例如禁用 JavaScript 虽能阻止 canvas 指纹识别，但会暴露“JavaScript 被禁用”这一显著特征，反而更容易被识别。伪装浏览器类型（如谎称使用 Chrome）也无效，因为指纹识别技术可通过其他手段推断真实信息，一旦发现不一致，反而更显异常。

此外，一些试图伪造指纹的技术本身会留下痕迹，或破坏网站正常功能，得不偿失。因此，目前几乎没有可靠的方法能完全抵御浏览器指纹识别。

尽管如此，作者也指出，现实中的指纹追踪并非绝对精准。大多数追踪是基于统计分析，而非一击即中。同时，许多测试网站（如 amiunique.org）所展示的“唯一性”并不反映真实场景，因为用户的指纹会随时间变化，难以长期追踪。

总体而言，浏览器指纹识别是当前隐私保护面临的严峻挑战，但其实际效果仍受制于动态变化和统计不确定性。用户需保持警惕，但也不必过度悲观。

HN 热度 709 points | 评论 404 comments | 作者：ingve | 1 day ago #

https://news.ycombinator.com/item?id=46016249

Chrome 在用户选择“不翻译”特定语言后，会将该语言添加到 Accept-Language 请求头中，形成独特的语言顺序组合，可能成为浏览器指纹识别的强信号。
这种行为反映出软件试图根据用户操作推测其偏好，但可能无意中泄露隐私，且用户并未明确表达希望接收该语言内容。
有人认为 Chrome 的行为是出于好意，即通过添加语言偏好来让服务器返回用户可能感兴趣的页面，而非恶意收集信息。
有用户强调，尽管 Firefox 的内置翻译功能在某些语言上仍有不足，但其本地翻译机制比 Chrome 更保护隐私。
一些用户推荐使用 Firefox 或其他非 Chrome 浏览器，以避免 Google 生态系统的隐私风险。
有人指出，Mozilla 基金会可能被 Google 影响，因此支持其并非最佳选择，应关注更独立的组织。
有观点认为，使用 Mullvad 或 Tails 等注重隐私的系统，能最大程度降低被追踪的风险。
反对“统一浏览器指纹”的做法，认为过于一致反而容易被识别，应随机化指纹以增加追踪难度。
指出即使用户刻意伪装，仍可能因系统信息不一致（如 UA 与字体、操作系统等）而暴露身份。
认为指纹追踪公司并不专门针对少数隐私意识强的用户，而是通过海量数据构建唯一标识，任何异常行为都可能被利用。
提醒用户不要因“密码简单”或“行为异常”而低估被追踪的风险，技术上的小疏忽可能被放大利用。
建议通过多浏览器隔离不同用途，实现隐私保护，但需注意避免因行为模式单一而暴露。
指出用户可通过修改 User-Agent 等请求头来伪装，但需警惕与其他系统特征的矛盾。

Meta 被隐瞒的“因果证据”显示社交平台对用户造成伤害，美国法院文件指控 (Meta buried ‘causal’ evidence of social media harm, US court filings allege) #

https://www.reuters.com/sustainability/boards-policy-regulation/meta-buried-causal-evidence-social-media-harm-us-court-filings-allege-2025-11-23/

Meta 被指控隐瞒其社交平台对用户心理健康造成的负面影响，尤其针对青少年群体。根据美国学校学区对 Meta、谷歌、TikTok 和 Snapchat 提起的诉讼文件，Meta 在 2020 年开展的“项目汞”研究中发现，停止使用 Facebook 一周后，用户在抑郁、焦虑、孤独感和社交比较方面的感受明显降低。然而，Meta 并未公开该研究结果，反而中止了后续研究，并内部认定其结论受“媒体既有叙事”影响而无效。

尽管内部有员工指出研究具有因果关联性，并类比烟草公司隐瞒危害的行为，Meta 仍选择沉默。在向国会作证时，Meta 声称无法量化其产品对青少年女孩的伤害，与内部研究结果相矛盾。

诉讼文件还指控 Meta 故意设计无效的青少年安全功能，阻碍对可能影响平台增长的安全措施进行测试。公司对性交易相关账户的处理门槛极高，需累计 17 次违规才移除账户。同时，Meta 明知其算法优化会推送更多有害内容给青少年，仍优先追求用户参与度。

此外，Meta 高层曾表示儿童安全并非首要任务，甚至在 2021 年拒绝了时任全球公共政策主管尼克·克雷格关于加强儿童安全投入的请求。Meta 发言人反驳称研究方法存在缺陷，公司已持续投入安全建设，相关指控是断章取义。

TikTok 也被指通过赞助美国国家家长教师协会（PTA），试图影响其公开立场，内部文件显示其计划操控 PTA 发布支持性声明。谷歌和 Snapchat 未对此作出回应。

目前，相关文件尚未公开，Meta 已申请驳回部分文件的公开请求，案件将于 2026 年 1 月 26 日在加州北区联邦法院举行听证。

HN 热度 612 points | 评论 255 comments | 作者：pseudolus | 23 hours ago #

https://news.ycombinator.com/item?id=46019817

社交媒体平台如 Meta 对老年人群体造成了严重伤害，导致他们容易上当受骗，甚至损失全部积蓄，家庭因此承受巨大痛苦。
老年人在社交媒体上频繁遭遇冒充名人或虚构身份的诈骗，骗子利用情感操控手段精准打击认知能力下降的用户。
尽管已有大量教育和提醒，但许多老年人难以理解网络风险，且平台缺乏有效防护机制，导致诈骗屡禁不止。
当前社会对老年人网络诈骗问题的认知存在“沉默危机”，尽管媒体和公众已知其严重性，但缺乏系统性应对措施。
有观点认为，应禁止认知能力不足以应对网络风险的老年人使用社交媒体，必要时应由家人介入管理其网络使用。
Meta 等科技公司对社会造成广泛负面影响，其员工在道德上应受到质疑，甚至建议对曾任职 Meta 者实施招聘限制。
尽管 Meta 存在严重伦理问题，但其在 AI 研究（如 PyTorch、LLaMa）方面的开放贡献也具有积极意义，需区分具体岗位与行为。
不能简单以“曾任职 Meta”作为道德评判标准，应具体分析个人工作内容及其伦理立场，避免对个体的无差别惩罚。
一些人认为，即使在 Meta 内部，也可能存在致力于隐私保护或伦理审查的员工，他们正努力对抗公司整体的负面影响。

垄断性 ISP 拒绝修复上游基础设施问题 (A monopoly ISP refuses to fix upstream infrastructure) #

https://sacbear.com/xfinity-wont-fix-internet/

本文讲述了一位用户在使用 Xfinity 宽带服务期间，长期遭遇周期性网络中断的问题。用户自 2024 年 6 月起便频繁遇到网络连接中断，每天发生 6 至 7 次，每次持续约 125 秒，累计已造成超过 117 小时的停机时间。

通过部署 uptime 监控工具，用户发现这些中断具有高度规律性：时间点集中在每天的 12:00、3:00 和 23:00 左右，且在分钟位上出现显著聚集（如:29 和:44），误差极小（125.0±1.4 秒），表明并非随机故障，而是由某种自动化系统触发。

用户进一步确认，其邻居在同一区域使用不同线路也遭遇完全相同的中断模式，排除了单个用户设备或本地线路问题的可能性。日志显示，中断过程呈现“正常 → 丢包 → 断开 → 恢复”的标准流程，且每次持续时间高度一致，具备典型的 cron 任务调度特征。

作者指出，Xfinity 公司对这一长期、可复现、影响范围明确的基础设施问题拒绝调查，即便有详实数据支持，也未采取任何实质性修复措施。文章揭示了在缺乏竞争的垄断性 ISP 环境下，用户在面对系统性网络故障时维权困难的现实困境。

HN 热度 579 points | 评论 295 comments | 作者：vedmed | 23 hours ago #

https://news.ycombinator.com/item?id=46019685

Comcast/Xfinity 的网络服务存在严重可靠性问题，用户长期遭受间歇性断网困扰，且问题根源常在上游基础设施而非用户端设备或线路。
多位用户反映，尽管多次更换设备、反复报修，问题依然反复出现，技术人员往往推诿责任，甚至出现预约维修人员未到场的情况。
用户在投诉后获得的赔偿微乎其微，例如仅 1 美分的账单抵扣，反映出运营商对客户不满的轻视态度。
有用户在取消服务后遭遇异常高额账单，通过银行申诉成功获得全额退款，显示了对运营商不当收费的应对策略。
用户普遍认为，即使在高速网络环境下，可靠性远比速度更重要，稳定的低速连接优于频繁中断的高速连接。
与光纤相比，DOCSIS（电缆）网络因过度订阅和电磁干扰等问题导致性能不稳定，长期存在技术缺陷。
有观点指出，政府应强制要求新建住宅或社区接入光纤网络，以提升整体网络基础设施水平。
一些用户在获得 HOA（业主协会）许可后成功引入光纤，从而彻底解决了电缆网络的可靠性问题。
在美国，光纤覆盖范围极小，多数地区仍依赖老旧的铜缆或低速 ADSL，部分地区甚至没有可用的替代方案。
有评论提到，政府在电力、水和电话等基础设施上的强制标准曾推动社会进步，但如今对光纤缺乏类似政策，反映出公共利益被企业利益所影响。
历史表明，电力和水的普及是长期社会斗争的结果，而非政府“黄金时代”的自然产物，当前仍有许多地区不具备基本生活设施。

1985 年 11 月 24 日：全球多地爆发重大事件，凸显冷战高峰期国际局势的紧张与动荡 (Show HN: Forty.News – Daily news, but on a 40-year delay) #

https://forty.news

1985 年 11 月 24 日，全球多地爆发重大事件，凸显了当时国际局势的紧张与动荡。

在医疗领域，美国退伍军人事务部（VA）宣布，因艾滋病感染病例激增，已有 700 名退伍军人接受治疗，实际病例数远超官方记录的 618 例。为应对疫情蔓延，VA 紧急在纽约、旧金山和迈阿密设立大型艾滋病治疗中心，并计划在其他医院增设病房。这一举措标志着美国政府对艾滋病问题的应对进入新阶段。

同日，埃及航空公司一架从雅典起飞的航班遭恐怖分子劫持，劫机者声称已杀害四名乘客，两名美国人被列为劫机者扣押的乘客。此次事件是希腊一周内发生的第二起重大安全危机，此前一周有武装分子占领雅典机场，引发国际社会对地区安全的担忧。

在南非，警方在反种族隔离抗议活动中开枪，造成最严重的暴力冲突，已确认多人死亡。目击者称警方无端开火，事件导致欧罗摩托公司等企业停工撤离，经济与社会秩序受到严重冲击。

与此同时，尼加拉瓜政府在联合国大会上控诉美国对反桑地诺游击队提供 2700 万美元援助，称其为“非法且不道德的战争”，并披露战争已造成 3652 人死亡、7582 名儿童成为孤儿，4039 人受伤，24 万人失去家园，经济损失达 15 亿美元。

美国国内，国会通过一项税收改革法案，尽管里根总统反对，但高税州居民仍保留州税扣除权。该法案设定 1500 美元个人免税额，企业税率升至 35%，中等收入者也进入 35% 税率区间，引发对税制公平的讨论。

在科技与军事领域，美国在汉福德实验室启动 SP-100 项目，计划建造 300 千瓦空间核反应堆，为未来太空武器和深空探测提供能源支持。该技术旨在突破太阳能与电池的局限，实现更快速的星际航行，甚至为载人火星任务铺路。

国际政治方面，美苏在日内瓦峰会未能就裁军达成协议，因里根坚持推进“星球大战”导弹防御系统，戈尔巴乔夫警告此举将破坏核军备控制。尽管谈判破裂，双方仍同意继续对话，并计划于 1987 年在华盛顿与莫斯科举行后续峰会。

此外，一份泄露的调查报告确认，1985 年 6 月一架印度航空客机因货舱爆炸坠毁，机上 329 人全部遇难。调查排除了导弹袭击、闪电和金属疲劳等可能性，认定为内部压力爆炸所致。

这些事件共同勾勒出 1985 年末全球政治、安全、公共卫生与科技发展的复杂图景，反映出冷战高峰期各国在军事、人权与技术竞争中的深刻张力。

HN 热度 405 points | 评论 161 comments | 作者：foxbarrington | 1 day ago #

https://news.ycombinator.com/item?id=46017175

这个网站的界面和内容充满 AI 生成的痕迹，让人怀疑其信息的真实性，甚至可能加剧焦虑而非缓解。
读到关于 Air India 航班被炸的旧闻时，引发了对逝去亲人的深切哀悼，40 年的时光让悲伤更加沉重。
当前的悲剧与 40 年前的事件形成呼应，提醒人们灾难的重复性，令人感到痛心。
40 年前的新闻虽然已成历史，但许多问题如抗生素滥用、环境污染、企业垄断等至今未解，甚至更加严重。
历史事件的重演揭示了政治与经济结构的长期不变，权力、资本与战争的逻辑依然主导世界。
从历史中可以看清政策的长期后果，例如里根经济学和反垄断政策的失败，对今日社会不平等有深刻启示。
40 年前的国际承诺（如北约不东扩）被反复违背，与当前乌克兰危机有直接关联，历史教训被忽视。
网站的算法会优先选择在 2025 年看来“有趣”的新闻，这实际上筛选出的是那些预示今日危机的事件，反而让人更感压抑。
人类心理和行为模式数万年来变化极小，技术进步并未改变人性中的贪婪、恐惧与权力欲望。
40 年前的新闻虽已成往事，但其背后的问题——如军事干预、跨国霸权、信息操控——至今仍在上演，令人绝望。

中国通过“培育”钍转化铀实现能源里程碑 (China reaches energy milestone by “breeding” uranium from thorium) #

https://www.scmp.com/news/china/science/article/3331312/china-reaches-energy-independence-milestone-breeding-uranium-thorium

中国在核能技术领域取得重大突破，成功实现从钍到铀的燃料转化，标志着中国向能源独立迈出了关键一步。这一成果由中科院上海应用物理研究所研发，依托位于戈壁沙漠的实验性反应堆完成。

该技术基于钍基熔盐堆的核裂变创新，通过将钍转化为可裂变的铀-233，实现持续、高效的核能生产。与传统铀燃料相比，钍资源更丰富、更安全，且产生的放射性废料更少，具备清洁、可持续的潜力。

此次成功验证了钍燃料循环的可行性，为中国未来构建长期稳定的清洁能源体系提供了技术支撑。专家认为，这项技术有望在未来几十年内推动中国实现核能自给，并为全球能源转型提供新方案。

HN 热度 330 points | 评论 292 comments | 作者：surprisetalk | 1 day ago #

https://news.ycombinator.com/item?id=46016639

中国实验性钍基反应堆实现了钍向铀-233 的转化，但转化率仅为 0.1，低于现有轻水堆和重水堆的转化率，技术突破有限。
钍基熔盐堆（MSR）的最大优势在于可将现有核废料中的铀-235 和钚等物质再利用，转化为可发电的燃料，同时将长寿命放射性废物减少至数百年。
钍基熔盐堆具备被动安全特性，反应堆在异常情况下可自动排空并冻结，无需高压容器，占地面积小，且产生的钚-233 因伴生强伽马射线而难以用于核武器。
全球核废料总量虽达数十万吨，但体积极小，仅相当于几十个标准游泳池的容量，远小于其他工业废弃物。
高放射性且长寿命的核废料（如镎、镅、锔等）仅占总废料的不到 1%，其余 95% 以上为铀-235 和钚，可被新一代反应堆再利用。
钍基熔盐堆并非用于处理现有核废料，真正能处理废料的是快中子增殖反应堆，而钍基反应堆主要依赖热中子实现钍到铀-233 的转化。
西方并非对钍能技术“坐视不管”，已有大量初创企业正在推进核能创新，包括多种熔盐堆设计。
钍增殖反应堆技术难度远高于铀-钚增殖反应堆，前者实现商业化仍需长期投入，且经济回报不确定，因此进展缓慢。

如何仅用 x 和 y 坐标通过着色器绘制高保真图形 (Shaders: How to draw high fidelity graphics with just x and y coordinates) #

https://www.makingsoftware.com/chapters/shaders

本文探讨了在仅拥有 x 和 y 坐标的情况下，如何通过着色器（Shaders）实现高保真图形的绘制。文章从基础概念入手，解释了着色器在现代图形渲染中的核心作用，特别是顶点着色器与片段着色器的工作原理。作者通过实例说明，即使没有复杂的几何模型，仅通过数学函数和像素坐标，也能生成复杂的视觉效果，如渐变、纹理、光影和动态动画。

文中重点介绍了基于像素着色器的编程方法，展示了如何利用距离函数、噪声函数和变换操作来构建复杂的图形。例如，通过计算像素点到某个形状中心的距离，可以绘制出圆形或方形；通过叠加多个形状并使用布尔运算，可以实现更复杂的组合图形。此外，文章还讲解了如何使用噪声函数（如 Perlin 噪声）生成自然纹理，如云朵、岩石或水波。

作者强调，着色器编程是一种“从零开始创造视觉”的艺术，它要求开发者具备一定的数学和图形学基础，但同时也提供了极大的创作自由。通过 GLSL（OpenGL 着色语言）代码示例，文章展示了如何在 WebGL 或 Unity 等平台上实现这些效果。

最后，文章指出，随着 GPU 性能的提升和着色器语言的普及，基于着色器的图形创作正逐渐成为游戏开发、视觉艺术和交互设计的重要工具。无论是静态图像还是实时动画，着色器都能以极高的效率实现高质量的视觉表现。

HN 热度 319 points | 评论 70 comments | 作者：Garbage | 12 hours ago #

https://news.ycombinator.com/item?id=46023013

WebGL 和 WebGPU 直接对接 D3D 和 Metal，不经过 Vulkan，原图示有误。
Vulkan 是开放标准，但其规范开发在保密协议下进行，对外界不够透明。
Vulkan 并非完全开源，其规范虽公开，但具体实现由硬件厂商独立开发，部分实现为闭源。
Vulkan 可在 Apple 平台通过 MoltenVK 或 KosmicKrisp 驱动实现，包括 Apple Silicon 上的原生支持。
Vulkan 在 Windows 上依赖显卡厂商驱动，非系统自带，因此在远程桌面等企业环境中可能不可用。
Vulkan 支持的平台包括 Linux、Android、Windows、Nintendo Switch 及 iOS/macOS，具备较强跨平台能力。
WebGPU 不仅限于浏览器，还提供 C++（Dawn）和 Rust（WGPU）库，可在多平台原生使用。
WebGPU 是统一 API，底层实际调用的是 D3D、Vulkan 或 Metal 等原生图形接口。
Vulkan 相比 DirectX 更跨平台，不依赖特定操作系统数据结构，可原生运行于多种系统。
Khronos 的 API 虽有开放规范，但大量扩展为专有功能，导致应用难以跨平台移植。
PlayStation 不支持 Vulkan，实际开发中主要使用专有 API。
Vulkan 在 Linux 上可通过驱动支持，尽管某些 VNC 工具不支持，但不影响其整体可用性。
Vulkan 的规范本身是开源的，但具体实现如驱动可能并非开源。
WebGPU 的 wgpu-rs 并非完全符合规范的实现，而 Dawn 是更标准的实现。

成为流行明星的现实 (The realities of being a pop star) #

https://itscharlibb.substack.com/p/the-realities-of-being-a-pop-star

这篇文章由流行歌手 Charli XCX 撰写，讨论了作为流行明星的现实与体验。虽然她不完全将自己视为流行歌手，而是更倾向于称自己为 “创意者” 或 “艺术家”，但她选择聚焦于流行明星的生活，因为这是她最熟悉的领域，也是她曾经的梦想。

** 流行明星的乐趣与特权：**

Charli XCX 描述了作为流行明星的一些乐趣，比如参加派对、与有趣的人交流、穿着华丽的服装和珠宝、享受各种免费赠品（如手机、服装、电动自行车等）。
她提到能感受到特殊的待遇，比如从后门进入餐厅，享受优越的生活条件以及与粉丝之间的紧密联系。

** 孤独与尴尬：**

尽管有很多光鲜的表面，Charli 也提到流行明星常常要在一些无灵魂的地方徘徊，比如机场休息室、演出后台等，感受到一种无所归属的孤独。
她反思了自己在这个行业中的变化，以及与旧友之间因生活方式的差异而产生的尴尬感。

** 社会期待与角色：**

Charli 探讨了公众对流行明星的认知和期待，指出许多人乐于将流行明星视为 “愚蠢” 的象征，反映了社会对于女性的偏见。
她提到自己在加入 Substack 后，部分人对她的反应，包括质疑她是否还有足够的智慧去写作，这些反应显示了人们对她形象的固有看法。

** 个人成长与真相：**

Charli 与朋友的对话让她思考自己是否在成功后改变，尽管朋友认为她仍然保持真实，但周围的 “阿谀奉承者” 让她感到困惑。
她还提到公众对名人应承担道德责任的期待，这让她感到困惑，因为她喜欢的艺术家并不都是模范。

** 结论：**

Charli 认为，作为一名艺术家，真诚与虚构之间的界限并不重要，艺术的魅力在于其戏剧性和幻想性。她结束文章时引用了 Lou Reed 的一次访谈，强调对于艺术的理解与欣赏不必拘泥于真实性。

这篇文章通过个人的视角，展现了流行音乐行业的光鲜与阴暗，揭示了在成就与公众期待之间的复杂关系。

HN 热度 310 points | 评论 219 comments | 作者：lovestory | 1 day ago #

https://news.ycombinator.com/item?id=46016613

这篇文章虽然语言风格口语化，但内容真挚，展现了真实且深刻的内心世界，具有很高的思想价值。
一些评论认为文章语言拖沓、结构松散，更像是即兴表达而非精心打磨的文学作品。
作者刻意避免编辑润色，可能是为了保持真实感，让读者感受到一个真实 pop star 的内心独白。
有评论指出，许多曾经辉煌的音乐人晚年只能靠重演旧作维持生计，这种“循环式巡演”令人感到悲哀。
一些人认为这种现象不仅限于音乐人，也反映了社会对成名者后期发展的忽视与冷漠。
有观点提到，女性在娱乐圈中面临更严格的社会规范，难以突破传统角色期待，这在当今社会依然存在。
有人质疑这种“女性受限”的现象是否真实存在，认为自己所处环境并未感受到明显性别偏见。
评论认为，成功艺人往往受限于公众期待，突破常规会增加传播阻力，影响商业成功。
有评论表示，如果只追求小圈子的认可，个人可以自由选择生活方式，不必迎合大众。
一些人认为，真正的艺术表达应避免过度修饰，保留原始情感比完美文笔更重要。
也有观点认为，文章虽有瑕疵，但整体质量远超普通大众写作水平，不应被轻易否定。

Meta 被指长期低估平台对儿童的危害并误导公众 (Court filings allege Meta downplayed risks to children and misled the public) #

https://time.com/7336204/meta-lawsuit-files-child-safety/

Meta 被指控长期低估其平台对儿童的危害，并向公众隐瞒相关风险。在加州北区联邦法院提交的一份原告简报中，Instagram 前安全与福祉主管瓦什纳维·贾亚库马尔作证称，2020 年加入 Meta 时，她震惊地发现公司对“性交易”行为的处理机制极为宽松——需累计 17 次违规举报才可封禁账号，这一标准远高于行业普遍水平。

简报指出，Meta 内部研究早已发现其产品对青少年具有高度成瘾性，并加剧心理健康问题，包括抑郁、焦虑、饮食失调及自杀倾向。尽管如此，公司仍拒绝实施多项安全改进措施，因担心影响用户活跃度和增长。内部文件显示，员工曾多次提出保护青少年的方案，但均被高层以“影响用户体验”为由否决。

此外，简报揭露 Instagram 虽宣称对儿童性虐待内容“零容忍”，却未提供便捷的举报渠道，而对“垃圾信息”“枪支推广”等较轻违规却设有快速举报路径。原告律师称，Meta 的行为如同“烟草公司向儿童推销有害产品”，为追求利润而忽视儿童安全。

Meta 回应称，相关指控基于“断章取义”的言论，强调公司已推出多项保护措施，如 2024 年推出的“青少年账号”功能，自动设置私密、限制夜间通知、禁止陌生人消息，并允许家长监控和管理使用时间。但原告方认为，这些措施是多年抵制安全改革后的“补救”，反映出公司长期漠视青少年安全。

此案为多州联合提起的集体诉讼，涉及超过 1800 名原告，包括儿童、家长、学区及州检察官，控诉 Instagram、TikTok、Snapchat 和 YouTube 等平台“为增长不择手段”，严重损害儿童身心健康。目前，相关证据材料仍部分保密，但已披露内容揭示了 Meta 在安全治理上的系统性疏忽与矛盾。

HN 热度 302 points | 评论 132 comments | 作者：binning | 9 hours ago #

https://news.ycombinator.com/item?id=46024184

Meta 公司长期忽视儿童安全风险并误导公众，其应对措施如同烟企在过滤嘴上做文章，实质无效。
烟草公司高管曾因作伪证受罚，但仅被罚款，类似地，科技巨头也只会面临轻微惩罚，无法真正改变其行为。
当前科技巨头与政府勾结，形成新型寡头政治，民主形式被架空，社会正向更明显的寡头共和演变。
政府与大企业利益绑定，科技高管自视过高，但本质与历史上的企业领袖并无不同。
现代社会高度依赖数字化服务，脱离社会变得极为困难，类似“生态恐怖分子”特德·卡钦斯基的极端想法可能有其现实基础。
Meta 等科技巨头的恶行长期存在，但目前仅靠象征性罚款无法真正遏制，缺乏实质性的应对计划。
资本力量远超劳动，除非改变这一根本结构，类似问题将持续重复发生。
社交媒体平台的运作依赖于开发者，若开发者集体离职，平台将难以维持，因此开发者应反思自身角色与道德责任。
当前系统性治理失效，任何政策改革都会被资本力量反制，必须从根本上削弱资本对决策的控制，强化公众参与。
现行民主制度已失效，应考虑更直接的民主形式，如排序选择投票，作为改革的起点。
针对 Meta 等平台的监管应具体化，不应停留在情绪化呼吁，需提出可操作的解决方案。
应修订《通信规范法》第 230 条，区分用户自主选择内容与平台算法推送内容，算法推荐应承担内容责任。
像 Hacker News 这类平台若使用非时间顺序的排序算法，也应面临 230 条的适用性问题，需明确算法透明度标准。
算法应基于用户明确选择（如关注、点赞）而非隐式行为（如观看时长、相似用户行为）来推荐内容，避免形成信息茧房。
用户在相同订阅设置下应看到相同内容，算法不应基于个体行为差异进行个性化推送，以防止极端化内容传播。

Racket v9.0 正式发布，可在

https://download.racket-lang.org/ 下载 (Racket v9.0) #

https://blog.racket-lang.org/2025/11/racket-v9-0.html

Racket v9.0 已正式发布，可在 https://download.racket-lang.org/ 下载。

本次更新最引人注目的是引入了并行线程（Parallel Threads），这是 Racket 语言的重要进展。尽管此前已支持绿色线程、futures 和 places 实现并行，但并行线程提供了更直接、高效的并发编程方式。开发者可通过 #:pool 参数创建并行线程，使用 #:keep 'results 选项可保存线程结果，后续通过 thread-wait 获取。

新版本还带来了多项改进：

新增 decompile-linklet 函数，可将 linklets 重新映射为 s-表达式，便于调试与分析。
使用 BC Racket 时，processor-count 函数现在始终返回并行核心数。
支持 AArch64 架构的 “natipkg” 包，有助于包构建与测试基础设施。
Check Syntax 现在能更深入追踪语法对象中嵌套标识符的来源（origin 字段）。
math 库新增 Weibull 分布支持。
修复了多项 bug，文档也得到全面优化。

该版本由众多社区成员共同贡献，包括 Stephen De Gabrielle、John Clements、Matthew Flatt、Robby Findler 等核心开发者。

Racket 是一个由社区驱动的开源项目，欢迎新贡献者参与。详情可查看 racket/README.md。

欢迎在 Discourse 或 Discord 社区提问与交流。如您使用 Racket，欢迎分享此消息，帮助更多用户了解这一重要更新。完整发布说明请见： https://blog.racket-lang.org/2025/11/racket-v9-0.html

HN 热度 254 points | 评论 90 comments | 作者：Fice | 11 hours ago #

https://news.ycombinator.com/item?id=46023460

Racket 9.0 引入了原生并行线程支持，相比之前的 places 机制更轻量且易于使用，显著提升了在多核环境下的适用性。
之前的 places 机制限制较多，无法方便地传递 lambda 函数，导致难以实现灵活的分布式任务分发，开发者不得不预先定义逻辑，仅传输数据。
由于缺乏高效的并行支持，近年来作者更多选择 GNU Guile，因其通过 futures 和 fibers 提供了更成熟的多核利用方案。
Racket 官网仍宣称其为“成熟、精炼、实用”的语言，但新版本的大幅重构和功能补全让人质疑这一说法的合理性。
有人认为“成熟”不应与“重大重构”并存，认为“成熟”意味着稳定和完整，而重构往往伴随新问题，与成熟相悖。
也有人指出，长达八年的重构过程和稳定的 API 保持，说明该重构是成功的，反而体现了系统的成熟和稳健。
从软件工程角度看，Racket 的内部重构并未破坏兼容性，也未大规模破坏现有项目，说明其测试和维护质量很高。
将 Racket 与 Chrome、Firefox 等大型项目对比，这些项目也频繁更换底层编译器或引擎，但并未因此被视为不成熟。
Racket 采用 Chez Scheme 作为新运行时基础，其稳定、高性能且完整实现 Scheme 6 标准，相比旧版 C 实现更易于维护和扩展。
语言的“成熟”可从其语言语义的稳定性与生态的持续发展来衡量，而非仅看底层实现是否“从未改变”。
旧版 Racket 的 C 实现因语言复杂性高，维护困难，重构是必要且合理的工程决策。

Hacker News 精彩评论及翻译 #

The privacy nightmare of browser fingerprinting #

https://news.ycombinator.com/item?id=46018023

Some time ago I noticed that in Chrome, every time you click “Never translate $language”, $language quietly gets added to the Accept-Language header that Chrome sends to every website!

My header ended up looking like a permuted version of this:

en-US,en;q=0.9,zh-CN;q=0.8,de;q=0.7,ja;q=0.6 I never manually configured any of those extra languages in the browser settings. All I had done was tell Chrome not to translate a few pages on some foreign news sites. Chrome then turned those one-off choices into persistent signals attached to every request.

I’d be surprised if anyone in my vicinity share my exact combination of languages in that exact order, so this seems like a pretty strong fingerprinting vector.

There was even a proposal to reduce this surface area, but it wasn’t adopted:

https://github.com/explainers-by-googlers/reduce-accept-language

aragonite

前段时间我注意到，在 Chrome 浏览器中，每当你点击“永不翻译 $ 语言”时，该语言就会被悄悄地添加到 Chrome 发送给每个网站的 Accept-Language 请求头中！

我的请求头最终看起来是这样一种排列组合：

en-US,en;q=0.9,zh-CN;q=0.8,de;q=0.7,ja;q=0.6 我从未在浏览器设置中手动配置过任何这些额外的语言。我所做的只是在一些外国新闻网站上告诉 Chrome 不要翻译几个页面。随后，Chrome 就将这些一次性选择变成了附着在每次请求上的持久性信号。

如果在我身边的人拥有与我完全相同顺序的语言组合，我会感到很惊讶，所以这似乎是一个非常强大的指纹追踪向量。

甚至还有一个旨在减少此“攻击面”的提案，但它未被采纳：

https://github.com/explainers-by-googlers/reduce-accept-language

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022960

Ouch. This hits incredibly hard.

I’ve been this dad who sits frozen at the TV every evening. I had the affairs with the emotionally unavailable men, and became one myself.

pavlov

哎呀。这真的让人深受触动。

我就是那种每晚僵坐在电视机前的父亲。我曾与那些情感疏离的男人有过婚外情，而我自己也变成了这样的人。

在你过于苛刻地评判这个故事中的男人之前——尽管确实有很多值得评判的地方，特别是看完后续帖子后——请想想他和我成长的环境。在1990年代初，作为一个十几岁的同性恋少年，那种感觉真的就像被判了死刑。艾滋病恐慌无处不在。电影中的男同性恋不是喜剧配角，就是垂死的病人（《费城故事》）。来自同龄人的暴力威胁真实存在。如果你能伪装成异性恋，为什么不拼尽全力一试？另一种选择是成为笑柄，独自死在医院里，连护士都不敢碰你。（这真的就是我13岁时对同性恋生活的想象。）

我仍然觉得，要从那些年的创伤中恢复过来，我的疗愈之路才刚刚开始。故事中的那个男人似乎从未有机会获得专业帮助（或没有主动寻求）。这种将生活割裂开的心理防御机制会让人极度疲惫。他让很多人失望，但这不意味着他是个坏人。

A monopoly ISP refuses to fix upstream infrastruct… #

https://news.ycombinator.com/item?id=46020361

I sympathize with the author. I remain on Charter’s shitlist to this day because I had a very similar issue about twenty years ago, except our connection cut out entirely after ~10MB of data had downloaded in a continuous stream, and the cable modem had to wait for the line to become available again. No amount of technical documentation, logs, traceroutes, equipment swaps, or anything on my end would convince them it was a problem with their infrastructure.

So, exasperated, I filed a complaint with the FCC. A week later, it got fixed along with an apology, no truck roll needed.

I miss when the government had teeth and used it against companies, man.

stego-tech

我非常同情这位作者。直到今天，我依然在Charter公司的黑名单上，因为大约二十年前我遇到了一个极其相似的问题。当时的情况是，我们的网络在连续下载了约10MB的数据后就完全断线，有线电视调制解调器必须等待线路重新可用才行。无论是我这端提供的技术文档、日志、路由追踪、设备更换，还是任何其他证据，都无法让他们相信问题出在他们自己的基础设施上。

于是，我沮丧地向联邦通信委员会（FCC）提交了投诉。一周后，问题就解决了，他们还道了歉，根本不需要派技术人员上门维修。

说真的，我怀念政府有魄力、并且敢于用它来对抗公司的那些日子啊。

Meta buried ‘causal’ evidence of social media harm… #

https://news.ycombinator.com/item?id=46021569

I’ve recently had to deal with my father cognitive decline & falling for scams left & right using Meta’s apps. This has been so hard on our family. I did a search the other day on marketplace and 100% of all sellers were scams, 20-30 of them.

Meta is a cancer on our society, I’m shutting down all my accounts. Back when TV/Radio/News paper were how you consumed news, you couldn’t get scams this bad at this scale. Our parents dealt with their parents so much easier as they cognitively declined. We need legal protections for elders and youth online more than ever. Companies need to be liable for their ads and scam accounts. Then you’d see a better internet.

jackhuman

我最近不得不应对父亲的认知衰退问题，他在使用Meta旗下的应用程序时屡屡被骗。这对我们整个家庭造成了巨大的困扰。前几天我在市场平台上搜索了一下，发现所有卖家100%都是骗局，有20到30个之多。

Meta是我们社会的一大毒瘤，我正在注销我所有的账号。想当年，人们通过电视、广播和报纸获取新闻时，从未出现过如此大规模、如此恶劣的骗局。我们的父母在应对长辈的认知衰退时，所面临的困境要小得多。我们现在比以往任何时候都更需要为老年人和年轻人提供在线法律保护。公司必须为他们发布的广告和诈骗账户承担责任。只有这样，我们才能看到一个更好的互联网。

Markdown is holding you back #

https://news.ycombinator.com/item?id=46018817

You can include arbitrary HTML tags in Markdown at any place you need them. 0 I am not aware of any Markdown tooling that does not support this.

So, no, Markdown is not holding me back. It is perfectly capable of what the author claims it isn’t.

dschuessler

你可以在任何需要的地方，在 Markdown 中包含任意的 HTML 标签。 0 据我所知，没有任何 Markdown 工具不支持这一点。

所以，不，Markdown 并没有限制我。它完全有能力做到作者声称它做不到的事情。

China reaches energy milestone by “breeding” urani… #

https://news.ycombinator.com/item?id=46018044

Before anybody gets too excited, it’s better to understand what exactly happened.

China ran an experimental reactor that achieved some conversion of thorium into uranium. More precisely, the conversion ratio was 0.1 [1]. This means that for each new fissile atom generated from thorium (i.e. uranium-233) 10 atoms have been burned from the original fissile inventory.

Now, conversion happens in every nuclear reactor. Some new fissile material (generally Pu-239) is generated out of “fertile material” (generally U-238). And, surprisingly, that conversion ratio is quite high: 0.6 for pressurized light water reactors and 0.8 for pressurized heavy water reactors [2].

What China has achieved therefore is well below what is business as usual in regular reactors. The only novelty is that the breeding used thorium, rather than uranium.

Is this useless? No, it is not. In principle increasing the conversion ratio from 0.1 to something higher than 1.0 should be doable. But then, going from 0.8 in heavy water reactors to more than 1.0 should be even easier. Why don’t people do it already? Because the investment needed to do all the research is quite significant, and the profits that can be derived from that are quite uncertain and overall the risk adjusted return on investment is not justified. If you are a state, you can ignore that. If China continues the research in thorium breeding, and eventually an economically profitable thorium breeder reactor comes out of that, the entire world will benefit. But the best case scenario is that this would be three decades in the future.

[1] https://www.world-nuclear-news.org/articles/chinese-msr-achieves-conversion-of-thorium-uranium-fuel

[2] https://en.wikipedia.org/wiki/Breeder_reactor#Conversion_ratio

credit_guy

在任何人过于兴奋之前，最好先弄清楚到底发生了什么。

中国运行了一个实验性反应堆，实现了将部分钍转化为铀。更准确地说，其转化率为0.1 [1]。这意味着，从钍（即铀-233）中每产生一个新的裂变原子，就有10个原子从原有的裂变物质库存中被消耗。

事实上，所有的核反应堆都会发生转化。一些新的裂变材料（通常是钚-239）是由“可增殖材料”（通常是铀-238）产生的。令人惊讶的是，这种转化率相当高：压水堆的转化率为0.6，重水堆的转化率为0.8 [2]。

因此，中国所取得的成果远低于常规反应堆的日常表现。唯一的新颖之处在于，这次增殖使用的是钍，而非铀。

这是否无用？并非如此。原则上，将转化率从0.1提高到超过1.0应该是可行的。但是，既然将重水堆的转化率从0.8提高到超过1.0应该更容易，为什么人们还没有这么做呢？因为进行所有相关研究所需的投资相当巨大，而从中获得的收益却充满不确定性，总的来说，风险调整后的投资回报并不值得。如果你是一个国家，就可以忽略这一点。如果中国继续进行钍增殖研究，并最终研制出一种具有经济可行性的钍增殖反应堆，整个世界都将从中受益。但最好的情况是，这也要等到三十年后才能实现。

[1] https://www.world-nuclear-news.org/articles/chinese-msr-achieves-conversion-of-thorium-uranium-fuel [2] https://en.wikipedia.org/wiki/Breeder_reactor#Conversion_ratio

A monopoly ISP refuses to fix upstream infrastruct… #

https://news.ycombinator.com/item?id=46020670

The comment at the bottom of the article I believe is correct. I believe this because our neighborhood had the same problem. One day my neighbor, frustrated beyond his capacity, and seemingly very high on something, went outside and started ripping infrastructure out by hand and damaging everything else he could find with a hammer.

They came out and replaced a lot of the damaged equipment and did a few upgrades. After that the intermittent 2 minute drop problems disappeared.

themafia

我认为文章底下的评论是正确的。我之所以这么认为，是因为我们社区也遇到过同样的问题。有一天，我的一位邻居忍无可忍，而且看起来像是嗑药了，他跑到外面徒手拆毁基础设施，并用锤子砸坏了所有能找到的其他东西。

他们随后派人来更换了大量受损设备，并进行了一些升级。从那以后，那种持续两分钟的间歇性断网问题就再也没有出现过。

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022548

From reading both posts, there’s a few things that come to my mind:

It seems this is how the author is processing her father’s passing, and it’s not really up to us to make moral calls on the content of the posts. They are thoughts with gaps of missing context against a real life of highs and lows which is not readily condensed into a blog post.
I’m peering into the life of a private person, that feels like a violation. Even though they have passed, the people around them are very much alive.
We can’t makes guesses at what a person truly values, neither positively nor negatively. What can be seen as promiscuity can also be seen as seeking validation, human motives and emotions exist in the grey area.
This is a person who was deprived of the sort of genuine sexual and emotional attention that we take for granted from puberty age. They lived as a type of outsider in school, work, and their daily norms. The integrity of their actions shouldn’t be evaluated against our own values which were likely built from a different life experience.
It’s ok not knowing or judging. One has to practice a type of “radical acceptance” when reviewing these sorts of life matters.

quitit

通读了这两篇文章后，我脑海里浮现出几点想法：

这似乎是作者在处理父亲去世这件事的方式，我们实在不该对帖子的内容做道德评判。这些想法本身就缺乏背景信息，它们是交织着人生起落的真实写照，很难被简单地浓缩在一篇博文中。
我正窥探着一个私人的生活，这感觉像是一种侵犯。即便当事人已经离世，他们身边的人依然在世。
我们无法揣测一个人真正看重的是什么，无论这揣测是好的还是坏的。所谓滥交，或许也可以看作是寻求认同感，人类的动机和情感本身就存在于灰色地带。
这个人从青春期开始，就被剥夺了我们习以为常的、真诚的性与情感关注。在学校、工作以及日常规范中，他/她都像个局外人。我们不该用自己（很可能源于截然不同的人生经历）的价值观去评判其行为的对错。
不去了解、不去评判，这没什么关系。在审视这类人生议题时，人需要练习一种“彻底的接纳”。

$1900 Bug Bounty to Fix the Lenovo Legion Pro 7 16… #

https://news.ycombinator.com/item?id=46017415

I wish there was an actual thriving business model like this – just fixing most annoying bugs, for a price, of commonly used desktop software. Why proprietary software companies cannot or do not want to provide this service is over me. Perhaps I’m too much used to consulting.

AshamedCaptain

我真希望能有这么一个真正成功的商业模式——为常用的桌面软件修复那些最烦人的漏洞，并且为此收费。专有软件公司为什么不能或是不愿意提供这项服务，我完全搞不懂。也许是我太习惯于咨询服务了。

Agent design is still hard #

https://news.ycombinator.com/item?id=46014987

I’ve started a company in this space about 2 years ago. We are doing fine. What we’ve learned so far is that a lot of these techniques are simply optimisations to tackle some deficiency in LLMs that is a problem “today”. These are not going to be problems tomorrow because the technology will shift. As it happened many time in the span of the last 2 years.

So yah, cool, caching all of that… but give it a couple of months and a better technique will come out - or more capable models.

Many years ago when disc encryption on AWS was not an option, my team and I had to spend 3 months to come up with a way to encrypt the discs and do so well because at the time there was no standard way. It was very difficult as that required pushing encrypted images (as far as I remember). Soon after we started, AWS introduced standard disc encryption that you can turn on by clicking a button. We wasted 3 months for nothing. We should have waited!

What I’ve learned from this is that often times it is better to do absolutely nothing.

pdp

大约两年前，我在这个领域创办了一家公司。我们发展得不错。到目前为止，我们所学到的是，这些技术中的很多都只是用来解决LLM（大型语言模型）在“当下”存在的一些缺陷的优化手段。这些问题明天就不复存在了，因为技术会不断演进。在过去的两年里，这种情况已经发生过很多次。

所以啊，把所有这些缓存起来确实很酷……但给它几个月时间，就会出现更好的技术——或者说，能力更强的模型。

很多年前，当AWS还不提供磁盘加密选项时，我和我的团队花了三个月时间才研究出一种加密磁盘的方法，而且做得很好，因为当时没有标准的方法。我记得那非常困难，需要推送加密镜像。就在我们开始工作不久后，AWS就推出了标准磁盘加密功能，你只需点击一个按钮就能开启。我们白白浪费了三个月。我们本应该再等等！

我从这件事中学到的是，很多时候，什么都不做反而是最好的选择。

Childhood Friends, Not Moms, Shape Attachment Styl… #

https://news.ycombinator.com/item?id=46010739

No, one study doesn’t upend the last few decades of understanding of emotional attachment.

The study simply says that ability to connect w friends is more predictive than observations they made of apparent attachment of parents.

This happens much later so of course it’s more predictive of the actual end effects - that’s when attachment styles actually show up for the first time. Kids grow up to be very adaptive toward their parents but when they get to the rest of society that’s when the failures of connection and the failed bids for attention show up.

A very resilient kid will do fine with friends even with a very bad attachment environment. A very sensitive kid or one with developmental problems will struggle in social environments.

taurath

不，一项研究并不能颠覆过去几十年来对情感依附的理解。

这项研究只是指出，与朋友建立联系的能力，比他们观察到的父母表面上的依附模式，更具预测性。

这种情况出现得晚得多，因此它当然更能预测最终的实际效果——因为依附风格正是在那时才真正首次显现。孩子们在成长过程中会非常适应自己的父母，但当他们进入社会时，连接的失败和寻求关注的失败尝试才会暴露出来。

一个非常有韧性的孩子，即使在非常糟糕的依附环境中，也能和朋友相处得很好。而一个非常敏感或有发育问题的孩子，则在社交环境中会感到挣扎。

NTSB report: Decryption of images from the Titan s… #

https://news.ycombinator.com/item?id=46020427

There’s a fascinating and redacted interview with an “anonymous” subject about the disaster. To say the least it’s an unsuccessful attempt to hide the identity of the individual:

“Q. So how did you get yourself started into submersible operations?

A. Well, I’m sure you’re familiar with my film Titanic. When I set down the path to make that film, the first thing that I did was arrange to be introduced to the head of the submersible program at the P.P. Shirshov Institute in Moscow, a guy named…”

https://media.defense.gov/2025/Sep/17/2003800984/-1/-1/0/CG-115_INTERVIEW-DEEP-SEA-EXPLORER_REDACTED.PDF

pseudolus

有一段经过编辑的、对一位“匿名”人士关于灾难的采访，十分引人入胜。至少可以这么说，这番话在隐藏当事人身份方面做得并不成功：

“问：那么您是如何开始从事潜水器操作这一行的？答：嗯，我想您一定对我的电影《泰坦尼克号》很熟悉。当我决定拍摄这部电影时，我做的第一件事，就是安排与莫斯科P.P. Shirshov研究所潜水器项目的负责人会面，他的名字叫……”

The realities of being a pop star #

https://news.ycombinator.com/item?id=46019015

I thought this was a really good piece of writing. It’s rare to do something like this because the job discourages it by putting PR filters on everything you say.

My uncle was a pretty big pop star in the 1960s. His group at one point had a big fanzine, they were household names across the country, over time they had stalkers and weird fans and all that, made movies and albums, had big parties and knew other famous people, pretty much all those things that the OP writes about (circa 50 years later, some of it has changed but not that much).

He could be charismatic and surprisingly eloquent and I could picture him writing a piece like this, if the mood had struck.

He also lost pretty much all the money through mismanagement (several times over), eventually moved out of LA, had a tumultuous family life with numerous spouses and wasn’t around much for his kids, and after his 40s was trapped in a sad cycle of reunion tours because the band still needed the money. The tours still had some level of excitement and crowd enthusiasm, even pretty late in life and I guess he always loved the stage, the performing, all that. But in the end, I kinda felt it seemed like a lonely existence. Hard to form really deep connections when you’re always traveling and often away in your head.

decasia

我觉得这篇文章写得非常好。能做到这样实属难得，因为工作性质会给你的一切言论都加上公关滤镜。

我叔叔在1960年代是个相当大的流行乐明星。他们的乐队曾一度拥有一本非常重要的粉丝杂志，是全国家喻户晓的名字。随着时间的推移，他们遇到了跟踪者、奇怪的粉丝，经历了所有那些事情，还拍了电影、出了专辑，举办过盛大的派对，也认识其他名人，基本上OP（楼主）写的所有这些事，他都经历过（当然，那是大约50年后的事了，有些东西变了，但没变太多）。

他可能很有魅力，而且出人地善于言辞。我能想象，如果他有那个心情，是能写出这样一篇文章的。

他也因为管理不善（不止一次地）赔光了几乎所有钱，最终搬出了洛杉矶，动荡的家庭生活让他有过好几段婚姻，也没怎么陪伴过孩子。四十多岁的时候，他就陷入了一种可悲的巡回演唱会循环，因为乐队还需要钱。即使在晚年，那些演唱会依然保有某种程度的兴奋感和观众的热情，我猜他始终是热爱舞台、热爱表演这一切的。但归根结底，我总觉得那是一种孤独的存在。当你总是在旅行，而且常常心不在焉的时候，就很难与人建立真正深厚的联系。

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022847

throwaway142351

我也是一位父亲，处境与你描述的颇为相似。儿子还不到五岁，感觉他的故事才刚刚开篇。自高中起——也许更早——我就知道自己喜欢男人，可我一直挑那条看似最省力的路：继续躲在柜子里、和女生约会、同居、求婚、结婚，甚至生个孩子，都比直面真相来得“容易”。

我爱我的妻子，也爱我的儿子，也能感受到他们的爱。但我也痛苦地意识到，他们爱的那个“我”，是我精心拼装的假面。我不断撒谎：为什么我不想做爱、我有没有外遇、我的真实感受、我的动机……没有人真正认识我，连在最该安全的关系里，我也做不了自己。

我读过岸见一郎的《被讨厌的勇气》以及其他类似的书，正努力积攒勇气，想为这一切做点什么。这过程极其艰难，但我绝不愿再把儿子当成借口，继续拖延出柜。这篇博文又把我往那个方向推了一把。

他们会生气（至少我妻子会），他们的生活会被搅得天翻地覆。可至少，他们将有机会提问、有机会理解。他们会看到我为自己的选择承担后果。也许——只是也许——这份坦诚，会在某种程度上，成为我们所有人的一种解脱。

A monopoly ISP refuses to fix upstream infrastruct… #

https://news.ycombinator.com/item?id=46020375

I had a similar problem with a different ISP, Optimum, in Northern NJ. It wasn’t as regular as the author’s problem – my cable modem would desync intermittently throughout the day despite the signal strength numbers being in spec.

I replaced everything downstream of the drop from the street, all new wiring inside, a new modem/router/etc. All signs pointed to the problem being outside the house. I went so far as to connect an oscilloscope to the coax line to look for patterns. I discovered that if I physically manipulated a particular section of the line from the pole, a huge interference pattern appeared and the modem’s connection dropped. Eventually I could reproduce the connection loss fairly easily.

Convincing the ISP to actually do anything about it was much harder. Despite first-hand evidence that the coax from the pole needed to be replaced, their tech support insisted that someone had to come into the house to inspect the interior wiring. No amount of insistence on my part would convince them that it was not necessary. The building was a vacation home, and this was during peak COVID time, so there was basically no chance of that happening. The appointment came with threats of service charges if they sent a tech and could not enter the building or reproduce the problem, so I cancelled it.

Coincidentally, I happened to discover that the mayor of the town had started a hotline specifically for reporting home Internet problems in the town. So I sent in a message to that service, not really expecting anything to come of it. But shortly after I get a phone call from some higher-up department of the ISP. They had a truck out within a few days to replace the drop – with no one home – and the connection was rock solid ever since.

This experience taught me that ISPs often have distinct support channels that governmental departments use to contact them. I think they called it the “executive support team” or something along those lines. Basically, if you can get a message in that way, it’s possible to circumvent the useless consumer-level support. Long story short, I think escalating this through the local or state level government may be the author’s best shot at getting this resolved.

tfvlrue

我在新泽西州北部的另一家网络服务提供商Optimum也遇到过类似的问题。问题没有作者描述的那么规律——尽管信号强度数值在正常范围内，我的电缆调制解调器还是会整天间歇性地同步失败。

我更换了从街上引入点到室内的所有设备，包括全新的室内布线，以及新的调制解调器/路由器等。所有迹象都表明问题出在房子外面。我甚至将示波器连接到同轴电缆上以寻找规律。我发现，如果我物理上触碰电线杆上的某一段电缆，就会出现巨大的干扰模式，调制解调器的连接也会中断。最终，我相当轻易地就能复现连接中断的情况。

但要说服ISP采取实际行动就困难多了。尽管我有第一手证据表明电线杆上的同轴电缆需要更换，但他们的技术支持仍坚持必须派技术人员进屋检查内部线路。我无论怎么坚持，都无法让他们相信这是不必要的。那栋房子是度假屋，而且正值新冠疫情高峰期，所以基本上不可能让他们进门。他们还威胁说，如果派了技术人员却无法进入房屋或复现问题，就会收取服务费，于是我取消了预约。

巧合的是，我发现市长刚好开通了一个专门用于汇报家庭网络问题的热线。于是我就把情况发给了那个服务，并没有真的指望会有什么结果。但没过多久，我就接到了ISP某个更高层级部门的电话。几天内他们就派了辆车来更换了引入线——当时家里没人——从那以后，连接就变得极其稳定了。

这段经历让我明白，ISP通常有为政府部门专门设置的沟通渠道。我记得他们称之为“高管支持团队”之类的。基本上，如果你能通过这种方式把问题传达上去，就有可能绕过毫无用处的普通客服支持。长话短说，我认为作者最好的解决途径是通过当地或州一级的政府部门来升级处理这个问题。

WorldGen – Text to Immersive 3D Worlds #

https://news.ycombinator.com/item?id=46018560

It’s a fun demo but they never go into buildings, the buildings all have similar size, the towns have similar layouts, there’s numerous visual inconsistencies, and the towns don’t really make sense. It generates stylistically similar boxes, puts them on a grid, and lets you wander the spaces between?

I know progress happens in incremental steps, but this seems like quite the baby step from other world gen demos unless I’m missing something.

schmichael

这是个有趣的演示，但角色从不进入建筑，所有建筑的大小都差不多，城镇的布局也很相似，存在大量视觉上的不一致，而且城镇的设定也毫无道理可言。它只是在生成风格类似的方块，然后把它们摆放在网格上，再让你在这些方块之间的空间里闲逛？

我知道技术进步是逐步实现的，但与其他的世界生成演示相比，这看起来像是一步非常微小的进展，除非我遗漏了什么关键点。

Meta buried ‘causal’ evidence of social media harm… #

https://news.ycombinator.com/item?id=46021049

At this point, I think all of the big tech companies have had some accusations of them acting unethically, but usually, the accusations are around them acting anticompetitively or issues around privacy.

Meta (and social media more broadly) are the only case where we have (in my opinion) substantiated allegations of a company being aware of a large, negative impact on society (mental wellness, of teens no less), and still prioritizing growth and profit. The mix is usually: grow at all costs mindset, being “data-driven”, optimizing for engagement/addiction, and monetizing via ads. The center of gravity of this has all been Meta (and social media), but that thinking has permeated lots of other tech as well.

Ozzie_osman

我认为，目前所有大型科技公司都曾有过一些不道德行为的指控，但通常这些指控都集中在反垄断或隐私问题上。

Meta（以及更广泛的社交媒体）是唯一一个（在我看来）有确凿证据表明，公司明知会对社会（尤其是青少年的精神健康）造成巨大负面影响，却仍将增长和利润置于首位的案例。其核心模式通常是：不惜一切代价的增长思维、“数据驱动”、以用户粘性/成瘾为目标进行优化，并通过广告变现。这一切的中心一直是Meta（和社交媒体），但这种思维方式也已经渗透到许多其他科技领域。

We Induced Smells With Ultrasound #

https://news.ycombinator.com/item?id=46019416

Finally some progress towards smellovision.

jayd16

终于，在嗅觉电视方面取得了一些进展。

Arduino Terms of Service and Privacy Policy update… #

https://news.ycombinator.com/item?id=46011661

“We are Arduino. We are open. We’re not going anywhere.”

– statement from Qualcomm without a single human being’s name on it

12_throw_away

我们是Arduino。我们是开放的。我们不会离开。

——高通（Qualcomm）发布的声明，且未署任何个人姓名

‘The French people want to save us’: help pours in… #

https://news.ycombinator.com/item?id=46017023

As the article said Duralex was the brand use by a large number of school cantinas in France. Inside of each glass there’s a small number used by the brand to identify the mold used for the creation of the glass. For kids that was a way to decide who is going to fetch the water for the table (smaller number or higher number of the table). That’s why the CE is holding his glass like that in the guardian article. Beside the nostalgia i think a lot of people support them because it’s a SCOP (the majority of the capital of the company is owned by the employees) [1] and it’s nice to see that another kind of company is possible.

[1] https://fr.wikipedia.org/wiki/Soci%C3%A9t%C3%A9_coop%C3%A9rative_et_participative

Broussebar

正如文章所说，Dur曾是法国众多学校食堂使用的品牌。每个玻璃杯内部都带有一个小小的数字，这是品牌用来标识制造该玻璃所用的模具的。对于孩子们来说，这个数字成了决定谁来为桌子打水的方法（数字较小或数字较大的一方）。这就是为什么在《卫报》的文章中，CE会那样拿着他的玻璃杯。除了怀旧之情，我认为很多人支持这家公司，因为它是一家SCOP（公司的大部分资本由员工所有）[1]，能看到另一种形式的公司存在，这真是一件好事。

[1] https://fr.wikipedia.org/wiki/Soci%C3%A9t%C3%A9_coop%C3%A9rative_et_participative

Ubuntu LTS releases to 15 years with Legacy add-on #

https://news.ycombinator.com/item?id=46023721

I don’t agree, and this feels like something written by someone who has never managed actual systems running actual business operations.

Operating systems in particular need to manage the hardware, manage memory, manage security, and otherwise absolutely need to shut up and stay out of the fucking way. Established software changes SLOWLY. It doesn’t need to reinvent itself with a brand new dichotomy every 3 years.

Nobody builds a server because they want to run the latest version of Python. They built it to run the software they bought 10 years ago for $5m and for which they’re paying annual support contracts of $50k. They run what the support contracts require them to run, and they don’t want to waste time with an OS upgrade because the cost of the downtime is too high and none of the software they use is going to utilize any of the newly available features. All it does is introduce a new way for the system to fail in ways you’re not yet familiar with. It adds ZERO value because all we actually want and need is the same shit but with security patches.

Genuinely I want HN to understand that not everyone is running a 25 person startup running a microservice they hope to scale to Twitter proportions. Very few people in IT are working in the tech industry. Most IT departments are understaffed and underfunded. If we can save three weeks of time over 10 years by not having to rebuild an entire system every 3 years, it’s very much worth it.

da_chicken

我不同意，这感觉像是一个从未管理过运行实际业务系统的真实系统的人写的东西。

操作系统需要管理硬件、管理内存、管理安全，除此之外，就必须闭嘴，别他妈挡道。成熟的软件更新得很慢。它不需要每三年就用一个全新的二元对立来重塑自己。

没人会去搭建服务器，只是为了运行最新版本的Python。他们搭建服务器是为了运行他们十年前花五百万美元买来的软件，并且每年还要支付五万美元的年度支持合同。他们会运行支持合同要求他们运行的版本，他们不想浪费时间升级操作系统，因为停机的成本太高，而且他们使用的任何软件都不会利用任何新功能。升级只会引入一种你尚不熟悉的系统故障方式。它增加的价值为零，因为我们真正想要和需要的，只是打了安全补丁的相同玩意儿。

说真的，我希望HN（Hacker News）能明白，不是每个人都在运营着一个25人的初创公司，运行着一个希望能扩展到推特规模的微服务。IT行业里从事科技工作的人很少。大多数IT部门人手不足，资金也不充裕。如果我们能通过不必每三年就重建整个系统，从而在十年内节省三周的时间，那这笔交易就非常划算了。

ADHD and monotropism (2023) #

https://news.ycombinator.com/item?id=46014541

I was diagnosed with ADD as a kid (before it was ADHD). People always describe the disorder as “lack of focus” but that’s a really poor description for what I have.

I would say I have “hyper focus”, to the point where if I’m working on something interesting, I will lose track of time and am unable to redirect my attention to anything else.

This makes me incredibly “spacey” as often my mind is still fixated on the task even long after I’ve stopped working on it. It also makes it very hard for me to accomplish any task I don’t think are interesting…

And often a new idea will strike me like an epiphany that immediately takes the top spot of my attention.

The result is I have hundreds of half finished projects in flight across countless areas of interest.

cjonas

我小时候被诊断出患有ADD（在当时还没有ADHD这个说法）。人们总是把这种障碍描述为“注意力不集中”，但这对于我所经历的情况来说，是一个非常糟糕的描述。

我会说我有“过度专注”的特质，其程度是，如果我正在处理一件有趣的事情，我会完全忘记时间，并且无法将注意力转移到任何其他事情上。

这让我显得非常“心不在焉”，因为即使在我停止工作很久之后，我的思绪依然会停留在那件事上。这也让我很难完成任何我认为不感兴趣的任务……而且，一个新想法常常会像顿悟一样击中我，并立刻占据我注意力的首位。

结果是，我在无数的领域里有数百个正在进行但尚未完成的项目。

2025 11 23 HackerNews

2025-11-23 08:14:10

2025-11-23 Hacker News Top Stories #

Igalia 与 Valve 合作为 Steam 设备提供关键技术支持（FEX x86→ARM64 翻译、Adreno Turnip Vulkan 驱动、Vulkan/NIR 优化与自动化 CI），提升 Linux 游戏兼容性与能效。

个人博客正在复兴，但作者主张更需要高质量的专业领域博客以重建可信且可持续的网络内容生态。

Armin Ronacher 总结构建智能体的实践经验：优先用原生 SDK、显式缓存与任务循环、子智能体与共享类文件系统以应对复杂性。

一册保存良好的 1939 年首期《超人》漫画以 912 万美元成交，创下漫画拍卖纪录并承载家庭记忆。

新墨西哥州成为首个为所有家庭提供自婴儿六周起免费托育的州，虽可节省家庭开支但面临供给、人员与质量挑战。

加州 DMV 批准扩大 Waymo 无人驾驶无司机测试与部署范围，允许全天候、多车型在多县市运行。

实时 LAPD 直升机追踪显示高昂运营成本与大量低优先级飞行，引发对纳税资金使用、污染与执法方式的质疑。

EFF 分析显示执法机构大量利用 Flock 的 ALPR 网络搜寻与监控抗议者，暴露隐私与集会自由风险及透明度不足。

TUXEDO 宣布终止基于高通 Snapdragon X Elite 的 ARM 笔记本开发，原因是 Linux 支持与硬件控制不足，未来或关注 X2E。

作者用余弦函数与离散傅里叶思想将 Fizz Buzz 的整除判断表示为封闭的三角函数表达，作为趣味性数学化尝试。

Igalia 助力 Valve，为全新 Steam 设备提供关键技术支撑 (Helping Valve to power up Steam devices) #

https://www.igalia.com/2025/11/helpingvalve.html

Igalia 与 Valve 合作，为新推出的 Steam 设备提供关键技术支持，包括 Steam Frame、Steam Machine 和 Steam Controller。其中，Steam Frame 采用 ARM 架构 CPU，为解决 x86 游戏兼容性问题，Igalia 参与开发并优化了 FEX 翻译层，实现 x86 代码向 ARM64 的高效转换。工程师 Paulo Matos 表示，这项工作虽需大量手动测试，但对游戏爱好者而言是“梦想成真”。

在图形驱动方面，Igalia 为 Qualcomm Adreno 750 GPU 开发了 Mesa3D Turnip 开源 Vulkan 驱动，解决了关键渲染问题，实现了对 Adreno 700 系列 GPU 的支持，并引入 LRZ 优化和自动调优功能。该驱动在正确性和性能上均超越了专有驱动，且通过了超过 280 万项的 Vulkan 一致性测试（CTS）。

团队还推动了多项 Vulkan 扩展的实现与规范完善，助力 DirectX 到 Vulkan 的高效翻译，提升跨平台兼容性。工程师 Dhruv Mark Collins 指出，开源社区的广泛使用帮助发现了多个隐藏缺陷，体现了开源模式的协同优势。

在编译器层面，Job Noorman 等工程师优化了 Mesa3D 的 NIR 着色器编译器，提升图形处理效率。Igalia 的工作不仅服务于 Steam Frame，也惠及多年来的 Snapdragon 硬件平台，确保长期兼容性。

为防止回归问题，团队建立了自动化 CI 测试流程，自动运行多种 API（D3D11/9/8、Vulkan、OpenGL）的游戏单帧捕捉，保障稳定性。未来，Igalia 将继续优化任务调度，提升 Steam Frame 在低功耗下的性能表现，推动 Linux 游戏生态整体发展。

HN 热度 796 points | 评论 286 comments | 作者：TingPing | 1 day ago #

https://news.ycombinator.com/item?id=46006616

Valve 推动开源项目，为 Qualcomm Adreno GPU 开发了 Mesa3D Turnip Vulkan 驱动，展现了其在技术上的贡献。
Valve 虽非硬件或操作系统厂商，但通过开放源代码赢得用户好感，将良好声誉转化为商业优势。
尽管 Valve 存在 loot crates 等争议机制，但相比 EA 等公司，其整体行为仍显得相对良善。
loot crates 和集换式卡牌游戏在本质上属于赌博性质，不应被简单归为“理智消费者不购买”的范畴。
个体需具备自我控制力，但现代商业环境通过心理学和设计手段系统性地挑战人的自制力。
企业利用价格策略、产品布局等手段诱导消费，如 9.99 元定价、超市收银台糖果摆放等，构成对消费者的隐性操控。
从赌场到电子游戏，整个社会存在大量“心智黑客”行为，持续影响人们做出非理性决策。
应对这类问题需双管齐下：一方面加强监管，要求透明化商品内容；另一方面提升个人心理韧性。
自我控制虽重要，但面对系统性诱导，仅靠个人意志难以长期有效，需社会机制提供保护。
与其依赖个人自制力，不如建立安全环境，如通过法规限制高风险消费模式，保障弱势群体。
个人可通过运动、攀岩等挑战性活动增强心理韧性，从而抵抗外部诱惑。
对从事诱导性商业模式的从业者应施加道德压力，推动行业向更负责任的方向发展。

个人博客回归，专业领域博客是否该紧随其后？ (Personal blogs are back, should niche blogs be next?) #

https://disassociated.com/personal-blogs-back-niche-blogs-next/

文章探讨了个人博客与专业领域博客（ niche blogs）在当代网络环境中的角色与复兴可能性。

作者指出，尽管社交媒体和网红经济已取代传统博客成为主流，但个人博客正因对社交媒体的反动以及 IndieWeb/SmallWeb 运动的兴起而迎来复兴。这种复兴以非商业性、个人表达为核心，强调独立写作与真实连接。

与此同时，作者认为，仅靠个人博客的复兴尚不足以重建健康的网络生态。真正需要恢复的是高质量、专注特定主题的“专业领域博客”——这类博客曾是互联网黄金时代的重要组成部分，提供可靠、深入的信息，但如今正逐渐消失。

作者呼吁，应推动专业领域博客的回归，但反对过去那种充斥广告、弹窗、过度商业化的模式。理想的博客应由独立作者创作，基于真实兴趣，内容可信，并能以合理方式获得收益，同时不损害读者体验。

最后，作者强调，个人博客的复兴是第一步，下一步应是重建一个可信赖、信息丰富、多样化的网络环境，让优质内容重新成为网络的基石。

HN 热度 581 points | 评论 349 comments | 作者：gnabgib | 1 day ago #

https://news.ycombinator.com/item?id=46009894

个人博客是极佳的学习工具，通过写作能深化对知识的理解，尤其在教学相长的过程中受益匪浅。
即使没有读者，博客也能在求职中提供显著优势，能体现候选人的编码能力和沟通能力，是简历筛选中的加分项。
频繁写作的博客能成为未来自我回顾的宝贵资源，通过标签系统可追踪个人知识体系的发展轨迹。
博客有助于建立专业信誉，当他人询问某个话题时，可提供过往文章作为参考，增强可信度。
搭建博客本身是一项富有乐趣的开发项目，适合作为新手入门的实践，且可长期维护和迭代。
博客的价值不在于读者数量，而在于读者的质量，哪怕只有一个人因文章获得启发，也具有深远意义。
有招聘经验的人表示，个人网站和项目展示是进入面试环节的重要信号，能体现候选人的主动性与热情。
在部分公司，尤其是大企业，面试官往往忽视候选人的个人网站，仅关注标准化测试或简历模板。
个人博客能带来真实的职业机会，如受邀参加行业活动、获得工作机会，甚至促成创业项目。
一些人担忧博客被功利化，变成只为求职而写，失去了真实表达的初衷，导致内容同质化。
通过博客内容的深度、细节和更新频率，可以判断作者是否真正热爱某个领域，而非单纯为简历加分。
GitHub 上的项目刷量、Hacktoberfest 刷贡献等现象也反映了简历包装的泛滥，博客领域可能面临类似问题。
个人博客的真诚性比形式更重要，即使使用 AI 辅助写作，只要内容体现真实思考和热情，仍具价值。
在小团队或初创公司中，面试官更可能关注候选人的博客内容，甚至以此作为深入交流的话题。
招聘中若能主动提及博客内容，并与岗位需求建立联系，能有效提升面试表现，展现匹配度。

Agent 设计依然困难 (Agent design is still hard) #

https://lucumr.pocoo.org/2025/11/21/agents-are-hard/

本文是 Armin Ronacher 关于构建智能体（Agent）的最新思考与经验总结，发布于 2025 年 11 月 21 日。文章指出，尽管智能体技术不断发展，但实际构建过程依然复杂且充满挑战。

在工具链选择上，作者曾尝试使用 Vercel AI SDK 等高级抽象，但最终发现这些抽象在面对真实工具调用时存在局限。不同模型之间的差异显著，导致难以建立统一的抽象层。因此，作者认为目前更推荐直接使用 OpenAI 或 Anthropic 等平台的原生 SDK，以保持对流程的完全控制，尤其是在处理 Provider 端工具时，Vercel SDK 存在消息历史破坏等问题。

关于缓存管理，作者强调 Anthropic 平台要求显式管理缓存，虽然初期觉得繁琐，但实际使用后发现这种设计带来了更高的成本可控性和灵活性。通过在系统提示、对话开头等关键节点设置缓存点，并动态注入如当前时间等信息，可以有效避免缓存失效。这种手动控制使得并行推理、上下文编辑等高级操作成为可能。

在智能体循环中，强化（Reinforcement）机制扮演了重要角色。每次工具调用后，不仅可以返回结果，还能注入目标提醒、任务状态、失败原因分析等信息，帮助智能体自我调整。例如，Claude Code 中的“todo write”工具本质上是一个回显工具，但通过重复任务列表，有效推动了任务进展。

为应对频繁失败，作者提出两种策略：一是使用子智能体独立执行可能迭代的任务，仅汇报成功结果与失败尝试摘要；二是利用 Anthropic 支持的上下文编辑功能，剔除无效失败记录以节省上下文空间。但需注意，上下文编辑会强制失效缓存，需权衡其成本与收益。

最后，作者强调，共享状态通过类似文件系统的机制进行管理，是构建复杂智能体的重要基础。当前大多数智能体依赖代码执行与生成，因此需要一个统一的数据存储层，而文件系统是目前最可靠的选择。

HN 热度 332 points | 评论 190 comments | 作者：the_mitsuhiko | 13 hours ago #

https://news.ycombinator.com/item?id=46013935

在 AI 代理领域投入资源需谨慎，许多当前的技术方案只是应对当前 LLM 缺陷的临时优化，未来技术迭代可能导致这些方案迅速过时。
当前 AI 领域的技术模式更新极快，一个看似成熟的“最佳实践”可能在几周或几个月内就被淘汰，因此不必急于跟风。
与其盲目追赶热点，不如等待技术成熟后再跟进，因为届时大多数从业者也才刚掌握新方法，追赶成本并不高。
有些技术问题看似需要自研解决方案，但若其核心价值不直接关联产品核心竞争力，可能反而成为负担，应评估其必要性。
自主开发工具虽耗时，但能带来更深入的理解和更强的掌控力，而依赖现成框架可能限制创新能力。
早期的软件设计模式（如面向对象）在现代函数式编程和不可变数据结构背景下已显过时，AI 领域的模式同样可能快速失效。
当前 LLM 在推理、结构化输出和动态工具调用方面已内置强大能力，许多过去需要复杂框架（如 LangChain）解决的问题已不再必要。
上下文窗口的显著扩展（从 4K 到 256K）极大简化了文档处理流程，使得文本分割、向量搜索等传统 RAG 技术的重要性下降。
多模态模型的发展使 PDF 等文档的文本提取不再依赖复杂预处理，直接输入图像即可获得高质量结果。
当前 AI 技术的快速演进可能导致“等待”成为合理策略，但需警惕陷入“等 AGI”的拖延陷阱，避免完全脱离技术进程。

1939 年首期《超人》漫画以 912 万美元成交，成为史上最贵漫画书 (Original Superman comic becomes the highest-priced comic book ever sold) #

https://www.bbc.com/news/articles/c8e9rp0knj6o

三兄弟在清理已故母亲位于加州阁楼的旧物时，意外发现了一本 1939 年 6 月出版的《超人》第一期漫画，保存状况极佳。这本漫画在拍卖中以 912 万美元（约合 700 万英镑）成交，成为有史以来最贵的漫画书。拍卖由德克萨斯州的赫里蒂奇拍卖行（Heritage Auctions）主办，该漫画经第三方评级机构 CGC 评为 9.0 分（满分 10 分），创下新纪录。此前最贵的漫画是 2023 年以 600 万美元成交的《动作漫画》第 1 期。

兄弟们表示，母亲生前曾提及拥有珍贵漫画收藏，但从未展示。这些漫画自大萧条时期至二战初期由母亲与兄长购得，因加州北部凉爽干燥的气候得以完好保存。拍卖行副总裁朗·艾伦表示，若在德克萨斯州的炎热气候下，这些纸张早已损毁。

拍卖行称，这不仅是一次收藏界的里程碑，更是一段关于家庭记忆与意外重逢的故事。最小的兄弟在声明中表示，这本漫画承载的不仅是纸张与墨水，更是亲情与过往的回响。

HN 热度 308 points | 评论 203 comments | 作者：1659447091 | 19 hours ago #

https://news.ycombinator.com/item?id=46012328

使用 em dash 等标点符号是个人写作习惯，不应因 AI 生成内容的泛滥而被污名化。
一些人因担心被误认为是 AI 生成内容而改变自己的写作风格，甚至放弃使用 em dash 等标点。
em dash 在正式和非正式写作中都有其合理用途，不应被视为“装腔作势”或“炫耀”。
写作工具本身无错，问题在于使用它的人是否真诚表达思想，而非标点符号本身。
用线性模型判断 AI 生成内容是无效的，因为 AI 输出是非线性的，无法通过简单规则识别。
AI 安全产业被批评为“骗局”，由缺乏技术理解的风投推动，实则无实际价值。
人们误将 AI 的“正确语法”归咎于人类作者，而实际上 AI 是模仿了人类的写作风格。
有些人刻意用 em dash 来彰显“知识分子”身份，这种行为令人反感，但不应因此否定标点的正当性。
个人写作应忠实于自己的思维节奏，使用 em dash 或分号等标点是表达语感的方式。
在社交媒体等非正式场景中，em dash 可能显得过于正式，但并不意味着它不适用或不正确。
有人因 AI 流行而重新学习如何输入 em dash，如在 Linux 系统中设置组合键，说明技术习惯在变化。
有人认为，与其因 AI 而改变写作习惯，不如坚持自我，不必迎合他人对“AI 味”的刻板印象。

新墨西哥州成为美国首个提供全民免费婴幼儿照护的州，从婴儿六周大起即可享受免费托育服务。 (In a U.S. First, New Mexico Opens Doors to Free Child Care for All) #

https://www.wsj.com/us-news/in-a-u-s-first-new-mexico-opens-doors-to-free-child-care-for-all-2dfdea96

新墨西哥州成为美国首个提供全民免费婴幼儿照护的州，从婴儿六周大起即可享受免费托育服务。该政策由州政府通过石油天然气收入设立的基金支持，旨在为儿童提供更好的成长起点。据估计，该计划可使家庭每年平均节省约 1.6 万美元的托育开支。

目前，该州的托育服务面临供应不足和工作人员短缺的挑战。例如，圣达菲的 La Casita 幼儿园已达到满员状态，反映出需求远超现有资源。尽管政策雄心勃勃，但如何扩大服务覆盖面、确保服务质量，仍是亟待解决的问题。

HN 热度 291 points | 评论 412 comments | 作者：nairteashop | 8 hours ago #

https://news.ycombinator.com/item?id=46015763

美国在二战期间曾为在职母亲提供儿童保育服务，但理查德·尼克松否决了扩大该计划的法案，反映出社会对集体福利的忽视与个人主义倾向的加剧。
《经济学人》引用魁北克省的研究指出，普遍性儿童保育可能导致儿童攻击性、焦虑和多动症增加，社交与运动技能下降，但该研究仅基于单一地区，且与其他研究结论相矛盾。
魁北克的儿童保育扩张伴随着大量低质量的营利性和无执照保育机构的增加，这可能是导致儿童发展问题的主要原因，而非普遍性保育本身的问题。
挪威实行儿童保育权利制度，保育机构由专业人员管理，注重儿童社交、自理能力与户外活动，儿童发展良好，说明高质量的保育体系能有效支持儿童成长。
儿童保育的定义模糊，从一对一保姆到缺乏管理的课后俱乐部差异巨大，缺乏统一标准使得不同研究之间难以直接比较。
保育质量是决定儿童发展结果的关键因素，高师生比、教师专业资质和良好监管的保育项目能带来长期积极影响，尤其对低收入家庭儿童效果更显著。
母亲因经济压力不得不工作，是家庭收入无法维持的体现，而非保育本身的问题，真正根源在于社会经济结构的不平等。
《经济学人》的报道可能受其立场影响，将单一研究结果夸大为普遍结论，忽视了其他支持普惠保育的大量实证研究。

加州 DMV 批准 Waymo 无人驾驶运营地图范围扩大 (California DMV approves map increase in Waymo driverless operations) #

https://www.dmv.ca.gov/portal/vehicle-industry-services/autonomous-vehicles/autonomous-vehicle-testing-permit-holders/waymo-approved-areas-of-operation-for-driverless-testing-and-deployment/

该网页是加利福尼亚州机动车管理局（DMV）的官方网站页面，主要介绍自动驾驶车辆测试许可持有者在加州的运营授权信息，重点针对 Waymo 公司。

页面显示，Waymo 获准在加州多个城市和县开展无驾驶员测试与部署，涉及的车型包括 2021 及 2024 年的捷豹 I-Pace，以及 2022 和 2025 年的 Zeekr RT。

运营时间覆盖全天 24 小时，涵盖各种天气条件（如雨天、雾天等）和速度范围，具备全环境适应能力。

授权运营区域包括多个阿尔 ameda 县和 Contra Costa 县的城市，如奥克兰、伯克利、弗里蒙特、利佛摩、康科德、丹维尔等，以及洛杉矶县的多个城市，如洛杉矶、帕萨迪纳、圣费尔南多、圣克拉丽塔、阿古拉山、阿卡迪亚、阿兹萨、波莫纳、西科维纳等。

HN 热度 241 points | 评论 156 comments | 作者：NullHypothesist | 1 day ago #

https://news.ycombinator.com/item?id=46009994

Waymo 在深夜或交通高峰时段提供了稳定可靠的出行服务，相比传统网约车更少出现取消订单的情况，用户体验更佳。
在旧金山等大城市，尤其是在深夜或从机场出发时，Uber 和 Lyft 经常出现司机取消订单的问题，导致乘客长时间等待。
一些乘客在特定地点（如金门大桥北端）因司机迷路或无法到达而遭遇多次取消，凸显了传统网约车在复杂路线上的局限性。
机场等交通枢纽的网约车调度问题尤为严重，司机倾向于避开长途或低收益路线，导致乘客难以叫到车。
为解决此类问题，Uber 推出了“Uber Rank”系统，通过排队机制和预设目的地代码，让乘客能快速上车，类似传统出租车站，提升了效率。
该系统虽然有效，但其法律合规性存疑，因为本质上是重新实现了被法规限制的出租车站模式。
乘客普遍抱怨网约车司机在接到订单后不立即出发，而是选择“停车等待”或“假装到达”，以规避取消惩罚并获取更高收益。
与传统出租车相比，网约车要求车辆更新、更整洁，且有匿名评分机制，整体服务质量和车辆状况有所提升。
一些司机存在违规行为，如使用非授权账户接单，或在乘客醉酒状态下收取高额费用，存在安全隐患。
乘客为确保能顺利出行，常同时使用多个打车应用，或选择高端服务如 Uber Black，以减少取消风险。
早期 Uber 曾以“Uber Black”高端服务为主，车辆均为新车，服务体验接近传统豪华出租车，但随着市场竞争加剧，服务标准有所下降。

LAPD 警用直升机实时运营成本追踪 (LAPD helicopter tracker with real-time operating costs) #

https://lapdhelicoptertracker.com/

该网页是一个实时监控洛杉矶警察局（LAPD）警用直升机活动的工具，旨在揭示其飞行频率与高昂的运营成本。

当前共有 3 架直升机处于飞行状态，分别显示为 N221LA、N229LA 和 N267LA。每架直升机的位置、高度、速度、航向和最后更新时间均实时更新，数据来源包括 LA 控制器审计、LAPD fleet 数据库及 ADSB.lol API。

自页面加载以来，已过去 4 秒，累计支出 12 美元。根据 2023 年审计报告，LAPD 空中支援年度总成本高达 4660 万美元，相当于每小时 2916 美元。其中 61% 的飞行任务被认定为低优先级，且无明确犯罪关联。

该机队由 17 架直升机和 1 架固定翼飞机组成，每年飞行约 16,000 小时，每年造成约 7,427 吨二氧化碳当量排放，同时带来噪音污染，对周边社区产生负面影响。

网页呼吁公众关注公共资金使用效率，提醒“不要像 LAPD 一样浪费纳税人钱财”。项目支持可通过“买我杯咖啡”方式捐赠。数据每 30 秒更新一次，最新更新时间为上午 8:04:31。

HN 热度 227 points | 评论 273 comments | 作者：polalavik | 1 day ago #

https://news.ycombinator.com/item?id=46009591

洛杉矶频繁的高速追车事件是导致警方依赖直升机监控的主要原因，这种追车往往达到每小时 100 英里以上，且几乎每天发生。
与德国等国家相比，美国城市中直升机的频繁出现反映了执法文化中的过度军事化倾向，这种现象与社会对警察的高期待和零容忍政策有关。
高速追车本身对公共安全构成极大威胁，造成的伤亡远超所追捕的犯罪行为，因此应被严格限制或废除。
有观点指出，警察在执法中“不能输”的心态导致了不必要的升级，即使面对非暴力行为也倾向于采取极端手段。
一些人主张用无人机或现有监控系统替代直升机追捕，以减少人员伤亡，同时强调应优先采用非对抗性执法方式。
有案例显示，加拿大和德国等国家在处理类似劫持交通工具事件时采取了更为冷静、非暴力的策略，成功避免了冲突。
美国警察的军事化装备和展示行为更多是出于形象宣传，而非实际保护民众安全，且在关键时刻（如乌瓦尔德枪击案）未能有效应对。
乌瓦尔德事件中，大量武装警察在门外驻守却不敢进入，导致 19 名儿童和 2 名教师死亡，暴露出执法体系的严重缺陷。
警察高层在重大事件中的失职行为（如忘记对讲机）并未受到应有惩罚，甚至有人在事后被重新选举，反映出制度性问题。
高速追车的限制可能带来犯罪率上升的担忧，但也有观点认为，大多数人在清楚后果后不会选择逃逸，因此追车并非必要。
美国宽松的枪支法律使得未成年人也能合法购买枪支，这与频繁的枪击事件密切相关，是系统性问题的一部分。

执法机构如何利用 Flock 的 ALPR 网络监控抗议者与活动人士 (How Cops Are Using Flock’s ALPR Network to Surveil Protesters and Activists) #

https://www.eff.org/deeplinks/2025/11/how-cops-are-using-flock-safetys-alpr-network-surveil-protesters-and-activists

2025 年，美国多地爆发大规模抗议活动，包括“50501”抗议、“Hands Off”抗议以及两次“No Kings”运动，后者聚焦于反对政府过度管控、监控和企业权力。与此同时，执法机构利用 Flock Safety 的自动车牌识别（ALPR）网络对参与者进行大规模数字监控。

通过分析 Flock Safety 系统在 2024 年 12 月至 2025 年 10 月间的 1200 多万次搜索记录，电子前沿基金会（EFF）发现超过 50 个联邦、州和地方执法机构在与抗议活动相关的调查中使用了该系统。这些搜索涉及多个关键事件，包括反对驱逐行动的抗议、支持巴勒斯坦活动人士的集会，以及“No Kings”运动的两次大规模示威。

其中，俄克拉荷马州塔尔萨警察局是使用频率最高的机构之一，至少进行了 38 次与抗议相关的 ALPR 搜索，涵盖多个不同主题的集会。其他参与机构包括美国边境巡逻队、亚利桑那州奥罗谷警察局、田纳西州普特南县治安官办公室、伊利诺伊州利尔市警察局等。

在搜索理由字段中，许多执法机构仅填写“protest”或“no kings”等简短关键词，甚至未说明具体犯罪行为。例如，华盛顿州斯波坎县治安官办公室在 6 月 15 日以“no kings”为由，查询了 95 个摄像头网络，目标为工作车、巴士或厢式货车；德克萨斯州比尤特警察局则以“KINGS DAY PROTEST”为由，跨 1774 个网络搜索两辆车辆。

更令人担忧的是，一些搜索并非针对特定嫌疑人，而是广泛扫描特定时间段内所有符合条件的车辆。例如，亚利桑那州坦佩警察局在“ATL No Kings Protest”搜索中，未指定具体车牌，而是试图定位特定颜色（红色）的车辆。

此外，其他抗议活动也受到类似监控：内华达州卡森城治安官办公室在 2 月“50501”抗议中搜索了 178 个网络；佛罗里达州塞米诺尔县治安官办公室在五月一日游行中进行了五次“protest”搜索；阿拉巴马州霍姆伍德警察局在 7 月初的抗议中进行了四次“PROTEST CASE”和“PROTEST INV.”搜索，覆盖 1308 个网络。

这些数据揭示了一个日益严峻的问题：执法机构通过 Flock Safety 的全国性 ALPR 网络，对和平集会参与者实施无差别监控，而无需搜查令或合理怀疑。这种大规模监控不仅侵犯隐私，更可能对言论自由和集会自由构成威胁，尤其在缺乏透明度和问责机制的情况下。

HN 热度 208 points | 评论 81 comments | 作者：pseudalopex | 1 day ago #

https://news.ycombinator.com/item?id=46006521

警方利用 Flock 的 ALPR 网络监控抗议者和活动人士，存在滥用监控数据的风险，尤其是在涉及个人隐私如堕胎等敏感议题时。
一些地方的 ALPR 摄像头集中在家居建材商店停车场，可能与打击盗窃有关，但这些位置也便于执法部门收集大量车辆数据。
家居建材商店如 Home Depot 和 Lowe’s 因盗窃问题严重，安装摄像头和 AI 监控系统以防范犯罪，但这些系统也可能被用于非预期的监控目的。
有观点指出，这些摄像头的部署可能被用于追踪非法移民或日工等群体，尤其是在这些商店成为临时劳动力聚集地的情况下。
一些人质疑为何不选择 Target、Walmart 或 Costco 等大型零售店部署类似系统，认为这些商店的盗窃问题同样严重，但其安保措施更完善，且顾客流量大，可能不需要外部摄像头。
ALPR 数据共享机制可被配置为关闭，但许多执法部门仍选择开放共享，这可能导致跨州数据滥用，尤其在缺乏透明度和监管的情况下。
即使限制了数据共享范围，也无法从根本上解决监控滥用问题，因为一旦系统部署，执法机构总能找到新的使用方式。
有评论指出，对监控系统的依赖反映出社会对技术解决方案的过度信任，而忽视了更人性化、成本更高的安保方式，如雇佣安保人员。
一些人对监控系统缺乏透明度表示担忧，例如无法确认摄像头由谁运营、设备制造商是谁，导致公众难以监督和问责。

TUXEDO Computers 宣布终止基于高通骁龙 X Elite（X1E）SoC 的 ARM 笔记本开发项目 (Discontinuation of ARM Notebook with Snapdragon X Elite SoC) #

https://www.tuxedocomputers.com/en/Discontinuation-of-ARM-notebooks-with-Snapdragon-X-Elite-SoC.tuxedo

TUXEDO Computers 宣布暂停开发基于高通骁龙 X Elite（X1E）SoC 的 ARM 笔记本项目。该项目在过去 18 个月中推进，但最终因多项技术挑战而终止。

主要原因包括：

骁龙 X1E 在 Linux 系统下的实际表现未达预期，尤其是电池续航未能实现 ARM 设备的承诺优势。
Linux 系统下缺乏可靠的 BIOS 更新机制，风扇控制功能缺失。
KVM 虚拟化支持不可行，USB4 高速传输也未实现。
视频硬件解码虽技术上可行，但多数主流应用尚无相应支持。

此外，该芯片为第一代产品，其继任者骁龙 X2 Elite（X2E）已于 2025 年 9 月发布，预计 2026 年上半年上市。因此继续投入开发已无必要，以免推出一款两年以上的旧款设备。

TUXEDO 表示将密切关注 X2 Elite 的 Linux 兼容性进展。若其表现符合预期且可复用部分现有工作，项目可能在未来重启。

公司特别感谢 Linaro 团队在 ARM 开发上的合作，并承诺将所开发的设备树（Device Tree）等成果贡献至 Linux 主线内核，以提升社区对类似设备的支持，如 Medion SUPRCHRGD。

TUXEDO 始终致力于提供即开即用、德国制造、符合数据隐私标准的 Linux 兼容设备，提供长达五年的保修与本地技术支持。

HN 热度 193 points | 评论 139 comments | 作者：Venn1 | 1 day ago #

https://news.ycombinator.com/item?id=46008156

Snapdragon X Elite 芯片在 Linux 系统上的体验尚可，但整体支持不足，尤其是与苹果的软硬件协同相比仍有差距。
Intel 的 Lunar Lake 芯片在性能、续航和散热方面表现优异，且已具备完整的 Linux 支持，无需 x86 模拟，是当前轻薄 Linux 笔记本的优选。
Panther Lake 芯片的集成内存设计可能成为 Intel 重返市场的重要优势，未来表现值得期待。
使用 Snapdragon X Elite 的笔记本在轻度使用场景下表现良好，电池续航出色，无明显卡顿，但不适合重度工作或游戏。
目前在 Snapdragon X Elite 上运行 Linux 的主要障碍是缺乏原生支持，多数用户依赖 WSL 或 Docker。
苹果的 ARM Mac 能实现优秀能效，核心在于软硬件深度协同设计，而其他厂商难以复制这种模式。
Windows 系统在 Snapdragon X Elite 上表现稳定，适合严肃工作，但 Linux 生态仍存在诸多兼容性问题。
有用户反映 Macbook Pro 的电池续航近期明显下降，可能与系统更新或后台服务有关，需手动优化才能恢复。
一些老旧的 ThinkPad 笔记本在 FreeBSD 系统下可实现长达 17 小时的续航，得益于大电池和系统优化。
电池容量、低功耗睡眠模式、后台进程管理以及 CPU 能效是影响续航的关键因素。
实现苹果级别的软硬件协同需要一个能掌控软硬件全栈的公司，目前市场中缺乏具备足够生态影响力和经济激励的第二选择。
Tuxedo 和 System76 等厂商尝试通过自研软硬件栈（如 COSMIC）接近苹果模式，但尚未形成广泛生态。

用余弦函数解决 Fizz Buzz (Solving Fizz Buzz with Cosines) #

https://susam.net/fizz-buzz-with-cosines.html

本文探讨如何使用余弦函数等三角函数来实现 Fizz Buzz 游戏的数学化表达，旨在将原本依赖条件判断的程序逻辑，转化为一个单一的闭式表达式。

文章首先回顾了经典的 Fizz Buzz 游戏规则：当数字能被 3 整除时输出 “Fizz”，能被 5 整除时输出 “Buzz”，同时被两者整除时输出 “FizzBuzz”，否则输出数字本身。传统实现依赖多个 if-elif 分支。

作者引入符号函数 $ s_0(n) = n $、$ s_1(n) = \text{Fizz} $、$ s_2(n) = \text{Buzz} $、$ s_3(n) = \text{FizzBuzz} $，并定义索引函数 $ f(n) $ 来决定输出哪一个符号函数。通过分析，发现 $ f(n) $ 的取值与 3 和 5 是否整除 $ n $ 有关。

进一步，作者引入指示函数 $ I_m(n) $，当 $ m \mid n $ 时为 1，否则为 0。通过观察，发现 $ f(n) = 2 \cdot I_5(n) + I_3(n) $，即利用 3 和 5 的整除状态构成一个二进制编码，直接映射到 0 到 3 的索引。

为了进一步“复杂化”表达，文章提出挑战：能否不使用指示函数，而仅用基本数学运算和三角函数实现？答案是肯定的。

作者引入复指数函数和离散傅里叶变换的思想，指出周期性函数（如余弦）可以表示周期性的指示信号。通过构造基于 $ \cos(2\pi n / 3) $ 和 $ \cos(2\pi n / 5) $ 的表达式，可以近似或精确地表示 $ I_3(n) $ 和 $ I_5(n) $。

最终，文章展示了如何将整个 Fizz Buzz 序列表示为一个基于余弦函数的离散傅里叶级数，从而实现“用三角函数写 Fizz Buzz”的目标。这不仅是一种数学上的趣味探索，也体现了周期性信号与数论之间的深刻联系。

结论是：虽然实际编程中无需如此复杂，但通过数学工具，确实可以将一个简单的程序逻辑转化为一个优雅的闭式表达式，展示了数学之美与编程的融合。

HN 热度 188 points | 评论 60 comments | 作者：hprotagonist | 1 day ago #

https://news.ycombinator.com/item?id=46006598

Fizz Buzz 问题常被用作面试中的态度测试，而非单纯的技术能力评估。
有人认为 Fizz Buzz 作为面试题被过度夸大，其背后的数据可能并不真实，导致了如今冗长复杂的面试流程。
有评论提到，使用傅里叶变换来解决 Fizz Buzz 是一种巧妙且富有创意的方法，但实际应用中更推荐使用数值软件直接计算。
有人指出，通过多项式插值也可以实现 Fizz Buzz，只需构造一个足够高次的多项式即可生成前若干项。
有人调侃，用量子计算解决 Fizz Buzz 是一个有趣的设想，虽然目前尚无实际意义。
有人回忆起 APhyr 系列博客文章，用魔法、符文等荒诞方式讽刺技术面试的过度复杂化，这些文章至今仍令人捧腹。
有人对 APhyr 博客因英国在线安全法而无法显示评论表示遗憾，认为这可能是政治抗议行为。
有人指出，尽管 Fizz Buzz 看似简单，但仍有相当多具备高学历背景的候选人无法在不调试的情况下写出正确代码。
有人认为，用余弦函数和傅里叶变换来解决 Fizz Buzz 是一种“过度工程化”的艺术表达，体现了程序员的幽默与创造力。
有人补充，虽然直接计算傅里叶系数很繁琐，但通过观察周期性和整除规律可以发现简化方法，使问题变得有趣且可解。

Hacker News 精彩评论及翻译 #

Personal blogs are back, should niche blogs be nex… #

https://news.ycombinator.com/item?id=46011877

Here are some reasons to start a personal blog:

It’s a great way to learn. Teaching something to someone else has always been the best learning tool, and writing about something with an audience in mind is an effective way to capture some of that value.
It can be a big boost in job hunting. As a hiring manager two of the most important questions I have about a potential candidate are: Can they code? Can they communicate well? If a candidate has a blog with just two articles on it that hasn’t been updated in five years that’s still a big boost over candidates with nothing like that at all. In a competitive market that could be the boost you need to make it from the resume review to the first round.
If you blog more frequently than that it can be a really valuable resource for your future self. I love being able to look back on what I was thinking and writing about ten years ago. Having a good tagging system helps with this too - I can review my tag of “scaling” or “postgresql” and see a timeline of how my understanding developed.
It’s a great way to help establish credibility. If someone asks you about X and you have a blog entry about X from five years ago you can point them to that.
Building a blog is really fun! It used to be one of the classic starter projects for new web developers, I think that needs to come back. It’s a fun project and one that’s great to keep on hacking on long into the future.

Notably none of the above reasons require your blog to attract readers! There’s a ton of value to be had even if nobody actually reads the thing.

As a general rule, assume nobody will read your blog unless you actively encourage them to. That’s fine. What matters isn’t the quantity of readers, it’s their quality. I’d rather have a piece read by just a single person that leads to a new opportunity for me than 1,000 people who read it and never interact with me ever again.

If you DO start to get readers things get even more valuable. I’ve been blogging since 2002 and most of the opportunities in my career came from people I met via blogging. Today I get invited to all sorts of interesting events because I have a prominent blog covering stuff relating to AI and LLMs.

But I do honestly think that a blog is a powerful professional tool even if nobody else is reading it at all.

If you want to give it a go I’ve written a few things that might be useful:

What to blog about: https://simonwillison.net/2022/Nov/6/what-to-blog-about/ - Today I learned and write about your projects
My approach to running a link blog - https://simonwillison.net/2024/Dec/22/link-blog/ - aka write about stuff you’ve found

simonw

以下是开始个人博客的一些理由：

它是学习的一个绝佳途径。向他人传授某件事物向来是最佳的学习工具，而为了一个受众去撰写相关内容，正是捕捉这种价值的一种有效方式。
它能极大地提升你的求职竞争力。作为一名招聘经理，我对于一个潜在候选人最看重的两个问题是：他们会编程吗？他们的沟通能力好吗？如果一个候选人有一个只包含两篇文章并且五年未更新的博客，这依然比完全没有类似经历的候选人要强得多。在竞争激烈的市场中，这可能是你从简历筛选中脱颖而出，进入第一轮面试所需要的助力。
如果你比上面提到的频率更新博客，它就能成为你未来自己的宝贵资源。我很喜欢回顾十年前我在思考什么、在写什么。一个好的标签系统对此也很有帮助——我可以查看我的“扩展”或“postgresql”标签，看到我的理解是如何随时间发展的。
它是帮助你建立信誉的一个好方法。如果有人向你咨询某个X话题，而你恰好有一篇五年前关于X的博客文章，你就可以把这篇文章指给他看。
搭建一个博客真的很有趣！我认为，它曾经是新入行的网页开发者们的经典入门项目之一，我觉得这个传统应该回归。这是一个有趣的项目，也是一个可以让你在未来很长一段时间里不断投入和改进的绝佳项目。

值得注意的是，以上所有理由都并不要求你的博客必须能吸引到读者！即使真的没人阅读，它也能带来巨大的价值。

一般来说，除非你主动推广，否则要假定没人会看你的博客。这没关系。重要的不是读者的数量，而是他们的质量。我宁愿一篇文章只被一个人阅读，但它为我带来了新的机会，也不愿被一千人阅读，但他们从此再也没有与我互动过。

如果你的博客确实开始有了读者，它的价值就会变得更大。我从2002年就开始写博客，我职业生涯中的大部分机会都是通过写博客认识的人带来的。如今，因为我有一个知名的、专注于人工智能和大型语言模型主题的博客，我会收到各种有趣活动的邀请。

但我真心认为，即使完全没人阅读，博客也是一个强大的职业工具。

如果你想试一试，我写了一些可能对你有用的文章：

写什么：https://simonwillison.net/2022/Nov/6/what-to-blog-about/ - 关于你学到的东西和你正在进行的项目
我的链接博客运营方法 - https://simonwillison.net/2024/Dec/22/link-blog/ - 也就是写你发现的有价值的内容

Kodak ran a nuclear device in its basement for dec… #

https://news.ycombinator.com/item?id=46014624

When I studied chemistry at university, only a handful of select students were introduced to the nuclear science lab in the basement. It had a lot of spicy isotopes, neutron sources, etc. Even as a chemistry student with free run of the place for years I had no idea it was in the building until the department head pulled a few of us aside.

The reason for the informal secrecy, as it was explained to me, is that every so often someone would find out there was plutonium etc in the basement and have a public freak out, including on occasion other (non-STEM) professors at the same university. These people would try to organize crusades to get it shut down because evil. Intentionally obscuring its existence greatly mitigated this drama. They appreciated us continuing the tradition of keeping it out of sight and out of mind from the general public.

The publicity around this Kodak case was an example of why no one talks about nuclear labs. The public cannot be trusted to engage in a discussion about anything “nuclear” in good faith. There are quite a few areas of science like this.

jandrewrogers

我在大学学化学时，只有寥寥数名学生被带进了地下核科学实验室。那里有很多强放射性同位素、中子源等等。即便作为能在那里自由活动好几年的化学系学生，我也根本不知道这栋楼里有这么个地方，直到系主任才把我们几个叫到一旁。

据我所解释，这种非正式保密的原因是，每隔总有人会发现地下室里有钚之类的东西，然后引发一场公开的恐慌，有时甚至是同一所大学的其他（非理工科）教授。这些人会试图发起运动，以“邪恶”为由要求关闭它。刻意隐瞒其存在，在很大程度上减少了这种戏剧性场面。他们很欣赏我们延续着将其对公众隐瞒、避免他们操心这一传统。

这次柯达事件的公开报道，就是为什么没人会谈论核实验室的一个例子。公众无法被信任能本着诚信的态度就任何“核”相关议题展开讨论。科学领域有很多地方都是如此。

Original Superman comic becomes the highest-priced… #

https://news.ycombinator.com/item?id=46012518

He added: “This isn’t simply a blurb of words and phrases. This is not just a stock statement from an LLM.

This is a testament to outsourcing, laziness and the unexpected ways technology finds ways to change every press release.”

sebmellen

他补充道：“这不仅仅是几句辞藻的堆砌。这也不是一个大型语言模型（LLM）的陈词滥调。

这是对外包、懒惰以及技术以意想不到的方式改变每篇新闻稿的明证。”

California DMV approves map increase in Waymo driv… #

https://news.ycombinator.com/item?id=46010696

I didn’t think I’d be so pro Waymo but anecdotally I had a fantastic experience with one recently.

I was at a music show very late ~1-2am in SF and walked out to grab an uber to the airbnb I was staying at. I kept getting assigned an uber, then I’d wait 10 minutes, then they’d cancel. Rinse and repeat for 30 minutes, mind you I even resorted to calling Lyfts at the same time and nothing bit. Then I say screw it and download Waymo. 1 minute and it’s accepted my ride, and I know it’s not going to cancel because it’s a robot. 3 minutes and it picks me up. The car is clean, quiet, I can play my own music in it via Spotify, and it’s driving honestly more safely than some uber drivers I’ve had in SF. It’s one of the few things where the end result actually lives up to the promise from a tech company.

willio58

我原以为自己不会这么支持Waymo，但最近的一次亲身经历让我彻底改观。

当时我在旧金山参加一场音乐演出，已经是凌晨1、2点了。我走出来准备叫一辆Uber回我住的Airbnb。结果我一直被分配到司机，但等上10分钟，对方就取消了。这样来来回复折腾了30分钟，我甚至同时尝试叫了Lyft，但还是没人接单。后来我一气之下干脆下载了Waymo app。结果1分钟就接单了，而且我知道它绝不会取消，因为是自动驾驶的。3分钟后车就接上我了。车里很干净、很安静，我还能通过Spotify播放自己的音乐，而且说实话，它的驾驶方式比我遇到的某些旧金山Uber司机要安全得多。这可以说是少数几个真正兑现了科技公司承诺的产品之一。

Helping Valve to power up Steam devices #

https://news.ycombinator.com/item?id=46010040

This is what I say a lot. Valve isn’t even remotely close to having clean hands here. They invented loot crates. Hats. Etc.

It’s just that the bar is so INSANELY low - it’s probably somewhere deep in the earth’s core at this point - that valve looks like a fucking angel by being only VAGUELY greedy on occasion.

When your competition is EA… it’s not hard.

atomicnumber3

我总是说，Valve在这里根本就谈不上干净。他们发明了战利品箱、帽子这些玩意。

只是因为别的公司底线实在太低了——可能已经低到地心深处了——所以Valve偶尔有那么一丁点贪婪，看起来就像个该死的圣人罢了。

当你的竞争对手是EA的时候……这真的不费吹灰之力。

Make product worse, get money #

https://news.ycombinator.com/item?id=46008040

All of the pizza examples are about reducing cost. The argument about dating apps is about increasing retention. The dynamics are qualitatively different.

The argument with pizza is more like “people like salty, fatty food, so pizza places are incentivized to make their pizza less healthy so that people come back more often”… which is exactly what happens!

So why doesn’t a legitimately healthy restaurant come along and take the whole market? It’s partly because restaurants aren’t just in the business of selling (healthy) food: it’s also about convenience and satisfaction and experience. More importantly, that just doesn’t fit with how people largely make day-to-day decisions.

The same thing happens with dating apps. People get drawn in for all sorts of reasons that don’t necessarily map to getting married, even if finding a long-term relationship is explicitly their goal. Tinder competes with Tiktok more than it competes with other dating apps.

The other problem is that making a really effective dating app is just hard. It’s fundamentally difficult to help people find compatible partners, especially without in-person contact. That’s compounded by cultural and demographic issues. It doesn’t matter how well your app is designed when there’s a massive imbalance in genders!

tikhonj

所有的披萨案例都关乎降低成本。而约会应用的争论则关乎提高用户粘性，这两者的动态有本质上的不同。

关于披萨的论点更像是：“人们喜欢咸、油腻的食物，所以披萨店会受利益驱使，让披萨变得更不健康，从而让人们更频繁地光顾”……而这正是现实中所发生的事情！

那么，为什么一家真正健康的餐厅不能出现并占领整个市场呢？部分原因在于，餐厅不仅仅是销售（健康）食品的生意：它还关乎便利性、满足感和体验。更重要的是，这并不符合人们日常做决策的主要方式。

约会应用也是如此。人们被吸引来的原因五花八门，而这些原因并不一定与结婚挂钩，即使找到一段长期关系是他们明确的目标。Tinder 与其说是和其他约会应用竞争，不如说是和 TikTok 竞争。

另一个问题是，开发一款真正有效的约会应用本身就很困难。帮助人们找到合适的伴侣在本质上就是件难事，尤其是在没有线下接触的情况下。而这又被文化和人口结构问题所加剧。当性别比例严重失衡时，你的应用设计得再好也于事无补！

Original Superman comic becomes the highest-priced… #

https://news.ycombinator.com/item?id=46012442

“He added: “This isn’t simply a story about old paper and ink. This was never just about a collectible.

“This is a testament to memory, family and the unexpected ways the past finds its way back to us.” "”” Men going extreme in sentimental when they just sold a $9M collectible :).

dbacar

他还补充说：“这不仅仅是一个关于旧纸墨的故事。它也从来不只是关于一件收藏品。”

“这是对记忆、家庭的见证，也证明了过去总有出人意料的方式回到我们身边。”:) 男人们刚卖掉一件价值900万美元的收藏品，就开始变得这么感性了。

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46009325

It is a weird form of centralized planning. Except there’s no election to get on to the central committee, it’s like in the Soviet era where you had to run in the right circles and have sway in them.

There’s too much group-think in the executive class. Too much forced adoption of AI, too much bandwagon hopping.

The return-to-office fad is similar, a bunch of executives following the mandates of their board, all because there’s a few CEOs who were REALLY worked up about it and there was a decision that workers had it too easy. Watching the executive class sacrifice profits for power is pretty fascinating.

Edit: A good way to decentralize the power and have better decision making would be to have less centralized rewards in the capital markets. Right now are living through a new gilded age with a few barons running things, because we have made the rewards too extreme and too narrowly distributed. Most market economics assumes that there’s somewhat equal decision making power amongst the econs. We are quickly trending away from that.

epistasis

这是一种奇怪的计划经济形式。只不过，进入中央委员会并没有选举，就像苏联时代那样，你必须混迹于特定的圈子，并在其中拥有影响力。

高管阶层存在着太多的群体思维。对人工智能的强制采用太多，盲目跟风的现象也太严重。

“重返办公室”的风潮也是如此，一群高管遵循着其董事会的指令，仅仅是因为有少数CEO对此事异常热衷，并且他们做出了“员工们过得太安逸”的决定。看着高管阶层为了权力而牺牲利润，真是让人大开眼界。

编辑：要想分权并做出更好的决策，一个好方法是在资本市场上减少对集中式奖励的依赖。我们现在正经历着一个新的镀金时代，少数权贵在操控一切，因为我们设定的奖励机制过于极端，且分配范围过于狭窄。大多数市场经济学理论都假设经济体的决策权相对平等。但我们正迅速偏离这一轨道。

In a U.S. First, New Mexico Opens Doors to Free Ch… #

https://news.ycombinator.com/item?id=46016130

US actually provided child care to mothers employed during WWII. [0]

Richard Nixon vetoed the bill that would have expanded it out to all families. [1]

Funny how we keep forgetting the past and reject what benefited us as a whole with a moved to pure individualism built around selfishness. AKA The rich keep getting richer.

[0] https://www.wwiimemorialfriends.org/blog/the-lanham-act-and-universal-childcare-during-world-war-ii

[1] https://en.wikipedia.org/wiki/Comprehensive_Child_Development_Act

yndoendo

实际上，在第二次世界大战期间，美国政府为在职母亲提供了儿童托管服务。[0]

理查德·尼克松曾否决了一项旨在将该服务扩展到所有家庭的法案。[1]

可笑的是，我们总是在遗忘过去，并因为转向一种以自私为核心的纯粹个人主义，而拒绝那些曾惠及我们全体的东西。也就是富人越来越富。

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46009300

I’m so mad about this, I need DDR5 for a new mini-PC I bought and prices have literally gone up by 2.5x..

128GB used to be 400$ in June, and now it’s over $1,000 for the same 2x64GB set..

I have no idea if/when prices will come back down but it sucks.

sbarre

我对此真的非常生气，我新买的迷你电脑需要DDR5内存，但价格确实上涨了2.5倍。

128GB内存在六月时还是400美元，而现在同样一套2x64GB的内存要超过1000美元。

我不知道价格是否会/何时会回落，但这太糟糕了。

Helping Valve to power up Steam devices #

https://news.ycombinator.com/item?id=46009871

Much credit to Valve for pushing that out as FOSS.

Cynical: Valve doesn’t sell hardware or operating systems, they sell games. These devices are merely another storefront.

Optimistic: Valve has also figured out how to turn good will into a commodity. Blowing cash on Steam sales is a bit of a cultural centerpiece of the PC gaming community.

Gabe has proven that you can make stupid amounts of money by [mostly] doing right by the consumer. I’m not sure if there’s more to the secret source, her sauce, because we’ve yet to see another CEO pull their head out of their arse far enough to see how lucrative this approach can be: consumerism is fickle, fanaticism is loyal.

zamalek

必须给Valve点赞，他们将其作为开源软件（FOSS）发布。

愤世嫉俗的看法：Valve不卖硬件或操作系统，他们卖的是游戏。这些设备不过是另一个销售渠道。

乐观的看法：Valve也找到了如何将“ goodwill”（ goodwill在此可理解为“用户好感”）转化为商品的方法。在Steam上疯狂消费，某种程度上已经成为PC游戏文化的一个核心。

Gabe（纽曼）已经证明，只要你[基本上]能做到对消费者负责，就能赚得盆满钵满。我不确定这是否还有其他秘诀，因为我们还没看到哪位CEO能从自己的屁股里把头拔出来，看清这种做法是多么有利可图：消费者善变，而狂热者忠诚。

HP and Dell disable HEVC support built into their … #

https://news.ycombinator.com/item?id=46004166

Note that it’s not a $0.24 increase Dell and HP are upset over, its an increase of $0.04. The price they were paying was $0.20.

So if you have a Dell or HP laptop, your hardware acceleration is broken because your experience with the hardware isn’t worth $0.04 to the OEM.

malfist

请注意，让戴尔和惠普不满的并不是0.24美元的涨价，而是0.04美元的涨价。他们之前支付的价格是0.20美元。

所以，如果你用的是戴尔或惠普的笔记本电脑，那么你的硬件加速功能就是坏的，因为在你身上，硬件加速的价值还不到0.04美元。

We should all be using dependency cooldowns #

https://news.ycombinator.com/item?id=46006342

People in this thread are worried that they are significantly vulnerable if they don’t update right away. However, this is mostly not an issue in practice. A lot of software doesn’t have continuous deployment, but instead has customer-side deployment of new releases, which follow a slower rhythm of several weeks or months, barring emergencies. They are fine. Most vulnerabilities that aren’t supply-chain attacks are only exploitable under special circumstances anyway. The thing to do is to monitor your dependencies and their published vulnerabilities, and for critical vulnerabilities to assess whether your product is affect by it. Only then do you need to update that specific dependency right away.

layer8

这个帖子里的网友担心如果不立即更新，就会有严重的风险。然而，在实际情况中，这通常不成问题。很多软件并不会持续部署，而是采用客户部署新版本的方式，这种部署节奏较慢，通常需要数周或数月的时间，紧急情况除外。所以，他们其实没什么问题。大多数非供应链攻击的漏洞，只有在特殊情况下才能被利用。正确的做法是：持续监控你的依赖项和已公布的漏洞，对于关键漏洞，要评估你的产品是否受到影响。只有在那时，你才需要立即更新那个特定的依赖项。

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46011404

Dram alternates between feast and famine; it’s the nature of a business when the granularity of investment is so huge (you have a fab or you don’t, and they cost billions -maybe trillions by now). So, it will swing back. Unfortunately it looks like maybe 3-5 years on average, from some analysis here: https://storagesearch.com/memory-boom-bust-cycles.html

(That’s just me eyeballing it, feel free to do the math)

ajb

戏剧性的繁荣与萧条交替上演，这是行业固有的特性，因为投资的体量极其巨大（要么拥有一座晶圆厂，要么没有，而其成本已达数十亿，甚至可能是数万亿美元）。因此，市场必将再次回转。不幸的是，根据一些分析（https://storagesearch.com/memory-boom-bust-cycles.html），这个周期平均可能需要3到5年时间。（这只是我大致的观察，欢迎您自行计算验证。）

LAPD helicopter tracker with real-time operating c… #

https://news.ycombinator.com/item?id=46009959

I find it interesting that the question is “why don’t they use drones”. My question is: why so much air surveillance? I live in Germany. The only times I hear a helicopter is if someone is being rescued or if someones missing. I rarely see them at all.

BadBadJellyBean

我觉得很有趣，问题是“他们为什么不使用无人机”。我的问题是：为什么要有这么多的空中监控？我住在德国。我唯一能听到直升机声音的时候，是有人需要救援或有人失踪的时候。我几乎很少见到它们。

Homeschooling hits record numbers #

https://news.ycombinator.com/item?id=46008885

I used to work at a YMCA, and the local homeschool group asked us to do a PE class, which I taught.

I had the kids doing swimming, rock climbing, and all kinds of traditional PE games.

I worked with “normal” kids most of the time, and I will say the homeschool kids stuck out. They’re more awkward around kids their age, but far less awkward around adults. They know how to speak and act, in large part. And they were disproportionately ahead of their peers academically–though I think that’s probably a selection bias for the parents seeking out homeschool PE classes.

This was in the early 2000s, before Facebook. I’m sure the avenues to connect have only grown with social media.

sejje

我以前在YMCA（基督教青年会）工作，当地的homeschool（家庭学校）小组请我们开设一门体育课，由我来授课。

我让孩子们参与游泳、攀岩以及各种各样的传统体育游戏。

我大部分时间接触的是“普通”孩子，我得说，homeschool的孩子非常突出。他们和同龄人相处时会更显笨拙，但在成年人面前却自在得多。在很大程度上，他们很懂得如何与人交谈和行事。而且，他们在学业上远超同龄人——尽管我认为这可能是因为寻求homeschool体育课的家长本身就存在一定的选择偏差。

这发生在21世纪初，Facebook出现之前。我确信，随着社交媒体的发展，他们相互联系的渠道只会越来越多。

Helping Valve to power up Steam devices #

https://news.ycombinator.com/item?id=46009022

It’s incredibly obvious that they’re trying to make Steam Deck 2 ARM-based. That’s the generational change Valve is waiting for.

This is gonna be fantastic.

rpmisms

他们显然是想让 Steam Deck 2 搭载 ARM 架构，这正是 Valve 一直在等待的世代升级。

这将会非常棒。

Why top firms fire good workers #

https://news.ycombinator.com/item?id=46001437

The firm starts to underpay those better workers who kept their jobs, akin to making them pay for being “chosen.” Consequently, profits do not decline and may even increase.

“Firms now essentially can threaten the remaining employees: ‘Look, I can let you go, and everybody’s going to think that you’re the worst in the pool. If you want me not to let you go, you need to accept below market wages,’”

This is exactly what unions are for. Any time there are enough skilled workers avilable that a company can let good employees go as a warning to others not to complain about substandard wages it’s clear that the imbalance of power has resulted in exploitation. There is strength in numbers though which is why companies go to great lengths to convince people that you all alone negotiating with a huge corporation of people who have more money and resources than you’ll ever see in your lifetime and who can replace you with someone else easily is somehow totally fair. No matter how special they might make you feel, you are almost always disposable to them and they will drop you at any time and for any reason, even if it’s just to make an example out of you to keep your ex-coworkers in fear.

For the very few employees out there who actually are totally indispensable, any sane company would be looking for your replacement immediately because there’s no telling what might happen to you or when. No company should fail because one employee dies in a car cash or gets a cancer diagnosis. Until you are also replaceable the company isn’t safe. They’ll pay you handsomely to keep you, right up until the moment they don’t have to.

autoexec

公司开始克扣留任的优秀员工的薪水，这无异于让他们为自己的“被选中”而买单。结果，利润并未下降，甚至可能还会增加。

“现在的公司基本上可以威胁留下的员工：‘你看，我随时可以让你走，而且所有人都会认为你是所有人里最差的。如果你不想被我解雇，就得接受低于市场水平的薪酬。’”

这正是工会存在的意义。当有足够多的熟练劳动力，以至于公司可以解雇优秀员工作为对其他人的警告，以阻止他们抱怨低于标准的薪酬时，这显然说明权力失衡已经导致了剥削。然而，团结就是力量，所以公司会竭尽全力让人们相信，你独自一人去与一个拥有比你一辈子所见都多的金钱和资源的庞大公司谈判，而且他们可以轻易地找到替代你的人，这 somehow 是完全公平的。无论他们让你感觉自己多么特别，对他们来说你几乎总是可以替代的，他们会随时以任何理由抛弃你，哪怕只是为了杀一儆百，让你的前同事们感到恐惧。

对于那些真正完全不可或缺的极少数员工来说，任何理智的公司都会立刻开始寻找你的替代者，因为你不知道你何时会发生什么意外或患上什么疾病。一家公司不应该因为某个员工在车祸中丧生或被诊断出癌症就倒闭。在你变得可以被替代之前，公司都不是安全的。他们会为了留住你而慷慨地支付薪水，但这只是持续到他们不再需要你的那一刻为止。

Android and iPhone users can now share files, star… #

https://news.ycombinator.com/item?id=46001148

Incredible! In an astounding feat, it has only taken a mere two decades to enable the world’s largest tech companies to provide the most basic levels of interopability.

At this breakneck speed of technological development, one can only imagine what wonderful boons await consumers in the next few decades.

wackget

难以置信！令人震惊的是，仅仅用了二十年，就促成了全球最大的科技公司之间提供最基本的互操作性。

以这种惊人的技术发展速度，人们只能想象未来几十年消费者将迎来多么美妙的好处。

Scientists now know that bees can process time, a … #

https://news.ycombinator.com/item?id=46003076

We are learning so many wonderful things about Bees!

They can count https://news.ycombinator.com/item?id=21222227

Bees play https://news.ycombinator.com/item?id=33369572 https://www.science.org/content/article/are-these-bumble-bees-playing-toys

All of this reinforces my belief that nearly everything is conscious and aware, we differ in a capabilities and resolution but we are all more similar than we are different.

Spider Cognition: How Tiny Brains Do Mighty Things https://news.ycombinator.com/item?id=46003146

sitkack

我们正在了解到许多关于蜜蜂的奇妙知识！

它们会数数 https://news.ycombinator.com/item?id=21222227

蜜蜂会玩耍 https://news.ycombinator.com/item?id=33369572 https://www.science.org/content/article/are-these-bumble-bees-playing-toys

所有这些都加深了我的一个信念：几乎所有事物都是有意识的，我们只是在能力和分辨率上有所不同，但彼此间的相似远大于差异。

蜘蛛的认知：微小大脑如何成就大事 https://news.ycombinator.com/item?id=46003146

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46009135

All I can say is,

the insane frothing hype behind AI is showing me a new kind of market failure - where resources can be massively misallocated just because some small class of individuals THINK or HOPE it will result in massive returns. Even if it squeezes out every single other sector that happens to want to use SDRAM to do things OTHER than buffer memory before it’s fed into a PCIE lane for a GPU.
I’m really REALLY glad i decided to buy brand new gaming laptops for my wife and I just a couple months ago, after not having upgraded our gaming laptops for 7 and 9 years respectively. It seems like gamers are going to have this the worst - GPUs have been f’d for a long time due to crypto and AI, and now even DRAM isn’t safe. Plus SSD prices are going up too. And unlike many other DRAM users where it’s a business thing and they can to some degree just hike prices to cover - gamers are obviously not running businesses. It’s just making the hobby more expensive.

mrsilencedogood

我只能说，

AI背后那种疯狂、狂热的热潮向我展示了一种全新的市场失灵——仅仅因为一小群人认为或希望它能带来巨额回报，资源就可能被大规模错配。即便这会挤占所有恰好想将SDRAM用于其他（而非在输入PCIE通道给GPU前用作缓冲内存）用途的领域。
我真的非常庆幸自己几周前给妻子和我买了全新的游戏本，考虑到我们俩的游戏本分别已有7年和9年没升级了。看起来玩家群体将受到最严重的冲击——由于加密货币和AI，GPU早就遭殃了，现在连DRAM也不安全了。再加上SSD价格也在上涨。与许多其他DRAM用户不同，他们的用途是商业性质的，还能在一定程度上涨价来弥补成本；而玩家显然不是在做生意，这纯粹只是让这个爱好的成本变得更高了。

We should all be using dependency cooldowns #

https://news.ycombinator.com/item?id=46007447

At my last job, we only updated dependencies when there was a compelling reason. It was awful.

What would happen from time to time was that an important reason did come up, but the team was now many releases behind. Whoever was unlucky enough to sign up for the project that needed the updated dependency now had to do all those updates of the dependency, including figuring out how they affected a bunch of software that they weren’t otherwise going to work on. (e.g., for one code path, I need a bugfix that was shipped three years ago, but pulling that into my component affects many other code paths.) They now had to go figure out what would break, figure out how to test it, etc. Besides being awful for them, it creates bad incentives (don’t sign up for those projects; put in hacks to avoid having to do the update), and it’s also just plain bad for the business because it means almost any project, however simple it seems, might wind up running into this pit.

I now think of it this way: either you’re on the dependency’s release train or you jump off. If you’re on the train, you may as well stay pretty up to date. It doesn’t need to be every release the minute it comes out, but nor should it be “I’ll skip months of work and several major releases until something important comes out”. So if you decline to update to a particular release, you’ve got to ask: am I jumping off forever, or am I just deferring work? If you think you’re just deferring the decision until you know if there’s a release worth updating to, you’re really rolling the dice.

(edit: The above experience was in Node.js. Every change in a dynamically typed language introduces a lot of risk. I’m now on a team that uses Rust, where knowing that the program compiles and passes all tests gives us a lot of confidence in the update. So although there’s a lot of noise with regular dependency updates, it’s not actually that much work.)

dap

在我上一份工作中，我们只有在出现充分理由时才会更新依赖项。那简直糟透了。

时不时地，确实会出现重要理由需要更新，但团队已经落后了好多版本。任何不幸被分配到那个需要更新依赖项项目的成员，都必须处理所有这些更新，包括弄清楚它们如何影响一堆他们原本不会去碰的软件。（例如，对于某个代码路径，我需要一个三年前发布的错误修复，但将其引入我的组件会影响许多其他代码路径。）他们现在必须去弄清楚会发生什么故障，想出如何测试它等等。这不仅对他们来说很糟糕，还会产生不良的激励（不要接手那些项目；打补丁来避免更新），而且对业务来说也纯粹是坏事，因为这意味着几乎任何项目，无论看起来多简单，都可能掉进这个坑。

我现在是这样想的：要么你就依赖在项目的发布列车上，要么你就跳下车。如果你在车上，最好还是保持相当程度的更新。不一定非得是版本一出来就立刻更新，但也不应该是“我会跳过几个月的工作和几个主要版本，直到有什么重要的更新出来”。所以，如果你拒绝更新到某个特定版本，你必须问自己：我是要永远跳下车，还是仅仅在推迟工作？如果你认为你只是在推迟决定，直到你知道是否有值得更新的版本出现，那你实际上是在掷骰子。

（编辑：上述经验是在 Node.js 环境中。动态语言中的每一次变更都会引入很多风险。我现在在一个使用 Rust 的团队，知道程序能编译并且所有测试都通过，让我们对更新非常有信心。所以，虽然定期更新依赖项会带来很多噪音，但实际上工作量并不大。）

Over-regulation is doubling the cost #

https://news.ycombinator.com/item?id=46001803

I can see two problems causing the pain described here, which I will discuss shortly. But the article seems to stretch that experience too much into the ‘regulation is bad’ territory. Regulations exist for a reason. They aren’t created for the power trip of government officials. This is the same US where companies dump PFAS into drinking water sources with impunity, has some of the highest fees for the worst quality interest access, where insulin is unaffordable and corporate house renting is a thing. There are many such areas where regulation and oversight is woefully inadequate, much less any ‘overregulation’. Regulations are practically the only thing standing between the rich and the powerful and their incessant attempt to drive even more wealth into their own pockets at the expense ordinary people’s health, wealth, future, welfare, housing, etc.

Now let’s look at the specific problems here with a much narrower scope than ‘regulations’. The first problem is the type of regulations. Some regulations are too arcane and don’t reflect the current state of technology. Others affect the unprivileged people disproportionately. The solution for that is to amend these regulations fast enough - not deregulation. It’s also important to assess the negative impacts of loosening these regulations - something I don’t see discussed in this article.

The other important requirement is to increase the staffing of the regulatory agencies so that their individual workload doesn’t become a bottleneck in the entire process. There is a scientific method to assess the staffing requirements of public service institutions. According to that, a significant number of government departments all over the world are understaffed. Regulatory agencies and police departments top that list. Increased workload on their officials lead to poor experience for the citizens availing their services (this is very evident in policing). Yet those same experiences are misconstrued and misrepresented to call for deregulation and defunding of these institutions - the opposite of what’s actually needed. (PDs need more staff and more training in empathy. Not defunding, nor militarization.) This is exactly what I see in this article. An attempt to target regulations as a whole using a sob anecdote.

goku12

我认为这里描述的痛苦源于两个问题，我稍后会进行讨论。但这篇文章似乎将这种经历过度延伸到了“监管有害”的范畴。监管的存在是有其原因的，它们并非为了官员们的权力欲而设立。这正是同一个美国，在那里公司可以肆无忌惮地将全氟和多氟烷基物质（PFAS）倾倒进饮用水源，拥有着质量最差但收费最高的网络接入，胰岛素价格高得离谱，企业包租房现象普遍。在许多此类领域，监管和监督都严重不足，更不用说什么“过度监管”了。监管几乎是为富人和权贵与民众的健康、财富、未来、福利、住房等之间所筑起的唯一屏障，抵御着他们无休止地将更多财富攫入自己囊中的企图。

现在，让我们以比“监管”范畴更狭窄的视角来看待这里的具体问题。第一个问题是监管的类型。一些监管过于晦涩，未能反映当前的技术水平。另一些则对弱势群体造成了不成比例的影响。对此，解决方案是及时修订这些法规——而非取消监管。同样重要的是，评估放宽这些监管可能带来的负面影响——而这一点我在本文中并未看到讨论。

另一个重要的要求是增加监管机构的人员配置，以确保其个人的工作负荷不会成为整个流程的瓶颈。评估公共机构人员需求是有科学方法的。根据该方法，世界各地的许多政府部门都存在人员不足的问题，监管机构和警察部门首当其冲。其官员工作量的增加，导致享受他们服务的市民体验变差（在警务方面这一点尤为明显）。然而，这些相同的经历却被曲解和误读，成为呼吁取消监管和削减这些机构经费的理由——而这恰恰与实际需求背道而驰。（警察部门需要更多人员和更多共情培训。既不该削减经费，也不该过度军事化。）这正是我在本文中看到的：试图用一个令人心酸的个人故事来攻击监管体系整体。

2025 11 22 HackerNews

2025-11-22 10:05:47

2025-11-22 Hacker News Top Stories #

谷歌将 Quick Share 与 AirDrop 兼容，首发在 Pixel 10 实现 Android 与 iPhone 之间的安全无缝文件传输。

美国边境巡逻队利用全国车牌识别和算法监控司机并以“可疑”行程为由通知拦截与拘留，引发隐私与宪法担忧。

微软把《Zork I/II/III》原始源码以 MIT 许可证开源，保留历史真实性以供研究与教学。

Wealthfolio 2.0 是一款强调本地隐私的开源投资组合追踪工具，现已支持移动端与 Docker 部署。

因美国制裁，国际刑事法院法国法官被切断与美国相关的线上服务和支付通道，突显欧洲对数字主权的担忧。

AI2 发布开源 Olmo 3 系列并完整公开训练流程、检查点与数据，强调可复现性与可追溯推理。

Charm Industrial 创始人指出过度监管和审批延迟使碳封存项目成本大幅上升并阻碍清洁技术落地。

Qualcomm 收购 Arduino 后更新的使用条款引发社区对与现有开源许可冲突及开源精神受损的担忧，需明确界定。

ravynOS 基于 FreeBSD 致力实现与 macOS 在源码和二进制层面的部分兼容，提供类 macOS 体验以吸引社区参与。

提议对开源依赖实行“冷却期”（延迟自动更新）以阻断大多数短时窗口的供应链攻击并提升安全性。

Android 和 iPhone 用户现已可共享文件，首发适配 Pixel 10 (Android and iPhone users can now share files, starting with the Pixel 10) #

https://blog.google/products/android/quick-share-airdrop/

谷歌宣布，Android 和 iPhone 用户现在可以更便捷地共享文件，这一功能首先面向 Pixel 10 系列设备推出。通过将 Quick Share 与 AirDrop 兼容，用户可在 iPhone 和 Android 设备之间无缝传输文件，无需考虑设备平台差异。

该功能以安全为核心设计，采用了经过独立安全专家验证的强防护机制，确保用户数据安全。这是谷歌持续提升跨平台兼容性的又一举措，此前已在 RCS 消息和未知追踪器提醒方面取得进展。

目前该功能已开始向 Pixel 10 系列设备推送，未来计划扩展至更多 Android 设备。用户可通过 Pixel 10 Pro 的演示视频了解实际使用效果，并亲自体验这一新功能。

HN 热度 837 points | 评论 513 comments | 作者：abraham | 1 day ago #

https://news.ycombinator.com/item?id=45994854

Wi-Fi Aware 技术是实现跨平台点对点无线文件传输的关键，苹果在欧盟数字市场法案压力下被迫采用该标准，逐步淘汰其专有的 AWDL 协议。
有观点指出，谷歌 Pixel 10 的文件共享功能可能基于 AWDL 实现，而非 Wi-Fi Aware，这解释了其初期仅限特定设备的原因。
苹果并未被强制完全淘汰 AWDL，而是必须在支持 Wi-Fi Aware 的同时，确保两种技术不产生优势差异，理论上可共存。
有评论质疑苹果是否必须重新实现 AirDrop 以支持 Wi-Fi Aware，认为其仍可维持 AWDL，但为保持生态封闭性，可能更倾向保留专有协议。
有用户指出，MacOS 目前尚未支持 Wi-Fi Aware，但 AirDrop 仍可在 iOS 与 Mac 间正常工作，说明 AWDL 仍在使用。
回顾历史，Bump 应用曾通过服务器中转实现设备间快速配对，虽非真正点对点，但响应速度极快，体验惊艳，后被 Google 收购并终止。
早期的红外通信（如日本的“sekigaisen”、美国的“beaming”）曾广泛用于设备间传输联系人和照片，是现代无线传输的雏形。
Palm Pilot、Apple Newton、Game Boy Color 等设备均支持红外通信，用于传输联系人、日历、游戏数据，形成早期的“点对点互联”生态。
微软 Zune 的“Squirting”功能允许用户无线传输音乐，虽命名令人不适，但体现了早期设备间内容共享的尝试。
早期设备间传输技术受限于硬件和网络，但已展现出强大的用户需求和交互潜力，如今 Wi-Fi Aware 的兴起是这一趋势的延续。

CBP 正在监控美国司机并拘留具有可疑出行模式者 (CBP is monitoring US drivers and detaining those with suspicious travel patterns) #

https://apnews.com/article/immigration-border-patrol-surveillance-drivers-ice-trump-9f5d05469ce8c629d6fecf32d32098cd

美国边境巡逻队正在全国范围内监控数百万名美国司机，实施一项秘密程序，目的是识别和拘留被认为有 “可疑” 旅行模式的人。根据《美联社》的调查，这一预测性情报程序导致一些人被拦截、搜查，甚至在某些情况下被逮捕。

该程序依赖于一网络摄像头来扫描和记录车辆的牌照信息，算法会根据车辆的出发地、目的地和行驶路线来标记可疑车辆。联邦特工随后可能会通知地方执法部门。司机在毫不知情的情况下，被以超速、未打信号、窗膜不合规或甚至是悬挂的空气清新剂为理由被拦下，接受激烈的询问和搜查。

这一监控系统最初是为打击非法边境活动和贩运毒品及人员而设，近年来已扩展至深入美国内部，监控普通美国人的日常行为和连接。该项目在过去五年内迅速扩大，与其他机构合作，获取来自全国范围内的牌照阅读器数据，甚至利用私人公司的数据，以及越来越多由联邦拨款资助的地方执法程序。

美国海关和边境保护局（CBP）的这一变化，令其更像一个国内情报机构。在特朗普政府对移民执法力度加大的背景下，CBP 正准备获得超过 27 亿美元的资金来扩展边境监控系统，包括在牌照读取程序中引入人工智能等新兴技术。

这项调查显示，边境巡逻队通过隐蔽的牌照阅读器系统进行大规模监控，捕捉大量关于人们是谁、去哪里、做什么和与谁交往的信息。一些法律学者指出，这种大规模监控的增长可能引发宪法上的质疑，尤其是第四修正案保护人们免受不合理搜查。

根据 AP 的报道，边境巡逻队已定义出可疑驾驶行为的标准，可能会因为多种原因（例如：在偏僻道路行驶、驾驶租赁车或短途旅行至边境地区）而拦截车辆。监控网络不仅限于南部边境，还影响到包括芝加哥、底特律、洛杉矶、圣安东尼奥和休斯顿在内的大城市及其周边地区。

在一个案例中，司机洛伦佐・古铁雷斯・卢戈（Lorenzo Gutierrez Lugo）被当地警察以超速为由拦下，但实则是边境巡逻队的要求，经过审问后未发现任何违禁物品。此后，他因涉嫌洗钱和参与有组织犯罪而被逮捕，最终并未被起诉。

这项调查揭示了边境巡逻队与地方执法部门之间的信息共享，包括司机的社交媒体资料和家庭住址，显示出美国的公路网络已嵌入了预测性监控技术。此外，边境巡逻队的程序被认为在某种程度上并未遵循法律规定和宪法保护，引发了关于隐私和公民权利的广泛讨论。

HN 热度 806 points | 评论 861 comments | 作者：jjwiseman | 1 day ago #

https://news.ycombinator.com/item?id=45996860

车牌扫描技术是严重侵犯个人隐私的行为，即使数据来源于公共空间，大规模收集和销售车牌信息也应受到法律限制。
在公共场合拍摄车辆及车牌是合法的，但将这些信息大规模聚合并用于商业或执法目的，已超出合理范围，应被禁止。
个人在公共空间的行为虽无隐私期待，但数据的规模化收集与分析已形成对个人自由的系统性监控，需法律干预。
不能因为某行为在小规模下合法，就默认其大规模应用也应合法，规模本身已构成性质变化。
用机器记录公共信息与人脑记忆存在本质区别，法律应承认这种技术性差异，不能一概而论。
以版权法为例，法律已承认记录与复制行为的法律边界，不能以“一般性计算自由”为由否定监管必要性。
个人使用技术设备记录公共场景，如植入设备或远程观测，不应被等同于普通观察，其记录、存储和传播能力带来新的法律问题。
若允许对公共行为进行无差别、长期、大规模的数据追踪，将导致社会监控常态化，威胁公民自由。

微软开源《Zork》经典文字冒险游戏系列 (Microsoft makes Zork open-source) #

https://opensource.microsoft.com/blog/2025/11/20/preserving-code-that-shaped-generations-zork-i-ii-and-iii-go-open-source

微软开源项目办公室（OSPO）、Xbox 团队与动视（Activision）合作，将经典文字冒险游戏《Zork I》《Zork II》和《Zork III》的源代码以 MIT 许可证正式开源。

这些游戏曾深刻影响了电子游戏的发展，开创了以文字构建沉浸式世界的新范式。其核心技术“Z-Machine”是一个虚拟机规范，使游戏能跨平台运行于 Apple II、IBM PC 等早期设备，是早期真正意义上的跨平台游戏系统。

此次开源行动旨在保存游戏历史遗产，便于学生、教师与开发者研究、学习和体验。代码已提交至历史仓库，包含原始源码、构建说明与文档，并明确标注 MIT 许可证，确保可追溯性与合规性。

开源不包含商业包装、营销材料或商标权，所有外部资产均被排除，以维护历史真实性。

如今，玩家可通过《Zork 合集》在 Good Old Games 平台购买游玩。技术爱好者也可使用现代工具如 ZILF（由 Tara McGrew 开发）将 ZIL 源码编译为 Z3 文件，并在各类 Z-Machine 解释器（如 Frotz、Fic）中运行，实现本地化体验。

未来欢迎社区提交问题、分享见解或贡献小而清晰的改进，目标是让 Zork 成为持续探索与教育的资源，而非被“现代化”改造。

这不仅是对 Infocom 创始团队的致敬，也是对数字文化遗产守护者 Jason Scott 及互联网档案馆的感谢，体现了多方协作推动开源与历史保存的深远意义。

HN 热度 616 points | 评论 235 comments | 作者：tabletcorry | 1 day ago #

https://news.ycombinator.com/item?id=45995740

很多 80 年代的青少年曾尝试写自己的文字冒险游戏，用 BASIC 或汇编语言，尽管技术有限，但对游戏开发充满热情。
Infocom 公司曾认真回复来自世界各地青少年的投稿请求，即使拒绝也保持尊重，展现了当时公司的专业与风度。
一些人回忆起自己曾写信给 Infocom 或 Sierra On-Line，希望参与游戏开发，收到的回复让他们感到被重视，至今印象深刻。
有玩家尝试用字符串模拟堆栈和递归，实现简易的自然语言解析器，尽管受限于 BASIC 语言特性，仍为此感到自豪。
早期游戏受限于内存，如 ZX-81 或 PET 等机器，玩家不得不将游戏分成多个程序，通过磁带定位加载，体现了极强的动手能力。
一些人尝试用“文字描述”方式编写游戏逻辑，比如用段落描述游戏规则，后来发现这其实是对编程的早期误解。
有玩家在游戏里加入恶搞彩蛋，如输入“sh*t”会触发幽默回应，增加游戏趣味性，也反映当时玩家的创造力。
一些人尝试在极简硬件上实现复杂功能，如用字符串模拟 3D 向量或树状结构，展现了早期程序员的智慧与毅力。
有玩家在脑筋急转弯语言 Brainfuck 中实现过文字冒险游戏的解析器，体现出对编程挑战的极致追求。
早期文字冒险游戏的谜题设计常依赖直觉而非逻辑，导致玩家容易因缺乏提示而放弃，影响了游戏体验。

Show HN：Wealthfolio 2.0 - 开源投资组合追踪工具，现已支持移动端和 Docker (Show HN: Wealthfolio 2.0- Open source investment tracker. Now Mobile and Docker) #

https://wealthfolio.app/?v=2.0

Wealthfolio 是一款本地运行的开源投资组合追踪工具，强调隐私保护和数据安全，所有数据均存储在用户设备上，不上传至云端。

该应用支持桌面、移动设备和网页端使用，界面简洁美观，功能强大，无需订阅费用，仅提供可选的一次性付费。

核心功能包括：聚合多个投资与储蓄账户，支持从券商或银行导入 CSV 格式交易记录；全面查看持仓情况，涵盖股票、ETF、加密货币等资产；提供资产配置分析与绩效追踪，可对比账户表现及市场基准（如标普 500）。

用户可监控股息与利息收入，跟踪各账户历史表现，设定财务目标并实时查看进度。针对税优账户（如 IRA、401(k)、TFSA），支持贡献额度提醒，防止超额缴纳。

此外，通过可扩展的插件系统，用户可添加投资费用追踪、目标进度可视化、股票交易记录等功能，进一步增强使用体验。

整体定位为一款私密、免费、功能全面的个人财富管理工具，适合希望掌控自身财务数据并避免依赖商业平台的用户。

HN 热度 429 points | 评论 147 comments | 作者：a-fadil | 9 hours ago #

https://news.ycombinator.com/item?id=46006016

用户赞赏 Wealthfolio 2.0 保持隐私、开源和本地运行的特性，认为这能有效防止未来服务变差或数据被滥用。
有用户表示虽然欣赏本地化和开源，但更倾向于使用能自动同步银行数据的工具，认为手动输入数据过于繁琐。
有人提到 YNAB4 是本地客户端，但 YNAB5 转为在线订阅模式，导致其放弃使用，认为订阅制不合理，尤其在无需同步的情况下。
推荐 ActualBudget 作为 YNAB 的开源替代品，强调其本地部署、免费且功能良好，用户体验优于 YNAB。
有人提到 Financier 也是一个值得尝试的本地化预算工具。
有开发者分享自己构建的 Paperright.xyz，强调其不连接银行、注重隐私和手动记录，认为手动管理才能真正理解财务状况。
项目作者回应称未来可能加入可选的账户聚合插件，让用户在保持本地控制的同时，可选择性接入自动化数据源。
有人质疑本地部署是否真能提升隐私，认为只要与第三方机构有经济往来，数据最终仍可能被泄露。
有人反驳称，VC 背后的 SaaS 公司有动机保护用户数据，因为数据泄露会严重损害其商业信誉。
有人指出，即使公司不直接出售数据，内部员工仍可能将数据卖给第三方，构成重大隐私风险。
有人强调金融数据价值极高，因此出售用户数据是极大概率事件，不能轻信公司承诺。
有创业者表示，公司若想长期发展，必须保护用户信任，不应出售数据，而应通过内部洞察提供增值服务，维持生态闭环。
有人指出银行本身也会与营销伙伴共享用户数据，除非主动取消，因此银行并非完全可信。
本地运行的优势在于避免依赖第三方 SaaS，不需提供银行凭证，降低账户保险失效风险，减少数据暴露面。
有人补充，在美国由于开放银行 API 发展滞后，本地工具更实用，而依赖 Plaid 等服务存在信任问题。

美国制裁致法国国际刑事法院法官遭数字断联 (How a French judge was digitally cut off by the USA) #

https://www.heise.de/en/news/How-a-French-judge-was-digitally-cut-off-by-the-USA-11087561.html

法国国际刑事法院（ICC）法官尼古拉·吉约（Nicolas Guillou）因美国对其实施制裁，遭遇严重的数字生活限制。2025 年 8 月，美国财政部以 ICC 对以色列总理内塔尼亚胡和国防部长加兰特发出逮捕令为由，将吉约等六名法官及三名检察官列入制裁名单。

这一制裁导致吉约在数字领域几乎被全面切断。他所有与美国公司相关的账户，如亚马逊、Airbnb、PayPal 等，均被立即关闭。在线预订服务（如 Expedia）的订单被自动取消，即使涉及法国境内酒店。参与电子商务几乎不可能，因为全球多数交易系统仍依赖美国技术。

在金融方面，美国主导的支付体系（如 Visa、Mastercard、American Express）对吉约全面封锁，其银行账户也受到限制，部分非美国银行账户被部分关闭。美元交易或美元兑换被明确禁止。

吉约形容自己的处境如同“数字时代的倒退”，回到 1990 年代互联网尚未普及的阶段。他强调，这凸显了欧洲对美国数字技术的严重依赖，呼吁欧盟应激活《第 2271/96 号条例》——一项旨在阻止第三国（如美国）制裁在欧盟境内执行的法律机制，以保障司法独立与数字主权。

该事件再次引发对欧洲数字自主权的讨论，尤其在德法峰会后，数字主权成为焦点议题。

HN 热度 392 points | 评论 442 comments | 作者：i-con | 13 hours ago #

https://news.ycombinator.com/item?id=46003778

美国过度使用技术制裁手段可能像对华芯片限制一样，最终促使被制裁国自力更生，反而使制裁手段失效。
中国目前最先进的“7nm”芯片制造依赖多重曝光的 DUV 技术，实际性能远落后于国际先进水平，且缺乏自主 EUV 光刻机支持，难以真正竞争。
中国在半导体领域的进展被部分人低估，但其庞大的人口基数和教育体系仍具备实现重大技术突破的潜力。
美国并非低估中国，而是出于长期战略考虑，主动构建本土半导体产业以应对潜在风险。
当前对中国的判断可能存在认知偏差，应警惕因过度自信而忽视中国在关键技术上的追赶能力。
中国在芯片制造方面仍面临根本性技术瓶颈，尤其是缺乏 EUV 光刻机，短期内难以突破。
中国目前的 7nm 工艺虽能生产芯片，但受限于工艺复杂度和良率，无法与国际领先水平相比。
中国已开始使用类似 10nm 节点的工艺，但与全球最先进水平仍有差距，且缺乏持续迭代能力。
即使不依赖 EUV，中国也可能通过技术路径创新（如 X 射线光刻）实现突破，但此类技术尚不成熟且存在巨大工程挑战。
X 射线光刻等替代技术目前仍处于早期阶段，其写入速度慢、成本高，难以替代现有光刻技术。
中国在非尖端芯片领域已具备一定制造能力，可用于 AI 等应用，但高端芯片仍严重依赖进口。
当前半导体工艺已接近物理极限，未来进步将越来越困难，但中国仍有机会通过差异化路径追赶。
中国若无法自主制造 EUV 光刻机，将长期受限于现有技术，难以实现真正意义上的技术自主。
中国在半导体领域的追赶并非不可能，但需要时间、资金和持续的技术积累，短期内难以实现全面突破。
美国对华技术封锁的长期效果取决于中国能否突破核心设备与材料的瓶颈，目前来看仍面临巨大挑战。

Olmo 3：通过模型流路径引领开源人工智能发展 (Olmo 3: Charting a path through the model flow to lead open-source AI) #

https://allenai.org/blog/olmo3

AI2 发布了 Olmo 3 系列开源大模型，标志着开放人工智能发展的重要一步。与以往仅发布最终模型权重不同，Olmo 3 首次完整开放了“模型流”（model flow），即从预训练到后训练的全部流程，包括每个阶段的检查点、数据集、代码和依赖项，实现全流程可追溯、可定制。

Olmo 3 系列包含多个模型变体，均基于 7B 和 32B 参数规模，适用于从笔记本电脑到研究集群的多种硬件环境。核心模型包括：

Olmo 3-Base（7B/32B）：目前最强的完全开源基础模型，具备卓越的编程、阅读理解与数学推理能力，并支持长达 65K tokens 的上下文长度，为后续微调、强化学习等任务提供强大基础。
Olmo 3-Think（7B/32B）：专为推理设计的模型，首次实现对中间推理步骤的可观察与可追溯，能清晰追踪复杂推理行为的来源。在推理基准测试中表现领先，且训练数据量仅为同类模型的约六分之一。
Olmo 3-Instruct（7B）：面向对话与快速响应的指令微调模型，支持多轮对话、工具调用等功能，在性能上媲美甚至超越 Qwen 2.5、Gemma 3 等主流开源模型。
Olmo 3-RL Zero（7B）：完全开源的强化学习路径，提供数学、代码、指令遵循和通用对话四个方向的训练检查点，支持可验证奖励的强化学习研究（RLVR），推动算法透明与可复现。

Olmo 3 提供多条发展路径：Instruct 路径用于日常对话与工具使用，Think 路径支持长程推理与智能体行为，RL Zero 路径则为强化学习研究提供起点。用户可自由在任意阶段介入，替换数据、调整训练策略或构建新路径。

所有模型、数据、代码与检查点均以宽松开源许可证发布，确保社区可自由使用、修改与扩展。AI2 强调，模型流本身已成为可复用的研究基础设施，而不仅是成果记录。

该系列模型在全面更新的评估套件中表现优异，涵盖数学、编程、工具使用、常识问答等多个能力维度，整体性能达到当前完全开源模型的领先水平。其成功得益于全流程的数据精炼、训练策略优化以及在数据处理、训练与强化学习方面的多项技术创新。

HN 热度 356 points | 评论 119 comments | 作者：mseri | 19 hours ago #

https://news.ycombinator.com/item?id=46001889

未来 AI 必须具备完全可追溯的推理步骤，以便于检查和调整，否则普通民众将无法控制或理解这些日益复杂的大型语言模型系统。
透明性是关键，缺乏透明性将导致科技巨头、专制政权甚至 AI 本身随意操控人类。
虽然透明性很重要，但让响应可检查和可调整在用户体验设计上面临巨大挑战，需要更多迭代和探索。
有人质疑是否有人愿意投入数十亿美元来推动可追溯 AI 的发展，暗示当前缺乏足够的资源投入。
需要建立第三方机构对 AI 模型的训练数据进行审计并发布透明度报告，即使在专有模型中也应有监督机制。
模型不应记忆“动物是否符合犹太教规”这类具体事实，而应通过检索增强生成（RAG）等方式获取信息并推理。
模型应具备识别自身知识不足的能力，并主动请求检索或自我反思，而非简单回答“我不知道”。
当前模型训练机制鼓励回答而非承认无知，导致模型倾向于给出看似确定的答案，即使不准确。
为了鼓励模型承认不确定性，评测标准应调整，例如允许部分得分给“我不知道”的回答，以减少错误回答的动机。
简单的“我不知道”回答没有价值，智能模型应在缺乏信息时说明缺少的是动物特征还是分类规则，并提供解决问题的思路。
重复提问可以用于评估模型输出的稳定性，但需设定预设条件，避免人为偏见放大。
对于分布外问题，重复采样可产生混沌分布，而对不熟悉问题则呈现更平缓的正态分布，可用于构建贝叶斯模型评估输出可靠性。

过度监管使成本翻倍 (Over-regulation is doubling the cost) #

https://rein.pk/over-regulation-is-doubling-the-cost

Peter Reinhardt，Charm Industrial 的联合创始人兼 CEO，分享了他在硬科技创业过程中遭遇的严重监管障碍。尽管其公司致力于碳移除和清洁技术，但超过一半的建设成本源于冗长、复杂的监管流程。

Charm Industrial 通过将农业和林业残留物转化为类似烧烤酱的碳富集液体，并注入废弃油井实现永久碳封存。这项技术不仅能减少大气中的二氧化碳，还能降低野火燃料、清理废弃油井，并改善 PM2.5 和 NOₓ 等有害空气污染物。然而，其核心问题在于：这种新型注入方式应归类为哪一类井？Class I、II 还是 V？这一分类问题耗时四年才得到初步明确，最终通过一个长达 14 个月的审查流程才获得美国首个 Class V 生物油封存许可。

若审批能在 6 个月内完成，而非 5.5 年，Charm 将多运行 5 年，每年可封存 3 万吨碳，按每吨 600 美元计算，相当于节省 9000 万美元。此外，因延迟导致的生物质焚烧增加了大量空气污染，仅 PM2.5 造成的医疗成本就高达每年 4000 万美元，五年累计达 2 亿美元，总社会成本约 4 亿美元，其中 1.2 亿至 1.5 亿美元由 Charm 承担，其余 3 亿由公共医疗系统承担。

Reinhardt 指出，监管本意是保护环境与公众健康，但当前制度因过度复杂、预算不足、人员短缺以及自 1970 年代以来频繁的法律诉讼，导致监管机构陷入“零风险”心态，对创新技术普遍持“否决”态度。这种“什么都不能做”的文化，正在阻碍真正能改善环境和健康的创新落地。

另一项目 Revoy 则通过在传统柴油卡车后部加装电动动力系统，实现燃油效率从 7 英里/加仑提升至 120 英里/加仑，减少 94% 燃料消耗和排放。但同样面临监管模糊：该改装是否属于“车辆改装”？是否需通过车辆安全认证？这类问题让项目进展受阻，额外产生数百万美元的合规成本。

Reinhardt 强调，当前监管体系已从“保护”异化为“阻碍”。他呼吁简化法规、提高监管人员待遇、限制无意义的法律挑战，让真正有益的技术能快速落地。否则，大量本可改善气候、健康与经济的硬科技创业公司，将在漫长的审批中被扼杀。

HN 热度 322 points | 评论 636 comments | 作者：bilsbie | 1 day ago #

https://news.ycombinator.com/item?id=45999038

好的监管是有效的，它不会被频繁违反，因为人们普遍遵守，因此外界感知不到其存在。
不是所有监管都是坏的，有些监管非常有效，能真正解决它所针对的问题。
监管的失败往往不是因为监管本身，而是因为执行过程中的问题，改进流程比改变法规更重要。
有些监管政策虽然复杂，但真正的问题在于执行和操作的难度，而非法规本身。
有时，废除一项糟糕的监管比修改它更有效，尤其是当证据表明其弊大于利时。
监管的合理性取决于其成本与收益的权衡，应评估其对经济活动的影响。
一些历史上的监管（如贵族专属职业限制）本质上是压迫性的，应被彻底废除。
某些看似合理的监管（如窗户税）实际上带来了严重的负面后果，应被取消。
减少监管数量是一个合理的目标，但必须以实现预期效果为前提，不能盲目追求“少”。
监管本身是有成本的，过度监管会降低竞争力、增加成本、削弱公众对规则的信任。
不能仅以“减少监管”为目标，而应以“实现目标所需的最少监管”为原则。
有效的监管应平衡安全与自由，避免过度干预导致社会成本上升。
有些监管的初衷良好，但实际执行中演变为形式主义，如烦人的 Cookie 弹窗，毫无实际效果。
政策制定应基于证据，建立独立机构来评估监管的实际影响，避免反应式立法。
既得利益者往往阻碍监管改革，因此需要公众支持和制度性独立评估机制来推动变革。
监管的改进应注重过程优化，如政府与民众合作制定方案，而非简单地“批准或拒绝”。

Qualcomm 收购 Arduino 引发开源社区担忧：新条款与开源精神严重冲突 (Arduino published updated terms and conditions: no longer an open commons) #

https://www.molecularist.com/2025/11/did-qualcomm-kill-arduino-for-good.html

Qualcomm 最近收购了 Arduino，引发开源社区的广泛担忧。新发布的条款和隐私政策由 Qualcomm 律师团队起草，内容充满企业级 SaaS 的典型法律条款，如强制仲裁、数据整合、出口管制和禁止反向工程等，与 Arduino 作为开源生态核心的定位严重冲突。

最令人担忧的是，新条款明确表示用户使用平台不获得任何专利许可，这意味着 Qualcomm 未来可能基于专利对使用 Arduino 工具或兼容硬件的项目发起诉讼。而更矛盾的是，Arduino IDE 和 CLI 仍采用 AGPL 和 GPLv3 开源协议，明确允许反向工程，但新条款却禁止“平台”的反向工程，造成法律上的根本冲突。

社区质疑这是否是律师误用标准模板，还是 Qualcomm 有意逐步控制生态。尽管有观点认为“平台”仅指云服务（如 Arduino Cloud、Project Hub），不包括 IDE 和 CLI，但这一界限必须明确说明，否则将导致库开发者和硬件厂商陷入法律风险。

Adafruit 的警告值得重视。作为长期坚持开源原则的企业，其发声并非出于竞争，而是对“开源共同体”价值的捍卫。Arduino 的价值不在于硬件本身，而在于它作为创客生态“通用语言”的地位——几乎所有主流开发板（如 ESP32、STM32、Raspberry Pi Pico）都兼容 Arduino IDE，大量教程、课程和开源库都基于 Arduino 体系。

一旦 Arduino 的开放性被破坏，整个创客生态将面临严重冲击。替代工具如 PlatformIO 或 VSCode 缺乏对新手的友好性，无法承担 Arduino IDE 的启蒙角色。历史上 Hypercard 的消亡曾导致一代开发者断层，类似风险正在重现。

更深层的问题是，Arduino 承载了二十年积累的教育内容、项目实践和学术资源。一旦其开放性被削弱，这些知识将面临“搁浅”风险，如同将维基百科变为付费墙。

Qualcomm 的法律团队本应意识到，Arduino 不是普通企业，而是一个共享的数字公共领域。用企业 SaaS 的法律框架去管理一个共同体，无异于自毁根基。虽然这可能是法律合规的“正常操作”，但对社区信任的摧毁是不可逆的。

真正的解决方案在于：Qualcomm 应主动澄清，明确将新条款限制在云服务范围，保护 IDE、CLI 和核心库的开放性；提前沟通，用通俗语言解释变更，重建信任。否则，这场收购将不仅失去一个品牌，更可能葬送整个创客生态的未来。

HN 热度 311 points | 评论 101 comments | 作者：felineflock | 10 hours ago #

https://news.ycombinator.com/item?id=46005553

新的使用条款仅适用于 Arduino 的托管云服务，不涉及 IDE 或微控制器库，原文中已明确说明。
使用条款中的列举并非排他性定义，存在模糊性，可能引发争议，但其本意可能是限定于 Arduino 托管的在线服务。
该文章由 AI 生成，内容存在夸大和不准确之处，例如“Arduino 不是 SaaS”等表述不符合事实。
企业接管开源项目后，其治理和法律条款通常会发生重大变化，需警惕潜在风险。
Arduino 的专利条款更新意味着用户使用其平台不获得任何专利授权，可能面临第三方专利诉讼风险。
Arduino 长期存在治理和许可问题，其社区驱动的本质正面临商业化带来的挑战。
从 Wiring 项目出发，仍可获取基于 GPL 协议的开源 IDE，但 Arduino 的成功远不止于 IDE 本身。
尽管 ESP32 等替代平台性能更强且成本更低，但部分用户仍因 Arduino 的易用性和生态惯性而继续使用。
Arduino IDE 和 HAL 在快速实现 HID 设备等简单项目时具有显著优势，学习成本极低，适合非专业用户。
对于需要可测试代码的独立开发者，simavr 和 QEMU 支持提供了无需硬件的单元测试能力。
一些用户认为 Arduino IDE 设计陈旧，界面落后，缺乏现代开发体验，已逐渐失去吸引力。
非技术爱好者更倾向于使用熟悉的 Arduino 平台，不愿因更换工具链而增加学习成本或破坏现有项目。
Arduino 在专业项目中的使用意愿下降，但其在教育和入门级创客领域仍有不可替代的价值。

新操作系统旨在实现部分与 macOS 的兼容性 (New OS aims to provide (some) compatibility with macOS) #

https://github.com/ravynsoft/ravynos

ravynOS 是一个基于 FreeBSD 的开源操作系统项目，旨在为 x86-64（未来也将支持 ARM）平台提供与 macOS 相似的用户体验，并实现源代码和二进制级别的兼容性。

项目核心目标包括：

支持 macOS 应用程序的编译与运行，实现源码兼容；
提供与 macOS 类似的图形界面交互设计，如文件管理器、应用启动器、顶部菜单栏等；
保持与 macOS 一致的目录结构（如 /Library、/System、/Users、/Volumes）；
支持 HFS+、APFS 等文件系统，并全面兼容 ZFS；
采用自包含的应用格式，如 App Bundles、AppDirs 和 AppImage。

当前版本为 0.6.1，项目持续整合来自 FreeBSD stable/15 的更新，优化构建流程与系统稳定性。 ravynOS 采用 BSD 许可证，欢迎社区贡献与赞助，可通过 Patreon 和 PayPal 支持项目发展。

官网： www.ravynos.com 项目主页：GitHub 上的 ravynsoft/ravynos 仓库

HN 热度 307 points | 评论 158 comments | 作者：kasajian | 1 day ago #

https://news.ycombinator.com/item?id=45997212

Wine 的成功依赖于微软在向后兼容性上的长期投入，而苹果则频繁弃用框架并快速引入新框架，导致开发环境持续变化，增加了兼容性实现的难度。
现代 Windows API 的复杂性可以通过调用微软官方的 redistributables（如 Visual Studio 运行库）来简化，这些组件本质上是标准库，且在使用上相对宽松。
微软的 redistributables 并不强制要求必须与 Windows 许可证绑定，用户下载并分发这些 DLL 文件在法律上难以被追责，尤其当第三方（如 NVIDIA）进行分发时。
尽管微软的 EULA 对系统 DLL、COM 和 WinRT 组件有严格限制，但这些限制在实际法律执行中难以约束用户在 Wine 中运行这些组件的行为。
试图实现对所有 macOS 版本的二进制兼容性不现实，应聚焦于特定版本（如 Snow Leopard 或 Ventura），以提升旧设备的可用性或为非 Mac 平台提供类 macOS 环境。
许多现代应用依赖新特性（如 ARM64 支持、32 位淘汰、OpenGL 弃用），导致对旧系统支持的断裂，即使有兼容层也难以覆盖。
开源克隆 macOS 是一项长期且艰巨的任务，类似早期的 FreeDOS、ReactOS 和 Haiku 项目，需要多年积累才能达到可用状态，目前进展缓慢。
人工智能可能加速这类项目的发展，但其训练数据来源存在不确定性，尤其是对苹果闭源代码的依赖风险较低，而对微软的公开代码则存在较高风险。
由于苹果开源了部分 macOS 代码，可作为参考进行合规开发，通过比对生成代码与开源代码的相似性来判断是否构成侵权。

我们应该都使用依赖冷却期 (We should all be using dependency cooldowns) #

https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns

本文讨论了开源软件供应链安全问题，并提出“依赖冷却期”（dependency cooldowns）作为一种简单、免费且高效的防御手段。

核心观点是：大多数开源供应链攻击的攻击窗口期较短，通常在数小时到数天之间，而从攻击发布到被发现并修复的时间差（即“冷却期”）往往长达数周甚至数月。这意味着，一旦攻击者发布恶意版本，其实际可造成损害的时间窗口其实非常有限。

作者指出，通过设置依赖冷却期——即在依赖包发布后等待一段时间（如 7 天或 14 天）才允许自动更新或使用——可以有效阻止绝大多数此类攻击。例如，文中列举的 10 起典型攻击中，8 起的攻击窗口不足一周，设置 7 天冷却期即可避免大部分攻击；设置 14 天则几乎能阻止全部攻击，仅“xz-utils”攻击因持续时间极长而例外。

实现冷却期非常简单，主流工具如 Dependabot、Renovate 以及 pnpm、uv 等包管理器已提供相关功能，开发者只需在配置中添加 cooldown 设置即可。

此外，冷却期还能促使安全厂商更专注于快速发现和报告真实威胁，而非制造“危言耸听”的宣传。

尽管冷却期不能解决所有问题（如长期隐藏的恶意代码或信任问题），但作为一项零成本、易部署的技术措施，它能带来 80%-90% 的安全提升，是当前应对供应链攻击最值得推广的实践之一。

最后，作者呼吁包管理生态系统应将冷却期功能原生集成到工具链中，而非依赖外部工具，以实现更可靠、更统一的防护。

HN 热度 271 points | 评论 186 comments | 作者：todsacerdoti | 11 hours ago #

https://news.ycombinator.com/item?id=46005111

依赖更新不必立即执行，许多软件采用较慢的部署节奏，且多数漏洞仅在特定条件下可被利用，应优先评估自身产品是否受影响再决定是否更新。
当前生态系统普遍存在盲目快速更新的倾向，缺乏对更新内容的实质性审查，导致不必要的工作量和潜在风险。
依赖更新应有策略性，若决定延迟更新，需明确是短期推迟还是永久脱离更新轨道，避免积累大量难以处理的更新。
在动态类型语言如 Node.js 中，频繁更新会带来高风险，因缺乏编译时检查，导致更新后问题难以发现，而静态类型语言如 Rust 则因编译通过和测试通过带来更高信心。
依赖更新应结合社区成熟度和历史问题发现情况，选择在多数问题已被发现并解决后进行，避免过早更新引入未知问题。
依赖更新频率应适度，定期（如每周至每月）更新可防止工作积压，便于问题排查，但应根据项目实际情况灵活调整。
依赖更新工具如 Dependabot 若无延迟机制，可能造成团队被频繁打扰，尤其在无实际安全威胁时，应区分安全更新与其他更新。
依赖更新应区分安全更新与非安全更新，通过配置将安全更新单独处理，便于团队专注评估真正重要的安全问题。
企业可引入“依赖过时度”指标，虽不完美但有助于识别需要关注的项目，推动依赖管理的可视化和改进。
依赖更新不应盲目追求最新版本，应避免因长期不更新导致升级成本剧增，建议至少每季度更新一次以保持依赖健康。
依赖更新策略应考虑语言和社区特性，动态语言社区往往对更新风险更敏感，而静态语言社区因强类型系统更易安全更新。
未来可探索基于能力的依赖管理机制，通过监控依赖行为变化（如新增网络访问、文件读写等）来自动识别潜在风险。

HackerNews AI 摘要修改

HackerNews AI 摘要的 RSS 预览

2025-11-26 Hacker News Top Stories #

Pebble Watch 软件现已 100% 开源 (Pebble Watch software is now open source) #

HN 热度 1209 points | 评论 216 comments | 作者：Larrikin | 1 day ago #

Anthropic 发布全新模型 Claude Opus 4.5，实现编码、智能体任务与计算机使用能力的世界领先水平 (Claude Opus 4.5) #

HN 热度 1076 points | 评论 495 comments | 作者：adocomplete | 1 day ago #

断电的 SSD 会逐渐丢失数据 (Unpowered SSDs slowly lose data) #

HN 热度 717 points | 评论 288 comments | 作者：amichail | 1 day ago #

Anthropic 推出 Claude 开发者平台三项新功能，显著提升 AI 代理在复杂工具环境中的效率与准确性 (Claude Advanced Tool Use) #

HN 热度 645 points | 评论 258 comments | 作者：lebovic | 1 day ago #

法国威胁 GrapheneOS 开发者将遭逮捕/服务器被查封，因其拒绝设置后门 (France threatens GrapheneOS with arrests / server seizure for refusing backdoors) #

HN 热度 572 points | 评论 3 comments | 作者：nabakin | 1 day ago #

展示 HN：我构建了一个交互式 HN 模拟器 (Show HN: I built an interactive HN Simulator) #

HN 热度 477 points | 评论 206 comments | 作者：johnsillings | 1 day ago #

PS5 价格低于 64GB DDR5 内存，内存涨价至 600 美元因短缺 (PS5 now costs less than 64GB of DDR5 memory. RAM jumps to $600 due to shortage) #

HN 热度 457 points | 评论 344 comments | 作者：speckx | 1 day ago #

人类大脑出生前已具备理解世界的预配置机制 (Human brains are preconfigured with instructions for understanding the world) #

HN 热度 412 points | 评论 280 comments | 作者：XzetaU8 | 18 hours ago #

Orion 1.0 正式发布，标志着 Kagi 公司 macOS 浏览器产品进入生产阶段 (Orion 1.0) #

HN 热度 344 points | 评论 205 comments | 作者：STRiDEX | 8 hours ago #

人工智能对学校的影响 (Implications of AI to schools) #

HN 热度 338 points | 评论 413 comments | 作者：bilsbie | 1 day ago #

Hacker News 精彩评论及翻译 #

Human brains are preconfigured with instructions f… #

AI has a deep understanding of how this code works #

Trillions spent and big software projects are stil… #

Unpowered SSDs slowly lose data #

What OpenAI did when ChatGPT users lost touch with… #

APT Rust requirement raises questions #

AI has a deep understanding of how this code works #

Trillions spent and big software projects are stil… #

PS5 now costs less than 64GB of DDR5 memory. RAM j… #

Google Antigravity exfiltrates data via indirect p… #

Unpowered SSDs slowly lose data #

Pebble Watch software is now open source #

After my dad died, we found the love letters #

2025-11-25 Hacker News Top Stories #

Fran Sans——灵感源自旧金山 Muni Breda 轻轨车辆目的地显示屏的字体 (Fran Sans – font inspired by San Francisco light rail displays) #

HN 热度 1110 points | 评论 136 comments | 作者：ChrisArchitect | 1 day ago #

Shai-Hulud 归来：超 300 个 NPM 包遭感染 (Shai-Hulud Returns: Over 300 NPM Packages Infected) #

HN 热度 847 points | 评论 687 comments | 作者：mrdosija | 14 hours ago #

X 新国籍功能曝光大量“美国”账号实为海外运营 (X’s new country-of-origin feature reveals many ‘US’ accounts to be foreign-run) #

HN 热度 526 points | 评论 287 comments | 作者：ourmandave | 1 day ago #

爱荷华城推行公交免费后，交通畅通，空气也清新了 (Iowa City made its buses free. Traffic cleared, and so did the air) #

HN 热度 466 points | 评论 573 comments | 作者：bookofjoe | 1 day ago #

macOS 安全飞地（Secure Enclave）原生支持 SSH 密钥生成与管理 (Native Secure Enclave backed SSH keys on macOS) #

HN 热度 446 points | 评论 186 comments | 作者：arianvanp | 1 day ago #

µcad：一款开源编程语言，用于生成 2D 草图与 3D 模型 (µcad: New open source programming language that can generate 2D sketches and 3D) #

HN 热度 374 points | 评论 122 comments | 作者：todsacerdoti | 1 day ago #

Shai Hulud 发起第二次供应链攻击：Zapier、ENS、AsyncAPI、PostHog、Postman 等项目遭 compromise (Shai Hulud launches second supply-chain attack) #

HN 热度 339 points | 评论 19 comments | 作者：birdculture | 9 hours ago #

RuBee：一种用于高安全性环境的低频无线资产追踪技术 (RuBee) #

HN 热度 329 points | 评论 58 comments | 作者：Sniffnoy | 22 hours ago #

NSA 与 IETF，第四部分：被压制的不同意见实例 (NSA and IETF, part 3: Dodging the issues at hand) #

HN 热度 294 points | 评论 169 comments | 作者：upofadown | 13 hours ago #

日本押注北海道打造全球半导体新中心 (Japan’s gamble to turn island of Hokkaido into global chip hub) #

HN 热度 281 points | 评论 423 comments | 作者：1659447091 | 22 hours ago #

Hacker News 精彩评论及翻译 #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

X’s new country-of-origin feature reveals many ‘US… #

Claude Opus 4.5 #

France threatens GrapheneOS with arrests / server … #

Japan’s gamble to turn island of Hokkaido into glo… #

We stopped roadmap work for a week and fixed bugs #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

X’s new country-of-origin feature reveals many ‘US… #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

The Cloudflare outage might be a good thing #

Claude Opus 4.5 #

Git 3.0 will use main as the default branch #

Iowa City made its buses free. Traffic cleared, an… #

NSA and IETF, part 3: Dodging the issues at hand #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

France threatens GrapheneOS with arrests / server … #

Doge ‘doesn’t exist’ with eight months left on its… #

Fran Sans – font inspired by San Francisco light r… #

1M Downloads of Zorin OS 18 #

Disney Lost Roger Rabbit #

We stopped roadmap work for a week and fixed bugs #