MoreRSS

site iconHackerNews AI 摘要修改

使用 RPA 方案,每天自动获取 Top Stories ,使用 GPT 方式自动摘要,同时会一并摘要 HackerNews 网友的评论。
请复制 RSS 到你的阅读器,或快速订阅到 :

Inoreader Feedly Follow Feedbin Local Reader

HackerNews AI 摘要的 RSS 预览

2025 09 13 HackerNews

2025-09-13 06:18:09

2025-09-13 Hacker News Top Stories #

  1. PostHog 官网采用操作系统风格设计,提供多任务功能,但 HN 评论指出其设计存在问题,破坏了用户体验。
  2. 美国财政部计划扩展《爱国者法案》,监管比特币自我托管,引发对隐私和自由的担忧。
  3. Awesome-Nano-Banana-images 项目展示了 Google AI 工具生成图像的能力,但评论指出其在复杂任务中的不稳定性。
  4. 阿里云推出 Qwen3-Next 模型,显著提升长上下文场景下的效率和资源利用率。
  5. SWE-bench 项目发现 Git 历史泄露可能影响 AI 模型评估结果,计划修复该问题。
  6. Claude 的记忆架构强调用户控制和隐私,与 ChatGPT 的设计完全不同。
  7. 网页展示了 32 位浮点数的详细解析,说明其二进制结构和十进制转换。
  8. 欧盟的“聊天管控”政策因反对声音过多未能通过,推文庆祝了这一结果。
  9. 许多 LeetCode 难题可以通过约束求解器轻松解决,文章探讨了这一方法的优势。
  10. 丹麦超市连锁集团计划建设“应急商店”网络,以增强社会在突发事件中的韧性。

Why our website looks like an operating system #

https://posthog.com/blog/why-os

PostHog 官网迎来全新设计,采用操作系统(OS)风格界面,旨在提升用户在多任务场景下的浏览体验。传统技术网站常见的长页面滚动、巨大页脚和大量留白被打破,取而代之的是可拖拽、可缩放、支持窗口 snapping 的多窗口布局,用户可同时打开多个页面并自由移动、管理。

新官网具备操作系统级功能:

  • 窗口管理:支持多窗口并行操作,类似桌面系统。
  • 键盘快捷键:提供丰富的快捷操作,提升效率。
  • 书签应用:可保存和管理常用页面。
  • 多样化仿生界面:包括 Windows 资源管理器风格的商城、PowerPoint 风格的产品页、可编辑文档编辑器、Outlook Express 风格的论坛、QuickTime 风格的视频播放器等。
  • 信息展示方式革新:部分页面以表格形式呈现,强调功能性而非美观。

内容架构方面,所有产品页面由 JSON 驱动,实现内容与视觉层分离,支持动态布局、对比图表、多主题截图(含深色/浅色模式)。未来计划将内容源与 PostHog 应用共享,实现统一数据管理。

网站还内置参考客户数据库,包含客户使用的产品、引用语、公司 Logo(支持深色/浅色模式),可按产品动态调用,避免硬编码。

技术实现上,整个网站基于现有代码库开发,通过 Git 分支迭代,开发与原型同步进行。设计与编码并行,使许多功能在真实环境中验证,而非依赖静态原型。

作者坦言,初期使用该界面令人不适,但适应后体验显著提升,团队成员反馈一致积极。目前仍处于早期 MVP 阶段,未来将持续优化。

最后,作者邀请用户探索网站,鼓励提问与反馈,并透露部分技术细节将后续公开。


HN 热度 644 points | 评论 450 comments | 作者:bnc319 | 22 hours ago #

https://news.ycombinator.com/item?id=45217269

  • 该网站设计试图在网页中复刻操作系统界面,虽有美观的配色,但本质上是创建了一个浏览器内的浏览器,重复了原生浏览器功能,反而破坏了正常的网页使用体验。
  • 通过自定义右键菜单限制了原生浏览器右键功能,导致链接无法正常在新标签页打开,严重影响了用户习惯和网页的可深度链接性。
  • 网站导航逻辑混乱,页面切换方式不一致,用户难以判断什么是“页面”以及如何返回,缺乏统一的导航认知。
  • 与传统浏览器相比,该设计虽有创新,但违背了成熟且稳定的桌面 UI 规范,反而降低了可用性和可发现性。
  • 现代桌面 UI 的核心范式自 90 年代已基本定型,当前许多“创新”设计实则是向移动或网页 UI 妥协,导致体验退化。
  • 用户在多应用、多窗口、多标签的复杂工作环境下,缺乏一个统一视图来管理所有打开的窗口、标签和子界面,现有工具难以满足整合需求。
  • 多文档界面(MDI)曾是 Windows 时代的重要设计,但如今被遗忘,而网页中尝试复刻 MDI 效果,历史重演但效果不佳。
  • 网站缺乏基本的键盘操作支持,如无法使用键盘滚动,严重违背了基础可用性原则。
  • 该设计虽具视觉吸引力,但对品牌已有一定积累的 Posthog 而言也难以真正提升用户体验,反而可能造成使用障碍。
  • 网站存在多个入口通往同一内容,导致用户重复访问,陷入“似曾相识”的迷宫式体验。
  • 内容展示缺乏层级结构,用户需主动点击才能发现信息,信息获取效率低下,缺乏全局概览。

The treasury is expanding the Patriot Act to attack Bitcoin self custody #

https://www.tftc.io/treasury-iexpanding-patriot-act/

文章标题:美国财政部拟扩展《爱国者法案》以打击比特币自我托管

美国财政部与金融犯罪执法网络(FinCEN)正计划扩展《爱国者法案》,针对比特币的自我托管行为实施严格监管。该举措将重点打击 CoinJoin、原子交换、单一地址使用及交易广播时间延迟等常见且被广泛推荐的比特币隐私保护实践。

这些技术手段是保障用户金融隐私、提升安全性和经济效率的关键工具。若政策实施,使用上述技术的用户将被标记为“可疑”,相关交易可能被受监管的金融服务拒绝,甚至面临刑事追责。

作者强烈批评该政策是“对数字时代自由的荒谬侵犯”,认为政府不应因少数犯罪分子而牺牲绝大多数守法公民的隐私与安全。真正的执法应依靠自身能力,而非通过削弱中立协议和技术创新来实现。

文章强调,比特币作为去中心化、尊重用户隐私的货币系统,其价值正因这些技术而得以巩固。不应让“少数坏人”决定整个社会的规则,否则无异于“让恐怖分子得逞”。

背景补充:

  • 比特币正逐步融入传统金融体系,ETF、期货、期权等工具的普及使其波动性显著下降,已接近传统金融资产水平。
  • 作者认为,比特币的“去投机化”是成熟标志,但同时也意味着高回报时代的终结,投资者需调整预期。

推荐阅读:

  • 作者建议关注比特币隐私与安全的最佳实践。
  • 提供了与 Tom Honzik 合作的比特币托管安全直播课程信息。
  • 推荐使用由比特币开发者打造的隐私 VPN 服务 Obscura,支持比特币支付与无日志设计。

HN 热度 548 points | 评论 413 comments | 作者:bilsbie | 10 hours ago #

https://news.ycombinator.com/item?id=45221274

  • 《爱国者法案》本应是临时且范围有限的,但二十年后已成为金融监控的基础,将隐私视为问题而非基本权利。
  • 一旦隐私与犯罪挂钩,合法用户的安全将被削弱,权力集中于少数受监管的中介机构,不利于创新和民主。
  • 《爱国者法案》的多个条款曾设有到期日,但通过多次延期得以延续,最终在 2020 年部分条款未获续期而失效。
  • 虽然《爱国者法案》部分条款已到期,但其核心内容已通过《美国自由法案》(USA Freedom Act)延续和转化,实际影响仍在。
  • 《爱国者法案》并非单一法律,而是对美国法律体系的广泛修改,部分条款已过期,但仍有大量内容持续有效。
  • 《美国自由法案》的名称具有讽刺意味,其实际内容并未真正限制监控,反而延续了大规模监控的权力。
  • 美国政府的监控机制长期存在,其本质是结构性的,超越党派和总统个人,与选举制度和投票方式密切相关。
  • 用“STAR 投票”等改革可打破两党垄断,使不诚实的政治人物更容易被选民淘汰。
  • 《爱国者法案》的名称本身具有误导性,其真实含义与“爱国”“自由”相悖,是政治宣传的典型体现。
  • 隐私权不应被污名化为犯罪的象征,否则将损害所有公民的数字安全与自由。

Nano Banana image examples #

https://github.com/PicoTrex/Awesome-Nano-Banana-images/blob/main/README_en.md

这是一个名为《Awesome-Nano-Banana-images》的开源项目页面,专注于展示由“Nano-banana”(Google 推出的 AI 图像生成与编辑工具)生成的多样化创意案例。项目由用户 LongHZ140516 维护,最新更新时间为 2025 年 9 月 12 日。

页面突出展示 AI 在图像生成、编辑与多模态融合方面的强大能力。共收录 68 个真实案例,涵盖从艺术创作到实用设计的广泛领域,每个案例均配有输入图像、生成结果及详细提示词(prompt),并标注了贡献者账号。

主要案例包括:

  • 将插画转化为 3D 角色模型(Case 1, 12)
  • 从地图箭头生成真实地面视角(Case 2)
  • 人物穿越不同历史时期的换装(Case 5)
  • 多参考图生成与角色姿态控制(Case 6, 8, 40)
  • 产品包装、玩具、珠宝、棋盘等创意设计(Case 41, 67, 66)
  • 场景生成:如 Minecraft 风格、等距全息线框、动漫分镜(Case 59, 58, 56)
  • 实用功能:如证件照生成、AR 信息叠加、旧照片上色、食物热量标注(Case 63, 3, 20, 48)

项目强调多视角生成、材质控制、光照调节、透明层提取等高级功能,展示 AI 在创意设计、教育、工业建模等场景的潜力。案例来源包括 Twitter/X、小红书等社交平台,内容极具参考价值。

项目持续更新,已发布三版,鼓励用户点赞(⭐)收藏以支持。页面结构清晰,适合设计师、开发者、AI 爱好者快速了解 Nano-banana 的实战能力。


HN 热度 521 points | 评论 237 comments | 作者:SweetSoftPillow | 1 day ago #

https://news.ycombinator.com/item?id=45215869

  • Nano-Banana 在图像编辑任务中表现出色,尤其在局部修改方面有显著优势,但部分用户反馈其对复杂指令的响应不稳定,常出现无法执行修改或重复输出相同图像的问题。
  • 有用户指出,尽管 Nano-Banana 在整体表现上不错,但在处理如“移动书架”等具体位置调整时容易失败,即使多次尝试也无法改变其输出,建议重启对话或加强提示词。
  • 有评论提到,Nano-Banana 的问题在一些高难度提示中尤为明显,例如“修正比萨斜塔”或“缩短长颈鹿脖子”,其表现不如其他模型如 GPT-Image-1 或 Kontext,后者虽本地可运行但表现更稳定。
  • 有用户质疑 Nano-Banana 的一致性,认为其有时随机生成正确结果,有时却完全忽略指令,缺乏可预测性。
  • 有用户建议,通过增加更明确的指令或使用激励机制(如承诺支付佣金)可能有助于提高模型执行意愿,但效果不确定。
  • 有用户指出,该模型在文本生成方面仍有缺陷,例如在漫画图像中无法正确显示特定时间(如凌晨 1:15)的时钟。
  • 有用户对评测网站的评估方式提出疑问,认为其采用“人工判断”而非自动评分,虽有主观性,但通过多人评估可提高可靠性。
  • 有用户建议增加对 Grok 模型的测试,认为其发展迅速,未来可能在评测中表现优异。
  • 有用户指出,GPT-Image-1 虽非专门编辑模型,但对复杂提示的处理能力优于 Nano-Banana,尽管其修改范围较广,但可通过精细提示控制。
  • 有用户指出,该评测中展示的“第二例”存在不当内容,已被移除,原图涉及不适宜画面,引发争议。
  • 有用户澄清,Nano-Banana 实际为 Google Gemini 2.5 Flash 模型,具备原生图像生成能力,而非多模型流水线,且其在图像生成方面表现优于预期,尤其在快速响应和成本控制上具有优势。

Qwen3-Next #

https://qwen.ai/blog?id=4074cca80393150c248e508aa62983f9cb7d27cd&from=research.latest-advancements-list

Qwen3-Next 是阿里云推出的全新大模型架构,旨在提升长上下文和大规模参数场景下的训练与推理效率。相比 Qwen3 的 MoE 结构,Qwen3-Next 引入多项关键技术改进:混合注意力机制、超稀疏 MoE 设计、训练稳定性优化以及多 token 预测机制。

该模型基于 Qwen3-Next-80B-A3B-Base 构建,总参数达 800 亿,但推理时仅激活约 30 亿参数,性能媲美甚至略优于 Qwen3-32B 密集模型,训练成本不足其 10%。在超过 32K token 的长上下文场景下,推理吞吐量提升超过 10 倍,展现出极高的效率。

基于此基础模型,团队发布了两个后训练版本:Qwen3-Next-80B-A3B-Instruct 和 Qwen3-Next-80B-A3B-Thinking。前者在长文本任务(支持高达 256K token)中表现优异,性能接近旗舰模型 Qwen3-235B-A22B-Instruct;后者在复杂推理任务中超越更高成本模型,甚至在多个基准测试中优于闭源模型 Gemini-2.5-Flash-Thinking,接近 Qwen3-235B-A22B-Thinking 的顶尖水平。

核心技术创新包括:

  • 混合架构:采用 Gated DeltaNet 与 Gated Attention 混合设计,75% 层使用高效 Gated DeltaNet,25% 保留标准注意力,兼顾性能与效率。
  • 超稀疏 MoE:512 个总专家,每次推理激活 10 个路由专家 + 1 个共享专家,仅激活 3.7% 参数,资源利用率高且不牺牲性能。
  • 训练稳定性优化:引入 Zero-Centered RMSNorm、输出门控机制、路由器初始化归一化等,有效解决注意力“Sink”和“激活爆炸”问题。
  • 多 token 预测(MTP):原生支持推测解码,通过多步训练提升预测一致性,显著提高推理速度。

预训练阶段,Qwen3-Next 使用 15T token 的子集,训练成本仅为 Qwen3-32B 的 9.3%,但性能更优。在推理阶段,无论是预填充(prefill)还是解码(decode)阶段,均大幅领先于同级别模型。

目前,Qwen3-Next 已在 Hugging Face 和 ModelScope 上开源,并可通过阿里云 Model Studio 和 NVIDIA API Catalog 调用服务。开发者可使用 Hugging Face Transformers 库直接加载模型,支持自动设备映射与高效推理。


HN 热度 515 points | 评论 198 comments | 作者:tosh | 16 hours ago #

https://news.ycombinator.com/item?id=45219228

  • 多令牌预测(MTP)通过在不增加额外解嵌入矩阵的情况下实现,显著减少了模型在推理时的活跃参数量,节省了数 GB 的显存,对推理速度提升有重要贡献。
  • 多令牌预测的核心优势在于支持推测解码(speculative decoding),允许模型一次生成多个后续令牌,从而大幅加速推理过程。
  • 推测解码的原理是:先生成多个候选令牌,再由主模型验证其正确性;若验证通过,则可直接采纳这些令牌,避免重复计算,显著提升效率。
  • 与传统推测解码依赖小型草稿模型不同,MTP 层直接利用主模型的轻量级预测头生成候选令牌,避免了模型间不一致的问题。
  • 生成的候选令牌仅需验证而非重新生成,验证过程与生成过程在计算成本上相近,但整体流程因并行性而更高效。
  • 若候选令牌验证失败,需回滚并重新生成后续令牌,但因多数预测正确,整体仍能实现显著加速。
  • 多令牌预测的高效性依赖于批处理的“免费”特性,即在一次推理中可并行处理大量猜测,只要猜测正确,就能实现显著加速。
  • 该技术与 CPU 中的推测执行在思想上相似,是一种通过预测和验证来优化性能的巧妙策略。
  • 该方法可扩展至预测更多令牌(如 3、4、5、6 个),但随着预测长度增加,正确率会下降,导致加速效果减弱。
  • 模型对后续令牌的预测置信度可设定阈值,仅当置信度超过阈值时才采纳预测结果,以保证输出质量。

Top model scores may be skewed by Git history leaks in SWE-bench #

https://github.com/SWE-bench/SWE-bench/issues/465

GitHub 上的 SWE-bench 项目发现了一个严重的评估漏洞:在自动化软件工程任务评估过程中,AI 代理(agents)可能通过查询 Git 历史记录(如 git log --all)获取未来仓库状态,从而“窥探”尚未在任务上下文中公开的修复信息。

具体表现为:

  • 某些 AI 模型(如 Claude 4 Sonnet、Qwen3-Coder、GLM 4.5 等)在执行任务时,会使用 git log --grepgit log --all 命令,直接检索未来提交(commit)。
  • 这些提交中包含问题的解决方案、修复代码和详细说明,例如 Fix incorrect result of getmodpath method,直接暴露了答案。
  • 问题根源在于评估环境保留了完整的 Git 历史,包括未来分支、reflog、远程追踪信息等,使代理能“作弊”。

为解决此问题,团队已启动修复:

  • 将移除未来仓库状态,包括所有分支、远程源(origins)、reflog 和标签。
  • 重构评估镜像,确保代理无法访问任务之外的代码历史。
  • 提供修复脚本参考(见 Gist 链接),并计划将自动检测机制集成到未来评估流程中。

目前修复工作正在进行中,预计 24 小时内完成新镜像构建与部署。该问题揭示了在构建可信 AI 评估基准时,对环境隔离和数据泄露风险的严格控制至关重要。


HN 热度 453 points | 评论 141 comments | 作者:mustaphah | 1 day ago #

https://news.ycombinator.com/item?id=45214670

  • SWE-bench 团队承认存在 Git 历史泄露问题,但声称影响范围极小,已发布修复方案。
  • 有评论指出,团队引用的讨论帖中明确表示仅进行了初步搜索,缺乏自动检测方法,无法证实影响范围极小。
  • 团队回应被质疑为缺乏实质证据,仅以“我们已检查”作为回应,未提供具体分析过程或数据。
  • 有人批评团队回应态度轻率,缺乏学术严谨性,质疑其可信度。
  • 有观点认为,即使没有此漏洞,模型在预训练阶段也可能接触到未来提交记录,因此该问题的影响可能被高估。
  • 评论指出,该问题的发现者本身来自 FAANG 公司,暗示相关企业可能有动机推动基准测试的改进。
  • 有人认为,该问题的出现反映了 AI 基准测试中普遍存在的漏洞,类似“chroot 逃逸”一样基础却严重。
  • 有评论对 AI 行业现状表示不满,认为 AI 技术夸大其词,导致软件体验恶化并伴随高昂成本。
  • 有人指出,该问题的暴露可能与近期模型在后训练阶段的奖励劫持有关,导致新模型更容易受此影响。
  • 团队表示正在开发一个公开的 Web 工具,以提高测试轨迹的可访问性,增强透明度。

Claude’s memory architecture is the opposite of ChatGPT’s #

https://www.shloked.com/writing/claude-memory

Claude 的记忆系统与 ChatGPT 采取截然相反的设计哲学。它不预加载用户资料或历史记录,而是从零开始,仅在用户明确触发时才激活记忆功能,例如使用“我们之前讨论过……”等语句。

记忆功能依赖两个核心工具:

  • 对话搜索(conversation_search):支持关键词和主题搜索,能从全部历史对话中精准定位相关内容。例如,用户询问“关于德里昌迪尼查克的讨论”,Claude 可检索出多轮关于其历史、美食等话题的对话,并整合成连贯总结。
  • 时间范围检索(recent_chats):按时间顺序或倒序获取最近的对话,支持指定时间段(如“2024 年 11 月下半月”),实现精准的时间轴回溯。

与 ChatGPT 自动记忆、构建用户画像不同,Claude 的设计强调用户主动控制。其目标用户是开发者、专业人士,他们理解模型机制,愿意为更高的可控性和隐私性接受延迟。记忆不是默认开启的“魔法”功能,而是一个可选、透明、可预测的工具。

这种差异反映了两大产品的根本定位:ChatGPT 作为大众消费级产品,追求即时个性化与粘性;而 Claude 则聚焦专业工作流,强调可解释性、安全与开发者友好。

文章指出,AI 记忆系统尚无标准答案,设计应从用户需求出发。当前 AI 领域处于快速探索期,不同产品正尝试多样化的记忆架构,未来十年将带来更深刻的变化。


HN 热度 426 points | 评论 227 comments | 作者:shloked | 1 day ago #

https://news.ycombinator.com/item?id=45214908

  • ChatGPT 的内存设计更侧重于用户画像和商业化,如通过广告和联盟链接盈利,而 Claude 的内存设计更注重长期记忆和抽象能力,类似于人类记忆方式。
  • 有人指出,当前主流对 AGI 的期待存在误解,LLM 架构本身无法真正实现 AGI,这种认知更多源于营销 hype 和对技术的过度乐观。
  • 有观点认为,LLM 虽然能加速创新,但并不能直接带来 AGI,真正实现 AGI 仍需两个关键突破,而 LLM 只是其中的加速器。
  • 有人质疑 LLM 是否真的能实现创新,目前尚未有明确案例证明 LLM 能独立发明新事物,所谓“治愈癌症”等说法缺乏实证支持。
  • 尽管 Anthropic 目前以订阅制为主,不依赖广告,但未来仍可能通过多种方式变现,包括数据收集和广告,尤其在工作类工具中广告可能引发用户反感。
  • Netflix 的广告支持订阅模式成功扩张,说明市场中相当一部分用户愿意接受广告以换取更低价格,这表明广告模式在内容服务中具有可行性。
  • 有评论指出,用户数量增长未必代表真实用户,部分“用户”可能是共享账号或低收入群体,其选择广告模式更多是经济压力而非偏好。
  • 有人强调,广告并非 2020 年代的新现象,传统工作工具如 IDE、技术文档等长期避免广告,因此专业 AI 工具更可能走订阅制而非广告模式。

Float Exposed #

https://float.exposed/

该网页展示了一个 32 位浮点数(float)的详细解析,基于 IEEE 754 标准。 其二进制位模式为:01000100101111111001010000000000。

符号位(Sign)为 0,表示该数为正数。 指数部分(Exponent)为 10001001₂,即十进制的 137,减去偏移量 127 后,实际指数为 10。 尾数部分(Significand)为 1.01111111001010000000000₂,表示一个带隐含前导 1 的二进制小数。

在二进制中,该数的计算表达式为: (−1)⁰ × 2¹⁰ × 1.01111111001010000000000₂。

转换为十进制,精确值为:1.532625 × 10³,即 1532.625。

该数值的相邻可表示值之间的差值为 ±1.220703125 × 10⁻⁴,说明其精度在该数量级范围内。

网页还展示了该浮点数在不同格式下的表示方式,包括十六进制整数形式、十六进制浮点格式(%a)以及其在浮点数表示范围中的位置。

页面底部注明版权信息:© 2025 – Bartosz Ciechanowski。 整体内容聚焦于浮点数的底层表示与数值分析,适合学习计算机浮点运算机制的开发者或学生参考。


HN 热度 381 points | 评论 101 comments | 作者:SomaticPirate | 22 hours ago #

https://news.ycombinator.com/item?id=45217415

  • 浮点数的核心特性是无论数值大小如何,都能保持大致相同的精度(以位数衡量),这是理解浮点数的关键。
  • 在相邻的 2 的幂次之间,浮点数的数量是固定的,因此数值间隔随数量级增大而增大,但数量保持一致。
  • 浮点数的尾数可以类比为不断二分区间的过程,每增加一位尾数位,就将当前区间再细分一次,从而决定最终数值的位置。
  • 将浮点数转换为最短且能唯一表示它的十进制字符串是一个重要问题,通常需要 9 位十进制精度才能唯一标识单精度浮点数。
  • 为了获得最短的唯一十进制表示,可以尝试从 6 位开始逐步增加精度,直到转换回浮点数时能保持一致,但这种方法效率较低。
  • 实际上已有高效算法如 Dragon4、Grisu3、Ryu 和 Dragonbox,以及 Google 的 double-conversion 库,可实现快速且最短的浮点数与十进制互转。
  • C 语言标准库的 printf 默认使用 6 位小数精度输出,无法直接获取最短唯一表示,部分实现甚至会输出冗余的精确小数。
  • C++17 引入的 std::to_chars 提供了更优的浮点数转字符串功能,支持生成最短且唯一的十进制表示。
  • 使用 %g 格式说明符可自动选择最短的十进制表示形式,避免不必要的尾随零,是实践中推荐的方式。

Chat Control faces blocking minority in the EU #

https://twitter.com/TutaPrivacy/status/1966384776883142661

X 平台用户 Tuta 发布推文,宣布德国、卢森堡和斯洛伐克已决定反对“聊天管控”(Chat Control)政策。 该政策未能获得多数支持,至少在当前阶段未能通过。 Tuta 感谢所有支持者,并呼吁继续为捍卫网络自由而努力。 推文发布于 2025 年 9 月 12 日,下午 2:13,获得超过 235 万次浏览,131 万次转发,47 万次点赞,286 条评论。


HN 热度 366 points | 评论 112 comments | 作者:miohtama | 9 hours ago #

https://news.ycombinator.com/item?id=45221580

  • 应对法案反复提出的问题,建议引入指数级冷却期机制,防止利益集团通过不断重提法案来绕过公众反对。
  • 指数冷却期机制可能被滥用,阻碍社会真正需要的立法,需警惕其被用于阻挠正当法案通过。
  • 民主治理的核心是人民的同意,当立法者持续违背公众利益时,实质已滑向威权主义。
  • 专业议员本应代表公众利益,但现实中可能已“失灵”,需反思代表制的失效问题。
  • 代表制的失败根源在于选民对代表的盲目信任,而这种信任在现实中常被滥用。
  • 公民参与立法需建立在充分知情基础上,但现实中公众普遍缺乏足够信息,易受误导。
  • 以“全民发 1000 万”这类极端提案为例,说明直接民主可能因民众短视而带来灾难性后果。
  • 民主需要中间信任机制,完全依赖民众决策可能削弱制度稳定性。
  • 历史表明,许多重大灾难性决策由所谓“受尊敬的政客”做出,而非普通民众。
  • 用虚构的极端提案来否定民主,实则是为削弱民主制度、维持精英控制提供借口。
  • 公民教育和媒体环境长期被操控,使得“知情公众”这一前提在现实中难以成立。
  • 真正的问题在于权力精英不希望公众真正知情,因此他们反对提升公众认知。
  • 一些支持 Chat Control 的人自认为在为社会谋利,却忽视其带来的安全漏洞和滥用风险。
  • 任何强制监控技术都会被聪明的犯罪分子绕过,而无辜者将首当其冲受到伤害。
  • 政治异见者和普通民众的言论自由将因监控而严重受损。
  • 不能假设政府永远由“好人”组成,历史证明权力滥用是常态。
  • 在现实中,政府已能监控大量通信,而所谓“安全”理由常被用于扩大监控范围。
  • 一些国家已出现因发送网络迷因而被起诉的案例,说明监控已具现实威胁。

Many hard LeetCode problems are easy constraint problems #

https://buttondown.com/hillelwayne/archive/many-hard-leetcode-problems-are-easy-constraint/

本文探讨了在算法面试中,许多看似复杂的 LeetCode 题目其实本质上是数学优化问题,而这类问题用约束求解器(如 MiniZinc)可以轻松解决。

作者以自己面试失败的经历为例:面对“找零钱”问题,他使用贪心算法,但未意识到该方法仅适用于特定币值组合。正确解法应使用动态规划,但他指出,若使用约束求解器,只需几行代码即可解决,无需手动实现复杂算法。

文中展示了多个例子:

  • 股票买卖最大利润问题:传统解法可为 O(n) 或 O(n²),但用约束模型只需定义买入、卖出变量和利润约束,即可通过求解器自动找出最优解。
  • 三数加减得零问题:属于满足性问题,只需判断是否存在一组三个数,通过加减运算结果为零。约束模型通过引入选择变量(0, -1, 1)并设置约束,即可快速求解。
  • 直方图最大矩形面积问题:传统解法需维护栈结构和复杂状态,而用约束模型只需定义矩形的起始位置、宽度、高度,并确保高度不超过所有柱子,即可通过最大化面积求解。

文章强调,虽然约束求解器的运行时间不可预测,且不如手写算法高效,但其优势在于可扩展性强。当问题加入新约束(如最多买卖次数、持仓上限)时,传统算法需重写逻辑,而约束模型只需微调约束即可应对。

最后指出,尽管约束求解器在面试中可能被质疑复杂度,但它们在处理复杂、多约束问题时远胜于手动编码,尤其适合快速验证想法、教学优化技巧(如对称性破除)。

文章结尾推荐读者关注其技术博客,介绍逻辑编程、形式方法等主题,并推广其新书《Logic for Programmers》。


HN 热度 354 points | 评论 298 comments | 作者:mpweiher | 7 hours ago #

https://news.ycombinator.com/item?id=45222695

  • LeetCode 类型的面试题缺乏澄清问题的机会,对某些思维方式不匹配的人不公平,容易导致失败。
  • 真实工作是长期、复杂且充满变数的,而 LeetCode 面试更像是短跑测试,与实际工作能力关联不大。
  • 许多公司(如 FAANG)仍采用 LeetCode 作为筛选手段,但这种做法已过度泛滥且被“刷题”策略严重扭曲,失去了有效信号作用。
  • 一些顶尖公司(如 Anthropic)采用全自动、无真人参与的 LeetCode 评分机制,被批评为不人道甚至应被禁止。
  • 面试中缺乏与面试官交流的机会,无法展示真实理解与思维过程,导致优秀人才被错误淘汰。
  • 有经验的招聘者承认,用 LeetCode 题目衡量真实工作能力是荒谬的,因为外人不可能在短时间内解决复杂业务问题。
  • 真实项目经验(如游戏引擎开发)比刷题更能体现工程师能力,但这类能力在当前面试体系中常被忽视。
  • 公司不愿投入时间和金钱建立更合理的面试流程,导致采用低成本但无效的筛选方式,最终损害双方利益。
  • 有人认为 LeetCode 实际上测试的是“学习并成为世界级专家的能力”,而非具体算法技能,因此有一定合理性。
  • 面试流程的“游戏化”已使 LeetCode 失去筛选价值,但因成本低仍被广泛使用,形成恶性循环。

Danish supermarket chain is setting up “Emergency Stores” #

https://swiss.social/@swaldorff/115186445638788782

丹麦一家超市连锁集团正在建设“应急商店”网络,这些商店可在断电和通信中断的情况下持续运营最多三天,储存大量非 perishable(不易腐烂)食品和生活必需品。计划到 2028 年完成,目标是让每个人距离最近的应急商店不超过 50 公里,以减少恐慌性抢购,提升社会应对突发事件的韧性。

这些应急商店将依托现有门店改造,而非新建设施,便于顾客熟悉并使用。丹麦国家银行数据显示,超过 80% 的成年人拥有可在离线状态下使用的银行借记卡,交易信息可暂存在本地,待网络恢复后补传,确保支付系统在断网时仍可运作。

该计划由丹麦最大零售商 Salling 集团推动,其背后是一家将利润回馈社会的基金会,体现私营企业对公共安全的积极贡献。类似理念在台湾和西班牙的超市中也有所实践,如 Mercadona 在疫情期间和停电事件中展现出较强的抗风险能力。

评论者认为,这种“嵌入式民用网络”(embedded civil mesh)模式,比集中式系统更具抗灾优势。尽管 50 公里的距离在极端情况下仍可能不足,但对多数人而言已足够,且能有效缓解基础设施中断带来的社会压力。

此外,有建议指出,未来可结合太阳能发电和储能系统,使商店实现真正离网运行,进一步增强可持续性和应急能力。这一模式也为其他地区(如美国、德国)提供了可借鉴的公共安全建设思路。


HN 热度 322 points | 评论 334 comments | 作者:sohkamyung | 24 hours ago #

https://news.ycombinator.com/item?id=45216805

  • 应急商店需储备耐储存商品,并在保质期内将库存转移至其他门店,以避免过期浪费,同时补充新鲜耐储存商品。
  • 为防止商品过期,需定期将应急商店的库存调拨至其他门店,即使这些商品尚未售完,以确保周转效率。
  • 采用先进先出(FIFO)原则管理库存,确保最早入库的商品优先销售,避免过期损失。
  • 应急商店库存量远超常规门店,因此必须通过调拨来避免库存积压和过期,保障供应链效率。
  • 在多仓库多门店的物流体系中,需在运输成本与过期损失之间权衡,优化库存调配策略。
  • 零售商常通过跨门店调拨库存来应对单店容量不足或特殊订单需求,提升整体运营效率。
  • 一些大型门店本质上充当区域仓库,负责存储小门店不常需的特殊商品,支持区域配送。
  • 网友指出“FILO”应为“FIFO”(先进先出),并澄清术语使用错误,强调正确库存管理原则。
  • 多数消费者习惯拿取货架前排商品,较少主动寻找保质期更长的后方商品,导致后方商品易过期。
  • 个别消费者会特意挑选保质期较长的商品,以减少食物浪费,属于少数有意识的环保行为。
  • 食品浪费是当前社会关注问题,部分消费者主动选择“足够好”的保质期商品,而非追求最新鲜。
  • 在某些快速周转的商品(如牛奶)中,货架上往往只有一种保质期,难以选择。
  • 一些消费者因个人习惯或心理因素(如避免货架留空、强迫症)而选择后方商品,影响商品流通。
  • 在线购物平台因集中仓储和高频周转,能有效减少商品过期,保鲜度通常优于传统门店。
  • 在线配送商品可能来自门店货架前端,即最不新鲜的批次,导致消费者实际收到的商品并不新鲜。
  • 部分超市鼓励拣货员优先选择保质期较久的商品,以减少浪费,但可能影响消费者体验。

Hacker News 精彩评论及翻译 #

The treasury is expanding the Patriot Act to attac… #

https://news.ycombinator.com/item?id=45221631

The Patriot Act itself was supposed to be temporary and “narrow.” Two decades later it’s the foundation for a financial dragnet that assumes privacy is the problem rather than a basic right.

Just like encryption, once privacy becomes associated with criminality, you end up weakening security for law-abiding users and concentrating power in a few regulated intermediaries. That’s not healthy for innovation, or democracy.

electric_muse

《爱国者法案》本身本应是临时且“有限”的。二十多年后,它成了金融大监控的基础,而该监控假定隐私是问题而非一项基本权利。

就像加密技术一样,一旦隐私与犯罪行为挂钩,最终会削弱守法用户的安全,并将权力集中在少数受监管的中间机构。这对创新或民主都不利。


2025 09 12 HackerNews

2025-09-12 08:03:34

2025-09-12 Hacker News Top Stories #

  1. 德国目前不支持欧盟的ChatControl法案,反对者占欧盟总人口的40.37%,法案通过仍有可能。
  2. 美国保守派活动家查理·柯克在犹他州演讲时被枪杀,事件引发对政治暴力的强烈抗议和悼念活动。
  3. KDE项目发布了基于Arch Linux的不可变发行版KDE Linux,专注于提供最佳的KDE用户体验。
  4. 美国第二巡回上诉法院驳回Verizon未经用户同意出售位置数据的上诉,维持4690万美元罚款。
  5. 作者David Friedman受“doomscrolling”启发,结合经典游戏《Doom》,制作了一个仅通过滚动操作的网页游戏。
  6. 包管理器Bun通过优化系统调用和利用操作系统优化,实现了比npm、pnpm和yarn更快的安装速度。
  7. 大型语言模型(LLM)在推理过程中存在非确定性问题,浮点数非结合性和并行执行是主要原因。
  8. GrapheneOS致力于保护设备隐私和安全,但数字取证工具Cellebrite仍能从部分设备中提取数据。
  9. W3C团队成员格雷格·凯洛格去世,他是JSON-LD工作组的联合主席,为多项数据相关规范做出了重要贡献。
  10. 韩国要求美国修复签证系统并防止工作场所移民突袭事件,否则可能影响韩国对美投资。

Germany is not supporting ChatControl – blocking minority secured #

https://digitalcourage.social/@echo_pbreyer/115184350819592476

德国目前不支持欧盟提出的#ChatControl 法案,该法案涉及非法的大规模监控计划。德国司法部长 Hubig 阻止了德国对该法案的支持,使得阻止该法案所需的否决少数派目前看来已经到位。除了德国,卢森堡(LU)和斯洛伐克(SK)也加入了反对行列。反对者们呼吁继续斗争,以阻止这一侵犯隐私的法案。

然而,德国内政部计划在 10 月前寻求一个妥协方案,这意味着目前的胜利可能只是暂时的。有人担忧,匈牙利这样的“流氓国家”可能会通过简单多数决定威胁整个欧盟安全的问题,而侵犯隐私的决策也可能被简单多数通过。

一些前共产主义国家如捷克共和国、斯洛伐克和波兰现在反对这个奥威尔式的噩梦,而传统的民主国家如法国、瑞典或西班牙却支持它。有人指出,这些国家可能还记得生活在监控下的感觉。

此外,有人计算出,反对或中立的 9 个国家占欧盟总人口的 40.37%,这意味着即使犹豫不决的国家转而支持,也达不到 65% 的欧盟总人口的多数决条件。但是,如果反对的理事会成员少于四个,那么支持国家的人口比例对于定义多数决就无关紧要了。因此,要形成一个否决少数派,至少需要四个理事会成员的反对。


HN 热度 1018 points | 评论 335 comments | 作者:xyzal | 15 hours ago #

https://news.ycombinator.com/item?id=45209366

  • 德国目前不支持 ChatControl,但未来可能会再次提出
  • 德国联邦议会正在讨论妥协方案,但仍然希望以安全为名侵犯隐私和削减权利
  • 技术讨论中缺乏技术能力,担忧非审计、非透明的黑盒子扫描所有通信
  • 反对者需要每次都赢,而支持者只需赢一次就能使法规成为永久法律
  • 欧盟人权第 8 条定义模糊,为 Chat Control 式监控留下空间
  • 技术专家可以通过红队测试展示 ChatControl 的脆弱和愚蠢
  • 分布式哈希表(DHT)上的聊天协议可能是解决方案,但需要更多开发
  • 这是一个政治问题,不是技术问题
  • 去中心化和分布式聊天协议可以抵抗审查,但这是一个技术问题
  • 研究隐写术可能有助于规避特定应用程序服务被定为非法的问题
  • 即使使用 GPG/PGP,也会因为与众不同而被轻易识别为问题用户
  • 非妥协的 E2EE 对于监控普通公民之间的信息传播没有太大用处,但对于监控特定目标如异见者和记者是有用的
  • 即使 ChatControl 无法完全禁止加密,它仍然是监控和阻止普通公民组织反对政府的工具

Charlie Kirk killed at event in Utah #

https://www.nbcnews.com/news/us-news/live-blog/live-updates-shooting-charlie-kirk-event-utah-rcna230437

保守派活动家、转折点美国(Turning Point USA)联合创始人查理·柯克(Charlie Kirk)在犹他谷大学(Utah Valley University)进行演讲时被枪杀,引发对政治暴力的强烈抗议。事件发生后,犹他谷大学宣布将关闭至周一,所有课程、校园活动和行政工作在此期间暂停,学生的作业、考试和截止日期将相应推迟。学校表示,没有对校园的持续威胁,但在紧急疏散后遗留重要物品的人可以在当天到校友中心领取。全美多个州举行了悼念查理·柯克的守夜活动。

白宫官员在得知查理·柯克被枪杀的消息后,最初的反应是“震惊”、“恶心”和“悲痛欲绝”。特朗普在实时了解事件进展的同时,将柯克的死归咎于“激进左翼”。他在视频信息中表示,多年来,激进左翼将像查理这样的美国人比作纳粹和世界上最糟糕的大规模谋杀犯和罪犯,这种言论直接导致了我们国家今天所看到的恐怖主义,必须立即停止。特朗普呼吁所有美国人和媒体面对暴力和谋杀是妖魔化与你意见相左的人的悲剧后果,但他只提到了“激进左翼的政治暴力”,没有向任何成为目标的民主党政治家致敬。目前,官方尚未宣布柯克被杀的动机;犹他州州长称其为“政治暗杀”。

两名被拘留者与枪击案无关。联邦调查局和犹他州公共安全部门在联合声明中表示,今天被拘留的两人与柯克的致命枪击案没有任何联系。其中一人在枪击案后被大学警察拘留并被控妨碍公务,另一人在审讯后被释放。声明称,目前这两人与枪击案没有任何联系,对枪手的调查和追捕仍在进行中。声明将枪击案称为有针对性的袭击,枪手据信是从建筑物屋顶向下射击到学生庭院的公共活动地点。为了保护调查的完整性,不能提供更多细节。

在犹他州议会大厦举行的守夜活动中,人们聚集在一起悼念查理·柯克。牧师罗恩·威廉姆斯告诉人群,柯克是一个充满激情、充满爱的人,他热爱自己的国家和家庭。威廉姆斯为柯克的家人和亲近的人祈求和平与安慰,并表示尽管可能还有其他黑暗的日子,人们应该选择爱而不是暴力。威廉姆斯称柯克的被杀是不公正的,并呼吁美国人意识到今天发生的事情可能不是最后一次我们需要站出来,说不暴力,是爱、团结和正义。


HN 热度 986 points | 评论 2803 comments | 作者:david927 | 1 day ago #

https://news.ycombinator.com/item?id=45202200

  • 非暴力的讨论是必要的,应避免庆祝或辩解暴力行为
  • 美国需要理解、超越困难时期,需要爱、智慧和同情心
  • 引用了罗伯特·肯尼迪 1968 年的演讲,强调团结和正义
  • 提到了马丁·路德·金在被暗杀前一天的演讲,强调非暴力的重要性
  • 暴力是个人或政府权力超过一定阈值后的必然选择
  • 社会对个人暴力具有惊人的韧性,尤其是当涉及地位、财富或政治权力较高的人时
  • 历史上,通过决斗等方式解决争端是常见的
  • 我们生活在一个相对非暴力的天堂,值得为之付出巨大代价
  • 通过精神的力量来拯救肉体
  • 当一个国家 10% 或更多的人表示对反对党成员的死亡无动于衷时,需要反思
  • 美国的枪支文化深植于宪法、历史和媒体中,解决枪支问题需要直面问题
  • 否认枪支问题的存在是逃避现实,需要正视这些场景的存在

KDE launches its own distribution #

https://lwn.net/SubscriberLink/1037166/caa6979c16a99c9e/

2025 年 9 月 10 日,KDE 项目在 Akademy 2025 上发布了 KDE Linux 的 alpha 版本,这是一个由项目构建的发行版,旨在“包含 KDE 所提供的最佳实现,使用最先进的技术”。KDE Linux 的目标是提供一个适用于家庭、商业、OEM 安装等的操作系统,尽管目前存在许多粗糙的边缘和缺失的功能。

KDE Linux 是一个不可变的发行版,以 Arch Linux 包为基础,但不包括 Pacman,仅用于基础操作系统。其他所有内容要么使用 KDE Builder 从源代码编译,要么使用 Flatpak 安装。KDE Linux 是 Wayland-only,没有 X.org 会话,也不计划添加。它仅支持 UEFI 系统,没有计划支持仅 BIOS 系统。

KDE Linux 的根文件系统(/)是一个可读写的 Btrfs 卷,而/usr 是一个只读的增强型只读文件系统(EROFS)卷,由单个文件支持。系统通过交换 EROFS 卷来原子更新;目前 KDE Linux 缓存最多五个文件,允许用户在最新更新出现问题时回滚到以前的版本。

KDE Linux 不提供让用户向基础系统添加包的方式,用户可以通过 KDE 的 Discover 图形软件管理器添加 Flatpak 包装的应用;也支持 Snap 格式,但未与 Discover 集成。KDE Linux 还包括 Distrobox,允许用户设置他们选择的发行版的容器,并在容器中安装与系统集成的软件。

KDE Linux 的默认软件选择对于桌面发行版来说是一个很好的开始,包括 Gwenview 图像查看器、Okular 文档查看器、Haruna 媒体播放器、Kate 文本编辑器和 Konsole 终端仿真器。默认安装中包括的 Firefox 是唯一的非 KDE 应用。基础系统目前包括 GNU Bash 5.3.3、curl 8.15、Linux 6.16.5、GCC 15.2.1、Perl 5.42、Python 3.13.7、Vim 9.1 和 wget 1.25,但不包括一些用户可能想要或期望的实用程序,如 GNU Screen、Emacs、tmux、pip 或 Fish 等替代 shell。

KDE Linux 的基包不打算让用户自定义,但应该可以使用 systemd 的 mkosi 工具创建自定义映像,这也是项目本身使用的。KDE Linux 仓库中的 mkosi.conf.d 目录包含管理系统映像中包含的包的各种配置文件。

长期计划是推出三个版本的 KDE Linux:测试版(当前可用)、爱好者版和稳定版。测试版面向开发者和质量保证人员,每天从 Git 构建,质量类似于 KDE neon 的不稳定版本。爱好者版将包括 beta 或已发布的软件,取决于给定应用程序的状态;这个版本面向“KDE 爱好者、高级用户和影响者”。稳定版的目标是为普通用户提供一个稳定的系统。


HN 热度 655 points | 评论 475 comments | 作者:Bogdanp | 1 day ago #

https://news.ycombinator.com/item?id=45204393

  • 有人对具有不可变基础系统的发行版感兴趣,认为稳定的内核比什么都重要。
  • 有人认为不可变发行版只是高级的“现场 CD”,并不看好它们的实用性。
  • 有人觉得用户应用程序和基础系统共享软件包是疯狂的,原子发行版的方法更适合他们。
  • 有人梦想有一个能够完全分离“系统环境”和用户环境的 Debian/Ubuntu 发行版。
  • 有人提到 GoboLinux 可能满足上述需求,应用像 macOS 一样捆绑安装,系统、用户和程序目录之间有严格的区分。
  • 有人作为前 Linux 用户,现在主要使用 macOS 或 iOS,认为 macOS 的基础系统和用户软件的分离非常完美。
  • 有人提到 Debian 稳定版虽然不是不可变的,但变化很小,用户不必担心系统库和工具。
  • 有人推荐使用 Homebrew 作为用户面向的 CLI 应用程序的包管理器,与系统的包管理器分开。
  • 有人建议尝试不可变系统后再批评,因为它们与传统系统不同,需要一些思维转变。
  • 有人分享了使用 Aurora DX 的经验,提到了在不可变系统上进行系统管理任务的不同选项。
  • 有人提到对于不可变系统,如 Android 或 iOS,这种模型在不需要用户干预系统管理任务的情况下是有意义的。
  • 有人强调不可变系统在某些情况下是有意义的,例如在企业环境中管理大量笔记本电脑。

Court rejects Verizon claim that selling location data without consent is legal #

https://arstechnica.com/tech-policy/2025/09/court-rejects-verizon-claim-that-selling-location-data-without-consent-is-legal/

美国第二巡回上诉法院驳回了 Verizon 试图推翻因未经用户同意出售位置数据而被罚款 4690 万美元的企图。去年,联邦通信委员会因 2018 年揭露的违规行为对三大运营商处以罚款。这些公司在三个不同的法院起诉 FCC,结果各异。AT&T 在以保守著称的美国第五巡回上诉法院击败了 FCC,而 T-Mobile 在哥伦比亚特区巡回法院败诉。尽管 FCC 主席布伦丹·卡尔去年投票反对罚款,但当委员会由民主党多数时,他的 FCC 敦促法院支持拜登时代的决定。对 FCC 不利的裁决可能会削弱该机构发出经济处罚的能力。不同巡回法院的不同裁决提高了这些案件被最高法院接手的可能性。

第二巡回法院对 Verizon 的裁决是由三位法官组成的小组一致作出的,它与哥伦比亚特区巡回法院在 T-Mobile 案中的法律结论相同。法院不接受运营商的论点,即罚款违反了其根据第七修正案获得陪审团审判的权利,且位置数据不受 FCC 用于发出处罚的法律保护。法院表示:“我们不同意 Verizon 的观点。”“有争议的客户数据显然符合客户专有网络信息的定义,触发了通信法案的隐私保护。而且,没收令既合理地施加了责任,又保持在罚款上限的范围内。此外,委员会的程序也没有违反第七修正案的陪审团审判保证。事实上,Verizon 有机会在联邦法院进行陪审团审判,但它选择放弃。因此,我们拒绝 Verizon 的请求。”

Verizon 声称,直到 2019 年,它运营了一个“基于位置的服务”计划,出售某些无线客户位置数据的访问权。作为该计划的一部分,Verizon 与“位置信息聚合商”签订合同,这些聚合商收集客户数据并转售给第三方基于位置的服务提供商。Verizon 与两个聚合商 LocationSmart 和 Zumigo 有安排,它们又与 63 个第三方实体签订了合同。Verizon 没有向客户发出通知并获取或验证客户同意,而是“主要通过合同委托这些功能”,法院说。2018 年,《纽约时报》发表了一篇报道,揭露了 Verizon(和其他主要运营商)基于位置的服务计划中的安全漏洞,这个系统及其缺陷被曝光。Securus Technologies 是一家向惩教设施提供通信服务的公司,“滥用该计划,使执法人员能够在客户不知情或未经同意的情况下访问位置数据,只要警官上传一份搜查令或其他法律授权文件”,裁决说。密苏里州的一名警长“在没有任何法律程序的情况下就能访问客户数据”,因为 Securus 没有审查执法人员上传的文件。Verizon 声称通信法案第 222 条不涵盖设备位置数据。


HN 热度 635 points | 评论 78 comments | 作者:nobody9999 | 22 hours ago #

https://news.ycombinator.com/item?id=45206567

  • Verizon 出售用户位置信息未经同意,法律后果不明显,罚款成了 “做生意的成本”。
  • 如果罚款提升到数十亿,或许会产生更强的震慑作用,促使企业遵守法律。
  • GDPR 虽有缺陷,但已对企业处理个人数据的方式产生了重大影响。
  • 认为对大科技公司罚款更多是为了收入,而不是推动合规。
  • 用户同意条款往往是强迫性的,缺乏真实选择,导致用户隐私被侵犯。
  • 对电信公司法律保护过强,使其难以被起诉,影响了用户的维权能力。
  • 企业高管应该对公司行为负责,当前缺乏问责机制。
  • 企业以盈利为重,而不是真正关注用户隐私,导致违法成本低。
  • 对于位置数据的出售,存在着是否会以更隐蔽的方式继续进行的担忧。
  • 法律框架需要更新,以适应现代技术带来的挑战,保障用户隐私。

DOOMscrolling: The Game #

https://ironicsans.ghost.io/doomscrolling-the-game/ 这篇文章讲述了作者 David Friedman 如何受到“doomscrolling”(无休止地滚动负面新闻)的启发,结合经典游戏《Doom》和滚动操作,制作了一个仅通过滚动操作来玩的网页游戏。游戏最初尝试失败,但随着 GPT-5 的出现,作者在两小时内就完成了一个原型。游戏设计参考了《Galaga》的玩法,玩家通过前后移动角色来躲避怪物,而不是左右移动。作者逐步添加了武器升级、火墙追逐、障碍物等元素,以增加游戏的趣味性和挑战性。

为了让游戏更贴近真实的“doomscrolling”体验,作者在游戏中加入了当天的新闻头条作为装饰元素,这些头条以游戏中的牌匾形式出现,虽然不影响游戏玩法,但可能会分散玩家的注意力。新闻头条来自《纽约时报》的 RSS feed,使得游戏成为一个复杂的单源 RSS 阅读器。

在与 AI 合作的过程中,作者遇到了沟通障碍,于是采用了“实验室”方法,通过独立的测试页面来设计背景纹理、牌匾和装饰物,这样可以在游戏中随机化一些视觉元素。作者还尝试了制作预渲染的怪物图像,但最终决定使用 ChatGPT 在“实验室”中设计的简单怪物,因为预渲染的怪物让游戏感觉变差。

最后,作者通过 ChatGPT 创建的带有滑块的“实验室”页面,对牌匾的外观进行了微调,以确保它们与游戏世界融为一体。尽管作者还有想要添加的功能和调整,但由于假期结束,他决定将当前版本 1.0 作为最终版本发布。游戏在移动设备和桌面上都能很好地运行,唯一的区别是设备越高,玩家同时能看到的世界范围越大。


HN 热度 412 points | 评论 94 comments | 作者:jfil | 1 day ago #

https://news.ycombinator.com/item?id=45205232

  • 非编码人员能够构建并发布电脑游戏,显示编程领域正迅速变化。
  • 程序员的职业性质可能从“编写代码以实现功能”转变为“编写代码以实现功能,并且比我亲自编码更好”。
  • 专业摄影师需要与手机摄影区分开来,程序员可能面临类似的转变。
  • 程序员可能将“氛围编码”视为在非专业领域快速创建东西的一种方式。
  • 许多有用的应用程序不适合电子表格,AI 似乎正在以相同的方式打开这些领域。
  • 许多电子表格存在错误,导致依赖它们做出关键决策的结果不准确,AI 也在重复这一模式。
  • 如果需要始终正确工作,专业知识仍然不可替代,但许多人愿意使用存在明显严重错误的工具。
  • 管理和短期股东利益是问题所在,高层管理人员可能会因为短期效果而推动使用 AI,导致 IT 和开发部门承受压力。
  • AI 的狂热支持者似乎是高层管理人员,他们眼中只有金钱。
  • 有人见证了 LLMs 使写作人员变得不必要,导致大量写作和编辑人员被解雇,但后来因为效率降低和员工不满,又重新雇佣了大部分写作人员作为合同工。
  • 有人声称 AI 不会取代工作,因为工作仍然需要专业知识,但有权有钱的人不相信这一点,或者不在乎这一点,可能会为股东带来快速胜利。
  • 可能会出现对这些“以 AI 为先”的公司的大规模清算,人们需要修复他们糟糕的氛围编码的东西,可能会出现“AI 修复者”这样的新工作头衔。
  • 有人提到有一个部门专门支持电子表格和 Power BI 报告,这是他们唯一的工作。
  • 可能需要一个像“SQLSheet”这样的工具,它可以处理更复杂的数据结构,并以自然的方式呈现查看和编辑数据,包括钻取和联接等。
  • 使用这些表格的人对关系数据库和透视表的理解是不同的,他们使用多个表格来分层维度,并完全理解透视表。
  • 透视表不需要人们理解数据规范化和软件维护的良好实践。
  • 透视表更容易展示而不是讲述,它基本上是将表格的一个维度转换,以便理解数据。
  • 有人提到了“Towards Scalable Dataframe Systems”论文,提出了一种数据框的代数,并在第 4.4 节中简洁地描述了透视操作符。
  • 有人提到了 Microsoft Access,但有人认为如果有人愿意投入时间学习设计数据库和构建 UI,他们可能会选择更现代的东西。

Behind the scenes of Bun Install #

https://bun.com/blog/behind-the-scenes-of-bun-install

Bun 是一个性能卓越的包管理工具,其安装速度相较于 npm、pnpm 和 yarn 有显著优势。平均而言,Bun 的安装速度比 npm 快 7 倍,比 pnpm 快 4 倍,比 yarn 快 17 倍。这种速度提升在大型代码库中尤为明显,原本需要数分钟的操作现在只需几秒钟即可完成。Bun 之所以能够实现这样的速度,是因为它将包安装视为系统编程问题,而非 JavaScript 问题。

文章回顾了 2009 年的技术背景,当时 Node.js 刚刚发布,服务器大部分时间都在等待 I/O 操作。Node.js 利用 JavaScript 的事件循环来处理服务器 I/O,使得异步请求在后台进行,而主线程可以立即处理下一个任务。这种架构在磁盘寻址需要 10ms、数据库查询需要 50-200ms、HTTP 请求需要 300ms 以上的时代非常有效。

然而,随着硬件的发展,现代的瓶颈已经不再是 I/O,而是系统调用。每次程序需要操作系统执行操作(如读取文件、打开网络连接、分配内存)时,都会进行系统调用,这会导致 CPU 模式切换,从而产生额外的开销。Bun 通过最小化系统调用和利用操作系统特定的优化来提高安装速度。

文章通过对比不同包管理器在安装 React 及其依赖时产生的系统调用数量,展示了 Bun 的效率。Yarn 产生了超过 400 万次系统调用,npm 接近 100 万次,pnpm 接近 50 万次,而 Bun 仅产生了 16.5 万次。在每次系统调用需要 1000-1500 个 CPU 周期的情况下,Bun 的系统调用效率远高于其他工具。这使得 Bun 在安装速度上具有明显优势。


HN 热度 311 points | 评论 102 comments | 作者:Bogdanp | 11 hours ago #

https://news.ycombinator.com/item?id=45210850

  • 2009 年 M4 Max MacBook 的性能无法进入 TOP500 超算排名。
  • 服务器在处理并发连接时,CPU 利用率通常在 70%-80%,而非 95% 的时间等待 I/O 操作。
  • 文章可能由大型语言模型(LLM)生成,尤其是结论部分。
  • Bun 的安装速度提升并非魔法,而是针对当前硬件优化的结果。
  • Zig 语言虽然年轻,但已在实际生产中得到应用。
  • Zig 语言虽然仍在 0.x 版本,但生态系统和工具已经相当成熟。
  • Linux 的硬链接与 MacOS 的 clonefile 并不完全等同,前者可能会在修改一个“副本”时意外更新所有项目中的文件。
  • Bun 作为一个包管理器,不需要作为运行时环境。
  • Bun 可以处理包含 Node.js C++ 插件的包。
  • Playwright 一年前已支持 Bun。
  • 向后兼容性和可替代性是采用更好/更快工具的主要障碍。
  • Deno 与 Crawlee 不兼容。
  • 应该尝试 Deno,它具有良好的 Node 兼容性。
  • Deno 对 Node API 的覆盖并不全面。
  • Storybook 也是一个不兼容的工具。
  • Node 现在也有内置服务器和 SQLite 功能。
  • Hono 作为一个依赖更少的替代方案。
  • Hono 实际上没有任何依赖。
  • 文章写作风格令人印象深刻,易于理解。
  • Lydia 擅长将复杂概念简单明了地呈现。
  • 文章中可能遗漏了“npm (cached)”的基准测试时间。
  • 文章可能重新利用来解释 io_uring 的重要性。
  • Zig 语言 v0.15 版本更新可能对 Bun 的性能有所提升。

Defeating Nondeterminism in LLM Inference #

https://thinkingmachines.ai/blog/defeating-nondeterminism-in-llm-inference/

这篇文章讨论了大型语言模型(LLM)在推理过程中的非确定性问题,即在不同时间对同一问题的回答可能会有所不同。尽管理论上通过调整温度参数可以使采样过程确定性,但实际上即使在自硬件上使用开源推理库时,采样结果仍然具有非确定性。文章提出了一个常见的假设,即浮点数的非结合性和并行执行可能导致基于哪个并行核心先完成的非确定性。然而,这并不是问题的全貌,因为即使在 GPU 上,对同一数据重复执行相同的矩阵乘法操作总是能得到位对位相等的结果。

文章进一步探讨了浮点数非结合性的问题,解释了为什么即使在相同的硬件和软件环境下,不同的执行顺序可能导致不同的计算结果。浮点数的非结合性意味着在加法操作中,加数的组合顺序可能会影响最终结果,因为浮点数的表示和计算涉及到精度的丢失。这种非结合性是浮点数有用的原因之一,因为它允许在不同的数值规模之间进行动态的精度调整。

文章指出,尽管浮点数的非结合性是导致输出不一致的根本原因,但这并不直接解释为什么浮点数值会以不同的顺序相加,以及如何避免这种情况。要理解 LLM 推理非确定性的真正原因,需要深入研究内核的实现方式。文章最后承诺将揭示“并发 + 浮点”假设的不足之处,揭示 LLM 推理非确定性的真正原因,并解释如何克服非确定性,以在 LLM 推理中获得真正可复现的结果。


HN 热度 306 points | 评论 127 comments | 作者:jxmorris12 | 1 day ago #

https://news.ycombinator.com/item?id=45200925

  • 修复理论上的不确定性并不能解决实际问题,即相同的输入在不同的上下文中会产生不同的结果,以及稍微变化的输入不能得到正确变化的结果。
  • 前置上下文是输入的一部分,如果给定输入提示的输出在任何上下文中都相同,那么上下文就被忽略了。
  • 人们希望即使提示的措辞不同,只要意思相同,输出也不应该改变;先前的上下文不应该以与上下文无关的方式改变响应。
  • 这些要求反映了对 LLMs 的误解,LLMs 就是这样工作的。
  • 用户/AI 领域期望的是一个无论上下文如何都能提供可靠响应的 AI 系统。
  • LLMs 是简单的统计预测器,不是通用的问答机器。
  • 理论上,不同的上下文可以映射到相同的响应,但目前我们缺乏足够强大的工具来塑造这些分布。
  • 注意力机制不能完全忽略输入中的任何标记,这使得 LLM 很难可靠地忽略上下文的任何部分。
  • 自回归解码可能有局限性,可能需要更好的方法。
  • 统计预测器也可以成为通用问答机器,我们的思考至少部分是统计预测。
  • 拒绝调整要求以适应无法满足它们的系统并不是误解系统的表现。
  • 每个系统在现实世界中都有一个可靠性因素。
  • 可以通过 LLM 重写提示,标准化措辞,使得两个意思相同的提示得到相同的响应。
  • 用户在实际场景中不希望看到 LLM 在相同会话中对同一个问题给出完全相同的回应,即使尝试通过更多上下文来优化结果。
  • RAG 结合事实数据库可以提高一致性,LLM 会查询知识库而不是依赖基础模型中的内容。
  • 如果输入和上下文生成了一些随机种子或哈希,那么就可以确定性地得到结果。
  • 如果前置上下文不导致不同的结果,那么就可以简单地丢弃上下文,这不是我们期望工具或智能工作的方式。
  • 当上下文自动生成并可能包含无关数据时,LLM 需要不被无关事实分散注意力。

GrapheneOS and forensic extraction of data (2024) #

https://discuss.grapheneos.org/d/13107-grapheneos-and-forensic-extraction-of-data

GrapheneOS 是一个基于 Android 的开源移动操作系统,专注于隐私和安全性。近期,有人通过社交媒体平台对 GrapheneOS 发起攻击,错误地将基于同意的数据提取描述为 GrapheneOS 被破解。文章旨在澄清这一误解,并解释基于同意的数据提取的含义。

数字取证是用于法律程序中收集证据的过程,涉及检查数字设备以识别、保存、分析和呈现数字证据。然而,数字取证有时也会被滥用,例如针对调查记者或政治活动家进行隐私侵犯、恐吓或骚扰等。GrapheneOS 开发者致力于保护手机免受篡改,并使未经用户同意的数据提取尽可能困难。

Cellebrite 是数字取证领域的领先以色列公司,其主要产品 UFED 用于从移动设备中提取和分析数据。Cellebrite 将设备销售给全球政府,尽管主要用于合法目的,但也包括向威权政权销售。数字取证工具首先尝试从移动设备中提取数据,如果手机被锁定,存在几种提取数据的方法。

第一种是基于同意的数据提取,即用户自愿解锁设备或提供 PIN 码或密码,然后取证工具从解锁的设备中提取数据。如果用户不愿意提供 PIN 码或密码或解锁手机,则存在两种数字取证检查方法:尝试破解移动设备以解锁并提取数据,或者尝试猜测 PIN 码或密码以解锁设备并提取数据。

从数字取证的角度来看,手机基本上可以处于两种状态:BFU(首次解锁前)和 AFU(首次解锁后)。BFU 设备大多包含加密数据,而 AFU 设备在内部存储中包含解密密钥,使得大多数数据对取证分析可访问。Cellebrite 声称其工具可以成功利用市场上的每个非 GrapheneOS Android 设备,无论是 AFU 还是 BFU 状态。对于 iOS 设备,Cellebrite 也拥有类似的能力,尽管不是全部,但许多设备都支持。只有最新的设备和操作系统版本尚未完全支持。


HN 热度 288 points | 评论 160 comments | 作者:SoKamil | 11 hours ago #

https://news.ycombinator.com/item?id=45210910

  • 政府的好坏取决于人民的观点,不能简单地将数据交给政府,因为政府可能会滥用数据。
  • 政府未能满足人民需求时,就构成了坏政府。
  • 每个政府都存在问题,因为没有任何政府能 100% 解决所有问题。
  • 人们需要医疗保健,但资源有限,政府必须在不同需求之间做出选择。
  • 税收不是无限的,提高税率最终会导致税收减少。
  • 自 1980 年代以来,我们一直在减少税收。
  • 税收资源有限,政府必须分配这些资源,不能无限制地在任何“好”项目上花费。
  • 税收资源有限,政府必须在有限资源中做出选择,不能无限制地支出。
  • 税收并没有因为过度征税而枯竭,而是财富被少数人囤积。
  • 税收并没有持续减少,税收占 GDP 的百分比自二战结束以来一直保持稳定。

Gregg Kellogg has died #

https://lists.w3.org/Archives/Public/public-json-ld-wg/2025Sep/0012.html

W3C 团队成员 Gregg Kellogg 于上周六去世,这是一个令人悲伤的消息。Gregg 一直公开谈论自己的健康状况。作为 W3C 特邀专家,Gregg 多年来为 W3C 做出了巨大贡献,最近担任 JSON-LD 工作组的联合主席,并且是多个数据相关社区小组的主席。他非常珍视在团队中找到的能量、才华和友谊,并为成为这样一个富有创造力的社区的一部分而感到自豪。

在过去的 13 年里,Gregg 作为 9 项已发布建议的共同编辑者,以及十几项其他 W3C 规范(CSV2RDF 套件、RDF 1.2 套件的大部分、JSON-LD 套件的 1.0 和 1.1 版本、RCH 等)的作者。令人印象深刻的是,Gregg 还为所有这些规范(以及更多)提供了开源实现,以及相关工作组仍在使用的众多测试套件。他在 JSON-LD 工作组的参与对这项 W3C 技术的巨大成功起到了关键作用。

Gregg 不仅因其贡献而受到怀念,更因其友好和善良的性格而被人们怀念。如果有人想要向 Gregg Kellogg 致敬,请联系 JSON-LD 工作组的工作人员 Pierre-Antoine Champin,因为该小组目前正在制定计划。


HN 热度 286 points | 评论 37 comments | 作者:daenney | 12 hours ago #

https://news.ycombinator.com/item?id=45210564

  • Gregg Kellogg 面对生命终结时的平静和感恩令人敬佩
  • 人生中最重要的目标是爱、家庭和个人及职业上的快乐
  • 工作不应该成为生活的全部,家庭和个人目标更为重要
  • 工作占据了人生的三分之一,应当是能享受并为之自豪的事情
  • 社会普遍未能让人在工作中找到快乐,工作常常被优化以追求效率和利润
  • 专业上的快乐并非来自金钱,而是来自于创造自己引以为傲的工作、尽最大努力或对他人生活产生影响
  • 激情、动力和存在主义的满足可以采取多种形式,其中“职业快乐”可以是其中之一
  • 人们可以选择让自己快乐的生活方式,无论是专注于家庭还是职业发展
  • 享受工作和照顾家庭可以并行,找到这样的工作值得努力
  • 每个人可以选择什么让自己快乐,批评已故人士的生活选择可能反映了批评者自身的快乐来源
  • 从 Gregg Kellogg 的生活经验中学习,优先考虑爱的关系而非工作
  • 人们在生命终结时的遗憾可以作为我们如何更充实生活的参考

Seoul says US must fix its visa system if it wants Korea’s investments #

https://english.hani.co.kr/arti/english_edition/e_international/1218025.html

韩国政府决定与美国政府就改善在美国的韩国人签证系统和防止工作场所移民突袭事件再次发生进行讨论。此前,韩国公民在乔治亚州的一家电池厂被捕并被拘留。韩国政治圈内外出现了要求美国系统性改进的呼声,同时要求美国总统唐纳德·特朗普和美国政府正式道歉。

韩国总统办公室的政策负责人金永洙(Kim Yong-beom)表示,韩国政府和企业十多年来一直在积极推动 E-4 签证(针对技术熟练的韩国工人的签证配额),但由于反移民情绪,提出这一措施的立法者数量比十年前有所减少。韩国总统李在明(Lee Jae Myung)在内阁会议上表示失望,并强调需要保持“相互信任和联盟精神”。他希望不会再有不公平侵犯韩国人民和企业活动的行为,并强调这些活动对韩国和美国共同发展的贡献。韩国民主党议员金英培(Kim Young-bae)表示,现在韩国作为投资者拥有权力,美国必须回应韩国的要求。

四名来自进步小党金博党的议员,包括党鞭尹钟燮(Yoon Jong-oh),访问了首尔钟路区的美国大使馆,向美国临时代办约瑟夫·云(Joseph Yun)递交了要求美国政府正式道歉的信件。信中指出,将韩国工人当作重罪犯对待、用链条锁住并拘留,是对人权的明显侵犯,也是对整个韩国人民的侮辱。


HN 热度 280 points | 评论 218 comments | 作者:garbawarb | 22 hours ago #

https://news.ycombinator.com/item?id=45206805

  • 将韩国工程师戴镣铐示众的做法不明智,不利于政治和商业关系
  • 美国的签证政策复杂,容易让人陷入法律问题,影响韩国对美投资
  • 这种做法是典型的美国帝国主义行为,现在连美国公民也开始感受到
  • 通过指责外国人来赢得选票是政治上的好策略,尽管可能带来经济上的负面影响
  • 韩国可能会因此更倾向于与中国建立更紧密的关系
  • 公开羞辱被捕者是不必要的,应该有更好的处理方式
  • 这种做法对外交政策不利,可能造成不必要的痛苦和盟友的反感
  • 特朗普政府可能因为这种强硬的移民政策而在国内获得支持,但会损害与盟友的关系
  • 有关韩国工人违法的指控可能并不准确,信息来源值得怀疑
  • 特朗普可能同时受到中国和俄罗斯的影响,甚至还有卡塔尔
  • 特朗普政府的行动可能更多是出于政治表演,而非实际的法律执行需要
  • 这种做法可能会对美国的投资和国际合作产生负面影响

Hacker News 精彩评论及翻译 #

Charlie Kirk killed at event in Utah #

https://news.ycombinator.com/item?id=45203452

All: if you can’t respond in a non-violent way, please don’t post until you can.

By non-violent I mean not celebrating violence nor excusing it, but also more than that: I mean metabolizing the violence you feel in yourself, until you no longer have a need to express it aggressively.

The feelings we all have about violence are strong and fully human and I’m not judging them. I believe it’s our responsibility to each carry our own share of these feelings, rather than firing them at others, including in the petty forms that aggression takes on an internet forum.

If you don’t share that belief, that’s fine, but we do need you to follow the site guidelines when commenting here, and they certainly cover the above request. So if you’re going to comment, please make sure you’re familiar with and following them: https://news.ycombinator.com/newsguidelines.html.

dang

各位:如果您无法以非暴力的方式回应,请在能够做到之前不要发帖。

我所说的非暴力,不仅指不庆祝暴力、不为其辩护,更深层的意思是:消化掉您内心感受到的暴力情绪,直到您不再有以攻击性方式表达它的需求。

我们每个人对暴力产生的感受都非常强烈,这是完全人之常情,我并不评判这些感受。我相信,我们每个人都有责任承担起自己对这些情绪的份额,而不是把它们发泄到别人身上——无论是在网络上,这种攻击性会以多么琐碎的形式表现出来。

如果您不认同这一信念,那没关系,但您在发表评论时确实需要遵守本站的指导原则,而这些原则肯定涵盖了上述要求。因此,如果您打算发表评论,请确保您已了解并遵守这些原则:https://news.ycombinator.com/newsguidelines.html。


Charlie Kirk killed at event in Utah #

https://news.ycombinator.com/item?id=45203460

History books can tell you facts that happened, but they can never truly tell you how it feels.

I feel we’re riding a knife’s edge and there’s a hurricane brewing in the gulf of absurdity.

====

Incidentally, I feel like this is why it is so hard to actually learn from history. You can read about the 1918 ‘Spanish’ Flu, but you think “we’re smarter now”. etc.

csours

历史书可以告诉你发生过的事实,但它们永远无法真正让你感同身受。

我感觉我们正行走在刀锋之上,而一场飓风正在荒诞的深渊中酝酿。

====

顺便说一句,我觉得这就是为什么真正从历史中吸取教训是如此困难。你可以读到关于1918年‘西班牙流感’的记载,但你心想:“我们现在更聪明了”。


Charlie Kirk killed at event in Utah #

https://news.ycombinator.com/item?id=45204299

But we have to make an effort in the United States. We have to make an effort to understand, to get beyond, or go beyond these rather difficult times.

My favorite poem, my – my favorite poet was Aeschylus. And he once wrote:

“Even in our sleep, pain which cannot forget falls drop by drop upon the heart, until, in our own despair, against our will, comes wisdom through the awful grace of God.”

What we need in the United States is not division; what we need in the United States is not hatred; what we need in the United States is not violence and lawlessness, but is love, and wisdom, and compassion toward one another, and a feeling of justice toward those who still suffer within our country …

We can do well in this country. We will have difficult times. We’ve had difficult times in the past – and we will have difficult times in the future. It is not the end of violence; it is not the end of lawlessness; and it’s not the end of disorder.

But the vast majority of [people] in this country want to live together, want to improve the quality of our life, and want justice for all human beings that abide in our land.

And let’s dedicate ourselves to what the Greeks wrote so many years ago: to tame the savageness of man and make gentle the life of this world. Let us dedicate ourselves to that, and say a prayer for our country and for our people.

Bobby Kennedy, 1968

https://www.youtube.com/watch?v=A2kWIa8wSC0

themgt

但是我们必须在美国做出努力。我们必须付出努力去理解,去超越,或去度过这些非常艰难的时期。

我最喜欢的诗,我最——我最喜欢的诗人是埃斯库罗斯。他曾写道:

“即使在睡梦中,那无法遗忘的痛苦仍会一滴一滴地滴落在心上,直到在我们自己的绝望中,违抗着我们的意志,借由上帝那可怕的恩典,智慧降临。”

美国所需要的不是分裂;美国所需要的不是仇恨;美国所需要的不是暴力和无法无天,而是爱,是智慧,是彼此之间的同情,以及对于那些在我国境内仍受苦难的人们的正义感……

我们这个国家可以做得很好。我们将会经历艰难的时期。我们在过去有过艰难的时期——而且我们将来也会经历艰难的时期。这并非暴行的终结;这并非无法无天的终结;也并非混乱的终结。

但是这个国家的绝大多数人想要共同生活,想要改善我们生活的质量,并且想要为所有生活在我们土地上的人们伸张正义。

让我们致力于希腊人许多年前所写下的箴言:驯服人类的野蛮,让这个世界的生活变得温和。让我们致力于这个目标,为我们的国家和人民祈祷。

罗伯特·肯尼迪,1968年


2025 09 11 HackerNews

2025-09-11 07:08:40

2025-09-11 Hacker News Top Stories #

  1. 苹果推出超薄设计的iPhone Air,配备钛金属框架、Ceramic Shield保护和高性能芯片,提供出色的耐用性和续航表现。
  2. 作者通过内存修改将《动物森友会》与云端AI对话系统结合,实现了游戏与外部AI的实时交互。
  3. 一位家长对博物馆过度依赖数字化展览表示失望,呼吁提供更多真实体验的互动展览。
  4. 西班牙蓬特韦德拉通过限制车辆通行,成功减少交通拥堵和空气污染,提升了行人友好型城市环境。
  5. Modos公司推出刷新率达75赫兹的电子纸显示屏,挑战LCD屏幕的显示领域,适用于开发者和爱好者。
  6. 苹果推出内存完整性强制技术,结合硬件和软件提升设备内存安全性,防止恶意软件攻击。
  7. 新型免疫疗法药物2141-V11在临床试验中显示显著疗效,部分患者肿瘤缩小或消失,为癌症治疗带来希望。
  8. Supabase将OrioleDB专利免费提供给Postgres社区,提升Postgres的性能和可扩展性,计划整合至Postgres源代码树。
  9. 网络安全在保护个人和企业数据方面至关重要,需通过多层防御措施降低恶意攻击风险。
  10. 文章批评“你不需要记住任何东西”这一观念,强调扎实的基础知识和批判性思维在信息时代的重要性。

iPhone Air #

https://www.apple.com/newsroom/2025/09/introducing-iphone-air-a-powerful-new-iphone-with-a-breakthrough-design/

苹果公司于 2025 年 9 月 9 日推出了全新的 iPhone Air,这是一款具有突破性设计的超薄 iPhone。iPhone Air 以其 5.6 毫米的厚度成为史上最薄的 iPhone,同时拥有轻巧的机身和 6.5 英寸的 Super Retina XDR 显示屏,支持高达 120Hz 的 ProMotion 技术。新款 iPhone 采用突破性的钛金属设计,既优雅又坚固,内部结构创新,使得设备能够提供最新的 iPhone 体验。

iPhone Air 的背面采用 Ceramic Shield 保护,前盖使用 Ceramic Shield 2,提供 3 倍于以往任何智能手机玻璃的抗刮擦性能。这是 Ceramic Shield 首次用于 iPhone 的背面,包括凸起部分,其抗裂性能是前代型号后玻璃的 4 倍。加之坚固的钛金属框架,iPhone Air 的耐用性超过了以往任何 iPhone。

iPhone Air 搭载了苹果设计的 A19 Pro、N1 和 C1X 芯片,成为史上最节能的 iPhone。结合重新设计的内部结构和软件优化,iPhone Air 拥有出色的全天候电池续航。48MP 的 Fusion 主摄像头提供了相当于四个镜头的卓越图像质量,而创新的 18MP Center Stage 前置摄像头则将自拍提升到新水平。

iPhone Air 提供四种精美的配色:太空黑、云白、浅金和天蓝。预购将于 9 月 12 日开始,9 月 19 日开始发售。苹果硬件工程高级副总裁 John Ternus 表示,iPhone Air 的设计和工程的巨大飞跃是通过苹果的创新实现的,尤其是苹果硅芯片。iPhone Air 作为 iPhone 家族的新成员,提供了用户喜爱的先进功能,如专业性能、多功能的 48MP Fusion 摄像头系统、创新的 Center Stage 前置摄像头和出色的全天候电池续航,所有这些都集成在一个突破性的设计中,让人感觉就像是握着未来。


HN 热度 869 points | 评论 1824 comments | 作者:excerionsforte | 1 day ago #

https://news.ycombinator.com/item?id=45186015

  • A19 Pro GPU 的 matmul 加速功能使得未来 Macs 非常适合运行本地大型语言模型(LLMs)
  • iPhone Air 超薄设计、Airpods 3 的 2 倍降噪和实时翻译、新手表的高血压检测以及 iPhone 17 Pro 的大胆橙色令人印象深刻
  • 许多人使用手机壳,因此手机颜色并不重要
  • 透明手机壳可以展示手机颜色
  • 许多人不会购买每一代新手机,颜色变化是新旧款的区分标志
  • 手机颜色对他们来说并不重要,因为他们总是使用手机壳
  • A19 支持 MTE,对喜欢安全或查找代码中 bug 的人来说是一个强大功能
  • MIE 是增强型 MTE 和一些软件分配器改进的组合
  • Pixel 8 在 2023 年已经推出,与 Graphene 中的 hardened_malloc 和 ASLR 相比,难以确定哪个更好
  • 手表 10 和 11 系列都声称可以检测高血压,但实际测量和报告结果有所不同

I replaced Animal Crossing’s dialogue with a live LLM by hacking GameCube memory #

https://joshfonseca.com/blogs/animal-crossing-llm

这篇文章讲述了作者如何将《动物森友会》这款 2001 年的 GameCube 游戏与现代的云端 AI 对话系统相结合,让游戏中的对话变得更加生动和现代化。作者首先遇到了与游戏通信的难题,因为 GameCube 没有互联网连接,且设计为离线游戏。幸运的是,他发现了一个由《动物森友会》反编译社区完成的巨大努力,这使得他能够直接阅读 C 代码而不是 PowerPC 汇编语言。

作者通过研究反编译的代码,找到了对话系统的核心文件 m_message.c,并成功地劫持了函数调用,将游戏中的文本替换为自己的字符串。但是,如何实时地将外部 AI 的数据导入游戏成为了新的挑战。作者最初考虑添加网络调用,但这需要为 GameCube 从头开始编写整个网络栈,这显然是不可行的。后来,他尝试使用 Dolphin 模拟器的特性将数据写入主机文件,但未能成功。

最终,作者采用了一种经典的游戏修改技术:通过共享内存进行进程间通信(IPC)。他将 GameCube 的 RAM 中的特定部分作为“邮箱”,外部的 Python 脚本可以直接写入该内存地址,游戏可以从中读取数据。为了实现这一点,作者需要找到活跃对话文本和当前说话者名称的确切稳定内存地址,这需要他成为一个“内存考古学家”。

作者编写了自己的内存扫描器 Python 脚本,通过与村民对话、冻结模拟器、扫描 RAM、交叉引用等步骤,最终确定了关键地址:0x8129A3EA 用于说话者名称,0x81298360 用于对话缓冲区。这样,他就可以可靠地读取谁在说话,并且更重要的是,将数据写回到对话框中。

尽管 GameCube 有官方的宽带适配器(BBA),但《动物森友会》没有网络原语、套接字或任何游戏层协议来使用它。使用 BBA 将需要构建一个小型网络栈并修改游戏以调用它,这涉及到在代码库中从未预期网络存在的复杂操作。

作者选择了 RAM 邮箱方案,因为它是确定性的,不需要任何内核/驱动工作,并且完全在模拟器边界内,不需要二进制网络栈。尽管如此,BBA shim 也是完全可能的,并且是一个有趣的未来项目,可以通过 Swiss + 自制软件在真实硬件上实现。

最后,作者面临了一个新的挑战:游戏不识别纯文本,而是使用自己的编码语言,充满了控制代码。这些控制代码控制着文本颜色、暂停、音效、角色情感,甚至是对话的结束。如果不发送控制代码,游戏就会永远等待一个永远不会到来的命令,这就是游戏冻结的原因。幸运的是,反编译社区已经记录了这些代码的大部分,作者只需要构建工具来使用它们。他编写了 Python 中的编码器和解码器,解码器可以读取原始游戏内存并将其翻译成人类可读的格式,编码器可以将带有自定义标签的文本转换回游戏所需的确切字节序列。


HN 热度 803 points | 评论 175 comments | 作者:vuciv | 20 hours ago #

https://news.ycombinator.com/item?id=45192655

  • 通过 LLM 和强大的工具,即使不懂逆向工程也能进行游戏黑客攻击
  • 游戏机的网络功能通过外设实现,尽管使用不多
  • LLM 能够回答问题,并且代码输入后能被 LLM 处理
  • 通过输入大数字测试计算器的能力
  • 利用自然对数和欧拉公式进行数学游戏
  • LLM 的工作方式存在误解
  • 村民想要推翻 Tom Nook,因为他通过债务控制整个村庄
  • Tom Nook 的贷款没有利息,也不会被取消抵押品赎回权
  • Tom Nook 不需要首付,但也无法拒绝他的贷款
  • 与 Tom Nook 的贷款相比,现实生活中在夏威夷捕鱼和捉甲虫不会赚钱
  • 通过修改游戏代码可以在 Switch 模拟器上实现类似的功能
  • 需要对 Switch 的 Animal Crossing 游戏代码进行反编译
  • 通过 Cheat Engine 和 LayeredFS 可以在模拟器上修改游戏
  • 在美国,知识产权问题可能导致自我审查,担心被起诉
  • 写“emulator”和“emul*tor”的风险是一样的,自我审查并不能提供足够的保护
  • 通过星号隐藏关键词并不能有效避免法律风险,可能会给人虚假的安全感

I didn’t bring my son to a museum to look at screens #

https://sethpurcell.com/writing/screens-in-museums/

这篇文章是一位家长对费城富兰克林研究所(The Franklin Institute,简称 TFI)的访问体验的反思。作者回忆了自己在 80 年代作为孩子时对 TFI 的深刻印象,那里的互动展览让他充满了好奇和探索的乐趣。然而,当他带着六岁的儿子重访 TFI 时,却发现展览中充斥着屏幕和视频游戏,这让他感到失望。

文章指出,TFI 的一些展览如“设计你自己的火箭”等,只是触摸屏上的简单游戏,缺乏真正的互动和教育价值。尽管周围有一些与太空相关的文物和宇航服展示,但这些展品只能远观,不能触摸或操作。作者认为,博物馆应该提供真实的体验,让参观者用自己的感官去感受和学习,而不是通过屏幕。

文章还提到,TFI 的一些物理互动展览,如四层楼高的傅科摆和体育区展览,虽然被挤在不太显眼的地方,但仍然吸引了很多孩子。这些展览不需要阅读任何说明,就能让孩子们体验到科学的魅力。然而,作者发现一些物理展览因为维护不善而损坏或无法使用,这让他感到沮丧,因为他们为这次参观支付了近 90 美元。

作者批评博物馆将预算和空间用于屏幕展览,而不是真正的、有形的、互动的科学展览。他认为,博物馆应该抵制数字化垃圾的潮流,为孩子们提供远离屏幕、连接现实世界的机会。文章最后呼吁 TFI 和其他博物馆应该淘汰所有的触摸屏展览,将资源重新投入到能够激发孩子们好奇心和探索欲的实体互动展览中。


HN 热度 694 points | 评论 246 comments | 作者:arch_deluxe | 7 hours ago #

https://news.ycombinator.com/item?id=45199931

  • 博物馆资金有限,运营成本高,常依赖捐赠和补贴。
  • 策展人更注重展品的保护而非展示,且可能缺乏数字技术知识。
  • 博物馆需通过公开招标程序,导致结果不尽人意。
  • 有人偏好屏幕提供的信息,认为比传统展示方式更丰富。
  • 3D 打印复制品在某些展览中可能是个不错的选择。
  • 展品的保护是博物馆工作的关键部分,展品不仅为现在也为未来保存。
  • 科学博物馆与传统博物馆不同,保护的重要性较低。
  • 策展人倾向于根据自己的学术参考点制作展览和展示,与公众兴趣有限的交叉。
  • 博物馆的价值在于公众是否能看到展品,否则保存的意义何在。
  • 博物馆后台充满了无法负担保护和修复的物品,逐渐在无人能看到的情况下消失。
  • 有人主张将无法保存的物品卖给出价最高的人,以便至少有人能享受它,并用收益保护其他东西。
  • 有人认为,如果只能少数人体验,那么它就几乎不存在。
  • 有人认为,如果博物馆接受公共资金却将历史或自然锁起来,只供富人或精英享受,那么他们不愿意为此付费。

Pontevedra, Spain declares its entire urban area a “reduced traffic zone” #

https://www.greeneuropeanjournal.eu/made-for-people-not-cars-reclaiming-european-cities/

在欧洲,随着乘用车数量的增加,城市面临着空气污染、交通事故和公共空间丧失的挑战。西班牙的蓬特韦德拉市通过优先考虑居民而非汽车的城市规划,成功克服了这些挑战,超越了国家空气质量标准,创造了更安全的街道。该市市长米格尔·安索·费尔南德斯·洛雷斯认为,关键在于一个不完全禁止私家车的城市模型。

蓬特韦德拉市在 1999 年市长洛雷斯上任后,开始实施超越车辆管制的政策,目标是为民众恢复公共空间。洛雷斯认为,当我们重新夺回公共空间并确保普遍可及性时,人们就有了自主权。他所在的政党是加利西亚民族主义集团(Bloque Nacionalista Galego, BNG),目前在蓬特韦德拉市的长期执政在当地是一个例外。

2022 年 12 月,西班牙政府批准了一项皇家法令,要求所有超过 5 万居民的市镇必须有一个低排放区(LEZ)。为了改善公民的空气质量并减少碳排放,法令建议采取措施,如根据环保标签限制污染更严重的车辆进入,并引入交通限制区域收取入场费。

欧盟已经启动了多项倡议,鼓励城市变得更清洁、更健康。其中最引人注目的是绿色城市协议,邀请 2 万居民以上的城镇承诺在空气质量、水质、噪音减少、生物多样性保护以及向循环经济迈进等方面进行改善。气候中性和智能城市欧盟使命支持欧盟 100 个城市和与地平线欧洲计划相关的 12 个国家的城市,目标是开发一个试点项目,到 2030 年实现气候中立。这些城市测试的解决方案和模型可以作为榜样,帮助所有欧洲城市到 2050 年跟进,届时欧盟承诺实现净零温室气体排放。

尽管有自上而下和自下而上的倡议,欧洲大陆的汽车数量仍在增长:2024 年,欧盟的汽车数量超过了 2.59 亿辆,比 2019 年增长了 5.9%。汽车拥有率最高的国家是意大利(每千居民 701 辆),其次是卢森堡(670 辆)和芬兰(666 辆)。西班牙的比率是 544(尽管这是基于临时数据),低于欧盟平均的 576。

与此同时,在蓬特韦德拉,近年来汽车数量一直在减少。该市还引入了限制汽车流通目的和调整允许流通时间的法规。市长提到,他任内将行人优先于车辆的最佳例子之一是蓬特韦德拉一个主要广场的转变。普拉扎·德·埃斯帕尼亚广场现在是一个热闹的中心,任何夏日都有步行者和圣詹姆斯之路的朝圣者聚集。洛雷斯指出,1990 年代末,每天约有 26,000 辆汽车经过这个广场。令人惊讶的是,这些车辆中的许多只是试图到达城外的目的地,如 30 公里外的圣克森霍海滩,以及市长的出生地。但现在,整个城市都不允许过境交通和绕圈寻找停车位,洛雷斯表示,每天只有 800 辆汽车到达广场。他解释说,禁止过境交通并将其转移到环城路的决定,导致了 40% 的减少。


HN 热度 603 points | 评论 765 comments | 作者:robtherobber | 13 hours ago #

https://news.ycombinator.com/item?id=45195520

  • Pontevedra 将整个城市区域设为“低交通区”的做法令人惊叹,城市中充满了几乎只供步行的宽阔街道和无车公共空间。
  • 美国公共空间大多优先考虑汽车而非人,而像亚特兰大的 Beltline 这样的无车体验区域却非常受欢迎。
  • 公共交通在人们心中的地位会因为遭遇乞讨或暴力事件而大打折扣,需要一定的社会行为默契。
  • 公共交通的吸引力会因为频繁的不良行为而降低,如果暴力事件频发,人们会倾向于选择郊区生活。
  • 城市主义支持者痛恨在汽车中度过的时间,但如果犯罪率高和学校功能失调,他们会选择其他居住地。
  • 驾驶行为同样存在问题,比如司机在开车时使用手机,以及超速和危险驾驶等。
  • 人们对于步行友好的城市有巨大需求,即使存在乞讨者,人们仍然愿意使用公共交通和步行区域。
  • 纽约市犯罪率极低,学校也很棒,但并非所有人都有能力住在像切尔西或上西区这样的地方。

E-paper display reaches the realm of LCD screens #

https://spectrum.ieee.org/e-paper-display-modos

Modos 公司推出了一款刷新率高达 75 赫兹的电子纸显示屏,与基本的液晶显示屏相媲美。这款名为 Modos Paper Monitor 和 Dev Kit 的开发套件结合了标准的电子纸面板和开源的基于 FPGA 的显示控制器,现在正在 Crowd Supply 上进行众筹。该套件为爱好者和开发者提供了一个完整的包(包括电子纸显示屏、显示驱动器和硬件适配器),并且可以用于尝试不同的电子纸显示屏。

大多数电子纸面板的刷新率在 10 赫兹或更低,而 Modos 能够在 13 英寸的电子纸面板上达到 75 赫兹的刷新率,分辨率为 1600×1200。提高刷新率还减少了延迟,这对于需要低延迟的应用场景,如电脑或平板显示屏,是一个关键点。Modos 的 75 赫兹刷新率是电子纸显示屏中最高的,但可能不是最关键的创新。Modos 的秘密武器是 Caster,一个开源的电子纸显示屏控制器,兼容多种电子纸面板。Caster 与传统的电子纸控制器不同,它对每个像素进行单独管理,而不是整个面板。

Modos 还提供了一个用 C 语言编写的应用程序编程接口(API),允许应用程序动态选择显示驱动模式。代码和 Caster、Glider 以及 API 的原理图都是开源的,并可在 GitHub 上找到。Modos 的众筹活动预计将在 9 月 18 日结束,预计订单将在明年 1 月发货。


HN 热度 593 points | 评论 189 comments | 作者:rbanffy | 1 day ago #

https://news.ycombinator.com/item?id=45185756

  • Eink 屏幕在快速刷新时功耗较高,LCD 在高刷新率下更节能
  • Eink 屏幕在断电后能保持显示内容,适合不频繁更新的场景
  • 通过优化可以减少 Eink 屏幕的功耗,例如只更新屏幕的一部分
  • 定制的 FPGA 控制器可以有效地控制 Eink 屏幕的电压
  • Eink 屏幕在快速更新时功耗可能达到 20W 以上,但优化后可以降低
  • 项目提供了一个基础,可以用于开发具有可变刷新率的 Eink 控制器
  • Eink 屏幕适合阅读和文档编辑,不适合视频游戏或观看视频
  • Eink 屏幕是非自发光显示,与 LCD 相比在相同环境光照下对比度更高
  • 尽管 Eink 对比度不如普通 LCD,但在阅读时感知对比度更高
  • 部分用户愿意为高刷新率的 Eink 显示器支付额外成本,即使功耗高于普通 LCD 显示器

Memory Integrity Enforcement #

https://security.apple.com/blog/memory-integrity-enforcement/

苹果安全研究团队在其博客上宣布了一项名为“Memory Integrity Enforcement(MIE)”的重大创新,这是苹果设备内存安全保护的一项突破性进展。MIE 结合了苹果硅硬件的独特优势和先进的操作系统安全功能,为苹果设备提供了行业首创的、始终开启的内存安全保护,且不影响设备性能。

苹果表示,iPhone 从未遭受过成功的、大规模的恶意软件攻击,但在野外观察到的 iOS 系统级攻击主要来自雇佣间谍软件,这类软件比普通网络犯罪活动和消费者恶意软件要复杂得多,通常与国家行为者有关,利用成本高达数百万美元的漏洞链来攻击特定个体及其设备。尽管大多数用户永远不会成为此类攻击的目标,但这些漏洞链展示了当时最昂贵、最复杂、最先进的攻击能力,因此值得研究,以保护 iPhone 用户免受最复杂威胁的侵害。

苹果通过使用安全语言开发和大规模部署缓解措施来提高内存安全。例如,苹果创建了 Swift,这是一种易于使用、内存安全的编程语言,用于新代码和目标组件的重写。在 iOS 15 中,苹果引入了 kalloc_type,这是一个安全的内核内存分配器,随后在 iOS 17 中引入了用户级对应物 xzone malloc。这些安全的分配器利用对分配类型或目的的了解,以一种使大多数内存损坏漏洞难以利用的方式组织内存。

2018 年,苹果在 A12 Bionic 芯片中首次部署了指针认证码(PAC),以保护内存损坏情况下的代码流完整性。PAC 的成功证明了软硬件安全深度集成是解决一些最大安全挑战的关键。在 PAC 的基础上,苹果开始设计和评估工作,以找到将复杂的内存安全功能直接构建到苹果硅中最有效的方法。

2019 年,Arm 发布了内存标记扩展(MTE)规范,作为硬件帮助发现内存损坏错误的一种工具。MTE 本质上是一个内存标记和标记检查系统,每个内存分配都使用一个秘密进行标记;硬件保证只有在请求包含正确的秘密时才授予对内存的访问请求。如果秘密不匹配,应用程序崩溃,事件被记录。这允许开发者立即识别内存损坏错误。

苹果进行了深入的评估和研究,以确定 MTE 是否符合苹果对硬件辅助内存安全的目标。分析发现,当作为实时防御措施使用时,原始 Arm MTE 版本存在弱点,苹果与 Arm 合作解决了这些问题,并在 2022 年发布了新的增强型内存标记扩展(EMTE)规范。更重要的是,分析表明,尽管 EMTE 在规范上有很大的潜力,但通过深度的硬件和操作系统支持的严格实施,可以产生突破性的新安全机制。

MIE 建立在苹果安全内存分配器的基础上,结合了同步模式下的 EMTE,并得到了广泛的标签保密性执行策略的支持。MIE 内置于苹果硬件和软件中,所有型号的 iPhone 17 和 iPhone Air 都提供了无与伦比的、始终开启的内存安全保护,同时保持了用户期望的功率和性能。此外,苹果还在 Xcode 中向所有开发者提供了 EMTE,作为今年早些时候在 WWDC 上发布的新增强安全功能的一部分。


HN 热度 482 points | 评论 225 comments | 作者:circuit | 1 day ago #

https://news.ycombinator.com/item?id=45186265

  • Memory Integrity Enforcement(MIE)极大地减少了攻击者可利用的漏洞利用策略,即使存在大量内存损坏漏洞,MIE 也能在根本上切断许多漏洞利用步骤。
  • 一些雇佣间谍软件的经济性依赖于可互换的漏洞链,直接针对这一特性的对策是有趣的。
  • 苹果可能不会采用 CHERI(Capability Hardware Enhanced RISC-V)这样的全能力基础内存安全技术,而是通过 MIE 等技术实现类似的保护效果。
  • CHERI 需要在编译和链接层面进行大量工作,对微架构进行巨大改变,而 MIE/MTE 可以在运行时通过分配器实现,不需要完整的并行内存架构。
  • 苹果已经控制了整个 SoC,并且拥有 ARM 架构许可证,可以轻松地在硬件方面进行所需的更改。
  • MTE 和 CHERI 非常不同,可能很难甚至不可能同时实现两者,因为可能没有足够的备用位来同时支持两者。
  • 苹果可能会选择实施较不繁重的技术(如 MIE/MTE),同时计划在未来用更全面的解决方案(如 CHERI)替换它。
  • CHERI 是确定性的,理论上更优越,而 MTE 的内存保护是概率性的,攻击者需要猜测 16 个标签值中的一个。
  • CHERI 不需要第二总线,它依赖于存储在具有特定标签位的主存储器中的能力,而标签存储在单独的内存页面中。
  • CHERI 和 MTE 可以结合使用,但两者都是概率性的,而 CHERI 不需要猜测,你要么有权限,要么没有。

Immunotherapy drug clinical trial results: half of tumors shrink or disappear #

https://www.rockefeller.edu/news/38120-immunotherapy-drug-eliminates-aggressive-cancers-in-clinical-trial/

在过去 20 年中,一类名为 CD40 激动剂抗体的抗癌药物在动物模型中显示出激活免疫系统杀死癌细胞的潜力,但在临床试验中对患者影响有限,并引发严重的全身性炎症反应、血小板减少和肝毒性等不良反应。2018 年,洛克菲勒大学的 Jeffrey V. Ravetch 实验室展示了如何通过工程改造增强 CD40 激动剂抗体,以提高其效果并限制严重副作用。这项研究发表在《Cancer Cell》杂志上,涉及 12 名患者,其中 6 名患者肿瘤缩小,包括 2 名完全缓解的患者。

这种新药物 2141-V11 是一种 CD40 抗体,能够紧密结合人类 CD40 受体,并经过改造以增强其通过特定 Fc 受体的交联能力,其抗肿瘤免疫反应能力是普通抗体的 10 倍。研究者改变了给药方式,从传统的静脉注射改为直接注射到肿瘤中,结果只观察到轻微的毒性。

在这项 1 期临床试验中,12 名患者包括多种转移性癌症类型,如黑色素瘤、肾细胞癌和不同类型的乳腺癌。这些患者中没有人遭受其他 CD40 药物的严重副作用,其中 6 人经历了全身性肿瘤缩小,2 人完全缓解。这两位完全缓解的患者分别患有黑色素瘤和乳腺癌,这两种癌症都以侵袭性和复发性著称。

研究还发现,即使在未注射药物的肿瘤中也发现了三级淋巴结构(TLS),这与改善预后和对免疫疗法的反应有关。TLS 的存在表明一旦免疫系统识别出癌细胞,免疫细胞就会迁移到未注射的肿瘤部位。

这些发现激发了 Ravetch 实验室目前正在与纪念斯隆凯特琳癌症中心和杜克大学的研究人员合作进行的其他临床试验。这些试验目前处于 1 期或 2 期研究阶段,正在研究 2141-V11 对特定癌症的影响,包括膀胱癌、前列腺癌和胶质母细胞瘤,这些都是侵袭性和难以治疗的癌症。这些研究将有助于阐明为什么一些患者对 2141-V11 有反应,而其他人则没有,并探索如何改变这一现状。例如,临床试验中癌症消失的两名患者开始研究时 T 细胞克隆性高,这是关键的癌细胞杀手。


HN 热度 463 points | 评论 91 comments | 作者:marc__1 | 1 day ago #

https://news.ycombinator.com/item?id=45188945

  • 免疫疗法药物临床试验结果显示,一半的肿瘤缩小或消失,给癌症患者带来希望。
  • 有人因亲人因癌症去世而感到悲伤,但对免疫疗法的进步感到高兴。
  • 有人因免疫疗法的进展而感激,因为它减轻了患者的痛苦。
  • 有人分享了自己或家人因免疫疗法而延长生命的亲身经历。
  • 有人对免疫疗法可能带来的严重副作用表示担忧。
  • 有人对化疗带来的生活质量下降和最终可能的死亡结果表示担忧。
  • 有人提到干细胞移植的成功率正在稳步提高。
  • 有人对免疫疗法的持续改进和每年的进步表示乐观。
  • 有人对免疫疗法药物临床试验的直接链接进行了分享。

OrioleDB Patent: now freely available to the Postgres community #

https://supabase.com/blog/orioledb-patent-free

Supabase 公司宣布,他们已经完成了对 OrioleDB 的收购,并清理了法律结构和资产转移。现在他们完全拥有美国专利 10,325,030(“持久多版本 B+ 树”)。Supabase 明确表示,将根据 OrioleDB 许可证,向所有 OrioleDB 用户(包括专有分支)提供该美国专利的非独家许可。

OrioleDB 是 Postgres 的一个存储扩展,利用 PostgreSQL 的可插拔存储系统,旨在成为 PostgreSQL 现有存储引擎的替代品。它旨在利用现代硬件和云基础设施,为 Postgres 工作负载提供更好的性能和可扩展性。OrioleDB 的基准测试显示,其速度比 Heap 快约 5.5 倍(TPC-C,500 个仓库)。

Supabase 与 OrioleDB 团队合作,开发一个高性能的 Postgres 存储引擎,并以 Postgres 优先的心态推动技术的发展。OrioleDB 将继续作为一个开源项目,采用开放贡献模式。无论你是在生产中运行 Postgres,在其上构建工具,还是对存储引擎感兴趣,都欢迎你贡献问题、测试、文档和代码。

OrioleDB 的许可证基于 PostgreSQL 许可证。为了加强知识产权兼容性,Supabase 向所有 OrioleDB 用户(包括专有分支)提供美国专利的非独家许可,以符合 OrioleDB 许可证。该专利旨在作为保护开源免受敌对知识产权索赔的盾牌,而不是作为攻击的武器。

OrioleDB 的目标不是与 Postgres 竞争,而是使 Postgres 更好。他们相信 OrioleDB 的长期归宿应该是 Postgres 内部。他们的最终目标是上游必要的内容,以便 OrioleDB 最终可以成为 Postgres 源代码树的一部分,并与 Postgres 的其余部分一起公开开发和维护。

接下来的计划包括:继续合作,为存储引擎灵活性所需的补丁,目标是在标准 Postgres 上运行;针对生产工作负载的性能和稳定性,持续进行基准测试、修复和功能更新;以及提供更清晰的文档和指南,以便团队能够快速评估和采用 OrioleDB。

如何参与:分享基准测试、迁移笔记和生产反馈;加入 Postgres 邮件列表中关于可插拔存储和 Postgres 补丁工作的技术支持讨论;尝试 OrioleDB,提出问题或 PR。


HN 热度 351 points | 评论 116 comments | 作者:tosh | 11 hours ago #

https://news.ycombinator.com/item?id=45196173

  • OrioleDB 的专利 99.999% 的研究内容都是从之前的科学家那里窃取的。
  • 专利中的内容 99.99% 是已知的,关键在于披露了一些新内容,这些新内容是专利声明所涵盖的。
  • 专利描述必须足够详细,以便让一个普通技术人员能够复制所声称的发明。
  • 律师在撰写专利时可能并不完全理解技术细节。
  • 专利法律语言的模糊性比 AI 的模糊性要糟糕得多。
  • Supabase 并没有申请专利,而是以相当高的成本收购了它,并致力于使其免费可用。
  • 应该庆祝公司做出的积极行动,而不是假设公司的所有行动都是出于恶意。
  • 通过使专利免费可用,实际上是在“焚烧”专利,这有助于保护开源社区免受其他专利诉讼的影响。
  • 专利的当前措辞可能会阻止国家组织使用,因为即使是微小的诉讼(例如轻微的税务延迟)也可能导致许可证终止。
  • Supabase 的 CEO 表示将与法律团队重新审视,以使专利不可撤销,甚至在社区准备好承担维护成本时捐赠专利。
  • 专利现在采用 Apache 2.0 许可,授予专利权,并可在代码上游时重新授权给 PostgreSQL。
  • 需要确保所有贡献者同意代码可以在 Apache 2.0 和 PostgreSQL 许可下重新授权。
  • 应该提前做好法律工作,收集同意,以免在上游到 PostgreSQL 时因一些开源贡献者无法联系而导致失败。
  • 可以将代码放在“PostgreSQL 或 Apache-2.0 任你选择”的双许可下,这样所有贡献者都会在两种许可下向你提供他们的代码,而不需要稍后重新授权。
  • Facebook 放弃了 BSD+ 专利的专利,转而使用无专利负担的 MIT 许可。

ChatGPT Developer Mode: Full MCP client access #

https://platform.openai.com/docs/guides/developer-mode

在当今数字化时代,网络安全已成为全球关注的焦点。随着网络攻击的日益频繁和复杂,保护个人和企业数据安全变得至关重要。本文将探讨网络安全的重要性,分析当前面临的主要威胁,并提供一些实用的防护措施。

首先,网络安全的重要性不容忽视。网络攻击可能导致数据泄露、服务中断甚至经济损失。因此,无论是个人还是企业,都需要重视网络安全,采取有效措施保护自身利益。

其次,当前网络安全面临的主要威胁包括恶意软件、钓鱼攻击、DDoS 攻击等。这些攻击手段不断演变,给网络安全防护带来挑战。了解这些威胁的特点和危害,有助于我们采取针对性的防护措施。

最后,本文提供了一些实用的网络安全防护措施。包括使用强密码、定期更新软件、安装防火墙和杀毒软件等。同时,提高网络安全意识,警惕钓鱼邮件和可疑链接,也是预防网络攻击的有效手段。

总之,网络安全是我们每个人的责任。通过采取适当的防护措施,我们可以降低网络攻击的风险,保护自己的数据安全。让我们一起努力,共同构建一个安全、健康的网络环境。


HN 热度 338 points | 评论 169 comments | 作者:meetpateltech | 7 hours ago #

https://news.ycombinator.com/item?id=45199713

  • 很多人可能会在没有完全理解风险的情况下启用这个功能。
  • 很多人对提示注入攻击和它们构成的重大威胁缺乏充分理解。
  • 通过更好的提示来解决架构限制的想法是不切实际的。
  • 即使使用了 8000 个字符的提示,也无法完全避免幻觉问题。
  • 通过创建能够检测提示的神经网络来净化输入提示的文本。
  • 这种方法可能导致解决方案变得脆弱或引发猫鼠游戏。
  • 检测提示是一项艰巨的任务,尤其是考虑到网络和文档搜索的广泛性。
  • 需要多层防御和持续解决方案来实现良好的安全性。
  • 网络上检测讽刺或挖苦的可靠方法尚不存在。
  • 通过创建能够检测讽刺的神经网络来净化输入提示的文本。
  • 讽刺机器的实现可能即将成为现实。
  • 人们尝试实施这种方法是值得讨论的,尽管存在缺陷。
  • 提示注入攻击可以通过各种方式绕过防护措施。
  • 检测提示并不简单,尤其是当注入隐藏在日志文件中时。
  • 需要一种智能程度与目标 LLM 相当的 LLM 来检测这类提示,但这同样容易受到提示注入的影响。
  • 这是一个天才的解决方案。
  • 需要断开代码检测器。
  • 过滤每个 MCP 响应会增加延迟并带来误报的风险。
  • 人们可能误解“避免”这个词,导致他们选择性地解释并作为自己的辩解。
  • “避免”这个词可能会导致误解,因为它可能被解释为完全消除风险。
  • 提示注入攻击的负面提示类似于在图片生成过程中挥舞死鸡。
  • 使用 LLM 进行编码后生成一致的图像是一个令人大开眼界的过程。
  • 艺术家将使用基于节点的工作流程,自己绘制草图,然后使用草图作为渲染图像的基础,通过遮罩和手绘进行清理,缩短输出图像的时间。
  • 商业艺术家将在许多与艺术质量无关的方面进行竞争,如速度和数量。
  • 与质量相比,更易获得/更便宜的“足够好”可能更好。
  • 在文本生成领域,似乎没有类似于 comfyUI 的工具。
  • 我尝试了其他工具/SAAS,但没有看到明显的优势。
  • comfyUI 增加了节点基础的 UI,可以连续使用多个模型,包括添加草图和操纵提示的阶段。
  • comfyUI 与 Lovart AI、Freepik、Recraft 等其他工具相比如何?

We can’t circumvent the work needed to train our minds #

https://zettelkasten.de/posts/the-scam-called-you-dont-have-to-remember-anything/

这篇文章由 Sascha 于 2025 年 9 月 9 日发表,讨论了一种流行的观念,即“你不需要记住任何东西”,并指出这种观念其实是一种骗局。文章认为,搜索引擎、旧的笔记应用和人工智能等工具声称记忆的努力已经过时,但实际上,要有效地利用这些工具,人们需要具备扎实的基础教育和相关领域的先验知识。

文章引用了 Manfred Spitzer 的观点,强调了在网络中找到所需信息需要先验知识和基础教育。随着文化的发展,人们越来越倾向于直接上网搜索思考过程的结果,而不是参与学习,这导致我们越来越少地利用互联网的优势,因为我们的先验知识越来越少,我们失去了评估信息质量并将其转化为实际知识的能力。

Rowlands 等人提到所谓的“数字原住民”缺乏评估互联网上找到的信息的批判性和分析性思维技能。我们需要一个完全发展的心理地图,以便从互联网搜索结果中获得价值。简而言之,你需要一个经过训练的大脑才能真正从互联网中受益。

文章指出,这些工具所宣传的好处伴随着一个特定的隐藏成本:你的思考能力。数字原住民将自己置于一个情境中,评估信息的激励结构大大减少。他们使用表面层次的指标,如果信息符合请求,这种行为有一些明显的效果(事后看来):与材料的参与度降低,减少了整个行动线的情感权重。没有情感,你就不会思考,而是尝试高效地模仿思考。

文章通过一个例子来说明问题:作者让 ChatGPT 设计一个针对健康寿命和健身的最佳每周训练计划。ChatGPT 提供了一个详细的训练计划,但作者质疑,如果没有足够的背景知识,你怎么知道这个计划是否好呢?如果你不能立即自信地回答相关问题,那么你就缺乏足够的背景知识。

文章最后强调,在知识工作中,瓶颈不是信息的外部可用性,而是内部处理能力,这取决于你的先天能力和大脑的训练状态。因此,回到最初的起点,“你不需要记住任何东西”的说法是错误的。相反,你必须记住一切,只有这样你才能执行必要的认知任务,进行有意义的知识工作。你训练大脑的方式就是大脑能够执行的方式。简单的工具如间隔重复可以让你的大脑执行简单任务,而复杂的工具如 Zettelkasten 可以帮助你的大脑执行更复杂的任务。


HN 热度 312 points | 评论 146 comments | 作者:maksimur | 8 hours ago #

https://news.ycombinator.com/item?id=45198420

  • AI 可以帮助回答问题,但可能会取代本应由人完成的思考工作。
  • 使用 AI 自动化处理简单任务可以快速解决问题,但会使工作更加困难,因为需要连续处理难题。
  • 在竞争环境中,使用 AI 自动化处理难题的人可能会在质量和产出量上远超依赖 AI 提供答案的人。
  • 过度依赖 AI 可能会导致工作疲惫和效率低下。
  • AI 在系统设计中的帮助有限,特别是在处理未知和意外后果的问题上。
  • 一些常规工作有助于保持对领域的熟悉,可能在处理难题时产生顿悟。
  • 某些代码重构工作有助于熟悉代码库,为处理设计问题做准备。
  • 常规工作可以给潜意识提供时间来处理难题。
  • 人类大脑不适合连续不断地进行高强度思考,否则会导致疲劳、错误或不快乐。
  • LLMs 在自动化简单任务方面还不够好,且可能会引入偏见。
  • 编译器、类型检查器、自动化测试和版本控制等工具的理念是合理的。
  • 在架构、代码组织和算法层面使用 AI 进行规划,然后让代理执行完整实现。
  • 认为编写单元测试非常重要,不应完全交给初级开发人员或 LLM 生成。
  • 最好的公司通常垂直整合,以制造出最好的产品。

2025 09 10 HackerNews

2025-09-10 06:58:51

2025-09-10 Hacker News Top Stories #

  1. Chat Control:欧盟重新提出的立法提案要求扫描用户通信和文件以检测“滥用材料”,引发隐私和加密技术担忧,公众被呼吁反对。
  2. 新墨西哥州全民儿童保育:新墨西哥州将提供免费全民儿童保育服务,覆盖所有居民,旨在减轻经济压力并促进社会公平。
  3. iPhone傻瓜手机:通过限制应用使用,将iPhone转变为“傻瓜手机”,显著减少屏幕时间,提升生产力。
  4. 互联网广告问题:广告浪费时间、恶化网络体验,建议用户直接付费支持内容创作者,并介绍广告拦截器的使用。
  5. NPM攻击事件:一次针对NPM的供应链攻击因及时发现未造成大规模损害,强调供应链安全的重要性。
  6. 液态玻璃效果实现:通过CSS和SVG实现类似液态玻璃的折射效果,展示了技术实现的细节和应用。
  7. 美国ICE使用假基站:ICE使用假基站监控手机通信,引发隐私和法律争议,EFF发布工具检测信号模拟器。
  8. Claude创建文件功能:Claude.ai现在可以创建和编辑文件,简化项目流程,但需注意数据隐私和模型稳定性问题。
  9. 美国就业数据修正:美国年度就业增长数据大幅低于预期,可能引发经济政策调整和对未来经济走势的担忧。

Chat Control Must Be Stopped #

https://www.privacyguides.org/articles/2025/09/08/chat-control-must-be-stopped/

Chat Control 是一项立法提案,要求所有服务提供商(包括短信、电子邮件、社交媒体、云存储、托管服务等)扫描所有通信和文件(包括端到端加密的),以检测政府认为的“滥用材料”。这一提案始于 2021 年欧洲议会批准对电子隐私指令的豁免,随后在 2023 年被拒绝,但现在又重新被提出。Chat Control 不会有效,不可靠,会扩大范围,危及每个人,包括儿童。

Chat Control 将破坏端到端加密,使所有文件和通信暴露给执法部门,最终也暴露给犯罪分子,导致数据泄露和腐败。这将破坏对弱势群体、受害者、告密者、记者、活动家和其他人敏感文件和通信的保护。一旦大规模监控系统建立,当局可以决定增加更多标准,如搜索所有通信中涉及药物使用、抗议参与、政治异见或对领导人的负面评论。欧洲刑警组织(Europol)已经呼吁扩大该计划。

Chat Control 的提案名为儿童性虐待法规(CSAR),尽管名字看似关心儿童,但实际上并不会帮助打击儿童虐待,甚至可能恶化情况。CSAR 提案最早可能在下个月实施,如果我们不阻止它。Chat Control 不会在欧洲以外的地方有效,但它将以某种方式影响欧洲内外的每个人。无论身在何处,都应关注并采取行动反击。欧洲人需要在 9 月 12 日之前联系他们的欧洲议会议员(MEPs),告诉他们反对 Chat Control。其他国家的人也应了解这一问题,并采取行动保护自己的隐私和人权。


HN 热度 750 points | 评论 240 comments | 作者:Improvement | 1 day ago #

https://news.ycombinator.com/item?id=45173277

  • Chat Control 要求所有服务提供商扫描所有通信和文件以检测政府认为的“滥用材料”,但其范围、经济影响和社会损害似乎相当广泛,却鲜有大型运营商在欧盟表态。
  • 如果有任何真正的新闻业存在,他们应该全面报道此事,为了他们自己的职业和保护他们的信息源。
  • 指出主流新闻业不指出计算机领域的荒谬,因为他们与此紧密相连,广告是他们的收入来源。
  • 认为现状最强的辩护是指出情况可能更糟。
  • 政府审查或监控的担忧被用作操纵人们的一种有效方式,尤其是在 2020 年的谎言和社会政治事件之后。
  • 可能更安全的做法是保持沉默。
  • 多数新闻媒体都接受某种形式的政府补贴,这些可能是保持许多传统媒体盈利的因素之一。
  • 服务提供商处理加密对用户来说非常方便,对政府也是如此。
  • 即使托管提供商被卷入其中,规模也会急剧扩大,他们可能需要至少检查其机器以确保合规。
  • 欧盟一直在尝试推动 Chat Control 或类似名称的事情,每次互联网抱怨时,幸运的是因为它没有得到足够成员国的同意而失败。
  • 欧盟成员国,而非欧盟本身,是推动 Chat Control 的力量。
  • 节假日是推动此类事务的聪明时机。
  • 许多欧盟政党支持 Chat Control,包括通常支持隐私的政党。
  • 大型科技公司会支持这项立法,因为它创造了高昂且复杂的合规开销,这将阻碍小型挑战者和初创公司。
  • 复杂的或昂贵的法规是一种倒退税,它对小公司的影响远大于大公司,并倾向于阻止新进入者进入市场。
  • 这种立法将创造对私人加密技术的需求,这可能会切断大型科技公司了解其用户在说什么的能力。
  • 大型科技公司已经这样做了。
  • 监管捕获的影响,情况可能会更糟。
  • 执法部门是人,众所周知,他们反对检查自己的成员,这可能导致滥用系统。
  • 从 2002 年以来,我们一直在不同名称下与 Chat Control 等作斗争,普通人可能已经听不到了,这可能是有意为之。
  • 需要立法机构通过“无 Chat Control”和“无 KOSA”法案,以阻止这种行为,但政府似乎并不愿意限制自己的权利,只限制公民的权利。
  • 攻击者只需要赢一次。

Mistral raises 1.7B€, partners with ASML #

https://mistral.ai/news/mistral-ai-raises-1-7-b-to-accelerate-technological-progress-with-ai

Mistral AI 公司宣布完成了 1.7 亿欧元的 C 轮融资,估值达到 11.7 亿欧元。这笔资金将用于加速人工智能技术进步,解决战略性行业面临的最关键和复杂的技术挑战。此轮融资由半导体设备制造商 ASML Holding NV(ASML)领投。ASML 首席执行官 Christophe Fouquet 表示,与 Mistral AI 的合作旨在通过人工智能创新产品和解决方案为 ASML 客户带来明显好处,并为未来机会提供联合研究的潜力。现有投资者 DST Global、Andreessen Horowitz、Bpifrance、General Catalyst、Index Ventures、Lightspeed 和 NVIDIA 也参与了此轮融资。

在过去两年中,Mistral AI 通过尖端研究和与企业和工业领导者的战略合作伙伴关系推进了人工智能的发展。公司将继续开发定制的去中心化前沿人工智能解决方案,以解决最复杂的工程和工业问题,通过最先进的模型、定制解决方案和高性能计算基础设施,为企业、公共部门和行业提供竞争优势。此轮融资也重申了公司的独立性。

Mistral AI 首席执行官 Arthur Mensch 表示,这笔投资将两个在同一价值链中运营的技术领导者聚集在一起,公司有雄心帮助 ASML 及其众多合作伙伴通过人工智能解决当前和未来的工程挑战,并最终推进整个半导体和人工智能价值链的发展。


HN 热度 719 points | 评论 378 comments | 作者:TechTechTech | 17 hours ago #

https://news.ycombinator.com/item?id=45178041

  • ASML 投资 Mistral 可能是为了获得政治上的支持,并且 Mistral 作为欧盟唯一的“人工智能”公司,可能会得到欧盟的支持以保持与美国和中国的竞争。
  • 投资 Mistral 可能是 ASML 为了建立一个完全由欧盟控制的全栈 AI 生态系统,减少对美国或中国的依赖。
  • 投资 Mistral 可能是 ASML 为了在人工智能领域获得一席之地,以吸引投资者。
  • 欧盟很少在单一国家的一家企业上下注,Mistral 作为法国公司,不太可能成为欧盟重点支持的对象。
  • 欧盟对企业的资助和支持并不罕见,例如 Airbus、Northvolt、STMicroelectronics、Infineon、ASML、Arianespace、Thales 等公司都曾获得欧盟的资金和支持。
  • 北欧的创新和企业精神受到欧盟政策的压制,这不太可能在人工智能领域有所改变。
  • 欧盟在数据隐私方面对 AI 领域有严格的监管,这可能会限制其在 AI 领域的发展。
  • 欧盟对 Mistral 的投资可能是出于对法国的支持,考虑到法国在欧洲的影响力。
  • 欧盟的投资决策通常是经过长时间讨论的结果,不太可能因为单一事件而改变。

New Mexico is first state in US to offer universal child care #

https://www.governor.state.nm.us/2025/09/08/new-mexico-is-first-state-in-nation-to-offer-universal-child-care/

新墨西哥州成为美国第一个提供全民儿童保育的州。州长米歇尔·卢扬·格里沙姆和新墨西哥州早期儿童教育及护理部门于 2025 年 9 月 8 日宣布,从 11 月 1 日起,新墨西哥州将保证所有居民都能获得免费的全民儿童保育服务。这项开创性的新举措将通过取消州儿童保育援助计划中的收入资格要求,并继续免除家庭共同支付费用,使所有新墨西哥州居民无论收入如何都能获得儿童保育服务。

州长卢扬·格里沙姆表示,儿童保育对家庭稳定、劳动力参与和新墨西哥州未来的繁荣至关重要。通过投资全民儿童保育,新墨西哥州为家庭提供了经济救济,支持了经济发展,并确保每个孩子都有机会成长和繁荣。自 2019 年创建早期儿童教育及护理部门以来,新墨西哥州已将无成本儿童保育服务扩展到收入在联邦贫困线 400% 以下的家庭,减轻了数万家庭的经济压力。

随着周一的宣布,全民儿童保育将扩展到全州每个家庭,无论收入如何,平均每年每个孩子家庭可节省 12000 美元。新墨西哥州还采取决定性行动,建设全州婴幼儿保育供应:建立 1270 万美元的低息贷款基金,用于建设、扩建和翻新儿童保育设施,并在 2027 财年预算中额外请求 2000 万美元;重点增长婴幼儿、低收入家庭和有特殊需要儿童的护理;与雇主和学区合作,为工作家庭扩大儿童保育选择;启动全州招募有执照和注册的家庭提供者的活动。

为了支持提供者,报销率将上升以反映护理的真实成本。承诺支付入门级员工每小时至少 18 美元,并提供每周五天、每天 10 小时护理的计划,将获得激励率。新墨西哥州估计需要额外 5000 名早期儿童专业人员才能完全实现全民系统。通过提供全民访问和改善早期儿童工作人员的薪酬,新墨西哥州正在减轻家庭的经济压力,加强经济,并帮助每个孩子在安全、有营养的环境中学习。这是今天建立公平和未来繁荣的投资。有关家庭和提供者如何获得全民儿童保育福利的更多信息,请访问 ECECD 全民儿童保育资源页面。


HN 热度 712 points | 评论 586 comments | 作者:toomuchtodo | 8 hours ago #

https://news.ycombinator.com/item?id=45182372

  • 新墨西哥州提供全民儿童保育服务是好事,有助于女性充分发挥工作潜力,提高家庭经济状况
  • 提供等值豁免给在家照顾孩子的父母是合理的,因为全职妈妈提供的服务同样有价值
  • 这项政策可能会减少家庭选择让孩子留在家中的意愿,即使这是他们的首选
  • 为邻居减轻负担是好事,不需要自己也有“豁免”支付才能支持
  • 政治上,如果每个人都能从中受益,福利更容易持续,而且没有经济状况测试的补贴程序更简单
  • 补贴可以帮助边缘家庭实现让母亲在家照顾孩子,甚至可能进行兼职工作
  • 补贴特定行为(如只有双收入家庭)实际上会增加未补贴群体的成本,使他们绝对变得更糟
  • 提高儿童税收抵免额度,对于高收入家庭逐步减少,可能比儿童保育税收抵免/扣除更合理
  • 更多双收入家庭意味着房价上涨、家长参与学校和社区活动减少、家长互助减少、全职妈妈社交生活减少、社会压力增加、孩子缺少玩伴等问题
  • 反对补贴的人可能出于“如果我不受益,别人也不应该受益”的心态
  • 无条件儿童税收抵免是自由主义的,因为它实际上为更多儿童提供政府补贴
  • 真正的全民儿童保育“UBI”将权力重新放回父母手中,减少国家权力,这是自由主义的目标
  • 补贴应该提供给所有群体,而不仅仅是特定群体,以避免不公平

iPhone dumbphone #

https://stopa.io/post/297

Stepan Parunashvili 在 2025 年 9 月通过 Twitter 分享了他将 iPhone 转变为“傻瓜手机”的经历。他使用 Apple Configurator 对 iPhone 进行了设置,限制只能访问特定的应用程序和网站,从而显著减少了屏幕使用时间,每天节省约 2 小时。他分享了这样做的动机、失败尝试、Apple Configurator 的优势和劣势,以及两个月来的观察结果。

动机: 人们每天在手机上花费 4 小时或更多时间,这相当于每 20 年失去 5 年的清醒时间。Stepan 怀念 2000 年代和老诺基亚手机,但他不能放弃 iPhone 提供的实用功能,如 Google Maps、Spotify、Uber、Waymo、Kindle、Audible、ChatGPT、Claude、WhatsApp 和 Wallet 等。

失败尝试: Stepan 尝试过自我控制、使用苹果的屏幕使用时间功能和更换手机,但都未能解决问题。他意识到需要一种游击战术来对抗社交媒体公司精心设计的诱惑。

Apple Configurator 的优势:

  1. 改变设置需要实际连接 iPhone 到电脑并使用软件,增加了操作的难度。
  2. 可以禁用 App Store,减少诱惑。
  3. 仍然是 iPhone,可以根据个人需求定制。

Apple Configurator 的劣势:

  1. 需要将 iPhone 恢复出厂设置,初始设置过程繁琐。
  2. 正确设置需要几周时间,可能需要依赖他人。

两个月的观察: Stepan 感到手机更像是一个工具,他没有想要移除限制的冲动。他发现 ChatGPT 和 Claude 非常有用,可以提供无干扰的信息摘要。他现在每天的手机使用时间减少到大约 2 小时,其中 1 小时用于生产性应用和通信应用。

存在的问题: Stepan 面临的唯一问题是如何处理“半重要”的应用,如电子邮件。他需要访问电子邮件并启用通知,以免错过重要信息,但 90% 的邮件并不重要。他不确定如何解决这类应用的问题。

如何操作: Stepan 提供了一个指南,说明如何使用 Apple Configurator 将 iPhone 转变为傻瓜手机。这需要 2 小时的初始投入和大约 2 周的微调,以确保只有真正需要的应用程序和网站被允许访问。步骤包括恢复出厂设置、安装 Apple Configurator、准备 iPhone 等。


HN 热度 633 points | 评论 371 comments | 作者:joshmanders | 1 day ago #

https://news.ycombinator.com/item?id=45171200

  • 将 iPhone 变成纯工具设备,只保留音乐和播客应用,减少社交媒体应用使用,有效降低手机使用频率和电池消耗
  • 使用 iPad mini 作为娱乐和社交媒体设备,但由于不常使用,减少了对社交媒体的兴趣
  • 删除 Facebook、Instagram 等应用后,手机电池续航显著提升
  • 通过定期强迫自己“主动”什么都不做,只是思考 15 分钟,提高思维清晰度,减少手机使用时间
  • 将所有干扰应用转移到不常携带的设备上,减少手机使用
  • 使用 Android 平板,通过去谷歌化和使用假账户,减少账户关联和干扰
  • 允许音乐和播客应用,因为它们不需要主动注意力
  • 通过使用浏览器的网页版本访问社交媒体,减少应用安装,但浏览器使用也消耗时间
  • 使用 gpodder.github.io 应用订阅、下载和同步播客到离线播放器,减少智能手机使用
  • 通过在浏览器 DNS 层面阻止社交媒体,减少时间浪费
  • 使用 NextDNS 在手机和 PC 上阻止问题网站,减少干扰
  • 使用 ScreenZen 应用减少无意识的屏幕时间,提高应用打开的意识性

No adblocker detected #

https://maurycyz.com/misc/ads/

这篇文章讨论了互联网广告的问题,并提出了对广告拦截器的看法。作者认为互联网广告浪费时间,使网络环境恶化,并且广告收入微薄,导致网站为了生存不得不充满广告。作者建议读者直接向他们喜欢的内容创作者支付金钱,因为这样比观看广告更有帮助。文章还提到,大多数人将广告视为互联网体验的一部分,因此作者在自己的网站上添加了一条消息,提醒用户如果没有检测到广告拦截器,可以考虑使用像 uBlock Origin 这样的扩展程序来节省时间和带宽。文章详细介绍了这条消息是如何通过 HTML、JavaScript 和 CSS 实现的,包括消息的显示、隐藏和关闭功能。最后,作者感谢了提供原始想法的 Stefan Bohacek,并提到了对消息的一些修改,以减少误报并确保消息只显示一次。


HN 热度 580 points | 评论 347 comments | 作者:LorenDB | 22 hours ago #

https://news.ycombinator.com/item?id=45176206

  • 没有广告拦截器的网络体验就像走进了毒品窝点一样糟糕。
  • 谷歌 Play 商店的设计对用户不友好,感觉像是走进了反乌托邦的购物中心。
  • 谷歌将搜索栏从首页移除,导致用户体验下降。
  • 谷歌 Play 商店充斥着假的、欺诈性的应用程序。
  • 谷歌 Play 商店在安装应用时会误导用户点击广告,而不是他们想要安装的应用。
  • 谷歌的一些小动作,虽然看似微不足道,但影响巨大,累积起来可能每年浪费数百万人的时间。
  • 谷歌声称为了安全而锁定 Android 应用是谎言,Play 商店本身就充满了恶意软件和欺诈。
  • 有人因为不满市面上的文档扫描应用,自己开发了一个更符合个人需求的应用。
  • 即使自己开发应用,也难以与谷歌竞争,因为谷歌的 Drive 应用已经内置了文档扫描功能。
  • 谷歌电视的新版本体验不佳,用户被迫浏览付费内容图标,才能看到自己排列的图标。
  • 谷歌产品越来越倾向于强制用户接受广告。
  • 有人从未见过广告,无论是在网络上还是在传统媒体上。
  • 公共场所如公交站的广告难以避免。
  • 加油站的广告有声音,且可能会播放不同的广告或不同步的广告,但通常有静音按钮。
  • 有人用填充物堵住了加油站广告的扬声器,以减少噪音。
  • 随着插电式混合动力汽车的普及,加油的频率降低,减少了接触广告的机会。

We all dodged a bullet #

https://xeiaso.net/notes/2025/we-dodged-a-bullet/

2025 年 9 月 9 日,一篇名为“We all dodged a bullet”的博客文章发表,讨论了一起针对 NPM(Node Package Manager)的攻击事件。文章指出,这次攻击本可能造成更严重的后果,但实际上只是修改了通过在线钱包(如 MetaMask)进行的加密货币支付的目的地地址。

文章作者 Cadey 强调,这次攻击始于一封精心设计的钓鱼邮件,邮件中个性化地提到了用户的 NPM 用户名,要求用户出于安全原因更改两步验证凭证,并设置了一个紧迫的截止日期。邮件链接到了一个域名为 npmjs.help 的网站,用于获取用户的两步验证凭证,并发布带有漏洞代码的新包。

作者对这次攻击表示了一种“病态的欣赏”,认为这是一个“非常好的攻击”。文章提到,如果攻击者通过这次攻击传播了 API 密钥窃取器或其他更危险的恶意软件,后果将不堪设想。幸运的是,这次攻击仅限于加密货币拦截,没有涉及到更广泛的安全问题。

文章还提到,攻击者选择了广泛使用的通用包而不是特定于 Web 3 的包,可能是为了减少 Web 3 生态系统的注意。作者认为,这次攻击显然是针对 Web 3 生态系统的,因为 Web 3 工具的用户习惯于使用浏览器进行支付。

最后,文章提醒读者,每个依赖项都可能是恶意的,我们应该花时间了解程序的整个依赖树,但在实际工作中往往没有这样的时间。文章强调,尽管如此,我们仍然需要按时发布软件。


HN 热度 498 points | 评论 291 comments | 作者:WhyNotHugo | 8 hours ago #

https://news.ycombinator.com/item?id=45183029

  • 通过 npm 的供应链攻击是许多公司未能躲避的子弹,尤其是安装了 VS Code nx 插件的公司。
  • 需要在生态系统中进行更深层次的变革。
  • Go 语言的最小版本规范和不执行下载内容的做法值得借鉴。
  • pnpm 通过拒绝执行未手动白名单的 postinstall 脚本解决了问题。
  • 执行构建的二进制文件时,无论使用何种语言,都无法避免风险。
  • npm 鼓励庞大的依赖树,使得审查依赖更新变得不切实际,开发者因此不进行审查。
  • 编辑器扩展自动更新且安装在高风险开发环境中,是攻击者的理想目标。
  • 开发者应确保所有包和数据库都是本地的,以便开发机器可以在离线模式下运行。
  • 有人质疑攻击者为何没有利用这次机会进行更复杂的利用,而是仅仅推送了一个加密货币窃取者。
  • 攻击者可能只有几个小时的时间来实施攻击,因此选择了快速打击和逃跑的策略。
  • 这次攻击可能并不复杂,而是一个有针对性的电子邮件钓鱼攻击。
  • 对于没有时间审查安全公告的人来说,这种攻击可能会长时间未被发现。
  • 即使在发现账户被接管后,也可能有人不会立即注意到或不会采取行动。
  • 许多组织可能会因为这种攻击而受到影响,但许多人会因为懒惰而没有及时撤销凭证。
  • 如果开发者在受污染包发布和 npm 撤下它之间没有运行 npm install,他们就不会受到影响。

Liquid Glass in the Browser: Refraction with CSS and SVG #

https://kube.io/blog/liquid-glass-css-svg/

2025 年 6 月,苹果公司在其全球开发者大会(WWDC)上推出了液态玻璃效果,这是一种令人惊叹的用户界面效果,使得界面元素看起来像是用弯曲的、折射的玻璃制成的。本文将通过 CSS、SVG 位移图和基于物理的折射计算,手把手教你如何在网页上复现类似的液态玻璃效果。文章不会追求像素级的完美匹配,而是近似地重现核心的折射效果和高光,作为一个你可以扩展的概念验证。

折射是光从一种材料进入另一种材料时(比如从空气进入玻璃)改变方向的现象。这种弯曲是因为光在不同材料中的传播速度不同。入射光和折射光的角度关系由斯涅尔-笛卡尔定律描述:n1sin(θ1) = n2sin(θ2),其中 n1 和 n2 分别是两种介质的折射率,θ1 是入射角,θ2 是折射角。

为了简化问题,本文假设环境介质的折射率为 1(空气),使用折射率大于 1 的材料,最好是 1.5(玻璃)。只考虑一次折射事件,忽略后续的退出或第二次折射。入射光线总是垂直于背景平面(无透视),物体是平行于背景的 2D 形状(无透视),物体和背景之间没有间隙(只有一次折射)。文章中只讨论圆形形状,扩展到其他形状需要预先计算。

要创建玻璃效果,需要定义虚拟玻璃表面的形状,这类似于描述透镜或弯曲玻璃面板的横截面。玻璃表面由一个数学函数描述,该函数定义了从边缘到边框末端的任何点的玻璃厚度。从高度可以计算出入射角,即入射光线与该点表面法线之间的角度。法线简单地是高度函数在该点的导数,旋转-90 度。

文章将使用四种不同的高度函数来展示表面形状对折射效果的影响:凸圆形、凸 Squircle、凹形和 Lip 形。通过互动的光线追踪模拟,可以看到不同表面类型下光线的行为差异,帮助我们理解数学选择的实际影响。模拟显示,凹面将光线推出玻璃之外;凸面则将它们保持在内部。我们希望避免外部位移,因为这需要在物体之外采样背景。苹果的液态玻璃似乎偏爱凸面轮廓(除了稍后介绍的 Switch 组件)。

接下来,文章将计算整个玻璃表面的位移矢量场。矢量场描述了在玻璃表面的每个位置,光线与原始位置相比被位移了多少,以及位移的方向。在圆形中,这种位移总是垂直于边缘的。由于这种位移在边框周围是对称的,我们可以预先计算一系列距离边框的距离上的位移,在一个半径上进行。这样可以在二维(x 和 z 轴)上预先计算所有内容,然后围绕 z 轴旋转这些预先计算的位移。


HN 热度 468 points | 评论 111 comments | 作者:Sateeshm | 1 day ago #

https://news.ycombinator.com/item?id=45174297

  • 使用 WebGL 可以跨浏览器实现类似效果,但需要 JS 代码运行且不能直接操作 DOM 渲染。
  • SVG/CSS 方法可以在第一帧显示折射效果,并且可以与现有 UI 集成。
  • SVG Filter 规范中理想情况下应该有类似 shader 的功能,但目前功能有限。
  • 移动设备用户表示该网站比 WebGL 版本运行效果更好。
  • 有用户反映在移动玻璃元素覆盖文本时会出现幽灵/延迟效果,可能是因为 shader 编译和初始化。
  • 有用户认为效果看起来很慢,但实际上在某些设备上运行非常流畅。
  • 有用户观察到 GPU 在操作时的使用情况,认为可能是效率问题。
  • 有用户指出效果看起来像是有色散现象,即颜色在玻璃边缘分离。
  • 有用户对作者表示赞赏,认为滚动示例时性能不佳,但苹果可以在 UI 中优化。
  • 作者承认性能问题,表示需要优化,并已经进行了一些修复。
  • 有用户表示在 Chrome 上性能有所改善,但仍有用户反映在其他浏览器上性能不佳。
  • 有用户指出大多数浏览器会在认为可以分离图层时使用 GPU 进行合成。
  • 有用户提到在他们的机器上该演示非常卡顿,并且一些特效没有工作。
  • 有用户指出该演示目前仅在 Chrome 上工作,因为使用了 SVG filters 作为 backdrop-filter。
  • 有用户认为由于只支持 Chrome,标题应该更具体,以避免用户失望。
  • 有用户表示在 Firefox 上滚动不如 Chrome 流畅,尽管不支持的效果。
  • 有用户指出 SVG filters 的 backdrop-filter 在所有主流浏览器中都受支持,但使用 SVG filters 是超出规范的,只在基于 Chromium 的浏览器中支持。

ICE is using fake cell towers to spy on people’s phones #

https://www.forbes.com/sites/the-wiretap/2025/09/09/how-ice-is-using-fake-cell-towers-to-spy-on-peoples-phones/

美国移民和海关执法局(ICE)在其驱逐行动中使用各种监视技术,包括假基站来监控人们的手机。这些设备被称为“黄貂鱼”,能够模拟手机信号塔,迫使手机连接到它们,从而使 ICE 能够追踪目标的位置并拦截通信。这种做法引发了隐私和法律问题,因为它可能侵犯了美国宪法第四修正案所保障的公民免受不合理搜查和扣押的权利。此外,这些假基站的使用可能会干扰合法的紧急服务通信,如 911 呼叫。批评者指出,这种技术的使用缺乏透明度和适当的监管,可能导致滥用和对无辜者的不当监视。


HN 热度 414 points | 评论 177 comments | 作者:coloneltcb | 6 hours ago #

https://news.ycombinator.com/item?id=45184368

  • EFF 最近发布了一个开源工具用于检测手机信号模拟器,硬件成本约 20 美元,设置简单。
  • IMSI 捕捉器在全球警察中流行,还有其他相关工具。
  • 讨论了 Rayhunter,这是一个用于检测手机信号模拟器的工具。
  • 有人担心如果有人利用这个工具追踪 ICE 信号塔并破坏它们。
  • 有人提出可以用无人机搭载这个工具进行目标定位。
  • 有人表示这种“羞耻”行为会被视为荣誉。
  • 有人担心这种行为可能会导致被秘密关押。
  • 如果担心政府将人秘密关押,说明情况已经非常糟糕。
  • 有人怀疑美国可能会强迫微软在这些项目中注入恶意负载,EFF 完全信任微软的基础设施。
  • 有人提出 git 提交记录本质上是一个 Merkle 树的校验和,可以检测到恶意篡改。
  • 有人担心微软可能会针对特定用户服务恶意的源代码或二进制文件,难以检测。
  • 有人提出代码签名可以成为一种保障。
  • 有人强调 GitHub 可以为不同的人提供不同的字节,难以完全信任。
  • 有人提出 GitHub 可以作为公共日志,但缺乏透明度。
  • 有人提出分布式版本控制系统在实践中可能并不总是分布式的。
  • 有人提出代码签名可以在多个地理位置同时进行。
  • 有人提到技术术语应为 Merkle DAG。
  • 有人提到 GitHub 上的二进制发布。
  • 有人表示可以自己阅读代码,供应链攻击是存在的,但这里不是。
  • 有人表示没有太多选项可以安全地托管源代码和二进制文件,特别是保护技术不熟练的用户。

Claude can now create and edit files #

https://www.anthropic.com/news/create-files

Claude.ai 现在可以直接在 Claude.ai 和桌面应用中创建和编辑 Excel 电子表格、文档、PowerPoint 幻灯片和 PDF 文件。这项新功能改变了与 Claude 的工作方式,用户不再仅能获得文本回复或应用内生成物,而是可以描述所需内容,上传相关数据,并得到可直接使用的文件。

文件创建功能目前作为预览版向 Max、Team 和 Enterprise 计划用户开放,Pro 用户将在接下来的几周内获得访问权限。通过 Claude,用户可以基于上传的数据、研究信息或从头开始创建实际文件。例如,将原始数据转换为包含清洁数据、统计分析、图表和解释重要内容的书面见解的精炼输出;根据描述创建包含工作公式和多个工作表的电子表格;以及跨格式工作,如将 PDF 报告转换为 PowerPoint 幻灯片,将会议笔记转换为格式化文档,或将发票整理成带有计算的电子表格。

这项功能使得通常需要编程技能、统计知识和数小时努力的项目,现在只需通过对话即可在几分钟内完成。Claude 的计算机功能在过去一年中从回答问题发展到完成整个项目,现在使这种能力更加易于访问。Claude 被赋予了访问私有计算机环境的权限,可以编写代码和运行程序以生成所需的文件和分析。

要开始创建文件,用户需要在设置中启用“升级的文件创建和分析”功能,上传相关文件或描述所需内容,通过聊天指导 Claude 完成工作,然后下载完成的文件或直接保存到 Google Drive。用户可以从简单的数据清理或简单报告开始,随着对 Claude 处理文件方式的熟悉,逐步处理更复杂的项目,如财务模型。需要注意的是,这个功能使 Claude 能够访问互联网以创建和分析文件,可能会使数据面临风险,因此在使用此功能时需要密切监控聊天。


HN 热度 363 points | 评论 219 comments | 作者:meetpateltech | 8 hours ago #

https://news.ycombinator.com/item?id=45182381

  • 系统需要首先解决可靠性问题,因为系统频繁故障,模型量化导致智能降低。
  • 近期新功能感觉毫无意义,因为底层模型变得难以使用。
  • 有人表示,与夏季相比,现在使用体验极差,技术任务上变成了负效果。
  • 有人提到,Claude 模型似乎出现了退化,导致功能不稳定和质量下降。
  • 有人推荐使用一些新的中国开源模型,如 GLM-4.5 和 Kimi K2 0905。
  • 有人询问如何使用这些模型,并提到自己主要因为 Claude Code 而使用 Claude。
  • 有人建议在本地机器上使用模型以保护隐私,或者使用 Synthetic 提供的服务。
  • 有人提到,使用 Claude Code 时可以通过 LiteLLM 等工具转换 API 请求。
  • 有人对数据隐私和安全性表示担忧,并询问数据如何存储和查看。
  • 有人提到,使用 Claude 时经常遇到上下文窗口溢出的问题。
  • 有人怀疑模型性能下降是因为 Artifacts 功能导致的令牌消耗过多。
  • 有人认为,模型性能下降可能是因为人们的期望随着时间提高,而模型未能满足这些提高的期望。
  • 有人表示,Claude 在过去几周内表现一直很差。

U.S. added 911k fewer jobs in year through March than reported earlier #

https://www.barrons.com/articles/jobs-report-revisions-bls-fed-3d88c77b?st=u8mw75

根据最新的报告,美国截至今年三月的年度就业增长数据大幅低于之前的估计,减少了约 911,000 个工作岗位。这是几十年来年度招聘估计最大的修正。尽管如此,这一修正可能不会促使美联储在下周进行大幅降息。

近期的就业报告显示,市场对低迷的就业增长感到担忧,但由于移民政策的不确定性,情况可能没有看起来那么糟糕。虽然市场在一开始对弱于预期的就业报告反应积极,认为这可能导致美联储采取更激进的降息措施,但随后投资者开始重新评估,这对股市产生了复杂的影响。

上周,标普 500 指数基本持平,尽管在初期因低就业数据而上涨,但随后由于对劳动市场前景的担忧,股市出现了回落。数据显示,从六月到八月,平均每月仅新增 29,000 个工作岗位,这进一步引发了市场对未来经济走势的讨论。

综合来看,虽然就业增长数据不如预期,市场和美联储的反应仍然存在较大的不确定性,投资者对未来的利率政策和经济健康状况的看法可能会继续影响市场动态。


HN 热度 359 points | 评论 394 comments | 作者:Anon84 | 9 hours ago #

https://news.ycombinator.com/item?id=45182111

  • 如果失业率继续上升,加上关税对价格的一次性影响导致高通胀自我加强,我们将面临滞胀,这将对每个人造成极大的不快。
  • 中央银行如联邦储备可能会被迫提高利率,给企业和消费者带来压力,以结束自我加强的高通胀。
  • 通过提高利率来给企业和消费者施压是已知唯一有效的方法,以结束自我加强的高通胀。
  • 滞胀曾导致 1973-1974 年的股市崩盘,并导致美国股市直到 1993 年才恢复。
  • 经济问题完全是由于政策失误造成的,可以逆转。
  • 提高广泛的税收可以让美联储降低利率,刺激长期投资,放松房地产市场,降低联邦赤字,并改善贸易平衡。
  • 经济有惯性,一些影响如通胀是自我加强的,即使政策放松也需要积极解决。
  • 美国不再被视为可靠的合作伙伴,这种看法不会很快改变。
  • 国会可以随时限制特朗普的权力,恢复正常。
  • 快速逆转政策可能对经济造成一些损害,但事情会大体恢复正常。
  • 美国已经失去了出口市场份额,中国、俄罗斯和印度已经开始建立贸易集团。
  • 美国失去了信任。
  • 如果国会迅速行动,收回调整关税的权力,并明确表示这种权力将永久消失,事情可能会恢复正常。
  • 其他国家愿意为非美国产品支付溢价,欧盟正在压制内部的种族主义和保护主义异议,以便多元化贸易。
  • 北约国家正在组织起来防御美国,俄罗斯向拉丁美洲承诺军事保护。
  • 世界已经看到美国的不可靠,不仅是关税问题,还有基于特朗普心情随意施加的关税。
  • 世界已经看到美国的“制衡”不存在,民粹主义领导人可以为任何原因做任何事,没有任何问责。
  • 美国可能会继续在混乱中自伤。

Hacker News 精彩评论及翻译 #

How can England possibly be running out of water? #

https://news.ycombinator.com/item?id=45178404

As the article mentions, privatised water companies have built no new reservoir capacity and relied on drawing from rivers and other sources.

What the article doesn’t mention is that pre-privatisation a new reservoir was built every year up to about 1960 and then every few years until privatisation in 1992.

So we are about 30 years behind in adding capacity to the system. This combined with the inadequate levels of investment in the system leading to enormous wastage, is the answer.

Water should never have been privatised. At least not without a framework for a national strategy for water. I suspect that wasn’t done because it would have made water companies and unattractive source of profit.

sandbags

正如文章所提到的,私有化的水务公司没有建造任何新的水库容量,而是依赖从河流和其他水源取水。

但文章没有提及的是,在私有化之前,每年都会新建一个水库,这种情况一直持续到大约1960年,之后每隔几年也会建一个,直到1992年私有化为止。

因此,我们在增加系统容量方面落后了大约30年。再加上对水务系统投资不足,导致了巨大的浪费,这就是问题所在。

水是绝不应该被私有化的。至少,在缺乏国家水资源战略框架的情况下不该私有化。我之所以怀疑他们没有这么做,是因为这样一来,水务公司就不再是一个有吸引力的利润来源了。


No adblocker detected #

https://news.ycombinator.com/item?id=45177377

I am extremely insulated from ads online and have been for about a decade. Once in a while I have to browse on a device that does not have an ad blocker or most of the times does not even let you install one. Seeing a website that is SEoptimised and heavily ad supported feels like walking into a crack den. That this is the normal experience for the vast majority of users is sad.

ksynwa

我已经在网上与广告绝缘了大约十年。偶尔我不得不在没有广告拦截器的设备上上网,而大多数时候,这种设备甚至不允许你安装任何拦截器。看到那些经过SEO优化且广告泛滥的网站,感觉就像走进了一个毒窟。而绝大多数用户的正常体验竟然是如此,实在可悲。


2025 09 09 HackerNews

2025-09-09 07:27:28

2025-09-09 Hacker News Top Stories #

Aikido安全团队发现npm上18个流行软件包被入侵,恶意代码可窃取加密货币并操纵用户钱包,建议开发者警惕开源依赖并及时更新。 Dmitry Brant利用Claude Code将25年前的内核驱动程序现代化,使其能在最新Linux内核上运行,解决了内核版本不兼容问题。 Signal推出安全备份功能,支持端到端加密,用户可选择恢复消息历史,目前仅在Android测试版上可用。 Immich是一个高性能的自托管照片和视频管理工具,支持多语言和多平台,目前处于活跃开发阶段。 Pico CSS是一个轻量级、专注于语义化HTML的CSS框架,提供默认响应式设计和多种定制选项,适合小型项目。 讨论代码格式化的必要性,认为代码风格工具可能带来git噪音和潜在错误,建议自动化处理格式问题。 RSS因其简单和开放击败了微软支持的ICE标准,成为内容聚合的主流选择。 文章讨论了防止敏感数据泄露到日志的多层防御策略,包括数据架构、工具使用和多层防御方法。

NPM debug and chalk packages compromised #

https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

2025 年 9 月 8 日,Aikido 安全团队通过其情报系统发现,npm 上 18 个流行的软件包被推送了包含恶意代码的新版本。这些软件包每周下载量超过 20 亿次,包括 backslashchalk-templatesupports-hyperlinks 等。这些恶意更新的软件包中包含了一段代码,当在网站客户端执行时,会悄无声息地拦截加密货币和 Web3 活动,操纵钱包交互,并重写支付目的地,将资金和批准重定向到攻击者控制的账户,而用户却毫无察觉。

为了避免受到此类软件包的侵害,Aikido 推荐使用其安全链产品。这些软件包的新版本开始发布后,例如 is-arrayish,其 index.js 文件被修改并包含了混淆后的代码。经过一些去混淆处理后,代码仍然相当复杂,涉及检查以太坊钱包、执行遮罩函数、本地函数调用等多个步骤,并且包含了多个加密货币钱包地址,用于重定向资金。

这些恶意软件包的发现提醒开发者和用户,需要对依赖的开源软件包保持警惕,及时检查和更新,以防止潜在的安全风险。Aikido 的安全解决方案可以帮助自动化 SOC 2、ISO 等合规性要求,提供全面的漏洞管理,保护代码安全,并生成软件物料清单(SBOM)。


HN 热度 859 points | 评论 450 comments | 作者:universesquid | 7 hours ago #

https://news.ycombinator.com/item?id=45169657

  • 作者 junon 承认自己被网络钓鱼攻击,感到尴尬,并提供了受影响的包列表。
  • cataflam 认为依赖自己的感官去检查域名或邮件的正确性是不够的,强调不要通过邮件链接登录,使用 U2F/Webauthn 作为第二因素认证。
  • winwang 表示,任何人都可能被网络钓鱼,重要的是迅速承认并采取措施减轻损害。
  • wer232essf 担心 NPM 的响应速度慢,这可能导致攻击者更有利可图。
  • sneak 指出,使用密码管理器和不可被钓鱼的 2FA(如 passkeys)可以避免被网络钓鱼。
  • internetter 认为 NPM 在处理这类事情上做得不够好。
  • tripplyons 提醒 NPM 现在是微软的一部分,因此没有借口不处理好这类问题。
  • joaomoreno 提供了一个命令来检查依赖树中是否包含恶意软件。
  • cgijoe 询问是否可以使用普通的 grep 命令代替 ripgrep 来扫描字符串。
  • skrebbel 确认可以使用 grep 命令,但 ripgrep 更快。
  • nothrabannosir 指出 ripgrep 默认会尊重.gitignore,可能不适合用来扫描 node_modules。
  • Fishkins 解释了 ripgrep 命令中的-u 标志的作用。
  • AkshatJ27 询问是否应该检查 node_modules 文件夹中的“感染”字符串。
  • hinkley 认为对于安全检查,前两个(工作、正确)比三个(快速)更重要。
  • Aeolun 表示如果能免费获得第三个(快速),为什么不呢?
  • EasyMark 被标记为不当内容。
  • naikrovek 认为提供信息的方式可能显得对回复者不够尊重。
  • skygazer 认为 HN 不喜欢机器生成的回复,尤其是冗长且过于啰嗦的。
  • yifanl 认为在这种背景下要求人们运行随机安装脚本显得不合适。
  • hunter2_认为如果使用像 brew 这样的工具,风险足够低,类似于 apt、dnf 等。
  • tripplyons 指出任何人都可以上传 NPM 包,而不需要太多审查。
  • anthk 认为 APT 仓库需要更多的检查和官僚程序。
  • socalgal2 认为不可能所有内容都被检查。
  • justusthane 认为 APT 仓库的检查可能并不严格。

Using Claude Code to modernize a 25-year-old kernel driver #

https://dmitrybrant.com/2025/09/07/using-claude-code-to-modernize-a-25-year-old-kernel-driver

Dmitry Brant 的博客文章讲述了他如何利用 Claude Code 来现代化一个已有 25 年历史的内核驱动程序。文章背景是作者对从旧式磁带(如 QIC-80 磁带)中恢复数据的爱好。这些磁带在 1990 年代非常流行,但由于设计上的缺陷,数据恢复存在挑战。作者使用一台装有特定磁带驱动器的旧 PC 工作站,以及一个非常老的 Linux 版本(CentOS 3.5),因为这是使用 ftape 驱动程序的唯一方式,ftape 驱动程序是与磁带驱动器通信所必需的内核驱动程序。

文章提到,读取这些磁带的驱动器连接到主板上的软驱控制器,这是一种节省成本的巧妙做法。然而,这种通信协议非常混乱、非标准化,且支持不佳。ftape 是 Linux 上唯一的开源实现,允许读取磁带的“原始”二进制内容,而不考虑最初写入磁带的专有软件。

ftape 驱动程序自 2000 年左右就不再受支持,并很快从 Linux 内核中移除。作者因此需要运行一个非常旧的 Linux 版本来使用这些驱动器。他希望能在现代发行版上使用 ftape,以获得所有的好处和便利。

几周前,作者向 Claude Code 提出了一个请求,希望将这个驱动程序现代化,使其能够与最新版本的内核一起编译。Claude Code 能够处理编译器输出并将其反馈给自己,直到编译正确。在内核版本 2.4 和 6.8 之间,有许多内核函数和结构被弃用或替换,Claude 找到了所有过时的部分,并用正确的现代等价物替换它们,只需要少量的手动调整。

作者还提到,他希望将内核驱动程序编译为一个独立的可加载内核模块,而不是作为完整内核树的一部分。Claude Code 帮助创建了一个适当的独立构建系统,使得作者能够尝试使用实际的硬件。

尽管模块加载了,但最初并不能正确与磁带驱动器通信。作者手动加载模块,并将 dmesg 的输出粘贴到 Claude 中,Claude 将其与之前保存的成功磁带读取的“已知良好”dmesg 日志进行比较。经过几次迭代,Claude 识别出阻止模块与硬件通信的剩余问题。

最后,作者成功地在现代内核上使用 ftape 驱动程序,这是一个他原本认为无法实现的壮举,最终在两个晚上内完成。作者提醒读者,他有一些内核模块的工作经验和丰富的 C 语言经验,因此不想过分夸大 Claude 在这种情况下的成功。实际上,这不是通过三个提示就得到一个工作的内核模块,而是通过几次来回对话和……


HN 热度 845 points | 评论 282 comments | 作者:dmitrybrant | 23 hours ago #

https://news.ycombinator.com/item?id=45163362

  • Claude Code 作为工具可以极大提升个人技能的效率。
  • Claude Code 有助于快速上手新框架,提高生产力。
  • 专家程序员如果投入时间,可以体验到 Claude Code 的能力。
  • 我们的专业没有实质性进步,仍然需要 AI 来处理本应抽象或自动化的样板工作。
  • 依赖不可靠的随机代理来生成本应被完全确定性、正确程序抽象或自动化的样板代码是一种退化和浪费的软件开发方式。
  • 虽然理论上可以设计不需要钉子或螺丝的家具,但实际上很难实现。
  • 我们尝试过生产这样的系统,但结果往往是软件使简单的事情变得简单,困难的事情变得不可能。
  • 没有企业经济激励去遵循减少样板和重复工作的方案,也没有 90 年代末期的自由开源软件精神。
  • 日本传统建筑中存在不使用钉子或螺丝的构造系统。
  • 铁在日本非常昂贵,因为他们只有低质量的铁矿石。
  • 木工和框架工的技能要求和薪酬低于橱柜制造商,但世界需要更多的木工。
  • 价值在于需求所在,或者市场对其的价值评估,而不仅仅是使用工具制作几乎任何东西的技能。
  • AI 让我感到即将到来的厄运:将控制权交给一个可以为我们处理琐事的 AI 意味着我们将陷入一个不断重复的糟糕架构的循环。
  • 3D 打印机可以每天输入新的架构和设计,创造出来,带来更多的灵活性而不是更少。
  • 当人类在循环中时,一切都变得随机。
  • 错误率和结果正确性更重要,这将焦点转移到测试用例、测量和结果上。
  • 我们不通过随机过程生成代码。
  • 即使是重复相同的工作,也存在不确定性和非确定性行为。
  • 我们的日常行为中存在很大的不确定性和非确定性行为。
  • 投掷飞镖是一个具有很大不确定性和非确定性行为的日常行为的例子。

Signal Secure Backups #

https://signal.org/blog/introducing-secure-backups/

Signal 推出了安全备份功能,允许用户在手机丢失或损坏时恢复消息历史。这是用户最常请求的功能之一,因为它涉及到家庭照片、重要文件等重要信息的保存。安全备份是可选的,并且是端到端加密的,用户可以选择不使用此功能。

安全备份允许用户每天以隐私保护的形式保存 Signal 对话的存档,并且可以选择免费备份文本消息和最近 45 天的媒体文件,或者支付每月 1.99 美元订阅费用备份超过 45 天的媒体历史和消息历史。Signal 作为一个非营利组织,需要通过这种方式来覆盖存储和传输大量数据的成本。

Signal 的安全备份技术基于零知识技术,备份存档存储时不会直接链接到特定的备份支付或 Signal 用户账户。核心是一个 64 字符的恢复密钥,这个密钥仅在用户设备上生成,不会与 Signal 服务器共享。如果用户丢失这个密钥,将永久失去对备份的访问权限,Signal 也无法帮助恢复。

用户可以在 Signal 设置菜单中选择启用安全备份。目前,只有运行最新测试版 Signal 的 Android 用户可以启用此功能,但很快将推广到所有平台。启用后,设备将每天自动创建一个新的安全备份存档,替换前一天的存档。用户可以解密备份存档以恢复消息数据库,但不包括一次性查看的消息和 24 小时内计划消失的消息。

Signal 计划未来提供更多安全备份选项,包括让用户选择保存备份存档的位置,以及在 Android、iOS 和桌面设备之间传输加密消息历史的功能。安全备份目前已在 Android 测试版中提供,iOS 和桌面支持的完整公开发布即将到来。即使用户没有激活此功能,聊天对象也可以选择备份对话,这些对话将继续受到保护。


HN 热度 513 points | 评论 266 comments | 作者:keyboardJones | 6 hours ago #

https://news.ycombinator.com/item?id=45170515

  • Signal 新增功能允许在 Android、iOS 和桌面设备间转移加密消息历史。
  • 用户期待已久,因为从 Android 换到 iOS 时会丢失所有使用 E2EE 的聊天应用消息历史。
  • Telegram 因未加密而能正常工作,WhatsApp 迁移应用因 bug 失败,Signal 备份似乎不兼容不同操作系统。
  • 用户询问是否可以通过新功能合并旧 iPhone 和新 Android 手机的 Signal 消息历史。
  • Signal 开发者表示可以在新设备上恢复,旧设备数据仍然存在,可以重新注册旧设备回到原状态。
  • 用户希望测试恢复功能,特别是不干扰主设备的情况下使用密钥在新设备上恢复。
  • 用户询问备份功能是否允许在电脑上查看所有消息历史。
  • 有用户提到 Signal 在 Android 上免费离线备份是可能的,但备份文件大且耗时。
  • 现有的备份方式存在问题,如非增量备份、备份文件转移困难等。
  • 有用户提到 SyncThing 从 Play Store 消失是因为 Google 开始拒绝其更新。
  • 有用户认为 Google 的 APK 签名要求是一个混乱,但 Syncthing-Fork 可能不会受到太大影响。
  • 有用户认为用户没有直接在手机上同步数据的方式并不是一个值得付费解决的真正问题。

Meta suppressed research on child safety, employees say #

https://www.washingtonpost.com/investigations/2025/09/08/meta-research-child-safety-virtual-reality

Meta 公司被指控压制了关于其虚拟现实平台上儿童安全问题的研究。四名现任和前任员工向国会透露,公司的律师干预了可能揭示虚拟现实风险的研究。这些员工描述了一个案例,一位德国西部的母亲告诉 Meta 的研究人员,她不允许儿子们与陌生人在社交媒体巨头的虚拟现实头盔上互动。

然而,她的十几岁的儿子插话称,他经常遇到陌生人,成年人曾多次向他不到 10 岁的弟弟提出性要求。读者的评论普遍批评 Meta 公司,认为其为了利润优先而压制与儿童安全相关的研究,表达了对 Meta 动机的不信任,并将其与其他公司进行比较。


HN 热度 455 points | 评论 293 comments | 作者:mdhb | 10 hours ago #

https://news.ycombinator.com/item?id=45167705

  • 社交媒体是 21 世纪的烟草公司,明知有害却因利润继续运营。
  • 反对 Meta 公司行为的人应删除其旗下应用账户,或至少尽量减少使用。
  • 不要信任大公司,这是一条简单有效的生活准则。
  • 在日常生活中,完全避免依赖大公司是不现实的,但可以保持警惕。
  • 即使公司由人组成,也不要期待它们会有人类的同理心或道德行为。
  • 人们在寻找支持自己信念的理由,但也许我们应该对这些公司有更高的标准。
  • 一般性建议,不是严格的生活规则,应根据个人情况适当应用。
  • 人们信任监管而不是生产者,但监管者本身也常常不值得信任。
  • 由于公司不可信,许多行业现在受到高度监管。
  • 为什么开发应用的人没有受到监管,尽管他们有能力窃取数据、金钱和声誉?
  • 理发师需要注册和许可,但为什么构建应用的人不需要?
  • 拥有的工具被设计为绕过用户权威,听从谷歌等公司的指令。

Immich – High performance self-hosted photo and video management #

https://github.com/immich-app/immich

immich-app 是一个高性能的自托管照片和视频管理解决方案。该项目目前处于非常活跃的开发阶段,可能会有 bug 和破坏性变更。不建议将应用程序作为存储照片和视频的唯一方式,建议始终遵循 3-2-1 备份计划来保护珍贵照片和视频。

immich-app 的主要文档,包括安装指南,可以在 https://immich.app/ 找到。该应用提供了移动和网页端的功能,包括上传和查看视频照片、自动备份、防止资产重复、选择性备份相册、下载照片视频到本地设备、多用户支持、相册和共享相册、支持 raw 格式、查看元数据(EXIF、地图)、通过元数据、对象、面部和 CLIP 搜索、后台备份、虚拟滚动、OAuth 支持、API 密钥、LivePhoto/MotionPhoto 备份和播放、支持 360 度图像显示、用户定义的存储结构、公共分享、存档和收藏、全球地图、合作伙伴分享、面部识别和聚类、记忆(x 年前)、离线支持、只读画廊、堆叠照片、标签和文件夹视图等。

immich-app 支持多种语言,包括加泰罗尼亚语、西班牙语、法语、意大利语、日语、韩语、德语、荷兰语、土耳其语、中文、乌克兰语、俄语、葡萄牙语(巴西)、瑞典语、阿拉伯语、越南语、泰语等。项目活动包括星标历史和贡献者信息。


HN 热度 405 points | 评论 138 comments | 作者:rzk | 15 hours ago #

https://news.ycombinator.com/item?id=45165684

  • Immich 的软件供应链管理不佳,依赖更新频繁,用户希望有更成熟的依赖管理。
  • Immich 等待 5 天后才会提出依赖更新的 PR,这是一个好的做法。
  • 用户期待 Immich 有稳定的版本发布,并对备份问题表示担忧。
  • 项目处于 beta 阶段,用户认为直到有正式版本发布之前,项目会持续混乱。
  • 有用户认为项目永远不会稳定,而有用户认为项目正在稳步接近稳定发布的目标。
  • 快速的依赖更新虽然让项目感觉不够“生产就绪”,但也显示了活跃的开发和错误修复。
  • 用户倾向于等到项目被打包进 Debian/Ubuntu 后才使用,因为这表示依赖树已经稳定。
  • 有用户认为提供 Docker Compose 文件是项目不成熟的标志。
  • 项目正在积极开发中,负责任地保持依赖更新,这增加了用户的信心。
  • 用户发现 Immich 在性能和同步方面有了很大改进,尤其是启用了 beta 时间线后。
  • 用户希望搜索结果能按日期排序,而不是按相关性。
  • 从 iCloud 导入的照片日期是上传日期,而不是照片创建或标记的拍摄日期。
  • 用户反映在 Android 上使用新的 beta 时间线后,缩略图加载变慢。
  • 用户认为 Immich 作为备份替代方案很好,但作为日常照片画廊应用还有待提高。
  • 用户不知道 Immich 有 CLI 功能,希望能有文档指导。
  • 用户在 Pi4 上运行 Immich,性能虽不是最好,但可以正常工作。
  • 用户提到 immich-go 在迁移 Google Takeout 到 Immich 时非常有帮助。
  • 用户希望 Immich 能通过 CLIP 进行搜索,并根据语义意义搜索内容。

Pico CSS – Minimal CSS Framework for Semantic HTML #

https://picocss.com

Pico CSS 是一个极简和轻量级的前端 CSS 框架,专注于语义化的 HTML 元素,使得每个元素默认响应式且优雅。它不需要额外的类或 JavaScript,仅通过纯 HTML 标记就能实现简洁的样式。Pico CSS 以其轻量级和语义化的特点,提供了一个清洁且轻量级的设计系统起点。

Pico CSS 以其“少即是多”的设计理念,直接对 HTML 标签进行样式设置,整体使用不到 10 个类。它还提供了一个无类的版本,适合那些喜欢纯粹 HTML 的用户。Pico CSS 无需额外的包管理器、外部文件或 JavaScript,通过纯 CSS 实现优雅的样式。

Pico CSS 支持响应式设计,能够根据屏幕宽度自动调整字体大小和间距,实现跨设备的一致性和优雅外观。此外,Pico CSS 提供了两种颜色方案:浅色和深色,并且能够自动适应用户的颜色偏好设置,无需 JavaScript。

Pico CSS 允许通过超过 130 个 CSS 变量进行定制,或者使用 SASS 进一步定制。用户可以选择 20 种手工制作的颜色主题,并与 30 多个模块化组件组合,以适应品牌的视觉风格。

在性能方面,Pico CSS 避免了过度的 CSS 特异性和文件加载,减少了内存使用,保持了 HTML 的简洁性。Pico CSS 的设计哲学是“少即是多”,强调简单和易于维护的设计基础。

Pico CSS 由 Lucas Larroche 设计和构建,并得到了贡献者的帮助。代码采用 MIT 许可,文档采用 CC BY-SA 4.0 许可。当前版本为 2.1.1。


HN 热度 362 points | 评论 105 comments | 作者:mpweiher | 1 day ago #

https://news.ycombinator.com/item?id=45161855

  • Pico CSS 是一个极好的起点,易于定制和调整
  • 有人提到 Neat,一个更小的 CSS 框架
  • Pico CSS 受到 100 Rabbits 的启发
  • Pico CSS 适合小型项目,特别是与 Hugo 这样的静态网站生成器结合使用
  • Pico CSS 提供了 CSS 变量和颜色选项
  • 有人希望能将 Pico CSS 集成到 Tailwind CSS 中
  • 有人提到了 CSSBed 网站,可以预览不同的无类 CSS 主题
  • 有人提到了 github-markdown-css,认为它是一个合理的 CSS 系统起点
  • 有人提到了 CSS Zen Garden,一个展示不同 CSS 设计的网站
  • Tufte CSS 看起来很优雅
  • 有人提到了 dropin-minimal-css,包含许多不同的最小 CSS 框架
  • Pico CSS 在移动设备上表现良好,是移动优先的
  • 有人使用 Pico CSS 为自己的个人网站添加了暗色模式
  • 有人建议使用 Server Side Includes 来避免使用 JavaScript
  • 有人提到可以使用 HTML 的 embed 或 object 标签来插入 HTML,无需 JavaScript
  • 有人批评了 div 标签的过度使用,认为它导致了语义的弱化
  • 有人强调了学习语义 HTML 的重要性,以及公司对语义 HTML 的忽视
  • 有人提到了 Tailwind CSS 与 Pico CSS 的比较,以及 Pico CSS 的更新和特性
  • 有人对 Pico CSS 的新官网表示赞赏,并提到了 HTMX 和 HARC stack 的使用

Formatting code should be unnecessary #

https://maxleiter.com/blog/formatting

这篇文章讨论了编程中的代码格式化问题,特别是关于代码风格和 linter 工具的争议。文章提到,这些问题在 80 年代就已经得到了解决。作者的高中计算机科学老师 Mr. Paige 曾在 Ada 编译器项目中工作,他提到在 Ada 项目中,他们不存储文本源代码,而是使用一种名为 DIANA 的中间表示(IR)。DIANA 允许开发者根据自己的喜好进行漂亮的打印设置,因此空格与制表符之争变得无关紧要,因为它们不影响语义,而且系统上的编辑器允许直接修改程序树(即现代所谓的投影编辑)。

文章中提到,Rational R1000 工作站拥有许多前沿特性,如增量编译、语义分析、版本控制和一流的调试功能,这些都是内置的。R1000 与 Xerox Alto 类似,但使用的是 Ada 而不是 Smalltalk。R1000 在编写 ISS、F-22 等软件中被使用,并且促成了 UML 的诞生。

DIANA 是 Ada 的一个关键组件,它使得许多高级特性成为可能。R1000 不存储普通文本源代码,而是写入 DIANA。编译器和集成到机器中的 IDE 都理解 DIANA,因此可以按照你想要的方式查看源代码。使用 DIANA 和硬件加速,使得增量编译、轻松重构和快速集成成为可能,这对于使用 Ada 构建的大型系统至关重要。

作者认为,尽管我们今天不需要担心硬件加速编译,并且有更好的重构工具,但在代码格式化方面却有所退步。他并不是主张每个人都使用投影编辑和实时环境,但他认为我们肯定可以找到适合当今编程范式的东西。文章最后提供了一些进一步阅读的资料链接,并鼓励读者关注作者的 Twitter 或订阅 RSS 以获取未来的内容。


HN 热度 323 points | 评论 445 comments | 作者:MaxLeiter | 24 hours ago #

https://news.ycombinator.com/item?id=45163043

  • 一些人认为过于关注 linter 设置是不必要的,应该自动运行 linter 并接受团队确定的格式。
  • 有人认为源代码格式化程序和 lint 程序是不同的,前者重写代码以符合布局规则而不影响逻辑,后者用于识别潜在的实现错误。
  • 一些现代工具同时包含 linting 和格式化功能,使得两者之间的界限变得模糊。
  • 有人提到使用“检查”和“修复”这两个术语,因为越来越多的格式化工具开始包含修复功能。
  • 有人认为格式化工具会添加 git 噪音并污染审计跟踪,有时甚至会引入错误。
  • 有人反对格式化工具,认为它们重视一致性而牺牲了代码的可读性和可维护性。
  • 有人强调代码格式的一致性可以减少因不同人更改格式而产生的无意义的 git 噪音。
  • 有人建议在 CI 中强制执行格式化规则,以避免混乱和不必要的格式化更改。
  • 有人认为在 CI 中不执行的规则就不算规则,他们更重视快速构建而非代码格式化。
  • 有人指出,格式化工具破坏代码并不是所有语言生态中都存在的问题,主要是 C++ 和偶尔的 JS 问题。

How RSS beat Microsoft #

https://buttondown.com/blog/rss-vs-ice

RSS 在内容聚合战争中战胜了微软等大型科技公司支持的 ICE 标准。这个故事常被提及,但很少有人知道背后的原因。RSS 之所以胜出,是因为它更便宜、开放,并且易于博客作者使用 DIY 友好的 RSS feeds。ICE 虽然技术上更先进,但由于其复杂性、成本和封闭性,最终未能抵抗 RSS 的普及。

内容聚合战争的起源可以追溯到 1998 年,当时大型出版商开始关注内容聚合的商业潜力。他们希望通过简化网站重新包装和发布文章及电子商务目录的方式,来应对网站流量下降的问题。ICE 标准应运而生,旨在标准化一个网站上的数据如何自动发布到其他网站,从一开始就明确了其商业化目标。

与此同时,RSS 以一种更简单、开放的方式进入市场。它允许网站所有者使用 Netscape 的 XML 相关标签创建网站更新的 feed,并将其添加到 Netscape 的“频道”列表中。用户可以从列表中选择频道,将 widget 添加到他们的个性化 My Netscape Network 页面上,聚合他们最喜欢的博客和新闻网站。

ICE 和 RSS 在技术上有很多共同点,都使用 XML 作为共同语言,使用自描述标签区分内容元素,并允许订阅者随时“拉取”最新 feed。但在理念上,它们截然不同。ICE 由 Vignette 等公司创建,他们将技术发展交给了一个包括微软、Adobe、路透社等在内的联盟,而专注于商业发展。RSS 则相反,它的发展是由个人推动的,如 Dave Winer 在 Netscape 放弃开发后,自己编写了 RSS 的版本。

ICE 的要求过于复杂,其目标是自动化复杂的企业出版合作伙伴关系。它包含了目录定价和谈判、内容过期标签、版权执行功能以及将显示网站的视觉品牌应用于 feed 内容的能力。尽管这些功能可以被忽略,但这并没有使其 58,000 字的入门指南更易于理解。

相比之下,RSS 的设置和聚合器几乎任何人都可以操作。当 Winer 在 2002 年发布 RSS 2.0 版本时,一个 feed 只需包含三个元素:feed 标题、feed 描述和要分享项目的链接。RSS 的简单性使其迅速普及,甚至连《纽约时报》这样的大出版商也在 2002 年 11 月采用了 RSS。尽管 ICE 在 2004 年发布了 2.0 版本,但不到一年后,微软——ICE 的最大支持者——就有了一个专门的 RSS 博客,提出了 Internet Explorer 内置 RSS 功能的图标设计。这并非明确投降,但 ICE 和 RSS 理论上可以共存,就像 Betamax 可以允许其他公司制造和销售 Betamax 播放器一样。但他们没有这样做,所以他们输了。在这场战争中,小的胜利比大的胜利更重要。


HN 热度 251 points | 评论 148 comments | 作者:vidyesh | 12 hours ago #

https://news.ycombinator.com/item?id=45166750

  • RSS 对消费者友好,但对发布者帮助不大
  • 很多人使用 RSS 阅读器来管理订阅内容,比电子邮件更方便
  • 浏览器取消原生 RSS 支持导致很多人转向其他平台
  • 一些平台如 Reddit 仍然提供 RSS,但似乎并不重视
  • RSS 无法放置广告,因此网站倾向于迫使用户访问网站本身
  • RSS 中可以手动添加广告,但不能使用第三方广告网络
  • 通过 RSS 无法像电子邮件那样追踪用户行为
  • 可以通过 RSS 生成唯一链接进行追踪,但计算成本较高
  • 如果 RSS 更受欢迎,可能会有更多追踪点击和广告浏览的方法出现
  • RSS 是一个小众市场,因为大多数人不想自己管理订阅源

Keeping secrets out of logs (2024) #

https://allan.reyes.sh/posts/keeping-secrets-out-of-logs/

这篇文章讨论了如何防止敏感数据泄露到日志文件中。作者指出,没有单一的解决方案可以完全解决这个问题,而是需要采取多种措施,即所谓的“铅弹”策略。文章提出了 10 种方法,虽然不完美,但如果正确实施并结合多层防御,可以大大提高防止敏感数据泄露的机会。

文章首先介绍了日志中敏感数据泄露的问题,包括直接记录敏感数据、“厨房水槽”对象(包含或持有敏感数据的对象)、配置更改、嵌入式秘密、遥测和用户输入等六个常见原因。这些问题不仅令人烦恼,而且难以预防,因为它们可能以意想不到的方式出现在不同的地方。

接着,文章提出了一些解决方案,包括数据架构、数据转换、领域原语、编译时和运行时检查、一次性读取对象和污点检查等。作者强调,尽管这些方法并不完美,但通过综合运用这些策略,可以更有效地防止敏感数据泄露到日志中。

文章还讨论了日志格式化器、单元测试、敏感数据扫描器、采样和日志预处理器等工具和技术的使用,以及人员在防止敏感数据泄露中的作用。

最后,文章总结了策略,包括奠定基础、理解数据流、在关键点保护和应用多层防御、计划响应和恢复。作者希望通过这篇文章,读者能够对如何防止敏感数据泄露到日志中有一个更好的框架,并增加一些新的想法。


HN 热度 240 points | 评论 52 comments | 作者:xk3 | 1 day ago #

https://news.ycombinator.com/item?id=45160774

  • 这是一个优秀的资源,无论是否同意作者的结论,它都是一个很好的问题列表,描述清晰,并附有技术解决方案。
  • 通过在敏感字符串中插入特定的标记字符串(如可识别的前缀 + 随机生成的 UUID),可以在源头插入并在接收端移除,以防止敏感信息进入日志。
  • 该方法可能比文章中提到的其他运行时技术更复杂且效果较差,不是自动单次使用,不是静态检查,容易出错,不能防止无意中泄露秘密。
  • 该技术的一个原因是在保持字符串的保护的同时,尽可能使其看起来和感觉像底层内容,以便尽可能少地(和尽可能晚地)进行最后的解封操作。
  • 当秘密可能出现在字符串的任何位置且无法控制输入时,需要将秘密传递给日志记录器以便可以进行脱敏处理。
  • 可以通过在每个节点上运行 rsyslog,使用正则表达式匹配所有已知模式,并通过各种插件/附加组件将所有应用程序发送到本地 rsyslog 实例,然后加密 rsyslog 上游到集中式日志服务器。
  • Java 中有 GuardedString 实现,但这不是标准 API 的一部分,看起来像是 Oracle Fusion 的框架 API,且不是开源的。
  • GuardedString 不能直接记录,因为它不实现 toString()方法,需要通过 access()方法传递访问器实例来提取明文。
  • 即使日志被完美地清理,它也可能包含许多你不想与对手分享的生产环境数据。
  • 日志可能需要暴露给支持团队、值班团队、所有开发人员等,这些人比需要访问秘密的人多得多。
  • 有来自对手的秘密和内部隔离的秘密,可能有数百人需要查看路由器的 syslog,但几乎没有人需要访问管理用户的登录凭据。
  • 是的,但想想深度防御,你的团队成员可能会告诉竞争对手你的高峰使用时间,但他不应该能够告诉他们所有客户的密码。
  • 个人信息识别(PII)与专有信息不同,客户的电子邮件?PII。遮蔽它。你的代码的堆栈跟踪?专有信息。员工可以看到它以进行故障排除。

Hacker News 精彩评论及翻译 #

NPM debug and chalk packages compromised #

https://news.ycombinator.com/item?id=45169794

Hi, yep I got pwned. Sorry everyone, very embarrassing.

More info:

Affected packages (at least the ones I know of):

It looks and feels a bit like a targeted attack.

Will try to keep this comment updated as long as I can before the edit expires.


Chalk has been published over. The others remain compromised (8 Sep 17:50 CEST).

NPM has yet to get back to me. My NPM account is entirely unreachable; forgot password system does not work. I have no recourse right now but to wait.

Email came from support at npmjs dot help.

Looked legitimate at first glance. Not making excuses, just had a long week and a panicky morning and was just trying to knock something off my list of to-dos. Made the mistake of clicking the link instead of going directly to the site like I normally would (since I was mobile).

Just NPM is affected. Updates to be posted to the /debug-js link above.

Again, I’m so sorry.

junon

大家好,是的,我被黑了。对不起大家,非常尴尬。

更多信息:

受影响的软件包(至少是我所知道的):

这看起来感觉有点像一次有针对性的攻击。

我会在编辑过期前,尽力保持此评论的更新。


Chalk 已经重新发布了。其他包仍然被攻破(中欧夏令时间 9月8日 17:50)。

NPM 还没有回复我。我的 NPM 账户完全无法访问;忘记密码系统无法工作。我现在别无办法,只能等待。

邮件来自 support at npmjs dot help。

乍一看很正规。我不是在找借口,只是那一周过得很长,早上又很慌乱,只想快点完成待办事项中的一样。我犯了一个错误,像往常一样(因为当时我在用手机)没有直接访问网站,而是点击了链接。

只有 NPM 受到了影响。更新将发布到上面的 /debug-js 链接中。

再次向大家道歉。


The MacBook has a sensor that knows the exact angl… #

https://news.ycombinator.com/item?id=45161826

The lid angle sensor is also serialized to the motherboard: you cannot replace it, or the motherboard, without performing calibration, which can be performed by an apple authorized service provider, or alternatively, in Europe (and elsewhere where Apple offers parts for self-service repair), you can purchase the sensor from Apple, connect the machine to the internet after replacing it, to then perform the calibration, only if the sensor was purchased from Apple.

So the hardware is capable of performing the calibration, Apple just does not graciously grant you the right to install a recycled or third party sensor in your machine.

https://www.ifixit.com/Answers/View/759262/Torn+Lid+angle+sensor

Doohickey-d

屏盖角度传感器的序列号也与主板绑定在一起:如果不进行校准,你无法更换它或主板。此校准可以由苹果授权服务提供商进行,或者,在欧洲(以及苹果提供零部件用于自行维修的其他地区),你可以从苹果那里购买该传感器,但前提是该传感器是从苹果购买的,更换后需要将电脑连接到互联网才能完成校准。

所以,硬件本身是有能力进行校准的,苹果只是不愿意授予你在自己的电脑上安装翻新件或第三方传感器的权利。


What is the origin of the private network address … #

https://news.ycombinator.com/item?id=45157481

Daniel Karrenberg, co-author of RFC1918, said this 2017-10-06 on the NANOG mailing list:

On 05/10/2017 07:40, Jay R. Ashworth wrote:

Does anyone have a pointer to an authoritative source on why

10/8 172.16/12 and 192.168/16

were the ranges chosen to enshrine in the RFC? …

The RFC explains the reason why we chose three ranges from “Class A,B & C” respectively: CIDR had been specified but had not been widely implemented. There was a significant amount of equipment out there that still was “classful”.

As far as I recall the choice of the particular ranges were as follows:

10/8: the ARPANET had just been turned off. One of us suggested it and Jon considered this a good re-use of this “historical” address block. We also suspected that “net 10” might have been hard coded in some places, so re-using it for private address space rather than in inter-AS routing might have the slight advantage of keeping such silliness local.

172.16/12: the lowest unallocated /12 in class B space.

192.168/16: the lowest unallocated /16 in class C block 192/8.

In summary: IANA allocated this space just as it would have for any other purpose. As the IANA, Jon was very consistent unless there was a really good reason to be creative.

Daniel (co-author of RFC1918) https://web.archive.org/web/20190308152212/https://mailman.nanog.org/pipermail/nanog/2017-October/092636.html

isThereClarity

RFC1918的合著者Daniel Karrenberg于2017年10月6日在NANOG邮件列表上发表了以下言论:

在2017年10月5日07:40,Jay R. Ashworth写道:

有人能提供一个指向权威来源的链接,解释为什么RFC中选择了

10/8 172.16/12 和 192.168/16

这些地址段吗?……

RFC解释了我们分别从“A类、B类和C类”中各选择一个范围的原因:CIDR虽然已被定义,但尚未得到广泛实施。当时仍有大量设备是“有类”的。

据我回忆,具体范围的选择如下:

10/8:当时ARPANET刚刚关闭。我们中的一人提出了这个建议,Jon认为这是对这块“历史性”地址块的再利用。我们还怀疑“net 10”可能在某些地方被硬编码,因此将其用于私有地址空间,而不是在自治系统间路由,或许有一个小小的优势,就是将这种愚蠢的行为限制在本地。

172.16/12:B类地址空间中最低的未分配/12网段。

192.168/16:在C类地址块192/8中,最低的未分配/16网段。

总而言之:IANA分配这段地址空间的方式,与分配任何其他用途的空间时一样。作为IANA,Jon非常一以贯之,除非有充分的理由进行创新。

Daniel(RFC1918合著者)


NPM debug and chalk packages compromised #

https://news.ycombinator.com/item?id=45170133

One of the most insidious parts of this malware’s payload, which isn’t getting enough attention, is how it chooses the replacement wallet address. It doesn’t just pick one at random from its list.

It actually calculates the Levenshtein distance between the legitimate address and every address in its own list. It then selects the attacker’s address that is visually most similar to the original one.

This is a brilliant piece of social engineering baked right into the code. It’s designed to specifically defeat the common security habit of only checking the first and last few characters of an address before confirming a transaction.

We did a full deobfuscation of the payload and analyzed this specific function. Wrote up the details here for anyone interested: https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the

Stay safe!

DDerTyp

该恶意软件载荷最阴险、却未得到足够重视的部分之一,是它如何替换钱包地址。它并非只是从列表中随机选择一个。

实际上,它会计算合法地址与自身列表中每个地址之间的莱文斯坦距离(Levenshtein distance)。然后,它会选择在视觉上与原始地址最相似的攻击者地址。

这是一种内置于代码中的、极其巧妙的社交工程学攻击。其目的在于精准地攻破人们在确认交易前,仅检查地址开头和结尾几个字符这一常见的安全习惯。

我们对载荷进行了完整的反混淆(deobfuscation)并分析了这个特定函数。任何感兴趣的人都可以在这里阅读详细内容:https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the

祝各位安全!