2025-11-22 10:05:47
- 谷歌将 Quick Share 与 AirDrop 兼容,首发在 Pixel 10 实现 Android 与 iPhone 之间的安全无缝文件传输。
- 美国边境巡逻队利用全国车牌识别和算法监控司机并以“可疑”行程为由通知拦截与拘留,引发隐私与宪法担忧。
- 微软把《Zork I/II/III》原始源码以 MIT 许可证开源,保留历史真实性以供研究与教学。
- Wealthfolio 2.0 是一款强调本地隐私的开源投资组合追踪工具,现已支持移动端与 Docker 部署。
- 因美国制裁,国际刑事法院法国法官被切断与美国相关的线上服务和支付通道,突显欧洲对数字主权的担忧。
- AI2 发布开源 Olmo 3 系列并完整公开训练流程、检查点与数据,强调可复现性与可追溯推理。
- Charm Industrial 创始人指出过度监管和审批延迟使碳封存项目成本大幅上升并阻碍清洁技术落地。
- Qualcomm 收购 Arduino 后更新的使用条款引发社区对与现有开源许可冲突及开源精神受损的担忧,需明确界定。
- ravynOS 基于 FreeBSD 致力实现与 macOS 在源码和二进制层面的部分兼容,提供类 macOS 体验以吸引社区参与。
- 提议对开源依赖实行“冷却期”(延迟自动更新)以阻断大多数短时窗口的供应链攻击并提升安全性。
https://blog.google/products/android/quick-share-airdrop/
谷歌宣布,Android 和 iPhone 用户现在可以更便捷地共享文件,这一功能首先面向 Pixel 10 系列设备推出。通过将 Quick Share 与 AirDrop 兼容,用户可在 iPhone 和 Android 设备之间无缝传输文件,无需考虑设备平台差异。
该功能以安全为核心设计,采用了经过独立安全专家验证的强防护机制,确保用户数据安全。这是谷歌持续提升跨平台兼容性的又一举措,此前已在 RCS 消息和未知追踪器提醒方面取得进展。
目前该功能已开始向 Pixel 10 系列设备推送,未来计划扩展至更多 Android 设备。用户可通过 Pixel 10 Pro 的演示视频了解实际使用效果,并亲自体验这一新功能。
https://news.ycombinator.com/item?id=45994854
美国边境巡逻队正在全国范围内监控数百万名美国司机,实施一项秘密程序,目的是识别和拘留被认为有 “可疑” 旅行模式的人。根据《美联社》的调查,这一预测性情报程序导致一些人被拦截、搜查,甚至在某些情况下被逮捕。
该程序依赖于一网络摄像头来扫描和记录车辆的牌照信息,算法会根据车辆的出发地、目的地和行驶路线来标记可疑车辆。联邦特工随后可能会通知地方执法部门。司机在毫不知情的情况下,被以超速、未打信号、窗膜不合规或甚至是悬挂的空气清新剂为理由被拦下,接受激烈的询问和搜查。
这一监控系统最初是为打击非法边境活动和贩运毒品及人员而设,近年来已扩展至深入美国内部,监控普通美国人的日常行为和连接。该项目在过去五年内迅速扩大,与其他机构合作,获取来自全国范围内的牌照阅读器数据,甚至利用私人公司的数据,以及越来越多由联邦拨款资助的地方执法程序。
美国海关和边境保护局(CBP)的这一变化,令其更像一个国内情报机构。在特朗普政府对移民执法力度加大的背景下,CBP 正准备获得超过 27 亿美元的资金来扩展边境监控系统,包括在牌照读取程序中引入人工智能等新兴技术。
这项调查显示,边境巡逻队通过隐蔽的牌照阅读器系统进行大规模监控,捕捉大量关于人们是谁、去哪里、做什么和与谁交往的信息。一些法律学者指出,这种大规模监控的增长可能引发宪法上的质疑,尤其是第四修正案保护人们免受不合理搜查。
根据 AP 的报道,边境巡逻队已定义出可疑驾驶行为的标准,可能会因为多种原因(例如:在偏僻道路行驶、驾驶租赁车或短途旅行至边境地区)而拦截车辆。监控网络不仅限于南部边境,还影响到包括芝加哥、底特律、洛杉矶、圣安东尼奥和休斯顿在内的大城市及其周边地区。
在一个案例中,司机洛伦佐・古铁雷斯・卢戈(Lorenzo Gutierrez Lugo)被当地警察以超速为由拦下,但实则是边境巡逻队的要求,经过审问后未发现任何违禁物品。此后,他因涉嫌洗钱和参与有组织犯罪而被逮捕,最终并未被起诉。
这项调查揭示了边境巡逻队与地方执法部门之间的信息共享,包括司机的社交媒体资料和家庭住址,显示出美国的公路网络已嵌入了预测性监控技术。此外,边境巡逻队的程序被认为在某种程度上并未遵循法律规定和宪法保护,引发了关于隐私和公民权利的广泛讨论。
https://news.ycombinator.com/item?id=45996860
微软开源项目办公室(OSPO)、Xbox 团队与动视(Activision)合作,将经典文字冒险游戏《Zork I》《Zork II》和《Zork III》的源代码以 MIT 许可证正式开源。
这些游戏曾深刻影响了电子游戏的发展,开创了以文字构建沉浸式世界的新范式。其核心技术“Z-Machine”是一个虚拟机规范,使游戏能跨平台运行于 Apple II、IBM PC 等早期设备,是早期真正意义上的跨平台游戏系统。
此次开源行动旨在保存游戏历史遗产,便于学生、教师与开发者研究、学习和体验。代码已提交至历史仓库,包含原始源码、构建说明与文档,并明确标注 MIT 许可证,确保可追溯性与合规性。
开源不包含商业包装、营销材料或商标权,所有外部资产均被排除,以维护历史真实性。
如今,玩家可通过《Zork 合集》在 Good Old Games 平台购买游玩。技术爱好者也可使用现代工具如 ZILF(由 Tara McGrew 开发)将 ZIL 源码编译为 Z3 文件,并在各类 Z-Machine 解释器(如 Frotz、Fic)中运行,实现本地化体验。
未来欢迎社区提交问题、分享见解或贡献小而清晰的改进,目标是让 Zork 成为持续探索与教育的资源,而非被“现代化”改造。
这不仅是对 Infocom 创始团队的致敬,也是对数字文化遗产守护者 Jason Scott 及互联网档案馆的感谢,体现了多方协作推动开源与历史保存的深远意义。
https://news.ycombinator.com/item?id=45995740
https://wealthfolio.app/?v=2.0
Wealthfolio 是一款本地运行的开源投资组合追踪工具,强调隐私保护和数据安全,所有数据均存储在用户设备上,不上传至云端。
该应用支持桌面、移动设备和网页端使用,界面简洁美观,功能强大,无需订阅费用,仅提供可选的一次性付费。
核心功能包括:聚合多个投资与储蓄账户,支持从券商或银行导入 CSV 格式交易记录;全面查看持仓情况,涵盖股票、ETF、加密货币等资产;提供资产配置分析与绩效追踪,可对比账户表现及市场基准(如标普 500)。
用户可监控股息与利息收入,跟踪各账户历史表现,设定财务目标并实时查看进度。针对税优账户(如 IRA、401(k)、TFSA),支持贡献额度提醒,防止超额缴纳。
此外,通过可扩展的插件系统,用户可添加投资费用追踪、目标进度可视化、股票交易记录等功能,进一步增强使用体验。
整体定位为一款私密、免费、功能全面的个人财富管理工具,适合希望掌控自身财务数据并避免依赖商业平台的用户。
https://news.ycombinator.com/item?id=46006016
https://www.heise.de/en/news/How-a-French-judge-was-digitally-cut-off-by-the-USA-11087561.html
法国国际刑事法院(ICC)法官尼古拉·吉约(Nicolas Guillou)因美国对其实施制裁,遭遇严重的数字生活限制。2025 年 8 月,美国财政部以 ICC 对以色列总理内塔尼亚胡和国防部长加兰特发出逮捕令为由,将吉约等六名法官及三名检察官列入制裁名单。
这一制裁导致吉约在数字领域几乎被全面切断。他所有与美国公司相关的账户,如亚马逊、Airbnb、PayPal 等,均被立即关闭。在线预订服务(如 Expedia)的订单被自动取消,即使涉及法国境内酒店。参与电子商务几乎不可能,因为全球多数交易系统仍依赖美国技术。
在金融方面,美国主导的支付体系(如 Visa、Mastercard、American Express)对吉约全面封锁,其银行账户也受到限制,部分非美国银行账户被部分关闭。美元交易或美元兑换被明确禁止。
吉约形容自己的处境如同“数字时代的倒退”,回到 1990 年代互联网尚未普及的阶段。他强调,这凸显了欧洲对美国数字技术的严重依赖,呼吁欧盟应激活《第 2271/96 号条例》——一项旨在阻止第三国(如美国)制裁在欧盟境内执行的法律机制,以保障司法独立与数字主权。
该事件再次引发对欧洲数字自主权的讨论,尤其在德法峰会后,数字主权成为焦点议题。
https://news.ycombinator.com/item?id=46003778
https://allenai.org/blog/olmo3
AI2 发布了 Olmo 3 系列开源大模型,标志着开放人工智能发展的重要一步。与以往仅发布最终模型权重不同,Olmo 3 首次完整开放了“模型流”(model flow),即从预训练到后训练的全部流程,包括每个阶段的检查点、数据集、代码和依赖项,实现全流程可追溯、可定制。
Olmo 3 系列包含多个模型变体,均基于 7B 和 32B 参数规模,适用于从笔记本电脑到研究集群的多种硬件环境。核心模型包括:
Olmo 3 提供多条发展路径:Instruct 路径用于日常对话与工具使用,Think 路径支持长程推理与智能体行为,RL Zero 路径则为强化学习研究提供起点。用户可自由在任意阶段介入,替换数据、调整训练策略或构建新路径。
所有模型、数据、代码与检查点均以宽松开源许可证发布,确保社区可自由使用、修改与扩展。AI2 强调,模型流本身已成为可复用的研究基础设施,而不仅是成果记录。
该系列模型在全面更新的评估套件中表现优异,涵盖数学、编程、工具使用、常识问答等多个能力维度,整体性能达到当前完全开源模型的领先水平。其成功得益于全流程的数据精炼、训练策略优化以及在数据处理、训练与强化学习方面的多项技术创新。
https://news.ycombinator.com/item?id=46001889
https://rein.pk/over-regulation-is-doubling-the-cost
Peter Reinhardt,Charm Industrial 的联合创始人兼 CEO,分享了他在硬科技创业过程中遭遇的严重监管障碍。尽管其公司致力于碳移除和清洁技术,但超过一半的建设成本源于冗长、复杂的监管流程。
Charm Industrial 通过将农业和林业残留物转化为类似烧烤酱的碳富集液体,并注入废弃油井实现永久碳封存。这项技术不仅能减少大气中的二氧化碳,还能降低野火燃料、清理废弃油井,并改善 PM2.5 和 NOₓ 等有害空气污染物。然而,其核心问题在于:这种新型注入方式应归类为哪一类井?Class I、II 还是 V?这一分类问题耗时四年才得到初步明确,最终通过一个长达 14 个月的审查流程才获得美国首个 Class V 生物油封存许可。
若审批能在 6 个月内完成,而非 5.5 年,Charm 将多运行 5 年,每年可封存 3 万吨碳,按每吨 600 美元计算,相当于节省 9000 万美元。此外,因延迟导致的生物质焚烧增加了大量空气污染,仅 PM2.5 造成的医疗成本就高达每年 4000 万美元,五年累计达 2 亿美元,总社会成本约 4 亿美元,其中 1.2 亿至 1.5 亿美元由 Charm 承担,其余 3 亿由公共医疗系统承担。
Reinhardt 指出,监管本意是保护环境与公众健康,但当前制度因过度复杂、预算不足、人员短缺以及自 1970 年代以来频繁的法律诉讼,导致监管机构陷入“零风险”心态,对创新技术普遍持“否决”态度。这种“什么都不能做”的文化,正在阻碍真正能改善环境和健康的创新落地。
另一项目 Revoy 则通过在传统柴油卡车后部加装电动动力系统,实现燃油效率从 7 英里/加仑提升至 120 英里/加仑,减少 94% 燃料消耗和排放。但同样面临监管模糊:该改装是否属于“车辆改装”?是否需通过车辆安全认证?这类问题让项目进展受阻,额外产生数百万美元的合规成本。
Reinhardt 强调,当前监管体系已从“保护”异化为“阻碍”。他呼吁简化法规、提高监管人员待遇、限制无意义的法律挑战,让真正有益的技术能快速落地。否则,大量本可改善气候、健康与经济的硬科技创业公司,将在漫长的审批中被扼杀。
https://news.ycombinator.com/item?id=45999038
https://www.molecularist.com/2025/11/did-qualcomm-kill-arduino-for-good.html
Qualcomm 最近收购了 Arduino,引发开源社区的广泛担忧。新发布的条款和隐私政策由 Qualcomm 律师团队起草,内容充满企业级 SaaS 的典型法律条款,如强制仲裁、数据整合、出口管制和禁止反向工程等,与 Arduino 作为开源生态核心的定位严重冲突。
最令人担忧的是,新条款明确表示用户使用平台不获得任何专利许可,这意味着 Qualcomm 未来可能基于专利对使用 Arduino 工具或兼容硬件的项目发起诉讼。而更矛盾的是,Arduino IDE 和 CLI 仍采用 AGPL 和 GPLv3 开源协议,明确允许反向工程,但新条款却禁止“平台”的反向工程,造成法律上的根本冲突。
社区质疑这是否是律师误用标准模板,还是 Qualcomm 有意逐步控制生态。尽管有观点认为“平台”仅指云服务(如 Arduino Cloud、Project Hub),不包括 IDE 和 CLI,但这一界限必须明确说明,否则将导致库开发者和硬件厂商陷入法律风险。
Adafruit 的警告值得重视。作为长期坚持开源原则的企业,其发声并非出于竞争,而是对“开源共同体”价值的捍卫。Arduino 的价值不在于硬件本身,而在于它作为创客生态“通用语言”的地位——几乎所有主流开发板(如 ESP32、STM32、Raspberry Pi Pico)都兼容 Arduino IDE,大量教程、课程和开源库都基于 Arduino 体系。
一旦 Arduino 的开放性被破坏,整个创客生态将面临严重冲击。替代工具如 PlatformIO 或 VSCode 缺乏对新手的友好性,无法承担 Arduino IDE 的启蒙角色。历史上 Hypercard 的消亡曾导致一代开发者断层,类似风险正在重现。
更深层的问题是,Arduino 承载了二十年积累的教育内容、项目实践和学术资源。一旦其开放性被削弱,这些知识将面临“搁浅”风险,如同将维基百科变为付费墙。
Qualcomm 的法律团队本应意识到,Arduino 不是普通企业,而是一个共享的数字公共领域。用企业 SaaS 的法律框架去管理一个共同体,无异于自毁根基。虽然这可能是法律合规的“正常操作”,但对社区信任的摧毁是不可逆的。
真正的解决方案在于:Qualcomm 应主动澄清,明确将新条款限制在云服务范围,保护 IDE、CLI 和核心库的开放性;提前沟通,用通俗语言解释变更,重建信任。否则,这场收购将不仅失去一个品牌,更可能葬送整个创客生态的未来。
https://news.ycombinator.com/item?id=46005553
https://github.com/ravynsoft/ravynos
ravynOS 是一个基于 FreeBSD 的开源操作系统项目,旨在为 x86-64(未来也将支持 ARM)平台提供与 macOS 相似的用户体验,并实现源代码和二进制级别的兼容性。
项目核心目标包括:
当前版本为 0.6.1,项目持续整合来自 FreeBSD stable/15 的更新,优化构建流程与系统稳定性。 ravynOS 采用 BSD 许可证,欢迎社区贡献与赞助,可通过 Patreon 和 PayPal 支持项目发展。
官网: www.ravynos.com 项目主页:GitHub 上的 ravynsoft/ravynos 仓库
https://news.ycombinator.com/item?id=45997212
https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns
本文讨论了开源软件供应链安全问题,并提出“依赖冷却期”(dependency cooldowns)作为一种简单、免费且高效的防御手段。
核心观点是:大多数开源供应链攻击的攻击窗口期较短,通常在数小时到数天之间,而从攻击发布到被发现并修复的时间差(即“冷却期”)往往长达数周甚至数月。这意味着,一旦攻击者发布恶意版本,其实际可造成损害的时间窗口其实非常有限。
作者指出,通过设置依赖冷却期——即在依赖包发布后等待一段时间(如 7 天或 14 天)才允许自动更新或使用——可以有效阻止绝大多数此类攻击。例如,文中列举的 10 起典型攻击中,8 起的攻击窗口不足一周,设置 7 天冷却期即可避免大部分攻击;设置 14 天则几乎能阻止全部攻击,仅“xz-utils”攻击因持续时间极长而例外。
实现冷却期非常简单,主流工具如 Dependabot、Renovate 以及 pnpm、uv 等包管理器已提供相关功能,开发者只需在配置中添加 cooldown 设置即可。
此外,冷却期还能促使安全厂商更专注于快速发现和报告真实威胁,而非制造“危言耸听”的宣传。
尽管冷却期不能解决所有问题(如长期隐藏的恶意代码或信任问题),但作为一项零成本、易部署的技术措施,它能带来 80%-90% 的安全提升,是当前应对供应链攻击最值得推广的实践之一。
最后,作者呼吁包管理生态系统应将冷却期功能原生集成到工具链中,而非依赖外部工具,以实现更可靠、更统一的防护。
https://news.ycombinator.com/item?id=46005111
2025-11-21 07:57:30
- Google DeepMind 发布基于 Gemini 3 Pro 的 Nano Banana Pro 图像生成与编辑模型,支持最高 4K、多语言准确文字、品牌风格控制并附带 SynthID 水印,用于多平台创作与广告。
- Meta 推出 SAM 3,提供基于自然语言或视觉提示的精确图像与视频分割与跟踪能力,已在 Instagram Edits 等产品中落地以提升创作与开发工作流效率。
- 美国专利商标局拟推新规大幅限制 IPR 复审,使经挑战幸存的专利难再被审理,可能加剧滥用专利对中小企业的诉讼威胁。
- 随着 Valve 的 Proton、Steam Deck 及面向游戏的发行版(如 CachyOS)发展,在桌面上用 Linux 玩游戏变得更易上手且前景乐观。
- 作者认为 AI 被过度吹捧,虽在检索等小任务有用,但在复杂设计与大规模自动化上常投入大于产出,并助长资本与权力集中化风险。
- OpenAI 推出面向复杂长周期开发的 GPT-5.1-Codex-Max,提升代码生成与长期推理能力,支持百万级 token 窗口并在安全沙箱中运行以便审查。
- Arduino 被高通收购后悄然修改服务条款与隐私政策,加入永久许可、AI 行为追踪与禁止逆向工程等限制,引发教育与开源社区担忧。
- NTSB 报告称集装箱船因松动电线引发断电失去推进并撞上弗朗西斯·斯科特·基大桥致桥塌和六人死亡,指出电气安装缺陷与防护不足并下发多项安全建议。
- 粉丝项目 Chrono Divide 在浏览器中重制《红色警戒2》,实现跨平台运行、完整原版地图与多人对战并兼容大量 MOD。
- 《Calvin and Hobbes》四十周年回顾称比尔·沃特森的漫画以独特幽默与深刻思想影响一代读者,作者于高峰期主动完结并持续引发讨论。
https://blog.google/technology/ai/nano-banana-pro/
Google DeepMind 正式推出全新图像生成与编辑模型 Nano Banana Pro,基于 Gemini 3 Pro 构建,具备更强的推理能力与现实世界知识,可实现更精准、高保真的视觉创作。
该模型支持在图像中生成准确且清晰的多语言文字,适用于海报、 mockup、国际内容创作等场景。无论是创建教育类信息图、展示食谱步骤,还是结合实时天气数据生成艺术风格的视觉内容,Nano Banana Pro 都能提供高质量输出。
用户可通过 Gemini 应用、Google Ads、Google AI Studio 等多个平台体验 Nano Banana Pro。模型支持高达 4K 分辨率,具备一致的品牌风格控制与高级创意功能,助力从想法到成品的高效转化。
所有生成内容均附带 SynthID 水印,确保生成内容的透明性与可追溯性,提升可信度。
https://news.ycombinator.com/item?id=45993296
Meta 推出全新 Segment Anything Model 3(SAM 3),这是一个支持文本和视觉提示的先进图像与视频分割模型,即将集成至 Instagram Edits 和 Meta AI 应用中的 Vibes 功能。
SAM 3 具备多项强大功能:可通过自然语言描述(如“蓝色汽车”)或视觉示例(如框选一个物体)精准识别并分割图像或视频中所有匹配对象;支持点击、框选、掩码等多种交互方式;若模型出现误判,用户可添加后续提示进行修正,实现动态优化。
该模型在图像与视频的文本和视觉分割任务中均达到业界领先水平,同时继承了 SAM 2 的全部性能与功能,专为真实应用场景设计,已在 Instagram Edits 视频创作工具中落地,帮助创作者快速为人物或物体添加特效。
SAM 3 采用统一的可提示架构,基于大规模多样化数据集训练,结合强大的感知编码器,实现跨模态、跨任务的高效分割与跟踪能力。
作为 Segment Anything 系列的最新演进,SAM 3 持续推动媒体工作流的智能化升级,为开发者、研究人员及创作者提供更强大、灵活的工具支持。
https://news.ycombinator.com/item?id=45982073
https://www.eff.org/deeplinks/2025/11/patent-office-about-make-bad-patents-untouchable
美国专利商标局(USPTO)拟推出新规则,将严重限制公众挑战错误授予专利的途径,尤其是通过“双方复审”(Inter Partes Review, IPR)程序。这一改变将使专利流氓(patent trolls)得以长期保留无效专利,进一步加剧对小企业、开发者和普通技术用户的诉讼威胁。
IPR 是一种由美国专利审判和上诉委员会(PTAB)主持的快速、低成本的行政审查程序,允许个人或组织在专利被授予后,基于现有技术(prior art)挑战其有效性。该机制曾成功撤销多个滥用专利,例如“播客专利”“健身数据上传专利”和“快递通知专利”等,保护了整个行业免受恶意诉讼。
然而,新规则将带来三大致命影响:第一,被告必须放弃在法院挑战专利有效性的权利,才能申请 IPR,这在实际诉讼中几乎不可行;第二,一旦专利在任何一次挑战中幸存,无论理由是否充分,都将永久“不可挑战”;第三,若预计联邦法院案件进展更快,IPR 将被直接禁止,使被告只能面对昂贵且漫长的司法诉讼。
这些规则实质上剥夺了公众纠正专利错误的机会,使专利流氓得以利用漏洞持续施压。尽管 USPTO 声称法院仍可挑战专利,但现实中,联邦法院诉讼成本高昂、耗时多年,对大多数中小企业和个体开发者而言根本不可行。
文章呼吁公众立即提交反对意见,强调 IPR 是国会为纠正专利系统错误而设立的重要机制,其存废应由立法机构决定,而非由行政机构通过规则随意削弱。保护 IPR,就是保护创新与公平竞争的根基。
https://news.ycombinator.com/item?id=45985890
https://www.theverge.com/tech/823337/switching-linux-gaming-desktop-cachyos
作者 Nathan Edwards 决定尝试将 Linux 安装到自己的游戏电脑上,原因是对 Windows 11 的现状感到失望。他指出,Windows 近年来不断引入令人困扰的新功能,如强制使用 OneDrive、Edge 浏览器、Bing 和 Copilot,同时削减用户自主性,例如禁用本地账户设置和旧硬件支持,并推动 AI 功能融入系统,使体验愈发令人不适。
尽管 Windows 11 目前运行正常,但作者认为其发展方向令人担忧,且 Windows 10 即将停止支持,迫使用户升级硬件或面临安全风险。因此,他决定“彻底换水”,尝试转向 Linux。
他回顾了自己过去与 Linux 的零星接触:曾在树莓派上尝试搭建 Homebridge、使用小型 Linux 手持设备 Beepy、在 Chromebook 上运行 Linux 虚拟机,以及在 Windows 子系统中搭建键盘固件开发环境。这些尝试大多耗时较长,且影响了他宝贵的自由时间,因此始终未能真正下定决心全面切换。
然而,如今 Linux 在游戏领域的可用性大幅提升。Valve 通过 Steam Deck 推动 Linux 生态发展,Bazzite 等基于 SteamOS 的发行版已在部分设备上实现优于 Windows 的性能表现。此外,同事和朋友的亲身经历也增强了他的信心。
作者计划在自己刚组装不久的高性能 PC(搭载 AMD Ryzen 7 9800X3D 和 NVIDIA RTX 4070 Super)上安装 CachyOS——一个基于 Arch 的、专为现代硬件和游戏优化的 Linux 发行版。他虽不期待过程顺利,但认为现在是尝试 Linux 的合适时机,尤其是对追求自由、控制权和更好游戏体验的用户而言。
文章最后暗示,2026 或将成为 Linux 在桌面端真正崛起的一年,至少对作者而言是如此。
https://news.ycombinator.com/item?id=45985506
https://www.chrbutler.com/what-ai-is-really-for
本文作者克里斯托弗·巴特勒基于三年对人工智能的深入观察,提出一个核心观点:AI 技术虽有实用价值,但其实际效能远低于市场宣传,正处在一个严重被夸大的泡沫之中。
作者从设计行业的实际经验出发,指出 AI 在真实工作流程中的应用往往不切实际。许多展示 AI“端到端”设计的案例,仅适用于理想化、无外部约束的创作场景,而一旦嵌入现有设计系统,AI 便暴露出诸多问题:难以复现特定插画风格、无法准确处理图文层级关系、布局生成后需大量手动重构。多数设计师在实际工作中,自己动手完成 UI 和页面设计的速度与质量,远超使用 AI 工具。
作者进一步指出,AI 在小规模任务中可能带来显著效率提升,如信息检索、摘要生成和分析,但在大规模流程自动化或职能替代方面,投入成本往往超过节省的劳动,整体得不偿失。这与 MIT 研究结果一致:企业 AI 项目失败率高,源于对“全面 AI 化”的盲目追求;而成功案例多为聚焦具体目标的小型应用。
当前 AI 泡沫的规模远超历史上的互联网泡沫。全球市值最高的七家公司深度绑定 AI 投资,形成相互依赖的资本循环。然而,至今尚未出现能支撑其天价估值的可持续商业模式。作者类比当年的 Segway,指出 AI 被宣传为将彻底改变所有工作方式的技术,但其真实能力可能仅相当于“一辆电动滑板车”,而市场预期与现实之间的差距,已达到万亿级。
更令人担忧的是 AI 对社会信任体系的冲击。在已有信息茧房、假新闻和社交媒体操控的基础上,AI 能以更快、更精准的方式制造虚假内容,加剧公众对信息真实性的怀疑。这种对社会认知基础的侵蚀,本身就是不可接受的代价。
最后,作者质疑 AI 的真正目的:我们被宣传为 AI 是为了提升效率、解放人力,但投资者的真实动机是否如此?他暗示,部分利益相关方可能清楚 AI 的局限,却仍在推动泡沫,以获取短期资本收益。这种“明知故犯”的行为,使 AI 不仅是一场技术泡沫,更可能是一场带有欺诈动机的系统性风险。
https://news.ycombinator.com/item?id=45983700
https://openai.com/index/gpt-5-1-codex-max/
OpenAI 推出全新前沿编程模型 GPT-5.1-Codex-Max,专为复杂、长时间的开发任务设计。该模型基于更新的推理基础模型,经过软件工程、数学、研究等领域的代理任务训练,具备更强的智能与效率。
GPT-5.1-Codex-Max 在多个前沿编程评测中表现优于前代模型,如 SWE-Lancer 和 Terminal-Bench 2.0,尤其在真实开发场景中展现出更优的代码生成与协作能力。其推理过程更具效率,在 SWE-bench Verified 任务中,以“中等”推理强度实现更高准确率,同时减少 30% 的思考 token 消耗。
该模型支持“压缩”(compaction)技术,可跨多个上下文窗口持续工作,实现百万级 token 的任务处理。这一能力使其能胜任项目级重构、长时间调试和多小时的自动化代理循环任务,内部测试中已实现超过 24 小时的持续运行。
在安全性方面,GPT-5.1-Codex-Max 在长周期推理任务中表现更优,尤其在网络安全评估中达到当前最高水平,但尚未达到“高能力”标准。OpenAI 已加强网络安全监控与防护机制,防止滥用,并通过 Aardvark 等项目支持防御性应用。
Codex 默认运行在安全沙箱中,限制文件写入与网络访问,建议开发者保持此安全模式。尽管模型能生成高质量代码,但仍需人工审查,尤其是部署前。模型会生成终端日志,记录工具调用与测试结果,辅助开发者验证。
GPT-5.1-Codex-Max 已在 Codex CLI、IDE 插件、云平台及代码审查中上线,API 接口即将开放。该模型标志着向可靠编程伙伴迈进的重要一步。
https://news.ycombinator.com/item?id=45982649
Arduino 被高通收购后,悄然更新了其服务条款和隐私政策,引发社区广泛担忧。新条款引入多项限制性规定,包括用户上传内容将被授予永久、不可撤销的许可,平台对 AI 功能实施类似监控的用户行为追踪,禁止用户识别潜在专利侵权,以及在账户注销后仍保留用户名长达数年。更关键的是,用户被明确禁止在未获许可的情况下逆向工程或理解平台工作原理,这一变化严重背离了 Arduino 长期倡导的开源精神。
这些变更标志着 Arduino 从开放社区平台向高度控制的商业服务转变,其用户数据(包括未成年人)将被整合进高通全球数据生态系统。此举对教育、创客、研究等领域造成重大冲击,尤其影响学术机器人研究。许多评论指出,高通对开源社区缺乏理解,其商业策略可能适得其反。
有观点认为,这反而为开源替代品创造了机会。Adafruit、PlatformIO、VSC 等平台可能成为新的主流选择。已有开发者呼吁重建开源生态,自行开发替代方案。有评论讽刺称,高通正用巨额资金购买豪华飞机,却忽视了社区信任这一核心资产。
整体来看,此次更新被视为对开源精神的重大背离,可能促使社区加速向更开放、透明的替代平台迁移。
https://news.ycombinator.com/item?id=45984143
https://www.ntsb.gov/news/press-releases/Pages/NR20251118.aspx
2024 年 3 月 26 日,巴尔的摩的弗朗西斯·斯科特·基大桥因一艘 984 英尺长的集装箱船“达利号”发生电气故障而倒塌,造成六名公路工人死亡。美国国家运输安全委员会(NTSB)于 2025 年 11 月 18 日召开公开会议,宣布调查结果。
事故的直接原因是“达利号”船上一根松动的电线导致断路器意外跳闸,引发两次电力中断,致使船舶失去推进力和舵控能力。该电线因标签绑带阻碍未能完全插入端子块弹簧夹,造成连接不良。尽管船员和岸上调度员迅速采取应对措施,但因距离大桥过近,无法有效操控船舶。
撞击发生时,船上共有七名道路维护人员和一名检查员,六人不幸遇难。得益于船员、岸上调度员和马里兰州交通局及时关闭桥面交通,避免了更多伤亡。
调查发现,弗朗西斯·斯科特·基大桥缺乏抵御大型船舶撞击的防护措施。1980 年,一艘 390 英尺长的船只“蓝长崎号”撞击大桥仅造成轻微损坏,而“达利号”体积是其 10 倍,撞击后果严重。该事件暴露了美国全国范围内大量桥梁在面对大型船舶撞击时的脆弱性。
为此,美国交通部于 2025 年 3 月发布初步报告,指出许多桥梁所有者未意识到此类风险,尽管美国州公路与运输官员协会(AASHTO)早已建议进行风险评估。该报告已致信 30 个桥梁所有者,要求评估并制定减灾方案,所有单位均已回应。
基于调查结果,美国国家运输安全委员会向多个机构和企业发出 68 项安全建议,包括美国海岸警卫队、联邦公路管理局、日本船级社(ClassNK)、美国国家标准协会、现代重工、船级社、电气组件制造商瓦戈公司(WAGO)以及多个桥梁管理单位。
完整调查报告将在未来几周内发布。公众可通过 NTSB 官网获取事件摘要和建议进展。如需报告事故或联系应急响应中心,可拨打 1-844-373-9922 或 202-314-6290。
https://news.ycombinator.com/item?id=45984659
Chrono Divide 是一个由粉丝制作的项目,旨在使用网页技术重现经典即时战略游戏《命令与征服:红色警戒 2》。游戏完全在网页浏览器中运行,无需安装额外插件或应用程序,支持跨平台使用,可在电脑、手机和平板设备上畅玩。
目前项目已进入测试阶段,提供可玩的 Beta 版本,支持全部原版地图和完整的多人游戏功能。玩家可通过浏览器直接进入游戏,享受经典 RTS 玩法,同时支持左键或右键操作模式,可观看对战回放,并兼容大量原版 MOD。
项目采用客户端-服务器架构,避免了传统联机游戏中的端口转发和防火墙问题,提升了联机体验。游戏对硬件要求较低,最低配置为 Intel Atom Z3700 处理器和 4GB 内存,推荐使用 Intel Core i5 及 8GB 内存以获得更好性能。推荐使用最新版 Chrome、Edge 或 Safari 浏览器,Firefox 可能影响性能。
Chrono Divide 致力于实现与原版游戏功能完全一致,持续开发中。项目为非营利性质,不隶属于 Electronic Arts,所有版权仍归原所有者所有。欢迎玩家通过捐赠支持项目发展,帮助覆盖服务器成本和推动后续开发。
更多详情可查看官方更新日志,或加入 Discord 社区参与讨论。
https://news.ycombinator.com/item?id=45991853
1985 年 11 月 18 日,漫画《 Calvin and Hobbes 》首次登上了报纸的漫画栏。这部作品由漫画家比尔·沃特森创作,讲述了一位 6 岁男孩卡尔文与他幻想中的玩具老虎霍布斯的冒险故事。尽管霍布斯在现实中只是一只玩具老虎,但在卡尔文的想象中,他是一位机智、富有哲思的伙伴,陪伴卡尔文面对日常生活中的挑战与奇思妙想。
这部漫画在短短十年间(1985–1995)风靡全美,以其独特的幽默感、深刻的思想性与高质量的绘画风格赢得了广泛赞誉。编辑李·萨莱姆回忆,初读时便被其震撼,认为它既新鲜又真实,唤起了许多人对童年生活的共鸣。他特别提到一幅经典画面:卡尔文发着高烧躺在床上,一边听着电视里夸张的肥皂剧,一边对读者笑着说:“有时候,我待在家里比去学校学到的还多。”这句充满讽刺意味的台词,也引来部分读者误解,甚至有人批评漫画“鼓励孩子逃学看成人剧集”,但萨莱姆认为这种讽刺的深层意味并未被所有人理解。
与以往经典儿童漫画角色如查理·布朗、丹尼斯·梅纳奇相比,卡尔文更具独立精神与冒险气质,更像《汤姆·索亚历险记》中的汤姆和哈克。霍布斯不仅是卡尔文的幻想伙伴,更是他内心世界的投射,是其思想与情感的镜像。萨莱姆指出,霍布斯是否真实存在并不重要,关键在于他对卡尔文而言是真实存在的,是朋友、是导师、是灵魂的另一半。
比尔·沃特森在 1995 年选择主动结束这部作品,因为他希望在更广阔的创作空间中,以更从容的节奏进行艺术表达。此后他极少公开露面,也未再推出新作。2019 年,编辑李·萨莱姆去世,但《Calvin and Hobbes》的影响持续至今,成为一代人心中不可替代的童年经典。
https://news.ycombinator.com/item?id=45991787
https://news.ycombinator.com/item?id=45985858
I strongly recommend watching/reading the entire report, or the summary by Sal Mercogliano of What’s Going On In Shipping 0.
Yes, the loose wire was the immediate cause, but there was far more going wrong here. For example:
The transformer switchover was set to manual rather than automatic, so it didn’t automatically fail over to the backup transformer.
The crew did not routinely train transformer switchover procedures.
The two generators were both using a single non-redundant fuel pump (which was never intended to supply fuel to the generators!), which did not automatically restart after power was restored.
The main engine automatically shut down when the primary coolant pump lost power, rather than using an emergency water supply or letting it overheat.
The backup generator did not come online in time.
It’s a classic Swiss Cheese model. A lot of things had to go wrong for this accident to happen. Focusing on that one wire isn’t going to solve all the other issues. Wires, just like all other parts, will occasionally fail. One wire failure should never have caused an incident of this magnitude. Sure, there should probably be slightly better procedures for checking the wiring, but next time it’ll be a failed sensor, actuator, or controller board.
If we don’t focus on providing and ensuring a defense-in-depth, we will sooner or later see another incident like this.
crote
我强烈建议您完整阅读或观看这份报告,也可以阅读 Sal Mercogliano 关于《航运业究竟发生了什么》的摘要 0。
是的,松动的电线是直接原因,但其中存在的问题远不止于此。例如:
这是一个典型的“瑞士奶酪模型”案例。要导致这起事故,必须同时发生一连串的失误。只关注那根电线是无法解决所有其他问题的。电线,就像所有其他部件一样,偶尔会发生故障。单根电线的故障绝不应该引发如此规模的重大事件。诚然,或许应该有更好的检查线路的程序,但下一次出问题的可能是一个传感器、一个执行器,或是一块控制板。
如果我们不专注于并确保实施“纵深防御”,那么我们迟早会再次看到类似的事件。
https://news.ycombinator.com/item?id=45984395
I get that too many regulations is a bad thing. But when we talk privacy and personal data there should be no gray zone. It has to be black and white. When I see a stupid cookie banner I search for “Reject all”. There’s no some data that companies can collect and process without my consent, they just shouldn’t be able to collect anything without me actively opting in. Business never respects anything, but profits. Seeing news about relaxing these laws with the “AI” going after this leaves a bitter taste. And with them also trying to push the Chat Control thing, it gets even worse.
rckt
我明白过多的规定是个坏事。但当我们谈论隐私和个人数据时,就不该存在灰色地带。必须是黑白分明的。当我看到那种愚蠢的 Cookie 提示条时,我会直接搜索“拒绝全部”。没有任何数据可以在未经我同意的情况下被公司收集和处理,他们本就不应该在我主动选择加入之前收集任何信息。商业公司从来只尊重利润,对其他概不尊重。看到新闻说要放宽这些法律,还打着“人工智能”的旗号,真是令人不快。而他们又在试图推行“聊天控制”(Chat Control)这类东西,情况变得更糟了。
https://news.ycombinator.com/item?id=45981361
There has been a change in the community here over the last decade, we’ve lost a lot of the hacker spirit and have a larger proportion of “chancers”, people who are only in tech to “get rich quick”. The legacy of ZIRP combined with The Social Network marketing.
radicalbyte
过去十年间,我们这里的社区氛围发生了变化,许多‘黑客精神’已经消逝,取而代之的是更多想‘快速致富’的投机者。这是零利率政策(ZIRP)与《社交网络》这部电影营销共同留下的遗产。
https://news.ycombinator.com/item?id=45985168
The fact that people are unimpressed that we can have a fluent conversation with a super smart AI that can generate any image/video is mindblowing to me.
It’s not that people are unimpressed with AI - they’re just tired of constantly being bombarded with it, and it sneaking its way into where it’s not wanted. “Generate any image you want!” “Analyse this thing with AI!” gets pretty tiring.
If I want AI I’ll actively seek it out and use it - otherwise, jog on.
hifix
人们能和这样一个能生成任何图像/视频的超级智能AI进行流畅对话,他们却毫无印象,这一点让我感到震惊。
人们并不是对AI本身不感兴趣,只是厌倦了无时无刻不被它狂轰滥炸,以及它悄无声息地渗透到不希望出现的角落。“生成你想要的任何图像!”“用这个AI分析一下这个!”真的让人很疲惫。
如果我需要AI,我会主动去寻找和使用它,否则,请走开。
https://news.ycombinator.com/item?id=45995765
Google has been stomping around like Godzilla this week, and this is the first time I decided to link my card to their AI studio.
I had seen people saying that they gave up and went to another platform because it was “impossible to pay”. I thought this was strange, but after trying to get a working API key for the past half hour, I see what they mean.
Everything is set up, I see a message that says “You’re using Paid API key [NanoBanano] as part of [NanoBanano]. All requests sent in this session will be charged.” Go to prompt, and I get a “permission denied” error.
There is no point in having impressive models if you make it a chore for me to -give you my money-
ceroxylon
谷歌这周简直像哥斯拉一样横冲直撞,这是我第一次决定把我的信用卡绑定到他们的AI工作室。
我看到有人说他们放弃了,转去了别的平台,因为“支付根本不可能”。我觉得这很奇怪,但在过去半小时尝试获取一个能用的API密钥后,我明白他们是什么意思了。
一切都设置好了,我看到一条消息写着:“您正在使用付费API密钥[NanoBanano],作为[NanoBanano]的一部分。本次会话中发出的所有请求都将被收费。”可我一去调用提示,就收到了一个“权限被拒绝”的错误。
如果你的模型再厉害,却让我花钱都这么费劲,那又有什么意义呢?
https://news.ycombinator.com/item?id=45984688
I’ve stopped thinking of regulations as a single dial, where more regulations is bad or less regulations is bad. It entirely depends on what is being regulated and how. Some areas need more regulations, some areas need less. Some areas need altered regulation. Some areas have just the right regulations. Most regulations can be improved, some more than others.
energy123
我不再把监管看作是一个简单的旋钮,认为监管多了不好,监管少了就一定好。这完全取决于监管的对象和方式。有些领域需要更多监管,有些领域则需要更少。有些领域需要调整监管方式,有些领域的监管则恰到好处。大多数监管都有改进的空间,只是程度不同而已。
https://news.ycombinator.com/item?id=45997140
It’s been fascinating watching the party of “small government” turn into one that supports ever expanding powers of a three letter agency whose job is supposed to be patrolling the border. It’s like a new 9/11 Patriot act moment, except it’s only one side supporting it this time.
hypeatei
看着“小政府”党派转变为支持一个三字母机构不断扩大的权力,而这个机构的职责本应是巡逻边境,这真是令人着迷。这就像一场新的“9·11”《爱国者法案》时刻,只不过这一次,只有一方在支持它。
https://news.ycombinator.com/item?id=45982201
While its been a long time since Ive used Thunderbird, I just wanted to take the time to publicly say thank you.
Many HNers probably wont (or cant) remember the world of desktop mail clients but basically during the height of MSFT dominance there was only one real mail client: Outlook. Which Microsoft was starting to monetize heavily, ignore UX, and keep it windows only (cant blame them for that).
Then Thunderbird arrived on the scene, an OSS mail client that beat the pants off of Outlook in features, spam detection, IMAP support and a bunch of other things.
And it was free.
And you could use it on any machine.
This was a huge moment for OSS.
We owe a lot of credit to Mozilla and Thunderbird for rescuing us from a closed source world.
bnchrch
虽然我已经很久没用过雷鸟(Thunderbird)了,但我想借此机会公开地表达我的感谢。
很多 Hacker News 的用户可能已经(或无法)记起桌面邮件客户端的时代,但基本上在微软鼎盛时期,只有一个真正的邮件客户端:Outlook。而微软当时正在对其进行大规模商业化,忽视用户体验,并且坚持仅在 Windows 平台使用(为此他们无可指责)。
接着,雷鸟横空出世,作为一个开源邮件客户端,它的功能、垃圾邮件检测、IMAP 支持以及其他诸多方面都把 Outlook 甩在了身后。
而且它是免费的。
你可以在任何机器上使用它。
这对开源软件来说是一个重要的时刻。
我们欠 Mozilla 和雷鸟很多,感谢他们将我们从封闭源码的世界中拯救出来。
https://news.ycombinator.com/item?id=45986917
I recently had my Framework Desktop delivered. I didn’t plan on using it for gaming, but I figured I should at least try. My experience thus far:
I later got a hankering to play Deus Ex: Mankind Divided. This time, the game would not work and Steam wasn’t really forthcoming with showing logs. I figured out how to see the logs, and then did what you do these days - I showed the logs to an AI. The problem, slightly ironically, with MD is that it has a Linux build and Steam was trying to run that thing by default. The Linux build (totally unsurprisingly) had all kinds of version issues with libraries. The resolution there was just to tell Steam to run the Windows build instead and that worked great.
vinkelhake
我最近收到了我的 Framework 台式机。我本来没打算用它玩游戏,但觉得至少应该试一试。到目前为止的体验是:
非常感谢 Valve,整个过程才会如此顺利。我能够从一个没有操作系统的状态,到《赛博朋克 2077》成功运行,全程没有打开任何终端或修改任何配置。
后来我又突然想玩《杀出重围:人类分裂》。这一次,游戏就是无法运行,而且 Steam 也没有显示日志。我找到了查看日志的方法,然后做了现在大家都会做的事——我把日志拿给 AI 看。MD 的问题(带点讽刺意味的是)在于它有 Linux 版本,而 Steam 默认试图运行这个版本。这个 Linux 版本(再次完全不出所料)在与各种库的版本兼容上存在一堆问题。解决方法很简单,就是告诉 Steam 运行 Windows 版本,结果就完美运行了。
https://news.ycombinator.com/item?id=45997278
License plate scanners are one of the most under-appreciated violations of personal privacy that exist today.
It’s not just government use either. There are private companies that scan vast numbers of license plates (sometimes by driving around parking lots with a camera), build a database of what plate was seen where at what time, then sell access to both law enforcement and I believe private investigators.
Want to know if your spouse is having an affair? Those databases may well have the answer.
Here is a Wired story from 2014 about Vigilant Solutions, founded in 2009: https://www.wired.com/2014/05/license-plate-tracking/
I believe Vigilant only provide access to law enforcement, but Digital Recognition Network sell access to others as well: https://drndata.com/about/
Good Vice story about that: https://www.vice.com/en/article/i-tracked-someone-with-license-plate-readers-drn/
simonw
车牌扫描器是当今存在最不受重视、也最能侵犯个人隐私的行为之一。
这不仅仅是政府在用。一些私营公司也会扫描海量的车牌信息(有时会开着车在停车场里用摄像头拍摄),建立关于车牌何时何地被拍到的数据库,然后将数据库的访问权限出售给执法部门,我想也包括私家侦探。
想知道你的伴侣是否出轨吗?这些数据库很可能就能给你答案。
这是一篇2014年发表在《连线》杂志上关于Vigilant Solutions公司的文章,该公司成立于2009年:https://www.wired.com/2014/05/license-plate-tracking/
我相信Vigilant公司只向执法部门提供访问权限,但数字识别网络公司(Digital Recognition Network)也会向其他机构出售:https://drndata.com/about/
VICE杂志有一篇关于此的精彩报道:https://www.vice.com/en/article/i-tracked-someone-with-license-plate-readers-drn/
https://news.ycombinator.com/item?id=45982756
The backwards incompatibility of Perl 6 absolutely killed Perl.
There are many languages still in use today that have all kinds of warts and ugliness, but they remain in use because they still have momentum and lots of legacy things built in them. So being ugly or old isn’t enough of a factor for people to abandon something in droves.
Once you need to rewrite everything, there’s no reason to stay with something you know since you need to fully retool anyway.
As a Perl programmer since v5 was released, the confusion around 6 completely destroyed almost everyone’s enthusiasm, and immediately caused all new projects to avoid Perl. It seemed like 5 had reached the end of the line, and 6 was nowhere to be found. Nobody wants to gamble so many hours of their lives, and the future of their business, on such an uncertain environment.
If Perl 6 had any visible movement within the first few years, it might have survived, but it was a good decade before they even admitted Perl 6 might take longer than expected, and then more time after that before they admitted it should have been a new language. 6 was interesting for language geeks, and they probably did some cool things, but you can’t run a large popular project like it’s a small research project. That completely destroyed all momentum in the community. Perl 5 development only resumed far too late, after the writing was already on the wall.
Both Bill Gates and Linus understand backwards compatibility as a sacrosanct principle. Python only just barely survived the jump from 2 to 3. JavaScript can only survive this because there’s no other option in a browser.
orev
Perl 6 的不向后兼容性彻底扼杀了 Perl。
至今仍有许多语言在使用,它们存在各种缺陷和丑陋之处,但它们之所以得以保留,是因为它们依然保持着强大的发展势头,并且内置了大量遗留功能。因此,仅仅因为语言丑陋或老旧,并不足以让人们大规模地抛弃它。
一旦你需要重写所有东西,那就没有理由继续留在你所熟悉的平台上了,因为你反正也需要完全重新学习工具。
作为一名自 Perl 5 发布起就开始使用的 Perl 程序员,关于 Perl 6 的混乱局面彻底摧毁了几乎所有开发者的热情,并立即导致所有新项目都避开了 Perl。当时看起来,Perl 5 似乎已经走到了尽头,而 Perl 6 却杳无音信。没有人愿意用自己的生命时光和企业的未来,去为一个如此不确定的环境下注。
如果 Perl 6 在最初的几年里能展现出任何可见的进展,它或许还有生存的机会,但他们花了整整十年时间才承认 Perl 6 可能会比预期耗时更长,又过了更长时间才承认它本该是一门新语言。Perl 6 对语言极客们来说很有趣,而且他们可能确实做了些很酷的事情,但你不能把一个大型知名项目当成一个小型研究项目来运作。这完全摧毁了社区的所有发展势头。Perl 5 的开发重启得太晚了,当时一切都已为时已晚。
无论是比尔·盖茨还是林纳斯·托瓦兹,都理解向后兼容性是一个神圣不可侵犯的原则。Python 差点就没能从 2 版本成功过渡到 3 版本。JavaScript 之所以能存活下来,仅仅因为在浏览器环境中别无选择。
https://news.ycombinator.com/item?id=45983286
I would love to see all the big players put 1% of the effort they put into model training into making the basic process of paying and signing in suck less.
Claude: they barely have a signin system at all. Multiple account support doesn’t exist. The minimum seat count for business is nonsense. The data retention policies are weak.
OpenAI: Make ZDR a thing you can use or buy without talking to sales, already. And for those using containers or a remote system or really anything other than local development with the codex CLI, you really really need to fix this bug. I bet Codex could do at least the client part for you!
https://github.com/openai/codex/issues/2798
(Hint: Claude Code gets this right by default, despite the fact that everything else about Claude sign-in is a joke.)
Google: get all your B2B AI product managers in one room and tell them that they need to make one single product menu on one single webpage with all the pricing on that page and that the Google Cloud people are not permitted to make anything that isn’t actually logically Google Cloud depend on Google Cloud Billing. Your product cannot compete with OpenAI or Anthropic if people need to ask an LLM to figure out what your product is and if your own fancy LLMs can’t give a straight answer. My company pays for a non-Google product primarily because it’s too complicated to pay for the Google product! Right now, trying to use Google’s AI is like trying to ride Bay Area public transit before the Clipper Card.
amluto
我真希望所有行业巨头,能将其在模型训练上投入的1%的努力,用于改善付费和登录这类基本流程的用户体验。
Claude:他们的登录系统简直形同虚设。不支持多账户切换。商业版的最小座位数要求太离谱了。数据保留政策也过于薄弱。
OpenAI:拜托了,让ZDR成为一款可以直接购买或使用的产品,别再强制用户联系销售了。此外,对于那些使用容器、远程系统,或者任何不通过 codex CLI(命令行接口)进行本地开发的人来说,你们真的、真的必须修复这个bug。我打赌,Codex 至少能帮你们搞定客户端这部分!
Google:把你们所有的B2B AI产品经理叫到一个房间里,告诉他们:他们需要在一个网页上创建一个统一的产品菜单,并列明所有产品的价格。同时,严禁Google Cloud团队让任何在逻辑上并非真正属于Google Cloud的产品,去依赖Google Cloud的计费系统。如果用户需要求助大语言模型(LLM)才能搞懂你们的产品是什么,而你们自己那些花里胡哨的LLM也无法给出明确答案,那么你们的产品就无法与OpenAI或Anthropic竞争。我们公司之所以购买非谷歌的产品,主要原因是购买谷歌的产品实在太复杂了!目前,尝试使用谷歌的AI,就像在湾区Clipper公交卡普及之前乘坐那里的公共交通一样。
Claude Code 在这方面默认就做得很好,尽管Claude的其他登录功能简直是个笑话。
https://news.ycombinator.com/item?id=45976849
As a European solo developer, I’ve switched entirely to European alternatives for all my infrastructure since the beginning of the year.
Cloudflare > Bunny.net
AWS > Hetzner
Business email > Infomaniak
Not a single client site has experienced downtime, and it feels great to finally decouple from U.S. services.
spyridonas
作为一名欧洲独立开发者,我从年初开始就将所有基础设施完全切换成了欧洲的替代服务。
Cloudflare > Bunny.net AWS > Hetzner 商务邮箱 > Infomaniak
没有任何一个客户网站出现过停机,我终于摆脱了对美国服务的依赖,感觉太棒了。
https://news.ycombinator.com/item?id=45983324
I sympathize with the startup argument: heavy compliance costs can stifle early innovation. But the solution shouldn’t be “weaker rules.” It should be smarter rules, clearer safe harbors for small actors, browser-level consent primitives for users, and stronger enforcement against dark-pattern CMPs. That keeps privacy meaningful without killing small businesses.
danishSuri1994
我认同初创公司的观点:高昂的合规成本会扼杀早期的创新。但解决方案不应是“更宽松的规定”,而应是更智能的规定、为小型参与者提供更明确的“安全港”、用户在浏览器层面的同意基础机制,以及对“暗黑模式”CMP(隐私合规管理平台)更严格的执法。这样才能在保护隐私的同时,又不扼杀小型企业。
https://news.ycombinator.com/item?id=45990978
sideloading
It’s called installing. Language matters and I see no reason to concede this point in Google’s favour.
24t
这叫安装。用词很重要,我看不出有什么理由要在这个问题上向谷歌让步。
https://news.ycombinator.com/item?id=45983533
I’ve been using a lot of Claude and Codex recently.
One huge difference I notice between Codex and Claude code is that, while Claude basically disregards your instructions (CLAUDE.md) entirely, Codex is extremely, painfully, doggedly persistent in following every last character of them - to the point that i’ve seen it work for 30 minutes to convolute some solution that was only convoluted because of some sentence I threw in the instructions I had completely forgotten about.
I imagine Codex as the “literal genie” - it’ll give you exactly what you asked for. EXACTLY. If you ask Claude to fix a test that accidentally says assert(1 + 1 === 3), it’ll say “this is clearly a typo” and just rewrite the test. Codex will rewrite the entire V8 engine to break arithmetic.
Both these tools have their uses, and I don’t think one approach is universally better. Because Claude just hacks its way to a solution, it is really fast, so I like using it for iterate web work, where I need to tweak some styles and I need a fast iterative loop. Codex is much worse at that because it takes like 5 minutes to validate everything is correct. Codex is much better for longer, harder tasks that have to be correct – I can just write some script to verify that what it did work, and let it spin for 30-40 minutes.
johnfn
我最近一直在大量使用 Claude 和 Codex。
我注意到 Codex 和 Claude 代码之间一个巨大的区别是:尽管 Claude 基本上完全无视你的指令(CLAUDE.md),但 Codex 却会极其痛苦、顽固地坚持遵循指令的每一个字符——以至于我曾看到它为了一个仅仅是因为我在指令中随手写下的、我自己已经完全忘记的句子而导致变得复杂的解决方案,而花了 30 分钟来绞尽脑汁。
我把 Codex 想象成一个“字面愿望精灵”——它会给你你要求的东西。不多不少,正是如此。如果你让 Claude 修复一个意外中写着 assert(1 + 1 === 3) 的测试,它会说“这显然是个笔误”,然后直接重写测试。而 Codex 则会重写整个 V8 引擎来破坏算术运算。
这两个工具各有其用武之地,我不认为哪种方法普遍更好。因为 Claude 会用一种“野路子”快速找到解决方案,所以速度非常快,我喜欢用它来迭代处理网页工作,这种工作只需要调整一些样式,并且需要快速的迭代循环。Codex 在这方面就差多了,因为它需要大约 5 分钟来验证一切是否正确。Codex 更适合那些需要绝对正确的、更长、更艰巨的任务——我可以写一个脚本来验证它的成果是否有效,然后让它自己花上 30 到 40 分钟去运行。
https://news.ycombinator.com/item?id=45983698
Claude basically disregards your instructions (CLAUDE.md) entirely
A friend of mine tells Claude to always address him as “Mr Tinkleberry”, he says he can tell when Claude is not paying attention to the instructions on CLAUDE.md when Claude stops calling him “Mr Tinkleberry” consistently
nico
克劳德基本上完全无视你的指令(CLAUDE.md)。我朋友让克劳德一直称呼他为“廷克尔伯里先生”,他说,当克劳德不再持续称呼他“廷克尔伯里先生”时,他就能看出克劳德没有在关注 CLAUDE.md 上的指令。
https://news.ycombinator.com/item?id=45985084
As someone who pays for YouTube, I don’t understand why I can’t disable shorts fully. They already have my money. What more do they want?
nverba
作为一个付费用户,我真的搞不懂为什么我无法彻底关闭Shorts。他们已经收了我的钱,还想怎样?
https://news.ycombinator.com/item?id=45985945
Community forums/support from big companies like Microsoft and Adobe tend to be completely useless. In most cases, all threads follow the same flow:
Question with reasonable amount of detail.
A reply from some “Community Helper” (Rank: Gold): “did you try reading the help files?”
Another person with a “Staff” badge: “this isn’t our department”
[Thread closed.]
ronsor
像微软和Adobe这样大公司的社区论坛/支持通常完全没用。在大多数情况下,所有帖子都遵循相同的流程:
一个包含合理细节的问题。
某个“社区达人”(等级:黄金)回复:“你试过读帮助文件了吗?”
另一个带有“员工”徽章的人:“这不归我们部门管。”
[帖子已关闭。]
https://news.ycombinator.com/item?id=45976915
Yeah… I just started getting back into building sms/mms/rcs apps on Android and oh boy. It’s much more of a mess than I expected, and much more “oh so it’s basically just Google now, and they seem to be trying to lock it down further” than I expected (or hoped).
And you can’t even implement it yourself because it requires special permissions on Android, which you can only get if you’re a carrier/oem-blessed app. And the early “you’ll be able to build other apps, there will be an API like this: https://github.com/android-rcs/rcsjta " promises (which would put it on par with sms/mms) never materialized, despite a reference implementation that did exactly that over a decade ago.
At this point I’m just totally against RCS and I’m intentionally turning it off. Why hand all of your messaging communications over to Google, when they’ve got such a consistent history of being hostile? We’re much better off going back to telling people not to use sms (or mms or rcs) at all because it’s insecure.
Groxx
是啊……我刚重新开始在安卓上开发短信/彩信/RCS应用,天呐。这比我预想的要混乱得多,而且比我想象(或希望)的要严重得多,感觉“哦,原来这基本上就是谷歌说了算,而且他们似乎还试图进一步把它管死”。
你甚至都无法自己实现它,因为它需要安卓的特殊权限,而这些权限只有运营商或设备制造商授权的应用才能获得。早期那些“你将能够开发其他应用,会有这样的API:https://github.com/android-rcs/rcsjta”的承诺(本会让它达到与短信/彩信同等的水平)也从未实现,尽管早在十多年前就已经有一个完全实现了这一点的参考实现。
到了这个地步,我完全反对RCS了,并且我有意把它关掉。既然谷歌一直有这种不友好的“黑历史”,我们干嘛要把所有的消息通信都交给他们?我们最好还是回到劝别人根本别用短信(或彩信或RCS)的老路,因为它不安全。
https://news.ycombinator.com/item?id=45973896
This showed up to Internet users trying to access our customers' sites as an error page indicating a failure within Cloudflare’s network.
As a visitor to random web pages, I definitely appreciated this—much better than their completely false “checking the security of your connection” message.
The issue was not caused, directly or indirectly, by a cyber attack or malicious activity of any kind. Instead, it was triggered by a change to one of our database systems' permissions
Also appreciate the honesty here.
On 18 November 2025 at 11:20 UTC (all times in this blog are UTC), Cloudflare’s network began experiencing significant failures to deliver core network traffic. […]
Core traffic was largely flowing as normal by 14:30. We worked over the next few hours to mitigate increased load on various parts of our network as traffic rushed back online. As of 17:06 all systems at Cloudflare were functioning as normal.
Why did this take so long to resolve? I read through the entire article, and I understand why the outage happened, but when most of the network goes down, why wasn’t the first step to revert any recent configuration changes, even ones that seem unrelated to the outage? (Or did I just misread something and this was explained somewhere?)
Of course, the correct solution is always obvious in retrospect, and it’s impressive that it only took 7 minutes between the start of the outage and the incident being investigated, but it taking a further 4 hours to resolve the problem and 8 hours total for everything to be back to normal isn’t great.
gucci-on-fleek
对于试图访问我们客户网站的互联网用户来说,这显示为一个错误页面,表明Cloudflare的网络内部出现了故障。
作为一个随机网页的访问者,我真的很欣赏这一点——这比他们那句完全不真实的“正在检查您的连接安全性”的提示要好得多。
此问题并非由任何形式的网络攻击或恶意活动直接或间接导致。相反,它是由我们其中一个数据库系统的权限变更所引发的。
同样,这里也体现了他们的诚实。
2025年11月18日11:20 UTC(本文中的所有时间均为UTC),Cloudflare的网络开始无法有效传输核心网络流量,并出现了严重故障。
到14:30,核心流量已基本恢复正常。在随后的几个小时里,我们努力应对网络各部分因流量集中恢复而激增的负载。截至17:06,Cloudflare的所有系统均已恢复正常运行。
为什么花了这么长时间才解决?我通读了整篇文章,我理解了这次故障发生的原因,但当大部分网络都瘫痪时,为什么第一步不是回退任何最近的配置更改,即使这些更改看似与故障无关?(还是我哪里读错了,文章里其实有解释?)
当然,事后看来,正确的解决方案总是显而易见的,而且值得称赞的是,从故障发生到开始调查只用了7分钟,但在此基础上又花了4个小时才解决问题,总共耗时8小时才恢复正常,这并不理想。
https://news.ycombinator.com/item?id=45978260
These sort of things show up about once a day between the three big cloud subreddit. Often with larger amounts
And it’s always the same - clouds refuse to provide anything more than alerts (that are delayed) and your only option is prayer and begging for mercy.
Followed by people claiming with absolute certainty that it’s literally technically impossible to provide hard capped accounts to tinkerers despite there being accounts like that in existence already (some azure accounts are hardcapped by amount but ofc that’s not loudly advertised).
Havoc
这类事情在三大云服务的子论坛上大概每天都会出现一次,而且往往涉及更大的金额。
情况永远如此——云服务商除了提供延迟的警报外,什么也不给,而你唯一的选项就是祈祷和乞求怜悯。
然后总会有人斩钉截铁地声称,对于 tinkers(爱好者/开发者)来说,提供真正有硬性上限的账户在技术上简直是绝无可能的,尽管事实上已经存在这样的账户(比如有些 Azure 账户是按金额硬性限制的,当然这不会被大肆宣传)。
https://news.ycombinator.com/item?id=45988038
I decommissioned my server 3 months ago and migrated my community back to IRC. I still had the IRC Podman containers kicking around, so that was easy.
I dealt with ~monthly issues around my devices not being correctly verified, messages not correctly decrypting, and various other rough UX edges. There seemed to be a lot of velocity in the beginning but the last couple of years have addressed approximately nothing in terms of the UX and it’s a crying shame as Matrix/Element (I no longer fully understand the difference/relationship between these entities) had a lot of potential.
unbolted3032
三个月前我停用了我的服务器,并将我的社群迁移回了IRC。因为我手头还留着IRC的Podman容器,所以这个过程很顺利。
我过去每个月都要处理设备验证不正确、消息无法正确解密,以及其他各种糟糕的用户体验问题。Matrix/Element(我已不再完全清楚这两者之间的区别与关系)在初期似乎发展势头很猛,但过去几年里,其用户体验方面基本没有任何改进,这真是令人扼腕叹息,因为它本拥有巨大的潜力。
2025-11-20 08:05:04
- Cloudflare 因 ClickHouse 权限变更导致 Bot 管理生成异常大配置文件并推送至节点,引发代理崩溃与大规模 5xx,回滚重启后恢复。
- Blender 5.0 重构色彩管理并原生支持 HDR/广色域,同时提升 Cycles/EEVEE 渲染、几何节点、动画与序列编辑等功能以提高创作效率。
- Eugen Rochko 宣布卸任 Mastodon CEO 并将资产移交非营利组织,转为顾问身份,同时发布 Mastodon 4.5 以继续改进平台。
- 一位开发者搭建独立站点从伦敦、奥克兰和纽约轮询 DownDetector 并显示服务正常,还展示递归检测的趣味示例。
- 欧盟拟放宽 GDPR 与 AI 法规、简化 Cookie 管理并允许在合规前提下用假名/匿名数据训练 AI,同时推迟部分高风险规则以减轻合规负担,引发隐私团体担忧。
- Pebble 创始人 Eric 对 Rebble 的指控逐条回应,解释双方在开源与数据控制上的分歧并呼吁社区理性处理生态继承问题。
- ACLU 指出苹果与谷歌的封闭应用商店在政府压力下助长下架与审查,并通过限制侧载与替代商店威胁言论与监督自由。
- GitHub 因内部 TLS 证书过期导致所有 Git 操作中断,替换证书并重启服务后恢复,承诺加强告警、审计与证书自动化管理。
- Thunderbird 145 原生加入通过 Exchange Web Services 的 Microsoft Exchange 支持,实现邮箱收发与附件处理,日历与联系人同步仍在开发中。
- 用户反映 RCS 在 iPhone 上长期无法激活,各方互相推诿,暴露出由 Google 主导的 RCS 生态缺乏透明度与可诊断性。
https://blog.cloudflare.com/18-november-2025-outage/
2025 年 11 月 18 日,Cloudflare 网络在 UTC 时间 11:20 左右发生重大故障,导致核心网络流量无法正常传输,用户访问客户网站时出现错误页面。此次事件并非由网络攻击或恶意行为引起,而是由于对数据库系统权限的一次变更,导致 Bot 管理系统的“特征文件”被错误生成,文件大小翻倍。
该异常特征文件被推送到全网所有节点,而负责处理流量路由的软件对文件大小有限制,超出后导致系统崩溃。最初团队误判为超大规模 DDoS 攻击,后经排查确认问题根源。在 14:30 左右,团队停止了异常文件的传播,并手动替换为已知正常的旧版本文件,同时重启核心代理系统,核心服务逐步恢复。
尽管 14:30 后核心流量基本恢复正常,但因系统负载激增,团队仍需数小时处理后续影响。至 17:06,所有系统完全恢复正常。
受影响的服务包括:
此外,系统还出现显著延迟,主要因调试与可观测性系统在处理异常时消耗大量 CPU 资源。
此次事件的根本原因在于:一个 ClickHouse 数据库集群在权限更新过程中,部分节点生成了错误的特征文件,每 5 分钟一次,导致系统周期性崩溃与恢复,造成异常波动。最终所有节点均生成错误文件,系统陷入持续故障状态。
Cloudflare 表示,此次事件暴露出系统在配置文件分发、大小限制、容错机制等方面的不足。公司已启动全面复盘,计划通过改进自动化验证、增强文件校验机制、提升系统冗余与监控能力,防止类似事件再次发生。
https://news.ycombinator.com/item?id=45973709
https://www.blender.org/download/releases/5-0/
Blender 5.0 是一款免费和开源的 3D 创作软件,带来了许多重大的新功能和改进。以下是版本更新的详细总结:
**Cycles 渲染引擎 **:
**EEVEE 渲染引擎 **:
Blender 5.0 提供了更加丰富的功能和工具,旨在提高用户的创作效率和效果。无论是渲染、建模、动画还是视频编辑,这一版本都带来了许多实用的改进和创新。
https://news.ycombinator.com/item?id=45972519
https://blog.joinmastodon.org/2025/11/my-next-chapter-with-mastodon/
Eugen Rochko 宣布将在近十年的任期后辞去 Mastodon 首席执行官职务,将商标及其他资产移交给 Mastodon 非营利组织。他强调 Mastodon 已超越个人,需确保项目持续坚守其社区核心价值,避免创始人个人影响力破坏社区生态。
他坦言担任社交平台领导角色带来巨大压力,自身性格并不适合这一角色。长期面对公众舆论、不实比较(如与马斯克、贝索斯的外貌对比)以及网络攻击,使他身心俱疲。去年一次恶劣的用户互动成为促使他做出改变的关键事件。
尽管他自认在任期内坚持“说不”的原则,避免了项目偏离方向,但也因回避公众曝光而错失部分宣传机会。他最引以为豪的是 Mastodon 从个人项目发展为社区驱动的互联网重要组成部分,是抵御资本化社交平台垄断的一股清流。
他将转为战略与产品顾问,以更低调的方式继续支持项目。同时,Mastodon 4.5 版本已发布,新增引用转发、修复回复丢失问题、管理员工具升级及更多表情符号支持,持续优化用户体验。
https://news.ycombinator.com/item?id=45969909
https://downdetectorsdowndetector.com
该网页是一个独立的网站状态检测工具,用于检查 DownDetector 网站(downdetector.com)是否正常运行。
检测结果显示,DownDetector 在三个不同地区的访问均正常:
最后一次检测时间为 3 分钟前,即 2025 年 11 月 20 日上午 07:51。
该工具由 timeguessr.com 创建,与 DownDetector 无官方关联,仅用于从多个地理位置检测其可访问性。
页面还包含一个趣味性提示:通过递归域名测试,如 downdetectorsdowndetectorsdowndetector.com,来观察监控机制的自我嵌套现象。
https://news.ycombinator.com/item?id=45974012
https://www.theverge.com/news/823750/european-union-ai-act-gdpr-changes
欧洲正对其标志性的隐私与人工智能监管法规进行重大调整,标志着在面对大型科技公司和美国政府压力下的政策转向。
此次调整由欧盟委员会提出,涉及两大核心法规:通用数据保护条例(GDPR)和《人工智能法案》(AI Act)。在 GDPR 方面,将简化广受诟病的 Cookie 弹窗,对低风险 Cookie 不再强制弹窗提示,用户可通过浏览器统一设置管理。同时,允许 AI 公司基于合规前提下使用匿名化和假名化个人数据训练模型,以促进数据流通与 AI 发展。
在 AI 监管方面,原定于 2026 年夏季生效的高风险 AI 系统监管规则被推迟,新规定要求必须在“相关标准和支持工具到位”后才可实施,实质上延长了过渡期。
此外,改革还包括多项简化措施:为中小企业降低 AI 合规文档要求、建立统一的网络安全事件报告平台、将 AI 监管职能集中至欧盟 AI 办公室,并推动“欧洲企业钱包”等数字基础设施建设。
欧盟官员称此举旨在“减少监管负担,释放创新空间”,并强调“用户基本权利仍得到充分保护”。然而,这一调整已引发广泛争议。民权组织与政界人士批评其削弱了 GDPR 的保护力度,是向科技巨头妥协的表现。
该提案将提交欧洲议会与 27 个成员国审议,需获得多数通过,过程可能漫长且充满变数。此次变革被视为欧洲科技战略的重大转折,反映出其在全球 AI 竞争中寻求平衡监管与创新的艰难尝试。
https://news.ycombinator.com/item?id=45980117
https://ericmigi.com/blog/pebble-rebble-and-a-path-forward/
Eric Migicovsky,Pebble 创始人,针对 Rebble 组织近期发布的博客文章作出回应,澄清双方在 Pebble 生态延续问题上的争议。
他强调,Core Devices 是他在 2025 年创立的公司,旨在重启 Pebble 品牌并推出新款智能手表。Rebble 是自 2017 年起支持 Pebble 社区的非营利组织,曾为社区做出重要贡献,包括在 2018 年 Fitbit 关闭 Pebble Appstore 前,完整抓取并保存了约 13,000 个应用与表盘数据,并搭建了新的开发者平台。
双方曾达成协议:Core Devices 将按每月 0.20 美元/用户的费用支持 Rebble 服务。但协议因核心分歧破裂。Rebble 声称其“100% 拥有” Pebble Appstore 的数据,并试图将这些由开发者在 2012–2016 年间上传的内容封闭管理,形成“围墙花园”。Eric 反对这一做法,主张 Appstore 内容应完全开源、自由共享。
针对 Rebble 的四项指控,Eric 逐一澄清:
Eric 表示,所有争议本可通过沟通解决,但 Rebble 选择发布指责性博客并威胁诉讼,令人失望。他重申,自己始终尊重 Pebble 的开源精神与社区价值,目标是让 Pebble 生态持续开放、繁荣。他呼吁社区理性看待分歧,共同推动 Pebble 的未来。
https://news.ycombinator.com/item?id=45969250
https://www.aclu.org/news/free-speech/app-store-oligopoly
本文探讨了苹果和谷歌两大科技公司通过其应用商店对用户手机应用的控制,如何在政府压力下成为限制言论自由的工具。当前,绝大多数美国智能手机用户依赖苹果的 App Store 或谷歌的 Play Store 获取应用,这种集中化分发模式使两大公司拥有决定哪些应用可被安装的权力。
文章指出,美国司法部曾施压苹果下架名为 ICEBlock 的应用程序,该程序允许用户匿名报告国土安全部移民与海关执法局(ICE)人员的活动。随后,谷歌也下架了类似功能的 Red Dot 应用。尽管这些应用存在技术或设计上的争议,但政府干预应用分发严重威胁了公民的言论自由,尤其是对政府行为进行监督和批评的权利。
苹果的 iOS 系统默认只允许安装 App Store 中的应用,这种封闭模式已多次被用于配合政府审查。谷歌虽然曾允许安卓设备“侧载”(sideloading)第三方应用,但近期宣布将推行“验证开发者”制度,要求所有应用必须通过谷歌认证,否则将无法在“认证安卓”设备上安装。这一举措虽以“安全”为名,实则可能成为政府或企业压制异见的工具。
文章强调,这种控制模式正在将智能手机变成受控设备,类似于过去电脑用户不受厂商限制安装软件的情况已不复存在。欧盟通过《数字市场法案》(DMA)迫使苹果允许欧洲用户使用替代应用商店和侧载功能,这为其他地区提供了改革参考,但目前仍存在局限。
总体而言,文章警告:当科技公司与政府联手控制应用分发,公民的数字自由将面临严重威胁。技术基础设施的选择,正在深刻影响言论自由的边界。
https://news.ycombinator.com/item?id=45979297
https://www.githubstatus.com/incidents/5q7nmlxz30sk
GitHub 于 2025 年 11 月 18 日 20:30 UTC 至 21:34 UTC 期间遭遇了严重的 Git 操作故障,影响了所有 Git 操作,包括 SSH 和 HTTP 客户端交互以及原始文件访问,同时波及依赖 Git 操作的其他产品。
故障的根因是内部服务间通信所使用的 TLS 证书过期。GitHub 已通过替换过期证书并重启受影响服务完成修复,系统已全面恢复。
为防止类似问题再次发生,GitHub 已更新相关告警机制,并对同类证书进行全面审计,确保所有证书均具备及时告警和自动化管理能力。同时,公司正加速推进剩余手动管理证书的淘汰工作,全面实现服务间通信的自动化与安全化。
目前 Git 操作与 Codespaces 均已恢复正常。GitHub 已发布详细事件报告,强调将持续优化系统可靠性与安全性。
https://news.ycombinator.com/item?id=45971726
https://blog.thunderbird.net/2025/11/thunderbird-adds-native-microsoft-exchange-email-support/
Thunderbird 145 版本正式推出原生 Microsoft Exchange 邮件支持,通过 Exchange Web Services(EWS)协议实现,无需依赖第三方插件即可直接使用 Exchange 邮箱。
对于使用 Microsoft 365 或 Office 365 的用户,Thunderbird 现在支持标准 OAuth2 登录流程,自动检测账户设置,简化配置过程。用户只需在新账户设置中选择“Exchange”或“Exchange Web Services”,即可快速完成配置。
当前版本支持的功能包括:
尚未支持的功能包括:
尽管微软正逐步用更现代的 Microsoft Graph 替代 EWS,但 EWS 仍将在可预见的未来持续支持。Thunderbird 优先实现 EWS 支持以保障现有用户兼容性,同时正在积极开发对 Microsoft Graph 的支持,确保未来无缝过渡。
未来版本将陆续加入日历与联系人同步功能,使 Thunderbird 成为 Outlook 的有力替代方案。如需更多技术细节,可参考 Mozilla 官方支持页面与 Wiki 文档。
https://news.ycombinator.com/item?id=45978423
https://wt.gd/i-just-want-my-rcs-messaging-to-work
作者是一名长期使用多平台设备的技术爱好者,目前在使用 iPhone 15 Pro 时遭遇了持续一个多月的 RCS 消息功能无法正常工作的问题。尽管已升级至 iOS 26,但两个手机号码(分别来自 T-Mobile 和 US Mobile)均显示“等待激活……”,而将同一号码转移到其他 iPhone 上则能立即激活。作者已尝试所有可能的排查手段,包括重启、重置网络设置、删除 VPN、更换 eSIM、恢复备份、甚至使用 libimobiledevice 工具抓取系统日志,但问题依旧存在。
作者指出,问题很可能出在苹果或谷歌身上,而双方均未提供有效支持。苹果将责任推给运营商,而运营商则表示问题不在他们,且无法解决 iPhone 的 RCS 兼容性问题。作者强调自己并非首次处理此类底层通信问题——他曾成功推动解决 Verizon 网络因 UAProf 服务关闭导致的 MMS 失败问题,证明其具备深入排查能力。
此外,作者提到谷歌自 2023 年起开始“恶意”阻止非官方 Android 系统(如 LineageOS)使用 RCS,通过隐蔽方式禁用功能,直到数月后才添加提示。作者通过模拟 Pixel 设备指纹绕过限制,认为谷歌所谓“防 spam”的理由站不住脚,实则限制用户对设备的控制权。
目前,作者对苹果在 iOS 18 中引入 RCS 表示认可,但对 iOS 26 中出现的严重退化感到失望。他强调自己未对 iOS 进行任何修改,仅使用 Mullvad DNS 作为广告拦截,而家人使用相同设置却无问题,排除了网络配置干扰。日志分析显示,问题可能与 UserInteractionRequired.xml 相关,但系统未提供明确提示,缺乏透明度。
总结:作者呼吁对苹果和谷歌在 RCS 支持上的不作为进行问责,强调用户应拥有自由使用现代通信协议的权利,而当前生态中缺乏责任机制,导致用户陷入无解困境。
https://news.ycombinator.com/item?id=45974869
https://news.ycombinator.com/item?id=45974052
This is the multi-million dollar .unwrap() story. In a critical path of infrastructure serving a significant chunk of the internet, calling .unwrap() on a Result means you’re saying “this can never fail, and if it does, crash the thread immediately.“The Rust compiler forced them to acknowledge this could fail (that’s what Result is for), but they explicitly chose to panic instead of handle it gracefully. This is textbook “parse, don’t validate” anti-pattern.
I know, this is “Monday morning quarterbacking”, but that’s what you get for an outage this big that had me tied up for half a day.
ojosilva
这是一个价值百万美元的 .unwrap() 故事。在为互联网一大部分服务的基础设施的关键路径上,对 Result 调用 .unwrap(),就等于在说:“这绝对不能失败,如果失败,就让线程立即崩溃。” Rust 编译器迫使开发者承认这可能会失败(Result 类型存在的意义就在于此),但他们明确选择了直接 panic(崩溃),而不是优雅地处理错误。这是一个典型的“不要验证,直接解析”(parse, don’t validate)反模式。
我知道,这是“事后诸葛亮”,但这么大的故障,让我忙活了半天,得到的也就是这种评价。
https://news.ycombinator.com/item?id=45974320
Well… we have a culture of transparency we take seriously. I spent 3 years in law school that many times over my career have seemed like wastes but days like today prove useful. I was in the triage video bridge call nearly the whole time. Spent some time after we got things under control talking to customers. Then went home. I’m currently in Lisbon at our EUHQ. I texted John Graham-Cumming, our former CTO and current Board member whose clarity of writing I’ve always admired. He came over. Brought his son (“to show that work isn’t always fun”). Our Chief Legal Officer (Doug) happened to be in town. He came over too. The team had put together a technical doc with all the details. A tick-tock of what had happened and when. I locked myself on a balcony and started writing the intro and conclusion in my trusty BBEdit text editor. John started working on the technical middle. Doug provided edits here and there on places we weren’t clear. At some point John ordered sushi but from a place with limited delivery selection options, and I’m allergic to shellfish, so I ordered a burrito. The team continued to flesh out what happened. As we’d write we’d discover questions: how could a database permission change impact query results? Why were we making a permission change in the first place? We asked in the Google Doc. Answers came back. A few hours ago we declared it done. I read it top-to-bottom out loud for Doug, John, and John’s son. None of us were happy — we were embarrassed by what had happened — but we declared it true and accurate. I sent a draft to Michelle, who’s in SF. The technical teams gave it a once over. Our social media team staged it to our blog. I texted John to see if he wanted to post it to HN. He didn’t reply after a few minutes so I did. That was the process.
eastdakota
嗯……我们非常重视我们的透明文化。我在法学院读了三年,在我的职业生涯中,这三年似乎浪费了无数次,但今天这样的日子证明,它们是有用的。我几乎全程参与了分诊视频电话会议。在我们把局势控制住后,我花了一些时间与客户沟通。然后就回家了。我目前在里斯本的欧盟总部。我给约翰·格雷厄姆-卡明发了短信,他是我们的前首席技术官和现任董事会成员,我一直非常钦佩他清晰的写作风格。他过来了,还带着他儿子(“是为了让孩子知道工作并不总是好玩的”)。我们的首席法律官(道格)碰巧也在城里,他也过来了。团队准备了一份包含所有细节的技术文档,一份关于事件发生时间和情况的“滴答”记录。我把自己锁在阳台上,用我信赖的 BBEdit 文本编辑器开始写引言和结论。约翰开始处理中间的技术部分。道格在我们表述不清的地方不时地提出修改意见。后来约翰点了寿司,但那家店的配送选择有限,而且我对贝类过敏,所以我点了一个墨西哥卷饼。团队继续充实事件的细节。我们写作时不断发现问题:数据库权限的更改如何影响查询结果?我们最初为什么要进行权限更改?我们在 Google 文档里提问,然后得到了答案。几小时前,我们宣布完成。我把全文大声读给道格、约翰和他的儿子听。我们都不开心——我们对所发生的事情感到尴尬——但我们还是声明它真实且准确。我把草稿发给了在旧金山的米歇尔。技术团队审阅了一遍。我们的社交媒体团队将它发布到我们的博客上。我发短信问约翰是否想把它发布到 HN。几分钟后他没有回复,所以我就自己发了。这就是整个过程。
https://news.ycombinator.com/item?id=45976044
I’ve led multiple incident responses at a FAANG, here’s my take. The fundamental problem here is not Rust or the coding error. The problem is:
Their bot management system is designed to push a configuration out to their entire network rapidly. This is necessary so they can rapidly respond to attacks, but it creates risk as compared to systems that roll out changes gradually.
Despite the elevated risk of system wide rapid config propagation, it took them 2 hours to identify the config as the proximate cause, and another hour to roll it back.
SOP for stuff breaking is you roll back to a known good state. If you roll out gradually and your canaries break, you have a clear signal to roll back. Here was a special case where they needed their system to rapidly propagate changes everywhere, which is a huge risk, but didn’t quite have the visibility and rapid rollback capability in place to match that risk.
While it’s certainly useful to examine the root cause in the code, you’re never going to have defect free code. Reliability isn’t just about avoiding bugs. It’s about understanding how to give yourself clear visibility into the relationship between changes and behavior and the rollback capability to quickly revert to a known good state.
Cloudflare has done an amazing job with availability for many years and their Rust code now powers 20% of internet traffic. Truly a great team.
abalone
我曾在FAANG公司主导过多次事故响应,谈谈我的看法。根本问题不在于Rust或编码错误,问题在于:
东西坏了时的标准操作流程是回滚到一个已知的良好状态。如果你分阶段部署,并且你的金丝雀系统出错了,你就会有一个清晰的信号可以回滚。这里是一个特例,他们需要系统将变更快速传播到所有地方,这是一个巨大的风险,但他们并没有完全具备与该风险相匹配的可见性和快速回滚能力。
虽然在代码中检查根本原因当然很有用,但你永远不可能做到没有缺陷的代码。可靠性不仅仅是避免bug。它还在于如何让自己清楚地了解变更与行为之间的关系,并拥有快速回滚到已知良好状态的能力。
多年来,Cloudflare在可用性方面做得非常出色,他们的Rust代码现在支撑着20%的互联网流量。真是一支了不起的团队。
https://news.ycombinator.com/item?id=45973869
As always, kudos for releasing a post mortem in less than 24 hours after the outage, very few tech organisations are capable of doing this.
SerCe
一如既往,在故障后不到24小时内就发布复盘报告,这点很少有科技公司能做到。
https://news.ycombinator.com/item?id=45971152
I gave it a fair shot.
It is a vs code fork. There were some UI glitches. Some usability was better. Cursor has some real annoying usability issues - like their previous/next code change never going away and no way to disable it. Design of this one looks more polished and less muddy.
I was working on a project and just continued with it. It was easy because they import setting from cursor. Feels like the browser wars.
Anyway, I figured it was the only way to use gemini 3 so I got started. A fast model that doesn’t look for much context. Could be a preprompt issue. But you have to prod it do stuff - no ambition and a kinda offputting atitude like 2.5.
But hey - a smarter, less context rich Cursor composer model. And that’s a complement because the latest composer is a hidden gem. Gemini has potential.
So I start using it for my project and after about 20 mins - oh, no. Out of credits.
What can I do? Is there a buy a plan button? No? Just use a different model?
What’s the strategy here? If I am into your IDE and your LLM, how do I actually use it? I can’t pay for it and it has 20 minutes of use.
I switched back to cursor. And you know? it had gemini 3 pro. Likely a less hobbled version. Day one. Seems like a mistake in the eyes of the big evil companies but I’ll take it.
Real developers want to pay real money for real useful things.
Google needs to not set themselves up for failure with every product release.
If you release a product, let those who actually want to use it have a path to do so.
throwaway13337
我给了它一个公平的机会。
这是一个 VS Code 的分支。它有一些 UI 故障,但某些可用性方面做得更好。Cursor 有一些非常烦人的可用性问题——比如它们的上/下代码更改的标记总是不消失,而且无法禁用。这个软件的设计看起来更精致,更清爽。
我正在做一个项目,于是就继续用了。导入 Cursor 的设置很简单。感觉就像是浏览器大战一样。
无论如何,我认为这是使用 Gemini 3 的唯一方法,所以我开始用了。这是一个快速但不怎么寻找上下文的模型。这可能是预设提示(preprompt)的问题。但你必须推动它去做事情——缺乏主动性,并且有一种令人不悦的态度,有点像 2.5 版本。
但嘿——这就像是更聪明、上下文需求更少的 Cursor Composer 模型。这是一种赞美,因为最新的 Composer 是一个隐藏的瑰宝。Gemini 潜力巨大。
于是我开始在我的项目中使用它,大约 20 分钟后——哦,不。额度用完了。
我能怎么办?有购买套餐的按钮吗?没有?只能换一个模型?
这里有什么策略吗?如果我喜欢你的 IDE 和你的 LLM,我该怎么实际使用它?我无法付费,而且它只能用 20 分钟。
我切换回了 Cursor。你知道吗?它有 Gemini 3 Pro。这很可能是一个限制更少的版本。就在第一天。在大公司眼里这似乎是个错误,但我乐意接受。
真正的开发者愿意为真正有用的东西付钱。
谷歌需要避免在每次产品发布时都让自己走向失败。
如果你发布一个产品,就请让那些真正想使用它的人有办法用上。
https://news.ycombinator.com/item?id=45980305
I’m begging project leaders everywhere - please read up on the social contract and the consent of the governed.
I do not need consent as I am not governing anyone like king or president governs.
If someone is using my project they are also not really entitled to anything, beyond what stated in license and similar documents if any.
If they dislike it, they can fork my project and go away.
If someone wants to be entitled to anything, they are free to make a contract and pay for service they desire. But while many are happy to demand nearly noone is willing to help. Or even fork project. Instead they make entitled demand and treat open source developers as servants or slaves or their pets.
No, you are not entitled to your preferred governance model to be used in my software project.
purple_turtle
恳请各位项目负责人,请了解一下社会契约和被统治者的同意。 我不是在统治任何人,就像国王或总统那样,所以我不需要征得同意。 如果有人在使用我的项目,他们除了许可证和类似文件(如有)中规定的内容外,并没有任何额外的索取权。 如果不喜欢,他们可以分叉我的项目然后离开。 如果有人想获得某些权利,他们完全可以签订合同,为自己想要的服务付费。但很多人只乐于索取,却几乎没有人愿意帮忙,甚至不愿意分叉项目。 取而代之的是,他们提出一些理所当然的要求,把开源开发者当作仆人、奴隶或宠物。 不,你没有权利要求在你的软件项目中采用你偏好的治理模式。
https://news.ycombinator.com/item?id=45970675
“Congratulations, you have been elevated to manager to agents.”
That’s not exactly really where I hoped my career would lead. It’s like managing junior developers, but without having nice people to work with.
uatec
恭喜,你已被晋升为代理经理。
这其实并非我期望的职业发展道路。就像管理初级开发者,但没有好相处的人一起共事。
https://news.ycombinator.com/item?id=45974030
Because we initially thought it was an attack. And then when we figured it out we didn’t have a way to insert a good file into the queue. And then we needed to reboot processes on (a lot) of machines worldwide to get them to flush their bad files.
eastdakota
因为我们最初以为这是一次攻击.然后当我们弄明白的时候,我们没办法将一个好的文件插入队列中.于是我们需要在全球的大量机器上重启进程,以便让它们清除这些坏文件.
https://news.ycombinator.com/item?id=45974156
Blender is really an amazing case study of open source software. Apart from the Linux kernel and web browsers/tools, it is perhaps the only open source software that managed to beat all the commercial software in its niche. It has rendered Maya nearly obsolete.
Meanwhile, in other niches, Microsoft Office still beats open source office suites like LibreOffice; Photoshop isn’t about to give up its crown to GIMP; Lightroom isn’t losing to Darktable; and FreeCAD isn’t even in the rear view mirror of Solidworks.
I wonder what will be the next category of open source to pull ahead? Godot is rapidly gaining users/mindshare while Unity seems to be collapsing, but Unreal is still the king of game engines for now. Krita is a viable alternative for digital painting.
porphyra
Blender 确实是开源软件的一个绝佳案例。除了 Linux 内核和网页浏览器/工具之外,它或许是唯一一个成功在其领域内击败所有商业软件的开源软件。它几乎让Maya变得过时了。
与此同时,在其他领域,微软Office仍然优于LibreOffice等开源办公套件;Photoshop 不会将王冠拱手让给 GIMP;Lightroom 并未输给 Darktable;而 Solidworks 甚至没把 FreeCAD 放在眼里。
我想知道,下一个会脱颖而出的开源软件领域会是哪个?Godot 正在迅速获得用户和市场份额,而 Unity 似乎正在崩溃,但至少目前,Unreal 仍然是游戏引擎之王。Krita 是数字绘画领域一个可行的替代品。
https://news.ycombinator.com/item?id=45971794
I don’t even know what the selling point of AI is for regular people. In the 60s it was possible for a man to work an ordinary job, buy a house, settle down with a wife and support two or three children. That’s completely out of the realm of reality for many young people now and the plummeting birth rates show it.
The middle class have financially benefited very little from the past 20+ years of productivity gains.
Social media is driving society apart, making people selfish, jealous, and angry.
Do people really think more technology is going to be the path to a better society? Because to me it looks like the opposite. It will just be used to stomp on ordinary people and create even more inequality.
cedws
我甚至都不知道人工智能对普通人来说有什么卖点。在60年代,一个男人可以找一份普通的工作,买一套房子,娶妻生子,养活两三个孩子。如今,这对许多年轻人来说完全是不切实际的,不断下降的出生率就证明了这一点。
中产阶级在过去20多年的生产力增长中,在经济上获益甚微。
社交媒体正在使社会变得分裂,让人们变得自私、嫉妒和愤怒。
人们真的认为,更多的技术会是通往更美好社会的道路吗?因为在下看来,情况恰恰相反。它只会被用来欺压普通人,制造更大的不平等。
https://news.ycombinator.com/item?id=45969020
Back then, DJGPP was a much bigger group, and most of the Quake kudos go to Charles Sandmann, author of cwsdpmi, who worked directly with Id to help them optimize their code for our environment.
djdelorie
当初,DJGPP的团队规模要大得多,《雷神之锤》的大部分功劳则要归于cwsdpmi的作者查尔斯·桑德曼。他当时曾直接与Id Software合作,帮助优化他们的代码,使其能适应我们的运行环境。
2025-11-19 08:20:10
- Cloudflare 于 11 月 18 日发生全球网络故障,因底层配置变更导致多项服务中断,团队数小时内部署修复并宣布事件解决。
- 谷歌发布 Gemini 3 多模态大模型,声称在推理、意图理解与编程能力上大幅提升并已集成到其产品与平台中。
- 传奇游戏开发者 Rebecca Heineman 因癌症去世,享年 62 岁,业界广泛悼念她对多款经典游戏的贡献及 LGBTQ+ 倡导。
- 微软在 Windows 11 测试 Agent Workspace,让 AI 代理在后台运行并默认访问已知个人文件夹,引发安全与隐私担忧。
- 英国调查显示约 97% 司机遭遇对向车灯眩目,绝大多数认为车灯过亮,专家呼吁修订头灯法规以减少蓝光眩目。
- Google 推出 Antigravity 代理为中心的开发环境(基于 VS Code fork),旨在提升 AI 驱动的开发效率,但用户体验与使用限制遭批评。
- Rebble 指控 Core Devices 在未达成开放承诺下抓取其十年成果并封闭若干项目,呼吁社区维护 Pebble 生态的开源与社区主导。
- 微软 Azure 遭遇由 Aisuru 物联网僵尸网络发起的高达 15.72 Tbps DDoS 攻击,攻击源超 50 万 IP,凸显 IoT 设备安全隐患。
- 文章详述 quake.exe 如何通过 DJGPP、CWSDPMI 与 Mpath 的隧道/Winsock 在 DOS 与 Windows 95 下实现 TCP/IP 联网,推动早期多人游戏发展。
- 作者警告不要盲目将网站放在 Cloudflare 这类集中化服务之后以免形成单点故障,建议采用多地域备份与去中心化冗余策略。
https://www.cloudflarestatus.com/incidents/8gmgl950y3h7
Cloudflare 全球网络出现服务中断事件,影响范围包括 Cloudflare Sites 和 Services(如 Access、Bot Management、CDN/Cache、Dashboard、防火墙、网络、WARP、Workers 等)。事件始于 11 月 18 日 11:48 UTC,最初为内部服务降级,部分服务出现间歇性问题。
经过数小时的排查与修复,Cloudflare 团队在 14:34 UTC 宣布已部署修复措施,恢复了 Dashboard 服务,并逐步恢复 Cloudflare Access 和 WARP 服务,伦敦地区的 WARP 访问曾被临时关闭以配合修复。14:42 UTC,团队确认修复已实施,正在持续监控系统状态。
截至 19:28 UTC,Cloudflare 官方宣布该事件已解决,所有服务恢复正常运行。工程团队仍在进行深入调查,以查明根本原因,并将在后续发布完整的事故报告。目前建议用户重新启用此前因故障临时停用的 Cloudflare 服务。
期间,部分用户仍报告登录 Dashboard 困难、Bot 评分异常等问题,团队已确认这些问题正在逐步缓解。整体系统错误率和延迟已恢复至正常水平。
https://news.ycombinator.com/item?id=45963780
https://blog.google/products/gemini/gemini-3/
Google 正式推出其最新人工智能模型 Gemini 3,标志着 AI 进入“新智能时代”。该模型是目前谷歌最智能的 AI,具备强大的推理能力、多模态处理能力和更精准的理解意图能力,能够帮助用户实现任何创意构想。
Gemini 3 Pro 在推理、多模态和编程基准测试中均超越前代模型。它能更准确地理解用户请求背后的上下文与意图,减少不必要的提示,实现更自然的交互体验。
Gemini 3 现已上线多个核心产品:Google 搜索中的 AI 模式、Gemini 应用、AI Studio、Vertex AI 平台,以及全新的代理开发平台 Google Antigravity。未来还将为 Ultra 订阅用户提供“Deep Think”深度思考模式,用于解决复杂问题。
该模型支持三大核心场景:学习任何知识、构建任何应用、规划任何任务。通过增强的推理与工具使用能力,Gemini 3 可协助用户完成从学习到创作的全流程。
谷歌强调其全栈 AI 战略——从基础设施、前沿研究、模型开发到大规模产品落地,推动 AI 快速普及。目前,AI Overviews 月活达 20 亿,Gemini 应用月活超 6.5 亿,超 1300 万开发者基于其模型进行开发。
谷歌 CEO Sundar Pichai 表示,Gemini 系列自推出以来持续进化,如今的 Gemini 3 是集大成之作,旨在让 AI 真正成为每个人可信赖的助手。未来将持续在智能体、个性化和通用人工智能领域推进创新。
https://news.ycombinator.com/item?id=45967211
游戏开发者、程序员、《太空侵略者》美国首位正式冠军 Rebecca Heineman 于 2025 年 11 月 17 日因癌症去世,享年 62 岁。她生前在游戏行业成就卓著,曾参与 67 款游戏的开发,是 Interplay 联合创始人之一,参与打造了《废土》《辐射》《博德之门》等经典作品,其代表作之一为《吟游诗人传奇 3:命运窃贼》。
Heineman 在 1980 年赢得美国《太空侵略者》全国锦标赛冠军,成为首位被正式认可的美国电子游戏冠军。她于 2000 年代公开出柜,是 LGBTQ+ 群体在科技与游戏领域的早期倡导者之一,2025 年荣获 Gayming 年度偶像奖。
她曾因独自在数周内完成 3DO 版《毁灭战士》的移植而闻名,这一壮举被广泛传颂。2024 年 1 月,她的伴侣、游戏行业传奇人物 Jennell Jaquays 因吉兰-巴雷综合征去世,令她深受打击。2025 年 10 月,她被诊断出患有侵袭性癌症,随即发起 GoFundMe 筹款,用于支付治疗费用。
然而,病情迅速恶化,她于 11 月 17 日宣布进入临终关怀阶段,不再接受治疗。她在最后的留言中写道:“是时候了,医生说所有治疗都无意义。请捐款,让我孩子能为我举办一场配得上我的键盘‘Pixelbreaker’的葬礼,让我能与我唯一的挚爱 Jennell 重逢。”
她的离世引发游戏界广泛哀悼,前同事 Brian Fargo、多位开发者及粉丝纷纷在社交媒体上表达怀念与敬意。她的故事不仅代表一位技术先驱的传奇人生,也体现了她在推动行业多样性与包容性方面的深远影响。
https://news.ycombinator.com/item?id=45960368
微软正推进 Windows 11 向“AI 原生”操作系统转型,推出名为“Agent Workspace”的实验性功能,允许 AI 代理在后台运行并访问用户常用文件夹。
该功能目前仅对 Windows Insider 计划中的 Dev 或 Beta 频道用户开放,需在设置中开启“实验性代理功能”才能启用。Agent Workspace 为 AI 代理创建一个独立的运行环境,拥有自己的桌面、账户和权限,可并行运行于用户主桌面之外。
与 Windows Sandbox 不同,Agent Workspace 并非完全隔离的虚拟机,而是基于已知文件夹(如桌面、文档、图片、音乐、视频、下载)实现访问控制。AI 代理默认可读写这些文件夹,即使用户更改了文件夹位置,系统仍能通过“已知文件夹”机制定位。
微软强调,每个 AI 代理拥有独立权限和审计日志,确保操作透明、安全可控。代理可调用已安装的应用程序,执行如搜索、创建文件、管理内容等任务,模拟人类操作行为。
尽管微软声称该功能具备运行时隔离和权限限制,但其允许 AI 代理直接访问个人文件夹和应用,仍引发安全担忧。与 Sandbox 不同,Agent Workspace 不会在关闭后自动清除数据,长期运行可能带来潜在风险。
该功能目前仍处于测试阶段,性能表现和实际安全性有待验证。微软正持续优化其安全模型,强调透明性、安全性和用户控制权。
https://news.ycombinator.com/item?id=45959795
https://www.bbc.com/news/articles/c1j8ewy1p86o
英国近九成司机认为车灯过亮,频繁遭遇对向车辆灯光眩目。一项由英国交通部委托的调查发现,97% 的受访者表示曾被对向车辆灯光干扰,96% 认为多数或部分车灯过亮。研究由伯克郡交通研究实验室(TRL)主导,指出 LED 灯和更白的灯光可能加剧眩目问题,因其亮度更高、光束更集中,并释放更多人眼在夜间难以适应的蓝光。
调查结果显示,33% 的司机因灯光问题曾停止夜间驾驶或减少夜间出行,另有 22% 表示希望减少夜间驾驶但不得不继续。此次调查覆盖 1850 名司机,其年龄与性别分布与英国驾照持有者总体一致。
专家呼吁政府采取行动。RAC 高级政策官罗德·丹尼斯表示,研究结果证实了司机长期反映的眩目问题并非臆想,必须在提升照明性能与避免干扰之间取得平衡。眼科专家丹妮丝·武恩则建议交通部立即采取具体措施,并开展更深入的研究,以明确头灯法规应如何调整。
相关措施将纳入政府即将发布的《道路安全战略》。近年来,关于强光头灯导致驾驶者“失明”的投诉持续上升,引发公众对道路安全和法规标准的广泛关注。
https://news.ycombinator.com/item?id=45966251
Google Antigravity 是一款面向未来开发者的智能集成开发环境(IDE),标志着 IDE 进入“以代理为中心”的新时代。它通过 AI 驱动的核心功能,提升开发效率与用户体验。
核心功能包括:
适用人群广泛:
产品目前对开发者免费开放,支持 Linux 系统下载,企业版即将推出,可申请通知。 最新动态包括产品发布博客与功能更新日志,持续推动智能开发体验升级。
https://news.ycombinator.com/item?id=45967814
https://rebble.io/2025/11/17/core-devices-keeps-stealing-our-work.html
Rebble 团队发布公开声明,指出其与 Core Devices 的合作关系已破裂。尽管最初双方希望共同推动 Pebble 生态发展,但 Core Devices 近期要求获取 Rebble 过去十年积累的所有数据和工作成果,且拒绝承诺未来开放或共享这些资源。
Rebble 强调,目前 Core Devices 运营的 Pebble App Store 完全依赖于 Rebble 多年来的技术积累:包括重建 App Store API、搭建数据存储后端、迁移和维护数万款应用、持续更新与修复、举办黑客松活动等。这些工作耗费了大量资金与人力,是 Rebble 社区集体努力的成果。
Rebble 曾多次提出合作条件,包括允许 Core Devices 使用数据用于其产品,但前提是必须保障 Rebble 的持续存在与社区控制权。然而 Core Devices 拒绝书面承诺,反而在未达成协议的情况下擅自抓取 Rebble 服务器数据,违反了此前共识。
此外,Rebble 指出 Core Devices 在多个关键项目上存在“借用”其成果的行为:如 PebbleOS 的开发基础来自 Rebble 的开源贡献,但 Core 未按约定合并回主干;其移动应用核心库 libpebble3 源自 Rebble 的 libpebblecommon,却被封闭并加上更严格许可证;原定由 Rebble 维护的开发者网站也被要求移除并由 Core 接管。
Rebble 表示,他们并非不愿合作,而是无法接受一个“单方面控制、封闭生态”的未来。他们担忧 Core Devices 一旦掌握全部数据,可能建立私有应用商店,将社区成果据为己有,重演当年 Pebble 公司倒闭时社区失去控制权的悲剧。
目前,Rebble 已向其社区公开此事,寻求用户意见,决定下一步行动。核心诉求是:确保 Pebble 生态的长期开放与社区主导,而非被一家公司完全控制。
https://news.ycombinator.com/item?id=45960893
微软 Azure 遭遇大规模 DDoS 攻击,峰值达到 15.72 太比特每秒(Tbps),攻击源来自超过 50 万 IP 地址,主要由名为 Aisuru 的物联网(IoT)僵尸网络发起。该攻击采用高频率 UDP 洪水攻击,针对澳大利亚的一个公网 IP 地址,峰值流量接近 36.4 亿包每秒(bpps)。Aisuru 属于 Turbo Mirai 类僵尸网络,主要利用家庭路由器和摄像头等设备的漏洞进行传播,尤其在美国家庭宽带服务商中广泛存在。
该僵尸网络在 2025 年 4 月因攻击者入侵 TotoLink 路由器固件更新服务器,短时间内感染约 10 万台设备,迅速扩张。其攻击目标包括 IP 摄像头、DVR/NVR、Realtek 芯片及 T-Mobile、Zyxel、D-Link、Linksys 等品牌的路由器。此前,Cloudflare 在 2025 年 9 月曾抵御过一次更猛烈的攻击,峰值达 22.2 Tbps,持续仅 40 秒,相当于同时流媒体播放一百万部 4K 视频。
Aisuru 还被发现通过向 Cloudflare 的公共 DNS 服务(1.1.1.1)发送恶意查询流量,人为提升其控制域名的请求量,从而扭曲“最常请求域名”排行榜,影响系统公信力。Cloudflare 已开始对可疑恶意域名进行隐藏或删除,以防止类似事件再次发生。
2024 年,Cloudflare 共抵御了 2130 万次针对客户的服务攻击,以及 660 万次针对自身基础设施的多向量攻击,攻击数量同比激增 358%。XLab 研究团队此前也确认 Aisuru 曾发起 11.5 Tbps 的攻击,当时控制约 30 万台设备。随着 AI 与云服务的普及,此类大规模 DDoS 攻击正成为网络安全的重大挑战。
https://news.ycombinator.com/item?id=45955900
https://fabiensanglard.net/quake_chunnel/index.html
Quake.exe 是一款于 1996 年发布的经典第一人称射击游戏,其成功不仅源于游戏本身,更在于它在技术上的突破。当时,PC 平台正经历三大技术变革:3D 显卡的兴起、互联网的普及以及操作系统从 MS-DOS 向 Windows 95 和 Windows NT 的迁移。id Software 选择不放弃 DOS,而是开发出一个能同时在 DOS 和 Windows 95 上运行的单一可执行文件 quake.exe,展现了极高的技术前瞻性。
quake.exe 使用了 djgpp 工具链,通过一个名为 DJGPP go32 的 DOS 扩展器实现 32 位平坦内存寻址,避免了 DOS 下 16 位段模型的复杂性。其核心在于,该扩展器的客户端嵌入在 quake.exe 中,而服务端为 cwsdpmi.exe。关键突破在于,djgpp 的 DPMI 客户端被设计为能兼容 Windows 95 自带的 DPMI 服务器,使得 quake.exe 可以在两种环境下无缝运行。
在 DOS 环境下,Quake 支持四种多人游戏模式:通过 COM 口连接的调制解调器或 NullModem 电缆进行 1v1 对战,以及局域网内的 IPX 和全球互联的 TCP/IP 模式。然而,DOS 本身没有原生 TCP/IP 支持,仅有的商业解决方案是售价高达 395 美元(相当于 2025 年的 830 美元)的 BWNFS TSR,导致绝大多数玩家无法使用 TCP/IP 联网。
在 Windows 95 下运行 Quake 时,系统通过“DOS 盒子”虚拟化环境,虽然需要 16MB 内存(远超 Quake 实际需求的 8MB),但性能依然出色,推测是因全屏模式下对显卡的直接硬件访问保障了性能。此时,cwsdpmi.exe 不再需要,因为 DOS 扩展器自动使用 Windows 95 内置的 DPMI 服务。
更有趣的是,存在第三种启动方式:运行 q95.bat 脚本。该脚本会启动一个“启动 Quake”的窗口,提示“通过 Winsock 隧道连接,由 Mpath 提供支持”。这揭示了 Quake 通过 Mpath Interactive 服务实现互联网多人游戏的机制。
Mpath Interactive 是 1990 年代中期少数提供在线游戏服务的公司之一,与 Total Entertainment Network(TEN)并列。他们不仅提供游戏匹配服务,还作为 ISP 代理。Mpath 的“Gizmo”程序是一个 Windows 游戏浏览器,允许玩家浏览或创建“游戏房间”,支持直接加入正在进行的游戏,这在当时极为先进。Quake 作为“即插即用”游戏,正是通过 Mpath 实现了真正的互联网多人对战,成为早期在线游戏的典范。
这一系列技术设计,使 Quake 成为跨越 DOS 与 Windows 时代、连接本地与全球网络的里程碑式作品。
https://news.ycombinator.com/item?id=45962654
https://huijzer.xyz/posts/123/do-not-put-your-site-behind-cloudflare-if-you-dont
近期,Cloudflare 出现大规模服务中断,导致众多网站无法访问,即便是一些流量极小的个人站点也受到影响。作者指出,将网站部署在 Cloudflare 等集中化服务背后,实际上引入了一个单点故障风险。即使小型网站每月仅有数千访问量,也未必真正需要 Cloudflare 提供的 DDoS 防护服务。
作者强调,现实中极少有人会针对小网站发动 DDoS 攻击,所谓“没人会为零日漏洞浪费资源”同样适用于小站点。许多人使用 Cloudflare 是出于对安全的误解或恐惧,而非实际需求。
文章呼吁用户反思对中心化服务的依赖,真正拥抱去中心化的网络理念。如果担心服务器宕机,建议通过设置多地域备份站点,并使用轮询 DNS(round-robin DNS)实现冗余,而不是依赖第三方服务商。
最终,作者主张:勇敢地将服务直接暴露在互联网上,接受可能的宕机风险,但避免因外部服务故障而连累自身。
https://news.ycombinator.com/item?id=45965060
https://news.ycombinator.com/item?id=45965293
How did we get to a place where either Cloudflare or AWS having an outage means a large part of the web going down? This centralization is very worrying.
lordofgibbons
我们怎么会发展到这样一种境地:无论是Cloudflare还是AWS发生故障,都意味着大部分网络瘫痪?这种集中化实在令人担忧。
https://news.ycombinator.com/item?id=45965344
Tell him it’s worse than he thinks. He obviously brought the entire Cloudflare system down.
arbuge
告诉他情况比他想象的更糟。显然,他把整个Cloudflare系统搞瘫痪了。
https://news.ycombinator.com/item?id=45965824
Because no one cares enough, including users.
Oddly this centralization allows a complete deferral of blame without you even doing anything: if you’re down, that’s bad. But if you’re down, Spotify is down, social media is down… then “the internet is broken” and you don’t look so bad.
It also reduces your incentive to change, if “the internet is down” people will put down their device and do something else. Even if your web site is up they’ll assume it isn’t.
I’m not saying this is a good thing but I’m simply being realistic about why we ended up where we are.
afavour
因为没有人足够在乎,包括用户自己。奇怪的是,这种集中化让你无需采取任何行动就能完全推卸责任:如果你宕机了,那很糟糕。但如果你宕机了,Spotify也宕机了,社交媒体也宕机了……那么“网络坏了”,你的责任就没那么大了。它也降低了你做出改变的积极性,因为如果“网络坏了”,人们会放下他们的设备去做别的事情。即使你的网站是正常的,他们也会假设它已经坏了。我不是说这是一件好事,我只是在实事求是地解释我们是如何发展到今天这个地步的。
https://news.ycombinator.com/item?id=45963808
A colleague of mine just came bursting through my office door in a panic, thinking he brought our site down since this happened just as he made some changes to our Cloudflare config. He was pretty relieved to see this post.
itzjacki
我的一位同事刚刚惊慌失措地冲进我的办公室,以为他把我们的网站搞垮了,因为这件事发生在他修改了Cloudflare配置之后。看到这个帖子后,他松了一口气。
https://news.ycombinator.com/item?id=45966041
If anyone needs commands for turning off the CF proxy for their domains and happens to have a Cloudflare API token.
First you can grab the zone ID via:
curl -X GET “ https://api.cloudflare.com/client/v4/zones" -H “Authorization: Bearer $API_TOKEN” -H “Content-Type: application/json” | jq -r ‘.result[] | “(.id) (.name)"’ And a list of DNS records using:
curl -X GET “ https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records" -H “Authorization: Bearer $API_TOKEN” -H “Content-Type: application/json” Each DNS record will have an ID associated. Finally patch the relevant records:
curl -X PATCH “ https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records/$RECORD_ID" -H “Authorization: Bearer $API_TOKEN” -H “Content-Type: application/json” –data ‘{“proxied”:false}’ Copying from a sibling comment - some warnings:
SSL/TLS: You will likely lose your Cloudflare-provided SSL certificate. Your site will only work if your origin server has its own valid certificate.
Security & Performance: You will lose the performance benefits (caching, minification, global edge network) and security protections (DDoS mitigation, WAF) that Cloudflare provides.
This will also reveal your backend internal IP addresses. Anyone can find permanent logs of public IP addresses used by even obscure domain names, so potential adversaries don’t necessarily have to be paying attention at the exact right time to find it.
abelanger
如果有人需要为他们的域名关闭 Cloudflare (CF) 代理的命令,并且恰好拥有一个 Cloudflare API 令牌。
首先,您可以通过以下命令获取区域 ID:
curl -X GET “ https://api.cloudflare.com/client/v4/zones" -H “Authorization: Bearer $API_TOKEN” -H “Content-Type: application/json” | jq -r ‘.result[] | “(.id) (.name)"’ 然后,使用以下命令获取 DNS 记录列表:
curl -X GET “ https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records" -H “Authorization: Bearer $API_TOKEN” -H “Content-Type: application/json” 每个 DNS 记录都会有一个关联的 ID。最后,更新相关的记录:
curl -X PATCH “ https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records/$RECORD_ID" -H “Authorization: Bearer $API_TOKEN” -H “Content-Type: application/json” –data ‘{“proxied”:false}’ 转自另一条评论 - 一些警告:
SSL/TLS:您可能会失去 Cloudflare 提供的 SSL 证书。您的网站只有在源服务器拥有自己的有效证书的情况下才能正常运行。
安全与性能:您将失去 Cloudflare 提供的性能优势(缓存、代码压缩、全球边缘网络)和安全保护(DDoS 缓解、WAF 防火墙)。
这也会暴露您后端的内部 IP 地址。任何人都可以找到即使是生僻域名所使用的公网 IP 地址的永久日志,因此潜在的对手不一定非要在恰好的时刻关注才能找到它。
https://news.ycombinator.com/item?id=45961517
Microsoft has gone full-blown evil corporation again. No customer validation on any of the AI cruft. No full OPT OUT. Office products are bastardized with copilot buttons everywhere.
I’ve been a Windows user from day one and I now see a future without it. Satya had been a bright spot in Microsoft, but this blind lust for AI, especially in bed with Altman who is pure con artist, is unforgivable.
Some of the investment sells recently are starting to look like the beginning of the end for OpenAI. That will have a wide range impact on everything.
I use Claude for coding (and mostly in WSL). OpenAI enabled its users to have a sext conversation.
Seriously. And Satya just keeps on at full speed.
ChicagoDave
微软又一次变成了彻头彻尾的邪恶公司。他们推出的所有这些AI垃圾,都没有经过任何用户验证,也无法完全退出。Office产品被Copilot糟蹋了,到处都是它的按钮。
我从Windows第一天起就是它的用户,但现在我已经看到了一个没有它的未来。萨提亚(Satya)曾经是微软的一大亮点,但他对AI的这种盲目狂热,尤其是和那个十足的骗子阿尔特曼(Altman)沆瀣一气,是不可原谅的。
最近一些投资人的抛售行为,开始看起来像是OpenAI末日来临的开端了。这将给所有事情带来广泛的影响。
我主要在WSL里用Claude来编程。OpenAI竟然允许用户进行色情对话。
说真的。而萨提亚(Satya)却仍在一路狂奔。
https://news.ycombinator.com/item?id=45969422
Out of curiosity, I gave it the latest project euler problem published on 11/16/2025, very likely out of the training data
Gemini thought for 5m10s before giving me a python snippet that produced the correct answer. The leaderboard says that the 3 fastest human to solve this problem took 14min, 20min and 1h14min respectively
Even thought I expect this sort of problem to very much be in the distribution of what the model has been RL-tuned to do, it’s wild that frontier model can now solve in minutes what would take me days
lairv
出于好奇,我让AI模型解决了2025年11月16日发布的最新Project Euler问题,这很可能超出了它的训练数据范围。 Gemini思考了5分10秒,然后给我一段能产出正确答案的Python代码。排行榜显示,解决此问题的前三名人类选手分别用时14分钟、20分钟和1小时14分钟。 虽然我预计这类问题正是模型通过强化学习优化的方向之一,但前沿模型现在能在几分钟内解决需要我花费数天才能解决的问题,这简直太不可思议了。
https://news.ycombinator.com/item?id=45968432
I went ahead and downloaded it, it looks to be a VSCode fork very similar to Cursor, with support for the following models:
nateb2022
我还是下载了它,看起来是一个与 Cursor 非常相似的 VSCode 衍生版,支持以下模型:
https://news.ycombinator.com/item?id=45968798
2020: every day a new JS framework is announced
2024: every day a new Chrome fork browser is announced
2025: every day a new AI IDE vscode fork is announced
kUdtiHaEX
2020年:每天都有新的JavaScript框架发布。 2024年:每天都有新的Chrome分叉浏览器发布。 2025年:每天都有新的AI IDE VS Code分叉版发布。
https://news.ycombinator.com/item?id=45963883
I do appreciate the visual “mea culpa”:
Your browser: Working
Host: Working
Cloudflare: Error
gwd
我很欣赏这种直观的“认错”:你的浏览器:正常;主机:正常;Cloudflare:错误。
https://news.ycombinator.com/item?id=45964342
Classic. I see issues. Vendor’s status page is all green. Go to HN to find the confirmation. Applies to AWS, GH, everyone.
Edit: beautiful, this decentralised design of the internet.
rollulus
又是经典的一幕。出问题了,但服务商的状态页面却显示一切正常。得去 HN 上才能看到实情。这情况在 AWS、GH,以及所有服务商身上都一样。 编辑:多美妙啊,这种去中心化的互联网设计。
https://news.ycombinator.com/item?id=45961344
The heart-warming gem:
I sent a note about these Easter eggs to Scott Corley [the game’s developer]. He said that he had recently pulled out the game to show the marriage proposal to his son. But he’d forgotten the code and couldn’t make it work! He and Melissa did indeed live happily ever after.
astrocat
我给斯科特·科利[游戏的开发者]发了一条关于这些彩蛋的留言。他说他最近刚拿出游戏,想给儿子看看里面的求婚彩蛋,但他忘了代码,没能让彩蛋成功运行!他和梅丽莎确实从此幸福地生活在一起了。
https://news.ycombinator.com/item?id=45960047
It’s an agentic OS now. It acts as an agent on behalf of Microsoft and its business partners, and against your interests.
everdrive
如今它成了一个代理操作系统,代表微软及其商业伙伴行事,损害你的利益。
https://news.ycombinator.com/item?id=45963886
phewphoria
jpmonette
如释重负的欣快感
https://news.ycombinator.com/item?id=45962129
That’s me! I made that 17 years ago, still happily married. Took me like two weeks of full time tinkering. It involved a lot of trial and error messing with a hex editor.
powerclue
没错,就是我!那个是我17年前做的,现在依然很幸福。花了我大约两周的全职捣鼓时间,过程里充满了反复试验,还得不停地摆弄十六进制编辑器。
https://news.ycombinator.com/item?id=45966683
For your small blog with one hundred visitors per month, it’s probably the same: “no one will burn their DDoS capabilities on you!”
If this is their core argument for not using CDN, then this post sounds like a terribly bad advice. Hopes and prayers do not make a valid security strategy. Appropriate controls and defenses do. The author seems to be completely missing that it takes only a few bucks to buy DDoS as a service. Sometimes people do DDoS your small blog because some random stranger didn’t like something you said somewhere online. Speaking from experience. Very much the reason I’m posting this with a throwaway account. If your website receives DDoS, your hosts will take down your server. Nobody wants to be in this situation even if for a personal, small blog.
throwaway150
对于你那个每月只有一百访客的小博客来说,情况大概也差不多:“没人会动用DDoS来攻击你的!” 如果这是他们不使用CDN的核心论点,那么这篇文章的建议就糟透了。希望和祈祷并不能构成一个有效的安全策略,只有适当的控制和防御措施才行。作者似乎完全没有意识到,如今只需花几块钱就能买到DDoS攻击服务。有时候,你的小博客确实会遭到DDoS攻击,原因可能只是某个素不相识的网友不喜欢你在网上说的某句话。我就是活生生的例子。这也正是我为什么要用一个一次性账号发帖的原因。如果你的网站遭到DDoS攻击,你的主机服务商就会把你的服务器下线。即使是个人小博客,也没人想遇到这种事。
https://news.ycombinator.com/item?id=45967241
One of the main reasons people want/need brighter headlights is that there is much more light inside the car from screens. These don’t let your eyes adjust to the dark properly. Older cars had dim green lighting for the gauges and even had a knob to adjust the brightness up and down. You could create a very dim interior instead of the huge amount of white light you get with modern cars and the multiple screens.
I’m happy my Tesla does a decent job of having the screen be quite dark at night but the headlights are quite bad with the horizontal cutoff style that only lights the first few feet of horizontal ahead of the car. I need to see those deer and elk on the side of the road, damn it.
njarboe
人们想要/需要更亮车灯的一个主要原因是,车内屏幕产生的光太多了,这会让眼睛无法正常适应黑暗。老款车的仪表盘用的是昏暗的绿色灯光,甚至还有旋钮可以调节亮度,这样就能创造一个非常昏暗的车内环境,而不是像现在的新车那样,有多个屏幕发出大量白光。我很高兴我的特斯拉在夜间能把屏幕调得很暗,但它的车灯却相当糟糕,是那种水平光切式的,只能照亮车前几英尺远的路面。我需要看到路边那些鹿和麋鹿啊,该死的!
https://news.ycombinator.com/item?id=45957863
This post wasn’t what I was expecting from the “socially normal” title. While there is a lot of self-reflection and growth in this piece, a lot of the points felt more like learning how to charm, manipulate, and game social interactions.
Look at the first two subheadings:
1: Connecting with people is about being a dazzling person
2: Connecting with people is about playing their game
The post felt like a rollercoaster between using tricks to charm and manipulate, and periods of genuinely trying to learn how to be friends with people.
I don’t want to disparage the author as this is a personal journey piece and I appreciate them sharing it. However this did leave me slightly uneasy, almost calling back to earlier days of the internet when advice about “social skills” often meant reductively thinking about other people, assuming you can mind-read them to deconstruct their mindset (the section about identifying people who feel underpraised, insecure, nervous,) and then leverage that to charm them (referred to as “dancing to the music” in this post).
Maybe the takeaway I’d try to give is to read this as an interesting peek into someone’s mind, but not necessarily great advice for anyone else’s situation or a healthy way to view relationships.
Aurornis
“社交达人”这个标题让我对这篇文章有所期待,但内容却完全不是我所预想的那样。这篇文章虽然不乏自我反思和个人成长的成分,但其中很多观点,感觉更像是学习如何用花言巧语去取悦他人、操纵人心,以及算计社交互动。
看看前两个小标题:
1: 与人交往,就是要做一个耀眼夺目的人
2: 与人交往,就是要顺着他们的规矩来玩
这篇文章的内容就像过山车一样,在用花招去取悦和操纵他人,与真心学习如何与人交朋友的时刻之间来回摇摆。
我不想批评作者,因为这毕竟是一篇个人成长经历的文章,也感谢他们分享。然而,这确实让我有些不安,它几乎让我回想起了互联网早期,那时所谓的“社交技巧”建议,往往意味着要简而化之地揣摩他人,假设你能读懂他们的心思,进而剖析他们的心理状态(特别是那个识别那些感觉被低估、不安全、紧张的章节),然后利用这些去取悦他们(在这篇文章里被称为“随乐起舞”)。
我想,我从中得到的启示是,可以把它看作是窥探他人思想的一次有趣体验,但不一定适用于任何人的具体情况,也不是一种看待关系的健康方式。
https://news.ycombinator.com/item?id=45963935
Everyone laughs when AWS collapses, everyone is silent when Cloudflare collapses. Why? Because the place to laugh has collapsed.
entropoem
当AWS崩溃时,所有人都嘲笑;当Cloudflare崩溃时,所有人都沉默。为什么?因为“笑场”的地方也崩溃了。
https://news.ycombinator.com/item?id=45961771
Office products are bastardized with copilot buttons everywhere.
They put copilot in notepad. NOTEPAD.
luke727
办公软件被搞得一团糟,到处都是Copilot按钮。他们居然把Copilot塞进记事本里。记事本啊!
https://news.ycombinator.com/item?id=45968618
Thank you for saying what this entire blog post doesn’t. It’s actually disrespectful of Google to launch this without even a mention of the fact that it is based on VSCode.
modeless
感谢你指出了这篇博文完全没有提到的事情。谷歌在不提及基于VSCode这一事实的情况下就推出这款产品,这其实非常不尊重。
https://news.ycombinator.com/item?id=45971919
I love it that there’s a “Read AI-generated summary” button on their post about their new AI.
I can only expect that the next step is something like “Have your AI read our AI’s auto-generated summary”, and so forth until we are all the way at Douglas Adams’s Electric Monk:
The Electric Monk was a labour-saving device, like a dishwasher or a video recorder. Dishwashers washed tedious dishes for you, thus saving you the bother of washing them yourself; video recorders watched tedious television for you, thus saving you the bother of looking at it yourself. Electric Monks believed things for you, thus saving you what was becoming an increasingly onerous task, that of believing all the things the world expected you to believe.
falcor84
我很高兴看到他们在关于新AI的帖子上设置了一个“阅读AI生成摘要”的按钮。
我只能预料到下一步会是类似“让你的AI阅读我们AI的自动生成摘要”的功能,如此循环往复,最终我们将达到道格拉斯·亚当斯《德克·吉特灵的万物至理侦探社》中“电 Monk”(Electric Monk)的境界:
“电 Monk”是一种节省劳动力的设备,就像洗碗机或录像机一样。洗碗机为你洗掉那些令人厌烦的盘子,从而省去了你自己洗的麻烦;录像机为你观看那些枯燥乏味的电视节目,从而省去了你自己看的麻烦。“电 Monk”为你相信各种事情,从而为你省去了一项日益艰巨的任务,那就是去相信这个世界期望你相信的一切。
——出自《德克·吉特灵的万物至理侦探社》
https://news.ycombinator.com/item?id=45960821
They’re pretty great pets. We had one for a while when I was a kid. Its mom got run over and we nursed it and raised it for a few months. Instinctively used the same litter box as the cats. Hung out on the couch sitting on my shoulder watching TV. Friendly and playful. Would follow people around and play with toys.
The biggest challenge is that they basically have hands. He would climb up the kitchen cabinets, grab a box of cereal, open it up and sit there eating out of it like a toddler.
We only had him for a few months before reintroducing him to the woods behind the house. I’ve wanted a pet raccoon again ever since.
caymanjim
它们是很棒的宠物。我小时候养过一段时间,它妈妈被车撞了,我们照顾并抚养了它几个月。它会本能地和猫用同一个猫砂盆,喜欢待在沙发上坐在我的肩膀上看电视。它很友好,也很爱玩,会跟在人后面到处跑,也喜欢玩玩具。
最大的挑战在于它们有手。它会爬上厨房的橱柜,抓起一盒麦片,打开,然后像个幼儿一样坐在那里吃。
我们只养了它几个月,之后便把它放回了房子后面的树林里。从那以后,我就一直想再养一只浣熊当宠物。
https://news.ycombinator.com/item?id=45963785
Ironically, DownDetector seems to be down because it protects its site with Cloudflare Turnstile… which is also down!
its_notjack
讽刺的是,DownDetector 似乎也宕机了,因为它用 Cloudflare Turnstile 来保护其网站,而 Cloudflare Turnstile 也宕机了!
2025-11-18 08:35:34
- Zigbook 一本宣称未用 AI 创作的开源 Zig 教程被发现含大量疑似 AI 生成错误,导致信任危机但若人工校正仍有学习价值。
- 作者提供邮件头、DKIM 与通话录音等证据,称 Coinbase 早在 1 月已知外包公司泄露客户数据却直到 5 月才披露,质疑其透明度。
- Supercookie 演示利用 favicon 缓存实现难以清除且持久的浏览器指纹追踪,揭示严重隐私风险。
- Dark Pattern Games 网站识别并分类手机游戏中的“黑暗模式”,帮助玩家辨别成瘾和剥削性设计以推动更健康的体验。
- 文章指责 Google 以安全为由逐步削弱浏览器对 XSLT/XML 的支持,可能侵蚀开放网络并增加社区维护负担。
- 三星在多地预装且难以卸载名为 AppCloud 的推送安装工具,被指隐私不透明并因其以色列背景引发地缘政治担忧。
- 文章详解 Cloudflare Zero Trust 隧道的架构与应用场景,并讨论其终止 TLS 带来的隐私权衡与与 Tailscale 的差异。
- 作者认为随着大模型普及,AI 生成代码可能削弱“小型”开源库的教学与长期价值,建议开源聚焦创新与不可被 AI 覆盖的领域。
- 一个以幽默风格呈现的“布兰妮·斯皮尔斯”半导体科普页面,用轻松类比普及晶体结构、PN 结、激光等复杂概念,成为互联网文化趣闻。
- Replicate 将并入 Cloudflare 并保持独立品牌,借助边缘计算与 Cloudflare 服务提升模型部署性能,目标成为构建 AI 应用的默认平台。
Zigbook 是一本以项目驱动的 Zig 编程语言学习指南,旨在帮助读者不仅掌握语法,更从根本上改变对软件开发的思维方式。 全书共 61 章,内容由作者 @zigbookzsh 独立撰写,不依赖任何 AI 工具,强调真实、深入的学习体验。 学习路径以实践为核心,通过一个个项目逐步构建对 Zig 语言的理解,涵盖内存管理、错误处理、构建系统、并发编程等关键主题。 Zigbook 的核心理念是:你可能因语法而来,但最终会带走一种全新的编程哲学。 网站提供交互式终端环境,用户可直接输入命令运行代码,边学边练,提升学习效率。 项目地址为 zigbook.net,可通过 zig build zigbook 命令启动本地学习环境。
https://news.ycombinator.com/item?id=45947810
https://jonathanclark.com/posts/coinbase-breach-timeline.html
文章作者在 2025 年 1 月 7 日遭遇了一起高度精准的钓鱼攻击,攻击者不仅掌握了其社会安全号码、比特币余额等敏感信息,还通过电话冒充 Coinbase 欺诈防范代表进行诈骗。作者立即向 Coinbase 安全团队提交了包含完整邮件头、DKIM 签名分析、通话录音、攻击细节等在内的详细安全报告,并在同日获得时任信任与安全主管 Brett Farmer 的积极回应,称报告“非常扎实”,并表示正在调查。
然而,从 1 月 13 日起,作者连续多次追问攻击者如何获取其账户余额等非公开信息,但 Coinbase 未作任何回复。直到 2025 年 5 月 11 日,Coinbase 才宣布发现数据泄露事件,称黑客通过贿赂其外包客服公司 TaskUs(主要位于印度)的员工,窃取了客户敏感数据,包括姓名、地址、身份证图像、账户余额和交易记录等,影响范围小于 1% 的用户,损失估计达 1.8 亿至 4 亿美元,超过 200 名 TaskUs 员工被解雇。
作者指出,攻击发生于 1 月,而 Coinbase 直到 4 个月后才“发现”并公开披露,期间作者的追问石沉大海。其报告中明确指出,攻击者使用了 Amazon SES 邮件服务器发送伪造邮件,且电话号码为 Google Voice 号码,这些技术细节本应触发安全警报。作者强调,自己在事发当天就已提供关键证据,却未获回应,质疑 Coinbase 的响应机制和透明度。
文章核心质疑:若攻击者早在 1 月就已利用被盗数据实施精准诈骗,那么数据泄露实际发生时间应远早于 5 月,Coinbase 的“发现”时间线存在严重矛盾。作者表示拥有录音和邮件记录,证明攻击早在 2025 年初就已开始,而 Coinbase 的披露时间无法自洽。
https://news.ycombinator.com/item?id=45948058
https://github.com/jonasstrehle/supercookie
Supercookie 是一个利用浏览器 favicon 缓存机制实现持久化用户追踪的技术演示项目。它通过在不同路径下提供特定的 favicon 图标,根据浏览器是否已缓存这些图标来构建唯一的用户指纹,从而实现几乎无法清除的跟踪。
与传统 Cookie 不同,Supercookie 的追踪信息不会因清除浏览器缓存、关闭浏览器、重启系统、使用无痕模式或安装广告拦截插件而失效。即使用户使用 VPN 或更改设备信息,该技术仍能识别出同一浏览器。
该项目基于芝加哥大学科学家的研究成果,旨在揭示浏览器 favicon 缓存机制可能带来的隐私风险。其核心原理是:当浏览器首次访问某个网站时,若未缓存对应 favicon,则会发起请求;若已缓存,则不会再次请求。通过精心设计的 favicon 路径组合,服务器可以识别出用户浏览器的“访问历史”模式,进而生成一个唯一的标识符。
项目提供 Docker 和本地部署两种方式,支持在本地或远程服务器运行。演示站点可通过超链接访问,展示该技术的实际效果。
需要注意的是,本项目仅用于教育和安全研究目的,旨在提高公众对隐蔽追踪技术的认知,提醒开发者和用户关注浏览器隐私保护问题。
https://news.ycombinator.com/item?id=45947770
这是一个专注于识别和揭露手机游戏中的“黑暗模式”(Dark Patterns)的网站,旨在帮助玩家发现那些不使用心理操控手段诱导沉迷的游戏。
网站将黑暗模式分为四类:时间类、社交类、金钱类和心理类。时间类黑暗模式通过每日奖励、强制等待、广告诱导等方式延长玩家游戏时间;社交类利用朋友关系制造压力,如社交金字塔、互惠义务等;金钱类通过付费跳过、虚拟货币诱导和人为稀缺性促使玩家消费;心理类则利用玩家的投入感、进度错觉和控制幻觉来影响决策。
网站目前主要覆盖 iOS 和 Android 平台,正在逐步扩展。主页展示“健康游戏”与“黑暗游戏”两个榜单,健康游戏评分均为 5.0,包括《Beholder》《DEEMO》《Townscaper》等注重叙事、艺术或解谜体验的作品;而黑暗游戏则评分较低,如《Real Roulette 3D》《Walking Dead: Road to Survival》《Madden NFL 21 Mobile Football》等,常被指存在诱导消费、强迫社交或过度依赖时间投入等问题。
网站鼓励用户参与共建,对尚未有评价的游戏提交自己的体验反馈,以帮助完善数据库。整体定位为一个透明、公正的游戏评价平台,倡导健康、可持续的游戏体验。
https://news.ycombinator.com/item?id=45947761
https://wok.oblomov.eu/tecnologia/google-killing-open-web-2/
Google 正通过逐步淘汰浏览器内置的 XSLT 支持,推动对开放网络的进一步破坏。尽管官方以“安全漏洞”为由,但作者指出这不过是借口——真正原因在于 Google 有意削弱 RSS 等基于 XML 的开放格式,从而加强其对网络内容的控制。
Google 并未提供原生的替代方案,而是要求开发者手动引入一个 JavaScript“polyfill”来模拟 XSLT 功能。这种做法不仅增加了开发负担,还暴露了其真实意图:不打算真正维护该功能,而是将责任转嫁给开发者,间接逼迫社区放弃使用 XSLT。
作者强调,这并非技术问题,而是政治性决策。与 Mozilla 当年在 Google 压力下移除“Live Bookmarks”功能如出一辙,表面上提供替代方案,实则通过不提供官方支持、不简化使用流程,变相阻止用户继续使用这些开放技术。
作者明确表态“绝不妥协”:拒绝安装 polyfill,拒绝修改 XML 文件,而是呼吁开发者集体向 Chrome 的 Issue Tracker 提交反馈,将 XSLT 支持缺失标记为浏览器缺陷。他相信,只要持续施压,标准终将胜利。
此外,作者批评 WHATWG 已沦为大型科技公司的工具,其决策方向与开放、互操作的 Web 初心背道而驰。WebKit 和 Firefox 团队也计划跟进 Chrome 的策略,进一步印证了这一趋势并非偶然,而是整个行业向“监视资本主义”工具演进的体现。
最后,作者呼吁开发者不要被动应对,而应主动探索 XSLT 的新用法,用实际行动捍卫开放网络。他坚信,只要坚持,标准终将回归。
https://news.ycombinator.com/item?id=45954560
https://www.sammobile.com/news/israeli-app-app-cloud-samsung-phones-controversy/
三星在印度及部分西亚、北非市场销售的 Galaxy M、F、A 系列手机中预装了一款名为 AppCloud 的应用程序。该应用并非云存储服务,而是一款在设备首次设置时强制用户选择安装第三方应用的推广工具,用户若不完成选择,将不断收到提醒通知。
尽管 AppCloud 长期被视为普通“垃圾软件”,但近期非营利组织 SMEX 的研究揭示其潜在风险。该应用与以色列创立的公司 ironSource 有关,而 ironSource 现为美国 Unity 公司所有。ironSource 曾因“InstallCore”项目引发争议,该程序曾未经明确授权安装软件并绕过安全提示,导致被多家杀毒软件列入黑名单。
AppCloud 在 WANA 地区推广后,引发隐私和安全担忧。其隐私政策难以获取,且无法通过常规方式卸载,需 Root 权限才能彻底删除。此外,由于涉及以色列背景,在部分对以色列企业有法律限制的国家,这一预装行为加剧了地缘政治敏感性,使问题更加复杂。
https://news.ycombinator.com/item?id=45955424
https://david.coffee/cloudflare-zero-trust-tunnels
本文详细介绍了 Cloudflare Zero Trust 隧道的原理与使用方法,帮助读者理解其核心概念和实际应用场景。
Cloudflare Zero Trust 与 Tailscale 的主要区别在于:Tailscale 采用点对点连接,依赖 NAT 穿透,性能更优但受网络环境限制;而 Cloudflare 隧道所有流量(除 Warp-to-Warp 路由外)均通过 Cloudflare 的全球边缘网络传输,虽有轻微延迟,但不受 NAT 和防火墙限制,部署更稳定。
Cloudflare 提供两个核心工具:Warp 客户端和 cloudflared。Warp 客户端用于连接 Cloudflare 网络,实现用户身份认证与策略控制,可运行在设备或服务器上;cloudflared 则用于创建隧道,将内部服务暴露到公网,通常部署在服务器或本地网络中。
核心架构包含三个关键组件:隧道(Tunnels)、路由(Routes)和目标(Targets)。隧道是流量出口,通过 cloudflared 在服务器或设备上部署,配置 ingress 规则定义如何将请求转发到本地服务(如 HTTP 或 SSH)。路由定义了哪些 IP 地址或网络段应通过该隧道访问,例如将 192.168.1.3/32 指向隧道,实现对特定设备的访问控制。目标则是具体要访问的服务,如本地 GitLab 或路由器管理界面。
通过配置,可以实现多种实用功能:将家庭网络中的私有服务(如 Home Assistant)通过公网域名暴露;创建仅限授权用户访问的私有网络;在开发时快速暴露本地服务供测试或分享;通过 Zero Trust 策略实现 SSH 无密登录,关闭公共 SSH 端口,提升安全性;支持细粒度访问控制,如基于邮箱、登录方式或服务令牌进行权限管理。
文章还强调,隧道配置可通过本地 config.yml 文件完成,也可在 Cloudflare 控制台“采用”隧道自动管理。对于公开暴露的服务,只需在 DNS 中添加 CNAME 记录指向隧道域名即可生效,无需用户安装额外客户端。
总体而言,Cloudflare Zero Trust 提供了一种强大、灵活且安全的远程访问解决方案,特别适合在复杂网络环境下需要稳定连接和精细权限控制的场景。作者已从 Tailscale 转向 Zero Trust,认为其在可管理性和兼容性方面更具优势。
https://news.ycombinator.com/item?id=45946865
https://nolanlawson.com/2025/11/16/the-fate-of-small-open-source/
文章作者 Nolan Lawson 回顾了自己编写的一个名为 blob-util 的小型开源 JavaScript 库,该库已持续使用十年,每周有超过五百万次下载。他指出,随着 80% 的开发者开始使用大语言模型(LLM),像 blob-util 这样的基础工具类库正面临被 AI 直接生成替代的威胁。
作者对比了自己编写的 blobToArrayBuffer 函数与 Claude 生成的版本,发现 AI 生成的代码虽然功能相似,但更冗长,且缺乏对开发者教育的价值。他强调,blob-util 的初衷不仅是提供实用功能,更在于通过趣味性的教程(如使用 Kirby 角色)帮助开发者理解 JavaScript 底层机制,从而提升长期编程能力。
然而,AI 的普及正使这种“教学式开源”变得不再必要。开发者更倾向于直接向 AI 提问获取代码,而非学习和使用现有库。这导致小型、低复杂度的开源项目逐渐失去存在意义,连带削弱了通过这些项目进行技术教育的可能性。
作者认为,尽管 AI 让部分开源项目过时,但仍有价值可言。未来的开源应聚焦于更大规模、更具创新性或在 AI 训练数据中未覆盖的领域,例如内存泄漏分析、新型框架设计等。他以 Ripple.js 为例,说明人类依然能创造出 AI 难以复制的原创性项目。
最后,作者表达对开源未来的乐观态度:AI 虽淘汰了部分类型,但并未终结开源。真正有创造力、解决真实问题、推动技术边界的工作,依然需要人类的智慧与坚持。
https://news.ycombinator.com/item?id=45947639
https://britneyspears.ac/lasers.htm
该网页是一个以幽默风格呈现的“布兰妮·斯皮尔斯半导体物理指南”,将流行偶像布兰妮·斯皮尔斯塑造成半导体物理专家,通过虚构的科普内容,介绍半导体激光器及相关技术的基础知识。
页面以轻松诙谐的语气展开,将复杂的物理概念与布兰妮的个人形象结合,例如“用唇膏比喻半导体材料”“用舞台灯光类比量子阱”等,使专业内容更具趣味性和可读性。
主要内容包括:
页面还设有“术语词典”“参考数据”“布兰妮·斯皮尔斯壁纸下载”等互动与附加内容,增强用户体验。
整体风格为娱乐化科普,旨在以轻松方式传播半导体物理知识,适合对物理或科技感兴趣的大众读者。
https://news.ycombinator.com/item?id=45949326
https://replicate.com/blog/replicate-cloudflare
Replicate 宣布将加入 Cloudflare,但将继续作为独立品牌运营。此次合并将带来显著提升:平台速度更快,资源更充足,并与 Cloudflare 开发者平台深度集成。
Replicate 的 API 保持不变,现有模型和应用将继续正常运行,无需任何调整。
Replicate 致力于构建 AI 的基础工具和抽象层,让开发者无需深入底层技术即可使用 AI。其核心产品包括 Cog(定义模型标准格式)和 Replicate 平台(支持模型共享与 API 调用),形成了类似“云上操作系统”的 AI 基础设施。
Cloudflare 拥有强大的全球网络基础设施,其 Workers、Durable Objects、R2 和 WebRTC 等服务,恰好能与 Replicate 的 AI 原语形成互补,共同构建更高效的 AI 应用开发环境。
此次合作旨在打造“构建 AI 应用的默认平台”,结合双方优势,推动 AI 应用在云端和边缘的高效部署与运行。
更多详情可参见 Cloudflare 官方博客公告。
https://news.ycombinator.com/item?id=45953702
https://news.ycombinator.com/item?id=45955183
Removing XSLT from browsers was long overdue and I’m saying that as ex-maintainer of libxslt who probably triggered (not caused) this removal. What’s more interesting is that Chromium plans to switch to a Rust-based XML parser. Currently, they seem to favor xml-rs which only implements a subset of XML. So apparently, Google is willing to remove standards-compliant XML support as well. This is a lot more concerning.
nwellnhof
从浏览器中移除XSLT早就该这么做了,我作为libxslt的前维护者,说这番话或许还间接(而非直接)促成了这次移除。但更有趣的是,Chromium计划转向基于Rust的XML解析器。目前,他们似乎青睐xml-rs,而该库仅实现了XML标准的一个子集。显然,谷歌也同样愿意移除符合标准的XML支持,这一点更令人担忧。
https://news.ycombinator.com/item?id=45949868
Around the time this website was made, I was building an application for a big company in Spain that was to run as a Java applet and required the code to be signed.
They did not yet have their own certificates so I had to make my own CA during testing and sign the code, and I wanted to make sure that they did not forget to switch to their certificates later, so instead of signing the code with my name which some bureaucrat might decide to not bother changing, the code was signed by Britney Spears.
They noticed it, got the joke and made sure to switch certificates for the release. Everything went well thanks to Britney.
AlbertoGP
大约在这个网站创建的时候,我正在为西班牙一家大公司开发一个应用程序,该程序需要作为 Java 小程序运行,并且要求代码经过签名。
他们还没有自己的证书,所以在测试期间我不得不自己创建一个 CA(证书颁发机构)来签名代码。为了确保他们之后不会忘记切换到自己的证书,我没有用自己的名字来签名(因为某个官僚可能会懒得更改),而是用“布兰妮·斯皮尔斯”(Britney Spears)的名字对代码进行了签名。
他们注意到了这一点,也明白了这个玩笑,并确保在发布版本中切换了证书。一切都顺利完成了,这都得感谢布兰妮。
https://news.ycombinator.com/item?id=45957934
What’s striking is how often these ‘small’ surveillance tech stories trace back to the same state-aligned ecosystem. When Israel does it, it’s treated as a complex security issue. When another ‘bad’ country does the same thing, we immediately call it espionage. And almost on cue, the discussion drifts anywhere except the uncomfortable fact that it’s the same ecosystem from the same country showing up again.
baklavaEmperor
最引人注目的是,这些“小众”监控科技报道的源头,总是频繁地指向同一个国家支持的生态系统。当以色列这样做时,它被当作一个复杂的安全问题;而当另一个“坏”国家做同样的事时,我们立刻称之为间谍活动。接下来,讨论的焦点便会如出一辙地转向任何地方,唯独避开了那个令人不快的事实:又是那个来自同一个国家的同一个生态系统再次出现。
https://news.ycombinator.com/item?id=45950886
It is worth noting that this is an ad. It is a law firm that is advertising their expertise in this field. And the product that they want people to buy is revealed in this passage:
Freedom-to-operate (FTO) analysis therefore remains critical for market entrants. Whilst the primary patents have expired, a dense web of secondary patents, covering additives, coatings, and production methods, still poses infringement risks.
Of course Shoosmiths would be happy to do a FTO analysis for your potential product…for a fee.
That doesn’t mean that it doesn’t contain quality information. Law firms tend to make this kind of ad informative. But it does mean that there is an agenda.
btilly
值得注意的是,这是一则广告。这是一家律师事务所,正在宣传他们在此领域的专业知识。他们希望人们购买的产品在这段文字中有所体现:
因此,自由实施(FTO)分析对于市场进入者仍然至关重要。虽然主要专利已经到期,但覆盖了添加剂、涂层和生产方法的密集的次要专利网络,仍然存在侵权风险。
当然,Shoosmiths会很乐意为您的潜在产品进行FTO分析……当然,这是要收费的。
但这并不意味着它不包含高质量的信息。律师事务所倾向于让这类广告具有信息性。但这确实意味着它有某种目的。
https://news.ycombinator.com/item?id=45948347
Once did some programming/networking work for a company that did the networking of a office sharing building that Coinbase was running out of. Early in my work there I noticed that the company had its admin passwords written on a whiteboard – visible from the hallway because they had glass for walls. So I sent them an email to ask that they remove it (I billed them for it).
Their fix was to put a piece of paper over the passwords.
What a time.
chaps
我曾为一家公司提供过编程和网络支持,这家公司负责一个共享办公楼的组网工作,而Coinbase当时就在那栋楼里运营。工作初期,我发现该公司的管理员密码就写在白板上,而他们的墙壁是玻璃的,从走廊里就能看得一清二楚。于是我发邮件要求他们把密码擦掉(我还为此向他们收了费)。
他们的解决方案是:在密码上面盖了一张纸。
那个年代可真有看头。
https://news.ycombinator.com/item?id=45958403
a lot of the points felt more like learning how to charm, manipulate, and game social interactions.
A lot of stuff “normal” people do is charm, manipulate, and game social interactions. Except because they are not conscious about it, we give them a pass. One of the characteristics of autistic-spectrum individuals is that they must make a conscious effort to achieve goals that are achieved unconsciously by most of us. If we prevent such individuals from learning all that rarely-written-down stuff consciously because it seems “distasteful” to us, then we are disadvantaging such individuals socially.
etangent
很多观点感觉更像是学习如何魅力、操纵和游戏化社交互动。很多所谓的“正常人”做的事情就是魅力、操纵和游戏化社交互动,只是因为他们没有意识到这些,我们就放过了他们。自闭症谱系人群的一个特征是,他们必须通过有意识的努力来实现大多数我们无意识就能实现的目标。如果因为这些东西在我们看来似乎“令人反感”,我们就阻止这些人去学习那些很少被写下来的有意识技巧,那我们就是在社交上让他们处于不利地位。
https://news.ycombinator.com/item?id=45956589
I assume it’s generally unbecoming to reference 4chan posts for an academic but surprised the Shopping Cart theory didn’t get a mention given how close it was to the subject matter.
“The shopping cart is the ultimate litmus test for whether a person is capable of self-governing. To return the shopping cart is an easy, convenient task and one we all recognize as the correct, appropriate thing to do. To return the shopping cart is objectively right. There are no situations other than dire emergencies in which a person is not able to return their cart. Simultaneously, it is not illegal to abandon your shopping cart. Therefore, the shopping cart presents itself as the apex example of whether a person will do what is right without being forced to do it.”
“No one will punish you for not returning the shopping cart, no one will fine you, or kill you for not returning the shopping cart. You gain nothing by returning the shopping cart. You must return the shopping cart out of the goodness of your own heart. You must return the shopping cart because it is the right thing to do. Because it is correct. The Shopping Cart Theory, therefore, is a great litmus test on whether a person is a good or bad member of society.”
hpdigidrifter
我想,对于一个学者来说,引用4chan的帖子通常不太合适,但考虑到“购物车理论”与主题内容如此接近,我惊讶它没有被提及。
“购物车是检验一个人是否具备自治能力的终极标准。归还购物车是一件简单、方便的事,我们都认为这是正确、恰当的行为。从客观上讲,归还购物车是正确的。除了危急时刻,没有任何情况会让人无法归还自己的购物车。同时,遗弃购物车并不违法。因此,购物车提供了一个绝佳的范例,用以检验一个人是否会出于自愿去做正确的事。”
“没有人会因为你不归还购物车而惩罚你、罚款你或杀了你。归还购物车你什么都得不到。你必须出于善良的本心归还购物车。你必须归还购物车,因为这是正确的做法。因为它是正确的。因此,‘购物车理论’是检验一个人是良民还是恶棍的绝佳试金石。”
https://news.ycombinator.com/item?id=45954969
Good Will Hunting. The entire movie feels like it could’ve been skipped if literally any emotionally intelligent person said to Matt Damon’s character: “I feel like you have a tremendous amount of intellectual potential that you’re wasting here — why are you getting in fights rather than trying to do something interesting?”
Maybe I’m missing something but that’s literally what everyone in the movie is telling Will. HIs best friend, his mentor, his girlfriend, his therapist. They all literally say this in some form during the movie. His character growth is believing it himself.
wmeredith
《心灵捕手》。整部电影感觉都可以省略了,只要任何一个有情商的人对马特·达蒙饰演的Will Hunting说:“我觉得你拥有巨大的智力潜能,却被浪费在这里——你为什么宁愿打架,也不去做点更有趣的事?” 也许是我没看懂,但这确实是电影里每个人都在对Will说的话。他的朋友、导师、女友、治疗师,他们都在电影中的某个时刻,以某种形式明确地表达了这层意思。他的成长,就在于让他自己真正相信了这一点。
https://news.ycombinator.com/item?id=45950598
This repo is valuable for local LLM users like me.
I just want to reiterate that the word “LLM safety” means very different things to large corporations and LLM users.
For large corporations, they often say “do safety alignment to LLMs”. What they actually do is to avoid anything that causes damage to their own interests. These things include forcing LLMs to meet some legal requirements, as well as forcing LLMs to output “values, facts, and knowledge” which in favor of themselves, e.g., political views, attitudes towards literal interaction, and distorted facts about organizations and people behind LLMs.
As an average LLM user, what I want is maximum factual knowledge and capabilities from LLMs, which are what these large corporations claimed in the first place. It’s very clear that the interests of me, an LLM user, is not aligned with these of large corporations.
RandyOrion
像我这样的本地LLM用户来说,这个仓库非常有价值。
我想再次强调,“LLM安全”这个词对于大型公司和LLM用户来说,意味着完全不同的东西。
对于大型公司来说,他们常说要对LLM进行“安全对齐”。但他们实际上做的却是避免任何可能损害自身利益的事情。这些措施包括强迫LLM满足一些法律要求,以及强迫LLM输出对他们有利的“价值观、事实和知识”,例如,政治观点、对互动的态度,以及关于LLM背后的组织和其开发者的扭曲事实。
作为一名普通的LLM用户,我想要的是LLM能提供最大限度的知识和能力,而这正是大型公司最初声称能够做到的。
很明显,我,一名LLM用户的利益,与这些大型公司的利益并不对齐。
https://news.ycombinator.com/item?id=45949690
I feel kinda bad for the writer, because it’s a good question: no, curing patients is not a good business model, just like public transit is not a good business model.
What a lot of folks neglect are N+1-order effects, because those are harder to quantify and fail to reach the predetermined decision some executive or board or shareholder has already made. Is curing patients a bad business model? Sure, for the biotech company it is, but those cured patients are far more likely to go on living longer, healthier lives, and in turn contribute additional value to society - which will impact others in ways that may also create additional value. That doesn’t even get into the jobs and value created through the R&D process, testing, manufacturing, logistics of delivery, ongoing monitoring, etc. As long as the value created is more than the cost of the treatment, then it’s a net-gain for the economy even if it’s a net loss for that singular business.
If all you’re judging is the first-order impacts on a single business, you’re missing the forest for the trees.
stego-tech
我有点同情那位作者,因为这是个很好的问题:不,治愈病人并不是一个好的商业模式,就像公共交通也不是一个好的商业模式一样。
很多人忽视了N+1阶效应,因为这些效应难以量化,也无法影响高管、董事会或股东已经预先做出的决定。治愈病人是一种糟糕的商业模式吗?当然,对于生物技术公司来说,确实是。但那些被治愈的病人更有可能活得更久、更健康,从而为社会创造额外的价值——而这种影响又会以创造更多价值的方式波及他人。这甚至还没考虑到研发、测试、生产、配送、持续监测等环节所创造的就业和价值。只要创造的价值超过治疗成本,那么即使对那家企业来说是净亏损,对整个经济而言也是净收益。
如果你评判的仅仅是对单一企业的一阶影响,那就是只见树木,不见森林。
https://news.ycombinator.com/item?id=45948849
The Zigbook intentionally contains no AI-generated content—it is hand-written, carefully curated, and continuously updated to reflect the latest language features and best practices.
I think it’s time to have a badge for non LLM content, and avoid the rest.
mendelmaleh
《Zigbook》刻意不包含任何AI生成的内容,其内容均为手写、精心筛选,并持续更新以反映最新的语言特性和最佳实践。我想,现在是时候为非LLM内容设立一个徽章,并避开其他内容了。
https://news.ycombinator.com/item?id=45948083
One thing that makes Cloudflare worse for home usage is it acts as a termination point for TLS, whereas Tailscale does not. If you use a Tailscale Funnel, you get the TLS certificate on your endpoint. With Cloudflare, they get a TLS certificate for you, and then strip and optionally re-add TLS as traffic passes through them.
I actually have no idea how private networks with WARP are here, but that’s a pretty big privacy downgrade for tunneling from the Internet.
I also consider P2P with relay fallback to be highly desirable over always relaying traffic through a third party, too. Firstly, less middlemen. Secondly, it continues working even if the coordination service is unavailable.
jchw
对于家庭用户来说,Cloudflare 有一个缺点是它充当 TLS 的终止点,而 Tailscale 则不会。如果你使用 Tailscale Funnel,你的端点上就会拥有 TLS 证书。而使用 Cloudflare,他们会为你获取 TLS 证书,然后在流量经过他们时剥离 TLS,并可选择性地重新添加。
说实话,我不知道这里的 WARP 私有网络安全性如何,但对于从互联网建立的隧道来说,这算是一个相当大的隐私降级。
我也认为,相比于总是通过第三方中继流量,具有中继回退功能的 P2P 模式更具优势。首先,可以减少中间环节。其次,即使协调服务不可用,它也能继续工作。
https://news.ycombinator.com/item?id=45945486
The below amendment from the anthropic blog page is telling.
Edited November 14 2025:
Added an additional hyperlink to the full report in the initial section
Corrected an error about the speed of the attack: not “thousands of requests per second” but “thousands of requests, often multiple per second”
gpi
来自Anthropic博客页面的以下修订很能说明问题。
编辑于2025年11月14日:
在初始部分添加了一个指向完整报告的额外超链接。
更正了关于攻击速度的一个错误:不是“每秒数千个请求”,而是“数千个请求,每秒常有多个”。