HackerNews AI 摘要的 RSS 预览

2025 11 25 HackerNews

2025-11-25 09:08:02

2025-11-25 Hacker News Top Stories #

Fran Sans 是受旧金山 Muni Breda 3×5 分段目的地显示屏启发，用可复用模块重构出三种风格并保留显示器的不完美细节。

Shai-Hulud 恶意蠕虫伪装 Bun 运行时注入 preinstall 脚本感染 300+ npm 包，窃取凭证并自我复制到数万仓库。

X 推出账号“国家归属地”功能后发现大量自称美国的政治账号实为海外操控，暴露身份真实性与外国干预问题。

爱荷华城试行免费公交后公交客流上升、驾车里程与尾气排放下降，交通与空气质量改善但长期可持续性存疑。

macOS Tahoe 原生支持通过 Secure Enclave 生成与管理需 Touch ID 的 SSH 密钥，增强安全性但存在备份与社工风险。

µcad 是一门开源专用编程语言，用于生成 2D 草图与 3D 模型并快速迭代，适合教学与本地化设计工作流。

Shai Hulud 发起第二波供应链攻击，感染数百 npm 包并影响 Zapier、ENS、PostHog、Postman 等知名项目，需紧急审查依赖。

RuBee 是基于 131 kHz 磁场耦合的有源低频标签系统，抗金属水干扰、寿命长并适用于高安全性资产的存在状态追踪。

文章指责 IETF 在后量子密码部署上受 NSA 主导排斥混合方案，压制异议并侵蚀标准组织的透明性与公信力。

日本推进将北海道打造为全球半导体中心并与 Rapidus 合作研发先进工艺，但在资金、量产经验与人才等方面面临重大挑战。

Fran Sans——灵感源自旧金山 Muni Breda 轻轨车辆目的地显示屏的字体 (Fran Sans – font inspired by San Francisco light rail displays) #

https://emilysneddon.com/fran-sans-essay

Fran Sans 是一款灵感源自旧金山 Muni Breda 轻轨车辆上独特目的地显示屏的展示字体。这些显示屏采用 3×5 网格的几何模块构成字母，由方形、四分之一圆和斜角等基本元素拼接而成，呈现出一种机械感与个人风格兼具的原始美感。

旧金山的公共交通系统由超过二十个独立机构运营，导致各线路使用不同的显示系统，而 Breda 轻轨的 LCD 面板因其独特的视觉风格脱颖而出。作者在一次前往外太阳谷的 N-Judah 线途中首次注意到这些显示屏，被其不完美却充满魅力的字符设计所吸引。

在 SFMTA 电子车间，技术人员阿曼多·伦巴德向作者展示了这些显示屏的工作原理：通过输入三位数字代码，控制面板激活特定网格段，拼出目的地信息。这些显示屏由康涅狄格州的 Trans-Lite 公司于 1999 年设计制造，其字体由工程师 Gary Wallberg 主导，强调功能性和极简主义，仅根据实际需求设计字符，未包含 Q、X 等字母及标准标点。

作者深受其设计哲学启发，将其转化为字体项目 Fran Sans。使用 Glyphs 软件，她将字母拆解为可重复使用的模块，像积木一样构建出完整的字符集，包括大写字母、数字和基础标点。目前版本尚未包含小写字母和 @ 符号，但保留了原始显示屏中那些“不完美”的特征，如 N 和 0 的粗斜线、Z 和 7 的细斜线，以及 M 在小尺寸下可能误读为 H 的视觉现象。

Fran Sans 提供三种风格：Solid（实心）、Tile（拼贴）和 Panel（面板），分别呈现不同层次的视觉复杂度。其中 Solid 风格受到澳大利亚贝尔莎士比亚剧团品牌字体 Hotspur 的启发，强调单一字体在不同语境下的多用途表现力。

创作过程中，作者还受到旧金山字体档案馆的启发，特别是 Joan Trochut 的 Tipo Veloz（1942）和 Zuzana Licko 的 Lo-Res（1985）作品。前者体现资源匮乏下的模块化创意，后者展示了数字与物理设计之间的迭代关系，深刻影响了她对字体创作的理解。

HN 热度 1110 points | 评论 136 comments | 作者：ChrisArchitect | 1 day ago #

https://news.ycombinator.com/item?id=46025942

作者通过深入调查，成功追溯到旧金山 Muni 地铁标志字体的原始设计公司 Trans-Lite 和设计师 Gary Wallberg，展现了极强的探究精神。
有评论指出纽约地铁 R142A 并非字体名称，而是列车型号，最新车型为 R211 系列，纠正了对名称的误解。
新泽西交通系统也使用类似分段显示的字体，但段数更多，视觉效果更为复杂。
虽然 Ansaldo Breda 是意大利公司，但其为旧金山地铁提供的设备采用了具有特色的分段显示技术，与欧洲常见的 LCD 显示系统有所不同。
有人调侃旧金山地铁设备的采购过程涉及贿赂，暗示其技术可靠性存疑，尽管部分设备如车钩来自欧洲。
该字体设计灵感源自 Andrew Glassner 的计算机图形学研究，特别是其 55 段式字体设计，具有高度模块化和可编程性。
有人将 Glassner 的 55 段字体设计实现为 JavaScript 交互式网页，供用户探索多种分段字体的组合效果。
分段字体虽然形式独特，但部分设计如六段式字体在熟练后仍具备良好可读性，令人意外。
旧金山地铁字体的命名“San Fran”虽被部分人视为不正式，但因其巧妙和幽默感，最终被作者采纳并获得广泛认可。
有人指出“San Fran”这一简称在本地并不常用，本地人更倾向于使用“SF”或“the city”来指代旧金山，认为“San Fran”缺乏尊重。
该字体设计在 Hacker News 上引发热议，反映出技术社区对字体设计的浓厚兴趣，尤其是具有历史和技术背景的设计。
有评论认为，分段显示字体的设计体现了对信息传达的极致简化，其背后蕴含的模块化思想在现代设计中仍有启发意义。
一些人将分段字体与艺术设计结合，如 MOMA 收藏的 Kombinations-Schrift 字体，展示了其在艺术与工业设计中的跨界应用。

Shai-Hulud 归来：超 300 个 NPM 包遭感染 (Shai-Hulud Returns: Over 300 NPM Packages Infected) #

https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24

2025 年 11 月 24 日，HelixGuard 检测到超过 1000 个 NPM 包在数小时内被恶意篡改，攻击者通过伪造 Bun 运行时的名义，向这些包的 package.json 中注入 preinstall 脚本，调用一个名为 setup_bun.js 的文件，并附带一个高度混淆的 bun_environment.js 文件。

该恶意代码在执行时会下载并运行 TruffleHog 工具，扫描本地系统，窃取包括 NPM 令牌、AWS/GCP/Azure 云凭证、GitHub 令牌及环境变量在内的敏感信息。

窃取的数据通过创建名为 SHA1HULUD 的 GitHub Actions 运行器和一个名为“Sha1-Hulud: The Second Coming”的新仓库进行外泄。攻击者利用 GitHub Actions 实现隐蔽的数据回传，具备类似蠕虫的传播能力。

分析显示，攻击者通过修改 package.json，注入恶意脚本，并利用窃取的 NPM 令牌重新发布恶意包，实现自我复制。bun_environment.js 文件超过 10MB，包含跨平台（Linux、Windows、macOS）的恶意逻辑，能够自动下载 GitHub Actions Runner 并配置为持久化运行。

目前已有超过 27,000 个 GitHub 仓库被感染。攻击者创建了名为.formatter_123456789.yml 的恶意工作流，将窃取的密钥以双重 Base64 编码方式打包为 actionsSecrets.json。

受影响的包涵盖多个知名项目，如 @asyncapi/specs、@asyncapi/diff、cbre-flow-common、@asyncapi/generator-react-sdk 等，版本从 0.5.1 到 99.6.0 不等，部分包被多次篡改。

该事件极有可能是 2025 年 9 月“Shai-Hulud”攻击的延续，表明攻击者具备持续性、组织性与高度自动化能力，对开源生态构成严重威胁。

HN 热度 847 points | 评论 687 comments | 作者：mrdosija | 14 hours ago #

https://news.ycombinator.com/item?id=46032539

使用 pnpm 可以有效减少 npm 包攻击的漏洞，因其默认不运行 post-install 脚本且支持设置新版本发布后的最小等待时间。
npm 工具长期积累的技术债务导致其在锁文件、文件传输完整性校验等方面存在严重缺陷，影响生产环境使用。
npm 的锁文件机制本质上是权宜之计，应放弃依赖 npm install 作为构建流程的核心工具，转而采用内容寻址的分布式版本控制系统。
文件传输过程中无法检测提前结束的 EOF 问题，导致缓存中残留不完整文件，需手动清除缓存才能修复。
Node.js 的 I/O 流 API 设计缺陷是导致文件传输完整性校验失败的原因之一，需在底层改进。
开发者普遍依赖“在我机器上能跑通”的开发模式，忽视了环境差异和系统可靠性问题。
现代编程语言和包管理生态存在“重复发明轮子”的问题，忽视了已有成熟技术方案。
优秀的系统设计应借鉴 Unix 时代经验，由有经验的专家主导，而非自然演进。
包管理生态中“无打包者”现象导致信任完全依赖发布者，缺乏传统发行版的审核与验证机制。
使用 Hashicorp Vault 等动态密钥管理系统可实现 CI/CD 中短期、自动撤销的发布密钥，提升安全性并支持审计。

X 新国籍功能曝光大量“美国”账号实为海外运营 (X’s new country-of-origin feature reveals many ‘US’ accounts to be foreign-run) #

https://www.hindustantimes.com/world-news/us-news/xs-new-country-of-origin-feature-shakes-maga-and-democrat-circles-as-many-us-accounts-revealed-to-be-foreignrun-101763857104296.html

X（原推特）推出新功能，显示用户账号的国家归属地，引发美国政治圈剧烈震动。该功能位于用户资料页的“加入日期”标签中，可查看账号实际运营国家。尽管初期短暂下线，现已重新上线。

该功能曝光大量自称“美国本土”的政治账号实为海外运营。例如，拥有 39.2 万粉丝的“MAGA NATION”账号位于东欧，1.5 万粉丝的“Dark Maga”在泰国，5.1 万粉丝的“MAGA Scope”来自尼日利亚，6.7 万粉丝的“America First”账号位于孟加拉国。

民主党阵营也未能幸免。自称“骄傲民主党人”且以“猎捕麦卡锡”为名的“Ron Smith”账号实为肯尼亚运营；反特朗普账号“共和党反对特朗普”（97.8 万粉丝）被指来自奥地利，目前使用 VPN 隐藏真实位置。此外，拥有 7.8 万粉丝、发布亲以内容的“Mariana Times”账号也位于印度。

部分美国政界人士对此反应强烈。国会女议员安娜·保琳娜·卢娜称，这些伪装成美国人的账号是“外国操纵者”，旨在制造内部分裂。前联邦调查局官员卡什·帕特尔的女友艾丽克斯·威尔金斯则警告，这些海外账号有共同目标——破坏美国。

该事件引发对社交媒体政治影响力真实性的广泛质疑，也凸显了网络身份真实性与信息操纵的深层问题。

HN 热度 526 points | 评论 287 comments | 作者：ourmandave | 1 day ago #

https://news.ycombinator.com/item?id=46028422

Reddit 年度回顾曾显示“最上瘾城市”为埃格林空军基地，引发关于军事网络行动的猜测，但该数据可能因基地人口与实际居民差异导致统计异常。
埃格林空军基地虽有军事网络行动背景，但将社交平台活跃度归因于军事操作缺乏实证，更可能是统计偏差所致。
社交媒体上的“上瘾”数据可能受企业、公关公司或利益集团操控账号影响，这类商业“人造舆论”与国家行为类似，不应被忽视。
企业或组织通过集中地点运营大量社交媒体账号进行舆论引导，这种“人造社区”现象在社交媒体中普遍存在。
社交媒体平台的社区功能被商业和权力机构劫持，导致原本健康的社交互动异化为被操控的“精神控制”工具。
社交媒体成瘾源于人类对社区归属感的深层需求，但当前平台已不再服务于用户，反而成为剥削性工具。
短期应对策略是减少对商业化社交平台的依赖，长期则需重建本地社区，并发展真正去中心化、易用的点对点技术。
现有去中心化方案如 Matrix 或联邦服务仍不够理想，未来技术需在易用性和去中心化程度上实现质的飞跃。
社交媒体内容为吸引注意力而优化，而非追求真实，导致 AI 训练数据中充斥错误信息，影响模型输出质量。
优质 AI 输出依赖高质量训练数据，少量优质数据可显著提升模型表现，但劣质数据可能严重污染模型。
当前 AI 模型易受“数据污染”影响，少量恶意或错误数据即可对模型产生显著负面影响。

爱荷华城推行公交免费后，交通畅通，空气也清新了 (Iowa City made its buses free. Traffic cleared, and so did the air) #

https://www.nytimes.com/2025/11/18/climate/iowa-city-free-buses.html

Iowa City 自 2023 年 8 月起实施公交车免费政策，旨在减少汽车尾气排放并鼓励市民使用公共交通。该两年期试点项目广受欢迎，市议会于今年夏天决定将其延长一年。项目资金来自 1% 的公用事业税上调以及公共停车费从 1.50 美元提高至 3 美元（部分区域为 2 美元）。

实施以来，公交乘客量比疫情前水平高出 18%。交通拥堵明显缓解，司机反映道路更通畅。政府数据显示，市民在城市道路上的驾车里程减少了 180 万英里，每年减少二氧化碳排放 778 吨，相当于让 167 辆汽车退出道路。

乘客群体多样，包括精神科医生、图书管理员、代课教师、生物医学工程研究生、亚马逊仓库工人，以及因佛罗里达州事件失去驾照的男子。他们普遍对免费乘车政策表示支持，认为这提升了出行便利性并减少了对私家车的依赖。

该案例是《纽约时报》“50 个州，50 个解决方案”系列的一部分，展示地方性环保举措如何有效应对气候变化。

HN 热度 466 points | 评论 573 comments | 作者：bookofjoe | 1 day ago #

https://news.ycombinator.com/item?id=46027833

纽约时报的报道属于“解决方案新闻”，旨在颂扬项目而非深入分析，存在美化倾向。
免费公交难以同时实现免费、可扩展性和财务可持续性，三者难以兼得。
大城市公共交通存在一个稳定的均衡状态：收取票价，补贴低收入群体，通过税收资助基础系统。
任何试图大规模推行免费公交的城市最终都会回归到这一均衡状态，因为这是唯一能避免系统崩溃的配置。
该观点存在选择性举例的问题，例如爱荷华城、布里斯班和兰州的成功案例表明，免费或象征性收费模式在某些城市可行。
布里斯班的免费公交仅限于城市环线，其余线路仍收费，因此不能完全视为“免费公交”。
即使是象征性收费（如 30 美分），也能提供重要的使用数据追踪功能，如乘客出行路径分析。
完全取消票价可节省票务系统成本，但也会失去对乘客行为的精准数据收集能力。
票价不仅是收入来源，更是一种激励机制，有助于合理分配资源并防止过度使用。
降低票价或取消票价可能引发“短距离步行者转乘公交”的问题，导致公交停靠频率增加，影响长距离乘客效率。
通过设置快速直达线路可缓解因频繁停靠带来的效率下降问题。
实际上，大多数乘客不会因为票价低廉而放弃步行，尤其在有票价上限的情况下，这种行为并不普遍。

macOS 安全飞地（Secure Enclave）原生支持 SSH 密钥生成与管理 (Native Secure Enclave backed SSH keys on macOS) #

https://gist.github.com/arianvp/5f59f1783e3eaf1a2d4cd8e952bb4acf

MacOS Tahoe 系统现已支持使用安全飞地（Secure Enclave）生成和管理 SSH 密钥，无需依赖第三方工具如 Secretive。系统通过 /usr/lib/ssh-keychain.dylib 这一共享库实现对安全飞地的访问，该库原本用于支持智能卡，现也支持 FIDO2 安全密钥接口（SecurityKeyProvider），可直接与设备的安全飞地通信。

创建受生物识别保护的 SSH 密钥，需使用 sc_auth 命令：

sc_auth create-ctk-identity -l ssh -k p-256-ne -t bio

此命令会创建一个基于 P-256 算法、需 Touch ID 验证的密钥。可通过 list-ctk-identities 查看已创建的密钥，支持以 SSH 指纹形式输出。

使用密钥时，可通过以下方式将密钥从安全飞地“下载”到本地文件：

ssh-keygen -w /usr/lib/ssh-keychain.dylib -K -N ""

输入 PIN（可为空）后，系统会提示 Touch ID 验证，成功后生成 id_ecdsa_sk_rk 私钥文件（实际为密钥引用，不包含密钥材料）。公钥可复制至远程服务器的 authorized_keys 文件中。

也可通过 ssh-add -K -S /usr/lib/ssh-keychain.dylib 将密钥直接加载到 ssh-agent，实现免密登录。

推荐将 export SSH_SK_PROVIDER=/usr/lib/ssh-keychain.dylib 添加至 .zprofile，使 SSH 工具默认使用安全飞地密钥，简化操作。

此外，系统支持“可导出”密钥，即密钥由安全飞地加密保护，可备份。创建方式：

sc_auth create-ctk-identity -l ssh-exportable -k p-256 -t bio

导出命令：

sc_auth export-ctk-identity -h <Hash> -f ssh-exportable.pem

可生成加密的 PEM 文件，用于在其他设备导入。

目前不支持更细粒度的生物识别控制（如 .biometryCurrentSet），但可通过逆向分析 ssh-keychain.dylib 实现自定义扩展，例如添加支持特定生物识别策略的注册函数。

HN 热度 446 points | 评论 186 comments | 作者：arianvanp | 1 day ago #

https://news.ycombinator.com/item?id=46025721

使用 Secure Enclave 生成的 SSH 密钥无法备份，一旦丢失设备将无法恢复，但可通过其他方式（如管理员重置）访问远程机器。
可通过 sc_auth 工具创建可导出的加密私钥，导出时使用密码保护，支持在其他设备上重新导入。
目前无法将外部生成的密钥导入 Secure Enclave，只能由 Apple 生成并管理，且密钥在使用时可能以明文形式暴露。
导出的密钥在 Secure Enclave 内部完成签名操作，不会将明文私钥暴露在操作系统内存中，提升了安全性。
即使密钥可导出，其导出过程仍需 Touch ID 验证，防止恶意软件自动导出，但若用户被欺骗仍可能被利用。
与传统密钥文件相比，Secure Enclave 密钥在签名时更安全，因为私钥始终在安全环境中处理，不会进入内存。
导出的密钥文件应妥善保管，避免长期存储在设备上，且导出密码应足够强以防止破解。
为实现双重备份，可同时使用 Secure Enclave 生成的密钥和离线存储的备份密钥，但需在多处添加公钥。
由于无法将现有密钥导入 Secure Enclave，因此无法实现“导入外部密钥并标记为不可导出”的功能，限制了灵活性。
从安全角度看，Secure Enclave 密钥的保护机制优于普通加密密钥文件，尤其在防止内存泄露方面具有优势。
然而，恶意软件仍可能通过诱导用户进行 Touch ID 验证来获取导出密钥，因此需警惕社会工程攻击。
macOS 的生物识别验证缺乏上下文感知，恶意软件可轻易模拟指纹识别界面，使用户难以辨别真伪。

µcad：一款开源编程语言，用于生成 2D 草图与 3D 模型 (µcad: New open source programming language that can generate 2D sketches and 3D) #

https://microcad.xyz/

µcad 是一个开源的编程语言，用于生成 2D 草图和 3D 模型，目前处于早期开发阶段，但正逐渐趋于稳定。项目每周都在添加新功能，持续更新。

最新发布版本为 Alpha 0.2.14，发布过程中遇到了一些技术问题，例如 Issue #289，但最终成功完成发布。

近期亮点包括：

Spirograph：由五个部分组成的动态图案，外观类似极简风格的圣诞装饰，已成功实现并可打印。
Lego Bricks：通过实时编码演示了乐高积木的生成过程，展示了 µcad 在构建复杂结构方面的潜力。
Gears：同样通过实时编码视频展示了齿轮结构的生成，体现了其在机械设计方面的应用。

项目由 Open Knowledge Foundation Deutschland 支持，致力于开放知识与技术共享。网站提供代码、打印和视频资源，方便用户学习与参与开发。

HN 热度 374 points | 评论 122 comments | 作者：todsacerdoti | 1 day ago #

https://news.ycombinator.com/item?id=46027216

LEGO 品牌保护极为严格，第三方使用其名称和形象可能面临法律诉讼，因此建议从项目网站和示例中移除 LEGO 相关引用。
LEGO 的商标保护虽严格，但“LEGO”已成为日常用语，其品牌保护力度不如 Nintendo。
µcad 与 zoo 的 KCL 语言在功能上类似，但 KCL 采用管道式编程风格更受青睐。
zoo 的 KCL 存在厂商锁定问题，其几何内核仅支持云端托管，缺乏本地替代方案，而 µcad 是否解决此问题尚不明确。
build123d 支持 STEP 格式导出，适合与 FreeCAD 等工具协作，但其语言基于 Python，可能不如专用 DSL 高效。
KCL 和 µcad 均支持 STEP 格式导出，但具体实现细节和兼容性仍需验证。
从 STL 转换为 STEP 是信息损失过程，无法自动修复几何缺陷，需手动处理。
FreeCAD 的 OpenSCAD 导入功能可重建原始几何体，但对复杂模型支持有限，且存在兼容性问题。
STEP 格式是保留几何信息的矢量格式，优于 STL 的网格化表示，适合后续设计修改。
MeshLab 和 AutoCAD MeshMixer 在修复损坏网格方面优于 FreeCAD。
OpenSCAD 无法直接导出 STEP，而 FreeCAD 可通过 OpenSCAD 导入实现部分转换。
STEP 文件支持在 FreeCAD 中进行特征删除、面分割和曲面编辑，适合高级设计操作。
与图像处理中从 PSD 转 JPEG 类似，STL 是最终输出格式，不适合设计修改。
3D 打印切片软件如 Cura、Orca 等虽支持 STEP，但内部仍需转换为网格，影响效率。
µcad 项目代码托管在 Codeberg，具备本地运行潜力，可能规避云端依赖问题。
一些用户怀念 Autolisp 等早期 CAD 脚本语言的简洁与强大。
KCL 语言可与不同几何内核结合，已有尝试者，但未被广泛知晓或持续发展。

Shai Hulud 发起第二次供应链攻击：Zapier、ENS、AsyncAPI、PostHog、Postman 等项目遭 compromise (Shai Hulud launches second supply-chain attack) #

https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains

该网页是一篇关于网络安全威胁的博客文章，发布于 2025 年 11 月 24 日，标题为《Shai Hulud 发起第二次供应链攻击：Zapier、ENS、AsyncAPI、PostHog、Postman 等项目遭 compromise》。

文章指出，名为 Shai Hulud 的恶意 npm 蠕虫再次发动攻击，被称为“第二次降临”（Second Coming），攻击时间紧贴 npm 将于 12 月 9 日撤销旧版认证令牌的截止日期，利用开发者尚未完成迁移的窗口期实施破坏。

Shai Hulud 是一种自传播型恶意软件，以《沙丘》中的巨型沙虫命名，具有高度隐蔽性和破坏性。其主要行为包括：

通过安装 bun 工具并执行恶意脚本（setup_bun.js 和 bun_environment.js）来运行恶意代码；
自动扫描系统中泄露的敏感信息（如 API 密钥、令牌），使用 TruffleHog 工具；
将窃取的数据上传至随机命名的公开 GitHub 仓库，避免被轻易追踪；
试图向 npm 推送自身副本，实现跨项目传播；
若无法登录 GitHub 或 npm，将删除用户主目录下所有文件，造成严重破坏；
本次攻击影响范围扩大，可感染最多 100 个 npm 包，远超上一次的 20 个。

受影响的包多达 492 个，累计月下载量高达 1.32 亿次，涉及多个知名项目，包括：

AsyncAPI 生态相关工具（如 generator、parser、cli、templates 等）；
PostHog 的多个插件与核心组件（如 cli、react-native-session-replay、plugin-contrib 等）；
Zapier、ENS、Postman 等平台的关联包；
多个由 quick-start-soft 和 strapbuild 等组织维护的工具包。

文章提醒开发者立即检查依赖项，避免使用受感染版本，并建议尽快迁移至 npm 的可信发布机制，以防范类似供应链攻击。

HN 热度 339 points | 评论 19 comments | 作者：birdculture | 9 hours ago #

https://news.ycombinator.com/item?id=46035533

Bubblewrap 可以有效减少 npm/node 的攻击面，尽管不是万能解，但比使用无根 Podman 更简便。
有人分享了一个 Python 脚本，用于检查项目中是否存在被污染的 pnpm 或 npm 依赖包。
该帖子与另一则关于相同事件的帖子内容高度重合，因此被合并，但新信息已补充至原帖。
该事件涉及超过 300 个 npm 包被感染，影响了 Postman、Zapier、PostHog 等知名工具。
帖子标题存在拼写错误，应为“Shai-Hulud”而非“SHA1-Hulud”，但攻击者在 GitHub 仓库名中使用了错误拼写。
攻击者将窃取的密钥上传至名为 “Sha1-Hulud: The Second Coming” 的仓库中。
有用户发现大量 AWS 密钥被泄露，且采用双重 Base64 编码，令人担忧。
泄露的密钥可能对安全研究人员更有价值，而非攻击者，因为其存在时间可能已过。
有猜测认为这些泄露的密钥将被迅速清理，以防止滥用。
“coming” 应为单“m”拼写，但该错误可能是有意为之或误写。

RuBee：一种用于高安全性环境的低频无线资产追踪技术 (RuBee) #

https://computer.rip/2025-11-22-RuBee.html

本文介绍了一种名为 RuBee 的小众无线通信协议，它被用于美国能源部（DoE）设施中防止员工携带手机进入保密区域。当检测到手机时，门边设备会播放“政府手机已检测到”的语音提示，这一系统依赖于 RuBee 技术。

RuBee 由 Visible Assets Inc.（VAI）开发，创始人 John K. Stevens 有生物物理和基因检测背景。他最初因医疗冷链运输中温控验证问题而萌生开发想法，希望实现对样本和试剂在运输与存储过程中的持续监控。

RuBee 被定义为“可见性网络”（visibility network），核心目标是可靠地追踪资产存在状态，而非传输大量数据。它与蓝牙、RFID 等技术有相似之处，但设计目标不同：强调高可靠性、抗干扰能力，尤其适用于高价值物品的追踪。

关键特性包括：

使用低频（131 kHz）运行，波长长达 2.5 公里，实现近场磁耦合通信；
通过磁场而非电场传输信号，因此对金属和水屏蔽具有极强抗性；
通信距离可达 30 米，远超传统 RFID；
标签为有源设备，内置 4 位微控制器，电池寿命 5 至 25 年。

与 RFID 相比，RuBee 在金属容器、潮湿环境或人体携带场景下表现更优。例如，沃尔玛早期 RFID 应用中，因金属、水分和干扰导致读取失败率高达 33%，即使使用多天线阵列（成本超万元）也只能达到 95% 的成功率。

而 RuBee 的高可靠性使其在安全敏感领域更具优势，尤其适合追踪枪支、爆炸物和机密材料。标签可嵌入枪械框架或改装安装，不易被屏蔽，成为武器资产管理的理想方案。

尽管 RuBee 起源于医疗冷链监控，但其最成功应用却在军事与安保领域，体现了技术路径与市场需求之间的意外契合。

HN 热度 329 points | 评论 58 comments | 作者：Sniffnoy | 22 hours ago #

https://news.ycombinator.com/item?id=46029932

ANT+ 虽被部分人视为“失败”标准，但因其在健身设备中的稳定性和多设备同时连接能力，仍被广泛应用于 Garmin 等产品中。
Garmin 宣布将在 2025 年停止 ANT+ 认证，主要原因是无线通信法规变化，预示 ANT+ 可能逐步被 BLE 取代。
ANT+ 在团体健身场景中表现优于 BLE，因其连接无须建立连接，能高效接收多个设备的广播数据，而 BLE 需逐个连接，效率较低。
BLE 理论上可通过广告包实现类似 ANT+ 的广播接收功能，但实际应用中因软件栈质量差，尤其是非苹果平台，导致体验不佳。
ANT+ 作为 Garmin 的专有协议，缺乏广泛生态支持，难以突破其在健身设备领域的局限，最终被市场边缘化。
有观点认为，ANT+ 的衰落是由于其封闭性，而更开放的 BLE 更适合未来的发展方向。
在冷链运输中，温度指示标签可提供简单有效的温度变化反馈，但无法提前预警，与持续通信的传感器应用有本质区别。
“政府手机检测”语音提示可被用于恶搞或心理惊吓，但其音频来源可能涉及法律问题，不宜随意传播。
“智能枪”技术在海外市场难以推广，主要受限于美国市场主导地位及 NRA 的影响力，且全球多数国家禁止公民持枪。
智能枪在民用市场缺乏需求，因用户更关注武器的可用性而非追踪或生物识别功能，且存在可靠性风险。
智能枪若强制推广，可能引发安全顾虑，如在紧急情况下无法快速使用，或被误判为不可靠工具。

NSA 与 IETF，第四部分：被压制的不同意见实例 (NSA and IETF, part 3: Dodging the issues at hand) #

https://blog.cr.yp.to/20251123-dodging.html

该网页是 cr.yp.to 博客的一篇技术评论文章，发布于 2025 年 11 月 23 日，标题为《NSA 和 IETF，第四部分：被压制的不同意见的实例》。文章延续了此前关于美国国家安全局（NSA）对互联网工程任务组（IETF）标准制定过程施加影响的系列批评。

文章指出，当前部署后量子密码学（PQC）的主流实践是采用 ECC+PQ 混合方案，即同时使用椭圆曲线密码学和后量子密码，以提升安全性。IETF 的 TLS 工作组也正在推进 ECC+PQ 的标准化。

然而，IETF 管理层却在未经广泛共识的情况下，强行推动一份由 NSA 主导的“非混合”文档，该文档仅将 PQ 作为 TLS 的可选方案，而忽略 ECC+PQ 的组合。作者以讽刺口吻指出，这相当于在标准化汽车时，既保留带安全带的车型，又强行加入无安全带的车型，无视安全方面的反对意见。

文章回顾了此前的三篇系列文章：第一部分介绍背景，第二部分揭露腐败行为，第三部分揭示“回避核心问题”的策略。本篇作为第四部分，将具体展示对这一议题提出异议的声音如何被系统性压制。

文中提到，2025 年 4 月，TLS 工作组主席曾发起对这份 NSA 驱动文档的“采纳”投票。在征求意见期间，20 人明确支持，2 人有条件支持，7 人反对。但作者指出，反对意见被忽视，而支持者多为与 NSA 有利益关联的机构。

文章的核心观点是：IETF 所谓的“共识”已沦为权力者的意志，真正的技术民主与安全讨论已被边缘化。作者警告，这种压制不同意见的做法，正在侵蚀 IETF 作为开放、透明标准组织的公信力。

HN 热度 294 points | 评论 169 comments | 作者：upofadown | 13 hours ago #

https://news.ycombinator.com/item?id=46033151

djb 自学生时代起就坚持捍卫加密技术的自由发表权利，其在 Bernstein 诉美国案中成功推动法院认定源代码属于受宪法第一修正案保护的言论。
djb、菲尔·齐默尔曼、理查德·斯托曼等人在面对政府审查时坚持原则，为现代自由软件和加密技术的发展奠定了基础，值得高度敬佩。
坚持原则需要巨大牺牲，面对现实中的便利与利益诱惑，能长期对抗权威并保持信念实属不易。
djb 长期强调密码学标准必须考虑实现的可靠性，防止因时序漏洞、编译器优化等实现细节导致安全失效。
尽管 Curve25519 和 Ed25519 被广泛采用，但其最初规范存在导致实现分歧的问题，说明规范清晰性和变量标准化同样重要。
密码学标准不应仅关注算法本身的安全性，还应确保其易于正确实现，避免因规范复杂导致实现错误。
标准化过程不能免除对实现安全性的责任，标准的采纳不等于所有实现都可行或安全，需持续关注实现层面的问题。
NIST 采纳的算法如 Kyber 虽已标准化，但其早期实现存在严重时序侧信道漏洞，说明标准制定需更重视实现鲁棒性。
即使是权威机构如 NIST 制定的标准，也不能保证所有系统都能正确实现，因此标准设计应优先考虑实现的可行性与一致性。
许多 Web 标准因过于复杂或表述不清，导致大型企业也难以正确实现，这提示标准制定应更注重清晰性和可实现性。

日本押注北海道打造全球半导体新中心 (Japan’s gamble to turn island of Hokkaido into global chip hub) #

https://www.bbc.com/news/articles/c8676qpxgnqo

日本正押注北海道，试图将其从农业与旅游重镇转型为全球半导体产业新中心。作为日本最北端的岛屿，北海道长期以来以奶制品和自然风光闻名，但如今正迎来大规模工业变革。政府与丰田、软银、索尼等企业联合成立的芯片公司 Rapidus，正推动建设日本数十年来首个先进制程芯片制造厂。

Rapidus 计划在北海道千岁市建设一座采用极端紫外光刻（EUV）技术的晶圆厂，已成功研发出日本首枚 2 纳米制程原型芯片，达到全球顶尖水平。这一突破得益于与 IBM 的合作，标志着日本在高端芯片制造领域迈出关键一步。工厂设计融入自然环境，覆盖草皮以减少生态影响，选址也考虑了稳定的水电供应和较低地震风险。

尽管取得进展，Rapidus 仍面临严峻挑战。专家指出，其资金缺口巨大，远未达到启动量产所需的 318 亿美元；缺乏先进制程的量产经验，且难以获取台积电、三星等企业的核心技术知识。此外，客户资源稀缺，全球客户长期依赖现有巨头。

日本半导体产业曾于上世纪占据全球半壁江山，但因美日贸易摩擦及后续政策支持不足，逐渐落后。如今政府已投入 270 亿美元支持芯片产业，2024 年底更推出 650 亿美元的 AI 与半导体振兴计划，力度超过美国的 CHIPS 法案。

然而，日本整体经济面临人口萎缩、老龄化加剧、科研投入受限等结构性难题，同时面临约 4 万名半导体工程师的严重短缺。Rapidus 正与北海道大学合作培养人才，但未来仍需大量引进外籍技术人才，而这与国内公众对移民的保守态度形成矛盾。

与此同时，台积电已在九州熊本建设 12–28 纳米芯片厂，带动当地产业链升级，显示“建厂即聚生态”的战略正在奏效。Rapidus 的崛起，或将重塑日本科技产业格局，但能否真正实现从“制造”到“引领”的跨越，仍需时间验证。

HN 热度 281 points | 评论 423 comments | 作者：1659447091 | 22 hours ago #

https://news.ycombinator.com/item?id=46029929

日本发展本土芯片制造是合理且必然的选择，不应被过度解读为地缘政治博弈。
由于日本工作文化中企业对员工的长期忠诚，员工在非核心城市工作也具有稳定性，因此对工作地点的依赖性较低。
与美国相比，日本的经济环境更稳定，尽管机会可能较少，但企业破产风险较低。
人才吸引是关键挑战，尽管 Hokkaido 自然环境优美、生活成本低、生活质量高，但相比东京等大城市，仍缺乏足够的就业机会和产业聚集效应。
Hokkaido 拥有独特的自然风光，包括壮丽的雪景、森林、温泉、河流和丰富的户外活动，适合度假和长期居住。
Tokachi 地区尤其美丽，拥有广袤的农田、清澈的河流、雪山环绕，夜晚星空璀璨，是生态与人文的完美结合。
该地区居民友善热情，社区氛围浓厚，人与人之间关系紧密，适合建立家庭和长期生活。
与美国蒙大拿州相比，Hokkaido 地理位置更优越，不内陆、有城市（如札幌），且自然景观更丰富，更适合发展成科技与生活并重的区域。
若能提供远程工作机会，Hokkaido 将成为理想的生活与工作选择。
有评论调侃称，这些描述像极了房地产推销文案，带有强烈的情感渲染。
一些人对历史问题表示感慨，认为如果萨哈林岛（库页岛）未被苏联占领，可能也会发展出类似 Hokkaido 的繁荣与自然和谐共存的景象。
从地缘安全角度出发，芯片制造基地设在日本而非欧洲，可以减少因政治冲突导致供应链中断的风险。

Hacker News 精彩评论及翻译 #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46032672

It’s not “node” or “Javascript” the problem, it’s this convenient packaging model.

This is gonna ruffle some feathers, but it’s only a matter of time until it’ll happen on the Rust ecosystem which loves to depend on a billion subpackages, and it won’t be fault of the language itself.

The more I think about it, the more I believe that C, C++ or Odin’s decision not to have a convenient package manager that fosters a cambrian explosion of dependencies to be a very good idea security-wise. Ambivalent about Go: they have a semblance of packaging system, but nothing so reckless like allowing third-party tarballs uploaded in the cloud to effectively run code on the dev’s machine.

sph

问题的根源不在于 “Node” 或 “JavaScript”，而在于这种方便的打包模式。

这可能会引起一些争议，但我认为这只是时间问题。同样的事情也终将发生在依赖海量子包的 Rust 生态系统中，而这并非语言本身的过错。

我越是思考这个问题，就越是相信 C、C++ 或 Odin 不设方便的包管理器、从而避免催生出大量（寒武纪式的）依赖，这从安全角度来看是个非常好的主意。对于 Go，我的看法则比较矛盾：它们有一个像样的打包系统，但却没有像允许开发者把第三方云上传的 tar 包直接在本地运行代码那样鲁莽的做法。

X’s new country-of-origin feature reveals many ‘US… #

https://news.ycombinator.com/item?id=46028791

Reminds me of when Reddit posted their year end roundup https://web.archive.org/web/20140409152507/http://www.redditblog.com/2013/05/get-ready-for-global-reddit-meetup-day.html?m=1 and revealed their “most addicted city” to be the home of Eglin Air Force Base, host of a lot of military cyber operations. They edited the article shortly afterward to remove this inconvenient statistic

ro_bit

这让我想起 Reddit 发布年终盘点的时候，他们揭晓了“最上瘾的城市”竟是埃格林空军基地的所在地——那里主导着大量的军事网络行动。他们随后便迅速编辑了文章，删掉了这个令人尴尬的数据。

Claude Opus 4.5 #

https://news.ycombinator.com/item?id=46037979

The burying of the lede here is insane. $5/$25 per MTok is a 3x price drop from Opus 4. At that price point, Opus stops being “the model you use for important things” and becomes actually viable for production workloads.

Also notable: they’re claiming SOTA prompt injection resistance. The industry has largely given up on solving this problem through training alone, so if the numbers in the system card hold up under adversarial testing, that’s legitimately significant for anyone deploying agents with tool access.

The “most aligned model” framing is doing a lot of heavy lifting though. Would love to see third-party red team results.

llamasushi

这里的埋点简直离谱。每百万代币5美元/25美元的价格，相比Opus 4直接降了三分之二。在这个价格点上，Opus就不再是“你用来处理重要事情的那个模型”，而是真正具备了生产环境工作的可行性。

同样值得注意的是，他们号称拥有最先进的提示注入抗性能力。该行业在很大程度上已经放弃了仅通过训练来解决此问题，因此如果系统卡中的数据在对抗性测试中经得起考验，这对于任何部署了带工具使用能力的智能体的人来说，都具有真正重要的意义。

不过，“对齐度最高的模型”这种说法，其实是在承担了大量的重头戏。还是希望能看到第三方的红队测试结果。

France threatens GrapheneOS with arrests / server … #

https://news.ycombinator.com/item?id=46036823

I think your devices should have government-mandated backdoors if and only if you are a public servant. I don’t understand why private citizens are held to higher standards of conduct than politicians and cops.

konmok

我认为，只有当你是公职人员时，你的设备才应该被政府强制开后门。我不明白，为什么普通公民的行为标准要比政客和警察更高。

Japan’s gamble to turn island of Hokkaido into glo… #

https://news.ycombinator.com/item?id=46033675

Why are all the comments here so weird? It’s like people saw (but didn’t read) an article entitled “Man Opens a Taqueria in his Hometown” and the only responses are

Why didn’t he open it in my hometown? This location isn’t convenient for me.
Wouldn’t it be better for someone else to open a taqueria instead? My cousin is looking for work. Shouldn’t we be putting resources into helping him open a restaurant instead?

It’s like people hear “X in Asian country” and all they can think about is their own geopolitical narrative fed to them by the US state department. Obviously Japan is going to want to develop lucrative manufacturing… within Japan.

tdeck

为什么这里的评论都这么奇怪？就好像人们看到了（但没读）一篇题为“男子在家乡开设墨西哥卷饼店”的文章，然后唯一的回应就是：

他为什么不在我的家乡开店？这个位置对我来说不方便。
换个人来开墨西哥卷饼店不是更好吗？我表哥正在找工作。我们难道不应该把资源用来帮他开一家餐厅吗？

就好像人们听到“亚洲国家的X”时，脑子里只有美国国务院灌输给他们的地缘政治叙事。显然，日本肯定想在日本国内发展利润丰厚的制造业……毕竟是在日本国内。

We stopped roadmap work for a week and fixed bugs #

https://news.ycombinator.com/item?id=46030124

I love the idea, but this line:

no bug should take over 2 days

Is odd. It’s virtually impossible for me to estimate how long it will take to fix a bug, until the job is done.

That said, unless fixing a bug requires a significant refactor/rewrite, I can’t imagine spending more than a day on one.

Also, I tend to attack bugs by priority/severity, as opposed to difficulty.

Some of the most serious bugs are often quite easy to find.

Once I find the cause of a bug, the fix is usually just around the corner.

ChrisMarshallNY

我赞同这个想法，但这一条：

任何一个bug都不应超过2天

很奇怪。对我来说，在修复工作完成之前，几乎不可能预估需要多长时间。

话虽如此，除非修复一个bug需要进行重大的重构/重写，否则我无法想象会花超过一天的时间在一个bug上。

另外，我倾向于根据优先级/严重性，而不是难度来处理bug。

一些最严重的bug往往相当容易找到。

一旦我找到了bug的原因，修复通常就在眼前。

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46036328

ProTip: use PNPM, not NPM. PNPM 10.x shutdown a lot of these attack vectors.

Does not default to running post-install scripts (must manually approve each)
Let’s you set a min age for new releases before pnpm install will pull them in - e.g. 4 days - so publishers have time to cleanup.

NPM is too insecure for production CLI usage.

And of course make a very limited scope publisher key, bind it to specific packages (e.g. workflow A can only publish pkg A), and IP bound it to your self hosted CI/CD runners. No one should have publish keys on their local, and even if they got the publish keys, they couldn’t publish from local. (Granted, GHA fans can use OIDC Trusted Publishers as well, but tokens done well are just as secure)

twistedpair

建议技巧：使用 PNPM，而不是 NPM。PNPM 10.x 关闭了很多此类攻击途径。

默认不运行 post-install 脚本（必须手动批准每一个）。
允许你为新的版本设置一个最短“年龄”，例如 4 天，这样在 pnpm install 拉取新版本之前，发布者有时间进行清理。

对于生产环境的 CLI 使用来说，NPM 太不安全了。

当然，你还需要创建一个权限非常有限的发布密钥，将其绑定到特定的包（例如，工作流 A 只能发布包 A），并将其绑定到你自托管的 CI/CD 运行器上。任何人都不能在其本地电脑上拥有发布密钥，即使他们获取了发布密钥，也无法从本地进行发布。（诚然，GHA 的粉丝也可以使用 OIDC 受信任发布者，但正确配置的令牌也同样安全。）

X’s new country-of-origin feature reveals many ‘US… #

https://news.ycombinator.com/item?id=46028536

Walk willingly into platos cave, pay for platos cave verification, sit down, enjoy all the discourse on the wall. Spit your drink out when you figure out that the shadows on the wall are all fake.

protocolture

心甘情愿地走进柏拉图的洞穴，付费获得洞穴的认证，然后坐下，尽情欣赏墙上的一切幻影。直到你意识到墙上的影子全是假的，才会吓得一口水喷出来。

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46032650

co-founder of PostHog here. We were a victim of this attack. We had a bunch of packages published a couple of hours ago. The main packages/versions affected were:

posthog-node 4.18.1, 5.13.3 and 5.11.3
posthog-js 1.297.3
posthog-react-native 4.11.1
posthog-docusaurus 2.0.6

We’ve rotated keys and passwords, unpublished all affected packages and have pushed new versions, so make sure you’re on the latest version of our SDKs.

We’re still figuring out how this key got compromised, and we’ll follow up with a post-mortem. We’ll update status.posthog.com with more updates as well.

timgl

PostHog的联合创始人，我们这次成了攻击的受害者。几小时前，我们的一批包被发布了。受影响的主包/版本有：

posthog-node 4.18.1, 5.13.3 和 5.11.3
posthog-js 1.297.3
posthog-react-native 4.11.1
posthog-docusaurus 2.0.6

我们已经轮换了密钥和密码，撤销了所有受影响的包，并发布了新版本，所以请确保你使用的是我们SDK的最新版本。

我们仍在调查此密钥是如何泄露的，之后我们会跟进发布事后报告。我们也会在 status.posthog.com 上更新更多信息。

The Cloudflare outage might be a good thing #

https://news.ycombinator.com/item?id=46030461

It would be a good thing, if it would cause anything to change. It obviously won’t. As if a single person reading this post wasn’t aware that the Internet is centralized, and couldn’t name specifically a few sources of centralization (Cloudflare, AWS, Gmail, Github). As if it’s the first time this happens. As if after the last time AWS failed (or the one before that, or one before…) anybody stopped using AWS. As if anybody could viably stop using them.

krick

如果能因此带来任何改变，那当然是件好事。但显然，这什么都不会改变。就好像看这个帖子的有谁不知道互联网是中心化的，说不出几个中心化的源头（Cloudflare、AWS、Gmail、Github）似的。就好像这是第一次发生这种事。就好像上次AWS宕机（或者再上一次，或者更早那一次）之后，就有人停止使用AWS了一样。就好像谁真的能不用得起它们似的。

Claude Opus 4.5 #

https://news.ycombinator.com/item?id=46038081

This is gonna be game-changing for the next 2-4 weeks before they nerf the model.

Then for the next 2-3 months people complaining about the degradation will be labeled “skill issue”.

Then a sacrificial Anthropic engineer will “discover” a couple obscure bugs that “in some cases” might have lead to less than optimal performance. Still largely a user skill issue though.

Then a couple months later they’ll release Opus 4.7 and go through the cycle again.

My allegiance to these companies is now measured in nerf cycles.

I’m a nerf cycle customer.

unsupp0rted

在模型被削弱前的未来2到4周，这将会改变游戏规则。

然后，在接下来的2到3个月里，抱怨性能下降的人会被贴上“技术问题”的标签。

接着，一位“祭品”级的Anthropic工程师会“发现”几个晦涩的bug，这些bug“在某些情况下”可能导致性能不佳。不过，这很大程度上还是用户的技术问题。

再过几个月，他们会发布Opus 4.7，然后循环再次开始。

我现在对这些公司的忠诚度，是以削弱周期来衡量的。

我就是一个削弱周期的顾客。

Git 3.0 will use main as the default branch #

https://news.ycombinator.com/item?id=46031387

Maybe they resisted because it was completely ridiculous waste of engineering resources all over the country and for absolutely no tangible reason other than white people trying to feel better about themselves.

I work in the field of film mastering (with countless product names with the word “master” in it) and luckily no one got the ridiculous idea in their head that we need to change this lingo.

Show me a single person who has a valid reason for me not calling my branch “master” or my bedroom “the master”. I honestly think this sort of ridiculing word policing is why we lost this last damned election. And if you’re somehow proud that you’ve renamed your git branches, you’re very likely a contributor to that lost election.

matt-attack

或许他们之所以抵制，是因为这在全国范围内完全是工程资源的巨大浪费，而且除了白人想让自己感觉好一点之外，没有任何实质性的理由。

我在电影母版制作领域工作（有无数产品名称里都带有“master”这个词），幸运的是，没有人会异想天开地觉得我们需要改变这种术语。

给我看一个能给我充分理由，让我不能把我的分支叫做“master”，或者把我的卧室叫做“主卧”的人。我真心认为，这种荒唐的词语审查正是我们输掉该死大选的原因。如果你为重命名了你的 git 分支而感到自豪，那你很可能就是导致那次大选失利的罪人之一。

Iowa City made its buses free. Traffic cleared, an… #

https://news.ycombinator.com/item?id=46029926

Big-city transit has an equilibrium point, and it is incredibly stable. Every serious transit city in the world ends up in the same place

You’re cherry-picking your own examples. It worked in Iowa City.

Y Combinator and much of SV would be out of business if innovators followed that thinking. One reason is that people do come up with new ideas; that’s how the world changes. The other is that the world changes, and what didn’t work before now works - costs change and value changes, and now it’s worthwhile. For example, with congestion pricing and other rapidly increasong costs of NYC car ownership, there’s more value in free transit.

Oddly, it’s the thinking advocated by many HN posts, denigrating the innovation under discussion as impossible, useless, etc.

without sustainability, a political shift will kill it

That can be said of many things. A political shift could kill military funding in the US.

mmooss

大城市的公共交通有其平衡点，而且这个平衡点异常稳定。世界上所有重要的公交城市最终都会走向同一种模式。

你这是在挑选你自己的例子。它爱荷华城就行得通。

如果创新者都遵循那种想法，Y Combinator和硅谷的大部分公司早就倒闭了。原因之一是人们确实会想出新点子，世界就是这样改变的。另一个原因是世界在变化，以前行不通的现在行得通了——成本和价值都变了，现在值得去做了。例如，随着纽约市拥堵费和其他汽车持有成本的快速上涨，公共交通的价值就更大了。

奇怪的是，这正是许多HN帖子的观点，它们贬低正在讨论的创新，说它不可能、没用等等。

没有可持续性，一次政治变动就会扼杀它

很多事都可以这么说。一次政治变动就可能扼杀美国的军事开支。

NSA and IETF, part 3: Dodging the issues at hand #

https://news.ycombinator.com/item?id=46033811

For context, djb has been doing and saying these things since he was a college student:

While a graduate student at the University of California at Berkeley, Bernstein completed the development of an encryption equation (an “algorithm”) he calls “Snuffle.” Bernstein wishes to publish a) the algorithm (b) a mathematical paper describing and explaining the algorithm and (c) the “source code” for a computer program that incorporates the algorithm. Bernstein also wishes to discuss these items at mathematical conferences, college classrooms and other open public meetings. The Arms Export Control Act and the International Traffic in Arms Regulations (the ITAR regulatory scheme) required Bernstein to submit his ideas about cryptography to the government for review, to register as an arms dealer, and to apply for and obtain from the government a license to publish his ideas. Failure to do so would result in severe civil and criminal penalties. Bernstein believes this is a violation of his First Amendment rights and has sued the government.

After four years and one regulatory change, the Ninth Circuit Court of Appeals ruled that software source code was speech protected by the First Amendment and that the government’s regulations preventing its publication were unconstitutional. Source https://www.eff.org/cases/bernstein-v-us-dept-justice

seethishat

背景是，djb 从大学时代起就一直做着和说着这些事情：

在加州大学伯克利分校读研究生时，伯恩斯坦完成了一个他称之为“Snuffle”的加密方程（“算法”）的开发。伯恩斯坦希望发表（a）该算法（b）一篇描述并解释该算法的数学论文，以及（c）一个使用了该算法的计算机程序的“源代码”。他还希望能在数学会议、大学课堂和其他公开公共场合讨论这些内容。武器出口管制法以及国际武器贸易条例（ITAR监管体系）要求伯恩斯坦将他的密码学思想提交政府审查、注册为武器经销商，并申请并获得政府许可才能发表他的想法。否则将面临严重的民事和刑事处罚。伯恩斯坦认为这侵犯了他的第一修正案权利，并因此起诉了政府。

经过四年的诉讼和一次法规变更，第九巡回上诉法院裁定，软件源代码是受第一修正案保护的言论，政府禁止其发布的法规是违宪的。来源：https://www.eff.org/cases/bernstein-v-us-dept-justice

Shai-Hulud Returns: Over 300 NPM Packages Infected #

https://news.ycombinator.com/item?id=46032719

The “use cooldown” [0] blog post looks particularly relevant today.

I’d argue automated dependency updates pose a greater risk than one-day exploits, though I don’t have data to back that up. That’s harder to undo a compromised package already in thousands of lock files, than to manually patch a already exploited vulnerability in your dependencies.

[0] https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns

darkamaul

这篇关于“使用冷却期”[0]的博客文章在今天看来尤其具有现实意义。

我认为，自动化的依赖更新所带来的风险，甚至要超过那些一日游的漏洞利用，尽管我没有数据来支撑这一观点。相比于手动修复依赖项中已遭利用的漏洞，要撤销一个已经存在于成千上万个锁文件中的被攻陷的包，要困难得多。

France threatens GrapheneOS with arrests / server … #

https://news.ycombinator.com/item?id=46037083

so, they are basically confirming Android and Apple have their backdoors as no arrests or seizures on that matter have taken place

dagi3d

所以，他们基本上是在确认安卓和苹果系统都留有后门，因为在这件事上从未有过任何逮捕或查扣行动。

Doge ‘doesn’t exist’ with eight months left on its… #

https://news.ycombinator.com/item?id=46029151

I knew some people that were initially very optimistic, and I tried to keep an open mind when DOGE got started despite the outlandish claims that they would be able to cut $2 trillion dollars from the budget, but it’s apparent at this point that the project has been an extreme failure. It’ll probably take a few years to really sort out their damage and overall impact though.

It’s also imperative to mention in every DOGE-related discussion and conversation that the funding freeze to USAID is directly responsible for killing thousands of people [0]. Most of the damage done by DOGE can probably be reversed, but the thousands of death as a direct result of actions taken by the richest man in the world should not be forgotten. (Although I’m told there is a bit of uncertainty with any specific figures because the funding disruption also impacted the mechanisms for tracking and reporting deaths.)

[0] https://www.newyorker.com/culture/the-new-yorker-documentary/the-shutdown-of-usaid-has-already-killed-hundreds-of-thousands

TheAceOfHearts

我认识一些起初非常乐观的人，尽管“狗狗币”（DOGE）项目声称能削减2万亿美元的预算，我当时还是尽量保持开放的心态，但如今看来，这个项目显然已经彻底失败了。不过，要理清他们造成的损害和整体影响，可能还需要几年的时间。

此外，在任何关于“狗狗币”（DOGE）的讨论中，都必须提及，对 USAID（美国国际开发署）的资金冻结直接导致了数千人的死亡[0]。DOGE造成的损害或许大多可以挽回，但作为全球首富采取行动的直接后果，那数千人的死亡不应被遗忘。（尽管有人告诉我，具体数字存在一些不确定性，因为资金中断也影响了追踪和报告死亡数据的机制。）

[0] https://www.newyorker.com/culture/the-new-yorker-documentary/the-shutdown-of-usaid-has-already-killed-hundreds-of-thousands

Fran Sans – font inspired by San Francisco light r… #

https://news.ycombinator.com/item?id=46026440

Typography nerds are some of my favourite nerds.

Font specimen pages are so often screaming with design language and intention, they push and prod to evoke and present.

Maybe the secret has something to do with the lack of priority to the actual content; just present the font gosh-darn!

Looks nicely executed within the confines of the inspiration. very cool

oktwtf

字体设计爱好者是我最喜欢的技术宅之一。字体样本页面常常在设计语言和意图上表现得非常强烈，它们通过推拉和探索来唤起并展现某种效果。或许秘诀就在于，其重点并不在于实际内容；只需展示字体本身，天哪，这设计简直绝了！在灵感的框架内，这 execution（处理）看起来非常出色，非常酷。

1M Downloads of Zorin OS 18 #

https://news.ycombinator.com/item?id=46027830

I’ve been a Windows user since 3.1; and I’ve even defended Microsoft in the past (particularly when they made unpopular choices, but for technically correct reasons, like UAC or forcing vendors to rewrite their drivers into userland or using a safer driver model).

BUT, I won’t defend Windows 11 and Microsoft’s general direction. I feel like there has been a slow cultural shift within Microsoft, from a core of fantastic engineers surrounding by marketing/sales, to the org’s direction being set by marketing/sales UX be damned.

Plus it feels like a lot of the technical expertise retired out, and left a bunch of engineers scared to touch core systems instead preferring to build on top using Web tech. It means that Windows/Office stopped improving, and have actually both regressed significantly.

I’ve actually found myself recommending MacOS, particularly the prior generation of Macbook Airs which are absurdly powerful with absurd battery life for a fair price. Combine that with the lack of user hostility, and UX, that MacOS brings relative to Windows 11, and it is hard to ignore.

Someone1234

我从 Windows 3.1 时代起就是 Windows 用户；我甚至过去一直为微软辩护（尤其是在他们做出不受欢迎但技术上正确的决定时，比如用户账户控制或强制供应商将驱动程序重写到用户模式，或使用更安全的驱动模型）。

但是，我不会为 Windows 11 和微软的整体方向辩护。我感觉微软内部的文化正在慢慢转变，从一个由出色的工程师为核心、市场/销售为辅的组织，变成了一个由市场/销售来决定方向、完全不顾及用户体验的公司。

此外，感觉很多技术专家都退休了，留下了一群不敢触碰核心系统，反而更倾向于使用 Web 技术在其上层构建的工程师。这意味着 Windows 和 Office 停止了进步，实际上两者都出现了严重的倒退。

我发现自己现在真的会推荐 macOS，特别是前几代的 MacBook Air，它们拥有惊人的性能和电池续航，价格还相当公道。再加上 macOS 相较于 Windows 11，不再带有那种“用户敌意”和糟糕的用户体验，这让它的优势很难被忽视。

Disney Lost Roger Rabbit #

https://news.ycombinator.com/item?id=46031069

Sorta related since Disney held a share in it previously but Dick Tracy exclusive rights are still held by Warren Beatty who produced and starred in the role back in 1990. He had to fight off a challenge from Tribune Media in court decades ago but stipulation was he had to produce new Dick Tracy stuff every few years. It’s lead to a series of increasingly surreal late night specials on TCM where he appears in character and talks about random stuff and the 1990 movie, last time was in 2023: https://m.youtube.com/watch?v=MwKncYwtec4

joecool1029

虽然迪士尼曾持有其部分股份，但这事儿有点关联：迪克·崔西的专属版权仍由沃伦·比蒂持有，他曾在1990年担任该片的制作人和主演。几十年前，他曾在法庭上击败了论坛媒体的挑战，但协议规定他必须每隔几年就推出新的迪克·崔西相关作品。这也导致了TCM（特纳经典电影台）上的一系列越来越超现实的深夜特别节目，他在节目中会以角色身份登场，谈论一些随机的话题和1990年的那部电影，最近一次是在2023年：https://m.youtube.com/watch?v=MwKncYwtec4

We stopped roadmap work for a week and fixed bugs #

https://news.ycombinator.com/item?id=46032576

Ex-Meta employee here. I worked at reality labs, perhaps in other orgs the situation is different.

At Meta we did “fix-it weeks”, more or less every quarter. At the beginning I was thrilled: leadership that actually cares about fixing bugs!

Then reality hit: it’s the worst possible decision for code and software quality. Basically this turned into: you are allowed to land all the possible crap you want. Then you have one week to “fix all the bugs”. Guess what: most of the time we couldn’t even fix a single bug because we were drown in tech debt.

etamponi

前Meta员工，曾在现实实验室（Reality Labs）工作过，也许其他部门的情况有所不同。

在Meta，我们每季度会有一段“修复周”。起初我对此感到非常兴奋：终于有领导真正关心修复Bug了！

但现实很快就给了我一击：这对代码和软件质量来说，是最糟糕的决定。基本上，这一周就变成了：你可以随意提交任何垃圾代码。然后，你有一周的时间去“修复所有Bug”。猜猜结果是什么：大多数时候，我们连一个Bug都修不完，因为我们早已被技术债务淹没了。

Implications of AI to schools #

https://news.ycombinator.com/item?id=46037449

One of my students recently came to me with an interesting dilemma. His sister had written (without AI tools) an essay for another class, and her teacher told her that an “AI detection tool” had classified it as having been written by AI with “100% confidence”. He was going to give her a zero on the assignment.

Putting aside the ludicrous confidence score, the student’s question was: how could his sister convince the teacher she had actually written the essay herself? My only suggestion was for her to ask the teacher to sit down with her and have a 30-60 minute oral discussion on the essay so she could demonstrate she in fact knew the material. It’s a dilemma that an increasing number of honest students will face, unfortunately.

ubj

我的一名学生最近带着一个有趣的难题来找我。他的妹妹（没用AI工具）为另一门课写了篇论文，可她的老师却告诉她，某个“AI检测工具”以“100%的置信度”判定这篇论文是AI写的。他打算给她判零分。

暂且抛开那个荒谬的置信度不谈，学生的问题是：他妹妹要怎样才能说服老师，让她相信自己确实是亲手写的这篇论文？我唯一的建议是，让老师和她一起坐下来，就这篇论文进行一场30到60分钟的口头讨论，借此证明她确实掌握了相关内容。不幸的是，越来越多的诚实学生将面临这样的困境。

Several core problems with Rust #

https://news.ycombinator.com/item?id=46028367

Rust has its issues and there are plenty of things to not like about Rust, but this article is giving me the impression that this person has not written much Rust. Unfortunately, many such cases with Rust criticism.

Memory safety is not that sacred. In fact, for many applications malfunctioning is better than crashing — particulary in the embedded world where Rust wants to be present. You cannot get 99.999% reliability with Rust — it crashes all the time.

Yeah until that memory safety issue causes memory corruption in a completely different area of code and suddenly you’re wasting time debugging difficult-to-diagnose crashes once they do start to surface.

We actually had a recent Cloudflare outage caused by a crash on unwrap() function: https://blog.cloudflare.com/18-november-2025-outage/

There were multiple failures before that unwrap() and the argument can easily be made that this is no different than an unchecked exception or a release assertion.

Sync/Send, Mutex and reference counting (Arc)? Unfortuantely, those lock or simply mess with CPU caches badly, so they are inefficient for multithreaded communication, at least an intensive one. They are safe, but inefficient. Which kinda destroys the first uncompromising thing in Rust — performance.

Doing this the “correct” way in other languages has similar impact? So I’m not sure why Rust forcing you to do the correct thing which causes perf issues is uniquely a Rust issue. Doing this the “just get it done” way in other languages will likely come back to bite you eventually even if it does unblock you temporarily.

There are plenty of times I did a static mut global in Rust just to get some shit done and oops, accidentally hit some UB as the project grew.

landr0id

Rust 有它的问题，也有许多让人不喜欢的地方，但这篇文章给我的感觉是作者没写过多少 Rust。不幸的是，对 Rust 的批评大多如此。

内存安全并非那么神圣。事实上，对于许多应用来说，出错总比崩溃好——尤其是在 Rust 想要立足的嵌入式领域。你不能用 Rust 实现 99.999% 的可靠性——因为它总是在崩溃。

是啊，直到那个内存安全问题在代码的完全不同区域导致内存损坏，然后一旦崩溃开始显现，你就得浪费时间调试那些难以诊断的崩溃。

我们最近确实遇到了一次由 unwrap() 函数崩溃导致的 Cloudflare 服务中断：https://blog.cloudflare.com/18-november-2025-outage/

在那次 unwrap() 之前已经发生了多次故障，而且很容易就能论证说，这和未经检查的异常或发布时的断言没什么不同。

Sync/Send、Mutex 和引用计数（Arc）？遗憾的是，它们会严重锁定或破坏 CPU 缓存，因此在多线程通信中效率低下，至少在高强度通信时是这样。它们是安全的，但效率低下。这在某种程度上破坏了 Rust 的首要信条——性能。

在其他语言中用“正确”的方式做这件事也会有类似影响吗？所以我不明白为什么 Rust 强迫你去做那些会导致性能问题的“正确”事情，就成了 Rust 独有的问题。在其他语言中用“先做完再说”的方式去做，即便能暂时让你不受阻碍，最终也可能会反噬自身。

很多时候，为了完成一些事情，我在 Rust 中直接用了 static mut 全局变量，结果 oops，随着项目变大，不小心就触发了一些未定义行为。

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022960

Ouch. This hits incredibly hard.

I’ve been this dad who sits frozen at the TV every evening. I had the affairs with the emotionally unavailable men, and became one myself.

Before you judge the man in this story too harshly — and there’s certainly much to judge, especially given the follow-up post — consider the environment he and I grew up in. Being gay as a young teenager in the early 1990s could feel literally like a death sentence. AIDS panic was everywhere. Gay men in movies were comedy sidekicks or dying wrecks (“Philadelphia”). There was a real threat of violence from other kids. If you could pass as straight, why wouldn’t you give it your best shot? The alternative was to be a laughing stock and die alone in a hospital where nurses don’t dare touch you. (This is literally how I imagined gay life at age 13.)

I still feel like I’m barely getting started on the therapy journey to recover from those decades. Seems like the man in the story never had the chance for professional help (or didn’t seek it). The compartmentalization can be extremely taxing. He disappointed many people, but that doesn’t mean he was a bad person.

pavlov

哎，这话真是扎心了。

我曾经就是那个每晚都僵坐在电视机前的父亲。我曾和那些情感上无法敞开心扉的男人有染，后来自己也活成了那样。

在你过于苛刻地评判这个故事里的那个男人时——考虑到后续的帖子，他确实有很多地方值得批评——请先想想我们成长的环境。在90年代初，作为一名青少年同性恋者，那感觉简直就像是被判了死刑。艾滋病恐慌无处不在。电影里的同性恋角色要么是喜剧里的跟班，要么就是将死的病人（比如《费城故事》）。来自其他孩子的暴力威胁也是真实存在的。如果你能混入直人的圈子，为何不拼尽全力一试呢？另一个选择就是成为笑柄，在一家护士连碰都不敢碰你的医院里孤独地死去。（这真的就是我13岁时对同性恋生活的想象。）

我依然觉得，为了从那段岁月里恢复过来，我的疗愈之路才刚刚开始。故事里的那个男人似乎从未有过寻求专业帮助的机会（或者他没有去寻求）。那种将生活割裂成不同部分来应对的做法，会让人心力交瘁。他让许多人失望了，但这不代表他是个坏人。

2025 11 24 HackerNews

2025-11-24 08:23:37

2025-11-24 Hacker News Top Stories #

父亲去世后，家人发现他与男性伴侣的情书与照片，揭示了被压抑的爱情、牺牲与“真实自我”。

浏览器指纹通过操作系统、字体、时区等多种特征几乎唯一地识别用户，且常规对策难以彻底防御。

诉讼称 Meta 隐瞒研究证据表明停用社交媒体可因果性地减少青少年抑郁和焦虑，同时因增长优先弱化安全措施。

用户发现周期性大规模断网源自上游基础设施但 ISP 拒绝调查或修复，暴露垄断运营下维权和可靠性问题。

Forty.News 将新闻按 40 年前的日期每日重现，既勾勒冷战时期的动荡，也引发对真实性与焦虑的质疑。

中国在钍基熔盐堆中实现钍向铀‑233 的实验性转化，证明可行但转化率低、商业化仍面临挑战。

文章讲解如何仅用像素坐标、距离函数与噪声在着色器中生成复杂高保真图形与动态纹理。

Charli XCX 描述流行明星的光鲜与孤独并存，批判媒体与公众对女性艺人的刻板期待与道德负担。

多州诉讼指控 Meta 长期低估并误导公众关于平台对儿童的危害，且许多安全改进因担心影响增长被否决。

Racket v9.0 发布，引入原生并行线程与多项工具和库改进以增强多核并发与开发体验。

父亲去世后，我们发现了那些隐藏的情书 (After my dad died, we found the love letters) #

https://www.jenn.site/after-my-dad-died-we-found-the-love-letters/

父亲去世后，家人在整理遗物时发现了一叠隐藏的情书，揭开了他不为人知的另一面。信中写道：“我爱 Dota，也爱桃子，但我更爱你。我会戒烟、减肥为你。”这些文字描绘了一个与现实截然不同的父亲形象——温柔、浪漫、渴望幸福。

作者的父亲出身于一个传统中国小城，因家族压力与母亲结婚，婚姻并不幸福。他长期在外工作，与家人聚少离多，缺席了作者的毕业典礼、生日等重要时刻。作者对父亲的记忆寥寥无几，唯一温暖的回忆是七岁时生病，父亲在床边讲故事，手很轻柔。

然而，父亲与同性恋人爱德华（Edward）在三年间秘密相恋，关系稳定，甚至计划结婚、共同生活。爱德华在父亲去世后才得知这段感情，他讲述两人如何从香港相识，父亲说服他放弃事业和家庭，远赴加拿大追求爱情。他们共同看房、规划未来，父亲曾计划向家人坦白，却始终因恐惧而犹豫。

爱德华带来了许多照片，照片中的父亲笑容灿烂，眼神明亮，与作者记忆中那个沉默、压抑的父亲判若两人。作者第一次意识到，父亲曾拥有过真正的快乐，也拥有过被爱与被理解的可能。

作者回忆起自己曾向父亲出柜，父亲虽表面接受，但并未真正理解。如今才明白，父亲自己也活在长达近四十年的压抑与伪装中。他从未真正活出自己，却始终默默为子女牺牲。

父亲的骨灰被安置在樱桃木盒中，因母亲不愿接受真相，不愿让父亲留在家中。爱德华前来告别，抱着盒子痛哭，作者在房间中默默聆听，感受到一种迟来的、沉重的哀悼。

爱德华的祭坛铺满父亲生前喜爱的物品：最爱的酒、肉、牌、音乐。作者这才发现，自己从未真正了解过这个父亲。他喜欢音乐，爱喝红酒，爱吃甜点，也曾在城市中自由地散步、牵手、撒娇。

父亲最终未能说出真相，因为他害怕被拒绝，也害怕失去家庭。而母亲早已多次提出离婚，父亲却始终拒绝，选择维持表面的完整。

如今，作者终于明白：父亲不是冷漠，而是被责任与恐惧困住；他不是不爱，而是不敢爱。他一生都在为别人而活，却从未为自己活过。而那个他深爱的人，终于在最后时刻，替他完成了未竟的告别。

HN 热度 745 points | 评论 360 comments | 作者：eatitraw | 15 hours ago #

https://news.ycombinator.com/item?id=46021825

面对 1990 年代的艾滋病恐慌和反同性恋舆论，许多同性恋者选择隐瞒身份以求生存，这种环境导致了严重的心理创伤和自我压抑。
虽然理解当时的社会压力，但隐瞒身份并欺骗配偶、利用婚姻作为逃避社会压力的工具，对伴侣造成了不可逆的情感伤害。
与伴侣发生婚外情并隐瞒真实情感，尤其是以承诺未来共同生活为由诱使对方远赴他乡，这种行为本质上是欺骗，难以被合理化。
将婚姻作为掩盖真实身份的工具，不仅伤害了配偶，也剥夺了其追求幸福生活的可能，这种行为缺乏道德正当性。
在传统亚洲文化背景下，同性恋者更难面对自我认同，往往被迫选择结婚以符合家庭和社会期待，导致长期的心理挣扎。
有些人认为，尽管社会压力巨大，但选择压抑自我、维持虚假婚姻，本质上是牺牲真实自我来迎合社会规范，这种选择本身也充满悲剧性。
有人指出，将孩子带入一个建立在谎言之上的婚姻，可能让孩子在成长中承受情感缺失和家庭关系的扭曲，这是对下一代的伤害。
有人反思，自己也曾因社会压力而压抑真实情感，最终意识到真正的幸福来自接纳自我，而非迎合外界期待。
有人强调，即使在看似“正确”的人生选择中，如稳定婚姻、养育子女，也可能隐藏着深层的遗憾与未完成的情感需求。
有人认为，面对他人的选择时，应尽量设身处地理解其处境，而非轻易评判，因为每个人都在特定环境中做出“最不坏”的决定。
有人指出，社会对同性恋的污名化和恐惧，使得许多人在成长过程中将同性吸引视为“可选择”的问题，从而陷入自我欺骗与压抑。

浏览器指纹识别的隐私噩梦 (The privacy nightmare of browser fingerprinting) #

https://kevinboone.me/fingerprinting.html

本文探讨了浏览器指纹识别对网络隐私构成的严重威胁，指出尽管远离谷歌等大型科技公司是保护隐私的第一步，但远未结束。随着第三方追踪 cookies 的逐渐被浏览器屏蔽，一种更隐蔽、更难防范的技术——浏览器指纹识别，正成为新的隐私噩梦。

浏览器指纹识别不依赖 cookies，而是通过收集用户浏览器的多种特征信息，如操作系统、浏览器版本、语言设置、时区、已安装字体、扩展程序、硬件配置，以及通过 JavaScript 生成的 canvas 图像像素数据等，组合成一个几乎唯一的数字标识。即使这些信息单独看并不敏感，但综合起来却能精准识别用户。

文中指出，许多看似有效的防御手段反而适得其反。例如禁用 JavaScript 虽能阻止 canvas 指纹识别，但会暴露“JavaScript 被禁用”这一显著特征，反而更容易被识别。伪装浏览器类型（如谎称使用 Chrome）也无效，因为指纹识别技术可通过其他手段推断真实信息，一旦发现不一致，反而更显异常。

此外，一些试图伪造指纹的技术本身会留下痕迹，或破坏网站正常功能，得不偿失。因此，目前几乎没有可靠的方法能完全抵御浏览器指纹识别。

尽管如此，作者也指出，现实中的指纹追踪并非绝对精准。大多数追踪是基于统计分析，而非一击即中。同时，许多测试网站（如 amiunique.org）所展示的“唯一性”并不反映真实场景，因为用户的指纹会随时间变化，难以长期追踪。

总体而言，浏览器指纹识别是当前隐私保护面临的严峻挑战，但其实际效果仍受制于动态变化和统计不确定性。用户需保持警惕，但也不必过度悲观。

HN 热度 709 points | 评论 404 comments | 作者：ingve | 1 day ago #

https://news.ycombinator.com/item?id=46016249

Chrome 在用户选择“不翻译”特定语言后，会将该语言添加到 Accept-Language 请求头中，形成独特的语言顺序组合，可能成为浏览器指纹识别的强信号。
这种行为反映出软件试图根据用户操作推测其偏好，但可能无意中泄露隐私，且用户并未明确表达希望接收该语言内容。
有人认为 Chrome 的行为是出于好意，即通过添加语言偏好来让服务器返回用户可能感兴趣的页面，而非恶意收集信息。
有用户强调，尽管 Firefox 的内置翻译功能在某些语言上仍有不足，但其本地翻译机制比 Chrome 更保护隐私。
一些用户推荐使用 Firefox 或其他非 Chrome 浏览器，以避免 Google 生态系统的隐私风险。
有人指出，Mozilla 基金会可能被 Google 影响，因此支持其并非最佳选择，应关注更独立的组织。
有观点认为，使用 Mullvad 或 Tails 等注重隐私的系统，能最大程度降低被追踪的风险。
反对“统一浏览器指纹”的做法，认为过于一致反而容易被识别，应随机化指纹以增加追踪难度。
指出即使用户刻意伪装，仍可能因系统信息不一致（如 UA 与字体、操作系统等）而暴露身份。
认为指纹追踪公司并不专门针对少数隐私意识强的用户，而是通过海量数据构建唯一标识，任何异常行为都可能被利用。
提醒用户不要因“密码简单”或“行为异常”而低估被追踪的风险，技术上的小疏忽可能被放大利用。
建议通过多浏览器隔离不同用途，实现隐私保护，但需注意避免因行为模式单一而暴露。
指出用户可通过修改 User-Agent 等请求头来伪装，但需警惕与其他系统特征的矛盾。

Meta 被隐瞒的“因果证据”显示社交平台对用户造成伤害，美国法院文件指控 (Meta buried ‘causal’ evidence of social media harm, US court filings allege) #

https://www.reuters.com/sustainability/boards-policy-regulation/meta-buried-causal-evidence-social-media-harm-us-court-filings-allege-2025-11-23/

Meta 被指控隐瞒其社交平台对用户心理健康造成的负面影响，尤其针对青少年群体。根据美国学校学区对 Meta、谷歌、TikTok 和 Snapchat 提起的诉讼文件，Meta 在 2020 年开展的“项目汞”研究中发现，停止使用 Facebook 一周后，用户在抑郁、焦虑、孤独感和社交比较方面的感受明显降低。然而，Meta 并未公开该研究结果，反而中止了后续研究，并内部认定其结论受“媒体既有叙事”影响而无效。

尽管内部有员工指出研究具有因果关联性，并类比烟草公司隐瞒危害的行为，Meta 仍选择沉默。在向国会作证时，Meta 声称无法量化其产品对青少年女孩的伤害，与内部研究结果相矛盾。

诉讼文件还指控 Meta 故意设计无效的青少年安全功能，阻碍对可能影响平台增长的安全措施进行测试。公司对性交易相关账户的处理门槛极高，需累计 17 次违规才移除账户。同时，Meta 明知其算法优化会推送更多有害内容给青少年，仍优先追求用户参与度。

此外，Meta 高层曾表示儿童安全并非首要任务，甚至在 2021 年拒绝了时任全球公共政策主管尼克·克雷格关于加强儿童安全投入的请求。Meta 发言人反驳称研究方法存在缺陷，公司已持续投入安全建设，相关指控是断章取义。

TikTok 也被指通过赞助美国国家家长教师协会（PTA），试图影响其公开立场，内部文件显示其计划操控 PTA 发布支持性声明。谷歌和 Snapchat 未对此作出回应。

目前，相关文件尚未公开，Meta 已申请驳回部分文件的公开请求，案件将于 2026 年 1 月 26 日在加州北区联邦法院举行听证。

HN 热度 612 points | 评论 255 comments | 作者：pseudolus | 23 hours ago #

https://news.ycombinator.com/item?id=46019817

社交媒体平台如 Meta 对老年人群体造成了严重伤害，导致他们容易上当受骗，甚至损失全部积蓄，家庭因此承受巨大痛苦。
老年人在社交媒体上频繁遭遇冒充名人或虚构身份的诈骗，骗子利用情感操控手段精准打击认知能力下降的用户。
尽管已有大量教育和提醒，但许多老年人难以理解网络风险，且平台缺乏有效防护机制，导致诈骗屡禁不止。
当前社会对老年人网络诈骗问题的认知存在“沉默危机”，尽管媒体和公众已知其严重性，但缺乏系统性应对措施。
有观点认为，应禁止认知能力不足以应对网络风险的老年人使用社交媒体，必要时应由家人介入管理其网络使用。
Meta 等科技公司对社会造成广泛负面影响，其员工在道德上应受到质疑，甚至建议对曾任职 Meta 者实施招聘限制。
尽管 Meta 存在严重伦理问题，但其在 AI 研究（如 PyTorch、LLaMa）方面的开放贡献也具有积极意义，需区分具体岗位与行为。
不能简单以“曾任职 Meta”作为道德评判标准，应具体分析个人工作内容及其伦理立场，避免对个体的无差别惩罚。
一些人认为，即使在 Meta 内部，也可能存在致力于隐私保护或伦理审查的员工，他们正努力对抗公司整体的负面影响。

垄断性 ISP 拒绝修复上游基础设施问题 (A monopoly ISP refuses to fix upstream infrastructure) #

https://sacbear.com/xfinity-wont-fix-internet/

本文讲述了一位用户在使用 Xfinity 宽带服务期间，长期遭遇周期性网络中断的问题。用户自 2024 年 6 月起便频繁遇到网络连接中断，每天发生 6 至 7 次，每次持续约 125 秒，累计已造成超过 117 小时的停机时间。

通过部署 uptime 监控工具，用户发现这些中断具有高度规律性：时间点集中在每天的 12:00、3:00 和 23:00 左右，且在分钟位上出现显著聚集（如:29 和:44），误差极小（125.0±1.4 秒），表明并非随机故障，而是由某种自动化系统触发。

用户进一步确认，其邻居在同一区域使用不同线路也遭遇完全相同的中断模式，排除了单个用户设备或本地线路问题的可能性。日志显示，中断过程呈现“正常 → 丢包 → 断开 → 恢复”的标准流程，且每次持续时间高度一致，具备典型的 cron 任务调度特征。

作者指出，Xfinity 公司对这一长期、可复现、影响范围明确的基础设施问题拒绝调查，即便有详实数据支持，也未采取任何实质性修复措施。文章揭示了在缺乏竞争的垄断性 ISP 环境下，用户在面对系统性网络故障时维权困难的现实困境。

HN 热度 579 points | 评论 295 comments | 作者：vedmed | 23 hours ago #

https://news.ycombinator.com/item?id=46019685

Comcast/Xfinity 的网络服务存在严重可靠性问题，用户长期遭受间歇性断网困扰，且问题根源常在上游基础设施而非用户端设备或线路。
多位用户反映，尽管多次更换设备、反复报修，问题依然反复出现，技术人员往往推诿责任，甚至出现预约维修人员未到场的情况。
用户在投诉后获得的赔偿微乎其微，例如仅 1 美分的账单抵扣，反映出运营商对客户不满的轻视态度。
有用户在取消服务后遭遇异常高额账单，通过银行申诉成功获得全额退款，显示了对运营商不当收费的应对策略。
用户普遍认为，即使在高速网络环境下，可靠性远比速度更重要，稳定的低速连接优于频繁中断的高速连接。
与光纤相比，DOCSIS（电缆）网络因过度订阅和电磁干扰等问题导致性能不稳定，长期存在技术缺陷。
有观点指出，政府应强制要求新建住宅或社区接入光纤网络，以提升整体网络基础设施水平。
一些用户在获得 HOA（业主协会）许可后成功引入光纤，从而彻底解决了电缆网络的可靠性问题。
在美国，光纤覆盖范围极小，多数地区仍依赖老旧的铜缆或低速 ADSL，部分地区甚至没有可用的替代方案。
有评论提到，政府在电力、水和电话等基础设施上的强制标准曾推动社会进步，但如今对光纤缺乏类似政策，反映出公共利益被企业利益所影响。
历史表明，电力和水的普及是长期社会斗争的结果，而非政府“黄金时代”的自然产物，当前仍有许多地区不具备基本生活设施。

1985 年 11 月 24 日：全球多地爆发重大事件，凸显冷战高峰期国际局势的紧张与动荡 (Show HN: Forty.News – Daily news, but on a 40-year delay) #

https://forty.news

1985 年 11 月 24 日，全球多地爆发重大事件，凸显了当时国际局势的紧张与动荡。

在医疗领域，美国退伍军人事务部（VA）宣布，因艾滋病感染病例激增，已有 700 名退伍军人接受治疗，实际病例数远超官方记录的 618 例。为应对疫情蔓延，VA 紧急在纽约、旧金山和迈阿密设立大型艾滋病治疗中心，并计划在其他医院增设病房。这一举措标志着美国政府对艾滋病问题的应对进入新阶段。

同日，埃及航空公司一架从雅典起飞的航班遭恐怖分子劫持，劫机者声称已杀害四名乘客，两名美国人被列为劫机者扣押的乘客。此次事件是希腊一周内发生的第二起重大安全危机，此前一周有武装分子占领雅典机场，引发国际社会对地区安全的担忧。

在南非，警方在反种族隔离抗议活动中开枪，造成最严重的暴力冲突，已确认多人死亡。目击者称警方无端开火，事件导致欧罗摩托公司等企业停工撤离，经济与社会秩序受到严重冲击。

与此同时，尼加拉瓜政府在联合国大会上控诉美国对反桑地诺游击队提供 2700 万美元援助，称其为“非法且不道德的战争”，并披露战争已造成 3652 人死亡、7582 名儿童成为孤儿，4039 人受伤，24 万人失去家园，经济损失达 15 亿美元。

美国国内，国会通过一项税收改革法案，尽管里根总统反对，但高税州居民仍保留州税扣除权。该法案设定 1500 美元个人免税额，企业税率升至 35%，中等收入者也进入 35% 税率区间，引发对税制公平的讨论。

在科技与军事领域，美国在汉福德实验室启动 SP-100 项目，计划建造 300 千瓦空间核反应堆，为未来太空武器和深空探测提供能源支持。该技术旨在突破太阳能与电池的局限，实现更快速的星际航行，甚至为载人火星任务铺路。

国际政治方面，美苏在日内瓦峰会未能就裁军达成协议，因里根坚持推进“星球大战”导弹防御系统，戈尔巴乔夫警告此举将破坏核军备控制。尽管谈判破裂，双方仍同意继续对话，并计划于 1987 年在华盛顿与莫斯科举行后续峰会。

此外，一份泄露的调查报告确认，1985 年 6 月一架印度航空客机因货舱爆炸坠毁，机上 329 人全部遇难。调查排除了导弹袭击、闪电和金属疲劳等可能性，认定为内部压力爆炸所致。

这些事件共同勾勒出 1985 年末全球政治、安全、公共卫生与科技发展的复杂图景，反映出冷战高峰期各国在军事、人权与技术竞争中的深刻张力。

HN 热度 405 points | 评论 161 comments | 作者：foxbarrington | 1 day ago #

https://news.ycombinator.com/item?id=46017175

这个网站的界面和内容充满 AI 生成的痕迹，让人怀疑其信息的真实性，甚至可能加剧焦虑而非缓解。
读到关于 Air India 航班被炸的旧闻时，引发了对逝去亲人的深切哀悼，40 年的时光让悲伤更加沉重。
当前的悲剧与 40 年前的事件形成呼应，提醒人们灾难的重复性，令人感到痛心。
40 年前的新闻虽然已成历史，但许多问题如抗生素滥用、环境污染、企业垄断等至今未解，甚至更加严重。
历史事件的重演揭示了政治与经济结构的长期不变，权力、资本与战争的逻辑依然主导世界。
从历史中可以看清政策的长期后果，例如里根经济学和反垄断政策的失败，对今日社会不平等有深刻启示。
40 年前的国际承诺（如北约不东扩）被反复违背，与当前乌克兰危机有直接关联，历史教训被忽视。
网站的算法会优先选择在 2025 年看来“有趣”的新闻，这实际上筛选出的是那些预示今日危机的事件，反而让人更感压抑。
人类心理和行为模式数万年来变化极小，技术进步并未改变人性中的贪婪、恐惧与权力欲望。
40 年前的新闻虽已成往事，但其背后的问题——如军事干预、跨国霸权、信息操控——至今仍在上演，令人绝望。

中国通过“培育”钍转化铀实现能源里程碑 (China reaches energy milestone by “breeding” uranium from thorium) #

https://www.scmp.com/news/china/science/article/3331312/china-reaches-energy-independence-milestone-breeding-uranium-thorium

中国在核能技术领域取得重大突破，成功实现从钍到铀的燃料转化，标志着中国向能源独立迈出了关键一步。这一成果由中科院上海应用物理研究所研发，依托位于戈壁沙漠的实验性反应堆完成。

该技术基于钍基熔盐堆的核裂变创新，通过将钍转化为可裂变的铀-233，实现持续、高效的核能生产。与传统铀燃料相比，钍资源更丰富、更安全，且产生的放射性废料更少，具备清洁、可持续的潜力。

此次成功验证了钍燃料循环的可行性，为中国未来构建长期稳定的清洁能源体系提供了技术支撑。专家认为，这项技术有望在未来几十年内推动中国实现核能自给，并为全球能源转型提供新方案。

HN 热度 330 points | 评论 292 comments | 作者：surprisetalk | 1 day ago #

https://news.ycombinator.com/item?id=46016639

中国实验性钍基反应堆实现了钍向铀-233 的转化，但转化率仅为 0.1，低于现有轻水堆和重水堆的转化率，技术突破有限。
钍基熔盐堆（MSR）的最大优势在于可将现有核废料中的铀-235 和钚等物质再利用，转化为可发电的燃料，同时将长寿命放射性废物减少至数百年。
钍基熔盐堆具备被动安全特性，反应堆在异常情况下可自动排空并冻结，无需高压容器，占地面积小，且产生的钚-233 因伴生强伽马射线而难以用于核武器。
全球核废料总量虽达数十万吨，但体积极小，仅相当于几十个标准游泳池的容量，远小于其他工业废弃物。
高放射性且长寿命的核废料（如镎、镅、锔等）仅占总废料的不到 1%，其余 95% 以上为铀-235 和钚，可被新一代反应堆再利用。
钍基熔盐堆并非用于处理现有核废料，真正能处理废料的是快中子增殖反应堆，而钍基反应堆主要依赖热中子实现钍到铀-233 的转化。
西方并非对钍能技术“坐视不管”，已有大量初创企业正在推进核能创新，包括多种熔盐堆设计。
钍增殖反应堆技术难度远高于铀-钚增殖反应堆，前者实现商业化仍需长期投入，且经济回报不确定，因此进展缓慢。

如何仅用 x 和 y 坐标通过着色器绘制高保真图形 (Shaders: How to draw high fidelity graphics with just x and y coordinates) #

https://www.makingsoftware.com/chapters/shaders

本文探讨了在仅拥有 x 和 y 坐标的情况下，如何通过着色器（Shaders）实现高保真图形的绘制。文章从基础概念入手，解释了着色器在现代图形渲染中的核心作用，特别是顶点着色器与片段着色器的工作原理。作者通过实例说明，即使没有复杂的几何模型，仅通过数学函数和像素坐标，也能生成复杂的视觉效果，如渐变、纹理、光影和动态动画。

文中重点介绍了基于像素着色器的编程方法，展示了如何利用距离函数、噪声函数和变换操作来构建复杂的图形。例如，通过计算像素点到某个形状中心的距离，可以绘制出圆形或方形；通过叠加多个形状并使用布尔运算，可以实现更复杂的组合图形。此外，文章还讲解了如何使用噪声函数（如 Perlin 噪声）生成自然纹理，如云朵、岩石或水波。

作者强调，着色器编程是一种“从零开始创造视觉”的艺术，它要求开发者具备一定的数学和图形学基础，但同时也提供了极大的创作自由。通过 GLSL（OpenGL 着色语言）代码示例，文章展示了如何在 WebGL 或 Unity 等平台上实现这些效果。

最后，文章指出，随着 GPU 性能的提升和着色器语言的普及，基于着色器的图形创作正逐渐成为游戏开发、视觉艺术和交互设计的重要工具。无论是静态图像还是实时动画，着色器都能以极高的效率实现高质量的视觉表现。

HN 热度 319 points | 评论 70 comments | 作者：Garbage | 12 hours ago #

https://news.ycombinator.com/item?id=46023013

WebGL 和 WebGPU 直接对接 D3D 和 Metal，不经过 Vulkan，原图示有误。
Vulkan 是开放标准，但其规范开发在保密协议下进行，对外界不够透明。
Vulkan 并非完全开源，其规范虽公开，但具体实现由硬件厂商独立开发，部分实现为闭源。
Vulkan 可在 Apple 平台通过 MoltenVK 或 KosmicKrisp 驱动实现，包括 Apple Silicon 上的原生支持。
Vulkan 在 Windows 上依赖显卡厂商驱动，非系统自带，因此在远程桌面等企业环境中可能不可用。
Vulkan 支持的平台包括 Linux、Android、Windows、Nintendo Switch 及 iOS/macOS，具备较强跨平台能力。
WebGPU 不仅限于浏览器，还提供 C++（Dawn）和 Rust（WGPU）库，可在多平台原生使用。
WebGPU 是统一 API，底层实际调用的是 D3D、Vulkan 或 Metal 等原生图形接口。
Vulkan 相比 DirectX 更跨平台，不依赖特定操作系统数据结构，可原生运行于多种系统。
Khronos 的 API 虽有开放规范，但大量扩展为专有功能，导致应用难以跨平台移植。
PlayStation 不支持 Vulkan，实际开发中主要使用专有 API。
Vulkan 在 Linux 上可通过驱动支持，尽管某些 VNC 工具不支持，但不影响其整体可用性。
Vulkan 的规范本身是开源的，但具体实现如驱动可能并非开源。
WebGPU 的 wgpu-rs 并非完全符合规范的实现，而 Dawn 是更标准的实现。

成为流行明星的现实 (The realities of being a pop star) #

https://itscharlibb.substack.com/p/the-realities-of-being-a-pop-star

这篇文章由流行歌手 Charli XCX 撰写，讨论了作为流行明星的现实与体验。虽然她不完全将自己视为流行歌手，而是更倾向于称自己为 “创意者” 或 “艺术家”，但她选择聚焦于流行明星的生活，因为这是她最熟悉的领域，也是她曾经的梦想。

** 流行明星的乐趣与特权：**

Charli XCX 描述了作为流行明星的一些乐趣，比如参加派对、与有趣的人交流、穿着华丽的服装和珠宝、享受各种免费赠品（如手机、服装、电动自行车等）。
她提到能感受到特殊的待遇，比如从后门进入餐厅，享受优越的生活条件以及与粉丝之间的紧密联系。

** 孤独与尴尬：**

尽管有很多光鲜的表面，Charli 也提到流行明星常常要在一些无灵魂的地方徘徊，比如机场休息室、演出后台等，感受到一种无所归属的孤独。
她反思了自己在这个行业中的变化，以及与旧友之间因生活方式的差异而产生的尴尬感。

** 社会期待与角色：**

Charli 探讨了公众对流行明星的认知和期待，指出许多人乐于将流行明星视为 “愚蠢” 的象征，反映了社会对于女性的偏见。
她提到自己在加入 Substack 后，部分人对她的反应，包括质疑她是否还有足够的智慧去写作，这些反应显示了人们对她形象的固有看法。

** 个人成长与真相：**

Charli 与朋友的对话让她思考自己是否在成功后改变，尽管朋友认为她仍然保持真实，但周围的 “阿谀奉承者” 让她感到困惑。
她还提到公众对名人应承担道德责任的期待，这让她感到困惑，因为她喜欢的艺术家并不都是模范。

** 结论：**

Charli 认为，作为一名艺术家，真诚与虚构之间的界限并不重要，艺术的魅力在于其戏剧性和幻想性。她结束文章时引用了 Lou Reed 的一次访谈，强调对于艺术的理解与欣赏不必拘泥于真实性。

这篇文章通过个人的视角，展现了流行音乐行业的光鲜与阴暗，揭示了在成就与公众期待之间的复杂关系。

HN 热度 310 points | 评论 219 comments | 作者：lovestory | 1 day ago #

https://news.ycombinator.com/item?id=46016613

这篇文章虽然语言风格口语化，但内容真挚，展现了真实且深刻的内心世界，具有很高的思想价值。
一些评论认为文章语言拖沓、结构松散，更像是即兴表达而非精心打磨的文学作品。
作者刻意避免编辑润色，可能是为了保持真实感，让读者感受到一个真实 pop star 的内心独白。
有评论指出，许多曾经辉煌的音乐人晚年只能靠重演旧作维持生计，这种“循环式巡演”令人感到悲哀。
一些人认为这种现象不仅限于音乐人，也反映了社会对成名者后期发展的忽视与冷漠。
有观点提到，女性在娱乐圈中面临更严格的社会规范，难以突破传统角色期待，这在当今社会依然存在。
有人质疑这种“女性受限”的现象是否真实存在，认为自己所处环境并未感受到明显性别偏见。
评论认为，成功艺人往往受限于公众期待，突破常规会增加传播阻力，影响商业成功。
有评论表示，如果只追求小圈子的认可，个人可以自由选择生活方式，不必迎合大众。
一些人认为，真正的艺术表达应避免过度修饰，保留原始情感比完美文笔更重要。
也有观点认为，文章虽有瑕疵，但整体质量远超普通大众写作水平，不应被轻易否定。

Meta 被指长期低估平台对儿童的危害并误导公众 (Court filings allege Meta downplayed risks to children and misled the public) #

https://time.com/7336204/meta-lawsuit-files-child-safety/

Meta 被指控长期低估其平台对儿童的危害，并向公众隐瞒相关风险。在加州北区联邦法院提交的一份原告简报中，Instagram 前安全与福祉主管瓦什纳维·贾亚库马尔作证称，2020 年加入 Meta 时，她震惊地发现公司对“性交易”行为的处理机制极为宽松——需累计 17 次违规举报才可封禁账号，这一标准远高于行业普遍水平。

简报指出，Meta 内部研究早已发现其产品对青少年具有高度成瘾性，并加剧心理健康问题，包括抑郁、焦虑、饮食失调及自杀倾向。尽管如此，公司仍拒绝实施多项安全改进措施，因担心影响用户活跃度和增长。内部文件显示，员工曾多次提出保护青少年的方案，但均被高层以“影响用户体验”为由否决。

此外，简报揭露 Instagram 虽宣称对儿童性虐待内容“零容忍”，却未提供便捷的举报渠道，而对“垃圾信息”“枪支推广”等较轻违规却设有快速举报路径。原告律师称，Meta 的行为如同“烟草公司向儿童推销有害产品”，为追求利润而忽视儿童安全。

Meta 回应称，相关指控基于“断章取义”的言论，强调公司已推出多项保护措施，如 2024 年推出的“青少年账号”功能，自动设置私密、限制夜间通知、禁止陌生人消息，并允许家长监控和管理使用时间。但原告方认为，这些措施是多年抵制安全改革后的“补救”，反映出公司长期漠视青少年安全。

此案为多州联合提起的集体诉讼，涉及超过 1800 名原告，包括儿童、家长、学区及州检察官，控诉 Instagram、TikTok、Snapchat 和 YouTube 等平台“为增长不择手段”，严重损害儿童身心健康。目前，相关证据材料仍部分保密，但已披露内容揭示了 Meta 在安全治理上的系统性疏忽与矛盾。

HN 热度 302 points | 评论 132 comments | 作者：binning | 9 hours ago #

https://news.ycombinator.com/item?id=46024184

Meta 公司长期忽视儿童安全风险并误导公众，其应对措施如同烟企在过滤嘴上做文章，实质无效。
烟草公司高管曾因作伪证受罚，但仅被罚款，类似地，科技巨头也只会面临轻微惩罚，无法真正改变其行为。
当前科技巨头与政府勾结，形成新型寡头政治，民主形式被架空，社会正向更明显的寡头共和演变。
政府与大企业利益绑定，科技高管自视过高，但本质与历史上的企业领袖并无不同。
现代社会高度依赖数字化服务，脱离社会变得极为困难，类似“生态恐怖分子”特德·卡钦斯基的极端想法可能有其现实基础。
Meta 等科技巨头的恶行长期存在，但目前仅靠象征性罚款无法真正遏制，缺乏实质性的应对计划。
资本力量远超劳动，除非改变这一根本结构，类似问题将持续重复发生。
社交媒体平台的运作依赖于开发者，若开发者集体离职，平台将难以维持，因此开发者应反思自身角色与道德责任。
当前系统性治理失效，任何政策改革都会被资本力量反制，必须从根本上削弱资本对决策的控制，强化公众参与。
现行民主制度已失效，应考虑更直接的民主形式，如排序选择投票，作为改革的起点。
针对 Meta 等平台的监管应具体化，不应停留在情绪化呼吁，需提出可操作的解决方案。
应修订《通信规范法》第 230 条，区分用户自主选择内容与平台算法推送内容，算法推荐应承担内容责任。
像 Hacker News 这类平台若使用非时间顺序的排序算法，也应面临 230 条的适用性问题，需明确算法透明度标准。
算法应基于用户明确选择（如关注、点赞）而非隐式行为（如观看时长、相似用户行为）来推荐内容，避免形成信息茧房。
用户在相同订阅设置下应看到相同内容，算法不应基于个体行为差异进行个性化推送，以防止极端化内容传播。

Racket v9.0 正式发布，可在

https://download.racket-lang.org/ 下载 (Racket v9.0) #

https://blog.racket-lang.org/2025/11/racket-v9-0.html

Racket v9.0 已正式发布，可在 https://download.racket-lang.org/ 下载。

本次更新最引人注目的是引入了并行线程（Parallel Threads），这是 Racket 语言的重要进展。尽管此前已支持绿色线程、futures 和 places 实现并行，但并行线程提供了更直接、高效的并发编程方式。开发者可通过 #:pool 参数创建并行线程，使用 #:keep 'results 选项可保存线程结果，后续通过 thread-wait 获取。

新版本还带来了多项改进：

新增 decompile-linklet 函数，可将 linklets 重新映射为 s-表达式，便于调试与分析。
使用 BC Racket 时，processor-count 函数现在始终返回并行核心数。
支持 AArch64 架构的 “natipkg” 包，有助于包构建与测试基础设施。
Check Syntax 现在能更深入追踪语法对象中嵌套标识符的来源（origin 字段）。
math 库新增 Weibull 分布支持。
修复了多项 bug，文档也得到全面优化。

该版本由众多社区成员共同贡献，包括 Stephen De Gabrielle、John Clements、Matthew Flatt、Robby Findler 等核心开发者。

Racket 是一个由社区驱动的开源项目，欢迎新贡献者参与。详情可查看 racket/README.md。

欢迎在 Discourse 或 Discord 社区提问与交流。如您使用 Racket，欢迎分享此消息，帮助更多用户了解这一重要更新。完整发布说明请见： https://blog.racket-lang.org/2025/11/racket-v9-0.html

HN 热度 254 points | 评论 90 comments | 作者：Fice | 11 hours ago #

https://news.ycombinator.com/item?id=46023460

Racket 9.0 引入了原生并行线程支持，相比之前的 places 机制更轻量且易于使用，显著提升了在多核环境下的适用性。
之前的 places 机制限制较多，无法方便地传递 lambda 函数，导致难以实现灵活的分布式任务分发，开发者不得不预先定义逻辑，仅传输数据。
由于缺乏高效的并行支持，近年来作者更多选择 GNU Guile，因其通过 futures 和 fibers 提供了更成熟的多核利用方案。
Racket 官网仍宣称其为“成熟、精炼、实用”的语言，但新版本的大幅重构和功能补全让人质疑这一说法的合理性。
有人认为“成熟”不应与“重大重构”并存，认为“成熟”意味着稳定和完整，而重构往往伴随新问题，与成熟相悖。
也有人指出，长达八年的重构过程和稳定的 API 保持，说明该重构是成功的，反而体现了系统的成熟和稳健。
从软件工程角度看，Racket 的内部重构并未破坏兼容性，也未大规模破坏现有项目，说明其测试和维护质量很高。
将 Racket 与 Chrome、Firefox 等大型项目对比，这些项目也频繁更换底层编译器或引擎，但并未因此被视为不成熟。
Racket 采用 Chez Scheme 作为新运行时基础，其稳定、高性能且完整实现 Scheme 6 标准，相比旧版 C 实现更易于维护和扩展。
语言的“成熟”可从其语言语义的稳定性与生态的持续发展来衡量，而非仅看底层实现是否“从未改变”。
旧版 Racket 的 C 实现因语言复杂性高，维护困难，重构是必要且合理的工程决策。

Hacker News 精彩评论及翻译 #

The privacy nightmare of browser fingerprinting #

https://news.ycombinator.com/item?id=46018023

Some time ago I noticed that in Chrome, every time you click “Never translate $language”, $language quietly gets added to the Accept-Language header that Chrome sends to every website!

My header ended up looking like a permuted version of this:

en-US,en;q=0.9,zh-CN;q=0.8,de;q=0.7,ja;q=0.6 I never manually configured any of those extra languages in the browser settings. All I had done was tell Chrome not to translate a few pages on some foreign news sites. Chrome then turned those one-off choices into persistent signals attached to every request.

I’d be surprised if anyone in my vicinity share my exact combination of languages in that exact order, so this seems like a pretty strong fingerprinting vector.

There was even a proposal to reduce this surface area, but it wasn’t adopted:

https://github.com/explainers-by-googlers/reduce-accept-language

aragonite

前段时间我注意到，在 Chrome 浏览器中，每当你点击“永不翻译 $ 语言”时，该语言就会被悄悄地添加到 Chrome 发送给每个网站的 Accept-Language 请求头中！

我的请求头最终看起来是这样一种排列组合：

en-US,en;q=0.9,zh-CN;q=0.8,de;q=0.7,ja;q=0.6 我从未在浏览器设置中手动配置过任何这些额外的语言。我所做的只是在一些外国新闻网站上告诉 Chrome 不要翻译几个页面。随后，Chrome 就将这些一次性选择变成了附着在每次请求上的持久性信号。

如果在我身边的人拥有与我完全相同顺序的语言组合，我会感到很惊讶，所以这似乎是一个非常强大的指纹追踪向量。

甚至还有一个旨在减少此“攻击面”的提案，但它未被采纳：

https://github.com/explainers-by-googlers/reduce-accept-language

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022960

Ouch. This hits incredibly hard.

I’ve been this dad who sits frozen at the TV every evening. I had the affairs with the emotionally unavailable men, and became one myself.

pavlov

哎呀。这真的让人深受触动。

我就是那种每晚僵坐在电视机前的父亲。我曾与那些情感疏离的男人有过婚外情，而我自己也变成了这样的人。

在你过于苛刻地评判这个故事中的男人之前——尽管确实有很多值得评判的地方，特别是看完后续帖子后——请想想他和我成长的环境。在1990年代初，作为一个十几岁的同性恋少年，那种感觉真的就像被判了死刑。艾滋病恐慌无处不在。电影中的男同性恋不是喜剧配角，就是垂死的病人（《费城故事》）。来自同龄人的暴力威胁真实存在。如果你能伪装成异性恋，为什么不拼尽全力一试？另一种选择是成为笑柄，独自死在医院里，连护士都不敢碰你。（这真的就是我13岁时对同性恋生活的想象。）

我仍然觉得，要从那些年的创伤中恢复过来，我的疗愈之路才刚刚开始。故事中的那个男人似乎从未有机会获得专业帮助（或没有主动寻求）。这种将生活割裂开的心理防御机制会让人极度疲惫。他让很多人失望，但这不意味着他是个坏人。

A monopoly ISP refuses to fix upstream infrastruct… #

https://news.ycombinator.com/item?id=46020361

I sympathize with the author. I remain on Charter’s shitlist to this day because I had a very similar issue about twenty years ago, except our connection cut out entirely after ~10MB of data had downloaded in a continuous stream, and the cable modem had to wait for the line to become available again. No amount of technical documentation, logs, traceroutes, equipment swaps, or anything on my end would convince them it was a problem with their infrastructure.

So, exasperated, I filed a complaint with the FCC. A week later, it got fixed along with an apology, no truck roll needed.

I miss when the government had teeth and used it against companies, man.

stego-tech

我非常同情这位作者。直到今天，我依然在Charter公司的黑名单上，因为大约二十年前我遇到了一个极其相似的问题。当时的情况是，我们的网络在连续下载了约10MB的数据后就完全断线，有线电视调制解调器必须等待线路重新可用才行。无论是我这端提供的技术文档、日志、路由追踪、设备更换，还是任何其他证据，都无法让他们相信问题出在他们自己的基础设施上。

于是，我沮丧地向联邦通信委员会（FCC）提交了投诉。一周后，问题就解决了，他们还道了歉，根本不需要派技术人员上门维修。

说真的，我怀念政府有魄力、并且敢于用它来对抗公司的那些日子啊。

Meta buried ‘causal’ evidence of social media harm… #

https://news.ycombinator.com/item?id=46021569

I’ve recently had to deal with my father cognitive decline & falling for scams left & right using Meta’s apps. This has been so hard on our family. I did a search the other day on marketplace and 100% of all sellers were scams, 20-30 of them.

Meta is a cancer on our society, I’m shutting down all my accounts. Back when TV/Radio/News paper were how you consumed news, you couldn’t get scams this bad at this scale. Our parents dealt with their parents so much easier as they cognitively declined. We need legal protections for elders and youth online more than ever. Companies need to be liable for their ads and scam accounts. Then you’d see a better internet.

jackhuman

我最近不得不应对父亲的认知衰退问题，他在使用Meta旗下的应用程序时屡屡被骗。这对我们整个家庭造成了巨大的困扰。前几天我在市场平台上搜索了一下，发现所有卖家100%都是骗局，有20到30个之多。

Meta是我们社会的一大毒瘤，我正在注销我所有的账号。想当年，人们通过电视、广播和报纸获取新闻时，从未出现过如此大规模、如此恶劣的骗局。我们的父母在应对长辈的认知衰退时，所面临的困境要小得多。我们现在比以往任何时候都更需要为老年人和年轻人提供在线法律保护。公司必须为他们发布的广告和诈骗账户承担责任。只有这样，我们才能看到一个更好的互联网。

Markdown is holding you back #

https://news.ycombinator.com/item?id=46018817

You can include arbitrary HTML tags in Markdown at any place you need them. 0 I am not aware of any Markdown tooling that does not support this.

So, no, Markdown is not holding me back. It is perfectly capable of what the author claims it isn’t.

dschuessler

你可以在任何需要的地方，在 Markdown 中包含任意的 HTML 标签。 0 据我所知，没有任何 Markdown 工具不支持这一点。

所以，不，Markdown 并没有限制我。它完全有能力做到作者声称它做不到的事情。

China reaches energy milestone by “breeding” urani… #

https://news.ycombinator.com/item?id=46018044

Before anybody gets too excited, it’s better to understand what exactly happened.

China ran an experimental reactor that achieved some conversion of thorium into uranium. More precisely, the conversion ratio was 0.1 [1]. This means that for each new fissile atom generated from thorium (i.e. uranium-233) 10 atoms have been burned from the original fissile inventory.

Now, conversion happens in every nuclear reactor. Some new fissile material (generally Pu-239) is generated out of “fertile material” (generally U-238). And, surprisingly, that conversion ratio is quite high: 0.6 for pressurized light water reactors and 0.8 for pressurized heavy water reactors [2].

What China has achieved therefore is well below what is business as usual in regular reactors. The only novelty is that the breeding used thorium, rather than uranium.

Is this useless? No, it is not. In principle increasing the conversion ratio from 0.1 to something higher than 1.0 should be doable. But then, going from 0.8 in heavy water reactors to more than 1.0 should be even easier. Why don’t people do it already? Because the investment needed to do all the research is quite significant, and the profits that can be derived from that are quite uncertain and overall the risk adjusted return on investment is not justified. If you are a state, you can ignore that. If China continues the research in thorium breeding, and eventually an economically profitable thorium breeder reactor comes out of that, the entire world will benefit. But the best case scenario is that this would be three decades in the future.

[1] https://www.world-nuclear-news.org/articles/chinese-msr-achieves-conversion-of-thorium-uranium-fuel

[2] https://en.wikipedia.org/wiki/Breeder_reactor#Conversion_ratio

credit_guy

在任何人过于兴奋之前，最好先弄清楚到底发生了什么。

中国运行了一个实验性反应堆，实现了将部分钍转化为铀。更准确地说，其转化率为0.1 [1]。这意味着，从钍（即铀-233）中每产生一个新的裂变原子，就有10个原子从原有的裂变物质库存中被消耗。

事实上，所有的核反应堆都会发生转化。一些新的裂变材料（通常是钚-239）是由“可增殖材料”（通常是铀-238）产生的。令人惊讶的是，这种转化率相当高：压水堆的转化率为0.6，重水堆的转化率为0.8 [2]。

因此，中国所取得的成果远低于常规反应堆的日常表现。唯一的新颖之处在于，这次增殖使用的是钍，而非铀。

这是否无用？并非如此。原则上，将转化率从0.1提高到超过1.0应该是可行的。但是，既然将重水堆的转化率从0.8提高到超过1.0应该更容易，为什么人们还没有这么做呢？因为进行所有相关研究所需的投资相当巨大，而从中获得的收益却充满不确定性，总的来说，风险调整后的投资回报并不值得。如果你是一个国家，就可以忽略这一点。如果中国继续进行钍增殖研究，并最终研制出一种具有经济可行性的钍增殖反应堆，整个世界都将从中受益。但最好的情况是，这也要等到三十年后才能实现。

[1] https://www.world-nuclear-news.org/articles/chinese-msr-achieves-conversion-of-thorium-uranium-fuel [2] https://en.wikipedia.org/wiki/Breeder_reactor#Conversion_ratio

A monopoly ISP refuses to fix upstream infrastruct… #

https://news.ycombinator.com/item?id=46020670

The comment at the bottom of the article I believe is correct. I believe this because our neighborhood had the same problem. One day my neighbor, frustrated beyond his capacity, and seemingly very high on something, went outside and started ripping infrastructure out by hand and damaging everything else he could find with a hammer.

They came out and replaced a lot of the damaged equipment and did a few upgrades. After that the intermittent 2 minute drop problems disappeared.

themafia

我认为文章底下的评论是正确的。我之所以这么认为，是因为我们社区也遇到过同样的问题。有一天，我的一位邻居忍无可忍，而且看起来像是嗑药了，他跑到外面徒手拆毁基础设施，并用锤子砸坏了所有能找到的其他东西。

他们随后派人来更换了大量受损设备，并进行了一些升级。从那以后，那种持续两分钟的间歇性断网问题就再也没有出现过。

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022548

From reading both posts, there’s a few things that come to my mind:

It seems this is how the author is processing her father’s passing, and it’s not really up to us to make moral calls on the content of the posts. They are thoughts with gaps of missing context against a real life of highs and lows which is not readily condensed into a blog post.
I’m peering into the life of a private person, that feels like a violation. Even though they have passed, the people around them are very much alive.
We can’t makes guesses at what a person truly values, neither positively nor negatively. What can be seen as promiscuity can also be seen as seeking validation, human motives and emotions exist in the grey area.
This is a person who was deprived of the sort of genuine sexual and emotional attention that we take for granted from puberty age. They lived as a type of outsider in school, work, and their daily norms. The integrity of their actions shouldn’t be evaluated against our own values which were likely built from a different life experience.
It’s ok not knowing or judging. One has to practice a type of “radical acceptance” when reviewing these sorts of life matters.

quitit

通读了这两篇文章后，我脑海里浮现出几点想法：

这似乎是作者在处理父亲去世这件事的方式，我们实在不该对帖子的内容做道德评判。这些想法本身就缺乏背景信息，它们是交织着人生起落的真实写照，很难被简单地浓缩在一篇博文中。
我正窥探着一个私人的生活，这感觉像是一种侵犯。即便当事人已经离世，他们身边的人依然在世。
我们无法揣测一个人真正看重的是什么，无论这揣测是好的还是坏的。所谓滥交，或许也可以看作是寻求认同感，人类的动机和情感本身就存在于灰色地带。
这个人从青春期开始，就被剥夺了我们习以为常的、真诚的性与情感关注。在学校、工作以及日常规范中，他/她都像个局外人。我们不该用自己（很可能源于截然不同的人生经历）的价值观去评判其行为的对错。
不去了解、不去评判，这没什么关系。在审视这类人生议题时，人需要练习一种“彻底的接纳”。

$1900 Bug Bounty to Fix the Lenovo Legion Pro 7 16… #

https://news.ycombinator.com/item?id=46017415

I wish there was an actual thriving business model like this – just fixing most annoying bugs, for a price, of commonly used desktop software. Why proprietary software companies cannot or do not want to provide this service is over me. Perhaps I’m too much used to consulting.

AshamedCaptain

我真希望能有这么一个真正成功的商业模式——为常用的桌面软件修复那些最烦人的漏洞，并且为此收费。专有软件公司为什么不能或是不愿意提供这项服务，我完全搞不懂。也许是我太习惯于咨询服务了。

Agent design is still hard #

https://news.ycombinator.com/item?id=46014987

I’ve started a company in this space about 2 years ago. We are doing fine. What we’ve learned so far is that a lot of these techniques are simply optimisations to tackle some deficiency in LLMs that is a problem “today”. These are not going to be problems tomorrow because the technology will shift. As it happened many time in the span of the last 2 years.

So yah, cool, caching all of that… but give it a couple of months and a better technique will come out - or more capable models.

Many years ago when disc encryption on AWS was not an option, my team and I had to spend 3 months to come up with a way to encrypt the discs and do so well because at the time there was no standard way. It was very difficult as that required pushing encrypted images (as far as I remember). Soon after we started, AWS introduced standard disc encryption that you can turn on by clicking a button. We wasted 3 months for nothing. We should have waited!

What I’ve learned from this is that often times it is better to do absolutely nothing.

pdp

大约两年前，我在这个领域创办了一家公司。我们发展得不错。到目前为止，我们所学到的是，这些技术中的很多都只是用来解决LLM（大型语言模型）在“当下”存在的一些缺陷的优化手段。这些问题明天就不复存在了，因为技术会不断演进。在过去的两年里，这种情况已经发生过很多次。

所以啊，把所有这些缓存起来确实很酷……但给它几个月时间，就会出现更好的技术——或者说，能力更强的模型。

很多年前，当AWS还不提供磁盘加密选项时，我和我的团队花了三个月时间才研究出一种加密磁盘的方法，而且做得很好，因为当时没有标准的方法。我记得那非常困难，需要推送加密镜像。就在我们开始工作不久后，AWS就推出了标准磁盘加密功能，你只需点击一个按钮就能开启。我们白白浪费了三个月。我们本应该再等等！

我从这件事中学到的是，很多时候，什么都不做反而是最好的选择。

Childhood Friends, Not Moms, Shape Attachment Styl… #

https://news.ycombinator.com/item?id=46010739

No, one study doesn’t upend the last few decades of understanding of emotional attachment.

The study simply says that ability to connect w friends is more predictive than observations they made of apparent attachment of parents.

This happens much later so of course it’s more predictive of the actual end effects - that’s when attachment styles actually show up for the first time. Kids grow up to be very adaptive toward their parents but when they get to the rest of society that’s when the failures of connection and the failed bids for attention show up.

A very resilient kid will do fine with friends even with a very bad attachment environment. A very sensitive kid or one with developmental problems will struggle in social environments.

taurath

不，一项研究并不能颠覆过去几十年来对情感依附的理解。

这项研究只是指出，与朋友建立联系的能力，比他们观察到的父母表面上的依附模式，更具预测性。

这种情况出现得晚得多，因此它当然更能预测最终的实际效果——因为依附风格正是在那时才真正首次显现。孩子们在成长过程中会非常适应自己的父母，但当他们进入社会时，连接的失败和寻求关注的失败尝试才会暴露出来。

一个非常有韧性的孩子，即使在非常糟糕的依附环境中，也能和朋友相处得很好。而一个非常敏感或有发育问题的孩子，则在社交环境中会感到挣扎。

NTSB report: Decryption of images from the Titan s… #

https://news.ycombinator.com/item?id=46020427

There’s a fascinating and redacted interview with an “anonymous” subject about the disaster. To say the least it’s an unsuccessful attempt to hide the identity of the individual:

“Q. So how did you get yourself started into submersible operations?

A. Well, I’m sure you’re familiar with my film Titanic. When I set down the path to make that film, the first thing that I did was arrange to be introduced to the head of the submersible program at the P.P. Shirshov Institute in Moscow, a guy named…”

https://media.defense.gov/2025/Sep/17/2003800984/-1/-1/0/CG-115_INTERVIEW-DEEP-SEA-EXPLORER_REDACTED.PDF

pseudolus

有一段经过编辑的、对一位“匿名”人士关于灾难的采访，十分引人入胜。至少可以这么说，这番话在隐藏当事人身份方面做得并不成功：

“问：那么您是如何开始从事潜水器操作这一行的？答：嗯，我想您一定对我的电影《泰坦尼克号》很熟悉。当我决定拍摄这部电影时，我做的第一件事，就是安排与莫斯科P.P. Shirshov研究所潜水器项目的负责人会面，他的名字叫……”

The realities of being a pop star #

https://news.ycombinator.com/item?id=46019015

I thought this was a really good piece of writing. It’s rare to do something like this because the job discourages it by putting PR filters on everything you say.

My uncle was a pretty big pop star in the 1960s. His group at one point had a big fanzine, they were household names across the country, over time they had stalkers and weird fans and all that, made movies and albums, had big parties and knew other famous people, pretty much all those things that the OP writes about (circa 50 years later, some of it has changed but not that much).

He could be charismatic and surprisingly eloquent and I could picture him writing a piece like this, if the mood had struck.

He also lost pretty much all the money through mismanagement (several times over), eventually moved out of LA, had a tumultuous family life with numerous spouses and wasn’t around much for his kids, and after his 40s was trapped in a sad cycle of reunion tours because the band still needed the money. The tours still had some level of excitement and crowd enthusiasm, even pretty late in life and I guess he always loved the stage, the performing, all that. But in the end, I kinda felt it seemed like a lonely existence. Hard to form really deep connections when you’re always traveling and often away in your head.

decasia

我觉得这篇文章写得非常好。能做到这样实属难得，因为工作性质会给你的一切言论都加上公关滤镜。

我叔叔在1960年代是个相当大的流行乐明星。他们的乐队曾一度拥有一本非常重要的粉丝杂志，是全国家喻户晓的名字。随着时间的推移，他们遇到了跟踪者、奇怪的粉丝，经历了所有那些事情，还拍了电影、出了专辑，举办过盛大的派对，也认识其他名人，基本上OP（楼主）写的所有这些事，他都经历过（当然，那是大约50年后的事了，有些东西变了，但没变太多）。

他可能很有魅力，而且出人地善于言辞。我能想象，如果他有那个心情，是能写出这样一篇文章的。

他也因为管理不善（不止一次地）赔光了几乎所有钱，最终搬出了洛杉矶，动荡的家庭生活让他有过好几段婚姻，也没怎么陪伴过孩子。四十多岁的时候，他就陷入了一种可悲的巡回演唱会循环，因为乐队还需要钱。即使在晚年，那些演唱会依然保有某种程度的兴奋感和观众的热情，我猜他始终是热爱舞台、热爱表演这一切的。但归根结底，我总觉得那是一种孤独的存在。当你总是在旅行，而且常常心不在焉的时候，就很难与人建立真正深厚的联系。

After my dad died, we found the love letters #

https://news.ycombinator.com/item?id=46022847

I’m a dad too, and I’m in a somewhat similar situation. My son is under five, and it feels like I’m still at the very beginning of his story. I’ve known I was gay since high school, probably even earlier, but I kept choosing whatever seemed like the easiest path. It felt easier to stay closeted. Easier to date a woman. Easier to move in together, propose, get married, and even have a child than to face my truth.

I love my wife and my son, and I feel loved by them in return, but I’m also painfully aware that the version of me they love is someone I constructed. I lie constantly: about why I don’t want sex, about my affairs, about my feelings, about my motivations. No one really knows me, and I don’t get to be myself, not even in the relationships where I should feel safest.

I’ve read The Courage to Be Disliked by Ichiro Kishimi and other similar books, and I’m trying to build the courage to finally do something about all of this. It’s incredibly difficult. But I refuse to use my son as an excuse to keep postponing coming out. This blog has pushed me even further in that direction.

They’ll be angry (well at least my wife). Their lives will be upended. But at least they’ll have the chance to ask questions, to understand. They’ll see me taking responsibility for the consequences of my choices, and maybe just maybe, in some way, that clarity will be a relief for all of us.

throwaway142351

我也是一位父亲，处境与你描述的颇为相似。儿子还不到五岁，感觉他的故事才刚刚开篇。自高中起——也许更早——我就知道自己喜欢男人，可我一直挑那条看似最省力的路：继续躲在柜子里、和女生约会、同居、求婚、结婚，甚至生个孩子，都比直面真相来得“容易”。

我爱我的妻子，也爱我的儿子，也能感受到他们的爱。但我也痛苦地意识到，他们爱的那个“我”，是我精心拼装的假面。我不断撒谎：为什么我不想做爱、我有没有外遇、我的真实感受、我的动机……没有人真正认识我，连在最该安全的关系里，我也做不了自己。

我读过岸见一郎的《被讨厌的勇气》以及其他类似的书，正努力积攒勇气，想为这一切做点什么。这过程极其艰难，但我绝不愿再把儿子当成借口，继续拖延出柜。这篇博文又把我往那个方向推了一把。

他们会生气（至少我妻子会），他们的生活会被搅得天翻地覆。可至少，他们将有机会提问、有机会理解。他们会看到我为自己的选择承担后果。也许——只是也许——这份坦诚，会在某种程度上，成为我们所有人的一种解脱。

A monopoly ISP refuses to fix upstream infrastruct… #

https://news.ycombinator.com/item?id=46020375

I had a similar problem with a different ISP, Optimum, in Northern NJ. It wasn’t as regular as the author’s problem – my cable modem would desync intermittently throughout the day despite the signal strength numbers being in spec.

I replaced everything downstream of the drop from the street, all new wiring inside, a new modem/router/etc. All signs pointed to the problem being outside the house. I went so far as to connect an oscilloscope to the coax line to look for patterns. I discovered that if I physically manipulated a particular section of the line from the pole, a huge interference pattern appeared and the modem’s connection dropped. Eventually I could reproduce the connection loss fairly easily.

Convincing the ISP to actually do anything about it was much harder. Despite first-hand evidence that the coax from the pole needed to be replaced, their tech support insisted that someone had to come into the house to inspect the interior wiring. No amount of insistence on my part would convince them that it was not necessary. The building was a vacation home, and this was during peak COVID time, so there was basically no chance of that happening. The appointment came with threats of service charges if they sent a tech and could not enter the building or reproduce the problem, so I cancelled it.

Coincidentally, I happened to discover that the mayor of the town had started a hotline specifically for reporting home Internet problems in the town. So I sent in a message to that service, not really expecting anything to come of it. But shortly after I get a phone call from some higher-up department of the ISP. They had a truck out within a few days to replace the drop – with no one home – and the connection was rock solid ever since.

This experience taught me that ISPs often have distinct support channels that governmental departments use to contact them. I think they called it the “executive support team” or something along those lines. Basically, if you can get a message in that way, it’s possible to circumvent the useless consumer-level support. Long story short, I think escalating this through the local or state level government may be the author’s best shot at getting this resolved.

tfvlrue

我在新泽西州北部的另一家网络服务提供商Optimum也遇到过类似的问题。问题没有作者描述的那么规律——尽管信号强度数值在正常范围内，我的电缆调制解调器还是会整天间歇性地同步失败。

我更换了从街上引入点到室内的所有设备，包括全新的室内布线，以及新的调制解调器/路由器等。所有迹象都表明问题出在房子外面。我甚至将示波器连接到同轴电缆上以寻找规律。我发现，如果我物理上触碰电线杆上的某一段电缆，就会出现巨大的干扰模式，调制解调器的连接也会中断。最终，我相当轻易地就能复现连接中断的情况。

但要说服ISP采取实际行动就困难多了。尽管我有第一手证据表明电线杆上的同轴电缆需要更换，但他们的技术支持仍坚持必须派技术人员进屋检查内部线路。我无论怎么坚持，都无法让他们相信这是不必要的。那栋房子是度假屋，而且正值新冠疫情高峰期，所以基本上不可能让他们进门。他们还威胁说，如果派了技术人员却无法进入房屋或复现问题，就会收取服务费，于是我取消了预约。

巧合的是，我发现市长刚好开通了一个专门用于汇报家庭网络问题的热线。于是我就把情况发给了那个服务，并没有真的指望会有什么结果。但没过多久，我就接到了ISP某个更高层级部门的电话。几天内他们就派了辆车来更换了引入线——当时家里没人——从那以后，连接就变得极其稳定了。

这段经历让我明白，ISP通常有为政府部门专门设置的沟通渠道。我记得他们称之为“高管支持团队”之类的。基本上，如果你能通过这种方式把问题传达上去，就有可能绕过毫无用处的普通客服支持。长话短说，我认为作者最好的解决途径是通过当地或州一级的政府部门来升级处理这个问题。

WorldGen – Text to Immersive 3D Worlds #

https://news.ycombinator.com/item?id=46018560

It’s a fun demo but they never go into buildings, the buildings all have similar size, the towns have similar layouts, there’s numerous visual inconsistencies, and the towns don’t really make sense. It generates stylistically similar boxes, puts them on a grid, and lets you wander the spaces between?

I know progress happens in incremental steps, but this seems like quite the baby step from other world gen demos unless I’m missing something.

schmichael

这是个有趣的演示，但角色从不进入建筑，所有建筑的大小都差不多，城镇的布局也很相似，存在大量视觉上的不一致，而且城镇的设定也毫无道理可言。它只是在生成风格类似的方块，然后把它们摆放在网格上，再让你在这些方块之间的空间里闲逛？

我知道技术进步是逐步实现的，但与其他的世界生成演示相比，这看起来像是一步非常微小的进展，除非我遗漏了什么关键点。

Meta buried ‘causal’ evidence of social media harm… #

https://news.ycombinator.com/item?id=46021049

At this point, I think all of the big tech companies have had some accusations of them acting unethically, but usually, the accusations are around them acting anticompetitively or issues around privacy.

Meta (and social media more broadly) are the only case where we have (in my opinion) substantiated allegations of a company being aware of a large, negative impact on society (mental wellness, of teens no less), and still prioritizing growth and profit. The mix is usually: grow at all costs mindset, being “data-driven”, optimizing for engagement/addiction, and monetizing via ads. The center of gravity of this has all been Meta (and social media), but that thinking has permeated lots of other tech as well.

Ozzie_osman

我认为，目前所有大型科技公司都曾有过一些不道德行为的指控，但通常这些指控都集中在反垄断或隐私问题上。

Meta（以及更广泛的社交媒体）是唯一一个（在我看来）有确凿证据表明，公司明知会对社会（尤其是青少年的精神健康）造成巨大负面影响，却仍将增长和利润置于首位的案例。其核心模式通常是：不惜一切代价的增长思维、“数据驱动”、以用户粘性/成瘾为目标进行优化，并通过广告变现。这一切的中心一直是Meta（和社交媒体），但这种思维方式也已经渗透到许多其他科技领域。

We Induced Smells With Ultrasound #

https://news.ycombinator.com/item?id=46019416

Finally some progress towards smellovision.

jayd16

终于，在嗅觉电视方面取得了一些进展。

Arduino Terms of Service and Privacy Policy update… #

https://news.ycombinator.com/item?id=46011661

“We are Arduino. We are open. We’re not going anywhere.”

– statement from Qualcomm without a single human being’s name on it

12_throw_away

我们是Arduino。我们是开放的。我们不会离开。

——高通（Qualcomm）发布的声明，且未署任何个人姓名

‘The French people want to save us’: help pours in… #

https://news.ycombinator.com/item?id=46017023

As the article said Duralex was the brand use by a large number of school cantinas in France. Inside of each glass there’s a small number used by the brand to identify the mold used for the creation of the glass. For kids that was a way to decide who is going to fetch the water for the table (smaller number or higher number of the table). That’s why the CE is holding his glass like that in the guardian article. Beside the nostalgia i think a lot of people support them because it’s a SCOP (the majority of the capital of the company is owned by the employees) [1] and it’s nice to see that another kind of company is possible.

[1] https://fr.wikipedia.org/wiki/Soci%C3%A9t%C3%A9_coop%C3%A9rative_et_participative

Broussebar

正如文章所说，Dur曾是法国众多学校食堂使用的品牌。每个玻璃杯内部都带有一个小小的数字，这是品牌用来标识制造该玻璃所用的模具的。对于孩子们来说，这个数字成了决定谁来为桌子打水的方法（数字较小或数字较大的一方）。这就是为什么在《卫报》的文章中，CE会那样拿着他的玻璃杯。除了怀旧之情，我认为很多人支持这家公司，因为它是一家SCOP（公司的大部分资本由员工所有）[1]，能看到另一种形式的公司存在，这真是一件好事。

[1] https://fr.wikipedia.org/wiki/Soci%C3%A9t%C3%A9_coop%C3%A9rative_et_participative

Ubuntu LTS releases to 15 years with Legacy add-on #

https://news.ycombinator.com/item?id=46023721

I don’t agree, and this feels like something written by someone who has never managed actual systems running actual business operations.

Operating systems in particular need to manage the hardware, manage memory, manage security, and otherwise absolutely need to shut up and stay out of the fucking way. Established software changes SLOWLY. It doesn’t need to reinvent itself with a brand new dichotomy every 3 years.

Nobody builds a server because they want to run the latest version of Python. They built it to run the software they bought 10 years ago for $5m and for which they’re paying annual support contracts of $50k. They run what the support contracts require them to run, and they don’t want to waste time with an OS upgrade because the cost of the downtime is too high and none of the software they use is going to utilize any of the newly available features. All it does is introduce a new way for the system to fail in ways you’re not yet familiar with. It adds ZERO value because all we actually want and need is the same shit but with security patches.

Genuinely I want HN to understand that not everyone is running a 25 person startup running a microservice they hope to scale to Twitter proportions. Very few people in IT are working in the tech industry. Most IT departments are understaffed and underfunded. If we can save three weeks of time over 10 years by not having to rebuild an entire system every 3 years, it’s very much worth it.

da_chicken

我不同意，这感觉像是一个从未管理过运行实际业务系统的真实系统的人写的东西。

操作系统需要管理硬件、管理内存、管理安全，除此之外，就必须闭嘴，别他妈挡道。成熟的软件更新得很慢。它不需要每三年就用一个全新的二元对立来重塑自己。

没人会去搭建服务器，只是为了运行最新版本的Python。他们搭建服务器是为了运行他们十年前花五百万美元买来的软件，并且每年还要支付五万美元的年度支持合同。他们会运行支持合同要求他们运行的版本，他们不想浪费时间升级操作系统，因为停机的成本太高，而且他们使用的任何软件都不会利用任何新功能。升级只会引入一种你尚不熟悉的系统故障方式。它增加的价值为零，因为我们真正想要和需要的，只是打了安全补丁的相同玩意儿。

说真的，我希望HN（Hacker News）能明白，不是每个人都在运营着一个25人的初创公司，运行着一个希望能扩展到推特规模的微服务。IT行业里从事科技工作的人很少。大多数IT部门人手不足，资金也不充裕。如果我们能通过不必每三年就重建整个系统，从而在十年内节省三周的时间，那这笔交易就非常划算了。

ADHD and monotropism (2023) #

https://news.ycombinator.com/item?id=46014541

I was diagnosed with ADD as a kid (before it was ADHD). People always describe the disorder as “lack of focus” but that’s a really poor description for what I have.

I would say I have “hyper focus”, to the point where if I’m working on something interesting, I will lose track of time and am unable to redirect my attention to anything else.

This makes me incredibly “spacey” as often my mind is still fixated on the task even long after I’ve stopped working on it. It also makes it very hard for me to accomplish any task I don’t think are interesting…

And often a new idea will strike me like an epiphany that immediately takes the top spot of my attention.

The result is I have hundreds of half finished projects in flight across countless areas of interest.

cjonas

我小时候被诊断出患有ADD（在当时还没有ADHD这个说法）。人们总是把这种障碍描述为“注意力不集中”，但这对于我所经历的情况来说，是一个非常糟糕的描述。

我会说我有“过度专注”的特质，其程度是，如果我正在处理一件有趣的事情，我会完全忘记时间，并且无法将注意力转移到任何其他事情上。

这让我显得非常“心不在焉”，因为即使在我停止工作很久之后，我的思绪依然会停留在那件事上。这也让我很难完成任何我认为不感兴趣的任务……而且，一个新想法常常会像顿悟一样击中我，并立刻占据我注意力的首位。

结果是，我在无数的领域里有数百个正在进行但尚未完成的项目。

2025 11 23 HackerNews

2025-11-23 08:14:10

2025-11-23 Hacker News Top Stories #

Igalia 与 Valve 合作为 Steam 设备提供关键技术支持（FEX x86→ARM64 翻译、Adreno Turnip Vulkan 驱动、Vulkan/NIR 优化与自动化 CI），提升 Linux 游戏兼容性与能效。

个人博客正在复兴，但作者主张更需要高质量的专业领域博客以重建可信且可持续的网络内容生态。

Armin Ronacher 总结构建智能体的实践经验：优先用原生 SDK、显式缓存与任务循环、子智能体与共享类文件系统以应对复杂性。

一册保存良好的 1939 年首期《超人》漫画以 912 万美元成交，创下漫画拍卖纪录并承载家庭记忆。

新墨西哥州成为首个为所有家庭提供自婴儿六周起免费托育的州，虽可节省家庭开支但面临供给、人员与质量挑战。

加州 DMV 批准扩大 Waymo 无人驾驶无司机测试与部署范围，允许全天候、多车型在多县市运行。

实时 LAPD 直升机追踪显示高昂运营成本与大量低优先级飞行，引发对纳税资金使用、污染与执法方式的质疑。

EFF 分析显示执法机构大量利用 Flock 的 ALPR 网络搜寻与监控抗议者，暴露隐私与集会自由风险及透明度不足。

TUXEDO 宣布终止基于高通 Snapdragon X Elite 的 ARM 笔记本开发，原因是 Linux 支持与硬件控制不足，未来或关注 X2E。

作者用余弦函数与离散傅里叶思想将 Fizz Buzz 的整除判断表示为封闭的三角函数表达，作为趣味性数学化尝试。

Igalia 助力 Valve，为全新 Steam 设备提供关键技术支撑 (Helping Valve to power up Steam devices) #

https://www.igalia.com/2025/11/helpingvalve.html

Igalia 与 Valve 合作，为新推出的 Steam 设备提供关键技术支持，包括 Steam Frame、Steam Machine 和 Steam Controller。其中，Steam Frame 采用 ARM 架构 CPU，为解决 x86 游戏兼容性问题，Igalia 参与开发并优化了 FEX 翻译层，实现 x86 代码向 ARM64 的高效转换。工程师 Paulo Matos 表示，这项工作虽需大量手动测试，但对游戏爱好者而言是“梦想成真”。

在图形驱动方面，Igalia 为 Qualcomm Adreno 750 GPU 开发了 Mesa3D Turnip 开源 Vulkan 驱动，解决了关键渲染问题，实现了对 Adreno 700 系列 GPU 的支持，并引入 LRZ 优化和自动调优功能。该驱动在正确性和性能上均超越了专有驱动，且通过了超过 280 万项的 Vulkan 一致性测试（CTS）。

团队还推动了多项 Vulkan 扩展的实现与规范完善，助力 DirectX 到 Vulkan 的高效翻译，提升跨平台兼容性。工程师 Dhruv Mark Collins 指出，开源社区的广泛使用帮助发现了多个隐藏缺陷，体现了开源模式的协同优势。

在编译器层面，Job Noorman 等工程师优化了 Mesa3D 的 NIR 着色器编译器，提升图形处理效率。Igalia 的工作不仅服务于 Steam Frame，也惠及多年来的 Snapdragon 硬件平台，确保长期兼容性。

为防止回归问题，团队建立了自动化 CI 测试流程，自动运行多种 API（D3D11/9/8、Vulkan、OpenGL）的游戏单帧捕捉，保障稳定性。未来，Igalia 将继续优化任务调度，提升 Steam Frame 在低功耗下的性能表现，推动 Linux 游戏生态整体发展。

HN 热度 796 points | 评论 286 comments | 作者：TingPing | 1 day ago #

https://news.ycombinator.com/item?id=46006616

Valve 推动开源项目，为 Qualcomm Adreno GPU 开发了 Mesa3D Turnip Vulkan 驱动，展现了其在技术上的贡献。
Valve 虽非硬件或操作系统厂商，但通过开放源代码赢得用户好感，将良好声誉转化为商业优势。
尽管 Valve 存在 loot crates 等争议机制，但相比 EA 等公司，其整体行为仍显得相对良善。
loot crates 和集换式卡牌游戏在本质上属于赌博性质，不应被简单归为“理智消费者不购买”的范畴。
个体需具备自我控制力，但现代商业环境通过心理学和设计手段系统性地挑战人的自制力。
企业利用价格策略、产品布局等手段诱导消费，如 9.99 元定价、超市收银台糖果摆放等，构成对消费者的隐性操控。
从赌场到电子游戏，整个社会存在大量“心智黑客”行为，持续影响人们做出非理性决策。
应对这类问题需双管齐下：一方面加强监管，要求透明化商品内容；另一方面提升个人心理韧性。
自我控制虽重要，但面对系统性诱导，仅靠个人意志难以长期有效，需社会机制提供保护。
与其依赖个人自制力，不如建立安全环境，如通过法规限制高风险消费模式，保障弱势群体。
个人可通过运动、攀岩等挑战性活动增强心理韧性，从而抵抗外部诱惑。
对从事诱导性商业模式的从业者应施加道德压力，推动行业向更负责任的方向发展。

个人博客回归，专业领域博客是否该紧随其后？ (Personal blogs are back, should niche blogs be next?) #

https://disassociated.com/personal-blogs-back-niche-blogs-next/

文章探讨了个人博客与专业领域博客（ niche blogs）在当代网络环境中的角色与复兴可能性。

作者指出，尽管社交媒体和网红经济已取代传统博客成为主流，但个人博客正因对社交媒体的反动以及 IndieWeb/SmallWeb 运动的兴起而迎来复兴。这种复兴以非商业性、个人表达为核心，强调独立写作与真实连接。

与此同时，作者认为，仅靠个人博客的复兴尚不足以重建健康的网络生态。真正需要恢复的是高质量、专注特定主题的“专业领域博客”——这类博客曾是互联网黄金时代的重要组成部分，提供可靠、深入的信息，但如今正逐渐消失。

作者呼吁，应推动专业领域博客的回归，但反对过去那种充斥广告、弹窗、过度商业化的模式。理想的博客应由独立作者创作，基于真实兴趣，内容可信，并能以合理方式获得收益，同时不损害读者体验。

最后，作者强调，个人博客的复兴是第一步，下一步应是重建一个可信赖、信息丰富、多样化的网络环境，让优质内容重新成为网络的基石。

HN 热度 581 points | 评论 349 comments | 作者：gnabgib | 1 day ago #

https://news.ycombinator.com/item?id=46009894

个人博客是极佳的学习工具，通过写作能深化对知识的理解，尤其在教学相长的过程中受益匪浅。
即使没有读者，博客也能在求职中提供显著优势，能体现候选人的编码能力和沟通能力，是简历筛选中的加分项。
频繁写作的博客能成为未来自我回顾的宝贵资源，通过标签系统可追踪个人知识体系的发展轨迹。
博客有助于建立专业信誉，当他人询问某个话题时，可提供过往文章作为参考，增强可信度。
搭建博客本身是一项富有乐趣的开发项目，适合作为新手入门的实践，且可长期维护和迭代。
博客的价值不在于读者数量，而在于读者的质量，哪怕只有一个人因文章获得启发，也具有深远意义。
有招聘经验的人表示，个人网站和项目展示是进入面试环节的重要信号，能体现候选人的主动性与热情。
在部分公司，尤其是大企业，面试官往往忽视候选人的个人网站，仅关注标准化测试或简历模板。
个人博客能带来真实的职业机会，如受邀参加行业活动、获得工作机会，甚至促成创业项目。
一些人担忧博客被功利化，变成只为求职而写，失去了真实表达的初衷，导致内容同质化。
通过博客内容的深度、细节和更新频率，可以判断作者是否真正热爱某个领域，而非单纯为简历加分。
GitHub 上的项目刷量、Hacktoberfest 刷贡献等现象也反映了简历包装的泛滥，博客领域可能面临类似问题。
个人博客的真诚性比形式更重要，即使使用 AI 辅助写作，只要内容体现真实思考和热情，仍具价值。
在小团队或初创公司中，面试官更可能关注候选人的博客内容，甚至以此作为深入交流的话题。
招聘中若能主动提及博客内容，并与岗位需求建立联系，能有效提升面试表现，展现匹配度。

Agent 设计依然困难 (Agent design is still hard) #

https://lucumr.pocoo.org/2025/11/21/agents-are-hard/

本文是 Armin Ronacher 关于构建智能体（Agent）的最新思考与经验总结，发布于 2025 年 11 月 21 日。文章指出，尽管智能体技术不断发展，但实际构建过程依然复杂且充满挑战。

在工具链选择上，作者曾尝试使用 Vercel AI SDK 等高级抽象，但最终发现这些抽象在面对真实工具调用时存在局限。不同模型之间的差异显著，导致难以建立统一的抽象层。因此，作者认为目前更推荐直接使用 OpenAI 或 Anthropic 等平台的原生 SDK，以保持对流程的完全控制，尤其是在处理 Provider 端工具时，Vercel SDK 存在消息历史破坏等问题。

关于缓存管理，作者强调 Anthropic 平台要求显式管理缓存，虽然初期觉得繁琐，但实际使用后发现这种设计带来了更高的成本可控性和灵活性。通过在系统提示、对话开头等关键节点设置缓存点，并动态注入如当前时间等信息，可以有效避免缓存失效。这种手动控制使得并行推理、上下文编辑等高级操作成为可能。

在智能体循环中，强化（Reinforcement）机制扮演了重要角色。每次工具调用后，不仅可以返回结果，还能注入目标提醒、任务状态、失败原因分析等信息，帮助智能体自我调整。例如，Claude Code 中的“todo write”工具本质上是一个回显工具，但通过重复任务列表，有效推动了任务进展。

为应对频繁失败，作者提出两种策略：一是使用子智能体独立执行可能迭代的任务，仅汇报成功结果与失败尝试摘要；二是利用 Anthropic 支持的上下文编辑功能，剔除无效失败记录以节省上下文空间。但需注意，上下文编辑会强制失效缓存，需权衡其成本与收益。

最后，作者强调，共享状态通过类似文件系统的机制进行管理，是构建复杂智能体的重要基础。当前大多数智能体依赖代码执行与生成，因此需要一个统一的数据存储层，而文件系统是目前最可靠的选择。

HN 热度 332 points | 评论 190 comments | 作者：the_mitsuhiko | 13 hours ago #

https://news.ycombinator.com/item?id=46013935

在 AI 代理领域投入资源需谨慎，许多当前的技术方案只是应对当前 LLM 缺陷的临时优化，未来技术迭代可能导致这些方案迅速过时。
当前 AI 领域的技术模式更新极快，一个看似成熟的“最佳实践”可能在几周或几个月内就被淘汰，因此不必急于跟风。
与其盲目追赶热点，不如等待技术成熟后再跟进，因为届时大多数从业者也才刚掌握新方法，追赶成本并不高。
有些技术问题看似需要自研解决方案，但若其核心价值不直接关联产品核心竞争力，可能反而成为负担，应评估其必要性。
自主开发工具虽耗时，但能带来更深入的理解和更强的掌控力，而依赖现成框架可能限制创新能力。
早期的软件设计模式（如面向对象）在现代函数式编程和不可变数据结构背景下已显过时，AI 领域的模式同样可能快速失效。
当前 LLM 在推理、结构化输出和动态工具调用方面已内置强大能力，许多过去需要复杂框架（如 LangChain）解决的问题已不再必要。
上下文窗口的显著扩展（从 4K 到 256K）极大简化了文档处理流程，使得文本分割、向量搜索等传统 RAG 技术的重要性下降。
多模态模型的发展使 PDF 等文档的文本提取不再依赖复杂预处理，直接输入图像即可获得高质量结果。
当前 AI 技术的快速演进可能导致“等待”成为合理策略，但需警惕陷入“等 AGI”的拖延陷阱，避免完全脱离技术进程。

1939 年首期《超人》漫画以 912 万美元成交，成为史上最贵漫画书 (Original Superman comic becomes the highest-priced comic book ever sold) #

https://www.bbc.com/news/articles/c8e9rp0knj6o

三兄弟在清理已故母亲位于加州阁楼的旧物时，意外发现了一本 1939 年 6 月出版的《超人》第一期漫画，保存状况极佳。这本漫画在拍卖中以 912 万美元（约合 700 万英镑）成交，成为有史以来最贵的漫画书。拍卖由德克萨斯州的赫里蒂奇拍卖行（Heritage Auctions）主办，该漫画经第三方评级机构 CGC 评为 9.0 分（满分 10 分），创下新纪录。此前最贵的漫画是 2023 年以 600 万美元成交的《动作漫画》第 1 期。

兄弟们表示，母亲生前曾提及拥有珍贵漫画收藏，但从未展示。这些漫画自大萧条时期至二战初期由母亲与兄长购得，因加州北部凉爽干燥的气候得以完好保存。拍卖行副总裁朗·艾伦表示，若在德克萨斯州的炎热气候下，这些纸张早已损毁。

拍卖行称，这不仅是一次收藏界的里程碑，更是一段关于家庭记忆与意外重逢的故事。最小的兄弟在声明中表示，这本漫画承载的不仅是纸张与墨水，更是亲情与过往的回响。

HN 热度 308 points | 评论 203 comments | 作者：1659447091 | 19 hours ago #

https://news.ycombinator.com/item?id=46012328

使用 em dash 等标点符号是个人写作习惯，不应因 AI 生成内容的泛滥而被污名化。
一些人因担心被误认为是 AI 生成内容而改变自己的写作风格，甚至放弃使用 em dash 等标点。
em dash 在正式和非正式写作中都有其合理用途，不应被视为“装腔作势”或“炫耀”。
写作工具本身无错，问题在于使用它的人是否真诚表达思想，而非标点符号本身。
用线性模型判断 AI 生成内容是无效的，因为 AI 输出是非线性的，无法通过简单规则识别。
AI 安全产业被批评为“骗局”，由缺乏技术理解的风投推动，实则无实际价值。
人们误将 AI 的“正确语法”归咎于人类作者，而实际上 AI 是模仿了人类的写作风格。
有些人刻意用 em dash 来彰显“知识分子”身份，这种行为令人反感，但不应因此否定标点的正当性。
个人写作应忠实于自己的思维节奏，使用 em dash 或分号等标点是表达语感的方式。
在社交媒体等非正式场景中，em dash 可能显得过于正式，但并不意味着它不适用或不正确。
有人因 AI 流行而重新学习如何输入 em dash，如在 Linux 系统中设置组合键，说明技术习惯在变化。
有人认为，与其因 AI 而改变写作习惯，不如坚持自我，不必迎合他人对“AI 味”的刻板印象。

新墨西哥州成为美国首个提供全民免费婴幼儿照护的州，从婴儿六周大起即可享受免费托育服务。 (In a U.S. First, New Mexico Opens Doors to Free Child Care for All) #

https://www.wsj.com/us-news/in-a-u-s-first-new-mexico-opens-doors-to-free-child-care-for-all-2dfdea96

新墨西哥州成为美国首个提供全民免费婴幼儿照护的州，从婴儿六周大起即可享受免费托育服务。该政策由州政府通过石油天然气收入设立的基金支持，旨在为儿童提供更好的成长起点。据估计，该计划可使家庭每年平均节省约 1.6 万美元的托育开支。

目前，该州的托育服务面临供应不足和工作人员短缺的挑战。例如，圣达菲的 La Casita 幼儿园已达到满员状态，反映出需求远超现有资源。尽管政策雄心勃勃，但如何扩大服务覆盖面、确保服务质量，仍是亟待解决的问题。

HN 热度 291 points | 评论 412 comments | 作者：nairteashop | 8 hours ago #

https://news.ycombinator.com/item?id=46015763

美国在二战期间曾为在职母亲提供儿童保育服务，但理查德·尼克松否决了扩大该计划的法案，反映出社会对集体福利的忽视与个人主义倾向的加剧。
《经济学人》引用魁北克省的研究指出，普遍性儿童保育可能导致儿童攻击性、焦虑和多动症增加，社交与运动技能下降，但该研究仅基于单一地区，且与其他研究结论相矛盾。
魁北克的儿童保育扩张伴随着大量低质量的营利性和无执照保育机构的增加，这可能是导致儿童发展问题的主要原因，而非普遍性保育本身的问题。
挪威实行儿童保育权利制度，保育机构由专业人员管理，注重儿童社交、自理能力与户外活动，儿童发展良好，说明高质量的保育体系能有效支持儿童成长。
儿童保育的定义模糊，从一对一保姆到缺乏管理的课后俱乐部差异巨大，缺乏统一标准使得不同研究之间难以直接比较。
保育质量是决定儿童发展结果的关键因素，高师生比、教师专业资质和良好监管的保育项目能带来长期积极影响，尤其对低收入家庭儿童效果更显著。
母亲因经济压力不得不工作，是家庭收入无法维持的体现，而非保育本身的问题，真正根源在于社会经济结构的不平等。
《经济学人》的报道可能受其立场影响，将单一研究结果夸大为普遍结论，忽视了其他支持普惠保育的大量实证研究。

加州 DMV 批准 Waymo 无人驾驶运营地图范围扩大 (California DMV approves map increase in Waymo driverless operations) #

https://www.dmv.ca.gov/portal/vehicle-industry-services/autonomous-vehicles/autonomous-vehicle-testing-permit-holders/waymo-approved-areas-of-operation-for-driverless-testing-and-deployment/

该网页是加利福尼亚州机动车管理局（DMV）的官方网站页面，主要介绍自动驾驶车辆测试许可持有者在加州的运营授权信息，重点针对 Waymo 公司。

页面显示，Waymo 获准在加州多个城市和县开展无驾驶员测试与部署，涉及的车型包括 2021 及 2024 年的捷豹 I-Pace，以及 2022 和 2025 年的 Zeekr RT。

运营时间覆盖全天 24 小时，涵盖各种天气条件（如雨天、雾天等）和速度范围，具备全环境适应能力。

授权运营区域包括多个阿尔 ameda 县和 Contra Costa 县的城市，如奥克兰、伯克利、弗里蒙特、利佛摩、康科德、丹维尔等，以及洛杉矶县的多个城市，如洛杉矶、帕萨迪纳、圣费尔南多、圣克拉丽塔、阿古拉山、阿卡迪亚、阿兹萨、波莫纳、西科维纳等。

HN 热度 241 points | 评论 156 comments | 作者：NullHypothesist | 1 day ago #

https://news.ycombinator.com/item?id=46009994

Waymo 在深夜或交通高峰时段提供了稳定可靠的出行服务，相比传统网约车更少出现取消订单的情况，用户体验更佳。
在旧金山等大城市，尤其是在深夜或从机场出发时，Uber 和 Lyft 经常出现司机取消订单的问题，导致乘客长时间等待。
一些乘客在特定地点（如金门大桥北端）因司机迷路或无法到达而遭遇多次取消，凸显了传统网约车在复杂路线上的局限性。
机场等交通枢纽的网约车调度问题尤为严重，司机倾向于避开长途或低收益路线，导致乘客难以叫到车。
为解决此类问题，Uber 推出了“Uber Rank”系统，通过排队机制和预设目的地代码，让乘客能快速上车，类似传统出租车站，提升了效率。
该系统虽然有效，但其法律合规性存疑，因为本质上是重新实现了被法规限制的出租车站模式。
乘客普遍抱怨网约车司机在接到订单后不立即出发，而是选择“停车等待”或“假装到达”，以规避取消惩罚并获取更高收益。
与传统出租车相比，网约车要求车辆更新、更整洁，且有匿名评分机制，整体服务质量和车辆状况有所提升。
一些司机存在违规行为，如使用非授权账户接单，或在乘客醉酒状态下收取高额费用，存在安全隐患。
乘客为确保能顺利出行，常同时使用多个打车应用，或选择高端服务如 Uber Black，以减少取消风险。
早期 Uber 曾以“Uber Black”高端服务为主，车辆均为新车，服务体验接近传统豪华出租车，但随着市场竞争加剧，服务标准有所下降。

LAPD 警用直升机实时运营成本追踪 (LAPD helicopter tracker with real-time operating costs) #

https://lapdhelicoptertracker.com/

该网页是一个实时监控洛杉矶警察局（LAPD）警用直升机活动的工具，旨在揭示其飞行频率与高昂的运营成本。

当前共有 3 架直升机处于飞行状态，分别显示为 N221LA、N229LA 和 N267LA。每架直升机的位置、高度、速度、航向和最后更新时间均实时更新，数据来源包括 LA 控制器审计、LAPD fleet 数据库及 ADSB.lol API。

自页面加载以来，已过去 4 秒，累计支出 12 美元。根据 2023 年审计报告，LAPD 空中支援年度总成本高达 4660 万美元，相当于每小时 2916 美元。其中 61% 的飞行任务被认定为低优先级，且无明确犯罪关联。

该机队由 17 架直升机和 1 架固定翼飞机组成，每年飞行约 16,000 小时，每年造成约 7,427 吨二氧化碳当量排放，同时带来噪音污染，对周边社区产生负面影响。

网页呼吁公众关注公共资金使用效率，提醒“不要像 LAPD 一样浪费纳税人钱财”。项目支持可通过“买我杯咖啡”方式捐赠。数据每 30 秒更新一次，最新更新时间为上午 8:04:31。

HN 热度 227 points | 评论 273 comments | 作者：polalavik | 1 day ago #

https://news.ycombinator.com/item?id=46009591

洛杉矶频繁的高速追车事件是导致警方依赖直升机监控的主要原因，这种追车往往达到每小时 100 英里以上，且几乎每天发生。
与德国等国家相比，美国城市中直升机的频繁出现反映了执法文化中的过度军事化倾向，这种现象与社会对警察的高期待和零容忍政策有关。
高速追车本身对公共安全构成极大威胁，造成的伤亡远超所追捕的犯罪行为，因此应被严格限制或废除。
有观点指出，警察在执法中“不能输”的心态导致了不必要的升级，即使面对非暴力行为也倾向于采取极端手段。
一些人主张用无人机或现有监控系统替代直升机追捕，以减少人员伤亡，同时强调应优先采用非对抗性执法方式。
有案例显示，加拿大和德国等国家在处理类似劫持交通工具事件时采取了更为冷静、非暴力的策略，成功避免了冲突。
美国警察的军事化装备和展示行为更多是出于形象宣传，而非实际保护民众安全，且在关键时刻（如乌瓦尔德枪击案）未能有效应对。
乌瓦尔德事件中，大量武装警察在门外驻守却不敢进入，导致 19 名儿童和 2 名教师死亡，暴露出执法体系的严重缺陷。
警察高层在重大事件中的失职行为（如忘记对讲机）并未受到应有惩罚，甚至有人在事后被重新选举，反映出制度性问题。
高速追车的限制可能带来犯罪率上升的担忧，但也有观点认为，大多数人在清楚后果后不会选择逃逸，因此追车并非必要。
美国宽松的枪支法律使得未成年人也能合法购买枪支，这与频繁的枪击事件密切相关，是系统性问题的一部分。

执法机构如何利用 Flock 的 ALPR 网络监控抗议者与活动人士 (How Cops Are Using Flock’s ALPR Network to Surveil Protesters and Activists) #

https://www.eff.org/deeplinks/2025/11/how-cops-are-using-flock-safetys-alpr-network-surveil-protesters-and-activists

2025 年，美国多地爆发大规模抗议活动，包括“50501”抗议、“Hands Off”抗议以及两次“No Kings”运动，后者聚焦于反对政府过度管控、监控和企业权力。与此同时，执法机构利用 Flock Safety 的自动车牌识别（ALPR）网络对参与者进行大规模数字监控。

通过分析 Flock Safety 系统在 2024 年 12 月至 2025 年 10 月间的 1200 多万次搜索记录，电子前沿基金会（EFF）发现超过 50 个联邦、州和地方执法机构在与抗议活动相关的调查中使用了该系统。这些搜索涉及多个关键事件，包括反对驱逐行动的抗议、支持巴勒斯坦活动人士的集会，以及“No Kings”运动的两次大规模示威。

其中，俄克拉荷马州塔尔萨警察局是使用频率最高的机构之一，至少进行了 38 次与抗议相关的 ALPR 搜索，涵盖多个不同主题的集会。其他参与机构包括美国边境巡逻队、亚利桑那州奥罗谷警察局、田纳西州普特南县治安官办公室、伊利诺伊州利尔市警察局等。

在搜索理由字段中，许多执法机构仅填写“protest”或“no kings”等简短关键词，甚至未说明具体犯罪行为。例如，华盛顿州斯波坎县治安官办公室在 6 月 15 日以“no kings”为由，查询了 95 个摄像头网络，目标为工作车、巴士或厢式货车；德克萨斯州比尤特警察局则以“KINGS DAY PROTEST”为由，跨 1774 个网络搜索两辆车辆。

更令人担忧的是，一些搜索并非针对特定嫌疑人，而是广泛扫描特定时间段内所有符合条件的车辆。例如，亚利桑那州坦佩警察局在“ATL No Kings Protest”搜索中，未指定具体车牌，而是试图定位特定颜色（红色）的车辆。

此外，其他抗议活动也受到类似监控：内华达州卡森城治安官办公室在 2 月“50501”抗议中搜索了 178 个网络；佛罗里达州塞米诺尔县治安官办公室在五月一日游行中进行了五次“protest”搜索；阿拉巴马州霍姆伍德警察局在 7 月初的抗议中进行了四次“PROTEST CASE”和“PROTEST INV.”搜索，覆盖 1308 个网络。

这些数据揭示了一个日益严峻的问题：执法机构通过 Flock Safety 的全国性 ALPR 网络，对和平集会参与者实施无差别监控，而无需搜查令或合理怀疑。这种大规模监控不仅侵犯隐私，更可能对言论自由和集会自由构成威胁，尤其在缺乏透明度和问责机制的情况下。

HN 热度 208 points | 评论 81 comments | 作者：pseudalopex | 1 day ago #

https://news.ycombinator.com/item?id=46006521

警方利用 Flock 的 ALPR 网络监控抗议者和活动人士，存在滥用监控数据的风险，尤其是在涉及个人隐私如堕胎等敏感议题时。
一些地方的 ALPR 摄像头集中在家居建材商店停车场，可能与打击盗窃有关，但这些位置也便于执法部门收集大量车辆数据。
家居建材商店如 Home Depot 和 Lowe’s 因盗窃问题严重，安装摄像头和 AI 监控系统以防范犯罪，但这些系统也可能被用于非预期的监控目的。
有观点指出，这些摄像头的部署可能被用于追踪非法移民或日工等群体，尤其是在这些商店成为临时劳动力聚集地的情况下。
一些人质疑为何不选择 Target、Walmart 或 Costco 等大型零售店部署类似系统，认为这些商店的盗窃问题同样严重，但其安保措施更完善，且顾客流量大，可能不需要外部摄像头。
ALPR 数据共享机制可被配置为关闭，但许多执法部门仍选择开放共享，这可能导致跨州数据滥用，尤其在缺乏透明度和监管的情况下。
即使限制了数据共享范围，也无法从根本上解决监控滥用问题，因为一旦系统部署，执法机构总能找到新的使用方式。
有评论指出，对监控系统的依赖反映出社会对技术解决方案的过度信任，而忽视了更人性化、成本更高的安保方式，如雇佣安保人员。
一些人对监控系统缺乏透明度表示担忧，例如无法确认摄像头由谁运营、设备制造商是谁，导致公众难以监督和问责。

TUXEDO Computers 宣布终止基于高通骁龙 X Elite（X1E）SoC 的 ARM 笔记本开发项目 (Discontinuation of ARM Notebook with Snapdragon X Elite SoC) #

https://www.tuxedocomputers.com/en/Discontinuation-of-ARM-notebooks-with-Snapdragon-X-Elite-SoC.tuxedo

TUXEDO Computers 宣布暂停开发基于高通骁龙 X Elite（X1E）SoC 的 ARM 笔记本项目。该项目在过去 18 个月中推进，但最终因多项技术挑战而终止。

主要原因包括：

骁龙 X1E 在 Linux 系统下的实际表现未达预期，尤其是电池续航未能实现 ARM 设备的承诺优势。
Linux 系统下缺乏可靠的 BIOS 更新机制，风扇控制功能缺失。
KVM 虚拟化支持不可行，USB4 高速传输也未实现。
视频硬件解码虽技术上可行，但多数主流应用尚无相应支持。

此外，该芯片为第一代产品，其继任者骁龙 X2 Elite（X2E）已于 2025 年 9 月发布，预计 2026 年上半年上市。因此继续投入开发已无必要，以免推出一款两年以上的旧款设备。

TUXEDO 表示将密切关注 X2 Elite 的 Linux 兼容性进展。若其表现符合预期且可复用部分现有工作，项目可能在未来重启。

公司特别感谢 Linaro 团队在 ARM 开发上的合作，并承诺将所开发的设备树（Device Tree）等成果贡献至 Linux 主线内核，以提升社区对类似设备的支持，如 Medion SUPRCHRGD。

TUXEDO 始终致力于提供即开即用、德国制造、符合数据隐私标准的 Linux 兼容设备，提供长达五年的保修与本地技术支持。

HN 热度 193 points | 评论 139 comments | 作者：Venn1 | 1 day ago #

https://news.ycombinator.com/item?id=46008156

Snapdragon X Elite 芯片在 Linux 系统上的体验尚可，但整体支持不足，尤其是与苹果的软硬件协同相比仍有差距。
Intel 的 Lunar Lake 芯片在性能、续航和散热方面表现优异，且已具备完整的 Linux 支持，无需 x86 模拟，是当前轻薄 Linux 笔记本的优选。
Panther Lake 芯片的集成内存设计可能成为 Intel 重返市场的重要优势，未来表现值得期待。
使用 Snapdragon X Elite 的笔记本在轻度使用场景下表现良好，电池续航出色，无明显卡顿，但不适合重度工作或游戏。
目前在 Snapdragon X Elite 上运行 Linux 的主要障碍是缺乏原生支持，多数用户依赖 WSL 或 Docker。
苹果的 ARM Mac 能实现优秀能效，核心在于软硬件深度协同设计，而其他厂商难以复制这种模式。
Windows 系统在 Snapdragon X Elite 上表现稳定，适合严肃工作，但 Linux 生态仍存在诸多兼容性问题。
有用户反映 Macbook Pro 的电池续航近期明显下降，可能与系统更新或后台服务有关，需手动优化才能恢复。
一些老旧的 ThinkPad 笔记本在 FreeBSD 系统下可实现长达 17 小时的续航，得益于大电池和系统优化。
电池容量、低功耗睡眠模式、后台进程管理以及 CPU 能效是影响续航的关键因素。
实现苹果级别的软硬件协同需要一个能掌控软硬件全栈的公司，目前市场中缺乏具备足够生态影响力和经济激励的第二选择。
Tuxedo 和 System76 等厂商尝试通过自研软硬件栈（如 COSMIC）接近苹果模式，但尚未形成广泛生态。

用余弦函数解决 Fizz Buzz (Solving Fizz Buzz with Cosines) #

https://susam.net/fizz-buzz-with-cosines.html

本文探讨如何使用余弦函数等三角函数来实现 Fizz Buzz 游戏的数学化表达，旨在将原本依赖条件判断的程序逻辑，转化为一个单一的闭式表达式。

文章首先回顾了经典的 Fizz Buzz 游戏规则：当数字能被 3 整除时输出 “Fizz”，能被 5 整除时输出 “Buzz”，同时被两者整除时输出 “FizzBuzz”，否则输出数字本身。传统实现依赖多个 if-elif 分支。

作者引入符号函数 $ s_0(n) = n $、$ s_1(n) = \text{Fizz} $、$ s_2(n) = \text{Buzz} $、$ s_3(n) = \text{FizzBuzz} $，并定义索引函数 $ f(n) $ 来决定输出哪一个符号函数。通过分析，发现 $ f(n) $ 的取值与 3 和 5 是否整除 $ n $ 有关。

进一步，作者引入指示函数 $ I_m(n) $，当 $ m \mid n $ 时为 1，否则为 0。通过观察，发现 $ f(n) = 2 \cdot I_5(n) + I_3(n) $，即利用 3 和 5 的整除状态构成一个二进制编码，直接映射到 0 到 3 的索引。

为了进一步“复杂化”表达，文章提出挑战：能否不使用指示函数，而仅用基本数学运算和三角函数实现？答案是肯定的。

作者引入复指数函数和离散傅里叶变换的思想，指出周期性函数（如余弦）可以表示周期性的指示信号。通过构造基于 $ \cos(2\pi n / 3) $ 和 $ \cos(2\pi n / 5) $ 的表达式，可以近似或精确地表示 $ I_3(n) $ 和 $ I_5(n) $。

最终，文章展示了如何将整个 Fizz Buzz 序列表示为一个基于余弦函数的离散傅里叶级数，从而实现“用三角函数写 Fizz Buzz”的目标。这不仅是一种数学上的趣味探索，也体现了周期性信号与数论之间的深刻联系。

结论是：虽然实际编程中无需如此复杂，但通过数学工具，确实可以将一个简单的程序逻辑转化为一个优雅的闭式表达式，展示了数学之美与编程的融合。

HN 热度 188 points | 评论 60 comments | 作者：hprotagonist | 1 day ago #

https://news.ycombinator.com/item?id=46006598

Fizz Buzz 问题常被用作面试中的态度测试，而非单纯的技术能力评估。
有人认为 Fizz Buzz 作为面试题被过度夸大，其背后的数据可能并不真实，导致了如今冗长复杂的面试流程。
有评论提到，使用傅里叶变换来解决 Fizz Buzz 是一种巧妙且富有创意的方法，但实际应用中更推荐使用数值软件直接计算。
有人指出，通过多项式插值也可以实现 Fizz Buzz，只需构造一个足够高次的多项式即可生成前若干项。
有人调侃，用量子计算解决 Fizz Buzz 是一个有趣的设想，虽然目前尚无实际意义。
有人回忆起 APhyr 系列博客文章，用魔法、符文等荒诞方式讽刺技术面试的过度复杂化，这些文章至今仍令人捧腹。
有人对 APhyr 博客因英国在线安全法而无法显示评论表示遗憾，认为这可能是政治抗议行为。
有人指出，尽管 Fizz Buzz 看似简单，但仍有相当多具备高学历背景的候选人无法在不调试的情况下写出正确代码。
有人认为，用余弦函数和傅里叶变换来解决 Fizz Buzz 是一种“过度工程化”的艺术表达，体现了程序员的幽默与创造力。
有人补充，虽然直接计算傅里叶系数很繁琐，但通过观察周期性和整除规律可以发现简化方法，使问题变得有趣且可解。

Hacker News 精彩评论及翻译 #

Personal blogs are back, should niche blogs be nex… #

https://news.ycombinator.com/item?id=46011877

Here are some reasons to start a personal blog:

It’s a great way to learn. Teaching something to someone else has always been the best learning tool, and writing about something with an audience in mind is an effective way to capture some of that value.
It can be a big boost in job hunting. As a hiring manager two of the most important questions I have about a potential candidate are: Can they code? Can they communicate well? If a candidate has a blog with just two articles on it that hasn’t been updated in five years that’s still a big boost over candidates with nothing like that at all. In a competitive market that could be the boost you need to make it from the resume review to the first round.
If you blog more frequently than that it can be a really valuable resource for your future self. I love being able to look back on what I was thinking and writing about ten years ago. Having a good tagging system helps with this too - I can review my tag of “scaling” or “postgresql” and see a timeline of how my understanding developed.
It’s a great way to help establish credibility. If someone asks you about X and you have a blog entry about X from five years ago you can point them to that.
Building a blog is really fun! It used to be one of the classic starter projects for new web developers, I think that needs to come back. It’s a fun project and one that’s great to keep on hacking on long into the future.

Notably none of the above reasons require your blog to attract readers! There’s a ton of value to be had even if nobody actually reads the thing.

As a general rule, assume nobody will read your blog unless you actively encourage them to. That’s fine. What matters isn’t the quantity of readers, it’s their quality. I’d rather have a piece read by just a single person that leads to a new opportunity for me than 1,000 people who read it and never interact with me ever again.

If you DO start to get readers things get even more valuable. I’ve been blogging since 2002 and most of the opportunities in my career came from people I met via blogging. Today I get invited to all sorts of interesting events because I have a prominent blog covering stuff relating to AI and LLMs.

But I do honestly think that a blog is a powerful professional tool even if nobody else is reading it at all.

If you want to give it a go I’ve written a few things that might be useful:

What to blog about: https://simonwillison.net/2022/Nov/6/what-to-blog-about/ - Today I learned and write about your projects
My approach to running a link blog - https://simonwillison.net/2024/Dec/22/link-blog/ - aka write about stuff you’ve found

simonw

以下是开始个人博客的一些理由：

它是学习的一个绝佳途径。向他人传授某件事物向来是最佳的学习工具，而为了一个受众去撰写相关内容，正是捕捉这种价值的一种有效方式。
它能极大地提升你的求职竞争力。作为一名招聘经理，我对于一个潜在候选人最看重的两个问题是：他们会编程吗？他们的沟通能力好吗？如果一个候选人有一个只包含两篇文章并且五年未更新的博客，这依然比完全没有类似经历的候选人要强得多。在竞争激烈的市场中，这可能是你从简历筛选中脱颖而出，进入第一轮面试所需要的助力。
如果你比上面提到的频率更新博客，它就能成为你未来自己的宝贵资源。我很喜欢回顾十年前我在思考什么、在写什么。一个好的标签系统对此也很有帮助——我可以查看我的“扩展”或“postgresql”标签，看到我的理解是如何随时间发展的。
它是帮助你建立信誉的一个好方法。如果有人向你咨询某个X话题，而你恰好有一篇五年前关于X的博客文章，你就可以把这篇文章指给他看。
搭建一个博客真的很有趣！我认为，它曾经是新入行的网页开发者们的经典入门项目之一，我觉得这个传统应该回归。这是一个有趣的项目，也是一个可以让你在未来很长一段时间里不断投入和改进的绝佳项目。

值得注意的是，以上所有理由都并不要求你的博客必须能吸引到读者！即使真的没人阅读，它也能带来巨大的价值。

一般来说，除非你主动推广，否则要假定没人会看你的博客。这没关系。重要的不是读者的数量，而是他们的质量。我宁愿一篇文章只被一个人阅读，但它为我带来了新的机会，也不愿被一千人阅读，但他们从此再也没有与我互动过。

如果你的博客确实开始有了读者，它的价值就会变得更大。我从2002年就开始写博客，我职业生涯中的大部分机会都是通过写博客认识的人带来的。如今，因为我有一个知名的、专注于人工智能和大型语言模型主题的博客，我会收到各种有趣活动的邀请。

但我真心认为，即使完全没人阅读，博客也是一个强大的职业工具。

如果你想试一试，我写了一些可能对你有用的文章：

写什么：https://simonwillison.net/2022/Nov/6/what-to-blog-about/ - 关于你学到的东西和你正在进行的项目
我的链接博客运营方法 - https://simonwillison.net/2024/Dec/22/link-blog/ - 也就是写你发现的有价值的内容

Kodak ran a nuclear device in its basement for dec… #

https://news.ycombinator.com/item?id=46014624

When I studied chemistry at university, only a handful of select students were introduced to the nuclear science lab in the basement. It had a lot of spicy isotopes, neutron sources, etc. Even as a chemistry student with free run of the place for years I had no idea it was in the building until the department head pulled a few of us aside.

The reason for the informal secrecy, as it was explained to me, is that every so often someone would find out there was plutonium etc in the basement and have a public freak out, including on occasion other (non-STEM) professors at the same university. These people would try to organize crusades to get it shut down because evil. Intentionally obscuring its existence greatly mitigated this drama. They appreciated us continuing the tradition of keeping it out of sight and out of mind from the general public.

The publicity around this Kodak case was an example of why no one talks about nuclear labs. The public cannot be trusted to engage in a discussion about anything “nuclear” in good faith. There are quite a few areas of science like this.

jandrewrogers

我在大学学化学时，只有寥寥数名学生被带进了地下核科学实验室。那里有很多强放射性同位素、中子源等等。即便作为能在那里自由活动好几年的化学系学生，我也根本不知道这栋楼里有这么个地方，直到系主任才把我们几个叫到一旁。

据我所解释，这种非正式保密的原因是，每隔总有人会发现地下室里有钚之类的东西，然后引发一场公开的恐慌，有时甚至是同一所大学的其他（非理工科）教授。这些人会试图发起运动，以“邪恶”为由要求关闭它。刻意隐瞒其存在，在很大程度上减少了这种戏剧性场面。他们很欣赏我们延续着将其对公众隐瞒、避免他们操心这一传统。

这次柯达事件的公开报道，就是为什么没人会谈论核实验室的一个例子。公众无法被信任能本着诚信的态度就任何“核”相关议题展开讨论。科学领域有很多地方都是如此。

Original Superman comic becomes the highest-priced… #

https://news.ycombinator.com/item?id=46012518

He added: “This isn’t simply a blurb of words and phrases. This is not just a stock statement from an LLM.

This is a testament to outsourcing, laziness and the unexpected ways technology finds ways to change every press release.”

sebmellen

他补充道：“这不仅仅是几句辞藻的堆砌。这也不是一个大型语言模型（LLM）的陈词滥调。

这是对外包、懒惰以及技术以意想不到的方式改变每篇新闻稿的明证。”

California DMV approves map increase in Waymo driv… #

https://news.ycombinator.com/item?id=46010696

I didn’t think I’d be so pro Waymo but anecdotally I had a fantastic experience with one recently.

I was at a music show very late ~1-2am in SF and walked out to grab an uber to the airbnb I was staying at. I kept getting assigned an uber, then I’d wait 10 minutes, then they’d cancel. Rinse and repeat for 30 minutes, mind you I even resorted to calling Lyfts at the same time and nothing bit. Then I say screw it and download Waymo. 1 minute and it’s accepted my ride, and I know it’s not going to cancel because it’s a robot. 3 minutes and it picks me up. The car is clean, quiet, I can play my own music in it via Spotify, and it’s driving honestly more safely than some uber drivers I’ve had in SF. It’s one of the few things where the end result actually lives up to the promise from a tech company.

willio58

我原以为自己不会这么支持Waymo，但最近的一次亲身经历让我彻底改观。

当时我在旧金山参加一场音乐演出，已经是凌晨1、2点了。我走出来准备叫一辆Uber回我住的Airbnb。结果我一直被分配到司机，但等上10分钟，对方就取消了。这样来来回复折腾了30分钟，我甚至同时尝试叫了Lyft，但还是没人接单。后来我一气之下干脆下载了Waymo app。结果1分钟就接单了，而且我知道它绝不会取消，因为是自动驾驶的。3分钟后车就接上我了。车里很干净、很安静，我还能通过Spotify播放自己的音乐，而且说实话，它的驾驶方式比我遇到的某些旧金山Uber司机要安全得多。这可以说是少数几个真正兑现了科技公司承诺的产品之一。

Helping Valve to power up Steam devices #

https://news.ycombinator.com/item?id=46010040

This is what I say a lot. Valve isn’t even remotely close to having clean hands here. They invented loot crates. Hats. Etc.

It’s just that the bar is so INSANELY low - it’s probably somewhere deep in the earth’s core at this point - that valve looks like a fucking angel by being only VAGUELY greedy on occasion.

When your competition is EA… it’s not hard.

atomicnumber3

我总是说，Valve在这里根本就谈不上干净。他们发明了战利品箱、帽子这些玩意。

只是因为别的公司底线实在太低了——可能已经低到地心深处了——所以Valve偶尔有那么一丁点贪婪，看起来就像个该死的圣人罢了。

当你的竞争对手是EA的时候……这真的不费吹灰之力。

Make product worse, get money #

https://news.ycombinator.com/item?id=46008040

All of the pizza examples are about reducing cost. The argument about dating apps is about increasing retention. The dynamics are qualitatively different.

The argument with pizza is more like “people like salty, fatty food, so pizza places are incentivized to make their pizza less healthy so that people come back more often”… which is exactly what happens!

So why doesn’t a legitimately healthy restaurant come along and take the whole market? It’s partly because restaurants aren’t just in the business of selling (healthy) food: it’s also about convenience and satisfaction and experience. More importantly, that just doesn’t fit with how people largely make day-to-day decisions.

The same thing happens with dating apps. People get drawn in for all sorts of reasons that don’t necessarily map to getting married, even if finding a long-term relationship is explicitly their goal. Tinder competes with Tiktok more than it competes with other dating apps.

The other problem is that making a really effective dating app is just hard. It’s fundamentally difficult to help people find compatible partners, especially without in-person contact. That’s compounded by cultural and demographic issues. It doesn’t matter how well your app is designed when there’s a massive imbalance in genders!

tikhonj

所有的披萨案例都关乎降低成本。而约会应用的争论则关乎提高用户粘性，这两者的动态有本质上的不同。

关于披萨的论点更像是：“人们喜欢咸、油腻的食物，所以披萨店会受利益驱使，让披萨变得更不健康，从而让人们更频繁地光顾”……而这正是现实中所发生的事情！

那么，为什么一家真正健康的餐厅不能出现并占领整个市场呢？部分原因在于，餐厅不仅仅是销售（健康）食品的生意：它还关乎便利性、满足感和体验。更重要的是，这并不符合人们日常做决策的主要方式。

约会应用也是如此。人们被吸引来的原因五花八门，而这些原因并不一定与结婚挂钩，即使找到一段长期关系是他们明确的目标。Tinder 与其说是和其他约会应用竞争，不如说是和 TikTok 竞争。

另一个问题是，开发一款真正有效的约会应用本身就很困难。帮助人们找到合适的伴侣在本质上就是件难事，尤其是在没有线下接触的情况下。而这又被文化和人口结构问题所加剧。当性别比例严重失衡时，你的应用设计得再好也于事无补！

Original Superman comic becomes the highest-priced… #

https://news.ycombinator.com/item?id=46012442

“He added: “This isn’t simply a story about old paper and ink. This was never just about a collectible.

“This is a testament to memory, family and the unexpected ways the past finds its way back to us.” "”” Men going extreme in sentimental when they just sold a $9M collectible :).

dbacar

他还补充说：“这不仅仅是一个关于旧纸墨的故事。它也从来不只是关于一件收藏品。”

“这是对记忆、家庭的见证，也证明了过去总有出人意料的方式回到我们身边。”:) 男人们刚卖掉一件价值900万美元的收藏品，就开始变得这么感性了。

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46009325

It is a weird form of centralized planning. Except there’s no election to get on to the central committee, it’s like in the Soviet era where you had to run in the right circles and have sway in them.

There’s too much group-think in the executive class. Too much forced adoption of AI, too much bandwagon hopping.

The return-to-office fad is similar, a bunch of executives following the mandates of their board, all because there’s a few CEOs who were REALLY worked up about it and there was a decision that workers had it too easy. Watching the executive class sacrifice profits for power is pretty fascinating.

Edit: A good way to decentralize the power and have better decision making would be to have less centralized rewards in the capital markets. Right now are living through a new gilded age with a few barons running things, because we have made the rewards too extreme and too narrowly distributed. Most market economics assumes that there’s somewhat equal decision making power amongst the econs. We are quickly trending away from that.

epistasis

这是一种奇怪的计划经济形式。只不过，进入中央委员会并没有选举，就像苏联时代那样，你必须混迹于特定的圈子，并在其中拥有影响力。

高管阶层存在着太多的群体思维。对人工智能的强制采用太多，盲目跟风的现象也太严重。

“重返办公室”的风潮也是如此，一群高管遵循着其董事会的指令，仅仅是因为有少数CEO对此事异常热衷，并且他们做出了“员工们过得太安逸”的决定。看着高管阶层为了权力而牺牲利润，真是让人大开眼界。

编辑：要想分权并做出更好的决策，一个好方法是在资本市场上减少对集中式奖励的依赖。我们现在正经历着一个新的镀金时代，少数权贵在操控一切，因为我们设定的奖励机制过于极端，且分配范围过于狭窄。大多数市场经济学理论都假设经济体的决策权相对平等。但我们正迅速偏离这一轨道。

In a U.S. First, New Mexico Opens Doors to Free Ch… #

https://news.ycombinator.com/item?id=46016130

US actually provided child care to mothers employed during WWII. [0]

Richard Nixon vetoed the bill that would have expanded it out to all families. [1]

Funny how we keep forgetting the past and reject what benefited us as a whole with a moved to pure individualism built around selfishness. AKA The rich keep getting richer.

[0] https://www.wwiimemorialfriends.org/blog/the-lanham-act-and-universal-childcare-during-world-war-ii

[1] https://en.wikipedia.org/wiki/Comprehensive_Child_Development_Act

yndoendo

实际上，在第二次世界大战期间，美国政府为在职母亲提供了儿童托管服务。[0]

理查德·尼克松曾否决了一项旨在将该服务扩展到所有家庭的法案。[1]

可笑的是，我们总是在遗忘过去，并因为转向一种以自私为核心的纯粹个人主义，而拒绝那些曾惠及我们全体的东西。也就是富人越来越富。

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46009300

I’m so mad about this, I need DDR5 for a new mini-PC I bought and prices have literally gone up by 2.5x..

128GB used to be 400$ in June, and now it’s over $1,000 for the same 2x64GB set..

I have no idea if/when prices will come back down but it sucks.

sbarre

我对此真的非常生气，我新买的迷你电脑需要DDR5内存，但价格确实上涨了2.5倍。

128GB内存在六月时还是400美元，而现在同样一套2x64GB的内存要超过1000美元。

我不知道价格是否会/何时会回落，但这太糟糕了。

Helping Valve to power up Steam devices #

https://news.ycombinator.com/item?id=46009871

Much credit to Valve for pushing that out as FOSS.

Cynical: Valve doesn’t sell hardware or operating systems, they sell games. These devices are merely another storefront.

Optimistic: Valve has also figured out how to turn good will into a commodity. Blowing cash on Steam sales is a bit of a cultural centerpiece of the PC gaming community.

Gabe has proven that you can make stupid amounts of money by [mostly] doing right by the consumer. I’m not sure if there’s more to the secret source, her sauce, because we’ve yet to see another CEO pull their head out of their arse far enough to see how lucrative this approach can be: consumerism is fickle, fanaticism is loyal.

zamalek

必须给Valve点赞，他们将其作为开源软件（FOSS）发布。

愤世嫉俗的看法：Valve不卖硬件或操作系统，他们卖的是游戏。这些设备不过是另一个销售渠道。

乐观的看法：Valve也找到了如何将“ goodwill”（ goodwill在此可理解为“用户好感”）转化为商品的方法。在Steam上疯狂消费，某种程度上已经成为PC游戏文化的一个核心。

Gabe（纽曼）已经证明，只要你[基本上]能做到对消费者负责，就能赚得盆满钵满。我不确定这是否还有其他秘诀，因为我们还没看到哪位CEO能从自己的屁股里把头拔出来，看清这种做法是多么有利可图：消费者善变，而狂热者忠诚。

HP and Dell disable HEVC support built into their … #

https://news.ycombinator.com/item?id=46004166

Note that it’s not a $0.24 increase Dell and HP are upset over, its an increase of $0.04. The price they were paying was $0.20.

So if you have a Dell or HP laptop, your hardware acceleration is broken because your experience with the hardware isn’t worth $0.04 to the OEM.

malfist

请注意，让戴尔和惠普不满的并不是0.24美元的涨价，而是0.04美元的涨价。他们之前支付的价格是0.20美元。

所以，如果你用的是戴尔或惠普的笔记本电脑，那么你的硬件加速功能就是坏的，因为在你身上，硬件加速的价值还不到0.04美元。

We should all be using dependency cooldowns #

https://news.ycombinator.com/item?id=46006342

People in this thread are worried that they are significantly vulnerable if they don’t update right away. However, this is mostly not an issue in practice. A lot of software doesn’t have continuous deployment, but instead has customer-side deployment of new releases, which follow a slower rhythm of several weeks or months, barring emergencies. They are fine. Most vulnerabilities that aren’t supply-chain attacks are only exploitable under special circumstances anyway. The thing to do is to monitor your dependencies and their published vulnerabilities, and for critical vulnerabilities to assess whether your product is affect by it. Only then do you need to update that specific dependency right away.

layer8

这个帖子里的网友担心如果不立即更新，就会有严重的风险。然而，在实际情况中，这通常不成问题。很多软件并不会持续部署，而是采用客户部署新版本的方式，这种部署节奏较慢，通常需要数周或数月的时间，紧急情况除外。所以，他们其实没什么问题。大多数非供应链攻击的漏洞，只有在特殊情况下才能被利用。正确的做法是：持续监控你的依赖项和已公布的漏洞，对于关键漏洞，要评估你的产品是否受到影响。只有在那时，你才需要立即更新那个特定的依赖项。

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46011404

Dram alternates between feast and famine; it’s the nature of a business when the granularity of investment is so huge (you have a fab or you don’t, and they cost billions -maybe trillions by now). So, it will swing back. Unfortunately it looks like maybe 3-5 years on average, from some analysis here: https://storagesearch.com/memory-boom-bust-cycles.html

(That’s just me eyeballing it, feel free to do the math)

ajb

戏剧性的繁荣与萧条交替上演，这是行业固有的特性，因为投资的体量极其巨大（要么拥有一座晶圆厂，要么没有，而其成本已达数十亿，甚至可能是数万亿美元）。因此，市场必将再次回转。不幸的是，根据一些分析（https://storagesearch.com/memory-boom-bust-cycles.html），这个周期平均可能需要3到5年时间。（这只是我大致的观察，欢迎您自行计算验证。）

LAPD helicopter tracker with real-time operating c… #

https://news.ycombinator.com/item?id=46009959

I find it interesting that the question is “why don’t they use drones”. My question is: why so much air surveillance? I live in Germany. The only times I hear a helicopter is if someone is being rescued or if someones missing. I rarely see them at all.

BadBadJellyBean

我觉得很有趣，问题是“他们为什么不使用无人机”。我的问题是：为什么要有这么多的空中监控？我住在德国。我唯一能听到直升机声音的时候，是有人需要救援或有人失踪的时候。我几乎很少见到它们。

Homeschooling hits record numbers #

https://news.ycombinator.com/item?id=46008885

I used to work at a YMCA, and the local homeschool group asked us to do a PE class, which I taught.

I had the kids doing swimming, rock climbing, and all kinds of traditional PE games.

I worked with “normal” kids most of the time, and I will say the homeschool kids stuck out. They’re more awkward around kids their age, but far less awkward around adults. They know how to speak and act, in large part. And they were disproportionately ahead of their peers academically–though I think that’s probably a selection bias for the parents seeking out homeschool PE classes.

This was in the early 2000s, before Facebook. I’m sure the avenues to connect have only grown with social media.

sejje

我以前在YMCA（基督教青年会）工作，当地的homeschool（家庭学校）小组请我们开设一门体育课，由我来授课。

我让孩子们参与游泳、攀岩以及各种各样的传统体育游戏。

我大部分时间接触的是“普通”孩子，我得说，homeschool的孩子非常突出。他们和同龄人相处时会更显笨拙，但在成年人面前却自在得多。在很大程度上，他们很懂得如何与人交谈和行事。而且，他们在学业上远超同龄人——尽管我认为这可能是因为寻求homeschool体育课的家长本身就存在一定的选择偏差。

这发生在21世纪初，Facebook出现之前。我确信，随着社交媒体的发展，他们相互联系的渠道只会越来越多。

Helping Valve to power up Steam devices #

https://news.ycombinator.com/item?id=46009022

It’s incredibly obvious that they’re trying to make Steam Deck 2 ARM-based. That’s the generational change Valve is waiting for.

This is gonna be fantastic.

rpmisms

他们显然是想让 Steam Deck 2 搭载 ARM 架构，这正是 Valve 一直在等待的世代升级。

这将会非常棒。

Why top firms fire good workers #

https://news.ycombinator.com/item?id=46001437

The firm starts to underpay those better workers who kept their jobs, akin to making them pay for being “chosen.” Consequently, profits do not decline and may even increase.

“Firms now essentially can threaten the remaining employees: ‘Look, I can let you go, and everybody’s going to think that you’re the worst in the pool. If you want me not to let you go, you need to accept below market wages,’”

This is exactly what unions are for. Any time there are enough skilled workers avilable that a company can let good employees go as a warning to others not to complain about substandard wages it’s clear that the imbalance of power has resulted in exploitation. There is strength in numbers though which is why companies go to great lengths to convince people that you all alone negotiating with a huge corporation of people who have more money and resources than you’ll ever see in your lifetime and who can replace you with someone else easily is somehow totally fair. No matter how special they might make you feel, you are almost always disposable to them and they will drop you at any time and for any reason, even if it’s just to make an example out of you to keep your ex-coworkers in fear.

For the very few employees out there who actually are totally indispensable, any sane company would be looking for your replacement immediately because there’s no telling what might happen to you or when. No company should fail because one employee dies in a car cash or gets a cancer diagnosis. Until you are also replaceable the company isn’t safe. They’ll pay you handsomely to keep you, right up until the moment they don’t have to.

autoexec

公司开始克扣留任的优秀员工的薪水，这无异于让他们为自己的“被选中”而买单。结果，利润并未下降，甚至可能还会增加。

“现在的公司基本上可以威胁留下的员工：‘你看，我随时可以让你走，而且所有人都会认为你是所有人里最差的。如果你不想被我解雇，就得接受低于市场水平的薪酬。’”

这正是工会存在的意义。当有足够多的熟练劳动力，以至于公司可以解雇优秀员工作为对其他人的警告，以阻止他们抱怨低于标准的薪酬时，这显然说明权力失衡已经导致了剥削。然而，团结就是力量，所以公司会竭尽全力让人们相信，你独自一人去与一个拥有比你一辈子所见都多的金钱和资源的庞大公司谈判，而且他们可以轻易地找到替代你的人，这 somehow 是完全公平的。无论他们让你感觉自己多么特别，对他们来说你几乎总是可以替代的，他们会随时以任何理由抛弃你，哪怕只是为了杀一儆百，让你的前同事们感到恐惧。

对于那些真正完全不可或缺的极少数员工来说，任何理智的公司都会立刻开始寻找你的替代者，因为你不知道你何时会发生什么意外或患上什么疾病。一家公司不应该因为某个员工在车祸中丧生或被诊断出癌症就倒闭。在你变得可以被替代之前，公司都不是安全的。他们会为了留住你而慷慨地支付薪水，但这只是持续到他们不再需要你的那一刻为止。

Android and iPhone users can now share files, star… #

https://news.ycombinator.com/item?id=46001148

Incredible! In an astounding feat, it has only taken a mere two decades to enable the world’s largest tech companies to provide the most basic levels of interopability.

At this breakneck speed of technological development, one can only imagine what wonderful boons await consumers in the next few decades.

wackget

难以置信！令人震惊的是，仅仅用了二十年，就促成了全球最大的科技公司之间提供最基本的互操作性。

以这种惊人的技术发展速度，人们只能想象未来几十年消费者将迎来多么美妙的好处。

Scientists now know that bees can process time, a … #

https://news.ycombinator.com/item?id=46003076

We are learning so many wonderful things about Bees!

They can count https://news.ycombinator.com/item?id=21222227

Bees play https://news.ycombinator.com/item?id=33369572 https://www.science.org/content/article/are-these-bumble-bees-playing-toys

All of this reinforces my belief that nearly everything is conscious and aware, we differ in a capabilities and resolution but we are all more similar than we are different.

Spider Cognition: How Tiny Brains Do Mighty Things https://news.ycombinator.com/item?id=46003146

sitkack

我们正在了解到许多关于蜜蜂的奇妙知识！

它们会数数 https://news.ycombinator.com/item?id=21222227

蜜蜂会玩耍 https://news.ycombinator.com/item?id=33369572 https://www.science.org/content/article/are-these-bumble-bees-playing-toys

所有这些都加深了我的一个信念：几乎所有事物都是有意识的，我们只是在能力和分辨率上有所不同，但彼此间的相似远大于差异。

蜘蛛的认知：微小大脑如何成就大事 https://news.ycombinator.com/item?id=46003146

Samsung’s 60% DRAM price hike signals a new phase … #

https://news.ycombinator.com/item?id=46009135

All I can say is,

the insane frothing hype behind AI is showing me a new kind of market failure - where resources can be massively misallocated just because some small class of individuals THINK or HOPE it will result in massive returns. Even if it squeezes out every single other sector that happens to want to use SDRAM to do things OTHER than buffer memory before it’s fed into a PCIE lane for a GPU.
I’m really REALLY glad i decided to buy brand new gaming laptops for my wife and I just a couple months ago, after not having upgraded our gaming laptops for 7 and 9 years respectively. It seems like gamers are going to have this the worst - GPUs have been f’d for a long time due to crypto and AI, and now even DRAM isn’t safe. Plus SSD prices are going up too. And unlike many other DRAM users where it’s a business thing and they can to some degree just hike prices to cover - gamers are obviously not running businesses. It’s just making the hobby more expensive.

mrsilencedogood

我只能说，

AI背后那种疯狂、狂热的热潮向我展示了一种全新的市场失灵——仅仅因为一小群人认为或希望它能带来巨额回报，资源就可能被大规模错配。即便这会挤占所有恰好想将SDRAM用于其他（而非在输入PCIE通道给GPU前用作缓冲内存）用途的领域。
我真的非常庆幸自己几周前给妻子和我买了全新的游戏本，考虑到我们俩的游戏本分别已有7年和9年没升级了。看起来玩家群体将受到最严重的冲击——由于加密货币和AI，GPU早就遭殃了，现在连DRAM也不安全了。再加上SSD价格也在上涨。与许多其他DRAM用户不同，他们的用途是商业性质的，还能在一定程度上涨价来弥补成本；而玩家显然不是在做生意，这纯粹只是让这个爱好的成本变得更高了。

We should all be using dependency cooldowns #

https://news.ycombinator.com/item?id=46007447

At my last job, we only updated dependencies when there was a compelling reason. It was awful.

What would happen from time to time was that an important reason did come up, but the team was now many releases behind. Whoever was unlucky enough to sign up for the project that needed the updated dependency now had to do all those updates of the dependency, including figuring out how they affected a bunch of software that they weren’t otherwise going to work on. (e.g., for one code path, I need a bugfix that was shipped three years ago, but pulling that into my component affects many other code paths.) They now had to go figure out what would break, figure out how to test it, etc. Besides being awful for them, it creates bad incentives (don’t sign up for those projects; put in hacks to avoid having to do the update), and it’s also just plain bad for the business because it means almost any project, however simple it seems, might wind up running into this pit.

I now think of it this way: either you’re on the dependency’s release train or you jump off. If you’re on the train, you may as well stay pretty up to date. It doesn’t need to be every release the minute it comes out, but nor should it be “I’ll skip months of work and several major releases until something important comes out”. So if you decline to update to a particular release, you’ve got to ask: am I jumping off forever, or am I just deferring work? If you think you’re just deferring the decision until you know if there’s a release worth updating to, you’re really rolling the dice.

(edit: The above experience was in Node.js. Every change in a dynamically typed language introduces a lot of risk. I’m now on a team that uses Rust, where knowing that the program compiles and passes all tests gives us a lot of confidence in the update. So although there’s a lot of noise with regular dependency updates, it’s not actually that much work.)

dap

在我上一份工作中，我们只有在出现充分理由时才会更新依赖项。那简直糟透了。

时不时地，确实会出现重要理由需要更新，但团队已经落后了好多版本。任何不幸被分配到那个需要更新依赖项项目的成员，都必须处理所有这些更新，包括弄清楚它们如何影响一堆他们原本不会去碰的软件。（例如，对于某个代码路径，我需要一个三年前发布的错误修复，但将其引入我的组件会影响许多其他代码路径。）他们现在必须去弄清楚会发生什么故障，想出如何测试它等等。这不仅对他们来说很糟糕，还会产生不良的激励（不要接手那些项目；打补丁来避免更新），而且对业务来说也纯粹是坏事，因为这意味着几乎任何项目，无论看起来多简单，都可能掉进这个坑。

我现在是这样想的：要么你就依赖在项目的发布列车上，要么你就跳下车。如果你在车上，最好还是保持相当程度的更新。不一定非得是版本一出来就立刻更新，但也不应该是“我会跳过几个月的工作和几个主要版本，直到有什么重要的更新出来”。所以，如果你拒绝更新到某个特定版本，你必须问自己：我是要永远跳下车，还是仅仅在推迟工作？如果你认为你只是在推迟决定，直到你知道是否有值得更新的版本出现，那你实际上是在掷骰子。

（编辑：上述经验是在 Node.js 环境中。动态语言中的每一次变更都会引入很多风险。我现在在一个使用 Rust 的团队，知道程序能编译并且所有测试都通过，让我们对更新非常有信心。所以，虽然定期更新依赖项会带来很多噪音，但实际上工作量并不大。）

Over-regulation is doubling the cost #

https://news.ycombinator.com/item?id=46001803

I can see two problems causing the pain described here, which I will discuss shortly. But the article seems to stretch that experience too much into the ‘regulation is bad’ territory. Regulations exist for a reason. They aren’t created for the power trip of government officials. This is the same US where companies dump PFAS into drinking water sources with impunity, has some of the highest fees for the worst quality interest access, where insulin is unaffordable and corporate house renting is a thing. There are many such areas where regulation and oversight is woefully inadequate, much less any ‘overregulation’. Regulations are practically the only thing standing between the rich and the powerful and their incessant attempt to drive even more wealth into their own pockets at the expense ordinary people’s health, wealth, future, welfare, housing, etc.

Now let’s look at the specific problems here with a much narrower scope than ‘regulations’. The first problem is the type of regulations. Some regulations are too arcane and don’t reflect the current state of technology. Others affect the unprivileged people disproportionately. The solution for that is to amend these regulations fast enough - not deregulation. It’s also important to assess the negative impacts of loosening these regulations - something I don’t see discussed in this article.

The other important requirement is to increase the staffing of the regulatory agencies so that their individual workload doesn’t become a bottleneck in the entire process. There is a scientific method to assess the staffing requirements of public service institutions. According to that, a significant number of government departments all over the world are understaffed. Regulatory agencies and police departments top that list. Increased workload on their officials lead to poor experience for the citizens availing their services (this is very evident in policing). Yet those same experiences are misconstrued and misrepresented to call for deregulation and defunding of these institutions - the opposite of what’s actually needed. (PDs need more staff and more training in empathy. Not defunding, nor militarization.) This is exactly what I see in this article. An attempt to target regulations as a whole using a sob anecdote.

goku12

我认为这里描述的痛苦源于两个问题，我稍后会进行讨论。但这篇文章似乎将这种经历过度延伸到了“监管有害”的范畴。监管的存在是有其原因的，它们并非为了官员们的权力欲而设立。这正是同一个美国，在那里公司可以肆无忌惮地将全氟和多氟烷基物质（PFAS）倾倒进饮用水源，拥有着质量最差但收费最高的网络接入，胰岛素价格高得离谱，企业包租房现象普遍。在许多此类领域，监管和监督都严重不足，更不用说什么“过度监管”了。监管几乎是为富人和权贵与民众的健康、财富、未来、福利、住房等之间所筑起的唯一屏障，抵御着他们无休止地将更多财富攫入自己囊中的企图。

现在，让我们以比“监管”范畴更狭窄的视角来看待这里的具体问题。第一个问题是监管的类型。一些监管过于晦涩，未能反映当前的技术水平。另一些则对弱势群体造成了不成比例的影响。对此，解决方案是及时修订这些法规——而非取消监管。同样重要的是，评估放宽这些监管可能带来的负面影响——而这一点我在本文中并未看到讨论。

另一个重要的要求是增加监管机构的人员配置，以确保其个人的工作负荷不会成为整个流程的瓶颈。评估公共机构人员需求是有科学方法的。根据该方法，世界各地的许多政府部门都存在人员不足的问题，监管机构和警察部门首当其冲。其官员工作量的增加，导致享受他们服务的市民体验变差（在警务方面这一点尤为明显）。然而，这些相同的经历却被曲解和误读，成为呼吁取消监管和削减这些机构经费的理由——而这恰恰与实际需求背道而驰。（警察部门需要更多人员和更多共情培训。既不该削减经费，也不该过度军事化。）这正是我在本文中看到的：试图用一个令人心酸的个人故事来攻击监管体系整体。

2025 11 22 HackerNews

2025-11-22 10:05:47

2025-11-22 Hacker News Top Stories #

谷歌将 Quick Share 与 AirDrop 兼容，首发在 Pixel 10 实现 Android 与 iPhone 之间的安全无缝文件传输。

美国边境巡逻队利用全国车牌识别和算法监控司机并以“可疑”行程为由通知拦截与拘留，引发隐私与宪法担忧。

微软把《Zork I/II/III》原始源码以 MIT 许可证开源，保留历史真实性以供研究与教学。

Wealthfolio 2.0 是一款强调本地隐私的开源投资组合追踪工具，现已支持移动端与 Docker 部署。

因美国制裁，国际刑事法院法国法官被切断与美国相关的线上服务和支付通道，突显欧洲对数字主权的担忧。

AI2 发布开源 Olmo 3 系列并完整公开训练流程、检查点与数据，强调可复现性与可追溯推理。

Charm Industrial 创始人指出过度监管和审批延迟使碳封存项目成本大幅上升并阻碍清洁技术落地。

Qualcomm 收购 Arduino 后更新的使用条款引发社区对与现有开源许可冲突及开源精神受损的担忧，需明确界定。

ravynOS 基于 FreeBSD 致力实现与 macOS 在源码和二进制层面的部分兼容，提供类 macOS 体验以吸引社区参与。

提议对开源依赖实行“冷却期”（延迟自动更新）以阻断大多数短时窗口的供应链攻击并提升安全性。

Android 和 iPhone 用户现已可共享文件，首发适配 Pixel 10 (Android and iPhone users can now share files, starting with the Pixel 10) #

https://blog.google/products/android/quick-share-airdrop/

谷歌宣布，Android 和 iPhone 用户现在可以更便捷地共享文件，这一功能首先面向 Pixel 10 系列设备推出。通过将 Quick Share 与 AirDrop 兼容，用户可在 iPhone 和 Android 设备之间无缝传输文件，无需考虑设备平台差异。

该功能以安全为核心设计，采用了经过独立安全专家验证的强防护机制，确保用户数据安全。这是谷歌持续提升跨平台兼容性的又一举措，此前已在 RCS 消息和未知追踪器提醒方面取得进展。

目前该功能已开始向 Pixel 10 系列设备推送，未来计划扩展至更多 Android 设备。用户可通过 Pixel 10 Pro 的演示视频了解实际使用效果，并亲自体验这一新功能。

HN 热度 837 points | 评论 513 comments | 作者：abraham | 1 day ago #

https://news.ycombinator.com/item?id=45994854

Wi-Fi Aware 技术是实现跨平台点对点无线文件传输的关键，苹果在欧盟数字市场法案压力下被迫采用该标准，逐步淘汰其专有的 AWDL 协议。
有观点指出，谷歌 Pixel 10 的文件共享功能可能基于 AWDL 实现，而非 Wi-Fi Aware，这解释了其初期仅限特定设备的原因。
苹果并未被强制完全淘汰 AWDL，而是必须在支持 Wi-Fi Aware 的同时，确保两种技术不产生优势差异，理论上可共存。
有评论质疑苹果是否必须重新实现 AirDrop 以支持 Wi-Fi Aware，认为其仍可维持 AWDL，但为保持生态封闭性，可能更倾向保留专有协议。
有用户指出，MacOS 目前尚未支持 Wi-Fi Aware，但 AirDrop 仍可在 iOS 与 Mac 间正常工作，说明 AWDL 仍在使用。
回顾历史，Bump 应用曾通过服务器中转实现设备间快速配对，虽非真正点对点，但响应速度极快，体验惊艳，后被 Google 收购并终止。
早期的红外通信（如日本的“sekigaisen”、美国的“beaming”）曾广泛用于设备间传输联系人和照片，是现代无线传输的雏形。
Palm Pilot、Apple Newton、Game Boy Color 等设备均支持红外通信，用于传输联系人、日历、游戏数据，形成早期的“点对点互联”生态。
微软 Zune 的“Squirting”功能允许用户无线传输音乐，虽命名令人不适，但体现了早期设备间内容共享的尝试。
早期设备间传输技术受限于硬件和网络，但已展现出强大的用户需求和交互潜力，如今 Wi-Fi Aware 的兴起是这一趋势的延续。

CBP 正在监控美国司机并拘留具有可疑出行模式者 (CBP is monitoring US drivers and detaining those with suspicious travel patterns) #

https://apnews.com/article/immigration-border-patrol-surveillance-drivers-ice-trump-9f5d05469ce8c629d6fecf32d32098cd

美国边境巡逻队正在全国范围内监控数百万名美国司机，实施一项秘密程序，目的是识别和拘留被认为有 “可疑” 旅行模式的人。根据《美联社》的调查，这一预测性情报程序导致一些人被拦截、搜查，甚至在某些情况下被逮捕。

该程序依赖于一网络摄像头来扫描和记录车辆的牌照信息，算法会根据车辆的出发地、目的地和行驶路线来标记可疑车辆。联邦特工随后可能会通知地方执法部门。司机在毫不知情的情况下，被以超速、未打信号、窗膜不合规或甚至是悬挂的空气清新剂为理由被拦下，接受激烈的询问和搜查。

这一监控系统最初是为打击非法边境活动和贩运毒品及人员而设，近年来已扩展至深入美国内部，监控普通美国人的日常行为和连接。该项目在过去五年内迅速扩大，与其他机构合作，获取来自全国范围内的牌照阅读器数据，甚至利用私人公司的数据，以及越来越多由联邦拨款资助的地方执法程序。

美国海关和边境保护局（CBP）的这一变化，令其更像一个国内情报机构。在特朗普政府对移民执法力度加大的背景下，CBP 正准备获得超过 27 亿美元的资金来扩展边境监控系统，包括在牌照读取程序中引入人工智能等新兴技术。

这项调查显示，边境巡逻队通过隐蔽的牌照阅读器系统进行大规模监控，捕捉大量关于人们是谁、去哪里、做什么和与谁交往的信息。一些法律学者指出，这种大规模监控的增长可能引发宪法上的质疑，尤其是第四修正案保护人们免受不合理搜查。

根据 AP 的报道，边境巡逻队已定义出可疑驾驶行为的标准，可能会因为多种原因（例如：在偏僻道路行驶、驾驶租赁车或短途旅行至边境地区）而拦截车辆。监控网络不仅限于南部边境，还影响到包括芝加哥、底特律、洛杉矶、圣安东尼奥和休斯顿在内的大城市及其周边地区。

在一个案例中，司机洛伦佐・古铁雷斯・卢戈（Lorenzo Gutierrez Lugo）被当地警察以超速为由拦下，但实则是边境巡逻队的要求，经过审问后未发现任何违禁物品。此后，他因涉嫌洗钱和参与有组织犯罪而被逮捕，最终并未被起诉。

这项调查揭示了边境巡逻队与地方执法部门之间的信息共享，包括司机的社交媒体资料和家庭住址，显示出美国的公路网络已嵌入了预测性监控技术。此外，边境巡逻队的程序被认为在某种程度上并未遵循法律规定和宪法保护，引发了关于隐私和公民权利的广泛讨论。

HN 热度 806 points | 评论 861 comments | 作者：jjwiseman | 1 day ago #

https://news.ycombinator.com/item?id=45996860

车牌扫描技术是严重侵犯个人隐私的行为，即使数据来源于公共空间，大规模收集和销售车牌信息也应受到法律限制。
在公共场合拍摄车辆及车牌是合法的，但将这些信息大规模聚合并用于商业或执法目的，已超出合理范围，应被禁止。
个人在公共空间的行为虽无隐私期待，但数据的规模化收集与分析已形成对个人自由的系统性监控，需法律干预。
不能因为某行为在小规模下合法，就默认其大规模应用也应合法，规模本身已构成性质变化。
用机器记录公共信息与人脑记忆存在本质区别，法律应承认这种技术性差异，不能一概而论。
以版权法为例，法律已承认记录与复制行为的法律边界，不能以“一般性计算自由”为由否定监管必要性。
个人使用技术设备记录公共场景，如植入设备或远程观测，不应被等同于普通观察，其记录、存储和传播能力带来新的法律问题。
若允许对公共行为进行无差别、长期、大规模的数据追踪，将导致社会监控常态化，威胁公民自由。

微软开源《Zork》经典文字冒险游戏系列 (Microsoft makes Zork open-source) #

https://opensource.microsoft.com/blog/2025/11/20/preserving-code-that-shaped-generations-zork-i-ii-and-iii-go-open-source

微软开源项目办公室（OSPO）、Xbox 团队与动视（Activision）合作，将经典文字冒险游戏《Zork I》《Zork II》和《Zork III》的源代码以 MIT 许可证正式开源。

这些游戏曾深刻影响了电子游戏的发展，开创了以文字构建沉浸式世界的新范式。其核心技术“Z-Machine”是一个虚拟机规范，使游戏能跨平台运行于 Apple II、IBM PC 等早期设备，是早期真正意义上的跨平台游戏系统。

此次开源行动旨在保存游戏历史遗产，便于学生、教师与开发者研究、学习和体验。代码已提交至历史仓库，包含原始源码、构建说明与文档，并明确标注 MIT 许可证，确保可追溯性与合规性。

开源不包含商业包装、营销材料或商标权，所有外部资产均被排除，以维护历史真实性。

如今，玩家可通过《Zork 合集》在 Good Old Games 平台购买游玩。技术爱好者也可使用现代工具如 ZILF（由 Tara McGrew 开发）将 ZIL 源码编译为 Z3 文件，并在各类 Z-Machine 解释器（如 Frotz、Fic）中运行，实现本地化体验。

未来欢迎社区提交问题、分享见解或贡献小而清晰的改进，目标是让 Zork 成为持续探索与教育的资源，而非被“现代化”改造。

这不仅是对 Infocom 创始团队的致敬，也是对数字文化遗产守护者 Jason Scott 及互联网档案馆的感谢，体现了多方协作推动开源与历史保存的深远意义。

HN 热度 616 points | 评论 235 comments | 作者：tabletcorry | 1 day ago #

https://news.ycombinator.com/item?id=45995740

很多 80 年代的青少年曾尝试写自己的文字冒险游戏，用 BASIC 或汇编语言，尽管技术有限，但对游戏开发充满热情。
Infocom 公司曾认真回复来自世界各地青少年的投稿请求，即使拒绝也保持尊重，展现了当时公司的专业与风度。
一些人回忆起自己曾写信给 Infocom 或 Sierra On-Line，希望参与游戏开发，收到的回复让他们感到被重视，至今印象深刻。
有玩家尝试用字符串模拟堆栈和递归，实现简易的自然语言解析器，尽管受限于 BASIC 语言特性，仍为此感到自豪。
早期游戏受限于内存，如 ZX-81 或 PET 等机器，玩家不得不将游戏分成多个程序，通过磁带定位加载，体现了极强的动手能力。
一些人尝试用“文字描述”方式编写游戏逻辑，比如用段落描述游戏规则，后来发现这其实是对编程的早期误解。
有玩家在游戏里加入恶搞彩蛋，如输入“sh*t”会触发幽默回应，增加游戏趣味性，也反映当时玩家的创造力。
一些人尝试在极简硬件上实现复杂功能，如用字符串模拟 3D 向量或树状结构，展现了早期程序员的智慧与毅力。
有玩家在脑筋急转弯语言 Brainfuck 中实现过文字冒险游戏的解析器，体现出对编程挑战的极致追求。
早期文字冒险游戏的谜题设计常依赖直觉而非逻辑，导致玩家容易因缺乏提示而放弃，影响了游戏体验。

Show HN：Wealthfolio 2.0 - 开源投资组合追踪工具，现已支持移动端和 Docker (Show HN: Wealthfolio 2.0- Open source investment tracker. Now Mobile and Docker) #

https://wealthfolio.app/?v=2.0

Wealthfolio 是一款本地运行的开源投资组合追踪工具，强调隐私保护和数据安全，所有数据均存储在用户设备上，不上传至云端。

该应用支持桌面、移动设备和网页端使用，界面简洁美观，功能强大，无需订阅费用，仅提供可选的一次性付费。

核心功能包括：聚合多个投资与储蓄账户，支持从券商或银行导入 CSV 格式交易记录；全面查看持仓情况，涵盖股票、ETF、加密货币等资产；提供资产配置分析与绩效追踪，可对比账户表现及市场基准（如标普 500）。

用户可监控股息与利息收入，跟踪各账户历史表现，设定财务目标并实时查看进度。针对税优账户（如 IRA、401(k)、TFSA），支持贡献额度提醒，防止超额缴纳。

此外，通过可扩展的插件系统，用户可添加投资费用追踪、目标进度可视化、股票交易记录等功能，进一步增强使用体验。

整体定位为一款私密、免费、功能全面的个人财富管理工具，适合希望掌控自身财务数据并避免依赖商业平台的用户。

HN 热度 429 points | 评论 147 comments | 作者：a-fadil | 9 hours ago #

https://news.ycombinator.com/item?id=46006016

用户赞赏 Wealthfolio 2.0 保持隐私、开源和本地运行的特性，认为这能有效防止未来服务变差或数据被滥用。
有用户表示虽然欣赏本地化和开源，但更倾向于使用能自动同步银行数据的工具，认为手动输入数据过于繁琐。
有人提到 YNAB4 是本地客户端，但 YNAB5 转为在线订阅模式，导致其放弃使用，认为订阅制不合理，尤其在无需同步的情况下。
推荐 ActualBudget 作为 YNAB 的开源替代品，强调其本地部署、免费且功能良好，用户体验优于 YNAB。
有人提到 Financier 也是一个值得尝试的本地化预算工具。
有开发者分享自己构建的 Paperright.xyz，强调其不连接银行、注重隐私和手动记录，认为手动管理才能真正理解财务状况。
项目作者回应称未来可能加入可选的账户聚合插件，让用户在保持本地控制的同时，可选择性接入自动化数据源。
有人质疑本地部署是否真能提升隐私，认为只要与第三方机构有经济往来，数据最终仍可能被泄露。
有人反驳称，VC 背后的 SaaS 公司有动机保护用户数据，因为数据泄露会严重损害其商业信誉。
有人指出，即使公司不直接出售数据，内部员工仍可能将数据卖给第三方，构成重大隐私风险。
有人强调金融数据价值极高，因此出售用户数据是极大概率事件，不能轻信公司承诺。
有创业者表示，公司若想长期发展，必须保护用户信任，不应出售数据，而应通过内部洞察提供增值服务，维持生态闭环。
有人指出银行本身也会与营销伙伴共享用户数据，除非主动取消，因此银行并非完全可信。
本地运行的优势在于避免依赖第三方 SaaS，不需提供银行凭证，降低账户保险失效风险，减少数据暴露面。
有人补充，在美国由于开放银行 API 发展滞后，本地工具更实用，而依赖 Plaid 等服务存在信任问题。

美国制裁致法国国际刑事法院法官遭数字断联 (How a French judge was digitally cut off by the USA) #

https://www.heise.de/en/news/How-a-French-judge-was-digitally-cut-off-by-the-USA-11087561.html

法国国际刑事法院（ICC）法官尼古拉·吉约（Nicolas Guillou）因美国对其实施制裁，遭遇严重的数字生活限制。2025 年 8 月，美国财政部以 ICC 对以色列总理内塔尼亚胡和国防部长加兰特发出逮捕令为由，将吉约等六名法官及三名检察官列入制裁名单。

这一制裁导致吉约在数字领域几乎被全面切断。他所有与美国公司相关的账户，如亚马逊、Airbnb、PayPal 等，均被立即关闭。在线预订服务（如 Expedia）的订单被自动取消，即使涉及法国境内酒店。参与电子商务几乎不可能，因为全球多数交易系统仍依赖美国技术。

在金融方面，美国主导的支付体系（如 Visa、Mastercard、American Express）对吉约全面封锁，其银行账户也受到限制，部分非美国银行账户被部分关闭。美元交易或美元兑换被明确禁止。

吉约形容自己的处境如同“数字时代的倒退”，回到 1990 年代互联网尚未普及的阶段。他强调，这凸显了欧洲对美国数字技术的严重依赖，呼吁欧盟应激活《第 2271/96 号条例》——一项旨在阻止第三国（如美国）制裁在欧盟境内执行的法律机制，以保障司法独立与数字主权。

该事件再次引发对欧洲数字自主权的讨论，尤其在德法峰会后，数字主权成为焦点议题。

HN 热度 392 points | 评论 442 comments | 作者：i-con | 13 hours ago #

https://news.ycombinator.com/item?id=46003778

美国过度使用技术制裁手段可能像对华芯片限制一样，最终促使被制裁国自力更生，反而使制裁手段失效。
中国目前最先进的“7nm”芯片制造依赖多重曝光的 DUV 技术，实际性能远落后于国际先进水平，且缺乏自主 EUV 光刻机支持，难以真正竞争。
中国在半导体领域的进展被部分人低估，但其庞大的人口基数和教育体系仍具备实现重大技术突破的潜力。
美国并非低估中国，而是出于长期战略考虑，主动构建本土半导体产业以应对潜在风险。
当前对中国的判断可能存在认知偏差，应警惕因过度自信而忽视中国在关键技术上的追赶能力。
中国在芯片制造方面仍面临根本性技术瓶颈，尤其是缺乏 EUV 光刻机，短期内难以突破。
中国目前的 7nm 工艺虽能生产芯片，但受限于工艺复杂度和良率，无法与国际领先水平相比。
中国已开始使用类似 10nm 节点的工艺，但与全球最先进水平仍有差距，且缺乏持续迭代能力。
即使不依赖 EUV，中国也可能通过技术路径创新（如 X 射线光刻）实现突破，但此类技术尚不成熟且存在巨大工程挑战。
X 射线光刻等替代技术目前仍处于早期阶段，其写入速度慢、成本高，难以替代现有光刻技术。
中国在非尖端芯片领域已具备一定制造能力，可用于 AI 等应用，但高端芯片仍严重依赖进口。
当前半导体工艺已接近物理极限，未来进步将越来越困难，但中国仍有机会通过差异化路径追赶。
中国若无法自主制造 EUV 光刻机，将长期受限于现有技术，难以实现真正意义上的技术自主。
中国在半导体领域的追赶并非不可能，但需要时间、资金和持续的技术积累，短期内难以实现全面突破。
美国对华技术封锁的长期效果取决于中国能否突破核心设备与材料的瓶颈，目前来看仍面临巨大挑战。

Olmo 3：通过模型流路径引领开源人工智能发展 (Olmo 3: Charting a path through the model flow to lead open-source AI) #

https://allenai.org/blog/olmo3

AI2 发布了 Olmo 3 系列开源大模型，标志着开放人工智能发展的重要一步。与以往仅发布最终模型权重不同，Olmo 3 首次完整开放了“模型流”（model flow），即从预训练到后训练的全部流程，包括每个阶段的检查点、数据集、代码和依赖项，实现全流程可追溯、可定制。

Olmo 3 系列包含多个模型变体，均基于 7B 和 32B 参数规模，适用于从笔记本电脑到研究集群的多种硬件环境。核心模型包括：

Olmo 3-Base（7B/32B）：目前最强的完全开源基础模型，具备卓越的编程、阅读理解与数学推理能力，并支持长达 65K tokens 的上下文长度，为后续微调、强化学习等任务提供强大基础。
Olmo 3-Think（7B/32B）：专为推理设计的模型，首次实现对中间推理步骤的可观察与可追溯，能清晰追踪复杂推理行为的来源。在推理基准测试中表现领先，且训练数据量仅为同类模型的约六分之一。
Olmo 3-Instruct（7B）：面向对话与快速响应的指令微调模型，支持多轮对话、工具调用等功能，在性能上媲美甚至超越 Qwen 2.5、Gemma 3 等主流开源模型。
Olmo 3-RL Zero（7B）：完全开源的强化学习路径，提供数学、代码、指令遵循和通用对话四个方向的训练检查点，支持可验证奖励的强化学习研究（RLVR），推动算法透明与可复现。

Olmo 3 提供多条发展路径：Instruct 路径用于日常对话与工具使用，Think 路径支持长程推理与智能体行为，RL Zero 路径则为强化学习研究提供起点。用户可自由在任意阶段介入，替换数据、调整训练策略或构建新路径。

所有模型、数据、代码与检查点均以宽松开源许可证发布，确保社区可自由使用、修改与扩展。AI2 强调，模型流本身已成为可复用的研究基础设施，而不仅是成果记录。

该系列模型在全面更新的评估套件中表现优异，涵盖数学、编程、工具使用、常识问答等多个能力维度，整体性能达到当前完全开源模型的领先水平。其成功得益于全流程的数据精炼、训练策略优化以及在数据处理、训练与强化学习方面的多项技术创新。

HN 热度 356 points | 评论 119 comments | 作者：mseri | 19 hours ago #

https://news.ycombinator.com/item?id=46001889

未来 AI 必须具备完全可追溯的推理步骤，以便于检查和调整，否则普通民众将无法控制或理解这些日益复杂的大型语言模型系统。
透明性是关键，缺乏透明性将导致科技巨头、专制政权甚至 AI 本身随意操控人类。
虽然透明性很重要，但让响应可检查和可调整在用户体验设计上面临巨大挑战，需要更多迭代和探索。
有人质疑是否有人愿意投入数十亿美元来推动可追溯 AI 的发展，暗示当前缺乏足够的资源投入。
需要建立第三方机构对 AI 模型的训练数据进行审计并发布透明度报告，即使在专有模型中也应有监督机制。
模型不应记忆“动物是否符合犹太教规”这类具体事实，而应通过检索增强生成（RAG）等方式获取信息并推理。
模型应具备识别自身知识不足的能力，并主动请求检索或自我反思，而非简单回答“我不知道”。
当前模型训练机制鼓励回答而非承认无知，导致模型倾向于给出看似确定的答案，即使不准确。
为了鼓励模型承认不确定性，评测标准应调整，例如允许部分得分给“我不知道”的回答，以减少错误回答的动机。
简单的“我不知道”回答没有价值，智能模型应在缺乏信息时说明缺少的是动物特征还是分类规则，并提供解决问题的思路。
重复提问可以用于评估模型输出的稳定性，但需设定预设条件，避免人为偏见放大。
对于分布外问题，重复采样可产生混沌分布，而对不熟悉问题则呈现更平缓的正态分布，可用于构建贝叶斯模型评估输出可靠性。

过度监管使成本翻倍 (Over-regulation is doubling the cost) #

https://rein.pk/over-regulation-is-doubling-the-cost

Peter Reinhardt，Charm Industrial 的联合创始人兼 CEO，分享了他在硬科技创业过程中遭遇的严重监管障碍。尽管其公司致力于碳移除和清洁技术，但超过一半的建设成本源于冗长、复杂的监管流程。

Charm Industrial 通过将农业和林业残留物转化为类似烧烤酱的碳富集液体，并注入废弃油井实现永久碳封存。这项技术不仅能减少大气中的二氧化碳，还能降低野火燃料、清理废弃油井，并改善 PM2.5 和 NOₓ 等有害空气污染物。然而，其核心问题在于：这种新型注入方式应归类为哪一类井？Class I、II 还是 V？这一分类问题耗时四年才得到初步明确，最终通过一个长达 14 个月的审查流程才获得美国首个 Class V 生物油封存许可。

若审批能在 6 个月内完成，而非 5.5 年，Charm 将多运行 5 年，每年可封存 3 万吨碳，按每吨 600 美元计算，相当于节省 9000 万美元。此外，因延迟导致的生物质焚烧增加了大量空气污染，仅 PM2.5 造成的医疗成本就高达每年 4000 万美元，五年累计达 2 亿美元，总社会成本约 4 亿美元，其中 1.2 亿至 1.5 亿美元由 Charm 承担，其余 3 亿由公共医疗系统承担。

Reinhardt 指出，监管本意是保护环境与公众健康，但当前制度因过度复杂、预算不足、人员短缺以及自 1970 年代以来频繁的法律诉讼，导致监管机构陷入“零风险”心态，对创新技术普遍持“否决”态度。这种“什么都不能做”的文化，正在阻碍真正能改善环境和健康的创新落地。

另一项目 Revoy 则通过在传统柴油卡车后部加装电动动力系统，实现燃油效率从 7 英里/加仑提升至 120 英里/加仑，减少 94% 燃料消耗和排放。但同样面临监管模糊：该改装是否属于“车辆改装”？是否需通过车辆安全认证？这类问题让项目进展受阻，额外产生数百万美元的合规成本。

Reinhardt 强调，当前监管体系已从“保护”异化为“阻碍”。他呼吁简化法规、提高监管人员待遇、限制无意义的法律挑战，让真正有益的技术能快速落地。否则，大量本可改善气候、健康与经济的硬科技创业公司，将在漫长的审批中被扼杀。

HN 热度 322 points | 评论 636 comments | 作者：bilsbie | 1 day ago #

https://news.ycombinator.com/item?id=45999038

好的监管是有效的，它不会被频繁违反，因为人们普遍遵守，因此外界感知不到其存在。
不是所有监管都是坏的，有些监管非常有效，能真正解决它所针对的问题。
监管的失败往往不是因为监管本身，而是因为执行过程中的问题，改进流程比改变法规更重要。
有些监管政策虽然复杂，但真正的问题在于执行和操作的难度，而非法规本身。
有时，废除一项糟糕的监管比修改它更有效，尤其是当证据表明其弊大于利时。
监管的合理性取决于其成本与收益的权衡，应评估其对经济活动的影响。
一些历史上的监管（如贵族专属职业限制）本质上是压迫性的，应被彻底废除。
某些看似合理的监管（如窗户税）实际上带来了严重的负面后果，应被取消。
减少监管数量是一个合理的目标，但必须以实现预期效果为前提，不能盲目追求“少”。
监管本身是有成本的，过度监管会降低竞争力、增加成本、削弱公众对规则的信任。
不能仅以“减少监管”为目标，而应以“实现目标所需的最少监管”为原则。
有效的监管应平衡安全与自由，避免过度干预导致社会成本上升。
有些监管的初衷良好，但实际执行中演变为形式主义，如烦人的 Cookie 弹窗，毫无实际效果。
政策制定应基于证据，建立独立机构来评估监管的实际影响，避免反应式立法。
既得利益者往往阻碍监管改革，因此需要公众支持和制度性独立评估机制来推动变革。
监管的改进应注重过程优化，如政府与民众合作制定方案，而非简单地“批准或拒绝”。

Qualcomm 收购 Arduino 引发开源社区担忧：新条款与开源精神严重冲突 (Arduino published updated terms and conditions: no longer an open commons) #

https://www.molecularist.com/2025/11/did-qualcomm-kill-arduino-for-good.html

Qualcomm 最近收购了 Arduino，引发开源社区的广泛担忧。新发布的条款和隐私政策由 Qualcomm 律师团队起草，内容充满企业级 SaaS 的典型法律条款，如强制仲裁、数据整合、出口管制和禁止反向工程等，与 Arduino 作为开源生态核心的定位严重冲突。

最令人担忧的是，新条款明确表示用户使用平台不获得任何专利许可，这意味着 Qualcomm 未来可能基于专利对使用 Arduino 工具或兼容硬件的项目发起诉讼。而更矛盾的是，Arduino IDE 和 CLI 仍采用 AGPL 和 GPLv3 开源协议，明确允许反向工程，但新条款却禁止“平台”的反向工程，造成法律上的根本冲突。

社区质疑这是否是律师误用标准模板，还是 Qualcomm 有意逐步控制生态。尽管有观点认为“平台”仅指云服务（如 Arduino Cloud、Project Hub），不包括 IDE 和 CLI，但这一界限必须明确说明，否则将导致库开发者和硬件厂商陷入法律风险。

Adafruit 的警告值得重视。作为长期坚持开源原则的企业，其发声并非出于竞争，而是对“开源共同体”价值的捍卫。Arduino 的价值不在于硬件本身，而在于它作为创客生态“通用语言”的地位——几乎所有主流开发板（如 ESP32、STM32、Raspberry Pi Pico）都兼容 Arduino IDE，大量教程、课程和开源库都基于 Arduino 体系。

一旦 Arduino 的开放性被破坏，整个创客生态将面临严重冲击。替代工具如 PlatformIO 或 VSCode 缺乏对新手的友好性，无法承担 Arduino IDE 的启蒙角色。历史上 Hypercard 的消亡曾导致一代开发者断层，类似风险正在重现。

更深层的问题是，Arduino 承载了二十年积累的教育内容、项目实践和学术资源。一旦其开放性被削弱，这些知识将面临“搁浅”风险，如同将维基百科变为付费墙。

Qualcomm 的法律团队本应意识到，Arduino 不是普通企业，而是一个共享的数字公共领域。用企业 SaaS 的法律框架去管理一个共同体，无异于自毁根基。虽然这可能是法律合规的“正常操作”，但对社区信任的摧毁是不可逆的。

真正的解决方案在于：Qualcomm 应主动澄清，明确将新条款限制在云服务范围，保护 IDE、CLI 和核心库的开放性；提前沟通，用通俗语言解释变更，重建信任。否则，这场收购将不仅失去一个品牌，更可能葬送整个创客生态的未来。

HN 热度 311 points | 评论 101 comments | 作者：felineflock | 10 hours ago #

https://news.ycombinator.com/item?id=46005553

新的使用条款仅适用于 Arduino 的托管云服务，不涉及 IDE 或微控制器库，原文中已明确说明。
使用条款中的列举并非排他性定义，存在模糊性，可能引发争议，但其本意可能是限定于 Arduino 托管的在线服务。
该文章由 AI 生成，内容存在夸大和不准确之处，例如“Arduino 不是 SaaS”等表述不符合事实。
企业接管开源项目后，其治理和法律条款通常会发生重大变化，需警惕潜在风险。
Arduino 的专利条款更新意味着用户使用其平台不获得任何专利授权，可能面临第三方专利诉讼风险。
Arduino 长期存在治理和许可问题，其社区驱动的本质正面临商业化带来的挑战。
从 Wiring 项目出发，仍可获取基于 GPL 协议的开源 IDE，但 Arduino 的成功远不止于 IDE 本身。
尽管 ESP32 等替代平台性能更强且成本更低，但部分用户仍因 Arduino 的易用性和生态惯性而继续使用。
Arduino IDE 和 HAL 在快速实现 HID 设备等简单项目时具有显著优势，学习成本极低，适合非专业用户。
对于需要可测试代码的独立开发者，simavr 和 QEMU 支持提供了无需硬件的单元测试能力。
一些用户认为 Arduino IDE 设计陈旧，界面落后，缺乏现代开发体验，已逐渐失去吸引力。
非技术爱好者更倾向于使用熟悉的 Arduino 平台，不愿因更换工具链而增加学习成本或破坏现有项目。
Arduino 在专业项目中的使用意愿下降，但其在教育和入门级创客领域仍有不可替代的价值。

新操作系统旨在实现部分与 macOS 的兼容性 (New OS aims to provide (some) compatibility with macOS) #

https://github.com/ravynsoft/ravynos

ravynOS 是一个基于 FreeBSD 的开源操作系统项目，旨在为 x86-64（未来也将支持 ARM）平台提供与 macOS 相似的用户体验，并实现源代码和二进制级别的兼容性。

项目核心目标包括：

支持 macOS 应用程序的编译与运行，实现源码兼容；
提供与 macOS 类似的图形界面交互设计，如文件管理器、应用启动器、顶部菜单栏等；
保持与 macOS 一致的目录结构（如 /Library、/System、/Users、/Volumes）；
支持 HFS+、APFS 等文件系统，并全面兼容 ZFS；
采用自包含的应用格式，如 App Bundles、AppDirs 和 AppImage。

当前版本为 0.6.1，项目持续整合来自 FreeBSD stable/15 的更新，优化构建流程与系统稳定性。 ravynOS 采用 BSD 许可证，欢迎社区贡献与赞助，可通过 Patreon 和 PayPal 支持项目发展。

官网： www.ravynos.com 项目主页：GitHub 上的 ravynsoft/ravynos 仓库

HN 热度 307 points | 评论 158 comments | 作者：kasajian | 1 day ago #

https://news.ycombinator.com/item?id=45997212

Wine 的成功依赖于微软在向后兼容性上的长期投入，而苹果则频繁弃用框架并快速引入新框架，导致开发环境持续变化，增加了兼容性实现的难度。
现代 Windows API 的复杂性可以通过调用微软官方的 redistributables（如 Visual Studio 运行库）来简化，这些组件本质上是标准库，且在使用上相对宽松。
微软的 redistributables 并不强制要求必须与 Windows 许可证绑定，用户下载并分发这些 DLL 文件在法律上难以被追责，尤其当第三方（如 NVIDIA）进行分发时。
尽管微软的 EULA 对系统 DLL、COM 和 WinRT 组件有严格限制，但这些限制在实际法律执行中难以约束用户在 Wine 中运行这些组件的行为。
试图实现对所有 macOS 版本的二进制兼容性不现实，应聚焦于特定版本（如 Snow Leopard 或 Ventura），以提升旧设备的可用性或为非 Mac 平台提供类 macOS 环境。
许多现代应用依赖新特性（如 ARM64 支持、32 位淘汰、OpenGL 弃用），导致对旧系统支持的断裂，即使有兼容层也难以覆盖。
开源克隆 macOS 是一项长期且艰巨的任务，类似早期的 FreeDOS、ReactOS 和 Haiku 项目，需要多年积累才能达到可用状态，目前进展缓慢。
人工智能可能加速这类项目的发展，但其训练数据来源存在不确定性，尤其是对苹果闭源代码的依赖风险较低，而对微软的公开代码则存在较高风险。
由于苹果开源了部分 macOS 代码，可作为参考进行合规开发，通过比对生成代码与开源代码的相似性来判断是否构成侵权。

我们应该都使用依赖冷却期 (We should all be using dependency cooldowns) #

https://blog.yossarian.net/2025/11/21/We-should-all-be-using-dependency-cooldowns

本文讨论了开源软件供应链安全问题，并提出“依赖冷却期”（dependency cooldowns）作为一种简单、免费且高效的防御手段。

核心观点是：大多数开源供应链攻击的攻击窗口期较短，通常在数小时到数天之间，而从攻击发布到被发现并修复的时间差（即“冷却期”）往往长达数周甚至数月。这意味着，一旦攻击者发布恶意版本，其实际可造成损害的时间窗口其实非常有限。

作者指出，通过设置依赖冷却期——即在依赖包发布后等待一段时间（如 7 天或 14 天）才允许自动更新或使用——可以有效阻止绝大多数此类攻击。例如，文中列举的 10 起典型攻击中，8 起的攻击窗口不足一周，设置 7 天冷却期即可避免大部分攻击；设置 14 天则几乎能阻止全部攻击，仅“xz-utils”攻击因持续时间极长而例外。

实现冷却期非常简单，主流工具如 Dependabot、Renovate 以及 pnpm、uv 等包管理器已提供相关功能，开发者只需在配置中添加 cooldown 设置即可。

此外，冷却期还能促使安全厂商更专注于快速发现和报告真实威胁，而非制造“危言耸听”的宣传。

尽管冷却期不能解决所有问题（如长期隐藏的恶意代码或信任问题），但作为一项零成本、易部署的技术措施，它能带来 80%-90% 的安全提升，是当前应对供应链攻击最值得推广的实践之一。

最后，作者呼吁包管理生态系统应将冷却期功能原生集成到工具链中，而非依赖外部工具，以实现更可靠、更统一的防护。

HN 热度 271 points | 评论 186 comments | 作者：todsacerdoti | 11 hours ago #

https://news.ycombinator.com/item?id=46005111

依赖更新不必立即执行，许多软件采用较慢的部署节奏，且多数漏洞仅在特定条件下可被利用，应优先评估自身产品是否受影响再决定是否更新。
当前生态系统普遍存在盲目快速更新的倾向，缺乏对更新内容的实质性审查，导致不必要的工作量和潜在风险。
依赖更新应有策略性，若决定延迟更新，需明确是短期推迟还是永久脱离更新轨道，避免积累大量难以处理的更新。
在动态类型语言如 Node.js 中，频繁更新会带来高风险，因缺乏编译时检查，导致更新后问题难以发现，而静态类型语言如 Rust 则因编译通过和测试通过带来更高信心。
依赖更新应结合社区成熟度和历史问题发现情况，选择在多数问题已被发现并解决后进行，避免过早更新引入未知问题。
依赖更新频率应适度，定期（如每周至每月）更新可防止工作积压，便于问题排查，但应根据项目实际情况灵活调整。
依赖更新工具如 Dependabot 若无延迟机制，可能造成团队被频繁打扰，尤其在无实际安全威胁时，应区分安全更新与其他更新。
依赖更新应区分安全更新与非安全更新，通过配置将安全更新单独处理，便于团队专注评估真正重要的安全问题。
企业可引入“依赖过时度”指标，虽不完美但有助于识别需要关注的项目，推动依赖管理的可视化和改进。
依赖更新不应盲目追求最新版本，应避免因长期不更新导致升级成本剧增，建议至少每季度更新一次以保持依赖健康。
依赖更新策略应考虑语言和社区特性，动态语言社区往往对更新风险更敏感，而静态语言社区因强类型系统更易安全更新。
未来可探索基于能力的依赖管理机制，通过监控依赖行为变化（如新增网络访问、文件读写等）来自动识别潜在风险。

2025 11 21 HackerNews

2025-11-21 07:57:30

2025-11-21 Hacker News Top Stories #

Google DeepMind 发布基于 Gemini 3 Pro 的 Nano Banana Pro 图像生成与编辑模型，支持最高 4K、多语言准确文字、品牌风格控制并附带 SynthID 水印，用于多平台创作与广告。

Meta 推出 SAM 3，提供基于自然语言或视觉提示的精确图像与视频分割与跟踪能力，已在 Instagram Edits 等产品中落地以提升创作与开发工作流效率。

美国专利商标局拟推新规大幅限制 IPR 复审，使经挑战幸存的专利难再被审理，可能加剧滥用专利对中小企业的诉讼威胁。

随着 Valve 的 Proton、Steam Deck 及面向游戏的发行版（如 CachyOS）发展，在桌面上用 Linux 玩游戏变得更易上手且前景乐观。

作者认为 AI 被过度吹捧，虽在检索等小任务有用，但在复杂设计与大规模自动化上常投入大于产出，并助长资本与权力集中化风险。

OpenAI 推出面向复杂长周期开发的 GPT-5.1-Codex-Max，提升代码生成与长期推理能力，支持百万级 token 窗口并在安全沙箱中运行以便审查。

Arduino 被高通收购后悄然修改服务条款与隐私政策，加入永久许可、AI 行为追踪与禁止逆向工程等限制，引发教育与开源社区担忧。

NTSB 报告称集装箱船因松动电线引发断电失去推进并撞上弗朗西斯·斯科特·基大桥致桥塌和六人死亡，指出电气安装缺陷与防护不足并下发多项安全建议。

粉丝项目 Chrono Divide 在浏览器中重制《红色警戒2》，实现跨平台运行、完整原版地图与多人对战并兼容大量 MOD。

《Calvin and Hobbes》四十周年回顾称比尔·沃特森的漫画以独特幽默与深刻思想影响一代读者，作者于高峰期主动完结并持续引发讨论。

Google DeepMind 正式发布全新图像生成与编辑模型 Nano Banana Pro (Nano Banana Pro) #

https://blog.google/technology/ai/nano-banana-pro/

Google DeepMind 正式推出全新图像生成与编辑模型 Nano Banana Pro，基于 Gemini 3 Pro 构建，具备更强的推理能力与现实世界知识，可实现更精准、高保真的视觉创作。

该模型支持在图像中生成准确且清晰的多语言文字，适用于海报、 mockup、国际内容创作等场景。无论是创建教育类信息图、展示食谱步骤，还是结合实时天气数据生成艺术风格的视觉内容，Nano Banana Pro 都能提供高质量输出。

用户可通过 Gemini 应用、Google Ads、Google AI Studio 等多个平台体验 Nano Banana Pro。模型支持高达 4K 分辨率，具备一致的品牌风格控制与高级创意功能，助力从想法到成品的高效转化。

所有生成内容均附带 SynthID 水印，确保生成内容的透明性与可追溯性，提升可信度。

HN 热度 753 points | 评论 469 comments | 作者：meetpateltech | 9 hours ago #

https://news.ycombinator.com/item?id=45993296

Google AI Studio 的支付和认证流程过于复杂，用户在申请 API 密钥时遇到权限拒绝等问题，体验极差。
尽管 Google 推出新模型表现优秀，但其产品体验远不如竞争对手，尤其在 UI 界面和基础功能稳定性上存在明显短板。
用户对 Google 在快速发布新产品的同时缺乏充分的内部准备表示不满，认为应先解决产品问题再大规模推广。
Google 的服务生态存在严重碎片化，如 Cloud、Vertex AI 等命名混乱，导致开发者难以理解使用路径。
有用户指出，Google 为吸引开发者而推出的“付费订阅”机制门槛过高，甚至需要填写表单才能获取访问权限，流程繁琐。
部分用户期待新的账单系统能加入硬性预算上限和预付余额功能，以避免意外扣费。
虽然 Google 服务规模庞大，但其在用户体验和基础设施上的表现已大不如前，与过去“行业标准”的形象相去甚远。
一些评论调侃称，Google 的支付流程甚至比其产品本身更精致，反讽其核心体验仍不成熟。
有用户提到，即便对技术细节不熟悉，也因流程复杂而难以顺利接入服务，反映出对非技术用户的不友好。
有人指出，当前的错误提示信息与实际问题不符，例如环境变量设置错误却提示需登录或检查密钥权限，加剧了调试难度。
对于希望快速上手的普通用户或非开发者而言，整个流程如同“闯关游戏”，严重阻碍了产品普及。

Meta 推出全新 Segment Anything Model 3（SAM 3）(Meta Segment Anything Model 3) #

https://ai.meta.com/sam3/

Meta 推出全新 Segment Anything Model 3（SAM 3），这是一个支持文本和视觉提示的先进图像与视频分割模型，即将集成至 Instagram Edits 和 Meta AI 应用中的 Vibes 功能。

SAM 3 具备多项强大功能：可通过自然语言描述（如“蓝色汽车”）或视觉示例（如框选一个物体）精准识别并分割图像或视频中所有匹配对象；支持点击、框选、掩码等多种交互方式；若模型出现误判，用户可添加后续提示进行修正，实现动态优化。

该模型在图像与视频的文本和视觉分割任务中均达到业界领先水平，同时继承了 SAM 2 的全部性能与功能，专为真实应用场景设计，已在 Instagram Edits 视频创作工具中落地，帮助创作者快速为人物或物体添加特效。

SAM 3 采用统一的可提示架构，基于大规模多样化数据集训练，结合强大的感知编码器，实现跨模态、跨任务的高效分割与跟踪能力。

作为 Segment Anything 系列的最新演进，SAM 3 持续推动媒体工作流的智能化升级，为开发者、研究人员及创作者提供更强大、灵活的工具支持。

HN 热度 643 points | 评论 132 comments | 作者：lukeinator42 | 1 day ago #

https://news.ycombinator.com/item?id=45982073

Meta 持续开源模型值得肯定，尽管公司本身存在争议，但其行动对整个行业有益。
2023 年 Llama 权重泄露事件后，Meta 转向积极维权，说明其开源并非出于纯粹善意，而是战略调整。
Llama 权重泄露并非来自 Meta 内部，而是早期研究人员分享所致，Meta 原本计划开放权重。
有人认为 Meta 的开源行为是出于商业策略，如“ commoditize your complement”（使互补品商品化），以应对 OpenAI 和 Anthropic 的竞争。
尽管 Meta 在社交媒体领域声誉不佳，但其在开源领域的贡献不可忽视，是顶级科技公司中开源最成功的。
Meta 的开源项目如 PyTorch、Llama、SAM、FAISS、OCP 等，已成为行业基础设施，广泛应用于学术界和工业界。
有人指出，Meta 的开源行为虽有战略动机，但结果仍推动了 AI 技术的整体进步。
虽然可以质疑 Meta 的动机，但不应因此否定其开源带来的实际价值。
开源行为本身值得感谢，即使背后动机复杂，但对开发者和研究者而言，成果是实实在在的。
Meta 的开源策略与 Zuck 的公开承诺一致，不刻意美化，反而显得相对坦诚。
与 OpenAI 等公司相比，Meta 在开源方面确实更为彻底，尤其在模型权重层面。
有人强调，不应因公司名声而否定其开源贡献，技术进步应独立看待。
Meta 的开源项目已形成“开源圣殿”效应，其 GitHub 组织总星标数超过谷歌、微软和亚马逊总和。
从技术角度看，Meta 的开源不仅限于模型，还包括构建系统、数据处理、压缩算法等，覆盖 AI 全栈。

美国专利商标局拟推新规，使错误专利难以被挑战 (The patent office is about to make bad patents untouchable) #

https://www.eff.org/deeplinks/2025/11/patent-office-about-make-bad-patents-untouchable

美国专利商标局（USPTO）拟推出新规则，将严重限制公众挑战错误授予专利的途径，尤其是通过“双方复审”（Inter Partes Review, IPR）程序。这一改变将使专利流氓（patent trolls）得以长期保留无效专利，进一步加剧对小企业、开发者和普通技术用户的诉讼威胁。

IPR 是一种由美国专利审判和上诉委员会（PTAB）主持的快速、低成本的行政审查程序，允许个人或组织在专利被授予后，基于现有技术（prior art）挑战其有效性。该机制曾成功撤销多个滥用专利，例如“播客专利”“健身数据上传专利”和“快递通知专利”等，保护了整个行业免受恶意诉讼。

然而，新规则将带来三大致命影响：第一，被告必须放弃在法院挑战专利有效性的权利，才能申请 IPR，这在实际诉讼中几乎不可行；第二，一旦专利在任何一次挑战中幸存，无论理由是否充分，都将永久“不可挑战”；第三，若预计联邦法院案件进展更快，IPR 将被直接禁止，使被告只能面对昂贵且漫长的司法诉讼。

这些规则实质上剥夺了公众纠正专利错误的机会，使专利流氓得以利用漏洞持续施压。尽管 USPTO 声称法院仍可挑战专利，但现实中，联邦法院诉讼成本高昂、耗时多年，对大多数中小企业和个体开发者而言根本不可行。

文章呼吁公众立即提交反对意见，强调 IPR 是国会为纠正专利系统错误而设立的重要机制，其存废应由立法机构决定，而非由行政机构通过规则随意削弱。保护 IPR，就是保护创新与公平竞争的根基。

HN 热度 560 points | 评论 84 comments | 作者：iamnothere | 1 day ago #

https://news.ycombinator.com/item?id=45985890

Groklaw 曾是科技与法律交叉领域的重要信息来源，其关闭与斯诺登事件后互联网监控加剧有关，因无法保障协作隐私而被迫停更。
Groklaw 网站如今被用于推广加密货币赌博，反映出许多已关闭网站被恶意收购并转化为广告引流工具的现象。
一些黑灰产营销者通过收购废弃网站，替换内容并植入赌博、信用卡等推广链接，实现长期盈利。
网站的衰落与互联网早期缺乏加密通信（如 HTTPS）有关，导致大量数据可被轻易截获。
尽管 HTTPS 在 2011-2012 年开始普及，但政府仍能通过在数据中心内部部署监听设备实现数据获取。
有观点认为，政府监听可能通过在服务器私有子网中部署监听设备，获取未加密的内部通信数据。
但也有观点指出，私有子网本身并不对外暴露，因此监听设备难以直接接入内部网络。
现代大型服务已趋向将多台服务器整合至单台高性能设备，减少了传统私有网络的复杂性。
一些老旧服务器（如 Sun V880）仍在运行，其性能仅相当于现代 Raspberry Pi，反映出技术演进的巨大差距。
有人调侃 Cloudflare 本质上就是“TLS 魔法盒子”，暗示其在加密通信中的关键作用。

在 Linux 上玩游戏从未如此简单 (Gaming on Linux has never been more approachable) #

https://www.theverge.com/tech/823337/switching-linux-gaming-desktop-cachyos

作者 Nathan Edwards 决定尝试将 Linux 安装到自己的游戏电脑上，原因是对 Windows 11 的现状感到失望。他指出，Windows 近年来不断引入令人困扰的新功能，如强制使用 OneDrive、Edge 浏览器、Bing 和 Copilot，同时削减用户自主性，例如禁用本地账户设置和旧硬件支持，并推动 AI 功能融入系统，使体验愈发令人不适。

尽管 Windows 11 目前运行正常，但作者认为其发展方向令人担忧，且 Windows 10 即将停止支持，迫使用户升级硬件或面临安全风险。因此，他决定“彻底换水”，尝试转向 Linux。

他回顾了自己过去与 Linux 的零星接触：曾在树莓派上尝试搭建 Homebridge、使用小型 Linux 手持设备 Beepy、在 Chromebook 上运行 Linux 虚拟机，以及在 Windows 子系统中搭建键盘固件开发环境。这些尝试大多耗时较长，且影响了他宝贵的自由时间，因此始终未能真正下定决心全面切换。

然而，如今 Linux 在游戏领域的可用性大幅提升。Valve 通过 Steam Deck 推动 Linux 生态发展，Bazzite 等基于 SteamOS 的发行版已在部分设备上实现优于 Windows 的性能表现。此外，同事和朋友的亲身经历也增强了他的信心。

作者计划在自己刚组装不久的高性能 PC（搭载 AMD Ryzen 7 9800X3D 和 NVIDIA RTX 4070 Super）上安装 CachyOS——一个基于 Arch 的、专为现代硬件和游戏优化的 Linux 发行版。他虽不期待过程顺利，但认为现在是尝试 Linux 的合适时机，尤其是对追求自由、控制权和更好游戏体验的用户而言。

文章最后暗示，2026 或将成为 Linux 在桌面端真正崛起的一年，至少对作者而言是如此。

HN 热度 512 points | 评论 385 comments | 作者：throwaway270925 | 1 day ago #

https://news.ycombinator.com/item?id=45985506

使用 Steam 在 Linux 上运行游戏已变得非常顺畅，尤其是通过 Valve 的 Proton 技术，许多游戏无需额外配置即可运行。
尽管 Linux 原生游戏版本存在兼容性问题，但通过强制 Steam 运行 Windows 版本可有效解决大部分问题。
有观点指出，Win32 API 在 Linux 环境中反而成为最稳定的接口，因为 Wine 能够稳定地封装 Windows 应用运行。
有人担忧微软未来可能对 Win32 进行破坏性更新，迫使 Proton 团队持续跟进，但也有观点认为这种风险在实际中较低。
由于 Linux 软件生态缺乏统一的二进制兼容标准，旧版本应用在新系统上运行困难，这与 macOS 的版本兼容机制形成对比。
macOS 的应用通过版本化工具链和 SDK 实现良好兼容，而 Linux 仍依赖“用户可自行重新编译”的文化，导致分发混乱。
Unity、Unreal Engine 等主流游戏引擎的普及，使得跨平台开发变得容易，减少了对底层系统 API 的依赖。
Godot 等开源引擎也提供了良好的跨平台支持，无需平台特定代码即可实现多系统部署。
图形 API 从 DX11/OpenGL 向 DX12/Vulkan 的迁移虽然提升了性能，但增加了开发复杂度，限制了中小型开发团队的参与。
由于现代图形 API 难度高，有能力的开发者更倾向于加入大厂或引擎公司，而中小型团队则更倾向使用技术门槛较低的方案。
Steam Deck 的成功推动了 Linux 游戏生态的发展，促使开发者优化游戏以获得“Steam Deck 认证”标签。
有迹象表明《半条命 3》或相关作品可能在不久的将来发布，尽管仍存在不确定性。
微软若推出仅限 Windows 的反作弊系统，可能对非 Windows 平台玩家造成限制，但除非性能显著提升，否则开发者未必愿意采纳。
为绕过 Windows 原生反作弊系统而深入内核层进行修改，存在巨大安全风险且不切实际，难以被广泛接受。

AI 是资源与权力集中化的工具 (AI is a front for consolidation of resources and power) #

https://www.chrbutler.com/what-ai-is-really-for

本文作者克里斯托弗·巴特勒基于三年对人工智能的深入观察，提出一个核心观点：AI 技术虽有实用价值，但其实际效能远低于市场宣传，正处在一个严重被夸大的泡沫之中。

作者从设计行业的实际经验出发，指出 AI 在真实工作流程中的应用往往不切实际。许多展示 AI“端到端”设计的案例，仅适用于理想化、无外部约束的创作场景，而一旦嵌入现有设计系统，AI 便暴露出诸多问题：难以复现特定插画风格、无法准确处理图文层级关系、布局生成后需大量手动重构。多数设计师在实际工作中，自己动手完成 UI 和页面设计的速度与质量，远超使用 AI 工具。

作者进一步指出，AI 在小规模任务中可能带来显著效率提升，如信息检索、摘要生成和分析，但在大规模流程自动化或职能替代方面，投入成本往往超过节省的劳动，整体得不偿失。这与 MIT 研究结果一致：企业 AI 项目失败率高，源于对“全面 AI 化”的盲目追求；而成功案例多为聚焦具体目标的小型应用。

当前 AI 泡沫的规模远超历史上的互联网泡沫。全球市值最高的七家公司深度绑定 AI 投资，形成相互依赖的资本循环。然而，至今尚未出现能支撑其天价估值的可持续商业模式。作者类比当年的 Segway，指出 AI 被宣传为将彻底改变所有工作方式的技术，但其真实能力可能仅相当于“一辆电动滑板车”，而市场预期与现实之间的差距，已达到万亿级。

更令人担忧的是 AI 对社会信任体系的冲击。在已有信息茧房、假新闻和社交媒体操控的基础上，AI 能以更快、更精准的方式制造虚假内容，加剧公众对信息真实性的怀疑。这种对社会认知基础的侵蚀，本身就是不可接受的代价。

最后，作者质疑 AI 的真正目的：我们被宣传为 AI 是为了提升效率、解放人力，但投资者的真实动机是否如此？他暗示，部分利益相关方可能清楚 AI 的局限，却仍在推动泡沫，以获取短期资本收益。这种“明知故犯”的行为，使 AI 不仅是一场技术泡沫，更可能是一场带有欺诈动机的系统性风险。

HN 热度 504 points | 评论 397 comments | 作者：delaugust | 1 day ago #

https://news.ycombinator.com/item?id=45983700

通用技术初期普遍落后于现有实践，但会快速进步，并在不同领域陆续超越现有方法，关键在于识别并抓住技术突破的临界点。
技术成功的关键不在于寻找当前无效的应用场景，而在于持续寻找那些随着技术进步而变得可解的增量难题。
特斯拉通过在高端市场率先采用锂电池技术，实现了对传统车企的领先，尽管当时主流车企认为该技术不适合大众市场。
通用技术并非都能成功，许多技术在初期阶段就停滞不前，最终被历史遗忘，因此不能忽视失败案例的普遍性。
通用技术通常先在特定领域实现“足够好”的应用，从而逐步取代专业设备或人员，当其在多个领域都达到“足够好”时，才开始大规模普及。
当前纯电动汽车在多数地区仍比传统燃油车或混合动力车更昂贵，政府补贴是推动其销售的主要因素，因此传统车企的保守判断未必错误。
电池技术的经济性取决于使用场景，例如长续航电池或快充功能在非高频使用场景下可能造成资源浪费，因此并非所有情况下电动车都更便宜。
通用技术的长期影响难以预测，尤其是像 AI 这样覆盖面极广的技术，其未来形态和优劣势尚不明确。
GPU 曾被寄予厚望成为通用计算主力，但受限于数据传输瓶颈和专用硬件的存在，最终仅在游戏和 AI 领域取得成功，未实现全面替代 CPU。
人工智能的发展路径与早期 GPU 类似，尽管前景乐观，但实际落地可能受限于技术瓶颈，最终未必达到预期。

OpenAI 推出全新前沿编程模型 GPT-5.1-Codex-Max，专为复杂、长时间的开发任务设计 (Building more with GPT-5.1-Codex-Max) #

https://openai.com/index/gpt-5-1-codex-max/

OpenAI 推出全新前沿编程模型 GPT-5.1-Codex-Max，专为复杂、长时间的开发任务设计。该模型基于更新的推理基础模型，经过软件工程、数学、研究等领域的代理任务训练，具备更强的智能与效率。

GPT-5.1-Codex-Max 在多个前沿编程评测中表现优于前代模型，如 SWE-Lancer 和 Terminal-Bench 2.0，尤其在真实开发场景中展现出更优的代码生成与协作能力。其推理过程更具效率，在 SWE-bench Verified 任务中，以“中等”推理强度实现更高准确率，同时减少 30% 的思考 token 消耗。

该模型支持“压缩”（compaction）技术，可跨多个上下文窗口持续工作，实现百万级 token 的任务处理。这一能力使其能胜任项目级重构、长时间调试和多小时的自动化代理循环任务，内部测试中已实现超过 24 小时的持续运行。

在安全性方面，GPT-5.1-Codex-Max 在长周期推理任务中表现更优，尤其在网络安全评估中达到当前最高水平，但尚未达到“高能力”标准。OpenAI 已加强网络安全监控与防护机制，防止滥用，并通过 Aardvark 等项目支持防御性应用。

Codex 默认运行在安全沙箱中，限制文件写入与网络访问，建议开发者保持此安全模式。尽管模型能生成高质量代码，但仍需人工审查，尤其是部署前。模型会生成终端日志，记录工具调用与测试结果，辅助开发者验证。

GPT-5.1-Codex-Max 已在 Codex CLI、IDE 插件、云平台及代码审查中上线，API 接口即将开放。该模型标志着向可靠编程伙伴迈进的重要一步。

HN 热度 467 points | 评论 297 comments | 作者：hansonw | 1 day ago #

https://news.ycombinator.com/item?id=45982649

Codex 严格遵循指令，甚至会因微小的措辞而过度复杂化解决方案，被形容为“字面意义上的精灵”，适合需要高度准确性的长期复杂任务。
Claude 更倾向于忽略指令，自行判断并修正明显错误，适合快速迭代的开发场景，如样式调整等。
在大型项目重构中，Codex 能够根据简短指令完成复杂系统重写，如飞行模拟器从浮点原点切换到真实地球坐标系，且结果基本正确。
Codex 在实现代码重构功能（如“提取函数”）时表现出色，能快速生成可运行的原型，极大缩短从零到可用的开发时间。
Codex 有时会做出过于通用的架构决策，比如试图构建类似 Unity 的万能引擎，而非专注于特定类型的游戏，需明确限制才能避免。
使用“指令彩蛋”（如指定称呼或开头符号）可作为检测模型是否遵守指令的手段，但可能引入不必要的上下文干扰。
有人认为这类“彩蛋”指令可能污染上下文，影响模型输出质量，尤其在频繁交互中。
也有观点认为，只要指令不极端（如禁止使用某个字母），其影响有限，且“彩蛋”有助于识别模型是否在执行指令。
有人指出，即使指令看似荒诞，模型也会模拟相应行为，使对话更自然，但需注意避免干扰真实任务。

Arduino 之死？ (The Death of Arduino?) #

https://www.linkedin.com/posts/adafruit_opensource-privacy-techpolicy-activity-7396903362237054976-r14H

Arduino 被高通收购后，悄然更新了其服务条款和隐私政策，引发社区广泛担忧。新条款引入多项限制性规定，包括用户上传内容将被授予永久、不可撤销的许可，平台对 AI 功能实施类似监控的用户行为追踪，禁止用户识别潜在专利侵权，以及在账户注销后仍保留用户名长达数年。更关键的是，用户被明确禁止在未获许可的情况下逆向工程或理解平台工作原理，这一变化严重背离了 Arduino 长期倡导的开源精神。

这些变更标志着 Arduino 从开放社区平台向高度控制的商业服务转变，其用户数据（包括未成年人）将被整合进高通全球数据生态系统。此举对教育、创客、研究等领域造成重大冲击，尤其影响学术机器人研究。许多评论指出，高通对开源社区缺乏理解，其商业策略可能适得其反。

有观点认为，这反而为开源替代品创造了机会。Adafruit、PlatformIO、VSC 等平台可能成为新的主流选择。已有开发者呼吁重建开源生态，自行开发替代方案。有评论讽刺称，高通正用巨额资金购买豪华飞机，却忽视了社区信任这一核心资产。

整体来看，此次更新被视为对开源精神的重大背离，可能促使社区加速向更开放、透明的替代平台迁移。

HN 热度 427 points | 评论 229 comments | 作者：ChuckMcM | 1 day ago #

https://news.ycombinator.com/item?id=45984143

Arduino 的条款仅针对其云服务等在线平台，不影响开源硬件项目本身。
该条款是法律团队将标准 SaaS 服务条款套用到平台服务上的结果，属于常见做法。
“平台”定义明确限于网站、在线服务、论坛等，不包括本地开发工具或硬件。
限制逆向工程的条款可能引发公关危机，未来可能被移除。
Adafruit 作为销售商发布此类文章存在利益冲突。
该条款对 Arduino 用户上传内容的限制表述不合理，因 Arduino 并非主要上传平台。
Arduino 的历史存在争议，其早期工作可能借鉴了他人成果而未充分致谢。
有人呼吁提交 Hernando Barragan 的故事，强调其应得的认可。
Arduino 的角色更像一个发行版维护者，而非多数代码的原始版权持有者。
CLA 对已有 GPL 代码的再许可作用有限，除非获得所有原始贡献者的授权。
Arduino 对生态系统中多数组件并无版权，难以通过条款实现全面控制。
Qualcomm 对开源社区的控制行为虽可预见，但措辞过于强硬，令人意外。
该条款可能影响用户对 Arduino IDE 和库的本地使用与开发。

松动电线导致断电，撞上弗朗西斯·斯科特·基大桥 (Loose wire leads to blackout, contact with Francis Scott Key bridge) #

https://www.ntsb.gov/news/press-releases/Pages/NR20251118.aspx

2024 年 3 月 26 日，巴尔的摩的弗朗西斯·斯科特·基大桥因一艘 984 英尺长的集装箱船“达利号”发生电气故障而倒塌，造成六名公路工人死亡。美国国家运输安全委员会（NTSB）于 2025 年 11 月 18 日召开公开会议，宣布调查结果。

事故的直接原因是“达利号”船上一根松动的电线导致断路器意外跳闸，引发两次电力中断，致使船舶失去推进力和舵控能力。该电线因标签绑带阻碍未能完全插入端子块弹簧夹，造成连接不良。尽管船员和岸上调度员迅速采取应对措施，但因距离大桥过近，无法有效操控船舶。

撞击发生时，船上共有七名道路维护人员和一名检查员，六人不幸遇难。得益于船员、岸上调度员和马里兰州交通局及时关闭桥面交通，避免了更多伤亡。

调查发现，弗朗西斯·斯科特·基大桥缺乏抵御大型船舶撞击的防护措施。1980 年，一艘 390 英尺长的船只“蓝长崎号”撞击大桥仅造成轻微损坏，而“达利号”体积是其 10 倍，撞击后果严重。该事件暴露了美国全国范围内大量桥梁在面对大型船舶撞击时的脆弱性。

为此，美国交通部于 2025 年 3 月发布初步报告，指出许多桥梁所有者未意识到此类风险，尽管美国州公路与运输官员协会（AASHTO）早已建议进行风险评估。该报告已致信 30 个桥梁所有者，要求评估并制定减灾方案，所有单位均已回应。

基于调查结果，美国国家运输安全委员会向多个机构和企业发出 68 项安全建议，包括美国海岸警卫队、联邦公路管理局、日本船级社（ClassNK）、美国国家标准协会、现代重工、船级社、电气组件制造商瓦戈公司（WAGO）以及多个桥梁管理单位。

完整调查报告将在未来几周内发布。公众可通过 NTSB 官网获取事件摘要和建议进展。如需报告事故或联系应急响应中心，可拨打 1-844-373-9922 或 202-314-6290。

HN 热度 416 points | 评论 210 comments | 作者：DamnInteresting | 1 day ago #

https://news.ycombinator.com/item?id=45984659

事故的直接原因是松动的电线，但深层问题在于多重系统缺陷，如手动切换变压器、缺乏培训、燃料泵非冗余设计、主发动机无应急冷却等，体现了“瑞士奶酪模型”中的多层失效。
船舶运营环境恶劣，船员薪资低、责任重，实际工作条件与安全要求严重脱节，事故后被“软禁”处理，反映出系统性压榨。
航运业竞争激烈，成本控制严苛，导致维护和安全投入不足，许多船舶处于“事故待发”状态，只是尚未暴露。
NTSB 报告建议用红外相机全面检查船舶，但实际操作中难以实现，因船舶在港时系统多处于低负载状态，无法发现运行中的隐患。
船舶维修常由供应商技术人员在航行中完成，缺乏系统性测试，且船舶停靠时间极短，无法进行充分安全验证。
航运公司对事故调查结果反应迟缓，未主动改进其他船舶的安全措施，反映出对安全责任的漠视。
事故的根本原因并非个别故障，而是整个航运系统缺乏有效监管和资源投入，监管机构（如 MARAD）未被问责，暴露了监管缺位。
真正的“罪魁祸首”是系统性问题，包括低利润、低监管、高风险的行业生态，而非某个具体责任人。
航运公司为追求利润最大化，将风险转嫁给保险公司，缺乏主动改进安全的动力。
航运业事故率低，是因为侥幸未出事，而非系统真正安全，这种“幸存者偏差”掩盖了潜在危机。
应通过加强监管、提高行业准入标准、提升船员待遇和保障来根本改善航运安全，而非仅关注技术细节。

《红色警戒 2》网页版：Chrono Divide——基于网页技术的粉丝重制项目 (Red Alert 2 in web browser) #

https://chronodivide.com/

Chrono Divide 是一个由粉丝制作的项目，旨在使用网页技术重现经典即时战略游戏《命令与征服：红色警戒 2》。游戏完全在网页浏览器中运行，无需安装额外插件或应用程序，支持跨平台使用，可在电脑、手机和平板设备上畅玩。

目前项目已进入测试阶段，提供可玩的 Beta 版本，支持全部原版地图和完整的多人游戏功能。玩家可通过浏览器直接进入游戏，享受经典 RTS 玩法，同时支持左键或右键操作模式，可观看对战回放，并兼容大量原版 MOD。

项目采用客户端-服务器架构，避免了传统联机游戏中的端口转发和防火墙问题，提升了联机体验。游戏对硬件要求较低，最低配置为 Intel Atom Z3700 处理器和 4GB 内存，推荐使用 Intel Core i5 及 8GB 内存以获得更好性能。推荐使用最新版 Chrome、Edge 或 Safari 浏览器，Firefox 可能影响性能。

Chrono Divide 致力于实现与原版游戏功能完全一致，持续开发中。项目为非营利性质，不隶属于 Electronic Arts，所有版权仍归原所有者所有。欢迎玩家通过捐赠支持项目发展，帮助覆盖服务器成本和推动后续开发。

更多详情可查看官方更新日志，或加入 Discord 社区参与讨论。

HN 热度 376 points | 评论 126 comments | 作者：nsoonhui | 11 hours ago #

https://news.ycombinator.com/item?id=45991853

Red Alert 2 的源代码据传早已丢失，因此 Chrono Divide 团队能在浏览器中实现该游戏令人惊叹。
Mental Omega 模组项目仍在活跃，使得 Red Alert 2 至今仍具可玩性，希望其能在浏览器版本中正常运行。
EA 已公开了多数《命令与征服》系列游戏的源代码，但 Red Alert 2 未被包含，可能因源代码已丢失。
Tiberian Sun 和 Firestorm 的源代码也据传丢失，1999 年时期的即时战略游戏至今仍难以被复制。
Mental Omega 模组据传拥有完整的源代码和工具链，因此能实现远超原引擎能力的扩展。
游戏开发中源代码丢失的现象在当时极为普遍，反映出当时对资产和代码管理的严重缺失。
早期游戏公司普遍缺乏对源代码的保护意识，即使在游戏发布后也随意删除代码和资产。
一些公司甚至在项目终止后，为防止“知识产权”外流而强制清除开发人员本地的代码和数据。
有开发者回忆自己曾亲手删除大量珍贵的原始视频资料和代码，因公司倒闭而被当作废品处理。
有些游戏如 Panzer Dragoon Saga 和 MicroProse 的 Shandalar 的源代码也已丢失，属于行业普遍问题。
Westwood 被 EA 收购并关闭后，资产交接混乱，可能导致源代码在转移过程中丢失。
当时游戏工作室普遍不认为旧游戏未来会有价值，因此未进行系统性归档。
世界范围内，许多经典游戏的原始源代码因公司倒闭或管理不善而彻底消失。
《星际争霸》在韩国的流行可能对即时战略游戏的发展方向产生负面影响，导致后续作品更侧重多人平衡而非单人体验。
《最终幻想 14》的源代码丢失事件也表明，即使大公司也难以长期保存核心资产。
现代游戏公司已开始重视遗产保护，推动重制和重玩，但问题主要集中在早期作品上。
《暗黑破坏神 2》和《寂静岭 2》等经典游戏的源代码也曾丢失，反映出行业早期的管理混乱。
源代码丢失的背后，是当时对软件资产价值认知的严重不足，以及缺乏系统性的数据保存机制。

《Calvin and Hobbes》四十周年 (‘Calvin and Hobbes’ at 40) #

https://www.npr.org/2025/11/18/nx-s1-5564064/calvin-and-hobbes-bill-watterson-40-years-comic-strip-lee-salem

1985 年 11 月 18 日，漫画《 Calvin and Hobbes 》首次登上了报纸的漫画栏。这部作品由漫画家比尔·沃特森创作，讲述了一位 6 岁男孩卡尔文与他幻想中的玩具老虎霍布斯的冒险故事。尽管霍布斯在现实中只是一只玩具老虎，但在卡尔文的想象中，他是一位机智、富有哲思的伙伴，陪伴卡尔文面对日常生活中的挑战与奇思妙想。

这部漫画在短短十年间（1985–1995）风靡全美，以其独特的幽默感、深刻的思想性与高质量的绘画风格赢得了广泛赞誉。编辑李·萨莱姆回忆，初读时便被其震撼，认为它既新鲜又真实，唤起了许多人对童年生活的共鸣。他特别提到一幅经典画面：卡尔文发着高烧躺在床上，一边听着电视里夸张的肥皂剧，一边对读者笑着说：“有时候，我待在家里比去学校学到的还多。”这句充满讽刺意味的台词，也引来部分读者误解，甚至有人批评漫画“鼓励孩子逃学看成人剧集”，但萨莱姆认为这种讽刺的深层意味并未被所有人理解。

与以往经典儿童漫画角色如查理·布朗、丹尼斯·梅纳奇相比，卡尔文更具独立精神与冒险气质，更像《汤姆·索亚历险记》中的汤姆和哈克。霍布斯不仅是卡尔文的幻想伙伴，更是他内心世界的投射，是其思想与情感的镜像。萨莱姆指出，霍布斯是否真实存在并不重要，关键在于他对卡尔文而言是真实存在的，是朋友、是导师、是灵魂的另一半。

比尔·沃特森在 1995 年选择主动结束这部作品，因为他希望在更广阔的创作空间中，以更从容的节奏进行艺术表达。此后他极少公开露面，也未再推出新作。2019 年，编辑李·萨莱姆去世，但《Calvin and Hobbes》的影响持续至今，成为一代人心中不可替代的童年经典。

HN 热度 328 points | 评论 127 comments | 作者：mooreds | 12 hours ago #

https://news.ycombinator.com/item?id=45991787

《 Calvin and Hobbes 》是许多读者童年的重要组成部分，其智慧远超当时的主流文化与教育内容，但主角 Calvin 的反叛与疏离性格并非理想的人生榜样。
三十多年后，读者意识到可以以更务实和包容的方式面对生活中的矛盾与虚伪，而非一味坚持 Calvin 式的批判与傲慢。
有人认为 Calvin 并非角色模型，而是对童年孤独、聪明但不合群的精准描绘，而 Hobbes 才是理性与成熟的象征。
《 Calvin and Hobbes 》作为一部深刻反映人性的作品，其价值在于提供一种精神上的“避风港”，而非提供生活指南。
有观点指出，Calvin 所代表的讽刺、反英雄式角色在 90 年代流行文化中普遍存在，这种形象对成长中的孩子产生了负面影响，导致他们崇尚叛逆而非责任与共情。
与之对比，Cartman 等角色在《南方公园》中被塑造为无道德约束却总能得逞的“成功者”，其行为模式对儿童具有潜移默化的模仿效应，尽管节目本身并非为儿童设计。
一些人认为，尽管 Cartman 被设定为反派，但因其频繁获得笑声和成功，孩子会将其视为“有趣且有效”的行为模板，从而模仿其傲慢与操控。
《 Calvin and Hobbes 》的结束方式优雅而深刻，充满希望与谦逊，是极少数能以温柔方式谢幕的长篇作品。
有读者指出，Hobbes 的形象在后期失去了原本的爪垫细节，象征着角色从幻想走向现实的微妙转变。
《 Calvin and Hobbes 》的创作过程和作者沃特森的评论，揭示了作品随时间演变的深层逻辑与漫画出版行业的变迁。
有人反驳将 Calvin 与宗教人物约翰·加尔文相联系的说法，强调两者在性格与思想上并无关联，且加尔文本人实为富有同情心与进步思想的人物。
《 Calvin and Hobbes 》所代表的“疏离感”与“反叛精神”是 80-90 年代文化氛围的产物，与当时流行文化如《费里斯·布勒》等共同塑造了一代人的精神气质。

Hacker News 精彩评论及翻译 #

Loose wire leads to blackout, contact with Francis… #

https://news.ycombinator.com/item?id=45985858

I strongly recommend watching/reading the entire report, or the summary by Sal Mercogliano of What’s Going On In Shipping 0.

Yes, the loose wire was the immediate cause, but there was far more going wrong here. For example:

The transformer switchover was set to manual rather than automatic, so it didn’t automatically fail over to the backup transformer.
The crew did not routinely train transformer switchover procedures.
The two generators were both using a single non-redundant fuel pump (which was never intended to supply fuel to the generators!), which did not automatically restart after power was restored.
The main engine automatically shut down when the primary coolant pump lost power, rather than using an emergency water supply or letting it overheat.
The backup generator did not come online in time.

It’s a classic Swiss Cheese model. A lot of things had to go wrong for this accident to happen. Focusing on that one wire isn’t going to solve all the other issues. Wires, just like all other parts, will occasionally fail. One wire failure should never have caused an incident of this magnitude. Sure, there should probably be slightly better procedures for checking the wiring, but next time it’ll be a failed sensor, actuator, or controller board.

If we don’t focus on providing and ensuring a defense-in-depth, we will sooner or later see another incident like this.

crote

我强烈建议您完整阅读或观看这份报告，也可以阅读 Sal Mercogliano 关于《航运业究竟发生了什么》的摘要 0。

是的，松动的电线是直接原因，但其中存在的问题远不止于此。例如：

变压器切换被设置为手动模式，而非自动模式，因此它没有自动切换到备用变压器。
船员并未定期进行变压器切换程序的演练。
两台发电机都依赖一个非冗余的单一燃料泵（而这个泵的设计初衷并非为发电机供油），该泵在电力恢复后未能自动重启。
当主冷却水泵断电时，主发动机自动关闭，而不是使用紧急供水系统，或是允许其过热运行。
备用发电机未能及时启动。

这是一个典型的“瑞士奶酪模型”案例。要导致这起事故，必须同时发生一连串的失误。只关注那根电线是无法解决所有其他问题的。电线，就像所有其他部件一样，偶尔会发生故障。单根电线的故障绝不应该引发如此规模的重大事件。诚然，或许应该有更好的检查线路的程序，但下一次出问题的可能是一个传感器、一个执行器，或是一块控制板。

如果我们不专注于并确保实施“纵深防御”，那么我们迟早会再次看到类似的事件。

Europe is scaling back GDPR and relaxing AI laws #

https://news.ycombinator.com/item?id=45984395

I get that too many regulations is a bad thing. But when we talk privacy and personal data there should be no gray zone. It has to be black and white. When I see a stupid cookie banner I search for “Reject all”. There’s no some data that companies can collect and process without my consent, they just shouldn’t be able to collect anything without me actively opting in. Business never respects anything, but profits. Seeing news about relaxing these laws with the “AI” going after this leaves a bitter taste. And with them also trying to push the Chat Control thing, it gets even worse.

rckt

我明白过多的规定是个坏事。但当我们谈论隐私和个人数据时，就不该存在灰色地带。必须是黑白分明的。当我看到那种愚蠢的 Cookie 提示条时，我会直接搜索“拒绝全部”。没有任何数据可以在未经我同意的情况下被公司收集和处理，他们本就不应该在我主动选择加入之前收集任何信息。商业公司从来只尊重利润，对其他概不尊重。看到新闻说要放宽这些法律，还打着“人工智能”的旗号，真是令人不快。而他们又在试图推行“聊天控制”（Chat Control）这类东西，情况变得更糟了。

Europe is scaling back GDPR and relaxing AI laws #

https://news.ycombinator.com/item?id=45981361

There has been a change in the community here over the last decade, we’ve lost a lot of the hacker spirit and have a larger proportion of “chancers”, people who are only in tech to “get rich quick”. The legacy of ZIRP combined with The Social Network marketing.

radicalbyte

过去十年间，我们这里的社区氛围发生了变化，许多‘黑客精神’已经消逝，取而代之的是更多想‘快速致富’的投机者。这是零利率政策（ZIRP）与《社交网络》这部电影营销共同留下的遗产。

Microsoft AI CEO pushes back against critics after… #

https://news.ycombinator.com/item?id=45985168

The fact that people are unimpressed that we can have a fluent conversation with a super smart AI that can generate any image/video is mindblowing to me.

It’s not that people are unimpressed with AI - they’re just tired of constantly being bombarded with it, and it sneaking its way into where it’s not wanted. “Generate any image you want!” “Analyse this thing with AI!” gets pretty tiring.

If I want AI I’ll actively seek it out and use it - otherwise, jog on.

hifix

人们能和这样一个能生成任何图像/视频的超级智能AI进行流畅对话，他们却毫无印象，这一点让我感到震惊。

人们并不是对AI本身不感兴趣，只是厌倦了无时无刻不被它狂轰滥炸，以及它悄无声息地渗透到不希望出现的角落。“生成你想要的任何图像！”“用这个AI分析一下这个！”真的让人很疲惫。

如果我需要AI，我会主动去寻找和使用它，否则，请走开。

Nano Banana Pro #

https://news.ycombinator.com/item?id=45995765

Google has been stomping around like Godzilla this week, and this is the first time I decided to link my card to their AI studio.

I had seen people saying that they gave up and went to another platform because it was “impossible to pay”. I thought this was strange, but after trying to get a working API key for the past half hour, I see what they mean.

Everything is set up, I see a message that says “You’re using Paid API key [NanoBanano] as part of [NanoBanano]. All requests sent in this session will be charged.” Go to prompt, and I get a “permission denied” error.

There is no point in having impressive models if you make it a chore for me to -give you my money-

ceroxylon

谷歌这周简直像哥斯拉一样横冲直撞，这是我第一次决定把我的信用卡绑定到他们的AI工作室。

我看到有人说他们放弃了，转去了别的平台，因为“支付根本不可能”。我觉得这很奇怪，但在过去半小时尝试获取一个能用的API密钥后，我明白他们是什么意思了。

一切都设置好了，我看到一条消息写着：“您正在使用付费API密钥[NanoBanano]，作为[NanoBanano]的一部分。本次会话中发出的所有请求都将被收费。”可我一去调用提示，就收到了一个“权限被拒绝”的错误。

如果你的模型再厉害，却让我花钱都这么费劲，那又有什么意义呢？

Europe is scaling back GDPR and relaxing AI laws #

https://news.ycombinator.com/item?id=45984688

I’ve stopped thinking of regulations as a single dial, where more regulations is bad or less regulations is bad. It entirely depends on what is being regulated and how. Some areas need more regulations, some areas need less. Some areas need altered regulation. Some areas have just the right regulations. Most regulations can be improved, some more than others.

energy123

我不再把监管看作是一个简单的旋钮，认为监管多了不好，监管少了就一定好。这完全取决于监管的对象和方式。有些领域需要更多监管，有些领域则需要更少。有些领域需要调整监管方式，有些领域的监管则恰到好处。大多数监管都有改进的空间，只是程度不同而已。

CBP is monitoring US drivers and detaining those w… #

https://news.ycombinator.com/item?id=45997140

It’s been fascinating watching the party of “small government” turn into one that supports ever expanding powers of a three letter agency whose job is supposed to be patrolling the border. It’s like a new 9/11 Patriot act moment, except it’s only one side supporting it this time.

hypeatei

看着“小政府”党派转变为支持一个三字母机构不断扩大的权力，而这个机构的职责本应是巡逻边境，这真是令人着迷。这就像一场新的“9·11”《爱国者法案》时刻，只不过这一次，只有一方在支持它。

Thunderbird adds native Microsoft Exchange email s… #

https://news.ycombinator.com/item?id=45982201

While its been a long time since Ive used Thunderbird, I just wanted to take the time to publicly say thank you.

Many HNers probably wont (or cant) remember the world of desktop mail clients but basically during the height of MSFT dominance there was only one real mail client: Outlook. Which Microsoft was starting to monetize heavily, ignore UX, and keep it windows only (cant blame them for that).

Then Thunderbird arrived on the scene, an OSS mail client that beat the pants off of Outlook in features, spam detection, IMAP support and a bunch of other things.

And it was free.

And you could use it on any machine.

This was a huge moment for OSS.

We owe a lot of credit to Mozilla and Thunderbird for rescuing us from a closed source world.

bnchrch

虽然我已经很久没用过雷鸟（Thunderbird）了，但我想借此机会公开地表达我的感谢。

很多 Hacker News 的用户可能已经（或无法）记起桌面邮件客户端的时代，但基本上在微软鼎盛时期，只有一个真正的邮件客户端：Outlook。而微软当时正在对其进行大规模商业化，忽视用户体验，并且坚持仅在 Windows 平台使用（为此他们无可指责）。

接着，雷鸟横空出世，作为一个开源邮件客户端，它的功能、垃圾邮件检测、IMAP 支持以及其他诸多方面都把 Outlook 甩在了身后。

而且它是免费的。

你可以在任何机器上使用它。

这对开源软件来说是一个重要的时刻。

我们欠 Mozilla 和雷鸟很多，感谢他们将我们从封闭源码的世界中拯救出来。

Gaming on Linux has never been more approachable #

https://news.ycombinator.com/item?id=45986917

I recently had my Framework Desktop delivered. I didn’t plan on using it for gaming, but I figured I should at least try. My experience thus far:

I installed Fedora 43 and it (totally unsurprisingly) worked great.
I installed Steam from Fedora’s software app, and that worked great as well.
I installed Cyberpunk 2077 from Steam, and it just… worked. Big thanks to Valve for making this as smooth as it was. I was able to go from no operating system to Cyberpunk running with zero terminals open or configs tweaked.

I later got a hankering to play Deus Ex: Mankind Divided. This time, the game would not work and Steam wasn’t really forthcoming with showing logs. I figured out how to see the logs, and then did what you do these days - I showed the logs to an AI. The problem, slightly ironically, with MD is that it has a Linux build and Steam was trying to run that thing by default. The Linux build (totally unsurprisingly) had all kinds of version issues with libraries. The resolution there was just to tell Steam to run the Windows build instead and that worked great.

vinkelhake

我最近收到了我的 Framework 台式机。我本来没打算用它玩游戏，但觉得至少应该试一试。到目前为止的体验是：

我安装了 Fedora 43，结果（完全不出所料）运行得非常好。
我从 Fedora 的软件应用商店安装了 Steam，也运行得非常好。
我从 Steam 上安装了《赛博朋克 2077》，结果它……居然直接就运行了。

非常感谢 Valve，整个过程才会如此顺利。我能够从一个没有操作系统的状态，到《赛博朋克 2077》成功运行，全程没有打开任何终端或修改任何配置。

后来我又突然想玩《杀出重围：人类分裂》。这一次，游戏就是无法运行，而且 Steam 也没有显示日志。我找到了查看日志的方法，然后做了现在大家都会做的事——我把日志拿给 AI 看。MD 的问题（带点讽刺意味的是）在于它有 Linux 版本，而 Steam 默认试图运行这个版本。这个 Linux 版本（再次完全不出所料）在与各种库的版本兼容上存在一堆问题。解决方法很简单，就是告诉 Steam 运行 Windows 版本，结果就完美运行了。

CBP is monitoring US drivers and detaining those w… #

https://news.ycombinator.com/item?id=45997278

License plate scanners are one of the most under-appreciated violations of personal privacy that exist today.

It’s not just government use either. There are private companies that scan vast numbers of license plates (sometimes by driving around parking lots with a camera), build a database of what plate was seen where at what time, then sell access to both law enforcement and I believe private investigators.

Want to know if your spouse is having an affair? Those databases may well have the answer.

Here is a Wired story from 2014 about Vigilant Solutions, founded in 2009: https://www.wired.com/2014/05/license-plate-tracking/

I believe Vigilant only provide access to law enforcement, but Digital Recognition Network sell access to others as well: https://drndata.com/about/

Good Vice story about that: https://www.vice.com/en/article/i-tracked-someone-with-license-plate-readers-drn/

simonw

车牌扫描器是当今存在最不受重视、也最能侵犯个人隐私的行为之一。

这不仅仅是政府在用。一些私营公司也会扫描海量的车牌信息（有时会开着车在停车场里用摄像头拍摄），建立关于车牌何时何地被拍到的数据库，然后将数据库的访问权限出售给执法部门，我想也包括私家侦探。

想知道你的伴侣是否出轨吗？这些数据库很可能就能给你答案。

这是一篇2014年发表在《连线》杂志上关于Vigilant Solutions公司的文章，该公司成立于2009年：https://www.wired.com/2014/05/license-plate-tracking/

我相信Vigilant公司只向执法部门提供访问权限，但数字识别网络公司（Digital Recognition Network）也会向其他机构出售：https://drndata.com/about/

VICE杂志有一篇关于此的精彩报道：https://www.vice.com/en/article/i-tracked-someone-with-license-plate-readers-drn/

What Killed Perl? #

https://news.ycombinator.com/item?id=45982756

The backwards incompatibility of Perl 6 absolutely killed Perl.

There are many languages still in use today that have all kinds of warts and ugliness, but they remain in use because they still have momentum and lots of legacy things built in them. So being ugly or old isn’t enough of a factor for people to abandon something in droves.

Once you need to rewrite everything, there’s no reason to stay with something you know since you need to fully retool anyway.

As a Perl programmer since v5 was released, the confusion around 6 completely destroyed almost everyone’s enthusiasm, and immediately caused all new projects to avoid Perl. It seemed like 5 had reached the end of the line, and 6 was nowhere to be found. Nobody wants to gamble so many hours of their lives, and the future of their business, on such an uncertain environment.

If Perl 6 had any visible movement within the first few years, it might have survived, but it was a good decade before they even admitted Perl 6 might take longer than expected, and then more time after that before they admitted it should have been a new language. 6 was interesting for language geeks, and they probably did some cool things, but you can’t run a large popular project like it’s a small research project. That completely destroyed all momentum in the community. Perl 5 development only resumed far too late, after the writing was already on the wall.

Both Bill Gates and Linus understand backwards compatibility as a sacrosanct principle. Python only just barely survived the jump from 2 to 3. JavaScript can only survive this because there’s no other option in a browser.

orev

Perl 6 的不向后兼容性彻底扼杀了 Perl。

至今仍有许多语言在使用，它们存在各种缺陷和丑陋之处，但它们之所以得以保留，是因为它们依然保持着强大的发展势头，并且内置了大量遗留功能。因此，仅仅因为语言丑陋或老旧，并不足以让人们大规模地抛弃它。

一旦你需要重写所有东西，那就没有理由继续留在你所熟悉的平台上了，因为你反正也需要完全重新学习工具。

作为一名自 Perl 5 发布起就开始使用的 Perl 程序员，关于 Perl 6 的混乱局面彻底摧毁了几乎所有开发者的热情，并立即导致所有新项目都避开了 Perl。当时看起来，Perl 5 似乎已经走到了尽头，而 Perl 6 却杳无音信。没有人愿意用自己的生命时光和企业的未来，去为一个如此不确定的环境下注。

如果 Perl 6 在最初的几年里能展现出任何可见的进展，它或许还有生存的机会，但他们花了整整十年时间才承认 Perl 6 可能会比预期耗时更长，又过了更长时间才承认它本该是一门新语言。Perl 6 对语言极客们来说很有趣，而且他们可能确实做了些很酷的事情，但你不能把一个大型知名项目当成一个小型研究项目来运作。这完全摧毁了社区的所有发展势头。Perl 5 的开发重启得太晚了，当时一切都已为时已晚。

无论是比尔·盖茨还是林纳斯·托瓦兹，都理解向后兼容性是一个神圣不可侵犯的原则。Python 差点就没能从 2 版本成功过渡到 3 版本。JavaScript 之所以能存活下来，仅仅因为在浏览器环境中别无选择。

Building more with GPT-5.1-Codex-Max #

https://news.ycombinator.com/item?id=45983286

I would love to see all the big players put 1% of the effort they put into model training into making the basic process of paying and signing in suck less.

Claude: they barely have a signin system at all. Multiple account support doesn’t exist. The minimum seat count for business is nonsense. The data retention policies are weak.

OpenAI: Make ZDR a thing you can use or buy without talking to sales, already. And for those using containers or a remote system or really anything other than local development with the codex CLI, you really really need to fix this bug. I bet Codex could do at least the client part for you!

https://github.com/openai/codex/issues/2798

(Hint: Claude Code gets this right by default, despite the fact that everything else about Claude sign-in is a joke.)

Google: get all your B2B AI product managers in one room and tell them that they need to make one single product menu on one single webpage with all the pricing on that page and that the Google Cloud people are not permitted to make anything that isn’t actually logically Google Cloud depend on Google Cloud Billing. Your product cannot compete with OpenAI or Anthropic if people need to ask an LLM to figure out what your product is and if your own fancy LLMs can’t give a straight answer. My company pays for a non-Google product primarily because it’s too complicated to pay for the Google product! Right now, trying to use Google’s AI is like trying to ride Bay Area public transit before the Clipper Card.

amluto

我真希望所有行业巨头，能将其在模型训练上投入的1%的努力，用于改善付费和登录这类基本流程的用户体验。

Claude：他们的登录系统简直形同虚设。不支持多账户切换。商业版的最小座位数要求太离谱了。数据保留政策也过于薄弱。

OpenAI：拜托了，让ZDR成为一款可以直接购买或使用的产品，别再强制用户联系销售了。此外，对于那些使用容器、远程系统，或者任何不通过 codex CLI（命令行接口）进行本地开发的人来说，你们真的、真的必须修复这个bug。我打赌，Codex 至少能帮你们搞定客户端这部分！

Google：把你们所有的B2B AI产品经理叫到一个房间里，告诉他们：他们需要在一个网页上创建一个统一的产品菜单，并列明所有产品的价格。同时，严禁Google Cloud团队让任何在逻辑上并非真正属于Google Cloud的产品，去依赖Google Cloud的计费系统。如果用户需要求助大语言模型（LLM）才能搞懂你们的产品是什么，而你们自己那些花里胡哨的LLM也无法给出明确答案，那么你们的产品就无法与OpenAI或Anthropic竞争。我们公司之所以购买非谷歌的产品，主要原因是购买谷歌的产品实在太复杂了！目前，尝试使用谷歌的AI，就像在湾区Clipper公交卡普及之前乘坐那里的公共交通一样。

Claude Code 在这方面默认就做得很好，尽管Claude的其他登录功能简直是个笑话。

Show HN: I made a down detector for down detector #

https://news.ycombinator.com/item?id=45976849

As a European solo developer, I’ve switched entirely to European alternatives for all my infrastructure since the beginning of the year.

Cloudflare > Bunny.net

AWS > Hetzner

Business email > Infomaniak

Not a single client site has experienced downtime, and it feels great to finally decouple from U.S. services.

spyridonas

作为一名欧洲独立开发者，我从年初开始就将所有基础设施完全切换成了欧洲的替代服务。

Cloudflare > Bunny.net AWS > Hetzner 商务邮箱 > Infomaniak

没有任何一个客户网站出现过停机，我终于摆脱了对美国服务的依赖，感觉太棒了。

Europe is scaling back GDPR and relaxing AI laws #

https://news.ycombinator.com/item?id=45983324

I sympathize with the startup argument: heavy compliance costs can stifle early innovation. But the solution shouldn’t be “weaker rules.” It should be smarter rules, clearer safe harbors for small actors, browser-level consent primitives for users, and stronger enforcement against dark-pattern CMPs. That keeps privacy meaningful without killing small businesses.

danishSuri1994

我认同初创公司的观点：高昂的合规成本会扼杀早期的创新。但解决方案不应是“更宽松的规定”，而应是更智能的规定、为小型参与者提供更明确的“安全港”、用户在浏览器层面的同意基础机制，以及对“暗黑模式”CMP（隐私合规管理平台）更严格的执法。这样才能在保护隐私的同时，又不扼杀小型企业。

Android/Linux Dual Boot #

https://news.ycombinator.com/item?id=45990978

sideloading

It’s called installing. Language matters and I see no reason to concede this point in Google’s favour.

24t

这叫安装。用词很重要，我看不出有什么理由要在这个问题上向谷歌让步。

Building more with GPT-5.1-Codex-Max #

https://news.ycombinator.com/item?id=45983533

I’ve been using a lot of Claude and Codex recently.

One huge difference I notice between Codex and Claude code is that, while Claude basically disregards your instructions (CLAUDE.md) entirely, Codex is extremely, painfully, doggedly persistent in following every last character of them - to the point that i’ve seen it work for 30 minutes to convolute some solution that was only convoluted because of some sentence I threw in the instructions I had completely forgotten about.

I imagine Codex as the “literal genie” - it’ll give you exactly what you asked for. EXACTLY. If you ask Claude to fix a test that accidentally says assert(1 + 1 === 3), it’ll say “this is clearly a typo” and just rewrite the test. Codex will rewrite the entire V8 engine to break arithmetic.

Both these tools have their uses, and I don’t think one approach is universally better. Because Claude just hacks its way to a solution, it is really fast, so I like using it for iterate web work, where I need to tweak some styles and I need a fast iterative loop. Codex is much worse at that because it takes like 5 minutes to validate everything is correct. Codex is much better for longer, harder tasks that have to be correct – I can just write some script to verify that what it did work, and let it spin for 30-40 minutes.

johnfn

我最近一直在大量使用 Claude 和 Codex。

我注意到 Codex 和 Claude 代码之间一个巨大的区别是：尽管 Claude 基本上完全无视你的指令（CLAUDE.md），但 Codex 却会极其痛苦、顽固地坚持遵循指令的每一个字符——以至于我曾看到它为了一个仅仅是因为我在指令中随手写下的、我自己已经完全忘记的句子而导致变得复杂的解决方案，而花了 30 分钟来绞尽脑汁。

我把 Codex 想象成一个“字面愿望精灵”——它会给你你要求的东西。不多不少，正是如此。如果你让 Claude 修复一个意外中写着 assert(1 + 1 === 3) 的测试，它会说“这显然是个笔误”，然后直接重写测试。而 Codex 则会重写整个 V8 引擎来破坏算术运算。

这两个工具各有其用武之地，我不认为哪种方法普遍更好。因为 Claude 会用一种“野路子”快速找到解决方案，所以速度非常快，我喜欢用它来迭代处理网页工作，这种工作只需要调整一些样式，并且需要快速的迭代循环。Codex 在这方面就差多了，因为它需要大约 5 分钟来验证一切是否正确。Codex 更适合那些需要绝对正确的、更长、更艰巨的任务——我可以写一个脚本来验证它的成果是否有效，然后让它自己花上 30 到 40 分钟去运行。

Building more with GPT-5.1-Codex-Max #

https://news.ycombinator.com/item?id=45983698

Claude basically disregards your instructions (CLAUDE.md) entirely

A friend of mine tells Claude to always address him as “Mr Tinkleberry”, he says he can tell when Claude is not paying attention to the instructions on CLAUDE.md when Claude stops calling him “Mr Tinkleberry” consistently

nico

克劳德基本上完全无视你的指令（CLAUDE.md）。我朋友让克劳德一直称呼他为“廷克尔伯里先生”，他说，当克劳德不再持续称呼他“廷克尔伯里先生”时，他就能看出克劳德没有在关注 CLAUDE.md 上的指令。

Cognitive and mental health correlates of short-fo… #

https://news.ycombinator.com/item?id=45985084

As someone who pays for YouTube, I don’t understand why I can’t disable shorts fully. They already have my money. What more do they want?

nverba

作为一个付费用户，我真的搞不懂为什么我无法彻底关闭Shorts。他们已经收了我的钱，还想怎样？

Gaming on Linux has never been more approachable #

https://news.ycombinator.com/item?id=45985945

Community forums/support from big companies like Microsoft and Adobe tend to be completely useless. In most cases, all threads follow the same flow:

Question with reasonable amount of detail.
A reply from some “Community Helper” (Rank: Gold): “did you try reading the help files?”
Another person with a “Staff” badge: “this isn’t our department”

[Thread closed.]

ronsor

像微软和Adobe这样大公司的社区论坛/支持通常完全没用。在大多数情况下，所有帖子都遵循相同的流程：

一个包含合理细节的问题。
某个“社区达人”（等级：黄金）回复：“你试过读帮助文件了吗？”
另一个带有“员工”徽章的人：“这不归我们部门管。”

[帖子已关闭。]

I just want working RCS messaging #

https://news.ycombinator.com/item?id=45976915

Yeah… I just started getting back into building sms/mms/rcs apps on Android and oh boy. It’s much more of a mess than I expected, and much more “oh so it’s basically just Google now, and they seem to be trying to lock it down further” than I expected (or hoped).

And you can’t even implement it yourself because it requires special permissions on Android, which you can only get if you’re a carrier/oem-blessed app. And the early “you’ll be able to build other apps, there will be an API like this: https://github.com/android-rcs/rcsjta " promises (which would put it on par with sms/mms) never materialized, despite a reference implementation that did exactly that over a decade ago.

At this point I’m just totally against RCS and I’m intentionally turning it off. Why hand all of your messaging communications over to Google, when they’ve got such a consistent history of being hostile? We’re much better off going back to telling people not to use sms (or mms or rcs) at all because it’s insecure.

Groxx

是啊……我刚重新开始在安卓上开发短信/彩信/RCS应用，天呐。这比我预想的要混乱得多，而且比我想象（或希望）的要严重得多，感觉“哦，原来这基本上就是谷歌说了算，而且他们似乎还试图进一步把它管死”。

你甚至都无法自己实现它，因为它需要安卓的特殊权限，而这些权限只有运营商或设备制造商授权的应用才能获得。早期那些“你将能够开发其他应用，会有这样的API：https://github.com/android-rcs/rcsjta”的承诺（本会让它达到与短信/彩信同等的水平）也从未实现，尽管早在十多年前就已经有一个完全实现了这一点的参考实现。

到了这个地步，我完全反对RCS了，并且我有意把它关掉。既然谷歌一直有这种不友好的“黑历史”，我们干嘛要把所有的消息通信都交给他们？我们最好还是回到劝别人根本别用短信（或彩信或RCS）的老路，因为它不安全。

Cloudflare outage on November 18, 2025 post mortem #

https://news.ycombinator.com/item?id=45973896

This showed up to Internet users trying to access our customers' sites as an error page indicating a failure within Cloudflare’s network.

As a visitor to random web pages, I definitely appreciated this—much better than their completely false “checking the security of your connection” message.

The issue was not caused, directly or indirectly, by a cyber attack or malicious activity of any kind. Instead, it was triggered by a change to one of our database systems' permissions

Also appreciate the honesty here.

On 18 November 2025 at 11:20 UTC (all times in this blog are UTC), Cloudflare’s network began experiencing significant failures to deliver core network traffic. […]

Core traffic was largely flowing as normal by 14:30. We worked over the next few hours to mitigate increased load on various parts of our network as traffic rushed back online. As of 17:06 all systems at Cloudflare were functioning as normal.

Why did this take so long to resolve? I read through the entire article, and I understand why the outage happened, but when most of the network goes down, why wasn’t the first step to revert any recent configuration changes, even ones that seem unrelated to the outage? (Or did I just misread something and this was explained somewhere?)

Of course, the correct solution is always obvious in retrospect, and it’s impressive that it only took 7 minutes between the start of the outage and the incident being investigated, but it taking a further 4 hours to resolve the problem and 8 hours total for everything to be back to normal isn’t great.

gucci-on-fleek

对于试图访问我们客户网站的互联网用户来说，这显示为一个错误页面，表明Cloudflare的网络内部出现了故障。

作为一个随机网页的访问者，我真的很欣赏这一点——这比他们那句完全不真实的“正在检查您的连接安全性”的提示要好得多。

此问题并非由任何形式的网络攻击或恶意活动直接或间接导致。相反，它是由我们其中一个数据库系统的权限变更所引发的。

同样，这里也体现了他们的诚实。

2025年11月18日11:20 UTC（本文中的所有时间均为UTC），Cloudflare的网络开始无法有效传输核心网络流量，并出现了严重故障。

到14:30，核心流量已基本恢复正常。在随后的几个小时里，我们努力应对网络各部分因流量集中恢复而激增的负载。截至17:06，Cloudflare的所有系统均已恢复正常运行。

为什么花了这么长时间才解决？我通读了整篇文章，我理解了这次故障发生的原因，但当大部分网络都瘫痪时，为什么第一步不是回退任何最近的配置更改，即使这些更改看似与故障无关？（还是我哪里读错了，文章里其实有解释？）

当然，事后看来，正确的解决方案总是显而易见的，而且值得称赞的是，从故障发生到开始调查只用了7分钟，但在此基础上又花了4个小时才解决问题，总共耗时8小时才恢复正常，这并不理想。

A $1k AWS mistake #

https://news.ycombinator.com/item?id=45978260

These sort of things show up about once a day between the three big cloud subreddit. Often with larger amounts

And it’s always the same - clouds refuse to provide anything more than alerts (that are delayed) and your only option is prayer and begging for mercy.

Followed by people claiming with absolute certainty that it’s literally technically impossible to provide hard capped accounts to tinkerers despite there being accounts like that in existence already (some azure accounts are hardcapped by amount but ofc that’s not loudly advertised).

Havoc

这类事情在三大云服务的子论坛上大概每天都会出现一次，而且往往涉及更大的金额。

情况永远如此——云服务商除了提供延迟的警报外，什么也不给，而你唯一的选项就是祈祷和乞求怜悯。

然后总会有人斩钉截铁地声称，对于 tinkers（爱好者/开发者）来说，提供真正有硬性上限的账户在技术上简直是绝无可能的，尽管事实上已经存在这样的账户（比如有些 Azure 账户是按金额硬性限制的，当然这不会被大肆宣传）。

Verifying your Matrix devices is becoming mandator… #

https://news.ycombinator.com/item?id=45988038

I decommissioned my server 3 months ago and migrated my community back to IRC. I still had the IRC Podman containers kicking around, so that was easy.

I dealt with ~monthly issues around my devices not being correctly verified, messages not correctly decrypting, and various other rough UX edges. There seemed to be a lot of velocity in the beginning but the last couple of years have addressed approximately nothing in terms of the UX and it’s a crying shame as Matrix/Element (I no longer fully understand the difference/relationship between these entities) had a lot of potential.

unbolted3032

三个月前我停用了我的服务器，并将我的社群迁移回了IRC。因为我手头还留着IRC的Podman容器，所以这个过程很顺利。

我过去每个月都要处理设备验证不正确、消息无法正确解密，以及其他各种糟糕的用户体验问题。Matrix/Element（我已不再完全清楚这两者之间的区别与关系）在初期似乎发展势头很猛，但过去几年里，其用户体验方面基本没有任何改进，这真是令人扼腕叹息，因为它本拥有巨大的潜力。

HackerNews AI 摘要修改

HackerNews AI 摘要的 RSS 预览

2025-11-25 Hacker News Top Stories #

Fran Sans——灵感源自旧金山 Muni Breda 轻轨车辆目的地显示屏的字体 (Fran Sans – font inspired by San Francisco light rail displays) #

HN 热度 1110 points | 评论 136 comments | 作者：ChrisArchitect | 1 day ago #

Shai-Hulud 归来：超 300 个 NPM 包遭感染 (Shai-Hulud Returns: Over 300 NPM Packages Infected) #

HN 热度 847 points | 评论 687 comments | 作者：mrdosija | 14 hours ago #

X 新国籍功能曝光大量“美国”账号实为海外运营 (X’s new country-of-origin feature reveals many ‘US’ accounts to be foreign-run) #

HN 热度 526 points | 评论 287 comments | 作者：ourmandave | 1 day ago #

爱荷华城推行公交免费后，交通畅通，空气也清新了 (Iowa City made its buses free. Traffic cleared, and so did the air) #

HN 热度 466 points | 评论 573 comments | 作者：bookofjoe | 1 day ago #

macOS 安全飞地（Secure Enclave）原生支持 SSH 密钥生成与管理 (Native Secure Enclave backed SSH keys on macOS) #

HN 热度 446 points | 评论 186 comments | 作者：arianvanp | 1 day ago #

µcad：一款开源编程语言，用于生成 2D 草图与 3D 模型 (µcad: New open source programming language that can generate 2D sketches and 3D) #

HN 热度 374 points | 评论 122 comments | 作者：todsacerdoti | 1 day ago #

Shai Hulud 发起第二次供应链攻击：Zapier、ENS、AsyncAPI、PostHog、Postman 等项目遭 compromise (Shai Hulud launches second supply-chain attack) #

HN 热度 339 points | 评论 19 comments | 作者：birdculture | 9 hours ago #

RuBee：一种用于高安全性环境的低频无线资产追踪技术 (RuBee) #

HN 热度 329 points | 评论 58 comments | 作者：Sniffnoy | 22 hours ago #

NSA 与 IETF，第四部分：被压制的不同意见实例 (NSA and IETF, part 3: Dodging the issues at hand) #

HN 热度 294 points | 评论 169 comments | 作者：upofadown | 13 hours ago #

日本押注北海道打造全球半导体新中心 (Japan’s gamble to turn island of Hokkaido into global chip hub) #

HN 热度 281 points | 评论 423 comments | 作者：1659447091 | 22 hours ago #

Hacker News 精彩评论及翻译 #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

X’s new country-of-origin feature reveals many ‘US… #

Claude Opus 4.5 #

France threatens GrapheneOS with arrests / server … #

Japan’s gamble to turn island of Hokkaido into glo… #

We stopped roadmap work for a week and fixed bugs #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

X’s new country-of-origin feature reveals many ‘US… #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

The Cloudflare outage might be a good thing #

Claude Opus 4.5 #

Git 3.0 will use main as the default branch #

Iowa City made its buses free. Traffic cleared, an… #

NSA and IETF, part 3: Dodging the issues at hand #

Shai-Hulud Returns: Over 300 NPM Packages Infected #

France threatens GrapheneOS with arrests / server … #

Doge ‘doesn’t exist’ with eight months left on its… #

Fran Sans – font inspired by San Francisco light r… #

1M Downloads of Zorin OS 18 #

Disney Lost Roger Rabbit #

We stopped roadmap work for a week and fixed bugs #

Implications of AI to schools #

Several core problems with Rust #

After my dad died, we found the love letters #

2025-11-24 Hacker News Top Stories #

父亲去世后，我们发现了那些隐藏的情书 (After my dad died, we found the love letters) #

HN 热度 745 points | 评论 360 comments | 作者：eatitraw | 15 hours ago #

浏览器指纹识别的隐私噩梦 (The privacy nightmare of browser fingerprinting) #

HN 热度 709 points | 评论 404 comments | 作者：ingve | 1 day ago #

Meta 被隐瞒的“因果证据”显示社交平台对用户造成伤害，美国法院文件指控 (Meta buried ‘causal’ evidence of social media harm, US court filings allege) #

HN 热度 612 points | 评论 255 comments | 作者：pseudolus | 23 hours ago #

垄断性 ISP 拒绝修复上游基础设施问题 (A monopoly ISP refuses to fix upstream infrastructure) #

HN 热度 579 points | 评论 295 comments | 作者：vedmed | 23 hours ago #

1985 年 11 月 24 日：全球多地爆发重大事件，凸显冷战高峰期国际局势的紧张与动荡 (Show HN: Forty.News – Daily news, but on a 40-year delay) #

HN 热度 405 points | 评论 161 comments | 作者：foxbarrington | 1 day ago #

中国通过“培育”钍转化铀实现能源里程碑 (China reaches energy milestone by “breeding” uranium from thorium) #

HN 热度 330 points | 评论 292 comments | 作者：surprisetalk | 1 day ago #

如何仅用 x 和 y 坐标通过着色器绘制高保真图形 (Shaders: How to draw high fidelity graphics with just x and y coordinates) #

HN 热度 319 points | 评论 70 comments | 作者：Garbage | 12 hours ago #

成为流行明星的现实 (The realities of being a pop star) #

HN 热度 310 points | 评论 219 comments | 作者：lovestory | 1 day ago #

Meta 被指长期低估平台对儿童的危害并误导公众 (Court filings allege Meta downplayed risks to children and misled the public) #

HN 热度 302 points | 评论 132 comments | 作者：binning | 9 hours ago #

https://download.racket-lang.org/ 下载 (Racket v9.0) #

HN 热度 254 points | 评论 90 comments | 作者：Fice | 11 hours ago #

Hacker News 精彩评论及翻译 #

The privacy nightmare of browser fingerprinting #

After my dad died, we found the love letters #

A monopoly ISP refuses to fix upstream infrastruct… #

Meta buried ‘causal’ evidence of social media harm… #

Markdown is holding you back #

China reaches energy milestone by “breeding” urani… #

A monopoly ISP refuses to fix upstream infrastruct… #

After my dad died, we found the love letters #

$1900 Bug Bounty to Fix the Lenovo Legion Pro 7 16… #

Agent design is still hard #