2024-05-07 Hacker## 一句话摘要 #

1. Social engineering takeovers of open source projects 开源安全性警报文章提醒开源项目社区注意社会工程攻击，建议维护者警惕并采取措施保护项目安全。
2. Israel shuts down local Al Jazeera offices 以色列当局关闭半岛电视台国内办公室，引发对言论自由的新担忧和对政府审查的批评。
3. Deep Reinforcement Learning: Zero to Hero GitHub 项目提供深度强化学习算法入门课程，教授如何从头编写并理解 DQN、SAC、PPO 等算法。
4. Bollards: Why and What 文章讨论了路障的重要性，强调其在保护行人和建筑物安全方面的作用，并批评了城市设计中的一些错误做法。
5. Remnants of a legendary typeface have been rescued from the Thames 一个世纪前被丢弃的 Doves 字体的金属活字块从泰晤士河中被打捞并数字化，重现了这种字体的辉煌。
6. Monitoring energy usage with smart plugs, Prometheus and Grafana 文章介绍了如何使用智能插座、Prometheus 和 Grafana 来监控和测量家庭电器的能源消耗。
7. A fourteen-day free trial ain’t gonna cut it 文章讨论了免费试用期的长度对软件转化率的影响，作者通过延长试用期来提高用户转化。
8. “Meta spent almost as much as the Manhattan Project on GPUs in today’s dollars” 推文提到 Meta 在 GPU 上的花费几乎等同于曼哈顿计划的成本，突显了公司在 AI 模型训练上的巨额投资。
9. Show HN: A free site to explore and discover 6k plants GetAnyPlant 网站提供了一个超过 6,000 种植物的在线数据库，允许用户根据多种特征筛选和比较植物。
10. NYU professors who defended vaping didn’t disclose ties to Juul 报道揭示了两位 NYU 教授在捍卫电子烟时未披露与 Juul 的合作关系，引发了对学术透明度和利益冲突的讨论。 News Top Stories

Social engineering takeovers of open source projects #

https://openssf.org/blog/2024/04/15/open-source-security-openssf-and-openjs-foundations-issue-alert-for-social-engineering-takeovers-of-open-source-projects/

这篇文章是关于开源安全性的警报，由 Open Source Security Foundation (OpenSSF) 和 OpenJS Foundations 发布，提醒开源项目社区注意社会工程攻击。文章指出最近发生的 XZ Utils 后门事件可能不是孤立事件，OpenJS Foundation 拦截了类似的可信接管尝试。OpenSSF 和 OpenJS Foundations 呼吁所有开源项目维护者警惕社会工程接管尝试，识别早期出现的威胁模式，并采取措施保护他们的开源项目。

文章描述了 OpenJS Foundation Cross Project Council 收到的可疑一系列邮件，这些邮件要求 OpenJS 采取行动更新其一款流行的 JavaScript 项目以“解决任何关键漏洞”，但未提供具体细节。邮件作者希望 OpenJS 将他们指定为项目的新维护者，尽管他们之前几乎没有参与过。OpenJS 团队还在两个其他流行的 JavaScript 项目中发现了类似的可疑模式，立即向相应的 OpenJS 领导人以及美国国土安全部的网络安全和基础设施安全局(CISA)报告了潜在的安全问题。

文章列举了社会工程接管的可疑模式，包括友好但具有侵略性和持久性的追求、请求提升为维护者状态、来自其他未知社区成员的认可以及包含二进制文件作为工件的 PR 等。文章还提供了保护开源项目安全的步骤，包括遵循行业标准的安全最佳实践、使用强身份验证、制定安全策略等。

最后，文章呼吁行业和政府采取措施加强关键开源基础设施的安全性，提供了一些正在进行的项目和基金会，如 Linux Foundation 家族的基金会、Alpha-Omega 项目和 Sovereign Tech Fund 等。文章强调了支持开源项目维护者的重要性，以及全球公共投资在开源基础设施上的必要性。

HN 评论 340 comments | 作者：mooreds | 1 day ago #

https://news.ycombinator.com/item?id=40267666

• 维护开源项目的人现在更加怀疑新贡献者的 PR。
• 每个贡献者都有潜在危险，最危险的可能是最有帮助和最熟练的贡献者。
• 情报部门的核心能力是操纵人，可能会利用“kompromat”来获取开发者的“帮助”。
• 操纵人不一定使用勒索，他们可能在财务困境中“帮忙”。
• 一些人可能会接受巨额金钱激励，并面临泄露尴尬的风险。
• 一些人可能会被威胁并受到勒索，以便在不暴露自己的情况下执行某些行动。
• 一些人可能会被利用财务困境或其他方式来操纵。
• 一些人可能会被激励去隐藏后门，以获取金钱或避免威胁。

Israel shuts down local Al Jazeera offices #

https://www.theguardian.com/world/article/2024/may/05/israel-shuts-down-local-al-jazeera-offices-in-dark-day-for-the-media

根据《卫报》的报道，以色列当局在周日关闭了半岛电视台（Al Jazeera）在本国的办公室，此举发生在政府投票通过使用新法律关闭该卫星新闻网络在该国运营之后。批评者称这一举措是“媒体的黑暗日”，并引发了对本雅明·内塔尼亚胡强硬政府对言论自由态度的新担忧。

以色列官员表示，这一举措是合理的，因为 Al Jazeera 对国家安全构成威胁。该国总理在内阁一致投票后在社交媒体上发布：“煽动性频道 Al Jazeera 将在以色列关闭。”政府声明称，以色列通讯部长已签署命令，立即关闭 Al Jazeera 在以色列的办公室，没收广播设备，切断该频道与有线和卫星公司的联系，并封锁其网站。

Al Jazeera 表示，指控其威胁以色列安全是一种“危险和荒谬的谎言”，将其记者置于危险之中。该公司在一份声明中表示：“半岛电视台强烈谴责和谴责这一违反人权和基本获取信息权利的犯罪行为。”“Al Jazeera 确认其继续向全球观众提供新闻和信息的权利。”

联合国人权事务高级专员办事处也批评了这一举动。该办事处在 X 上表示：“我们对内阁决定关闭以色列 Al Jazeera 感到遗憾。”“自由和独立的媒体对确保透明度和问责制至关重要。鉴于从加沙报道受到严格限制，现在更是如此。言论自由是一项重要的人权。我们敦促政府撤销禁令。”

以色列议会上个月批准了一项法律，允许暂时关闭被视为对国家安全构成威胁的外国广播公司。

这项法律允许内塔尼亚胡及其安全内阁关闭 Al Jazeera 在以色列的办公室 45 天，这一期限可以延长，因此该法律可能会持续到 7 月底或加沙主要军事行动结束。Al Jazeera 的阿拉伯语服务经常发布哈马斯和其他地区激进组织的逐字视频声明，这引起了以色列官员的强烈批评。

外国记者协会，代表在以色列、约旦河西岸和加沙报道的国际新闻机构的记者的非政府组织，指责以色列加入了“独裁政府的可疑俱乐部”。

总的来说，这一事件引发了对言论自由的新担忧，也在政治上引起了一些反对意见，至少是对其时机的反对。统一国家党，执政联盟的中间派成员表示，这一举措发生在停火谈判似乎接近失败之际，可能“破坏”了解救加沙人质的努力。

卡塔尔于 1996 年建立 Al Jazeera，以在中东地区和更远处建立影响力。这个小型海湾国家是谈判的关键中介者，但最近几周被边缘化，这可能促使以色列政府采取行动。以色列禁止外国记者进入加沙报道冲突，这场冲突是由哈马斯去年 10 月 7 日对以色列南部发动袭击引发的，造成 1200 人死亡，大多数为平民。以色列的进攻已造成超过 34,000 人死亡，其中大多数是妇女和儿童。

HN 评论 1121 comments | 作者：jjgreen | 1 day ago #

https://news.ycombinator.com/item?id=40267639

• 以色列封锁当地半岛电视台办公室，限制以色列人阅读半岛电视台。
• 以色列自 2017 年开始实施互联网审查，限制恐怖组织网站、在线非法赌博、卖淫服务和硬毒品销售。
• 2021 年提出“Facebook 法案”，授权广泛审查，但似乎未通过。
• Wikipedia 指出以色列审查新闻，政府 4 月 1 日获得禁止外国媒体权力。
• 这不仅是阻止外部媒体从以色列报道，也阻止以色列人观看政府不喜欢的媒体。
• 美国白宫新闻秘书发表了一份谴责以色列行动的声明，但 4 月 1 日复活节兔子的装扮掩盖了这一声明。

Deep Reinforcement Learning: Zero to Hero #

https://github.com/alessiodm/drl-zh

这个 GitHub 地址（ https://github.com/alessiodm/drl-zh）包含了一个名为"Deep Reinforcement Learning: Zero to Hero!“的项目。这是一个简短而实用的深度强化学习算法入门课程，涵盖了基础和经典的深度强化学习算法。在课程结束时，你将从头开始编写像 DQN、SAC、PPO 等算法，并在高层次上理解它们背后的理论。通过这个项目，你将能够训练人工智能玩 Atari 游戏并在月球上着陆。

项目提供了环境设置说明，包括安装 Miniconda、创建虚拟环境、安装依赖项等。你可以在 Visual Studio Code 中打开项目文件夹，按照提供的 Jupyter 笔记本逐步学习。此外，项目还提供了 YouTube 视频以及/solution 文件夹，以帮助你更好地理解和实践深度强化学习算法。

总体而言，这个项目旨在让你通过实践掌握深度强化学习算法，为你提供一个丰富的学习体验。

HN 评论 42 comments | 作者：alessiodm | 23 hours ago #

https://news.ycombinator.com/item?id=40269489

• 评论中有人认为深度强化学习在 Tetris 等游戏中表现不佳，感到失望；
• 有人分享在公司中应用多臂老虎机问题（MAB）模型成功节省成本；
• 有人建议在教学中更多实际应用案例，而非仅停留在理论层面；
• 有人认为强化学习在实际应用中常遇到问题，希望有更多解决方案资源；
• 有人认为强化学习是 AI 进步中不可或缺的组成部分，尽管目前难以取得显著进展；
• 有人分享了自己制作的深度强化学习资源，鼓励多样化学习方式；
• 有人分享了针对音乐生成的 DRL 框架，欢迎尝试；
• 有人表示对学习深度强化学习感兴趣，希望通过资源提升进展；
• 有人提出对资源中的细节和练习的理解，希望更清晰；
• 有人对资源表示赞赏，希望增加 YouTube 视频链接。

Bollards: Why and What #

https://josh.works/bollards

这篇文章讨论了路障（bollards）的重要性和作用。路障是任何形状坚固的物理障碍物，如果车辆试图与路障重叠在同一位置，无论是故意还是无意，车辆都无法通过。有时它们被建造到物理环境中，有时则没有。路障可以是可移动的，也可以是固定的，可以是大型且显眼的，也可以不是。

文章强调了路障的重要性，指出没有路障的地方可能会发生车辆失控、速度过快，甚至导致死亡和破坏。作者还提到了一些案例，强调了路障的必要性，以避免悲剧发生。

文章还探讨了城市工程师在设计中的一些错误做法，以及对于路障的误解和忽视。总的来说，文章强调了路障在保护行人和建筑物安全方面的重要性。

HN 评论 407 comments | 作者：mooreds | 1 day ago #

https://news.ycombinator.com/item?id=40267675

• 评论认为应该在所有人行道和停车场边缘放置隔离柱以保护行人，强调保护行人的重要性；
• 建议在司机驶上人行道时向保险公司收费安装隔离柱；
• 有人认为不保护行人的决定应该受到责任追究，但也有人认为考虑美观和成本是合理的；
• 讨论到安全问题时，提到了自行车道和隔离柱的重要性，以及建设安全的交通道路的必要性；
• 有人认为应该对安装隔离柱的成本进行评估，以确定是否值得投资；
• 讨论到自行车道的建设，提出了提高公共交通质量和减少私家车使用的建议；
• 有人指出不同地区的自行车道建设情况，以及不同类型的自行车道对骑行安全的影响；
• 讨论到隔离柱的成本和效果，以及不同类型的隔离柱对车辆和行人的影响；
• 评论中还提到了保护行人与保护车辆的平衡问题，以及对于安全基础设施的不同看法。

Remnants of a legendary typeface have been rescued from the Thames #

https://news.artnet.com/art-world/doves-typeface-2454807

这篇文章讲述了一个世纪前，印刷商 T.J. Cobden-Sanderson 私自将精心制作的 Doves 字体的每一块金属活字扔进泰晤士河的故事。这是他对合作伙伴 Emery Walker 的报复行为，因为他认为对方试图欺骗他。

Doves 字体是在 1900 年两人创立伦敦 Hammersmith 区的 Doves Press 时构思的，他们与绘图员 Percy Tiffin 和活字刻版师 Edward Prince 合作，忠实地模仿了 15 世纪威尼斯字体的文艺复兴清晰度，这些字体是由革命性的排字大师 Nicolas Jensen 设计的。Doves 字体以其特殊的宽大大写字母、菱形标点和独特的偏离中心的字母“i”点而成为该印刷厂的标志，超越了他们的朋友兼合作伙伴 William Morris 的更繁琐的排版尝试。

当 Cobden-Sanderson 决定将每一块铅活字托付给泰晤士河时，实际上摧毁了这种字体再次印刷的可能性。然而，多位个人和一位特别坚韧的平面设计师使这种字体得以重现。Robert Green 在 2000 年代中期开始着迷于 Doves 字体，他在印刷版和在线仿制品中寻找，试图忠实地重绘和数字化每一行。2014 年 10 月，他决定前往河边看看是否能找到原件。他成功找回了 151 个活字块，这使他能够进一步发展他的数字化版本，并与官方的淤泥搜寻者联系，后者已经发现了更多的活字。

Jason Sandy 等人也在泰晤士河边找到了更多的活字块，这些发现使得他们能够展示这些被打捞起来的活字块，包括 Robert Green、Lukasz Orlinski 和 Angus McArthur 等人发现的活字块。这些发现让人们对过去产生了更深的了解，同时也展示了伦敦普通人的故事。

HN 评论 75 comments | 作者：emacsomancer | 20 hours ago #

https://news.ycombinator.com/item?id=40270586

• Doves 字体在眼睛上非常舒适，Mebinac 是原始 Doves 的当代未授权版本，Doves Type 在 RSS 阅读器或邮件应用中使用效果很好；
• 寻找字体时如何知道哪些图形簇有字形？是否有字体分类系统可告知字体的完整性？
• Mebinac 的代码让人想起 Smalltalk，IM Fell 字体系列可在 Google Fonts 找到；
• 对其他数字化版本的讨论可在网页存档中找到；
• 使用 Doves Type 一切，使用 iFont 在手机上使用 Doves Type；
• 未经授权并不意味着不在公共领域，版权不适用于字体；
• 从泰晤士河中找回 Doves 字体，相关讨论可在 Hacker News 找到；
• 有关字体复原的重要性，印刷时墨水不均匀，需要比较多个打印样本以推断金属形状；
• 早期 20 世纪字体的数字化存在问题，印刷效果与金属形状不同；
• 有关泰晤士河的历史，可能有大量历史遗迹被埋藏在那里；
• 泰晤士河岸可能有大量发现，如老式字体雕刻在硬木上的家族遗产；
• 字体对程序员阅读重要，字体对人体工程学、品味和美学都很重要。

Monitoring energy usage with smart plugs, Prometheus and Grafana #

https://ounapuu.ee/posts/2024/05/02/smartplugs/

这篇文章介绍了如何利用智能插座、Prometheus 和 Grafana 监控能源使用情况。作者对计算设备和家用电器的能源消耗感兴趣，之前使用数字能源仪器获取瞬时读数，但不适合长时间监测。

作者购买了 EU 风格插头 V3 型号的智能插座，插座预先安装了 Tasmota 固件。作者通过 Prometheus 实例收集电表数据，Grafana 展示基本图表。作者发现电热水器消耗最多电力，家庭服务器使用低功耗，而 ASRock Deskmini X300 的待机功耗较高。智能插座还报告电压值，作者观察到电压值在高峰用电时有所下降。智能插座还可用于观察各种设备的充电模式。

作者计划利用智能插座的 API 控制设备的开关，并对未来的想法进行了探讨。总体而言，作者对这一设置非常满意，能够可靠地测量各种计算设备的能效，消除了猜测。

HN 评论 176 comments | 作者：hddherman | 1 day ago #

https://news.ycombinator.com/item?id=40266845

• 有人分享荷兰的智能电表支持 P1 标准，可通过应用程序查看当前用电量、累计用电量等；
• 荷兰的智能电表支持 P1 标准，可以通过应用程序查看当前用电量、累计用电量等；
• 有人提到荷兰的智能电表支持 P1 标准，可以通过应用程序查看当前用电量、累计用电量等；
• 有人分享了一个 P1 标准的智能电表，可以通过应用程序查看当前用电量、累计用电量等；
• 有人提到荷兰的智能电表支持 P1 标准，可以通过应用程序查看当前用电量、累计用电量等；

A fourteen-day free trial ain’t gonna cut it #

https://keygen.sh/blog/your-14-day-free-trial-aint-gonna-cut-it/

这篇文章讨论了关于免费试用期长度和转化时间的问题。作者分享了自己在创建 Keygen 软件时的经验教训，指出 14 天的免费试用期并不足以让潜在客户在短时间内完全整合软件许可 API 到他们的整个系统中。

作者发现，延长免费试用期可以提高转化率，尤其是当潜在客户请求延长试用期时。通过对转化时间的研究，作者发现自己的中位数转化时间为 41 天，而 14 天的试用期并不足以让客户意识到 Keygen 的价值。因此，作者决定添加一个无限试用期，即免费层，以减少潜在客户等待时间，提高注册用户数量，并最终增加付费用户数量。

文章强调了转化时间对于企业的重要性，以及如何通过调整试用期来优化转化率。

HN 评论 187 comments | 作者：ezekg | 9 hours ago #

https://news.ycombinator.com/item?id=40274662

• 一些人认为短暂的免费试用期限不足以评估软件，建议使用基于使用次数的免费试用模式。
• 另一些人认为免费试用期限有助于激发用户对产品的兴趣，提供充足时间评估软件。
• 有人提到，对于少量使用的用户，免费试用可能导致收入损失，因此可能需要考虑其他付费模式。
• 也有人讨论了免费试用对企业销售的影响，以及如何在试用期内评估软件的有效性。
• 还有人分享了他们的商业模式，提供无限期试用但附带水印，并提供免费支持，以帮助用户更好地评估产品。
• 一些评论涉及到软件开发工具的定价策略，以及企业如何选择适合他们的工具。

“Meta spent almost as much as the Manhattan Project on GPUs in today’s dollars” #

https://twitter.com/emollick/status/1786213463456448900

这条推文是由 Ethan Mollick 发布的，他提到 Meta（Facebook 的母公司）在今天的美元价值上花费了几乎与曼哈顿计划相当的金额用于 GPU（图形处理器单元）来训练他们的人工智能模型，虽然金额远远不及阿波罗计划。

推文中还引用了 Yann LeCun 的言论，确认 Meta 花费了 300 亿美元购买了 100 万块英伟达 GPU 来训练他们的人工智能模型，这比阿波罗登月任务的成本还要高。

HN 评论 292 comments | 作者：paulpauper | 1 day ago #

https://news.ycombinator.com/item?id=40268204

• 人们对曼哈顿计划和阿波罗计划的成本感到惊讶，认为当时的成本相对“便宜”；
• 有人认为过去百年中低估了通货膨胀，导致成本被低估；
• 有人指出家庭收入中的“一年工作”在不同年代的定义不同，影响了成本计算；
• 有人讨论了双收入家庭比例的变化，以及对家庭收入计算的影响；
• 有人谈到了家务劳动生产率的提高，例如洗碗机、洗衣机等的发明；
• 有人讨论了双收入家庭比例的增加，以及对家庭收入计算的影响；
• 有人提到了战后女性劳动力参与率的变化；
• 有人讨论了双收入家庭比例的增加，以及对家庭收入计算的影响；
• 有人讨论了通货膨胀与生活成本的关系，以及对家庭收入计算的影响；

Show HN: A free site to explore and discover 6k plants #

https://www.getanyplant.com/plants

网站名称：GetAnyPlant

该网站提供超过 6,000 种植物的在线收藏，包括兰花、宠物安全植物、多肉植物、食虫植物、蕨类植物、水生植物、仙人掌、芋类植物、花卉、玻璃罩植物、色彩缤纷植物、不寻常植物等分类。用户可以比较不同商家的价格和库存，以获得最佳选择和最低价格。

网站展示了一系列植物，如 Monstera siltepecana、Philodendron joepii、Philodendron gloriosum 等，列出了价格和来自不同商家的选购信息。用户还可以根据植物的光照、水分、湿度、养护难度、大小等特征进行筛选。

网站提供隐私政策和服务条款，并提供联系邮箱 info@getanyplant.com。

HN 评论 94 comments | 作者：ryebread777 | 11 hours ago #

https://news.ycombinator.com/item?id=40273470

• 评论中提到希望网站能够指定地理位置购买植物，特别是美国以外的地方，以及对美国中心化的偏见感到不满。
• 评论中提到了植物的次文化，有些植物价格昂贵，有些植物具有临时基因表达，价格高达 100-500 美元。
• 评论中提到了食肉植物的有趣领域，种子可以在拍卖中卖到 1000 美元，也提到了人们为了寻找新的野生物种而在偏远地区徒步旅行。
• 评论中提到了避免购买病毒变种植物的好主意，也提到了在本地商店购物以避免无聊的植物。
• 评论中提到了一些植物属性，如毒性、鹿抗性、对蜜蜂友好等，以及希望网站能够按照植物的原生地分类。
• 评论中提到了希望网站包括室外植物、灌木、树木，并具有硬度区过滤器。
• 评论中提到了希望网站包括室内植物，具有毒性过滤器，以及希望网站能够提供关于植物护理的信息。
• 评论中提到了希望网站包括关于植物的信息，如氮固定、土壤 pH 偏好、水分需求等。
• 评论中提到了希望网站能够提供关于植物的信息，如是否具有氮固定功能、土壤 pH 偏好、湿润/干燥土壤偏好等。
• 评论中提到了希望网站能够提供关于植物的信息，如水的使用、是否可食用、叶子颜色变化等。
• 评论中提到了希望网站能够提供关于植物的信息，如遮荫耐受性、土壤兼容性、花朵颜色等。

NYU professors who defended vaping didn’t disclose ties to Juul #

https://www.statnews.com/2024/05/06/juul-vaping-advocates-nyu-professors-non-disclosed-conflict-interest/

2024 年 5 月 6 日，华盛顿报道称，两位纽约大学教授与电子烟公司 Juul 的高管直接合作，但未向学术期刊或国会披露这些关系，STAT 的调查揭示了这一情况。

在青少年吸烟危机达到顶峰时，许多公共卫生专家呼吁采取全面行动，可能会颠覆整个行业，大卫·艾布拉姆斯（David Abrams）和雷·尼奥拉（Ray Niaura）成为两个权威声音，愿意捍卫吸烟，尽管它在青少年中日益流行，作为一种有效的公共卫生策略，帮助成年人减少或戒烟。艾布拉姆斯是新闻媒体中关于吸烟的频繁评论员，包括 CBS This Morning、CNN 和《纽约客》，根据公司的电子邮件，他在 2017 年和 2018 年与 Juul 在公共信息传播方面进行了广泛协调。

艾布拉姆斯要求 Juul 官员提供讲话要点，允许公司高管在发表学术文章之前审查，并参加 Juul 科学顾问委员会会议，所有这些都没有向期刊出版商或公众披露这些联系。

HN 评论 220 comments | 作者：gulced | 10 hours ago #

https://news.ycombinator.com/item?id=40273598

• 有人认为靠近实现几百年来首次不让新一代成瘾尼古丁的时刻，但却因为一些人推出口味像棉芬糖的存储设备，导致年轻人都渴望。
• 有人认为现在的法规和公众舆论环境不同于 80 年代和 90 年代，当时我们决定对抽烟采取行动。
• 有人提到 Juul 目前正在面临类似于香烟从未遇到的禁止在美国销售产品的尝试，尽管目前的诉讼金额不到 2000 亿美元。
• 有人认为公司利用法律漏洞是可以预料的，而政府对此感到惊讶是不合理的。
• 有人认为公司被默认视为不道德是令人深感不安的，因为这会破坏社会契约。
• 有人认为公司不是道德或不道德，它们只是机器，只会为了赚钱而做事。
• 有人认为公司的行为会直接影响所在社会，认为公司不应该被视为超越道德讨论。
• 有人认为公司不是人类，因此对道德的讨论对它们无效，更应该依靠严格执行的法律来维护社会契约。