2024 06 27 HackerNews

2024-06-27 Hacker News Top Stories #

  1. Github项目:可以在 Dock 上跳动的小球。
  2. Polyfill JavaScript项目遭遇供应链攻击,影响超10万网站。
  3. “一百万复选框"网站提供近百万复选框供用户勾选,引发HN社区讨论。
  4. HyperCard模拟器网站允许用户运行经典HyperCard堆栈,引发怀旧讨论。
  5. 作者分享修复升级macOS Ventura后QuickLook显示问题的经历。
  6. 简要介绍区间算术及其在图形计算器中的应用和相关讨论。
  7. Rabbit公司ElevenLabs API密钥泄露,所有R1响应可被下载,引发对AI初创公司IT素养的担忧。
  8. R2R V2开源RAG引擎发布,提供RESTful API和生产功能,获得社区好评。
  9. Phil Hartman成名前设计西海岸摇滚乐队专辑封面的故事被挖掘。
  10. 巴西最高法院将持有大麻用于个人使用合法化,引发社会广泛讨论。

Ball: A ball that lives in your dock #

https://github.com/nate-parrott/ball

这个 GitHub 地址 https://github.com/nate-parrott/ball 是一个项目页面,项目名称为“Ball”。这个项目是一个小球,它可以在你的 dock(操作系统底部栏)上跳动。你可以拖动它,它会在屏幕上弹跳。你也可以用两根手指在上面滑动。这个小球是红色的,你可以用手指轻弹它,让它弹跳,尝试让它碰到角落,看它能弹跳多少次,计算它碰到墙壁的次数等等。总的来说,这是一个有趣的小球项目。

这个项目灵感来源于 Nate Heagy 为 OS X Dashboard 设计的小部件,作者怀念在五年级时有人将它放在班级的 eMac 上。原始版本更有弹性,颜色也更多,但它不会出现在 dock 上!

此外,还要感谢 Wessley Roche,他制作了一个小 Gist,解释了如何获取 dock 的位置。作者扩展了这个功能,以尝试估计应用程序 dock 图标的位置,这样小球就可以从中动画出现。

最后,作者希望你喜欢这个小球项目。

HN 评论 279 comments | 作者:Bluestein | 1 day ago #

https://news.ycombinator.com/item?id=40793465

  • 有用户报告在生产环境中使用了这个产品三个月,整体运行相当顺利,只有极少的停机时间,客户对此反馈良好,他们相当喜欢这个产品。
  • 另一用户表示这个产品给他的组织带来了严重问题,提交了多个 GitHub 问题,并试图在 LinkedIn 上联系开发人员,但开发人员将这个项目视为一个有趣的礼物,不尊重维护者需要遵守的 SLA,无法让他的组织将其免费代码投入生产。
  • 有团队表示无法评估 Ball(作为球状物体的物理模拟工具),目前他们正在使用 Unreal Engine 5 进行数百个建筑物理模拟,主要问题是 UE5 在 EC2 实例上非常慢,Ball 似乎快得多,可能使他们每年至少节省数千万美元的 AWS 成本。
  • 一位用户提到产品的常见问题,特别是没有合理解释的成本飙升。此外,指出的 NT 支持缺失可能会成为一个问题。Ball 在“M” Apple 芯片上运行良好。
  • 另一用户提到需要在产品中添加写前日志记录和更好的事务隔离才能在高交易量环境中被认真对待。尽管概念很好,但需要进一步改进。

Polyfill supply chain attack hits 100K+ sites #

https://sansec.io/research/polyfill-supply-chain-attack

这篇文章讨论了一个名为 Polyfill 的 JavaScript 项目遭受供应链攻击的情况。Polyfill 是一个流行的开源库,用于支持旧版浏览器,有 100,000 多个网站使用它。

今年二月,一个中国公司购买了 Polyfill 的域名和 Github 账户。自那时起,该域名被发现在通过 cdn.polyfill.io 嵌入的任何网站上向移动设备注入恶意软件。恶意代码是动态生成的,基于 HTTP 头,因此可能存在多个攻击向量。其中一个恶意软件的示例是将移动用户重定向到一个体育博彩网站,使用一个假的 Google 分析域名。

原始的 Polyfill 作者建议不再使用 Polyfill,因为现代浏览器已不再需要它。Fastly 和 Cloudflare 提供了可信赖的替代方案。这次事件是典型的供应链攻击案例。建议使用 CSP 监控服务 Sansec Watch 来查看用户加载的代码,同时 Sansec 的 eComscan 后端扫描器也已更新,可以检测到 polyfill.io。

HN 评论 339 comments | 作者:gnabgib | 1 day ago #

https://news.ycombinator.com/item?id=40791829

  • 游戏理论:维护遗留代码需要无偿付出,而黑客则能获得财富和权力。
  • 开源软件感染:私有软件也存在奖励缺失问题,导致相似症状。
  • 安全压力:直接面向安全的产品对此有市场压力,但大多数人和组织面临的安全威胁并非如此。
  • 安全产品激励:如果产品只是合规的盒子,可能增加攻击面,而不是提供真正的安全。
  • 复杂性危机:社会正处于复杂性危机,但几乎没有人意识到。
  • 管理复杂性:作为软件“工程师”,管理复杂性是责任的重要部分,但大多数人似乎朝相反方向努力。
  • 管理简单解决方案:没有人在激励简单解决方案,导致更复杂和有问题的解决方案被采用。
  • 自我管理复杂性:需要管理复杂性,但人们倾向于追求简单的解决方案。
  • 依赖自托管:自托管依赖可能更好,但对于开发人员来说可能更困难。
  • 包管理生态:NPM 包管理生态导致对外部托管依赖的依赖。
  • JS 依赖自托管:JS 依赖应该很小,自托管可能更快,但外部托管版本可能有助于浏览器缓存。
  • JS 文件加载:JS 文件加载速度取决于捆绑,捆绑可以提高性能。
  • CDN 优势:CDN 版本可能有助于浏览器缓存,但不会跨站点共享缓存。
  • 浏览器缓存:浏览器为不同站点分别缓存资源,以防止跟踪。
  • JS 捆绑:JS 捆绑可以减少请求时间,而 JS 文件加载速度可能受捆绑影响。
  • CDN 缓存:CDN 缓存不会跨站点共享,浏览器为不同站点分别缓存资源。
  • CDN 优势:CDN 版本可能有助于浏览器缓存,但不会跨站点共享缓存。
  • 浏览器缓存:浏览器为不同站点分别缓存资源,以防止跟踪。

One Million Checkboxes #

https://onemillioncheckboxes.com/

这个网站名为"One Million Checkboxes”,由 eieio 创建。网站上展示了 978226 个复选框,其中已被勾选的有 ✅ 标记(勾选一个复选框会使其对所有人都被勾选)。

访问者可以勾选这些复选框,但目前您尚未勾选任何一个。网站似乎是一个有趣的互动体验,让用户可以参与其中。

HN 评论 167 comments | 作者:LorenDB | 7 hours ago #

https://news.ycombinator.com/item?id=40800869

  • 评论中提到了对网站设计的观点,认为应该锁定复选框网格的宽度,以避免人们尝试绘制图案而导致偏斜。
  • 有人提到了复选框的颜色边框可能代表着人们的点击行为,会在点击统计中单独列出。
  • 有人讨论了网站在不同浏览器上的工作情况,有人表示在 Chrome 上正常,但在 Firefox 或 Safari 上无法正常工作。
  • 有人提到了网站上出现的不当内容,如纳粹符号,引发了一些讨论和担忧。
  • 有人分享了在其他在线游戏中出现类似问题的经历,提到了需要手动内容审核或算法检测不当内容的重要性。

HyperCard Simulator #

https://hcsimulator.com/

网站 https://hcsimulator.com 是一个名为“HyperCard Simulator”的网站,允许用户导入和模拟 HyperCard 堆栈和堆栈存档。用户可以导入并运行经典的 HyperCard 堆栈。

该网站受到 hypercard.org、Merveilles HyperJam 和 Internet Archive 的影响。网站所有权归 2022 年 Hypervariety Custom Software 所有。网站仅使用 Cookie 以确保必要功能。详细信息请参阅网站上的条款和隐私政策。

HN 评论 114 comments | 作者:metadat | 1 day ago #

https://news.ycombinator.com/item?id=40793924

  • HyperCard 被认为是最具生产力的终端用户应用程序开发环境之一。
  • Macromedia Director 也被提及,被称为一种罕见的软件热爱体验。
  • 有人提到对于远程寻租实体的软件难以热爱。
  • 有人认为市场已经远远超越了那一点。
  • 人们讨论了 Chrome 的使用。
  • 有人提到 Photoshop 作为 SaaS 产品的收费。
  • 有人提到 HyperCard 和 SuperPaint 是他们小时候的乐高积木。
  • 有人分享了他小时候使用 HyperCard 制作游戏和互动故事的经历。
  • 有人提到 HyperCard 是个人计算再次变得个人化的典范。
  • 有人分享了他小时候使用 HyperCard 自学编程的经历,称其为改变生活的工具。
  • 有人提到 HyperCard 是离线世界广泛使用的先驱。
  • 有人提到 HyperCard 是互联网的前身。
  • 有人提到 Scratch 作为可能的现代工具。
  • 有人分享了他在 HBO 使用 HyperCard 开发应用的经历。
  • 有人表示 HyperCard 使他对网页开发和 Flash 感兴趣。
  • 有人提到 TiddlyWiki 作为现代替代品。
  • 有人提到 LiveCode 作为现代 HyperCard 的可能替代。
  • 有人提到 Decker 作为类似 HyperCard 的工具。
  • 有人表示希望在 Mac 上有高分辨率和高色彩支持的 HyperCard 应用。
  • 有人提到 Sonoma 可以在 Safari 中选择“添加到 Dock”来创建一个渐进式 Web“应用”。
  • 有人建议尝试在运行 MacOS 8 和 HyperCard 的 Basilisk 2 中使用 HyperCard。

Fixing QuickLook (2023) #

https://foon.uk/fixing-quicklook/

这篇文章讨论了作者在从 Mojave 升级到 Ventura 后发现苹果更改了 QuickLook 功能。QuickLook 是作者最喜欢的软件之一,通过在 Finder 中选择文件,按下空格键,文件就会在屏幕上弹出,再次按下空格键即可关闭。然而,作者发现现在 QuickLook 在显示图片之前会去除图像的角。作者尝试寻找方法来停止这种行为,但未找到相关设置。因此,作者决定自己解决这个问题。

作者通过调试 Finder 和 QuickLook API,发现了显示图片的窗口名称为 QLPreviewPanel,并找到了解决方案。作者发现了显示图片的 NSRemoteView,通过调试和 Xcode 的视图调试器,找到了问题所在并进行了修复。作者还介绍了如何通过 Python 脚本和 LLDB 来对 QuickLook 进程进行修补,以解决圆角和边框的问题。

最终,作者总结了整个修复过程,并分享了相关资源和联系方式。文章详细介绍了作者如何通过调试和修补来解决 QuickLook 在 Ventura 中显示图片时出现的问题。

HN 评论 39 comments | 作者:rogual | 1 day ago #

https://news.ycombinator.com/item?id=40792740

  • QuickLook 使用边框和圆角可能破坏了项目的准确性和完整性,没有理由在显示内容时移除信息。
  • macOS 内部符号仍然存在于生产版本中,易于“黑客”;苹果应该撤销 QuickLook 中的圆角设计。
  • Objective-C 元数据包含有关类、协议和类别的信息,与符号不同,元数据无法被剥离。
  • macOS 的设计自 Big Sur 以来急转直下,出现了不一致的 UI 元素,使得界面显得匆忙和不完整。
  • 90% 的 macOS 是遗留代码,有人质疑苹果是否已经失去了操作系统设计的艺术。
  • 有人认为新的设置应用程序更好,因为更易发现设置,但也有人认为其中的个别设置逐渐消失是真正糟糕的地方。
  • 有人认为 QuickLook 的圆角矩形设计毫无意义,对于图形专业人士可能会干扰工作流程。

A brief introduction to interval arithmetic #

https://buttondown.email/hillelwayne/archive/a-brief-introduction-to-interval-arithmetic/

这篇文章是关于区间算术的简要介绍。作者以一个简单的例子开始,假设你在公寓里有一堵墙和一张沙发,测量墙和沙发的长度都是 7 英尺,然后讨论了在这种情况下是否可以把沙发放在墙边的问题。

文章介绍了如何使用区间来表示测量值的不确定性,以及如何进行区间算术运算,包括加法、减法、乘法和除法。作者还讨论了区间乘法和平方运算的不同之处,以及区间算术在计算机科学中的应用和挑战。

最后,文章提到了区间算术与浮点数计算的比较,以及一些关于区间算术的新提议。文章深入浅出地介绍了区间算术的基本概念和应用领域。

HN 评论 82 comments | 作者:zdw | 23 hours ago #

https://news.ycombinator.com/item?id=40794786

  • Interval arithmetic 在图形计算器中的应用;
  • 有人提到使用三分搜索获得更高效的结果;
  • 有人分享了一个关于新的严格数值计算方法的链接;
  • 有人提到在 Coq 中进行形式验证的方法;
  • 有人讨论了高斯分布在测量不确定性中的应用;
  • 有人分享了关于高斯变量和高斯误差传播的实现方法;
  • 有人讨论了高斯分布在测量不确定性中的局限性;
  • 有人提到了使用不确定性传播作为概率分布的方法;
  • 有人探讨了使用 SVD/PCA 方法中的误差传播问题;
  • 有人分享了关于不确定性传播的维基百科链接;
  • 有人讨论了区间之间的多种关系;
  • 有人提到了 Allen’s interval algebra 描述的 13 种关系;
  • 有人分享了关于 R-Tree 在空间数据库中的应用;
  • 有人推荐了 Frink 语言的学习;
  • 有人分享了 68040 CPU 支持的四种舍入模式;
  • 有人提到了在逻辑编程中使用区间算术的方法;
  • 有人讨论了区间算术在类型推断中的应用。

Rabbit data breach: all r1 responses ever given can be downloaded #

https://rabbitu.de/articles/security-disclosure-1

这篇文章是关于“rabbit 数据泄露:所有 R1 响应都可以被下载”的内容。文章指出,rabbit 公司已经知道他们的 ElevenLabs (TTS) API 密钥被持有一个月了,但他们没有采取任何措施来旋转 API 密钥。文章提到,这与要求取消与 Rabbithole 连接无关,但仍建议执行此操作。

在 2024 年 5 月 16 日,Rabbitude 团队获得了对 rabbit 代码库的访问权限,并在其中发现了几个关键的硬编码 API 密钥。这些密钥允许任何人做以下事情:阅读每个 R1 曾经给出的所有响应,包括包含个人信息的响应;使所有 R1 变砖;更改所有 R1 的响应;替换每个 R1 的声音等等。这些 API 密钥是为以下服务而设的:ElevenLabs(用于文本转语音)、Azure(用于旧的语音转文本系统)、Yelp(用于查找评论)、Google Maps(用于查找位置)。

最引人注目的密钥是 ElevenLabs 的密钥,它拥有完全的权限。这使得他们可以获取所有过去的文本转语音消息的历史记录、更改声音、添加自定义文本替换(例如,“R1”替换为“ar one”)、删除声音(并使 rabbitOS 后端崩溃,从而使所有 R1 设备无法使用)。

文章提到,rabbit 团队已经知晓 API 密钥泄露的情况,并选择忽视它。API 密钥在撰写时仍然有效。作者认为消费者有权了解 rabbit 的糟糕安全实践,因为这可能对 R1 用户造成灾难性后果。作者表示出于对用户的尊重,不会再发布更多细节。

HN 评论 32 comments | 作者:dcchambers | 1 day ago #

https://news.ycombinator.com/item?id=40792684

  • AI 初创公司的 IT 素养问题
  • Rabbit 团队对 API 密钥泄露的忽视
  • 对 AI 服务保留用户互动记忆的担忧
  • AI 服务可能已经在某种程度上保留用户互动记忆
  • 对初创公司信任度的担忧
  • 对 R1 产品登录方式的不信任
  • 对技术行业文化的评论
  • 对 R1 项目的质疑和批评
  • Rabbit 团队忽视 API 密钥泄露的指责
  • 对 R1 项目的质疑和批评
  • 对 R1 项目的历史和代码重用的讨论
  • 对初创公司产品设计和外观的评论
  • 对 SaaS 产品的质疑
  • 编程与构建成熟产品之间的区别
  • 对工程和编程的讨论
  • 对产品质量和编程质量的关联性的看法
  • 对编程和产品质量的讨论

Show HN: R2R V2 – A open source RAG engine with prod features #

https://github.com/SciPhi-AI/R2R

项目名称为 R2R,是一个具有 RESTful API 和生产功能的 RAG(检索增强生成)引擎。该项目旨在弥合本地 LLM 实验和可扩展、生产就绪的检索增强生成(RAG)之间的差距。R2R 为开发人员提供了一个全面且最先进的 RAG 系统,围绕 RESTful API 构建,以便易于使用。

主要特点包括:

  • 多模态支持:支持各种文件格式,包括.txt、.pdf、.json、.png、.mp3 等。
  • 混合搜索:结合语义和关键字搜索,采用互惠排名融合以提高相关性。
  • 图形 RAG:自动提取关系并构建知识图谱。
  • 应用程序管理:通过丰富的可观察性和分析功能高效管理文档和用户。
  • 客户端-服务器:支持开箱即用的 RESTful API。
  • 可配置:使用直观的配置文件为您的应用程序提供服务。
  • 可扩展:采用易于构建的工厂模式,进一步开发您的应用程序。
  • 仪表板:使用 R2R 仪表板,这是一个基于 React+Next.js 的开源应用程序,可与 R2R 进行用户友好的交互。

安装方法包括使用 Pip 进行安装或使用 Docker 进行安装。项目提供了快速入门指南,介绍了如何在本地运行 R2R 以及通过 Python SDK 运行。还提供了文档摄入和管理、搜索和 RAG 操作等操作的详细指南。

此外,还有一个开源 React+Next.js 仪表板可与 R2R 进行交互。社区支持包括 Discord 聊天和 GitHub 问题跟踪。项目还提供了各种教程和食谱,涵盖了 RAG 的各种功能和集成。

总体而言,R2R 是一个功能强大的 RAG 引擎,具有丰富的功能和易于使用的 API,适用于开发人员构建检索增强生成系统。

HN 评论 63 comments | 作者:ocolegro | 9 hours ago #

https://news.ycombinator.com/item?id=40799791

  • R2R 是一个建立在 RESTful API 和 Docker 上的轻量级存储库,使开发人员能够立即开始应用程序开发。
  • R2R 实现了用户级权限和高级文档管理,以及矢量数据库,这是大多数开发人员在生产环境中需要构建的。
  • R2R 记录通过系统的每次搜索和 RAG 完成,这对于找出弱点并随时间调整系统非常重要。
  • 所有这些都连接到一个开源的开发人员仪表板,允许您查看上传的文件,测试不同的配置等。
  • 这些基本功能意味着开发人员可以花更多时间迭代/定制其特定于应用程序的功能,如自定义数据摄入,混合搜索和高级 RAG。

The album art of Phil Hartmann (2022) #

https://www.conorherbert.com/music/the-album-art-of-phil-hartmann

这篇文章介绍了著名喜剧演员 Phil Hartman 在他成名之前设计西海岸摇滚乐队专辑封面的故事。文章分为三个部分:第一部分讲述了 Phil Hartman 从加拿大移居美国,成为一名视觉艺术学生,为当地摇滚乐队 Rockin’ Foo 设计专辑封面的经历;第二部分描述了他在加州大学学习平面设计后,开设自己的平面设计工作室,为众多乐队设计专辑封面的过程;第三部分则聚焦于他设计的专辑封面作品,包括 Poco 乐队的《Seven》和《Cantamos》,America 乐队的《History》,以及其他多个专辑。

Phil Hartman 在设计领域取得了一定的成就,尤其是在 Poco 乐队的专辑《Legend》中,他的作品展现出独特的简约风格。最后,文章提到了 Phil Hartman 在喜剧领域的成功,如参与《周六夜现场》等节目。文章由 Conor Herbert 撰写,详细介绍了 Phil Hartman 在音乐领域的设计工作和艺术成就。

HN 评论 33 comments | 作者:JojoFatsani | 22 hours ago #

https://news.ycombinator.com/item?id=40795227

  • Phil Hartman 在 SNL 的表演被认为是对里根总统最有利的刻画,即使在谈论资助 Contras 等可疑行为时也是如此。
  • 评论指出这个 skit 实际上在讽刺里根总统失去对 CIA 的控制,尽管没有上下文,看起来他像是超级英雄。
  • 评论认为这个 skit 是讽刺的,表演者 Phil Hartman 在表现总统时需要精确和技巧。
  • 评论提到这个 skit 的笑点在于如果白宫和他们的危机公关活动真诚透明,那么对此的回应必须是一种天才的行为,而不是每个人都知道的彻底失败。
  • 评论提到 Phil Hartman 在 Kiki’s Delivery Service 中的表演让人想起他,称他是自己童年时期最喜欢的喜剧演员之一。
  • 评论指出 Phil Hartman 在 Poco Legend 专辑封面艺术上的杰出表现。
  • 评论称 Phil Hartman 是一个真正的艺术家,被描述为一个全面才华的人。

Brazil’s Supreme Court decriminalizes marijuana #

https://www.bloomberg.com/news/articles/2024-06-25/brazil-supreme-court-decriminalizes-marijuana-for-personal-use

巴西最高法院以多数票通过了将持有大麻用于个人使用合法化的决定,这一决定削弱了与国会已经紧张的关系。最高法院的决定并未将持有少量大麻用于个人使用合法化,但不再将其视为犯罪行为。

最高法院尚未确定在哪个水平(数量或量)上划定贩卖者和使用者之间的界限。而在最高法院审议合法化的同时,参议院提出并通过了一项将任何数量大麻持有定为犯罪行为的宪法修正案。这项法案目前在下议院审议。在一个相当保守的国会中,这一提议在 10 天前以 47-17 的投票获得了宪法和司法委员会的批准。参议院主席罗德里戈・帕切科(Rodrigo Pacheco)是该法案的作者,他批评最高法院的决定。

巴西毒品法规定,购买、持有、运输或携带毒品用于个人使用是犯罪,处以轻罚。每位法官都可以决定哪种数量或量的大麻符合个人使用或毒品交易。根据投票赞成合法化的最高法院法官,这种看法加剧了偏见,尤其是针对贫困和黑人。

HN 评论 61 comments | 作者:meiraleal | 21 hours ago #

https://news.ycombinator.com/item?id=40795404

  • 巴西目前的法律中使用毒品只被视为轻罪,但 2006 年的新毒品法案并未明确规定何为犯罪,导致增加了被捕人数;
  • 一位朋友在 1982 年因种植 200 株大麻被指控,最终被罚款,律师称他只是个大麻爱好者;
  • 巴西最高法院法官表示现行法律对年轻、特别是黑人的不公平,统计数据显示法官在判决白人和富人时更宽松;
  • 巴西总统参议院领袖因争取极右翼选民支持而反对大麻非刑事化,他一直在推进这一议程以获得他们的支持;
  • 澳大利亚看起来未来不太可能合法化大麻,导致年轻人转向摩托车帮寻求冰毒,政客似乎不关心;
  • 德国出现了中左自由主义联合政府,他们虽然在很多事情上无法达成一致,但在合法化大麻问题上却取得了共识。