2024 09 14 HackerNews

2024-09-14 Hacker News Top Stories #

  1. OpenAI推出新大型语言模型OpenAI o1,能执行复杂推理任务,但访问需达到第五级别并支付费用。
  2. OpenAI发布两个新预览模型o1-preview和o1-mini,旨在提高推理能力,采用链式思维训练。
  3. 哈佛商学院研究人员因揭露数据操纵被法院裁定不构成诽谤,这对科学界而言是好消息。
  4. 波音公司工人举行罢工,表达对管理层合同提案的不满,罢工导致航空器生产停滞。
  5. 美国FDA授权首款非处方助听器软件“助听器功能”,旨在与Apple AirPods Pro配合使用。
  6. 著名游戏发行公司Annapurna Interactive全体员工因未能说服创始人独立游戏部门而集体辞职。
  7. Mikko Kenttälä撰写文章,讨论了macOS中一个允许攻击者通过日历应用进行零点击攻击的漏洞链。
  8. 作者与Charles Zhang将游戏引擎Trial移植到任天堂Switch,面临Common Lisp运行时移植挑战。
  9. diyPresso推出全球首款DIY咖啡机,专为DIY爱好者和咖啡爱好者设计,可自行组装和个性化配置。
  10. 文章指出初创公司在基础设施管理方面常见误区,强调简化设置以更好地专注于产品开发和市场需求。

Learning to Reason with LLMs #

https://openai.com/index/learning-to-reason-with-llms/

OpenAI 在 2024 年 9 月 12 日推出了新的大型语言模型 OpenAI o1,该模型通过强化学习训练,旨在执行复杂的推理任务。o1 在回答问题之前会进行深思熟虑,能够在响应用户之前生成长达的内部思考链。

模型表现 #

OpenAI o1 在多个性编程问题(如 Codeforces)中排名第 89 百分位,并且在美国数学奥林匹克预选赛(AIME)中名列前 500 名。o1 在物理、化学和生物学问题的基准测试(GPQA)中超过了人类博士生的准确率。虽然模型的用户友好性尚在开发中,但我们已经向 ChatGPT 的用户和受信任的 API 用户发布了早期版本(o1-preview)。

强化学习与推理能力 #

OpenAI 使用大规模的强化学习算法来教会模型如何有效地进行思考,通过这种数据高效的训练过程,o1 的表现随着训练和测试期间的思考时间的增加而不断提高。测试表明,o1 在大多数推理密集型任务上显著超越了之前的模型 GPT-4o,包括多个 MMLU 子类别的测试。

推理能力提升 #

o1 在许多推理测试中表现出色,甚至与人类专家的表现相媲美。在 2024 年的 AIME 考试中,GPT-4o 的平均解答率仅为 12%(1.8/15),而 o1 的解答率达到了 74%(11.1/15),在 64 个样本的共识下达到了 83%(12.5/15),通过对 1000 个样本的重新排名,o1 达到了 93%(13.9/15),显示了其在全国数学竞赛中的竞争力。

在 GPQA diamond 基准测试中,o1 的表现超过了人类博士生,成为首个在这一基准测试中超越人类的模型。此外,在视觉感知能力开启的情况下,o1 在 MMMU 测试中得分 78.2%,首次与人类专家的水平相当。

推理链 #

o1 模型通过一系列内部推理过程来解决问题,这与人类在面对复杂问题时的思考方式相似。通过强化学习,o1 学习如何细化推理链,纠正错误,将复杂步骤分解为更简单的部分,并尝试不同的方法来解决问题。这种推理能力的提升显著增强了模型的思考能力。

编码能力 #

o1 在国际信息学奥林匹克竞赛(IOI)中表现优异,获得了 213 分,排名第 49 百分位。该模型在允许的 10 小时内解决了六个挑战性算法问题,并展示了比随机提交策略高出近 60 分的性能提升。

安全性 #

o1 的推理能力也为模型的对齐和安全性提供了新的机会。通过将安全政策与模型的推理链结合,o1 在面对危险提示时表现得更加稳健。我们在模型部署前进行了多项安全测试,发现推理链有助于提升模型的能力和安全性。

结论 #

OpenAI o1 在人工智能推理领域取得了显著进展,展示了在多项基准测试中的出色表现,为未来的 AI 应用提供了新的可能性。

HN 热度 1610 points | 评论 1233 comments | 作者:fofoz | 1 day ago #

https://news.ycombinator.com/item?id=41523070

  • 访问新模型需要达到第五级别,需支付 1000 美元并等待 30 天。
  • 定价为每百万输入令牌 15 美元,输出令牌 60 美元,最大输出为 32768 个令牌。
  • 推理令牌被计入输出令牌,用户需注意隐性费用。
  • 竞争可能会促使其他公司推出更具性价比的产品。
  • 许多用户认为当前模型的推理能力仍然不如人类专家。
  • OpenAI 的透明度受到质疑,用户对隐藏推理过程表示担忧。
  • 许多评论指出,OpenAI 的定价和计费方式可能导致用户无法验证实际使用的令牌数量。
  • 有人认为新模型在某些任务上表现优于旧模型,但仍需更多数据支持。
  • 用户对 OpenAI 在推理过程中的隐性费用和不透明性表示不满。
  • 讨论中提到,模型的推理能力可能会随着时间和数据的积累而提高。

Notes on OpenAI’s new o1 chain-of-thought models #

https://simonwillison.net/2024/Sep/12/openai-o1/

在 2024 年 9 月 12 日,OpenAI 发布了两个新的预览模型:o1-preview 和 o1-mini(后者并不是预览版),这两个模型之前被称为“草莓”。这些模型的设计旨在提高推理能力,而不仅仅是作为 GPT-4o 的简单升级。以下是对这些模型的详细摘要:

1. 模型设计与训练 #

  • 链式思维:新模型专注于在响应之前进行更多思考,采用了链式思维的提示模式。这种模式允许模型逐步推理,而不是仅仅预测下一个词。
  • 强化学习:OpenAI 使用大规模的强化学习算法训练这些模型,使其能够有效地利用链式思维。模型通过不断的训练和思考时间来提高性能。

2. API 文档中的细节 #

  • 适用场景:o1 模型适合需要深度推理的应用,而 GPT-4o 和 GPT-4o mini 则更适合需要图像输入、函数调用或快速响应的场景。
  • 访问限制:目前,o1-preview 和 o1-mini 模型的 API 访问仅限于 Tier 5 账户,用户需至少消费 1000 美元的 API 积分。
  • 推理令牌:引入了“推理令牌”,这些令牌在 API 响应中不可见,但会被计入输出令牌。OpenAI 建议为需要推理的提示分配大约 25,000 个推理令牌。

3. 推理过程的隐蔽性 #

  • 隐蔽的推理令牌:推理令牌在 API 中不可见,OpenAI 解释了这一政策的原因,包括安全性和竞争优势。模型的推理过程被隐藏,以防止用户看到可能违反政策的中间步骤。

4. 示例与应用 #

  • OpenAI 提供了一些初步示例,展示了新模型在生成 Bash 脚本、解决填字游戏和计算化学溶液 pH 值等任务中的表现。
  • 这些示例显示了模型在处理复杂提示时的推理步骤,但并未展示原始推理令牌,而是以更易读的形式总结步骤。

5. 未来展望 #

  • 社区需要时间来探索这些模型的最佳应用场景。尽管目前仍主要使用 GPT-4o,但新模型的推出将激发对 LLM(大型语言模型)能力的新理解。

总的来说,OpenAI 的新 o1 模型通过增强推理能力,提供了更复杂任务的解决方案,但同时也引入了一些使用上的限制和隐私保护措施。

HN 热度 641 points | 评论 566 comments | 作者:loganfrederick | 23 hours ago #

https://news.ycombinator.com/item?id=41527143

  • o1-preview 模型仍然会产生不存在的库和函数,且在事实不明确时容易出错。
  • 许多人将 LLM 视为搜索引擎,但它的优势在于理解和生成逻辑输出,而不仅仅是数据库。
  • 将 LLM 视为“天真的但聪明的实习生”是有问题的,因为它不会主动提问或承认不确定性。
  • 对于复杂问题,LLM 在对话中容易陷入困境,建议先获取大致信息再自行构建。
  • LLM 在处理复杂任务时,常常会因为早期的小错误而导致后续输出的复杂性和错误。
  • LLM 的对话历史管理是一个难题,难以平衡保持上下文和放弃错误信息。
  • LLM 在逻辑推理上存在局限,无法像人类一样主动纠正错误或进行深入思考。
  • 对于编程等快速变化的领域,LLM 的表现可能不如人类,但在提供初步思路时仍然有用。
  • LLM 在处理“技巧性问题”时容易出错,反映出其依赖于训练数据的局限性。
  • LLM 的输出常常是基于统计的,而非真正的理解,可能导致错误的自信输出。
  • 许多人对 LLM 的期望过高,认为它们应当具备 AGI 的能力,而实际上它们只是强大的工具。

Data sleuths who spotted research misconduct cleared of defamation #

https://arstechnica.com/science/2024/09/court-clears-researchers-of-defamation-for-identifying-manipulated-data/

在一起备受关注的案件中,哈佛商学院的研究人员因揭露数据操纵而被法院裁定不构成诽谤。此案源于哈佛商学院对其一位明星教授 Francesca Gino 的内部调查,结果显示她存在研究不端行为。该调查的结果本应保密,但因 Gino 提起诉讼,声称数据调查团队和哈佛商学院对她进行了诽谤,调查结果被公开。

法院的裁决表明,基于证据的结论不能构成诽谤,这对科学界而言是个好消息。被起诉的研究者 Uri Simonsohn、Leif Nelson 和 Joe Simmons 运营着一个名为 Data Colada 的博客,专注于行为科学中的可疑数据案例。他们在博客中详细描述了 Gino 的四篇论文中存在的数据造假问题,并将证据提交给哈佛进行调查。哈佛最终确认了研究不端行为,并对 Gino 采取了行政休假措施。

Gino 的诉讼指控哈佛违反合同、诽谤她,并干扰她与出版社的关系。尽管哈佛的部分诉讼请求被驳回,但法院认为哈佛在处理 Gino 案件时的政策变动可能导致合同违约的质疑。法院还指出,哈佛通知 Gino 的同事她被置于行政休假并不构成诽谤。

更重要的是,Data Colada 团队的所有指控均被驳回。法院强调,科学争议应通过科学方法解决,而非诉讼。由于 Gino 是公众人物,且 Data Colada 团队在表述时保持了科学写作的谨慎态度,因此不构成诽谤。此外,研究者们通过提供数据来源的链接,进一步保护了自己,允许读者自行审查信息。

这一裁决对科学界传递了重要信息,表明在揭露数据操纵时,谨慎的科学语言可以有效防止诽谤指控。这也反映了近年来科学界在线社区的发展,科学家们在这些平台上识别和讨论数据操纵的案例,促进了科学记录的透明性。

HN 热度 530 points | 评论 101 comments | 作者:dangle1 | 1 day ago #

https://news.ycombinator.com/item?id=41525778

  • 数据调查者发现研究不当行为并被判无诽谤罪,表明科学界对不当行为的监督仍然有效。
  • 法院的裁决强调,基于证据的结论不能构成诽谤,这对科学研究是有利的。
  • 许多评论者对法律费用表示担忧,认为在美国,诉讼费用高昂,可能会对普通人造成经济负担。
  • 一些评论提到,欧洲的法律体系在诉讼费用方面相对更为友好,败诉方通常需要承担胜诉方的法律费用。
  • 对于科学界的诚信问题,评论者认为需要更好的机制来保护那些揭露不当行为的研究者。
  • 有人指出,科学研究的争议应通过科学方法解决,而不是通过法律手段。
  • 评论中提到,许多知名学者在 TED 演讲中可能存在不实研究,导致公众对科学的信任度下降。
  • 对于 Gino 教授的案件,评论者认为她的行为损害了学术界的声誉,尤其是在她研究的诚信领域。

Boeing workers vote to strike #

https://www.washingtonpost.com/business/2024/09/13/boeing-union-contract-strike/

波音公司的工人们于上周五举行罢工,显示出对管理层合同提案的不满,约 96% 的工会成员投票支持罢工。这是自 2008 年以来波音机械师的首次罢工,工人们的愤怒源于长期以来的薪资和福利问题。罢工导致波音的航空器生产停滞,可能每周造成约 10 亿美元的损失,进一步威胁到该公司的财务状况。

波音的工会 —— 国际机械师和航空工人联合会 751 区的成员在西雅图及周边地区的多个工厂集会,表达对公司的不满。工人们表示,尽管波音提出了 25% 的薪资提升和改善的健康及退休福利,但这些都未能满足他们的期望,尤其是考虑到生活成本的上升和多年来缺乏有效的加薪。

波音公司首席财务官布赖恩・韦斯特承认,尽管提出的协议在某些方面是 “前所未有的”,但工会成员的回应表明这一提案未能达到他们的期望。工人们对波音多年来的策略感到愤怒,包括威胁将生产线迁出该地区。

罢工开始不到 24 小时后,双方同意在联邦调解员的帮助下重新开始谈判,显示出一定的进展。拜登政府也在关注这一局势,劳动部长朱莉・苏已经与双方进行了沟通。

分析人士指出,如果罢工持续超过一两周,可能会对波音的运营和财务状况产生重大影响。波音在过去一年中经历了安全、财务和法律上的重大挫折,包括 737 Max 飞机的事故和一系列的制造和安全监督问题。

新的首席执行官凯利・奥特伯格上任不久,承诺将开启公司的新篇章,但面对工人们的强烈不满,未来的谈判仍需找到平衡点以恢复生产和工人的信任。

HN 热度 516 points | 评论 486 comments | 作者:isaacfrond | 19 hours ago #

https://news.ycombinator.com/item?id=41528075

  • 很多人对波音管理层破坏工程企业文化感到愤怒,但不清楚工人们是否在争取文化的修复,还是仅仅想要更高的工资和更少的工作时间。
  • 工会成员提到波音需要“停止违法”,而拒绝的协议中包含了较大的薪资增长,96% 的人拒绝这一协议,说明问题可能不在于薪资不足。
  • 波音的利润并未与员工分享,且安全问题引发了对公司贪婪的普遍看法,工人们的自豪感也在下降。
  • 如果波音的文化最终毁掉了公司声誉,工人们在找新工作时会面临困难。
  • 现有经济中没有足够的类似职位来吸纳所有波音员工,转行可能需要重新技能培训。
  • 工会的存在是为了保护工人权益,尽管有些人认为工会对经济有负面影响,但它们在过去一个世纪为工人权利做出了重要贡献。
  • 有工程师成功转行到医疗设备行业,表明相关领域之间的技能转移是可行的。
  • 波音工程师的薪资和福利相对较好,转行可能面临语言障碍和生活适应问题。
  • 有人建议波音工程师离开并创办自己的公司,认为当前市场存在机会。
  • 设计和制造商业飞机的过程复杂且耗时,成功需要的不仅是工程师的能力,还需要良好的管理和市场策略。
  • 波音的管理层和董事会被认为是导致公司问题的根源,建议政府介入以解决问题。
  • 许多评论认为,波音的失败可能导致航空市场的垄断,影响整体经济。

FDA Authorizes First Over-the-Counter Hearing Aid Software #

https://www.fda.gov/news-events/press-announcements/fda-authorizes-first-over-counter-hearing-aid-software

美国食品药品监督管理局(FDA)于 2024 年 9 月 12 日授权了首款非处方(OTC)助听器软件,名为“助听器功能”(Hearing Aid Feature),该软件旨在与兼容的 Apple AirPods Pro 耳机配合使用。用户在安装并根据个人听力需求进行定制后,该功能可以将 AirPods Pro 转变为 OTC 助听器,主要用于增强 18 岁及以上轻度至中度听力损失者的声音。

FDA 的官员表示,听力损失是影响数百万美国人的重大公共健康问题。此次授权标志着在广泛使用的消费音频产品上推出 OTC 助听器软件的又一步,旨在提高轻度至中度听力损失成人的听力支持的可用性和接受度。

在美国,超过 3000 万成年人报告存在不同程度的听力损失,听力损失可能由年龄、噪音暴露、某些医疗条件等因素引起。使用助听器与减少认知衰退、抑郁等健康问题的发生频率相关联。

FDA 于 2022 年 10 月制定的 OTC 助听器法规,旨在帮助轻度至中度听力损失的成年人更方便地获得安全有效的产品。该法规允许消费者无需医疗检查、处方或听力学家的帮助,直接从商店或在线零售商处购买助听器。

助听器功能(HAF)是一款仅限软件的移动医疗应用,用户可以在没有听力专业人士帮助的情况下,自行调整以满足个人听力需求。HAF 通过 iOS 设备(如 iPhone 或 iPad)进行设置,并从 iOS HealthKit 中获取用户的听力水平,以便进行定制。用户可以在设置后进一步调整音量、音调和平衡设置。

HAF 在一项涉及 118 名轻度至中度听力损失受试者的临床研究中进行了评估,结果显示使用 HAF 自我调节策略的受试者获得的感知益处与接受专业调试的受试者相似。此外,耳道内的增益水平和噪声中语音理解的测试结果也显示出相似的表现。研究中未观察到与设备相关的不良事件。

此次申请通过 FDA 的 De Novo 预市场审查途径进行审查,这是针对某些低至中等风险的新型设备的监管途径。FDA 将继续支持创新,以扩大重要技术的获取,并将医疗服务直接带给患者。

HN 热度 386 points | 评论 215 comments | 作者:mgerdts | 1 day ago #

https://news.ycombinator.com/item?id=41526288

  • 随着 AirPods 被正式认证为助听器,希望能减少对助听器的污名化,让更多人意识到自己的听力问题。
  • 一些用户表示,虽然 AirPods 在短时间内电池续航较差,但其便携性和价格优势使其成为入门级助听器的选择。
  • 现代助听器可以根据用户需求进行调节,而 AirPods 则可能被误认为只是简单的麦克风和放大器。
  • 有人提到,使用 AirPods 作为助听器可能会导致社交误解,别人可能认为佩戴者在听音乐或通话,而不是在使用助听器。
  • 许多用户认为,助听器的高昂价格是主要障碍,AirPods 的出现可能会促使市场价格下降。
  • 对于一些年轻人来说,AirPods 的外观更容易接受,可能比传统助听器更具吸引力。
  • 有评论指出,尽管 AirPods 提供了一种低成本的听力解决方案,但它们并不能完全替代专业助听器的功能。
  • 一些用户表示,使用 AirPods 的体验可能会让他们更愿意尝试真正的助听器。

Entire staff of game publisher Annapurna Interactive has reportedly resigned #

https://www.theverge.com/games/2024/9/12/24243317/annapurna-interactive-staff-reportedly-resigns

根据《The Verge》的报道,著名游戏发行公司 Annapurna Interactive 的全体员工已集体辞职。这一决定源于员工未能说服公司创始人梅根·埃利森(Megan Ellison)将其游戏部门独立出来,成立新公司。Annapurna Interactive 以发行独立游戏而闻名,如《流浪》(Stray)、《外部荒野》(Outer Wilds)、《戈罗戈亚》(Gorogoa)等。

辞职的团队共有 25 名成员,前总裁内森·加里(Nathan Gary)表示:“这是我们做出的最艰难的决定之一,我们并没有轻率地采取这一行动。”虽然员工辞职,但 Annapurna 的发言人表示,现有的游戏和项目将继续在公司内进行。

此外,最近有报道称,加里及 Annapurna Interactive 的共同负责人德博拉·马尔斯(Deborah Mars)和内森·维拉(Nathan Vella)也将离开公司。Annapurna 计划将其内部游戏运营与电影、电视和戏剧等其他部门整合。

Annapurna Pictures 作为公司的电影部门,曾因多部获奖影片而声名显赫,包括《她》(Her)、《美国骗局》(American Hustle)和《零黑三十》(Zero Dark Thirty)。该公司近年来在视频游戏出版方面也取得了显著成就,并于 2020 年宣布开始开发自己的游戏。

目前,Annapurna Interactive 已发布《Lorelei and the Laser Eyes》和《Open Roads》,并计划推出《刀锋跑者 2033:迷宫》(Blade Runner 2033: Labyrinth)、《鬼车》(Ghost Bike)和《漫游站》(Wanderstop)等新游戏。

HN 热度 377 points | 评论 186 comments | 作者:nickcotter | 18 hours ago #

https://news.ycombinator.com/item?id=41528266

  • Annapurna Interactive 的全体员工辞职与母公司 Annapurna Pictures 的财务问题有关,后者希望将游戏部门整合进公司内部。
  • 员工和高管希望独立出来,但谈判失败,导致大部分员工离开。
  • 有观点认为 Annapurna Pictures 成功的电影 IP 可能会影响游戏部门的创作自由,员工因此选择离开。
  • “内容”一词在某些社群中被视为广告术语,反映了对创作者作品的轻视。
  • 对于“知识产权”的讨论显示出人们对无形资产的理解不足,尤其是版权和商标的界限。
  • 有评论指出,Annapurna Interactive 在游戏行业的成功与其独特的创意和人才选择密切相关。
  • 许多人对 Annapurna Interactive 的未来表示担忧,认为其品牌可能会受到影响。
  • 讨论中提到,游戏行业与电影行业类似,都是高风险的创意产业,成功难以预测。
  • 有人认为,Annapurna Interactive 的员工可能会迅速成立新公司,继续他们的创作。

Zero-Click Calendar invite vulnerability chain in macOS #

https://mikko-kenttala.medium.com/zero-click-calendar-invite-critical-zero-click-vulnerability-chain-in-macos-a7a434fc887b

这篇文章由 Mikko Kenttälä 撰写,探讨了 macOS 中的一个严重的零点击(zero-click)漏洞链,主要涉及日历应用程序。以下是详细摘要:

概述 #

作者发现了一个零点击漏洞,允许攻击者在 macOS 日历的沙箱环境中添加或删除任意文件。这种漏洞可能导致恶意代码执行,并可能绕过安全保护,从而危害用户的敏感数据(如 iCloud 照片)。苹果公司已在 2022 年 10 月至 2023 年 9 月间修复了所有相关漏洞。

漏洞细节 #

第一阶段:任意文件写入和删除漏洞(CVE-2022–46723) #

攻击者可以发送包含恶意附件的日历邀请,利用未正确清理的文件名进行目录遍历攻击。攻击者可以通过设置任意路径,将文件添加到用户的日历目录中。这种漏洞允许攻击者删除沙箱内的现有文件。

第二阶段:利用任意文件写入漏洞获取远程代码执行(RCE) #

在发现该漏洞时,macOS Ventura 即将发布。攻击者可以利用升级过程,通过日历的打开文件功能来实现远程代码执行。通过注入多个文件,攻击者可以在 macOS Monterey 升级到 Ventura 时触发 RCE 漏洞。

  • 注入文件示例
    1. 000Hacked-$RANDOM.calendar:包含日历数据,触发其他注入文件。
    2. CalendarTruthFileMigrationInProgress:确保旧日历格式的升级。
    3. CalPoCInit.dmg:包含指向外部服务器的引用。
    4. stage1.urlstage2.url:分别触发恶意应用的启动。

第三阶段:访问敏感照片数据 #

攻击者可以通过改变 Photos 应用的配置,获取 iCloud 中的私人照片。通过导入恶意配置文件,攻击者可以使 Photos 应用指向一个不受保护的路径,从而访问用户的敏感文件。

完整链条 #

要利用整个漏洞链,攻击者需要通过多个步骤克服 macOS 的安全障碍,包括绕过 Gatekeeper 和 TCC 保护,以获取敏感数据。

时间线 #

  • 2022 年 8 月:报告日历沙箱中的任意文件写入和删除漏洞。
  • 2022 年 10 月:漏洞在 macOS Monterey 12.6.1 和 Ventura 13 中修复。
  • 2023 年 9 月:修复 Photos 漏洞并获得认可。

结论 #

在修复之前,攻击者能够通过恶意日历邀请窃取任何 Apple iCloud 用户的照片,而无需用户交互。作者感谢所有帮助他的人,并表示仍在等待与原始漏洞相关的赏金。

这篇文章详细描述了漏洞的技术细节和利用方式,强调了安全性的重要性。

HN 热度 318 points | 评论 118 comments | 作者:jviide | 7 hours ago #

https://news.ycombinator.com/item?id=41532946

  • 有人质疑苹果为何未考虑到此漏洞的存在,认为这是一个明显的安全缺陷。
  • 讨论中提到,苹果的安全团队管理不善,导致漏洞赏金计划效率低下。
  • 有评论认为,苹果的赏金计划可能是故意低效,缺乏对安全研究者的重视。
  • 许多人认为,苹果在处理漏洞报告时的缓慢反应反映了其内部管理的低效。
  • 一些评论指出,技术巨头在赏金计划中往往会避免支付,可能是出于对成本的考虑。
  • 也有人认为,苹果的赏金计划缺乏透明度,导致研究者对其信任度降低。
  • 讨论中提到,安全研究者在向苹果报告漏洞时,常常面临漫长的等待和不确定性。
  • 有人提到,苹果的漏洞赏金金额与其巨额利润相比显得微不足道,质疑其诚意。
  • 还有评论认为,苹果的漏洞处理方式可能会导致研究者转向黑市出售漏洞。

Porting SBCL to the Nintendo Switch #

https://reader.tymoon.eu/article/437

这篇文章的标题是《将 SBCL 移植到任天堂 Switch》,作者是 shinmera。文章详细描述了作者与 Charles Zhang 在过去两年中将其游戏引擎 Trial 移植到任天堂 Switch 的过程,主要挑战在于将 Common Lisp 运行时移植到该平台。

当前状态 #

作者提到,他们已经成功将运行时和编译器移植到 Switch 上,能够直接在 Switch 上编译和执行任意 Lisp 代码,并与共享库进行接口。然而,当前仍存在一些问题,例如在进行垃圾回收时崩溃,以及无法输出音频。

移植环境概述 #

Switch 的环境是基于 ARM64 Cortex-A57 芯片,运行在一个专有的微内核操作系统上。SBCL 已经有 ARM64 Linux 的移植版本,因此代码生成方面没有问题,但与 Switch 的专有操作系统接口的困难是主要挑战。

SBCL 的构建过程 #

SBCL 主要用 Lisp 编写,构建过程分为多个阶段,包括配置、交叉编译和目标编译等。作者详细描述了在 Switch 上构建 SBCL 的步骤,强调了 Switch 环境的特殊性,例如没有命令行和编译器套件。

垃圾回收问题 #

垃圾回收在多线程环境中是一个复杂的问题,Switch 没有信号机制,因此作者需要修改编译器以实现“安全点”策略,确保在进行垃圾回收时所有线程都能正确停车。

未来工作 #

作者计划进一步优化垃圾回收机制,并解决与 C 语言回调相关的问题。此外,他们希望在不久的将来能够分享更多的移植工作,但由于与任天堂的保密协议(NDA),某些细节无法公开。

结论 #

文章最后,作者呼吁支持他们的 Patreon、GitHub 或 Ko-Fi,以帮助完成 SBCL 在 Switch 上的移植工作和当前的游戏项目。

整体而言,文章深入探讨了技术细节和挑战,同时也表达了对支持的渴望。

HN 热度 282 points | 评论 52 comments | 作者:todsacerdoti | 11 hours ago #

https://news.ycombinator.com/item?id=41530783

  • 使用 Lisp 语言进行游戏开发的互动性和增量开发能力受到赞赏。
  • Common Lisp 在游戏开发中表现出色,尤其是在快速迭代和调试方面。
  • SBCL 的低级集成和高效的垃圾回收机制是移植到游戏硬件的挑战。
  • 对于数据结构的使用,虽然有些笨重,但可以通过使用属性列表等方式进行改善。
  • 许多开发者对使用官方 SDK 而非第三方工具链的原因表示理解,主要是为了避免法律风险。
  • 讨论中提到的游戏开发工具和环境的细节令人羡慕,尽管现代工具链的支持有所改善。
  • 对于 Nintendo Switch 的开发,社区对其开放性和支持度的期望较高。

DiyPresso: DIY Espresso Machine #

https://www.diypresso.com/

diyPresso 网站介绍了全球首款 DIY 咖啡机,专为 DIY 爱好者和咖啡爱好者设计。用户可以通过简单的工具(如螺丝刀和扳手)自行组装这款咖啡机,并利用开源软件进行个性化配置,以获得最佳的咖啡制作体验。

主要特点: #

  1. DIY 组装

    • 提供易于理解的逐步手册,用户可以轻松组装自己的咖啡机。

  2. 可调节的冲泡设置

    • 所有设置均可完全调整,包括压力、温度、萃取时间等,用户可以根据个人喜好定制每一杯咖啡。

  3. 耐用设计

    • 采用高品质组件,铝框架和激光切割的不锈钢外壳,确保机器的耐用性和精确性。配备定制的铜锅炉,优化热分布和使用寿命。

  4. 开源软件

    • 该咖啡机的开源软件允许用户和开发者共同参与,持续改进和扩展功能,提升用户体验。

  5. 独特编号

    • 每台 diyPresso 都有独特的编号标签,增加了产品的独特性。

背景故事: #

diyPresso 的创始人 Bernard 和 Pieter 于 2022 年 10 月开始了这一项目,旨在通过简化组装过程和提供可调节的萃取质量来革新咖啡体验。经过多次原型测试和用户反馈,最终推出了 diyPresso One,承诺为全球咖啡爱好者提供无与伦比的咖啡体验。

其他信息: #

网站还提供了社区论坛、GitHub 支持、组装手册、购物信息等,方便用户获取更多资源和支持。

总之,diyPresso 不仅是一个咖啡机,更是一个 DIY 项目,鼓励用户参与到咖啡制作的每一个环节。

HN 热度 271 points | 评论 256 comments | 作者:ragebol | 1 day ago #

https://news.ycombinator.com/item?id=41524298

  • 有人认为这款 DIY 咖啡机并不是解决问题的最佳方案,建议对已有的咖啡机进行升级而不是购买新机。
  • 许多评论者指出,这款机器的价格与市场上更先进的现成机器相当,性价比不高。
  • 一些评论者提到,现有的咖啡机电子元件非常专有,缺乏开放性和可升级性。
  • 对于没有咖啡机的用户,这款机器可能是一个不错的选择,但市场上有许多二手机器可以选择。
  • 有人认为,DIY 项目的乐趣在于组装,但也有人担心安全性和技术难度。
  • 许多评论者提到,现代咖啡机的技术进步主要集中在控制和传感器上,而这款机器并没有体现这些创新。
  • 一些用户分享了他们对其他咖啡机的推荐,认为有更好的选择。
  • 评论中提到,DIY 咖啡机可能吸引喜欢动手的人,但对于普通消费者来说,购买现成的机器可能更为实用。
  • 有人指出,咖啡的质量不仅取决于机器,还与磨豆机和咖啡豆的质量密切相关。
  • 最后,有评论者表示,虽然 DIY 项目有趣,但在实际使用中,许多人可能更倾向于简单、方便的解决方案。

Does your startup need complex cloud infrastructure? #

https://www.hadijaveed.me/2024/09/08/does-your-startup-really-need-complex-cloud-infrastructure/

文章标题为《你的创业公司真的需要复杂的云基础设施吗?》,作者 Hadi Javeed 探讨了初创公司在基础设施管理方面的常见误区。

主要内容摘要: #

  1. 复杂性与必要性

    • 作者提到,许多初创公司在基础设施管理上过于复杂,尤其是在产品市场契合度尚未明确的情况下。Pieter Levels 的经验表明,成功的微型 SaaS 企业可以在单一服务器上运行,避免复杂的云基础设施。

  2. 小团队的挑战

    • 对于小型开发团队,管理部署和数据库可能会很困难,但并不是所有项目都需要 Kubernetes 或复杂的分布式系统。简单的基础设施往往足以支持团队专注于产品开发和市场适应。

  3. 案例分析

    • 项目 1:Lambda 过载:使用 20-30 个 Lambda 函数和分散的日志管理导致调试困难和复杂的部署。作者认为可以通过使用单一的 NodeJS 或 Python 应用来简化。
    • 项目 2:微服务混乱:团队在 Kubernetes 上管理 7 个微服务,花费过多时间在基础设施上,而非功能开发。对于初创公司而言,这种复杂的分离并不必要。

  4. 单服务器设置的优势

    • 现代服务器性能强大,价格合理,能够提供足够的计算能力。初创公司可以在产品市场契合度明确之前,先使用单一虚拟机(VM)进行开发和部署。

  5. Docker Compose 的应用

    • Docker Compose 在本地开发中表现出色,但在生产环境中使用不足。作者创建了一个名为“Docker Compose Anywhere”的模板,旨在简化部署过程,支持多应用在单一 VM 上运行。

  6. 安全与数据保护

    • 强调了安全性的重要性,包括严格的防火墙规则、SSH 密钥保护和数据备份策略。

  7. 总结

    • 作者呼吁工程师们关注简化基础设施设置,专注于核心产品,而不是被复杂的工具和设置所分散注意力。真正重要的是与用户沟通,找到产品市场契合度。

这篇文章强调了初创公司在基础设施管理中应追求简单性,以便更好地专注于产品开发和市场需求。

HN 热度 249 points | 评论 326 comments | 作者:hjaveed | 21 hours ago #

https://news.ycombinator.com/item?id=41527564

  • 有人认为,初创公司不应追求复杂的云基础设施,简单的解决方案更有效。
  • 许多团队因缺乏成熟度而盲目使用流行技术,导致质量下降。
  • 使用长时间支持(LTS)版本的系统可以提高可重复性和稳定性。
  • 迁移到新版本的 LTS 可能会很困难,但合理规划可以减轻痛苦。
  • Docker 在云环境中提供了便利,但也增加了复杂性。
  • 有人认为 Docker 的使用是为了避免依赖于不稳定的系统配置。
  • 许多开发者认为,云基础设施的复杂性和成本可能会影响初创公司的发展。
  • 讨论中提到,云原生服务在某些情况下可能更复杂且成本更高。
  • 许多开发者倾向于使用简单的脚本和工具,而不是依赖于复杂的云服务。
  • 有人认为,云的优势在于快速原型开发,但在生产环境中可能不如自建基础设施。
  • 讨论中提到,教育和培训是解决运维人员短缺的关键。