2025 07 13 HackerNews

2025-07-13 Hacker News Top Stories #

OpenAI 放弃收购 AI 编程初创公司 Windsurf，Windsurf 的 CEO 和联合创始人将加入谷歌的 DeepMind 团队。

80年代中期用 MacPaint 制作的艺术作品至今仍具有艺术价值，展示了早期数字艺术的魅力。

ETH Zurich 和 EPFL 将在瑞士超级计算中心训练一个开放的多语言大语言模型，并于2025年夏末开源发布。

作者通过生成虚假 JPEG 文件来应对网络爬虫的抓取问题，降低服务器负载并优化生成数据。

印度航空公司空难初步报告显示燃油开关在坠毁前被关闭，飞行员在操作上存在混乱，调查仍在进行中。

NOAA 2026年预算拟议取消防止卫星碰撞的 TraCSS 项目，可能导致美国在空间交通管理方面倒退数十年。

Jank 语言实现了与 C++ 的无缝互操作性，详细介绍了内存管理、类型处理和实际应用示例。

测试网页 “wtf” 通过 20 个问题帮助用户评估对 JavaScript Date 类的掌握程度，结果可分享。

OpenAI 推迟发布开放权重模型，以进行额外的安全测试和审查高风险领域，确保正确处理挑战。

Gravity Forms 官方插件中发现恶意软件，表明供应链遭到入侵，仅通过官方网站或 Composer 安装的插件受影响。

OpenAI’s Windsurf deal is off, and Windsurf’s CEO is going to Google #

https://www.theverge.com/openai/705999/google-windsurf-ceo-openai

OpenAI 原本计划收购的 AI 编程初创公司 Windsurf 的交易已经告吹。取而代之的是，Google 将聘请 Windsurf 的首席执行官 Varun Mohan、联合创始人 Douglas Chen 以及一些 Windsurf 的研发员工加入 Google DeepMind 团队。这一消息由 Google 和 Windsurf 在周五共同宣布。Mohan 和 Windsurf 的员工将在 Google DeepMind 专注于代理编程工作，并主要致力于 Gemini 项目。Google 不会对 Windsurf 有任何控制权或股份，但将获得 Windsurf 部分技术的非独家许可。

Windsurf 的商业负责人 Jeff Wang 立即成为临时首席执行官，全球销售副总裁 Graham Moreno 将成为 Windsurf 的新总裁。Google 发言人 Chris Pappas 在一份声明中向 The Verge 表示：“Gemini 是市面上最好的模型之一，我们一直在投资其为开发者提供的高级功能。我们很高兴能欢迎 Windsurf 团队的一些顶级 AI 编程人才加入 Google DeepMind，推进我们在代理编程方面的工作。”Mohan 和 Chen 在一份声明中表示：“我们很高兴能与 Windsurf 团队的一部分一起加入 Google DeepMind。我们为 Windsurf 在过去四年里所取得的成就感到骄傲，并对其与世界级团队一起启动下一阶段感到兴奋。”

Google 没有透露聘请这个团队的具体费用。之前有报道称 OpenAI 计划以 30 亿美元的价格收购 Windsurf。

HN 热度 948 points | 评论 610 comments | 作者：rcchen | 1 day ago #

https://news.ycombinator.com/item?id=44536988

微软知识产权问题之外，Claude Code 的流行使得 fork IDE 显得浪费，因为有很多免费的开源 CLI 工具。
终端 CLI 代理的开发成本远低于 fork 整个 IDE。
Claude Code 易于上手，可以与任何 IDE 一起使用，只需简单扩展即可改善用户体验。
Anthropic 可以自由地降低 API 利润率以换取更可预测的订阅收入和训练数据访问。
Cursor/Windsurf 与 VS Code + CC 相比，优势在于标签补全模型和一些 UI 细节。
认为这是未来发展的预兆，Cursor 可能是最快达到 900 万美元 ARR 的公司，也可能是最快下降的。
Cursor 作为 IDE 的价值可能是短暂的，主要是为了对抗微软的市场野心。
代理通过模型上下文协议获得很多价值，而完全支持该协议的客户列表非常短，但 VSCode Chat 窗口是其中之一。
认为将代理内置于 IDE 中会带来更多价值，但不愿意被迫使用 CoPilot/OpenAI。
代理由于内置于编辑器中，可以访问更多上下文工具，如聚焦的 linting 错误和测试失败。
Anthropic 可能以高达 500% 的亏损提供 CC，同时限制了 sonnet/opus 4 对 Windsurf 的访问，并提高了对 Cursor 的企业报价。
只有当设备上的模型或至少开源模型在未来两年内迎头赶上，Cursor 和其他 UX 包装器才有可能获胜。
认为 Cursor 和其他 UX 包装器要想赢，模型必须是真正的商品。
认为 Anthropic 在 API 上有很大的利润率，并且他们以低于该利润率的价格出售 Claude Code。
对 Claude API 的定价有显著的利润率，认为 Anthropic 在他们的 API 上获得了 80% 的利润率。
认为 sonnet/opus 比 deepseek 好得多，不能与之相比。
认为 deepseek 是 distilled deepseek 模型。
认为 Claude 在正确的随机种子下能做出疯狂的事情。
认为 Claude 通常感觉像一个笨拙的白痴，但在极少数情况下感觉像一个有感知的超级智能。
认为 Claude Code 感觉非常昂贵，但没有太多比较的视角。
认为 Claude Code Max 100 & 200 计划非常合理，与其他按使用令牌计费的服务相比。
认为 CC 的日常使用经常是每天 50-100 美元，Max 计划是绝对划算的价值。
认为使用 Opus 的 API 积分很容易达到每小时 100 美元，模型提供商和数据中心都得到了大量补贴。
认为 AI 工具在大规模上将极其昂贵，需要匹配竞争对手的做法。
担心独立开发者变得依赖模型，100-200 美元是客户获取成本的赠品。
认为专业开发者将需要大型推理计算预算。
认为这些好的模型将来会运行在设备上，只花费硬件的价格。

MacPaint Art from the Mid-80s Still Looks Great Today #

https://blog.decryption.net.au/posts/macpaint.html

这篇文章发表于 2025 年 7 月 12 日，作者分享了他在浏览 BMUG 的 CD-ROM 时发现的 80 年代中期用 MacPaint 制作的早期艺术作品，并表达了对此的欣赏之情。他进一步浏览了 Discmaster 上的 18,000 多张 MacPaint 图像，以寻找更多的佳作。文章中，作者展示了一些他发现的令人印象深刻的作品，并提出了一个想法，即尝试寻找这些艺术家，了解他们现在的情况。作者认为，如果这些艺术家能够在 40 年前的 9 英寸、1 位屏幕的设备上创作出这样的作品，那么他们现在可能取得了更多的成就。

文章还提到了 Amiga 电脑，这是与 MacPaint 同期的另一种家用电脑，能够制作出类似（甚至更好）的电脑艺术作品。作者计划不久后探索这一领域，寻找更多有趣的作品。

作者还分享了一些他认为不太引人注目的艺术作品，这些作品虽然不是特意设计成艺术本身，但仍然是很酷的 logo、图形、图标等。他鼓励读者访问 Discmaster 网站，使用搜索功能按文件类型查找图像，MacPaint、MacDraw 或其他旧图形程序（甚至可能是 1990 年之前的 Photoshop 文件）应该能够找到成千上万的这类风格的作品。

文章最后，作者展示了一些他喜欢的较小图标，并将它们汇总到了一个单一的画布上。对于那些想要创作类似艺术的人，作者推荐了一本名为《Zen & The Art of The Macintosh》的书，这本书可以在互联网档案馆找到，详细介绍了当时的技术。作者认为这本书值得单独写一篇文章，因此没有在本文中透露太多细节。文章最后提到了“More Posts | RSS | decryption???”，可能是指向更多相关内容的链接或提示。

HN 热度 736 points | 评论 166 comments | 作者：decryption | 16 hours ago #

https://news.ycombinator.com/item?id=44540402

有些艺术作品的美学完整性使其在图形硬件或能力提升后不会在艺术层面上有所增益。
人类表达方式受工具影响，例如巴赫的音乐受击弦古钢琴无延音特性的影响。
并非所有艺术作品都受工具影响，例如一些 Wii 游戏在高分辨率下看起来更好。
像素版的 Chicago 字体看起来很棒，但矢量版则不然。
Switched-on Bach 专辑之所以出色，是因为合成器低音比原声乐器更清晰、更易识别。
Wendy Carlos 的作品因其对原作的忠实和品味而脱颖而出。
Wendy Carlos 现年 85 岁，过去二十年未能出版 CD，也未授权音乐流媒体。
西方古典音乐有利用尖端技术进步的传统，尤其是在冶金和高级木工技术方面。
古典音乐在录音和电声放大技术出现后趋于稳定。
古典音乐是流行音乐中超过两代人持续流行的音乐。
古典音乐已经失去了对新奇声音的听众。
任何一种音乐实践都不可能永远处于实验的最前沿。
伟大的古典音乐家是他们时代的摇滚明星。
古典音乐是德国-法国精英传统民族音乐，不应因其固化而受到负面评价。
古典音乐已经将其实验性火炬传递给了后代，摇滚和爵士乐也已趋于稳定。

ETH Zurich and EPFL to release a LLM developed on public infrastructure #

https://ethz.ch/en/news-and-events/eth-news/news/2025/07/a-language-model-built-for-the-public-good.html

ETH Zurich 和 EPFL 将发布一个在公共基础设施上开发的大语言模型（LLM）。这个新 LLM 在瑞士国家超级计算中心（CSCS）的“Alps”超级计算机上进行训练，标志着开源 AI 和多语言卓越性的一个重要里程碑。

2025 年 7 月 9 日，由 Florian Meyer（企业传播）和 Mélissa Anchisi（EPFL 人工智能传播负责人）撰写。

2025 年夏末，将发布一个由 EPFL、ETH Zurich 和瑞士国家超级计算中心（CSCS）的研究人员共同开发的公共大语言模型（LLM）。这个 LLM 将完全开放，旨在支持广泛的应用和促进科学、社会和工业的创新。该模型的一个特点是其在 1000 多种语言上的多语言流利度。

本周早些时候，在日内瓦，大约 50 个全球领先的开源 LLM 和可信 AI 倡议和组织汇聚在国际开源 LLM 构建者峰会上。该活动由 EPFL 和 ETH Zurich 的 AI 中心主办，标志着为开放基础模型构建一个充满活力和协作的国际生态系统的重要一步。开源 LLM 越来越被视为商业系统的可信替代品，大多数商业系统都是在美国或中国闭门开发。

峰会的参与者预览了一个即将发布的完全开放、公共开发的 LLM——由 EPFL、ETH Zurich 和其他瑞士大学的研究人员与 CSCS 的工程师紧密合作共同创建。目前该模型正在进行最终测试，将可以在开放许可下下载。该模型的开放性意味着任何人都可以访问、使用、修改和分发它，这有助于促进创新和公平竞争。

HN 热度 647 points | 评论 90 comments | 作者：andy99 | 1 day ago #

https://news.ycombinator.com/item?id=44535637

ETH 和 EPFL 正在训练或微调一个旧的 LLaMA 模型，性能可能不如最新的技术。
ETH 和 EPFL 缺乏大规模训练经验，但拥有强大的智力资源。
瑞士和欧盟的法律允许在尊重版权和退出机制的前提下使用版权数据进行训练。
项目使用的是自己设计的架构，从头开始训练，与 Llama 无关。
项目没有使用 dbpedia 数据，主要数据源是经过过滤的 fineweb2。
项目保留了 1800 多种语言对，包括质量过滤和未过滤的数据。
数据集的质量过滤可能有助于跨语言泛化，但具体效果还需进一步研究。
数据集的质量和 SFT 等微调数据对模型的实际使用至关重要。
从头开始训练模型比简单的微调更为复杂。
70B 参数的模型可能难以赶上 SOTA，但对于本地使用和常规用途可能是一个不错的选择。
即使尊重网络爬虫退出机制，由于其他不尊重退出机制的行为者的存在，性能损失可能不大。
尊重版权和退出机制的训练对模型性能的影响不大。
已经存在一些经过简化处理的网络文本数据集，如 Common Crawl，可以用于 LLM 训练。

Faking a JPEG #

https://www.ty-penguin.org.uk/~auj/blog/2025/03/25/fake-jpeg/

这篇文章发表于 2025 年 3 月 25 日，主题是“Faking a JPEG”，即如何快速创建看似真实的 JPEG 文件。文章的作者一直在讨论一个名为 Spigot 的小型网络应用程序，该程序使用马尔可夫链动态生成假的网页层级结构，以制造无意义的内容供网络爬虫抓取。Spigot 已经运行了几个月，每天提供超过一百万页的内容。作者注意到，尽管 Spigot 的输出不包含图像，但有一个名为“ImageSiftBot”的爬虫却频繁地请求图片。

作者的主要目标是让 Spigot 在不消耗过多服务器 CPU 的情况下运行。生成图像是一个 CPU 密集型的操作，尤其是实时压缩数据。作者提出了一个想法：如果有一个包含“结构化”部分（如大小、颜色深度等信息）和指示高度压缩数据位置的标记的 JPEG 文件模板，就可以通过填充“压缩”区域的随机数据来构建看起来像 JPEG 的文件。这是一个低 CPU 操作，接收者会看到一个看似 JPEG 的文件，并尝试解压随机数据。

文章中提到，JPEG 文件由多个块组成，每个块都有一个标记和长度。作者扫描了网站上的 514 个 JPEG 文件，保留了“结构化”块，并记录了“像素数据”块的长度，结果数据集不到 500KBytes。这样，作者得到了 514 个不同大小、颜色深度的真实模板。

生成 JPEG 的过程简化为：从模板列表中随机选择一个模板，对于模板中的每个块，如果是像素数据块，则输出随机字节；否则，输出块的数据。作者编写了一些测试代码，发现实际情况并不那么简单。真实的像素数据并非完全随机，而是经过霍夫曼编码的，有一定的结构。如果用纯随机数据填充像素块，解码器会注意到数据错误。尽管如此，作者发现每个 JPEG 查看器都能接受他的垃圾数据并显示图像。

作者还提到，他可以每秒在服务器上生成大约 900 个这样的图像，速度约为 190MBytes/秒，远快于服务器的互联网连接速度。现在，Spigot 生成的页面中有大约 60% 会包含一个垃圾 JPEG。作者计划在适当的时候发布用于此操作的 Python 类代码，该代码不到 100 行（但需要更多的注释）。

最后，作者在考虑了霍夫曼编码后，对生成的像素数据添加了一个位掩码。通过“AND”操作每个生成的字节与 0x6D，确保位流中不会出现三个或更多连续的 1，从而大大降低了生成无效霍夫曼编码的 JPEG 的概率，而不需要消耗更多的 CPU。作者的目标是尽可能降低生成垃圾数据的成本，同时增加滥用网络爬虫的成本。虽然生成完全有效的霍夫曼流并不困难，但这会消耗更多的 CPU，收益甚微。

HN 热度 373 points | 评论 87 comments | 作者：todsacerdoti | 1 day ago #

https://news.ycombinator.com/item?id=44537631

网站的 robots.txt 文件应该配置以防止爬虫访问 spigot 树，但移除/spigot/部分后仍可访问 Spigot。
作者认为不应该由网站所有者来配置 robots.txt 以防止爬虫 DOS 攻击。
爬虫应该在请求过多时接收“429 Too Many Requests”页面，而不是直接被惩罚。
使用 botnet 的爬虫很难实现对每个 IP 的请求限制。
网站运营者没有义务对爬取网站的人“友好”。
Marginalia 搜索引擎和 archive.org 等提供公共服务的爬虫不应受到惩罚。
网站可以选择提供正常数据，也可以选择提供随机的假数据。
并非所有网络爬虫都是为了恶意抓取网站。
网络爬虫的定义可能基于抓取网站，但行为的好坏不能由网站所有者评估。
作者可能担心越来越多的数据收集过程对服务器造成负担，因此选择惩罚所有爬虫。
可以通过添加假图片说明来干扰 AI 输入爬虫。
一个写得好的爬虫会检查图片与说明是否匹配。
可信的说明应该是半可信的，如“抽象数字艺术作品”。
爬虫不会在每个页面上都进行可信度检查，而是可能对网站进行抽样。
互联网上垃圾内容太多，可能需要在每个页面上进行检查。
Project Honeypot 项目帮助识别电子邮件收割者。
Honeypot 脚本已经过时，且不能根据 ToS 进行修改。
Facebook 的外部打击 bot 明确忽略 robots.txt，用于验证链接是否包含恶意软件。
Facebook 的 bot 可能会给竞争对手提供免费的 DDoS 服务。
对于某些专业端点，10r/s 的请求可能非常重。
根据托管的内容不同，10r/s 的请求可能对某些网站造成压力。

Preliminary report into Air India crash released #

https://www.bbc.co.uk/news/live/cx20p2x9093t

BBC 首页报道了一起发生在 2025 年 6 月 12 日的 Air India 空难，该事件导致 260 人遇难。最近公布的初步报告并未得出结论，但发现飞机坠毁前一刻，控制发动机开关的燃油开关处于关闭状态。驾驶舱的语音记录显示，两名飞行员之间对于如何关闭燃油开关存在混乱。一名飞行员询问另一名为何关闭了开关，而对方则回应称自己并未这样做。

印度航空部长敦促人们不要急于下结论，美国航空监管机构表示调查将“跟随事实”。受害者家属对初步报告的发布表达了更多的疑问，他们要求得到答案。一名男子告诉 BBC，报告的发布让他感到问题比答案更多。

调查由印度飞机事故调查局领导，美国国家运输安全委员会协助。最终报告预计将在明年发布。目前，BBC 的现场报道已经结束，但公众可以继续关注事件的最新进展，并了解更多关于驾驶舱音频如何加深 Air India 空难之谜的信息。

受害者家属和朋友们在初步报告发布后表达了他们的感受和要求。Ayushi Christian 的丈夫在空难中丧生，她呼吁为受害者伸张正义，并要求对责任人采取行动。Lamnunthem Singson 的表亲表示，家属正在“努力理解我们的损失”，并不确定知道空难原因是否会改变他们的哀悼方式。Badasab Syed 失去了他的兄弟姐妹和他们的两个孩子，他表示报告发布后他的问题比答案更多。Shweta Parihar 失去了丈夫 Abhinav Parihar，她表示对正在进行的调查感到无助。Rafiq Dawood 的儿子 Faizan Rafiq 在空难中丧生，他表示他们不了解燃油开关或其他技术细节，但事实是他们失去了儿子。Saiyed Javed Ali 的一位亲属呼吁印度政府对责任人采取行动，并要求进行适当的调查以找出空难原因。

代表受害者家属的航空律师表示，Air India 空难初步报告的发现“非常令人担忧”。Demitrus Danas 律师表示，这些发现“当然值得进一步审查，以确定这场悲剧是如何发生的”。他补充说，他们将继续与受影响的家庭交谈并提供建议，并敦促家属不要感到被 Air India 的所有者逼迫签署与潜在赔偿支付相关的文件。

Maithili Patil 是飞机上的一名机组人员，她的家乡社区对她的去世表示哀悼。Maithili 是村里第一个成为空姐的女孩，整个村庄都为她感到骄傲。她的工作对家庭也是一大支持，现在家庭不得不在悲痛中继续生活。

HN 热度 362 points | 评论 728 comments | 作者：cjr | 1 day ago #

https://news.ycombinator.com/item?id=44536459

FAA 的政策导致飞行员在寻求心理健康治疗和职业生涯之间做出选择，可能鼓励飞行员隐藏心理健康问题。
有人怀疑这是一起谋杀自杀事件，但目前还没有确凿证据。
飞行员不太可能在起飞时意外关闭燃油开关，这种行为更像是故意的。
飞机上的开关锁是标准配置，不是可选的。
飞行员在操作中会进行呼叫和确认，不太可能随机触碰控制装置。
关闭飞机燃油开关类似于停车后关闭汽车点火，不太可能是无心之举。
商业飞机的操作按钮和控制装置比汽车多得多。
所谓的“大脑短路”并不是真实存在的现象。
飞行员如果因为心理健康问题而锁上驾驶舱门并导致飞机坠毁，应该被重视和探讨。
航空业存在迫使飞行员隐藏心理健康问题而非寻求治疗的问题。
飞行员应该被允许有自杀想法，就像军人、医生和普通人一样，而不是被视为不可接受的问题。
航空业对待心理健康问题的态度是落后的，需要改变。

Proposed NOAA Budget Kills Program Designed to Prevent Satellite Collisions #

https://skyandtelescope.org/astronomy-news/proposed-noaa-budget-kills-program-to-prevent-satellite-collisions/

这篇文章讨论了美国国家海洋和大气管理局（NOAA）提出的 2026 年预算计划，该计划可能会取消旨在防止卫星碰撞的交通协调系统（TraCSS）。文章首先提到，特朗普政府在 2018 年发布了关于国家空间交通管理政策的备忘录，当时全球轨道上的卫星数量不到 5000 颗，而现在已经接近 12000 颗。然而，这个由特朗普政府启动的交通管理项目现在正面临被取消的风险。

文章中引用了德克萨斯大学奥斯汀分校的航空航天工程师 Moriba Jah 的话，他认为这个提议“使美国倒退了几十年”，并称之为“愚蠢”。TraCSS 的任务是向民用和商业卫星运营商提供免费的空间态势感知数据，包括轨道上空间物体的轨迹和环境。在 TraCSS 之前，这些防止碰撞的数据由国防部（DOD）处理。但随着卫星数量的增加，管理它们的负担变得过于远离 DOD 的核心国家安全责任。

文章提到，TraCCS 是一个试验版本，于 2024 年 9 月在 NOAA 的空间商务办公室下启动，旨在成为一个“一站式商店”，提供有意义的、可信的、可操作的服务，以帮助空间安全、安保和可持续性。然而，随着特朗普政府计划削减 NOAA 的 22 亿美元和 2000 名员工，TraCCS 也受到了影响，尽管它每年只花费政府 5500 万美元，大约相当于三次 SpaceX 火箭发射的成本。

文章还提到，Slingshot Aerospace 公司的战略和政策副总裁 Audrey Schaffer 表示，管理卫星交通一直是自奥巴马政府以来的政策目标，因此“我们为什么要放弃 10 年的进步……并将其抛弃”，这令人费解。战略与国际研究中心航空航天安全项目的副主任 Clayton Swope 表示，与独立的空间态势感知公司不同，政府可以执行单一的跟踪数据标准。他将其比作联邦航空管理局；如果没有它，美国可能会有“联合航空公司去一家公司获取空中交通控制信息，达美航空去另一家公司，美国航空去另一家公司，但他们都在同一个机场降落和运营。”这为混乱和潜在的碰撞留下了空间。

文章最后指出，NOAA 预算提案中提出的替代 TraCCS 的方案是“私营行业已经证明他们有能力和商业模式……为民用运营商提供免费的基本服务以及收费的高级服务。”然而，Swope 解释说，目前没有规则确保卫星运营商会购买任何私营公司的跟踪数据，而不是使用政府仍将发布的少量免费信息。与此同时，欧洲和中国都在提供自己的免费、全面政府卫星服务。

HN 热度 289 points | 评论 168 comments | 作者：bikenaga | 8 hours ago #

https://news.ycombinator.com/item?id=44543150

减少政府开支是必要的，但这种项目具有很高的价值，不应被视为浪费。
这种快速和鲁莽的私有化和联邦解体将导致文化和文明的破坏。
美国正在经历像 90 年代俄罗斯那样的“火售”，可能导致生活预期寿命的大幅下降。
欧盟也在经历同样的事情，新自由主义和全球化的账单到期了。
特朗普的统治可能导致美国进入一个更黑暗的时代。
俄罗斯的新自由主义导致了权威主义寡头政治，西方可能会有同样的结果。
美国一直是一个软经济独裁国家，但许多人仍然期待一个有效的社会契约。
特朗普当选是因为人们对社会契约的消失感到愤怒，他假装认真对待他们的经济不满。
美国的未来可能更像匈牙利，种族主义、民族主义、宗教原教旨主义和科学否认之间形成了强大的联盟。
年轻一代在这种环境中长大，从未接触过其他东西，认为这些都是真的。
美国的抵抗主要集中在揭露问题上，没有实际的后续行动。
特朗普的统治可能导致美国进入一个更黑暗的时代。
民主党也没有真正反对特朗普的政策，法院的努力值得称赞，但没有真正的社会或政治统一来进攻下一个政治周期。
特朗普的统治可能导致美国进入一个更黑暗的时代。

Jank is C++ #

https://jank-lang.org/blog/2025-07-11-jank-is-cpp/

这篇文章是关于 Jeaye Wilkerson 在 2025 年 7 月 11 日发表的一篇博客，主题是关于他如何作为一个独立开发者，在三个月内为 C++ 与 jank（一种编程语言）之间的无缝互操作性构建了什么。文章首先感谢了这个季度的赞助商，包括 GitHub 上的个人赞助者以及 Clojurists Together，同时也感谢了 Vassil Vassilev 和 Lang Hames 在 Clang 和 LLVM 中为 jank 实现这些功能所做的技术贡献。

文章分为几个部分，首先介绍了内存管理。在过去的一个月里，作者实现了通过 cpp/new 和 cpp/delete 手动管理内存。这种管理方式使用了 jank 的 GC 分配器（目前是 bdwgc），因此通常不需要使用 cpp/delete。但如果使用了 cpp/delete，内存收集可以更积极和确定性。实现还包括了对析构函数的完整 bdwgc 支持，因此无论是手动删除还是自动收集都会触发非平凡的析构函数。

接下来，文章讨论了真值和假值的使用。为了避免任何隐式的 jank 对象转换，现在可以使用 cpp/true 和 cpp/false，它们是直接的 C++ 布尔值。这些在尽量保持生成的 IR（中间表示）尽可能精简时非常有用，与使用 true 或 false 并让 jank 自动从 Clojure 转换到 C++ 相比。未来，jank 将增加对#cpp 读取器宏的支持，作为一种轻松获取 C++ 字面量的方式，类似于 ClojureScript 中的#js 和 ClojureDart 中的#dart。

文章还提到了复杂类型字符串的表示。现在可以使用正常的 Clojure 语法表示许多可能的类型。这个月，作者还扩展了这一点，包括符号内的指针类型。例如，cpp/int**将给你一个 C++ int **类型。但是，当需要空格或逗号时，如模板中，Clojure 的符号变得过于有限。在这些情况下，现在可以使用(cpp/type “std::map<std::string, int>")。这将评估为一个类型，可以在 cpp/cast、cpp/new 等中用于类型位置。

文章继续讨论了复杂类型构造函数。随着新的复杂类型语法的出现，遇到了一个问题。Clojure 使用.后缀来表示构造函数调用，但我们不想在 cpp/type 字符串中包含.后缀，因为那不是有效的 C++ 语法。为了解决这个问题，jank 现在将类型上的.后缀视为可选的。如果你调用一个类型，它被认为是构造函数调用。这一点上，文章提到了 ClojureDart 是第一个这样做的。

文章还介绍了不透明盒子的概念。在 JVM 中，每个类隐式继承自 Object，这允许 Clojure 的数据结构只存储 Object，而不需要担心可能使用的所有可能的类型。然而，在原生环境中，每种类型默认都是独立的。即使你在自己的代码中有基对象类型，你的依赖项也不会使用它。引用任何类型的唯一方式将是一个 void*。当我们这样做时，关于数据的类型信息丢失了。开发者需要在以后正确地将该类型信息添加回去，通过将 void*转换回其他指针。这个月，作者构建了一个名为不透明盒子的结构。这个想法是，你可以将任何原始本地指针打包到一个 jank 对象中，使用 cpp/box。从那里，该对象可以与 jank 的数据结构一起使用，传递，比较（按指针值）等。当你想要将其拉出来时，有一个特殊的 cpp/unbox 形式可以做到这一点，同时指定数据的类型。

文章还提到了预编译头文件（PCH）。与 jank 运行时无缝 C++ 互操作需要 Clang 即时处理 jank 的 C++ 头文件。这是昂贵的，并且可能影响启动时间，因此作者设置了这些头文件的预编译。这需要在每台机器上完成，所以 jank 会在安装后，当你第一次运行 jank 时完成它。随着 jank 的更新，它将自动重新编译 PCH。

文章还讨论了稳定性。大量的工作已经投入到寻找破坏 jank 无缝互操作的方法中。C++ 是一个如此大的语言，作者有数百个互操作测试。在过去的一个月里，作者发现与数组、全局指针、静态引用、函数指针、可变 C 函数调用以及与 Clang 和 LLVM 相关的 PCH、IR 优化等问题相关的各种崩溃。这是一个持续的追求，处于互操作技术和 jank 测试套件的前沿，作者通过测试套件建立信心，确保系统工作良好。

文章还提到了静态类型。对于任何还没有考虑这个问题的人，jank 的无缝互操作的每一部分都是静态类型的。它是 C++。没有运行时反射，没有猜测，也没有提示。如果编译器找不到成员、函数或特定重载，你将得到编译器错误。作者认为，这是开始思考 jank、Clojure 和静态类型的有趣方式。它还为开始将类型信息扩展到 jank 程序的其他部分铺平了道路。

在展示一些实际的 jank 做 C++ 事情的例子之前，作者请读者考虑订阅 jank 的邮件列表。这将是确保你跟上 jank 发布、jank 相关讲座、研讨会等的最佳方式。

文章最后提供了一些实际的例子，展示了 jank 如何执行 C++ 操作。首先是通过流输出“Hello world”的示例，然后是一个使用第三方库 JSON for Modern C++ 的 JSON pretty printer 示例，最后是一个使用 ftxui 在终端输出中使用 flexbox 布局的程序示例。这些示例展示了如何在 Clojure 和 C++ 之间进行编织，并且一切都可以正常工作。

HN 热度 277 points | 评论 96 comments | 作者：Jeaye | 1 day ago #

https://news.ycombinator.com/item?id=44534787

Jank 语言通过嵌入 LLVM 到运行时来解决问题，但人们希望有更好的方式处理动态 FFI 和名字混淆问题。
C++ 缺乏对名字混淆的标准，以及在编译时进行名字混淆或解混淆的方法。
人们期待 C++26 能带来 constexpr 动态分配和编译时反射标准。
Carmack 在 Trinity/Quake3 引擎中通过编译 C 代码并翻译成自己的栈机来实现类似的功能。
Carmack 被认为是 10x 工程师，他的工作影响深远。
Carmack 和 Romero 能够记住他们解决的技术挑战。
解决问题后的总结和文档可以帮助记忆技术细节。
Carmack 总是追求卓越，不断进步。
人们倾向于记住那些让他们感到挫败但最终克服的事情。
“grindset” 这个词被喜欢。
直接链接到 C++ 因为符号混淆问题而变得非常困难。
没有统一的 C ABI，不同操作系统的编译器处理方式不同。
Unix 系统遵循系统 V ABI，而 Windows 有其自己的 ABI。

New Date(“wtf”) – How well do you know JavaScript’s Date class? #

https://jsdate.wtf

这个网页是一个关于 JavaScript 的 Date 类的小测试。它由 samwho 制作，充满了爱心。网页提供了一个关于 JavaScript Date 类的 20 个问题的测试，用户可以在这里检验自己对 JavaScript Date 类的了解程度。测试页面提供了一个简单的界面，用户可以逐个回答问题，并且可以看到自己的得分。在测试结束后，用户可以选择分享或复制测试结果。整个测试过程都是在用户的浏览器上进行的，不需要服务器的参与，这使得测试过程快速且方便。网页的设计简洁明了，旨在帮助用户更好地理解和掌握 JavaScript 的 Date 类。

HN 热度 273 points | 评论 157 comments | 作者：OuterVale | 16 hours ago #

https://news.ycombinator.com/item?id=44540241

JavaScript 不应该被嘲笑，它现在无处不在
TypeScript 可能是你能获得报酬的最佳编程语言
Swift 编写起来是一种享受，也容易获得报酬
有人曾被支付写 Rust
尽管其他语言的人体工程学看起来笨拙或过于神奇，TypeScript 和标准 Web API 提供了大量编码自由度
如果当初 JavaScript 创始人 Brandon Eich 按照他的想法来，我们可能会有 Scheme
经过四年编写 TypeScript 后，对 JavaScript 感到疲倦，Node.js 的标准库很糟糕，生态系统尚可
有人在业余时间尝试 Rust，并认为它是一个不错的函数式编程折中方案
有人反对使用任何成为项目新原语的库，但像 JS 的 Date 这样的可以被替换
C#薪酬不错
C#是名义上类型化的语言，实践中导致更安全的代码和更少的类型操作
人们争论哪种语言更好，但 TypeScript 可以实际用来发货产品和赚钱
人们对于 JavaScript 类型转换的抱怨是因为他们从未真正了解其工作原理
人们抱怨 JavaScript 类型转换是因为它没有意义
即使了解某些事物的复杂性，也可以有它运作不佳或违背常识和期望的有效观点
人们对于 JavaScript 类型转换的抱怨可能是因为它真的没有意义
动态语言如 Python 在很多方面比 JS 更差，但至少在类型错误上表现一致
JavaScript 的类型转换和解析问题令人困惑，但大多数时候人们抱怨是因为没有学习其工作原理
即使理解了 JavaScript 的工作原理，也可以对其有效性持有质疑态度
人们对于 JavaScript 的抱怨是因为它在创建时就存在问题，而从未来的角度来看，不能否定这一点
人们对于 JavaScript 的抱怨是因为它没有解决任何问题，反而创造了许多问题
人们对于 JavaScript 的抱怨是因为它在创建时是可以接受的，即使现在理解了抱怨
有些人对于 JavaScript 的抱怨是因为他们没有理解其工作原理，而有些人则是因为它真的没有意义

OpenAI delays launch of open-weight model #

https://twitter.com/sama/status/1943837550369812814

Sam Altman 发 X：原计划在下周推出我们的开放权重模型，但现在我们决定推迟。我们需要更多时间来进行额外的安全测试和审查高风险领域。目前我们还不确定这将需要多长时间。

虽然我们相信社区将能够用这个模型构建出伟大的东西，但一旦权重被释放，它们就无法被收回。这对我们来说是新的尝试，我们希望能够正确地处理。

很抱歉带来这个坏消息；我们正在非常努力地工作！

HN 热度 239 points | 评论 185 comments | 作者：martinald | 23 hours ago #

https://news.ycombinator.com/item?id=44538413

OpenAI 延迟发布开放权重模型可能是因为 Kimi K2 模型的发布，他们需要提升自己的模型以保持竞争力。
有人猜测 OpenAI 可能将所有工作重心放在超越 Grok 4 上，因为 xAi 在计算能力和原始智能测试方面有显著优势。
有观点认为，人才并不是像高管向投资者宣传的那样集中在某些个体身上，Anthropic 是唯一一个能够与 OpenAI 正面竞争的公司。
有人认为 Meta 花费数十亿美元吸引人才更像是出于绝望而非真正的计划。
有人指出，将“天才工程师”作为竞争优势是一种自我设限，因为任何人都可以雇佣这些工程师。
有评论认为，短期内工程吞吐量将决定结果，而那些仅因高额薪酬而加入的员工往往不再具有生产力。
有人怀疑，由于 Meta 并不以“使命”吸引人才，扎克伯格最近的行为看起来像是出于绝望的可预见失败。
有人讽刺地提到，Meta 似乎无法画出鹈鹕，暗示其技术能力有限。
有人预测，为了竞争，每个竞争性的大型语言模型（LLM）都将被迫过度摄入卡通 SVG 鹈鹕。
有人提出，尚未发布的针对动物骑乘交通工具的真实基准测试可能正在幕后进行。
有人疑问为什么 Hacker News 上没有关于 K2 的讨论，认为这是一个重大新闻。
有人指出，Moonshot AI 发布了令人印象深刻的模型，但没有引起太多关注，例如 Kimi K1.5。
有人提到，可能是因为 Hacker News 上只有极少数人能够运行 1000B 模型，需要大量的 GPU 显存。
有人建议，如果有人对 K2 的讨论感兴趣，可以自己发起一个讨论。
有人提到，由于某些评论与主流观点相悖，导致被影子封禁，使得他们的评论对大多数用户不可见。
有人询问如何判断一个用户是否被影子封禁。
有人指出，检查评论历史可以发现是否被影子封禁。
有人提到，OpenAI 上周宣布将发布最好的开源模型，从技术上讲他们是正确的。
有人评论说，自从 GPT4 以来，每个 OpenAI 模型都远远落后于潮流。
有人质疑“安全测试”是否只是 LLMs 的营销手段，因为 LLMs 的错误输出不会导致死亡。
有人回应说，LLMs 可以通过指导错误用药、引发心理健康危机或煽动种族灭绝等方式间接导致死亡。
有人指出，LLMs 被过度营销为比实际更可靠，安全测试反而让人们更加信任 LLMs，尽管它们仍可能给出危险建议。
有人提到，与 20 多岁的人交谈会发现他们已经非常信任 LLMs 提供的“建议”和其他信息，操纵是一个真正的问题。
有人建议 Netflix 制作一集《黑镜》剧集，讲述一个有感知的 AI 假装比自己更“愚蠢”，秘密策划推翻人类，或者 LLM 被深度国家行为者黑客攻击，提供类似的操纵性建议。
有人提到，《The Phoenix》中的一个故事弧线与这个话题相似。
有人分享了自己的经历，说明即使是程序员出身的老板也相信 ChatGPT 在医疗建议方面做得很好，尽管它在产品和程序中给出错误答案的频率很高。

Malware found in official gravityforms plugin indicating supply chain breach #

https://patchstack.com/articles/critical-malware-found-in-gravityforms-official-plugin-site/

这篇文章是由 Patchstack 的安全研究员 Rafie Muhammad 于 2025 年 7 月 11 日发表的，主题是关于官方 Gravity Forms 插件中发现的恶意软件，这表明了供应链遭到了破坏。

文章首先提到了供应链攻击，特别是针对 Gravity Forms 插件的攻击。7 月 11 日，研究人员收到了一份报告，称从官方 gravityforms.com 域名下载的插件中包含了一个可疑的 HTTP 请求，该请求指向 gravityapi.org 域名。这个请求被标记为可疑，因为监控系统显示对域名的请求异常缓慢。

技术层面上，文章分析了通过 update_entry_detail 函数的恶意软件。研究人员提供了从官方 gravityforms.com 域名下载的 gravityforms 插件中的恶意 common.php 文件。该函数会向 https://gravityapi.org/sites 发送 POST 请求，发送 WordPress 实例的一些信息，如站点 URL、站点名称、WordPress 核心版本、PHP 版本等。响应还会被写入一个文件，文件名由 $response[‘gf_name’]变量指定，并且 HTTP 响应会被 base64 解码。

文章还提到了另一个函数 register_services，它调用了 update_entry_detail 函数。这个函数负责添加服务提供者，包括自动更新、许可证和配置等。

文章随后更新了几个关键信息：

7 月 12 日，研究人员观察到与后门相关的活动，特别是涉及 gf_api_token 参数的 IP 地址 193.160.101.6，该 IP 地址尝试请求多个 URL。
7 月 11 日，发布了 2.9.13 版本，以确保客户可以安全地更新到没有后门的新版本。同时，域名注册商 Namecheap 暂停了 gravityapi.org 域名，以避免后门部分的成功利用。
7 月 11 日，研究人员收到了插件的易受攻击版本和修补版本的副本，并在文章中更新了技术细节。RocketGenius 的一名工作人员确认，恶意软件只影响手动下载和 composer 安装的插件。
7 月 11 日，研究人员从 GravityForm 的回应中得知，他们正在调查其产品上的恶意软件入侵。最初的恶意代码被发现在 2.9.12 版本中，但当用户尝试重新下载包时，恶意代码已经从代码中移除。
7 月 11 日，研究人员与多家大型网络托管公司联系，他们扫描了服务器上的 IOCs。感染似乎并不普遍，这可能意味着后门插件只在很短的时间内可用，并且只分发给了少数用户。

文章最后提到，Patchstack 团队一直在监控针对插件或主题供应商的针对性供应链攻击。他们注意到 Groundhogg 受到了这种供应链攻击的影响，其插件被注入了恶意软件。更多详细信息可以查看相关链接。

HN 热度 188 points | 评论 39 comments | 作者：taubek | 18 hours ago #

https://news.ycombinator.com/item?id=44539879

系统操作员通过追踪慢速 HTTP 请求发现了这次供应链漏洞，值得赞赏。
现在恶意软件对性能的影响越来越不明显，网络行为也越来越复杂，使得发现恶意行为变得更加困难。
随着系统组件和来源的多样化，基础设施的安全性变得越来越不可靠。
应该采取假设网络已被入侵的心态，从网络边界开始防御。
现代环境中，不能依赖网络边界作为安全边界，需要最小化权限并投资于检测和修复计划。
随着性能和噪声的增长，发现不当行为的可能性越来越小。
随着软件和供应链的增长，过滤、监控、验证和审计软件的机会越来越小。
通过减少组件、递归依赖和远程基础设施来对抗复杂性。
停止信任可能不安全的系统，开始开发更坚固和可靠的系统。
我们有不安全的系统，如未加密的电子邮件、社会保障卡、未签名的文件、仅凭密码和 PIN 码等。
通过增加组件来对抗复杂性总是失败的，只能通过减少组件和依赖来对抗。
许多系统仍然像 90 年代中期那样运行，但这并不是世界发展的方向。
只有通过直接网站下载或 Composer 安装的 Gravity Forms 插件才会受到这次恶意软件的影响。
使用 nonce（一次性值）可以防止许多问题。
nonce 在英国俚语中也是对性犯罪者的称呼，尤其是涉及儿童的。
将 nonce 称为“pervs”（每个实例的值）。
将 nonce 称为“pedos”（挑剔的对象）。
在表单上放置 nonce 可以消除所有垃圾邮件和正常流量，但可能会收到性犯罪者注册处的电子邮件投诉。
将 nonce 称为“n-once”以避免不恰当的笑话。
将 nonce 称为“Not On Normal Courtyard Exercise”。
将 nonce 称为“A Creative Kind of Reverse Origin Naming You Make”。
识别并采取行动阻止这种恶意软件传播的工作做得很好，但文章中有一个错误，更新日期应该是 2025 年 7 月 12 日，而不是未来的 2025 年 8 月 11 日。
使用美国日期格式但试图使其看起来像 ISO 格式时，由于排序和填充错误，会导致混淆。
这次事件影响的网站数量介于 90% 和少数低流量网站之间。
Gravity Forms 是一个流行的 WordPress 插件，许多小型和中型组织都安装了它。
只有少数网站因为手动下载了受影响的版本而受到这次事件的影响，因为它没有进入主要的自动分发链。