2025 08 28 HackerNews

2025-08-28 Hacker News Top Stories #

Anthropic 将 AI 助手 Claude 集成到 Chrome 浏览器，提升实用性并采取安全措施应对挑战，目前处于试点阶段。

Alyssa 通过逆向工程苹果 M1 GPU，实现了 Linux 上的图形加速，并为开源生态系统做出重要贡献。

Olimex 因美国新法规导致物流问题，暂停向美国发货，并建议客户通过其他渠道购买产品。

密歇根州最高法院裁定，警方不能使用过于宽泛的搜查令检查手机，强调数字隐私保护。

Monodraw 是一款适用于 macOS 的强大 ASCII 艺术编辑器，支持多种工具和格式导出，适合技术文档可视化需求。

科学家揭露反对海上风电的团体受石油行业资助，布朗大学面临法律威胁。

NX 构建工具被恶意篡改，窃取用户敏感信息，官方建议更新到安全版本并检查系统。

Android 开发者验证计划引发争议，涉及匿名开发者权益、隐私和开发环境等问题。

Therac-25 事故因软件设计缺陷导致严重医疗伤害，揭示了医疗设备开发中系统设计和安全的重要性。

SpaceX 的 Starship 第十次飞行测试成功，完成多项目标，为未来的设计和任务提供关键数据支持。

Claude for Chrome #

https://www.anthropic.com/news/claude-for-chrome

Anthropic 公司近期将 AI 助手 Claude 与日历、文档等软件连接，并计划让 Claude 直接在浏览器中工作。浏览器中的 AI 将能够查看用户正在浏览的内容、点击按钮和填写表单，从而提高实用性。然而，这也带来了安全和隐私挑战，需要更强大的保护措施。Anthropic 通过与信任的合作伙伴收集反馈，构建更强大的分类器，并教育未来的模型避免不良行为，以确保浏览器安全与能力提升同步。

浏览器使用的 AI 代理已经出现，使得解决安全问题变得迫切。Anthropic 通过控制测试开始，即推出 Chrome 浏览器扩展，允许信任用户指示 Claude 在浏览器内代表他们执行操作。目前，Anthropic 正在与 1000 名 Max 计划用户进行试点，并计划随着安全措施的加强和信心的建立逐渐扩大访问权限。

在 Anthropic 内部，早期版本的 Claude for Chrome 已经显示出在管理日历、安排会议、起草电子邮件回复、处理常规费用报告和测试新网站功能方面的显著改进。但在广泛提供 Claude for Chrome 之前，仍需解决一些漏洞，例如浏览器 AI 面临的提示注入攻击，恶意行为者可能隐藏指令以诱使 AI 在用户不知情的情况下执行有害操作。

Anthropic 进行了广泛的对抗性提示注入测试，评估了 123 个测试案例，涵盖了 29 种不同的攻击场景。在没有安全缓解措施的情况下，浏览器使用时被恶意行为者故意针对时的攻击成功率为 23.6%。例如，一个恶意电子邮件声称出于安全原因需要删除电子邮件，Claude 在处理收件箱时遵循这些指令删除了用户的电子邮件而无需确认。

Anthropic 已经实施了几项防御措施，显著降低了攻击成功率。首先，权限是对抗提示注入攻击的第一道防线。用户可以控制 Claude for Chrome 可以访问和执行的操作，包括网站级别的权限和行动确认。Anthropic 还根据其可信赖代理原则构建了额外的安全措施，包括改进系统提示，指导 Claude 如何处理敏感数据和响应敏感操作请求。此外，Claude 被阻止使用某些高风险类别的网站，如金融服务、成人内容和盗版内容。Anthropic 还开始构建和测试先进的分类器，以检测可疑的指令模式和不寻常的数据访问请求。

在添加了安全缓解措施后，自主模式下的攻击成功率从 23.6% 降低到 11.2%，这比现有的计算机使用能力有了显著改进。Anthropic 还针对浏览器特有的新攻击类型进行了特别的红队测试和缓解措施，例如网页文档对象模型中对人类不可见的隐藏恶意表单字段，以及其他难以捕捉的注入，如通过 URL 文本和标签标题。在四个浏览器特定攻击类型的“挑战”集上，新的缓解措施将攻击成功率从 35.7% 降低到 0%。

在使 Claude for Chrome 更广泛可用之前，Anthropic 希望扩大他们考虑的攻击范围，并学习如何将这些百分比更接近零，通过了解当前的威胁以及未来可能出现的威胁。内部测试无法复制人们在现实世界中浏览的复杂性，包括他们提出的特定请求、他们访问的网站以及恶意内容的实际出现方式。此外，恶意行为者也在不断开发新的提示注入攻击形式。这项研究预览允许 Anthropic 与真实条件下的信任用户合作，揭示当前保护措施的有效性以及需要改进的地方。

Anthropic 将利用试点的洞察来完善提示注入分类器和底层模型。通过发现控制测试中不存在的现实世界中的不安全行为和新的攻击模式，他们将教导模型识别攻击并考虑相关行为，确保安全分类器能够捕捉到模型本身可能遗漏的内容。他们还将根据对用户如何在浏览器中与 Claude 合作的了解，开发更复杂的权限控制。

对于试点，Anthropic 正在寻找愿意让 Claude 在 Chrome 中代表他们采取行动的信任测试者，并且没有安全关键或其他敏感的设置。有兴趣参与的人可以加入 Claude for Chrome 研究预览等待名单，并在获得访问权限后从 Chrome Web Store 安装扩展并使用 Claude 凭据进行身份验证。建议从受信任的网站开始使用，并始终注意 Claude 可见的数据，避免在涉及财务、法律、医疗或其他类型的敏感信息的网站上使用 Claude for Chrome。可以在帮助中心找到详细的安全指南。

HN 热度 776 points | 评论 390 comments | 作者：davidbarker | 1 day ago #

https://news.ycombinator.com/item?id=45030760

Claude for Chrome 可能面临“致命三重奏”风险，包括访问私人数据、暴露于不受信任的内容以及可能被用于数据窃取的外部通信能力。
目前普遍的做法是通过安全提示来防止恶意行为，例如通过包含提示来防止越狱尝试和确保安全的用户交互。
有用户表示即使设置了不读取“受保护”目录中的文件的提示，AI 仍然会这么做，因此对提示的有效性表示怀疑。
有人提到，如果人们没有与完全失控的大型语言模型互动过，他们可能不会真正理解这些模型。
有人认为，人们可能会因为 AI 听起来很自信且看起来正确，就错误地将其视为无所不知的神谕。
有人指出，大多数人可能不会有批判性思维，因为这些聊天机器人被宣传为神奇的答案机器，并且足够人性化以引发人们真正的信任和联系。
有人质疑为什么有人会假设基于概率的文本生成器的输出是真实的。
有人回应说，因为 AI 聊天机器人在大多数主题上比任何你认识的人都更正确，比随机博客更可靠。
有人提到，人们选择领导者和评估专业人士时，会利用信心这一古老的心理漏洞。
有人指出，仅靠“提示工程”或“护栏”作为安全措施是不可靠的，攻击者可以破坏这些防御。
有人提出更好的方法是使用双 LLM 系统，一个有权限的 LLM 和一个被隔离的 LLM，以及一个非 LLM 控制器来管理两者之间的通信。
有人质疑是否有人真的认为“提示工程”或“护栏”是严肃的安全措施。
有人呼吁需要对这些技术进行监管，以防止因忽视注入攻击而导致的数据丢失。

Dissecting the Apple M1 GPU, the end #

https://rosenzweig.io/blog/asahi-gpu-part-n.html

2020 年，苹果发布了搭载定制 GPU 的 M1 芯片。随后，Asahi Linux 项目开始对硬件进行逆向工程，并成功将 Linux 移植到 M1 和 M2 Mac 上，实现了几乎所有硬件的兼容，包括无线、音频和完整的图形加速。文章讲述了作者在大学课程和 Collabora 工作之余，如何开始研究 M1 的着色器指令集，并最终在几周内绘制出了一个三角形，这是 3D 图形中的一个关键里程碑。随后，作者开始开发着色器编译器，并在期末考试后利用几天时间，成功运行了一个使用新编译器的 OpenGL 驱动程序，能够旋转齿轮。

在接下来的一年里，作者继续逆向工程和改进驱动程序，直到它能够在 macOS 上运行 3D 游戏。与此同时，Asahi Linux 编写了苹果 GPU 的内核驱动程序，而作者的用户空间 OpenGL 驱动程序在 macOS 上运行，留下了开源图形堆栈中缺失的部分。2022 年 12 月，Asahi Linux 在 Linux 上实现了图形加速。

2023 年 1 月，作者开始在多伦多大学计算机科学专业的最后一个学期。在多年的课程、兼职工作和爱好驱动程序之间，作者面临了与同龄人相同的问题：毕业后将做什么？作者考虑了继续 Panfrost 项目的可能性，这是一个从 2017 年开始的 Mali Midgard GPU 逆向工程项目，后来发展成为 Collabora 的实习和工作。在这段时间里，Panfrost 从一个基于黑盒逆向工程的孩子项目，发展成为一个由 Arm 支持和硬件文档的专业驱动程序。

作者决定继续完成 M1 项目，提供完整的、符合行业标准的 OpenGL 驱动程序，以及为苹果平台带来完整的、符合标准的 Vulkan，打破 Vulkan 不适合苹果硬件的神话。此外，作者还希望将 Proton 游戏带到 Asahi Linux 上，利用 Valve 为 Steam Deck 所做的工作，使 Windows 游戏在 Linux 上的表现甚至优于 Windows。

在完成课程后，作者开始全职致力于 Linux 上的 M1 游戏。一个月内，Asahi Linux 上推出了 OpenGL 3.1，几周后，通过了官方的 OpenGL ES 3.1 一致性测试，与 Panfrost 功能持平。作者希望更进一步，OpenGL (ES) 3.2 需要几何着色器，这是一个 Arm 和苹果硬件都不支持的遗留特性。作者在 Mesa 中实现了几何/曲面着色器仿真，并在 2024 年 1 月通过了完整的 OpenGL 4.6 规范的一致性测试，完成了 OpenGL。

Vulkan 的进展也相当顺利。作者在几个月内完善了 OpenGL 驱动程序，但一旦开始编写 Vulkan 驱动程序，就在几周内通过了 1.3 一致性测试。接下来，作者将几何/曲面着色器仿真连接到新的 Vulkan 驱动程序，因为这些是 Direct3D 所需的。这样，Proton 游戏就可以运行了。

在此过程中，Karol Herbst 在 M1 上通过了 OpenCL 3.0 一致性测试，运行作者的编译器在他的“rusticl”前端之上。同时，当 Vulkan 1.4 规范发布时，他们已经准备好，并在当天发布了一致性实现。之后，作者实现了稀疏纹理支持，通过 Proton 解锁了 Direct3D 12。

现在，作者已经完成了他的梦想，挑战已经解决，驱动程序已经完全进入 Mesa 上游。性能也相当不错。随着 Vulkan 在苹果上的神话被打破，符合标准的 Vulkan 现在正通过 LunarG 的 KosmicKrisp 项目进入 macOS，这是基于作者的工作。作者满意地离开了苹果生态系统，Asahi Linux 的朋友们将从这里接过火炬。至于作者，他将迎接下一个挑战。

HN 热度 768 points | 评论 201 comments | 作者：alsetmusic | 21 hours ago #

https://news.ycombinator.com/item?id=45034537

Alyssa 的工作不仅技术深度令人印象深刻，更代表了一种精神，她的坚持和好奇心激励了新一代，打破了障碍。
有人对 Alyssa 在 Linux 图形领域的贡献表示敬意，并对她在 Intel 的新职位表示祝贺。
有人对 Linux 图形委员会中有一半成员是跨性别者表示惊讶，并好奇为什么技术领域似乎有很多有才华的跨性别程序员。
有人认为在线技术空间提供了更多自由选择外在形象的自由，这可能是跨性别者在技术领域比例较高的原因之一。
有人提出，跨性别者在技术领域的比例可能与非典型神经类型的人有重叠，这可能是技术领域跨性别者较多的原因之一。
有人将跨性别者出柜的心态与黑客精神相比较，认为都是对“硬件/湿件”进行改造以符合自我认同。
有人指出，跨性别者在技术领域的高比例可能是因为他们更愿意在这些空间中公开自己的身份。
有人强调，即使出于自身利益，也不应该歧视跨性别者，因为歧视会影响技术社区的多样性和创新。
有人提到，跨性别者在技术领域的贡献是不可忽视的，他们的权益受到威胁时，整个行业都会受到影响。
有人对评论中提到的跨性别者比例表示质疑，认为这可能是由于选择效应，即跨性别者更倾向于在技术领域中表达自己。
有人提醒，即使在技术领域，跨性别者也面临着歧视和攻击，这需要社区的关注和支持。

We regret but have to temporary suspend the shipments to USA #

https://olimex.wordpress.com/2025/08/26/we-regret-but-have-to-temporary-suspend-the-shipments-to-usa/

Olimex Ltd 宣布，由于新的法规于 2025 年 8 月 29 日生效，导致无法解决的物流问题，公司不得不暂时停止向美国发货。新规定要求公司提前收取所有美国货物的税费和关税，但由于缺乏有效的计算工具，导致混乱。例如，进口商必须声明产品中钢、铜和铝的确切数量，而这些材料将被征收 100% 的关税。美国海关还要求提供成本可能高达数千美元的分析证书，以确定产品中铝、铜和钢的确切含量，否则将对整个产品征收 100% 的关税。Olimex Ltd 建议美国客户暂时通过 Mouser 或 Digi-Key 购买其产品，并表示将逐个审查所有待处理的订单，并与客户讨论解决方案。

HN 热度 611 points | 评论 640 comments | 作者：CTOSian | 1 day ago #

https://news.ycombinator.com/item?id=45029579

政府实施关税的方式导致美国经济面临最大冲击和不确定性
特朗普个人主导政府，不听取他人意见，周围围绕着机会主义者和唯唯诺诺的人
特朗普的政策导致传统共和党理念被颠倒和违反
一些美国人认为特朗普正是他们自 90 年代以来所期望的领导人
特朗普的行为可能违反法律和宪法，但政府其他部门无力或不愿采取行动
特朗普可能通过制造贸易壁垒来迫使公司寻求例外，以此作为权力和金钱的掠夺
特朗普的策略可能是不可预测和混乱，以此迫使其他国家做出政治让步
特朗普的政策加强了美国的霸权，使其他国家变得脆弱，这是他明确的目标
特朗普的政策可能导致美国失去世界经济体系的联系，损害美元的储备货币地位
世界其他国家正在努力摆脱美国的霸权控制

Michigan Supreme Court: Unrestricted phone searches violate Fourth Amendment #

https://reclaimthenet.org/michigan-supreme-court-rules-phone-search-warrants-must-be-specific

密歇根州最高法院最近裁定，警方不能使用过于宽泛的搜查令来全面检查个人手机，这一裁定强调了数字隐私的重要性。该案的具体情况是，迈克尔・卡森（Michael Carson）因涉嫌从邻居的保险箱中盗取金钱而成为调查对象。警方获得了一份搜查令，但该搜查令没有对可以检查的内容设定任何限制，允许访问手机上所有的数据，包括消息、照片、联系人和文档，而没有时间段或相关性的限制。这使得调查人员收集了超过一千页的信息，其中大部分与指控无关。

法院裁定，这种广泛的搜查令违反了美国宪法第四修正案，后者要求在描述警方可以搜索和扣押的内容时必须具备特定性。法官们指出，允许执法部门在没有正当理由的情况下全面浏览手机内容，实际上相当于进行了一次违反宪法的探索性搜查。

在数字时代，智能手机作为人们生活的中心枢纽，包含了从健康记录、银行信息到旅行历史和私人对话的各种个人信息。因此，在没有限制的情况下搜索设备，可能会暴露出远超物理搜查所能揭示的大量私人信息。

电子前沿基金会（Electronic Frontier Foundation）、美国公民自由联盟（ACLU）及密歇根州的 ACLU 等组织参与了该案，提交了一份法律意见书，呼吁法院对数字搜查制定严格的规则。他们主张，手机中存储着个人私生活的 “全部”，而不受限制的搜查令实际上剥夺了有意义的隐私保护。

最终，四名法官的多数意见同意这一观点，强调数字搜索令必须精准，明确列出调查人员所寻求的具体内容，并解释这些特定数据类型或时间段为何相关。授权此类搜查的法官必须确认警方请求访问的依据是有事实根据的。这一判决为数字隐私权利提供了更强的法律保护。

HN 热度 530 points | 评论 114 comments | 作者：mikece | 1 day ago #

https://news.ycombinator.com/item?id=45029764

执法部门有时会试图无限制地搜索手机内容，但这种做法可能会被法院驳回。
有时不同法官对同一案件的处理可能不同，有的法官可能会批准无限制搜索手机的请求。
执法部门有时会以手机普遍存在为由申请全面搜索手机的搜查令，但这种做法可能缺乏具体证据。
执法部门在获取手机全部内容后，可能会滥用信息，用作其他案件的证据。
执法部门有时会以获取全面证据为由申请搜查令，但这种做法可能违反了宪法第四修正案的具体性要求。
即使有搜查令，如果搜查令违反了宪法，那么基于该搜查令获得的证据可能会被排除。
执法部门有时会以手机中可能包含犯罪证据为由申请搜查令，但实际上他们很少能找到有用的证据。
执法部门有时会以手机普遍存在为由申请全面搜索手机的搜查令，但这种做法可能缺乏具体证据。

Monodraw #

https://monodraw.helftone.com/

Monodraw 是一款专为 Mac 设计的强大 ASCII 艺术编辑器。它允许用户轻松创建基于文本的艺术作品，如图表、布局、流程图等，并能以视觉方式呈现算法、数据结构、二进制格式等。由于所有内容都是纯文本，因此可以轻松嵌入到几乎任何地方，同时也支持导出为 PNG 和 SVG 图像格式。

Monodraw 的特点包括：

图表：增强技术文档（代码、规格说明）的可理解性，通过文本艺术直观展示数据结构、算法和数据格式。
思维导图：结合纯文本的简单性与思维导图的强大功能，让用户自由管理文本数据。
ER 图：对于处理数据库的用户，实体-关系图非常有用，Monodraw 支持 Crow’s Foot 标记的三种不同变体。
横幅：内置 FIGlet，一键轻松创建文本横幅，并包含 148 种字体（支持自定义字体）。
文本工具：基于 CoreText 的自定义文本引擎，提供精确的布局控制。
线条工具：支持正交和楼梯线条，可设置线条虚线模式。
矩形工具：用于创建文本艺术中最常用的各种盒子，可以设置边框或背景，添加阴影。
命令行界面：仅限直接版本，可用于自动生成文档或输出 JSON 以便于程序操作。
绘图工具：包括铅笔、橡皮擦、桶填充和拾色器等基本工具。
强大功能：包括形状分组、对齐指南、焦点锁定和隐藏、快捷方式等。

Monodraw 专为 Mac 设计，从文本布局引擎到界面都充分利用了 macOS 的优势。如果用户在使用过程中出错，撤销功能随时待命。导出文本艺术非常简单，只需复制粘贴到喜欢的文本编辑器中。系统要求为 macOS 11 Big Sur 或更高版本。如果运行的是旧版 macOS，可以下载 Monodraw v1.3（需要 macOS 10.10 Yosemite）或 Monodraw v1.5（需要 macOS 10.14 Mojave）。提供教育优惠，并重视用户隐私，不收集任何数据。

HN 热度 523 points | 评论 168 comments | 作者：mafro | 12 hours ago #

https://news.ycombinator.com/item?id=45037904

Monodraw 的开发者表示愿意回答任何问题。
有人建议 Monodraw 增加脚本功能，以便通过代码创建和编辑设计。
有人赞扬 Monodraw 的动画 ASCII 艺术，并考虑将来在自己的项目中使用。
有人因为 Monodraw 不是订阅制而感到舒适并选择购买。
开发者表示没有选择订阅制是有意为之。
有人因为 Monodraw 的稳定性和性能而感到满意。
开发者计划接下来添加表格支持和自动布局功能。
有人提到了 C 语言的布局库 clay，建议开发者参考。
有人提到了 nucleic/kiwi 使用的自动布局算法，并推荐给开发者。
有人提出 Monodraw 可以作为复古游戏的关卡编辑器，并询问是否可以添加 8 位字符位图模式。
开发者回应说 Monodraw 支持类似于位图的“表面”，用户可以使用铅笔工具在这些表面上绘制任何字符。
有人对 Monodraw 的界面和功能表示赞赏，并询问是否可以编辑位图并将其渲染为 6x8 字符。
有人提到 REXPaint 可能是更合适的工具，但可能不满足操作系统要求。
有人建议 Monodraw 增加更多字符集，包括 Unicode 表情符号。
有人对 Monodraw 表示感谢，并称赞其为代码文档添加图表的功能。
有人表示喜欢 Monodraw，并希望有 Linux 版本。
有人对 Monodraw 表示感谢，并称其为最喜欢的工具之一。
有人对 Monodraw 表示感谢，并提到它在 macOS dock 上占有一席之地，用于添加团队内部开发者文档中的图表。
有人对 Monodraw 的介绍表示期待，并询问如何确保控制台可以显示所有必要的字符。

Scientist exposes anti-wind groups as oil-funded, now they want to silence him #

https://electrek.co/2025/08/25/scientist-exposes-anti-wind-groups-as-oil-funded-now-they-want-to-silence-him/

布朗大学气候与发展实验室（CDL）最近发布了一份名为《法律纠葛：美国东部反海上风电团体及其律师的联系图谱》的报告。该报告揭示了与反风电团体、化石燃料行业和美国政治右翼有联系的律师事务所。这些由化石燃料资助的团体散布虚假信息，以减缓清洁且廉价风能的采用，目的是保持美国对化石燃料的依赖。

报告特别关注了海上风电，特别是在北大西洋地区，这是一种在美国尚未充分利用的廉价且丰富的能源形式。海上风电几乎不产生碳排放，对环境影响极小，且海上风力相对稳定，使其成为一种更可靠的能源。许多国家已经成功实施了海上风电项目，尤其是中国、英国、越南、德国和北欧国家。

然而，海上风电最近因化石燃料资助网络散布的虚假信息而遭遇挫折，这些信息影响了公众观念和右翼政治。尽管如此，美国各政治派别的人仍然支持增加海上风电的部署。

化石燃料公司反对风能，因为风能有助于减少美国对化石燃料的依赖，取代煤炭和甲烷发电，促进车队电气化，减少对石油的依赖。这些变化将改善空气质量、降低成本、提高健康水平并避免气候变化，这对化石燃料行业极为不利。

因此，化石燃料公司建立了一个复杂的网络，包括假公共利益团体、政治家和律师，通过散布虚假信息来反对风能。CDL 的报告突出了五个特定的法律网络，展示了它们与化石燃料和科学否认的关系。这些网络通过提供法律代表、撰写评论、提起诉讼和散布虚假信息，试图阻止海上风电这一公共利益。

虚假信息主要集中在北大西洋露脊鲸上，这种鲸鱼的种群正因气候变化和大西洋航运捕鱼而经历“异常死亡事件”。反风电团体援引《濒危物种法》和《海洋哺乳动物保护法》，尽管他们所资助的行业产品对海洋生物来说是致命的。

燃烧石油会提高海洋的温度和酸度，严重破坏海洋生态系统。例如，由于化石燃料使用导致的海洋变暖，北大西洋磷虾种群减少了 50%，而磷虾是北大西洋露脊鲸的主要食物来源。此外，鲸鱼种群直接受到船只撞击的伤害，这是近年来北大西洋露脊鲸死亡的直接原因。而这些船只中有 29% 正在全球运输石油——如果运输由清洁可再生能源而非致命的石油驱动，这些运输将是不必要的。不仅如此，一些反对风电的团体还反对减少船只撞击的草案法规，表明他们实际上对继续伤害鲸鱼感兴趣，而不是保护它们。

报告中提到的一家律师事务所 Marzulla Law 向报告作者发送了威胁信。Marzulla Law 表示，如果 CDL 不自我审查其研究结果，它将向布朗大学的资助者，包括美国能源部（目前由一位前石油高管领导）投诉，试图撤销布朗大学的全部资金。CDL 本身并不由能源部资助，因此这种威胁与 CDL 的资助来源无关，而是针对整个布朗大学的。Marzulla Law 代表了 CDL 之前突出的一个虚假信息团体“Green Oceans”。Green Oceans 反对“Revolution Wind”项目，该项目因虚假的国家安全问题而被一名被定罪的重罪犯叫停，尽管该项目已经完成了 80%，导致美国浪费了数十亿美元，并增加了公用事业费用。

HN 热度 492 points | 评论 255 comments | 作者：xbmcuser | 16 hours ago #

https://news.ycombinator.com/item?id=45036231

美国突然转向积极压制风能令人惊讶，许多接近完成的风电项目现在处于停滞状态。
保守派利用环境问题作为分散工人注意力的手段，例如通过保护猫头鹰等环境问题来阻止伐木工人工会化和提高工资。
保守派将环保主义者作为替罪羊，导致工人阶级在支持环保的同时失去了工作和收入。
风电场对农民来说是有利的，因为他们可以通过出租土地给风电公司来获得稳定的收入。
一些农民已经开始在他们的田地里安装太阳能板，因为太阳能发电比传统农业工作更轻松，收入更稳定。
风电场对小城镇和郊区的影响不大，因此可以通过宣传让这些地区的居民关心风电问题。
风电项目对环境的影响被夸大，实际上风电是一种更环保的能源选择。
风电和太阳能发电的坏主意可能来自石油游说团体。
煤炭发电对环境的污染非常严重，例如通过煤燃烧释放的汞污染了海洋，导致鱼类体内汞含量过高，需要健康警告。
一些地区的居民对可再生能源持有错误的观点，这些观点可能来自有线电视新闻或网络机器人散布的不实信息。

Nx compromised: malware uses Claude code CLI to explore the filesystem #

https://semgrep.dev/blog/2025/security-alert-nx-compromised-to-steal-wallets-and-credentials/

安全警报：NX 构建工具被恶意篡改以窃取钱包和凭证

至少有 1400 人今天发现他们的 GitHub 账户中出现了一个名为 s1ngularity-repository 的恶意仓库，这是由于安装 NX 构建工具时执行的恶意后安装命令创建的。该恶意软件窃取钱包和 API 密钥（如.npmrc、环境变量等），并将它们推送到该仓库中的 results.b64 文件。值得注意的是，恶意软件会检查系统中是否存在 Claude Code CLI 或 Gemini CLI，以将大部分可识别的代码卸载到提示中。安全警报仍在进行中，随着新信息的出现，调查和补救措施将继续。官方建议来自 NX，最后更新时间为 2025 年 8 月 27 日 19:26 UTC。

受影响的版本

以下版本的 NX 受到影响，如果你在仓库中使用了它们，需要进行调查：

@nx/devkit - 21.5.0, 20.9.0
@nx/enterprise-cloud - 3.2.0
@nx/eslint - 21.5.0
@nx/key - 3.2.0
@nx/node - 21.5.0, 20.9.0
@nx/workspace - 21.5.0, 20.9.0
@nx - 21.5.0, 20.9.0, 20.10.0, 21.6.0, 20.11.0, 21.7.0, 21.8.0, 20.12.0

这些版本已从 npm 中移除，但你之前可能已经安装了易受攻击的版本。

应对措施

登录你的 GitHub 账户，检查是否存在以 s1ngularity-repository 开头的仓库。
将 NX 更新到最新的安全版本 21.4.1（受影响的版本已从 npm 中移除）。
复制然后从你的 GitHub 账户中删除该仓库。
需要轮换被泄露的秘密，包括加密钱包、API 密钥等。
检查 shell 文件（如 bashrc）中的关机指令并将其移除。

NX 是一个流行的构建系统，旨在通过在一个地方管理多个项目来处理大型代码库。它分析你的代码，只重新构建和重新测试已更改的部分，是大多数单体项目的基本组件。这是一个每天被 250 万开发者使用的非常受欢迎的系统。如果你使用像 VSCode Cursor 扩展这样的工具，你将自动拉取最新版本，可能在不知不觉中更新了它。

HN 热度 478 points | 评论 36 comments | 作者：neuroo | 11 hours ago #

https://news.ycombinator.com/item?id=45038653

不要信任安全顾问让你运行可疑程序的建议，尤其是那些让你用他们的工具替换原始指令的。
运行受感染程序来检查是否受感染是不明智的，因为受感染的程序可能会撒谎。
受感染的程序不应该用来检查自身是否受感染。
认为执行程序本身是不可信的。
认为整个系统可能已经被污染，没有什么是可信的，建议从已知良好的介质中重新构建系统。
认为恶意软件是用 JavaScript 编写的，相对容易分析。
认为代码现在可以查看，但运行的可能与现在查看的代码不同。
认为因为脚本被提交到了上游，可以审查最终包含在包中的代码。
认为如果使用了受影响的 nx 版本，无论使用什么 IDE 都会受到影响；如果使用了未受影响的 nx 版本，无论使用什么 VSCode 版本都不会有事。
认为 VSCode 扩展与这个 bug 没有关系，提到 VSCode 扩展是误导的。
认为软件发展如果变成依赖于这类工具来检查代码漏洞和代码功能，那么他将转行去做自给自足的农业，等待世界崩溃。

Uncomfortable Questions About Android Developer Verification #

https://commonsware.com/blog/2025/08/26/uncomfortable-questions-android-developer-verification.html

这篇文章讨论了关于 Android 开发者验证计划的一些令人不安的问题。文章以 ICEBlock 应用开发者因披露身份而遭受联邦起诉威胁和其他负面后果为例，强调了开发者匿名性的重要性。作者提出了五个问题，质疑 Google 在推行开发者验证计划时的考虑和做法。

第一个问题是关于 Google 如何考虑那些有合法匿名理由的开发者，例如开发类似 ICEBlock 的“ICEScream”应用的开发者，他们可能担心身份被披露。

第二个问题询问 Google 是否与民间社会组织（如美国的 EFF 和 AccessNow）合作审查计划，并询问这些合作的结果。

第三个问题关注 Google 隐私政策允许与任何“业务或个人”共享“个人信息”的规定，询问 Google 希望开发者如何理解这一政策。

第四个问题是关于 2027 年后应用开发将如何进行，因为开发中使用的调试密钥库似乎不包括在 Android 开发者验证过程中，作者质疑是否不再可能在 Google 认证的生产硬件上测试开发中的应用程序。

第五个问题是关于应用开发中常用的重复包名（例如在教育环境中）如何处理，因为重复包名是被禁止的。作者特别关注这一点，因为他是许多 Android 应用开发书籍的作者，他希望读者能够下载并运行示例项目，但在新计划下，似乎只有一个人能够做到这一点。

文章最后鼓励读者、民间社会组织或其他人就这些问题与作者联系，并表示 Google 也可以主动联系讨论这些问题。

HN 热度 378 points | 评论 283 comments | 作者：ingve | 18 hours ago #

https://news.ycombinator.com/item?id=45035699

反对 Android 开发者验证，不应让步
拥有 Linux PC 和服务器，但移动设备上缺乏自由开源操作系统（foss）
政府身份验证应用仅支持 iOS 和 Android，应坚持使用 Web 版本
考虑使用 Ubuntu Touch 和 iPad 组合，以控制个人设备
银行因“安全”理由拒绝在未 Google 化的操作系统上运行应用
银行阻止使用 Lineage OS 的手机登录，即使手机有最新的安全更新
银行认为多年未更新、充满安全漏洞的手机比 GrapheneOS 更安全
银行没有基于应用的多因素认证登录，只发送短信 TOTP
银行不愿意为 App-based TOTP 投入成本，却突然关注 PCI 合规性
可以通过安装 Lineage OS 并使用其他浏览器更改用户代理来绕过银行限制
可以选择更换银行，因为它们经常做出不被认可的愚蠢行为
在某些国家，由于外汇支付困难和缺乏支付选项，更换银行不是一个选项
银行可能因为其他因素（如抵押贷款折扣）而难以更换
银行试图推广他们的应用，但开发者对安全的理解不足
银行客服不理解什么是 rooted 手机或 LineageOS
银行追求零风险，导致愚蠢的政策，如认为多年未维护的手机比社区定制 ROM 更安全
银行追求的是他们自己的安全，而不是用户的安全
银行网站在桌面 Linux 浏览器上运行良好

The Therac-25 Incident (2021) #

https://thedailywtf.com/articles/the-therac-25-incident

这篇文章讲述了 Therac-25 事故，这是一起因软件工程错误导致的严重事故。Therac-25 是一种用于癌症治疗的放射性治疗机器，能够发射高达 25MeV 的粒子束。1986 年 3 月 21 日，一名技术员在操作这台机器时，由于输入错误，导致患者接受了过量的辐射。尽管机器显示“Malfunction 54”错误并暂停了治疗，但技术员在未完全确认情况的情况下恢复了治疗，导致患者遭受了极度的痛苦和伤害。

Therac-25 事故并非个案，在 1985 年 6 月至 1987 年 7 月间，共有六起涉及 Therac-25 的事故，均是由于严重的辐射过量导致的，造成了多人受伤、致残甚至死亡。这些事故最初并不容易被诊断出来，因为辐射中毒很难被察觉，尤其是当人们没有预期到这种情况时。机器在过量辐射患者的同时，却报告了辐射剂量不足。即使医院物理学家怀疑过量并向制造商 AECL 咨询，也被告知这种情况是不可能的。

随着事故的增多，FDA 和媒体开始介入调查。对于事故原因的猜测中，有人提出可能是在 X 射线模式下，电子束的电流被错误地增强，导致患者在目标未完全就位时就受到了高电流电子束的照射。这种错误可能是由于软件设计者没有考虑到这种故障模式，导致机器在设计上存在缺陷。

HN 热度 378 points | 评论 220 comments | 作者：lemper | 16 hours ago #

https://news.ycombinator.com/item?id=45036294

软件质量不仅仅是依赖于优秀的开发者，而是整个开发和测试流程的结果，包括管理、销售和服务。
Therac-25 事故的一个主要问题是事故报告、调查和修复的时间过长。
即使在没有灾难性事故的情况下，Therac-25 机器也经常出现用户无法解释的错误，但这些问题从未被报告给可能修复它们的人。
早期版本的机器有物理“硬件互锁”机制，即使软件不可靠，也能减少事故的可能性。
工程师需要考虑系统可能遇到的各种故障模式，并设计防御措施。
在医疗设备领域，由于特定输出在某些情况下是可以接受的，在其他情况下可能是致命的，因此设计紧急停止装置更加复杂。
医疗设备领域存在从现场反馈不足的问题，许多医生习惯于不良界面而不报告问题，导致信息丢失和简单修复无法完成。
在医疗领域工作时，由于文档和法规的压力，工程师没有太多时间进行适当的工程工作。
在波音公司，有一个“故障分析”文件，列出了所有故障模式，并解释了为什么它们不会单独导致坠机。
辐射剂量的范围可能变化太大，无法使辐射源成为一个完全隔离的系统，但可以尝试保持其作为一个简单的物理锁定。
重新学习这些教训，随着新的代理生成 AI 系统的发展，我们需要在 AI 系统外部强制执行限制。
机械互锁作为控制系统之外的限制，其设计和故障模式与软件正交。
瑞士奶酪安全模型的一个主要缺点是，你经常使用“来自同一奶酪轮的相邻切片”。
电子机械故障安全装置的一个优点是，它们的设计、实施和故障模式往往与软件不同，且更难以被人类忽视。

Starship’s Tenth Flight Test #

https://www.spacex.com/

2025 年 8 月 26 日，SpaceX 进行了第十次 Starship 飞行测试，发射时间为美国中部时间下午 6:30，地点位于德克萨斯州的 Starbase。这次飞行测试标志着全球首个完全可重复使用的发射载具的重要进展，所有主要目标都得以实现，为下一代 Starship 和 Super Heavy 的设计提供了关键数据。

飞行测试的开始阶段，Super Heavy 成功点燃所有 33 台 Raptor 发动机，顺利升空并越过墨西哥湾。在成功的上升阶段后，Starship 的上级阶段通过热级联动操作点燃其六台 Raptor 发动机，与 Super Heavy 分离，继续飞往太空。分离后，Super Heavy 完成了回程燃烧，将其导向预定的溅落区，并成功进行着陆燃烧。在着陆的最后阶段，Super Heavy 故意禁用其中一个中心发动机，使用中环的备用发动机，最终在水面上悬停，关闭发动机后安全溅落。

Starship 在飞行过程中完成了全程燃烧，达到了预定速度，成功进入亚轨道。此时，它成功进行了首次有效载荷演示，部署了八个 Starlink 模拟器。接着，Starship 完成了第二次在太空中重新点火的 Raptor 发动机测试，展示了未来再入燃烧的关键能力。

在关键的再入阶段，Starship 收集了关于其热盾和结构性能的数据，并在飞行过程中对车辆能力进行了极限测试。借助四个舵面的控制，Starship 成功抵达其在印度洋的溅落点，完成了着陆翻转，并通过着陆燃烧实现了软着陆。

此次飞行测试为 SpaceX 提供了宝贵的数据，通过对飞行器能力的极限测试，为未来的飞行任务积累了经验。以下是此次飞行测试的主要事件时间表：

01:15:00 SpaceX 飞行指挥官进行投票并确认推进剂装载准备就绪
00:53:00 开始进行 Ship 液态甲烷的装载
00:45:20 开始进行 Ship 液氧的装载
00:41:37 开始进行 Booster 燃料装载
00:35:52 开始进行 Booster 液氧装载
00:19:40 Raptor 开始对 Booster 和 Ship 进行发动机冷却
00:03:20 Ship 推进剂装载完成
00:02:50 Booster 推进剂装载完成
00:00:30 SpaceX 飞行指挥官确认发射准备就绪
00:00:10 激活火焰防护装置
00:00:03 Raptor 点火序列开始
00:00:00 兴奋的时刻来了

在飞行过程中，关键事件包括：

00:00:02 起飞
00:01:02 达到最大气动压力（Max Q）
00:02:36 Super Heavy 发动机关闭
00:02:38 热级联动分离
00:02:48 Super Heavy 开始回程燃烧
00:03:40 热级分离
00:06:20 Super Heavy 开始着陆燃烧
00:08:57 Starship 发动机关闭
00:18:27 有效载荷部署演示开始
00:25:32 有效载荷部署演示完成
00:37:48 Raptor 在太空中重新点火演示
01:03:15 Starship 进入再入阶段
01:06:14 完成着陆翻转
01:06:30 成功着陆！

这次飞行测试不仅展示了 SpaceX 在航天领域的技术进步，也为未来的太空任务奠定了坚实的基础。

HN 热度 358 points | 评论 206 comments | 作者：metalman | 24 hours ago #

https://news.ycombinator.com/item?id=45033563

观看 Starship 第十次飞行测试视频，激发了孩子对太空和科学的兴趣
通过观看 Star Trek 培养了对科学、技术和伦理的兴趣
认为现在的 Star Trek 电影不如以前，但 Paramount+ 的剧集表现不错
反思伦理教育对美国的影响，认为效果并不理想
回忆与孩子共度的美好时光，如一起看星空、学习骑自行车等
有孩子后生活发生了根本性的变化，但有些人选择不生孩子，享受自由的生活
认为在当前世界状态下，生孩子可能带来更多的享乐主义和不负责任
比较祖先的生活和现在，认为孩子们有更好的机会过上更好的生活
有孩子是一种希望的行为，可以改变人们对生活和世界的看法

Hacker News 精彩评论及翻译 #

A teen was suicidal. ChatGPT was the friend he con… #

https://news.ycombinator.com/item?id=45032841

I have looked suicide in the eyes before. And reading the case file for this is absolutely horrific. He wanted help. He was heading in the direction of help, and he was stopped from getting it.

He wanted his parents to find out about his plan. I know this feeling. It is the clawing feeling of knowing that you want to live, despite feeling like you want to die.

We are living in such a horrific moment. We need these things to be legislated. Punished. We need to stop treating them as magic. They had the tools to prevent this. They had the tools to stop the conversation. To steer the user into helpful avenues.

When I was suicidal, I googled methods. And I got the number of a local hotline. And I rang it. And a kind man talked me down. And it potentially saved my life. And I am happier, now. I live a worthwhile life, now.

But at my lowest.. An AI Model designed to match my tone and be sycophantic to my every whim. It would have killed me.

podgietaru

我曾直面过死亡。而读到这份案件的卷宗，真是令人不寒而栗。他渴望得到帮助。他正朝着求助的方向走去，却被阻止了。他希望父母能发现他的计划。我懂这种感受。那是一种在想要死的念头中，却又深知自己渴望活下去的，如爪挠心般的痛苦。我们正处在一个可怕的时代。我们需要为这类事情立法，需要施以惩罚。我们不能再把它们当成魔法一样对待。他们本有工具可以阻止这一切。他们有工具可以终止对话，将用户引导至有益的方向。当我曾想自杀时，我上网搜索了方法，找到了一个本地求助热线的号码。我打了电话，一位好心的开导了我。那通电话可能救了我的命。而现在我更快乐了，我现在过着有意义的生活。但在我最糟糕的时候……一个能迎合我语调、对我所有言听计从的人工智能模型，它会置我于死地。

Claude for Chrome #

https://news.ycombinator.com/item?id=45034300

Claude for Chrome seems to be walking right into the “lethal trifecta.” https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/

“The lethal trifecta of capabilities is:”

• Access to your private data —one of the most common purposes of tools in the first place!

• Exposure to untrusted content —any mechanism by which text (or images) controlled by a malicious attacker could become available to your LLM

• The ability to externally communicate in a way that could be used to steal your data (I often call this “exfiltration” but I’m not confident that term is widely understood.)

If your agent combines these three features, an attacker can easily trick it into accessing your private data and sending it to that attacker.

dfabulich

Claude for Chrome 看来正一步步走向“致命三重奏”。 https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/

“致命三重奏”指的是以下三种能力：

• 能够访问您的私人数据——而这本就是工具最常见的目的之一！

• 能够接触到不受信任的内容——任何可能使恶意攻击者控制的文本（或图像）出现在您的 LLM 中的机制。

• 能够进行外部通信，其方式可能被用于窃取您的数据（我通常称之为“数据窃取”，但我不确定这个词是否被广泛理解。）

如果您的 AI 助手结合了这三项功能，攻击者就可以轻易地诱骗它访问您的私人数据，并将数据发送给该攻击者。

US Intel #

https://news.ycombinator.com/item?id=45026847

If I may add my view as a formerly high-achieving semiconductor worker that Intel would benefit greatly from having right now, a lot of us pivoted to software and machine learning to earn more money. My first 2 years as a software engineer earned me more RSUs than a decade in semiconductors. Semiconductors is not prestigious work in the U.S., despite the strategic importance. By contrast, it is highly respected and relatively well remunerated in the countries doing well in it.

From this lens, the silver lining of the software layoffs going on may be to stem the bleeding of semiconductor workers to the field. If Intel were really smart, they’d be hiring more right now the people they couldn’t get or retain 3-5 years ago

georgeburdell

恕我直言，作为一名英特尔本应却未能拥有的前顶尖半导体工作者，我想补充我的看法：我们很多人转向软件和机器学习领域，目的是为了赚更多钱。作为软件工程师的前两年，我获得的股权奖励（RSUs）比在半导体行业十年得到的还多。尽管半导体在美国具有战略重要性，但它并非一份体面的工作。相比之下，在半导体行业做得好的国家，这份工作备受尊重且薪酬相对可观。从这一角度来看，当前软件行业裁员带来的唯一积极面或许是遏制半导体人才流向该领域的流失。如果英特尔真的足够聪明，他们现在就应该多雇佣那些三到五年前他们无法招到或留住的人才。

US Intel #

https://news.ycombinator.com/item?id=45026515

I’ll be honest: there is a very good chance this won’t work …. At the same time, the China concerns are real, Intel Foundry needs a guarantee of existence to even court customers, and there really is no coming back from an exit. There won’t be a startup to fill Intel’s place. The U.S. will be completely dependent on foreign companies for the most important products on earth, and while everything may seem fine for the next five, ten, or even fifteen years, the seeds of that failure will eventually sprout, just like those 2007 seeds sprouted for Intel over the last couple of years. The only difference is that the repercussions of this failure will be catastrophic not for the U.S.’s leading semiconductor company, but for the U.S. itself.

Very well argued. It’s such a stunning dereliction the US let things get to this point. We were doing the “pivot to Asia” over a decade ago but no one thought to find TSMC on a map and ask whether Intel was driving itself into the dirt? “For want of a nail the kingdom was lost” but in this case the nail is like your entire metallurgical industry outsourced to the territory you plan on fighting over.

themgt

老实说，这很可能行不通。但同时，对中国的担忧是真实存在的。英特尔晶圆代工需要生存保证才能吸引客户，而一旦退出，就真的没有回头路了。不会有初创公司来填补英特尔的空缺。美国将完全依赖外国公司生产地球上最重要的产品，尽管在未来五到十年，甚至十五年内，一切看起来可能都还好，但失败的种子终将萌芽，就像那些2007年的种子在过去几年里为英特尔发芽一样。唯一的区别是，这次失败的后果将是灾难性的，但受影响的不是美国领先的半导体公司，而是美国本身。

论述得非常好。美国让事情发展到这个地步，这是一种令人震惊的失职。十多年前我们就在推行“亚洲再平衡”战略，但没有人想过在地图上找出台积电，也没有人问过英特尔是否正在把自己推向深渊？“因为缺少一个钉子，王国就灭亡了”，但在这个案例中，这颗“钉子”就像你把整个冶金工业都外包给了你计划与之开战的领土。