2025-09-19 Hacker News Top Stories #
- 英伟达与英特尔宣布合作开发x86处理器,英伟达投资50亿美元收购英特尔股票,强化双方在AI与图形处理领域的合作关系。
- KDE桌面环境因其强大的功能、流畅的使用体验和高度集成的设计,成为作者的最爱,尤其在网络管理和窗口规则等方面表现突出。
- ABC因FCC主席施压无限期停播吉米·坎摩尔节目,引发关于言论自由、媒体独立性和政治干预的广泛争议。
- Anthropic对Claude服务近期三次基础设施问题进行技术复盘,指出问题源于上下文窗口路由错误、TPU配置错误和编译器误编译,并采取了相应的修复措施。
- CERN重新开放动物收容所,呼吁用户断开鼠标连接以提高网络安全意识,通过趣味方式宣传“停止—思考—点击”的安全原则。
- 研究者揭露了影响全球Entra ID租户的严重安全漏洞,攻击者可通过“Actor token”实现跨租户权限提升,微软已修复该漏洞并公布CVE-2025-55241。
Slack has raised our charges by $195k per year #
https://skyfall.dev/posts/slack
Hack Club 是一个为全球青少年提供编程教育和社区支持的非营利组织,近 11 年来一直使用 Slack 作为沟通工具。尽管此前已按要求支付每年 5000 美元的费用,但两天前 Slack 突然通知 Hack Club,若不立即支付额外 5 万美元(当周)及每年 20 万美元的费用,将关停其工作区并删除全部聊天记录。
这一要求仅给予不到一周的响应时间,被 Hack Club 视为对小型非营利组织的“勒索式”施压。该组织指出,如此短的过渡期导致数十名员工和志愿者被迫紧急迁移系统、重建集成,并面临多年积累的机构知识丢失的风险。
事件在 Hacker News 和 Twitter/X 上引发广泛关注,最终促使 Slack 首席执行官主动联系 Hack Club,承诺“纠正问题”(具体细节未公开,但优于原计划)。Hack Club 对公众支持表示感谢,并强调此次经历让他们深刻意识到数据自主权的重要性。
作为应对,Hack Club 决定迁移至 Mattermost,以确保对数据的完全掌控。组织呼吁其他小型企业及非营利机构重视数据所有权,避免过度依赖外部 SaaS 服务。
HN 热度 2770 points | 评论 1211 comments | 作者:JustSkyfall | 21 hours ago #
https://news.ycombinator.com/item?id=45283887
- Slack 对 Hack Club 的收费突然大幅上涨,从原本的优惠费率变为需支付每年 20 万美元,且威胁在 5 天内不付款就永久删除所有 11 年来的聊天记录和项目数据。
- Hack Club 作为非营利组织,长期依赖 Slack 提供的优惠费率支持青少年开发者项目,此次变更未提前通知,也未提供新合同,属于单方面违约。
- Slack 销售团队在未与客户充分沟通的情况下,擅自更改合同条款并施加高压,导致非营利组织面临数据永久丢失的风险,被批评为“企业勒索”行为。
- 尽管 Slack 高管 Rob 表示这是“失误”并承诺修复,但用户质疑其系统性问题,认为只有在舆论爆发后才获得高层关注,反映出企业客户支持机制的严重缺陷。
- 用户批评 Slack 的沟通方式极其糟糕,7 天内必须付款否则删除数据的威胁,与正常商业行为相悖,更像是网络勒索,严重损害了企业信誉。
- 有观点指出,这种问题可能并非个例,许多其他非营利组织可能也遭遇类似待遇,但因缺乏舆论关注而无法获得同等处理。
- 有企业代表(Mattermost)借此机会推广自托管方案,强调其支持数据导出和免费层级,暗示 Slack 的做法凸显了其产品在数据主权方面的不足。
- 用户质疑 Slack 的客户支持体系是否健全,认为基层员工在缺乏监督的情况下可随意决定重大事项,暴露出内部管理漏洞。
- 有人指出,企业若只在公关危机爆发后才回应问题,说明其根本问题未被真正解决,系统性改进仍需落实。
WASM 3.0 Completed #
https://webassembly.org/news/2025-09-17-wasm-3.0/
Wasm 3.0 正式发布,标志着 WebAssembly 标准进入全新阶段。此次更新历时多年,包含多项重大功能升级,显著增强 Wasm 在复杂应用和多场景下的能力。
64 位地址空间支持使 Wasm 应用的内存寻址能力从 4GB 扩展至理论上的 16 exabytes,尽管网页环境仍受限于 16GB,但非网页生态(如服务器、嵌入式)可支持更大规模的数据与程序。
多内存功能允许单个模块同时声明和使用多个内存实例,实现跨内存直接数据复制。这解决了此前静态链接工具(如 wasm-merge)的限制,也支持更灵活的内存隔离设计,如安全分隔、缓冲区管理与运行时注入。
垃圾回收(GC)机制正式加入,提供由运行时自动管理的堆内存。Wasm GC 保持低层级特性,允许编译器定义结构体、数组和未打包的带标签整数,但不提供内置对象系统或闭包等高级语言结构,由编译器自行实现。
类型化引用扩展了类型系统,支持精确描述引用目标的形状,实现更安全的类型检查。结合新指令 call_ref,可实现无运行时检查的间接函数调用,提升性能与安全性。
尾调用支持通用场景下的函数调用优化,无论静态或动态调用目标,均可避免栈空间累积,适用于函数式语言及内部运行时优化。
原生异常处理机制上线,通过声明异常标签与载荷数据,支持抛出与按标签捕获异常。异常处理以新的块指令形式实现,具备标签分发列表,提升编译效率与可移植性。
向量指令引入“宽松”版本,允许在特定边缘情况下采用平台实现的优化行为,以换取更高性能。为保障确定性,标准同时定义了默认确定性执行模式,涵盖浮点运算、NaN 生成及宽松向量指令,确保区块链、可重现系统等场景下的行为一致。
Wasm 文本格式新增自定义注解语法,支持在源码中嵌入非标准元信息,便于人类阅读与工具处理,同时保持与二进制格式中自定义段的兼容。
JavaScript 集成方面,新增 JS 字符串原生支持,可通过 externref 传递字符串值,并在 Wasm 内部直接调用原生 JS 字符串操作函数。
Wasm 3.0 已在主流浏览器中上线,Wasmtime 等独立引擎也正在推进支持。该版本由新一代 SpecTec 工具链编写,提升了规范的可靠性与可维护性。
随着 GC、多内存等特性的成熟,多种高阶语言(如 Java、OCaml、Kotlin、Dart 等)已开始广泛支持 Wasm 作为目标平台。
HN 热度 1032 points | 评论 456 comments | 作者:todsacerdoti | 1 day ago #
https://news.ycombinator.com/item?id=45279384
- 64 位支持将成为 WebAssembly 标准的默认部分,将显著提升 Web 应用的性能,尤其对在线视频编辑等高内存需求的应用有重大意义。
- 有开发者质疑将复杂应用如视频编辑器运行在浏览器中是否合理,认为应更诚实面对需求,构建真正适合的虚拟化抽象而非扩展浏览器功能。
- 浏览器已不仅是文档展示工具,现代 Web 应用已广泛用于购票、购物、观看视频等复杂交互场景,其角色已远超“文档阅读器”。
- WebAssembly 的虚拟机可能正是对以往虚拟机技术的总结与进化,其目标是提供更高效、更安全的运行环境,而非局限于文档处理。
- 当前 WebAssembly 在浏览器中仍受限于 DOM 或 Canvas,难以实现无障碍访问,开发者需在 UI 层额外构建可访问性支持,体验不佳。
- 可通过 WASM 绑定原生 UI 工具包直接渲染,绕过 DOM,实现更高效的 UI 交互,但此举可能使 WASM 应用失去跨平台优势。
- 若目标是直接访问操作系统和硬件,使用 WASM 反而增加复杂性,不如直接开发原生应用,尤其在浏览器环境中。
- 尽管 Web 应用存在诸多限制,但其跨平台分发能力仍优于传统原生应用,尤其在 Linux 生态中,Web 是摆脱平台垄断的重要途径。
- 移动应用生态碎片化严重,各平台分发机制不统一,导致应用难以跨平台部署,Linux 的 Flatpak、AppImage、Snap 之争即是明证。
- 有人认为 Web 平台虽不完美,但其开放性与低门槛使其成为摆脱苹果、谷歌、微软等平台垄断的关键,是推动系统自由的重要力量。
- 有观点认为,当前 Web 平台的复杂性源于其承担了太多本应由操作系统完成的任务,如应用分发、运行时服务等,形成“浏览器即操作系统”的现象。
- 有人指出,现代操作系统如 Windows、macOS、Linux 本身也存在应用分发和运行时管理的类似机制,Web 平台并非完全独有。
- 有人认为,Web 平台的“更差但更好”哲学(worse is better)导致其虽不完美却广泛普及,而理想化的单一平台方案反而可能走向封闭与垄断。
- 有人质疑,若所有应用都必须服从单一设计标准,将导致创新受限,反而不如开放、多样化的生态更具生命力。
Nvidia buys $5B in Intel #
Nvidia 与 Intel 宣布建立深度合作关系,共同开发多代 x86 处理器产品,标志着两家长期竞争的科技巨头实现历史性联手。此次合作涵盖两大核心领域:一是面向消费级游戏 PC 市场的“Intel x86 RTX SoC”,将 Intel 的 x86 CPU 与 Nvidia 的 RTX GPU 通过 NVLink 接口紧密集成,形成单芯片封装的高性能计算单元,适用于轻薄游戏本和小型台式机;二是为 Nvidia 定制的 x86 数据中心 CPU,专用于其 AI 和超大规模数据中心解决方案。
Nvidia 将斥资 50 亿美元收购 Intel 普通股,每股 23.28 美元,持股比例约 5%,此举不仅强化了双方合作关系,也反映出 Nvidia 对 x86 生态系统的长期承诺。尽管合作处于早期阶段,但双方已规划多代产品路线图,且强调该合作不会影响 Nvidia 现有的 Arm 架构产品线(如 Grace Blackwell、Vera CPU 等)。
在制造方面,Nvidia 尚未明确是否采用 Intel 的 18A 等先进制程,但已有迹象表明其可能利用 Intel Foundry。Nvidia 自 2022 年起就在测试 Intel 工艺,且参与美国国防部的 RAMP-C 项目,已在 Intel 18A 节点上成功制造芯片,具备技术可行性。
此次合作的关键技术突破在于使用 NVLink 替代传统 PCIe 接口,实现 CPU 与 GPU 之间高达 14 倍的带宽提升和更低延迟,显著优化 AI 与图形密集型应用性能。这与 Intel 此前与 AMD 合作的 Kaby Lake-G 等产品有本质区别,后者未实现如此深度的互联。
该合作不仅重塑 PC 与数据中心硬件格局,也预示着 x86 架构在 AI 时代仍具强大生命力,同时为 Intel 的晶圆代工业务注入新动力。市场反应积极,Intel 股价在盘前交易中上涨 33%。
HN 热度 760 points | 评论 444 comments | 作者:stycznik | 12 hours ago #
https://news.ycombinator.com/item?id=45288161
- Nvidia 对 Intel 的持股可能对其集成显卡(iGPU)和独立显卡(dGPU)构成威胁,可能导致产品线萎缩,影响消费者选择和价格。
- Intel 的 Arc 显卡是降低 GPU 市场价格的重要力量,其消亡将对消费者不利。
- Intel 在 Linux 系统上的 GPU 驱动支持最佳,而 Nvidia 则对 Linux 生态不友好,尤其在 Wayland 支持和驱动稳定性方面问题频出。
- Nvidia 的闭源驱动和非内核树驱动(out-of-tree)长期带来兼容性和维护难题,且存在“视频内存丢失”等已知多年未修复的 bug。
- AMD 在 Linux 上拥有长期稳定的内核树驱动支持,可靠性高,是更值得信赖的选择。
- 尽管 AMD 在 ROCm 支持上存在局限,但其整体 Linux 图形驱动体验优于 Nvidia。
- 一些用户因 Nvidia 驱动支持中断或系统更新问题而转向 Intel 集成显卡,认为其更稳定可靠。
- Intel 的集成显卡虽非高利润产品,但对主流办公、轻度游戏和日常使用场景已足够,市场基础广泛。
- 随着技术进步,Intel Arc iGPU 已能流畅运行如《荒野大镖客 2》《对马岛之魂》等主流游戏,不再只是“玩 Minecraft”的水平。
- Nvidia 的显卡在某些情况下性能表现优异,但更多依赖第三方优化,其自身驱动问题频发,影响实际使用体验。
- 有观点认为 Nvidia 此举更多是为应对 Snapdragon X Elite 等竞争对手,而非直接打压 Intel 显卡产品线。
KDE is now my favorite desktop #
https://kokada.dev/blog/kde-is-now-my-favorite-desktop/
作者在 2025 年 9 月 17 日的博客中分享了自己从 Sway 切换到 KDE 桌面环境的体验,并表示 KDE 已成为其最喜爱的桌面环境。
作者最初选择 Sway 是为了简洁高效,但因妻子需要使用电脑进行非游戏操作,而 Sway 缺乏易用性,因此转而尝试 KDE。使用一段时间后,作者对 KDE 的完整功能和流畅体验感到惊喜。
KDE 的网络管理工具功能强大,可显示 Wi-Fi 的信道、信号强度、频率、MAC 地址、BSSID 等详细信息,还支持一键生成 Wi-Fi 共享二维码,方便新设备连接。
系统自带的截图工具功能强大且智能,支持自动保留上次截图区域,无需调用第三方软件,使用体验极佳。
作者举例说明 KDE 的“窗口规则”功能,可轻松设置 Steam 等应用的启动行为,避免窗口抢占焦点,提升使用体验。
KDE 集成度高,例如 Flatpak 应用权限管理、硬件信息查看(如 SMART 状态)、屏幕和系统休眠控制等功能均无需额外安装软件,直接可用。
在性能方面,作者认为 KDE 在相同硬件上比 Windows 11 更流畅,系统设置打开几乎无延迟,甚至在与 MacBook Pro M2 Pro 的对比中也感觉更“轻快”。
尽管 KDE 并非完美,作者提到首次使用时因连接电视导致任务栏仅出现在电视屏幕上,需手动修复。此外还有其他一些小问题,但整体影响不大。
总结:经过一周使用,作者首次真正享受 Linux 桌面环境,对 KDE 开发团队表示高度认可。
HN 热度 668 points | 评论 530 comments | 作者:todsacerdoti | 11 hours ago #
https://news.ycombinator.com/item?id=45288690
- KDE 桌面环境因其注重细节打磨、修复漏洞和小功能优化,如今在美观性、专业性和一致性上已超越最新版 macOS。
- KDE 未受移动设备设计趋势影响,保持了桌面平台应有的设计特性,而许多现代桌面 UI 因迁就移动设备而变得糟糕。
- 移动设备与桌面设备在屏幕尺寸、输入方式等方面差异巨大,强行统一设计会损害用户体验,应根据平台特性分别设计。
- 当前多平台(桌面、移动、浏览器)并存导致设计趋同,许多公司为减少设计成本而牺牲桌面体验,以适应移动端。
- “移动优先”设计实际上是以牺牲桌面用户为代价,使界面在手机上看起来更好,但对桌面用户并不友好。
- 有传闻称苹果未来可能推出带触摸屏的 MacBook,其界面可能进一步向 iPadOS 靠拢,预示着跨平台融合的趋势。
- 尽管部分用户怀念触摸屏交互,但大多数人仍更习惯键盘和鼠标操作,触摸屏在实际使用中并不普及。
- Windows 11 在任务栏位置设置上限制过多,用户无法自由调整,甚至需要借助第三方工具来恢复基本灵活性。
- GNOME 虽然默认缺少一些常用功能(如系统托盘、剪贴板历史),但近年来已逐步内置这些功能,且整体设计更注重手势操作。
- KDE 的系统托盘、剪贴板历史等功能默认集成,而 GNOME 依赖扩展,且扩展常因系统更新而失效,影响使用体验。
- KDE 的多级菜单式任务栏设计被部分用户认为不够直观,而 GNOME 更接近 macOS 的简洁风格,更符合现代审美。
- KDE 拥有名为 Kirigami 的跨平台 UI 框架,部分应用已通过该框架实现桌面与移动端的统一设计。
Meta Ray-Ban Display #
https://www.meta.com/blog/meta-ray-ban-display-ai-glasses-connect-2025/
Meta 正式发布全新 AI 眼镜 Meta Ray-Ban Display,与 Meta Neural Band 腕带共同构成新一代可穿戴设备。该眼镜采用全彩高分辨率微型显示技术,通过镜片侧边的单眼显示实现信息快速查看,支持查看消息、预览照片、与视觉 AI 交互等日常任务,无需掏出手机,帮助用户保持对现实世界的专注。
眼镜配备 Transitions® 光致变色镜片,支持全天候佩戴,续航达 6 小时混合使用,配合可折叠充电盒总续航达 30 小时。整机仅重 69 克,采用钛合金铰链与超窄钢壳电池设计,兼顾轻盈、耐用与高颜值。镜框延续经典 Wayfarer 风格,提供黑、沙色两种配色及标准与大号两种尺寸。
Meta Neural Band 腕带采用表面肌电(EMG)技术,通过检测肌肉微小信号实现手势控制,支持无声滑动、点击,未来还可实现书写输入。基于近 20 万参与者的数据训练,算法可适配绝大多数用户,且所有数据处理均在设备端完成,保障隐私与响应速度。腕带支持 18 小时续航,具备 IPX7 防水等级,采用钻石涂层电极与航天级 Vectran 材料,兼具强度与舒适性。
产品定价 799 美元,包含眼镜与腕带,将于 9 月 30 日起在美有限线下零售渠道(如 Best Buy、LensCrafters、Ray-Ban Stores 等)发售,后续将扩展至加拿大、法国、意大利和英国。用户可通过线下体验店预约试戴,获取个性化适配建议。
HN 热度 603 points | 评论 888 comments | 作者:martpie | 22 hours ago #
https://news.ycombinator.com/item?id=45283306
- 使用者对 Meta Ray-Ban 眼镜的视频拍摄功能表示赞赏,尤其是记录婴儿成长的体验,认为其能实现边听音乐边感知周围环境的独特体验。
- 部分用户指出,骨传导耳机在音质上不如传统耳机,尤其在播放有大量低音的音乐时效果差,但对播客和语音内容表现良好。
- 有用户认为骨传导耳机在骑行等活动中更安全,因为耳朵保持开放,能听到周围环境声音,且佩戴更舒适。
- 对 Meta 眼镜的隐私问题表示担忧,认为佩戴者可能成为移动监控设备,导致他人在不知情下被记录,破坏社会信任。
- 有人提出,即使不直接与佩戴者互动,只要出现在其视野范围内,也可能因无意行为被记录并引发社会或法律问题。
- 有评论认为,Meta 眼镜的软件体验较差,如无法读取短信或邮件,视频录制受限,且在嘈杂环境中使用效果不佳。
- 一些用户建议在嘈杂环境中用手遮住耳朵以改善使用体验,但认为这并非理想方案。
- 有观点指出,AirPods 等真无线耳机的透明模式已能实现类似“听音乐同时听周围声音”的功能,且更隐蔽、更稳定。
- 有人批评 Meta 眼镜的充电盒为专有设计,不支持通用充电标准,且电池寿命随时间下降。
- 有用户提到眼镜对汗水敏感,可能影响使用体验。
- 有人认为骨传导耳机是实现增强现实的理想基础,因为它能保持听觉开放,避免因佩戴耳机而与现实脱节。
- 有评论认为,Meta 眼镜的隐私问题类似于《黑镜》剧集中的情节,值得社会深入讨论。
- 有人建议避免与佩戴 Meta 眼镜的人接触,以减少被监控的风险,称这类人为“玻璃人”。
- 有用户指出,Meta 眼镜的音频输出是通过外放扬声器实现的,周围人可能听到声音,这与骨传导耳机不同。
ABC yanks Jimmy Kimmel’s show ‘indefinitely’ after threat from FCC chair #
https://www.cnn.com/2025/09/17/media/jimmy-kimmel-charlie-kirk-trump-fcc-brendan-carr
ABC 宣布无限期停播知名脱口秀主持人吉米·坎摩尔(Jimmy Kimmel)的晚间脱口秀节目《吉米·坎摩尔直播秀》(Jimmy Kimmel Live),引发广泛关注。
事件起因是坎摩尔在近期节目中对保守派评论员查理·基尔克(Charlie Kirk)的“疑似凶手”发表言论,引发争议。随后,特朗普政府负责电视台执照审批的联邦通信委员会(FCC)主席布伦丹·卡爾(Brendan Carr)公开施压 ABC,要求其对坎摩尔进行惩罚。
在卡爾表态后,至少两家拥有 ABC 附属电视台的大型媒体集团宣布将暂停播出该节目,外界推测此举是为迎合特朗普政府,以利于其正在进行的并购审批。
ABC 方面未详细说明停播原因,仅表示节目将“无限期预播”(pre-empted indefinitely)。坎摩尔本人未立即回应。
此举迅速引发舆论两极分化:自由派组织批评 ABC“懦弱”,认为这是对言论自由的压制;而特朗普本人则在英国访问期间公开祝贺 ABC 的决定,称其“终于”采取行动。
该事件凸显了美国政治与媒体之间的紧张关系,也反映出政府监管机构对主流媒体内容的潜在影响力。
HN 热度 575 points | 评论 926 comments | 作者:VikingCoder | 24 hours ago #
https://news.ycombinator.com/item?id=45282482
- 评论者质疑 Kimmel 的言论被过度反应,认为其内容并无实质不当,且未涉及案件核心,反而凸显了媒体与权力机构的过度干预。
- 有人指出,Sinclair 的声明模糊其词,仅以“不恰当且极度无礼”定性,却未说明具体言论,反而呼吁 FCC 介入,暗示其背后有政治动机。
- 评论者批评 Kimmel 的言论将凶手描述为“他们中的一员”,认为这种说法隐含种族与政治对立,强化了“我们 vs 他们”的分裂叙事。
- 有观点指出,类似“是我们的同胞”这种说法在政治人物中也存在,如美国犹他州州长,但这种表达方式容易引发公众对本州安全的误解。
- 有人认为,当前美国政治生态已陷入非黑即白的二元对立,第一过去投票制度加剧了这种分裂,亟需引入排名投票等制度改革。
- 评论者批评保守派对言论自由的双重标准,指责其在面对批评时动用政府力量打压,与他们过去攻击他人时如出一辙。
- 有人将事件比作“国会纵火案”或“霍斯特·威塞尔时刻”,认为这是权力试图制造恐慌、压制异见的典型手段。
- 有评论指出,这种对言论的打压反映出国家意识形态的强制性,正在演变为一种“强制性国家思想”。
- 有人强调,真正的言论自由应建立在善意与事实基础上,而非情绪化攻击或政治报复。
- 评论者提醒,历史上的权力滥用往往始于对“不和谐声音”的打压,必须警惕此类行为的蔓延。
- 有人认为,Kimmel 的言论并非在嘲笑悲剧,而是在讽刺 JD Vance,其本意并非冒犯,却被刻意放大。
- 有观点指出,对 Kimmel 的处理缺乏对等标准,过去传播“出生地阴谋论”的媒体人物从未受到同等追责。
A postmortem of three recent issues #
https://www.anthropic.com/engineering/a-postmortem-of-three-recent-issues
本文是一篇关于 Claude 服务近期出现三次基础设施问题的技术复盘报告,发布于 2025 年 9 月 17 日。问题发生在 8 月至 9 月初,导致部分用户收到质量下降的响应,但并非模型本身性能下降,而是由三个独立的基础设施缺陷引起。
首先,8 月 5 日出现“上下文窗口路由错误”,部分 Sonnet 4 请求被错误地分配到支持 100 万 token 上下文的服务器上。8 月 29 日负载均衡调整后,受影响请求比例上升至最高 16%。该问题在 9 月 4 日修复,修复工作逐步推广至所有平台。
其次,8 月 25 日部署的 TPU 服务器配置错误导致输出污染,表现为生成非预期字符(如泰语、中文)或代码语法错误。该问题影响 Opus 4.1、Opus 4 及部分 Sonnet 4 请求,仅限于 API 平台,未影响第三方平台。问题于 9 月 2 日通过回滚修复,并新增了对异常字符输出的检测机制。
第三,8 月 25 日引入的“近似 top-k XLA:TPU 编译器误编译”问题,源于 TPU 上 XLA 编译器中的一个潜在缺陷。该问题在 Haiku 3.5 中被发现,影响文本生成时的采样逻辑,可能导致最高概率 token 被错误排除。尽管在 Sonnet 4 上未复现,但出于谨慎考虑也进行了回滚。同时,团队正与 XLA:TPU 团队合作修复编译器问题,并已上线使用精确 top-k 并提升精度的替代方案。
三个问题相互重叠,导致诊断复杂,用户反馈矛盾,加剧了问题识别难度。Anthropic 承认在基础设施变更验证方面未达到预期标准,承诺将加强跨平台验证流程和部署前检测机制,以防止类似事件再次发生。
HN 热度 369 points | 评论 113 comments | 作者:moatmoat | 1 day ago #
https://news.ycombinator.com/item?id=45281139
- 单元测试在 AI 系统中被严重忽视,许多测试更像是复现案例而非真正可运行的测试,应加强对系统中确定性模块的单元测试。
- 尽管大型语言模型本身难以全面测试,但其核心组件如负载均衡、top-k 概率计算等属于可测试的确定性逻辑,应通过注入随机数生成器等方式实现单元测试。
- CI 系统通过多次运行可发现罕见的并发或非确定性问题,结合并行执行单元测试是发现线程安全问题的有效低成本策略。
- 与 Java 等语言强调可测试性不同,Python 等脚本语言文化中测试常被忽略或仅停留在类型断言层面,缺乏对实际值的验证。
- AI 生成的测试代码常过度依赖模拟(mock),导致测试无法覆盖真实交互,应鼓励测试真实代码路径而非仅验证接口。
- 使用内存中的 SQLite 数据库进行测试,能有效实现端到端测试,既保证测试完整性又避免依赖真实数据库。
- 通过接口而非具体实现传递依赖,避免继承,采用组合而非继承,是编写可测试代码的关键设计原则。
- 依赖注入框架在 Python 中虽存在,但其设计与 Java 类似,缺乏语言特性的深度整合,但核心思想仍适用。
- 采用测试驱动开发或测试意识开发,能在编码阶段就考虑可测试性,从而提升代码质量。
- 过度使用 mock 会增加重构难度,集成测试或真实依赖的单元测试更具实际价值。
- AI 生成的 UI 测试常存在逻辑错误,如直接操作 DOM 而未考虑实际交互流程,测试质量低下。
- 用户对“踩一下”反馈机制的隐私影响缺乏认知,需更明确地告知用户提交报告会发送完整对话记录。
- Anthropic 并未直接管理 AWS Bedrock 的基础设施,相关说法存在误解,AWS 仍负责其部署与运维。
CERN Animal Shelter for Computer Mice (2011) #
https://computer-animal-shelter.web.cern.ch/index.shtml
CERN 动物收容所为计算机鼠标重新开放,位于 CERN 计算机中心前的草坪上,每周一至周五上午 8:30 至下午 17:30 开放。
该收容所由 CERN 员工在业余时间维护,属于非营利组织,旨在提高网络安全意识。为减少用户误点击恶意链接的风险,CERN 呼吁所有用户将计算机鼠标从电脑上拔下,送往收容所。
收容所通过趣味宣传强调“停止—思考—点击”这一安全上网原则,提醒用户避免点击可疑链接,从而降低计算机感染和账户被盗的风险。
收容所特别提醒:所有用户应主动断开鼠标连接,以提升整体网络安全。如需了解更多信息,可访问 https://cern.ch/Computer.Security 或联系 Computer.Security@cern.ch。
如需捐赠,可将支票寄至“CERN 动物收容所为计算机鼠标”,地址:CERN P.O. Box G19710, CH-1211 Geneva 23,或发送邮件至 Computer.Shelter@cern.ch。
HN 热度 321 points | 评论 45 comments | 作者:EbNar | 16 hours ago #
https://news.ycombinator.com/item?id=45286369
- 有人回忆高中时老师教导说,不同款式的电脑鼠标应称为“mouses”而非“mice”,这在当时被认为是正确的语言规范。
- 有人指出“mice”和“mouses”的区别类似于“fish”和“fishes”的用法,取决于是否为同质集合。
- 有人类比“schemata/schemas”和“indices/indexes”等词的复数形式变化,说明语言中存在不规则复数形式。
- 有人感叹现代科技公司内部缺乏交流与幽默感,员工之间几乎只谈工作,失去了过去的技术社区氛围。
- 有人认为自 2022 年以来,科技行业对劳动力的压榨加剧,导致人们不得不放弃原本轻松的职场文化以保住工作。
- 有人调侃 CERN 对动物的“关爱”延伸到了量子纠缠的羊和大型仓鼠对撞机,带有讽刺意味。
- 有人戏称 CERN 的大型仓鼠对撞机每秒碰撞数十亿只仓鼠,产生“大象”等产物,引发对实验伦理的幽默质疑。
- 有人开玩笑说仓鼠被对撞后眼球被用于制作珍珠奶茶,讽刺科技公司对资源的荒诞利用。
- 有人提到 CERN 的“羊的量子纠缠”实验,暗示其研究范围已扩展到荒诞的动物实验。
- 有人回忆 Outpost.com 早期用仓鼠做碰撞测试引发公众抗议,暗示科技公司曾有过荒唐的测试行为。
- 有人认为仓鼠性格不好,甚至可能是“混蛋”,反映对小型宠物的主观评价。
- 有人提到 CERN 的“大型仓鼠对撞机”是“一场悲剧”,暗示其科学实验的荒诞性。
- 有人对 CERN 的动物实验表示讽刺,认为其行为如同“洗白仓鼠,以大象规模进行全球贩卖”。
- 有人怀念互联网曾经充满奇趣与自由的氛围,认为如今已被大量垃圾信息淹没。
- 有人建议通过“随机页面”或“惊喜我”类网站来重拾互联网的趣味性。
- 有人认为互联网的奇趣内容依然存在,只是被主流信息流掩盖,需主动寻找。
- 有人指出互联网的“奇趣”仍存在于小众网站,如 Kagi、Cloudhiker、RandomDailyURLs 等。
- 有人感叹互联网的“奇趣时代”虽已逝,但仍有值得怀念的怀旧情感。
- 有人对 CERN 动物收容所的图片表示赞赏,认为其展示了经典鼠标的设计与历史。
- 有人识别出图片中的经典鼠标型号,如 Logitech PilotMouse 和 Sun 鼠标,指出其历史价值。
- 有人幽默地讨论电脑鼠标“嘴”的位置,认为底部滚轮孔是“嘴”,引发对鼠标拟人化的调侃。
- 有人进一步发挥想象,认为鼠标“嘴”是底部滚珠所在处,类似异形生物的口器。
- 有人调侃激光鼠标如何“吞噬”食物,认为其用激光将食物气化后吸入,体现科技幻想。
- 有人回忆 1990 年代帮助母亲操作电脑的经历,体现当时技术普及的困难与人情味。
One Token to rule them all – Obtaining Global Admin in every Entra ID tenant #
https://dirkjanm.io/obtaining-global-admin-in-every-entra-id-tenant-with-actor-tokens/
本文作者 Dirk-jan Mollema 揭示了一项影响全球所有 Entra ID 租户(除部分国家云外)的严重安全漏洞,该漏洞允许攻击者通过“Actor token”实现跨租户权限提升,最终获取任意租户的全局管理员权限。
漏洞由两个关键部分组成:
-
未公开的 Actor Token 机制:微软内部用于服务间通信的“访问控制服务”会颁发一种特殊 JWT 类型的 Actor token,用于代表用户执行操作。这些 token 具有以下特征:
- 有效期固定为 24 小时;
- 包含
trustedfordelegation: true声明,表示可被用于身份伪装; - 来自 Azure ESTS 服务,且与特定租户绑定;
- 用于调用 Azure AD Graph API 等后端服务。
-
Azure AD Graph API 的租户验证缺陷:该旧版 API 未正确验证请求来源租户,导致攻击者可在自己的实验室租户中获取 Actor token 后,将其用于任意其他租户的 API 调用,实现跨租户身份冒充。
攻击影响:
- 可以以任意用户身份(包括全局管理员)访问目标租户的全部数据,包括用户信息、组与角色、应用权限、设备信息、BitLocker 密钥等;
- 可通过 Azure AD Graph API 执行任何全局管理员可做的操作,如创建新账户、授予高权限、修改策略等;
- 由于 Actor token 不受 Conditional Access 等安全策略限制,且请求不会在目标租户生成日志,因此攻击行为几乎完全无迹可寻;
- Azure AD Graph API 本身缺乏 API 级别日志记录功能,而其替代品 Microsoft Graph 的相关日志功能仍处于有限预览阶段,多数租户无法启用。
技术细节:
- Actor token 由 Exchange Online 等应用在代表用户通信时请求,通过嵌入在无签名 JWT 中发送至目标服务;
- 攻击者可在非混合部署环境下,仅通过在 Exchange Online SP 上添加凭证即可触发 token 请求;
- 该机制不仅限于 Exchange,其他 Microsoft 应用也可能使用类似机制。
安全响应:
- 作者于发现当日向 Microsoft Security Response Center(MSRC)报告;
- Microsoft 在数日内完成修复,并通过 CVE-2025-55241 公布该漏洞;
- 已阻止应用请求用于 Azure AD Graph API 的 Actor token。
检测建议:
- 作者提供 KQL 查询语句,供组织在内部环境中检测是否存在异常 Actor token 使用行为。
总结:该漏洞揭示了微软内部服务间通信机制中的深层设计缺陷,攻击者可利用其实现“无痕”跨租户完全控制,是迄今为止最严重的 Entra ID 安全漏洞之一。
HN 热度 310 points | 评论 43 comments | 作者:colinprince | 24 hours ago #
https://news.ycombinator.com/item?id=45282497
- CVE 漏洞的攻击复杂度被标记为“高”,但实际攻击只需基础管理员知识和用户 netId,通过暴力枚举即可获取,因此该评分存在争议。
- CVSS 评分在实践中常被随意调整以迎合预期结果,不应完全依赖其数值判断漏洞严重性。
- 微软已将该漏洞的攻击复杂度从“高”更新为“低”,反映出对实际攻击难度的重新评估。
- 攻击者需具备对 Entra ID 的深入理解,包括发现未公开的令牌类型并结合 Graph API 漏洞,这并非普通用户能轻易实现。
- 该漏洞暴露了系统在验证令牌来源租户时的严重缺陷,违背了基本安全设计原则。
- “Actor 令牌”作为服务间通信的根权限令牌,不受条件访问等安全策略约束,存在重大安全隐患。
- 虽然令牌本身是 JWT 格式,但其嵌套结构和双重签名设计缺乏必要性,增加了安全风险。
- 该漏洞反映出系统设计中对旧有 API 和遗留代码的过度依赖,导致新功能与旧逻辑产生不可预见的交互问题。
- 企业客户对长期支持的强制要求迫使微软必须维持旧有代码,即使其存在严重安全缺陷。
- 通过功能开关(flag)方式逐步禁用旧功能,是处理遗留系统安全问题的可行方案。
- 该漏洞的实现方式类似于“后门”,其设计逻辑令人怀疑是否存在故意留下的安全缺口。
- 该漏洞揭示了企业级云平台在权限模型设计上的根本性缺陷,服务间信任机制过于宽松。
- 与 AWS 等平台相比,微软的权限模型仍依赖长期有效的“上帝令牌”,缺乏细粒度控制。
- 服务间通信的权限管理应基于最小权限原则,而非授予无限制的根权限令牌。
- 现有安全框架普遍依赖长期有效的服务令牌,反映出整个行业在身份与访问管理上的系统性缺陷。
Hacker News 精彩评论及翻译 #
Slack has raised our charges by $195k per year #
https://news.ycombinator.com/item?id=45285280
Hi, I’m Christina, cofounder of Hack Club. We just announced this news to our community, and this post is from one of the teenagers in Hack Club. It’s an accurate description of what’s happened, and we’re grateful to them for posting. Slack changed the terms of a special deal we were given last year to charge us for staff and volunteers (not for every teenager coding), and we built programs around that special rate. Then this spring they changed the terms to every single user without telling us or sending a new contract, and then ignored our outreach and delayed us and told us to ignore the bill and not to pay as late as Aug 29
Then, suddenly, they called us 2 days ago and said they are going to de-activate the Hack Club Slack, including all message history from 11 years, unless we pay them $50,000 USD this week and $200,000 USD/year moving forward (plus additional annual fees for new accounts, including inactive ones)
For anyone reading this, we would really appreciate any way to contact people at Salesforce to discuss time to migrate because deactivating us in 5 days destroys all the work of thousands of teen coders at Hack Club and alum unnecessarily. We are not asking for anything for free. This was an underhanded process by the sales team to raise our rate exorbitantly from a qualified educational 501(c)(3) charity serving young developers or destroy all their projects, DMs and work forever. If Salesforce’s goals have changed- ok. Give us a reasonable amount of time to migrate- and don’t club us over the head like this. We have had an 11 year great relationship with Slack- and have introduced the company to many many future engineers and founders. My email if you can help us: christina@hackclub.com
casq
大家好,我是Christina,Hack Club的联合创始人。我们刚向社区宣布了这条消息,这篇帖子来自Hack Club的一位青少年。它准确地描述了发生的事情,我们非常感谢他们的发帖。
Slack更改了我们去年获得的一项特殊协议的条款,开始向我们收取员工和志愿者的费用(而不是每个编程的青少年),我们的项目都是围绕这个特殊费率建立的。然后今年春天,他们没有告知我们或发送新合同,就把条款改为向每个用户收费,之后又忽视我们的联系,拖延时间,甚至告诉我们可以忽略账单,最晚到8月29日都不用付。
突然,两天前他们打电话给我们,说要在本周支付5万美元,并且每年支付20万美元(外加新账户的年费,包括不活跃的账户),否则就要停用Hack Club的Slack,包括11年来的所有消息历史。
对任何看到这里的人,我们非常希望能有联系Salesforce人员的方式,讨论迁移时间的问题,因为5天内停用会不必要地毁掉Hack Club几千名青少年程序员和校友的所有工作。我们不是要求免费的东西。这是销售团队采取的卑鄙手段,要么让一个为年轻开发者服务的合格教育501(c)(3)慈善机构的费率大幅上涨,要么就永久毁掉他们的项目、私信和工作。如果Salesforce的目标已经改变——没问题。请给我们合理的迁移时间——别这样咄咄逼人。我们和Slack有过11年的良好关系——而且向公司介绍了许多许多未来的工程师和创始人。如果您能帮助我们,我的邮箱是:christina@hackclub.com
Slack has raised our charges by $195k per year #
https://news.ycombinator.com/item?id=45287173
Thousands of teen coders now hate Salesforce in advance. This is very shortsighted.
actionfromafar
数千名青少年程序员现在就提前讨厌Salesforce了。这非常短视。
Meta Ray-Ban Display #
https://news.ycombinator.com/item?id=45285351
Meta locked two games I already paid for - Blade & Sorcery VR and Beat Saber - behind account verification on the Quest 2. I already bought both of these, played them for a while, but now it won’t let me use the headset without “verifying” my facebook account by sending them a photograph of my drivers license. Neither of these games are online, neither allow me to interact with other users in any way.
I will never buy a Meta product again, the brand reputation is lower than dirt to me. Even ignoring all the other awful things Meta does, they have no reason to require a verified account to play two local-only games that I already paid for. No matter how cool glasses like these may look, I have no trust that the brand will not suddenly demand more money or information from me to continue using a product I have already purchased.
solid_fuel
Meta把两款我已经付了款的游戏——斩妖除魔VR(Blade & Sorcery VR)和节奏光剑(Beat Saber)——锁在了Quest 2的账户验证后面。这两款游戏我都已经买下并且玩过一段时间了,但现在,如果不通过给他们发一张我驾照照片的方式来“验证”我的脸书账户,他们就不让我使用头显。这两款游戏都不是联网游戏,也完全不允许我与其他用户有任何形式的互动。我永远不会再购买Meta的任何产品,这个品牌在我心中的声誉已经一文不值了。就算我们不谈Meta做的其他那些破事,他们也没有任何理由要求我必须有一个验证过的账户,才能玩我早已买下的这两款纯本地游戏。无论这类VR眼镜看起来多酷,我完全不信任这个品牌。我担心它会突然向我索要更多的钱或信息,才能让我继续使用自己已经买下的产品。
Meta Ray-Ban Display #
https://news.ycombinator.com/item?id=45284135
Meta Ray-Ban Display glasses are designed to help you look up and stay present. With a quick glance at the in-lens display, you can accomplish everyday tasks—like checking messages, previewing photos, and collaborating with visual Meta AI prompts
Can you imagine trying to talk to someone face to face, but they are giving you a blank stare as random notifications and tiktok videos are being beamed inbetween their eyeballs and you.
Meta seems like one of the few large tech companies where if the whole company vanished, the world would be purely a better place.
SchemaLoad
Meta Ray-Ban 显示眼镜旨在帮助你抬头看路并保持专注。只需快速瞥一眼镜片显示屏,你就能完成日常任务,例如查看信息、预览照片,以及与视觉化的 Meta AI 提示进行协作。
你能想象吗?当你试图与某人面对面交谈时,对方却面无表情地盯着你,因为各种通知和 TikTok 视频正在他们的眼球和你的眼睛之间投射。
Meta 似乎是少数几家大型科技公司之一,如果它整个公司都消失了,世界纯粹会变得更好。
Meta Ray-Ban Display #
https://news.ycombinator.com/item?id=45284125
They have a brand problem. Absolutely no way I buy anything from Meta.
JKCalhoun
他们有品牌问题。打死我也不买Meta的任何东西。