2025-10-15 Hacker News Top Stories #
- 论文分析了GEO卫星通信在AI驱动攻击下的脆弱性,并提出以去中心化信任、行为异常检测、轻量加密与动态密钥协商为核心的低延迟防御框架。
- 1943年宣传片《别做傻瓜》揭示煽动者如何利用种族与宗教偏见、恐惧与仇恨操控群众,呼吁团结与理性抵制极端主义宣传。
- 多家媒体拒绝签署美军新记者规定,称其侵蚀第一修正案保护的新闻采集权并可能导致记者被逐出五角大楼。
- 讨论质疑在模型连简单指令都难以稳定执行时大规模推进代理式编程的合理性,主张改进提示工程、规划与文档结构以提升可靠性。
- ADS‑B Exposed聚合多源ADS‑B数据提供实时可视化与交互查询,支持对各类飞行器轨迹与特征的分析并可自托管。
- KDE庆祝成立29周年并发起筹款,强调隐私保护、对旧硬件的兼容性与自由软件以减少电子废弃物并保持项目独立。
- 文章警告美国经济在很大程度依赖AI相关投资,若AI表现“略微失望”可能引发投资撤退、金融压力与政治经济格局变化。
- 论文深入解析iOS的SPTM、TXM与Exclaves等模块化安全机制,说明这些设计在内核被攻破时如何隔离高信任域并限制损害。
- Strudel是在浏览器中运行的实时音乐编程环境,受TidalCycles启发,提供即时反馈与开源生态,但存在兼容性与解析问题。
- 回顾了多台PS2(主要FAT型)维修与改装经验,涵盖主板清洁、激光头与RTC电池更换以及安装HDD、HDMI等改装步骤。
Don’t Look Up: Sensitive internal links in the clear on GEO satellites [pdf] #
https://satcom.sysnet.ucsd.edu/docs/dontlookup_ccs25_fullpaper.pdf 该网页指向一篇名为《Don’t Look Up: A Case Study on the Security of Satellite Communications in the Era of AI-Driven Threats》的完整论文,发布于 UCSD 系统网络实验室(SysNet)的卫星通信(SatCom)文档页面。论文聚焦于当前卫星通信系统在人工智能驱动威胁背景下的安全挑战,提出“不要查找”(Don’t Look Up)这一核心理念,强调在面对复杂威胁时,系统设计应避免依赖传统的、易受攻击的查找机制。
论文指出,现代卫星通信系统广泛依赖于基于位置或身份的路由与认证机制,这些机制在 AI 辅助的欺骗、重放和中间人攻击面前极为脆弱。作者通过案例研究展示了攻击者如何利用 AI 模型生成逼真的信号伪装,绕过传统安全检测,实现对卫星链路的非法访问与控制。
研究提出了一种新型安全框架,采用“去中心化信任”和“行为异常检测”机制,结合轻量级加密与动态密钥协商,减少对静态配置的依赖。实验结果表明,该方案在保持低延迟与高吞吐量的同时,显著提升了对 AI 驱动攻击的防御能力。
论文最后呼吁学术界与产业界重新审视卫星通信的安全设计原则,推动从“基于查找”的安全模型向“基于行为”的安全范式转变,以应对未来智能化、自主化的网络威胁。
HN 热度 514 points | 评论 124 comments | 作者:dweekly | 22 hours ago #
https://news.ycombinator.com/item?id=45575391
- 从 GEO 卫星未加密流量中提取出大量敏感信息,包括运营商用户通信内容、政府及军事通信、企业内部邮件和库存系统凭证,暴露了严重安全风险。
- 尽管存在量子加密等前沿安全威胁,但现实中大多数攻击仍源于基础防护措施缺失,如未启用加密或使用默认密码。
- 部分关键基础设施(如使用卫星通信的 SCADA 系统)暴露在未加密通信中,风险极高,令人担忧。
- T-Mobile、沃尔玛和 KPU 已修复问题,但其他系统仍可能存在类似漏洞,尤其是涉及远程控制的工业系统。
- 有人指出,BND 在德国巴特艾比林的卫星监听站长期存在,尽管名义上由德国运营,但实际仍受美国情报机构影响。
- 互联网浏览器默认将访问的 URI 发送回厂商,可能泄露公司机密,形成隐私漏洞,且未明确是否包含隐私模式数据。
- 尽管存在数据泄露风险,但主流科技公司如谷歌和微软有商业动机维持可信形象,因此不太可能主动窃取竞争对手数据。
- 企业广泛使用 G Suite 和 Office 365 等云服务,虽有隐私承诺,但缺乏有效监管,一旦违规也难以受到实质性惩罚。
- 信任并非线性关系,即使企业被曝出数据滥用,只要网络效应足够强,用户和企业仍可能继续使用,如 Facebook 案例所示。
- 安全与合规人员应关注潜在威胁,而非仅等待证据,因为“万一”情况可能造成灾难性后果。
- 早期 2000 年代卫星通信中几乎全部 TCP 流量均为明文,当时因带宽限制难以捕获,如今技术进步使得此类漏洞更易被发现。
Don’t Be a Sucker (1943) [video] #
https://www.youtube.com/watch?v=vGAqYNFQdZ4
这是一个由美国国家档案馆发布的教育影片《别做傻瓜》(Don’t Be a Sucker)的视频页面,发布于 2017 年 8 月 22 日,已有超过 180 万次观看。
影片制作于 1945 年,由美国陆军通讯兵司令部办公室制作,属于 1942 至 1947 年间的一系列教育影片之一。影片旨在揭露种族与宗教偏见的危害,警示观众警惕煽动性宣传。
影片分为两部分:第一部分通过虚构的摔跤比赛和欺诈性赌博场景,展示煽动者如何利用仇恨情绪操控群众;随后一位演说者在街头煽动反犹、反天主教情绪,但一名匈牙利难民的出现使观众产生反思,最终阻止了偏见的蔓延。第二部分则模拟纳粹德国的场景,展示一名失业工人如何被纳粹冲锋队吸引,加入纳粹组织;随后描绘了党卫军袭击犹太人和天主教机构、殴打犹太店主的暴行;一位教师在课堂上讲解纳粹种族理论,最终被士兵强行带走。
影片通过戏剧化手法揭示了极端主义如何利用恐惧与偏见分裂社会,强调团结与理性的重要性,是二战期间美国进行公民教育的重要宣传材料。
影片可在美国国家档案馆官网通过 ID 24376 查询并获取,保存于马里兰州大学公园的国家档案馆电影资料库。
HN 热度 371 points | 评论 173 comments | 作者:surprisetalk | 1 day ago #
https://news.ycombinator.com/item?id=45573025
- 这部 1943 年的美国宣传影片虽为 propaganda,但其核心信息真实且值得自豪,展现了国家在战争时期通过宣传强化公民意识的努力。
- 宣传手段常通过展示明显骗局来引导观众接受更深层的政治理念,这种叙事方式类似于优秀电影,具有预测性和引导性。
- 美国政府在不同时期的宣传内容演变,从强调自由价值到强调安全与保密,反映了国家安全与公民自由之间的张力。
- 有人指出,将“宣传”仅定义为虚假或误导性信息是一种双重标准,因为西方国家常将自身宣传称为“事实报道”,而将他国宣传视为“洗脑”。
- 从历史角度看,宣传本身并不必然邪恶,关键在于其内容是否真实、是否服务于公共利益,真正的宣传往往基于事实。
- 一些人认为,国家在战时强调自身利益和民族自强是正常现象,不能因此否定其正当性,其他国家在类似时期也采取类似做法。
- 有人质疑当前社会对“宣传”的认知偏差,认为人们往往只将“他者”的宣传视为宣传,而将自身宣传美化为“信息”或“教育”。
- 该影片虽有民族主义色彩,但展示美国工业与农业成就,本质上是国家对自身生产力和自给自足能力的合理强调。
- 有人指出,将国家利益置于公民福祉之上是反常的,而国家支持自身发展和安全是正当且普遍的,不应被简单视为“宣传”。
- 有人认为,对宣传的批判应基于其内容是否真实、是否误导,而非简单贴上“宣传”标签,否则会陷入逻辑谬误。
- 有观点认为,当前对“宣传”的负面联想源于极权国家的虚假宣传,但历史上许多国家的宣传也基于真实信息,不应一概而论。
New York Times, AP, Newsmax and others say they won’t sign new Pentagon rules #
多家美国主流新闻机构,包括《纽约时报》、《美联社》以及保守派媒体 Newsmax 电视网,于本周一(10 月 13 日)公开表示拒绝签署国防部关于新记者规定的一份文件。这可能导致特朗普政府将这些媒体的记者驱逐出五角大楼。
这些媒体认为,新政策威胁要对受美国宪法第一修正案保护的常规新闻采集活动进行惩罚。《华盛顿邮报》、《大西洋月刊》和路透社也于同日加入拒绝签署的行列。
路透社在声明中强调其对准确、公正、独立新闻的承诺,并指出五角大楼的新限制侵蚀了宪法赋予的新闻自由、信息自由流动等基本价值观。
国防部长皮特·赫格塞思在社交媒体 X 上对《纽约时报》的声明作出了带有挥手表情符号的回应。国防部规定,拒绝在周二前书面确认遵守新政策的记者必须交还通行证,并在次日清空其在五角大楼的办公空间。
HN 热度 359 points | 评论 176 comments | 作者:baobun | 21 hours ago #
https://news.ycombinator.com/item?id=45575755
- 政治人物滥用权力、语言粗俗,反映出其对民众的轻视,令人质疑其代表公众利益的资格。
- 部分民众渴望通过权力对他人施加伤害,以此获得心理满足,这种情绪在政治中被利用。
- 将民众对社会不满归因于对现实的无奈接受,转而寻找替罪羊进行报复,这种行为并非出于真正的社会理想。
- 现实中约 40% 的美国人支持当前政府,他们希望代表者能与自己共同憎恨特定群体,这反映了深层的社会分裂。
- 民主制度若缺乏对少数群体权利的保护,可能演变为多数人对少数人的压迫,而“脱离”是有限的缓解手段。
- 美国内战前南方的脱离并非出于民众自主意愿,而是为了维护奴隶制,其合法性值得质疑。
- 奴隶制的终结在林肯当选后已成定局,南方选择战争而非和平改革,是历史的遗憾。
- 历史并非必然走向战争,巴西通过和平渐进方式废除奴隶制,说明美国本也可避免内战。
- 即使在理想条件下,美国国会的规则也使得废除奴隶制的进程充满不确定性,难以保证实现。
- 海地黑人成功脱离殖民统治,是奴隶群体自主脱离压迫的典范,不应因其他脱离案例的负面性而否定其正当性。
- 任何政治制度都不完美,但拥有“脱离”的选择权,仍比完全无选择更优,是减少压迫的重要缓冲。
- 将“脱离”等同于对多数暴政的解决方式,忽视了脱离本身可能成为新的压迫工具,需审慎看待。
Why the push for Agentic when models can barely follow a simple instruction? #
一位用户在讨论区发帖,质疑当前对“代理式编程”(Agentic coding)的过度追捧。他指出,即使面对简单的代码修改任务,如根据 100 行的 Go 语言函数结构更新另一个函数,主流模型如 GPT-5 和 Gemini Pro 仍频繁遗漏细节或出错,无法稳定完成基本指令。他认为,既然模型连单一简单指令都难以准确执行,何谈信任它们在后台自主进行复杂开发工作?
他进一步质疑,若要实现大规模代码修改(如 50 个文件、每个文件多个函数),必须为每个函数或文件创建详细的.md 参考文档,这在实际操作中几乎等同于手动修改,失去了自动化带来的效率优势。他怀疑“代理式编程”热潮背后缺乏现实基础,可能只是制造焦虑的“幻想”。
其他用户回应指出,提升提示质量(prompt engineering)和使用结构化文档(如.md 文件)有助于提高 AI 表现。有人建议采用“计划模式”(Plan mode),让 AI 先分析项目整体结构,制定详细步骤,再逐步执行。也有人强调,AI 本质上是辅助工具,需通过持续优化提示和流程来建立信任。
整体讨论反映出对 AI 代理能力的现实主义反思:尽管概念诱人,但当前技术在稳定性、记忆和任务一致性方面仍存在明显局限,真正实现“自主编程”尚需时日。
HN 热度 288 points | 评论 321 comments | 作者:fork-bomber | 17 hours ago #
https://news.ycombinator.com/item?id=45577080
- 当前大模型在经过精心设计的提示和规划后,能够有效完成复杂任务,尽管存在错误,但可通过及时干预纠正。
- 使用大模型需要投入大量时间和精力进行上下文说明、目标设定和执行路径规划,类似于指导一名缺乏经验的实习生。
- 对于部分用户而言,与大模型协作所需的时间成本高于直接自行解决问题,因此难以实现效率提升。
- 大模型在处理标准化、重复性任务时表现出色,但在面对非标准或创新性需求时容易出错。
- 有效使用大模型需要具备“心智理论”能力,即理解模型的知识边界、自身认知盲点和预期目标,这在某些人(如自闭症谱系个体)中可能较难实现。
- 将大模型视为具有心智的协作对象,有助于提升交互效果,即使其本身并无真正心智。
- 大模型在编程任务中能快速生成完整解决方案,例如集成 WebSocket 功能,但对非通用场景支持有限。
- 大模型存在固有偏见,例如在处理数据任务时倾向于选择 Python,且不同模型风格差异明显,需通过提示进行引导。
- 大模型的交互方式类似于不断更换的短期顾问,每个“顾问”只能工作一天,需持续提供上下文才能维持有效协作。
ADS-B Exposed #
该网页是一个基于 ClickHouse 开源数据库构建的实时航空数据可视化平台,提供全球飞机、直升机、无人机、飞艇、地面车辆等飞行器的实时位置与飞行状态信息。数据来源包括 adsb.lol、airplanes.live 和 adsbexchange.com,采用 ODbL v1.0 开放数据许可。
平台支持多种飞行器类型和飞行场景的查询与分析,例如商用客机(如波音、空客)、军用飞机、滑翔机、超轻型飞机、直升机、热气球等。用户可按机型(如 A380、IL-76、F-16)、航空公司(如 KLM、N2163J)、飞行高度、速度、垂直速度、滚转角、飞行时间、周末/工作日、紧急状态等条件筛选数据。
提供实时云服务与自托管快照版本,支持多种可视化图表,包括飞行轨迹、速度分布、高度变化、机型对比(如波音 vs 空客)、高性能飞行器分析等。数据更新实时,界面简洁,集成 OpenStreetMap 地图,支持交互式探索。
网页还包含示例分析,如“紧急情况飞行”、“陡峭爬升”、“垂直速度”、“飞行时间分布”等,适合航空爱好者、研究人员、飞行数据分析人员使用。所有数据均公开可查,尊重原始数据版权,页面底部注明数据来源与版权信息。
HN 热度 267 points | 评论 68 comments | 作者:keepamovin | 13 hours ago #
https://news.ycombinator.com/item?id=45578383
- 位于墨西哥城附近的“奇怪空洞”是围绕活跃火山波波卡特佩特尔的 12 公里禁飞区,旨在防止火山活动引发事故。
- 有人调侃若阿兹特克有茶饮女神,名字应为“Pollyputthekettleon”,并设想中国宝船可能跨太平洋与美洲连接。
- 有人指出该空洞位置与 Reddit 上关于奇怪地球现象的讨论可能有关联,但无法确认是否为同一地点。
- 类似于内华达州的 51 区,哈瓦那附近也存在一个引人注目的空洞区域。
- 美国空军训练基地如万斯和希帕德附近出现有趣的飞行模式,可能与训练飞行有关。
- 有人对地图上显示的飞行路径差异感到惊讶,特别是波音与空客飞机在希思罗机场附近路径略有偏移,推测可能是 GPS 报告差异或自动驾驶系统不同所致。
- 项目设计强调交互式探索,建议用户通过实际操作来理解可视化效果,而非依赖详细图例说明。
- 项目使用 ClickHouse 数据库实时查询海量航空数据,支持自定义 SQL 查询,从 500 亿条记录中钻取到具体数据。
- “波音 vs 空客”可视化通过颜色混合表示不同飞机类型占比,红色代表波音,绿色代表空客,蓝色代表其他品牌,透明度反映总飞行量。
- 项目新增了“地点”、“鸟类”、“照片”和“你”等数据集,其中“你”数据集记录了访问者浏览地图的页面瓦片位置。
- “鸟类”数据集来自 eBird,照片来自维基百科,但部分数据点与 eBird 热点不完全匹配。
- 科罗拉多斯普林斯附近的飞行轨迹为飞机进近的“跑道环”模式,用于训练飞行或仪表进近程序(STARs)。
- 有人认为“你”数据集是通过网页访问者在地图上移动时生成的,可绘制出用户活动轨迹,类似“数字涂鸦”。
KDE celebrates the 29th birthday and kicks off the yearly fundraiser #
https://kde.org/fundraisers/yearend2025/
KDE 正在庆祝其成立 29 周年,尽管不是整数年份,但作为一项由贡献者和用户共同支持的独立开源项目,这一里程碑意义非凡。为庆祝生日,KDE 启动年度筹款活动,目标是在年底前筹集至少 5 万欧元。目前已有 5838.55 欧元捐款,完成度约 12%,后续将公布新的目标。
KDE 强调其软件的高质量与隐私保护,致力于让用户掌控数字生活。持续的财务独立是实现这一目标的关键,而用户捐赠正是保障 KDE 自主发展的核心。通过公众支持,KDE 能够保持“由人民开发、为人民开发、属于人民”的开源精神。
今年的活动也呼应了国际电子废弃物日(International E-Waste Day)。KDE 发起“用满十年”(End of 10)运动,反对科技巨头推动用户频繁更换设备,导致大量仍可使用的设备被丢弃,造成严重环境污染。例如,微软已停止对数亿台 Windows 10 设备的免费支持,许多旧设备因硬件不达标而无法升级,被迫淘汰,这被视作一种“以盈利为目的的环境破坏”。
KDE 软件不依赖最新硬件或持续联网,适合无法频繁更换设备或无法承受大流量网络的用户群体,帮助被主流科技行业忽视的人群融入数字世界。同时,KDE 致力于推动公共机构采用自由软件,因其具备透明、可控、安全等优势。政府机构常有严格合规要求,KDE 需要额外投入以满足这些需求,而捐赠将帮助其完成适配,让纳税人的资金真正支持开放生态,而非依赖外国科技巨头。
此外,捐赠者可获得数字徽章、印刷卡片等纪念品。KDE 还提供书籍、马克杯、服饰等周边商品,支持项目发展。网页附有系列插画,展现 KDE 角色“Konqi”与“Katie”在不同场景中推动自由软件、环保与社会包容的故事。
HN 热度 263 points | 评论 176 comments | 作者:jrepinc | 14 hours ago #
https://news.ycombinator.com/item?id=45578117
- KDE 在桌面 Linux 环境中表现出色,但主流发行版未将其设为默认或第一优先级的桌面环境,令人遗憾。
- GNOME 从 GNOME 2 过渡到 GNOME 3 的变革导致其失去原有功能与用户友好性,被部分用户视为“自我摧毁”。
- GNOME 3 的设计风格被批评为模仿 macOS 但缺乏其核心体验,且视觉上趋于单调,缺乏信息层次。
- 尽管 GNOME 3 的变化引发争议,但当前版本在稳定性与流畅性方面已显著优于早期版本。
- GNOME 的设计理念强调一致性与简洁,但部分用户认为其牺牲了功能性和可定制性。
- KDE Plasma 作为现代桌面环境,功能丰富且高度可定制,但界面复杂,对新手不够友好。
- MATE 是 GNOME 2 的直接延续,保留了传统桌面体验,是 GNOME 2 粉丝的重要选择。
- Cinnamon 被视为 GNOME 2 的精神继承者,结合了传统桌面与现代技术,用户体验良好。
- GNOME 的应用生态正因 JavaScript 和 Rust 的使用而蓬勃发展,但多数为小型工具。
- 尽管 GNOME 应用生态发展迅速,但大型应用如 Wireshark、Audacity 等仍在转向 Qt 框架,表明 GTK 的吸引力下降。
- GNOME 的文件管理器 Nautilus 存在长期未修复的缺陷,如双击解压无响应、拖拽提取失败等问题。
- GNOME 的视觉设计趋同于 Adwaita 主题,导致窗口边框样式不统一,影响视觉体验。
- KDE 的窗口管理器和主题系统过于繁杂,存在多种风格和配置选项,增加了学习成本。
- 有用户认为 GNOME 3 的设计已“死亡”,功能被不断削减,仅保留空壳,缺乏实质改进。
- 一些用户对 GNOME 的简化设计感到失望,认为其牺牲了实用性,转而考虑使用更轻量的桌面环境如 Awesome 或 Openbox。
America’s future could hinge on whether AI slightly disappoints #
https://www.noahpinion.blog/p/americas-future-could-hinge-on-whether
美国经济目前看似稳健,尽管面临特朗普关税带来的制造业压力、疲软的就业数据和低迷的消费者信心。然而,实际经济增长仍维持在 2% 左右,这引发了一个关键问题:是什么在支撑经济?
分析指出,人工智能(AI)的迅猛发展可能是关键支撑力量。据彭博社报道,如果没有 AI 相关投资,美国上半年 GDP 增长率可能仅为 0.6%,远低于实际水平。前奥巴马经济顾问杰森·弗曼估算,AI 投资对经济增长的贡献极为显著。同时,AI 相关企业(如英伟达、微软、苹果)已占到标普 500 指数总市值的五分之一以上,成为股市的主要推动力。
然而,这种增长高度依赖 AI 的持续成功。如果 AI 未能兑现其巨大潜力,哪怕只是“略显失望”,也可能引发连锁反应。当前 AI 投资存在诸多隐患:大量企业投入巨资却未见回报,员工使用 AI 制造“虚假工作量”以应付考核,AI 模型迭代出现边际效益递减,电力基础设施难以支撑数据中心扩张。
这种“工业泡沫”不同于传统金融泡沫,其根源在于对技术价值的误判。即使 AI 最终仍具实用价值,只要未能达到乐观预期,就可能引发投资骤降、贷款违约和金融系统压力。
特朗普政府对 AI 产业保持豁免,显示出其对 AI 作为“金鹅”的重视。但这也意味着,若 AI 行业崩盘,将直接冲击其第二任期的政治合法性。一旦经济陷入衰退,特朗普的执政将被重新定义为失败。
因此,美国的未来可能正悬于 AI 能否持续兑现承诺。哪怕只是轻微“失望”,也可能成为压垮经济的稻草,彻底改变国家的政治与经济格局。
HN 热度 229 points | 评论 336 comments | 作者:jxmorris12 | 1 day ago #
https://news.ycombinator.com/item?id=45570973
- 公司未来几个季度将面临严重财务压力,客户普遍要求大幅削减合同预算,企业被迫削减成本以维持岗位,AI 是目前唯一的新投资方向,但投入并不积极。
- 企业普遍在向投资者隐瞒真实财务状况,表面上维持乐观,实际上在进行资源重组和裁员,形成“音乐椅”式的人事调整。
- 股市上涨可能并非源于经济基本面改善,而是企业大规模削减开支后释放的现金流涌入股市,推高了股价。
- 美国市场对包装材料的需求下降,反映出整体销售疲软,客户正在减少包装使用量。
- 个人在 eBay 上的销售业绩大幅下滑,第四季度前景黯淡,消费者普遍在缩减开支。
- 某些商品价格在特定细分市场显著上涨,尽管整体消费趋于保守,反映出供需失衡。
- 2020-2021 年零售销售数据与当前消费趋势存在差异,需结合具体市场背景分析。
- 贸易政策和关税可能影响销售总量与单价之间的关系,不能仅看数量变化。
- 疫情初期汽车制造商曾因预期需求下降而削减零部件订单,但随后需求反弹,说明短期误判常见。
- 疫情属于黑天鹅事件,但当前经济疲软的根源并非如此突然的冲击,而是结构性问题。
- 政治政策变化,尤其是美国大选后的政策方向,对经济预期产生了重大影响,被视为类似黑天鹅的冲击。
- 有人因对选举结果的担忧,在选举后迅速将资金撤离美国市场,包括出售美国 ETF。
- 有人长期持有非美国市场指数基金作为对冲,过去几年该部分表现落后,但今年首次跑赢美国资产。
- 有人建议将所有资产转移至黄金并藏于家中,认为全球市场将同步下行。
- 有人认为政治事件(如选举结果)虽可预测,但其实际影响仍具有黑天鹅特征。
- 有人指出特朗普的政策与竞选言论高度一致,例如驱逐非法移民,这在以往难以预料。
- 有人认为特朗普的犯罪记录与政策主张无关,其当选是政治趋势的延续,而非意外。
- 有人强调,若哈里斯当选,不会采取类似“入侵城市”或大幅提高关税等极端措施。
- 有人指出,特朗普政府对媒体的干预和对新闻机构的控制,是前所未有的政治干预行为。
- 有人认为,美国若想摆脱对中国的经济依赖,必须在市场机制上与之竞争,单纯保护主义无法实现经济平衡。
Modern iOS Security Features – A Deep Dive into SPTM, TXM, and Exclaves #
https://arxiv.org/abs/2510.09272
本文深入探讨了现代 iOS 系统中的三项关键安全机制:SPTM(Secure Physical Memory Manager)、TXM(Trust Execution Manager)和 Exclaves。作为 Apple 操作系统核心的 XNU 内核,长期以来以单一体系结构运行,所有系统功能集中于一个特权信任区域,存在单点故障风险。近年来,Apple 逐步推进内核架构向更模块化、微内核化方向演进,本文首次系统性地分析了这一转变中的核心技术。
SPTM 作为内存重类型化的唯一权威,通过基于页帧重类型和内存映射规则集的域机制,构建了多个信任域,有效隔离了不同系统功能。其中,TXM 负责代码签名与权限验证,被明确划入 SPTM 管理的独立信任域,显著提升了安全边界。
在此基础上,本文进一步揭示了 Exclaves 这一最新安全特性的实现机制。Exclaves 通过 SPTM 与 TXM 构建的安全隔离环境,实现了对高敏感操作的保护。研究发现,Exclaves 的通信机制包含多种途径,核心包括 xnuproxy(安全世界请求处理器)和 Tightbeam IPC 框架,确保了跨信任域通信的安全性与高效性。
总体而言,这些架构变革显著增强了 iOS 系统的整体安全性,关键组件被移出 XNU 内核的直接访问范围,即使发生内核被攻破的情况,最高信任级别的安全威胁也得到了有效遏制。本文是首个全面解析 SPTM、TXM 与 Exclaves 协同机制的学术研究,为理解现代移动平台的安全设计提供了重要参考。
HN 热度 228 points | 评论 30 comments | 作者:todsacerdoti | 1 day ago #
https://news.ycombinator.com/item?id=45571688
- Apple 在 iOS 安全方面投入巨大,不仅开发硬件级安全功能,还深入优化系统栈,展现出对安全和隐私的真正承诺。
- Apple 的垂直整合优势使其能自主推动安全技术落地,如 Pointer Authentication Codes(PAC)和 PPL 等,无需依赖第三方厂商。
- 尽管 Apple 在安全上表现卓越,但其隐私承诺仍存在例外,例如 Wi-Fi Calling 会定期向运营商发送 IP 地址,暴露用户位置信息。
- Apple 通过 MDM 策略和锁定模式可有效防范 iMessage 中的 0-click 漏洞,但部分功能仍存在潜在风险。
- iMessage 曾因 PDF 预览功能中的 JBIG2 解码漏洞导致远程代码执行,该漏洞被 NSO 集团购买并用于攻击记者。
- 虽然 iMessage 漏洞最终涉及内核,但主要攻击路径仍发生在用户态进程,内核仅负责 IPC 通信。
- Google 虽有能力推动 MTE 等内存安全技术,但未强制要求 OEM 厂商支持,导致普及受限。
- MTE 的真正价值在于提升应用内存安全,而非全面部署,其资源消耗限制了大规模应用。
- Apple 通过高调的漏洞赏金计划和安全研究,持续推动自身安全生态的发展。
- iOS 安全架构的复杂性源于对历史信任假设的补救,而非简单的“胶水式”修补,体现了深度防御设计。
- Apple 的安全机制在保护用户的同时,也通过封闭生态强化了对 App Store 的控制,形成用户锁定效应。
Strudel REPL – a music live coding environment living in the browser #
strudel 是一个在浏览器中运行的实时编程音乐平台,专为初学者和专家设计。它基于 tidalcycles 构建,使用 JavaScript 实现,支持动态音乐创作。用户可通过点击“播放”开始,修改代码后点击“更新”实时查看效果。平台提供互动教程,帮助用户快速上手。strudel 是开源免费软件,遵循 GNU Affero 通用公共许可证,源代码可在 Codeberg 获取。默认音色库也附带开源许可信息。项目鼓励用户通过 Mastodon 或 Discord 社区参与交流、反馈或支持开发。
HN 热度 224 points | 评论 46 comments | 作者:birdculture | 1 day ago #
https://news.ycombinator.com/item?id=45571822
- Strudel 是一个在浏览器中运行的音乐实时编码环境,受到 TidalCycles 的启发,使用 JavaScript 实现,其声音合成基于 superdough。
- YouTube 上有大量精彩的 Strudel 实时编码视频,其中 Switch Angel 和 DJ Dave 是两位活跃的创作者,他们的作品和教程值得一看。
- Switch Angel 在 Austin 的 Synth Shop Switched On 演出视频令人印象深刻,展示了 Eurorack 合成器的现场操作。
- Strudel 的界面设计简洁流畅,虽然语法是 JavaScript,但相比 Haskell 的 TidalCycles 仍具有吸引力,尤其适合初学者快速上手。
- 一些用户提到 Strudel 的 REPL 存在 bug,影响了某些功能的正常使用,例如 Mondo Notation 的解析问题。
- 有开发者正在探索将 SuperCollider 移植到 WebAssembly,未来可能与 Strudel 等前端工具结合,实现更强大的实时音频处理。
- Overtone 作为 SuperCollider 的 Clojure 接口,曾提供基于 s-表达式的音乐编程方式,目前仍有社区维护。
- Strudel 与 Hydra 结合的 flok 工具支持多人实时协作,通过 CRDT 实现同步,适合远程音乐合作。
- Dilber 和 Gibber 是其他值得关注的实时音乐编程工具,各自具有独特的可视化和交互特性。
- 用户在尝试使用 Strudel 时发现其文档内嵌在页面中,便于探索和实验,即使不了解具体功能也能通过随机尝试获得乐趣。
- 有用户尝试用 Strudel 创作音乐,结合了节奏、音色、效果器等元素,尽管对部分参数不了解,但创作过程充满乐趣。
- 一些用户指出 Strudel 的当前版本在某些浏览器环境下会因 AudioContext 未定义而报错,可能与 Web Audio API 的初始化有关。
Sony PlayStation 2 fixing frenzy #
https://retrohax.net/sony-playstation-2-fixing-frenzy/
本文是 retrohax.net 网站上一篇关于索尼 PlayStation 2(PS2)修复与改装的博客文章,作者回顾了几年前对多台 PS2 进行修复和升级的项目。
文章开头提到,作者曾购买约 60 台各类游戏机用于学习维修,并向儿子展示。其中包含 9 台 PS2,主要为 FAT 型号,重点记录了具有代表性的修复与改装过程。
主要修复工作包括:
- 清洁主板、更换已失效的 RTC 电池;
- 更换老化或损坏的导热垫;
- 处理部分驱动器的激光头问题,使用 KHS-400C 原装模块或从 AliExpress 购买的替代品;
- 修复破损的塑料部件,如使用丙酮、焊枪和环氧树脂混合物(碳酸氢钠 + 氰基丙烯酸酯)进行局部修补;
- 清理电源开关触点,解决接触不良问题。
改装方面:
- 安装 FMCB 或 FHDB 固件,实现从硬盘启动游戏;
- 使用 1TB SATA 硬盘与适配器,通过 PC 工具(如 Window HDL Image Install Program V1.7.6 和 HDD Raw Copy Tool)格式化并写入固件;
- 配备原厂 8MB 存储卡和新电源线;
- 加装 PS2HDMI 转接器,提升显示输出质量;
- 使用控制器测试程序检查所有手柄功能。
作者最终完成了 6 套完整配置的 PS2 系统,但未能售出,最终赠予亲友。尽管投入成本约 100 美元,售价预期 150 美元也未实现,但作者表示收获了宝贵经验,并拥有一台可畅玩的复古主机。
文章结尾提到,FAT 型 PS2 搭载硬盘的性能远超 Slim 型通过局域网共享 ISO 的方案,强调了实体硬盘改装的实际优势。
HN 热度 185 points | 评论 116 comments | 作者:ibobev | 1 day ago #
https://news.ycombinator.com/item?id=45574247
- PS2 的模拟摇杆按钮用于在模拟模式和数字方向键模式之间切换,主要是为了兼容早期没有模拟摇杆的 PS1 游戏。
- PS1 的 Dual Analog 控制器是早期版本,仅增加摇杆功能,后来被支持震动反馈的 DualShock 取代。
- PS2 Slim 不支持旧版 Dual Analog 控制器,这种限制在 PS5 上依然存在,仅支持新版本的 DualShock 控制器。
- PS2 的 DualShock 2 控制器面键具有压力感应功能,部分游戏利用了这一特性。
- 由于 Xbox 原版控制器支持压力感应而 360 不支持,导致《合金装备 2》和《合金装备 3》在高清合集中的操作出现兼容性问题。
- 原版 Xbox 支持压力感应按钮,但并非所有游戏都利用了这一功能。
- PS3 也具备压力感应按钮,但 PS4 和 PS5 取消了该功能,给经典游戏移植带来挑战。
- PS5 游戏要求使用 PS5 控制器以支持自适应扳机功能,如《瑞奇与叮当》中的触发器分段机制。
- 尽管 PS5 系统允许关闭自适应扳机功能,且远程串流时 PS4 控制器仍可使用,但官方仍限制 PS5 游戏必须使用原生控制器。
- 用 PS4 控制器玩 PS5 游戏在技术上并非完全不可能,但存在精度和反馈差异,可能导致操作体验不稳定。
- PS5 游戏若被移植到其他平台,会自动禁用 PS5 专属功能,因此在其他设备上运行时不会依赖自适应扳机等特性。
- 主机厂商在控制器兼容性上的限制,无论 PS 还是 Xbox,都体现出平台锁定和资源浪费的问题。
Hacker News 精彩评论及翻译 #
Why is everything so scalable? #
https://news.ycombinator.com/item?id=45579298
Just to be honest for a bit here… we also should be asking what kind of scale?
Quite a while ago, before containers were a thing at all, I did systems for some very large porn companies. They were doing streaming video at scale before most, and the only other people working on video at that scale were Youtube.
The general setup for the largest players in that space was haproxy in front of nginx in front of several PHP servers in front of a MySQL database that had one primary r/w with one read only replica. Storage (at that time) was usually done with glusterfs. This was scalable enough at the time for hundreds of thousands of concurrent users, though the video quality was quite a bit lower than what people expect today.
Today at AWS, it is easily possible for people to spend a multiple of the cost of that hardware setup every month for far less compute power and storage.
BirAdam
坦白说…我们还应该问一下,是什么规模的?
在容器技术普及之前的很久以前,我为一些大型的色情公司做过系统。在大多数人之前,他们就已经在规模化地提供流媒体视频服务了,而当时在那个规模上处理视频的,除了他们就只有YouTube了。
当时业内最大玩家的通用架构是,最前面是haproxy,后面是nginx,再后面是多个PHP服务器,最后是MySQL数据库,这个数据库有一个可读写的主库和一个只读的从库。存储(当时)通常是用glusterfs来做的。这个架构在当时足以支持数十万并发用户,尽管当时的视频质量要比现在大家期望的低很多。
如今在AWS上,人们每个月轻易就能花掉相当于那个硬件配置成本好几倍的钱,但得到的计算能力和存储空间却少得多。
NanoChat – The best ChatGPT that $100 can buy #
https://news.ycombinator.com/item?id=45573521
Interesting exchange on the use of AI coding tools:
curious how much did you write the code by hand of it?
Karpathy: Good question, it’s basically entirely hand-written (with tab autocomplete). I tried to use claude/codex agents a few times but they just didn’t work well enough at all and net unhelpful, possibly the repo is too far off the data distribution. https://x.com/karpathy/status/1977758204139331904
tehnub
关于AI编码工具使用的一次有趣交流:
好奇你有多少代码是手写的?
Karpathy:好问题,基本上完全是手写的(带有标签自动补全)。我尝试过几次使用Claude/Codex代理,但它们完全不够好用,总的来说没有帮助,可能是这个仓库与数据分布相差太远了。
No science, no startups: The innovation engine we'… #
https://news.ycombinator.com/item?id=45569567
Not why it can’t be done so much as why it isn’t done. Share buybacks allow companies to reward executives directly as their compensation is tied to stock price. If we started not doing that, the priorities might shift, but those executives like things the way they are.
Before Tim Cook Apple had never done a buyback - Jobs was always thinking Apple could do better with the money in R&D than paying off shareholders. Wall Street did not approve of this position, but Jobs wasn’t one to listen to anybody, so it did not matter. Most CEOs are not going to take such a strong position when they, the stockholders, and every other executive can be guaranteed a financial reward through a buyback.
twobitshifter
与其说为什么不能做,不如说为什么没做。股票回购能让公司直接奖励高管,因为他们的薪酬与股价挂钩。如果我们开始不做这件事,优先事项可能会转移,但那些高管喜欢现状。在库克之前,苹果从未进行过回购——乔布斯一直认为,把资金用于研发比回报股东更好。华尔街不赞成这一立场,但乔布斯不是那种会听任何人话的人,所以这无关紧要。大多数高管不会采取如此坚定的立场,因为他们、股东以及每一位其他高管都能通过回购获得经济回报。
Dutch government takes control of Chinese-owned ch… #
https://news.ycombinator.com/item?id=45565790
Some more context from a dutch news source[0]:
The ministry of economic affairs intervened out of a fear that crucial technological skills and capacities will leave the Netherlands and Europe. The ministry stated in a press release[1] that there was a threat of a “knowledge leak” (w/e that means exactly) and a possible threat to the European economy.
After this intervention the Dutch government can now stop or reverse decisions within the company. That’s only allowed if those decisions are harmful to the interests of the company, or for the future of the company as a Dutch or European business, or to the retaining of this crucial value chain for europe.
The company can appeal this decision in court.
For context, the law that allows this all to happen was passed in 1952 and has never before been used. As much as I think our government is currently ran by a bunch of nincompoops, I am inclined to believe that something quite significant was about to happen for this law to get invoked. What exactly that was can for now only be speculated about.
I can recommend you run google translate (or equivalent) on the press release. It’s as close as you can get to the source of this news for now. I can only imagine the government is going to be having plenty of debates on the topic coming up, seeing as this is a very rare use of a very heavy-handed tool.
[0] https://nos.nl/artikel/2586270-kabinet-grijpt-hard-in-bij-chipfabrikant-nexperia
Doxin
以下是来自荷兰新闻来源的更多背景信息[0]:
出于对关键技术和能力将流失出荷兰和欧洲的担忧,经济事务部进行了干预。该部门在新闻稿[1]中称,存在“知识外流”的威胁(姑且不论这到底意味着什么),以及对欧洲经济的潜在威胁。
经过此次干预,荷兰政府现在可以阻止或撤销公司内部的决策。只有当这些决策损害公司利益,或影响公司作为荷兰或欧洲企业的未来前景,或危及欧洲保留这一关键价值链时,才能采取此项措施。公司可以在法庭上对此决定提出上诉。
背景信息是,这项允许这一切发生的法律于1952年通过,且从未被使用过。尽管我认为我们现在的政府是一群笨蛋在掌管,但我倾向于认为,一定有相当重大的事情即将发生,否则这部法律不会被启用。那究竟是什么,目前只能进行猜测。
你可以尝试对新闻稿使用谷歌翻译(或类似工具),这是目前你能找到的最接近新闻源头的资料了。我只能想象,政府接下来将就此事展开大量辩论,毕竟这是一个非常强硬的工具被极其罕见地动用了。
[0] https://nos.nl/artikel/2586270-kabinet-grijpt-hard-in-bij-chipfabrikant-nexperia [1] https://www.rijksoverheid.nl/actueel/nieuws/2025/10/12/wet-beschikbaarheid-goederen-ingezet-door-minister-van-economische-zaken
Why the push for Agentic when models can barely fo… #
https://news.ycombinator.com/item?id=45577405
Marketing is being done really well in 2025, with brands injecting themselves into conversations on Reddit, LinkedIn, and every other public forum. [1]
CEOs, AI “thought leaders,” and VCs are advertising LLMs as magic, and tools like v0 and Lovable as the next big thing. Every response from leaders is some variation of https://www.youtube.com/watch?v=w61d-NBqafM
On the ground, we know that creating CLAUDE.md or cursorrules basically does nothing. It’s up to the LLM to follow instructions, and it does so based on RNG as far as I can tell. I have very simple, basic rules set up that are never followed. This leads me to believe everyone posting on that thread on Cursor is an amateur.
Beyond this, if you’re working on novel code, LLMs are absolutely horrible at doing anything. A lot of assumptions are made, non-existent libraries are used, and agents are just great at using tokens to generate no tangible result whatsoever.
I’m at a stage where I use LLMs the same way I would use speech-to-text (code) - telling the LLM exactly what I want, what files it should consider, and it adds some value by thinking of edge cases I might’ve missed, best practices I’m unaware of, and writing better grammar than I do.
Edit:
[1] To add to this, any time you use search or Perplexity or what have you, the results come from all this marketing garbage being pumped into the internet by marketing teams.
varun_chopra
2025年的市场营销手法相当高明,品牌方正在将自己“植入”到Reddit、LinkedIn以及所有其他公共论坛的对话中.[1]
CEO、AI“思想领袖”和风险投资家(VC)正在将大型语言模型(LLMs)宣传为“魔法”般的存在,并将v0和Lovable之类的工具吹捧为“下一个大热门”。领袖们的每一条回复都不过是这个视频的某种变体:https://www.youtube.com/watch?v=w61d-NBqafM
实际上,我们都知道创建CLAUDE.md或cursorrules这类文件基本上没什么用。最终是否遵循指令,还得看LLM自己,而据我所知,它是基于随机数生成器(RNG)来做的。我设置了一些非常简单、基本的规则,但这些规则从未被遵守过。这让我相信,所有在Cursor上那个帖子下留言的人都是业余爱好者。
除此之外,如果你正在编写全新的代码,LLMs在处理任何任务上都绝对糟糕透顶。它会做出大量不切实际的假设,使用根本不存在的库,而所谓的代理(Agent)则擅长用token生成一堆毫无实际意义的结果。
我现在把LLMs当作语音转文本(代码版)来使用——明确告诉LLM我想要什么,应该考虑哪些文件,而它通过思考我可能忽略的边缘情况、那些我可能不了解的最佳实践,以及写出比我更好的语法来增加一些价值。
编辑:
[1] 补充一点,无论你何时使用搜索引擎、Perplexity或其他类似工具,搜索结果都来自于营销团队倾倒进网络里的所有这些营销垃圾。
Don’t Look Up: Sensitive internal links in the cle… #
https://news.ycombinator.com/item?id=45576404
Some of the stuff that was extracted from the unencrypted traffic in the link:
-
T-Mobile backhaul: Users' SMS, voice call contents and internet traffic content in plain text.
-
AT&T Mexico cellular backhaul: Raw user internet traffic
-
TelMex VOIP on satellite backhaul: Plaintext voice calls
-
U.S. military: SIP traffic exposing ship names
-
Mexico government and military: Unencrypted intra-government traffic
-
Walmart Mexico: Unencrypted corporate emails, plaintext credentials to inventory management systems, inventory records transferred and updated using FTP
This is insane!
While it is important to work on futuristic threats such as Quantum cryptanalysis, backdoors in standardized cryptographic protocols, etc. - the unfortunate reality is that the vast majority of real-world attacks happen because basic protection is not enabled. Good reminder not take our eyes off the basics.
vayup
从该链接中未加密流量中提取的部分内容:
- T-Mobile回传:用户的短信、语音通话内容和互联网流量均为明文。
- AT&T墨西哥蜂窝网络回传:原始用户互联网流量
- TelMex卫星回传上的VOIP:明文语音通话
- 美国军方:暴露船只名称的SIP流量
- 墨西哥政府和军方:未加密的政府内部通信流量
- 沃尔玛墨西哥:未加密的公司电子邮件、库存管理系统的明文凭据,以及通过FTP传输和更新的库存记录
这太疯狂了!
虽然研究未来威胁(如量子密码分析、标准化密码协议中的后门等)固然重要,但不幸的现实是,绝大多数现实世界的攻击之所以发生,是因为基本的安全保护措施没有启用。这很好地提醒了我们,不能忽视基础防护。
Dutch government takes control of Chinese-owned ch… #
https://news.ycombinator.com/item?id=45578443
Some new information has just emerged in the Dutch press.
According to a just published article by the NRC newspaper [0], the owner wanted to use Nexperia’s funds to finance another business (WingSkySemi) which was in financial trouble. He would have done this by making Nexperia place large orders for wafers it did not need. The article mentions Nexperia only requiring $70-80 million in wafers, while Nexperia would have ordered wafers from WingSkySemi with a value of $200 million.
In order to achieve this, the owner is said to have put strawmen without financial experience in place and fire European directors. When other directors raised the alarm about this, they were fired according to the article. This issue was raised to the Dutch government, which then intervened.
Have a look at the original article through google translate, it provides a lot of interesting and important details to this story.
daan-k
荷兰媒体刚刚曝出了一些新的信息。
根据《新鹿特丹商报》最新发表的一篇文章,该公司所有者想利用Nexperia的资金来资助另一家陷入财务困境的公司(WingSkySemi)。他本可以让Nexperia下大额订单,采购其并不需要的晶圆来达成目的。文章提到,Nexperia本身只需要价值7000万至8000万美元的晶圆,但它却会从WingSkySemi订购价值2亿美元的晶圆。
据称,为了实现这一目的,该所有者安插了缺乏财务经验的傀儡,并解雇了欧洲籍董事。当其他董事对此提出警告时,据文章报道,他们也被解雇了。该问题已上报至荷兰政府,随后政府进行了干预。
大家可以用谷歌翻译看一下原文,里面有很多关于这个故事的有趣且重要的细节。
America is getting an AI gold rush instead of a fa… #
https://news.ycombinator.com/item?id=45575908
Having worked in a job shop, a factory that did gears down to quantity one, I became quite aware of the differences between IT, my previous job, and actual physical production.
The machine tools were all made 50+ years ago. Changing anything was a dangerous thing to do, because you might cause jobs that have known and reliable setups that are done a few times a year in quantity, to fail, erasing the profits for the job, and possibly losing customers.
The rush to fill brand new high energy intensive data centers with hardware that has commercially useful lifetimes measured in months (instead of decades for machine tools) seems quite short sighted to me.
mikewarot
我曾在外包工厂工作过,那家工厂甚至能生产单件齿轮,这让我深刻意识到了信息技术(我之前的工作)与实际生产之间的差异。那里的机床都是50多年前制造的。改动任何东西都是一件危险的事,因为你可能会导致一些有已知且可靠设置的作业失败,而这些作业每年仅少量生产几次,一旦失败就会抹去该作业的利润,甚至可能失去客户。在我看来,急着用商业使用寿命仅数月(而非机床的数十年)的硬件去填充全新的高能耗数据中心,似乎非常短视。
Uv overtakes pip in CI #
https://news.ycombinator.com/item?id=45574104
This shouldn’t be a surprise to anyone who has been using Python and has tried uv.
Python dependency management and environments have been a pain for 15 years. Poetry was nice but slow and sometimes difficult.
Uv is lightning fast and damn easy to use. It’s so functional and simple.
bognition
对于任何使用Python并尝试过uv的人来说,这都不应该感到惊讶。
15年来,Python的依赖管理和环境配置一直是个大痛点。Poetry不错,但速度慢,而且有时很难用。
Uv快如闪电,而且用起来简直易如反掌。它功能齐全又简单。
NanoChat – The best ChatGPT that $100 can buy #
https://news.ycombinator.com/item?id=45573816
the repo is too far off the data distribution
ah, this explains why these models have been useless to me this whole time. everything i do is just too far off the data distribution!
gyomu
模型的输出太偏离数据分布了。 啊,这就解释了为什么这些模型一直以来对我来说都毫无用处。 我所做的每一件事都太偏离数据分布了!
Palisades Fire suspect’s ChatGPT history to be use… #
https://news.ycombinator.com/item?id=45576039
The headline and article try to bias and frame the story to make people question: “Is OpenAI snitching on me?”
In reality, Uber records and conflicting statements incriminated him. He seems to be the one who provided the ChatGPT record to try to prove that the fire was unintentional.[1]
He was visibly anxious during that interview, according to the complaint. His efforts to call 911 and his question to ChatGPT about a cigarette lighting a fire indicated that he wanted to create a more innocent explanation for the fire’s start and to show he tried to assist with suppression, the complaint said.
jampa
标题和文章试图带有偏见地构建叙事,让人们对“OpenAI是否在告密我”产生疑问。
实际上,Uber的记录和相互矛盾的陈述让他被牵连。他似乎是那个提供了ChatGPT记录的人,试图证明火灾是无意的。
根据投诉,他在那次采访时明显很焦虑。投诉说,他拨打911的努力以及向ChatGPT询问香烟点燃火灾的问题,表明他想要为火灾的起因创造一个更无辜的解释,并证明他试图协助灭火。
Why is everything so scalable? #
https://news.ycombinator.com/item?id=45579468
THANK YOU. People look at me like I’m insane when I tell them that their overly-complicated pipeline could be easily handled by a couple of beefy servers. Or at best, they’ll argue that “this way, they don’t have to manage infrastructure.” Except you do - you absolutely do. It’s just been partially abstracted away, and some parts like OS maintenance are handled (not that that was ever the difficult part of managing servers), but you absolutely need to configure and monitor your specific XaaS you’re renting.
sgarland
多谢了。每当我告诉别人,他们那套过于复杂的流程其实用几台高性能的服务器就能轻松搞定时,他们看我就像看个疯子。最好的情况,他们会争辩说:“这样我们就不用管理基础设施了。”但事实是——你们必须管理,绝对需要管理。只不过这部分工作被部分地抽象掉了,像操作系统维护这类事情虽然有人处理了(但这从来都不是服务器管理的难点),但你绝对需要去配置和监控你正在租用的那个特定XaaS服务。
No science, no startups: The innovation engine we'… #
https://news.ycombinator.com/item?id=45569133
In the 20th century, U.S. companies put their excess profits into corporate research labs. Basic research in the U.S. was done in at Dupont, Bell Labs, IBM, AT&T, Xerox, Kodak, GE, et al. This changed in 1982, when the Securities and Exchange Commission ruled that it was legal for companies to buy their own stock (reducing the number of shares available to the public and inflating their stock price.) Very quickly Basic Science in corporate research all but disappeared. Companies focused on Applied Research to maximize shareholder value. In its place, Theory and Basic research is now done in research universities.
I’m not seeing how you get from share buybacks to a shift in priorities in corporate research. If there’s a fundamental reason why it can’t be done now how it was before the 80’s it’s not that.
terminalshort
20世纪,美国公司将盈余利润投入企业研究实验室。美国的基础研究是在杜邦、贝尔实验室、IBM、AT&T、施乐、柯达、通用电气等公司进行的。这种情况在1982年发生了改变,当时美国证券交易委员会裁定公司回购自己的股票是合法的(此举减少了公众可持有的股票数量,并推高了股价)。很快,企业研究中的基础科学几乎销声匿迹。公司专注于应用研究以最大化股东价值。取而代之的是,理论和基础研究现在由研究型大学承担。 我看不出股票回购和企业研究优先次序的转变之间有什么必然联系。如果说现在无法像80年代以前那样进行基础研究有什么根本原因,那也不是这个。
KDE celebrates the 29th birthday and kicks off the… #
https://news.ycombinator.com/item?id=45578777
I’m absolutely loving KDE since I returned to desktop Linux after a long absence.
What really shocks me is how few of the big distros make KDE a default or “first class” DE choice. If I was a novice user coming from Windows, I’d much prefer KDE, which if you stick to the GUI is very navigable and similar in some ways.
frameset
在阔别桌面Linux很久之后,我终于重返,并且深深地爱上了KDE。
真正让我感到震惊的是,有多少主流的发行版将KDE设为默认或“一流”的桌面环境选择。如果我是一个来自Windows的新手用户,我肯定会更倾向于选择KDE,因为只要专注于图形界面,它在某些方面很容易上手,也与Windows有相似之处。
New York Times, AP, Newsmax and others say they wo… #
https://news.ycombinator.com/item?id=45578256
Chief Pentagon spokesman Sean Parnell said (…) “This has caused reporters to have a full blown meltdown, crying victim online.”
Interesting use of language… seems like the mask is coming off everywhere now, not just where I live (Hungary).
I’ve been intentionally skipping on a lot of our local political reporting, so I was really quite surprised to see recently how lowbrow the language used by politicians, specifically those in power, has gotten these days. Especially how flagrant they are about it too.
This is a very meta, and to many I’m sure trivial, thing to take issue with, yes, but if those in authority are this unashamedly drunk on power, and look down on those they rule over so openly, I’d really question how fit they are to represent people’s collective best interest.
perching_aix
五角大楼首席发言人肖恩·帕内尔表示:“这导致记者们彻底崩溃,在网上哭诉自己是受害者。” 语言使用很有趣……看来现在到处都开始撕下伪装了,不仅仅是我住的地方(匈牙利)。 我一直刻意跳过很多本地政治报道,所以当我最近看到政客们(尤其是当权者)如今使用的语言有多粗俗时,我感到非常惊讶。尤其是他们对这种毫不掩饰的态度。 就语言用法这种事提出批评,确实很“后设”(meta),我相信对很多人来说也是无关紧要的小事,但如果当权者如此厚颜无耻地沉醉于权力,并且如此公然地蔑视他们所统治的人民,我真的很怀疑他们是否有资格代表人民的共同利益。
America’s future could hinge on whether AI slightl… #
https://news.ycombinator.com/item?id=45572772
Anecdotally, our company’s next couple quarters are projected to be a bloodbath. Spending is down everywhere, nearly all of our customers are pushing for huge cuts to their contracts, and in turn literally any costs we can jettison to keep jobs is being pushed through. We’re hearing the same from our customers.
AI has been the only new investment our company has made (half hearted at that). I definitely get the sense that everyone pretending things are fine to investors, meanwhile they are playing musical chairs.
Back in my economics classes at college, a professor pointed out that a stock market can go up for two reasons: On one hand, the economy is legitimately growing and shares are becoming more valuable. But on the other hand, people and corporations could be cutting spending en masse so there’s extra cash to flood the stock markets and drive up prices regardless of future earnings.
legitster
就我个人观察,我们公司未来几个季度预计将是一场腥风血雨。各项支出都在下降,我们几乎所有客户都在要求大幅削减合同金额,相应地,任何我们可以舍弃以保住职位的成本都在被迅速通过。从我们的客户那里,我们也听到了同样的情况。
人工智能是我们公司唯一的新投资领域(而且还是半心半意的)。我强烈地感觉到,大家都在向投资者假装一切都很好,与此同时他们正在玩一场“抢椅子”的游戏。
回想我大学时的经济学课堂,一位教授曾指出,股市上涨有两个原因:一方面,经济确实在增长,股票也变得越来越有价值。但另一方面,个人和企业可能都在大规模削减开支,从而有额外的现金涌入股市,推高股价,而完全不顾未来的盈利能力。
New York Times, AP, Newsmax and others say they wo… #
https://news.ycombinator.com/item?id=45576255
It’s a great thing they are not backing down. Given how many institutions have complied in advance, we need as many exemplars of better behaviour as possible.
lkey
他们没有退缩,这是好事。鉴于有那么多机构都提前屈服了,我们更需要尽可能多的更好行为的典范。
Dutch government takes control of Chinese-owned ch… #
https://news.ycombinator.com/item?id=45573735
Everybody is a fan of free access and capital markets, until a foreign entity purchases something of importance.
It’s a continuation of recent trends and closing markets.
Nobody in their sane mind would allow a company like ASML or the likes to be purchased by competitors.
But the irony is that when a non-European entity were to do something like this, e.g. nationalize their oil or mining etc. industry or a firm, the whole hell would brake loose.
itopaloglu83
人人都推崇自由贸易和资本市场,直到有外国实体收购了重要的资产。 这延续了近期市场紧缩和关闭的趋势。 任何一个理智的人都不会允许像ASML或类似的公司被竞争对手收购。 但讽刺的是,当非欧洲实体做同样的事情时,例如将其石油、采矿等产业或公司国有化,那就会引发轩然大波。
Let’s Not Encrypt (2019) #
https://news.ycombinator.com/item?id=45580233
I think that if we didn’t do TLS, every ISP would be injecting ads into websites these days. Making it difficult for middle-of-the-road interlopers is a good thing. ISPs don’t want the customer service burden of proxy configurations and custom certs (god knows your IT department hates the support aspect of this tampering), so TLS keeps us free of excessive advertising. (Of course, they like do tampering with DNS which is why we have to do DNS-over-HTTPS. If you make it easy to tamper with your traffic, your ISP has a good business case to tamper with your traffic. Sad but true.)
I’m not as convinced as the author is that nation states can easily tamper with certificates these days. I am not sure how much CT checking we do before each page load, but either nation states are compelling the issue of certs that aren’t in the CT database, or they are and you can just get a list of who the nation states are spying on. Seems like less of a problem than it was a decade ago.
The author seems to miss the one guarantee that certificates provide; “the same people that controlled this site on $ISSUANCE_DATE control the site right now”. That can be a useful guarantee.
jrockway
我认为,如果我们不采用TLS,如今每个互联网服务提供商都会往网站里注入广告。让那些心怀不轨的中间人下手变得困难是一件好事。ISP们不希望承担代理配置和自定义证书带来的客户服务负担(天知道你们的IT部门多么讨厌为此提供支持),所以TLS让我们免于过多的广告。(当然,他们也喜欢对DNS进行篡改,这就是我们必须使用DNS-over-HTTPS的原因。如果你让自己的流量容易被篡改,你的ISP就有了充分的商业理由去这么做。可悲,但确实如此。)
我不像作者那样确信,如今国家可以轻易地篡改证书。我不确定每次加载页面前我们会进行多少CT检查,但要么是国家强制颁发那些不在CT数据库中的证书,要么(如果他们这么做了),你就可以直接拿到一份国家正在监视的人员名单。看来这已经不像十年前那么是个问题了。
作者似乎忽略了证书所提供的一个保证:“在颁发日期控制这个网站的人,现在依然控制着这个网站”。这可能是一个有用的保证。
Sony PlayStation 2 fixing frenzy #
https://news.ycombinator.com/item?id=45575097
I’ve seen a few posters ask already, so I figured I’d answer what the PS2 analog button’s function was.
The button switches between two modes of the analog joysticks, either to behave with their normal functionality, or to simply be a digital input (so just round all movement to either up/down/left/right). For PS2 games, you typically wouldn’t want to do this. Instead, the functionality exists because the PS2 was backwards compatible with PS1 titles. The original PS1 controller didn’t have analog sticks at all, just the D-Pad for navigation. After a few years (and the success of Nintendo’s N64 analog controller) Sony released a revised version of the controller that included two joysticks, which their controllers still mimic to this day. However, those PS1 games released prior to the analog controller wouldn’t always behave correctly if you tried to use an analog input scheme, so Sony added a mode to allow the Joysticks to function the same as the D-Pad, in case players preferred it.
Other fun fact, the analog controller was not the same as their more famous Dualshock controller. There was a short-lived PS1 Dual Analog controller which just added the joysticks. It only lasted a few months before Sony replaced it with one that supported rumble functionality (also after being inspired by the N64), this was the Dualshock.
aquova
已经看到有几位网友问到了,所以我想我可以解释一下PS2的模拟按钮(Analog按钮)是做什么用的。
这个按钮可以在模拟摇杆的两种模式之间切换:一种是正常的功能模式,另一种是纯数字输入模式(即所有移动都会被简化为上/下/左/右)。对于PS2游戏,你通常不会想用这个功能。相反,这个功能的存在是因为PS2能够向后兼容PS1的游戏。最初的PS1手柄根本没有模拟摇杆,只有一个用于导航的十字键(D-Pad)。几年后(在任天堂N64模拟手柄成功之后),索尼发布了一个修订版手柄,增加了两个摇杆,这个设计直到今天仍被他们的手柄沿用。然而,在模拟摇杆发布之前推出的那些PS1游戏,如果尝试使用模拟输入方案,可能无法正常运行。因此,索尼增加了一个模式,让摇杆的功能和十字键一样,以防玩家更喜欢这种操作方式。
另一个有趣的事实是,最初的模拟手柄和他们更出名的Dualshock手柄并不是同一种东西。曾经有一个短暂的时期,索尼推出过一款PS1 Dual Analog手柄,它只是增加了摇杆。在索尼受任天堂N64启发,推出支持振动功能的手柄后,Dual Analog手柄只存在了短短几个月,就被Dualshock手柄取代了。
NanoChat – The best ChatGPT that $100 can buy #
https://news.ycombinator.com/item?id=45574114
Everything is unless your app is a React todolist or leatcode questions.
SchemaLoad
凡事都简单,除非你的应用是个React待办事项或者leetcode题目。