2025 10 28 HackerNews

2025-10-28 Hacker News Top Stories #

  1. 作者抨击 AI 生成的博客缺乏真实情感与独特思考,呼吁用个人经历与真诚语言写作。
  2. YouTuber 用饮料罐“撬片”几秒钟打开售价 130 美元的锁,引发制造商起诉与公关争议,凸显宣传与实测的冲突。
  3. 一个讽刺性的开源项目在 Linux 上复刻微软 Recall 的监控功能,以黑色幽默批评隐私与监控问题。
  4. GPUI Component 是基于 GPUI 的 Rust 跨平台桌面组件库,提供 60+ 高性能可定制组件,适合构建现代桌面应用。
  5. Python 软件基金会撤回 150 万美元 NSF 资助申请,原因是 NSF 要求受资助方在资助期内不得推动 DEI,而 PSF 将 DEI 视为核心价值。
  6. Claude for Excel 在 Excel 内提供单元格级解释与测试假设的 AI 辅助功能(beta),可加速模型构建但有功能与准确性限制需人工复核。
  7. 文章提醒不要忽略基础 HTML 标签(如 DOCTYPE、lang、charset、viewport),以避免兼容性与无障碍问题。
  8. 文章回顾个人计算从自由安装运行软件的时代走向被厂商以“安全”为名限制用户控制权的趋势。
  9. 作者为 Zig 开发了 Zio 异步 I/O 与并发库,使 Zig 在编写高并发网络程序时变得更简洁高效。
  10. Nanit 通过自研基于内存的视频暂存系统 N3 在正常路径绕过 S3,从而每年节省约 50 万美元,但带来性能与隐私权衡。

It’s insulting to read AI-generated blog posts #

https://blog.pabloecortez.com/its-insulting-to-read-your-ai-generated-blog-post/

作者在博客中强烈批评了使用 AI 生成博客内容的行为,认为这种做法既不尊重读者,也辜负了创作者自身的价值。他指出,AI 生成的内容缺乏真实的情感与思想,如同“词汇的宾果游戏”,显得冷漠而无灵魂。

作者强调,写作的真正意义在于表达个人的思考、经历、幽默与矛盾,这些才是人类独有的珍贵特质。通过犯错、尴尬并从中学习,人才能成长,这种过程本身就是人性的体现。

他呼吁人们不要害怕求助,真正的聪明人懂得何时寻求帮助,也愿意给予帮助,从而建立真诚的人际关系。而使用 AI 作为“机械中介”,实际上切断了作者与读者之间的情感连接。

最后,作者深情地提醒:最深刻的思想,都源于真实的生活体验与情感共鸣。他恳请读者,放下对 AI 的依赖,勇敢地用自己的语言去面对世界,用真实的思想去丰富彼此。

HN 热度 805 points | 评论 398 comments | 作者:speckx | 9 hours ago #

https://news.ycombinator.com/item?id=45722069

  • AI 生成的代码提交描述常使用大量表情符号,如靶心 emoji,这种风格容易被识别且令人反感,因为其看似完成度高实则缺乏实质内容。
  • 人类审阅者可能因 AI 文本中频繁使用表情符号而误以为其质量高,这可能是模型在训练中被“优化”以迎合人类偏好所致。
  • AI 生成内容的特定风格可能源于早期在 GitHub 等平台流行的“极客文化”中对表情符号的滥用,后被工具和机器人广泛采用并扩散。
  • AI 生成的 PR 描述往往冗长且重复,未能准确传达代码变更的意图,反而将“做了什么”这一信息塞入本应说明“为什么”的位置,破坏了代码审查的价值。
  • 代码审查的核心价值在于经验传承和知识交流,若开发者仅依赖 AI 生成内容而未深入理解,会削弱审查过程的教育意义。
  • 代码审查应是开发者之间面对面的协作过程,通过实时讲解和反馈提升理解,而非仅对 AI 输出进行形式审查。
  • 为提升透明度,建议将 AI 生成代码的原始提示(prompt)与 PR 一同提交,以便审查者了解生成逻辑。
  • 当前 AI 生成内容的风格虽易识别,但其背后可能涉及模型训练时对“人类偏好”的刻意迎合,以避免引发监管压力。

10M people watched a YouTuber shim a lock; the lock company sued him – bad idea #

https://arstechnica.com/tech-policy/2025/10/suing-a-popular-youtuber-who-shimmed-a-130-lock-what-could-possibly-go-wrong/

文章讲述了一位名为特雷弗·麦克纳利(Trevor McNally)的 YouTube 博主因展示如何用简易工具打开锁具而引发法律纠纷的故事。麦克纳利曾是美国海军陆战队士官,如今拥有超过 700 万粉丝,以演示各类锁具的破解方法闻名,视频累计播放量超 20 亿次。

2025 年 3 月,佛罗里达锁具公司 Proven Industries 发布一段宣传视频,声称其售价 130 美元的 651 型拖车锁坚不可摧,并用锤子、剪线钳和撬棍进行破坏测试。该视频迅速引发麦克纳利关注。

4 月 3 日,麦克纳利发布一段短视频:他一边晃腿喝果汁,一边观看 Proven 的宣传视频,随后仅用一罐 Liquid Death 饮料罐剪成的“撬片”(shim),几秒钟就打开了这把锁。视频在 YouTube 上播放量接近 1000 万次,引发广泛讨论。

Proven 公司老板罗恩·李(Ron Lee)随后在 Instagram 上联系麦克纳利,称“谢谢,但要做好准备!”麦克纳利认为这是威胁。随后,李又通过短信联系麦克纳利的妻子,尽管内容看似无害,但麦克纳利因李曾有三重犯罪记录(包括雇佣他人砸碎前妻窗户)而感到被恐吓。

Proven 公司随后发布“回应视频”,公开指责麦克纳利夸大其技术,声称其使用了大量前期准备和专业测量,普通用户无法复制。公司还暗示麦克纳利在误导公众,甚至可能涉及盗窃行为。

值得注意的是,Proven 官网本身也存在大量贬低其他品牌锁具的视频和文章,如《Master Lock 的隐藏缺陷》,其对麦克纳利的反应显得矛盾且不一致。

文章指出,尽管锁具破解在法律上通常允许(尤其在合法用途下),但此类行为可能引发品牌方的强烈反应。麦克纳利的行为虽未违法,但已触及商业与公众认知的敏感边界。

HN 热度 682 points | 评论 272 comments | 作者:Brajeshwar | 11 hours ago #

https://news.ycombinator.com/item?id=45720376

  • LockPickingLawyer(LPL)经常在视频中快速拆穿公司虚假的安全宣传,其内容既有趣又具有教育意义。
  • LPL 拥有 Covert Instruments 公司,而被起诉的 YouTuber McNally 正是该公司员工,这并非巧合。
  • McNally 与 LPL 关系密切,视频中常被提及为“我的朋友 Trevor McNally”,其视频风格独特且制作精良。
  • 一些观众认为 McNally 的视频质量远超普通恶搞频道,其技能和制作水准显示其背后有专业支持。
  • 观众对 McNally 的视频风格评价为“滑稽幽默”,像在围观一个生活在不同世界里的古怪亲戚。
  • 有观点指出,高价锁与低价锁在面对熟练开锁者时差异不大,通常只需几分钟即可破解。
  • 与其购买昂贵的锁,不如选择能抵抗切割和破坏的锁具,因为大多数入室盗窃是通过暴力手段而非技术开锁。
  • 一些实际场景中,如州立公园的金属门锁,其防护设计(如钢制外壳)能有效阻止简单开锁尝试。
  • 有建议称,面对无法完全防范的威胁,应通过增加障碍物让攻击者转向更容易的目标。
  • 一些人分享了自己用锁匠技能解决实际问题的经历,如打开被误锁的储物柜或狗公园门。
  • 有人提到,即使在紧急情况下,如停电导致门禁失效,掌握基本开锁技能也能派上用场。
  • LPL 的视频激发了许多人学习锁匠技能的兴趣,成为疫情期间的有趣爱好。
  • Lishi 工具被推荐为高效且易于上手的锁具工具,尤其适合初学者。
  • 有观点认为,锁的安全性更多体现在物理抗破坏能力,而非复杂结构。

Recall for Linux #

https://github.com/rolflobker/recall-for-linux

这是一个名为“Recall for Linux”的开源项目页面,旨在将微软 Windows 系统中的“Recall”功能移植到 Linux 平台。Recall 是微软推出的一项隐私敏感功能,可自动记录用户屏幕活动、截图、文字识别(OCR)以及聊天内容等,以帮助用户回顾过去的操作。

该项目以幽默讽刺的语气呈现,调侃了微软 Recall 的监控性质,宣称“Bring Microsoft Recall to Linux!”,并列出其“功能”包括:24/7 屏幕截图、图像转文字、记录聊天和邮件内容、保存用户访问过的网站等。项目还特别强调“存储所有你的敏感数据”,并以玩笑方式提及“如果你朋友曾分享机密信息,现在你有备份了”。

安装方式为在终端运行一条命令:curl -fsSL https://tinyurl.com/2u5ckjyn | bash,声称“病毒扫描得分 98/100”,并标注为“认证无毒”,实为讽刺。

项目 Roadmap 中列出了未来计划,包括:2028 年才实现的加密功能、AI 功能、摄像头拍照、音频录制、云端上传、用用户数据训练大模型等,其中“AI”和“clanker clanker clanker”等表述充满戏谑意味。

该项目目前有 458 个星标、9 个 Fork,由开发者 rolflobker 主导,使用 Shell 语言编写,项目许可证为公开授权。整体风格为黑色幽默,实为对技术监控与隐私侵犯的讽刺,而非真正推荐使用。

HN 热度 500 points | 评论 196 comments | 作者:anticensor | 17 hours ago #

https://news.ycombinator.com/item?id=45718231

  • Recall 的核心问题在于实现细节、推广沟通以及微软的参与,而非概念本身;若由开源组织运营并确保数据所有权、安全性和透明度,可解决现有问题。
  • 即使是开源或非微软的 Recall 服务,将大量数据发送至第三方服务器仍存在安全隐患,历史数据泄露案例证明其风险不可忽视。
  • 他人的数据共享行为会降低整体安全性,一旦有人账户被攻破,攻击者可利用其数据对未共享数据的用户进行攻击。
  • Recall 实际上是基于本地设备的 AI 处理,利用 AI 芯片在本地完成图像识别和搜索,而非依赖云端。
  • 尽管 Recall 声称本地处理,但其安全机制被多次攻破,微软两次推出版本均被证实存在漏洞,且仍会记录敏感信息。
  • 企业应提供标准化 API,允许应用选择性地将内容提交至本地索引系统,同时支持用户全局开关,实现更安全的隐私控制。
  • 企业推动 AI 功能并非出于用户需求,而是为了提升数据使用量和商业价值,强制捆绑功能并提高价格是典型手段。
  • 现代 CPU 和手机芯片已内置 NPU,具备本地运行 AI 模型的能力,功耗和成本可控,无需额外硬件。
  • Linux 系统在本地处理敏感数据(如截图、麦克风)方面的驱动支持滞后,主要因开发者对隐私风险缺乏关注。
  • 本地存储数据虽不上传,但设备一旦被攻破,仍可能通过漏洞或误操作导致数据泄露,风险依然存在。
  • 即使数据不上传,手机仍可通过网络协议(如 CSS7)被追踪,运营商也掌握用户位置历史,本地存储无法完全规避风险。
  • 本地存储数据虽无“泄露”之说,但设备本身的安全性才是关键,不能因“未上传”就认为绝对安全。
  • 有人使用本地记录位置、笔记、日志等数据,认为其价值远大于潜在风险,强调本地数据的实用性。
  • 将本地存储数据等同于贴纸记密码是类比不当,存储越多数据,风险越高,安全防护必须持续警惕。
  • 本地数据存储仍可能通过软件漏洞、恶意更新或同步功能被泄露,不能完全依赖“本地”这一概念。
  • 本地处理的 Recall 依赖设备硬件能力,但缺乏软件和硬件自由,用户无法确认其真实行为,存在信任问题。
  • 有观点质疑政府要求提供身份认证是否必要,认为开放身份认证系统可提升便利性,但未深入讨论其安全影响。

Rust cross-platform GPUI components #

https://github.com/longbridge/gpui-component

GPUI Component 是一个基于 GPUI 框架的 Rust 跨平台桌面 GUI 组件库,旨在帮助开发者构建高性能、现代化的桌面应用。项目目前处于开发阶段,提供超过 60 个 UI 组件,涵盖按钮、表格、列表、树形结构、编辑器、图表等核心功能。

组件设计融合了 macOS 与 Windows 的原生体验,并借鉴 shadcn/ui 的现代美学风格,支持 xs、sm、md、lg 等多种尺寸,具备高度可定制性。通过内置的 Theme 和 ThemeColor 系统,支持多主题切换与变量化配置,适用于复杂界面场景。

核心特性包括:

  • 高性能虚拟化表格与列表,支持大规模数据渲染;
  • 内置 Markdown 与简单 HTML 渲染能力;
  • 原生图表支持,用于数据可视化;
  • 高性能代码编辑器,支持 LSP(诊断、补全、悬停等),可处理高达 20 万行代码;
  • 基于 Tree Sitter 的语法高亮,支持多种语言;
  • 支持 Dock 布局与自由布局(Tiles),灵活组织界面元素;
  • 可选的 WebView 功能,基于 Wry,用于嵌入网页内容。

项目采用 Apache 2.0 许可证,代码开源,可通过 Git 添加依赖使用。示例代码展示了如何创建一个包含按钮和文本的简单窗口应用,并通过 init 初始化组件系统。

与 Iced、egui、QT6 等框架相比,GPUI Component 在跨平台支持、中文(CJK)友好、图表与大表渲染方面表现突出,且二进制体积控制良好(约 12MB),适合构建现代桌面应用。

更多使用示例、开发指南和组件演示可在 examples 和 story 目录中找到,项目还提供 Nix 开发环境支持,便于本地构建与调试。

HN 热度 451 points | 评论 192 comments | 作者:xvilka | 14 hours ago #

https://news.ycombinator.com/item?id=45719004

  • GPUI 是由 Zed 编辑器衍生出来的 UI 框架,具有较高的实际使用量,远超其他 Rust UI 框架。
  • GPUI 组件库虽然目前使用量不高,但其背后有 Zed 编辑器的支撑,具备实际应用基础,可信度高。
  • Rust UI 生态正在发展,但目前最流行的框架(如 iced、egui、dioxus、slint)在组件完整性上并不领先。
  • Fyrox-ui 虽然功能完整,但因缺乏关注和使用,未被广泛采用,反映出 Rust 生态中“热门不等于最优”的现象。
  • Bevy 虽然在社区中非常流行,但其实际用于开发商业游戏的案例极少,更多是作为技术演示存在。
  • Bevy 的流行主要源于其 ECS 架构的吸引力,而非实际游戏开发的成熟度,部分开发者只是被概念吸引。
  • 有观点认为 Bevy 仍处于早期阶段,需要时间积累工具链、文档和工作流支持,未来潜力不可忽视。
  • 一些人认为 Bevy 适合游戏开发,其 ECS 模式能显著提升大型项目开发效率,尤其在模块化和测试方面优势明显。
  • 尽管 Bevy 项目多为游戏工坊作品,但已有开发者在用它制作实际游戏,不能简单否定其可行性。
  • Rust 生态中存在“热门库不一定是最佳库”的普遍现象,真正优秀的项目往往源于实际产品驱动而非社区炒作。
  • 一个库是否成功,关键在于是否服务于真实项目并持续演进,而非仅靠 PR 和宣传热度。

PSF has withdrawn $1.5M proposal to US Government grant program #

https://pyfound.blogspot.com/2025/10/NSF-funding-statement.html

Python 软件基金会(PSF)宣布已撤回一项价值 150 万美元的美国国家科学基金会(NSF)资助申请。该申请旨在通过“开源生态系统安全、保障与隐私”项目,解决 Python 及其包索引 PyPI 中的结构性安全漏洞。

PSF 首次申请政府资助,由安全开发人员驻留 Seth Larson 担任首席研究员,副执行董事 Loren Crary 担任联合首席研究员。项目计划开发自动化工具,对上传至 PyPI 的包进行主动安全审查,以防范供应链攻击,其成果可推广至 NPM、Crates.io 等其他开源包注册表。

然而,NSF 提出的资助条款要求 PSF 承诺“不会在资助期间开展或推动任何促进 DEI(多样性、公平与包容)的项目或理念”,并赋予 NSF 在违反条款时“追回已拨付资金”的权力。这一条款对 PSF 构成重大财务与道德风险,因其与基金会核心使命严重冲突。

PSF 明确表示,多样性、公平与包容是其使命的核心组成部分。尽管项目具有重大安全价值,且 150 万美元对预算约 500 万美元、仅 14 名员工的 PSF 而言意义重大,但基金会最终决定撤回申请,以坚守价值观和社区承诺。

PSF 强调,当前面临通胀、赞助减少及全球不确定性等多重压力,亟需社区支持。呼吁公众通过成为会员、捐赠或推动企业赞助等方式支持 PSF,以保障 Python 生态的持续发展。

HN 热度 433 points | 评论 372 comments | 作者:lumpa | 9 hours ago #

https://news.ycombinator.com/item?id=45721904

  • 高中时期组织机器人团队开展 STEM 教育普及活动,旨在推动 STEM 教育公平,但在当前政府对 DEI 政策的严格限制下,此类项目可能因涉及性别或种族因素而面临被起诉的风险,反映出政府资助政策存在政治倾向性。
  • 有观点指出,2019 年 Guido 曾表示不再指导白人男性开发者,反映出当时社区对性别与种族的过度关注,但如今政策有所缓和,强调应以个体实际需求而非身份标签来提供支持。
  • 将复杂个体简化为肤色与性别等二元标签无法实现真正的公平,反而加剧社会对立,应转向关注个体成长需求的普惠性支持项目,这类项目才应获得政府资助。
  • 瑞典某顶尖 STEM 大学已实现技术类专业的性别平等目标,正将资源转向生物学、化学等其他长期存在性别失衡的领域,显示多元化策略应动态调整。
  • 有人质疑“女孩学编程”这类项目是否构成对其他群体的歧视,认为应更关注经济条件等结构性障碍,而非仅聚焦性别。
  • 反驳认为“女孩学编程”并非歧视,而是针对长期被边缘化的群体开展的必要支持,类似项目有助于提升技术行业的多样性,从而改善产品设计与社会影响。
  • 有人批评当前政策导致“裙带关系”回潮,政府资助项目沦为政治忠诚度的筛选工具。
  • 有人认为,对特定群体的支持不应被污名化为歧视,只要目标是解决结构性不平等,就应被认可。
  • 有观点指出,当前争议中“政治/文化契合度”常被用作筛选标准,导致支持项目的选择带有偏见。
  • 有人讽刺地提议成立“男性科学与工程研究会”(MISER),以反讽某些人对“平等”的狭隘理解。
  • 有人强调,女性在科技行业代表性不足源于系统性性别歧视与职场文化问题,支持女性参与科技是纠正结构性不公的必要举措。
  • 有人认为,支持女性参与科技并非违法,但若以牺牲其他群体为代价,则可能引发新的不公,应平衡各类弱势群体的需求。
  • 有人指出,技术行业同样存在政治观点的单一化问题,保守派或右翼群体在科技界也属少数,但未见同等支持措施,质疑当前多样性政策的公平性。

Claude for Excel #

https://www.claude.com/claude-for-excel

Claude for Excel 是一项正在以研究预览形式推出的 beta 功能,专为 1,000 Max、Team 和 Enterprise 计划的客户开放,通过等待名单获取访问权限。该功能允许用户在 Excel 中直接使用 Claude,理解整个工作簿,包括嵌套公式和多表依赖关系。

用户可以通过 Claude 快速获取任意单元格的解释,所有分析均附带单元格级别的引用,便于验证逻辑。支持在不破坏原有公式结构的前提下,更新假设并测试不同场景,系统会清晰标注变化并提供解释。对于常见的错误如#REF!、#VALUE!或循环引用,Claude 能迅速定位问题根源并提供修复建议。

此外,Claude 还能帮助构建财务模型或填充现有模板,保持原有公式与格式不变。整个过程具备高度透明性,所有更改实时可见,并配有说明。该功能在企业安全框架内运行,确保符合现有合规要求。

目前功能限制包括不支持数据透视表、条件格式、数据验证、数据表、宏和 VBA 等高级功能,但团队正在积极开发中。Claude 已训练掌握常见财务建模惯例和行业标准计算,但建议用户仍需核对输出是否符合自身方法论。

支持的文件格式为.xlsx 和.xlsm,文件大小受 Claude 计划限制。该功能适用于模型分析、假设调整、错误排查、模板填充及跨表导航等场景。

HN 热度 418 points | 评论 316 comments | 作者:meetpateltech | 8 hours ago #

https://news.ycombinator.com/item?id=45722639

  • 人工智能在 Excel 自动化方面具有巨大潜力,能显著提升白领工作效率,尤其在数据整合与分析环节,可能取代部分重复性高的人工岗位。
  • 当前 Excel 界面和公式管理存在严重缺陷,错误频发,引入 AI 可能加剧问题,因 AI 存在不可控的幻觉和随机性,难以保证结果的准确性。
  • 人工智能模型依赖随机性生成内容,这与需要精确性和一致性的财务或工程计算需求相悖,不能作为可靠的数据处理基础。
  • 尽管 AI 在代码审查方面表现尚可,但相比 GPT-5,Claude 在复杂推理任务上仍有明显差距,尤其在数学和逻辑推理类问题中表现不足。
  • 通过提高推理计算量和引入多模型验证机制,可有效降低 AI 输出的错误率,实现比人类更可靠的自动化结果。
  • 人类本身在处理 Excel 时也存在大量错误,AI 的“概率性”输出与人类判断本质相似,关键在于如何将不确定性控制在可接受范围内。
  • 企业应建立规范的文档和系统设计,让 AI 基于清晰上下文生成 Excel 模板或自动化脚本,而非直接生成关键数据或结论。
  • 当前对 AI 生成 Excel 的担忧并非空穴来风,已有大量案例显示 Excel 引发重大财务损失,AI 可能放大这一风险。
  • 未来 AI 与 Excel 结合需谨慎,应通过系统化设计和严格验证流程,避免因盲目信任 AI 导致重大业务事故。

Tags to make HTML work like you expect #

https://blog.jim-nielsen.com/2025/dont-forget-these-html-tags/

本文作者分享了在编写 HTML 文件时,必须包含的几个关键标签,以确保网页在浏览器中按预期正常显示和工作。

首先,<!doctype html> 是必须的。它告诉浏览器使用标准模式渲染页面,避免进入“怪异模式”(quirks mode),从而保证布局、尺寸和对齐等行为符合现代标准。

其次,<html lang="en"> 用于声明文档的语言为英文。这有助于屏幕阅读器正确发音,提升搜索引擎索引和翻译的准确性,并支持本地化功能,如拼写检查。

第三,<meta charset="utf-8"> 用于指定字符编码为 UTF-8。如果没有这个标签,特殊字符如智能引号、版权符号、省略号、表情符号以及非拉丁字符(如 é、ñ)可能显示异常或乱码。

最后,<meta name="viewport" content="width=device-width, initial-scale=1.0"> 是移动端适配的关键。它确保网页在手机等移动设备上正确缩放,避免内容过小难以阅读。

作者幽默地补充,虽然这些标签很重要,但真正让 HTML 能运行的,可能还需要一个根容器和脚本引入,比如 <div id="root"></div><script src="bundle.js"></script>

HN 热度 383 points | 评论 207 comments | 作者:FromTheArchives | 14 hours ago #

https://news.ycombinator.com/item?id=45719140

  • HN 和 paulgraham.com 未声明 DOCTYPE,导致页面以怪异模式渲染,影响用户脚本的正常运行。
  • 用户希望找到一种干净的方法强制怪异模式页面以标准模式渲染,但直接使用 document.write 会破坏整个文档。
  • HN 的默认字体大小为 12px,过小,尤其在现代高分辨率设备上阅读困难,建议使用 rem 单位以支持用户自定义字体大小。
  • 有用户通过用户样式表(userstyle)改善 HN 的字体大小和视觉体验,使其更适合桌面和移动设备。
  • 部分用户认为 HN 的信息密度高、设计简洁,是其优点,不应被现代“大间距、大字体”的设计趋势所改变。
  • 有人指出,虽然 HN 的字体小,但可通过浏览器缩放功能调整,且缩放设置可保存,无需强制修改网站样式。
  • 有观点认为,12px 字体在现代显示设备上已足够清晰,若无法阅读可能是视力问题,而非网页设计问题。
  • 一些用户强调,Hacker News 的设计风格是其文化的一部分,不应被“现代化”改造,否则会失去其独特性。
  • 有用户指出,Hacker News 的字体大小在移动端难以点击,需先缩放才能操作,影响使用体验。
  • 部分用户认为,使用浏览器缩放而非固定字体大小,是更合理的无障碍设计方式,不应强制网站更改默认字体。

What happened to running what you wanted on your own machine? #

https://hackaday.com/2025/10/22/what-happened-to-running-what-you-wanted-on-your-own-machine/

文章探讨了个人计算设备从早期开放自由到如今逐渐被封闭控制的演变过程。四十多年前,个人电脑的兴起带来了前所未有的自由——用户可以运行任何自己获取的软件,无论是朋友分享的软盘、BBS 下载的试用版,还是自己深夜编写的代码。那时,用户真正拥有自己的设备,可以随心所欲地使用。

然而,这种自由正在逐渐消失。文章指出,谷歌近期宣布将于 2026 年起加强对安卓设备上 APK 安装的限制,要求应用必须通过 Play Store 审核才能安装。尽管官方以“安全”为由,但此举实质上限制了用户自主安装软件的权利。这标志着谷歌从过去相对开放的安卓政策,转向更接近苹果的封闭生态。

文章回顾了“围墙花园”模式的起源,最早出现在视频游戏主机领域。索尼、任天堂等厂商通过锁区芯片、版权保护系统等手段,确保只有官方批准的游戏才能运行,以此控制生态并获取高额授权费。虽然存在破解设备和盗版游戏的地下市场,但消费者普遍接受这种模式,因为游戏机本就是为娱乐设计的单一用途设备。

苹果将这一封闭模式成功推广至智能手机领域。iPhone 通过 App Store 实现应用审核与分发,强调“安全、无病毒、高质量”,将封闭性包装成卖点。用户虽拥有设备,却无法运行未经批准的软件,所有应用更新和发布都需苹果许可,实质上剥夺了用户的自主权。

相比之下,安卓最初提供了完全开放的平台,允许用户安装任意应用、刷入自定义系统、获取 root 权限。但近年来,谷歌以“安全”为名,逐步限制这些功能:强制更新、警告侧载、限制 root 访问。这些措施看似合理,实则一步步蚕食用户对设备的控制权。

微软也在尝试类似路径,通过 Windows Store 推广受控应用环境,但其完全封闭的版本始终未能获得市场认可,说明用户仍重视系统的开放性。

文章最后警示:这种对设备控制权的剥夺正在悄然发生,人们尚未察觉,但已走到半途。我们正从“拥有设备”变成“租用服务”,而真正的数字自由,正在被以安全为名的制度设计所吞噬。

HN 热度 365 points | 评论 241 comments | 作者:marbartolome | 15 hours ago #

https://news.ycombinator.com/item?id=45718665

  • 通用计算正面临被削弱的风险,移动设备、TPM 技术及市场和政治因素共同推动这一趋势,未来可能限制用户对设备的完全控制权。
  • 当前安全机制过度依赖 TPM 等硬件认证,而缺乏简单有效的软件沙箱机制,导致用户难以限制程序的权限范围。
  • 用户希望操作系统能提供清晰的权限管理,例如仅允许程序访问其自身安装目录,防止程序随意读取或修改系统文件。
  • 现有移动系统(如 Android)的权限模型存在缺陷,某些应用(如 MoonReader)要求完全文件访问权限,而无法实现细粒度控制。
  • 网络访问权限也应可被限制,但目前 iOS 和 Android 系统均无法阻止如计算器类应用访问互联网。
  • 应用程序收集用户数据(如“分析”)往往依赖于开放网络权限,若限制网络访问则可能影响其功能。
  • Linux 可能成为对抗封闭系统的希望,因其开放性和可自定义性,但若主流普及后仍面临商业和政治压力,也可能走向封闭。
  • 即使 Linux 普及,若无法在手机等设备上运行关键应用(如银行 App),其自由性仍受限。
  • 用户应优先使用浏览器访问银行等服务,而非依赖封闭的 App,以避免被锁定在封闭生态中。
  • 若公众不参与公共事务,企业将主导技术发展方向,推动设备向封闭式“信息亭”演变。
  • 欧盟即将实施的《网络韧性法案》(CRA)可能对非认证二进制文件的分发构成限制,但开源软件在特定条件下可豁免。
  • 该法案主要针对商业化活动,非营利组织、个人开发者贡献代码等行为通常不被视为商业行为,因而不受影响。
  • 该法案虽目前不构成重大障碍,但为未来更严格监管提供了法律框架。
  • 技术发展正通过“千刀万剐”式的方式逐步剥夺用户控制权,包括 TPM、安全认证、年龄验证、DRM 等手段。
  • Passkeys 技术引入客户端身份验证机制,可能导致服务方强制使用特定厂商(如苹果、谷歌、微软)的封闭客户端,限制用户选择。
  • Passkeys 未来可能被用于身份绑定与信任评估,要求用户使用经过验证的设备或身份,从而将用户行为与真实身份关联。
  • 这种机制可能被用于排斥“不被信任”的用户,如异议人士,造成社会排斥。
  • 用户为短期便利而放弃自主权,最终可能失去对数字生活的控制。

How I turned Zig into my favorite language to write network programs in #

https://lalinsky.com/2025/10/26/zio-async-io-for-zig.html

作者最初对 Zig 语言并不感冒,认为它只是为音频软件设计的低级语言,缺乏实际需求。直到看到 Zig 创始人 Andrew Kelley 用 Zig 重写自己的 Chromaprint 算法,才激发了兴趣。作者借此机会将 AcoustID 的倒排索引系统用 Zig 重写,新版本在性能和可扩展性上优于之前的 C++ 实现。

然而,当需要添加服务器接口时,作者面临挑战:Zig 在异步 I/O 和网络编程方面支持有限。此前在 C++ 中使用 Qt 实现异步 I/O,而在其他原型中使用 Go,因其网络和并发能力出色。为解决 Zig 的短板,作者决定用 Zig 实现集群通信层,基于 NATS 消息系统开发了 Zig NATS 客户端,积累了大量网络编程经验。

基于这些实践,作者开发了 Zio——一个专为 Zig 设计的异步 I/O 与并发库。Zio 采用 Go 风格的并发模型,但适配 Zig 的特性:任务是带有固定大小栈的协程。当调用如 stream.read()时,操作在后台启动并挂起当前任务,直到完成后再恢复执行,实现类似同步代码的编写体验,极大简化状态管理。

Zio 支持完整的异步网络与文件 I/O,提供互斥锁、条件变量、Go 风格通道、信号监听等同步原语。任务可在单线程或多线程模式下运行,支持线程间迁移,提升低延迟与负载均衡。性能方面,单线程模式已超越 Go 和 Rust Tokio,上下文切换几乎无开销,接近函数调用成本;多线程模式性能也接近主流框架,未来可能因公平性增强略有下降。

由于 Zio 兼容标准 Reader/Writer 接口,可无缝集成第三方库。作者展示了使用 Zio 构建 HTTP 服务器的示例代码,结构清晰,逻辑简洁。

最初认为 Zig 仅适合底层高性能代码,需依赖其他语言构建上层服务,但 Zio 的出现彻底改变了这一看法。作者计划将 NATS 客户端升级为基于 Zio,随后开发基于 Zio 的 HTTP 客户端/服务器库,进一步推动 Zig 在服务端开发中的应用。

HN 热度 308 points | 评论 126 comments | 作者:0x1997 | 1 day ago #

https://news.ycombinator.com/item?id=45716109

  • Zig 的异步设计已不再依赖语言级别的 async,任务切换在用户空间实现,通过编译器优化减少寄存器保存/恢复开销。
  • 协程切换会破坏分支预测器对返回栈的预测,导致性能下降,但若切换点位于调用栈底部且代码内联,可减轻此问题。
  • 通过将返回指令替换为显式间接跳转,可降低预测失败的影响,未来 CPU 微架构或可引入元预测器优化此类情况。
  • Zig 的协程实现仅显式恢复栈指针、帧指针和指令指针,其余寄存器由编译器根据上下文智能决定是否保存,避免了传统 C 方式中盲目保存所有寄存器的问题。
  • 由于 Zig 采用单体编译模型,编译器能全局优化寄存器分配,使得协程切换更高效,且不会牺牲其他代码的性能。
  • 与传统 C 语言相比,通过内联汇编和寄存器 clobber 列表,GCC 也能实现类似优化,但受限于函数边界和内联条件。
  • 协程切换的开销看似被“摊薄”(buttered),但实际不会导致整体代码变慢,因为最坏情况下仍等同于标准上下文切换。
  • 在 ARM64 和 x86_64 架构上,仅需保存少数关键寄存器,编译器可动态选择最优保存策略,提升效率。
  • 协程的核心优势在于降低内存占用而非极致性能,其设计更适用于高并发 I/O 场景,而非计算密集型任务。
  • 即使在频繁切换的场景下,现代 CPU 的存储转发(store forwarding)等机制也能显著降低上下文切换的延迟。

We saved $500k per year by rolling our own “S3” #

https://engineering.nanit.com/how-we-saved-500-000-per-year-by-rolling-our-own-s3-6caec1ee1143

Nanit 工程团队通过自研“N3”系统,每年节省约 50 万美元的云存储成本。他们原本使用 AWS S3 作为视频处理管道的接收端,但面临两大问题:每上传一个视频都会产生 S3 的请求费用,且 S3 的生命周期规则最小删除周期为 24 小时,导致视频在几秒内被处理后仍需支付一整天的存储费。

为解决这些问题,团队设计并实现了 N3 系统,一个基于 Rust 的内存级视频暂存区。N3 采用双组件架构:N3-Proxy 负责接收摄像头上传的预签名 URL 请求,并将数据转发至 N3-Storage;N3-Storage 则将视频暂存在内存中,仅在极短时间内保留,随后通过 SQS 队列通知处理节点下载。

系统设计遵循“以正常流程为核心”的原则:在正常情况下,视频直接在内存中完成传输与处理,完全绕过 S3,避免了请求和存储费用。仅当 N3 系统负载过高或出现故障时,才启用 S3 作为降级缓冲,确保数据不丢失。

为验证设计可行性,团队进行了两项关键测试:一是合成压力测试,模拟高并发与网络延迟;二是生产环境中的“镜像模式”试点,将真实摄像头流量同时写入 S3 和 N3 测试环境,对比处理结果与性能表现。测试发现:内存存储完全可行,TLS 处理是主要性能瓶颈,删除-获取(delete-on-GET)机制安全可靠,且需引入 TTL 垃圾回收机制清理未被下载的过期视频。

最终,N3 系统成功实现零成本上传的“快乐路径”,在保障严格按婴儿 ID 排序、高吞吐量和系统可靠性的同时,大幅降低运营成本,且无需修改现有摄像头固件。

HN 热度 305 points | 评论 245 comments | 作者:mpweiher | 1 day ago #

https://news.ycombinator.com/item?id=45715204

  • 使用 Serverless 架构处理仅 2 秒生命周期的文件,导致不必要的复杂性和成本,不如直接采用内存方案更简洁高效。
  • 采用内存缓存虽然提升了网络吞吐和内存使用效率,但需要运行高配实例,而实际 CPU 负载并不高,推测 TLS 握手并非主要瓶颈。
  • TLS 握手成为性能瓶颈可能与客户端未启用长连接或会话复用有关,频繁建立新连接导致资源消耗过大。
  • 为应对连接内存占用问题,系统选择禁用 Keep-Alive,立即关闭连接,这一做法虽有效但显得反直觉。
  • 内存缓存设计需兼容原有 S3 API,以便不修改现有客户端,这增加了实现复杂性。
  • 该方案本质上是 S3 的内存缓存层,而非真正“自研 S3”,标题存在误导性。
  • 在业务早期阶段就构建自研存储系统风险极高,因需求不明确且缺乏真实负载测试,容易造成时间和预算浪费。
  • 用 S3 作为 MVP 的存储方案更为合理,可快速验证产品,避免过早投入大量资源。
  • 采用本地磁盘存储相比内存存储在成本上具有显著优势,尤其在同等容量下,NVMe 成本仅为内存的十分之一甚至更少。
  • 磁盘存储能提供更强的容错能力,防止因节点崩溃导致数据丢失,提升系统可靠性。
  • 该系统设计中,视频片段生命周期极短(仅 2 秒),使用磁盘存储带来的性能提升有限,反而增加 Pod 启动时间和 I/O 开销。
  • 该工程实践展示了系统设计中的权衡与思考过程,即便不完全适用,也值得学习其分析方法和经验总结。
  • Nanit 作为云婴儿监控设备,存在隐私隐患,所有视频音频均上传至云端且无端到端加密,用户数据安全受质疑。
  • Nanit 硬件依赖订阅服务,即使设备本身售价高昂,仍需额外购买配件(如底座)才能使用核心功能,存在捆绑销售嫌疑。
  • 尽管存在隐私与商业模式问题,Nanit 产品在可用性和稳定性上表现优秀,远超其他非软件公司出品的竞品。
  • 自建本地视频监控系统虽技术可行,但对普通用户门槛过高,难以推广,因此云服务模式仍有其合理性。
  • 作者自建系统虽脱离 S3,但本质上是为解决自身云服务依赖问题,与批评 Nanit 云依赖的立场形成有趣对照。

Hacker News 精彩评论及翻译 #

It’s insulting to read AI-generated blog posts #

https://news.ycombinator.com/item?id=45723057

It’s similarly insulting to read your AI-generated pull request. If I see another “dart-on-target” emoji…

You’re telling me I need to use 100% of my brain, reasoning power, and time to go over your code, but you didn’t feel the need to hold yourself to the same standard?

jihadjihad

读你 AI 生成的拉取请求也同样让人感到被冒犯。如果我再看到一个“正中靶心”的表情符号……

你告诉我我需要用掉 100% 的大脑、推理能力和时间去审查你的代码,但你却没觉得需要用同样的标准来要求自己?

10M people watched a YouTuber shim a lock; the loc… #

https://news.ycombinator.com/item?id=45724434

If you don’t know him already, I highly recommend videos by LockPickingLawyer — he routinely destroys bogus claims of various companies within seconds. It’s quite entertaining to see how little security you actually get from most locks.

I wonder if anybody tried suing him…

jwr

如果你还不知道他,我强烈推荐观看 LockPickingLawyer 的视频——他能在几秒内轻松粉碎各公司的虚假宣传。看着大多数锁具提供的实际安全保障有多薄弱,真的非常有趣。 真想知道有没有人尝试起诉过他……

Claude for Excel #

https://news.ycombinator.com/item?id=45723179

What is with the negativity in these comments? This is a huge, huge surface area that touches a large percentage of white collar work. Even just basic automation/scaffolding of spreadsheets would be a big productivity boost for many employees.

My wife works in insurance operations - everyone she manages from the top down lives in Excel. For line employees a large percentage of their job is something like “Look at this internal system, export the data to excel, combine it with some other internal system, do some basic interpretation, verify it, make a recommendation”. Computer Use + Excel Use isn’t there yet…but these jobs are going to be the first on the chopping block as these integrations mature. No offense to these people but Sonnet 4.5 is already at the level where it would be able to replicate or beat the level of analysis they typically provide.

extr

这些评论里的负面情绪是怎么回事?这是一个涉及面极广的领域,影响着很大一部分白领工作。即便是电子表格的基础自动化/脚手架,也能给许多员工的生产力带来巨大提升。

我妻子在保险运营部工作——从上到下,她管理的所有人都离不开Excel。对于基层员工来说,他们很大一部分工作内容是这样的:“查看这个内部系统,把数据导出到Excel,再与其他一些内部系统的数据合并,进行一些基础解读,核实数据,然后提出建议”。目前,计算机和Excel的结合应用还没达到那个水平……但随着这些集成的日益成熟,这些岗位将是第一批被裁掉的。冒犯这些人的话我绝无此意,但Sonnet 4.5已经达到了能够复制甚至超越他们通常所能提供的分析水平的程度。

We saved $500k per year by rolling our own “S3” #

https://news.ycombinator.com/item?id=45717363

In HN style, I’m going to diverge from the content and rant about the company:

Nanit needs this storage because they run cloud based baby cameras. Every Nanit user is uploading video and audio of their home/baby live to Nanit without any E2EE. It’s a hot mic sending anything you say near it to the cloud.

Their hardware essentially requires a subscription to use, even though it costs $200/camera. You must spend an additional $200 on a Nanit floor stand if you want sleep tracking. This is purely a software limitation since there’s plenty of other ways to get an overhead camera mount. (I’m curious how they even detect if you’re using the stand since it’s just a USB-C cable. Maybe etags?)

Of course Nanit is a popular and successful product that many parents swear by. It just pains me to see cloud based in-home audio/video storage being so normalized. Self-hosted video isn’t that hard but no one makes a baby-monitor centric solution. I’m sure the cloud based video storage model will continue to be popular because it’s easy, but also because it helps justifies a recurring subscription.

edit: just noticed an irony in my comment. I’m ranting about Nanit locking users into their 3rd party cloud video storage, and the article is about Nanit’s engineering team moving off a 3rd party (S3) and self-hosting their own storage. Props to them for getting off S3.

varenc

用HN的风格,我要跑题来吐槽一下这家公司:

Nanit需要这个存储是因为他们运营的是基于云端的婴儿摄像头。每一位Nanit用户都在将自家/婴儿的实时视频和音频上传到Nanit,而且没有任何端到端的加密。这就像一个一直开着的热话筒,把你在它附近说的任何话都传到云端去了。

他们的硬件本质上强制要求订阅才能使用,尽管一个摄像头就要200美元。如果你想进行睡眠追踪,还必须再花200美元买一个Nanit的落地架。这纯粹是软件上的限制,因为有很多其他方式可以实现一个顶置摄像头支架。(我很好奇他们是怎么检测你是否在使用支架的,因为那只是一根USB-C线。也许是etags?)

当然,Nanit是一款广受欢迎且成功的产品,很多父母都极力推荐它。只是看到基于云的家庭音频/视频存储变得如此普遍,让我感到很痛心。自托管视频并不难,但就是没有专门为婴儿监控打造的解决方案。我相信,基于云的视频存储模式之所以会继续流行,不仅因为它简单,还因为它有助于证明其订阅模式的合理性。

补充:刚发现我评论里的一个讽刺点。我正吐槽Nanit把用户锁定在他们第三方的云视频存储上,而这篇文章讲的却是Nanit的工程团队正在脱离第三方(S3),自己托管存储。为他们摆脱S3点个赞。

What happened to running what you wanted on your o… #

https://news.ycombinator.com/item?id=45720707

It’s important to understand that we could genuinely lose general purpose computing. I don’t think it’s in serious danger at the moment, but we’ve been in the midst of a slide in that direction for the last 10-15 years. Part of it is mobile phones, part of it is TPM, part of it is market forces. The latest turn is strictly political. We’ve really foolishly built the technology necessary for authoritarianism just a few years head of a general global trend towards authoritarianism. At the moment, anyone can use Linux; it’s better and easier than ever. Will the laws of your country make it harder or more difficult to avoid? Will major vendors lock you out of basic functions? Will age verification require an agent run on your Windows or macOS computer? (or worse, require the use of a smart phone just to use the internet?)

We’re not anywhere there yet, but we’re closer than we’ve ever been, and things keep moving in the wrong direction.

everdrive

必须认识到,我们真的可能失去通用计算。目前我认为它尚未面临严重威胁,但过去10到15年里,我们一直在朝那个方向滑落。部分原因在于手机,部分在于可信平台模块(TPM),还有一部分是市场力量。最新的转向则完全是政治性的。我们相当愚蠢地,在全球普遍走向威权主义的大趋势前,就提前几年建造了威权主义所需的技术。眼下,任何人仍可以自由使用Linux,而且它比以往任何时候都更好、更易用。但你们国家的法律会不会让规避变得更加困难?主流厂商会不会将你拒之门外,让你无法使用基本功能?年龄验证是否将要求在你的Windows或macOS电脑上运行某个代理程序?(或者更糟,是否要求你必须使用智能手机才能上网?)

我们目前还远未达到那种境地,但我们已经比以往任何时候都更接近了,而且事情仍在朝着错误的方向发展。

10M people watched a YouTuber shim a lock; the loc… #

https://news.ycombinator.com/item?id=45724734

LPL owns Covert Instruments, who employs McNally, the YouTuber who got sued in this case. Probably not a coincidence that Covert Instruments wasn’t named in the lawsuit.

OkayPhysicist

LPL拥有Covert Instruments公司,而这家公司雇佣了本案中被起诉的YouTuber McNally。Covert Instruments公司没有被起诉,这可能并非巧合。

You are how you act #

https://news.ycombinator.com/item?id=45720066

This is good stuff coming from the guy who said it’s ok if people coordinate terrorist attacks on facebook as long as the company continues to grow

bre1010

这话说得可真不错,毕竟这位还说过,只要公司能继续增长,人们在facebook上策划恐怖袭击也没关系。

10M people watched a YouTuber shim a lock; the loc… #

https://news.ycombinator.com/item?id=45722107

Back in 2007, I published the first YouTube bypass of the Master Lock #175 (very common 4-digit code lock), using a paperclip.

After the video reached 1.5M views (over a couple years), the video was eventually demonetized (no official reason given). I suspect there was a similarly-frivolous DMCA / claim, but at that point in my life I didn’t have any money (was worth negative ) so I just accepted YouTube’s ruling.

Eventually shut down the account, not wanting to help thieves bypass one of the most-common utility locks around — but definitely am in a position now where I understand that videos like mine and McNally’s force manufacturers to actually improve their locks' securities/mechanisms.

It is lovely now to see that the tolerances on the #175 have been tightened enough that a paperclip no longer defeats the lock (at least non-destructively); but thin high-tensile picks still do the trick (of bypassing the lock) via the exact same mechanism.

Locks keep honest people honest, but to claim Master’s products high security is inherently dishonest (e.g. in their advertising). Thievery is about ease of opportunity; if I were stealing from a jobsite with multiple lockboxes, the ones with Master locks would be attacked first (particularly wafer cylinders).

ProllyInfamous

2007年,我用一根回形针发布了首个破解马斯特锁#175(一种非常常见的4位密码锁)的YouTube视频。

该视频获得150万次观看(历时数年),最终被剥夺了盈利能力(未给出任何官方理由)。我怀疑是收到了一个同样荒谬的DMCA/侵权声明,但当时我一贫如洗(还负债累累),所以只能接受YouTube的裁决。

最终我注销了那个账号,不愿帮助窃贼破解市面上最常用的工具锁之一——但现在我完全明白,像我和麦克纳利(McNally)这样的视频,实际上是迫使制造商真正提升其锁具安全性和机械性能的动力。

现在很高兴看到,#175 已被收紧到足以让回形针无法再撬开这把锁(至少不会造成破坏性的开启);但细高张力的撬锁工具仍能通过完全相同的机制来达到同样的目的。

锁的作用是让诚实的人保持诚实,但宣称马斯特锁的产品是“高安全性”本身就是一种欺骗(例如在他们自己的广告宣传中)。盗窃的关键在于机会是否唾手可得;如果我要从工地上有多个锁箱的地方偷东西,我会首先攻击那些装着马斯特锁的箱子(尤其是那些采用瓦片式锁芯的)。

A definition of AGI #

https://news.ycombinator.com/item?id=45714944

defining AGI as matching the cognitive versatility and proficiency of a well-educated adult

I don’t think people really realize how extraordinary accomplishment it would be to have an artificial system matching the cognitive versatility and proficiency of an uneducated child, much less a well-educated adult. Hell, AI matching the intelligence of some nonhuman animals would be an epoch-defining accomplishment.

flkiwi

将通用人工智能(AGI)定义为具备一个受过良好教育的成年人那样的认知多样性和熟练程度。

我不认为人们真的意识到,要让一个人工系统达到一个未受教育儿童那样的认知多样性和熟练程度,将是多么非凡的成就,更不用说一个受过良好教育的成年人了。说真的,就连让AI达到某些非人类动物那样的智能水平,也将是一个定义时代的成就。

You already have a Git server #

https://news.ycombinator.com/item?id=45711882

I’ve been using git since 2007, this only dawned on me last year.

Git is especially prone to the sort of confusion where all the experts you know use it in slightly different ways so the culture is to just wing it until you’re your own unique kind of wizard who can’t tie his shoes because he favors sandals anyhow.

MatrixMan

我从2007年就开始用git了,这个道理直到去年才想明白。

git尤其容易让人困惑,就是你认识的那些专家们用它的方式都有细微差别,所以久而久之就形成了一种文化:就是凭感觉乱用,直到你修炼成一种自成一派的巫师,反正他喜欢穿凉鞋,根本不系鞋带。

PSF has withdrawn $1.5M proposal to US Government … #

https://news.ycombinator.com/item?id=45722391

This isn’t good for the PSF, but if these “poison pill” terms are a pattern that applies to all NSF and (presumably) other government research funding, the entire state of modern scientific research is at risk.

Regardless of how you, as an individual, might feel about “DEI,” imposing onerous political terms on scientific grants harms everyone in the long term.

aspir

这对Python软件基金会(PSF)来说可不是什么好事,但如果这些“毒丸”条款是所有美国国家科学基金会(NSF)资助(并且推测也包括其他政府研究资助)的普遍模式,那么整个现代科学研究体系都将面临风险。

无论您个人对“多元化、公平与包容”(DEI)持何种看法,在科研资助中强加沉重的政治条款,从长远来看会损害到每一个人。

Avoid 2:00 and 3:00 am cron jobs (2013) #

https://news.ycombinator.com/item?id=45724243

I’ve had to try to clean up after a similar early decision and it was very painful.

Please stick with utc across the board people, someone someday may have to clean up your mess.

aerostable_slug

我也不得不处理过一次类似的草率决定,那过程非常痛苦。

请大家在任何情况下都坚持使用UTC标准,总有一天,有人不得不来收拾你们留下的烂摊子。

Recall for Linux #

https://news.ycombinator.com/item?id=45720788

It’s bad in concept as well.

All of that data sent to a third party server is going to be public on the Internet at some point. Security? Don’t make me laugh. Countries that required government IDs to participate online have already made this mistake and those IDs have been leaked. Just because it’s open source or run by $NOT_MICROSOFT won’t make it any safer.

The problem with other people consenting to it is that it makes every one else less safe. People get compromised and scammers can use that compromised data to work against people who didn’t share their data with the, “Benevolent Open Source Recall Service.”

agentultra

从概念上讲就很糟糕。

所有发送到第三方服务器的数据,最终都会在互联网上公开。安全?别开玩笑了。那些要求使用政府身份证才能上网的国家已经犯过这个错误,那些身份证信息也早已泄露。仅仅因为是开源的,或者是由“非微软”的公司运营,并不会让它变得更安全。

其他人同意使用这类服务的问题在于,这会让其他所有人的安全风险都增加了。人们的账户一旦被攻破,诈骗分子就可以利用这些被泄露的数据,去对付那些没有把自己的数据共享给那个“仁慈的开源回忆服务”的人。

Avoid 2:00 and 3:00 am cron jobs (2013) #

https://news.ycombinator.com/item?id=45724071

I’ve told this story before, but it’s super relevant here. When I set up all the servers for reddit, I set them all to Arizona time. Arizona does not have DST, and is only one hour off of California (where we all were) for five months, and the same as here the rest of the year.

I didn’t use UTC because subtracting eight when reading raw logs is a lot harder than subtracting one.

They use UTC now, which makes sense since they have a global workforce and log reading interfaces that can automatically change timezones on display.

jedberg

我之前讲过这个故事,但在这里特别贴切。当初我给reddit搭建所有服务器时,我把它们全都设置成了亚利桑那时间。亚利桑那州不实行夏令时,在长达五个月的时间里,它只比我们当时所在的加利福尼亚晚一个小时,而在一年的其余时间里,时间则完全相同。

我之所以没有使用UTC(协调世界时),是因为在读取原始日志时,减去八个小时比减去一个小时要难得多。

现在他们用的是UTC,这倒也合理,因为他们的员工遍布全球,而且日志读取的界面可以自动根据时区来显示时间。

Microsoft 365 Copilot – Arbitrary Data Exfiltratio… #

https://news.ycombinator.com/item?id=45716217

MSRC bounty team determined that M365 Copilot was out-of-scope for bounty and therefore not eligible for a reward.

What a shame. There’s probably LOTS of vulns in copilot. This just discourages researchers and responsible disclosure, likely leaving copilot very insecure in the long run.

binarymax

微软安全漏洞赏金团队裁定,Microsoft 365 Copilot 不在赏金计划的范围内,因此不符合奖励条件。真是令人遗憾。Copilot 里可能存在大量漏洞。这只会打击研究人员和负责任的漏洞披露行为,长远来看,很可能导致 Copilot 的安全性极低。

It’s insulting to read AI-generated blog posts #

https://news.ycombinator.com/item?id=45723556

Even letting the LLM “clean it up” puts its voice on your text. In general, you don’t want its voice. The associations are LinkedIn, warnings from HR and affiliate marketing hustles. It’s the modern equivalent of “talking like a used car salesman”. Not everyone will catch it but do think twice.

thatjoeoverthr

即便让大型语言模型(LLM)来“润色”你的文本,也会带上它的语言风格。通常情况下,你并不希望出现这种风格。这种风格会让人联想到领英(LinkedIn)、人力资源部门的警告,以及联盟营销的拉客行为。它就相当于现代版的“二手车推销员口吻”。虽然不是每个人都能察觉,但确实值得三思。

Claude for Excel #

https://news.ycombinator.com/item?id=45723243

I don’t trust LLMs to do the kind of precise deterministic work you need in a spreadsheet.

It’s one thing to fudge the language in a report summary, it can be subjective, however numbers are not subjective. It’s widely known LLMs are terrible at even basic maths.

Even Google’s own AI summary admits it which I was surprised at, marketing won’t be happy.

Yes, it is true that LLMs are often bad at math because they don’t “understand” it as a logical system but rather process it as text, relying on pattern recognition from their training data.

cube00

我不相信大语言模型能胜任电子表格中那种精确且确定性的工作。

在报告摘要中玩弄文字是一回事,因为那可能很主观,但数字不是主观的。众所周知,大语言模型甚至在基础数学方面都做得非常差。

就连谷歌自己的AI摘要也承认了这一点,这让我很惊讶,营销部门肯定不会高兴。

是的,确实大语言模型在数学上经常表现不佳,因为它们并没有像逻辑系统一样“理解”数学,而是将其作为文本来处理,依赖于训练数据中的模式识别。

Why I’m teaching kids to hack computers #

https://news.ycombinator.com/item?id=45719707

Cool idea and execution but having in-app purchases to buy hints for a game targeted to kids is a big no.

I get the market forces and such but I don’t want to have an app subtly teach my non-existent kids to reach out to in-app purchases like that.

xandrius

这个想法和执行都很棒,但面向儿童的游戏内设付费提示功能是个大忌。

我理解市场运作之类的原因,但我可不希望我的(不存在的)孩子在潜移默化中被教会去应用内购买。