2025-12-21 Hacker News Top Stories #
- WebKit 推出 display: grid‑lanes,为瀑布流和自适应列布局提供原生支持,减少对 JS 和媒体查询的依赖。
- 空中客车拟将核心应用迁移到受欧洲法律管辖的主权云以保障数据主权并规避美国云法案风险,招标预计2026年初。
- NIST 博尔德站点因停电及备用发电机故障导致本地 NTP 服务受损,团队正用备用电源保护原子钟并限制服务以防错误时间传播。
- 作者两年自托管 PostgreSQL 的经验表明在成本、性能和可控性上常优于云数据库,但需承担运维责任且不适合所有场景。
- 文章主张将匿名作为架构原则而非隐私营销,强调不保存身份信息能在被攻破或被胁迫时更好地保护用户但会失去找回机制。
- Karpathy 回顾 2025 年 LLM 发展,指出 RLVR、对智能的新认识、应用层兴起和本地代理等促成了范式跃迁。
- 通过公开固件与 AI 辅助逆向,研究者发现 TP‑Link Tapo C200 固件中嵌入私钥并存在多处缓冲区溢出,约 2.5 万台设备可能受影响。
- 基于 reVC 与 WebAssembly 的移植演示可在浏览器运行《GTA: Vice City》(需用户自备资源),属于技术展示且存在法律灰色地带。
- Charles Proxy 是跨平台的付费 HTTP/HTTPS 调试代理,Charles 5 强化了界面、性能及对 HTTP/2 与 TLS 调试的支持。
- Tiny Tapeout 项目用约 4000 门逻辑电路实现彩色视频与音频演示,展示在无 CPU/无内存的极简硬件下通过算法压缩实现复杂效果。
Webkit 团队正式推出 CSS Grid Lanes 功能,为网页布局带来全新可能性,尤其适用于灵活的瀑布流式内容展示,如照片画廊、新闻文章等。 (CSS Grid Lanes) #
https://webkit.org/blog/17660/introducing-css-grid-lanes/
Webkit 团队正式推出 CSS Grid Lanes 功能,为网页布局带来全新可能性,尤其适用于灵活的瀑布流式内容展示,如照片画廊、新闻文章等。
Grid Lanes 通过 display: grid-lanes 启用,结合 grid-template-columns 定义列布局,支持响应式设计。例如使用 repeat(auto-fill, minmax(250px, 1fr)) 可自动填充可用空间,创建自适应列数的布局,无需媒体查询或容器查询。
该功能支持多种高级布局特性:
- 自定义列宽:可通过
grid-template-columns实现交替宽窄列,如minmax(8rem, 1fr) minmax(16rem, 2fr) minmax(8rem, 1fr),确保首尾列始终为窄列。 - 跨列布局:使用
grid-column: span X可让元素跨越多个列,实现如报纸版式中大图或标题横跨多栏的设计。 - 精准定位:支持通过
grid-column: -3 / -1等语法将元素固定在特定列,例如将标题置于最后一列。 - 方向灵活:通过定义
grid-template-columns或grid-template-rows,可实现瀑布流(纵向)或砖块式(横向)布局,系统自动根据定义方向决定流式方向。
引入“容差”(item-tolerance)概念,控制布局算法对元素高度差异的敏感度。默认值为 1em,意味着小于 1em 的高度差异被视为相等,避免因微小差异导致内容顺序混乱,提升可访问性与用户体验。用户可调高容差值以减少布局抖动。
该功能已在 Safari Technology Preview 234 中上线,开发者可立即试用。CSS 工作组仍在讨论是否新增专门属性控制方向,但目前使用 grid-template-columns 或 grid-template-rows 已能正常工作。
Grid Lanes 使网页布局更智能、更高效,支持无限滚动加载、键盘导航、无需 JavaScript 布局逻辑,是现代响应式设计的重要突破。
HN 热度 704 points | 评论 213 comments | 作者:frizlab | 1 day ago #
https://news.ycombinator.com/item?id=46331586
- Safari 在 Web 兼容性测试中表现突出,尤其在 iOS 26 发布后引入了大量新功能,如 WebGPU 和 OPFS API 的完善。
- Safari 团队在近期显著提升了对现代 Web 标准的支持,例如新增了 field-sizing CSS 属性,解决了文本输入框无法自适应内容的长期问题。
- 有观点认为 Safari 的更新节奏与 Chrome 等浏览器不同,其“传统发布周期”导致功能和修复延迟,影响用户体验。
- 部分评论指出,Safari 的更新延迟并非出于技术原因,而是源于 Apple 内部的“非我所创”心态或对营销与系统团队控制权的偏好。
- 有人认为 Web 平台无需快速迭代,频繁更新是 Google 单方面推动的结果,存在“拥抱与扩展”(embrace and extend)的倾向。
- 反对者强调,批评 Safari 更新慢不应被简单归结为对 Chromium 的偏见,而是对实际发布节奏的客观质疑。
- 有观点认为,所谓“网站在 Safari 上崩溃”多是开发者只在 Chrome 上测试所致,缺乏渐进增强的设计思维。
- Web 开发者应更广泛地测试多浏览器,而非只依赖 Chrome,因为移动 Safari 在全球和美国市场占有率均很高。
- WebGPU 在 Safari 中早已通过实验标志启用,其支持并非突然出现,而是长期规划的结果。
- 一些人认为,对 Safari 的批评常被过度辩护,甚至将其问题美化为“特性”,反映出部分用户对 Apple 的盲目支持。
- 有开发者指出,Safari 的 bug 问题多与新功能相关,而并非整体质量差,且 Chrome 也曾存在长期未修复的严重问题。
- 为实现真正跨浏览器兼容,应依赖 WPT.fyi 等标准化测试项目,推动统一的规范实现,减少浏览器间非必要的差异。
空中客车计划将关键应用迁移至主权欧洲云 (Airbus to migrate critical apps to a sovereign Euro cloud) #
https://www.theregister.com/2025/12/19/airbus_sovereign_cloud/
欧洲航空航天巨头 Airbus 正准备启动一项重大招标,计划将关键的本地应用迁移至一个具备“数字主权”的欧洲云平台。此次迁移涉及 ERP、制造执行系统、CRM 及产品生命周期管理(如飞机设计)等核心系统。
Airbus 执行副总裁 Catherine Jestin 强调,此举主要出于对数据主权的考量,部分信息具有高度敏感性,需确保其完全受欧洲法律管辖。尽管微软、AWS 和谷歌已推出本地化解决方案,但欧盟企业仍担忧美国《云法案》(CLOUD Act)允许美国政府跨境调取数据,且微软曾在法国法院承认无法保证数据完全不受美国法律影响。
此外,特朗普重返白宫后加剧了地缘政治不确定性,进一步推动欧洲企业减少对美国科技巨头的依赖。Airbus 的招标预计于 2026 年初启动,合同金额预计超过 5000 万欧元,期限长达十年,强调价格稳定。
然而,Jestin 对能否找到符合要求的欧洲云服务提供商持保留态度,坦言“成功概率仅为 80%”。她指出,当前欧洲云服务商普遍缺乏足够规模与技术能力,能否在短时间内满足 Airbus 的复杂需求仍是未知数。
该动向反映出欧洲在推动本土数字基础设施建设方面的紧迫性,也凸显了全球科技格局下“数字主权”与“技术自主”之间的深层博弈。
HN 热度 431 points | 评论 383 comments | 作者:saubeidl | 16 hours ago #
https://news.ycombinator.com/item?id=46334533
- 欧洲推动将关键应用迁移至本土主权云,是为了降低美国政府对欧洲基础设施的潜在威胁,因美国近年来表现出对欧洲的敌意。
- 美国政府曾通过 NSA 支持波音公司对空客进行商业间谍活动,且在 2011 年已有明确记录,显示美国对欧洲企业存在系统性技术窃取行为。
- 欧洲曾因采购中国设备而面临安全风险,类似担忧如今也延伸至美国技术,因美国法律(如云法案)允许政府访问境外数据。
- 尽管欧洲在电信领域拥有爱立信和诺基亚等本土厂商,但其成本高、技术响应慢,难以与华为等中国厂商竞争,导致市场被后者占据。
- 欧洲在政治上虽公开反对使用中国设备,但实际采购仍受成本驱动,最终可能仍会回归美国技术,尤其当价格优势明显时。
- 有观点指出,美国将欧洲视为“头号敌人”,并试图通过支持欧洲内部反对派来颠覆其民主制度,因此使用美国技术风险极高。
- 一些评论质疑美国将欧洲视为敌人的说法缺乏依据,认为这是对美国国家安全战略的误读或夸大其词。
- 2014 年乌克兰危机中,美国被指通过外交手段支持乌克兰亲西方势力,被部分人视为“策划危机”的行为,加剧了欧洲对美国的不信任。
- 美国曾施压欧洲国家禁止使用华为设备,但自身却在推动对欧洲的干预,形成双重标准,引发对美国动机的质疑。
- 欧洲在历史上也存在对美国企业的间谍行为,如法国 DGSE 曾长期针对美国科技与航空企业,说明国家间技术竞争是普遍现象。
- 欧洲在能源等领域仍大量依赖美国资源,尽管通过第三方渠道进行,反映出其在地缘政治与经济上的矛盾处境。
- 有观点认为,欧洲在追求技术自主的同时,不应忽视成本与效率,但当前风险规避已超越成本考量,成为优先战略。
NIST 博尔德站点 NTP 服务因停电导致时间基准失效 (NTP at NIST Boulder Has Lost Power) #
NIST Boulder 的 NTP 服务因长时间停电导致原子钟时间基准失效。2025 年 12 月 17 日 UTC 22:23,NIST 博尔德校区遭遇停电,尽管有备用发电机,但关键发电机已确认故障,导致时间信号分发链路中断。
受影响的 NIST 互联网时间服务器包括: time-a-b.nist.gov time-b-b.nist.gov time-c-b.nist.gov time-d-b.nist.gov time-e-b.nist.gov ntp-b.nist.gov(认证 NTP 服务)
目前服务器仍通过备用电源运行,但为防止传播错误时间,已计划关闭服务。
停电原因系科罗拉多州博尔德地区强风引发输电线路损坏及电力公司为预防野火而实施的预断电措施。设施运营方已关闭非紧急区域,包括部分网络机柜,导致监控与控制能力大幅下降。
目前现场仍处于封闭状态,仅限紧急人员进入。恢复时间暂无明确估计,修复工作需待电力恢复及人员重返现场后才能展开。
NIST 团队正努力通过备用电源保护氢原子钟,以确保其在电池耗尽前维持稳定。若另一栋建筑中的备用时钟系统仍正常运行,未来可帮助重新校准主时间基准,而无需依赖外部参考信号。
HN 热度 417 points | 评论 188 comments | 作者:lpage | 17 hours ago #
https://news.ycombinator.com/item?id=46334299
- 高强度风暴导致博尔德地区停电,能源公司提前预警并主动切断电力以防止火灾。
- NIST 的备用发电机失效令人遗憾,但整体时间服务仍可通过全球其他多个时间服务器维持。
- 灾难应对计划是依靠全球分布的数十个一级时间服务器,即使单一节点故障也不会造成系统性崩溃。
- 博尔德本地用户受影响严重,但全球范围内的时间同步机制具备冗余和容错能力,可绕过受损节点。
- 人类历史上的时间观念本应基于自然日变化,现代时间制度如时区和 NTP 是人为控制的产物,服务于工业化管理需求。
- 准确的时间同步对现代社会至关重要,尤其在关键基础设施中不可或缺,不应因个人偏好而否定其价值。
- 时间同步不仅关乎准时上班,更涉及网络安全、金融交易、通信系统等核心领域,具有广泛实际意义。
- GPS 卫星系统依赖高精度时间,其时钟由美国海军控制,与 NIST 无直接关联,进一步增强了系统的可靠性。
- NIST 在博尔德以外还有多个备份时间源,包括科罗拉多大学及联邦机构的设施,确保服务连续性。
- 用于校准原子钟的房间极为敏感,禁止人员长时间停留或携带物品进入,以免影响测量精度。
- 一些旧式原子钟已退役,替换成本高昂,但有计划通过备用设备临时接管服务。
- 博尔德地区的光纤网络连接多个研究机构,用于高精度时钟比对和数据传输,提升了系统韧性。
自托管 PostgreSQL:两年实践经验分享 (Go ahead, self-host Postgres) #
https://pierce.dev/notes/go-ahead-self-host-postgres#user-content-fn-1
本文作者分享了自己两年来自行托管 PostgreSQL 数据库的实践经验,认为自托管不仅成本更低、性能更优,而且在稳定性与可控性方面表现良好。
作者指出,过去十年云服务商不断渲染“自托管数据库危险”的叙事,但事实上大多数云数据库服务(如 AWS RDS)本质上运行的仍是开源 Postgres,只是增加了运维工具和自动化管理。真正区别在于:云服务提供的是“运营价值”,而非技术突破。
作者通过实际迁移验证,将 RDS 数据库导出并恢复到自建服务器后,性能完全一致,甚至部分场景表现更优,因为可以自由调整数据库参数。
自托管的主要工作量集中在初期部署和定期维护上。作者总结了自己的运维节奏:
- 每周:检查备份状态、慢查询日志、磁盘使用趋势
- 每月:更新安全补丁、审查备份保留策略、进行容量规划
- 每季度:优化配置、测试灾备流程
尽管自托管需自行处理故障响应,但作者强调:即使使用云数据库,当服务中断时仍需由用户应对,且可操作空间更小。
文章最后指出,自托管适合绝大多数人,仅在以下情况不推荐:
- 初创项目希望快速上线,无需深入基础设施
- 超大规模企业已有专业数据库团队,外包更具规模效益
- 需要满足严格合规要求(如 HIPAA、PCI-DSS),需依赖有认证的托管平台
关键配置建议:
- 内存设置是核心:shared_buffers 建议设为内存的 25%,effective_cache_size 设为系统内存的 75%
- work_mem 应保守设置,避免过度消耗内存
- maintenance_work_mem 可设较大值,仅用于后台任务
- 连接数管理:虽然可调高最大连接数,但频繁新建连接开销大,应配合连接池(如 PgBouncer)使用
HN 热度 402 points | 评论 259 comments | 作者:pavel_lishin | 9 hours ago #
https://news.ycombinator.com/item?id=46336947
- 自托管数据库更多是责任归属问题,虽然能节省成本并提升性能,但将运维责任转移给云服务提供商能让管理者更安心。
- 云服务并非绝对可靠,如 Cloudflare 和 AWS 等大型服务商也频繁出现服务中断,管理成本和可靠性并非完全成正比。
- 企业选择云服务部分原因在于“甩锅”文化,当服务中断时可归咎于大型供应商,避免内部问责。
- 云服务的高成本背后是将故障风险转移给第三方,同时降低“单点依赖”(bus factor)带来的风险。
- 云服务能缓解 IT 人才短缺问题,因为其运维技能更通用,且有大量可快速上手的工程师资源。
- 自托管数据库在低流量场景下成本极低,但高流量或频繁数据同步场景下成本可能迅速上升。
- AWS Aurora Serverless V2 虽可缩放到零,但需满足最低空闲时间要求,且仍需支付最低费用,成本并不如想象中低。
- 使用 Kubernetes 上的 cnpg operator 等工具,自托管数据库在可观测性、备份和可移植性方面可超越云服务。
- 自托管数据库的备份和复制配置并不复杂,只要定期测试备份有效性,就能实现稳定可靠的数据管理。
- 云服务的复杂计费模式和功能碎片化让部分开发者觉得使用起来反而更麻烦。
- 硬盘故障、RAID 配置复杂、数据中心断电等硬件问题仍可能造成数据丢失,自托管需额外考虑灾备方案。
- 一台配置良好的 VPS 集群(如 Hetzner)配合 NVMe 硬盘,可提供远超预期的性能,适合长期稳定运行的项目。
隐私已不再重要,匿名才是关键 (Privacy doesn’t mean anything anymore, anonymity does) #
https://servury.com/blog/privacy-is-marketing-anonymity-is-architecture/
隐私不是营销口号,而是系统架构的必然选择。当前许多自称“注重隐私”的服务,实际上通过收集邮箱、手机号、身份证信息等完成用户身份绑定,本质上是“隐私表演”——拥有数据,却承诺保护。
真正的匿名性不是宣传语,而是一种设计原则:系统根本无法获取用户身份信息。以 Mullvad VPN 为例,警方持搜查令上门时,因系统未存储任何用户数据,只能无功而返。其核心是仅用 16 位随机数字作为账户标识,无邮箱、无姓名、无记录。
Servury 平台沿用相同理念:不收集邮箱、姓名、IP、支付信息、设备指纹或地理位置。用户仅需保管一个 32 位随机字符的凭证,账户状态仅包含余额和运行服务。没有密码找回、无验证流程,因为这些功能都依赖于身份信息的存储。
这种设计带来明确的权衡:一旦丢失凭证,账户永久无法恢复,连客服也无法协助。但这正是目的——无法被找回,意味着无法被劫持、无法被勒索、无法被泄露。执法机构无法强制提供用户身份,黑客无法通过钓鱼或重置邮件入侵。
邮箱是匿名性的最大障碍。它绑定身份、可追踪、持久存在,成为社会工程攻击的入口。因此,Servury 完全放弃邮箱注册,用户身份由随机凭证唯一标识。
支付方面,支持加密货币以切断身份与交易的关联,同时保留 Stripe 等传统方式,但明确告知用户:信用卡支付并非匿名。
需要强调的是,匿名不等于违法免责、不等于安全无忧、不等于完全隐身。它只是确保即使系统被攻破或被胁迫,也无法暴露用户身份。真正的匿名是“即使你愿意,也无法出卖用户”。
这种架构的核心价值在于:当信任失效时,系统仍能保护用户。互联网正分裂为“实名世界”与“匿名世界”,而云基础设施、代理服务等应属于后者——我们不该知道你是谁。
HN 热度 359 points | 评论 231 comments | 作者:ybceo | 18 hours ago #
https://news.ycombinator.com/item?id=46334025
- 服务器日志即使不用于关联用户账户,也可能在法律要求下被提供,存在隐私风险。
- 对于普通网站而言,日志记录虽看似无害,但用户无法掌控数据的使用,缺乏自主权。
- 将不同严重程度的隐私问题混为一谈是不合理的,应区分不同场景下的实际风险。
- 不能因为当前没有滥用数据的行为就忽视潜在威胁,未来可能发生的恶意行为需要提前防范。
- 保持基本的安全习惯和隐私保护措施是合理且必要的,不应被简单视为“过度担忧”。
- 即使不主动关联用户身份,IP 地址仍可能通过静态 IP 或长期租约等方式被识别。
- 仅将日志重定向到/dev/null 仍不彻底,需使用专门模块或更换服务器软件以彻底消除 IP 记录。
- Apache 和 Nginx 等传统 Web 服务器存在架构局限,不支持现代协议如 HTTP/3,可考虑使用 Caddy 等新方案。
2025 年:大语言模型的范式跃迁之年 (LLM Year in Review) #
https://karpathy.bearblog.dev/year-in-review-2025/
2025 年是大语言模型(LLM)发展的重要一年,涌现出多项具有颠覆性的范式变革。
第一,强化学习从可验证奖励(RLVR)成为新标准。这一技术通过在数学、代码等可验证环境中训练模型,使模型自发形成类似人类的推理能力,如分解问题、回溯修正等。相比传统的监督微调和人类反馈强化学习,RLVR 需要更长的训练周期和更多算力,但带来了更高的性能性价比。OpenAI 的 o3 版本是这一趋势的标志性成果,标志着模型能力的显著跃升。
第二,LLM 的智能形态被重新理解为“幽灵”而非“动物”。与人类智能基于生存进化的逻辑不同,LLM 的训练目标是模仿人类文本、获取奖励、赢得评分。因此其能力呈现“锯齿状”特征:在特定领域表现出天才级表现,而在其他方面却可能极为脆弱,容易被欺骗或误判。这一认知也导致对传统基准测试的信任下降,因为模型可通过合成数据等方式针对性优化,从而“碾压”基准但仍未接近通用人工智能(AGI)。
第三,Cursor 等新型 LLM 应用揭示了“LLM 应用层”的兴起。这类工具不仅调用 LLM,还实现上下文工程、多步骤任务编排、GUI 交互和自主性调节,形成垂直领域的智能工作流。未来 LLM 实验室可能提供通用能力,而应用层将通过私有数据、反馈机制和具体场景,将通用模型转化为专业级工具。
第四,Claude Code 首次展示了真正意义上的本地 AI 代理。它运行在用户本地计算机上,能持续调用工具、保持上下文、访问私有数据,实现长期、闭环的问题解决。相比云部署的代理,本地化部署更符合当前能力不均衡的现实,也带来了更自然、低延迟的交互体验。
第五,Vibe Coding(氛围编程)成为主流。借助 LLM 的强大理解与生成能力,用户仅用自然语言即可构建复杂程序,无需深入编码细节。这不仅让普通人也能参与编程,也极大提升了专业开发者的效率。例如作者在纳米聊天中用自然语言直接生成高效的 BPE 分词器,无需学习底层语言或依赖现有库。
HN 热度 349 points | 评论 135 comments | 作者:swyx | 1 day ago #
https://news.ycombinator.com/item?id=46330726
- Claude Code 被认为是今年最令人印象深刻的创新,其生成的代码风格与开发者自身习惯高度一致,几乎能“读心”,极大提升了编码效率和可维护性。
- 相比之下,Cursor 虽然也具备良好原型,但 Claude Code 在实际使用中更流畅、更贴近开发者的思维模式,尤其适合长期深度协作。
- 有用户表示,使用 Claude Code 后几乎不再手动写代码,整个开发流程由计划、提问、实现、审查、调整构成,实现了接近零手动编码的高效工作流。
- 由于测试成本极低,用户现在能够实现更高且更有意义的测试覆盖率,显著提升代码质量。
- 尽管存在对边缘场景或复杂逻辑处理能力不足的问题,但在常规开发任务中表现稳定可靠。
- Gemini(尤其是 Nano Banana)在图像处理方面表现出色,能快速完成复杂修图任务,如添加树叶、调整光影、修复不一致的阴影等,效果媲美专业设计软件。
- 用户反馈,通过 Nano Banana 可以获得具体的设计优化建议,并自动执行修改,大幅提升创作效率。
- 部分用户担忧代码上传至 AI 平台可能涉及版权泄露风险,但也有用户强调其代码仅在私有环境(如 AWS、自建仓库)中流转,安全性可控。
- 对于集成体验,部分用户偏好 Cursor 的原生界面与可视化差异对比功能,而另一些用户则更看重 Claude Code 与 IDE 的深度整合及更自然的交互流程。
- Cursor 的优势在于支持批量修改、实时差分预览和灵活中断,而 Claude Code 则需逐条审批,但可通过插件或设置实现自动接受。
- 有观点指出,Claude Code 提供了更完整的“代理式开发”体验,允许开发者真正主导系统构建过程,而非简单调用模型生成片段。
TP-Link Tapo C200:硬编码密钥、缓冲区溢出与隐私问题 (TP-Link Tapo C200: Hardcoded Keys, Buffer Overflows and Privacy) #
本文作者 Simone Margaritelli 分享了对 TP-Link Tapo C200 摄像头进行逆向工程的完整过程,重点展示了如何利用 AI 辅助技术发现多个安全漏洞。文章记录了一个周末的探索项目,旨在验证 AI 在嵌入式设备安全研究中的有效性。
作者首先通过公开的 AWS S3 存储桶获取了 Tapo C200 的固件镜像,该存储桶无需认证即可访问,包含 TP-Link 所有设备的历史固件版本。随后使用 tp-link-decrypt 工具解密固件,该工具基于 TP-Link 公开的 GPL 代码提取 RSA 密钥,成功解密后得到标准的 MIPS 架构固件结构:引导程序、内核和 SquashFS 根文件系统。
在分析过程中,作者结合 Ghidra 与 AI 工具 GhidraMCP(集成 Anthropic Opus 和 Sonnet 4 模型),实现高效逆向。AI 被用于理解函数逻辑、重命名变量和参数,使原本难以阅读的反汇编代码逐步转化为可读的伪代码,极大提升了分析效率。
关键发现包括:
- 固件中硬编码了 SSL 私钥,攻击者可利用该密钥在局域网内对 HTTPS 流量进行中间人攻击,实现视频流解密。
- 发现多个缓冲区溢出漏洞(CVE-2025-8065、CVE-2025-14299、CVE-2025-14300),这些漏洞可能被远程利用,影响约 2.5 万台直接暴露在互联网上的设备。
- 通过 AI 辅助,快速定位了设备发现协议、Web API 接口和视频流处理模块的代码入口点。
作者强调,本项目不仅验证了 AI 在逆向工程中的强大辅助能力,也展示了即使对经验较少的研究者,也能借助 AI 快速入门嵌入式安全分析。整个过程被完整记录在 Arcadia 平台,提供原始视频与截图供参考。
HN 热度 330 points | 评论 107 comments | 作者:sibellavia | 1 day ago #
https://news.ycombinator.com/item?id=46329038
- 开放的 S3 存储桶存放固件是合理的,不应被视为安全缺陷,因为固件本应公开供用户获取。
- 将开放 S3 桶描述为“逆向工程师的糖果屋”带有贬义和炫耀意味,容易误导读者认为这是严重安全问题。
- 固件公开访问是良好实践,与开源项目类似,不应因使用 S3 而被过度批评。
- 用“每个版本”“所有设备”等绝对化表述夸大问题,缺乏客观性,属于写作技巧上的渲染。
- 与 HTTPS 公开网站相比,开放 S3 桶并无本质安全差异,主要风险在于误操作写入,但可通过配置避免。
- 限制公开访问固件反而会增加用户获取难度,不利于安全研究和透明度。
- 该文章语气带有优越感,容易让管理层误判,导致反而关闭本应开放的资源。
- 作者强调开放固件获取的便利性,实为表达对研究便利性的满意,而非批评 TP-Link。
- 用 LLM 生成的文章常缺乏语义层次,语气统一,容易显得过度兴奋或刻意强调,需谨慎阅读。
- 用 AI 辅助写作可能削弱作者独立思考能力,长期依赖会削弱认知能力。
你 now 可在浏览器中畅玩《侠盗猎车手: Vice City》 (You can now play Grand Theft Auto Vice City in the browser) #
https://dos.zone/grand-theft-auto-vice-city/
这是一个基于网页的《侠盗猎车手: Vice City》技术演示项目,由开源引擎 reVC 实现,可在浏览器中直接运行。项目通过 WebAssembly 和现代浏览器 API 重新构建了原游戏的底层系统,包括渲染、输入、音频和文件访问,实现了无需安装的流畅体验。
该演示仅用于技术展示和教育目的,不包含任何原始游戏资源。用户需自行合法获取并提供原始游戏文件,系统通过 SHA-256 校验验证资产所有权。演示版本仅使用最小且不完整的资源,仅限在 dos.zone 域名内运行,不对外公开或索引游戏内容。
项目明确声明与 Rockstar Games 及《侠盗猎车手》系列无任何关联,不构成商业使用或侵权。所有软件组件基于 GitHub 上公开的 re3/reVC 项目,遵循其开源许可证。若版权所有者认为内容侵权,可联系项目方处理。
网站提供订阅支持,旨在持续维护无广告、免费的经典游戏体验。项目由 js-dos 引擎驱动,支持多平台访问,是现代浏览器运行复杂经典游戏的前沿实践。
HN 热度 325 points | 评论 94 comments | 作者:Alifatisk | 1 day ago #
https://news.ycombinator.com/item?id=46329696
- 老游戏应被开源,以确保社区能延续其生命力,避免游戏因厂商放弃而“腐烂”。
- 即使游戏已超过十年未更新,仍可能因持续的在线服务或重制版而保持商业价值,因此开源建议面临现实挑战。
- 一些经典游戏如《上古卷轴 5》和《辐射 4》虽已多年,仍被不断重制和销售,类似“专利过期后重新包装”的商业模式。
- 建议将版权期限缩短至合理范围,例如游戏发布后 15 年,以促进文化共享。
- 为防止版权被长期闲置,可设定每十年未在新硬件上运行即自动进入公有领域,激励厂商进行重制。
- 通过支付小额费用可选择性地保留版权,但多数版权方可能只为维持权利而支付,缺乏实际投入。
- 人们对过去时代的怀旧感随年龄增长而减弱,因为时间在生命中占比变小,主观时间感知加快。
- 当代文化变迁速度较慢,2003 年与 2013 年、2013 年与 2023 年之间的差异不如 1980 年代与 1990 年代之间明显。
- 游戏的核心乐趣在于玩法而非画面,即使在浏览器中运行,也能带来极强的沉浸感和乐趣。
- 该浏览器版《GTA: Vice City》基于反向工程的 reVC 项目,使用 Emscripten 将原生代码转为 WebGL 运行。
- 该网站“dos.zone”提供了多款经典游戏的浏览器版本,包括《半条命》《毁灭战士》等,均基于逆向工程实现。
- 由于网站托管在俄罗斯,可能对版权问题采取较宽松的态度,因此存在法律灰色地带。
- 游戏演示版本已包含完整地图和大量资源,但需用户自行提供完整游戏文件才能解锁全部内容。
- 《GTA 2》《GTA 1》《Carmageddon》《Urban Chaos》等经典游戏也已实现浏览器运行,唤起玩家童年回忆。
- 《Urban Chaos》曾被玩家误记为“女性警察追捕罪犯”的游戏,后确认为正确名称,引发怀旧共鸣。
Charles Proxy (Charles Proxy) #
Charles 是一款适用于 Windows、macOS 和 Linux 的 HTTP 代理/HTTP 监控工具,专为开发者设计,用于查看机器与互联网之间的所有 HTTP 和 SSL/HTTPS 流量,包括请求、响应及 HTTP 头信息(如 cookies 和缓存信息)。
最新动态显示,2025 年 9 月 20 日发布了 Charles 5.0.3 版本,修复了 macOS 上的性能问题并包含若干小改进。2025 年 8 月 9 日发布了 5.0.2 版本,包含错误修复和优化。2025 年 3 月 12 日,Charles 5 正式发布,带来重大用户界面升级和底层技术革新。
在 2024 年 1 月,Charles 5 公开测试版 13 推出,重点优化了 Windows 平台的用户体验,支持深色模式。此后多个测试版本陆续发布,持续提升 UI 美观度、性能表现,并引入新功能。
此前版本中,2023 年 4 月发布的 Charles 5 公开测试版已开启重大 UI 改进与技术升级。2021 年 11 月,Charles 4.6 发布,新增功能并提升稳定性。2020 年 11 月,修复了 macOS 深色模式支持问题。
安全方面,2021 年 12 月确认 Charles 未使用 log4j,因此不受 log4j2 漏洞影响。2018 年 5 月,发布安全公告,修复了 Charles 4.2 和 3.12.1 及更早版本中的本地提权漏洞。
功能演进方面,Charles 4.0 版本引入了对 HTTP/2 和 IPv6 的支持,4.2 版本增强了 TLS 调试能力,3.11 版本带来重大新功能,3.9 版本支持“聚焦”特定主机以减少干扰。2013 年起,Charles 开始集成内置 Java 运行时,简化安装流程。
此外,2018 年推出 Charles for iOS,支持移动端抓包。2017 年起,陆续支持 Brotli 压缩、HAR 和 SAZ 文件导入等功能。2009 年起,逐步完善 SSL 支持,包括对 iOS 9 ATS 的兼容性。
总体来看,Charles 持续迭代,聚焦提升用户体验、安全性和功能完整性,是开发者调试网络请求不可或缺的工具。
HN 热度 283 points | 评论 105 comments | 作者:handfuloflight | 18 hours ago #
https://news.ycombinator.com/item?id=46333983
- Charles Proxy 是一款值得付费的网络调试工具,其免费替代品如 mitmproxy 和 Wireshark 在易用性或功能上各有不足。
- mitmproxy 功能强大且可脚本化,适合高级用户进行复杂的流量分析和拦截,但其界面和快捷键设计在更新后变得不够友好。
- 有开发者尝试用 iOS 的 Packet Tunnel API 和 mitmproxy 构建类似 Charles Proxy 的功能,但受限于 Apple 需要付费开发者账号才能测试,体验不佳。
- Android 系统本身已具备运行完整 Linux 用户空间的能力,通过 Termux 或 AOSP 可以实现接近桌面 Linux 的环境,且 Android 的 binder 架构在隔离性方面优于其他方案。
- WireGuard 结合 mitmproxy 可实现远程流量监控,只需在手机上启用 WireGuard 并导入配置,配合信任的证书即可在服务器端查看加密流量。
- Burp Suite 虽功能强大,但采用订阅制,而 Charles Proxy 采用一次性购买模式,支持永久使用,对用户更友好。
- ZAP 和 Wireshark 是其他可选工具,Wireshark 适合被动抓包和网络故障排查,但无法解密 HTTPS 流量,除非配合密钥导出。
- 大模型在编写多层协议处理代码时表现不佳,常陷入细节而难以抽象,但在已有接口定义的情况下能快速实现扩展和可视化。
- 一些开发者推荐使用 Docker 版本的 mitmproxy 来简化部署,或结合 Frida 解决应用证书绑定问题。
纯硅演示编码:无 CPU,无内存,仅 4k 门电路 (Pure Silicon Demo Coding: No CPU, No Memory, Just 4k Gates) #
https://www.a1k0n.net/2025/12/19/tiny-tapeout-demo.html
本文介绍了一个名为“Pure Silicon Demo Coding”的极简 ASIC 设计项目,该设计仅使用约 4000 个逻辑门,在 Tiny Tapeout 8 竞赛中实现了 2-bit RGB 视频输出和 1-bit 音频输出。项目包含两个演示:一个复古风格的 C64/Amiga 风格开场动画,另一个是 Nyan Cat 动画。
设计基于自定义的 1220x480 分辨率和 48MHz 时钟,虽在 FPGA 上原型验证时因非标准视频模式导致数字捕获画面出现抖动和混叠,但在真实 CRT 显示器上效果极佳。开发过程中使用 Verilator 进行 C++ 级仿真,通过 SDL 窗口渲染视频并生成演示视频;实际硬件部署在 OrangeCrab FPGA 上,采用 R-2R 电阻网络实现 RGB222 输出,音频通过 sigma-delta 调制经 RC 滤波输出,音质清晰。
为在极小的逻辑门资源下实现丰富效果,设计中大量使用状态机,避免使用 ROM 和 RAM,所有状态均以触发器(flip-flop)存储,因此对状态位数量极为敏感。最终设计共使用 3374 个标准单元,包含 293 个触发器,几乎填满整个芯片面积。
关键优化包括:
- 使用有序抖动提升 RGB222 的色彩表现力;
- 文字渲染采用逻辑压缩方式,利用地址模式的重复性(如字符宽度为 2 的幂)减少逻辑开销;
- 避免使用传统正弦查找表,改用 Minsky 在 HAKMEM 149 中提出的对称积分器,通过逐周期旋转向量生成正弦波,仅需少量移位和加法操作,大幅节省面积;
- 高精度向量每帧更新一次,低精度向量每扫描线初始化一次,再在每个时钟周期微调,实现高效且视觉流畅的波浪滚动文字。
文章强调,在无 ROM、无 RAM 的约束下,数据编码应优先考虑“算法复杂度”而非“数据量”,即利用重复模式和逻辑结构压缩数据,使看似复杂的图形与动画在极小面积内实现。该设计充分体现了“极小化硬件”下的创意与工程智慧。
HN 热度 263 points | 评论 40 comments | 作者:a1k0n | 8 hours ago #
https://news.ycombinator.com/item?id=46337438
- 有人对 HAKMEM 中提到的 sin/cos 生成器的长期稳定性表示好奇,发现其在精确算术下特定条件下是稳定的,且与 Verlet 积分方法有相似之处。
- 有评论建议从仿真开始,再转向 FPGA 开发,认为 FPGA 能让人设计自己的 SoC,实现如复制多个 I2C 端口等操作,或为软件中耗时操作编写加速器。
- 对于初学者,推荐使用 Verilator 作为现代仿真工具,虽然它不支持加密 IP 和混合语言仿真。
- 互联网虽然可能导致文化同质化,但实际上促进了文化分化,使各种亚文化更容易形成并跨越国界。
- 在互联网出现前,电视、广播等媒体创造了共享的主流文化,人们会讨论同一节目内容,形成共同话题。
- 有人回忆起因不看热门剧集《迷失》而感到孤立的经历,反映了过去文化共享的普遍性。
- 有人指出“纯硅”一词不准确,因为硅本身是掺杂的,且 CPU 和内存也由硅制成,更准确的说法应是“4K 门电路,无时钟,无同步,无定时”。
- 有人认为硬件与软件在逻辑上是等价的,写硬件如同写软件,但并行性更便宜,错误代价更高。
- 有人计划使用 Tiny Tapeout 制作可编程模拟阵列(FPAA),但担心无法在限定面积内完成。
- “无 x,无 y,只有 z”这一表达模式可能源于 ChatGPT,但其在流行语中已扩散,引发关于语言被 AI 影响的讨论。
- 有人认为这种语言模式是文化被 AI 污染的迹象,类似于广告语被重复,令人不适。
- 也有人认为语言变化是自然的,文化本身也在不断被各种媒介影响,不应过度反应。
- 有人指出,与广告语相比,AI 生成的表达缺乏创意,反而更糟糕。
- 有人质疑 AI 生成语言是否源于已有用法,但承认其在 ChatGPT 流行后迅速传播。
- 有人回忆起修理老式弹球机的愉快经历,与当前项目有共鸣。
- 有人指出当前“开放穿梭”项目中,仅 4KB SRAM 的许可证费用高达 2500 美元,且无 GPIO 接口。
- 有人认为只要有寄存器、触发器或 ROM,就不能说“无内存”,这种说法过于较真。
- 有人调侃说,如果连电容都算记忆,那模拟信号处理可能更“无内存”。
- 有人指出视频无法播放的问题,但刷新后解决,并希望看到真实硬件上的演示。
Hacker News 精彩评论及翻译 #
Brown/MIT shooting suspect found dead, officials s… #
https://news.ycombinator.com/item?id=46330891
I work on campus (very very close to the engineering building) and I previously lived near Brookline. So all of this hits home.
But what got me was the tipster who blew wide open the case is reportedly a homeless Brown graduate who lived in the basement of the engineering building (a la South Korean film Parasite). It made me so sad but also not surprised, that building does have a single occupancy bathroom with showers; and no keycard access was needed in the evening until 7pm.
So it made sense to me that he or she would’ve used that building for shelter and comfort. Also it didn’t boggle my mind at all that a Brown grad (from the picture, the tipster looked like a artistic Brown student vs. the careerist type) would be homeless - given that I known many of my classmates who have a certain personality, brilliant but also idealistic/uncompromising that made them brittle unfortunately in a society that rewards conformity, settling and stability.
I can’t get over the fact that two Brown student whom presumably have fallen on the wayside of society have chosen two different paths, (1) the homeless guy who still perseveres even in the basement of Barrus & Holley for 15 years a la Parasite after 2010 graduation but still has the situational awareness and rises to the occasion to give the biggest tip to the Providence Police, (2) the other guy who harbors so much resentment over a course of 25 years to plan a trip from Florida to gun down innocent kids who are 18 and 19 and his classmate when they were 18 and 19 year old.
noname123
我在校园工作(离工程学院非常非常近),以前也住在布鲁克莱恩(Brookline)附近。所以这一切都让我感同身受。
但真正让我触动的是,据报道,那位一举破案的人,是一位住在工程学院地下室的无家可归的布朗大学毕业生(类似韩国电影《寄生虫》里的情节)。这让我感到非常难过,但又觉得并不意外,因为那栋楼确实有带淋浴的单人卫生间,并且晚上7点前都不需要门禁卡。
因此,在我看来,他或她把那栋楼当作栖身之所和慰藉,是合乎情理的。而且,我也一点也不惊讶一位布朗大学的毕业生会无家可归——从照片来看,这位举报者看起来像个有艺术气质的布朗学生,而不是那种追求事业的人。鉴于我认识很多有特定性格的同学,他们才华横溢,但又充满理想主义且绝不妥协,这种性格让他们在奖励顺从、安分和稳定的社会里,不幸变得脆弱不堪。
我无法释怀的是,两位布朗大学学生,他们都被社会边缘化了,却选择了两条截然不同的道路:(1) 那位无家可归的人,从2010年毕业后就一直像电影《寄生虫》里那样,在巴勒斯和霍利(Barrus & Holley)的地下室里坚持了15年,但他依然保持着环境意识,抓住时机向普罗维登斯警方提供了最重要的线索;(2) 另一个人,却在长达25年的时间里心怀怨恨,策划从佛罗里达州前来,用枪射杀那些在他18、19岁时和他同龄的无辜学生。
TP-Link Tapo C200: Hardcoded Keys, Buffer Overflow… #
https://news.ycombinator.com/item?id=46330416
I’m a little frustrated with articles like this that scattershot their critique by conflating genuine failures with problems that even FAANGs struggle with.
In particular, I don’t love it when an article attacks a best practice as a cheap gotcha:
“and this time it was super easy! After some basic reversing of the Tapo Android app, I found out that TP-Link have their entire firmware repository in an open S3 bucket. No authentication required. So, you can list and download every version of every firmware they’ve ever released for any device they ever produced”
That is a good thing - don’t encourage security through obscurity! The impact of an article like this is as likely to get management to prescribe a ham-handed mandate to lock down firmware as it is to get them to properly upgrade their security practices.
rao-v
我对这类文章感到有些恼火,它们将真正的失败与连 FAANG 公司都难以避免的问题混为一谈,进行漫无目标的批评。
特别是,我非常反感文章为了寻找廉价噱头而去攻击最佳实践的行为:
“这次简直太简单了!在 Tapo Android 应用上进行了一些基本的逆向工程后,我发现 TP-Link 将其整个固件库都放在一个公开的 S3 存储桶里,不需要任何身份验证。因此,你可以列出并下载他们为任何一款生产过的设备发布过的所有固件的每一个版本。”
这是一件好事——不要鼓励“通过隐藏来保证安全”的做法!这类文章的影响,既可能促使管理层颁布一项笨拙的命令来锁死固件,也可能促使他们正确地升级其安全实践。
CSS Grid Lanes #
https://news.ycombinator.com/item?id=46332259
Props to the Safari team. They surprised us all when they suddenly shot to the top of interop-2025 this October
culi
向Safari团队致敬。今年10月,他们突然一跃成为interop-2025的第一名,让我们所有人都感到惊讶。
Airbus to migrate critical apps to a sovereign Eur… #
https://news.ycombinator.com/item?id=46334787
Some people in the US deride it’s close allies as “freeloaders” because they choose to use and buy US tech, reinforcing the US’s position as a global powerhouse. (Meanwhile US tech is built on the shoulders of their allies.) Now we see these same allies are starting to look inward and invest in technology they own completely because the US is acting decisively not like an ally. Something unthinkable since WW2.
I don’t see this news as anything but a good thing. For every technology out there, the EU needs a native alternative. It’s clear the current US administration wants to make the EU worse based on a politics of grievance.
flumpcakes
一些美国人嘲笑其亲密盟友是“搭便车者”,因为他们选择使用和购买美国技术,从而巩固了美国作为全球强国的地位。(与此同时,美国的技术却是建立在其盟友的肩膀上。)现在我们看到,这些盟友开始向内看,投资于他们完全拥有的技术,因为美国的表现完全不像一个盟友。这是自二战以来不可想象的事情。
我认为这则新闻绝不是什么坏事。对于每一种技术,欧盟都需要一个本土的替代方案。很明显,当前的美国政府基于一种怨恨政治,想要让欧盟变得更糟。
Texas is suing all of the big TV makers for spying… #
https://news.ycombinator.com/item?id=46323710
ACR — Automatic Content Recognition: tech in some smart TVs/apps that identifies what’s on-screen (often via audio/video “fingerprints”) and can report viewing data back to vendors/partners.
VPPA — Video Privacy Protection Act: a U.S. law aimed at limiting disclosure of people’s video-viewing/rental history.
HDCP — High-bandwidth Digital Content Protection: an anti-copy protocol used on HDMI/DisplayPort links to prevent interception/recording of protected video.
DRM — Digital Rights Management: a broad term for technical restrictions controlling how digital media can be accessed, copied, or shared.
MPAA — Motion Picture Association of America: the former name of the main U.S. film-industry trade group (now typically called the MPA, Motion Picture Association).
TV / TVs — Television(s).
thomasahle
ACR — 自动内容识别:一些智能电视/应用中的技术,用于识别屏幕上的内容(通常通过音频/视频“指纹”),并能将观看数据报告给供应商/合作伙伴。
VPPA — 《视频隐私保护法》:美国的一项法律,旨在限制人们视频观看/租赁历史的披露。
HDCP — 高带宽数字内容保护:一种用于 HDMI/DisplayPort 连接的防复制协议,用于防止受保护视频被截获或录制。
DRM — 数字版权管理:一个广义术语,指用于控制数字媒体如何被访问、复制或共享的技术限制措施。
MPAA — 美国电影协会:美国主要电影行业协会的旧名(现通常被称为 MPA,即“电影协会”)。
电视
NTP at NIST Boulder Has Lost Power #
https://news.ycombinator.com/item?id=46334864
Wind gusts were reaching 125 MPH in Boulder county, if anyone’s curious. A lot of power was shut off preemptively to prevent downed power lines from starting wildfires. Energy providers gave warning to locals in advance. Shame that NIST’s backup generator failed, though.
arn3n
如果有人好奇的话,博尔德县的阵风风速达到了125英里/小时。为了防止倒下的电线引发野火,当地提前切断了大量电力。电力供应商也提前向当地居民发出了警告。不过,美国国家标准与技术研究院(NIST)的备用发电机发生故障,真是可惜。
History LLMs: Models trained exclusively on pre-19… #
https://news.ycombinator.com/item?id=46322339
Imagine you could interview thousands of educated individuals from 1913—readers of newspapers, novels, and political treatises—about their views on peace, progress, gender roles, or empire. Not just survey them with preset questions, but engage in open-ended dialogue, probe their assumptions, and explore the boundaries of thought in that moment.
Hell yeah, sold, let’s go…
We’re developing a responsible access framework that makes models available to researchers for scholarly purposes while preventing misuse.
Oh. By “imagine you could interview…” they didn’t mean me.
seizethecheese
想象一下,你能采访1913年的数千名受过教育的人——报纸、小说和政论文的读者——询问他们对和平、进步、性别角色或帝国的看法。不仅仅是用预设的问题去调查他们,而是与他们进行开放的对话,探究他们的假设,并探索那个时代思想的边界。 太棒了,就这么定了,我们走吧…… 我们正在制定一个负责任的访问框架,该框架使模型可用于学术研究,同时防止其被滥用。 哦。“想象一下你能采访……”这话,说的不是我。
Brown/MIT shooting suspect found dead, officials s… #
https://news.ycombinator.com/item?id=46330824
Worth noting that a partner at Sequoia (Shaun Maguire) publicly accused the wrong guy of being the shooter.
https://www.fastcompany.com/91463942/sequoia-shaun-maguire-brown-university-shooter-palestine
Aliabid94
值得一-提的是,红杉资本的一位合伙人(肖恩·马奎尔)曾公开指控了错误的枪手。
Graphite is joining Cursor #
https://news.ycombinator.com/item?id=46327523
We’ve heard this many times before with other acquisitions so don’t be upset if people are a bit skeptical.
zeroonetwothree
对于其他收购,我们早就听过这种说法了,所以如果大家有所怀疑,也请不要介意。
Rust’s Block Pattern #
https://news.ycombinator.com/item?id=46330537
I have one better: the try block pattern.
https://doc.rust-lang.org/beta/unstable-book/language-features/try-blocks.html
koakuma-chan
我有一个更好的:try块模式。https://doc.rust-lang.org/beta/unstable-book/language-features/try-blocks.html
Backing Up Spotify #
https://news.ycombinator.com/item?id=46338973
This is insane.
I definitely was not aware Spotify DRM had been cracked to enable downloading at scale like this.
The thing is, this doesn’t even seem particularly useful for average consumers/listeners, since Spotify itself is so convenient, and trying to locate individual tracks in massive torrent files of presumably 10,000’s of tracks each sounds horrible.
But this does seem like it will be a godsend for researchers working on things like music classification and generation. The only thing is, you can’t really publicly admit exactly what dataset you trained/tested on…?
Definitely wondering if this was in response to desire from AI researchers/companies who wanted this stuff. Or if the major record labels already license their entire catalogs for training purposes cheaply enough, so this really is just solely intended as a preservation effort?
crazygringo
太疯狂了。
我之前完全不知道Spotify的DRM(数字版权管理)被破解到了可以如此大规模下载的程度。
但问题是,这对于普通消费者/听众来说似乎没什么特别的用处,毕竟Spotify本身已经非常方便了。而且要在包含上万首曲子的巨大种子文件中找到特定的曲目,听起来就够糟糕的。
但对于从事音乐分类和生成等领域的研究人员来说,这似乎是个天大的福音。唯一的问题是,你总不能公开承认自己到底是在哪个数据集上进行训练/测试的吧?
我很好奇,这是否是为了回应那些想要这些数据的AI研究人员或公司的需求。又或者,主要的唱片公司是否已经以足够便宜的价格授权了他们的整个曲目目录用于训练目的,所以这真的仅仅是一项旨在保存音乐的努力?
NTP at NIST Boulder Has Lost Power #
https://news.ycombinator.com/item?id=46334829
Time travel is extremely dangerous right now. I highly recommend deferring time travel plans except for extreme temporal emergencies.
autarch
目前时间旅行极其危险。我强烈建议推迟时间旅行计划,除非是极端的时间紧急情况。
Android introduces $2-4 install fee and 10–20% cut… #
https://news.ycombinator.com/item?id=46334110
The apparent information gathering and brutal review process is unbelievable here. If I’m understanding this correctly, the requirement is that eg Epic Game Store must register and upload every single APK for every app they offer, and cannot offer it in their store until Google approves it, which may take a week or more - including every time the app updates.
Meanwhile they get full competitive insight into which apps are being added to Epics store, their download rates apparently, and they even get the APKs to boot, potentially making it easier for those app devs to onboard if they like, and can pressure them to do so by dragging their feet on that review process.
Provide direct, publicly accessible customer support to end users through readily accessible communication channels.
This is an interesting requirement. I want to see someone provide the same level of support that Google does to see if it draws a ban.
hirsin
这里明目张胆的信息收集和严苛的审查流程真是难以置信。如果我没理解错的话,要求是,例如Epic Game Store必须为他们提供的每款应用注册并上传每一个单独的APK,并且在谷歌批准之前,不能在自己的商店中上架该应用——这个过程可能需要一周或更长时间——包括每次应用更新的情况。与此同时,他们可以获得全部的竞争情报,了解有哪些应用被添加到Epic商店、这些应用的下载率,甚至还能拿到这些APK文件。如果谷歌愿意,这可能会让那些应用开发者更容易入驻其平台,并且谷歌可以通过在审查过程中故意拖延来施压,迫使他们这样做。
“通过易于访问的沟通渠道,为终端用户提供公开、直接可访问的客户支持。” 这真是个有趣的要求。我真想看看有没有哪家公司能提供和谷歌同等级别的客户支持,看看他们会不会因此被封禁。
Android introduces $2-4 install fee and 10–20% cut… #
https://news.ycombinator.com/item?id=46334197
The fact that this is being introduced after the whole Epic/Apple thing clearly shows that the penalties in that case were not nearly severe enough and the standards set were not nearly stringent enough. The mere attempt to engage in policies like this should result in fines in the hundreds of billions.
BrenBarn
在经历了整个Epic/Apple事件之后,又有人试图推行类似的政策,这清楚地表明,当初的处罚远不够严厉,设立的标准也远不够严格。仅仅尝试推行这样的政策,就应该处以数千亿美元的罚款。
Graphite is joining Cursor #
https://news.ycombinator.com/item?id=46328603
Yeah, hard disagree on that one, based on recent surveys, 80-90% of developers globally use IDEs over CLIs for their day-to-day work.
I was pretty worried about Cursor’s business until they launched their Composer 1 model, which is fine-tuned to work amazingly well in their IDE. It’s significantly faster than using any other model, and it’s clearly fine-tuned for the type of work people use Cursor for. They are also clearly charging a premium for it and making a healthy margin on it, but for how fast + good it’s totally worth it.
Composer 1 + now eventually creating an AI native version of GitHub with Graphite, that’s a serious business, with a much clearer picture to me how Cursor gets to serious profitability vs the AI labs.
jonathannorris
不,我对此强烈反对。根据最近的调查,全球80-90%的开发者在日常工作中使用的是集成开发环境(IDE)而不是命令行界面(CLI)。
在Cursor推出其Composer 1模型之前,我其实还挺担心他们的业务的。该模型经过专门微调,能在他们的IDE中发挥出惊人的效果。它比使用任何其他模型都快得多,而且显然是为人们在Cursor中从事的工作类型而量身定制的。
他们显然为这个模型卖了个高价,利润也很可观,但考虑到它的速度和性能,这绝对是物有所值的。
Composer 1再加上现在通过Graphite最终打造一个AI原生版的GitHub,这可是一项大生意。与那些AI实验室相比,Cursor如何实现真正的盈利,这一点现在对我来说清晰多了。
Airbus to migrate critical apps to a sovereign Eur… #
https://news.ycombinator.com/item?id=46335170
Freeloading?
My country spends less on defence as a percentage of GDP than the US. But it spends much of that with US companies. This is not Freeloading. It was a deal. Cancel TSR-2, and buy American and we will lend you some money. Cancel your nuclear program and buy US submarine launched missiles and we will help you look after yourself. Now let Visa and Mastercard skim off all your transactions and we will keep you secure to keep the money flowing. Sweetheart tax deals for US companies to operate, and we will keep you safe to keep the money flowing. It is not Freeloading, it is colonialism
jimnotgym
搭便车吗?
我国在国防上的开支占GDP的比例低于美国。但它将其中很大一部分花在了美国公司身上。这并不是在搭便车。这是一笔交易。取消TSR-2项目,然后购买美国货,我们就会借给你们一些钱。取消你们的核计划,购买美国的潜射导弹,我们就会帮助你们照顾好自己。现在,让万事达(Mastercard)和维萨(Visa)从你们的每一笔交易中抽走一部分提成,我们则会确保你们的安全,以保持资金流动。给在美国运营的公司提供优惠的税收待遇,我们则会保护你们的安全,以保证资金继续流动。这不是搭便车,这是殖民主义。
Hacker News front page now, but the titles are hon… #
https://news.ycombinator.com/item?id=46327626
A good Friday morning laugh! I think the tiles are not just honest, they are brutally honest. Some of my fav ones:
-
Amazon finally adds a feature that has been standard since 2005
-
Texas accidentally does something good for privacy
Would it possible to add a feature where hovering over a title displays the original title?
laser9
周五清晨的一则好笑事!我觉得这些标题不只是真实,简直是残酷的真实。我最喜欢的几个是:
- 亚马逊终于添加了2005年就该有的标准功能
- 德克萨斯州无意中为隐私保护做了一件好事
是否可以添加一个功能,当鼠标悬停在标题上时,会显示原标题?
History LLMs: Models trained exclusively on pre-19… #
https://news.ycombinator.com/item?id=46322100
It would be interesting to see how hard it would be to walk these models towards general relativity and quantum mechanics.
Einstein’s paper “On the Electrodynamics of Moving Bodies” with special relativity was published in 1905. His work on general relativity was published 10 years later in 1915. The earliest knowledge cuttoff of these models is 1913, in between the relativity papers.
The knowledge cutoffs are also right in the middle of the early days of quantum mechanics, as various idiosyncratic experimental results were being rolled up into a coherent theory.
anotherpaulg
看看要引导这些模型走向广义相对论和量子力学会有多困难,想必会很有趣。爱因斯坦提出狭义相对论的论文《论运动物体的电动力学》发表于1905年,而他的广义相对论研究成果则在10年后的1915年发表。这些模型的知识截止点是1913年,正好介于这两篇相对论论文之间。这些模型的知识截止日期也正值量子力学发展的早期,当时各种独特的实验结果正被整合成一个连贯的理论。