2026-01-02 Hacker News Top Stories #
- 2025 年被称为“推理之年”,RLVR 等技术显著提升大语言模型的多步推理与工具调用能力,同时暴露过度自信、粗制滥造与能耗和治理问题。
- 沃伦·巴菲特卸任伯克希尔 CEO,管理权交给格雷格·阿贝尔但仍任董事长,核心去中心化策略大体延续且面临增长与资本运用挑战。
- 作者因出版社在难度、风格、插图与稿酬上的苛刻要求取消图书合同,转而自出版以保留创作控制权。
- 研究发现多款使用 Airoha 芯片的蓝牙耳机存在可远程读取/写入固件并窃取配对密钥的严重漏洞,可能导致手机被劫持与远程监听。
- 弹窗广告再次泛滥,作者呼吁浏览器厂商推出“弹窗拦截 2.0”以恢复用户体验并优先保护用户利益。
- OpenWorkers 提供基于 rusty_v8 的自托管 Cloudflare Workers 兼容方案,通过模块化部署与资源限制旨在避免厂商锁定并支持常见绑定与 API。
- 苹果在 iOS 26.2+ 中允许日本地区使用非 WebKit 浏览器引擎,但仅在满足严格兼容性、安全、隐私与分发限制的条件下开放。
- 作者反思疫情与便利生活导致的社交萎缩,主动重启社交生活并强调社区在情感支持和归属感中的不可替代性。
- ACM 自 2026-01-01 起对其数字图书馆实施全面开放获取,提供免费“基础版”和付费“高级版”,但仍伴随 APC 与分级功能问题。
- 路透报道 Meta 为规避监管并保护收入,选择降低诈骗广告对监管者与记者的可发现性而非彻底清除,暴露平台治理与商业利益冲突。
2025:大语言模型的转折之年 (2025: The Year in LLMs) #
https://simonwillison.net/2025/Dec/31/the-year-in-llms/
2025 年是大语言模型(LLM)发展极为关键的一年,涌现出多个显著趋势。这一年被称为“推理之年”,以 OpenAI 推出的 o1 系列模型为开端,通过强化学习从可验证奖励(RLVR)训练,模型展现出类似人类的推理能力,能够分解复杂问题、规划多步操作。这一技术被各大 AI 实验室广泛采用,显著提升了模型在代码生成、调试和工具调用方面的表现。
“智能体”(agents)成为另一大热点。尽管年初人们对智能体能否真正落地持怀疑态度,但到年中,具备多步工具调用能力的智能体已广泛应用于编程和信息检索领域。特别是“编码智能体”模式爆发式增长,其中 Anthropic 在 2 月低调推出的 Claude Code 成为年度最具影响力的产品。它支持异步执行、代码生成、运行与迭代,极大提升了开发效率。其他厂商如 OpenAI(Codex Web)、Google(Jules)、腾讯(Qwen Code)等也纷纷推出类似工具,IDE 如 VS Code、Zed、Cursor 也深度集成。
这一年,LLM 在命令行环境中的应用迅速普及,CLI 工具成为主流开发方式。同时,模型能力在长任务处理、图像编辑(基于提示)、学术竞赛(如获得金牌)等方面取得突破。中国开源模型在性能上跻身全球前列,引发广泛关注。
然而,也暴露出诸多问题:模型“过度自信”导致的“正常化偏差”(Normalization of Deviance)现象频发;部分产品为追求功能而牺牲质量,出现“粗制滥造”(slop)问题;数据中心因高能耗和成本成为争议焦点。与此同时,AI 浏览器功能激增,带来安全与信息过载风险,形成“致命三重奏”(lethal trifecta)。
用户端方面,AI 编程已可完全在手机上完成,本地模型性能提升,但云模型仍保持领先。此外,MCP(模型协作协议)首次被广泛讨论,成为行业新焦点。为确保模型行为一致性,各类“符合性测试套件”(conformance suites)应运而生。
作者总结,2025 年是 LLM 从“演示”走向“实用”的转折点,尤其在工具链整合、自动化任务执行方面实现质的飞跃。尽管仍存在技术与伦理挑战,但 AI 已真正开始改变开发与研究的工作方式。
HN 热度 846 points | 评论 492 comments | 作者:simonw | 1 day ago #
https://news.ycombinator.com/item?id=46449643
- 2025 年 AI 技术的飞速发展令人惊叹,尽管 AGI 或 ASI 在短期内接管人类的可能性不大,但当前 AI 已展现出巨大价值,市场愿意为此支付高额费用,且资本正大规模投入硬件研发。
- 当前 AI 热潮带来的硬件投资规模堪比智能手机时代,推动整个硬件产业链加速发展,包括先进制程、高密度低功耗内存、高速接口及光互连等技术的提前落地。
- 尽管 AI 发展迅猛,但部分人质疑其实际价值,将其类比为“算命”行业,认为其价值更多源于心理安慰而非真实产出。
- 有人指出,心理安慰类服务的价值不能证明其服务本身具有实际效用,应更关注解决根本问题而非依赖安慰剂效应。
- 有观点认为,心理安慰类服务背后反映的是教育缺失和社会结构性问题,这些问题难以通过短期手段解决。
- 也有观点认为,心理安慰类服务对社会有害,可能导致公众理性能力下降,重回迷信与无知状态。
- 对 AI 的批评不断演变:从早期的“无用”到“制造安全漏洞”再到“取代程序员”,未来可能被类比为“算命骗局”。
- 有人讽刺 AI 对软件工程的“终结论”不断重复,从 2022 年到 2025 年,每年都有“软件工程即将消失”的说法,但实际并未发生。
- 有观点强调,AI 并未让软件工程“死亡”,而是正在深刻改变其工作方式,高级开发者已广泛使用 AI 辅助工具提升效率。
- 在大型科技公司中,AI 编码助手已被广泛采用,大量代码由 AI 生成,且使用率与员工经验正相关。
- 个人使用 AI 工具可显著提升工作效率,涵盖代码编写、审查、故障诊断、数据可视化等实际任务。
- 针对“AI 提升 10 倍效率但未产出成果”的质疑,有人指出应避免以极端言论代表整体,应基于真实数据和实际体验评估 AI 价值。
沃伦·巴菲特卸任伯克希尔·哈撒韦公司 CEO,结束六十年领导生涯 (Warren Buffett steps down as Berkshire Hathaway CEO after six decades) #
沃伦·巴菲特正式卸任伯克希尔·哈撒韦公司首席执行官,结束长达六十年的领导生涯。他将公司控制权交由格雷格·阿贝尔接任,但将继续担任董事长,并保持每日到办公室工作,协助新任 CEO 寻找投资机会并提供咨询。
阿贝尔自 2018 年起已负责管理伯克希尔非保险业务,对公司运营模式极为熟悉。他将延续伯克希尔一贯的去中心化管理模式,赋予旗下各子公司高度自主权,确保公司文化不变。
尽管阿贝尔将面临公司增长放缓、投资机会稀缺等挑战,且公司目前持有高达 3820 亿美元的现金储备,但市场普遍预期其不会进行剧烈变革。分析师认为,阿贝尔可能在管理效率上做些优化,例如加强问责机制,但不会改变“让被收购企业原班人马继续运营”的核心策略。
近期,阿贝尔已宣布多项人事调整:投资经理兼 GEICO 首席执行官托德·康布斯离职,首席财务官马克·亨伯格退休,并任命 NetJets 首席执行官亚当·约翰逊负责所有消费、服务与零售业务,形成公司第三个主要业务板块。
未来,阿贝尔或将面临来自投资者的压力,要求其考虑分红或股票回购。目前伯克希尔坚持将利润再投资,而非定期派息或大规模回购股票。但若无法有效运用巨额现金,这一政策可能面临调整。
总体来看,伯克希尔的“巴菲特时代”正式落幕,但其核心理念与组织结构预计将保持稳定,阿贝尔将在继承中寻求可持续发展。
HN 热度 694 points | 评论 541 comments | 作者:ValentineC | 1 day ago #
https://news.ycombinator.com/item?id=46448705
- 不应将任何人神化,应关注具体行为以学习或避免,而非简单评判人物好坏。
- 社会的道德化倾向可能源于西方精神信仰的衰落,导致道德框架缺失,显得混乱。
- 道德评判不应陷入非黑即白的极端,否则会加剧社会分裂和无效争论。
- 将“道德主义”用作贬义词,可能削弱道德本身的价值,不利于建立共同社会准则。
- 现实中权力者作恶却少受惩罚,而普通人因生存所迫的小过失却可能毁掉一生,体现社会不公。
- 道德判断应基于具体行为而非人物整体标签,避免“妖魔化”或“偶像化”。
- 个体在民主社会中共同塑造道德,公共舆论是社会道德的体现,不应由单一人物决定。
- 个人道德不应被简单等同于贫富或处境,贫困不等于道德高尚,不应以偏概全。
- 个人生活状态如居住地是否“真正居住”需结合实际生活轨迹分析,不能仅凭房产信息判断。
- 以巴菲特为榜样是可接受的,但不应将其神化为“偶像”,角色模型可作为参考而非崇拜对象。
- 人类行为受环境与人性制约,不应幻想个人在权力下必然道德,制度设计比依赖个人更可靠。
- 个人公开的道德形象若真实可信,可在生活中提供行为参照,有助于自我反思与决策。
我取消了图书出版合同 (I canceled my book deal) #
https://austinhenley.com/blog/canceledbookdeal.html
作者 Austin Z. Henley 是卡内基梅隆大学的副教授,他在 2020 至 2022 年间因博客获得广泛关注,多家大型科技出版社曾联系他洽谈出书事宜。尽管最初倾向于自出版,但他最终与一家出版社达成合作,计划撰写一本关于经典编程项目的教程书。
该书主题围绕“用趣味项目学习计算机基础”,涵盖网络爬虫、2D 游戏、编译器、HTTP 服务器、绘图工具、CHIP-8 模拟器等项目,每章都包含可扩展的实践建议。其中编译器章节将基于他广受欢迎的“Let’s make a Teeny Tiny compiler”系列博客。
签约过程中,出版社提出详细要求:需使用 AsciiDoc 或 Word 撰写,遵循严格格式规范,且必须包含 10 至 30 幅插图。合同中约定的 5000 美元预付款被作者视为微不足道,而版税仅为 12%(前 7000 册)和 15%(之后),远低于行业理想水平。出版社拒绝分享销售数据,仅透露其平均图书销量在数千册,少数爆款可达数十万册。
写作过程中,编辑频繁催稿,反馈多集中于格式和风格调整,要求“降低技术深度”“弱化个人语气”“增加 Python 入门章节”,试图将内容标准化、大众化,这与作者坚持的“挑战性、探索性”风格相悖。
2023 年,ChatGPT 发布后,出版社要求在书中加入 AI 相关内容。作者多次提出妥协方案(如增加 AI 实现章节或每章结尾提示),但最终被拒绝,对方坚持“所有未来书籍必须包含 AI”。作者认为这与本书“经典编程项目”的核心理念相冲突,因此坚决拒绝。
最终,作者决定取消出版合同,转而选择自出版。他已将电子书开放预购,将按章节陆续发布,未来还将推出纸质版。他坦言,出版流程中出版社的控制欲、低回报和对内容的干预,让他意识到自出版才是更符合自己理念的方式。
HN 热度 592 points | 评论 332 comments | 作者:azhenley | 1 day ago #
https://news.ycombinator.com/item?id=46446815
- 出版社希望作者降低书籍难度以迎合更广泛读者,但这种做法可能削弱技术书籍的深度和吸引力。
- 作者坚持个人风格和写作初衷,选择自出版,证明技术类书籍无需过度简化也能成功。
- 自出版虽需作者自行承担营销和出版流程,但能保留作者的原创性和控制权。
- 传统出版社的流程如编辑反馈、技术审校等是常态,若因此失去动力,可能不适合与出版社合作。
- 出版社的建议如加入 AI 内容虽有争议,但反映了当前技术趋势,早提出有助于调整方向。
- 自出版在 AI 辅助下可大幅降低流程门槛,但实际效果取决于作者的时间投入和专业能力。
- 自出版并非对所有人适用,尤其对无知名度的新作者,市场推广难度极高。
- 电子书易被盗版,实体书则涉及印刷和物流成本,自出版需考虑实际运营细节。
蓝牙耳机劫持:通往你手机的钥匙 (Bluetooth Headphone Jacking: A Key to Your Phone [video]) #
https://media.ccc.de/v/39c3-bluetooth-headphone-jacking-a-key-to-your-phone
本页面是 2025 年 39c3 大会(Chaos Communication Congress)的一场安全技术演讲的网页展示,主题为《蓝牙耳机劫持:通往你手机的钥匙》。演讲由 Dennis Heinze 和 Frieder Steinmetz 主讲,时长约 59 分钟。
演讲揭示了在多家主流蓝牙耳机和耳塞中广泛使用的 Airoha 蓝牙音频芯片中存在的三个严重安全漏洞(CVE-2025-20700、CVE-2025-20701、CVE-2025-20702),这些漏洞可能导致设备被完全控制。攻击者可利用这些漏洞读取或写入设备的闪存和内存,甚至远程执行代码。
研究团队在分析蓝牙 Auracast 功能时,发现了一种名为 RACE 的自定义蓝牙协议,该协议允许对耳机进行完全控制,包括固件的读写操作。演示中展示了如何利用该协议攻陷当前一代的蓝牙耳机,并进一步利用已配对设备(如智能手机)与耳机之间的信任关系,对手机发起攻击。
受影响的品牌和型号包括索尼(WH1000-XM5/XM6、WF-1000XM5)、Marshall(Major V、Minor IV)、Beyerdynamic(AMIRON 300)和 Jabra(Elite 8 Active)等。Airoha 作为蓝牙 SoC 供应商,其芯片和 SDK 被多家厂商采用,导致漏洞影响范围广泛。
演讲还讨论了蓝牙外围设备被攻陷后的潜在风险:随着智能手机安全防护增强,攻击者可能转向攻击其周边设备。一旦蓝牙配对密钥(Link Key)被窃取,攻击者可伪装成合法耳机,获取其功能权限。
为帮助用户和研究人员,演讲团队发布了检测工具,用于判断设备是否受漏洞影响,并鼓励进一步研究 Airoha 平台。所有内容均以 CC BY 4.0 协议开源,支持自由传播与使用。
页面提供多语言视频与音频下载,包括英语、德语、法语的音轨,支持 MP4、WebM、AV1、MP3、Opus 等多种格式,适用于不同设备与播放需求。视频和音频文件均包含多语言音轨,用户可在播放器中切换。
HN 热度 425 points | 评论 145 comments | 作者:AndrewDucker | 14 hours ago #
https://news.ycombinator.com/item?id=46453204
- 多款主流蓝牙耳机(如索尼、Jabra、Beyerdynamic 等)因使用 Airoha 芯片存在严重安全漏洞,可被未认证的攻击者远程接管,导致泄露固件、用户偏好、蓝牙配对密钥及当前播放内容。
- 攻击者可利用漏洞获取耳机的完整固件镜像、用户设置、蓝牙经典连接密钥以及当前播放的音频内容,甚至能监听麦克风输入,实现远程音频监控。
- 该漏洞影响范围广泛,部分厂商(如索尼)对安全研究人员的反馈反应迟缓,而 Jabra 因面向企业市场,响应速度较快,是少数积极修复的厂商。
- 由于 Airoha 的蓝牙 LE“RACE”协议未被主流厂商弃用,Linux 用户可通过开源工具(如 race-toolkit)实现对耳机的深度控制,例如在系统静音时自动开启“环境声”模式。
- 有研究者指出,该漏洞可能被用于更高级的攻击,如通过窃取电话号码并劫持 WhatsApp 等应用的双重验证电话,实现账户接管。
- 虽然攻击过程并非完全静默,但若耳机处于开启状态且未被注意,攻击者可利用其麦克风进行监听,存在实际的隐私泄露风险。
- 该问题已引起安全社区关注,有观点认为应引起国家层面重视,尤其是在政府或机密机构中使用蓝牙耳机可能带来情报泄露风险。
- 有用户提到,类似协议逆向工程已有先例,如对 AirPods 的 AndroPods 和 LibrePods 项目,但 Android 系统自身存在蓝牙协议栈缺陷,限制了其在非 Root 设备上的使用。
- 与 TEMPEST 或 Van Eck 电磁侧信道攻击相比,蓝牙攻击更易实施,仅需普通笔记本电脑,但可能在距离和隐蔽性上存在差异。
- 有用户调侃称,该漏洞解释了 AirPods 等设备常见的“奇怪行为”,并认为这是对无线耳机安全性的又一次警示。
网页浏览器已停止拦截弹窗 (Web Browsers have stopped blocking pop-ups) #
https://www.smokingonabike.com/2025/12/31/web-browsers-have-stopped-blocking-pop-ups/
文章指出,尽管网页浏览器在 2000 年代初已普遍引入弹窗拦截功能,有效缓解了广告弹窗泛滥的问题,但如今弹窗广告再次卷土重来,且技术手段更为隐蔽和恶劣。作者回顾了弹窗广告的历史:早期弹窗被网站滥用为强制展示广告,导致用户体验严重受损,因此浏览器厂商纷纷加入弹窗拦截功能,成为重要卖点。然而,广告技术开发者不断绕过拦截机制,如今弹窗广告在桌面和移动端再次盛行,常在用户操作时突然弹出,遮挡内容,且关闭按钮设计隐蔽,极具欺骗性。
作者强调,尽管区分合法弹窗与广告弹窗确实存在技术挑战,但浏览器厂商在 2000 年代已积累相关经验,并开发出用户界面机制来处理误拦截情况。如今虽然合法弹窗已极少使用,但这些机制仍被保留,说明技术上并非不可行。
文章呼吁浏览器开发者重新启动“弹窗拦截 2.0”计划,将更先进的拦截功能默认开启。作者认为,这不仅能显著提升用户体验,还能为浏览器赢得公众赞誉,推动浏览器在改善网页体验方面发挥更大作用。尽管可能遭遇开发者群体的反对,但历史证明,用户利益应优先于少数广告商的诉求。弹窗拦截的必要性不仅未减弱,反而因移动端的普及而更加紧迫。
HN 热度 366 points | 评论 410 comments | 作者:coldpie | 1 day ago #
https://news.ycombinator.com/item?id=46446366
- 用户强烈批评网页弹窗和滑入式捐赠提示,认为这是对访客的滥用,尤其对 Python 官网的此类行为表示愤怒,认为其违背了用户意愿,应被永久屏蔽。
- 有人指出,uBlock Origin 曾有效阻止此类干扰,但因 Google 的干预而被削弱,uBlock Lite 功能远不如前者,导致用户防护能力下降。
- 有用户建议使用 Firefox、Thorium 或 Brave 等浏览器以恢复对广告和弹窗的有效拦截,同时兼顾 Widevine 视频播放需求。
- 部分人认为将此类行为称为“滥用”虽言辞激烈,但符合其故意干扰用户、消耗注意力的本质,不应被轻描淡写。
- 有人提出应使用“用户敌对”来描述这类设计,强调其违背用户意图,尽管可能服务于项目自身利益,但损害了用户体验。
- 有评论讽刺 Python 官方在论坛中表示“首次尝试”并“期待反馈”,认为这种回应既缺乏预见性又显得傲慢,应立即移除弹窗以挽回信誉。
- 有人质疑为何在开源项目免费使用的情况下,仍要采用强制性弹窗方式获取捐赠,认为这与项目初衷背道而驰。
- 有观点指出,浏览器厂商(如 Google)以广告为主要收入来源,因此不可能真正保护用户免受广告干扰,用户不应对此抱有不切实际的期待。
- 有人反驳称,将弹窗行为称为“滥用”可能过度夸张,毕竟网站由志愿者运营,且用户可自由选择是否访问,不应过度反应。
- 有评论强调,尽管弹窗行为不构成严重犯罪,但其对千万用户的累积影响不可忽视,应被视为一种系统性骚扰。
Show HN: OpenWorkers – 用 Rust 实现的自托管 Cloudflare Workers (Show HN: OpenWorkers – Self-hosted Cloudflare workers in Rust) #
https://openworkers.com/introducing-openworkers
OpenWorkers 是一个开源项目,旨在将 Cloudflare Workers 的边缘计算能力带入用户自有的基础设施中。它基于 Rust 实现的 V8 引擎,支持在沙箱环境中运行 JavaScript,具备 CPU(100ms)和内存(128MB)的资源限制,确保安全与隔离。
项目支持多种绑定功能,包括 KV 存储、PostgreSQL 数据库、S3/R2 兼容对象存储、服务绑定、环境变量与密钥管理,以及完整的 Web API 兼容,如 fetch、ReadableStream、crypto.subtle、TextEncoder/Decoder、Blob、setTimeout 和 AbortController。
系统架构采用模块化设计,包含 nginx 代理、Dashboard、API 服务、日志系统、Runner(执行器)实例、Postgate(数据库网关)、NATS 消息队列、PostgreSQL 数据库和调度器。所有组件可通过单个 Docker Compose 文件部署,仅需一个 PostgreSQL 数据库即可运行。
OpenWorkers 完全兼容 Cloudflare Workers 的语法,开发者可无缝迁移代码。其核心优势在于:数据始终保留在自有基础设施中,避免厂商锁定;成本可预测,无按请求计费;支持 Cron 定时任务(5 或 6 字段语法)。
该项目已持续发展约七年,从最初的 vm2 沙箱,到基于 Deno Core,最终在 Claude 的协助下重构为基于 rusty_v8 的高性能实现。未来计划引入执行记录与回放功能,实现确定性调试。
项目提供完整的自托管指南,可通过 GitHub 获取源码与文档。
HN 热度 364 points | 评论 113 comments | 作者:max_lt | 11 hours ago #
https://news.ycombinator.com/item?id=46454693
- 自托管方案虽然无法提供类似 Cloudflare 的全球 300+ 节点,但在主要用户区域部署少量节点已能满足大多数应用的性能需求。
- 对于大多数应用而言,单个地理位置的部署已足够,无需追求全球分布的边缘节点。
- 边缘计算的核心价值在于低延迟和就近路由,而非节点数量本身,因此少量节点在特定区域也能带来显著收益。
- 一些用户选择 Cloudflare 的主要原因是其安全特性,如零信任网络和隧道服务,而非边缘计算本身。
- 自托管可以避免云服务的锁定问题,同时结合 CDN 可实现低成本、低锁定的高性能部署。
- 边缘计算的优势在读多写少的场景中更明显,例如静态内容服务或缓存密集型应用。
- 若后端数据库不在边缘,边缘计算的性能优势将大打折扣,因此需结合缓存和读副本使用。
- 沙箱环境的安全性至关重要,必须有充分的攻击防护测试和详细文档支持,目前这类项目普遍缺乏。
- 使用 AI 辅助开发虽能提升效率,但在高安全要求的系统中仍需谨慎,不能替代严格的安全验证。
- Cloudflare Workers 能够比 Chrome 更快地部署 V8 安全补丁,这体现了其在安全更新上的领先地位。
- 保持与 Chrome 稳定版 V8 版本同步可能更安全,因为 Chrome 版本经过更充分的公开测试和模糊测试。
在 iOS 26.2 及更高版本中,日本地区用户可使用非 WebKit 浏览器引擎 (iOS allows alternative browser engines in Japan) #
https://developer.apple.com/support/alternative-browser-engines-jp/
在 iOS 26.2 及更高版本中,日本地区的用户可使用非 WebKit 的浏览器引擎,适用于两类应用:提供完整网页浏览体验的独立浏览器应用,以及由浏览器引擎维护者开发的、支持嵌入式浏览器引擎的内嵌浏览应用。
苹果将向符合条件的开发者提供系统级技术支持,包括即时编译(JIT)、多进程支持等,以确保替代浏览器引擎的高性能与稳定性。但鉴于浏览器引擎常接触不受信任内容并访问敏感用户数据,是攻击者的主要目标,因此苹果仅授权满足严格安全与隐私标准的开发者使用该功能。
申请“Web Browser Engine 权限”需满足以下条件:
应用必须仅在日本的 iOS 平台分发(除非开发者协议允许其他地区或平台); 应用需与使用系统默认浏览器引擎的应用为独立二进制文件; 必须拥有“默认浏览器权限”; 需通过行业标准测试套件的最低通过率:
- 至少通过 90% 的 Web 平台测试(Web Platform Tests),以 wpt.fyi 页面上最高执行子测试数为基准;
- 至少通过 80% 的 Test262 测试,运行于 iOS、iPadOS 或搭载 Apple 芯片的 Mac 设备上;
- 即使在禁用 JIT 编译(如用户开启“锁定模式”)的情况下也需满足测试要求。
安全要求包括:
- 采用安全开发流程,包括供应链漏洞监控和威胁建模;
- 公布漏洞披露政策,包含报告渠道、所需信息及响应时间;
- 对正在被利用的漏洞在 30 天内修复;
- 公开发布已修复漏洞的版本说明页面;
- 若使用非系统 SDK 的根证书存储,需公开证书策略,并参与证书颁发机构/浏览器论坛(CABF);
- 支持现代 TLS 协议,保障数据传输安全。
技术安全规范要求:
- 使用内存安全语言,或在非内存安全语言中启用内存安全机制;
- 采用最新安全缓解措施,如指针认证码(PAC)、内存完整性强制(MIE);
- 实施安全设计与编码规范;
- 通过进程隔离限制攻击影响,验证进程间通信(IPC);
- 持续监控第三方依赖项与软件供应链漏洞,及时升级;
- 停止使用不再接收安全更新的框架或库;
- 优先处理漏洞修复,必要时可按要求移除存在风险的 Web API 支持,大多数漏洞应在 30 天内解决。
隐私要求包括:
- 默认阻止跨站 Cookie(第三方 Cookie),除非用户明确知情同意;
- 按顶级域名隔离网站存储或状态,防止跨站访问;
- 未经用户明确授权,不得在应用间同步状态(包括 Cookie);
- 未经用户知情同意与激活,不得向网站共享设备标识符;
- 使用系统 API 标记网络连接,以生成 App 隐私报告;
- 遵循通用网页标准,对涉及个人身份信息(PII)的 API(如剪贴板、全屏访问)要求用户明确激活或同意。
“嵌入式浏览器引擎权限”适用于在应用内嵌入浏览器引擎以实现网页浏览功能的应用。此类应用的核心功能应为网页浏览,用户界面需占据主要显示区域,且内容应为动态加载的网页内容,而非仅限于应用内嵌资源。
HN 热度 355 points | 评论 301 comments | 作者:eklavya | 12 hours ago #
https://news.ycombinator.com/item?id=46453950
- Apple 在 iOS 上限制浏览器引擎的选择,可能阻碍了浏览器市场的多样性,使 Chrome 的主导地位进一步巩固。
- 如果 Apple 允许其他浏览器引擎,用户可能会普遍转向 Chrome,从而加剧其对网络生态的控制。
- Chrome 对网络标准的影响力巨大,若所有网站只适配 Chromium,将导致 Web 标准被 Google 主导,形成事实上的封闭生态。
- Firefox 等开源浏览器在过去曾成功挑战 IE,但如今难以与 Chrome 竞争,缺乏足够的市场动力。
- 新兴浏览器如 Ladybird 虽有潜力,但因技术不成熟、性能问题和开发方向保守,难以形成有效竞争。
- 网络生态的中心正从 Web 转向 App,移动 Web 的重要性下降,浏览器竞争的现实意义也在减弱。
- Google 通过广告推广和生态捆绑(如 Chrome TV 广告、搜索页推广)持续强化其浏览器的市场地位。
- 一些用户对 Google 的反广告行为感到失望,认为其通过技术手段压制广告拦截工具,损害用户权益。
- 有观点认为,对 Apple 的依赖是一种“斯德哥尔摩综合征”,过度美化其对网络自由的保护作用。
- 真正的解决方案应是监管机构打破垄断,而非依赖单一公司维持平衡。
- 网络标准应保持开放,若只由 Google 主导,其他浏览器开发者将难以追赶,创新空间被压缩。
- 当前浏览器市场格局下,用户选择权受限,要么接受 Apple 的规则,要么面临 Chrome 的全面控制。
我重启了我的社交生活 (I rebooted my social life) #
https://takes.jamesomalley.co.uk/p/this-might-be-oversharing
作者詹姆斯·奥马利在 2025 年 12 月 31 日发表了一篇博客文章,回顾自己在物质生活优渥却社交孤立的生活状态中逐渐陷入精神困境的经历。
他描述了自己因工作自由、生活便利而几乎足不出户:居家办公、外卖送货上门、无子女牵绊,生活舒适得令人沉迷。然而,这种“完美优化”的生活却导致社交关系全面萎缩,尽管拥有线上数百个联系人,却极少与人面对面交流。
他将这一现象归因于三个因素:新冠疫情带来的居家习惯、年龄增长导致旧友因育儿而远离、以及自身舒适环境带来的惰性。他意识到,自己虽然自认为是独立思考的个体,却在不知不觉中失去了“社区”的归属感。
作者曾长期怀疑社区的价值,认为其会形成“规范的牢笼”,限制个体自由,尤其在政治正确、身份认同等议题上容易产生群体压力。他以自己曾参与的“怀疑论者”社群为例,说明即便是倡导理性与质疑的群体,也会逐渐形成内部规范,最终因理念分歧而瓦解。
然而,当社交彻底崩塌后,他才真正体会到社区带来的深层价值:它提供了一种无需刻意经营就能自然结识志同道合朋友的机制。在伦敦这样的大城市,社区如同一张隐形的社交网络,让人在参加活动时能自然遇见熟人,形成稳定的情感联结。
因此,他决定在新的一年重启社交生活,主动寻找并建立新的社区归属。他认识到,尽管社区可能影响独立思考,但它在提供情感支持、身份认同和人际连接方面具有不可替代的心理价值。
HN 热度 338 points | 评论 276 comments | 作者:edent | 15 hours ago #
https://news.ycombinator.com/item?id=46453114
- 从自己感兴趣的活动出发,主动发起俱乐部或组织,不仅能丰富自己的生活,还能激发他人也创建新的社群。
- 通过共同参与挑战性或略带冒险性质的活动(如冷水浸泡、攀岩、徒步),能有效增强人与人之间的信任和情感联结。
- 对于中年男性而言,存在强烈的社交需求,定期组织非正式聚会(如“爸爸之夜”)有助于建立稳定且有意义的友谊网络。
- 冷水浸泡等极端体验式活动不仅对心理健康有益,还能自然筛选出开放、勇敢且愿意深入交往的人群,从而形成高质量的社交圈。
- 虽然志愿者组织是建立人际关系的好途径,但需警惕其中可能出现的权力失衡、控制欲强或自我认同过度依赖于志愿工作的主导者。
- 在志愿者活动中,某些领域(如政治、动物福利)更容易吸引性格强势或有控制倾向的人,但适度接触此类人物也有助于锻炼人际沟通与化解冲突的能力。
- 社交关系的质量往往取决于共同经历的深度和频率,长期稳定的互动比短暂的社交更易产生深厚友谊。
ACM 现已开放获取 (ACM Is Now Open Access) #
https://www.acm.org/articles/bulletins/2026/january/acm-open-access
2026 年 1 月 1 日起,计算机协会(ACM)宣布其所有出版物及相关文献在 ACM 数字图书馆中将全面开放获取。这一变化响应了全球计算机社区长期以来对研究成果更可获取、可发现和可重用的呼声。
ACM 主席雅尼斯・伊欧安尼迪斯(Yannis Ioannidis)表示:“这是一个真正的里程碑。” 他指出,ACM 将成为少数几个提供大型、综合且高度策划的开放获取文章和相关文献库的组织之一。这不仅对 ACM 来说是重要的一步,对整个计算领域也具有深远的影响。他相信,开放获取将使大量的数据和知识得以共享,从而为计算专业带来巨大的好处,激发新的创新和发现。
这一转变是经过与作者、特别兴趣组(SIG)领导、编辑委员会、图书馆和全球研究机构的广泛对话而实现的。ACM 对社区一直以来对开放获取的倡导表示感谢,并致力于确保计算知识能够广泛分享。其目标是使这一转型过程对所有贡献于 ACM 出版物和会议的人员顺利而有支持。
在此转型中,ACM 数字图书馆将提供两个版本:一个是免费的基本版,提供对 ACM 全部已出版研究成果的开放获取;另一个是高级版,提供额外的服务和工具,旨在深入分析、发现和组织使用。
有关 ACM 全面开放获取之旅的更多信息,请访问: https://www.acm.org/publications/openaccess
HN 热度 309 points | 评论 45 comments | 作者:leglock | 10 hours ago #
https://news.ycombinator.com/item?id=46454763
- ACM 现在实行开放获取,但并非完全免费,仍存在多种订阅和定价模式,包括企业、政府、学术机构和个人用户。
- 个人用户可免费访问“基础版”,但缺少高级搜索等功能,需付费升级。
- 有人提议构建外部搜索引擎来索引 ACM 内容,以提升访问便利性。
- HOPL 系列会议论文集是 ACM 中备受推崇的经典文献,尤其是 HOPL II、III、IV 及早期的 HOPL I。
- 一篇关于“可聚合性是 NP 难问题”的论文被推荐,因其在机器学习领域常被用来反驳“完美模型可实现”的观点。
- 开放获取后,作者仍需支付高额文章处理费(APC),通常超过 1000 美元,除非符合豁免条件。
- 有观点认为,学术出版的高额利润与实际服务成本严重不符,出版商的边际利润极高。
- 尽管 ACM 并非以盈利为目的,其收入用于支持学术活动和补贴发展中国家参会者,但其出版成本仍被质疑。
- ACM 的数字图书馆维护涉及大量长期投入,包括版权管理、防抄袭、视频录制支持及外包服务,成本不低。
- 与 arXiv 相比,ACM 的运营成本远高于其提供的服务价值,arXiv 能以极低成本实现类似功能。
- 有人质疑 ACM 收取高额 APC 的合理性,认为其主要工作(如同行评审)由志愿者完成,实际运营成本很低。
- 会议投稿过程本身不收费,费用仅在论文被接受后才提出,作者可选择拒绝支付,但可能影响论文发表。
- 有观点认为,APC 费用可能用于控制投稿量,防止评审系统过载,但并非主要目的。
- arXiv 采用推荐机制而非收费,也能有效控制质量,说明收费并非唯一可行手段。
Meta 刻意降低诈骗广告的可发现性以规避监管 (Meta made scam ads harder to find instead of removing them) #
Meta 被曝为规避监管,刻意降低 scam 广告的可发现性。据路透社报道,Meta 并未彻底清除欺诈性广告,而是通过技术手段使其更难被政府机构、调查记者等发现。内部文件显示,这一策略已纳入公司全球应对监管审查的“通用手册”,并在美国、欧洲、印度、澳大利亚、巴西和泰国等多个市场部署。此举源于 Meta 担忧日本监管机构可能强制推行全平台广告主验证,预计成本高达 20 亿美元,或导致收入下降近 5%。此前路透社报道,Meta 内部曾估算 2024 年约 10% 的广告收入来自欺诈性或违禁商品广告,公司称该数据过于宽泛,但指出中国市场的比例翻倍。
与此同时,知名投资者迈克尔·巴里(Michael Burry)虽仍认为特斯拉“严重高估”,但已不再做空该股。他在 X 平台回应称“我目前没有空头头寸”。
软银已全额完成对 OpenAI 的 400 亿美元投资,成为其最大单一股东,超越微软。尽管微软仍持有约 27% 股权并拥有 Azure 云服务和商业授权的独家权利,但软银的投入使其在财务上占据主导地位。该交易以 OpenAI 转型为营利性公共利益公司为前提,已于 9 月完成。
特斯拉第四季度交付量预期持续下调。FactSet 最新共识预测为 44.9 万辆,同比下降 9.5%;彭博则预测为 44.5 万辆。市场预测更为悲观,事件合约显示不足四分之一的交易员相信交付量能超过 43 万辆。特斯拉自身汇总的分析师预测为 42.285 万辆,同比下降 15%。全年交付量预计为 160 万辆,较 2024 年下降 8%,为连续第二年下滑。实际数据将于 2025 年 1 月初公布。
此外,为特斯拉 Cybertruck 提供电池材料的韩国企业 L&F 公司,已将原价值近 30 亿美元的合同减值至约 7000 美元,减值幅度超 99%,反映出 Cybertruck 销售表现疲软。
HN 热度 278 points | 评论 98 comments | 作者:wtcactus | 13 hours ago #
https://news.ycombinator.com/item?id=46453582
- 广告审核流程繁琐且不透明,合法广告常因误解被拒,而非法广告却屡禁不止。
- 社交媒体广告充斥着虚假信息和欺诈行为,用户难以辨别真伪,甚至收到虚假物流信息。
- 大多数非主流品牌或小众产品的在线广告都带有欺诈性质,尤其是通过算法推荐的内容。
- 电商平台如亚马逊和 Instagram 上存在大量劣质、危险甚至可能致命的假冒商品,平台对此缺乏有效监管。
- 一些平台对高价值广告商采取宽松政策,导致违规行为长期存在,而普通用户却承受更多审查压力。
- 平台对用户投诉和举报反应迟缓或直接删除内容,表现出明显的漠视态度,甚至可能因商业利益而纵容欺诈。
- 电商和社交媒体广告已严重污染用户信任,导致用户对所有广告产生本能抵触,影响正常商业活动。
- 用户通过屏蔽广告、避免观看视频和依赖口碑来应对信息污染,认为广告对生活质量并无实质提升。
- 一些平台如亚马逊和 Meta 在明知存在安全隐患的情况下仍放任问题商品流通,反映出其对用户安全的漠视。
- 用户对平台的治理能力失去信心,认为其已沦为欺诈者的温床,亟需更严格的监管和问责机制。
Hacker News 精彩评论及翻译 #
Web Browsers have stopped blocking pop-ups #
https://news.ycombinator.com/item?id=46449109
I’m often so flustered to be interrupted by yet-another-marketing-modal that I will just close the tab and abandon whatever task, or purchase, I was undertaking. They are actively harmful to my holistic state-of-mind and make me into a more agitated and cynical user of the web.
Who are the people who decided this is how 90% of web pages should act, and how did they win? Do so many people really sign up for newsletters when prompted?
tantivy
我经常因为又被一个营销弹窗打断而感到手忙脚乱,以至于直接关闭标签页,放弃我正在进行的任何任务或购买。它们对我的整体心态造成了实质性的伤害,让我变成了一个更焦躁、更愤世嫉俗的网络用户。
究竟是哪些人决定90%的网页都应该这样运作,他们又是如何得逞的?难道真的有那么多人在被提示时会订阅新闻通讯吗?
I rebooted my social life #
https://news.ycombinator.com/item?id=46454038
Back in 2019, got to go to Hong Kong for a couple months for work and got to bring my family.
I was about to turn 40 and realized that the place we were staying had a rock wall. In a somewhat “mid life crisis” spur of the moment decision, I decided to go buy shoes, a belt and a chalk bag (I did a lot of indoor rock climbing in college).
We get there and the rock wall is a. closed and b. only for kids.
Get back to the US and COVID lockdown starts. As things open up, I go on the town dad’s Facebook group and ask if anyone wants to go rock climbing with me. Multiple dads say “hell, yes!” so I start a rock climbing club.
One of the dads that joins the climbing club loves board games, is inspired by my starting the rock climbing club so he starts the town board game club.
I tell people this story to illustrate that:
-
if you don’t have a club or org for something that you’re into, go start one
-
you doing the above can trigger other people to start clubs too
alexpotato
2019年,我因工作有机会去香港待了几个月,还带着家人一起。
当时我快40岁了,偶然发现我们住的地方有一个岩壁。在一阵有点像是“中年危机”的冲动下,我决定去买一双鞋、一条腰带和一个粉袋(我大学时经常室内攀岩)。
我们到了之后才发现,那个岩壁a.关闭了,并且b.只对儿童开放。
回到美国后,新冠疫情封锁开始了。随着情况逐渐好转,我加入了镇上爸爸们的脸书群,问有没有人想和我一起去攀岩。好几位爸爸都说“当然要!”于是我就发起了一个攀岩俱乐部。
加入俱乐部的一位爸爸热爱桌游,受我创办攀岩俱乐部的启发,他也创办了镇上的桌游俱乐部。
我讲这个故事是为了说明:
- 如果你喜欢的东西还没有相应的俱乐部或组织,那就去自己创建一个
- 你的这个举动,也能触发其他人去创办他们自己的俱乐部
Resistance training load does not determine hypert… #
https://news.ycombinator.com/item?id=46450098
Healthy, recreationally active but untrained young males
Yeah this is why. Anything you do as an untrained person is going to get you newbie gains. It’s just really easy to improve initially. Doesn’t mean it’ll work after the first 6 months
AstroBen
健康、有娱乐性运动习惯但未受过训练的年轻男性
没错,就是这样。任何未经训练的人一开始都会经历新手福利期。因为初期进步真的很容易。但这并不意味着这在半年后依然有效。
Warren Buffett steps down as Berkshire Hathaway CE… #
https://news.ycombinator.com/item?id=46450359
We should never idolize a person (in my opinion). Here are some things Buffet has done that I admire (notice that phrasing):
- He consistently communicated with shareholders of Berkshire in a straight-forward and transparent way in his letters and annual reports. If you read these documents, I believe that you will have a solid understanding of how he built Berkshire.
- He maintained a disciplined approach to investing and managing risk over 60+ years.
- He still lives in the same home he bought when he was 28 years old. Our society has become moralistic. It’s so much more useful to identify behaviors to learn from - either to emulate or to avoid - than to debate whether various public figures are good or bad people.
That said, it makes me a little sad that we’ve read the last of his annual letters.
sethev
我们永远不应崇拜任何人(在我看来)。以下是我所钦佩的巴菲特做过的一些事(请注意措辞):
- 他在致股东信和年度报告中,始终以直接、透明的方式与伯克希尔的股东沟通。如果你阅读过这些文件,我相信你会对他如何打造伯克希尔有扎实的理解。
- 在超过60年的时间里,他始终坚持一种纪律严明的投资方法和风险管理方式。
- 他至今仍住在28岁时买下的同一栋房子里。
我们的社会变得过于道德化。去识别值得学习的行为——无论是模仿还是避免——远比争论各位公众人物是好人还是坏人要有用得多。
话虽如此,想到我们已经读不到他的最后一封年度信了,还是让我有些伤感。
Warren Buffett steps down as Berkshire Hathaway CE… #
https://news.ycombinator.com/item?id=46449219
Driving 7 minutes to work and stopping at a drive-thru to pick up McDonalds breakfast every day. The man is a true American hero.
walthamstow
每天开车7分钟上班,顺便在麦当劳得来速买份早餐。这哥们儿才是真正的美国英雄。
Linux is good now #
https://news.ycombinator.com/item?id=46459091
I switched all the machines at https://lanparty.house over to Linux a couple months ago. So far, we’ve experienced noticeably fewer problems on Linux compared to Windows. Stability and performance are better. I can’t think of one game we tried that didn’t work. And wow is it nice not to have all the ads and crapware in our faces anymore.
(I’m aware that Battlefield series and League of Legends won’t work due to draconian anti-cheat – but nobody in my group cares to play those I guess.)
kentonv
几个月前,我把 https://lanparty.house 上的所有机器都切换到了 Linux。到目前为止,与 Windows 相比,我们在 Linux 上遇到的问题明显少了。稳定性和性能都更好了。我想不出我们试过的哪款游戏不能运行。而且,再也不用整天面对各种广告和垃圾软件,这种感觉真是太棒了。
(我知道《战地》系列和《英雄联盟》因为严苛的反作弊系统而无法运行——但我猜我们小组里没人想玩这些游戏。)
Python numbers every programmer should know #
https://news.ycombinator.com/item?id=46455438
Counterintuitively: program in python only if you can get away without knowing these numbers.
When this starts to matter, python stops being the right tool for the job.
fooker
反直觉的是:只有在你无需了解这些数字的情况下,才应该用 Python 编程。
当这些开始变得重要时,Python 便不再是正确的工具了。
Finland detains ship and its crew after critical u… #
https://news.ycombinator.com/item?id=46457431
It’s pretty obvious what’s happening here.
The response needs to be forceful: seize and auction off the ships. There needs to be sufficient deterrent to actually stop this from happening.
TulliusCicero
这里的情况显而易见。
回应必须强硬:扣押并拍卖船只。必须要有足够的威慑力,才能真正阻止此类事件再次发生。
I canceled my book deal #
https://news.ycombinator.com/item?id=46447483
I had written and self-published three books, and in 2024 decided to publish the most successful one with O’Reilly. It went up for sale in December 2024.
The whole experience was wonderful. I had basically none of the problems that this fellow experienced with his publisher, and I am delighted about how it went.
I did some things differently. For one, I had already been selling the book on my own for a few years, and was essentially on the 3rd self-published edition. Because of this, they were able to see what the almost-finished product was.
I told them I would not make massive changes to the book, nor would I contort it to the AI trend (the book barely mentions AI at all), and they never pressured me once.
Their biggest contribution was their team of editors. This book has code on just about every page. I had 3 technical editors go through it, finding many bugs. How many? Let’s just say “plenty”.
And the feedback from the non-technical editors was, to my surprise, even more valuable. Holy crap, I cannot express to you how much they improved the book. There were several of these folks (I had no idea there were so many different specialties for editors), and all of them were great.
(They also accepted my viewpoint when I disagreed with them, immediately, every time. The final published version of the book was 100% my own words.)
From all of that, I made improvements on what must have been almost every page, and rewrote two chapters from scratch. I also added a new chapter (I volunteered for it, no one at any point pressured me to do that). The result was making a book that IMO is at least twice as good as what I was able to accomplish on my own.
I do not resonate with the article author’s comments about compensation. He negotiated a pretty good deal, I think; it’s not realistic to get much better than what he did, since the publisher is a business with their own expenses to pay, etc.
I was pretty disciplined about meeting deadlines that we agreed to for certain milestones. That helped my relationship with the publisher, obviously.
All in all, it was a great experience, and I am glad I did it this way.
Reading the article, it sounds like my publisher (oreilly) was better to work with than his, but I think he could have done some things differently also. In the end, though, I agree with him that it was best to walk away in his situation.
redsymbol
我已经独立撰写并自费出版了三本书,并于2024年决定将其中最成功的一本交由 O’Reilly 出版社正式出版。该书已于2024年12月上市销售。
整个过程非常棒。我基本没有遇到那位作者与他出版商之间遇到的那些问题,我对整个合作过程感到非常欣喜。
我采取了一些不同的做法。首先,我已经自行销售这本书好几年了,这基本上已经是我的第三版自费出版物了。因此,出版社能够看到一个几近成品的样书。
我告诉他们,我不会对这本书做大规模的修改,也不会为了迎合人工智能的趋势而扭曲内容(这本书几乎完全不提AI),而且他们从未对我施压过。
他们最大的贡献在于他们的编辑团队。这本书几乎每一页都有代码。我安排了三位技术编辑来审阅,他们发现了许多错误。有多少呢?我们姑且说“非常多”。
令我惊讶的是,非技术编辑的反馈甚至更有价值。天哪,我无法向你形容他们为这本书增色了多少。有好几位这样的编辑(我以前都不知道编辑还有这么多不同的专业领域),而且他们都非常出色。
(每当我与他们意见不合时,他们都会立即采纳我的观点。最终出版的这本书百分之百是我自己的原话。)
基于这些反馈,我对几乎每一页都做了改进,并从头重写了两个章节。我还新增了一个章节(这是我主动提出来的,在没有任何时候有人强迫我这样做)。结果是, IMO(在我看来),这本书的质量至少是凭我一人之力所能达到的两倍。
我并不认同那篇文章作者关于薪酬的评论。我认为他谈成了一笔相当不错的交易;既然出版商是一个需要支付自身开销等费用的商业实体,要想拿到比他更好的条件,不切实际。
对于为某些里程碑共同商定的截止日期,我非常自律地遵守。这显然有助于我与出版商的良好关系。
总而言之,这是一段非常棒的体验,我很庆幸自己选择了这种方式。
读完那篇文章,感觉我的出版商(O’Reilly)比他的合作起来更顺畅,但我认为他本也可以采取一些不同的做法。不过,最终,我同意他的观点,在他的情况下,最好的选择就是放弃合作。
A website to destroy all websites #
https://news.ycombinator.com/item?id=46458550
I think the comments here are a great example of why this idea always sounds better in nostalgic reminiscence than in practice: As I write this, nearly half of the comments here are complaining about this website. There are complaints about requiring JavaScript, the font size, the design, the color choices, the animations. Complaints about everything the designer did to make this site unique and personal, which was the entire point of the exercise. This is coming from a site that supposedly attracts the target audience for this type of page.
Aurornis
我认为这里的评论完美地说明了为什么这个想法在怀旧回忆中听起来总比在实际操作中要好:在我写下这些文字时,这里的评论中将近一半都在抱怨这个网站。有人抱怨需要启用 JavaScript,抱怨字体大小、设计、配色方案和动画效果。抱怨设计师为了使这个网站与众不同、更具个人化所做的每一件事,而这正是整个练习的全部目的。而这一切,都来自一个据称能吸引这类页面目标受众的网站。
Ÿnsect, a French insect farming startup, has been … #
https://news.ycombinator.com/item?id=46450008
You’d have thought it wouldn’t be the proteins in the input, but the prions in the output they would care about. They’re remarkably resilient, it’s not unreasonable to be cautious.
regularfry
你可能会以为他们关心的不是输入中的蛋白质,而是输出中的朊病毒。它们异常顽固,谨慎一些不无道理。
I canceled my book deal #
https://news.ycombinator.com/item?id=46447517
Ironically, I was working on a book with a similar concept in the same time frame that came out as “Computer Science from Scratch: Interpreters, Computer Art, Emulators, and ML in Python” with No Starch Press a couple months ago. Like Austin’s book it contains a CHIP8 chapter and a couple chapters on making a programming language. The difference with regards to his experience and my experience in writing it with a traditional publisher, is that I was an experienced author so I felt comfortable finishing the entire book first before shopping it around to publishers. I didn’t want too much scrutiny around the core concept and I was getting similar signals of “every chapter must have AI.”
I wrote a similar blog post a month ago describing the process of creating the book and getting it published called “Writing Computer Science from Scratch”:
https://www.observationalhazard.com/2025/12/writing-computer-science-from-scratch.html
Some in this thread have wondered what publisher Austin was working with. Based on my experience working with three different technical publishers and the setup and terms Austin was offered, my educated guess would be Manning.
I will critique the blog post a little bit. It’s presented as a critique of the experience of working with the publisher, but ultimately I’m reading between the lines that the book failed because he was missing deadlines. He wrote that “life got in the way” and I think he lost his motivation only partially because the publisher wanted AI in more of the book. Many of the trials he had along the way: dealing with a development editor who wants to tailor your style to a particular audience, a technical editor who needs a couple chapters to warmup, back and forth on the proposal, etc. these are all really par for the course when writing a technical book. Ultimately you have to be self-motivated to finish because of course the development editor, technical editor, etc are going to disagree with you from time to time and try to push you in different directions. If that alone is so demotivating to you, it’s just not for you to work with a publisher.
PS I think his blog is really good and he should think about self publishing under a time frame and terms he is more comfortable with.
WoodenChair
讽刺的是,就在几个月前,我几乎在同一时间段也在创作一本类似概念的书,这本书最终由 No Starch Press 出版,书名为《Computer Science from Scratch: Interpreters, Computer Art, Emulators, and ML in Python》(《从零开始学计算机科学:用 Python 编写解释器、计算机艺术、模拟器和机器学习》)。和 Austin 的书一样,它也包含一个 CHIP8 章节,以及几章关于如何创建编程语言的内容。就他的经历和我与传统出版社合作写书的经历而言,区别在于我是一名经验丰富的作者,所以在将书稿交给出版社之前,我有信心先完成整本书。我不希望核心概念受到过多审视,而且我也收到了类似的信号,那就是“每一章都必须包含 AI”。
一个月前,我写了一篇类似的博客文章,描述了创作和出版这本书的过程,文章名为《Writing Computer Science from Scratch》(《从零开始撰写计算机科学》):
https://www.observationalhazard.com/2025/12/writing-computer-science-from-scratch.html
在这个帖子中,一些人想知道 Austin 当时在和哪家出版社合作。根据我与三家技术出版社合作的经验,以及 Austin 获得的合作条件和条款,我猜测很可能是 Manning 出版社。
我想稍微评论一下这篇博文。这篇文章表面上是在批判与出版社合作的经验,但我透过字里行行间的意思读到,这本书的失败是因为他错过了最后期限。他写道“生活打乱了计划”,我认为他失去动力的原因部分在于出版社希望书中加入更多 AI 内容。他一路上遇到的许多困难,比如:与开发编辑合作,对方希望你的写作风格更贴合特定读者群体;与技术编辑磨合,需要对方花几章内容才能进入状态;就图书提案来回修改等等——这些在撰写技术书籍的过程中其实都再正常不过了。最终,你必须要有自我驱动力才能完成,因为开发编辑、技术编辑等人当然会时不时地与你意见相左,试图把你推向不同的方向。如果仅仅这些事情就让你感到如此泄气,那么你可能不适合与出版社合作。
另外,我觉得他的博客真的很好,他可以考虑在自己更舒适的时间框架和条款下进行自助出版。
The rise of industrial software #
https://news.ycombinator.com/item?id=46443196
This essay, like so many others, mistakes the task of “building” software with the task of “writing” software. Anyone in the world can already get cheap, mass-produced software to do almost anything they want their computer to do. Compilers spit out new build of any program on demand within seconds, and you can usually get both source code and pre-compiled copies over the internet. The “industrial process” (as TFA puts it) of production and distribution is already handled perfectly well by CI/CD systems and CDNs.
What software developers actually do is closer to the role of an architect in construction or a design engineer in manufacturing. They design new blueprints for the compilers to churn out. Like any design job, this needs some actual taste and insight into the particular circumstances. That has always been the difficult part of commercial software production and LLMs generally don’t help with that.
It’s like thinking the greatest barrier to producing the next great Russian literary novel is not speaking Russian. That is merely the first and easiest barrier, but after learning the language you are still no Tolstoy.
WJW
这篇论文和许多其他文章一样,将“构建”软件的任务与“编写”软件的任务混为一谈。如今,世界上任何人都能买到廉价、批量生产的软件,来让电脑完成几乎任何他们想要的任务。编译器可以按需在几秒钟内生成任何程序的新版本,而且你通常还能通过互联网获取其源代码和预编译副本。正如该文作者所指出的,软件的生产与分销这一“工业流程”早已由 CI/CD 系统和 CDN 完美地处理了。
软件开发人员的实际工作,更像是建筑领域的建筑师或制造业的设计工程师。他们为编译器设计出新的蓝图,让后者去生产。和任何设计工作一样,这需要一定的品味,并对特定情况有深刻的洞察力。这始终是商业软件生产中最困难的部分,而大型语言模型(LLM)通常对此无能为力。
这就好比认为,创作下一部伟大的俄罗斯文学小说的最大障碍,在于不会说俄语。这仅仅是最初、最轻易的一道障碍,但即便你学会了这门语言,你也成不了托尔斯泰。
Tell HN: Happy New Year #
https://news.ycombinator.com/item?id=46445504
Happy NYE! Was a big one for me: went sober. Alcohol became my band-aid solution for everything, which ended up with me ignoring things that needed to be done and putting my relationships, job, and health at major risk. I am now 10 months sober and beyond relieved to not be where I was one year ago. I found my dream job in the process, and was able to transition out of an old job that felt stale and holding me back. There is still lot’s of progress to be made.
washedup
新年快乐!对我来说,这是意义重大的一年:我戒酒了。酒精曾是我应对一切的权宜之计,结果导致我忽略了需要处理的事情,并将我的关系、工作和健康置于巨大的风险之中。如今我已经戒酒十个月,摆脱了去年的自己,感到无比欣慰。在此过程中,我找到了理想的工作,并成功摆脱了一份陈旧且阻碍我发展的旧工作。虽然还有很长的路要走,但进步是实实在在的。
Stardew Valley developer made a $125k donation to … #
https://news.ycombinator.com/item?id=46445187
I don’t want to assume, but I don’t recollect any contributions of that magnitude from large studios (spare Valve). This indy developer (is that label fair?) is putting AAA studios to shame.
juujian
我不想妄加揣测,但我完全不记得有哪家大型工作室(除了Valve)做出过同等规模的贡献。这位独立开发者(用这个称呼合适吗?)真是让那些3A大厂无地自容。
I canceled my book deal #
https://news.ycombinator.com/item?id=46449111
Thanks to the positive encourage here and in my email, I’ve decided to go the self-publishing route. I setup a pre-order page and will release each chapter as I go. :)
Happy New Years, HN.
azhenley
感谢大家在这里和邮件中的积极鼓励,我决定选择自出版这条路。我已设置了预售页面,并将随着写作进度逐章发布。 :)
新年快乐,HN。
2025 was a disaster for Windows 11 #
https://news.ycombinator.com/item?id=46447607
For me the strange and unproductive direction Windows is going towards in encapsulated in the right-click menu in the file manager (Explorer). 11 has a shiny new menu that shows up when you right click. But it is a new coat of paint over the ones from 10 or before. Additional options from for example 7zip don’t show up in it. You have to click “more options” at the bottom which them reveals the old menu. There is no benefit to the new menu except for the fact that it is aesthetically more “modern” to its detriment.
ksynwa
对我来说,Windows 走向的怪异且无 productive 的方向,都浓缩在文件管理器(资源管理器)的右键菜单里了。11 有一个闪亮的新右键菜单。但这不过是给 10 或更早版本的菜单刷了层新漆。例如,来自 7zip 的额外选项并不会显示在其中。你必须点击底部的“更多选项”,才会弹出旧菜单。这个新菜单除了在审美上更“现代”之外,没有任何好处,反而带来了弊端。
Meta created ‘playbook’ to fend off pressure to cr… #
https://news.ycombinator.com/item?id=46447112
The explanation is that the platform firms operate with a high level of market power, which is another way of saying that they benefit from monopoly or near-monopoly effects that make them relatively immune from things like what their customers want.
This is actually textbook monopoly stuff, well established in antitrust literature and well understood by regulators: when you see a firm institutionalizing how to defend criminal activity as a part of their business model, it’s a big flag that said firm probably has some kind of immunity from how healthy, regulated markets operate. Why America has decided not to prosecute corporate criminals anymore (given that at various points in its history it was actually pretty good at this) is the really interesting question of our time.
safety1st
其解释是,平台公司以高度的市场权力进行运营,这也就是说,它们受益于垄断或近乎垄断的影响,这使得它们在很大程度上不受客户意愿等因素的影响。
这实际上就是教科书式的垄断行为,这在反垄断文献中已有充分记载,也为监管机构所充分理解:当你看到一家公司将如何为犯罪活动辩护制度化,并将其作为其商业模式的一部分时,这是一个巨大的警示信号,表明该公司可能在一定程度上不受健康、规范的市场运作方式的制约。为什么美国如今决定不再对企业犯罪提起诉讼(考虑到在其历史上的不同时期,它实际上曾非常擅长于此),才是我们这个时代真正引人深思的问题。
Bluetooth Headphone Jacking: A Key to Your Phone [… #
https://news.ycombinator.com/item?id=46453855
Glad this submission is finally receiving upvotes.
This was just shown at the 39C3 in Hamburg, few days back.
Common (unpached) Bluetooth headsets using Airoha’s SoCs can be completely taken over by any unauthenticated bystander with a Linux laptop. (CVE-2025-20700, CVE-2025-20701, CVE-2025-20702)
This includes firmware dumps, user preferences, Bluetooth Classic session keys, current playing track, …
Examples of affected vendors and devices are Sony (e.g., WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (e.g. Major V, Minor IV), Beyerdynamic (e.g. AMIRON 300), or Jabra (e.g. Elite 8 Active).
Most vendors gave the security researchers either silent treatment or were slow, even after Airoha published fixes. Jabra was one of the positive outlier, Sony unfortunately negatively.
What is exciting, even though the flaws are awful, that it is unlikely for current generation of those Airoha bluetooth headsets to change away from Aiorha’s Bluetooth LE “RACE” protocol. This means there is great opportunity for Linux users to control their Bluetooth headsets, which for example is quite nice in an office setting to toggle “hearthrough” when toggling volume “mute” on your machine.
RACE Reverse Engineered - CLI Tool: https://github.com/auracast-research/race-toolkit
I feel like this should receive state-level attention, the remote audio surveillance of any headset can be a major threat. I wonder what the policies in countries official buildings are when it comes to Bluetooth audio devices, considering that Jabra is a major brand for conference speakers, I’d assume some actual espionage threats.
miduil
很高兴这篇投稿终于获得了点赞。
几天前,这个内容在汉堡的 39C3 大会上进行了展示。
任何未经验证的旁观者,只要有一台 Linux 笔记本电脑,就可以完全控制使用 Airoha SoC 的通用(未经修补)蓝牙耳机。(CVE-2025-20700, CVE-2025-20701, CVE-2025-20702)
这包括固件转储、用户偏好设置、蓝牙经典会话密钥、当前正在播放的曲目等。
受影响的供应商和设备示例包括索尼(例如 WH1000-XM5, WH1000-XM6, WF-1000XM5)、Marshall(例如 Major V, Minor IV)、拜雅(例如 AMIRON 300)或捷波朗(例如 Elite 8 Active)。
即使 Airoha 发布了修复程序,大多数供应商要么对安全研究人员置之不理,要么反应迟缓。捷波朗是少数积极的例外,而索尼则不幸地表现不佳。
尽管这些漏洞非常糟糕,但令人兴奋的是,当前这些 Airoha 蓝牙耳机不太可能放弃 Airoha 的蓝牙 LE “RACE”协议。这意味着 Linux 用户将有机会控制他们的蓝牙耳机,例如,在办公环境中,当在电脑上切换“静音”音量时,同时切换“通透听”功能,这将非常方便。
RACE 协议逆向工程 - CLI 工具:https://github.com/auracast-research/race-toolkit
我觉得这个问题应该引起国家层面的关注,因为任何耳机的远程音频监控都可能构成重大威胁。考虑到捷波朗是会议音响的主要品牌之一,我想知道在政府大楼中,针对蓝牙音频设备有什么政策规定,我猜测其中可能存在真实的间谍威胁。
Web Browsers have stopped blocking pop-ups #
https://news.ycombinator.com/item?id=46449333
btw, if you use https://kagi.com/ , they have a workflow for this: if you are on a site, and they popup a modal asking for you to sign up for something, you click back to the kagi.com search results, click the shield icon, and then click block. Now you’ll never see that site show up again in your search results.
I’ve found those sites that want you to sign up for stuff usually have poor content to begin with, so this is just helping you curate out all the bad content out there.
analogpixel
顺便一提,如果你使用 https://kagi.com/,他们有一个为此设计的功能:当你在某个网站上,网站弹出一个窗口要求你注册某个东西时,你点击返回到 kagi.com 的搜索结果页面,点击盾牌图标,然后选择“阻止”。这样你就再也不会在搜索结果中看到那个网站了。
我发现那些要求你注册的网站,其内容质量通常一开始就很差,所以这其实是在帮你过滤掉网络上所有不好的内容。
Python numbers every programmer should know #
https://news.ycombinator.com/item?id=46457021
A lot of people here are commenting that if you have to care about specific latency numbers in Python you should just use another language.
I disagree. A lot of important and large codebases were grown and maintained in Python (Instagram, Dropbox, OpenAI) and it’s damn useful to know how to reason your way out of a Python performance problem when you inevitably hit one without dropping out into another language, which is going to be far more complex.
Python is a very useful tool, and knowing these numbers just makes you better at using the tool. The author is a Python Software Foundation Fellow. They’re great at using the tool.
In the common case, a performance problem in Python is not the result of hitting the limit of the language but the result of sloppy un-performant code, for example unnecessarily calling a function O(10_000) times in a hot loop.
I wrote up a more focused “Python latency numbers you should know” as a quiz here https://thundergolfer.com/computers-are-fast
thundergolfer
这里很多人评论说,如果你在意 Python 的具体延迟数值,那应该直接换一门语言。
我不同意。许多重要的大型代码库都是用 Python 开发和维护的(例如 Instagram、Dropbox、OpenAI),因此不可避免地遇到 Python 性能问题时,能够通过推理自行解决,而不是切换到另一门复杂得多的语言,这非常有用。
Python 是一个非常有用的工具,了解这些数值只会让你更好地使用它。作者是 Python 软件基金会成员,他非常擅长使用这个工具。
通常情况下,Python 的性能问题并非源于语言本身的限制,而是由草率、低效的代码造成的,例如在一个热点循环中不必要地调用函数达 10,000 次。
我在这里写了一份更聚焦的“你应该知道的 Python 延迟数值”,并以测验的形式呈现:https://thundergolfer.com/computers-are-fast
Web Browsers have stopped blocking pop-ups #
https://news.ycombinator.com/item?id=46454217
I’ve also noticed this recently. Python has a slide-in “donate now or we mug you”. I consider this abuse of the visitor.
To see it on python.org I had to enable JS (using noscript) AND disable uBlock Origin.
then Google went in to kill ublock origin. Ublock lite is nowhere near as good.
Use Firefox
graemep
我最近也注意到了这个。Python 现在有一种“现在就捐款,否则我们就‘抢劫’你”的弹窗。我认为这是在利用访客。
要在 python.org 上看到这个弹窗,我必须启用 JavaScript(通过 noscript),并且还要禁用 uBlock Origin。
然后谷歌就出手了,想搞死 uBlock Origin。Ublock Lite 远远比不上它。
用 Firefox 吧。