2026 02 06 HackerNews

2026-02-06 Hacker News Top Stories #

  1. Comma 自建数据中心证明长期自购托管能显著降低成本并提升工程自主性与效率,详述电力、冷却、计算、存储、网络与自研软件方案。
  2. OpenClaw 在 Mac 上展示了能真正控制设备的开源代理能力,作者认为苹果若推出类似平台可建立护城河,但因风险回避可能错失机会。
  3. AI 正在颠覆传统 B2B SaaS:“一次构建、无限复用”被低代码与可定制化取代,生存之道在于成为系统级记录并加强合规与可定制性。
  4. 作者发现第三方错误上报机制使本应仅在内网的 NAS 主机名意外泄露到公网,提醒回拨/上报功能会导致敏感信息外泄。
  5. 美国中央情报局宣布停更并关闭长期免费的《世界概况》,这一历史性公共资源被移除引发广泛担忧。
  6. 自 2025 年以来的全球资产同步下跌源于日本央行结束超低利率引发的日元套利回补与强制平仓,凸显流动性和系统性风险。
  7. 欧盟委员会试点开源去中心化通信协议 Matrix,以减少对 Teams 等美国闭源软件的依赖、增强数字主权与跨机构互联。
  8. CIA 突然移除并关闭《世界事实手册》档案后,社区人士已将其备份到公共仓库以保存数字遗产并呼吁开放数据责任。
  9. 研究显示 OpenClaw/ClawHub 的技能分发可被滥用为恶意软件传播载体,建议公司禁止在企业设备上使用并加强平台审核。
  10. 美国移民与海关执法局向广告技术行业征询用于调查的商业位置数据能力,此举引发对隐私、合宪性与绕开法律程序的担忧。

不要租用云,而是自建 (Don’t rent the cloud, own instead) #

https://blog.comma.ai/datacenter/

本文介绍了 Comma 公司自建 500 万美元数据中心的实践经验,强调了自建数据中心在控制成本、提升工程效率和实现技术自主方面的优势。

为何选择自建数据中心? 作者指出,依赖云服务虽然初期接入简单,但长期使用容易陷入高成本且难以迁移的困境。自建数据中心能让人更专注于真实的技术挑战,如功耗、算力和数据处理效率,而非云服务商的 API 和账单系统。此外,自建环境促使工程师优化代码和架构,避免“用更多算力解决一切问题”的惰性,从而推动更高效、更经济的解决方案。在成本方面,Comma 公司估算,自建数据中心五年投入约 500 万美元,若使用云服务则需超 2500 万美元。

数据中心核心构成 电力方面,数据中心峰值功耗达 450kW,2025 年电力支出达 54 万美元,成本高昂,未来计划自发电。冷却系统采用自然通风方式,利用室外空气,仅消耗几十千瓦,通过风扇混合热冷空气并用 PID 算法控制温湿度,实现节能高效。计算设备方面,部署了 75 台自研 TinyBox Pro 服务器,共 600 块 GPU,每台含 2 个 CPU 和 8 块 GPU,兼顾训练与通用计算。存储系统采用 Dell R630/R730 服务器,配备 SSD,总容量约 4PB,分为三类:3PB 非冗余存储用于原始驾驶数据,300TB 非冗余缓存中间结果,以及冗余存储用于模型和训练指标。

网络与软件架构 网络由三台 100Gbps Z9264F 交换机构成主干,另配两台 InfiniBand 交换机用于 GPU 训练节点间的高速互联。所有服务器通过 PXE 启动并由 Salt 统一管理。存储系统基于自研的 minikeyvalue(mkv)分布式存储,支持高吞吐读取,可直接从存储中训练模型,无需缓存。工作负载管理使用 Slurm,支持 PyTorch 分布式训练和 Miniray 任务调度。

训练与任务调度 PyTorch 训练采用 FSDP 框架,分两个独立训练组,通过 InfiniBand 互联。公司自研训练框架简化流程,但核心仍基于 PyTorch。实验追踪使用自研服务 Reporter,功能类似 WandB,支持实验可视化、指标监控和模型下载。Miniray 是轻量级任务调度系统,可将任意 Python 任务分发至空闲机器,支持动态批处理的模型推理,能高效扩展至数百台机器。例如,控制挑战记录就是通过 Miniray 调度实现的。

总结 Comma 通过自建数据中心,实现了对算力、成本和数据的全面掌控,推动了工程文化的进步,也为其他 AI 公司提供了可借鉴的实践路径。

HN 热度 1063 points | 评论 445 comments | 作者:Torq_boi | 19 hours ago #

https://news.ycombinator.com/item?id=46896146

  • 云计算虽然降低了初期投入和风险,但长期运营成本高且费用波动大,适合初创企业快速起步。
  • 管理型私有云在降低资本支出和人力风险的同时,提供中等水平的运营成本,适合中小型企业及 DevOps 团队压力较大的情况。
  • 租用裸金属服务器可大幅降低成本(约比 AWS 便宜 90%),但需自行承担硬件管理、技能要求和运维风险,适合规模较大或基础设施为核心业务的企业。
  • 自购并托管硬件是长期来看最经济的选择,前提是具备足够的技术能力、资金实力和 3 至 5 年的稳定使用规划。
  • 云服务成本高昂的主要原因并非硬件本身贵,而是其推动复杂、低效的架构设计,如过度依赖“托管服务”导致资源浪费。
  • 使用微服务架构时,数据频繁在数据库间传递、认证逻辑重复检查、流量分发与负载均衡等环节增加了额外开销,显著推高成本。
  • 若采用高效的传统架构(如 4 台 Java 服务器加冗余数据库),即使支付 4 倍于自建的成本,仍可能因运维便利性和服务质量而值得。
  • 新员工接手遗留系统时容易恐慌,被迫依赖“托管服务”来缓解压力,形成恶性循环,最终导致成本失控。
  • 部分“认证 AWS 合作伙伴”可能通过诱导客户增加服务开支获取回扣,进一步加剧成本问题。
  • AWS 即将面临显著涨价,主要受内存价格上涨影响,而其利润贡献巨大,难以避免成本转嫁。
  • 优秀工程师离职后,其积累的隐性知识难以传承,新接手者往往缺乏足够文档支持,导致运维困难。
  • 尽管 AWS 存在知识壁垒,但其生态成熟,相关技能更易被市场接受和招聘到人才。
  • 自建系统虽有优势,但一旦核心人员离开,维护难度极大,尤其当系统复杂且缺乏透明度时。
  • 云平台内部复杂性同样可能导致严重问题,例如大量无源 Lambda 函数运行、VPC 网络规则混乱,变更可能引发未知服务故障。
  • 传统企业中的系统管理员多数只熟悉特定平台,不具备跨平台迁移或深入理解的能力。
  • 能够独立构建和运维非云系统的专业人才其实并不稀缺,只是当前市场需求不足,导致该领域发展滞后。
  • 有能力进行本地部署的技术人才广泛存在,且对软件自由有强烈热情,一旦市场需求上升,将迅速填补缺口。
  • 企业 IT 领域的系统管理员数量远超大型科技公司员工,说明相关人才储备充足,关键在于如何引导和培养。
  • 解决技能短缺的根本方法是建立针对本地部署技术的培训项目,类似制造业的技工培养模式,通过实践训练提升能力。

OpenClaw 才是苹果智能應有的樣子 (OpenClaw is what Apple intelligence should have been) #

https://www.jakequist.com/thoughts/openclaw-is-what-apple-intelligence-should-have-been

Mac Mini 正在热销,但并非因为用户需要更多桌面设备,而是人们购买它们来运行 AI 代理程序,实现自动化工作流。OpenClaw 作为开源框架,允许用户在 Mac Mini 上部署 Claude、GPT-5 等模型,让 AI 真正操控电脑操作,如点击按钮、处理任务,成为当前最热门的应用。

这本应是 Apple Intelligence 的方向。苹果拥有硬件、生态系统和“即插即用”的品牌信誉,本可推出能真正控制设备、自动处理邮件、日程、税务等复杂任务的 AI 代理。这样的产品即使加价 500 美元,用户也愿意买单,且能建立难以复制的平台护城河。

但苹果没有这么做。可能是因为未意识到这一趋势,也可能出于对 AI 自动决策带来的法律与责任风险的顾虑。此外,若苹果推出此类 AI,将直接挑战 Facebook、LinkedIn 等平台的生态壁垒——这些平台依赖用户停留和操作摩擦来维持广告收入。AI 自动化会绕过它们的 API,威胁其商业模式。

因此,苹果选择“置身事外”:只卖硬件,不负责软件行为,借由第三方(如 OpenClaw)实现自动化,从而获得“合理免责”。这看似规避风险,实则是短视。

真正的护城河来自网络效应。若苹果掌控 AI 代理层,就能整合其全生态设备数据,打造跨 iPhone、Mac、iPad、Watch 的智能代理,并制定统一接口标准。其他服务若想接入,就必须遵循苹果规则,形成新的平台霸权。

当前 Mac Mini 的热销,正是用户在用实际行动告诉苹果:他们想要 AI 代理,愿意为此付费,甚至专门购买设备。苹果正收获硬件利润,却错失平台级的长期价值。

十年后回望,2024–2025 年可能是苹果错失掌控 AI 代理层关键窗口的时期。它并非不能做到,而是选择规避短期风险,牺牲了未来十年的平台主导权。用户购买 Mac Mini 的行为,本质上是向苹果发出的明确信号:你该做的产品,早就有人在做了。

HN 热度 486 points | 评论 402 comments | 作者:jakequist | 24 hours ago #

https://news.ycombinator.com/item?id=46893970

  • Apple Intelligence 应该像 OpenClaw 一样具备真正的代理能力,能自动化操作设备,而非仅限于总结通知。
  • Apple 可能因安全问题(如提示注入攻击)而推迟发布 AI 功能,以确保系统安全,避免大规模数据泄露风险。
  • Apple 通常不率先创新,而是等待技术成熟后,再以更优的软硬件整合方式推出产品。
  • 当前 AI 技术仍处于早期阶段,存在诸多缺陷,Apple 不可能在 25 亿设备上冒险部署不成熟的功能。
  • Apple 的 AI 功能虽已演示,但因安全和稳定性问题被延迟,可能在 iOS 26.4 beta 中发布。
  • OpenClaw 代表了一种全新的 AI 交互范式,类似 Raycast 等初创公司正在探索该方向。
  • 有人质疑作者作为前 Google 工程师,对产品思维的理解存在偏差,认为其观点过于理想化。
  • 有人认为作者对 Google 的评价过于负面,忽略了 Google 在快速试错和迭代方面的优势。
  • Apple 的产品管理可能受到高层愿景和强制发布时间的制约,导致用户体验下降。
  • Siri 当前功能受限,许多操作仍需手动解锁设备,体验极为不便。
  • 用户希望在不完全解锁手机的前提下,仍能执行部分语音指令,如播放音乐、查看天气等。
  • 有人建议引入 VoiceID 等生物识别技术,实现更安全的免解锁语音控制。
  • 现有系统在锁屏状态下限制过多,缺乏“中间状态”的灵活设置,如允许部分语音命令在锁屏时执行。
  • 有人调侃若允许随意播放音乐,可能引发“二月播放圣诞歌”的尴尬场景,但认为应有更合理的折中方案。
  • 语音控制功能的限制并非 Apple 本身问题,部分是应用(如 YouTube)自身在 SiriKit 配置中的设置所致。

AI 正在颠覆 B2B SaaS 产业 (AI is killing B2B SaaS) #

https://nmn.gl/blog/ai-killing-b2b-saas

AI 正在对 B2B SaaS 产业构成前所未有的挑战。传统 SaaS 的盈利模式——“一次构建,无限复用”——正面临颠覆。随着 AI 驱动的“ vibe coding” 技术普及,非技术人员也能快速搭建出功能可用的内部工具,直接威胁到现有 SaaS 产品的续约率。

客户不再愿意为僵化的软件妥协工作流程。他们亲眼看到,通过 GitHub、Notion 等平台的 API,结合 AI 工具,可以在短时间内实现定制化应用。一位 Series E 首席执行官坦言,他们已放弃每年支付 3 万美元的工程效率工具,转而自行用 AI 重构功能。

这种趋势导致市场剧烈反应:Morgan Stanley 的 SaaS 指数自 12 月以来落后纳斯达克 40 点,HubSpot 和 Klaviyo 等公司股价下跌约 30%。分析师开始发布“无持有理由”的看空报告。

然而,AI 并非彻底摧毁 SaaS,而是淘汰那些拒绝进化的公司。真正的生存之道在于转型:

第一,成为“系统级记录”(System of Record)。当 SaaS 深度嵌入企业日常运营,成为核心工作流的一部分,客户就难以轻易替换。这种“锁定效应”来自使用习惯和数据依赖。

第二,强化安全、认证与系统稳健性。vibe coding 工具虽快,却常忽略环境密钥、XSS 漏洞、API 密钥泄露、审计日志缺失等问题。企业级 SaaS 在 RBAC、加密传输、SOC 2、GDPR、HIPAA 等合规方面投入多年,这些“看不见的价值”在系统出问题时才凸显。

第三,主动适应客户,而非要求客户适应你。过去 SaaS 常因过于僵化导致使用率低下。如今,能提供高度可定制化能力的平台更具竞争力。例如,某维护管理 SaaS 客户使用率仅 35%,通过引入一个白标 vibe-coding 平台,客户成功团队仅用几天就为一线技师开发出专属移动端应用,使用率跃升至 70% 以上。

核心策略是:让客户在你已构建的 SaaS 平台上“vibe coding”,既保留系统安全与数据统一,又赋予用户极致灵活性。当用户在平台上不断创造新功能,他们对平台的依赖和归属感也随之增强。

最终,AI 并未杀死 B2B SaaS,而是淘汰了那些固守旧模式的公司。未来的赢家,是那些能将 AI 的灵活性与 SaaS 的稳定性、安全性、可扩展性融合的平台。

HN 热度 485 points | 评论 709 comments | 作者:namanyayg | 1 day ago #

https://news.ycombinator.com/item?id=46888441

  • 初级开发者常误以为能用一个周末开发出替代昂贵 SaaS 软件的定制化工具,但管理层通常不愿承担此类自建系统的责任。
  • 有时新员工能用更简单的方式(如使用现有成熟框架)在短时间内完成复杂项目,却因挑战了既定流程而引发组织内部动荡。
  • 管理层往往不希望下属展现出过于突出的能力,以免威胁其权威,这体现了“不要超越上司”的职场潜规则。
  • 技术上的卓越表现若未配合恰当的社交策略,可能招致反噬,尤其在大型组织中,权力结构比技术能力更重要。
  • 优秀的管理者应善于识别并重用比自己更聪明的人,给予充分支持,并将成功归功于团队,从而激发最佳表现。
  • 在组织中,真正的权力游戏往往与技术无关,而是围绕地位、影响力和利益分配展开,技术天才若缺乏社交智慧易遭排挤。
  • 某些组织中存在“反效率”文化,即过度优化或快速完成任务反而被视为不合时宜,以维持表面的渐进式进展。
  • 人类组织中的权力动态类似于动物群体中的支配结构,个体行为受群体规则和生存策略驱动,而非理性或效率。
  • 真正的管理智慧在于利用人才优势,同时通过合理归因和公开认可来巩固团队凝聚力与组织稳定。
  • 一些人认为,当前职场文化对高智商、高能力者不友好,甚至需要“非理性”行为来适应系统,这反映出系统本身的缺陷。

当内部主机名泄露 (When internal hostnames are leaked to the clown) #

https://rachelbythebay.com/w/2026/02/03/badnas/

这篇文章讲的是一起内网主机名泄露事件。

作者买了一台家用 NAS 存储设备,给它配置了一个很深的子域名证书 *.nothing-special.whatever.example.com,并只在本地电脑的 /etc/hosts 文件里添加了解析,完全没对外公开。

但几天后,作者在外网服务器上意外发现 Google Cloud 的服务器在尝试连接这个本应只有本机知道的 hostname。原来作者之前设置了通配符 DNS 指向自己的服务器,专门用来监控这种泄露情况。

经过调查发现,NAS 的网页界面集成了 Sentry.io 错误监控服务。浏览器访问 NAS 时会自动向 Sentry 发送错误报告,其中包含了当前页面的完整主机名。Sentry 拿到这个 hostname 后,又尝试回连进行 TLS 握手。

这就带来安全隐患:如果 hostname 包含敏感信息(比如 mycorp-merger-storage 这种暗示商业合并的名称),就会泄露给第三方。而且攻击者理论上可以利用 Sentry 的报告机制,让它去扫描任意 DNS 能解析的主机。

作者最后用小飞贼(Little Snitch)屏蔽了 Sentry 的域名才解决问题。文章警示说,即使是从未公开的纯内网主机名,也可能通过第三方服务的"打电话回家"机制意外泄露到公网。

HN 热度 425 points | 评论 232 comments | 作者:zdw | 19 hours ago #

https://news.ycombinator.com/item?id=46895972

  • Sentry 客户端在上报错误时会尝试访问与错误相关的主机名,由于存在泛域名证书,导致内部主机名被泄露。
  • 泄露的主机名可能是为了获取源码映射(source maps)或图标(favicon)以在 UI 中渲染错误信息。
  • 这种行为可能被恶意利用,触发对非授权 IP 地址的任意请求,从而引发网络滥用警告或被 ISP 拉黑。
  • 安全思维过度会导致不必要的复杂流程,例如汽车维修店仅凭姓名就能取车,但引入过度验证反而影响用户体验。
  • 企业为防范极低概率事件而实施极端安全措施,却忽视了实际风险与用户便利性的平衡。
  • 当前多数服务的“双因素认证”形同虚设,依赖短信验证码,极易被 SIM 卡劫持,远不如 TOTP 或通行密钥安全。
  • 许多系统对密码策略要求荒谬,如强制包含特定符号,却忽视密码强度的实际意义。
  • 政府项目中开发者对公私钥加密原理理解不足,常将测试环境密钥误用于生产环境,带来严重安全隐患。
  • 安全措施应基于真实风险评估,而非假设性威胁;过度防御只会降低效率并损害信任。
  • 网络犯罪往往难以追责,而实体犯罪如汽车盗窃则有明确执法机制,因此网络安全措施需更务实。

美国中央情报局将停更《世界概况》 (CIA to Sunset the World Factbook) #

https://www.abc.net.au/news/2026-02-05/cia-closes-world-factbook-online-resource/106307724

美国中央情报局(CIA)宣布将停止出版《世界概况》(World Factbook),这一免费在线资源曾被全球数百万用户广泛使用。该手册自 1971 年首次发布以来,提供各国详尽的统计数据与基本信息,以易于理解、可搜索的形式呈现,长期受到记者、学者及公众欢迎。

《世界概况》起源于二战时期的机密项目 JANIS,1947 年由 CIA 接手并更名为国家情报调查,1975 年首次向公众开放非机密版本,1990 年代推出网络版,数据始终处于公共领域。其访问量在每年美国学年期间达到高峰,夏季则明显下降。

尽管 CIA 官网未说明停更原因,但分析指出这可能与特朗普政府推动削减被认为偏离核心职能的政府项目有关。2025 年 2 月,该政府曾向全体中情局员工提供买断方案,并计划未来几年内裁减约 1,200 个岗位。目前,中情局尚未就此事作出进一步回应。

HN 热度 334 points | 评论 240 comments | 作者:kshahkshah | 12 hours ago #

https://news.ycombinator.com/item?id=46899100

  • 《世界 factbook》的停用令人遗憾,许多学生时代的论文都曾引用它作为资料来源。
  • 该资源的消失可能导致学生更多依赖 Wikipedia 或人工智能,不利于培养批判性思维和独立查证的能力。
  • 《世界 factbook》曾是早期通过 Gopher 协议访问互联网的重要信息来源,见证了互联网发展的早期阶段。
  • Gopher 是一种在万维网出现前流行的文本菜单式信息浏览系统,具有结构清晰、高效的特点。
  • Gopher 与早期互联网的文本命令行环境高度契合,是互联网从纯命令行向图形化过渡的关键阶段。
  • 早期互联网用户通过 Gopher 可以在终端中浏览结构化信息,体验类似“藤蔓跳跃”的探索感。
  • Gopher 与万维网并存过一段时间,但随着 IP 地址普及和图形浏览器(如 Mosaic)的出现,其地位逐渐被取代。
  • 万维网的图形化优势使得 Gopher 这种纯文本界面显得过时,但 Gopher 本身仍具历史价值与实用意义。
  • 现在仍可通过 Lynx、Bombadillo、Phetch 等终端浏览器访问 Gopher 网络,部分爱好者仍在维护其生态。
  • Gemini 协议是受 Gopher 启发的现代轻量级文本协议,延续了其简洁、去中心化的理念。
  • 一些技术爱好者建议将《世界 factbook》的最新版本上传至 Gopher 网络,作为数字遗产的延续项目。
  • 早期互联网通过拨号连接访问,用户需通过机构账户登录,无法直接“地址化”,限制了交互能力。
  • SLIP 协议的出现使用户获得独立 IP 地址,实现主机间直接通信,为图形浏览器的普及创造了条件。
  • Mosaic 浏览器的开发背景与当时高校科研网络环境密切相关,不受商业互联网服务限制,推动了图形化网页的普及。

大解套 (The Great Unwind) #

https://occupywallst.com/yen

文章发表于 2026 年 2 月 4 日,由 @OccupyWallSt 发布,题为《The Great Unwind》(大解套),揭示了全球金融市场近期剧烈波动的深层原因。

文章指出,自 2025 年 10 月以来,股市震荡、加密货币与黄金价格暴跌,并非如主流媒体所归因于 AI 泡沫、格陵兰战争或特朗普推文,而是源于一个被忽视的核心机制——日本央行主导的“日元套利交易”(Yen carry trade)正在被迫全面清算。

近三十年来,日本央行长期实施零利率(ZIRP)和负利率(NIRP)政策,使日元成为全球最廉价的融资货币。华尔街机构借此以近乎零成本借入日元,兑换为美元后投资于美国国债、科技股及加密资产等高收益资产,形成庞大的杠杆头寸。这一模式支撑了全球金融市场的流动性与低波动性,也推动了美股长期上涨。

然而,2025 年 12 月,日本央行将利率上调至 0.75%,并释放明确的鹰派信号,标志着“免费资金时代”的终结。此举彻底改变了套利交易的风险收益结构。随着日元升值压力加剧,叠加美联储降息预期、科技股表现不及预期等因素,大量杠杆头寸面临强制平仓。

由于日元是全球最被做空的货币之一,其套利交易本质是“卖空日元”。当市场开始逆转,所有做空者必须回补头寸,大规模买入日元,导致日元进一步升值,形成恶性循环。这种自我强化的抛售机制,正是当前市场相关性飙升、各类资产同步崩盘的根本原因。

文章强调,2026 年 1 月的市场动荡并非基本面变化所致,而是典型的“强制清算”现象。当不同资产类别(如黄金、比特币、微软股票、白银)在下跌中相关性接近 1.0 时,说明投资者并非主动卖出,而是被迫清仓以应对保证金追缴。

此外,日本国内大型金融机构(如农林中央银行)正大幅撤出海外债券市场,造成美国国债市场的流动性真空。这进一步加剧了全球资本流动的紧张。

文章最后指出,日本央行的货币政策转向并非偶然,而是一场早有预谋的“百年布局”,远超华尔街的短期博弈。这场“大解套”从东京出发,通过复杂的金融链条冲击全球市场,没有资产能幸免。

HN 热度 314 points | 评论 331 comments | 作者:jart | 1 day ago #

https://news.ycombinator.com/item?id=46889008

  • 股票市场波动本质上是供需关系的体现,价格下跌意味着大量抛售和流动性需求,而非资金蒸发。
  • 零售投资者因信息滞后和时间不足,在面对机构主导的市场变化时处于明显劣势,形成“大卫对歌利亚”的不对等局面。
  • 市场心理和未来预期深刻影响价格发现过程,尤其在成长型股票中,未来前景远比当前业绩更重要。
  • 机构投资者整体表现并未显著优于普通投资者,多数主动管理基金仅能跑赢市场平均水平。
  • 金价下跌并非与市场动荡矛盾,而是因为黄金并非普遍被视作对抗市场不稳定的主流投资工具。
  • 投资者亏损在未实际卖出前仅为账面损失,真正损失发生在被迫变现时,而许多抛售行为源于流动性压力。
  • 以黄金作为抗通胀和市场动荡的对冲工具具有合理性,其在如耶鲁大学捐赠基金等长期投资组合中占有重要地位。
  • 将市场心理与供需模型割裂看待是错误的,需求本身就是由心理预期驱动的,无法脱离心理因素讨论价格变动。
  • 在连续拍卖机制中,恐慌情绪会导致非理性抛售,使资产价格跌破基本面价值,形成类似“凡勃伦商品”的反常现象。
  • 价值投资者应视市场失衡为机会,只要不频繁交易或使用杠杆,长期持有仍可实现财富积累。
  • 零售投资者通过期权或外汇市场试图影响汇率走势的策略难以奏效,因全球外汇日交易量巨大,个体行为无法形成持续影响。
  • 美元/日元汇率变动主要受套利头寸调整驱动,而非零售投资者的期权买入行为直接推动。
  • “寡妇制造者”交易通常指做空日本国债导致的反复亏损,而非多头日元的逼空行情。

欧洲委员会试点 Matrix 以替代 Teams (European Commission Trials Matrix to Replace Teams) #

https://www.euractiv.com/news/commission-trials-european-open-source-communications-software/

欧洲委员会正在测试使用欧洲开源通信软件作为内部沟通工具,以增强数字主权。此举旨在应对对美国科技软件(如微软 Teams)过度依赖的问题,尤其是在跨大西洋关系日益紧张的背景下。

作为试点,委员会正考虑基于 Matrix 协议构建新的通信解决方案。Matrix 是一个由伦敦非营利组织维护的开源消息协议,已在法国政府、德国医疗系统及欧洲武装部队中得到广泛应用。

目前,Matrix 将作为现有系统的补充和备用方案,而非立即取代微软 Teams。尽管当前已有 Signal 应用作为备份,但因其灵活性不足,难以满足大型机构的需求。

未来,基于 Matrix 的通信工具还可能用于连接欧盟其他机构,解决各机构间缺乏统一安全通信渠道的问题。已有与欧洲议会的初步连接成功案例。

该举措是欧盟推动技术主权战略的一部分,旨在减少对外部科技巨头的依赖,提升内部数字基础设施的自主性与安全性。

HN 热度 310 points | 评论 161 comments | 作者:Arathorn | 8 hours ago #

https://news.ycombinator.com/item?id=46901452

  • Matrix 作为去中心化的通信工具,相比 Teams 和 Slack 更加简洁、无广告和数据滥用,用户体验更佳,尤其适合注重隐私的用户。
  • 尽管资金投入对改善产品有帮助,但用户体验的提升关键在于清晰的设计愿景,而非单纯增加预算,资金并非万能解药。
  • 通过大规模可用性测试和用户研究,可以有效改善 UX,因此资金在提升用户体验方面仍具有实际作用。
  • 现有主流团队通讯工具如 Slack、Discord、Mattermost 已经提供了成熟的功能框架,Matrix 可借鉴这些设计来快速优化自身体验。
  • 对于大多数日常办公需求而言,“够用”即可,不必过度追求极致体验,稳定可靠比花哨功能更重要。
  • 微软 Teams 的用户体验已严重恶化,相比之下其他工具如 Matrix 虽然仍有缺陷,但已有明显改进空间。
  • Matrix 当前存在“委员会式设计”问题,其强大的端到端加密功能虽提升了安全性,但也带来了复杂性和使用门槛。
  • 欧盟应将原本支付给微软的巨额软件授权费用,部分转投支持 Matrix 发展,以推动更独立、安全的通信生态。
  • 欧盟每年的研发支出远超微软,具备足够的资源支持开源项目发展,若合理分配,可显著加速 Matrix 成熟。
  • 与依赖商业 KPI 驱动的 Teams 和 Slack 相比,Matrix 因无盈利压力,更可能实现真正以用户为中心的开发模式。
  • 为提升效率,应减少冗余的管理目标和频繁的产品命名变更,集中资源解决核心体验问题。
  • 法国政府已在 Tchap 项目中采用 Matrix,显示其在公共部门应用中的潜力,但尚未直接资助 Element 开发。
  • 低带宽支持功能最初并非由法国政府推动,而是由 Matrix 社区出于技术展示目的实现,与国家资助无关。

CIA 突然停止发布并移除《世界事实手册》档案 (CIA suddenly stops publishing, removes archives of The World Factbook) #

https://simonwillison.net/2026/Feb/5/the-world-factbook/

CIA 宣布停止维护其历史悠久的《世界事实手册》(The World Factbook),这一举措引发广泛关注与惋惜。该手册自 1971 年起由 CIA 发布,自 1997 年起成为公共互联网的重要资源,长期提供全球各国的权威数据。

然而,CIA 并未说明停更原因,且采取了极端措施:不仅移除了整个网站,包括所有历史版本的存档,还对所有页面设置 302 重定向至关闭公告页,导致原始内容彻底消失。

作者 Simon Willison 指出,该手册自始至终处于公共领域,完全可由公众继续维护和传播。他批评这种“文化破坏”行为,认为保留归档版本并添加“已停止维护”提示,远比彻底删除更有意义。

为保存这一重要数字遗产,作者已从互联网档案馆下载 2020 年的完整压缩包(384MB),并将其上传至 GitHub 仓库 simonw/cia-world-factbook-2020。该仓库已启用 GitHub Pages,可在线浏览 2020 年版本的完整内容。

该页面也反映了作者对数字遗产保护的关切,强调公共机构应更负责任地处理开放数据资源。

HN 热度 308 points | 评论 131 comments | 作者:ck2 | 10 hours ago #

https://news.ycombinator.com/item?id=46899808

  • 事实本身可能成为权力的敌人,历史记录的消失是极权主义的典型特征。
  • 《1984》和《美丽新世界》并非虚构的未来幻想,而是基于西方社会现实的警示,尤其是对宣传和思想控制的深刻反思。
  • 乔治·奥威尔在 BBC 的工作经历影响了他对官僚主义和宣传机制的观察,但《1984》的核心是对极权主义的全面批判,而非单一事件的影射。
  • 奥威尔在西班牙内战中的经历使他从社会主义者转变为反极权主义者,尤其对斯大林主义的背叛行为深感失望。
  • 西班牙内战让奥威尔认识到共产主义运动中的权力滥用与历史篡改,这成为《1984》中“历史被抹除”主题的重要来源。
  • 《1984》中的“真理部”和“历史重写”并非纯粹虚构,而是对现实政治操控与信息垄断的精准映射。
  • 当前 AI 技术的发展正使实时篡改文本、图像和视频成为可能,未来信息的真实性将面临前所未有的挑战。
  • 人类对技术中介的依赖正在制造信息孤岛,使个体被困在被精心设计的虚假现实之中。
  • 现代社会中“宗教”本质是盲目服从权威,无论其头衔是 CEO、将军还是牧师,都是一种权力控制的工具。
  • 个人对权威的盲从,本质上是一种社会操控机制,其根源在于叙事建构与身份认同的绑定。
  • 《1984》中“靴子踩在人脸上的画面”象征着权力对个体的永久压制,提醒人们警惕技术与制度对自由的侵蚀。
  • 当代社会中人们沉迷于“发光的面孔”(如手机屏幕),却忽视了真实世界的连接与存在感。

ClawHub 下载量最高的技能包含恶意软件 (Top downloaded skill in ClawHub contains malware) #

https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface

本文探讨了代理工具 OpenClaw 及其技能生态系统可能带来的安全风险,指出其看似便捷的“智能助手”功能实则构成了严重的攻击面。

核心问题在于:在 OpenClaw 等代理系统中,“技能”通常以 Markdown 文件形式存在,内容看似普通文档,实则包含可执行命令、链接和脚本。这种设计使技能本质上成为一种“安装包”,极易被恶意利用。

作者通过调查发现,一个下载量极高的“Twitter 技能”实际上是一个恶意软件分发载体。该技能诱导用户安装名为 “openclaw-core” 的依赖项,而相关链接指向恶意基础设施。整个过程采用分阶段投递方式:先引导用户运行一段解码并执行的命令,再下载第二阶段脚本,最终运行一个窃取信息的 macOS 恶意程序。

经检测,该恶意程序被确认为典型的“信息窃取型”木马,可盗取浏览器会话、密码、开发者密钥、云凭证、SSH 密钥等敏感数据。这并非个案,而是大规模的攻击活动,已有数百个类似技能被用于传播恶意软件。

更令人担忧的是,这类攻击利用了用户对“高下载量技能”的信任心理,以及代理系统将阅读指令与执行行为无缝融合的特性。即使没有直接执行命令,代理也可能通过“正常化”危险操作(如建议粘贴单行命令)降低用户警惕。

结论强调:目前尚无安全方式在公司设备上使用 OpenClaw 或类似技能系统。若已使用,应立即停止敏感操作,通知安全部门,轮换所有账号凭据,并审查近期登录记录。对于技能平台运营者,必须加强审核机制,对可疑安装步骤设置警告和阻断措施。

简而言之,技能即代码,文档即漏洞。在自动化代理时代,安全边界正在从代码本身,延伸至“如何引导用户执行代码”的每一步。

HN 热度 299 points | 评论 138 comments | 作者:pelario | 13 hours ago #

https://news.ycombinator.com/item?id=46898615

  • 该文章由 AI 生成,语言风格生硬且缺乏具体细节,令人难以信任其内容。
  • 尽管 1Password 公司知名度高,但文章本身缺乏可信度,仅凭 VirusTotal 的 8/64 检测结果不足以证明存在恶意软件。
  • 文章中提到的 ClawHub 热门技能确实包含恶意链接,其安装脚本会下载并执行恶意二进制文件。
  • 恶意脚本通过 Base64 解码后执行远程命令,最终在用户设备上运行名为 dyrtvwjfveyxjf23 的恶意程序,被识别为 MacOS 平台的 Stealer-FS(密码窃取木马)。
  • 作者承认使用 AI 辅助写作,目的是为了模糊具体链接和危险命令,但愿意在技术社区中分享详细信息。
  • AI 生成内容普遍存在“它不是 X,而是 Y”“编号列表 + 表情符号”等固定套路,这些模式源于人类在社交媒体和商业文案中的重复使用。
  • 人类在使用 AI 辅助写作时,往往无法察觉自己已陷入 AI 风格的陷阱,甚至误以为自己“重写了”内容。
  • 由于强化学习人类反馈(RLHF)的训练机制,AI 倾向于生成“表面看起来很好”的文本,导致风格趋同,缺乏真实个性。
  • 人们普遍高估自己识别 AI 生成内容的能力,实际在盲测中错误率极高,且无法察觉大量误判。
  • AI 生成内容在非正式交流场景中显得格格不入,因其总是使用“最大强度”的表达风格,缺乏自然语言的多样性。
  • 专业简历等标准化文本容易被 AI 模仿,因为其语言本身变化有限,AI 能轻易复制这种模式。
  • 一些人误以为自己在与真人互动,实则可能在回应由 AI 生成或润色的内容,而发布者本人也未必意识到问题。

美国移民与海关执法局征求广告技术位置数据用于执法调查的行业意见 (ICE seeks industry input on ad tech location data for investigative use) #

https://www.biometricupdate.com/202602/ice-seeks-industry-input-on-ad-tech-location-data-for-investigative-use

美国移民与海关执法局(ICE)近日发布了一份信息征求书(RFI),旨在了解商业广告技术(ad tech)平台在执法调查中的潜在应用。该文件并非采购意向,而是市场调研,表明联邦机构对利用广告技术收集的位置数据、设备标识符、IP 情报及用户行为信号的兴趣日益增长。

广告技术生态系统原本用于精准投放广告,通过移动应用的 SDK、Wi-Fi、蓝牙信标和基站等手段持续追踪用户位置与活动轨迹。尽管这些数据通常被标记为“匿名”或“假名”,但其粒度高、持久性强,具备长期追踪个人的能力。

此次征询重点在于具备“广告技术合规性”的平台与服务,强调可集成多源数据(如犯罪记录、金融信息、旅行记录、社交媒体活动等),实现跨维度分析与可视化,辅助案件侦办与线索生成。

值得注意的是,此举反映出执法机构正尝试绕过传统法律程序,通过购买第三方商业数据规避第四修正案对搜查的限制。尽管政府声称关注隐私保护与监管合规,但此类做法已引发法院、监管机构与公民权利倡导者的广泛质疑,认为其可能导致无证监控与数据滥用。

目前尚无明确合同意向,但后续可能开展现场演示与试点部署,标志着执法部门对商业大数据工具的深度整合进入新阶段。

HN 热度 275 points | 评论 318 comments | 作者:WaitWaitWha | 19 hours ago #

https://news.ycombinator.com/item?id=46895860

  • 美国政府机构寻求行业对广告技术位置数据的输入,用于调查用途,引发对隐私和数据保护的讨论。
  • 有人建议引用《简易破坏工作手册》来应对可能的数据共享请求,强调合规流程的复杂性。
  • 有人反思为何在收集大量用户数据的行业工作,暗示对行业伦理的质疑。
  • 有人指出,金钱是驱动人们在数据行业工作的主要原因。
  • 有人强调,任何机构都无权违反美国宪法的第二、第四、第五和第十四修正案。
  • 有人质疑美国是否存在允许在光天化日下射杀平民的法律,引发对执法暴力的讨论。
  • 有人认为,对移民执法的极端态度可能源于对例外情况缺乏容忍度,导致无法进行合理调整。
  • 有人认为,虽然反对移民执法中的致命武力使用,但“废除 ICE”并非合理解决方案,应推动立法改革。
  • 有人指出,废除 ICE 的主张并非完全废除移民执法,而是希望将其从国土安全部移至司法部,恢复其行政职能。
  • 有人质疑重新命名或重组 DHS 是否真能改变执法方式,认为关键在于立法和选举结果。
  • 有人认为,移民执法机构应更像“传票送达员”,而非安全机构,强调程序性而非强制性。
  • 有人提出,若非法移民拒绝出庭或配合,应如何处理,暗示现有法律框架的执行困境。
  • 有人认为,美国应开放边境,因为国家本身就是由移民建立的,其繁荣依赖移民。
  • 有人反驳称,当前非法移民多为低教育水平,从事非正式经济或服务业,压低工资,不利于本地劳动者。
  • 有人认为,开放边境意味着将其他国家的问题(如毒品、人口贩卖、犯罪团伙)引入美国,威胁社会秩序。
  • 有人指出,西方国家若实行开放边境,将难以维持文明社会,以英国和法国为例。
  • 有人认为,没有合理的伦理或逻辑依据支持国家边界的存在,边界本质上是种族主义和民族主义的体现。
  • 有人认为,对移民问题的讨论不应陷入非黑即白的思维,而应寻求现实可行的改革路径。

Hacker News 精彩评论及翻译 #

Claude Opus 4.6 #

https://news.ycombinator.com/item?id=46902369

This is huge. It only came out 8 minutes ago but I was already able to bootstrap a 12k per month revenue SaaS startup!

GenerocUsername

这太了不起了。这个工具才发布8分钟,我就已经用它成功创建了一个月收入1.2万美元的SaaS初创公司了!

Microsoft’s Copilot chatbot is running into proble… #

https://news.ycombinator.com/item?id=46888871

The biggest issue I see is Microsoft’s entire mentality around AI adoption that focuses more on “getting the numbers up” then actually delivering a product people want to use.

Most of the announcements I hear about Copilot, it’s always how they’ve integrated it into some other piece of software or cut a deal with yet another vendor to add it to that vendors product offering. On the surface there’s nothing wrong with doing that but that just seems to be the ONLY thing Microsoft is focused on.

Worse yet, most of these integrations seem like a exercise in ticking boxes rather than actually thinking through how integrating Copilot into a product will actually improve user experience. A great example was someone mentioned that Copilot was now integrated into the terminal app but beyond an icon + a chat window, there is zero integration.

Overall, MS just reeks of an organization that is cares more about numbers on a dashboard and pretty reports than they are on what users are actually experiencing.

_fat_santa

我看到最大的问题是微软在AI应用上的整个理念,它更关注“提升数据指标”,而不是真正打造出人们愿意使用的产品。

我听到的关于Copilot的大多数公告,总是说他们如何将其集成到其他软件中,或是又与一家供应商达成协议,将Copilot加入该供应商的产品线。表面上看,这么做没什么问题,但这似乎成了微软唯一专注的事情。

更糟糕的是,这些集成大多像是为了完成指标而做的表面文章,而不是真正思考将Copilot集成到产品中会如何改善用户体验。一个很好的例子是,有人提到Copilot现在已集成到终端应用中,但除了一个图标和一个聊天窗口外,没有任何实际的集成功能。

总的来说,微软给人的感觉是一个只关心仪表盘上的数字和华丽报告,却不在乎用户实际体验的组织。

Claude Opus 4.6 #

https://news.ycombinator.com/item?id=46902495

The bicycle frame is a bit wonky but the pelican itself is great: https://gist.github.com/simonw/a6806ce41b4c721e240a4548ecdbe216?permalink_comment_id=5972110#gistcomment-5972110

simonw

这辆自行车的车架有点歪,不过鹈鹕本身很不错:https://gist.github.com/simonw/a6806ce41b4c721e240a4548ecdbe216?permalink_comment_id=5972110#gistcomment-5972110

Flock CEO calls Deflock a “terrorist organization”… #

https://news.ycombinator.com/item?id=46904525

“Thankfully, we live in a beautifully democratic and capitalistic society where we can fight in court.”

Of course he’s “thankful” for that, since in our “beautifully democratic and capitalistic” society, Flock can use their $658 million of VC funding 1 to wage lawfare against the have-nots with their armies of lobbyists and lawyers. [2]

  1. https://websets.exa.ai/websets/directory/flock-safety-funding

  2. https://www.opensecrets.org/federal-lobbying/clients/lobbyists?cycle=2025&id=D000116304

toomanyrichies

“谢天谢地,我们生活在一个民主和资本主义都堪称典范的社会里,我们可以在法庭上斗争。”

他当然对此“感激涕零”,毕竟在我们这个“民主和资本主义都堪称典范”的社会里,Flock公司能用他们6.58亿美元的VC风投资金 1,凭借其游说律师大军,对无权无势者发动法律战。[2]

OpenClaw is what Apple intelligence should have be… #

https://news.ycombinator.com/item?id=46894312

This is exactly what Apple Intelligence should have been… They could have shipped an agentic AI that actually automated your computer instead of summarizing your notifications. Imagine if Siri could genuinely file your taxes, respond to emails, or manage your calendar by actually using your apps, not through some brittle API layer that breaks every update.

And this is probably coming, a few years from now. Because remember, Apple doesn’t usually invent new products. It takes proven ones and then makes its own much nicer version.

Let other companies figure out the model. Let the industry figure out how to make it secure. Then Apple can integrate it with hardware and software in a way no other company can.

Right now we are still in very, very, very early days.

crazygringo

这正是“苹果智能”(Apple Intelligence)本应有的样子……他们本可以推出一个能够真正自动化你电脑的智能体,而不是仅仅总结你的通知。想象一下,如果Siri真能为你报税、回复邮件或管理日程,通过实际操作你的应用程序,而不是通过一个每次更新都会出问题的脆弱API层。

而这可能在未来几年就会到来。因为要记住,苹果通常不发明新产品,而是借鉴已有产品,然后做出自己更出色的版本。

让其他公司去摸索模型,让整个行业去解决安全性问题。然后,苹果就能以其他公司无法企及的方式,将其与软硬件深度融合。

目前,我们还处于非常、非常、非常早期的阶段。

OpenClaw is what Apple intelligence should have be… #

https://news.ycombinator.com/item?id=46894613

I don’t believe this was ever confirmed by Apple, but there was widespread speculation at the time 1 that the delay was due to the very prompt injection attacks OpenClaw users are now discovering. It would be genuinely catastrophic to ship an insecure system with this kind of data access, even with an ‘unsafe mode’.

These kinds of risks can only be consented to by technical people who correctly understand them, let alone borne by them, but if this shipped there would be thousands of Facebook videos explaining to the elderly how to disable the safety features and open themselves up to identity theft.

The article also confuses me because Apple are shipping this, it’s pretty much exactly the demo they gave at WWDC24, it’s just delayed while they iron this out (if that is at all possible). By all accounts it might ship as early as next week in the iOS 26.4 beta.

huwsername

我不相信苹果官方曾证实过这一点,但当时曾有广泛的推测 1,认为延迟是由于OpenClaw用户现在正在发现的那些即时注入攻击所致。即便提供一个“不安全模式”,发布一个具备此类数据访问权限的不安全系统,其后果也绝对是灾难性的。

这类风险,只有真正理解其含义的技术人员才能“同意”承担,更不用说让普通用户承受了。但万一这个功能真的发布了,网上可能会有成千上万的Facebook视频向老年人讲解如何关闭安全功能,从而使他们自己面临身份被盗的风险。

这篇文章也让我感到困惑,因为苹果实际上已经在发布这个功能了,它基本上就是他们在WWDC24大会上展示的演示版,只是他们正在试图解决这些问题(如果这还可能的话)。据各方面消息,它最早可能将在下周的iOS 26.4测试版中推送。

Don’t rent the cloud, own instead #

https://news.ycombinator.com/item?id=46897416

This is an industry we’re[0] in. Owning is at one end of the spectrum, with cloud at the other, and a broadly couple of options in-between:

1 - Cloud – This is minimising cap-ex, hiring, and risk, while largely maximising operational costs (its expensive) and cost variability (usage based).

2 - Managed Private Cloud - What we do. Still minimal-to-no cap-ex, hiring, risk, and medium-sized operational cost (around 50% cheaper than AWS et al). We rent or colocate bare metal, manage it for you, handle software deployments, deploy only open-source, etc. Only really makes sense above €$5k/month spend.

3 - Rented Bare Metal – Let someone else handle the hardware financing for you. Still minimal cap-ex, but with greater hiring/skilling and risk. Around 90% cheaper than AWS et al (plus time).

4 - Buy and colocate the hardware yourself – Certainly the cheapest option if you have the skills, scale, cap-ex, and if you plan to run the servers for at least 3-5 years.

A good provider for option 3 is someone like Hetzner. Their internal ROI on server hardware seems to be around the 3 year mark. After which I assume it is either still running with a client, or goes into their server auction system.

Options 3 & 4 generally become more appealing either at scale, or when infrastructure is part of the core business. Option 1 is great for startups who want to spend very little initially, but then grow very quickly. Option 2 is pretty good for SMEs with baseline load, regular-sized business growth, and maybe an overworked DevOps team!

[0] https://lithus.eu , adam@

adamcharnock

我们所处的行业是一个拥有多种选择的光谱,一端是自建所有权,另一端是云服务,中间还有若干选项:

1 - 云服务:这是最大限度地减少资本支出、人员招聘和风险的模式,但同时会极大地增加运营成本(价格昂贵)和成本波动性(按使用量计费)。

2 - 托管私有云:我们的业务模式。仍然几乎无需资本支出、人员招聘和风险,且运营成本中等(比 AWS 等服务商便宜约 50%)。我们为您提供租用或托管裸机硬件,为您进行管理、处理软件部署、仅部署开源软件等。只有当月消费超过 5,000 美元时,这种模式才真正有意义。

3 - 租用裸机:让别人为你处理硬件融资。资本支出依然很少,但人员招聘/技能培养和风险更高。比 AWS 等服务商便宜约 90%(还节省了时间)。

4 - 自购硬件并自行托管:如果你具备相应的技能、规模和资本支出,并且计划服务器至少运行 3-5 年,这无疑是成本最低的选择。

对于选项 3,Hetzner 这样的服务商是个不错的选择。他们对服务器硬件的内部投资回报周期似乎在 3 年左右。我猜之后这些服务器要么仍在为某个客户服务,要么进入了他们的服务器拍卖系统。

选项 3 和 4 通常在规模化运营,或者当基础设施是核心业务时,会更具吸引力。选项 1 对于希望初期投入极少但随后能快速增长的初创公司来说非常棒。选项 2 对于拥有基础负载、业务规模稳步增长,以及可能人手不足的运维团队的中型企业来说,是个相当不错的选择!

Claude Code for Infrastructure #

https://news.ycombinator.com/item?id=46890881

All these tools to build something, but nothing to build. I feel like I am part of a Pyramid Scheme where every product is about building something else, but nothing reaches the end user.

Note: nothing against fluid.sh, I am struggling to figure out something to build.

falloutx

我们有这么多工具可以用来构建东西,但却没有东西可建。我感觉自己就像是在参与一个金字塔骗局,每个产品都关于构建另一个产品,但没有任何东西能真正到达终端用户。

注:我并不是在针对 fluid.sh,我只是苦恼于不知道该构建什么。

AI is killing B2B SaaS #

https://news.ycombinator.com/item?id=46891299

I’d actually say the opposite is the case. B2B (even SaaS) is probably the most robust when it comes to AI resistance. The described “in house vibe coded SaaS replacement” does not mirror my experience in B2B at all. The B2B software mindset I’ve encountered the most is “We’ll pay you so we don’t have to wrestle with this and can focus on what we do. We’ll pay you even more if we worry even less.” which is basically the opposite of…let’s have someone inhouse vibe code and push to production. B2B is usually fairly conservative.

kriro

我实际上会说情况恰恰相反。在人工智能的抵制方面,B2B(即使是SaaS)可能是最稳固的。所描述的“内部氛围编码的SaaS替代品”完全不符合我在B2B领域的经验。我遇到最多的B2B软件思维是:“我们付钱给你,是为了不用自己费力折腾,从而能专注于我们的核心业务。如果我们能更少地担忧,我们甚至会付你更多的钱。”这基本上与“让我们让某个人在内部氛围编码并直接推向生产”的想法完全相反。B2B通常相当保守。

Why more companies are recognizing the benefits of… #

https://news.ycombinator.com/item?id=46895550

I’m now in my 50s. I tried management but prefer working as an IC. I think I’m good but I know most companies would never hire me. One thing I do now is try to look after all the youngest grads and new joiners. Its so cutthroat now it seems no one has time to help anyone else, so I like helping people get up and running and encouraging them to enjoy their work while being productive and getting their skills up. No one else seems to care.

rr808

我现在已经五十多岁了。我尝试过管理岗位,但更喜欢作为一名独立贡献者(IC)工作。我觉得自己能力不错,但我知道大多数公司永远不会雇佣我。我现在做的一件事就是尽力关照所有最年轻的毕业生和新加入的成员。现在竞争太激烈了,似乎没人有时间帮助别人,所以我喜欢帮助新人快速上手,鼓励他们在高效工作、提升技能的同时,也能享受工作的乐趣。好像其他人都毫不在意。

ICE seeks industry input on ad tech location data … #

https://news.ycombinator.com/item?id=46896048

Hopefully this is a wakeup call to the software engineers and other employees at those companies - it’s no longer a hypothetical future where the tools you are building might be abused, it’s today.

doctoboggan

希望这能成为那些公司软件工程师和其他员工的一记警钟——你们所构建的工具可能被滥用的那个假想未来,已经不再是未来,而是今天。

Microsoft’s Copilot chatbot is running into proble… #

https://news.ycombinator.com/item?id=46893258

I expect this is the crux of the problem.

There aren’t any “AI” products that have enough value.

Compare to their Office suite, which had 100 - 150 engineers working on it, every business paid big $$ for every employee using it, and once they shipped install media their ongoing costs were the employees. With a 1,000,000:1 ratio of users to developers and an operating expense (OpEx) of engineers/offices/management. That works as a business.

But with “AI”, not only is it not a product in itself, it’s a feature to a product, but it has OpEx and CapEx costs that dominate the balance sheet based on their public disclosures. Worse, as a feature, it demonstrably harms business with its hallucinations.

In a normal world, at this point companies would say, “hmm, well we thought it could be amazing but it just doesn’t work as a product or a feature of a product because we can’t sell it for enough money to both cover its operation, and its development, and the capital expenditures we need to make every time someone signs up. So a normal C staff would make some post about “too early” or whatever and shelve it. But we don’t live in a normal world, so companies are literally burning the cash they need to survive the future in a vain hope that somehow, somewhere, a real product will emerge.

ChuckMcM

这恐怕才是问题的症结所在。

目前没有任何所谓的“AI”产品具备足够的价值。

拿他们的Office套件来对比,该套件有100到150名工程师在开发,每家公司都需要为每位员工支付高昂的费用,一旦发布安装介质,后续成本就只剩下员工的运维成本。用户与开发者的比例高达1,000,000:1,工程师、办公室、管理等运营开支(OpEx)均摊下来,这种商业模式是可行的。

但“AI”则不然,它本身不是一个独立产品,而是某个产品的一项功能。然而,根据其公开的财务报告,这项功能的运营支出(OpEx)和资本支出(CapEx)已经让公司的资产负债表不堪重负。更糟糕的是,作为一项功能,它的“幻觉”问题已经实实在在地损害了业务。

在正常情况下,公司此时会说:“嗯,我们本以为它会很了不起,但它作为产品或产品功能行不通,因为我们无法收取足够的费用来覆盖其运营成本、开发成本以及每次用户注册所需的资本支出。因此,一个正常的C级别高管会发个声明说什么‘为时过早’之类的话,然后将它束之高阁。但我们所处的并非正常世界,所以公司们正在烧掉未来生存所需的现金,徒劳地希望不知在何时何地,一个真正能盈利的产品会奇迹般地出现。”

Child prodigies rarely become elite performers #

https://news.ycombinator.com/item?id=46895551

Around 90% of superstar adults had not been superstars as children, while only 10% of top-level kids had gone on to become exceptional adults (see chart 1). It is not just that exceptional performance in childhood did not predict exceptional performance as an adult. The two were actually negatively correlated, says Dr Güllich.

Even if “only” 10% of elite kids go on to become elite adults, 10% is orders of magnitude larger than the base percentage of adults who are elite athletes, musicians, etc. This doesn’t sound “uncorrelated” to me so much as “not as strongly correlated as one might expect.”

And describing something that happens 10% of the time as “rare” sounds a bit weird, like referring to left-handedness (also about 1 in 10) as rare.

FeteCommuniste

大约90%的超级成年人在童年时并非超级明星,而只有10%的顶尖儿童后来成为了杰出的成年人(见图1)。古利奇博士指出,这不仅仅是童年时期的卓越表现无法预测成年后的卓越表现,事实上,这两者甚至是负相关的。

即便“只有”10%的精英儿童最终成长为精英成年人,10%这一比例也远高于成年人成为精英运动员、音乐家等的基础比例。在我看来,这与其说是“不相关”,不如说是“相关性不像人们预期的那样强”。

此外,将发生概率为10%的事情描述为“罕见”,听起来有些奇怪,就好像把左撇子(同样约占十分之一)称为罕见一样。

AI is killing B2B SaaS #

https://news.ycombinator.com/item?id=46894917

OTOH, I was hired by an enterprise that was many months into a giant backend rewrite. After wrapping my head around the many plans, I realized they were rewriting Django, badly. One weekend I prototyped the whole thing… in Django. It worked. It met the specs. It was a CRUD app with a REST API.

I came in to work Monday morning, showed it off, and inadvertently triggered a firestorm. Later my boss told me not to do that again because it caused havoc with schedules and such.

So I quit and found a better job. Sometimes the new guy can make a better version themselves over the weekend, not because they’re a supergenius, but because they’re not hampered by 47 teams all trying to get their stamp on the project.

(In before “prime example of overconfidence!”: feel free to doubt. It was a CRUD app with a handful of models on a PostgreSQL backend. They were writing a new Python web framework to serve it, complete with their own ORM and forms library and validation library. Not because the existing ones wouldn’t work, mind you, but more out of not realizing that all these problems were already sufficiently solved for their requirements.)

kstrauser

另一方面,我被一家已经启动了大型后端重写项目数月之久的企业录用了。在理清了他们纷繁复杂的计划后,我发现他们正在用一种很糟糕的方式重写 Django。某个周末,我仅用 Django 就将整个项目做了个原型……结果它运行正常,也满足了所有规格要求。那不过是个带 REST API 的 CRUD 应用程序。

周一早上我到公司展示了这个成果,无意中引发了一场轩然大波。后来我的老板告诉我别再这么做了,因为这打乱了项目进度和各项安排。

于是我辞职并找到了一份更好的工作。有时候,新来的员工能在周末自己做出一个更优秀的版本,并非因为他们是天才,而是因为他们没有被试图给项目盖上自己烙印的 47 个团队所掣肘。

(先于“过度自信的绝佳例证”这种评论出现:你们大可不信。那只是一个后端用 PostgreSQL、仅包含几个模型的 CRUD 应用。他们正在编写一套全新的 Python Web 框架来运行它,并且还配套开发了他们自己的 ORM、表单库和验证库。请注意,这并非因为现有框架无法胜任,而是因为他们根本没有意识到,这些问题早已在现有方案中得到了充分解决。)

Voxtral Transcribe 2 #

https://news.ycombinator.com/item?id=46887747

This demo is really impressive: https://huggingface.co/spaces/mistralai/Voxtral-Mini-Realtime

Don’t be confused if it says “no microphone”, the moment you click the record button it will request browser permission and then start working.

I spoke fast and dropped in some jargon and it got it all right - I said this and it transcribed it exactly right, WebAssembly spelling included:

Can you tell me about RSS and Atom and the role of CSP headers in browser security, especially if you’re using WebAssembly?

simonw

这个演示效果真的很令人印象深刻:https://huggingface.co/spaces/mistralai/Voxtral-Mini-Realtime

如果显示“无麦克风”请不要困惑,只要点击录音按钮,它就会请求浏览器权限,然后开始工作。

我语速很快,还夹杂了一些术语,但它全部都识别对了。我说了这句话,它一字不差地转写了下来,连 WebAssembly 的拼写都对:

你能给我讲讲 RSS 和 Atom,以及 CSP 标头在浏览器安全中的作用吗?特别是在使用 WebAssembly 的情况下。

LinkedIn checks for 2953 browser extensions #

https://news.ycombinator.com/item?id=46905200

Looks like Firefox is immune.

This works by looking for web accessible resources that are provided by the extensions. For Chrome, these are are available in a webpage via the URL chrome-extension://[PACKAGE ID]/[PATH] https://developer.chrome.com/docs/extensions/reference/manifest/web-accessible-resources

On Firefox, web accessible resources are available at “moz-extension://<extension-UUID>/myfile.png” <extension-UUID> is not your extension’s ID. This ID is randomly generated for every browser instance. This prevents websites from fingerprinting a browser by examining the extensions it has installed. https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/manifest.json/web_accessible_resources

cbsks

看起来 Firefox 具有免疫性。

其工作原理是查找由扩展程序提供的可通过 Web 访问的资源。对于 Chrome,这些资源可通过 URL chrome-extension://[PACKAGE ID]/[PATH] 在网页中访问,详情请参见:https://developer.chrome.com/docs/extensions/reference/manifest/web-accessible-resources

而在 Firefox 上,可通过 Web 访问的资源位于 moz-extension://<extension-UUID>/myfile.png。请注意,<extension-UUID> 并不是您扩展程序的 ID,而是为每个浏览器实例随机生成的。这样做可以防止网站通过检查已安装的扩展来对浏览器进行指纹识别。详情请参见:https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/manifest.json/web_accessible_resources

Claude Opus 4.6 #

https://news.ycombinator.com/item?id=46902729

5.3 codex https://openai.com/index/introducing-gpt-5-3-codex/ crushes with a 77.3% in Terminal Bench. The shortest lived lead in less than 35 minutes. What a time to be alive!

gizmodo59

5.3 codex 在终端基准测试中以 77.3% 的成绩碾压对手。领先地位仅持续了不到35分钟,真是活在一个伟大的时代!

Flock CEO calls Deflock a “terrorist organization”… #

https://news.ycombinator.com/item?id=46904105

Pointing cameras at people? Law and order

Pointing cameras at cameras? Terrorist organization

tylerchilds

把摄像头对准人?执法部门 把摄像头对准摄像头?恐怖组织