2026 02 22 HackerNews

2026-02-22 Hacker News Top Stories #

  1. F‑Droid 指出谷歌并未真正放弃对 Android 应用安装的控制并发布警告与 F‑Droid Basic 更新,呼吁用户捍卫安卓开放生态。
  2. 作者重返 Facebook 发现被算法驱动的低质、疑似 AI 内容占据信息流并导致其离开平台。
  3. 为获得 LinkedIn 蓝勾,作者通过第三方 Persona 完成身份验证后发现大量敏感生物识别和设备数据被收集、跨境存储并可能用于 AI 训练,存在隐私与法律风险。
  4. 作者发现潜水保险会员门户严重安全缺陷并负责任披露后被公司以律师威胁要求签保密协议,暴露白帽披露面临法律阻力。
  5. 作者建议关闭仅靠版本号匹配的 Dependabot,改用基于代码路径与静态分析的工具以减少误报和警报疲劳。
  6. 维基百科弃用并移除指向 Archive.today 的链接,因该站涉嫌发起 DDoS 并篡改存档,凸显匿名存档被滥用的风险。
  7. 美国多地民众因隐私与执法滥用担忧拆毁或破坏 Flock 的车牌识别摄像头,引发社区与执法的连锁反应。
  8. 文章批评构建 AI 助手的公司以广告为变现驱动并推动持续监听,主张边缘化、本地处理与以硬件销售为主的商业模式以保障隐私。
  9. Karpathy 将“Claw”描述为继 LLM 代理之后用于任务编排、调度与持久化的新一层 AI 架构,并促生多个在个人设备上运行的开源项目。
  10. CERN 在现代浏览器中重建 1989 年的 WorldWideWeb 浏览器,让人们体验万维网起源时期的界面与历史。

F-Droid 让安卓保持开放 (Keep Android Open) #

https://f-droid.org/2026/02/20/twif.html

F-Droid 正面临严峻挑战,尽管谷歌声称将取消对 Android 的封闭计划,但实际进展并未如宣传所示。F-Droid 团队指出,谷歌所谓的“高级安装流程”并未真正推出,相关更新也未在 Android 16 或 17 的测试版本中出现。这种信息误导导致公众误以为问题已解决,实则谷歌仍在推进对应用安装的控制,可能使 Android 逐渐成为由谷歌主导的封闭平台。

为唤醒用户关注,F-Droid 与 F-Droid Basic 客户端已上线警告横幅,提醒用户时间紧迫,并引导公众向相关监管机构表达关切。其他开源项目如 IzzyOnDroid 和 Obtainium 也已加入警告机制,共同维护 Android 的开放性。

F-Droid Basic 2.0-alpha3 版本已发布,带来多项更新:支持多语言、导出已安装应用列表为 CSV、新增安装历史记录、镜像源选择、防止截屏功能、工具提示优化、菜单重构、排序记忆等,界面也全面适配 Material Design 3。旧版本用户需手动开启“允许测试版更新”才能获取。

应用方面,多个项目完成更新:

  • Buses 时隔两年更新至 1.10
  • ConversationsQuicksy 升级至 2.19.10+free,优化了禁言用户清理、二维码流程与平板旋转支持,并尝试通过 IPC 直接调用 Google Play 服务,减少对专有库依赖,为统一 FLOSS 版本铺路
  • Dolphin Emulator 更新至 2512,更新日志详尽,涵盖性能、兼容性与新特性,附带多篇深度技术解读
  • Image Toolbox 升级至 3.6.1,引入部分 AI 工具,引发对开源工具智能化趋势的讨论
  • Luanti 修复了世界闪烁问题
  • Nextcloud 系列应用持续更新,包括服务器端 Nextcloud Hub 26 Winter 发布,新增多项功能
  • ProtonVPN 升级至 5.15.70.0,全面采用 WireGuard 与 Stealth 协议,移除 OpenVPN,体积减少约 40%
  • Offi 升级至 14.0,但不再支持 Android 7
  • QUIK SMS 修复消息重复显示问题,优化去重功能
  • SimpleEmail 时隔两年更新至 1.5.4,修复兼容性并支持 Android 12+

另有 5 款应用被移除,包括 Chord Shift、OpenAthena、Tibetan Keyboard 等。新增一款应用:NeoDB You,为 NeoDB 提供基于 Material 3/You 的原生 Android 客户端。

总计 287 款应用获得更新,涵盖工具、游戏、通讯、安全、生产力等多个类别。F-Droid 强调,谷歌的宣传策略正在消耗社区宝贵的时间与精力,呼吁用户共同守护 Android 的开放生态。

HN 热度 1975 points | 评论 685 comments | 作者:LorenDB | 1 day ago #

https://news.ycombinator.com/item?id=47091419

  • Android 应该像桌面系统一样,将 APK 下载、签名验证和安装视为正常的软件分发方式,而非需要特殊许可的“侧载”。
  • “侧载”这一术语本身带有负面暗示,应被更中性的“安装我拥有的设备上的软件”所取代,用户应拥有对自己设备的完全控制权。
  • 移动设备不应被视作与桌面或游戏机类似的封闭系统,其软件分发应遵循自由、开放的原则。
  • Google 所谓的“学生和爱好者账户”方案只是表面回应,实际并未解决核心问题,反而可能进一步巩固其对应用分发的控制。
  • 真正的解决方案不应局限于特定人群,而应允许任何人自由选择安装非官方应用,包括家庭成员、朋友或使用开源应用商店的用户。
  • 限制非官方应用分发本质上是平台对用户自由的压制,而非出于安全考虑,因为 Android 本身具备良好的沙箱机制。
  • 安全问题不应成为封锁用户选择权的借口,真正的问题在于厂商缺乏安全更新支持,而非用户安装非官方应用。
  • Google 通过“高级流程”等设计,试图在形式上保留用户选择权,实则通过复杂流程和警告制造心理障碍,变相限制自由。
  • 欧盟及其他国家应推动实现无需复杂设置的网页安装机制,以保障数字主权和用户自由。
  • 企业、政府等机构应被强制提供不依赖 Google Play 的替代方案,如 Web 应用,以打破垄断。
  • 当前“替代商店”的讨论是大公司为控制用户而设计的“可控异议”策略,本质仍是维护其主导地位。
  • 用户教育比技术限制更重要,应引导用户理解权限风险,而非通过技术手段剥夺其选择权。
  • 真正的安全应来自系统级防护(如 GrapheneOS 的权限模型),而非强制依赖官方应用商店。

Facebook 已经完蛋了 (Facebook is cooked) #

https://pilk.website/3/facebook-is-absolutely-cooked

作者多年未登录 Facebook,最近为了查看所在社区是否有群组而重新进入,结果对首页推荐内容感到震惊。

首页前十几条动态并非来自朋友或关注的页面,而是大量低质、以吸引眼球为目的的内容,尤其是大量由 AI 生成的年轻女性“性感照”(“thirst traps”),配以简单粗俗的标题,部分内容甚至涉及未成年人形象,令人不适。

尽管也出现了一些真实内容,如警察归还男孩自行车的 AI 视频、关于经期情绪的搞笑短视频等,但这些内容同样属于“低级趣味”类的流量诱饵,旨在激发情绪和互动。

作者指出,Meta 甚至为这些内容提供“AI 生成的问题建议”,如“她为什么穿粉色高跟鞋?”“她性格如何?”,进一步暴露平台对算法驱动的低质内容的纵容。

尽管部分内容可能由真人拍摄,但许多明显为 AI 伪造,例如背景中出现的外星文字和扭曲的标志。评论区无人指出其 AI 本质,作者怀疑全是机器人账号。

作者反思:这是否只是自己算法的“个性化”结果?可能并非如此,因为长期不登录的用户更容易被推送这类内容。而日常活跃用户可能因朋友动态稀释了此类内容,不易察觉问题。

最终,作者因看到疑似未成年人的 AI 虚构形象而感到恶心,决定永久离开 Facebook,仅在必要时(如获取孩子学校通知)才会重返。

HN 热度 1430 points | 评论 793 comments | 作者:npilk | 1 day ago #

https://news.ycombinator.com/item?id=47091748

  • 有用户分享其母亲作为国际空乘人员,在 Facebook 上通过分享旅行照片和参与兴趣小组,获得了丰富且有意义的社交体验,认为 Facebook 对特定人群(如高龄、活跃社交者)仍具有积极价值。
  • 另一位中年女性表示尽管她的 Facebook 信息流内容良好,但因不认同马克·扎克伯格的个人形象而选择不再使用该平台,但仍继续使用 WhatsApp 和 Instagram。
  • 有用户指出,当 Facebook 群组成员超过 1000 人后,往往会出现大量负面言论,即使讨论的是如道路状况等中性话题,也容易演变为针对外地司机等群体的攻击性发言,推测这与群体规模过大导致的社交行为失控有关。
  • 有人认为,随着群组规模扩大,出现“毒瘤”成员的概率上升,若缺乏有效管理,这些成员会持续制造争议,导致群组氛围恶化。
  • 有观点提出,线上开放群组中的不文明行为,本质上是由于缺乏线下交流中的非语言信号(如表情、肢体语言)来调节互动,导致人们无法感知他人反感,从而放纵言行。
  • 认为在线平台上缺少表达“不赞同”或“请停止”的非语言反馈机制,例如没有合适的反应表情来传达对不当言论的抵制,使得负面情绪难以被及时识别和制止。
  • 指出当前社交平台普遍缺乏对用户“离开率”等隐性行为数据的可见性,而这类数据在现实中本可作为群体氛围的重要指标,但在网络环境中被忽略。
  • 有分析认为,平台有意避免引入此类行为调节功能,因为它们可能降低整体“互动数据”,影响商业利益,因此相关功能一旦出现可能很快被移除。

为获得 LinkedIn 蓝勾认证,我完成了身份验证 (I verified my LinkedIn identity. Here’s what I handed over) #

https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/

作者为了获得 LinkedIn 的官方认证标识(蓝勾),进行了身份验证流程,结果发现实际负责验证的是位于美国加州的第三方公司 Persona Identities, Inc.,而非 LinkedIn 本身。

在短短三分钟的验证过程中,Persona 收集了大量个人信息,包括:完整姓名、护照正反面照片、实时自拍、面部几何特征、护照 NFC 芯片数据、身份证号、国籍、性别、出生日期、邮箱、电话、地址、设备信息(IP、MAC 地址、操作系统等)、地理位置以及行为数据(如操作延迟、复制粘贴检测、设备行为分析)。

更令人担忧的是,Persona 将这些数据用于 AI 模型训练,尤其是利用上传的护照和自拍图像来优化其识别系统。其法律依据为“合法利益”,而非用户明确同意,这在欧盟 GDPR 框架下存在争议。

数据不仅被存储于美国和德国,还被共享给多个第三方机构,包括 LinkedIn、服务提供商、全球数据合作伙伴、关联公司,甚至可能在并购或破产时转移。此外,若遇执法或国家安全请求,Persona 可依法披露数据,且可能受保密令限制无法告知用户。

该公司的 17 家外部处理商名单中,16 家位于美国,仅 1 家在加拿大,无一家在欧盟。其中包括 Anthropic、OpenAI、Groqcloud 等知名 AI 企业,以及 AWS、Google Cloud、MongoDB、Snowflake 等基础设施与数据分析服务商。这意味着用户的生物识别数据通过美国主导的技术链路流转。

尽管 Persona 声称符合欧盟-美国数据隐私框架(DPF),但该框架已被认为不足以保障欧洲用户的数据主权。关键在于,作为美国公司,其受《云法案》(CLOUD Act)约束——即使数据存于德国服务器,美国政府仍可强制要求提供,且无需通知用户。

最终,一个看似简单的身份认证,实则涉及跨国数据流动、AI 训练、执法风险与法律漏洞,用户付出的代价远超预期。

HN 热度 1129 points | 评论 401 comments | 作者:ColinWright | 17 hours ago #

https://news.ycombinator.com/item?id=47098245

  • 执行官在社交媒体上的声明不可轻信,其言论缺乏法律约束力,不能替代正式的隐私政策条款。
  • 即使执行官承诺数据不会用于模型训练或会及时删除,若未明确写入合同或法律文件中,仍不可信。
  • 企业法律文件中常见的宽泛表述往往是出于规避责任的考虑,可能为未来数据滥用保留空间。
  • 企业高管的公开声明常带有自我辩护性质,其可信度受到普遍质疑,尤其在缺乏问责机制的情况下。
  • 生物识别数据处理应尽可能在本地设备上完成,避免上传至服务器,以减少泄露风险。
  • 生物识别数据因具有模糊性(如人脸或指纹每次扫描略有差异),无法像密码一样使用传统哈希算法进行安全存储。
  • 对生物识别数据更合适的处理方式可能是使用感知哈希(perceptual hash),允许在一定范围内匹配,但需确保安全性与隐私保护。

我发现了漏洞,他们找来了律师 (I found a vulnerability. they found a lawyer) #

https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer

作者是一名潜水教练兼平台工程师,在前往哥斯达黎加科科斯岛的潜水旅行期间,发现其所属潜水保险公司会员门户存在严重安全漏洞。该漏洞源于系统使用递增的数字用户 ID 作为登录凭证,且所有账户均设置相同的默认密码,且未强制用户首次登录时修改密码。这一设计导致攻击者只需猜测连续的 ID 号并输入默认密码,即可轻易访问他人账户,包括未成年人的敏感个人信息,如姓名、地址、电话、邮箱和出生日期。

作者按照负责任披露的标准流程,于 2025 年 4 月 28 日向该组织及其注册地马耳他的国家协调漏洞披露机构(CSIRT Malta)提交了漏洞报告,并给予 30 天的修复宽限期。然而,两天后收到的回复并非来自技术团队,而是来自该组织数据保护官的律师事务所。信中虽表面感谢,实则指责作者提前通知政府机构“制造复杂性”并“暴露于不公平责任”,并警告其公开披露可能构成马耳他法律下的刑事犯罪。

更令人震惊的是,对方要求作者在同一天签署一份保密协议,内容包括承诺删除所有数据、不得披露漏洞细节,甚至不得公开此次披露过程本身,否则将面临法律追责。该协议还要求提供护照信息,具有明显的施压性质。

作者拒绝签署此类协议,指出在涉及公众数据安全和隐私保护的问题上,保密条款会破坏透明度与信任,违背负责任披露的核心原则。尽管该组织后来表示已修复漏洞并计划上线双因素认证,但作者至今未收到关于是否通知受影响用户的确认。

本文揭示了在真实世界中,安全研究人员在履行责任披露义务时,可能遭遇的法律威胁与制度性阻力,凸显了当前漏洞披露机制在法律与实践层面的深层矛盾。

HN 热度 845 points | 评论 395 comments | 作者:toomuchtodo | 1 day ago #

https://news.ycombinator.com/item?id=47092578

  • 如果法律披露漏洞的途径过于困难,那么发现漏洞的只会是犯罪分子。
  • 与建筑行业不同,网络安全漏洞的知识本身就会增加风险,因此需要更严格的监管。
  • 随机的外部审计无法有效保障安全,应强制要求涉及个人数据的公司进行网络安全审计。
  • 保险行业应被强制要求进行网络安全审计,并应立法保护白帽黑客,允许用户集体诉讼。
  • 软件工程领域应借鉴其他工程行业,建立类似“专业工程师”(PE)的认证制度,以增强责任与权威。
  • 许多软件工程师渴望职业化认证,以便在发现安全隐患时有合法依据进行抵制和发声。
  • 当前软件行业缺乏统一的监管框架,且联邦层面的监管推进困难,导致制度建设难以实现。
  • 软件开发高度去中心化,难以像建筑行业那样依据地域法律进行统一管理与责任追溯。
  • 产品认证由第三方机构(如 Intertek)执行,虽带来成本与流程延迟,但能确保合规性。
  • 相比于严格的监管,当前软件行业的低门槛和去中心化反而促进了创新活力。
  • 企业应被要求证明其不存储用户个人数据,以增强数据安全透明度。
  • 软件工程师有责任关注技术的社会影响,主动引导技术向善发展。

关闭 Dependabot (Turn Dependabot off) #

https://words.filippo.io/dependabot/

Dependabot 被认为是一种制造噪音的工具,它虽然看似在维护安全,实则分散了开发者对真正重要问题的注意力,尤其在 Go 生态中表现明显。作者以 filippo.io/edwards25519 的一次安全修复为例,指出 Dependabot 生成了大量针对无关项目的 PR 和安全警报,其中甚至包括完全不依赖该包的项目(如 Wycheproof),且警报中包含无意义的 CVSS v4 分数和误导性的兼容性评分。

真正的解决方案应是使用更精准的工具,如 govulncheck,它能基于静态分析判断漏洞是否真正影响代码。通过 go mod why -mgovulncheck 可以确认,尽管项目间接依赖了存在漏洞的包,但因未调用相关脆弱函数,实际不受影响。

作者建议关闭 Dependabot,改用 GitHub Actions 定期运行 govulncheck,仅在存在真实风险时发出通知。这种做法能有效避免“警报疲劳”,让安全团队真正关注有实际影响的漏洞,而非无意义的依赖更新。

此外,govulncheck 支持 JSON 输出和 Go API,易于集成到 CI/CD 流程中。作者强调,准确的漏洞检测不仅提升安全性,也减轻了开源社区因误报带来的额外负担。真正的安全应基于可验证的影响评估,而非自动化工具的盲目告警。

HN 热度 613 points | 评论 179 comments | 作者:todsacerdoti | 1 day ago #

https://news.ycombinator.com/item?id=47094192

  • Dependabot 虽有价值,但仅依赖版本号匹配漏洞数据库的工具容易产生误报,需结合实际代码路径分析才能减少噪音。
  • CodeQL 通过代码路径追踪分析,能提供具体漏洞路径,显著降低误报,提升可操作性,优于简单版本比对工具。
  • CodeQL 虽强大,但团队因过度优化代码以规避其警告而感到困扰,甚至出现为绕过检测而添加无意义中间变量的情况。
  • 有团队因 CodeQL 报告的“漏洞”在实际环境中不可达(如仅存在于 32 位平台),难以向安全团队解释,导致沟通困难。
  • CodeQL 基于代码语义和数据流分析构建,若无明确数据流路径或存在未识别的净化步骤,不会产生误报,但仍有漏报可能。
  • 尽管 CodeQL 在特定代码上可提供准确结论,但根据 Rice 定理,任何通用程序分析工具都无法完全避免误报或漏报。
  • CodeQL 的分析基于语法和静态数据流,对不可达路径的漏洞检测能力有限,可能无法判断某些路径是否真正可执行。
  • 代码分析工具若需提供具体漏洞路径证明,其结果虽更可信,但仍可能因模型不完整或逻辑误判产生误报。

https://arstechnica.com/tech-policy/2026/02/wikipedia-bans-archive-today-after-site-executed-ddos-and-altered-web-captures/

Wikipedia 英文版因 Archive.today 被用于发起分布式拒绝服务(DDoS)攻击,决定立即弃用该网站,并将其加入垃圾链接黑名单。该事件起因于 Archive.today 被用来攻击博主 Jani Patokallio 的博客 Gyrovague,攻击者通过其 CAPTCHA 页面植入恶意代码,操控用户设备参与攻击。

更严重的是,Wikipedia 编辑发现 Archive.today 在存档网页时擅自篡改内容,例如在被攻击博客的快照中插入博主姓名,显示出其内容不可靠。这一行为引发社区强烈质疑,认为其已不再适合作为可信的网络存档工具。

目前,Wikipedia 上有超过 69.5 万条链接指向 Archive.today 及其变种域名(如 archive.is、archive.ph 等),分布在约 40 万篇页面中。社区已达成共识,将逐步移除这些链接,并建议编辑替换为其他可信存档服务,如互联网档案馆(Internet Archive)、Ghostarchive 或 Megalodon,或直接使用原始来源(若仍可访问)。

值得注意的是,互联网档案馆(Archive.org)与 Archive.today 无任何关联,是一个独立的非营利组织。美国联邦调查局(FBI)已向域名注册商 Tucows 发出传票,试图查明 Archive.today 运营者的身份。该事件也暴露了匿名网络服务在滥用与内容篡改方面的潜在风险。

HN 热度 573 points | 评论 347 comments | 作者:nobody9999 | 1 day ago #

https://news.ycombinator.com/item?id=47092006

  • archive.today 可能正面临一场有组织的抹黑行动,其运营者曾对存档页面进行篡改,包括将“Nora Puchreiner”替换为博主“Jani Patokallio”的名字,并修改社交媒体账号显示名。
  • 有用户证实,archive.today 对芬兰 IP 地址实施了封锁,通过不断弹出验证码的方式阻止访问,且测试显示多个芬兰运营商的用户均受影响。
  • 有证据表明 archive.today 在存档页面中注入了原本不存在的广告内容,可能涉及恶意行为。
  • 一些用户指出,archive.today 对特定博客(gyrovague.com)发起持续 DDoS 攻击,通过脚本在用户解决验证码后自动向目标网站发送请求。
  • 有观点认为,archive.today 的行为使其失去可信度,无法作为可靠的引用来源,因为其管理员在与他人冲突时会直接篡改数据库。
  • 有人质疑该事件是否为真实,但已有多个独立用户从不同角度验证了问题的存在,包括使用芬兰本地网络和 VPN 测试。
  • 有评论讽刺称这种行为是“早期互联网恩怨”的体现,但其后果已超出玩笑范畴,严重损害了服务的公信力。
  • 也有观点认为,archive.today 能够保存许多付费墙内容,这可能招致某些机构或个人的打压,因此其被攻击可能与内容保留有关。
  • 部分人认为,archive.org 同样会配合删除请求,因此 archive.today 的存在反而更难被控制,这也可能是其成为目标的原因之一。
  • 有用户指出,当前关于此事的讨论中存在大量 AI 生成内容,语言风格相似、缺乏作者信息,疑似由 AI 汇总生成,引发对信息真实性的担忧。

全美多地民众拆毁并破坏 Flock 监控摄像头 (Across the US, people are dismantling and destroying Flock surveillance cameras) #

https://www.bloodinthemachine.com/p/across-the-us-people-are-dismantling

近期,美国多地出现针对 Flock 公司监控摄像头的破坏行为,反映出公众对隐私侵犯和执法滥用的强烈不满。这些摄像头由 Flock 公司运营,通过自动车牌识别技术(ALPR)收集车辆信息,包括车牌、位置轨迹等数据,且无需搜查令即可获取。该数据常被联邦机构如移民与海关执法局(ICE)使用,引发广泛争议。

在加州拉梅萨、俄勒冈州尤金、伊利诺伊州格林维尤、康涅狄格州里斯本等地,已有多个 Flock 摄像头被人为破坏或拆除。部分事件中,破坏者留下挑衅标语,如“哈哈,你们这些监控狂人,完蛋了”。在弗吉尼亚州,一名 41 岁的男子杰弗里·S·索文因在一年内破坏 13 个摄像头被捕,他承认使用工具拆解设备,并保留部分零件。他在筹款平台上表示自己是出于对第四修正案隐私权的捍卫。

尽管法律上其行为属犯罪,但网络社区如 Reddit 对此普遍表示支持。索文还援引反 Flock 运动网站 DeFlock 的数据,称已有 46 个城市正式拒绝使用 Flock 系统。类似抵制行动也出现在其他城市,如圣克鲁斯、尤金等地已取消合作。

与此同时,科技巨头与政府监管之间的矛盾日益加剧。在一场关于数据中心建设的公共听证会上,一名抗议者因超时发言数秒而被逮捕。Uber 和 Lyft 司机联合发起请愿,要求返还被拖欠的工资,签名人数达 1 万。另有报告指出,特斯拉机器人出租车事故率是人类驾驶员的四倍,而 AI 生成的虚假评论甚至影响了空气质量法案的投票结果。

整体来看,公众对大规模监控、数据滥用及科技企业与政府勾结的警惕正在上升,民间反抗形式从抗议到直接破坏,呈现出前所未有的广泛性和激烈程度。

HN 热度 419 points | 评论 248 comments | 作者:latexr | 1 day ago #

https://news.ycombinator.com/item?id=47095134

  • 活动人士通过无人机携带蘸有颜料的海绵轻触摄像头镜头,可低成本且隐蔽地使监控系统失效,无需破坏设备。
  • 公众抗议的核心目标不仅是物理破坏,更是通过视觉冲击传递对大规模监控的不满,影响公众舆论和政策。
  • 使用无人机进行非破坏性干扰更具象征意义,能更有效地引发社会关注和讨论。
  • 与直接破坏相比,使整个监控系统瘫痪对 Flock 公司及其客户造成更严重的打击,可能引发董事会问责和合同终止。
  • 用低成本工具如 paintball gun 或激光笔干扰摄像头,既经济又高效,且可避免被监控捕捉。
  • 高强度激光可能对人眼造成伤害,但可利用红外激光实现隐蔽干扰,类似香港抗议者的创新手段。
  • 固定式摄像头因易被破坏而升级为更高位置的“摄像头摄像头”,形成防御升级的恶性循环。
  • 类似破坏行为在英国已有先例,如焚烧轮胎包围测速摄像头,且有愈演愈烈的趋势。
  • 美国地区因枪支文化盛行,破坏摄像头可能面临更严重的法律后果,且执法机构可能因此推动更严厉的监控政策。
  • 未来可能动用卫星监控或太空军事系统应对地面破坏行为,形成“监控反制监控”的荒诞局面。
  • 用幽默和讽刺看待此类事件,认为整个讨论充满荒诞喜剧色彩,令人发笑。
  • 城市中广泛部署的自动测速摄像头导致不合理罚款,引发公众反感,尤其在限速 25 英里/小时的区域。
  • 一些地区因社会问题严重,导致基础设施频繁被破坏,如过去苏格兰某区域的微波通信设备被枪击。
  • 在城市环境中使用枪支破坏监控设备风险极高,可能触犯法律,且当前多数民众支持强化监控体系。

每个构建你的人工智能助手的公司,如今都是广告公司 (Every company building your AI assistant is now an ad company) #

https://juno-labs.com/blogs/every-company-building-your-ai-assistant-is-an-ad-company

本文探讨了当前人工智能助手发展背后的结构性问题:所有主流 AI 助手公司均依赖广告收入,同时正加速开发全天候、全感官的硬件设备,能够持续监听和记录用户的生活环境。这种趋势将带来严重的隐私风险。

作者指出,传统的语音助手依赖“唤醒词”(如“Hey Siri”)触发响应,但这种方式无法捕捉真实生活中的自然对话。真正的智能助手需要始终在线,持续积累上下文信息,才能实现主动服务。然而,一旦设备具备持续感知能力,其收集的数据就可能被用于广告目的。

文章强调,仅靠“隐私政策”或“数据加密”等承诺无法保障安全。历史表明,企业政策会随时间改变,而技术架构才是根本保障。当数据在本地设备上处理时,数据无法外传,从根本上杜绝了被滥用的可能性。

目前,边缘计算技术已足够成熟,可在不联网的设备上运行完整的语音识别、记忆存储和对话推理系统。这类硬件成本可控,无需订阅费,且数据完全保留在用户家中。

作者呼吁建立以硬件销售为核心的商业模式,而非依赖用户数据变现。真正可靠的智能助手必须在架构上设计为“无法泄露数据”,而不是依赖可被更改的隐私承诺。

最后,文章提醒:最强大的 AI 也将是最具侵入性的技术。唯有坚持本地化、去中心化的边缘推理架构,才能确保技术服务于人,而非成为监控工具。

HN 热度 293 points | 评论 156 comments | 作者:ajuhasz | 1 day ago #

https://news.ycombinator.com/item?id=47092203

  • 该 AI 设备持续监听家庭环境,引发对隐私泄露的担忧,尤其是涉及未成年人和访客的私人对话。
  • 即使数据本地存储,也无法完全避免隐私风险,因为一旦信息存在,就可能被司法强制获取。
  • 真正的隐私保护在于不让信息存在,而非依赖加密或技术手段。
  • 法律上,政府有权在有法院命令的情况下获取任何存储的信息,技术手段难以完全抵御。
  • 个人数据应像大脑中的记忆一样受到法律保护,尤其对依赖辅助技术的人群更应如此。
  • 企业应允许用户自定义原始数据的存储时长,并设置“死亡开关”以增强控制权。
  • 在美国,个人不能被强制提供密码,但某些情况下仍可能被要求解锁设备,存在法律灰色地带。
  • 一些公司建议员工在面对执法部门时交出密码以保障人身安全,这反映出企业与法律之间的权衡。
  • 生物识别信息(如面部识别)可被执法机构强制获取,因此设备需设计额外防护机制。
  • 通过快速连续点击电源键可强制设备进入需输入密码的模式,是应对边境检查的有效策略。
  • 从哲学角度看,机器辅助记忆与人类自然记忆并无本质区别,只要确保信息不被未经授权访问即可接受。
  • 真正的隐私保护应建立在信息不被存储或不被外部访问的基础上,而非依赖技术加密。

Andrej Karpathy 关于“Claws”的最新思考(Andrej Karpathy talks about “Claws”) #

https://simonwillison.net/2026/Feb/21/claws/

2026 年 2 月 21 日,Simon Willison 在其博客中分享了 Andrej Karpathy 关于“Claws”的最新思考。Karpathy 在推文中提到,他购买了一台 Mac Mini 用于实验“OpenClaw”系统,并指出苹果店员表示 Mac Mini 销量火爆,许多人对此感到困惑。

他形容自己对运行 OpenClaw 仍有些疑虑,但非常欣赏其核心理念。他认为 Claws 是继 LLM 代理之后的新一层 AI 架构,进一步提升了任务编排、调度、上下文管理、工具调用和持久化能力。

目前已有多个小型 Claw 项目涌现,如 NanoClaw,其核心引擎仅约 4000 行代码,结构清晰、易于理解与审计,且默认在容器中运行。其他项目还包括 nanobot、zeroclaw、ironclaw、picoclaw 等,命名均带有“claw”前缀,形成一种趋势。

Simon 认为“Claw”正逐渐成为一类开源 AI 代理系统的代称——这类系统通常运行在个人设备上,通过消息协议通信,既能响应即时指令,也能自主安排任务。该概念甚至已拥有专属表情符号:🦞。

文章最后强调,Andrej Karpathy 对技术术语的敏锐捕捉能力(如“vibe coding”“agentic engineering”)再次显现,而“Claw”一词正迅速成为 AI 领域的新术语。

HN 热度 271 points | 评论 66 comments | 作者:helloplanets | 14 hours ago #

https://news.ycombinator.com/item?id=47099160

  • 该帖子链接的是他人博客文章,而非直接链接原始内容,存在误导性,违反了 Hacker News 关于“原始来源”的规定。
  • 博主 Simon Willison 被指长期通过博客进行自我推广,其大量评论包含链接,数量远超普通用户,涉嫌违反“主要用途为推广”的社区准则。
  • 尽管部分用户认可 Simon 的思考深度和写作质量,但其行为已引发社区对“自我推广是否应被允许”的争议。
  • 有用户指出,Simon 的博客内容常被用于获取流量和点击,其推广行为本质上是“链接农场”策略,目的是提升平台曝光度。
  • 一些用户建议使用外部工具(如 CSS、书签脚本)屏蔽 Simon 的帖子或评论,以改善浏览体验。
  • 有观点认为,若某人因内容质量高而获得大量关注,其自我推广行为应被宽容,但也有反对者认为这违背了公平规则。
  • 有人质疑,若自我推广行为能获得高投票和讨论,是否意味着规则可以被“社交投票”凌驾,从而破坏社区公平性。
  • 也有用户指出,Simon 的链接常用于回应他人提问,提供补充信息,因此其链接行为有一定合理性,不应一概而论。

CERN 重建 1989 年原始浏览器(2019) (CERN rebuilt the original browser from 1989 (2019)) #

https://worldwideweb.cern.ch

这是一个关于 1990 年诞生的全球首个网页浏览器 WorldWideWeb 的重建项目页面。该浏览器由蒂姆·伯纳斯-李在 CERN 开发,运行于 NeXT 计算机平台,是现代互联网的前身。

为纪念其诞生 30 周年,2019 年 CERN 组织开发团队与设计师在日内瓦重新构建了原始浏览器的现代版本,使其可在当前浏览器中运行,让用户亲身体验互联网的最初形态。

页面提供详细的使用指南:通过侧边菜单选择“文档”→“从完整文档引用打开”,输入 URL 后点击“打开”,即可浏览网页。用户需双击链接以激活跳转。

内容涵盖多个部分:

  • 历史:介绍 WorldWideWeb 的诞生背景及其作为现代 Web 奠基者的地位。
  • 时间线:梳理从 1989 年提案发布前到 30 年来对互联网发展的影响。
  • 浏览器使用说明:展示重建版浏览器的界面与操作方式。
  • 字体设计:还原 NeXT 计算机所用字体的视觉特征。
  • 代码解析:展示部分原始代码片段,呈现早期 Web 技术实现。
  • 制作过程:揭秘如何在现代环境中复刻原始浏览器。
  • 相关资源:提供延伸阅读与技术资料链接。
  • 项目致谢:感谢美国驻日内瓦使团与 CERN 与社会基金会的支持。

该项目不仅是一次技术复刻,更是一次对互联网起源的致敬,让公众得以“穿越”回 1989 年,感受 Web 最初的模样。

HN 热度 244 points | 评论 88 comments | 作者:tylerdane | 1 day ago #

https://news.ycombinator.com/item?id=47095429

  • 1990 年代初期的万维网在界面和功能上与 Gopher 和 WAIS 相似,缺乏直观的导航和图形支持,初期体验并不突出。
  • 在 NeXT 计算机上使用 WAIS 和 Gopher 的体验更接近现代搜索引擎和层级导航,而早期网页的自由格式和有限功能难以展现其未来潜力。
  • 有人曾近距离接触 Mosaic 团队却未能理解其重要性,直到后来才意识到错过了重大技术革命。
  • 有人因错过比特币早期投资而感到遗憾,但同时也反思“尽早投资复利”建议的真正意义在于经历市场波动和学习投资纪律。
  • 早期比特币挖矿门槛低,但许多人因不重视或缺乏认知而错失机会,甚至有人用服务器资源去参与 SETI@Home 而非挖矿。
  • 早期互联网安全极为薄弱,X.25 网络和 BBS 系统普遍存在无密码认证和随意共享账户的问题。
  • 现代 AI 的 RAG 技术在信息检索方式上与 Gopher 有相似之处,都是基于结构化索引和层级访问。
  • 万维网的普及受限于早期缺乏可用浏览器,Mosaic 的出现才真正推动了网页技术的发展。
  • 早期互联网基础设施(如 WordPress、MySQL、Active Directory)长期存在未修补的安全漏洞,直到 2010 年代才逐步改善。

Hacker News 精彩评论及翻译 #

Facebook is cooked #

https://news.ycombinator.com/item?id=47093470

So: is this just something wacky with my algorithm?

No, it’s not. Once Meta identifies you as male, you will get almost exclusively thirst trap posts no matter what you do. It started about two years ago.

Some other interesting points: A woman posted on reddit recently saying she noticed her son’s feed was filled with this stuff, so she created her own instagram account, identified as a man, and had the same feed. No matter what she did she couldn’t fix it. She asked other women about this, and they all said their partner’s feeds were the same.

This is not a problem for women. At least not one I’ve ever talked to or read about on the internet.

Another point: I tried very hard to fix this at one point. I went through instagram and hit like on nothing but pottery and parenting videos. For about a week I had a feed that looked like my wife’s – pottery and parenting. And then it reverted.

I got a whole bunch of thirst traps again.

It doesn’t bother me anymore, I just tune it out and scroll past it because my feed still has the parenting and pottery too, and my friend’s updates, which is what I’m there for.

But it would be good for more people to learn about this so they don’t get angry when they see their male-identified partners/friends feeds.

jedberg

所以:这只是我的算法出了什么怪毛病吗?

不是。一旦Meta将你识别为男性,无论你做什么,你的推送内容几乎全是那些引人遐想的帖子。大概是从两年前开始的。

另外还有一些有趣的点:最近一位女士在reddit上发帖说,她发现她儿子的信息流里全是这类内容,于是她自己也创建了一个Instagram账号,把自己设定为男性,结果看到了完全相同的信息流。无论她怎么尝试,都无法解决这个问题。她询问了其他女性,她们都说自己伴侣的信息流也是这样。

女性不会遇到这个问题。至少在我交谈过或在网上读到的案例中,没有遇到过。

另一点是:我曾一度非常努力地想解决这个问题。我浏览Instagram,只对陶艺和育儿视频点赞。大约一周的时间里,我的信息流看起来和我妻子的很相似——全是陶艺和育儿内容。但之后又变回去了。

我又收到了一大堆引人遐想的帖子。

现在这已经不再困扰我了,我只是自动忽略并划过去,因为我的信息流里仍然有育儿和陶艺内容,还有我朋友的动态,这才是我上这个平台的目的。

但更多人了解到这件事会更好,这样他们在看到被识别为男性的伴侣/朋友的信息流时,就不会感到生气了。

Keep Android Open #

https://news.ycombinator.com/item?id=47091717

We heard from developers who were concerned about the barrier to entry when building apps intended only for a small group, like family or friends. We are using your input to shape a dedicated account type for students and hobbyists. This will allow you to distribute your creations to a limited number of devices without going through the full verification requirements.

In classic Google fashion, they hear the complaint, pretend that it’s about something else, and give a half baked solution to that different problem that was not the actual issue. Any solution that disadvantages F-Droid compared to the less trustworthy Google Play is a problem.

yjftsjthsd-h

我们收到了开发者的反馈,他们对于只为小群体(如家人或朋友)开发应用时所面临的准入门槛感到担忧。我们正根据您的意见,为学生和业余爱好者打造一种专门的账户类型。这将允许您将作品分发给有限数量的设备,而无需经过完整的验证要求。

典型的谷歌作风:他们听到了抱怨,却假装说的是另一回事,然后为那个并非实际问题的不同问题提供一个半生不熟的解决方案。任何让 F-Droid 相比于信誉较低的 Google Play 处于劣势的解决方案,都是个问题。

Facebook is cooked #

https://news.ycombinator.com/item?id=47095090

The algorithm has been given a job todo. First priority on any platform is engagement and a well functioning, complete human being is not going to be engaged by rage bait and hate. They are rare, precious jewels. The shit gets dumped on people who are lonely, have a grudge, feel left out. It is relentless and escalates until their brains cook. Algorithmic social media is a massive social harm. The people who are in deep likely need years of deprogramming and therapy to recover which they will never get.

These platforms need to be shut down and people with a conscience need to stop using them, regardless of their own positive experiences, to deny them the power of network effects and their impact on the vulnerable.

shirro

算法被分配了一项任务。在任何平台上,首要的都是用户参与度,而一个心理健康、完整的人是不会对那些煽动愤怒和仇恨的内容产生参与感的。他们是稀有而珍贵的瑰宝。那些孤独、心怀怨恨、感觉被边缘化的人,则会接收到大量垃圾信息。这种推送无休无止,不断升级,直到把他们的脑子烧坏。算法驱动的社交媒体是一种巨大的社会危害。那些深陷其中的人可能需要数年的时间来“洗脑”和接受治疗才能恢复,但他们永远也得不到这些。

这些平台必须被关闭,有良知的人也应该停止使用它们,无论他们自己的体验有多积极,目的就是剥夺它们通过网络效应获取的力量以及对脆弱人群造成的影响。

Facebook is cooked #

https://news.ycombinator.com/item?id=47095863

I genuinely think we will look back at the algorithmic content feed as being on par with leaded gasoline or cigarettes in terms of societal harm.

Maybe worse since it is engineered to be as addictive as possible down to an individual level.

Then again maybe I’m being too optimistic that it will be fixed before it destroys us.

javascriptfan69

我真心认为,日后我们回头看算法推荐的内容流,会发现其对社会的危害与含铅汽油或香烟不相上下。也许更糟,因为它被刻意设计成尽可能上瘾,这种成瘾性甚至精准到个人层面。不过话说回来,也许我太乐观了,认为我们能在它毁灭我们之前就解决掉这个问题。

I found a vulnerability. they found a lawyer #

https://news.ycombinator.com/item?id=47093656

Since the author is apparently afraid to name the organisation in question, it seems the legal threats have worked perfectly.

stevage

既然作者显然不敢点名有问题的组织,看来法律威胁已经完全奏效了。

Keep Android Open #

https://news.ycombinator.com/item?id=47091614

I contacted the EU DMA team about my concerns and got a real reply within 24 hours. Not just an automated message, it looked like a real human read my message and wrote a reply. I’d urge other EU citizens to do the same.

ruuda

我联系了欧盟DMA团队反映我的担忧,并在24小时内收到了真正的回复。那不是一封自动回复邮件,看起来像是真有人读了我的信息并写了回复。我敦促其他欧盟公民也这样做。

I found a vulnerability. they found a lawyer #

https://news.ycombinator.com/item?id=47094206

I’m a diver, DAN is the only company I can name that specialises in diving insurance.

Huh, apparently they’re registered in Malta, what a coincidence…

frederikvs

我是个潜水员,DAN是我唯一能说出名字的专业潜水保险公司。 嗯,原来他们是在马耳他注册的,真巧……

I verified my LinkedIn identity. Here’s what I han… #

https://news.ycombinator.com/item?id=47099623

I used to have a LinkedIn account, a long time ago. To register I created an email address that was unique to LinkedIn, and pretty much unguessable … certainly not amenable to a dictionary attack.

I ended up deciding that I was getting no value from the account, and I heard unpleasant things about the company, so I deleted the account.

Within hours I started to get spam to that unique email address.

It would be interesting to run a semi-controlled experiment to test whether this was a fluke, or if they leaked, sold, or otherwise lost control of my data. But absolutely I will not trust them with anything I want to keep private.

I do not trust LinkedIn to keep my data secure … I believe they sold it.

ColinWright

很久以前,我有一个领英账号。为了注册,我创建了一个专门用于领英的、几乎猜不到的电子邮箱地址……当然,它绝对不会受到字典攻击。

最终,我决定这个账号对我来说毫无价值,而且还听到一些关于这家公司的负面消息,所以就把它删了。

几个小时之内,我就开始收到发往那个专用邮箱的垃圾邮件。

做个半受控的实验来测试这到底是碰巧了,还是他们泄露、出售或以其他方式失控了我的数据,会很有意思。但无论如何,我绝对不会把任何我想保密的东西交给他们保管。

我不相信领英能保障我的数据安全……我相信他们把数据卖了。

I found a vulnerability. they found a lawyer #

https://news.ycombinator.com/item?id=47094181

Three thoughts from someone with no expertise.

  1. If you make legal disclosure too hard, the only way you will find out is via criminals.

  2. If other industries worked like this, you could sue an architect who discovered a flaw in a skyscraper. The difference is that knowledge of a bad foundation doesn’t inherently make a building more likely to collapse, while knowledge of a cyber vulnerability is an inherent risk.

  3. Random audits by passers-by is way too haphazard. If a website can require my real PII, I should be able to require that PII is secure. I’m not sure what the full list of industries would be, but insurance companies should be categorically required to have an cyber audit, and laws those same laws should protect white hats from lawyers and allow class actions from all users. That would change the incentives so that the most basic vulnerabilities are gone, and software engineers become more economical than lawyers.

janalsncm

一个外行人的三点看法。

  1. 如果你让法律披露变得太难,那唯一的发现方式就只能通过罪犯了。

  2. 如果其他行业也像这样运作,你就可以起诉发现了摩天大楼缺陷的建筑师。区别在于,知道地基情况不好并不会让大楼本身更容易倒塌,而知道一个网络安全漏洞本身就是一种固有的风险。

  3. 让路人进行随机的审计也太草率了。如果一个网站可以要求我提供真实的个人身份信息(PII),那么我就应该要求这些信息是安全的。我不确定完整的行业列表是哪些,但保险公司应该被强制要求进行网络安全审计,并且同样的法律应该保护白帽黑客免受律师的骚扰,并允许所有用户提起集体诉讼。那样就会改变激励机制,使得最基本的漏洞得以消除,软件工程师会比律师更有性价比。

I found a vulnerability. they found a lawyer #

https://news.ycombinator.com/item?id=47093898

Or maybe in the diving community, “Maltese insurance company for divers” is about as subtle as “Bird-themed social network with blue checkmarks”.

pavel_lishin

又或许,在潜水圈里,“马耳他潜水员保险公司”和“以鸟类为主题的带蓝色认证标记的社交网络”一样不隐晦。

Don’t create .gitkeep files, use .gitignore instea… #

https://news.ycombinator.com/item?id=47096783

I’m not sure if I’m the one to blame for this or not, but the earliest reference to “.gitkeep” I can find online is my 2010 answer on Stack Overflow: https://stackoverflow.com/a/4250082/28422

If this is all my fault, I’m sorry.

jkubicek

不确定是不是我的锅,但我能在网上找到的关于“.gitkeep”的最早参考资料,是我2010年在Stack Overflow上的一个回答:https://stackoverflow.com/a/4250082/28422

如果这事儿真是我搞出来的,那不好意思了。

Nvidia and OpenAI abandon unfinished $100B deal in… #

https://news.ycombinator.com/item?id=47087574

Regardless of the promise of the underlying technology, I do wonder about the long-term viability of companies like OpenAI and Anthropic. Not only are they quite beholden to companies like Nvidia or Google for hardware, but LLM tech as it stands right now will turn into a commodity.

It’s why Amodei has spoken in favor of stricter export controls and Altman has pushed for regulation. They have no moat.

I’m thankful for the various open-weighted Chinese models out there. They’ve kept good pace with flagship models, and they’re integral to avoiding a future where 1-2 companies own the future of knowledge labor. America’s obsession with the shareholder in lieu of any other social consideration is ugly.

SirensOfTitan

无论底层技术的前景如何,我确实怀疑像OpenAI和Anthropic这类公司的长期生存能力。它们不仅在很大程度上依赖英伟达或谷歌等公司提供硬件,而且当前的LLM技术最终也会变成一种大宗商品。

这正是Amodei支持更严格的出口管制,而Altman则推动监管的原因。他们没有任何护城河。

我很庆幸市面上有各种开源重量的中国模型。它们的发展速度与主流模型并驾齐驱,对于避免未来只有一到两家公司掌控知识劳动的未来至关重要。美国对股东利益的过分追求,而罔顾其他任何社会考量,实在丑陋不堪。

Wikipedia deprecates Archive.today, starts removin… #

https://news.ycombinator.com/item?id=47094695

There is an post describing the possibility of an organised campaign against archive.today [1] https://algustionesa.com/the-takedown-campaign-against-archive-today/

How does the tech behind archive.today work in detail? Is there any information out there that goes beyond the Google AI search reply or this HN thread [2]?

[1] https://algustionesa.com/the-takedown-campaign-against-archive-today/ [2] https://news.ycombinator.com/item?id=42816427

wuschel

有一篇文章描述了针对 archive.today 的有组织下架运动的可能性 [1] https://algustionesa.com/the-takedown-campaign-against-archive-today/

archive.today 背后的技术具体是如何运作的?有没有什么信息能超越 Google AI 搜索的回复或这个 HN 帖子 [2]?

[1] https://algustionesa.com/the-takedown-campaign-against-archive-today/ [2] https://news.ycombinator.com/item?id=42816427