2026 04 16 HackerNews

2026-04-16 Hacker News Top Stories #

  1. Flock Safety 的 AI 车牌与车辆指纹监控快速扩张,虽能辅助侦查却伴随无令检索、跨域共享、偏见与误拦等风险,呼吁以社区建设替代泛化监控。
  2. 作者依据 CCPA 向 Flock 要求删除家人数据被以“数据由客户控制”为由拒绝,凸显其合规灰区与个人难以行使删除权的问题。
  3. 与其被厚重教材劝退,不如用 Crenshaw 与 Nanopass 方法先动手做小型编译器,实践后再系统补理论。
  4. 作者在洛杉矶自然历史博物馆记录矿物之美,引发对“上帝睡在矿物中”这一美学与灵性隐喻的讨论与分歧。
  5. VF 通过并购后在中低端背包上刻意降质并收窄保修,使寿命缩短与单位使用成本上升以驱动重复购买。
  6. Piotr Wozniak 主张遵循生理节律的自由睡眠、拒绝闹钟与稳定作息,用“时钟+沙漏”模型与策略提升记忆、学习与健康。
  7. 关闭源代码无法阻挡 AI 自动化攻击,需将持续低成本的 AI 安全测试融入开发流程,以 AI 抵御 AI 并保持开源透明。
  8. Anna’s Archive 因发布 Spotify 资源被缺席判赔 3.22 亿美元并遭全球禁令与域名冻结,但匿名与跨境执行使其更具震慑意义。
  9. OpenSSL 4.0.0 移除旧协议与引擎、强化校验并新增 ECH/SM2/SM3 等,且 ECH 在部分生态可用但对单一服务器隐私收益有限。
  10. Gemma 4 已能在 iPhone 本地离线运行但主要依赖 GPU 非 ANE,能效与发热不佳更偏演示,生态与基准仍待完善。

1. 停止 Flock 监控系统 (Stop Flock) #

https://stopflock.com

介绍了 Flock Safety 公司推广的 AI 监控摄像头系统及其引发的隐私和法律问题。Flock 摄像头不仅能识别车牌,还能通过颜色、车型、车身损伤、轮胎类型甚至车贴位置等特征,创建“车辆指纹”,实现对车辆的精准追踪。系统还能分析车辆之间的关联,追踪车辆的行驶路线和频繁出现的地点,形成详细的移动和社交网络数据库。执法部门可在无需搜查令的情况下访问这些数据,存在滥用风险,如堪萨斯一警察曾利用该系统非法跟踪前女友。

该系统在美国迅速普及,已有超过 3,000 个执法和政府机构使用,覆盖超过 10 万台摄像头,且扩展速度快,缺乏公众监督。Flock 摄像头引发了严重的第四修正案隐私权争议,法院已多次判定类似的无差别监控行为违宪,但由于 Flock 是私营企业,其数据收集和销售存在法律灰色地带。隐私不仅关乎隐藏不法行为,更是个人自由和尊严的保障。专家警告,这种大规模监控系统一旦被滥用,可能成为压制异见和侵犯公民自由的工具。

此外,Flock 系统加剧了执法中的种族偏见,例如伊利诺伊州 Oak Park 地区通过 Flock 摄像头发现被拦截的司机中 84% 为黑人,而该地黑人仅占 21%。商业利益也是推动该系统扩散的重要因素,Flock 与执法机构合作,鼓励企业和社区管理组织共享监控数据,扩大监控范围,甚至有社区在公共道路安装摄像头引发争议。

总体来看,Flock Safety 的 AI 监控技术虽声称能提升公共安全,但缺乏有效监管,存在侵犯隐私、滥用权力和加剧社会不公的风险。真正的公共安全应来自社区投资,而非无处不在的监控和数据追踪。

HN 热度 938 points | 评论 284 comments | 作者:cdrnsf | 1 day ago #

https://news.ycombinator.com/item?id=47772012

  • 警察部门面临人手不足和效率下降,传统的巡逻警察减少,导致公众对治安的安全感下降,人们倾向于接受像 Flock 这样的监控方案以寻求安全感。
  • 大多数城市在警力投入上花费巨大,但实际有效的警务工作不足,警察更多时间用于写报告、处理交通事故和家庭纠纷。
  • 警务评价过于依赖逮捕数量,而非实际犯罪率或社区生活质量,导致执法效果难以准确衡量。
  • 警察资源分配存在优先级问题,部分城市警察对轻微违法行为如超速罚单投入大量资源,但对实际犯罪案件调查不积极。
  • 监控摄像头(如车牌识别摄像头)虽能辅助执法,但并非解决犯罪问题的万能钥匙,犯罪根源更多与失业等社会问题相关。
  • 有些城市警察对交通执法存在选择性,倾向于抓容易的违规行为而忽视更危险的驾驶行为。
  • 提供替代方案和重塑警务文化,增强警民互信和社区参与,是对抗监控方案的更好策略。
  • 不同城市和国家的安全状况不能简单归因于警务好坏,需综合考虑多方面因素。

2. 我写信给 Flock 的隐私联系人,要求退出他们的国内监控计划 (I wrote to Flock’s privacy contact to opt out of their domestic spying program) #

https://honeypot.net/2026/04/14/i-wrote-to-flocks-privacy.html

这是一篇博客文章,作者 Kirk Strauser 讲述了他向 Flock Safety 公司提交请求,要求根据加州消费者隐私法案(CCPA)删除其个人及家庭成员的相关数据,但遭到了拒绝。Flock Safety 回复称,他们只是为客户提供数据处理服务,数据的所有权和控制权属于客户,因此无法直接满足作者的删除请求,建议作者联系使用 Flock Safety 服务的组织。

Flock Safety 在回复中还说明了其数据收集和隐私政策:他们作为服务提供商,按照客户合同处理数据,不出售或用于自身商业目的;使用车牌识别技术收集的是公开可见的车辆特征图像,不涉及敏感个人信息;客户使用这些数据主要用于安全管理和协助破案;默认数据保留期限为 30 天,客户可根据法律或政策调整。

作者认为 Flock Safety 的回应在法律上存在争议,认为该公司作为数据收集和处理方,应当遵守 CCPA 的规定,正在考虑是否寻求法律帮助。文章还附带了与隐私相关的其他内容链接。

HN 热度 652 points | 评论 255 comments | 作者:speckx | 1 day ago #

https://news.ycombinator.com/item?id=47768813

  • Flock 声称数据归其客户所有,客户决定数据的使用和分享,这与加州消费者隐私法案(CCPA)存在冲突,因为数据本应属于个人。
  • Flock 建议用户应联系拥有摄像头的客户请求删除数据,而非直接联系 Flock,但数据实际存储在 Flock 服务器上,Flock 应对数据安全和隐私负责。
  • Flock 拥有并租赁摄像头,但数据归政府所有,Flock 不得将数据用于商业获利,类似云存储服务的角色。
  • Flock 运营一个联邦网络,普通人难以知道具体数据控制者是谁,难以提出删除请求。
  • 有人通过报警等手段影响摄像头监控区域的治安,体现了执法资源的优先分配和反应机制。
  • 警察优先处理可能危及生命的暴力犯罪,资源分配合理。
  • 如果无法轻松删除个人位置信息,现有法律对个人隐私保护不足,应强制 Flock 承担删除责任。
  • 类比苹果和 iCloud,数据存储者和数据控制者的责任界限不清,Flock 可能因数据共享和安全漏洞承担更大责任。
  • 无论数据由谁使用,任何涉及个人信息的收集都应允许个人提出删除请求。
  • 个人拍摄的照片中包含他人时,是否应删除存在争议,责任界定复杂。

3. 想写编译器?只需阅读这两篇论文(2008 年) (Want to write a compiler? Just read these two papers (2008)) #

https://prog21.dadgum.com/30.html

这篇文章讨论了现代编程,特别是编写编译器的学习过程。作者指出,许多关于编译器的书籍内容过于庞杂和复杂,导致初学者难以入门,甚至产生“编译器难写”的误解。文章推荐了 Jack Crenshaw 在 1988 年开始的系列教程《Let’s Build a Compiler!》,该系列以简单易懂的方式讲解了 Turbo Pascal 类编译器的构建,适合初学者,但缺少内部程序表示(如抽象语法树)的内容。

作者进一步介绍了适合高级语言(如 Python、Ruby、Erlang、Haskell、Lisp)使用的编译器设计方法,强调这些语言便于创建和操作树形数据结构。特别推荐了 Sarkar、Waddell 和 Dybvig 的论文《A Nanopass Framework for Compiler Education》,提出将编译器设计为多个简单转换步骤的理念,每个步骤独立处理输入输出,代码示例使用动态类型的 Scheme 语言。

文章建议初学者先尝试写几个编译器,再考虑是否需要深入阅读经典的《龙书》或其他权威书籍,暗示这些书籍并非学习编译器的唯一途径。作者本人是有多年游戏设计经验的程序员,文中还提及其其他相关技术文章和资源。

HN 热度 450 points | 评论 135 comments | 作者:downbad_ | 14 hours ago #

https://news.ycombinator.com/item?id=47776796

  • 《龙书》章节 2 可以作为独立的编译器入门介绍,内容全面且自成体系。
  • 《编译器》一书(Niklaus Wirth 著)简短且清晰,适合初学者快速理解完整编译器实现。
  • 《龙书》理论性强,作为入门书籍可能让人望而却步,不适合初学者。
  • 推荐从实践出发、逐步构建编译器的书籍,避免过多理论堆砌。
  • Forth 语言及其小型编译器实现能带来编译器设计的乐趣和成就感。
  • 《Tiger 书》《Compiler Design in C》《Lisp in Small Pieces》等书籍也被推荐,涵盖不同风格和深度。
  • 递归下降解析器比基于 BNF 的解析器生成器更易实现,适合简单语法。
  • 理论课程中教授正规语言理论有助于理解编译器中的解析技术。
  • 《Engineering a Compiler》中的静态单赋值(SSA)章节值得重点学习。
  • 《龙书》内容全面,但部分章节难度较大,可能超出初学者理解能力。
  • 《龙书》适合学习生产级编译器设计,涵盖丰富概念,但对兴趣驱动的项目可能过于复杂。
  • 《龙书》偏重学术和理论,实际生产编译器还需学习更多内容。
  • 许多现代资源跳过复杂的解析器生成技术,直接引导读者实现递归下降解析器。
  • 《龙书》前期大量篇幅讲解解析器理论,可能让人忽视后续代码生成和优化等核心内容。
  • 理解底层解析技术有助于避免语法设计中的陷阱,但阅读时可有选择性跳过不相关内容。

4. 上帝沉睡于矿物之中 (God sleeps in the minerals) #

https://wchambliss.wordpress.com/2026/03/03/god-sleeps-in-the-minerals/

该网页是一个名为“Chamblissian”的公共博客页面,发布了一篇题为“God sleeps in the minerals”(上帝睡在矿物中)的文章。文章内容主要介绍了作者在洛杉矶县自然历史博物馆“Unearthed: Raw Beauty”展览中拍摄的矿物照片,表达了对矿物之美的赞赏。

文章发布于 2026 年 3 月 3 日,归类为“未分类”。页面下方有 19 条评论,评论内容多样,有读者表达了对文章的赞美,也有一些读者提出疑问“这是什么?”,还有部分评论涉及对标题中“上帝睡在矿物中”这一表达的不同看法,有人认为这是诗意的表达,象征矿物之美带有神圣气息,也有人表示不认同甚至反感。

此外,有评论引用了 Paramahansa Yogananda 的一句话:“God sleeps in the minerals, dreams in the flowers, awakens in the animals, and in man knows that He is awake”,进一步阐释了标题的寓意。

总体来看,网页主体是一篇以矿物美学为主题的博客文章,结合作者的现场拍摄和个人感悟,激发了读者的多样讨论。

HN 热度 426 points | 评论 91 comments | 作者:speckx | 10 hours ago #

https://news.ycombinator.com/item?id=47778475

  • 大型完美矿物标本令人震撼,加入当地矿物俱乐部参与实地采集体验非常有趣且满足感强。
  • 在美国,大部分优质矿物标本来自私人矿区或特殊地质环境,普通爱好者多只能从尾矿中找到小块标本,优质标本难以获得。
  • 博物馆展示的稀有标本正因其稀缺性而有价值,普通人也可以通过学习和体验享受采矿乐趣。
  • 东北地区公共采集点稀少,许多曾经的采集地被开发或关闭,部分原因是部分采集者不尊重环境,导致采集地关闭。
  • 在美国西部的国家森林和公共土地上,仍有不少未被充分开发的矿区,偶尔徒步时能发现不错的矿物标本。
  • 通过观察和选择合适地点,仍有机会找到大型优质矿物标本,采集需要细心和耐心。
  • 了解地质图和寻找旧矿区、采石场等地是寻找矿物标本的有效方法。
  • 石棉矿物虽然美观,但因健康风险通常被博物馆隔离展示,天然石棉本身不危险,危险在于其纤维被切割并吸入。
  • 加州和华盛顿等地存在天然有害矿物,如石棉和砷,需注意环境安全和健康风险。
  • 石棉种类繁多,风险差异大,某些地区的石棉风险较低,徒步时只要不扰动地面,风险较小。

5. 背包品质故意变差 (Backpacks got worse on purpose) #

https://www.worseonpurpose.com/p/your-backpack-got-worse-on-purpose

这篇文章讲述了 VF Corporation 如何通过收购和整合多个知名背包品牌,导致这些品牌的产品质量下降的过程。VF Corporation 最初是一家女性内衣制造商,后来通过收购 JanSport、The North Face、Eastpak、Kipling 和 Eagle Creek 等背包品牌,控制了美国超过 55% 的背包市场。

文章指出,过去这些品牌之间的竞争促使它们保持高质量标准,但被同一家公司收购后,竞争消失,品牌开始为了利润目标普遍降低产品质量。具体表现为使用更低密度的面料、替换高品质的 YKK 拉链为廉价替代品、减少缝线密度等,这些变化在外观上难以察觉,但大幅降低了背包的耐用性。

此外,VF Corporation 保留了高端产品线的质量,但在入门级和中端产品上故意降低质量,形成了明显的市场分层。消费者往往无法区分不同质量的产品,只凭品牌名称购买,品牌信誉被用来销售低质产品。

文章还揭示了品牌的保修政策实际上限制了消费者的权益,保修只覆盖材料和工艺缺陷,不包括正常磨损,而产品设计寿命缩短使得常见的损坏不被视为缺陷。消费者反馈称,保修更换的产品质量甚至不如原先的旧包。

作者通过成本与使用寿命的对比指出,便宜且寿命短的背包实际上单位使用成本更高,但这种模式对 VF Corporation 有利,因为它带来重复购买和持续收入。文章最后提到,VF Corporation 已开始出售部分背包品牌,表明这些品牌已成为利润优化的资产,而非公司核心业务。

总结来看,文章揭示了大型企业通过收购、削减成本和降低产品质量,利用品牌信誉谋取利润的商业模式,提醒消费者警惕品牌背后的真实情况。

HN 热度 387 points | 评论 359 comments | 作者:113 | 13 hours ago #

https://news.ycombinator.com/item?id=47777209

  • 现在判断产品质量变得更加困难,虽然同样价格可以买到相同或更好的质量,但品牌和名称的质量普遍下降。
  • 按通胀调整价格来看,许多类别的产品质量和价格保持相当,但购买力下降影响了实际消费能力。
  • 最低工资增长远低于通胀率,导致实际购买力大幅下降,尤其是住房、医疗和教育等支出占比增加。
  • 房价上涨幅度远超通胀,且住房质量提升使简单比较价格和收入变得不准确。
  • 质量的定义主观且复杂,制造成本可能因材料和技术变化而降低,劳动力成本相对下降。
  • 美国现代住房普遍使用廉价材料,质量不如几十年前的房屋。
  • 联邦最低工资并不代表中位数工资,中位数工资实际有所增长,但增长幅度有限。
  • 以 1970 年代作为经济增长锚点存在问题,该时期经济表现不佳,影响数据解读。
  • 不同数据源对工资和收入的统计存在差异,家庭收入和个人收入变化需区分考虑。
  • 多收入家庭比例增加使得家庭收入数据难以直接反映个人实际收入变化。

6. 良好睡眠,良好学习,良好生活(2012) (Good sleep, good learning, good life (2012)) #

https://super-memory.com/articles/sleep.htm

这篇文章由 Dr Piotr Wozniak 撰写,聚焦于睡眠与学习、记忆及创造力之间的关系,旨在为需要高质量睡眠以提升学习和创造力的人群提供实用指导。文章基于神经生理学的最新研究,尽管睡眠科学仍在快速发展,作者总结了一些已被广泛认可的睡眠基本原理,并提出了实际应用建议。

文章首先阐述了睡眠的重要性,包括睡眠对大脑“垃圾清理”、保护和修复的作用,强调缺乏睡眠的严重后果。接着介绍了睡眠的两个核心组成部分:昼夜节律(生物钟)和睡眠的稳态调节机制,并用“时钟与沙漏”的比喻帮助理解。

随后,文章详细探讨了如何实现良好睡眠的“公式”,包括自由运行睡眠(free running sleep)的概念及其在治疗失眠和睡眠相位障碍中的应用。作者还分析了睡眠时间安排对大脑工作的影响,强调应避免闹钟干扰,减轻睡眠惯性,并讨论了轮班工作和时差反应对健康的影响。

文章还深入介绍了各种睡眠习惯和障碍,如延迟睡眠相位综合症(DSPS)、提前睡眠相位综合症(ASPS)、婴儿睡眠问题、失眠和嗜睡症等,并提供了相应的解决策略。特别强调了昼夜节律的稳定性对健康睡眠的重要性。

关于午睡,文章指出午睡有益于大脑功能和创造力,破除多种关于午睡的误区,详细说明了最佳午睡时间和规则。还介绍了多相睡眠(polyphasic sleep)的概念及其科学挑战,列举了历史上一些著名多相睡眠者及其睡眠模式。

整体而言,文章系统地整合了睡眠科学的理论与实践,提供了丰富的睡眠优化建议,适合关注睡眠质量以提升学习效率和创造力的读者参考。

HN 热度 349 points | 评论 173 comments | 作者:downbad_ | 14 hours ago #

https://news.ycombinator.com/item?id=47776557

  • 心理状态对健康习惯和生活目标有重要影响,明确目标时更容易保持锻炼、健康饮食和良好睡眠。
  • 精神稳定带来专注力,专注力反过来不能直接带来精神稳定。
  • ADHD 等注意力障碍可能影响专注和生产力,诊断和治疗能帮助改善生活状态。
  • 以过程为导向的健康习惯(如热爱骑行)比以结果为导向的目标更可持续。
  • 运动和健康生活习惯可能是幸福感和明确目标的结果,而非单纯的意志力驱动。
  • 不幸福的人往往因为找不到通往幸福的明确路径,身体和心理疾病也会阻碍追求目标。
  • 幸福和目标感的缺失可能导致主动破坏健康,精神健康优先于生活目标的形成。
  • 情绪状态决定生活目标和健康习惯的形成,积极情绪时更容易开始新爱好和健康生活。
  • 动力难以捉摸,有时需要强迫自己行动以积累动力,情绪可能随之改善。
  • 抑郁时难以坚持健康生活,治疗是恢复健康习惯的前提,单靠个人意志难以克服抑郁。
  • 梦想和信念的丧失会导致自我怀疑和生活动力的丧失。

7. 开源并未消亡 (Open Source Isn’t Dead) #

https://www.strix.ai/blog/cal-com-is-closing-its-code-due-to-ai-threats

这篇文章讨论了 Cal.com 宣布将其核心代码库从开源转为闭源的决定及其背后的原因。Cal.com 的 CEO 认为,人工智能已经使得漏洞发现和利用几乎零成本,公开代码反而增加了安全风险。

Strix 作为一个开源的自主 AI 安全代理项目,表达了对 Cal.com 团队的尊重,并分享了他们与 Cal.com 合作发现并负责披露漏洞的经历。Strix 认可 AI 改变了安全环境,但不同意通过关闭源代码来应对 AI 驱动的安全威胁。

文章指出,现代 AI 工具能够通过黑盒和灰盒测试,动态交互和分析系统漏洞,无需访问代码库,因此关闭源代码无法阻止 AI 攻击者。依赖“安全通过模糊”策略在自动化攻击面前是失败的,因为内部团队难以比得上 24/7 不间断的 AI 攻击。

真正的解决方案是利用 AI 防御 AI,将安全测试自动化并集成到开发流程中,实现持续的、低成本的安全验证。通过 AI 自动尝试利用新代码和基础设施变更,提升防御效率。

作者强调,开源并未消亡,透明度依然是增强安全的关键。Strix 保持开源,致力于为开发者提供自主安全代理工具,帮助抵御 AI 黑客攻击。文章最后邀请读者免费试用 Strix,体验持续的 AI 驱动安全测试。

HN 热度 308 points | 评论 166 comments | 作者:bearsyankees | 8 hours ago #

https://news.ycombinator.com/item?id=47780712

  • 开源项目因为有更多人参与,安全漏洞报告较多,且能及时修复,而闭源软件虽然漏洞报告少,但容易被 AI 自动化攻击利用。
  • 闭源公司内部也会使用 AI 扫描工具,但多数公司缺乏足够的安全意识和资源去系统性修复漏洞。
  • 企业软件存在大量未修复的安全漏洞,缺乏更新和维护的动力,主要是经济激励不足导致。
  • 攻击者利用 AI 工具成本极低,而企业防御预算和动力不足,导致安全形势不平衡。
  • 社区可以通过白帽模式运行漏洞扫描并反馈,支持开源项目安全,但需要更好的激励机制。
  • 有些闭源公司会定期用 AI 扫描代码,利用已有的开发资源和信用卡额度,成本几乎为零。
  • AI 扫描工具各有侧重,单一工具无法覆盖所有漏洞,难以形成统一的安全基准。
  • 企业客户往往不愿为安全投入额外费用,导致安全工作难以推进。
  • 开源软件因“更多眼睛”参与,理论上安全性更高,但实际效果取决于工具使用和社区活跃度。
  • AI 模型和工具正在快速趋同,未来可能出现统一的安全扫描模型,影响安全格局。
  • Bug 赏金计划仍然有效,但面临 AI 生成虚假报告和 0-day 市场竞争的双重挑战。
  • 综合使用 AI 扫描、手动渗透测试和赏金计划是提升安全的有效手段。

8. Anna’s Archive 在 3.22 亿美元 Spotify 盗版案中未出庭败诉 (Anna’s Archive loses $322M Spotify piracy case without a fight) #

https://torrentfreak.com/annas-archive-loses-322-million-spotify-piracy-case-without-a-fight/

Spotify 及多家主要唱片公司,包括环球音乐(UMG)、索尼和华纳,联合对 Anna’s Archive 提起诉讼,获得了 3.22 亿美元的缺席判决。Anna’s Archive 是一家知名的影子图书馆元搜索引擎,帮助用户查找盗版书籍及相关资源。去年 12 月,该网站宣布备份了 Spotify 的音乐数据,震惊了音乐行业。虽然最初只发布了 Spotify 的元数据,没有实际音乐,但这已引起了行业高度警觉。

Spotify 及唱片公司迅速提起诉讼,要求关闭该网站。法院通过初步禁令,要求域名注册机构暂停多个 Anna’s Archive 的域名,尽管该网站随后注册了多个备用域名。诉讼压力促使网站移除了 Spotify 相关的种子文件列表和部分音乐文件,但运营者希望以此换取行业撤诉未果。最终,因被告未出庭,法院判决支持原告,判处 3.22 亿美元赔偿。

判决细节显示,音乐公司依据版权法对约 150 个作品索赔,每件作品最高赔偿 15 万美元,Spotify 基于数字版权管理(DMCA)反规避条款对 12 万个音乐文件索赔 2500 美元,合计超过 3.22 亿美元。若按全部 280 万文件计算,赔偿金额将超过 70 亿美元。

法院还发布了永久禁令,要求全球范围内的域名注册机构、托管服务商和互联网服务提供商关闭 Anna’s Archive 的十个域名,禁止访问并保存相关证据。判决还要求 Anna’s Archive 在十个工作日内提交合规报告,提供有效的联系方式和管理人员信息,但该网站运营者身份仍不明,是否遵守命令尚不确定。

理论上,Anna’s Archive 可以通过支付全部赔偿金并履行禁令义务,申请解除域名禁令,但这一可能性极低。此外,由于部分域名注册在美国法院管辖范围外,禁令的执行存在难度。

总体来看,此次判决在法律上是音乐产业的重大胜利,但实际追回赔偿款的可能性较小,更多体现为对盗版行为的强力震慑。

HN 热度 302 points | 评论 340 comments | 作者:askl | 15 hours ago #

https://news.ycombinator.com/item?id=47776035

  • Anna’s Archive 发布 Spotify 音乐资源是错误决定,增加了法律风险,且这些音乐大多已在 YouTube 等平台广泛可得。
  • YouTube 未来可能会限制第三方下载工具,使得音乐资源更难获取,Anna’s Archive 的存档因此更有价值。
  • 录制音频流或从免费 Spotify 获取音乐依然可行,不会完全被锁死。
  • 通过追踪域名关闭网站是无效的,Wikipedia 上的链接更新使得访问依然容易。
  • Wikipedia 的域名更新依赖旧域名发布,旧域名不会同时关闭。
  • 可以通过 Tor 洋葱服务发布最新域名列表,提供去中心化且难以审查的访问方式。
  • Wikipedia 作为域名信息发布平台易于访问,但去中心化方式访问不够方便。
  • 更新 Wikipedia 域名信息是否合法不成问题,关键是用户是否能确认新域名的真实性和可信度。
  • Spotify 和其他大科技公司早期也存在内容盗用行为,但成功后通过法律和政策保护自己,阻止他人模仿。
  • YouTube 早期限制视频长度,且 Google Video 曾提供完整电影,YouTube 并非完全开放盗版内容。
  • 过去通过分段图片等方式上传视频内容,类似于 Usenet 的编码模式,后来被 Rapidshare 等服务取代。
  • 大型平台如 Airbnb、Reddit、OpenAI 等都曾借鉴或复制他人内容和数据。
  • Spotify 对 Anna’s Archive 的打击更多是为了向版权方表态,实际影响有限,便利的正版分发始终胜过盗版。

9. OpenSSL 4.0.0 (OpenSSL 4.0.0) #

https://github.com/openssl/openssl/releases/tag/openssl-4.0.0

该网页是 GitHub 上 OpenSSL 项目的版本发布说明页面,具体介绍了 OpenSSL 4.0.0 版本的主要更新内容和变更细节。

OpenSSL 4.0.0 是一个功能性版本,带来了许多重要的新功能和潜在的不兼容改动。主要变更包括:

  • 修正了打印 RSA 密钥数据时多余的前导“00:”问题,统一了十六进制数据的输出宽度。
  • 在 PKCS5_PBKDF2_HMAC API 中加强了下界检查。
  • 增加了对 AKID 验证和 CRL 验证的严格检查。
  • libcrypto 不再通过 atexit()进行全局数据清理,OPENSSL_cleanup()默认在全局析构函数中运行或不运行。
  • ASN1_STRING 结构变为不透明,多个 API 函数签名增加了 const 修饰。
  • 弃用并移除对 SSLv2 和 SSLv3 的支持,SSLv3 自 2015 年起已被弃用。
  • 移除了对引擎(engines)的支持及相关构建选项。
  • 默认禁用对 RFC 8422 中弃用的椭圆曲线和显式 EC 曲线的支持。
  • 移除了旧的 c_rehash 脚本,推荐使用 openssl rehash 命令。
  • 移除了一些已废弃的功能和 API,包括 BIO_f_reliable()、自定义 EVP 方法、固定 SSL/TLS 版本方法等。
  • 取消了对某些旧平台的支持。

新增功能方面:

  • 支持加密客户端 Hello(ECH,RFC 9849)。
  • 支持 RFC 8998 中的 sm2sig_sm3 签名算法、curveSM2 密钥交换组及后量子组 curveSM2MLKEM768。
  • 支持 cSHAKE 函数(SP 800-185 标准)。
  • 新增“ML-DSA-MU”摘要算法。
  • 支持 SNMP 和 SRTP 的密钥派生函数(KDF)。
  • FIPS 自检可以延迟执行,安装 FIPS 模块时可使用-defer_tests 选项。
  • Windows 平台支持静态或动态 VC 运行时链接。
  • TLS 1.2 中支持协商 FFDHE 密钥交换(RFC 7919)。

整体来看,该版本在安全性、兼容性和功能性上均有显著提升,同时移除了多项过时和不安全的特性,推动 OpenSSL 向更现代和安全的方向发展。

HN 热度 275 points | 评论 84 comments | 作者:petecooper | 1 day ago #

https://news.ycombinator.com/item?id=47768788

  • Encrypted Client Hello(ECH)已经可以在部分浏览器和服务器上使用,例如 CloudFlare 和 Firefox 119 版本及以上。
  • Safari 和 iOS/macOS 目前尚未默认支持 ECH,但有实验性选项可供测试。
  • Nginx 1.29 及以上版本支持 ECH,但在主流 Linux 发行版中可能还未普及。
  • ECH 对个人或单一网站服务器的隐私保护有限,因为对手仍能通过 IP 地址识别服务器。
  • ECH 的主要隐私优势体现在大型云服务提供商(如 Cloudflare)共享 IP 地址的场景中。
  • 对于个人用户,可以通过频繁更换服务器 IP 或使用多节点缓存来一定程度上规避 IP 跟踪。
  • ECH 需要配合 DNS-over-HTTPS(DOH)使用,防止 ISP 通过 DNS 窥探访问的 HTTPS 资源记录。
  • 即使使用 ECH,观察者仍能通过 IP 地址推断访问目标,ECH 并不能隐藏服务器的物理位置。
  • Tor 网络通过 Brave 浏览器等方式已实现较为可用的速度,适合隐私需求较高的用户。
  • 支持 ECH 是未来趋势,服务器端应尽早部署以便客户端逐步普及。

10. 谷歌 Gemma 4 原生运行于 iPhone,实现完全离线的 AI 推理 (Google Gemma 4 Runs Natively on iPhone with Full Offline AI Inference) #

https://www.gizmoweek.com/gemma-4-runs-iphone/

本文介绍了谷歌最新的开源 AI 模型 Gemma 4 现已能够在 iPhone 上本地运行,实现完全离线的 AI 推理。这标志着边缘 AI 技术已从未来趋势转变为现实应用。Gemma 4 的 31 亿参数版本在性能上与 Qwen 3.5 的 27 亿参数版本相当,但更值得关注的是其为移动设备优化的 E2B 和 E4B 小型版本,这些版本在速度和资源消耗上更适合实际使用。

用户只需从 App Store 下载谷歌 AI Edge Gallery 应用,即可选择不同模型版本,在设备上直接进行 AI 推理,无需调用 API 或依赖云端。该应用不仅支持文本交互,还集成了图像识别、语音交互和可扩展的技能框架,旨在成为开发者和高级用户进行本地 AI 实验的平台。

技术层面,Gemma 4 利用 iPhone 的 GPU 进行推理,响应速度快且延迟低,显示出消费者硬件已能支持此类工作负载,推动本地 AI 商业化应用。离线运行特别适合对数据隐私有严格要求的企业场景,如现场作业和医疗环境。

总体来看,Gemma 4 在 iPhone 上的成功运行不仅是技术验证,更宣告了本地 AI 时代的到来,谷歌的 Gemma 模型已正式进入市场。

HN 热度 263 points | 评论 167 comments | 作者:takumi123 | 18 hours ago #

https://news.ycombinator.com/item?id=47774971

  • Gemma 4 在 iPhone 上运行时推理过程主要通过 GPU 而非苹果神经引擎(ANE),导致电池消耗较快且不够高效。
  • ANE 设计初衷并非针对大型语言模型(LLM),虽然理论上可以运行 LLM,但需要大量模型转换和硬件调优,实际应用门槛较高。
  • ANE 是一种图执行引擎,使用时需通过特定的 CoreML 管道,且对模型设计有较高要求。
  • 目前 LLM 生态主要围绕 CPU 和 GPU 执行,开发资源较少投入到 ANE 支持上,苹果的 MLX 框架也未支持 ANE。
  • 有项目(如 ANEMLL)尝试在 iPhone 上运行 LLM,仍处于技术演示阶段,距离生产级应用还有较大差距。
  • 苹果计划在 WWDC 发布新框架替代 CoreML,更好支持现代 AI 和 LLM,未来可能改善对 ANE 的支持。
  • Android 端的 Edge Gallery 应用支持 NPU,但需要安装 AICore 测试版,苹果设备上类似支持尚未普及。
  • Google 的 Edge Gallery 应用在 Pixel 手机上也主要使用 GPU,缺乏对 NPU 的支持,显示出厂商对 NPU 的重视程度不足。
  • ANE 对于单个向量的处理效率不高,不适合逐步生成 token 的 LLM 推理,除非使用批量处理策略。
  • 运行 LLM 会显著消耗电池并可能导致设备过热,当前技术仍偏向演示性质,非成熟的生产方案。
  • 文章缺乏具体细节和基准测试数据,内容较为空洞,未能充分展示实际性能和使用体验。
  • 现有 AI 内容检测工具对文章是否由 LLM 生成的判断存在争议,检测准确性和可靠性仍有待验证。
  • 用户对设备后台持续运行 AI 进程持谨慎态度,担心隐私和设备控制权问题。

Hacker News 精彩评论及翻译 #

Stop Flock #

https://news.ycombinator.com/item?id=47773673

I don’t want to stop Flock the company. I want to stop Flock the business model, along with all the other mass surveillance, and the data brokers. If the business models can’t be made illegal, it should at least come with liabilities so high that no sane business would want to hold data that is essentially toxic waste.

Without that, we are quickly spiraling into the dystopia where privacy is gone, and when the wrong person gets access to the data, entire populations are threatened.

bmitch3020

我并不是想阻止Flock这家公司,而是想阻止Flock这种商业模式,以及所有其他的大规模监控和数据经纪业务。如果这些商业模式不能被法律禁止,至少应该承担足够高的法律责任,让任何理智的企业都不愿意持有本质上像有毒废料一样的数据。

如果没有这些措施,我们很快就会陷入一个隐私消失的反乌托邦社会,当错误的人获得这些数据时,整个群体都将受到威胁。

The dangers of California’s legislation to censor … #

https://news.ycombinator.com/item?id=47770910

Personally, I see this as an assault on 3d printing more than any real attempt to regulate guns.

I own several 3d printers. If I wanted to make something resembling a firearm I’d go to home depot WAY before I bothered 3d printing parts. You basically just need a metal tube, and well… a pipe from home depot does that much better than trying to 3d print something much less reliable.

So given we don’t do this regulation for any of the much more reliable ways to create unregistered firearms… what’s special about 3d printers?

So my assumption is immediately that some relatively large lobbying group feels threatened by 3d printing, and is using this as a driver to try to control access and limit business impact.

Either way, this is bad legislation.

horsawlarway

就我个人来看,我觉得这更多是对3D打印技术的打击,而不是真正试图去规范枪支。

我拥有几台3D打印机。如果我想制造类似枪支的东西,我绝对会先去家得宝(Home Depot),而不是费劲用3D打印零件。你基本上只需要一个金属管,而家得宝卖的管子比用3D打印做出来的要好得多,也更可靠。

既然我们并没有对那些更可靠的制造未注册枪支的方式进行监管……那3D打印机有什么特别的呢?

所以我直接怀疑是某个比较大规模的游说团体感受到了3D打印的威胁,借此机会尝试控制使用权限,限制对他们业务的影响。

无论如何,这都是一条糟糕的立法。

Anna’s Archive loses $322M Spotify piracy case wit… #

https://news.ycombinator.com/item?id=47782196

They will never see a single cent from that, AA will continue to rotate domains and nothing was accomplished, except for spotify’s legal team which earned easy money arguing against empty chair in court.

BTW, you can donate and get faster downloads: https://annas-archive.gl/donate

Just donated in honor of this. Up yours spotify!

progbits

他们永远不会因此得到一分钱,AA 会继续更换域名,除了给 Spotify 的法律团队带来轻松赚钱的机会外,什么都没达成。

顺便说一句,你可以捐款来获得更快的下载速度:https://annas-archive.gl/donate

刚刚为了这事捐了款。去你的,Spotify!

Cal.com is going closed source #

https://news.ycombinator.com/item?id=47780751

Drew Breunig published a very relevant piece yesterday that came to the opposite conclusion: https://www.dbreunig.com/2026/04/14/cybersecurity-is-proof-of-work-now.html

Since security exploits can now be found by spending tokens, open source is MORE valuable because open source libraries can share that auditing budget while closed source software has to find all the exploits themselves in private.

If Mythos continues to find exploits so long as you keep throwing money at it, security is reduced to a brutally simple equation: to harden a system you need to spend more tokens discovering exploits than attackers will spend exploiting them.

simonw

Drew Breunig昨天发表了一篇非常相关的文章,得出了相反的结论:https://www.dbreunig.com/2026/04/14/cybersecurity-is-proof-of-work-now.html

由于现在可以通过花费代币来发现安全漏洞,开源变得更加有价值,因为开源库可以共享审计预算,而封闭源代码软件则必须私下自行寻找所有漏洞。

如果只要不断投入资金,Mythos就能持续找到漏洞,那么安全性简化成了一个非常简单的等式:要强化系统,你需要花费的代币数来发现漏洞,比攻击者利用漏洞花费的代币数还要多。

Backpacks got worse on purpose #

https://news.ycombinator.com/item?id=47779540

While I personally find this kind of thing extremely annoying, to me, the main problem is the difficulty of determining quality. The Donut media guys did a (relatively unscientific) video comparing a whole bunch of products from the 50s to modern day across several price points. What they found was that the things that “looked” the same now were simultaneously worse and also much cheaper. They also found that, if inflation adjusted, you get could, in most categories, the same or better quality for the same price. It was just that the brands and names that used to be quality were now usually not as much.

So it is often the case that today, you can get something for cheaper than you ever could in the past (albeit not at a great quality), and if you are willing to pay higher prices (but often about the same as you would have paid in the past), you can still get good or even better quality.

The main issue is that determining which products actually are quality has also gotten harder in many cases.

edit: found the video:

https://www.youtube.com/watch?v=I4C62HC1HSo

MostlyStable

虽然我个人觉得这种事情非常烦人,但对我来说,主要问题是判断质量的难度。Donut Media团队做了一个(相对不那么科学的)视频,比较了从50年代到现代多个价格区间的各种产品。他们发现,那些“看起来”相同的东西,现在往往质量更差而且价格也便宜得多。他们还发现,按通货膨胀调整后,在大多数类别中,你用相同的价格可以买到相同甚至更好的质量。只是以前那些品牌和名字曾经代表的高质量,现在通常已经不再如此。

所以,今天你往往能以比过去更便宜的价格买到东西(当然质量不一定好),如果你愿意支付更高的价格(通常和过去相当),你仍然能买到不错甚至更好的质量。

主要问题在于,辨别哪些产品实际上是高质量的变得更难了。

补充:找到那个视频了:

https://www.youtube.com/watch?v=I4C62HC1HSo

Open Source Isn’t Dead #

https://news.ycombinator.com/item?id=47781248

I have an open source project and started receiving a lot of security vulnerability reports in the last few months. A lot of them are extremely corner cases, but there were some legit ones. They’re all fixed now. Closed source software won’t receive any reports, but it will be exploited with AI. So I definitely agree with the message of this article.

tananaev

我有一个开源项目,最近几个月开始收到很多安全漏洞报告。虽然很多都是非常边缘的情况,但也有一些是真实存在的问题。现在这些问题都已经修复了。闭源软件不会收到任何报告,但却会被人工智能利用进行攻击。因此,我完全同意这篇文章的观点。

Google broke its promise to me – now ICE has my da… #

https://news.ycombinator.com/item?id=47783044

Privacy, technology and actual freedom overlap massively. Stories like this making it to HN are important since many of the people working at Google that had interactions with this, either by creating the tech or being aware of internal policy changes, read HN. Additionally many founders and decision makers in companies read these stories because it hit HN. Knowing that Google will do this changes your legal calculations. Should I trust them to store my company’s data? Will they honor their BAA requirements if they are ditching other promises they made?

People may be tired of seeing stories like this appear on HN, but getting this story exposure to this group is exactly why they need to hit the homepage.

jmward01

隐私、技术和实际自由之间有着大量重叠。像这样的故事能够出现在HN上非常重要,因为许多在谷歌工作、与此事有过交集的人——无论是参与技术开发,还是了解内部政策变动的——都会阅读HN。此外,许多公司的创始人和决策者也会关注这些故事,因为它们能登上HN首页。知道谷歌会这样做,会改变你的法律计算。我还应该信任他们来存储公司的数据吗?如果他们放弃了其他承诺,还会履行他们的BAA(业务伙伴协议)要求吗?

尽管人们可能已经厌倦看到类似故事出现在HN上,但让这类故事曝光给这群人,正是它们需要登上首页的原因。

Do you even need a database? #

https://news.ycombinator.com/item?id=47778855

At some point, don’t you just end up making a low-quality, poorly-tested reinvention of SQLite by doing this and adding features?

z3ugma

到最后,你不就是通过这样做并添加功能,最终做出了一个低质量、测试不足的SQLite的翻版吗?

Saying goodbye to Agile #

https://news.ycombinator.com/item?id=47775068

There’s an interesting phenomenon that Agile (capital A) has exposed me to, and once I saw it due to Agile I’ve seen parallels elsewhere.

In that: if it fails, it is only considered evidence that you were not doing it enough.

The solution can never be at fault, it’s your execution, or your devotion to the process (in this case) that was faulty.

It’s also true for Cloud providers; that they’re not suited for certain tasks is no longer considered an engineering trade-off, it’s that you architected your solution wrong, and the answer is to buy even more into how the platform works.

If your microservices become slow or difficult to debug, it’s never that fatter services could have been preferable, it’s that we didn’t go hard-enough into microservices.

If Austerity is not working as an economic model; the answer isn’t to invest in growth, it’s to cut even more corners.

I feel like I see it all the time.

dijit

有一个有趣的现象是,敏捷(大写的A)让我接触到了,一旦我因为敏捷看到了它,我在别的地方也看到了类似的情况。

那就是:如果失败了,人们只会认为证据表明你做得还不够。

解决方案本身永远不会有问题,问题出在你的执行,或者你对流程(在这个例子中)的投入不够。

云服务提供商也是如此;他们不适合某些任务,不再被视为工程上的权衡,而是认为你设计的方案有问题,解决办法就是更深入地投入理解平台的运作方式。

如果你的微服务变得缓慢或难以调试,问题绝不是胖服务可能更好,而是我们对微服务的应用还不够深入。

如果紧缩政策作为经济模型不起作用,答案也不是去投资增长,而是要更加严格地削减开支。

我觉得我几乎时时刻刻都能看到这种情况。

Anna’s Archive loses $322M Spotify piracy case wit… #

https://news.ycombinator.com/item?id=47776358

In addition to the damages award, Rakoff entered a permanent worldwide injunction

Because apparently U.S. courts and judges can do that. The more this is ignored by third-parties outside of the U.S., the better.

I’m not against international cooperation regarding common rules (I’m rather for), but the current context certainly doesn’t designate the U.S. as a responsible custodian/enforcer of such rules.

Ragnarork

除了赔偿金判决外,拉科夫法官还发布了永久性的全球禁令。

显然,美国的法院和法官是有权这么做的。越多美国以外的第三方忽视这一点,情况就越好。

我并不反对关于通用规则的国际合作(我实际上是支持的),但目前的情况显然并未将美国认定为这些规则的负责任的管理者或执行者。

Dependency cooldowns turn you into a free-rider #

https://news.ycombinator.com/item?id=47774897

Fundamental in the dependency cooldown plan is the hope that other people - those who weren’t smart enough to configure a cooldown - serve as unpaid, inadvertent beta testers for newly released packages.

This is wrong to an extent.

This plan works by letting software supply chain companies find security issues in new releases. Many security companies have automated scanners for popular and less popular libraries, with manual triggers for those libraries which are not in the top N.

Their incentive is to be the first to publish a blog post about a cool new attack that they discovered and that their solution can prevent.

dominicq

依赖冷却计划的根本在于寄希望于其他人——那些没有足够聪明去配置冷却期的人——成为新发布软件包的无偿、无意的测试员。

这种想法在某种程度上是错误的。

这个计划的运作方式是让软件供应链公司发现新版本中的安全问题。许多安全公司都有针对流行和不太流行库的自动扫描工具,对于那些不在前N名的库,则由人工触发扫描。

他们的动力是抢先发布关于他们发现的新攻击及其解决方案能够防止该攻击的博客文章。

Claude Code Routines #

https://news.ycombinator.com/item?id=47769149

Anthropic is really good at releasing features that are almost the same but not exactly the same as other features they released the week before

Eldodi

Anthropic 非常擅长发布那些与他们前一周发布的功能几乎相同但又不完全相同的功能。

Backblaze has stopped backing up OneDrive and Drop… #

https://news.ycombinator.com/item?id=47763678

I guess the problem with Backblaze’s business model with respect to Backblaze Personal is that it is “unlimited”. They specifically exclude linux users because, well, we’re nerds, r/datahoarders exists, and we have different ideas about what “unlimited” means. [1]

This is another example in disguise of two people disagreeing about what “unlimited” means in the context of backup, even if they do claim to have “no restrictions on file type or size” [2].

[1] https://www.reddit.com/r/backblaze/comments/jsrqoz/personal_backup_linux/ [2] https://www.backblaze.com/cloud-backup/personal

azalemeth

我猜Backblaze在其个人版服务的商业模式上的问题在于它是“无限”的。他们专门排除了Linux用户,因为,嗯,我们是极客,r/datahoarders存在,而且我们对“无限”这个词的理解不同。[1]

这其实是另一个关于两个人在备份背景下对“无限”含义理解不同的例子,尽管他们确实声称“对文件类型或大小没有限制”[2]。

[1] https://www.reddit.com/r/backblaze/comments/jsrqoz/personal_backup_linux/
[2] https://www.backblaze.com/cloud-backup/personal

Tell HN: Fiverr left customer files public and sea… #

https://news.ycombinator.com/item?id=47773942

Extremely bad stuff here. Can’t believe it’s been 7 hours now and you can still pull up people’s complete prepared tax returns right from a Google search. This should be a business-ending breach of trust and good practices, but I worry there’s probably a lack of regulatory might or will to make anything happen.

evmaki

这里的情况非常糟糕。真不敢相信已经7个小时了,你依然可以通过谷歌搜索直接查到人们完整的已准备好的报税表。这本该是足以毁掉一家企业信任和良好操作的严重泄露,但我担心可能缺乏足够的监管力度或意愿来采取任何行动。

Backblaze has stopped backing up OneDrive and Drop… #

https://news.ycombinator.com/item?id=47763392

Exclusions are one thing, but I’ve had Backblaze fail to restore a file. I pay for unlimited history.

I contacted the support asking WTF, “oh the file got deleted at some point, sorry for that”, and they offered me 3 months of credits.

I do not trust my Backblaze backups anymore.

klausa

排除情况是一回事,但我曾遇到过 Backblaze 无法恢复文件的情况。我付费使用了无限历史版本。

我联系了客服,想搞清楚到底怎么回事,他们回复说“哦,文件在某个时候被删除了,抱歉”,然后给了我三个月的信用额度补偿。

我现在已经不再信任我的 Backblaze 备份了。

Gas Town: From Clown Show to v1.0 #

https://news.ycombinator.com/item?id=47770999

But no need to wait. At a high level, Gas City is the answer to all your problems. Ha! At least, for certain classes of problem, such as, “How can I bring AI into my company and pass an audit trail,”

The important audit at my company is conducted by the FDA.

I have a feeling when they ask what processes we followed to mitigate any user harm that could be caused by software changes that “I told an AI-mayor in the form of a cartoon fox what to do and he spit out a bunch of vibecode software written by AI-driven virtual cartoon characters” is not among the answers they want to hear.

bayarearefugee

但其实不需要等待。从高层来看,Gas City 是解决你所有问题的答案。哈哈!至少,对于某些类别的问题,比如“我如何将人工智能引入公司并通过审计追踪”,它是有效的。

我公司重要的审计是由FDA进行的。

我感觉当他们问我们采取了什么流程来减轻软件变更可能造成的用户伤害时,回答“我告诉了一个卡通狐狸形象的AI市长该做什么,然后他吐出了一堆由AI驱动的虚拟卡通角色编写的vibecode软件”这句话,不会是他们想听到的答案。