2026-05-09 Hacker News Top Stories #

Cloudflare宣布为“智能代理AI时代”重组将全球裁员约20%（逾1100人），尽管Q1业绩超预期但Q2指引偏弱致股价大跌，并引发对“先招后裁”伦理与AI加速就业流失的争议。

学习平台Canvas遭ShinyHunters滥用“免费教师账号”入侵并威胁泄露2.75亿条数据（涉9000所学校），官方已封堵与打补丁使多数服务恢复但部分系统仍受影响、重开时间未定。

波兰经济总量突破1万亿美元超越瑞士跻身全球前二十，受益于市场化改革与欧盟一体化且新兴产业崛起，但仍面临老龄化、低生育和代际/城乡收入差距等挑战。

鉴于近期Linux内核高危漏洞与NPM供应链攻击上升，作者建议暂停约一周安装新软件与依赖、使用锁文件保持可重复构建并仅及时打安全补丁以降低风险。

为遏制AI生成的低质内容稀释社区价值，作者主张提高发布门槛与强化人工审核、要求有明确受众与打磨度的AI产出，尽管识别与执法成本不低。

报告披露“Dirtyfrag”通用本地提权可在主流Linux上拿到root，当前无补丁与CVE且临时缓解建议禁用esp4/esp6与rxrpc模块并参考命名空间/内核配置以降险。

文章称Google Cloud Fraud Defense实为设备远程证明的“换皮版”，通过扫码调用Google/Apple认证来“证明人类”但易排他、可被滥用且引入持久指纹与跨站追踪隐私风险。

项目sinceyouarrived.world/taken演示浏览器在未授权下泄露的大量指纹信息（IP、时区、Canvas/WebGL等）并警示跨站追踪，尽管部分检测并不总是精准且可用VPN等缓解。

巴西央行主导的即时支付Pix以低费率与普及度迅速蚕食卡组织份额并扩展新功能，因其示范效应而面临Visa、Mastercard与美国调查施压。

为庆祝大卫·阿滕伯勒百岁，英王室与各界致敬并举办系列活动与节目，而其作品与被AI仿声同时引发公众对自然保护与传播方式的新讨论。

1. Cloudflare 将裁员约 20% (Cloudflare to cut about 20% of its workforce) #

https://www.reuters.com/business/world-at-work/cloudflare-cut-over-1100-jobs-2026-05-07/

Cloudflare 宣布将裁员约 20%，计划全球裁减超过 1100 个职位，以应对人工智能工具快速普及带来的运营重组。公司预计第二季度收入为 6.64 亿至 6.65 亿美元，略低于华尔街预期的 6.653 亿美元，调整后每股收益预计为 27 美分，符合预期。尽管第一季度业绩优于预期，股价在盘后交易中仍下跌约 19%。

Cloudflare 首席执行官 Matthew Prince 和联合创始人 Michelle Zatlyn 在致员工信中表示，公司正在重新设计各团队和职能，以适应“智能代理 AI 时代”。此次裁员反映的是内部流程和岗位的重塑，而非员工表现或短期成本压力。公司过去三个月内自身 AI 使用量增长了六倍以上，促使团队运作方式发生重大变化。

第一季度 Cloudflare 收入为 6.398 亿美元，超过分析师预期的 6.219 亿美元，调整后每股利润为 25 美分，高于预期的 23 美分。今年以来股价已上涨 30.3%。

此次裁员引发了对 AI 驱动自动化可能加速行业变革和就业岗位流失的担忧。类似地，支付公司 Block 今年 2 月宣布裁员超过 4000 人，约占其员工总数的一半，以推动 AI 在业务中的应用。高盛经济学家预测，2025 年 AI 将在美国最易受影响行业每月造成 5000 至 10000 个净就业岗位流失。

HN 热度 1274 points | 评论 906 comments | 作者：PriorityLeft | 1 day ago #

https://news.ycombinator.com/item?id=48054423

Cloudflare 在短时间内大量招聘实习生后又大规模裁员，体现出企业在“为未来建设”口号下的矛盾行为。
有管理者会先大规模招聘以显示业绩，再在形势变化时裁员以保护自己和核心圈子。
亚马逊有“先招后裁”的名声，这种做法导致顶尖人才不愿意加入。
亚马逊的绩效改进计划（PIP）文化被认为是管理层与人力资源合作制造解雇理由的手段。
员工在大公司中的体验很大程度上取决于直接上司的管理风格。
亚马逊的领导力原则和“bar raiser”文化被一些人视为负面影响。
亚马逊已不再被视为顶尖科技公司，更多被看作是物流和基础设施的成功者。
招聘后短期内解雇员工被认为是道德和伦理上的失败，尤其对有家庭和经济负担的员工极不公平。
对于边缘候选人，失业者可能更容易被录用，因为他们失败的风险对其影响较小。
员工的经济责任在个人，雇主没有义务保障员工的经济安全。
诚实告知合同性质和解雇可能性是招聘过程中的责任，隐瞒解雇意图是不道德的。
有人经历过亚马逊的“季节性聘用”岗位，感受到管理层腐败和不合理的工作环境。
亲属关系和裙带关系是人类天性，文化对其的态度和处理方式存在差异。

2. Canvas 再次上线，黑客组织 ShinyHunters 威胁泄露学校数据 (Canvas online again as ShinyHunters threatens to leak schools’ data) #

https://www.theverge.com/tech/926458/canvas-shinyhunters-breach

Instructure 旗下的学习管理平台 Canvas 在经历大规模数据泄露后现已恢复上线。此次泄露影响了学生姓名、邮箱、身份证号及消息等信息。事件起因是一黑客组织 ShinyHunters 的攻击，该组织在 Canvas 系统中留下勒索信息，威胁若学校不与其私下协商，便会在 5 月 12 日前公开泄露数据。ShinyHunters 声称已入侵 9000 所学校，涉及 2.75 亿师生及员工数据。

Instructure 发现攻击者利用了其“免费教师账户”的漏洞，出于安全考虑暂时关闭了该类账户。公司已采取安全补丁措施，并关闭 Canvas 以进行调查。虽然大部分用户现已恢复访问，但 Canvas Beta 和测试系统仍在维护中，部分用户登录学生电子档案时仍遇到问题。Instructure 尚未公布免费教师账户恢复时间。

ShinyHunters 此前还曾攻击 Ticketmaster、AT&T、Rockstar Games 等多家公司。此次事件引发了广泛关注，Instructure 对此表示遗憾并强调正在积极应对。

HN 热度 892 points | 评论 598 comments | 作者：stefanpie | 1 day ago #

https://news.ycombinator.com/item?id=48055913

Canvas 系统因被攻击导致无法使用，影响了师生的考试和成绩提交，部分教师因依赖 Canvas 成绩册而面临数据丢失风险。
学校通知信息有限，教师被要求通过邮件让学生直接提交作业，显示对系统恢复时间缺乏信心。
有教师习惯使用本地成绩册，避免完全依赖 Canvas，但许多教师和学校已将评估和成绩管理完全依赖于 Canvas。
如果系统长时间无法恢复，可能不得不采用类似疫情期间的“通过/不通过”评分方式。
学生通常无法通过邮件重新提交作业，因为作业是在 Canvas 内完成且没有本地副本。
Canvas 允许学生开启成绩更新邮件通知，但邮件中不会包含具体成绩，只提示有新成绩发布。
学校不通过邮件直接发送成绩，主要是出于对学生隐私保护的法律风险考虑，避免违反 FERPA 法规。
有观点认为学校利用各种法规作为拒绝某些功能请求的借口，实际是出于风险规避和成本考虑。
学校律师建议不在邮件中包含成绩信息，以减少潜在诉讼风险，虽然这可能带来不便，但并非出于恶意或其他动机。

3. 波兰现已跻身全球二十大经济体之列 (Poland is now among the 20 largest economies) #

https://apnews.com/article/poland-economy-growth-g20-gdp-26fe06e120398410f8d773ba5661e7aa

波兰经济总量已超过瑞士，年产出超过 1 万亿美元，成为世界第 20 大经济体。

波兰成功的关键不只是单一因素。经济学家指出，波兰较早建立了有利于商业发展的制度框架，包括相对独立的法院、反垄断机制、银行监管等，避免经济被腐败和寡头控制。同时，加入欧盟也是决定性因素：波兰获得大量欧盟资金，并进入欧洲单一市场。

数据上，波兰的人均 GDP 从 1990 年的 6,730 美元，上升到 2025 年的 55,340 美元，达到欧盟平均水平的 85%；自 2004 年加入欧盟以来，波兰经济年均增长 3.8%，远高于欧洲平均 1.8%。

文章还用波兹南的工程师 Joanna Kowalska 作为例子。她曾在美国微软工作，后来回到波兰，因为她认为波兰在人工智能等领域发展迅速，并且给她更强的“使命感”。她所在的波兹南超算与网络中心正在建设波兰首个 AI 工厂，并与量子计算机结合。

另一个例子是电动巴士制造商 Solaris。它成立于 1996 年，如今是欧洲领先的电动巴士制造商之一，市场份额约 15%。文章用它说明波兰经济的另一个特点：企业家精神、敢于冒险，以及利用欧盟市场实现扩张。

不过，文章也指出波兰仍有挑战：人口老龄化、低出生率、工资仍低于欧盟平均水平、中小企业很多但全球品牌较少。此外，城乡差距、住房负担、年轻人成家成本，以及如何更好接纳乌克兰等移民劳动力，都是未来需要面对的问题。

HN 热度 862 points | 评论 716 comments | 作者：surprisetalk | 11 hours ago #

https://news.ycombinator.com/item?id=48062117

波兰是第一个实现从破产的苏联卫星国向和平转型的国家，经济转型和加入北约、欧盟推动了其持续高增长。
波兰的转型起步早于捷克斯洛伐克，且经历了更严重的经济危机，之后经济增长速度在中东欧国家中最快。
GDP 人均指标虽然有局限，但在波兰这种多元化工业经济体中，GDP 增长反映了普通民众生活水平的提升。
波兰不同年龄层的经济状况差异明显，老年人较贫困，年轻人面临较大生活压力，代际差异显著。
波兰的生活成本相较西欧国家仍较高，年轻一代感受到经济压力和竞争激烈。
波兰经济增长带来了生活质量、安全和医疗保障的显著改善，基尼系数保持稳定，社会不平等未大幅加剧。
经济数据的平均值和中位数存在差异，但整体趋势显示波兰经济实力和生活水平稳步提升。
波兰的转型模式为中东欧其他国家提供了范例，和平谈判和政治协商为转型奠定基础。
东欧大多数前苏联卫星国自 1991 年以来都实现了和平且持续的经济增长，俄罗斯军队占领的国家除外。

4. 也许你应该暂时不要安装新软件 (Maybe you shouldn’t install new software for a bit) #

https://xeiaso.net/blog/2026/abstain-from-install/

文章内容主要提醒用户近期出现了多个 Linux 内核漏洞，包括“Copy Fail 2: Electric Boogaloo”和“Dirty Frag”等。作者指出，目前是通过 NPM 进行供应链攻击的高风险时期，建议用户暂停一周左右安装新软件，除非是来自发行版的 Linux 内核补丁。

HN 热度 807 points | 评论 427 comments | 作者：psxuaw | 1 day ago #

https://news.ycombinator.com/item?id=48056227

大量依赖包带来的供应链攻击风险早已存在，但因便利性被忽视，现问题开始显现。
不同公司对依赖管理和安全的态度差异大，有的严格版本控制和审查，有的频繁更新，导致安全风险和技术债务。
有些团队开发时使用锁文件，但部署时却重新安装依赖，导致版本不一致和潜在风险。
早期 npm 使用锁文件不便，很多人未能正确使用或提交锁文件，现代 npm 默认生成 package-lock.json 已改善此问题。
重新标记（retagged）包会导致校验失败，不会无声更新，问题更多出在构建工具默认使用 npm install 而非 npm ci。
npm ci 能保证安装与锁文件一致，避免版本漂移，但在一些自动化环境中未被广泛采用或文档不足。
不使用锁文件进行生产构建被认为是严重不专业的做法，正确做法是使用 npm ci 或 pnpm install –frozen-lockfile。
锁文件的引入是为了避免依赖意外更新，确保版本确定性，类似于将依赖版本固定而非使用浮动版本号。
将依赖直接纳入源码库（vendoring）可能会导致构建脚本或本地二进制模块的问题，Yarn Plug and Play 提供了另一种解决方案。
引入依赖管理工具应有明确的理由和权衡说明，不能盲目使用，应能解释其解决的问题和带来的成本。
AI 可能在规范项目依赖和 CI 配置方面表现更好，避免人为犯下的奇怪错误。

5. AI 垃圾正在毁掉在线社区 (AI slop is killing online communities) #

https://rmoff.net/2026/05/06/ai-slop-is-killing-online-communities/

这篇文章由 rmoff 撰写，题为《AI Slop 正在毁掉在线社区》，主要探讨了人工智能生成内容对网络社区的负面影响。作者并非反对 AI 技术，反而认为 AI 是历史发展的必然，但对大量低质量、无意义的 AI 生成内容泛滥感到失望和担忧。

文章指出，许多人在发现 AI 工具后，急于将 AI 生成的项目、博客、视频等内容发布到各大社区，却缺乏深思熟虑和实际价值。这些内容往往缺乏原创性和实用性，类似“用 AI 写的垃圾”，不仅没有贡献知识，反而增加了社区的噪音，降低了信息的质量。

作者强调，分享内容应有明确目的和价值，不能仅仅因为“酷”或“新鲜”就广泛传播。真正有价值的作品需要反复打磨、完善文档、经得起社区的检验和反馈。否则，这些 AI 生成的“垃圾”会像杂草一样侵蚀社区的生命力，导致用户流失，甚至使社区走向无人参与的死寂。

文章还区分了“好”的和“坏”的 AI 内容。好的 AI 辅助内容是人类用 AI 工具实现了之前无法完成的贡献，带有用心和责任感；而坏的 AI 内容则是无意义的垃圾、刷屏或为了吸引关注的噪音。

作者呼吁大家在分享时保持基本的审美和道德标准，理解分享的对象和目的，不要盲目传播低质量的 AI 产物。文章最后引用了朋友 Gunnar Morling 的观点，强调 AI 是工具，关键在于人类的思考、指导和审核。只有经过认真设计和长期投入的项目，才能真正为社区带来价值，避免成为“AI Slop”的一部分。

HN 热度 795 points | 评论 691 comments | 作者：thm | 1 day ago #

https://news.ycombinator.com/item?id=48053203

禁止 AI 生成内容是为了保护社区质量，但识别和封禁 AI 账号工作量大且成本高。
识别假 AI 账号的方法包括设置复杂注册流程和管理员监控，也有用户举报机制。
复杂的注册流程虽然能阻挡机器人，但可能也会流失真实用户。
对于不违反规则但有毒性的用户，应先警告再短期封禁，严重或持续恶劣者应永久封禁。
管理员应有最终裁量权，但应谨慎使用以避免社区变成回音室。
判断用户行为是否恶意需要管理员的直觉和经验，边界行为应逐步处罚。
如果社区成员普遍认为某用户有毒且管理成本高，应考虑移除该用户。
处理有毒用户时应及时行动，并对误判保持开放态度，愿意道歉和纠正。
允许用户举报有毒行为，根据举报生成的毒性评分过滤内容，评分随时间衰减以反映行为改善。
明确社区规则并具体说明哪些行为有害，有助于管理和引导用户行为。
隐形封禁（hellban）和快速封禁结合逐步获得权限的机制能有效维护社区秩序。
用户驱动的举报机制存在缺陷，可能被滥用导致高质量内容被误判，建议引入有限的版主权限分配。
允许一定程度的怪异或挑衅行为，但针对个人或小团体的恶意攻击应严肃处理。

6. Dirtyfrag：通用 Linux 本地权限提升漏洞 (Dirtyfrag: Universal Linux LPE) #

https://www.openwall.com/lists/oss-security/2026/05/07/8

该网页内容主要是一份关于“Dirty Frag”漏洞的技术报告，介绍了一个通用的 Linux 本地权限提升（LPE）漏洞，能够在所有主流 Linux 发行版上获取 root 权限。该漏洞与之前的“Copy Fail”漏洞影响类似，利用了两个内核漏洞的链式攻击。

报告指出，由于披露时间和保密期被打破，目前尚无任何发行版发布补丁或 CVE 编号。为防止漏洞利用，建议用户通过特定命令禁用相关内核模块（esp4、esp6、rxrpc）。

网页还包含了完整的漏洞利用代码，代码实现了一个 192 字节的 x86_64 ELF 格式的 root shell，利用漏洞覆盖目标文件（如/usr/bin/su），实现权限提升。代码中详细描述了 shellcode 的功能，包括设置组 ID 和用户 ID 为 0，执行/bin/sh，并设置环境变量以避免终端相关错误。

此外，代码实现了用户命名空间和网络命名空间的创建与配置，确保漏洞利用过程中的环境准备。报告还提供了漏洞相关的内核补丁链接和技术细节说明，供技术人员参考。

总体而言，该网页是针对 Linux 内核安全漏洞的详细技术披露，包含漏洞背景、影响范围、防护建议及完整的利用代码，适合安全研究人员和系统管理员深入了解和应对该漏洞。

HN 热度 792 points | 评论 311 comments | 作者：flipped | 1 day ago #

https://news.ycombinator.com/item?id=48053623

依赖 LLM 进行漏洞研究可能限制了探索性和创造力，容易错过代码中附近的潜在问题。
发现“Copy Fail”漏洞的研究者是在注意到异常后结合 AI 扫描代码库，人工手动审查同样可能发现这些漏洞。
两个漏洞中，ESP 漏洞和“Copy Fail”根本原因相同，都是 authencesn 模块相关问题，RxRPC 漏洞则是不同的根源。
AI 模型通常聚焦于直接目标，难以像人类一样自然地进行广泛的探索和关注上下文。
通过调整提示词让 AI 更具“好奇心”，可以提升其探索能力，但效果有限且难以大幅改变。
大规模使用 LLM 可能导致开发风格趋同，影响多样性和创新。
AI 生成的代码风格往往偏向 Python 或 Java，需要明确指示其遵循特定语言或项目的编码习惯。
有时 AI 能发现开发者忽略的关联修改，帮助避免引入新问题，尤其在复杂遗留代码中表现突出。
使用高推理能力的模型一次性输入所有相关文件，能更全面地解决复杂设计问题，而基于工具调用的探索式方法更适合针对性实现。
在提示中加入“遵循当前编辑文件的编码规范”有助于 AI 关注附近代码并提出更合理的建议。

7. Google Cloud Fraud Defence 不过是 WEI 的换汤不换药 (Google Cloud Fraud Defence is just WEI repackaged) #

https://privatecaptcha.com/blog/google-cloud-fraud-defence-wei/

该网页主要介绍了谷歌在 2026 年推出的“Google Cloud Fraud Defense”服务，这是一种基于设备认证的反欺诈机制，被描述为 reCAPTCHA 的下一代进化。用户需要通过扫描二维码，用手机证明自己是人类。该机制依赖于谷歌 Play 服务的设备认证 API，只有安装了谷歌 Play 服务的现代安卓设备或苹果设备才能通过验证。

文章回顾了谷歌在 2023 年提出的“Web Environment Integrity”（WEI）提案，该提案要求浏览器通过硬件签名证明设备未被篡改，但因引发隐私和开放网络控制的争议而被谷歌撤回。而 2026 年的 Fraud Defense 则直接将类似的设备认证机制商业化，绕过了公开讨论和审查过程。

该机制存在明显缺陷：攻击者可以用摄像头对准屏幕，自动化地绕过二维码验证；此外，普通用户难以分辨真实的谷歌验证码二维码和钓鱼二维码，存在安全风险。

文中指出，苹果的 App 认证机制与谷歌的设备认证不同，前者是在封闭的应用生态内进行，而谷歌的做法则将硬件认证强加于开放的互联网访问，缺乏用户同意和明确的使用范围。

该认证机制排除了许多注重隐私的用户群体，如使用 GrapheneOS、LineageOS 等不含谷歌 Play 服务的安卓定制系统用户，以及使用 Firefox 浏览器的用户，这些用户因不支持谷歌的认证架构而无法通过验证。

最后，文章强调该机制不仅限制访问，还会向谷歌发送设备访问信号，形成持久的设备身份标识，带来严重的隐私和追踪问题，质疑其合法性和对用户权益的影响。

HN 热度 633 points | 评论 317 comments | 作者：ribtoks | 9 hours ago #

https://news.ycombinator.com/item?id=48063199

计算机比人类更擅长破解验证码，且人类可能被贿赂或加入僵尸网络，导致 IP 白名单失效，现有指纹识别和行为分析也面临政府限制。
验证人类身份的方式有限，且多数方式涉及隐私敏感的身份验证，长期来看，开放的互联网可能被锁定在需要证明身份的机制后面。
苹果和谷歌在浏览器中引入远程证明技术以对抗自动化工具，但目前主要针对特定场景，且仍可被点击农场等手段绕过。
验证码最初作为图灵测试的变体，但随着 AI 技术进步，其效果大幅下降，现多作为“工作量证明”使用。
大型语言模型（LLM）只能通过有限的图灵测试，长时间交互中表现较差，验证码因人工成本低而难以完全替代。
目前验证码厂商多依赖非隐私保护的辅助验证方式，如谷歌的语音验证码和 hCaptcha 的可访问性 cookie，部分用户体验受限。
有些验证码设计利用动态动画让人类轻松识别，但对视觉障碍者不友好。
市面上存在低价人工验证码破解服务，AI 并非唯一破解手段。
通过扫描二维码进行身份验证的方式可绑定设备 IMEI，但存在被伪造的风险，诈骗者可能诱导用户扫码以绕过验证。
非 root 设备的远程证明难以伪造，增加了安全性。
僵尸网络通过多种方式获取住宅 IP，包括 SDK 合作、隐藏条款的 VPN、恶意软件及带宽共享等，被动收入方案月收益较低。
现有技术允许建立手机农场，通过廉价设备和控制软件批量管理谷歌账户，提升攻击规模和效率。

8. 一个无需询问即可展示浏览器告知你的一切信息的网页 (A web page that shows you everything the browser told it without asking) #

https://sinceyouarrived.world/taken

该网页展示了一个名为“Since You Arrived · Vol. IV”的项目内容，重点揭示了访问者在打开网页时，浏览器自动泄露的各种个人设备和环境信息。

网页强调这些信息均是在用户未授权的情况下自动披露的，且这些数据通过多种技术手段（如 WebGL 指纹识别、字体指纹、浏览器指纹等）可以唯一标识用户设备，实现跨网站追踪。页面还提及了相关技术的合法性和普遍性，指出多数网站都会利用类似方法收集用户信息，但很少公开说明。

此外，网页还介绍了数据来源和技术背景，包括 IP 地址定位服务、标准浏览器 API、字体检测技术、Canvas 指纹技术、电池状态追踪研究等，并说明这些技术均为公开且被广泛使用的标准手段。页面未使用某些更具侵入性的技术，如检测用户登录状态的 favicon 加载方法，但指出这些技术同样存在且合法。

总体来看，该网页是一篇关于网络隐私和浏览器指纹识别技术的深度揭示文章，旨在让用户了解在日常上网过程中，浏览器自动泄露的个人信息及其潜在的隐私风险。文章通过具体实例和技术说明，提醒用户关注浏览器和网站收集信息的行为，呼吁对隐私保护的重视。

HN 热度 514 points | 评论 256 comments | 作者：mwheelz | 10 hours ago #

https://news.ycombinator.com/item?id=48062178

浏览器指纹识别技术虽然存在，但实际应用中并不像演示网站表现得那么简单和全面。
该网站展示的信息有时不准确，比如地理位置和屏幕分辨率，可能导致用户产生错误的安全感。
关闭 JavaScript 后，虽然页面无法显示浏览器泄露的信息，但数据泄露本身依然存在。
网站检测到用户的暗黑模式偏好，但并未真正尊重或应用该设置，导致阅读体验不佳。
使用 VPN（如苹果的 Private Relay）可以有效隐藏真实地理位置，减少被精确定位的风险。
浏览器提供的时间区域等信息并非隐私威胁，而是为了提升用户体验。
有些用户的作息时间不规律，浏览器指纹难以准确推断其工作和睡眠时间。
指纹识别技术的开发者公开了相关开源库，表明技术本身并不复杂，关键在于应用和数据整合。
互联网连接本质上是客户端与服务器之间的交互，信息交换是正常且不可避免的。
对浏览器指纹和隐私泄露的担忧应基于实际情况，避免夸大其词导致误导。

9. 巴西的 Pix 支付系统面临 Visa 和 Mastercard 的压力 (Brazil’s Pix payment system faces pressure from Visa and Mastercard) #

https://www.elciudadano.com/en/brazils-pix-payment-system-faces-pressure-from-visa-and-mastercard/04/04/

本文介绍了巴西的即时支付系统 Pix 在短短五年内迅速崛起，成为全球领先的数字支付平台，交易量超过了美国的 Visa 和 Mastercard。Pix 由巴西中央银行开发和管理，于 2020 年正式投入使用，支持全天候实时转账，用户可以通过手机号、邮箱、身份证号或系统生成的随机码进行支付，操作简便且个人用户免费，企业手续费远低于信用卡。

2025 年，Pix 处理了约 35.3 万亿雷亚尔（约合 6.7 万亿美元）的交易，同比增长 33.7%，累计交易金额达 16 万亿美元，远超巴西当年 GDP 的七倍。用户超过 1.8 亿，覆盖巴西 93% 的成年人口，参与金融机构达 930 家。Pix 在巴西支付市场占比达 49%，远超借记卡和信用卡的 14%，现金使用率则大幅下降至 6%。

Pix 的成功引发了 Visa 和 Mastercard 的强烈反弹，后者因市场份额被侵蚀而产生巨大损失。美国政府在 2025 年对 Pix 发起商业调查，指控其存在不公平竞争，试图限制其发展。对此，巴西总统卢拉公开支持 Pix，发起“Pix 是我们的”全国宣传活动，强调其开放性和促进竞争的优势。

巴西中央银行不断推动 Pix 创新，推出了自动扣款、无网络近场支付、国际支付和分期付款等新功能，并加强了安全措施，如 2026 年实施的特殊退款机制，以防范欺诈。Pix 不仅改变了巴西的支付生态，也引发了国际支付市场的激烈竞争和地缘政治博弈。

HN 热度 374 points | 评论 329 comments | 作者：wslh | 1 day ago #

https://news.ycombinator.com/item?id=48052371

Visa 和 Mastercard 担心 Pix 可能激发其他国家效仿，尽管目前 Pix 使用门槛较高，主要局限于巴西本地用户。
Pix 支付系统对本地用户友好，免费且快速，支持大部分银行，但对外国人使用不便。
支持国家自主支付系统可以减少对外资公司的依赖，费用更低且支持本国经济。
欧洲已有多种替代卡系统，但银行不愿放弃对现有体系的控制，导致难以形成统一标准。
数字欧元等项目正在推进，但欧洲在金融科技领域存在多项目分散且难以普及的问题。
Visa 和 Mastercard 凭借市场垄断和安全合规要求，难以被新竞争者轻易取代。
小企业普遍不满信用卡手续费，期待更低费用的支付解决方案。
Wise 等平台可实现跨国 Pix 支付，但存在账户限制和用户体验问题。
Pix 逐渐支持无接触支付，但普及度和防欺诈机制仍需完善。
加拿大的 Interac 系统与 Pix 类似，适合小额交易，但不适合大额或不熟悉的商家交易。
苹果拒绝在 Apple Pay 中支持 Pix，显示大型科技公司对传统支付体系的坚持。

10. 大卫·阿滕伯勒百岁生日庆典 (David Attenborough’s 100th Birthday) #

https://www.bbc.com/news/articles/cp3pww9g0p5o

英国国王查尔斯三世和王后卡米拉向大卫·阿滕伯勒爵士庆祝其 100 岁生日，分享了他与年轻时查尔斯王子和安妮公主的合影。阿滕伯勒爵士作为著名的广播员和环保主义者，表示对收到的生日祝福感到非常感动，并感谢大家的支持。

查尔斯王子在地球奖的视频中表达了对阿滕伯勒爵士的敬意，称其为持续激励自己的人。威廉王子的弟弟萨塞克斯公爵也称阿滕伯勒爵士为“世俗的圣人”，强调他在气候问题上的贡献。前英格兰足球队长贝克汉姆称他为“国家珍宝”，女演员乔安娜·拉姆利通过视频送上生日祝福。

自然历史节目主持人克里斯·帕克汉姆在《大问题》杂志中称赞阿滕伯勒爵士对人类历史的巨大贡献。世界自然基金会发布了由多位知名演员配音的生日致敬视频，配合路易斯·阿姆斯特朗的经典歌曲《多么美好的世界》。著名作曲家汉斯·季默和演员伊恩·麦克莱恩也纷纷表达了对他的敬意。

庆祝活动的高潮是一场在伦敦皇家阿尔伯特音乐厅举行的 90 分钟特别音乐会，将于 BBC One 和 iPlayer 播出。音乐会由主持人柯尔斯蒂·杨主持，嘉宾包括迈克尔·佩林、史蒂夫·巴克沙尔等人，回顾阿滕伯勒爵士的生平和遗产。现场音乐由 BBC 音乐会管弦乐团演奏，曲目包括《地球脉动 II》和《冰冻星球 II》的经典片段，以及 Bastille 乐队和 Sigur Rós 的表演。

BBC 整周通过特别节目庆祝阿滕伯勒爵士的百岁生日，包括纪录片《生命之地》的回顾和新系列《秘密花园》。BBC 内容主管凯特·菲利普斯称赞阿滕伯勒爵士为“非凡的人物”。此外，伦敦自然历史博物馆以他的名字命名了一种寄生蜂，作为对他的致敬。

HN 热度 365 points | 评论 70 comments | 作者：defrost | 11 hours ago #

https://news.ycombinator.com/item?id=48061884

大卫·阿滕伯勒居住在伦敦里士满山，深受当地喜爱，他的签名书籍在当地书店有售。
里士满山是伦敦的一个富裕地区，具有一定的地理和文化认知度。
阿滕伯勒的纪录片激发了许多人对自然科学的兴趣，尤其是生物学领域，甚至有多个物种以他命名。
他对自然的热爱和传播使人们对自然界产生了敬畏和欣赏。
阿滕伯勒曾在 BBC 工作，建议将网球球改为黄色以便电视转播，这一改变一直沿用至今。
他的作品对科学和工程领域的影响深远，培养了许多相关领域的专业人才。
纪录片内容丰富，从欧洲鸟类到偏远海岛，展现了广阔的自然世界。
谷歌为他制作了特别的致敬页面，体现了公众对他的尊敬和喜爱。
他的声音极具标志性，是自然纪录片的重要象征。
有网友怀念他早期的纪录片，如《蓝色星球》，这些作品影响深远。
阿滕伯勒的影响力不仅在于科学传播，还在于文化教育和自然保护意识的提升。
他的兄弟们也长寿，家族遗传和生活条件可能是长寿的原因。
AI 技术开始模仿他的声音，带来新的传播方式但也引发讨论。
有观点认为他的纪录片有时让人误以为自然环境依然丰富，但现实是自然生态面临严重威胁。
也有观点指出，发达国家的自然荒野面积在增加，但这并不代表生态系统健康，很多地区是次生林或生态功能缺失的区域。
生态健康不能仅以荒野面积和排放趋势衡量，需关注生态系统的完整性和功能恢复。

Hacker News 精彩评论及翻译 #

Cloudflare to cut about 20% of its workforce #

https://news.ycombinator.com/item?id=48056536

This is awkward.

Exhibit A - September 2025 - “Help build the future” - Cloudflare hires 1111 interns to “help build the future” [ https://blog.cloudflare.com/cloudflare-1111-intern-program/ ]

Exhibit B - May 2026 - “Building for the future” - Cloudflare lays off 1100 people, about 20% of their workforce to “continue building the future” [ https://blog.cloudflare.com/building-for-the-future/ ]

I’ll finish on this quote: “The future ain’t what it used to be.” — Yogi Berra

AloysB

这真尴尬。

证据一——2025年9月——“帮助建设未来”——Cloudflare 招聘了1111名实习生来“帮助建设未来” [https://blog.cloudflare.com/cloudflare-1111-intern-program/]

证据二——2026年5月——“为未来而建”——Cloudflare 裁员1100人，占其员工总数的约20%，以“继续建设未来” [https://blog.cloudflare.com/building-for-the-future/]

我用这句话来结束：“未来已不再是过去的未来。”——尤吉·贝拉

Rumors of my death are slightly exaggerated #

https://news.ycombinator.com/item?id=48063509

Thank you for the update, Cliff. I will update your Wikipedia page to show that your death is currently under dispute.

hoppyhoppy2

谢谢你的更新，克里夫。我会更新你的维基百科页面，说明你的死亡目前存在争议。

Cloudflare to cut about 20% of its workforce #

https://news.ycombinator.com/item?id=48054924

The packages for departing employees will include the equivalent of their full base pay through the end of 2026. Healthcare coverage is different across the globe, and if you’re in the United States, we’ll continue to provide support through the end of the year. We are also vesting equity for departing team members through August 15th, so they receive stock beyond their departure date. And, if departing team members haven’t hit their one-year cliffs, we are going to waive those and vest their pro-rated equity through August as well.

The announcement reads as pretty heartless to me, but this is a very, very nice departure package

ggoo

离职员工的补偿方案将包括直到2026年底的全额基础工资。在全球范围内，医疗保障情况不同，如果你在美国，我们将继续提供支持直到今年年底。我们还将在8月15日前为离职团队成员归属股权，因此他们在离职日期之后仍能获得股票。此外，如果离职成员还未达到一年归属门槛，我们将免除该门槛，并在8月底前按比例归属他们的股权。

这则公告乍看之下似乎相当冷漠，但其实这是一个非常非常优厚的离职方案。

Cloudflare to cut about 20% of its workforce #

https://news.ycombinator.com/item?id=48054727

Welp, looks like I’m affected. If anyone is looking to hire a systems engineer with distributed systems and load balancing experience, shoot me an email at <anything>@piperswe.me :/

I’ll update this with a resume link tonight…

piperswe

唉，看起来我也受到影响了。如果有人正在找有分布式系统和负载均衡经验的系统工程师，可以给我发邮件，邮箱是@piperswe.me ：/

我今晚会更新，附上简历链接……

Rumors of my death are slightly exaggerated #

https://news.ycombinator.com/item?id=48064055

Dear Cliff,

I’m terribly sorry to hear of your passing, but am pleased that you have since gotten better.

Cheers!

SneakyMission

亲爱的克里夫，

听说你去世的消息我感到非常难过，但很高兴你后来已经好转了。

干杯！

Canvas online again as ShinyHunters threatens to l… #

https://news.ycombinator.com/item?id=48057659

Perspective from the trenches: I teach at a university that uses Canvas. We are in our final exams period right now.

We got our first email (from Academic Affairs) notifying us that it was down at 5:17pm EDT this afternoon, with little info; followup emails were sent at 6:24 and 6:57 with more info, but mostly about how we would be compensating for it and not about what actually was going on (other than, “nationwide shutdown” and “cybersecurity attacks”, no further detail). I don’t get a sense that they know much more than that, not that I would expect them to.

A perhaps telling detail: they’re instructing us to have students email us directly with any work that had been submitted via Canvas. That suggests that they have no particular confidence that it will come back up soon.

I personally am only slightly affected; as a CS professor a lot of my students’ work is done on department machines, and submitted that way, and I do the actual exams on paper. More importantly, I’ve never liked or trusted Canvas’s gradebook, and so although I do upload grades to Canvas so students can see them, my primary gradebook is always a spreadsheet I maintain locally.

But I have a lot of colleagues for whom this is catastrophic at a level of “the whole building burnt down with all my exams and gradebooks in it”—even many of those that teach 100% in person have shifted much or all of their assessment into Canvas (using the Canvas “quiz” feature for everything up to and including final exams), and use the Canvas gradebook as their source-of-truth record. We’ve been encouraged to do so by our administration (“it makes submitting grades easier”). For faculty in that situation, they have few or zero artifacts that the students have produced, the students themselves don’t have the artifacts to resubmit via email because they were done in Canvas in the first place, and they have no record of student grades or even attendance (because they managed that all inside Canvas). I guess they have access to the advisory midterm grades from March, if they submitted them (most do, some don’t), but that might be it.

My gut feeling on this is that this is either resolved in hours (they have airgapped backups and can be working as soon as they can spin up new servers), or weeks (they don’t). Very little in-between. And if that’s true and we wake up tomorrow with this unresolved, I really have no idea what a lot of professors at my university and across the country are going to do to submit grades that are fair and reasonable. In the extreme case, they may have to revert to something we did in the pandemic semester (and before that, at my school, in the semester that two major academic buildings actually did burn to the ground a week before finals): let classes that normally count for a grade just submit grades as pass-fail. Because what else can you do?

(Well, one thing you can do is not put your eggs all in one basket, and not trust “the cloud” quite so much, but that ship’s already sailed. I do wonder if in the longer term, anybody learns any lessons from this….)

UPDATE: As of 11:45pm EDT, my university’s canvas instance is up and running! Here’s hoping it stays (but I’ll be downloading some stuff just in case…)

blahedo

来自一线的视角：我在一所使用Canvas的大学任教。现在正处于期末考试期间。

今天下午5:17（美东时间），我们收到了学术事务部门发来的第一封邮件通知说Canvas宕机了，信息很少；随后在6:24和6:57又收到了两封补充邮件，提供了更多信息，但主要是关于我们如何补救，而不是实际发生了什么（除了提到“全国范围的宕机”和“网络安全攻击”外，没有更多细节）。我感觉他们其实也没掌握更多情况，当然我也不指望他们会知道太多。

一个可能说明问题的细节是：他们指示我们让学生直接通过邮件提交通过Canvas提交的作业。这表明他们并不相信系统很快能恢复。

我个人受影响不大；作为计算机科学教授，我很多学生的作业都是在系里机器上完成和提交的，考试也是用纸质的。更重要的是，我一直不喜欢也不信任Canvas的成绩册，虽然我会把成绩上传到Canvas供学生查看，但我的主要成绩册一直是本地维护的电子表格。

但有很多同事的情况则是灾难性的，仿佛“整个楼房和我所有的考试和成绩册都烧毁了”——即使是很多全程线下授课的老师，也把大量或全部评估内容搬到了Canvas（用Canvas的“测验”功能来进行包括期末考试在内的一切考试），并以Canvas成绩册作为真实的成绩记录。我们的管理层也鼓励这么做（“这样提交成绩更方便”）。这些老师几乎没有或完全没有学生提交的实体作业，学生也没有作业实体去通过邮件重新提交，因为作业本来就是在Canvas完成的，他们没有任何学生成绩或甚至考勤的记录（因为这些都在Canvas中管理）。他们可能还有三月份提交的期中成绩（如果提交了的话，大多数提交了，有些没提交），但恐怕也就只有这些了。

我直觉这次事件要么几个小时内解决（他们有物理隔离的备份，可以一旦启动新服务器就恢复），要么拖几周（没有备份）。中间情况几乎没法想象。如果明天醒来这个问题还没解决，我真的不知道我所在的大学乃至全国很多教授该如何公平合理地提交成绩。在极端情况下，他们可能不得不回到疫情学期采取的方案（在我学校之前，甚至有一次两个主要教学楼在期末考前一周真的烧毁了的那个学期也是这样做的）：让原本要算学分的课程改成只给通过或不通过的成绩。因为还能做啥呢？

（嗯，有件事是可以做的，那就是不要把所有鸡蛋放在一个篮子里，也别太相信“云”，但这条路显然已经走过了。我倒是好奇以后是否有人会从这次事件中吸取教训……）

更新：截至美东时间晚上11:45，我校的Canvas系统已经恢复运行！希望它能一直稳定（不过我会还是备份点资料以防万一……）。

Cloudflare to cut about 20% of its workforce #

https://news.ycombinator.com/item?id=48055375

This really sucks. I loved this job. I’m an EM and I was trying to hire more people because we’re so busy with everything we needed to do. My teams products are something like 95% profit.

Really going to miss my team, they were wonderful to work with. Secretly hoping they’ll have to rehire.

I refuse to believe it was about AI. Coming from the inside, the bottleneck was never code. Seeing who is being laid off, especially on my team, it’s the people who make things run.

headinthesky

这真的很糟糕。我非常喜欢这份工作。我是一名工程经理，正试图招聘更多人，因为我们忙得不可开交，需要完成的事情太多。我的团队的产品利润率大约有95%。

真的会很想念我的团队，他们合作起来非常棒。我暗自希望他们以后会不得不重新雇佣。

我拒绝相信这是因为人工智能。作为内部人员，我知道瓶颈从来不是代码。看到被裁掉的人，尤其是我团队里的，都是那些让事情运转起来的人。

Cloudflare to cut about 20% of its workforce #

https://news.ycombinator.com/item?id=48060361

I’ve seen managers hiring people with an intent to lay them off when winds change to protect themselves and their close circle. I can only imagine they’ve had great KPIs in both cases: first for scaling the team, and then for cutting costs.

scott01

我见过有经理招聘员工，目的是在形势变化时裁掉他们，以保护自己和亲近的圈子。我只能想象他们在这两个阶段的关键绩效指标都表现出色：首先是扩展团队，然后是降低成本。

Agents need control flow, not more prompts #

https://news.ycombinator.com/item?id=48054606

1000% agree. I am increasingly hesitant to believe Anthropic’s continual war drum of “build for the capabilities of future models, they’ll get better”.

We’ve got a QA agent that needs to run through, say, 200 markdown files of requirements in a browser session. Its a cool system that has really helped improve our team’s efficiency. For the longest time we tried everything to get a prompt like the following working: “Look in this directory at the requirements files. For each requirement file, create a todo list item to determine if the application meets the requirements outlined in that file”. In other words: Letting the model manage the high level control flow.

This started breaking down after ~30 files. Sometimes it would miss a file. Sometimes it would triple-test a bundle of files and take 10 minutes instead of 3. An error in one file would convince it it needs to re-test four previous files, for no reason. It was very frustrating. We quickly discovered during testing that there was no consistency to its (Opus 4.6 and GPT 5.4 IIRC) ability to actually orchestrate the workflow. Sometimes it would work, sometimes it wouldn’t. I’ve also tested it once or twice against Opus 4.7 and GPT 5.5; not as extensively; but seems to have the same problems.

We ended up creating a super basic deterministic harness around the model. For each test case, trigger the model to test that test case, store results in an array, write results to file. This has made the system a billion times more reliable. But, its also made the agent impossible to run on any managed agent platform (Cursor Cloud Agents, Anthropic, etc) because they’re all so gigapilled on “the agent has to run everything” that they can’t see how valuable these systems can be if you just add a wee bit of determinism to them at the right place.

827a

完全同意，百分之千。我越来越不愿意相信Anthropic一再宣扬的“为未来更强能力的模型构建，它们会变得更好”的说法。

我们有一个问答代理，需要在浏览器会话中处理大约200个Markdown格式的需求文件。这个系统确实很酷，极大提升了我们团队的效率。我们长期尝试过各种方法，让下面这样一个提示词能正常工作：“查看这个目录里的需求文件。针对每个需求文件，建立一个待办事项，判断应用程序是否符合该文件中列出的需求。”换句话说，就是让模型管理高层次的控制流程。

但在处理大约30个文件后，这种方法开始失效。模型有时会漏掉文件，有时会重复多次测试一组文件，花费时间从3分钟变成10分钟。有一个文件出错，会让它无缘无故重新测试前面四个文件。非常令人沮丧。测试过程中我们很快发现，无论是Opus 4.6还是GPT 5.4（如果没记错的话），它们在协调工作流程方面表现都极不稳定，有时能正常运行，有时不行。我还用Opus 4.7和GPT 5.5进行过一两次测试，虽然没那么深入，但看起来问题依旧。

最终我们做了一个非常基础且确定性的调度器，包裹在模型外面。针对每个测试用例，单独触发模型进行测试，结果存到数组里，再写入文件。这样一来，系统稳定性提高了无数倍。但这也让代理无法运行在任何托管代理平台上（比如Cursor Cloud Agents、Anthropic等），因为这些平台过于执着于“代理必须完成所有任务”，根本看不到如果在正确的地方加一点确定性，这些系统能有多么大的价值。

AI slop is killing online communities #

https://news.ycombinator.com/item?id=48053908

I run a niche creative community, and we outlawed AI-generated content in 2022 as it was easy to see how corrosive it would be to the community.

It hasn’t been easy. We ban fake AI accounts daily and shrug off around 600 AI content creator accounts monthly.

It’s a lot of work, extra work that wasn’t needed before AI content came around, and of course, that is an extra cost.

I fear losing the battle.

CrzyLngPwd

我经营着一个小众的创意社区，我们在2022年禁止了AI生成的内容，因为很容易看出它会对社区造成多么腐蚀性的影响。

这并不容易。我们每天都在封禁虚假的AI账号，每月约有600个AI内容创作者账号被我们屏蔽。

这是一项大量的额外工作，以前AI内容出现之前根本不需要这么做，当然，这也增加了额外的成本。

我担心我们会输掉这场战斗。

Maybe you shouldn’t install new software for a bit #

https://news.ycombinator.com/item?id=48057488

This was always a nightmare waiting to happen. The sheer mass of packages and the consequent vast attack surface for supply chain attacks was always a problem that was eventually going to blow up in everyone’s face.

But it was too convenient. Anyone warning about it or trying to limit the damage was shouted down by people who had no experience of any other way of doing things. “import antigravity” is just too easy to do without.

Well, now we’re reaching the “find out” part of the process I guess.

marcus_holmes

这一直都是一场随时可能爆发的噩梦。海量的软件包以及由此带来的庞大供应链攻击面一直是个问题，迟早会让所有人都吃亏。

但它太方便了。任何对这点提出警告或试图限制损害的人都会被那些没有其他开发经验的人淹没反驳。“import antigravity”太容易使用了，没人愿意放弃。

好了，我想现在我们正进入“验证结果”的阶段。

Hardening Firefox with Claude Mythos Preview #

https://news.ycombinator.com/item?id=48056110

I work at Mozilla; I fixed a bunch of these bugs.

In general, I would say that our use of “vulnerability” lines up with what jerrythegerbil calls “potential vulnerability”. (In cases with a POC, we would likely use the word “exploit”.) Our goal is to keep Firefox secure. Once it’s clear that a particular bug might be exploitable, it’s usually not worth a lot of engineering effort to investigate further; we just fix it. We spend a little while eyeballing things for the purpose of sorting into sec-high, sec-moderate, etc, and to help triage incoming bugs, but if there’s any real question, we assume the worst and move on.

So were all 271 bugs exploitable? Absolutely not. But they were all security bugs according to the normal standards that we’ve been applying for years.

(Partial exception: there were some bugs that might normally have been opened up, but were kept hidden because Mythos wasn’t public information yet. But those bugs would have been marked sec-other, and not included in the count.)

So if you think we’re guilty of inflating the number of “real” vulnerabilities found by Mythos, bear in mind that we’ve also been consistently inflating the baseline. The spike in the Firefox Security Fixes by Month graph is very, very real: https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/

IainIreland

我在Mozilla工作；我修复了许多这样的漏洞。

总体来说，我认为我们使用“漏洞”这个词，与jerrythegerbil所说的“潜在漏洞”是一致的。（在有可利用的概念验证代码(POC)的情况下，我们更可能使用“利用”这个词。）我们的目标是保持Firefox的安全性。一旦明确某个漏洞可能被利用，通常就不值得花大量工程资源去做进一步调查；我们会直接修复它。我们会花一些时间来审查这些漏洞，以便对其进行安全等级的分类，比如分为高安全风险、中等风险等，同时帮助对新发现的漏洞进行优先级排序，但如果有任何疑问，我们通常会假设最坏的情况，然后继续处理。

所以，所有271个漏洞都是可被利用的吗？绝对不是。但根据我们多年来一直沿用的标准，它们都是安全漏洞。

（部分例外：有些漏洞按理说本来会公开，但因Mythos还未公开信息，选择了保密。但这些漏洞会被标记为sec-other，并未计入总数。）

所以如果你认为我们在Mythos发现的“真实”漏洞数量上存在夸大，请记住我们其实也一直在按一致标准提高基线。Firefox安全修复数量每月激增是非常非常真实的：https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/

Ask HN: We just had an actual UUID v4 collision… #

https://news.ycombinator.com/item?id=48065541

This is surprisingly common.

The security of UUIDv4 is based on the assumption of a high-quality entropy source. This assumption is invalidated by hardware defects, normal software bugs, and developers not understanding what “high-quality entropy” actually means and that it is required for UUIDv4 to work as advertised.

It is relatively expensive to detect when an entropy source is broken, so almost no one ever does. They find out when a collision happens, like you just did.

UUIDv4 is explicitly forbidden for a lot of high-assurance and high-reliability software systems for this reason.

jandrewrogers

这其实相当常见。

UUIDv4 的安全性基于高质量熵源的假设。硬件缺陷、常见的软件漏洞以及开发者不了解“高质量熵”实际上是什么意思，并且不了解UUIDv4需要这种熵来按预期工作，这些都会使该假设失效。

检测熵源失效相对昂贵，所以几乎没有人会去做。人们通常是在发生冲突时才发现问题，就像你刚刚遇到的情况。

正因为如此，许多高保障和高可靠性的软件系统明确禁止使用UUIDv4。

Cloudflare to cut about 20% of its workforce #

https://news.ycombinator.com/item?id=48054879

I dislike the title because it doesn’t clearly state it’s a layoff. “Building for the future” gave me the impression that it’s about some major new initiative with a roadmap outlining plans.

alyxya

我不喜欢这个标题，因为它没有明确说明这是一次裁员。“为未来而建”让我感觉这是关于某个重要新项目的，有一个描绘计划路线图的说明。

I want to live like Costco people #

https://news.ycombinator.com/item?id=48050727

Something about the whole thing always registered to me as, like, lame—too normcore, too boring, perhaps even too cheugy to an informed and taste-driven millennial ur-consumer like me. The kinds of brands I like to buy aren’t what they sell at Costco

Good example of how people can build identities through their brand choices and purchasing habits.

It’s a foreign concept for many of us who seek out the best product or deals for each purchase and will change brands in an instant if another company releases a better product. Yet the crossover between brands, identities, and lifestyles is deeply held by many people.

I know some will try to turn this into a criticism of Americans, but in my travels and international business experience I wouldn’t even rank Americans in the top 10 for integrating brands and identity. In some countries I had to make a conscious effort to try to wear clothes from acceptable brands and swap my functional laptop bag for something more stylish to avoid letting my purchasing habits become a point of judgment from others. It’s actually refreshing to come back to America where as long as you’ve made some effort to look more or less appropriate for the occasion few people care about the brand of your clothes, laptop bag, or car. Some people are proud of their Audi or designer bag, but I rarely run into situations where I’d be judged for arriving in a sensible Subaru instead of a Mercedes.

Aurornis

整个事情给我的感觉总是有点儿土——太普通了，太无聊了，甚至对于像我这样有见识、有品味的千禧一代原始消费者来说，可能还有点落伍。我喜欢买的那种品牌可不是Costco卖的。

这很好地说明了人们如何通过品牌选择和购买习惯来建立自我认同感。

对我们许多人来说，这是一种陌生的概念，因为我们总是寻求每次购买的最好产品或最优惠价格，如果另一家公司推出更好的产品，我们会立刻换品牌。然而，品牌、认同和生活方式之间的交叉关系对许多人来说却根深蒂固。

我知道有人会试图把这当成对美国人的批评，但根据我的旅行和国际商业经验，我不会把美国人排进整合品牌和身份的前十名。在一些国家，我得刻意努力穿接受度较高的品牌衣服，换成更时尚的笔记本包，以避免别人因为我的购买习惯而对我产生评判。回到美国其实挺令人欣慰的，这里只要你为某个场合做了大致合适的着装准备，很少有人在乎你穿的是什么牌子的衣服、背的是什么牌子的包或者开什么牌子的车。有些人以他们的奥迪或设计师包袋为傲，但我很少遇到因为我开着一辆实用的斯巴鲁而不是奔驰被评价的情况。

I want to live like Costco people #

https://news.ycombinator.com/item?id=48055261

Feudal Japan had a measurement called the “koku”, which is roughly the amount of rice needed to feed a person for a year: about 330 lb. You can now buy 50 lb. of rice at Costco for $30, which is a few hours of work at minimum wage.

To me, that is a modern marvel. I don’t want people to buy things that they don’t need, and I also don’t like the crowds, but I can’t help but feel grateful for a stocked grocery store that is accessible to basically everyone—isn’t that the dream?

https://en.wikipedia.org/wiki/Koku

austinl

封建时代的日本有一个叫“石”（koku）的计量单位，大致相当于养活一个人一年的大米量：约330磅。现在你可以在好市多用30美元买到50磅的大米，这相当于最低工资几小时的工作时间。

对我来说，这是现代的奇迹。我不希望人们购买不需要的东西，也不喜欢人多拥挤，但我不禁感激一个几乎人人都能方便获得的货架充足的超市——这不正是梦想吗？

https://en.wikipedia.org/wiki/Koku

Cloudflare to cut about 20% of its workforce #

https://news.ycombinator.com/item?id=48055394

“We are our own most demanding customer. Cloudflare’s usage of AI has increased by more than 600% in the last three months alone. Employees across the company from engineering to HR to finance to marketing run thousands of AI agent sessions each day to get their work done. That means we have to be intentional in how we architect our company for the agentic AI era in order to supercharge the value we deliver to our customers and to honor our mission to help build a better Internet for everyone, everywhere.”

As an English enthusiast, I’m getting very frustrated at how the language is consistently abused in executive communications to write words without saying anything.

The implication that is NOT said is that suddenly 20% of people were sitting around without any work to do because AI was making everyone so efficient and productive. This does not, however, seem to be the reality, based on conversations within the company. It appears we have yet another case of economic downturn disguised as increasing velocity.

Snoozle

我们是自己最苛刻的客户。仅在过去三个月里，Cloudflare对人工智能的使用量就增长了600%以上。公司各部门的员工，从工程到人力资源、财务再到市场营销，每天运行数千次AI代理会话来完成工作。这意味着我们必须有意识地为代理型AI时代设计公司的架构，以极大提升我们为客户提供的价值，并履行我们帮助构建一个更好互联网的使命，惠及每个人，每个地方。

作为一名英语爱好者，我对高管沟通中语言的滥用感到非常沮丧——用华丽的词汇却毫无实质内容。

暗示的内容并未明言——突然间有20%的人无所事事，因为AI让每个人都变得如此高效和富有生产力。然而，根据公司内部的对话，这似乎并非事实。看起来这不过是另一种经济下行被伪装成速度提升的情况。

Singapore introduces caning for boys who bully oth… #

https://news.ycombinator.com/item?id=48058687

The only effective punishment/threat that I saw work on my bullies at school was the threat to remove one of them from the football team and prevent him from playing for the school. He turned it around and was ok after that.

It was highly effective because it was a bigger punishment than those used for not doing your homework, and because it was highly relevant to him specifically. It worked because we had 16 students to a class (I was very privileged to be there) and teachers who gave a crap and put the time in to understand the problem and think of potential solutions, rather than just apply generic policy.

The problem is that most schools don’t do that, would likely argue they don’t have time to do that, and also probably spend a fair amount of resources and time on relatively ineffective bullying prevention.

danpalmer

我在学校看到的唯一对我的欺凌者有效的惩罚/威胁，是威胁要把他们中的一个从足球队除名，禁止他代表学校比赛。之后他反而改过自新了。

这之所以非常有效，是因为这比不做作业的惩罚更严厉，而且对他个人来说特别有针对性。它之所以奏效，是因为我们班只有16个学生（我非常幸运能在那里），老师们真的在乎，会花时间去了解问题并思考可能的解决方案，而不是简单地执行通用政策。

问题在于，大多数学校不这样做，可能会说他们没有时间去这样做，而且可能大量花费资源和时间在相对无效的防欺凌措施上。

Inkscape 1.4.4 #

https://news.ycombinator.com/item?id=48043188

I have my first contribution to Inkscape in this release I think. It’s quite a minor feature though, so I don’t see it in the changelog. It allows the user to set their default saved file name. I was tired of drawing.svg :)

darknavi

我觉得这是我在这个版本发布的第一次对 Inkscape 的贡献。不过这是个很小的功能，所以我没看到它出现在更新日志里。它允许用户设置默认保存的文件名。我已经厌倦了用 drawing.svg 作为文件名了 :)

A web page that shows you everything the browser t… #

https://news.ycombinator.com/item?id=48064428

I’m not in that city.
It’s running a kind of Chrome on a kind of Linux, at a stretch.
Nobody can infer when I work and when I sleep. That includes me.
The recent, high-end display is the screen of a low-end tablet I bought in a supermarket five years ago.
But yes, browser fingerprinting is annoying.
Since you can detect light mode, would it kill you to honor it?

card_zero

我不在那个城市。
严格来说，它运行的是一种基于某种 Linux 的 Chrome。
没有人能推断出我什么时候工作，什么时候睡觉。这也包括我自己。
最近那个高端显示屏是我五年前在超市买的一款低端平板的屏幕。
不过没错，浏览器指纹识别确实很烦人。
既然你能检测到浅色模式，尊重一下难道不行吗？

Poland is now among the 20 largest economies #

https://news.ycombinator.com/item?id=48062558

I love the polish, but credit where credit is due:

„Poland is the largest beneficiary of EU funds 2014-2020, with one in four euro going to Poland“

https://www.gov.pl/web/funds-regional-policy/poland-at-the-forefront-of-eu-countries-in-terms-of-investing-european-funds2

Update: The comments below this are strange.

I ment: „Poland gets money, Poland transforms it into more money”.

Is Poland more efficient in it than other countries? I do not know. Would Poland have generated less money without it ? Probably? Is an annual investment of the 2-3%of the GDP into a country a lot? I think so?

niemandhier

我喜欢波兰，但该给的赞扬还是要给：

“波兰是2014-2020年欧盟资金的最大受益国，四分之一的欧元流向波兰。”

https://www.gov.pl/web/funds-regional-policy/poland-at-the-forefront-of-eu-countries-in-terms-of-investing-european-funds2

更新：下面的评论有些奇怪。

我的意思是：“波兰拿到了钱，波兰又把钱变成了更多的钱。”

波兰在这方面比其他国家更有效率吗？我不知道。没有这些资金，波兰会创造更少的钱吗？很可能吧？每年将国内生产总值的2-3%投入一个国家，这算多吗？我认为是的。

Google Cloud Fraud Defence is just WEI repackaged #

https://news.ycombinator.com/item?id=48065196

Whether it’s AMP or manifest 3 or android source shenanigan or attempts to replace cookies with their FLOC nonsense or this…Google is rapidly turning into a malicious force when it comes to the open internet

Havoc

无论是AMP、Manifest 3、Android源代码的花招，还是试图用他们的FLOC废话取代Cookies，或者是这个……在开放互联网方面，谷歌正迅速变成一个恶意势力。

Chrome removes claim of On-device Al not sending d… #

https://news.ycombinator.com/item?id=48052493

Brave started off incredibly sketchy and with terrible reputation, for example https://news.ycombinator.com/item?id=18734999

I haven’t ever considered it since and I assume many others are in the same boat.

plopz

Brave 起初声誉非常差，非常可疑，比如这个链接：https://news.ycombinator.com/item?id=18734999

从那以后我就再也没有考虑过它，我想很多人也是一样。

Grand Theft Oil Futures: Insider traders keep maki… #

https://news.ycombinator.com/item?id=48048891

The worst part is the sharp changes in the price being traded aren’t achieved by magic but rather with guns & actual human suffering

Havoc

最糟糕的部分是，交易价格的剧烈波动不是凭空出现的，而是通过武力和真实的人类痛苦实现的。

Canvas online again as ShinyHunters threatens to l… #

https://news.ycombinator.com/item?id=48057818

I’m surprised how few comments there are on this thread. This is probably affecting millions of students at the most stressful time of the year.

Incidentally I’ve always hated Canvas and probably every other LMS provider, but what is particularly amusing about this current outage is that it is occurring at exactly the time when universities are demanding that all professors put all of their materials on Canvas, without exception, due to ADA compliance regulations. It is explicitly forbidden for professors to, e.g., refer to pdfs posted on a personal website.

Other commentators here seem not to understand that many faculty also do not enjoy being forced to use Canvas.

Gabriel54

我很惊讶这个话题下面的评论这么少。这可能正在影响数百万学生，而正值一年中最紧张的时期。

顺便说一句，我一直讨厌Canvas，也可能讨厌其他所有的学习管理系统提供商，但这次故障特别有趣的是，它正好发生在大学要求所有教授无一例外地将所有材料上传到Canvas的时期，以符合《美国残疾人法案》（ADA）合规规定。明确禁止教授们例如链接到个人网站上发布的PDF文件。

这里的其他评论者似乎没有理解，很多教师其实也不喜欢被迫使用Canvas。