2026 05 15 HackerNews

2026-05-15 08:28:11

2026-05-15 Hacker News Top Stories #

1. MIT 校长称联邦资助与人才政策的不利变化致科研经费与研究生招生双降（约10%与20%），学院正以新项目、产学合作与政策倡议应对。
2. Anthropic 推出面向小企业的 Claude，整合主流财务/办公工具自动化流程并默认不用于训练，但 HN 指出生成内容需人工甄别以避免信息过载。
3. Bun 将庞大代码库由 Zig 重写为 Rust 并已合并，修复内存问题、体积更小且性能持平或更快，但代码仍待进一步惯用化（可 via canary 体验）。
4. 将 RTX 5090 以 eGPU 连接 M4 MacBook Air 受驱动与虚拟化限制，虽可勉强实现但性能与稳定性差，短期难成可行游戏/AI 方案。
5. 普林斯顿自2026年起统一线下监考以遏制 AI 促进的作弊并减轻学生互报压力，打破实施逾百年的荣誉制度“无监考”传统。
6. 经典《烈焰焚城》发布网页版移植支持多人与物理系统，同时可通过修改存档等手段绕过限制或强化体验。
7. 599 美元的 MacBook Neo 以 A18 Pro 和 8GB 内存换取长续航与日常性能，但在持续负载与专业场景受限，引发“8GB 是否够用”的争论。
8. 一名比特币持有者借助 Claude 分析旧文件找回含导入密钥的钱包备份并恢复约 5 BTC，体现高阶模型带来的实际经济回报与成本权衡。
9. 思科在营收增长下仍裁员不足5%以聚焦 AI 等高需求领域并配套培训安置，HN 质疑其更像面向投资者的“AI 叙事”。
10. 研究员披露 YellowKey 零日可用特定文件的 U 盘在 WinRE 解锁 BitLocker 磁盘、疑似后门且难以察觉，对依赖 BitLocker 的用户构成严重风险。

1. 科恩布鲁斯校长关于资金和人才培养管道的讲话 (A message from President Kornbluth about funding and the talent pipeline) #

https://president.mit.edu/writing-speeches/video-transcript-message-president-kornbluth-about-funding-and-talent-pipeline

麻省理工学院（MIT）校长 Sally Kornbluth 于 2026 年 5 月 14 日发表讲话，重点谈及学院当前面临的两大挑战：资金压力和人才培养。

首先，资金方面，MIT 因新实施的 8% 捐赠基金收益税，预算承受巨大压力。尽管国会部分恢复了科研机构的拨款，但这些资金并未如往常那样流入 MIT，且部分联邦机构考虑地理因素分配资金，导致 MIT 联邦科研经费和新科研项目均下降超过 20%。虽然其他资助来源有所增长，但整体科研经费仍比去年减少 10%，对 MIT 的科研活动造成显著影响。

其次，人才方面，国际学生和学者政策变化使得优秀人才申请减少。受资金不确定性影响，许多系所对研究生招生持谨慎态度，导致今年研究生入学人数减少，预计明年仍将持续下降。除斯隆管理学院和电气工程与计算机科学硕士项目外，其他系所新生人数较 2024 年减少近 20%，约减少 500 名研究生。这不仅影响 MIT 的科研和教育使命，也减少了本科生的研究指导资源。

面对这些挑战，MIT 正在采取多项措施应对：积极申请能源部等机构的新项目，推动与工业界合作，如新成立的 MIT-IBM 计算研究实验室，探索通过教育项目和慈善募捐增加收入，并加强华盛顿的政策倡导，争取减轻捐赠基金税负和提升对基础科研的支持。

校长强调，尽管当前形势严峻，但 MIT 拥有强大的创新精神和应变能力，师生正以多种方式努力克服困难，继续推动科研和教育使命的发展。

---

HN 热度 565 points | 评论 630 comments | 作者：dmayo | 9 hours ago #

https://news.ycombinator.com/item?id=48136262

• 许多博士毕业生对学术界感到失望，选择离开，原因包括博士周期长、工作强度大、薪酬低和就业前景差。
• 导师有时会过度利用博士生，分配大量非核心工作，导致博士生的研究贡献有限。
• 博士学位不仅是学术训练，更是技能和专业知识的积累，需要时间沉淀，快速毕业可能影响职业发展。
• 博士生的薪酬普遍偏低，尤其是在付出大量时间和精力的情况下，很多人希望尽快毕业以改善生活质量。
• MIT 等顶尖院校的博士生薪酬相对较高，但整体仍低于行业水平，且一般不需要支付学费。
• 博士生的培养成本高，除了薪酬外还有学费和管理开销，社会和纳税人承担较大负担。
• 博士生的助学金主要是为了让他们专注研究，而非作为正式职业的薪酬。
• 支付博士生薪酬是衡量研究项目价值的一个标准，合理的薪酬体现了博士生工作对项目的贡献。
• 许多博士生在学术训练过程中积累了宝贵的经验和技能，即使未必直接产生经济价值，也对社会有潜在贡献。

---

2. Claude 面向小型企业的 AI 助手 (Claude for Small Business) #

https://www.anthropic.com/news/claude-for-small-business

该网页介绍了 Anthropic 公司推出的“Claude for Small Business”产品，这是一个集成在小型企业常用工具中的 AI 助手，旨在帮助小企业更高效地利用人工智能完成日常工作。小企业占美国 GDP 的 44%，雇佣了近一半的私营部门劳动力，但其 AI 应用落后于大企业。Claude for Small Business 通过与 QuickBooks、PayPal、HubSpot、Canva、Docusign、Google Workspace 和 Microsoft 365 等工具的连接，提供自动化工作流程，帮助企业主处理工资计划、月末结账、销售活动、发票催收等任务。

该产品内置 15 个可直接运行的工作流程，涵盖财务、运营、销售、市场营销、人力资源和客户服务等领域，还包括 15 项技能，解决企业主最常遇到的重复性任务。例如，工资计划功能可以结合 QuickBooks 和 PayPal 数据，生成 30 天现金流预测并自动发送催款提醒；月末结账功能能对账并生成简明的利润表；市场营销功能则能分析 HubSpot 活动表现并生成 Canva 设计素材。

用户评价显示，Claude 不仅能解决问题，还能发现潜在问题，极大节省了繁琐的行政工作时间。通过 Claude Cowork 平台，用户可以连接各自的工具，选择任务，AI 完成后由用户审批，确保安全和控制。

合作伙伴方面，QuickBooks 提供财务自动化支持，HubSpot 实现客户关系管理的 AI 集成，Canva 助力内容创作，PayPal 支持结算和发票管理。安全方面，用户始终掌控数据权限，员工权限保持不变，且默认不使用用户数据进行训练。

此外，Anthropic 与 PayPal 合作推出了“AI Fluency for Small Business”免费在线课程，帮助小企业主学习如何安全、负责任地使用 AI，提高业务效率。课程由实际使用 AI 的企业主授课，内容涵盖识别适合 AI 的任务及入门指导。

最后，Claude for Small Business 还计划开展线下巡回培训活动，提供面对面的 AI 培训和实践工作坊，支持更多小企业拥抱 AI 技术。

---

HN 热度 502 points | 评论 448 comments | 作者：neilfrndes | 20 hours ago #

https://news.ycombinator.com/item?id=48130950

• 让非软件工程师也能使用 Claude 或 Codex 进行编码，将极大提升个人和团队的生产力。
• 许多人依赖 Claude 完成任务，甚至不关心代码库管理和部署细节，直接让 AI 处理。
• AI 生成的文档往往篇幅冗长且未经严格审查，给接收者带来负担。
• 生成大量未精炼的内容导致信息过载，甚至被形容为“知识层面的拒绝服务”。
• AI 生成的内容需要人工筛选和精炼，否则容易造成误导和低效。
• 有时 AI 生成的长篇内容又被转化成简短的要点，形成反复转换的怪异流程。
• 高层管理者对 AI 的使用状况不了解，仍旧保持原有的薪资和期望。
• 产出“更多内容”并不等于“更有价值的内容”，需要区分质量和数量。
• AI 在模拟工作产出形式方面表现出色，但缺乏对业务需求和目标的深入思考。
• 使用 AI 生成的内容需要反复迭代和校正，不能盲目相信其结果。
• AI 生成的报告和总结有时会形成循环，信息被不断压缩和还原，失去原意。
• 真正有价值的是通过 AI 帮助减少混乱和提升信息的清晰度，而非简单扩充内容。
• 简洁有力的表达比冗长的统计数据更令人印象深刻。
• 信息在多次传递和加工后容易失真，需警惕“电话游戏”效应。

---

3. Rust 重写的 Bun 已合并 (Rewrite Bun in Rust has been merged) #

https://github.com/oven-sh/bun/pull/30412

该网页内容主要介绍了开源项目 Bun 的重大更新——将 Bun 的代码库从原有语言重写为 Rust 语言。此次重写合并了 6755 个提交，涉及超过 100 万行代码的变更，删除了约 4000 行代码。更新后的 Bun 通过了其既有的测试套件，修复了多个内存泄漏和不稳定的测试问题，二进制文件体积缩小了 3 到 8 兆，性能表现介于持平到更快之间。

此次重写的最大亮点是引入了编译器辅助工具来捕捉和防止内存错误，这大大减少了开发和调试时间。尽管代码库语言变更，但整体架构和数据结构保持不变，依然保持较少的第三方库依赖，且未采用异步 Rust。用户可以通过命令“bun upgrade –canary”尝试该版本，但仍有部分优化和清理工作待完成，预计会在后续的合并请求中逐步完善。

网页中还包含大量用户的反应和讨论，显示该更新引起了社区广泛关注和积极互动。此外，页面提示未来会发布详细的博客文章介绍此次更新的更多细节。

---

HN 热度 467 points | 评论 547 comments | 作者：Chaoses | 16 hours ago #

https://news.ycombinator.com/item?id=48132488

• 这次用 Rust 重写 Bun 的工作显然做了大量准备，包括详细的 Zig 到 Rust 的映射规则和内部智能指针类型的设计，说明重写早有规划。
• 重写过程可能远不止一周，准备工作和辅助工具的开发耗时较长，实际代码转换只是第一步，生成的 Rust 代码还不够惯用和内存安全。
• 这次重写本质上类似于资源密集型的机器翻译，虽然能提供起点，但并不保证代码质量或一致性提升。
• 代码转换规则文件虽然只有几百行，但对百万行代码的转换有乘数效应，能大幅提升后续工作的效率。
• Bun 不仅是 JavaScript 运行时，还包含了转译器、打包器、测试框架和数据库客户端等丰富功能，代码量庞大且复杂。
• Bun 团队倾向于自己实现大部分功能以保证定制化，而不是依赖现成的第三方库。
• AI 和技术信息的营销混杂，使得开发者难以判断信息真实性，存在营销炒作和社区偏见的问题。
• 如果公开全部准备工作和工具，能更好地消除外界疑虑，促进社区复现和验证。

---

4. RTX 5090 与 M4 MacBook Air：能否畅玩游戏？ (RTX 5090 and M4 MacBook Air: Can It Game?) #

https://scottjg.com/posts/2026-05-05-egpu-mac-gaming/

这篇文章探讨了将高性能桌面 GPU（NVIDIA RTX 5090）通过 Thunderbolt 接口连接到 M4 芯片的 MacBook Air 上，评估其在游戏和 AI 推理中的表现。文章首先介绍了 Thunderbolt eGPU 的基本原理，即通过 Thunderbolt 将 PCIe 设备连接到笔记本，实现外接 GPU 的功能，但 macOS 原生不支持 Apple Silicon 上的 NVIDIA 或 AMD 驱动。

接着提到 tinygrad 项目推出了 macOS 的 eGPU 驱动，但目前仅支持 tinygrad 的 AI 堆栈，性能远不及直接在 M4 Pro 上运行 Metal 推理，且不支持通用软件。Linux 方面，虽然 Linux 可以在 Apple Silicon Mac 上运行，但当前 Linux 内核不支持 Apple Silicon 的 Thunderbolt，仅支持 USB3 设备。解决方案是通过 macOS 主机运行 ARM64 架构的 Linux 虚拟机，并将 GPU 通过 PCI 直通传递给虚拟机使用。

文章详细介绍了实现 PCI 设备直通的技术细节，包括 PCI BAR（基址寄存器）映射和 DMA（直接内存访问）机制。作者尝试将 GPU 的 BAR 内存映射到虚拟机，但直接映射导致 macOS 内核崩溃，只能通过捕获内存访问并由 QEMU 转发指令的方式实现，虽然正确但性能较差。

总体来看，文章展示了在 Apple Silicon Mac 上使用外接高性能 GPU 的复杂性和技术挑战，尤其是在驱动支持和虚拟化层面的限制。虽然目前方案尚不完善，但通过虚拟机 PCI 直通和新驱动开发，未来有望实现更好的性能和兼容性。

---

HN 热度 460 points | 评论 118 comments | 作者：allenleee | 8 hours ago #

https://news.ycombinator.com/item?id=48137145

• 苹果尚未开放对 GPU 直通的支持，相关请求等待时间可能较长且审批严格。
• 目前 macOS 的 DriverKit 接口支持 PCIe BAR 映射，理论上可实现 GPU 直通，但缺乏成熟的虚拟机管理器（VMM）支持。
• macOS 对 DMA 缓冲区的映射限制（约 1.5GB）对 GPU 直通性能有较大影响。
• 苹果内部的 Virtualization.framework 有部分 PCI 直通支持，但依赖未公开的内核组件，尚不清楚是否会对外开放。
• Virtualization.framework 中对集成 GPU 的加速更多是通过半虚拟化（paravirtualization）实现，而非真正的硬件直通。
• 由于 Mac 游戏用户群体较小，苹果虚拟机团队可能不愿意投入资源支持 GPU 直通。
• 苹果已放弃服务器和高端工作站市场，未来可能不会推出令专业用户满意的 Mac Pro。
• 对于需要高性能工作站的用户，建议选择 Windows 平台或定制组装机，部分小型定制厂商如 Puget Systems 和 Falcon Northwest 口碑较好。

---

5. 普林斯顿大学强制要求线下考试监考，打破 133 年传统 (Princeton mandates proctoring for in-person exams, upending 133 year precedent) #

https://www.dailyprincetonian.com/article/2026/05/princeton-news-adpol-proctoring-in-person-examinations-passed-faculty-133-years-precedent

普林斯顿大学决定从 2026 年 7 月 1 日起，所有线下考试必须由教师监考，这一政策打破了自 1893 年建立的荣誉制度以来 133 年的传统。此次投票在教职工会议上通过，仅有一票反对。新政策要求教师在考场内作为见证人，但不得干预学生考试行为，若发现疑似违规行为，监考人员需记录并提交给学生管理的荣誉委员会，后者将根据既有标准处理。

此次政策变动主要源于学术诚信问题的增加，尤其是人工智能技术的广泛使用，使得作弊行为更隐蔽，难以被其他学生察觉和举报。同时，学生之间直接举报同伴的意愿下降，匿名举报增多，反映出对网络“人肉搜索”或羞辱的担忧。

根据 2025 年对 500 多名毕业生的调查，近 30% 的学生承认曾在普林斯顿作弊，44.6% 知晓违规行为但未举报，只有极少数学生曾举报同学。学生政府的调查显示，多数学生支持或对监考持中立态度，但也有不少学生反对，认为应依赖荣誉制度和相互信任。

此前，普林斯顿已于去年 11 月开始对个别和小组考试实施监考，包括补考、运动员旅行考试和残疾学生考试。荣誉委员会主席前任成员表示，监考的引入是应对学术诚信挑战的必要措施，尤其是面对人工智能带来的新问题。

此次变革不涉及荣誉委员会宪法和荣誉守则的修改，仅需更新教职工规章和学生权利规则。新政策获得了多方支持，包括荣誉委员会现任和前任主席、教务部门及学生代表。尽管监考无法完全杜绝作弊，但被认为能有效震慑违规行为，减轻学生举报同伴的压力，维护学术诚信。

---

HN 热度 371 points | 评论 575 comments | 作者：bookofjoe | 1 day ago #

https://news.ycombinator.com/item?id=48126848

• 过去普林斯顿的考试不监考，依赖荣誉制度，但后来出现了学生篡改试卷的作弊事件，导致助教开始复印所有批改的试卷以防作弊。
• 学术诚信委员会通常处理作弊问题较为宽松，倾向于让问题悄悄过去，避免影响学校声誉和毕业率。
• 学校制定严格的作弊政策，但实际执行时往往不彻底，以免影响学生毕业率和学校收入。
• 教授承担举报作弊的重担，但学术诚信程序繁琐，教授往往不愿意启动正式程序。
• 有些学校对作弊学生采取非正式的“转专业”处理方式，避免正式处分。
• 教授在处理作弊时面临道德和职业压力，不愿轻易毁掉学生的未来。
• 对作弊的处罚应有弹性和考虑具体情况，单纯开除缺乏公正和教育意义。
• 给作弊学生作业零分往往已经是对其最严厉的惩罚，且能有效警示学生。
• 将作弊与严重犯罪如谋杀相提并论是不合理的，处罚应符合行为的性质和后果。

---

6. 烈焰焚城 2000 – 网络版 (Scorched Earth 2000 – Web) #

http://www.scorch2000.com/web/

该网页展示的是一款名为“Scorched Earth 2000”的游戏界面和相关信息。游戏版本为 v1.1，发布日期为 2026 年 5 月 11 日，由 KAOS 软件团队开发，是经典游戏“Scorched Earth”的 JavaScript 移植版本。

游戏界面显示当前是玩家 1 的回合，风力为 2，武器为导弹，玩家拥有 999 发弹药，发射角度为 30 度，发射力度为 300。游戏分辨率为 800x600，当前处于单人离线模式，有四个玩家角色，包括两名玩家和两名 AI（Shooter 和 Cyborg），每个角色都有位置、角度、力量、击杀数和现金信息。

网页还包含游戏菜单选项，如系统菜单、统计数据、多玩家设置、编辑个人资料、在线帮助和退出游戏等。玩家可以创建游戏，选择分辨率、风力、初始现金和回合数，也可以添加 AI 对手并开始游戏。

此外，网页提供了玩家统计信息，包括击杀数和收益，支持多玩家游戏和单人游戏模式。游戏内还设有商店系统，玩家可以购买物品。

网页底部介绍了游戏开发团队成员及其职责，包括项目负责人、开发负责人、客户端编程、武器编程、物理引擎、文档编写和质量保证等，并对原版游戏及相关贡献者表示感谢。

---

HN 热度 367 points | 评论 145 comments | 作者：meshko | 24 hours ago #

https://news.ycombinator.com/item?id=48129694

• 通过修改游戏存档文件的文本内容，可以实现游戏中本不允许选择的角色或装备的使用。
• 利用游戏自带的编辑器调整角色属性或装备参数，可以绕过试用期限制或增强角色能力。
• 通过修改系统时间来延长游戏试用期，避免触发付费限制。
• 单机游戏中，玩家可以自由选择是否通过修改游戏数据来提升游戏体验。
• 早期的付费限制设计巧妙，通过派出强力敌人让未付费玩家难以继续游戏。
• 早期软件开发者对破解并不强烈反对，更多是出于对软件的热爱。
• 通过修改配置文件（如.ini 文件）可以直接更改游戏中的货币和武器数量。
• 编辑游戏源码（如 BASIC 代码）是学习编程和修改游戏的途径。
• 学校允许自己编写游戏，成为玩游戏的合法途径。
• 通过内存搜索工具修改游戏内存中的数值，达到作弊效果的方式仍然存在。
• 现代操作系统的沙箱机制增加了安全性，但并未完全阻止内存修改工具的使用。
• Game Genie 等设备通过修改 ROM 地址实现游戏作弊，虽然进行了混淆，但仍被广泛使用。

---

7. MacBook Neo 深度解析：性能测试、晶圆经济学与 8GB 内存的赌注 (MacBook Neo Deep Dive: Benchmarks, Wafer Economics, and the 8GB Gamble) #

https://www.jdhodges.com/blog/macbook-neo-benchmarks-analysis/

这篇博客文章由 J.D. Hodges 撰写，详细分析了苹果于 2026 年 3 月 4 日发布的 MacBook Neo，这款笔记本以 599 美元的价格成为苹果迄今最实惠的 Mac 电脑。文章重点讨论了 MacBook Neo 搭载的处理器——苹果 A18 Pro 芯片，这款芯片同样用于 iPhone 16 Pro。A18 Pro 采用台积电第二代 3 纳米工艺，拥有 6 核 CPU（2 个性能核，4 个效率核）、5 核 GPU 和 16 核神经引擎，性能介于苹果 M3 和 M4 芯片之间。

文章通过实际测试展示了 A18 Pro 在不同热状态下的表现：冷启动时单核得分为 3569，多核 8879，但在持续高负载 5 分钟后，单核性能下降 87%，体现了无风扇设计下的热节流问题。尽管如此，A18 Pro 在同价位 Intel 和高通芯片中表现优异，且 MacBook Neo 拥有轻薄铝制机身和长达 16 小时的视频续航。

为了控制成本，MacBook Neo 配备了 8GB 统一内存（不可升级）、256GB 或 512GB 存储，屏幕为 13 英寸 Liquid Retina，分辨率 2408×1506，亮度 500 尼特。接口方面有两个 USB-C 端口（其中一个仅支持 USB 2.0 速度）和 3.5 毫米耳机孔。为降低售价，苹果取消了 MagSafe、雷电接口、背光键盘、触觉触控板、P3 广色域、True Tone、Wi-Fi 7 以及将摄像头从 12MP 降至 1080p。Touch ID 仅在 699 美元的高配版中提供。

文章还指出，苹果能够以 599 美元价格推出这款产品，得益于其垂直整合的供应链优势，包括芯片设计、操作系统控制、与台积电的直接合作以及通过 iPhone 大规模生产摊薄成本。虽然 8GB 内存是限制，但这也促使苹果优化 macOS 的内存使用，避免系统臃肿。

总体来看，MacBook Neo 适合日常轻度使用，尤其是对预算有限的用户，但在持续高负载和专业应用场景中表现有限。苹果未来版本可能会升级内存和 CPU，保持竞争力。文章还提醒，目前由于需求旺盛，MacBook Neo 在苹果官网常常缺货，但亚马逊有时能以略低价格买到。

---

HN 热度 327 points | 评论 388 comments | 作者：tosh | 1 day ago #

https://news.ycombinator.com/item?id=48125617

• 8GB 的 M1 MacBook Air 性能足够日常使用，且耐用性强，适合长期使用甚至学生使用。
• 16GB 内存的 M1 Air 也能应对大量开发任务和多任务操作，性能优于老款 Intel Mac 和大多数 Windows 笔记本。
• Docker 在 Mac 上的性能有了显著提升，尤其是新版本的虚拟机技术，减少了性能折衷。
• iPad Air M1 也能胜任视频编辑、办公和编码任务，配合外接显示器和键盘使用体验接近笔记本。
• 通过远程终端和 Git 客户端，iPad 也可以进行有效的代码开发。
• 使用平板加蓝牙鼠标和键盘组合，配合远程桌面连接，是轻量开发的理想方案。
• Apple Silicon 设备运行时完全无风扇噪音，使用体验安静舒适。
• 过去 Intel MacBook 普遍存在风扇噪音大和过热问题，Apple Silicon 大幅改善了这一点。
• 风扇的存在是为了保证高性能多线程任务的持续运行，完全无风扇的设备通常性能有限或价格较高。
• MacBook Air 在多种任务中表现接近 MacBook Pro，适合大多数实际工作需求。
• 大多数用户日常使用并不会遇到风扇噪音和性能瓶颈，尤其是 Apple Silicon 设备。

---

8. 比特币交易者在人工智能 Claude 的帮助下找回钱包 (Bitcoin trader recovers wallet with help of Claude) #

https://www.tomshardware.com/tech-industry/cryptocurrency/bitcoin-trader-recovers-usd400-000-using-claude-ai-after-losing-wallet-password-11-years-ago-bot-tried-3-5-trillion-passwords-before-decrypting-an-old-wallet-backup

这篇文章讲述了一位比特币持有者在“迷醉”状态下更改了钱包密码后遗忘密码，经过 11 年努力终于借助人工智能工具 Claude 成功找回钱包的故事。该用户在几周前找到了一个旧密码的助记符，并将大学时期的所有电脑文件输入 Claude 进行分析。Claude 不仅发现了一个旧备份钱包文件并成功解密，还发现了之前密码配置中的一个漏洞，导致无法恢复钱包。

文章还提到，早期的加密货币钱包结构与现在不同，当时的助记符生成的是 HD 密钥树，但钱包中常混合非 HD 和导入的密钥，这些密钥无法通过助记符恢复，只能通过钱包文件和密码访问。正是因为用户更改了包含特定密钥的钱包文件密码后忘记，才导致长时间无法找回资产。该钱包中存有 5 个比特币，按当前价值约合 40 万美元。

---

HN 热度 316 points | 评论 167 comments | 作者：cednore | 9 hours ago #

https://news.ycombinator.com/item?id=48136240

• 使用 Claude 帮助解决税务和云服务费用问题，能带来实际经济收益。
• 未来 AI 模型的使用成本可能会上升，但仍可能是物有所值的投资。
• 先进模型的能力提升使得日常应用变得更加高效，且小型模型也能继承这些能力。
• 期待能有性能强大且能在本地运行的模型，方便个人使用。
• 小型模型在数学和编程任务上表现良好，但在知识任务上仍不及大型模型。
• 不同模型在产生幻觉（错误信息）方面存在差异，用户对此持谨慎态度。
• 目前对最先进模型能力的认知存在分歧，有人认为其表现被高估。
• 本地运行模型的硬件要求正在降低，旧硬件也能支持较新模型。
• 选择模型应根据实际工作需求，避免过度追求最新技术。
• 6-12 个月前的模型已经足够满足许多应用需求。
• 电源保护设备（如 UPS）对保障本地运行设备安全非常重要。
• 小型模型与大型模型在可靠性和幻觉率上存在显著差距，期待未来改进。
• 高级模型可能带来信息垄断和社会不平等的风险。

---

9. 思科裁员计划 (Cisco workforce reductions) #

https://blogs.cisco.com/news/our-path-forward

这篇文章是 Cisco 首席执行官 Chuck Robbins 于 2026 年 5 月 13 日发布的内部邮件内容，主要通报了公司第三季度财报和未来的战略调整。Cisco 实现了 158 亿美元的创纪录收入，同比增长 12%，并且实现了双位数的营收和利润增长，表现出色，尽管面临市场快速变化、激烈竞争及全球关键组件短缺等挑战。

为了应对 AI 时代的机遇和挑战，公司将聚焦于高需求和长期价值创造的领域，做出艰难决策，包括投资方向、组织架构和成本结构调整。具体措施包括在第四季度裁员不到 4000 人，占员工总数不到 5%，裁员通知将从 5 月 14 日开始，全球范围内按当地法律执行。受影响员工将获得相应的奖金补偿和职业安置支持，Cisco 的安置服务项目已有 75% 的参与者成功找到新岗位，同时提供一年免费访问 Cisco U 课程和认证，涵盖 AI、安全、网络等领域。

尽管部分岗位减少，Cisco 将继续在硅芯片、光学、安全以及员工 AI 应用等关键技术领域进行战略投资，推动公司未来增长和创新。对离职员工表达感谢，并承诺以尊重和关怀的态度处理过渡。对于留任员工，公司将在 5 月 21 日的 Cisco Beat 会议上进一步说明变动细节并答疑。Chuck Robbins 强调，未来工作将充满挑战，员工的专注、韧性和领导力对公司在 2027 财年及以后保持竞争力至关重要。

---

HN 热度 260 points | 评论 303 comments | 作者：ahmedomran8 | 23 hours ago #

https://news.ycombinator.com/item?id=48130123

• 有人认为思科员工数量可能超过实际需要，且 CEO 的邮件显得脱离实际，反映了美国企业文化的荒谬。
• CEO 的言论主要是为了安抚投资者，而非普通员工。
• 思科股价因与英伟达相关消息上涨，显示市场对其裁员消息的积极反应。
• 有员工表示工作量极少但仍能获得高绩效奖金，感到工作缺乏意义。
• 当前企业裁员趋势反映出追求最大利润而忽视员工和客户利益的现象。
• 社会责任和关怀员工的重要性在当前环境下变得尤为重要。
• 有人讽刺说“工作两天拿全职工资”并不能说明工作本身的好坏。
• 企业严格限制员工工作内容，导致员工感到无聊和缺乏成就感。
• 大型科技公司普遍存在剥削员工的现象。
• 有观点认为员工能够利用公司制度获得较高薪酬，是一种谈判成功的表现。
• 认为企业诚信难以与低诚信企业竞争，导致整体行业诚信水平下降。
• 投资者普遍看重 AI 带来的短期现金流，裁员成为展示效率的手段。
• AI 被用作裁员和降低成本的借口，企业借此吸引投资者关注。
• 美国企业裁员普遍被视为正常现象，而欧洲因法律保护员工，裁员难度较大。
• 韩国企业在盈利良好时，员工合理争取利益，表现出不同的劳资关系。
• 年龄大了后被裁员难以再就业，面临职业转型困境。
• 美国技术人员被认为“过度资格”，难以找到合适的低门槛工作。

---

10. 微软 BitLocker——YellowKey 零日漏洞利用 (Microsoft BitLocker – YellowKey zero-day exploit) #

https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor

该网页是一篇关于微软 BitLocker 加密驱动器安全漏洞的新闻报道。安全研究员 Chaotic Eclipse（又名 Nightmare-Eclipse）发布了两个新的零日漏洞利用工具，其中最严重的是名为 Yellow Key 的 BitLocker 漏洞。该漏洞允许攻击者通过将特定文件复制到 USB 设备并重启进入 Windows 恢复环境，即可完全访问被 BitLocker 锁定的驱动器。该漏洞利用过程简单且隐蔽，使用后相关文件会从 USB 设备中消失，表现出类似后门的特征。

此外，Chaotic Eclipse 还发布了另一个名为 GreenPlasma 的漏洞，虽然尚未有完整的概念验证，但据称能够实现本地权限提升，获得系统级访问权限。鉴于该研究员之前发布的漏洞均有效，这一漏洞也被认为可信。

报道还提到，Chaotic Eclipse 此前曾发布过 BlueHammer 和 RedSun 两个零日漏洞，这些漏洞使 Windows Defender 出现权限提升问题。此次新漏洞的披露背景是研究员之前的安全报告被微软安全团队忽视，导致其采取激烈行动。整体来看，这些漏洞对 Windows 系统安全构成严重威胁，尤其是对依赖 BitLocker 加密保护数据的用户。

---

HN 热度 243 points | 评论 137 comments | 作者：cookiengineer | 22 hours ago #

https://news.ycombinator.com/item?id=48130519

• BitLocker 存在严重安全漏洞，微软对安全问题重视不足，导致用户数据保护存在风险。
• 早期 Windows 版本中存在通过安装介质绕过 BitLocker 保护的漏洞，微软未能有效修复。
• BitLocker 默认启用加密对部分用户来说可能不必要，尤其是桌面用户。
• 加密保护在多种场景下仍有必要，如防止执法机构、窃贼或家人未经授权访问数据。
• 微软对安全漏洞的响应不积极，部分漏洞被默默修补且未公开认可研究者贡献。
• 有研究者声称存在绕过 TPM+PIN 的后门，但对此观点存在质疑，认为绕过 PIN 不太可能。
• PIN 与密钥材料是绑定的，破解 PIN 需要离线暴力破解，存在一定难度但非不可能。
• TPM 硬件具备防止暴力破解的机制，PIN 需要提供给 TPM 才能解封密钥材料。
• 有观点认为攻击者通过中间人攻击截获 TPM 通信，从而绕过 PIN 保护。
• 目前对 BitLocker 和 TPM 的解密机制已有较深入的研究，部分攻击步骤已被公开和验证。

---

Hacker News 精彩评论及翻译 #

Twin brothers wipe 96 government databases minutes… #

https://news.ycombinator.com/item?id=48125818

[Opexus] said that “the individuals responsible for hiring the twins are no longer employed by Opexus.”

Getting close to the classic Monty Python line: “Those responsible for sacking the people who have just been sacked, have been sacked.”

Jokes aside, stuff like this sucks because I suspect many employers will take from it the most extreme, dehumanizing lessons, e.g.: (a) make firings [edit: including lay-offs] as abrupt as possible including terminating all access immediately, (b) never give second chances to anyone with any sort of criminal record (even say decades old marijuana posession or something).

I’d prefer a more balanced version: limit unilateral access to sensitive systems in general (not just of recently-fired employees), when someone is fired immediately shut off particularly sensitive credentials if they do exist (but not their general-purpose login/email account), avoid hiring people convicted of wire fraud as sysadmins, hash your @!#$ing passwords, etc.

scottlamb

Opexus说，“负责雇佣这对双胞胎的人已经不在Opexus工作了。”

这几乎接近蒙提·派森的经典台词：“那些负责解雇刚被解雇者的人，已经被解雇了。”

开玩笑归开玩笑，这种事情让人很难受，因为我怀疑很多雇主会从中吸取最极端、最去人性化的教训，比如：(a) 让解雇（包括裁员）尽可能突然，包括立即终止所有访问权限，(b) 对任何有任何形式犯罪记录的人绝不再给第二次机会（即使是几十年前的持有大麻之类的小案子）。

我更倾向于一个更平衡的做法：一般限制对敏感系统的单方面访问（不仅仅是最近被解雇的员工），有人被解雇时如果有特别敏感的凭证应立即关闭（但不关闭他们的普通登录/邮箱账户），避免雇佣有电信诈骗前科的人做系统管理员，给你的该死的密码做哈希等等。

---

A message from President Kornbluth about funding a… #

https://news.ycombinator.com/item?id=48136999

Besides the people in this thread bemoaning the state of research funding, international students, etc. (all of which are valid), a lot of people are becoming disillusioned with academia. Probably 80% of the recent PhD grads I know are looking to leave academia, despite the fact that they went into it to pursue a career in academia. The median science PhD takes 6 years now, and is grueling work for terrible pay, all for difficult job prospects given the current market. MIT recently became one of the first universities to get a grad student union to try and combat the increasingly exploitative nature of academia. I can see how undergrads may look at how AI can do most of their homework assignments, and see how miserable grad students are, and decide that they don’t want to continue down that path.

jrflo

除了这条评论里有人抱怨研究经费的状况、国际留学生等问题（这些都是合理的），很多人对学术界感到失望。我认识的大约80%的新近博士毕业生都想离开学术界，尽管他们进入这个领域是为了追求学术职业。现在理科博士的平均学习时间是6年，工作强度大但工资很低，而当前市场环境下就业前景也很难看。麻省理工学院最近成为首批成立研究生工会的大学之一，试图对抗学术界日益剥削性的性质。我可以理解本科生看到人工智能能做他们大部分作业，再看到研究生生活多么苦难，便决定不想继续走那条路。

---

Claude for Small Business #

https://news.ycombinator.com/item?id=48131767

You are absolutely right. I shouldn’t have paid that invoice from ScamInc. Would you like me to help you file for bankruptcy?

fnoef

你说得完全正确。我本不应该支付那家ScamInc的发票。你需要我帮你申请破产吗？

---

Meta won’t let you block its AI account on Threads #

https://news.ycombinator.com/item?id=48127186

You can block all their content, just delete your account.

analogpixel

你可以屏蔽他们所有的内容，干脆删掉你的账号。

---

Cisco workforce reductions #

https://news.ycombinator.com/item?id=48130717

This kind of behavior is never tolerated in the market. Your revenue is flat; they lay you off. Right away. No trial, no nothing. Your revenue is down, right to layoffs, right away. Revenue grows but less than guidance? Layoffs. Record revenue exceeding guidance? Believe it or not, layoffs.

0x0000000

这种行为在市场上从来都不会被容忍。你的收入持平；他们立刻裁员。没有试用期，什么都没有。你的收入下降，马上裁员。收入增长但低于预期？裁员。创纪录的收入超过预期？信不信由你，也裁员。

---

“Not Medically Necessary”: Helping America’s Healt… #

https://news.ycombinator.com/item?id=48126617

“The algorithm cannot say no, however. If it finds problems, it sends the request for review to a team of in-house nurses and doctors who consult company medical guidelines. Only doctors can issue a final denial.”

As a physician, I’ve had to speak to these so called “peers” in a peer to peer denials with both my clinic and hospital setting. They are usually people who aren’t physicians as a first line of their defense, ie therapist, nurses, etc. This weeds out the providers who either don’t care about the patient denial and blindly accept the denial, or patient has to take matters in their own hands just to get the care they need/deserve. Or worse, in the hospital that means the patient gets hit with a huge bill (already an insane number in the US even with insurance, so don’t get me started on this) or it gets delegated to another provider who has to deal with it. Quite often patients get denied medical and rehab services, esp after something debilitating like a stroke, trauma/accident, etc. and at that point the peer to peer is to weed the provider out. Usually someone will tell the patient you’ve been denied, either go home without the services they need or you fight it.

I fight it. Can’t count the number of times I’ve spoken to someone not in the field of medicine or if they are, not my field of medicine (both Family/Hospital Medicine). Often I’m fighting with an MD or “practitioner” who is some other field like a gynecologist about hospital medicine services or rehab. I’ve even had the pleasure of talking to a physical therapist and didn’t let me get a word in as we began the peer to peer. I now start of by asking for their credentials and field of speciality and demand a peer of my field to do the denying if they are so adamant about it “not being medically necessary”.

I have so much to say and could write a book about it. I just wish I had the money and connections to actually change the state of US of Corporate Medicine.

vanc_cefepime

“不过，算法本身不能直接拒绝请求。如果发现问题，它会将请求发送给公司的护士和医生团队进行审核，他们会参考公司的医疗指南。最终的拒绝决定只能由医生做出。”

作为一名医生，我在诊所和医院工作时，都不得不与这些所谓的“同侪”进行同侪间的拒绝对话。他们通常不是医生，而是作为第一道防线的治疗师、护士等人员。这种做法筛选出了那些对患者被拒绝不在意、盲目接受拒绝的提供者，或者迫使患者自己动手争取他们需要或应得的治疗。更糟的是，在医院里，这意味着患者可能面临巨额账单（即使有保险，在美国账单已经高得离谱，这个话题别提了），或者问题会被转给另一个提供者去处理。患者常常会被拒绝医疗和康复服务，尤其是在经历中风、创伤或事故等严重伤害后，而此时同侪对话的作用就是筛除那些提供者。通常有医务人员会告诉患者你被拒绝了，要么回家无法获得所需服务，要么自己抗争。

我会抗争。数不清有多少次，我跟非医学领域的人交涉，或者就算是医学领域的，也不是我的专业领域（我做的是家庭和医院医学）。我经常跟其他专科的医生或“执业者”争论，比如一位妇科医生对医院医学服务或康复服务的拒绝。我甚至经历过跟一名物理治疗师对话，开始时他根本不让我插话。现在我一开始就会问对方的资质和专业领域，如果他们坚持认为“不医疗必要”，我会要求由我专业领域的同行来拒绝。

我有太多话要说，完全可以写一本书。我只是希望自己有足够的资金和人脉，能真正改变美国企业化医疗的现状。”

---

Linux gaming is faster because Windows APIs are be… #

https://news.ycombinator.com/item?id=48126417

Feels like there is some real momentum on linux gaming now. I mostly play older games but I’ve gotten most of them working acceptably in proton on my old system 76 laptop (oryp5, with a nvidia 2060; ~7 years old). The laptop actually has plenty of power for the games I play, but I underclock to keep the heat/fan speeds down (been doing the same on the win10 install on the same system), still getting acceptable framerate in proton for most of the things I do in game, non intense stuff.

Decades ago I ported some games to linux but I do think proton is the correct approach now. One underappreciated advantage is you get most of the mod environment too. In ESO for instance, there is an addon (tamriel trade center) which lets you download item prices, but it requires a windows client exe to do that. That client works on proton.

I also do some modding myself and can cross compile my rust code to windows with cargo xwin, and run it right away in proton, which is fairly amusing to behold.

I actually don’t mind windows generally (been a MS user since DOS 5), but Win11 is a game changer, pun intended, and not in a good way.

trashface

感觉现在Linux游戏真的开始有了真正的势头。我主要玩一些老游戏，但我在旧的System76笔记本（oryp5，配有NVIDIA 2060，差不多7年历史）上用Proton让大多数游戏都运行得还算不错。笔记本的性能其实足够玩我玩的游戏，但我会降频以降低温度和风扇转速（Win10系统上也是这样做的），在Proton中对大多数我玩的游戏来说，帧率仍然可接受，毕竟都是些不太耗性能的游戏。

几十年前我曾移植过一些游戏到Linux，但我确实认为现在Proton是正确的做法。一个被低估的优点是你还能获得大部分的模组环境。举个例子，在ESO（上古卷轴在线）中，有个插件（tamriel trade center）可以让你下载物品价格数据，但它需要一个Windows客户端.exe来运行。而这个客户端在Proton上是可以工作的。

我自己也做一些模组开发，可以用cargo xwin交叉编译Rust代码到Windows，然后直接在Proton里运行，这看起来挺有趣的。

其实我总体上不讨厌Windows（自DOS 5时代就是微软用户），但Win11简直是个“游戏规则改变者”，而且不是好方面。

---

Claude for Small Business #

https://news.ycombinator.com/item?id=48131535

I’m increasingly convinced that there’s a killer app waiting for whoever can come up with a UI that makes claude code or codex accessible to the average user.

Onboarding my non-software engineer teammates to it has super-charged them and essentially given them all their own personal developer that can automate tasks for them. Managing codebases, etc. is still a hassle though.

90% of the power of Excel was that it was functionally a database that a normal person could actually use. I think we’ll see something similar with coding agents.

CSMastermind

我越来越相信，谁能设计出让普通用户也能使用Claude Code或Codex的界面，谁就能打造出杀手级应用。

我让我的非软件工程师同事们上手使用这类工具后，他们的工作效率大大提升，基本上每个人都拥有了自己的私人开发者，能够帮他们自动化任务。不过管理代码库等事情仍然挺麻烦的。

Excel的90%强大之处在于它本质上是个普通人都能用的数据库。我觉得我们将会看到类似的情况出现在编程代理身上。

---

AI is making me dumb #

https://news.ycombinator.com/item?id=48139506

I can’t relate that much to this. Every time I use AI to write code, I’m constantly fighting a feeling on the back of my neck that I need to look over everything it has done and supplement/alter it with my own code. That ick feeling counteracts the dopamine hit of having a working app after a few minutes of vibe coding, and I don’t think that’s going anywhere anytime soon.

That said, I have experience. I could absolutely see myself falling into this as a junior or even mid level dev. I’d no doubt not feel that feeling on my neck if it wasn’t scarred from code review lashings early in my career by knowledgeable mentors.

Rooster61

我对此感觉不太一样。每次我用 AI 写代码时，总会有种脖子后面发凉的不安感，觉得必须仔细检查它写的所有内容，并用自己的代码补充或修改。那种不舒服的感觉抵消了几分钟写代码后看到程序运行带来的多巴胺快感，我觉得这种感觉短时间内不会消失。

不过，我有经验。我完全能想象自己作为初级甚至中级开发者时会陷入这种状态。如果不是早期职业生涯中资深导师严厉的代码审查留下的阴影，我肯定就不会有那种脖子发凉的感觉。

---

Princeton mandates proctoring for in-person exams,… #

https://news.ycombinator.com/item?id=48129890

I was a grad student @ Princeton a handful of decades ago.

I was a TA for a few classes and, given the honor code, we did not proctor the exams for undergrads. We just handed them out (left the room) and returned to collect them at the end.

• One of the exams in a course that I TAed had 5 free-response questions.

• There were also 5 TAs in that class, so we un-stapled the exams and each TA graded one question (for consistency).

• We re-assembled the exams and returned them to the students.

• A few days after the exam, one of “my” students (she attended my recitation) came to me with her exam and explained that I had incorrectly graded question 2.

• I told her that I didn’t grade question 2, so she had to go take it up with “TA # 2”

• A few hours later, “TA #2” pays me a visit and she (TA#2) is annoyed. She tells me, “Your student is trying to pull a fast one. She answered Q2 incorrectly. She erased her answer and put in the correct answer and she wants it re-graded”

• I briefly defended the student and said something like, “Why would she do that… and how could you even know?”

• “TA#2” responded with “… because I photocopied all of the student responses after I graded them.”

• Then I felt like a piece of shit for doubting my fellow TA. And felt even worse being naive enough to not be suspicious.

• “TA#2” and I brought all of this info up with the prof. who was running the course.

• We were told that the situation would be handled by an Honor Committee or something like that. We forwarded the information to the committee, but no one spoke to us and we were not allowed to participate in the deliberations.

• After about a week, all we were told was that the student was able to explain the “discrepancy” between her exam and the photocopy.

To this day, I have no idea what that student could have possibly said to explain her actions.

After that, I started photocopying every damned scrap of paper that I graded.

edits for clarity. The student did not get a zero on the exam, nor was she booted from the course. I don’t remember if she was given credit for Question 2, but the TA and I were both expecting her to be tossed, which obviously didn’t happen.

busyant

几十年前，我在普林斯顿读研究生。

我当过几个课程的助教，考虑到荣誉守则，我们不负责监考本科生考试。我们只是发放试卷（然后离开教室），考试结束时再回来收卷。

• 我当助教的一门课的考试有5个简答题。

• 这门课有5个助教，所以我们会将试卷拆开，每个助教批改一道题目（以保证评分一致）。

• 然后我们重新装订试卷并交还给学生。

• 考试几天后，我带的一位学生（她参加过我的辅导课）拿着试卷来找我，说我对第2题的评分有误。

• 我告诉她我没批第2题，得去找“助教2号”。

• 几小时后，助教2号来找我，她很生气。她说，“你的学生想耍小聪明。她第2题答错了，后来擦掉答案改成了正确答案，想要重新评分。”

• 我稍微替学生辩解，说，“她为什么要那样做……你怎么能确定呢？”

• 助教2号说，“因为我批完后把所有学生的答卷都复印了一份。”

• 那一刻我感觉自己很糟糕，竟然怀疑同事助教，也觉得自己太天真，没有怀疑学生的可能性。

• 助教2号和我把这件事反映给了负责该课程的教授。

• 教授告诉我们，这件事会交给荣誉委员会处理。我们把信息递交给了委员会，但没人跟我们谈，也不让我们参与审议。

• 一周后，我们只被告知学生能够解释试卷和复印件之间的“差异”。

至今，我都不知道那个学生是怎么解释她的行为的。

从那以后，我开始复印我批改的每一张纸。

为了澄清，那个学生并没有考试零分，也没有被踢出课程。我不记得她第2题是否得了分，但我和助教都以为她会被开除，显然没有发生。

---

A message from President Kornbluth about funding a… #

https://news.ycombinator.com/item?id=48137778

I used to work with a brilliant and humble guy. He got accepted to MIT at 14, but his parents made him go to community college for a year to give him a little more time to mature. He then went to MIT and graduated after three years, then went to Berkeley and got a masters in one year, then went to Stanford and it took six years to get his PhD?

Why? Because his advisor milked him for his work. She had a pile of papers to peer review … hand it off to the grad studends. Have a talk to give? Give the grad students the task for writing up first drafts, collecting data, generating graphs etc. My friend said that nothing in the first five years of his PhD work contributed to his dissertation.

I’m amazed that behavior like that of the advisor is allowed.

tasty_freeze

我曾经和一个聪明而谦逊的人共事。他14岁时被麻省理工录取，但他的父母让他先去社区学院读一年，给他更多时间成熟。随后他进入麻省理工，三年毕业，然后去了伯克利，一年内拿到了硕士学位，接着去了斯坦福，花了六年才拿到博士学位。

为什么？因为他的导师一直榨取他的劳动。导师有一大堆论文需要审稿……就交给研究生去做。要做报告？让研究生先写初稿，收集数据，制作图表等等。我的朋友说，他博士前五年做的工作，根本没有什么对他的论文有贡献。

我真很惊讶这种导师的行为竟然被允许。

---

Princeton mandates proctoring for in-person exams,… #

https://news.ycombinator.com/item?id=48129216

People blame AI but in reality it’s more about America transitioning from a high-trust society to a low-trust one.

CSMastermind

人们责怪人工智能，但实际上更多的是美国正在从一个高度信任的社会转变为一个低信任的社会。

---

USDA Projects Smallest US Wheat Harvest Since 1972… #

https://news.ycombinator.com/item?id=48135226

Title claims “due to plains drought” but the article text largely attributes this to increased planting of soy for its lower fertilizer requirements (related to Strait of Hormuz).

ericpauley

标题声称“由于平原干旱”，但文章内容主要将其归因于大豆种植增加，因为大豆对肥料的需求较低（与霍尔木兹海峡有关）。

---

Classic 7 is a Windows 10 LTSC mod to look 1:1 to … #

https://news.ycombinator.com/item?id=48133110

Everyone seems to love the Windows 7 era but for me, Windows peaked GUI-wise with Windows 2000 and everything since then has felt like a poor ‘skin’ or misplaced ’theme’ on top of something else.

Windows XP’s level of ‘plug and play’ for devices/drivers ushered in the modern OS feel from a usability standpoint, but from a ‘get-shit-done’ GUI and responsiveness standpoint Win 2000 (and up to Windows Server 2003 by extension) was all I ever wanted/needed.

These may be rose tinted glasses though, and I’d be interested to hear counterpoints.

mk_stjames

大家似乎都很喜欢Windows 7时代，但对我来说，Windows在图形界面方面的巅峰是Windows 2000，此后的一切都像是在某个基础上肤浅地套了个“皮肤”或者错位的“主题”。

Windows XP在设备和驱动程序的“即插即用”方面带来了现代操作系统的使用感受，但从“高效完成任务”的界面和响应速度来说，Win 2000（以及延伸到Windows Server 2003）就是我所需要和想要的全部。

不过这可能是戴了玫瑰色眼镜，我也很想听听不同的看法。

---

Open Source Resistance: keep OSS alive on company … #

https://news.ycombinator.com/item?id=48124068

My employers have generally been fine giving me blanket permission to contribute to specific open source projects.

The framing matters: don’t say “can I please do some charity work because it makes me feel good”.

Say, “can I have your permission to get free rigorous review from experts in my field, and zero out all future maintenance costs for your company by contributing my fixes to the upstream open source project?”

Because that’s really how it is. No employer of mine has ever said no to that. It is entirely in their interest for you to do this, you just have to help them see it.

jcalvinowens

我的雇主们通常都很乐意给我全面许可，让我参与特定的开源项目。

关键在于表达方式：不要说“我能不能做些慈善工作，因为这让我感觉很好”。

应该说，“我能否获得您的许可，通过贡献我的修复代码给上游开源项目，从而获得业内专家的免费严谨审查，并且为贵公司消除所有未来的维护成本？”

因为事实确实如此。我的任何雇主都没有拒绝过这种请求。让你这么做完全符合他们的利益，你只需要帮助他们理解这一点。

---

I moved my digital stack to Europe #

https://news.ycombinator.com/item?id=48121441

Definitely a change, because it is not something I can recall being important just a couple of years ago.

I work as a consultant and freelancer across a bunch of companies, some American but mostly European ones. Last ~8 months or so, the sentiment about “Hosting our data in EU or even our own country” has drastically changed, I don’t think I’ve seen such a clear shift in public opinion so fast before. The amount of migrations I’ve helped moving data from US to EU already is higher this calendar year than all the other years of my career.

embedding-shape

确实是一种变化，因为我记不得几年前这件事有多重要。

我作为顾问和自由职业者为许多公司工作，其中一些是美国公司，但大多数是欧洲公司。在过去大约八个月里，关于“将我们的数据托管在欧盟甚至我们自己的国家”的态度发生了巨大变化，我认为我以前从未见过公众舆论有如此迅速而明显的转变。今年我帮助将数据从美国迁移到欧盟的次数，比我职业生涯中其他所有年份的总和还要多。

---

The US is winning the AI race where it matters mos… #

https://news.ycombinator.com/item?id=48122364

Anthropic, OpenAI and Google are the standouts, but the main question for me is, why is this a war? In their own context China has greatly benefitted from this. They shored up their gpu design and manufacturing expertise.

If this really is a war, trump is kneecapping the country with his lawlessness and eroding America’s good will. If the world cannot trust China with their data and they cannot trust the U.S. to provide good reliable service and not turn it into a mafia style negotiation, then winning the AI war is not helping the U.S. countries as much as it potentially can. It’s probably a good thing for more capable areas like Europe which may develop their own tech stack.

In a weird way because the AI stack is so expensive, China helps the world much more than the U.S. with their really capable open source model.

yalogin

Anthropic、OpenAI 和谷歌表现突出，但对我来说，主要问题是，为什么这被看作是一场战争？在他们自己的视角里，中国从中受益匪浅。他们加强了自己的GPU设计和制造技术。

如果这真是一场战争，特朗普的无法无天行为正在削弱国家实力，破坏美国的良好信誉。如果世界无法信任中国来保护他们的数据，同时又无法信任美国能提供优质可靠的服务，而不是把它变成一种黑帮式的谈判，那么赢得AI战争对美国的帮助不会有它潜力那么大。这或许对像欧洲这样更有能力的地区来说是件好事，因为他们可能会发展自己的技术体系。

从某种奇怪的角度看，鉴于AI技术栈成本极高，中国通过他们非常强大的开源模型，对世界的帮助远超美国。

---

A message from President Kornbluth about funding a… #

https://news.ycombinator.com/item?id=48136514

What a Rorschach blot. Comments range from AI to immigration to doomsday results for USA.

The admins statement in TFA speaks more to financial policy and grant declines. Unfunded students are much less likely to accept an admission. That’s just a fact of life.

jvanderbot

真是一个罗夏墨迹测试。评论内容从人工智能到移民，再到对美国的末日预言，各种观点都有。

发布者在原文中的声明更多涉及财政政策和拨款减少。没有资金支持的学生接受录取的可能性要低得多。这就是现实情况。

---

Kickstarter is forced to ban adult content by paym… #

https://news.ycombinator.com/item?id=48124010

Stripe (their payment process) will handle adult content payments. It puts the account into the high risk category due to the high rate of fraud in those categories.

Stripe says they will handle these type of payments, but more often than not, within roughly a year of implementation you’ll get an email from them kicking you off their platform, no matter how vigilant you were, or even if the things you were selling were more rated R than rated X. Source: my own insider knowledge along with colleagues in the space.

eggbrain

Stripe（他们的支付处理系统）会处理成人内容的付款。但由于这些类别的欺诈率很高，账户会被归入高风险类别。

Stripe 表面上说他们会处理这类付款，但实际上，通常在实施大约一年后，不管你多么谨慎，甚至即使你卖的东西更多是限制级（R级）而不是更严格的X级，你都会收到他们的邮件，要求你停止使用他们的平台。来源：我自己的内部知识以及业内同事的反馈。

---

Bitcoin trader recovers wallet with help of Claude #

https://news.ycombinator.com/item?id=48136798

I have a similar claude story (much less money though), with the IRS R&D tax credit. The auditing firm initially said we qualify for $0. But then I had claude analyze past R&D reports and our expenses and it found the problem. The auditor had miscategorized our company.

So claude drafted an email even pointing to the right Internal Revenue Code (IRS Law), and specify why we fall under a specific category. The auditor got back to me two days later admitting their mistake and said our company now qualifies for $8k in tax credits. And a few months ago, it identified items in our AWS that saved us $250 a month (paying for itself).

So now I joke that even if I have a claude max plan, I’ve still come out ahead financially.

atonse

我有一个类似的Claude故事（虽然金额少得多），是关于国税局的研发税收抵免。审计公司起初说我们不符合资格，金额为零。但后来我让Claude分析了过去的研发报告和我们的开支，它找出了问题。审计员把我们公司分类错了。

于是Claude起草了一封邮件，甚至指出了正确的《国内税收法典》（IRS法规），并说明了我们属于特定类别的原因。审计员两天后回复我，承认了他们的错误，并表示我们公司现在符合资格，可以获得8000美元的税收抵免。几个月前，它还帮我们识别出了AWS中的一些项目，每月为我们节省250美元（相当于自我付费）。

所以现在我开玩笑说，即使我订了Claude的最高级套餐，经济上我还是赚了。

---

Kickstarter is forced to ban adult content by paym… #

https://news.ycombinator.com/item?id=48123686

Why payment processors do it? Why people in America do not want to earn more money from commissions? Strong church lobby? Legal risks? I think its mostly religious groups who who are against adult content and sex, or there are other groups?

Also this is why we should work to increase circulation of cryptocurrency. No stupid religious restrictions and stupid political sanctions.

Also why PornHub and OnlyFans are immune to religious lobby?

codedokode

为什么支付处理商会这么做？为什么美国人不想通过佣金赚更多钱？是因为强大的教会游说？法律风险？我觉得主要是反对成人内容和性的宗教团体，还是有其他的团体？

这也是为什么我们应该努力推广加密货币的流通。没有愚蠢的宗教限制和愚蠢的政治制裁。

另外，为什么PornHub和OnlyFans能够免受宗教游说的影响？

---

Meta’s New Reality: Record High Profits. Record Lo… #

https://news.ycombinator.com/item?id=48136207

Currently at Meta. This place has always been a bit ruthless in the 8+ years I’ve been around to observe. But the article is accurate.

Never seen people this universally fed up. I thought tech was too cushy for it to happen, but there’s serious collective action posting out in the open all over the place.

It’s also never been more cutthroat, backstabby, scope-grabby, political, and uncertain. There seems to be a flywheel in effect where top talent exits and those who will drown each other to stay afloat are all that remain. It’s somehow leapfrogging Oracle’s culture even.

glaslong

我目前在Meta工作。在我观察的八年多时间里，这个地方一直都有些无情。但这篇文章是准确的。

我从没见过人们对这里的普遍厌倦。我一直以为科技行业过于安逸，不会出现这种情况，但现在公开场合到处都有认真组织的集体行动。

这里也从未像现在这样竞争激烈、暗中捅刀、抢占工作范围、政治化严重且前途不明。有一种恶性循环在起作用，顶尖人才离开，留下的全是那些为了生存不惜相互厮杀的人。某种程度上，这种文化甚至超越了甲骨文。

---

Twin brothers wipe 96 government databases minutes… #

https://news.ycombinator.com/item?id=48128442

Terminating access and rotating passwords (if needed) while the person is in the meeting but has not yet found out they are being let go has been SOP for at least the last 20 years

yaur

终止访问权限并更改密码（如有需要），在该人员还未得知自己被解雇且正在开会时执行，这已是至少过去20年的标准操作程序。

---

Twin brothers wipe 96 government databases minutes… #

https://news.ycombinator.com/item?id=48116355

At 4:58 pm, he wiped out a Department of Homeland Security database using the command “DROP DATABASE dhsproddb.”

This article is hilarious. The two bickering brothers remind me of the guys in the Oceans movies played by Casey Affleck and Scott Caan. It’s amazing they got this close to sensitive data.

chatmasta

在下午4:58，他使用命令“DROP DATABASE dhsproddb”清空了国土安全部的数据库。

这篇文章太搞笑了。这对争吵不断的兄弟让我想起了《十一罗汉》电影中由凯西·阿弗莱克和斯科特·坎扮演的角色。他们能够如此接近敏感数据，真是令人惊讶。

---

Rewrite Bun in Rust has been merged #

https://news.ycombinator.com/item?id=48132737

Turns out “its just an experiment, you all are overreacting” was just a lie to damp criticism.

https://news.ycombinator.com/item?id=48019226

tkel

事实证明，“这只是一个实验，你们都反应过度了”只是为了压制批评而撒的谎。

---

2026 05 14 HackerNews

2026-05-14 07:59:08

2026-05-14 Hacker News Top Stories #

1. 谷歌将推 Gemini 笔记本以“智能即规格”整合指点问答、自动小部件与跨端投屏/取用，意在弱化应用形态但因 Gemini 稳定性与 Chromebook 口碑受质疑，或先在教育与入门市场落地。
2. 为追求数据主权，作者将分析、邮件、存储与 AI 等迁至欧盟/自托管以获合规与可控，虽牺牲便捷且仍需警惕美国法律域外效力与公司属地风险。
3. OrcaSlicer-bambulab 通过开源客户端恢复 Bambu Lab 打印机对云端 BambuNetwork 的完整远程支持，引发围绕厂商撤功能与 AGPL 精神的争议，但项目已在 Windows（WSL2）、Linux 等平台可用。
4. Needle 将 Gemini 工具调用蒸馏为 2600 万参数本地小模型，单工具调用高效快速但在工具选择、去重和多工具稳定性上仍弱，需结合上下文与按工具微调。
5. 作者因 GitHub 频繁宕机、默认用交互数据训练 Copilot 及受美法域外取证风险而迁至自托管 Forgejo，呼吁回归 git 去中心化并建立镜像，但也承认难以完全阻止代码被用于模型蒸馏与训练。
6. 文章以 Eurostile 为例给出“未来感”文字的六步法（倾斜、几何造型、连字控距等）并指出此类风格带有时代刻板印象、易过时且常被替代字体与排版语汇所误用。
7. 指南详解免费申请 *.city.state.us 地方域名流程，但实际常受繁琐政审与注册服务不稳所困，折射出当下以商业为导向的域名治理与早期非商业地理命名愿景的落差。
8. 请愿呼吁主流媒体停止屏蔽互联网档案馆时光机，强调保存与可读性是新闻自由一部分、能抗审查与核验真伪，尤在 AI 无视抓取时更需与独立档案机构合作承诺开放归档。
9. EFF 指出加拿大 C-22 强制数据留存与加密后门、或绕过端到端加密并扩散滥用风险，或致安全通讯退出加拿大，呼吁公众联络议员反对以捍卫隐私与强加密。
10. DuckDB 推出基于 HTTP 的原生远程协议 Quack，实现多实例客户端-服务器互通、并发写入与浏览器直连，简化数据整合查询并补齐远程交互体验以迈向通用数据栈内核。

1. 智能即规格：Gemini 笔记本电脑的智能体验革新 (Googlebook) #

https://googlebook.google/

谷歌推出一款将于 2026 年秋季发布的先进笔记本电脑，搭载了名为 Gemini 的智能技术。该技术被称为“智能即规格”，融合了 Gemini 的最佳功能，提升了笔记本的智能体验。

网页强调了几项核心功能：

1. Magic Pointer：用户可以即时选择任何内容，进行提问、比较或创作，提升交互效率。
2. Create My Widget：通过简单的指令即可创建定制化的小部件，增强个性化使用体验。
3. Cast My Apps：无需安装，用户可以将安卓手机上的应用直接投射到笔记本上使用。
4. Quick Access：实现手机文件与笔记本的无缝访问，文件仿佛存储在笔记本本地。

此外，产品设计轻巧但性能强大，网页多次通过静音循环视频展示产品外观和使用场景。用户可以通过网页报名获取新品通知，需确认年满 18 岁并同意相关条款。

---

HN 热度 901 points | 评论 1509 comments | 作者：tambourine_man | 1 day ago #

https://news.ycombinator.com/item?id=48111545

• 该产品的愿景是让应用程序变得无关紧要，通过数据输入给大型语言模型并用可视化工具展示结果，提升用户体验。
• 目前 Google 的产品如 Gemini 存在很多基础问题，表现不稳定，无法完成基本任务，难以信任。
• Google 可能会将这些设备推广到教育领域，用于训练和普及其 AI 技术。
• 目标用户可能是长期使用 Chromebook 的学生和刚步入职场的年轻人，提供熟悉但更高级的体验。
• Chromebook 在用户中口碑不佳，常被视为廉价且性能差的设备，品牌形象负面。
• 新技术初期往往不完善且匆忙推出，类似早期互联网技术的发展过程，用户需要时间适应和改进。
• 过去 Google 的产品虽然功能不多，但稳定性和可靠性较好，而现在的 AI 产品存在严重的错误和幻觉问题。
• 由于市场缺乏竞争，Google 缺乏动力去做好产品，用户对其新产品的信任度下降。
• AI 技术仍处于初级阶段，类似 90 年代互联网泡沫时期，许多产品不成熟但有发展潜力。
• 大众对 AI 持怀疑态度，部分原因是 OpenAI 和 Anthropic 等品牌管理不善，导致技术被夸大和误解。
• 相比之下，用户更信任 Spotify、Kobo 等已有的应用和服务，因为它们提供了稳定且可信的体验。

---

2. 我将我的数字基础设施迁移到了欧洲 (I moved my digital stack to Europe) #

https://monokai.com/articles/how-i-moved-my-digital-stack-to-europe/

这篇文章讲述了作者将其数字基础设施迁移到欧洲的经历，重点探讨了数字主权的重要性以及欧洲云服务的优势。作者强调数字主权意味着了解数据存储位置，避免因政策变化或公司决策而失去关键工具的访问权，选择基础设施时应考虑价值观而非仅仅便利性。

在具体迁移过程中，作者首先将 Google Analytics 替换为自托管的 Matomo，实现数据完全掌控且符合 GDPR 要求，但需要承担维护服务器的责任。邮件服务从 Google Workspace 迁移到瑞士的 Proton Mail，虽然功能上有一些限制（如过滤规则和自定义域名数量），但隐私保护更强且符合欧洲隐私法规。

密码管理方面，作者从 1Password 迁移到 Proton Pass，保持了良好的加密和数据安全。计算资源从 DigitalOcean 迁移到法国的 Scaleway，后者不仅界面友好，还提供了碳排放信息，帮助选择更环保的服务器位置。

对象存储服务由亚马逊 AWS 迁移到 Scaleway，兼容 S3 接口，迁移过程借助 rclone 工具完成。离线备份从 Backblaze 迁移到欧洲最大的云服务商 OVHcloud，虽然配置复杂但成本更低。事务性邮件服务由 Twilio SendGrid 替换为欧洲的 Lettermint，简洁高效且价格合理。

错误追踪工具从 Sentry 迁移到自托管的 Bugsink，虽然功能较为基础，但满足了简单的错误日志需求，且数据完全留在自家基础设施中。AI 接口则从 OpenAI 切换到总部位于巴黎的 Mistral，满足了作者对简单模型的需求。

整体来看，作者通过这次迁移实现了对数字资产更高的控制权和隐私保护，同时支持欧洲本地的云服务提供商，体现了对数字主权和可持续发展的重视。

---

HN 热度 862 points | 评论 529 comments | 作者：monokai_nl | 12 hours ago #

https://news.ycombinator.com/item?id=48120629

• 近年来，欧洲对数据主权的重视显著提升，企业和政府越来越关注数据是否能完全托管在欧盟或本国境内。
• 数据主权不仅是公众舆论的变化，更是法律要求，某些类型的数据必须在欧盟境内处理。
• 公众对美国公司的信任下降，促使更多企业考虑数据迁移和本地化托管。
• 美国的法律如 CLOUD Act 允许执法机构获取存储在全球的美国公司数据，增加了数据安全风险。
• 仅仅依靠物理服务器位置无法保证数据安全，公司的总部所在地同样是风险因素。
• 一些美国云服务公司尝试通过设立独立的欧盟实体来规避风险，但客户对此普遍持怀疑态度。
• 有观点认为数据在美国境内反而更安全，因为情报机构对外国服务器的操作更为自由。
• 也有观点指出美国情报机构对本国网络的监控同样没有有效限制，法律标准形同虚设。
• 数据主权的推动不仅来自监管机构，也来自企业自身对美国的不信任以及欧洲本土服务商的市场机会。
• 欧洲数字主权的核心关切是减少对美国技术和基础设施的依赖，防止美国政府利用技术手段作为政治武器。
• 美国政治的不稳定性使得欧洲国家担忧被美国政府“断电”或被用作政治胁迫工具。
• 加拿大等国家也感受到类似的主权威胁，认为美国公众对国际形势的认知存在偏差。

---

3. 恢复对 Bambu Lab 打印机的完整 BambuNetwork 支持 (Restore full BambuNetwork support for Bambu Lab printers) #

https://github.com/FULU-Foundation/OrcaSlicer-bambulab

该网页是 GitHub 上名为 OrcaSlicer-bambulab 的开源项目主页。OrcaSlicer 是一个针对 Bambu Lab 打印机的软件，恢复了完整的 BambuNetwork 支持，允许用户通过互联网而不仅仅是局域网进行打印，具备完整的正常使用和打印功能。

安装方面，Windows 系统需要启用 WSL 2 功能，并提供了具体的命令步骤；Linux 系统则只需正常安装即可；macOS 版本仍在开发中。页面还推荐用户使用 BMCU 固件，相关固件可在作者的其他仓库中找到。

该项目主要使用 C++ 语言开发，伴有少量 C、JavaScript、HTML、CMake 和 Shell 脚本代码。项目由用户 codedbyjake 维护，目前有约 2900 颗星和 922 个分支，显示出较高的社区关注度和活跃度。页面还包含项目的许可证信息（AGPL-3.0）和安全政策链接。

---

HN 热度 637 points | 评论 291 comments | 作者：Murfalo | 1 day ago #

https://news.ycombinator.com/item?id=48115127

• 卖家在售出设备后通过软件更新移除功能属于盗窃行为，无论是物理还是远程操作，都不应被认可。
• AGPL 许可证本意是防止厂商限制用户对软件的使用，BambuLab 利用其限制用户权利的行为违反了这一精神。
• BambuLab 有权限制其网络服务的访问，但不能因此阻止用户自由使用其 AGPL 授权的软件。
• 发送停止分发通知（C&D）是 BambuLab 限制非官方软件访问其网络的简单手段，但这种做法被认为不妥且幼稚。
• 通过查看公开的 AGPL 源代码，第三方修改软件使其伪装成官方客户端，并未涉及非法逆向工程。
• BambuLab 所谓的安全措施仅仅是客户端明文的用户代理字符串验证，安全性极低且容易被绕过。
• 设计性报废和限制第三方软件访问云服务是厂商常见的商业策略，但用户对此有异议。
• BambuLab 要求停止分发修改版软件的行为实际上限制了用户对 AGPL 软件的自由使用权。
• 发送 C&D 并不等同于法律诉讼，用户依然可以选择忽视，但厂商通过此举快速阻止非官方软件访问其网络。
• 类似情况在其他软件项目中也存在，如 Signal 拒绝第三方分支使用其服务器，要求自行搭建服务器。

---

4. 展示 HN：Needle——我们将 Gemini 工具调用提炼成一个 2600 万参数模型 (Show HN: Needle: We Distilled Gemini Tool Calling into a 26M Model) #

https://github.com/cactus-compute/needle

该网页介绍了一个名为 Needle 的轻量级函数调用模型，基于 Gemini 3.1，参数量为 2600 万，设计目标是能够在 Mac 或 PC 等本地设备上进行微调。Needle 模型在生产环境中运行速度较快，支持 6000 tokens/秒的预填充和 1200 tokens/秒的解码速度。模型结构采用了简单注意力网络，包含 8 层解码器和 12 层编码器，使用了多种规范化和注意力机制，且权重和数据集生成均已开源。

Needle 模型预训练使用了 16 个 TPU v6e，训练了 2000 亿个 token，后续又用单次函数调用数据集进行了微调。该模型适合在手机、手表、眼镜等消费设备上运行，虽然参数量较小，但在单次函数调用任务上表现优于一些更大模型，如 FunctionGemma-270m 和 Qwen-0.6B。

网页还提供了快速上手指南，包括克隆代码库、安装依赖、启动网页 UI 进行测试和微调。用户可以通过 Python 接口调用模型，实现基于工具的查询和推理。Needle 支持多种命令行操作，如微调、训练、评估、数据生成和 TPU 管理。

此外，网页列出了模型的引用格式和开发团队信息，强调 Needle 是一个实验性项目，旨在推动小型 AI 模型在消费设备上的应用。总体来看，该网页详细介绍了 Needle 模型的设计、性能、使用方法及其应用场景，适合对轻量级 AI 模型感兴趣的开发者和研究者参考。

---

HN 热度 631 points | 评论 181 comments | 作者：HenryNdubuaku | 1 day ago #

https://news.ycombinator.com/item?id=48111896

• 模型在处理工具调用时表现一般，尤其在选择合适工具方面存在不足，如未能正确使用邮件工具。
• 上下文信息对模型性能有显著影响，提供更多上下文能提升工具调用的准确性。
• 模型在生成具体内容（如邮件正文）和去重调用方面表现不佳，存在改进空间。
• 需要针对每个工具进行微调以提升模型的适用性和准确率。
• 现有示例中部分工具（如定时器、发送邮件、创建笔记）支持较好，但工具数量和复杂度增加时效果不稳定。
• 该模型适合在特定受控环境下使用，可能不适合复杂多工具场景。
• 有观点认为该技术有潜力用于命令行程序的自然语言解析，简化用户操作。
• 未来可能会有操作系统层面的统一自然语言解析模型，支持多工具调用和适配。

---

5. 离开 GitHub，转向 Forgejo (Leaving GitHub for Forgejo) #

https://jorijn.com/en/blog/leaving-github-for-forgejo/

这篇文章作者 Jorijn Schrijvershof 讲述了他为何决定将代码从 GitHub 迁移到自托管的 Forgejo 平台。文章指出，迁移的主要原因并非 GitHub 的频繁宕机，而是对平台归属权和数据控制权的担忧。荷兰政府也做出了类似选择，推出了基于 Forgejo 的 code.overheid.nl，用于托管政府代码，强调必须在自己拥有的平台上发布代码以符合法律要求。

作者介绍了 GitHub 在 2025 年 5 月至 2026 年 4 月间发生了 257 起事件，其中 48 起为重大宕机，累计停机时间约 112 小时。虽然宕机频发，但真正的问题在于 GitHub 因 AI 功能的快速增长而面临的巨大压力。GitHub 的 CTO 公开承认需要将容量扩大 30 倍以应对 AI 驱动的负载。

此外，2025 年 8 月，GitHub 失去了独立 CEO，成为微软 CoreAI 部门的一部分，GitHub 的产品和工程团队都纳入微软的 AI 组织管理，这意味着 GitHub 的决策更多受微软 AI 战略影响，作者对此表达了不信任。

2026 年 4 月，GitHub 默认将 Copilot 用户的交互数据用于 AI 训练，用户需主动选择退出，且无法针对特定仓库设置排除，这让作者担忧代码被用作训练数据的隐私和控制问题。私有仓库虽有一定保护，但编辑时产生的代码片段仍会被收集。

最后，文章提到 GitHub 和微软作为美国公司，受美国法律如 FISA 第 702 条和 CLOUD 法案约束，存在数据被美国政府访问的风险，这也是作者选择离开 GitHub 的重要原因之一。总体来看，作者强调了数字主权和数据控制的重要性，选择 Forgejo 实现更自主的代码托管和管理。

---

HN 热度 515 points | 评论 274 comments | 作者：jorijn | 11 hours ago #

https://news.ycombinator.com/item?id=48121266

• Git 本质上是去中心化的，GitHub 只是其中一个托管平台，离开 GitHub 不应忘记 git 的去中心化精神，且希望有自动同步的镜像避免项目消失。
• GitHub 利用所有公开仓库训练 Copilot 未告知用户，导致部分用户不愿再在 GitHub 提交个人代码。
• 目前法律和开源理念使得防止代码被用于训练 AI 几乎不可能，且即使迁移仓库，也难以阻止他人上传代码到 GitHub。
• 法律应允许知识蒸馏（distillation），使其成为双刃剑，既保护也限制使用。
• 目前案例表明模型输出不受版权保护，因此知识蒸馏是合法的，AI 公司更多依赖服务条款限制蒸馏和训练竞争模型。
• GitHub Copilot 训练数据来自公开代码库，使用了 OpenAI 的 Codex 模型，训练数据主要是公开可用的代码。
• 公开代码被用来训练 AI 是推动 AI 模型进步的重要原因，开源代码免费且开放，促进了多模型竞争。
• Copilot 曾直接返回部分代码片段，存在违反代码许可的争议。
• 训练 AI 使用公开代码被法院视为合理使用（fair use），与其他公开版权内容类似，主要法律风险在于模型输出的版权侵权。
• 代码迁移出 GitHub 并不能阻止 AI 公司抓取代码，公开网站上的代码都可能被下载用于训练。
• GPL 许可要求署名和代码共享，但模型训练过程会剥离许可信息，可能导致 GPL 许可被违反。
• 源代码可见但非开源许可通常禁止训练使用，MIT 许可要求署名但未署名后果不明确，属于灰色地带。
• 一些公开仓库有防止爬取的措施，代码不一定完全开放给所有人抓取。

---

6. 如何让你的文字看起来具有未来感（2016） (How to make your text look futuristic (2016)) #

https://typesetinthefuture.com/2016/02/18/futuristic/

这篇文章介绍了如何通过六条简单的设计规则，使文字看起来具有未来感，特别适用于科幻电影中的排版设计。文章以无衬线字体 Eurostile Bold 为例，逐步演示了如何通过斜体倾斜、局部曲线与棱角结合、添加特殊字母形态（如“V”形）、字母合并以避免过度字距、去除无意义的文字部分，以及加入金属质感、蓝色灯光和星空背景等效果，来营造未来感强烈的视觉效果。

文章还列举了多个著名科幻电影和电视剧的字体设计实例，如《银翼杀手》、《太空堡垒卡拉狄加》、《变形金刚》、《银河护卫队》、《机器人总动员》、《星球大战》、《美国队长：冬日战士》、《异形大战铁血战士》等，说明这些作品如何应用这些规则来强化其未来科技氛围。

此外，文章提到《回到未来》和《星际迷航：下一代》作为未来感字体设计的经典范例，特别是后者甚至包含了星空背景，完美体现了这些设计原则。文章还附带了读者评论，讨论了其他作品和设计细节，显示出该主题在科幻视觉设计中的广泛影响和应用。

最后，文章提醒读者，这些设计技巧已在作者的书籍《Typeset in the Future》中有更详细的介绍，并提供了预购信息。整体内容对喜欢科幻电影和字体设计的读者具有较高的参考价值。

---

HN 热度 474 points | 评论 59 comments | 作者：vaporwave | 1 day ago #

https://news.ycombinator.com/item?id=48113895

• 文字设计中存在“刻板印象”，如用 Neuland 字体代表非洲，仿中文字体代表中餐外卖菜单等。
• 视觉设计中常用字体和包装语言暗示产品属性，消费者通过这些线索辨识产品。
• 电影标志字体风格虽相似，但细节和字体类型不同，影响未来感的表达。
• 未来感字体设计总是依赖于特定的文化和时代背景。
• 《Typeset in the Future》这本书详细介绍了未来感字体的历史和灵感来源。
• Papyrus 字体因《阿凡达》电影被广泛调侃，成为“部落风”与未来感的反差代表。
• Michroma 字体被认为是 Eurostile 的 Google 字体替代品，但细节设计有所不同。
• 未来感字体的设计往往带有时代烙印，随着时间推移显得过时。
• 未来感字体风格源自 1960 年代科幻作品和杂志封面字体。
• 星际迷航的字体设计中包含假 3D 效果和星空背景，增强未来感。
• 未来感字体设计中常见的假 3D 效果和光线拖尾是标志性元素。
• 未来感字体设计中，Eurostile 字体已成为科幻字体的代表之一。
• 文字设计中的“字距战争”被幽默地描述为 2067 年的“灾难性事件”。

---

7. 设置免费 *.city.state.us 地方域名（2025） (Setting up a free *.city.state.us locality domain (2025)) #

https://fredchan.org/blog/locality-domains-guide/

本文介绍了如何在美国免费注册一个以 *.city.state.us 结尾的地方域名。地方域名是与美国某地理位置相关联的域名，最早创建于 1992 年，注册者需是美国公民、永久居民或在美国有合法办公地点的组织。

注册流程分为五步：

第一步，选择地方域名。许多地方域名的注册权已委托给不同公司，需查找最新的注册代理联系信息。如果想注册的地方域名未被委托，通常只有政府机构能注册。

第二步，获取域名服务器。地方域名注册需要先有域名服务器，文中推荐使用亚马逊 Lightsail 提供的免费 DNS 服务，创建 DNS 区域后可获得所需的域名服务器地址。

第三步，填写注册表格。需填写完整的域名、组织信息、用途描述、运营日期、管理和技术联系人信息，以及域名服务器的主机名和 IP 地址。还需满足美国身份验证要求。

第四步，将填写好的表格发送给对应的注册代理，等待审核，过程可能需要数天或数周。

第五步，完成 Lightsail 中的 DNS 配置，添加指向目标服务器的 DNS 记录，完成后即可访问新注册的地方域名。

文中还提到，是否必须居住在注册地不确定，WHOIS 查询不会泄露个人地址信息。作者感谢其他相关指南的帮助，分享了自己的实践经验。

---

HN 热度 453 points | 评论 148 comments | 作者：speckx | 9 hours ago #

https://news.ycombinator.com/item?id=48122635

• 地方域名注册存在较大困难，尤其是需要地方政府出具公证信函，且部分城市政府对此程序不明确或不支持。
• 一些地方域名注册商因运营者去世或停止服务，导致域名续费和管理面临风险，可能导致域名消失。
• 地方域名的管理和使用受制于繁琐的官僚程序，尤其是中大型城市难以配合审批。
• 早期互联网设计者如 Jon Postel 曾设想过非商业化的分层地理域名体系，但未能实现，现今 ICANN 体系更多以商业利益为导向。
• 域名行业结构复杂，ICANN 主要服务注册局，注册用户反而成为产品，注册商则起到责任屏障作用。
• 域名滥用和钓鱼网站举报处理效率低，缺乏统一和有效的管理机制。
• 域名抢注和停放现象普遍，ICANN 争议解决费用高昂，令维权成本过高。
• 域名曾经免费，直到 1995 年后开始收费。
• 个人对域名注册商的服务体验差异较大，部分注册商响应及时，部分则因运营者失联导致服务中断。
• 通过公开信息可对域名注册者进行较详细的背景调查。
• 获取地方政府公证信函可能并不如想象中困难，关键在于态度和专业性。
• 地方域名的实际用途和价值存在疑问，有人尝试用类似格式搭建新的地理域名体系。

---

8. 告诉《纽约时报》、《大西洋》和《今日美国》保留时光机 (Tell NYT, Atlantic, USA Today to keep Wayback Machine) #

https://www.savethearchive.com/newsleaders/

该网页是一份面向新闻记者的请愿书，呼吁《纽约时报》、《大西洋》和《今日美国》等主要媒体停止阻止互联网档案馆（Internet Archive）通过“时光机”（Wayback Machine）保存新闻报道的行为。请愿书指出，自今年 2 月起，《纽约时报》已要求互联网档案馆停止保存其记者作品，而《今日美国》虽然依赖时光机进行报道，却同时阻止其内容被归档。《大西洋》虽表达关注但未承诺解决方案。

请愿书强调，新闻自由不仅是写作自由，更是确保新闻被长期保存和阅读的自由。时光机作为一个独立、非营利的公共资源，长期保存新闻内容，对于抵抗审查、维护新闻真实性尤为重要。面对人工智能带来的挑战，时光机的存在比以往任何时候都更为关键，因为 AI 公司往往无视规则，未经许可抓取新闻内容，而互联网档案馆则坚持诚信运营。

请愿书呼吁主要媒体领导层公开承诺与互联网档案馆合作，确保新闻内容能够被时光机保存，以保护记者的工作成果不被遗忘，维护新闻的历史价值和社会公正。文末还附带了多篇相关报道链接，进一步阐述了时光机面临的威胁及其重要性，并提供了联系方式供媒体采访和其他咨询。

---

HN 热度 404 points | 评论 114 comments | 作者：doener | 1 day ago #

https://news.ycombinator.com/item?id=48115807

• archive.org 尊重 robots.txt 协议，因而被部分网站屏蔽，导致无法归档这些网站内容。
• 尊重 robots.txt 是合法且理智的做法，否则可能面临诉讼风险。
• 一些大型 AI 公司无视 robots.txt，进行内容抓取以盈利。
• 互联网档案馆（Internet Archive）公开重新分发内容，而 AI 公司通常不公开分发抓取内容。
• robots.txt 主要控制爬虫抓取行为，不阻止用户主动访问网页。
• robots.txt 和标签作用不同，前者控制爬取，后者控制索引和缓存。
• 有人质疑为何不希望公开博客被归档，反映出对内容控制的不同需求。
• 关闭互联网档案馆对阻止 AI 抓取内容帮助有限，因为 AI 公司有其他绕过手段。
• 版权保护和内容抓取的法律边界在 AI 训练数据使用上仍存在争议。
• 训练 AI 模型是否涉及版权侵权，及其是否属于合理使用，法律尚无明确判例。

---

9. 加拿大的 C-22 法案是去年监控噩梦的翻版 (Canada’s Bill C-22 Is a Repackaged Version of Last Year’s Surveillance Nightmare) #

https://www.eff.org/deeplinks/2026/05/canadas-bill-c-22-repackaged-version-last-years-surveillance-nightmare

这篇文章由电子前沿基金会（EFF）发布，标题为《加拿大的 C-22 法案是去年监控噩梦的翻版》。文章指出，加拿大政府去年提出的 C-2 法案因侵犯数字权利而遭到隐私社区强烈反对，未能进入委员会审议。今年春天推出的 C-22 法案（又称“合法访问法案”）在保留许多问题的同时，对部分内容进行了调整。

C-22 法案要求数字服务提供商（包括电信公司和消息应用）保存用户元数据长达一年，并扩大与包括美国在内的外国政府的信息共享。元数据能揭示用户的通信对象、位置和时间，扩大收集将增加用户隐私风险。此外，法案允许公共安全部长要求公司为执法部门创建后门访问数据，只要不引入“系统性漏洞”，且禁止公司公开这些命令的存在。

文章指出，法案中“系统性漏洞”和“加密”的定义模糊，可能被政府用来绕过加密保护。类似英国去年政府要求苹果为其高级数据保护功能设置后门，导致该功能被撤销的情况也令人担忧。Meta 和苹果均反对该法案，美国国会相关委员会也对加拿大政府的后门要求表达了关切。

文中强调，后门带来的安全风险是真实存在的，举例 2024 年“盐台风”黑客事件利用执法访问系统进行攻击。作者呼吁加拿大应保障强有力的隐私保护、透明的数据处理机制和加密数据的明确安全措施，而 C-22 法案未能做到这些，反而扩大了对技术公司的数字监控权限。

文章还附带了相关链接，包括法案全文、加拿大公民自由协会的声明、以及 EFF 对之前 C-2 法案的分析。整体来看，文章批评 C-22 法案是对数字隐私的严重威胁，呼吁公众关注并反对该法案。

---

HN 热度 365 points | 评论 120 comments | 作者：Brajeshwar | 1 day ago #

https://news.ycombinator.com/item?id=48111531

• 加拿大的 C-22 法案要求强制数据保留和加密后门，会导致加密通讯服务如 Signal、WhatsApp 等拒绝加拿大用户和企业使用。
• 反对该法案应联系加拿大议员和公共安全部长，利用多个工具发送邮件表达反对意见。
• 虽然加拿大执政党通常能推动立法，但多方施压仍有意义，议员和部长职责不同。
• 与极权国家如俄罗斯相比，加拿大的民主和选举仍有实质意义，不能简单类比。
• 一些第三世界国家在日常生活中有更多自由，如无需许可证、政府干预少、现金经济盛行，但缺乏法治和保障。
• 北美虽有更多法律和规章，但高税负、高房租和繁琐的行政手续限制了实际自由。
• 监管和法律虽然带来限制，但也保护了公众安全、家庭权益和劳动者权利，缺乏监管可能导致强者或腐败者肆意妄为。
• 政府过大可能导致腐败，政府过小则可能被其他势力取代，理想状态是强而有力且廉洁的政府。
• 自由的限制往往是为了保障社会整体利益和其他人的自由，完全的自由在社会中难以实现。
• 面对财产被强行夺走的情况，法律途径是唯一选择，但实际操作中可能效果有限，甚至需要靠自身防卫。

---

10. Quack：DuckDB 客户端-服务器协议 (Quack: The DuckDB Client-Server Protocol) #

https://duckdb.org/2026/05/12/quack-remote-protocol

本文介绍了 DuckDB 团队推出的 Quack 远程协议，该协议使得多个 DuckDB 实例能够相互通信，实现客户端-服务器架构下的多并发写入。Quack 基于 HTTP 协议，简单易用且性能优越，适用于从批量操作到小事务的各种工作负载。

文章回顾了数据库架构的发展历程，指出传统数据库多采用客户端-服务器模式，虽然方便管理和多客户端访问，但协议开销较大。DuckDB 作为一种嵌入式数据库，采用进程内架构，适合数据科学等交互式场景，但在多进程同时修改同一数据库文件时存在技术限制。为此，社区曾开发多种解决方案实现 DuckDB 的客户端-服务器功能，但均为权宜之计。

Quack 协议的设计初衷是为 DuckDB 提供原生的客户端-服务器支持。用户只需在两个 DuckDB 实例中安装并加载 Quack 扩展，即可通过简单的命令实现实例间的数据查询和传输，支持复杂查询和大数据量操作。协议基于 HTTP，利用其成熟的生态系统优势，支持身份验证、负载均衡等功能，并兼容 DuckDB-Wasm，使浏览器中的 DuckDB 实例能够直接连接远程服务器。

Quack 采用请求-响应模式，消息包括连接请求、身份验证、查询执行及结果分批获取，数据序列化使用 DuckDB 内部高效的编码格式。总体而言，Quack 协议为 DuckDB 拓展了新的应用场景，提升了用户体验，兼顾了架构创新与实用性。

---

HN 热度 364 points | 评论 77 comments | 作者：aduffy | 1 day ago #

https://news.ycombinator.com/item?id=48111765

• Quack 协议解决了 DuckDB 在客户端查看数据时需要关闭服务器的问题，提升了使用体验。
• DuckDB 被广泛应用于数据整合、分析和数据管道，因其简单易用和低门槛受到青睐。
• 通过 DuckDB 可以轻松将不同数据源合并到一个实例中进行查询，减少了复杂的环境搭建和学习成本。
• DuckDB 既可以作为本地查询引擎，也可以作为组件嵌入其他系统，具备多种使用场景。
• DuckDB 的发展方向是成为现代数据工具栈的核心引擎，支持多种扩展功能如地理空间和概率查询。
• DuckDB 的多样化功能不会影响其核心引擎的使用，用户可以根据需求选择性使用。
• DuckDB 在数据管道中表现出色，能够提供类似大数据平台的性能，但无需复杂基础设施。
• Quack 协议使得 DuckDB 的客户端-服务器通信更清晰，适合在更大规模的工作流中作为执行层使用。
• DuckDB 并非想成为 Postgres，而是作为更大工具链中的 SQL 执行层，解决数据管理和操作的复杂性。
• DuckDB 与 MotherDuck 是独立的项目，Quack 协议与 MotherDuck 的专有协议不同，支持不同的功能。

---

Hacker News 精彩评论及翻译 #

Why senior developers fail to communicate their ex… #

https://news.ycombinator.com/item?id=48113129

Because the most important parts of the expertise are coming from their internal “world model” and are inseparable from it.

An average unaware person believes that anything can be put in words and once the words are said, they mean to reader what the sayer meant, and the only difficulty could come from not knowing the words or mistaking ambiguities. The request to take a dev and “communicate” their expertise to another is based on this belief. And because this belief is wrong, the attempt to communicate expertise never fully succeeds.

Factual knowledge can be transferred via words well, that’s why there is always at least partial success at communicating expertise. But solidified interconnected world model of what all your knowledge adds up to, cannot. AI can blow you out of the water at knowing more facts, but it doesn’t yet utilize it in a way that allows surprisingly often having surprisingly correct insights into what more knowledge probably is. That mysterious ability to be right more often is coming out of “world model”, that is what “expertise” is. That part cannot be communicated, one can only help others acquire the same expertise.

Communicating expertise is a hint where to go and what to learn, the reader still needs to put effort to internalize it and they need to have the right project that provides the opportunity to learn what needs to be learnt. It is not an act of transfer.

hamstergene

因为专业知识中最重要的部分来源于他们内部的“世界模型”，而且与之不可分割。

普通不了解情况的人认为，任何东西都可以用言语表达，一旦说出了话语，听者就会理解说话者的意思，唯一的困难可能是因为不懂词语或误解了歧义。要求让一名开发者“传达”他们的专业知识给别人正是基于这种信念。而因为这种信念是错误的，试图传达专业知识从来没有完全成功过。

事实性的知识可以通过语言很好地传递，这就是为什么传达专业知识总会有至少部分成功的原因。但把你所有知识整合起来的、稳固的相互关联的世界模型则无法传递。人工智能在知道更多事实方面可以远远超过你，但它还没有以一种方式利用这些事实，使得它能够惊人地、频繁地正确推断出更多知识的可能内容。那种更频繁正确的神秘能力来源于“世界模型”，这就是“专业知识”。这一部分无法传达，只能帮助别人获得同样的专业知识。

传递专业知识只是在提示学习的方向和内容，读者仍然需要付出努力去内化它，并且他们需要有合适的项目提供学习所需知识的机会。这不是一个转移的过程。

---

I moved my digital stack to Europe #

https://news.ycombinator.com/item?id=48120945

For the past days I’ve been participating(albeit over Teams) in a conference relevant to my industry (intel), basically startups and established companies showcasing their products to a closed audience of EU gov. officials.

One thing I noticed right away, is that all companies were asked “Can we fully host this from within EU or our country” from the various people in audience. Every single one. Many of the startups had slides prepared for this.

Definitely a change, because it is not something I can recall being important just a couple of years ago.

TrackerFF

过去几天，我一直通过Teams参加一个与我所在行业（英特尔）相关的会议，基本上是初创公司和成熟企业向欧盟政府官员的封闭观众展示他们的产品。

我立刻注意到的一点是，观众中的不同人员都会问所有公司一个问题：“我们能否完全在欧盟或我们自己的国家内部托管这些服务？”每一家都被问到这个问题。许多初创公司甚至为此准备了专门的幻灯片。

这绝对是一个变化，因为我记得几年前这还不是一个重要的问题。

---

Restore full BambuNetwork support for Bambu Lab pr… #

https://news.ycombinator.com/item?id=48116180

This isn’t actually possible

This is only true due to a firmware they pushed last year. It’s an artificial limit.

There’s no reason at all a local client couldn’t just talk to a local printer without any cloud.

Every problem BambuLabs have here is self-inflicted. They could allow simultaneous cloud and local queue management with or without authentication.

oliwarner

这实际上是不可能的。

这只是因为他们去年推送的固件导致的。这是人为设置的限制。

本地客户端完全可以直接与本地打印机通信，根本不需要任何云端。

BambuLabs 在这里遇到的所有问题都是自找的。他们完全可以允许同时进行云端和本地队列管理，无论是否需要认证。

---

Restore full BambuNetwork support for Bambu Lab pr… #

https://news.ycombinator.com/item?id=48120160

It’s maddening that quite a few people are jumping to defend Bambu here.

Principally if you sell a device with a certain functionality and you later modify that device later to remove that functionality that is called theft. It does not matter the slightest bit whether you break into someone’s house to physically alter the device or whether you remotely install a malicious software update to do that.

But what’s even more insane here is that some people are claiming that BambooLabs would somehow have the right to do this, because while BambooLab might not have the right to limit the hardware they already sold (which they did and these people just pretend did not happen) they have the right to limit their printer client software under the license conditions they impose on it from the beginning, when their printer client is literally a modification of AGPL licensed software. The entire point of the GPL is to prevent people like BambooLabs from doing exactly this. The AGPL is literally the single license with the most restrictions on BambooLabs to ensure that the users of the software — the customers — do not have any restrictions in what they can do with it.

Some people are seeing this situation and just decide to side with the company against their customers on imposing restrictions on an already sold product after the sale and they are literally making shit up to justify it.

Edit: For people who do not know what this is about: Someone modified AGPL software to reenable features of these 3D printers that BambooLabs stole after the sale and BambooLabs sent a legal threat to them to stop distributing the software.

basilikum

令人气愤的是，居然有不少人在这里跳出来为Bambu辩护。

主要问题是，如果你卖出一台带有某种功能的设备，后来又修改这台设备以去除该功能，这就叫偷窃。不管你是闯进别人家里物理篡改设备，还是远程安装恶意软件更新来实现，这一点一点都无关紧要。

更疯狂的是，有些人声称BambooLabs有权这么做，因为虽然BambooLabs可能没有权利限制他们已售出的硬件（他们确实这么做了，但有人偏偏假装没发生过），但他们有权根据从一开始就加在打印机客户端软件上的许可条款来限制软件使用，而他们的打印机客户端实际上是基于AGPL许可软件的修改版。GPL许可的全部意义就在于防止像BambooLabs这样的人做这种事情。AGPL许可实际上是对BambooLabs限制最多的许可，确保软件用户——即客户——在使用软件时不受到任何限制。

有些人看到这种情况后，选择站在公司一边，反对客户，支持售出后对已售产品加以限制，甚至编造理由为此辩护。

补充说明：对于不了解情况的人，这件事是这样的：有人修改了AGPL软件，重新启用了BambooLabs在售后盗取的这款3D打印机功能，而BambooLabs则发出法律威胁，要求停止分发这款软件。

---

US inflation jumps to 3.8% as energy costs surge f… #

https://news.ycombinator.com/item?id=48108835

I can’t think of a single way in which the United States came out ahead in the war. We have

• Demonstrated that the US simply can’t offer any meaningful security guarantee to it’s middle east partners.

• Permanently ceded de facto control over the straits of Hormuz to Iran

• Significantly strengthened the hardliners in the Iranian regime and cleared the way for them to have absolute power by eliminating all moderates

• Spiked inflation at home and doubled down on pissing off pretty much every single country except Russia by heaping sky rocketing energy costs on them

• Exposed the perilous state of of the defense industrial base (in spite of us spending more than the next 10 countries combined). We simply can’t produce enough military hardware to sustain a sustained conflict with a country like Iran. I shudder to think just how badly we will be outmatched in a shooting war with China.

All of this to get to a point where we are negotiating a deal which is worse than what we already had with the JCPOA.

I think we will look back on this as the US version of the Suez crisis, the beginning of the end of the US empire.

khriss

我想不到美国在这场战争中有什么赢得的地方。我们已经：

• 证明美国根本无法为其中东盟友提供任何有意义的安全保障。

• 永久性地实际上将霍尔木兹海峡的控制权拱手让给了伊朗。

• 大幅增强了伊朗政权中的强硬派，通过消除所有温和派，为他们获得绝对权力扫清了道路。

• 使国内通胀飙升，并通过让几乎所有国家（除了俄罗斯）承担飙升的能源成本，进一步激怒了他们。

• 揭示了国防工业基础的危机状态（尽管我们花费的军费超过排名后面十个国家的总和）。我们根本无法生产足够的军事装备来维持与伊朗这样的国家的持续冲突。想到如果与中国发生枪战，我们将被远远压制，真是令人不寒而栗。

所有这一切，最终却让我们谈判出一个比之前《联合全面行动计划》（JCPOA）更糟糕的协议。

我认为，未来我们会把这看作是美国版的苏伊士危机，是美国帝国走向终结的开始。

---

The Future of Obsidian Plugins #

https://news.ycombinator.com/item?id=48111426

Obsidian CEO here. We’ve been working for nearly a year to launch this new Community site and review system. I’m very excited about this first version but there are many more improvements to come.

I’ve tried to be exhaustive with the blog post, FAQs, and next steps on our roadmap, but I am sure I forgot some things, so feel free to ask!

This has been an incredibly challenging project for a number of reasons. We’re only seven people but we have thousands of plugin developers and millions of users. There are many competing priorities to balance.

We wanted to make sure the new system would be easy to adopt, backwards compatible, and not completely break people’s workflows, while still being a major improvement over the old approach, and allow us to gradually continue enhancing security and discoverability of plugins.

Consider it a work in progress. We’re listening to everyone’s ideas and gripes, and will keep iterating :)

kepano

我是Obsidian的CEO。我们花了将近一年的时间来推出这个全新的社区网站和评价系统。我对这个第一个版本感到非常兴奋，但未来还有更多改进会陆续推出。

我努力在博客文章、常见问题解答以及路线图的下一步中尽可能详尽地说明，但我相信肯定还有遗漏的地方，欢迎大家随时提问！

这个项目非常具有挑战性，原因有很多。我们团队只有七个人，但我们有成千上万的插件开发者和数百万用户需要服务。需要平衡许多相互竞争的优先事项。

我们希望确保新系统易于采用，向后兼容，不会彻底破坏用户的工作流程，同时又比旧系统有重大改进，并且允许我们逐步提升插件的安全性和可发现性。

请把它看作一个正在进行中的项目。我们听取每个人的想法和抱怨，并会持续改进 :)

---

If AI writes your code, why use Python? #

https://news.ycombinator.com/item?id=48105286

One obvious reason is Python’s extreme readability, it has often been described as being as close to executable pseudo-code as one can get.

If you’re using an LLM to write code I think the rules would be

1. Use a language you know really well so you can read it easily, and add to it as needed.

2. Use a language that has a large training set so the LLM can be most efficient.

3. Use a language that is easy to read.

If your language has a small training set or you don’t intend to do much addition or you don’t really know any language that well or are restricted from using choice 1 for some reason, 2 and 3 move up, and python has a large training set and it is easy to read.

bryanrasmussen

一个显而易见的原因是Python极佳的可读性，它常被描述为最接近可执行伪代码的语言。

如果你使用大型语言模型来写代码，我认为规则应该是：

1. 使用你非常熟悉的语言，这样你可以轻松阅读，并根据需要进行扩展。

2. 使用训练数据量大的语言，这样大型语言模型的效率最高。

3. 使用易读的语言。

如果你的语言训练数据少，或者你不打算做太多扩展，或者你不太熟悉任何语言，或者因为某些原因不能使用第一条，那么第二条和第三条就变得更重要，而Python恰好训练数据量大且易读。

---

Screenshots of Old Desktop OSes #

https://news.ycombinator.com/item?id=48106099

Operating systems of that era were designed based on UX research to help people use the unfamiliar operating system.

Subsequent ones were designed by UI designers, and opinionated senior managers, who already knew how to use them, and took out usability features to make them “look nicer”. This sort of worked when the opinionated manager was Steve Jobs. Most managers are not Steve Jobs.

in some applications they seem to have taken extra steps to make it difficult to find the line to grab

Pet peeve of mine in Windows where the line is at most one pixel now. They also took away the coloured distinction between title bars for the active window, so you don’t know where keystrokes are going to go.

pjc50

那个时代的操作系统设计是基于用户体验研究，目的是帮助人们使用不熟悉的操作系统。

后来的操作系统则由用户界面设计师和自以为是、已经会使用系统的高级管理者设计，他们为了让界面“看起来更好”，删减了许多易用性功能。当自以为是的管理者是史蒂夫·乔布斯时，这种做法还算有效。但大多数管理者都不是乔布斯。

在某些应用程序中，他们似乎特意让抓取分割线变得很难找

这是我在Windows上的一个个人烦恼，现在分割线最多只有一像素宽。他们还取消了活动窗口标题栏的颜色区分，因此你无法判断按键输入会发送到哪个窗口。

---

Googlebook #

https://news.ycombinator.com/item?id=48112567

I would go for a Mac Air or Neo, but only if I could install ChromeOS.

To each their own, but this is absolute insanity.

eoidwojcisjc

我会选择Mac Air或Neo，但前提是我能安装ChromeOS。

各人有各人的选择，但这简直就是疯狂。

---

Starship V3 #

https://news.ycombinator.com/item?id=48118720

Quick update for the folks passionate about space things (since this thread is full of unrelated comments):

V3 is their first Starship family big upgrade, containing lots of learnings from previous tests, and the big engine upgrades. V3 engines are the first iteration of a production engine, with lots of sensors and auxiliary systems integrated into the engine itself. Besides the improvements in thrust, they’ve streamlined the production, moved a lot of stuff “inside” the engine (the first iterations looked like something out of the steampunk era), and they’ve simplified lots of fire/heat protection.

The Booster and Ship also got some major redesigns in the way they’re handling fuel, the “thrust puck” (the area where the engines get mounted) and so on. It’s also a bit taller, helped by the engine upgrades. TWR has also improved, with estimates at 1.6. This should be visibly faster to clear the tower and “jump” the launch.

They are also adding ~44tons of simlinks (starlink simulators, dumb payloads). So they seem to have improved the margins for orbital payload a lot. New this launch will be a few sats that have comms & cameras on them. Hopefully we’ll get to see outside shots of Starship from these things, on orbit. They’ve filed FCC paperwork for this, and they’ll likely use it to inspect the health of the heatshield on orbit.

They’ve also updated the launch tower, with a flame deflector, and a new deluge system.

This flight will be still suborbital, testing payload deployment, booster return to a fixed point somewhere in the coastal waters, and the ship aiming for somewhere in the Indian Ocean. They’ve also removed some parts of hte heatshield, to test how it handles that. (on a previous flight the ship still nailed its simulated landing with huge gaps in it, from multiple tiles missing intentionally).

If everything works on this flight, the next one is planned to be orbital.

NitpickLawyer

给热衷于航天的小伙伴们的快速更新（因为这条帖子里充满了无关评论）：

V3 是他们星舰系列的首个重大升级，包含了之前测试的大量经验教训，以及发动机的大幅改进。V3 发动机是生产型发动机的第一代版本，集成了大量传感器和辅助系统。除了推力的提升外，他们还简化了生产流程，把很多部件“放进”了发动机内部（初代设计看起来像蒸汽朋克时代的东西），并且简化了很多防火/防热措施。

助推器和飞船在燃料处理、发动机安装区域（“推力盘”）等方面也进行了重大重新设计。由于发动机升级，整体结构也稍微变高了一些。推重比也提升了，估计达到1.6，这意味着飞船能更快通过发射塔并实现“跳跃”起飞。

这次发射还会搭载约44吨的模拟卫星（星链模拟器，即无智能有效载荷）。这表明他们大大提高了轨道有效载荷的余量。这次发射的新内容是搭载了通讯和摄像设备的几颗卫星。希望能通过这些卫星在轨道上拍摄到星舰的外观。他们已经向FCC递交了相关文件，预计会用这些卫星来检查轨道上热盾的状况。

发射塔也得到了升级，新增了火焰挡板和新的喷淋系统。

这次飞行依旧是亚轨道的，测试有效载荷的投放，助推器返回到沿海水域的指定固定地点，飞船则预计降落在印度洋某处。热盾的一些部分被移除，用来测试其承受能力。（之前一次飞行中，飞船在大量热盾瓷砖故意缺失的情况下依旧准确完成模拟着陆）。

如果这次飞行一切顺利，下一次计划进行轨道飞行。

---

Googlebook #

https://news.ycombinator.com/item?id=48113663

Huh, I shopped for clothes using AI today.

Not super relevant to the Googlebook ad, but in case the perspective is interesting to you: I’m quite tall (194cm) but not very wide, so I usually struggle with buying clothes online. I used AI to scrape a bunch of clothing stores to see whether they sold a men’s shirt with an LT or slim fit size, in stock, and matching a particular vibe.

robbie-c

嗯，我今天用人工智能买了衣服。

虽然和谷歌图书的广告没什么太大关系，但如果你对这个视角感兴趣：我个子挺高的（194厘米），但不算宽，所以我通常在线买衣服挺难的。我用人工智能搜集了很多服装店的信息，看看他们是否有库存的男士LT尺码或修身款衬衫，而且风格符合特定的感觉。

---

Googlebook #

https://news.ycombinator.com/item?id=48114006

My wife got upset with me when I dns-blocked all the ads.

It sounds totally insane but we’re the minority here. That’s why Google is a $4.5 trillion company.

selectodude

我屏蔽了所有广告后，我妻子对我很不满。

这听起来完全疯狂，但我们是少数派。这就是谷歌市值达到4.5万亿美元的原因。

---

Leaving GitHub for Forgejo #

https://news.ycombinator.com/item?id=48121536

While I’m not forgetting the spirit of what Git is, I’m also remembering how GitHub used “all open repositories” to train their first Copilot without telling anyone.

So, no thanks. I’ll not be committing any personal code there anymore.

And no, I don’t care for the social aspects either. Discoverability, stars, and AI bot powered issue bombardment.

I’m fine like this.

Also, remember, “Open Source is not about You”.

bayindirh

虽然我没有忘记Git的精神，但我也记得GitHub是如何在没有告诉任何人的情况下，利用“所有公开仓库”来训练他们的第一个Copilot。

所以，不用了。我不会再在那儿提交任何个人代码了。

而且，我对社交方面也不感冒。可发现性、星标，还有由AI机器人驱动的问题轰炸。

我现在这样挺好。

另外，请记住，“开源不是关于你个人的”。

---

As researchers age, they produce less disruptive w… #

https://news.ycombinator.com/item?id=48114886

I prefer the full quote by Douglas Adams.

I’ve come up with a set of rules that describe our reactions to technologies:

1. Anything that is in the world when you’re born is normal and ordinary and is just a natural part of the way the world works.

2. Anything that’s invented between when you’re fifteen and thirty-five is new and exciting and revolutionary and you can probably get a career in it.

3. Anything invented after you’re thirty-five is against the natural order of things.

hackthemack

我更喜欢道格拉斯·亚当斯的完整引用。

我总结了一套描述我们对技术反应的规律：

1. 你出生时世界上已有的东西，是正常且平凡的，是世界运行方式的自然组成部分。

2. 你十五岁到三十五岁之间发明的东西，是新鲜、令人兴奋、革命性的，并且你很可能能在其中找到职业。

3. 你三十五岁以后发明的东西，则违背自然规律。

---

Reimagining the mouse pointer for the AI era #

https://news.ycombinator.com/item?id=48112907

My first impression coming away from this is skepticism.

Anything with voice controls for routine use is a pretty tough sell. Doing this when you’re not completely alone would be annoying to everyone around you.

Most of their examples seem like they could have been done with a right click drop down menu so they don’t really need to “re-invent the mouse pointer”.

So is this thing talking to Google’s servers all the time for the AI integration? So it won’t work if you’re not connected to the internet? Privacy concerns are obvious; now Google wants to have an AI watching literally everything you do on your computer?

Does it cost the user anything for the LLM use? If it’s free will it stay free forever? That’s quite a lot to give away if they’re expecting people to use it to change a single word like in one of their examples. I guess they’re expecting to make the money back by gathering data about literally everything you do on your computer.

There might be a killer app for AI integration with personal computers that has yet to be invented, but this doesn’t look like it.

why_at

我对这件事的第一印象是怀疑。

任何带有语音控制的常规使用功能都很难被接受。如果你不是完全独自一人，使用语音控制会让周围的人感到烦躁。

他们大多数示例看起来都可以通过右键点击的下拉菜单来完成，所以其实并不需要“重新发明鼠标指针”。

那么这个东西是不是一直在跟谷歌的服务器通信以实现AI集成？如果没有联网就不能使用？隐私问题显而易见；现在谷歌想通过AI监控你在电脑上做的每一件事？

使用大型语言模型(LMM)是否对用户收费？如果免费，它会一直免费吗？如果他们期望人们用它来修改一个单词，就像他们举的某个例子那样，那真是付出了很大的代价。我猜他们期望通过收集你在电脑上做的所有事情的数据来赚回钱。

AI与个人电脑集成可能会有一个杀手级应用，但这看起来并不是。

---

Why senior developers fail to communicate their ex… #

https://news.ycombinator.com/item?id=48111182

As a /senior/ developer I really dislike blanket statements. I’ve seen the same amount of failures caused by

“Do we really need that?” > “What happens if we don’t do this?” > “Can we make do for now? Maybe come back to this later when it becomes more important?”

as with experimenters. Every system is different, every product is different. If I were building firmware for a CT scanner, my approach towards trying out new things would be different than a CRUD SaaS with 100 clients in a field that could benefit from a fresh perspective.

There are definitely ways to have eager/very open seniors drive systems into hard to get out corners. But then there are people that claim PHP5 is all you need.

lnenad

作为一名资深开发者，我非常不喜欢一刀切的判断。我见过同样多的失败案例，都是因为

“我们真的需要这个吗？”
“如果我们不这样做会怎样？”
“我们能先将就一下吗？也许等到这件事更重要的时候再回来处理？”

这些问题带来的失败，就像那些实验者带来的失败一样。每个系统都不同，每个产品也不同。如果我在为CT扫描仪开发固件，我尝试新东西的方式肯定会和为一个拥有100个客户、可以从新视角中受益的CRUD型SaaS产品不一样。

确实，有些热心而非常开放的资深人员会推动系统走入难以脱身的死胡同。但也有些人声称只需要PHP5就够了。

---

2026 05 13 HackerNews

2026-05-13 07:07:19

2026-05-13 Hacker News Top Stories #

1. TanStack 仓库因 GitHub Actions 被投毒而向 42 个包发布 84 个恶意版本，植入窃密自传播脚本后虽迅速下架，官方仍建议全面更换凭证并加固工作流。
2. Bambu Lab 借强制云端与法律施压限制社区与本地控制，损害开源信任与用户隐私，建议转向更开放且更安全的替代方案。
3. 强模型正推动以 Rust/Go 等类型严谨、编译快的系统语言替代部分 Python 场景，开发者角色转向架构与评审，但生态与领域特例仍限制全面替代。
4. GitLab 宣布裁员并终止 CREDIT 价值观，重组为数十个自治团队并押注 AI 代理与基础设施重构，以降本提效并重塑产品路线。
5. 1983-1989 年多平台 GUI 截图集展示了从早期粗糙到成熟桌面环境的演进与技术分野，具历史与参考价值。
6. 一个基于 uBlock Origin Lite 的扩展将广告替换为《他们生活》标语方块，需开发者模式启用且仅对化妆过滤生效，可能轻微影响布局。
7. 软件架构应在实践与组织激励（康威定律）约束下演进，重视解耦与正确接口并随目标变化快速调整，以简化构建和模块化吸引多元贡献。
8. 欧盟拟限制针对未成年人的无限滚动、自动播放与推送并推进高隐私年龄校验，同时强化平台对算法放大内容的责任。
9. UCLA 发现小分子 DDL-920 可在小鼠中风后激活特定神经元恢复脑网络节律并改善运动，或为药物化康复开路并推进临床验证。
10. 作者用着色器在浏览器中以光线行进与瑞利/米氏散射等实现真实天空与日落渲染，并探索基于 LUT 的高效方案与演示。

1. 事后分析：TanStack NPM 供应链攻击事件 (Postmortem: TanStack NPM supply-chain compromise) #

https://tanstack.com/blog/npm-supply-chain-compromise-postmortem

该网页详细介绍了 2026 年 5 月 11 日 TanStack npm 供应链遭受的恶意攻击事件。攻击者利用 GitHub Actions 的 pull_request_target 权限和缓存中毒漏洞，结合运行时提取 OIDC 令牌的手段，发布了 42 个 @tanstack/* npm 包的 84 个恶意版本。虽然 npm 发布流程本身未被直接攻破，且未发现 npm 令牌被盗，但恶意版本包含一个约 2.3MB 的混淆脚本，会在安装时窃取 AWS、GCP、Kubernetes、Vault、GitHub、SSH 等多种凭证，并通过加密的 Session/Oxen 网络进行数据外泄，同时自我传播，影响范围广泛。

事件发生在 UTC 时间 19:20 至 19:26 之间，恶意版本在 20 分钟内被外部安全研究人员发现并报告。受影响版本已被废弃，npm 安全团队已介入并下架相关包。官方强烈建议在 2026 年 5 月 11 日安装过受影响版本的用户，立即更换所有相关云服务和开发环境的凭证。

攻击的根本原因是 GitHub Actions 配置中的 pull_request_target 触发器允许恶意代码执行，结合缓存中毒和 OIDC 令牌滥用，形成了完整的攻击链。事件经过了详细的时间线描述，包括攻击准备、缓存中毒、恶意发布、检测响应和后续修复措施。官方已发布安全公告，清理缓存，强化工作流配置，并请求 CVE 编号，全面提升安全防护。

---

HN 热度 1053 points | 评论 440 comments | 作者：varunsharma07 | 1 day ago #

https://news.ycombinator.com/item?id=48100706

• 撤销被盗令牌时需谨慎，恶意代码可能设置定时检测服务，一旦令牌被撤销会自动删除相关文件。
• 安装了恶意软件后，最好彻底重装系统以确保安全。
• 如果没有设置无密码 sudo，攻击者获取 root 权限的难度会增加，但内核漏洞可能被利用。
• sudo 机制存在安全漏洞，恶意软件可以伪造 sudo 命令窃取密码或在用户认证后获取 root 权限。
• 通过包裹 sudo 命令或循环验证 sudo 会话尝试维持权限，但实际操作中难度较大。
• 使用别名或函数监控 sudo 路径和哈希值只能起到有限的安全作用。
• Windows 的 Ctrl-Alt-Del 设计初衷是防止恶意软件伪造登录界面，但早期系统仍可能被内核级恶意软件拦截。
• 直接调用 sudo 的绝对路径可以减少被篡改的风险，但如果 shell 被替换或被注入代码，仍然无效。
• 恶意软件可能通过键盘记录和替换 shell 配置文件获取密码并执行 sudo 命令。
• 使用 Yubikey 等物理认证设备可以提升 sudo 安全性，但仍无法完全防止 shell 被篡改执行伪造 sudo。
• 物理安全认证和 TPM 技术有助于提高安全性，但自动化操作和易用性仍是挑战。
• sudo 应设计多级权限管理，区分安装软件和系统控制权限以降低风险。
• 现代 Linux 系统中，许多软件安装不必依赖 sudo 权限，可以安装到用户目录。
• 绑定特权端口等操作仍需 root 权限，但可以通过设置 Linux 能力（capabilities）实现无 sudo 权限运行。
• 通过编译不可变根文件系统和网络启动等方式，可以减少运行时对 root 权限的依赖。

---

2. Bambu Lab 正在滥用开源社会契约 (Bambu Lab is abusing the open source social contract) #

https://www.jeffgeerling.com/blog/2026/bambu-lab-abusing-open-source-social-contract/

这篇博客文章由 Jeff Geerling 撰写，主要讲述了他对 3D 打印机品牌 Bambu Lab 的失望和批评。作者曾经使用过 Bambu Lab 的 P1S 打印机，但因厂商强制推行始终联网的云端解决方案，导致他不得不通过防火墙阻断打印机的网络连接，停止固件更新，并锁定开发者模式，以保持对设备的控制权。

文章重点批评了 Bambu Lab 对开源社区的态度。OrcaSlicer 是基于 Bambu Studio（本身是 Prusa Slicer 的分支）的开源切片软件，允许用户绕过 Bambu Lab 的云端打印流程，保护用户隐私。然而，Bambu Lab 对一个名为 OrcaSlicer-bambulab 的分支发起了法律威胁，指控其开发者进行“冒充攻击”，尽管该分支使用的代码与官方 Linux 版本相同。这种指控被作者和开发者本人强烈否认，认为 Bambu Lab 滥用法律手段压制少数高级用户，破坏了开源社区的信任。

作者指出，Bambu Lab 的安全措施依赖于用户代理字符串来防止 DDoS 攻击，这种做法存在明显漏洞。Bambu Lab 公开指责该开发者可能对其云基础设施造成风险，但作者认为厂商应当改进平台安全，而非打压社区开发者。文章还提到，类似事件曾在 2022 年发生过，当时 Bambu Lab 的分支导致用户数据被发送到 Prusa 服务器，但 Prusa 并未采取类似激烈措施。

总结来看，作者认为 Bambu Lab 不尊重用户和开源文化，强制锁定生态系统，导致用户体验和信任受损。他建议考虑购买其他品牌的打印机，并提到知名人物 Louis Rossmann 愿意资助被威胁的开源开发者。整体文章表达了对 Bambu Lab 商业策略和法律行为的强烈不满。

---

HN 热度 987 points | 评论 336 comments | 作者：rubenbe | 8 hours ago #

https://news.ycombinator.com/item?id=48109224

• Bambu Lab 的 3D 打印机提供了较为“即插即用”的体验，但属于封闭生态系统，用户可能更倾向于开放平台的选择。
• Prusa 打印机虽然价格较高，但支持开放平台，拥有丰富的开源贡献和全天候人工支持，适合预算充足且重视开放性的用户。
• Prusa 打印机的主要缺点是加热室温度不足，尤其在冬季，导致打印高级材料时存在困难。
• 对 Prusa Core One 加热室进行改进时需注意固件对温度变化的响应，过度保温可能影响温度控制和打印效果。
• 适度封闭和保温打印机加热室可以减少热量流失，但需考虑电子元件和步进电机在高温环境下的耐受性。
• 目前市场上还有其他性价比不错的 3D 打印机选择，如 Elegoo Neptune 4 Pro、Snapmaker U1 和 Creality K2 Plus。
• Bambu Lab 和 Prusa 在开源策略上都有变化，Prusa 近年对设计文件的商业使用做了更多限制，反映了开源社区面对商业化挑战的调整。

---

3. 如果人工智能为你编写代码，为什么还要使用 Python？ (If AI writes your code, why use Python?) #

https://medium.com/@NMitchem/if-ai-writes-your-code-why-use-python-bf8c4ba1a055

这篇文章探讨了人工智能（AI）对编程语言选择和软件开发生态的深远影响，特别是对 Python、Rust、Go 等语言的影响。

过去十年，Python 和 TypeScript 因生态系统庞大、人才丰富、开发快速而被广泛采用，尽管性能不及 Rust、Go 等系统语言，但开发效率更高。如今，随着 AI 技术的进步，尤其是 GPT-5.5、Claude Opus 4.7 等模型的出现，AI 能够高效且准确地编写 Rust、Go 等复杂语言代码，极大缩短了开发周期，改变了“难学难用”的传统认知。

文章列举了多个实际案例：微软将 TypeScript 编译器重写为 Go 语言，提升了 10 倍性能；Anthropic 利用 16 个 Claude 代理写出了一个完整的用 Rust 编写的 C 编译器；Rust 资深开发者 Steve Klabnik 在两周内借助 AI 完成了新系统语言 Rue 的开发；Ladybird 浏览器的 JavaScript 引擎也在两周内由 C++ 迁移到 Rust，且无回归。

此外，Python 生态系统本身也越来越依赖 Rust 编写的底层库，如 Pydantic、Polars、Hugging Face tokenizers 等，表明 Rust 正在成为 Python 生态的核心支撑。许多高性能工具和基础设施（如 OpenAI 收购的 Astral、Anthropic 收购的 Bun）均基于 Rust 开发，推动了整个软件工程的效率提升。

AI 的出现还改变了开源贡献的模式，从传统的“修补代码”转向“跨语言移植”，降低了维护和协作的门槛。作者指出，未来开发者的角色将更多转向系统架构设计和代码审核，而非手写代码。

尽管如此，文章也承认某些场景仍适合传统语言和工具，比如 PyTorch 在深度学习领域的主导地位，以及 Rust 在无服务器环境中的局限性。此外，AI 对较小众语言如 Zig、Haskell 的支持还不够成熟。

总结来看，AI 技术的进步正在重塑编程语言的生态和开发流程，系统语言因其强类型和快速编译的特性，成为 AI 辅助开发的理想选择，未来软件开发将更加高效且多样化。

---

HN 热度 843 points | 评论 896 comments | 作者：indigodaddy | 1 day ago #

https://news.ycombinator.com/item?id=48100433

• Python 代码可读性极强，接近可执行的伪代码，适合用熟悉的语言进行代码生成和维护。
• Python 在处理大型系统时，局部可读性强，但整体系统的交互描述较难，语言词汇有限。
• 通过创建模块和抽象可以提升大型系统的可理解性，但抽象的工具和语言特性差异很重要。
• Python 灵活性高，但这也导致由 LLM 生成的代码风格不一致，复杂且难以维护。
• 在已有代码库中，LLM 能较好匹配现有风格和规范，生成新代码时则可能混乱。
• 对大型 Python 代码库使用 LLM 需要制定明确的编码标准、文档和测试，避免混乱。
• Python 缺少强类型、真正的并发、不可变性、完善的错误处理和私有方法等抽象机制。
• Python 是强类型语言，但不是静态类型，类型注解和工具支持静态分析，能帮助理解复杂代码。
• Python 的抽象机制存在，但实现有限或有缺陷，不等同于缺失。
• 面向类的语言（如 C++）的抽象更容易理解，因为类与外部的契约更明确。
• 抽象提升局部可读性，但可能增加全局理解的复杂度。
• LLM 生成大量代码可能导致知识负担过重，Python 可能不适合快速理解。
• Haskell 和 Rust 因强类型系统更适合大型代码库的非局部推理，类型系统帮助快速理解代码。
• Rust 的严格编译器比强类型本身更有助于避免错误。
• Zig 也被认为适合 LLM 生成代码。
• Haskell 训练样本较少，可读性一般，不适合 LLM 代码生成，Rust 和 TypeScript 更实用。
• TypeScript 拥有丰富的示例和工具，适合 LLM 生成和调试，类型系统较完善。

---

4. GitLab 宣布裁员并终止其 CREDIT 价值观 (GitLab announces workforce reduction and end of their CREDIT values) #

https://about.gitlab.com/blog/gitlab-act-2/

这篇文章是 GitLab 发布的一封致客户和投资者的公开信，主要介绍了公司近期的重大变革和未来战略方向。

首先，GitLab 宣布正在进行公司重组，采取公开透明的方式，包括自愿离职窗口，计划在 6 月 1 日前确定新公司架构。重组包括减少约 30% 的国家运营团队，通过合作伙伴网络继续服务这些市场；扁平化组织结构，减少管理层级；研发团队重组为约 60 个更小、更有自主权的团队；利用 AI 代理优化内部流程，实现自动化审批和任务交接，并调整岗位规模以适应新模式。重组的具体财务影响将在 6 月 2 日的财报电话会议中公布。

其次，GitLab 阐述了其核心信念和战略转型，聚焦于“智能代理时代”的软件工程未来。公司认为未来软件将由机器构建，人类负责关键判断和架构设计，AI 代理将承担规划、编码、审查、部署和修复等任务。随着软件生产成本大幅降低，软件需求和开发者数量将大幅增加，工程师的角色和价值更加重要，尤其是解决复杂技术问题的能力。

最后，GitLab 在技术架构上做出五大核心押注，包括构建支持机器规模操作的基础设施，重构 Git 以适应高频率的自动化操作，打造现代化的 API 服务，开发专门面向 AI 代理的接口，以及全生命周期的智能编排系统。这些技术升级旨在保证平台的安全性、性能、可扩展性和用户体验，推动企业软件开发进入一个全新的智能化时代。GitLab 的目标是成为这一时代的领先平台，支持企业在机器速率下安全高效地交付软件。

---

HN 热度 667 points | 评论 644 comments | 作者：AnonGitLabEmpl | 1 day ago #

https://news.ycombinator.com/item?id=48100500

• GitLab 股价过去一年下跌约 50%，部分原因可能是未能充分宣传其 AI 战略。
• 股价下跌的原因复杂，不能确定是 AI 宣传不足还是其他因素。
• 不应将所有软件公司业绩波动归因于 AI，GitLab 此前调整过企业许可费用，影响较大。
• 投资者对 CEO 的“流行词”表达不满，导致股价进一步下跌。
• 公司认为 AI 时代带来最大机遇，但同时需要减少资源和优化管理层结构。
• GitLab 管理层层级过多（约 8 层），存在官僚主义问题，裁员主要针对中低层管理。
• 高层管理人员通常不会被裁减，裁员多发生在基层管理和一线员工。
• 组织结构呈金字塔形，顶层人数少但薪资高，裁减顶层虽少但影响大。
• 有观点认为应优先裁减导致问题的高层管理，而非基层员工。
• GitLab 员工规模约 2300 人，但产品感觉像是小团队开发，存在产品不够成熟和开发速度慢的问题。

---

5. 旧桌面操作系统截图 (Screenshots of Old Desktop OSes) #

http://www.typewritten.org/Media/

该网页主要展示了 1983 年至 1989 年间多种计算机操作系统和图形界面的屏幕截图，涵盖了不同硬件平台和软件环境的图形用户界面及应用程序。内容包括：

1983 年至 1985 年，展示了如 VisiCorp Visi On、SunTools 桌面、HP Integral PC、IBM CGA 图形、GEM 桌面及 GEM Draw 等早期图形界面和应用，反映了当时图形界面的发展和多样化。

1987 年，页面展示了 Acorn Archimedes 的 Arthur 操作系统多个版本、Amiga 2000 上的 NewTek Digi-Paint、DEC VAXstation 的工作站软件、Xerox Ventura Publisher、SGI IRIS 3130 的图形程序等，体现了图形界面和绘图软件的进步及多平台的应用。

1988 年，内容涵盖了 RISC OS 2.00、GEM Desktop 3.0、OS/2 Presentation Manager、Windows/286 Presentation Manager、HP NewWave Office、AIX 2.2.1、SunView、ULTRIX Worksystem Software、Xerox Viewpoint 等多个操作系统和图形环境，展示了图形界面设计的演变及不同厂商的技术竞争。

1989 年，展示了 SGI IRIS 3130 上的 Media Logic Artisan 绘图程序、Sun 3/60 上的 SunPaint 和 SunWrite、Sun 4/110 上的 OpenWindows 1.0 预发布版本，反映了图形用户界面和应用软件在功能和界面上的不断完善。

整体来看，网页通过大量历史屏幕截图，详细记录了 80 年代中期至末期计算机图形界面和应用软件的发展历程，涵盖了多种操作系统、硬件平台及其图形环境，具有较高的历史价值和技术参考意义。

---

HN 热度 629 points | 评论 331 comments | 作者：adunk | 18 hours ago #

https://news.ycombinator.com/item?id=48104428

• 早期 Unix 图形界面体验很差，性能和界面设计都不理想，使用起来令人沮丧。
• 早期操作系统界面响应迅速，没有臃肿，运行在低性能 CPU 上也能流畅使用。
• 软件设计理念远超当时硬件性能，导致很多系统即使在高配机器上也运行不佳。
• NeXTStep 操作系统体验与 Windows 有显著差异，部分原因是屏幕分辨率和刷新率的不同。
• Amiga 设计目标是适应低质量电视显示，连接高质量显示器时界面效果明显提升。
• GEM 界面在高质量显示器上效果不错，但应用程序开发者数量和质量不足，限制了其发展。
• GEM 在 Windows 3 出现后迅速被取代，Windows 3.1 是第一个可以全天候使用的图形界面系统。
• SGI IRIX 系统在 90 年代末期非常昂贵，主要用于高端图形和渲染工作。
• NeXT 操作系统的滚动条设计在窗口左侧，符合用户视线习惯，但后来被苹果改回右侧，可能与用户习惯和鼠标操作有关。

---

6. 《他们生活》（1988）启发的广告屏蔽器 (They Live (1988) inspired Adblocker) #

https://github.com/davmlaw/they_live_adblocker

该网页介绍了一个名为“They Live Adblocker”的浏览器扩展程序，这是 uBlock Origin Lite 的一个分支版本。该扩展的特点是在屏蔽广告时，不是简单隐藏广告元素，而是用白色方块替换广告，方块上显示来自 1988 年电影《They Live》中的标语，如“OBEY”、“CONSUME”、“WATCH TV”等，每个被屏蔽的广告会随机显示一句标语。

安装方法包括下载最新版本的扩展包，解压后在支持的浏览器（如 Chromium、Chrome、Brave、Edge）中通过开发者模式加载未打包的扩展文件夹。默认情况下，扩展使用基础过滤模式，屏蔽广告但不替换显示内容。用户需在扩展设置中将过滤模式调整为“Optimal”或“Complete”，刷新页面后才能看到标语替代广告。

该扩展基于 Node 22 环境构建，源码托管在 GitHub，提供了详细的构建步骤。技术实现上，通过修改 uBO Lite 的化妆过滤机制，将隐藏广告的 CSS 替换为白色遮罩，并用 JavaScript 动态给广告元素添加电影标语。扩展使用 MutationObserver 监听页面变化，确保动态加载的广告也能被替换。

网页还说明该项目是个人兴趣开发的分支版本，非官方 uBlock Origin 产品，存在一些布局移位等小问题，且仅对化妆过滤的广告生效，网络层面屏蔽的广告不会被替换。扩展采用 GPL-3.0 开源许可证，与 uBlock Origin 保持一致。

---

HN 热度 533 points | 评论 180 comments | 作者：tokenburner | 22 hours ago #

https://news.ycombinator.com/item?id=48102700

• 电影《They Live》启发了早期 Mozilla 的 logo 设计，但链接被 Hacker News 屏蔽，需通过其他方式访问相关文章。
• 有用户分享了自己曾用假广告替代真实广告的趣事，提到一个名为“Bannertown”的网站。
• 《They Live》电影改编自雷·尼尔森的短篇小说《八点钟早晨》。
• 电影中的经典台词“戴上眼镜”被认为非常有趣且耐人寻味。
• 有观点认为现代社会的信息传播倾向于制造恐惧和控制，类似电影中的主题。
• 讨论了当前社会对生育的态度，部分人认为精英阶层通过政策引导控制人口增长。
• 也有人指出，发达国家中避孕措施相对容易获得，生育控制并非普遍难题。
• 有用户提到主流媒体经常传播恐惧信息，鼓励分散注意力和减少家庭观念。
• 讨论了人工智能辅助编程的利弊，有人认为用 AI 工具提高效率是合理的。
• 还有观点认为人与人之间的自然语言交流比传统编码更“人性化”。

---

7. 学习软件架构 (Learning Software Architecture) #

https://matklad.github.io/2026/05/12/software-architecture.html

这篇文章是作者对如何学习软件设计技能的思考，尤其针对科研物理学家转向软件开发的情况。作者指出，软件设计最有效的学习方式是通过实践，而非仅靠课堂上的理论知识。作者自身的经验表明，实际项目中的领导和设计责任促使他快速成长。

文章强调了康威定律的重要性，即软件架构反映了组织的社会结构，软件开发中社会因素往往比代码和架构更关键。科研软件与工业软件的差异，更多源于激励机制的不同，比如科研人员面临的论文发表压力。

作者建议两点：一是尽可能影响项目的激励结构；二是快速接受并适应现有的激励环境，尽力在限制条件下做好工作。以 rust-analyzer 项目为例，作者通过简化构建流程和模块化设计，吸引了不同类型的贡献者，包括业余开发者和核心专家。

文章还提醒，适应激励结构的同时要注意未来的不确定性，项目目标和架构可能会发生变化。作者分享了几个对他影响深刻的资源和书籍，如 Gary Bernhardt 的“Boundaries talk”、Pieter Hintjens 关于康威定律的著作，以及一些软件工程经典书籍，强调实践和反思的重要性。

总体来看，文章结合作者的亲身经历，深入探讨了软件设计学习的本质、社会因素的影响以及如何在现实约束中推动项目发展，提供了宝贵的见解和实用建议。

---

HN 热度 499 points | 评论 101 comments | 作者：surprisetalk | 13 hours ago #

https://news.ycombinator.com/item?id=48106024

• 好的设计应贯穿单一核心思想，目标是尽量减少意外和惊讶。
• 系统中数据转换部分应与数据使用部分隔离，数据模型比代码寿命更长。
• 耦合是大多数问题的根源，版本控制和状态显式化是必然的。
• 每条信息应有唯一可信来源，命名要花更多时间思考，测试困难说明设计有问题。
• 所有决策都应有文档记录，沟通是成本，需权衡其价值。
• 软件的终极目标是解决当前问题，次要目标是尽量低成本解决未来问题。
• 接口设计应易用且难误用，代码应易写且可疑代码应显眼。
• 提前发现并修复 bug，修复 bug 类别比单个 bug 更重要。
• 接口比实现更难改，丑陋实现可接受但接口必须正确。
• 注释和文档应解释设计背后的原因，避免重复存储数据以防不同步。
• 偏离常规技术有成本，选择技术时应考虑预期价值。
• 学习他人经验，智慧不足以解决所有问题，摩擦是隐形杀手。
• 数据迁移不可避免，应提前规划，设计时需考虑成本。
• 代码寿命比预期长，开发者遗忘比预期快，应编写详尽文档并与代码一同管理。
• 理解业务领域尤其重要，命名需与行业术语保持一致，除非有明确理由偏离。
• 软件的可维护性比开发成本更重要，运行和维护成本更具影响力。
• 设计和架构没有放之四海而皆准的真理，需根据具体上下文灵活选择工具和方案。
• 建立统一的术语体系能减少未来的混淆和误解。
• “视情况而定”是设计中最重要的原则，没有万能方案。
• 个人偏好会影响设计选择，但应在合理范围内坚持默认方案。

---

8. 欧盟将打击针对儿童的 TikTok 和 Instagram“成瘾设计” (EU to crack down on TikTok, Instagram’s ‘addictive design’ targeting kids) #

https://www.cnbc.com/2026/05/12/tiktok-instagram-social-media-addictive-eu-crack-down.html

欧盟委员会计划打击 TikTok 和 Instagram 等社交媒体平台上的“成瘾设计”功能，重点针对针对儿童的无限滚动、自动播放和推送通知等机制。欧盟委员会主席乌尔苏拉·冯德莱恩在丹麦举行的欧洲人工智能与儿童峰会上表示，欧盟预计将在今年晚些时候推出相关法规，保护儿童免受社交媒体带来的危害。

欧盟正在调查这些平台如何让儿童陷入有害内容的“兔子洞”，例如推广饮食失调或自残的视频。同时，欧盟开发了一款具有最高隐私标准的年龄验证应用，成员国可将其集成到数字钱包中，便于在线平台执行年龄验证。

近年来，欧盟加强了对美国大型科技公司的监管，针对苹果、Meta 和谷歌等企业因违反反垄断和竞争法被处以数十亿美元罚款。美国方面对此表示反对，并采取措施应对欧盟的数字服务税和罚款。

此外，欧盟还对前 Twitter 现称 X 平台因其聊天机器人传播未成年人和女性的性剥削内容展开调查。全球范围内，多个国家和地区也在推动针对未成年人的社交媒体使用限制，例如澳大利亚已实施 16 岁以下用户禁令，西班牙、法国和英国等国也在提出类似立法。

此次欧盟的行动反映了全球对社交媒体平台在保护儿童安全方面责任的日益关注，旨在通过立法和技术手段减少未成年人在网络环境中的风险。

---

HN 热度 453 points | 评论 408 comments | 作者：thm | 12 hours ago #

https://news.ycombinator.com/item?id=48106534

• 如果通过算法推荐内容，平台就不再是中立的公共载体，应对推荐内容承担责任。
• 需要区分个性化推荐算法和一般的内容排序，个性化推荐才是争议焦点。
• 责任归属问题可能导致平台不允许用户自由发布内容，影响信息自由传播。
• 有观点认为平台应对其放大和分发的内容承担责任，这会改变线上内容发布的现状。
• 平台通过广告和商业利益对内容有一定的把控和责任，不能完全免责。
• 推荐系统通常基于用户行为数据构建，平台也会对内容进行一定的人工干预和调整。
• Hacker News 的推荐算法较为中立，主要依赖用户投票和时间等客观指标。
• 反对个性化推荐中的暗黑设计和有害内容，支持对算法透明和用户可控。
• TikTok 等平台通过用户观看时长等行为数据决定内容推荐，存在复杂的算法机制。
• 需要法律限制暗黑设计、不透明的个性化推荐和有偏见的编辑操作。
• 通过算法推动点击率和用户粘性的商业模式应失去部分法律保护，避免助长极端内容和回音室效应。

---

9. 加州大学洛杉矶分校发现首个修复脑损伤的中风康复药物（2025） (UCLA discovers first stroke rehabilitation drug to repair brain damage (2025)) #

https://stemcell.ucla.edu/news/ucla-discovers-first-stroke-rehabilitation-drug-repair-brain-damage

加州大学洛杉矶分校（UCLA）健康中心的一项新研究发现了首个能够修复脑损伤、促进中风康复的药物。该药物名为 DDL-920，由 UCLA 的 Varghese John 实验室开发，在小鼠模型中显著改善了运动控制能力，成功复制了物理康复的效果。

研究指出，中风不仅损伤脑部局部区域，还会导致远离损伤部位的脑细胞连接丧失，尤其是影响一种称为帕尔瓦尔布敏（parvalbumin）神经元的细胞。这类神经元参与产生脑内的伽马振荡，这种脑节律有助于神经元协调工作，控制运动。中风后，伽马振荡减少，导致脑网络功能受损。物理康复能够恢复伽马振荡，并修复帕尔瓦尔布敏神经元的连接。

研究团队通过实验确定了两种能够激活帕尔瓦尔布敏神经元、促进伽马振荡的候选药物，其中 DDL-920 表现出显著的疗效。该研究不仅揭示了物理康复背后的脑机制，还首次提出了通过药物模拟康复效果的新路径，为中风康复领域带来分子医学的突破。

目前，DDL-920 的安全性和有效性仍需进一步研究，未来可能进入人体临床试验阶段。该研究为中风患者提供了新的希望，旨在开发出无需高强度物理训练即可促进康复的药物治疗方案。

---

HN 热度 431 points | 评论 90 comments | 作者：bookofjoe | 1 day ago #

https://news.ycombinator.com/item?id=48098261

• 脑卒中导致脑细胞死亡，中心梗死区域的细胞死亡无法恢复，但存活神经网络之间的连接和节律可能被修复。
• 大脑不能再生新的神经细胞，但可以通过神经元之间的连接重组实现功能恢复。
• 有药物和研究致力于促进神经连接的重塑和神经网络的重新连接。
• 脑细胞的再生研究正在快速发展，但新生细胞不代表能够完全恢复丢失的脑结构。
• 狮鬃蘑菇等天然物质被用来辅助脑损伤修复，虽效果有限且难以专利。
• 有细胞疗法正在进行临床试验，尝试通过植入神经前体细胞实现神经再生，但距离广泛应用仍有距离。
• 大脑具有高度的可塑性，部分脑组织缺失者仍能通过长期适应实现正常功能。
• 脑容量与智力不完全相关，神经元数量和大脑结构的复杂性更为重要。
• 有些动物在迁徙或季节变化时会调整身体器官大小，但大脑细胞不可再生，不能缩减后再生长。
• 死亡的神经细胞会被小胶质细胞清除，连接无法复活。
• 脑卒中作为症状，部分类型可通过预防措施减少风险，但部分原因不明的卒中难以完全预防。

---

10. 天空、日落与行星的渲染 (Rendering the Sky, Sunsets, and Planets) #

https://blog.maximeheckel.com/posts/on-rendering-the-sky-sunsets-and-planets/

这篇文章围绕如何在浏览器中使用着色器技术实现天空、大气散射、日落和行星的真实渲染效果展开。作者受到一张航天飞机“奋进号”在地球低轨道日落时分的照片启发，尝试通过编写着色器模拟大气散射现象，呈现天空的蓝色以及日出日落时的色彩渐变。

文章详细介绍了实现这一效果的技术步骤，包括光线行进（raymarching）、瑞利散射（Rayleigh scattering）、米氏散射（Mie scattering）以及臭氧吸收等物理过程，最终构建出一个逼真的天空穹顶和行星大气层的渲染效果。作者还尝试了 Sebastian Hillaire 提出的基于查找表（LUT）的高性能渲染方法，尽管这部分超出了作者的舒适区，但也为项目带来了性能提升的可能。

文中列出了多个关键参考资料，包括专注于浏览器中大气散射和体积云渲染的开发者 Three Geospatial、Sébastien Hillaire 的论文，以及 iced_coffee_dev 的相关视频教程，方便读者深入学习。

此外，作者表达了对 Artemis II 任务的兴趣，并希望通过这个交互式项目让更多人理解和体验大气散射的美妙。文章还提及了支持作者的咖啡赞助名单，体现了社区的支持和鼓励。

总体来看，这是一篇结合科学原理与计算机图形技术，旨在实现真实感天空渲染的技术分享文章，适合对空间、图形渲染和着色器编程感兴趣的读者。

---

HN 热度 377 points | 评论 34 comments | 作者：ibobev | 9 hours ago #

https://news.ycombinator.com/item?id=48107997

• Sebastian Lague 的视频内容技术深度高且讲解细致，观众希望他能出更多相关视频。
• 大家对大气散射和天空渲染技术非常感兴趣，认为结合体积云渲染能产生极佳的日落和天空效果。
• 日落模型中天空不应在太阳落山后立即变黑，应该有明显的暮光期，直到太阳低于地平线 18 度。
• 1993 年的 Nishita 等人的论文是大气散射领域的经典且易读的参考文献。
• SpaceEngine 软件在天空和大气渲染方面做得非常细致，值得推荐和学习。
• 渲染牛奶等半透明物质的散射问题也很有趣且复杂。
• MIT 许可的开源项目为游戏中的天空盒渲染问题提供了很好的解决方案。
• 物理模型基础的天空渲染比基于图形技巧（如叠加渐变）的方法更受欢迎。
• 大家对网页上实现高质量天空渲染的技术感到惊艳，认为作者付出了大量时间和努力。
• 通过简单计算实现复杂的现实大气现象令人震撼，能从静态蓝天盒子扩展到完整的昼夜循环。
• 许多评论者表示视觉效果本身就非常吸引人，即使不完全理解技术细节也觉得很棒。
• 讨论中提到佩雷兹全天气模型和普里坦天空模型，认为这些模型实现也很有趣。
• 有人分享了自己在游戏引擎或应用中实现大气散射的经验，强调了技术的实用性和挑战。

---

Hacker News 精彩评论及翻译 #

Googlebook #

https://news.ycombinator.com/item?id=48113491

Gross. This is just more proof that corporations simply don’t know how to market AI. Everything is an ad for an ad at this point. The very first thing they show this new machine doing is helping people shop for clothes using AI.

No one is doing that, these people don’t exist. No matter how hard corporate America wishes they did. This is why AI doesn’t sell. This is why companies like Microsoft and Dell are pulling back on their AI claims and why Apple has nearly wiped it off their site all together, seriously go check out apple.com, not a single mention of Apple Intelligence.

At this point I’m convinced that marketing has been completely taken over by shareholder shills, marketing to customers they wish they had instead of the real customers that exist.

Jzush

恶心。这只是进一步证明了公司根本不会营销人工智能。现在所有东西看起来都像是在为广告打广告。他们展示这台新机器能做的第一件事就是用人工智能帮助人们购物买衣服。

没人会这么做，这些人根本不存在。不管美国企业多么希望他们存在。这就是人工智能卖不动的原因。这也是微软和戴尔等公司正在收缩他们的人工智能宣传，苹果几乎把人工智能相关内容从官网上全部删除的原因，真的，可以去 apple.com 看看，根本找不到“苹果智能”相关的任何提及。

现在我确信市场营销完全被股东代理人接管了，他们营销的对象是他们希望拥有的客户，而不是现实中真正存在的客户。

---

Postmortem: TanStack NPM supply-chain compromise #

https://news.ycombinator.com/item?id=48101454

Please be careful when revoking tokens. It looks like the payload installs a dead-man’s switch at ~/.local/bin/gh-token-monitor.sh as a systemd user service (Linux) / LaunchAgent com.user.gh-token-monitor(macOS). It polls api.github.com/user with the stolen token every 60s, and if the token is revoked (HTTP 40x), it runs rm -rf ~/.

https://github.com/TanStack/router/issues/7383#issuecomment-4425225340

cube00

请在撤销令牌时务必小心。看起来这个负载会在 ~/.local/bin/gh-token-monitor.sh 位置安装一个死刑开关，作为 systemd 用户服务（Linux）或 LaunchAgent com.user.gh-token-monitor（macOS）。它每隔60秒用被盗的令牌轮询 api.github.com/user，如果令牌被撤销（HTTP 40x），它会执行 rm -rf ~/。

---

If AI writes your code, why use Python? #

https://news.ycombinator.com/item?id=48102640

If AI writes your articles, why use brain?

oxag3n

如果人工智能写你的文章，那还用动脑子干嘛？

---

GitLab announces workforce reduction and end of th… #

https://news.ycombinator.com/item?id=48105239

GitLab could be the perfect case study on AI-powered efficiency improvements. I have never interacted with a piece of software that, for every single problem I found, there was an open issue always at least 4-7 years old that was just being shuffled around by managers adding and removing random labels.

Surely with all of these ridiculous developer productivity gains enabled by AI, they should finally be able to fix all of these ancient issues quickly and clean up the backlog.

Nope, “workforce reduction” thanks to AI again. This charade is getting boring.

vultour

GitLab 可能是一个关于 AI 驱动效率提升的完美案例研究。我从未遇到过这样的软件：每当我发现一个问题时，总会有一个至少已经存在了 4 到 7 年的公开问题单，只是被管理者不断地添加和删除各种随机标签而已。

有了所有这些由 AI 带来的荒谬的开发者生产力提升，他们理应能够快速解决所有这些陈年旧事，清理掉积压的问题单。

结果呢，又是因为 AI 导致的“裁员”。这场闹剧真让人感到无聊。

---

GitLab announces workforce reduction and end of th… #

https://news.ycombinator.com/item?id=48101155

Their old CREDIT values: Collaboration, Results for Customers, Efficiency, Diversity, Inclusion & Belonging, Iteration, and Transparency.

New values: Speed with Quality, Ownership Mindset, Customer Outcomes.

In other words, work harder, not smarter, and no more DEI.

Animats

他们以前的CREDIT价值观包括：协作、为客户创造成果、效率、多样性、包容与归属感、迭代以及透明度。

新的价值观是：速度与质量兼顾、责任心、客户成果。

换句话说，就是工作更拼命，而不是更聪明，而且不再强调多样性、公平与包容。

---

Googlebook #

https://news.ycombinator.com/item?id=48113295

What’s funny is that these days if I see a Google product that I’m even remotely interested in, I just immediately write it off because I know it’s something they will kill in a very short time frame.

It’s just never worth the hassle of buying/using a Google product. Never.

spiralcoaster

有趣的是，现在如果我看到一个我稍微感兴趣的谷歌产品，我都会直接放弃，因为我知道他们会在很短的时间内停掉它。

买或者使用谷歌的产品从来都不值得，永远不会。

---

GitLab announces workforce reduction and end of th… #

https://news.ycombinator.com/item?id=48101595

There’s a ‘github down’ post here every other day.

The ball is right there, bouncing alone in front of the goal, and they just have to position themselves as “we’re the stable ones” to score that market when the exodus inevitably happens.

Nope, full throttle and stimulants, just because.

torben-friis

这里几乎隔天就有一篇“GitHub宕机”的帖子。

球就摆在那里，独自在球门前弹跳，他们只需要表明“我们是稳定的”，在用户不可避免地流失时抓住那个市场。

不，完全踩油门，兴奋剂全开，就这么干。

---

GitLab announces workforce reduction and end of th… #

https://news.ycombinator.com/item?id=48101381

Wow gitlab. Right when everyone was looking to see if you could lead with all the fails at github, you basically said “We’re going to throw our source at ChatGPT and see what happens”

Steeeve

哇，GitLab。当大家都在关注你是否能在GitHub接连出错的情况下带头时，你基本上是在说“我们要把源码扔给ChatGPT，看看会发生什么”。

---

Learning Software Architecture #

https://news.ycombinator.com/item?id=48107653

I’ll give you the cheat sheet:

• Good design is a single idea pervaded throughout.

• More generally, your goal should be to minimize surprise.

• If your system allows it, people will do it.

• Everyone will not just. If your solution starts with “if everyone will just…” then you don’t have a solution.

• Isolate the parts of your system that transform data from the ones that use it. Data models outlive code.

• Coupling is the root of most evil.

• Versioning is inevitable.

• Make state explicit.

• Every piece of information should have a single source of truth.

• You should spend more time thinking about naming things correctly.

• If testing is difficult, the design is wrong.

• You will regret every undocumented decision.

• Communication is a tax that you should justify before paying it.

Remember that the job of an engineer at any level is to use rules of thumb to solve problems for which there is incomplete information.

CSMastermind

我给你总结几点要点：

• 好的设计就是贯穿始终的单一思想。

• 更普遍地说，你的目标应是尽量减少意外。

• 如果你的系统允许，人们就会去做。

• 不是人人都会按规则来。如果你解决方案的前提是“只要大家都……”，那其实你没有真正的解决方案。

• 将系统中变换数据的部分和使用数据的部分分离开。数据模型的生命周期往往比代码更长。

• 耦合是大多数问题的根源。

• 版本控制是不可避免的。

• 要明确状态。

• 每条信息都应该有唯一的权威来源。

• 你应该花更多时间思考正确地命名事物。

• 如果测试变得困难，那设计就有问题。

• 每个没有文档记录的决策你都会后悔。

• 沟通是一种开销，支付之前应当有充分理由。

记住，任何级别工程师的工作，就是利用经验法则解决信息不完整的问题。

---

If AI writes your code, why use Python? #

https://news.ycombinator.com/item?id=48105299

Python is locally readable. Reasoning about larger systems in Python is where things get really hard, because you have to describe how many small individually readable things interact with each other in a very limited vocabulary.

simonask

Python在本地是易于理解的。但当需要用Python来推理更大规模的系统时，事情就变得非常困难了，因为你必须用非常有限的词汇来描述许多小而可单独理解的部分是如何相互作用的。

---

Amazon employees are “tokenmaxxing” due to pressur… #

https://news.ycombinator.com/item?id=48110972

The fact that management signed off on measuring AI use through token usage shows how incompetent management really is, including in allegedly technical conmpanies like Amazon. Tokenmaxxing was an entirely expected and rational response. IOW You measure employees in stupid ways, you’re going to get stupid behaviour as a consequence.

i7l

管理层批准通过计算令牌使用量来衡量人工智能的使用情况，这显示了管理层有多么无能，包括像亚马逊这样号称技术型的公司。最大化令牌的使用是完全可以预料且合理的反应。换句话说，如果你用愚蠢的方式来衡量员工，结果也会出现愚蠢的行为。

---

Software engineering may no longer be a lifetime c… #

https://news.ycombinator.com/item?id=48102175

On one of my very first jobs in around 2000 I got paired with a much more experienced software engineer. He’d been a pro since the early 70s. I was stoked to learn from him.

On like my fourth day he said “now I’m going to teach you the thing that helped me the most in my career…” I waited, ready for the received wisdom. And he said “always number your punch cards so if you drop them they will be easy to put back into order”. I was upset. We were long past the point where punch cards were in use. And then he said “I said what would help me the most, not what would help you. Software is always changing”.

I’ve thought about that a lot lately.

kasey_junk

大约在2000年左右我做的第一份工作之一，我被安排和一位经验丰富得多的软件工程师搭档。他从70年代初就开始做专业工作了。我很激动能向他学习。

大约在我第四天的时候，他说：“现在我要教你一件对我职业生涯帮助最大事情……”我等待着，准备接受那句广为流传的智慧。结果他说：“总是给你的穿孔卡编号，这样如果掉了就容易重新排列顺序。”我感到很失望。其实使用穿孔卡的时代早就过去了。然后他说：“我说的是对我最有帮助的，不是对你最有帮助的。软件世界总是在变化。”

我最近一直在思考这句话。

---

If AI writes your code, why use Python? #

https://news.ycombinator.com/item?id=48102688

Read the first few comments and surprised I didn’t see it, but training data. The voluminous amount of Python in the training data.

I could write in brainfuck with ai, but I presume, wouldn’t get the same results than if going with python.

My follow up question: with AI now, why care about a lang until you need to?

boffin

读了前几条评论，很惊讶没看到提到，是训练数据的问题。训练数据中大量的Python代码。

我可以用AI写brainfuck代码，但我猜结果不会像用Python那样好。

我的后续问题是：现在有了AI，为什么要在真正需要之前去在意某种编程语言呢？

---

Bambu Lab is abusing the open source social contra… #

https://news.ycombinator.com/item?id=48109711

Full disclosure: I’ve never owned a Bambu because I’ve never loved the idea of a “closed” ecosystem 3D printer, however I have used them, and am very familiar with the 3d printing space beyond Bambu.

For anyone considering alternatives: You should know that almost all other 3D printers expect you to know a little more about how they actually work than Bambus. Bambus are as close as you can get to a “just works” type experience, but modern alternatives from others are nowhere near as hard as they used to be.

The closest “easy” alternative is probably Prusa, but you’ll pay significantly more for a Prusa machine than you would a Bambu. They’re an excellent company, and the complete opposite of Bambu when it comes to Openness. If money is no object, Prusa is highly recommended.

Beyond Prusa, there’s a lot of other options. https://auroratechchannel.com/#section2 This list is a good one.

I personally run an old Elegoo Neptune 4 pro - but my needs are quite low. If I were buying today, a Snapmaker U1 or the Creality K2 Plus is probably where I’d end up going.

kn100

坦白说：我从未拥有过Bambu打印机，因为我从来不喜欢“封闭”生态系统的3D打印机理念，然而我确实用过它们，并且对3D打印领域（不仅仅是Bambu）非常熟悉。

对于考虑其他选择的人来说：你应该知道，几乎所有其他3D打印机都要求你对它们的工作原理有更多了解，而Bambu则几乎是“开箱即用”的体验，但现代的其他品牌也不再像以前那样难操作了。

最接近“易用”的替代品可能是Prusa，但你买Prusa机器要比买Bambu贵得多。Prusa是一家非常出色的公司，且在开放性方面完全与Bambu相反。如果不在乎价格，强烈推荐Prusa。

除了Prusa之外，还有很多其他选择。https://auroratechchannel.com/#section2 这个列表很不错。

我个人用的是一台老款Elegoo Neptune 4 pro——不过我的需求比较低。如果我今天要买，可能会选Snapmaker U1或Creality K2 Plus。

---

Screenshots of Old Desktop OSes #

https://news.ycombinator.com/item?id=48105607

I can’t help thinking about how much we have lost. Just finding the scrollbar nowadays can be a challenge. Not to mention if you want to resize a pane - in some applications they seem to have taken extra steps to make it difficult to find the line to grab.

bronlund

我忍不住想，我们已经失去了多少。现在连找到滚动条都成了一种挑战。更别说如果你想调整窗格大小——有些应用程序似乎特意设置得很难找到那条可以拖动的线。

---

Nullsoft, 1997-2004 (2004) #

https://news.ycombinator.com/item?id=48097676

For those who might not know:

With Nullsoft gone and Frankel spending his time building a special-effects computer for his electric guitar…

I don’t know what happened to the Jesusonic he was building then, but Justin Frankel ended up creating Reaper, the cross-platform Windows/Mac/Linux digital audio workstation that is a solid Pro Tools competitor in a mere 16 MB download:

https://www.reaper.fm/

The installer for the whole DAW is smaller than most add-on VST effects. Some of my favorite albums have been recorded with Reaper, and obviously I’m a Reaper fan and use it too. Just like Winamp, you can pay for it, but if you really can’t afford it, there’s no time limit and it won’t stop you from using it.

Showing my age here, but if you have a copy of the Walnut Creek CD-ROMs with demoscene archives, there’s a demo by “Nullsoft” from pre-Winamp days hiding somewhere in there as well.

EDIT: Aww, fwirt beat me to it while I was typing! I guess I’ll leave my comment here to add the Nullsoft demo mention. Found a link to his MSDOS demos here: https://www.pouet.net/groups.php?which=1618

EDIT TWO: You can run his Ademo demo on archive.org, type “ademo 1” at the C:\ prompt in the web based DOSbox to run: https://archive.org/details/demoscene_Ademo-Nullsoft

SyneRyder

对于那些可能不了解的人：

Nullsoft 已经没了，Frankel 把时间都花在为他的电吉他打造一个特效电脑上……

我不知道他当时在做的 Jesusonic 最后怎么样了，但 Justin Frankel 最终开发出了 Reaper，这是一款跨平台的数字音频工作站，支持 Windows、Mac 和 Linux，下载包仅有 16 MB，是 Pro Tools 的有力竞争对手：

https://www.reaper.fm/

整个 DAW 的安装包比大多数附加的 VST 效果插件还小。我最喜欢的一些专辑就是用 Reaper 录制的，显然我也是 Reaper 的粉丝并在使用它。就像 Winamp 一样，你可以付费购买，但如果你真的买不起，也没有时间限制，软件不会阻止你使用。

暴露一点年龄了，如果你手头有 Walnut Creek 的光盘合集，里面有一些关于演示场景（demoscene）的档案，“Nullsoft” 在 Winamp 诞生之前就有过一个隐藏的演示程序。

编辑：哎呀，fwirt 打断了我，我还在打字呢！我就把我的评论留在这里，补充一下 Nullsoft 演示的提及。这是他 MSDOS 演示的链接：https://www.pouet.net/groups.php?which=1618

第二次编辑：你可以在 archive.org 上运行他的 Ademo 演示，在基于网页的 DOSbox 的 C:\ 提示符下输入“ademo 1”即可运行：https://archive.org/details/demoscene_Ademo-Nullsoft

---

Claude Platform on AWS #

https://news.ycombinator.com/item?id=48103778

I think the idea is that you can launder your team or product AI spend through your AWS account. This matters in Enterprise. It looks like the difference with Bedrock is that you access more “Claude platform” stuff than just the model.

More charitably, this lets an org heavy on AWS use their existing IAM / SSO / Finops processes to manage Claude stuff, this is genuinely helpful when otherwise you have to go thru several teams and build out whole new rails to adopt.

xyzzy123

我认为这个想法是你可以通过你的AWS账户来清洗你团队或产品的AI支出。这在企业中很重要。看起来Bedrock的区别在于你访问的“Claude平台”内容比单纯的模型更多。

更积极地看，这让大量使用AWS的组织能够利用他们现有的IAM / 单点登录 / 财务运维流程来管理Claude相关内容，当否则你必须通过多个团队并建立全新的流程来采用时，这确实很有帮助。

---

Googlebook #

https://news.ycombinator.com/item?id=48111926

I think if I wanted a cheap laptop I’d probably get the macbook neo, and if i wanted a non-gaming expensive one i’d get a macbook pro.

I really don’t see the market fit for this, I guess the android integration. But my god, I’d die of cringe if someone asked me about my laptop and I had to say “googlebook”. Believe it or not, these things matter a lot, particularly if you’re trying to target a young audience.

jerojero

我觉得如果我想买一台便宜的笔记本，我可能会选MacBook Neo；如果我想买一台非游戏用途的高端笔记本，我会选MacBook Pro。

我真的看不出这款产品的市场定位，大概就是安卓整合吧。但天哪，如果有人问我笔记本是什么，我得说“Googlebook”，我简直要尴尬死了。信不信由你，这些东西其实很重要，尤其是当你试图吸引年轻用户时。

---

EU to crack down on TikTok, Instagram’s ‘addictive… #

https://news.ycombinator.com/item?id=48107105

This is pretty easy to solve. If you present data by algorithm, you are no longer an impartial common carrier and are liable for the content you present. If the user decides you don’t, ala social media 1.0.

conception

这其实很容易解决。如果你通过算法呈现数据，你就不再是一个公正的中立平台，而要对你呈现的内容负责。如果用户认为你不负责，就像社交媒体1.0那样。

---

Gmail registration now requires scanning a QR code… #

https://news.ycombinator.com/item?id=48097912

People complain a lot about Gmail, but honestly I kind of understand Google’s plight here.

They’ve essentially gotten roped into maintaining a huge chunk of internet infrastructure, for free. If they ever shut it down the whole world would end up rioting because it’s so widely used.

But it’s expensive, complicated and time-consuming to maintain - and both a source of and recipient of endless waves of spam and scams. It’s an endless pile of data to hold onto, FOREVER, as well.

I enjoy hating on Google when appropriate. But when it comes to Gmail, I understand what they’re dealing with.

It’s honestly why I believe the idea of free e-mail is just bad, fundamentally. You can’t expect a free e-mail service to be good or have any kind of support. The fact that it still exists is more out of shear fear of the repercussions than any good will on the owner’s part.

Just get a paid e-mail service. They’re better, and offer a lot more peace of mind.

Night_Thastus

人们对Gmail抱怨很多，但说实话，我有点理解谷歌现在的处境。

他们基本上被迫免费维护着互联网基础设施中的一大块。如果他们关闭服务，全球范围内都会爆发骚乱，因为使用的人太多了。

但维护起来既昂贵又复杂，还很费时间，而且它既是无尽垃圾邮件和诈骗的来源，也是这些信息的接受者。这是一堆需要永远保存的数据。

我喜欢在适当的时候吐槽谷歌，但谈到Gmail，我能理解他们所面对的困境。

坦白说，这也是我认为免费电子邮件本质上就是个糟糕主意的原因。你不能指望免费邮箱服务能好用或有任何支持。它仍然存在，更多的是因为害怕关闭后带来的后果，而不是因为运营方的好意。

还是用付费邮箱吧，它们更好，也更让人安心。

---

2026 05 12 HackerNews

2026-05-12 07:18:46

2026-05-12 Hacker News Top Stories #

1. 谷歌和苹果推动的硬件级认证正被银行与政府当作准入门槛，实质以安全之名限制第三方系统与用户选择、强化垄断。
2. 倡导本地优先的AI以保护隐私和降低延迟，必要时再混合云端，但受限于本地硬件内存/算力与成本，而云端具规模化优势。
3. AI适合在明确边界下产出功能而非架构，否则易堆出“神对象”与耦合，人需主导演进不变量、模块化与定期重构。
4. 一场逼真的虚构供应链攻击揭示了2FA/签名缺失、传递依赖与自动合并等系统性风险，并呼吁改进防护与流程治理。
5. Anthropic 的 Mythos 在 curl 源码中仅确认出一处低危问题，整体效果与既有工具相当，应警惕过度营销炒作。
6. Ratty 用GPU在终端内联渲染3D图形，引发对终端不应局限文本、应向更丰富交互和可视化演进的讨论。
7. 在24GB内存的M4上本地跑Qwen 3.5‑9B可胜任日常开发辅助并兼顾隐私离线，社区称Gemma 4等更大模型正成新基准。
8. Gmail 注册改为扫码由手机主动发短信以遏制滥用，虽提升防滥用能力却加剧隐私与可迁移性隐忧并催生可能绕过手段。
9. 攻击者滥用 Obsidian 社区插件通过社工投递跨平台RAT，建议收紧插件权限、监控异常行为并加强用户安全培训。
10. 代码生成提速若未同步降低维护成本将侵蚀长期生产力，应让AI聚焦减负维护（如依赖升级、测试）而非制造新的债务。

1. 硬件认证作为垄断助推器 (Hardware Attestation as Monopoly Enabler) #

https://grapheneos.social/@GrapheneOS/116550899908879585

该网页内容主要围绕苹果和谷歌逐步推广硬件级认证技术展开，重点讨论了这项技术对用户设备和操作系统选择自由的影响。苹果通过 Privacy Pass 将硬件认证引入网页，谷歌计划采用类似方式，并在其 Play Integrity API 中逐步强制要求硬件认证，尤其是对强完整性级别的设备。银行和政府服务开始采用这类认证，强制用户使用苹果或谷歌认证的设备和操作系统。

网页指出，这些认证系统表面上被宣传为安全功能，实则更多是为了锁定市场，排斥非官方硬件和操作系统，限制竞争。谷歌的 Play Integrity API 甚至禁止使用 GrapheneOS 等更安全的替代系统，尽管这些系统在安全性上优于官方许可的系统。网页还提到，谷歌通过控制 reCAPTCHA 等广泛使用的服务，进一步加强了对用户设备的限制，要求通过认证设备扫码验证，甚至影响到 Windows 和 Linux 等桌面系统的访问。

此外，欧盟等政府机构也在推动将这类认证作为数字支付、身份验证等服务的强制要求，进一步加剧了市场的垄断趋势。网页批评政府未能阻止苹果和谷歌的反竞争行为，反而通过自身服务参与了这一过程。最后，网页提及了由欧洲多家公司推动的“统一认证”系统，这一系统将进一步集中认证权力，限制用户自由，且远不如安卓开放的硬件认证 API 灵活。总体来看，网页强调硬件认证技术更多是商业垄断工具，而非真正的安全保障。

---

HN 热度 2064 points | 评论 697 comments | 作者：ChuckMcM | 1 day ago #

https://news.ycombinator.com/item?id=48086190

• 设备锁定和硬件认证问题本质上是社会和立法问题，而非纯技术问题，需要通过提高公众意识和政治压力来应对。
• 苹果一直对设备有严格控制，用户对此习以为常且接受，而谷歌改变安卓的开放性引发了用户的不满。
• 安卓被视为开放系统的形象被误解，实际上只有 AOSP 是开源的，谷歌的行为与苹果类似，均存在垄断倾向。
• 谷歌和苹果的良好声誉源于早期的品牌形象和用户体验，但随着时间推移，这些基础逐渐被侵蚀。
• 苹果通过强调设备安全和严格的应用审核建立了良好口碑，普通用户更关注设备的易用性和安全性，而非技术自由。
• 发展中国家的安卓用户主要使用中端手机，需求和价值观与发达国家苹果用户类似。
• 普通 iPhone 用户通常不会考虑应用商店的抽成问题，更关注应用的质量和整体体验。
• 谷歌应用商店存在大量广告和订阅推销的“免费”应用，用户体验不佳。
• 苹果应用商店同样存在大量质量不高的应用。
• 安卓用户较少遇到恶意软件问题，更多是应用内广告和订阅的困扰。
• IT 技术人员倾向于选择苹果设备以减少家庭成员使用中的技术问题和复杂性。

---

2. 本地 AI 应成为常态 (Local AI needs to be the norm) #

https://unix.foo/posts/local-ai-needs-to-be-norm/

这篇文章讨论了当前软件开发中普遍依赖云端 AI 模型的问题，指出这种做法导致软件脆弱、隐私受侵害，并且增加了系统复杂度和成本。作者主张应回归本地 AI 模型，让设备本地完成 AI 任务，利用现代设备强大的计算能力和专用神经引擎，避免数据传输到第三方服务器带来的隐私和安全风险。

文章以作者开发的 Brutalist Report 新闻聚合应用为例，介绍了如何利用苹果的本地模型 API 在 iOS 设备上生成文章摘要，无需服务器支持，保证数据私密和快速响应。作者强调，本地 AI 适合处理用户已有数据的转换任务，如摘要、分类、提取等，而非替代整个互联网知识库。

此外，文章介绍了苹果提供的工具，支持开发者定义结构化数据类型，让 AI 输出直接生成可用的结构化内容，提升开发效率和应用稳定性。作者认为，虽然本地模型智能不及云端模型强大，但对于大多数应用场景已经足够，建议仅在必要时使用云端模型，优先保障用户数据安全和应用的可靠性。

总结来说，文章呼吁行业重视本地 AI 模型的应用，避免将简单功能变成复杂分布式系统，推动构建更实用、可信赖的软件。

---

HN 热度 1745 points | 评论 693 comments | 作者：cylo | 1 day ago #

https://news.ycombinator.com/item?id=48085821

• 本地运行大型语言模型（LLM）正逐渐成为趋势，未来可能形成“远程高性能模型用于规划，本地模型用于执行”的混合模式，最终实现本地模型完全满足需求的平衡状态。
• 目前已有硬件能够运行量化后的模型，虽然速度较慢且上下文窗口有限，但能完成照片分类、收据 OCR、简单问答和代码生成等任务。
• 云端服务因资源共享效率更高，成本远低于自建本地服务器，且提供数据安全和灵活性，但价格较高。
• 现有的本地硬件资源和模型规模限制了用户运行最新前沿模型的能力，主要瓶颈在于内存和计算能力。
• Mac Studio 等高端设备供应紧张，部分原因是市场需求增加及苹果产品定价策略调整。
• 运行本地模型的成本和利用率问题限制了其普及，云服务因高利用率和规模效应在价格上更具优势。
• 本地模型的响应速度和实时性较云端模型差，适合不需要即时反馈的应用场景。
• 传统软件如 Shotwell 已具备一定的照片管理功能，现代开源项目如 Immich 也提供了丰富的机器学习分类功能。
• 目前开源视觉语言模型在文档解析和 OCR 方面表现优异，部分模型在 CPU 上可运行，尽管速度较慢但准确率接近甚至超过人眼。
• 新发布的开源模型不断涌现，覆盖结构化文本提取等多种应用，丰富了本地 AI 工具生态。

---

3. 我将回归手写代码 (I’m going back to writing code by hand) #

https://blog.k10s.dev/im-going-back-to-writing-code-by-hand/

这篇博客文章记录了作者在使用 AI 辅助编程开发 k10s 项目过程中的经验和教训。k10s 是一个 GPU 感知的 Kubernetes 仪表盘，专为管理 NVIDIA 集群设计，能够显示 GPU 利用率、温度、电力消耗等关键指标。项目最初进展顺利，AI 能够快速生成功能代码，极大提升开发速度，但随着功能增多，代码结构变得混乱，出现了“神对象”问题——所有状态和逻辑都堆积在一个庞大结构体中，导致维护困难和功能失效。

作者反思发现，AI 擅长写功能代码，但缺乏整体架构设计能力，长期依赖 AI 生成代码会导致项目逐渐失控。文章重点指出了 AI 辅助编程的五条原则，其中包括：AI 负责写功能，架构设计必须由人类把控；避免让 AI 无节制地添加功能；及时介入审查和重构代码；防止不同功能之间状态混淆；以及合理规划代码结构以防止“神对象”出现。

通过这次经历，作者建议开发者在使用 AI 编程时，要保持对整体架构的掌控，不能完全依赖 AI，适时介入调整，才能保证项目的健康发展和代码质量。

---

HN 热度 907 points | 评论 559 comments | 作者：dropbox_miner | 22 hours ago #

https://news.ycombinator.com/item?id=48090029

• 生成代码的问题在于其难以维护和理解，尤其当系统架构或不变量需要改变时，AI 生成的代码往往难以适应且容易隐藏问题。
• 通过给 AI 设定清晰的模块边界和小上下文，可以提高生成代码的质量，使模块纯净、易测试，但仍需人为监督。
• AI 会严格遵循给定策略，即使策略已经不适用，导致代码质量随时间下降，必须仔细审查 AI 生成的代码。
• 代码好坏的定义与模块化、可测试性和无副作用有关，合理设计模块可以让 AI 生成的代码达到可接受水平。
• 人类写的代码同样可能出现质量问题，经验丰富的程序员也会制造混乱，AI 加速了这种混乱的产生，但责任在于人类指导。
• 自动化测试和项目验证器是防止 AI 生成代码出错的有效手段，可以自动检测和修复重复错误。
• AI 辅助编程需要结合已有的软件工程原则和架构设计，如领域驱动设计和事件溯源，才能显著提升代码质量。
• 不能完全依赖 AI 自动化软件开发，必须持续监督和调整，避免陷入“打地鼠”式的修补循环。

---

4. 事件报告：CVE-2024-YIKES (Incident Report: CVE-2024-YIKES) #

https://nesbitt.io/2026/02/03/incident-report-cve-2024-yikes.html

这篇报告详细描述了一个名为 CVE-2024-YIKES 的严重供应链安全事件。事件起因于 JavaScript 生态系统中一个依赖包被攻破，导致凭证泄露，进而攻击了 Rust 压缩库 vulpine-lz4，该库被 Python 构建工具 snekpack 所使用，最终恶意软件传播给约 420 万开发者。事件历时 73 小时，最终因一个无关的加密货币挖矿蠕虫意外修复而解决。

事件经过包括：左对齐库 left-justify 的维护者 Marcus Chen 被盗窃，凭证被钓鱼网站窃取，left-justify 发布含恶意脚本的新版本，窃取多种凭证；攻击者利用这些凭证控制 vulpine-lz4，植入恶意构建脚本；该恶意代码被 Python 工具 snekpack 使用，导致全球开发者机器感染，恶意软件添加 SSH 密钥、安装反向 shell 并改变默认 shell 为 fish；安全研究者发现并报告问题，但响应迟缓；最终，因加密货币蠕虫传播时自动升级了 snekpack 版本，意外撤销了恶意代码，事件才得以解决。

根本原因被幽默地归结为“名为 Kubernetes 的狗吃掉了 YubiKey”，反映了多重安全管理失误。事件暴露了 npm 注册表允许弱认证、AI 搜索引导至钓鱼网站、Rust 生态中大量小型依赖包的风险、Python 工具对 Rust 库的盲目引用及更新不及时、自动合并 PR 的风险等问题。

报告建议加强制品签名、强制 2FA、审计传递依赖、合理管理依赖版本等措施。整体事件显示供应链安全的复杂性和脆弱性，同时也讽刺了安全响应中的混乱和无奈。

---

HN 热度 676 points | 评论 166 comments | 作者：miniBill | 1 day ago #

https://news.ycombinator.com/item?id=48086082

• 这篇帖子是虚构的供应链安全事件，但写得非常真实，容易让人误以为是真实事件。
• 真实受害者分享了被攻击后的心理影响和对安全的恐慌，强调攻击是多种因素叠加的结果。
• 有人最初以为帖子是恶搞或伪造，但随着阅读深入发现内容虽荒诞但不失合理性。
• 讨论中提到一些真实的技术细节和历史事件，如比特币的 BIP-42 修复。
• 有评论指出帖子中的包名如“left-justify”是虚构的，类似于历史上的“left-pad”事件。
• 有人提到搜索 CVE-2024-YIKES 会出现很多 AI 自动生成的内容，导致真假难辨。
• 有观点认为现在通过谷歌搜索难以判断信息真伪，因为搜索结果往往重复原文和相关虚假内容。
• 有评论批评帖子没有在开头明确标注为虚构，增加了读者的辨识难度。
• 有人认为阅读这类内容需要具备一定的阅读能力和信息筛选能力，不能仅凭表面信息判断。
• 讨论中有调侃包管理和依赖解析的复杂性，甚至开玩笑说依赖解析是图灵完备的。
• 有人分享了对 Rust 生态中部分关键依赖包的关注，暗示供应链攻击的潜在风险。

---

5. Mythos 发现了一个 curl 漏洞 (Mythos Finds a Curl Vulnerability) #

https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/

这篇文章由 curl 项目负责人 Daniel Stenberg 撰写，讲述了 Anthropic 公司开发的 AI 模型 Mythos 在安全漏洞检测方面的表现及其对 curl 项目的影响。文章开头介绍了 Mythos 因其在源代码安全漏洞发现上的强大能力而引起广泛关注，但 Anthropic 尚未公开发布该模型，仅限部分公司使用以优先修复关键问题。

作者作为 curl 项目的负责人，曾被邀请使用 Mythos 扫描 curl 代码，但因各种原因未能直接接触模型，而是通过第三方获得了 Mythos 对 curl 的安全扫描报告。此前，curl 项目已经使用多种 AI 工具（如 AISLE、Zeropath、OpenAI Codex Security）和传统静态分析、模糊测试等方法进行安全审查，过去 8-10 个月内这些工具帮助发现并修复了数百个问题，其中包括十余个确认的安全漏洞。

文章详细介绍了 curl 项目的规模和安全管理：curl 拥有约 17.6 万行 C 代码，代码质量经过多次打磨，由超过 1400 名开发者贡献，已发布 188 个安全漏洞公告（CVE），广泛应用于全球数十亿设备和多种操作系统。Mythos 对 curl 代码的扫描覆盖了主要源码目录，确认了 5 个安全问题，但经过团队复核，最终只确认了 1 个低严重度的安全漏洞，计划在即将发布的 curl 8.21.0 版本中公开。

作者指出，Mythos 报告中还包含约 20 个非安全性缺陷，团队正在逐一评估和修复。总体来看，Mythos 的发现数量和质量与之前使用的 AI 工具相当，未表现出显著超越的能力。作者认为当前对 Mythos 的过度炒作更多是市场营销效果，实际在代码安全分析上的提升有限。

总结来说，curl 项目持续重视安全，结合多种工具和人工审查不断改进代码质量。Mythos 作为新兴 AI 安全分析工具，虽表现良好，但尚未带来革命性突破，curl 团队将继续利用各种手段保障项目安全。

---

HN 热度 606 points | 评论 250 comments | 作者：TangerineDream | 16 hours ago #

https://news.ycombinator.com/item?id=48091737

• Mythos 模型的效果被认为主要是营销炒作，实际在代码安全分析上的提升有限。
• Mythos 能够自动发现漏洞是其重要价值，但需要关注其误报率。
• 早期 OpenAI 对 GPT-2 的发布持谨慎态度，担心潜在风险。
• 谷歌内部曾有员工误以为 AI 具备意识，最终因泄露信息被解雇。
• 谷歌对 AI 的态度较为保守，主要是为了规避风险和保持市场地位。
• OpenAI 和 Anthropic 的商业模式被质疑投入大于回报，但其用户规模和收入增长迅速。
• AI 行业的竞争激烈，营销和恐惧策略被用来快速推动业务发展。
• AI 技术带来的社会影响复杂，包括诈骗、自杀等负面事件，不能简单归结为营销问题。
• 对 AI 潜在危害的担忧与对其能力的过度乐观形成对比，社会对 AI 的认知存在分歧。
• AI 产品的快速普及是互联网历史上最快的，但是否真正带来积极改变仍有争议。

---

6. Ratty – 带内嵌 3D 图形的终端模拟器 (Ratty – A terminal emulator with inline 3D graphics) #

https://ratty-term.org/

该网页介绍了 Ratty，一款基于 GPU 渲染的终端模拟器，支持内嵌 3D 图形显示。Ratty 的一个特色功能是带有一个旋转的老鼠光标，增加了使用时的趣味性和视觉效果。网页还提供了相关资源的链接，包括博客文章、软件下载以及源代码，方便用户深入了解和使用这款终端模拟器。页面版权归 Orhun Parmaksız 所有，时间标注为 2026 年。

---

HN 热度 589 points | 评论 191 comments | 作者：orhunp_ | 13 hours ago #

https://news.ycombinator.com/item?id=48093100

• UNIX 的 REPL 体验仍在追赶早期施乐工作站和 Lisp 机器的内联图形技术。
• 许多现代用户体验问题早在 1968 年的“母亲演示”中就已解决。
• 讨论中提到的示例视频并非真正的 3D 图形，但有其他视频展示了类似 Nintendo 64 开发时使用的 3D 技术。
• Symbolics 在 SGI 之前主导了 3D 图形市场，支持简单的窗口创建和绘图操作，后来 X10 系统体验较差。
• CRT 显示器相比平板显示器更适合某些 3D 显示效果。
• TempleOS 虽然被戏谑，但其设计理念和 HolyC 语言具有独特价值。
• Terry Davis 的工作体现了个人智慧与信仰的结合，但存在对问题的回避态度。
• TempleOS 的 HolyC 语言容易因编辑错误导致系统崩溃，类似早期计算机的 POKE 指令问题。
• Oberon 和 Plan9 等操作系统也被提及，曾在学术环境中使用。
• Terry Davis 的精神状态被一些人视为“神启”或“神的启示”。
• TempleOS 终端中有令人印象深刻的 3D 图标设计。
• Ratty 项目直接受到 TempleOS 的启发。
• 有评论提到在 VR 中使用浅层 3D 界面以减少视觉疲劳，3D 可以通过多种方式实现，包括头部追踪和立体显示。
• 3D 文本渲染系统可以实现每个字符作为独立 3D 多边形，支持大规模渲染和编辑。
• 有人认为 3D 文本渲染在实际使用中存在阅读和操作上的困难，且 3D 效果的实用性存疑。
• 终端不应仅限于文本显示，数据科学笔记本展示了终端发展的可能性，Kitty 终端是该领域的积极创新者。
• euporie 项目支持在终端中运行数据科学笔记本，显示图形、HTML 和 LaTeX 等多种内容。
• 有用户关心是否可以在 euporie 中切换 Jupyter 内核，以及通过 SSH 运行时如何实现用户认证和访问控制。

---

7. 在拥有 24GB 内存的 M4 MacBook Pro 上运行本地模型 (Running local models on an M4 with 24GB memory) #

https://jola.dev/posts/running-local-models-on-m4

这篇文章介绍了作者在一台拥有 24GB 内存的 M4 MacBook Pro 上运行本地语言模型的实验和心得。作者尝试了多种模型和运行环境，包括 Ollama、llama.cpp 和 LM Studio，最终发现 Qwen 3.5-9B（4b 量化版本）在 LM Studio 上表现较好，能够以约 40 tokens 每秒的速度运行，支持 128K 的上下文窗口，并能启用“思考”模式进行更精确的编码任务。

作者详细说明了如何配置该模型以支持思考模式，包括调整温度、top_p、top_k 等参数，并通过修改 Prompt 模板来启用思考功能。同时，文章还分享了两种常用工具 Pi 和 OpenCode 的配置示例，方便读者快速上手。

虽然本地模型无法像最先进的云端模型那样独立解决复杂问题，但作者认为这种交互式、需要用户更多引导的使用方式反而能提升用户的参与感和思考深度。模型可以作为研究助手、代码调试的“橡皮鸭”，以及快速回忆编程细节的工具，虽然效率提升有限，但依然有实际价值。

文章还通过两个具体示例展示了模型的实际应用：一是帮助升级 Elixir 代码中的 linter 规则，给出代码改进建议并完成修改；二是协助解决依赖冲突的 Git rebase 问题，虽然模型在执行修改时出现了一些失误，但整体表现令人满意。

总结来看，作者认为本地模型适合需要高度互动和细致指导的工作流程，虽然不能完全替代云端 SOTA 模型，但在保护隐私、减少对大厂依赖以及无网络环境下工作方面具有独特优势。

---

HN 热度 533 points | 评论 157 comments | 作者：shintoist | 24 hours ago #

https://news.ycombinator.com/item?id=48089091

• Gemma 4 31B 被认为是本地模型的新基准，虽然不及最前沿模型，但比以往本地模型更稳定可靠，适合大内存机器运行。
• Gemma 4 在某些任务上表现接近甚至优于 Opus 4.7，尤其在有良好上下文输入时表现出色，适合非平凡项目的自动化工具开发。
• Gemma 4 能够较好地进行复杂任务，如逆向工程蓝牙协议，甚至在无网络辅助时也能逐步推进项目。
• Qwen 3.6 在代码审查和基础研究方面表现优于 GPT-5.4，能发现更多隐藏问题和提供更准确的建议。
• 本地模型的发展迅速，结合代理框架和硬件进步，带来多方面的技术突破。
• Gemma 4 26B 版本在同级别模型中表现高效且智能，虽然在长上下文任务中表现有所下降。
• 小模型如 Gemma e2b 在编辑任务中表现良好，适合配合更强模型进行规划和执行。
• 小模型的选择需根据硬件性能调整，部分小模型存在思维循环或性能瓶颈问题。
• 在 M4 Pro 64GB 硬件上，Gemma 4 31B 的首次生成时间和生成速度表现较好，具体数值因模型版本和提示不同有所差异。

---

8. Gmail 注册现需扫描二维码并发送短信验证 (Gmail registration now requires scanning a QR code and sending a text message) #

https://discuss.privacyguides.net/t/google-account-registration-now-requires-sending-an-sms-via-phone-instead-of-receiving-an-sms/36082

该网页主要讨论了谷歌账户注册过程中引入的二维码验证方式及其对匿名注册的影响。用户发现，谷歌用二维码替代了传统的短信验证，但实际上扫描二维码后，手机会自动发送短信给谷歌以验证手机号，这使得使用虚拟短信服务（如 SMSpool）变得不可行。

讨论中提到，这种验证方式虽然提升了安全性，防止钓鱼和滥用，但也给注重隐私的用户带来了困扰。部分用户担心无法匿名注册新账户，且购买二手谷歌账户存在风险，因为无法确定账户之前的使用者身份。

有用户提出，未来可能会出现新的服务来绕过这一限制，自动向谷歌发送短信完成验证。此外，有用户分享了在国外使用实名制 SIM 卡注册谷歌账户并启用两步验证的经验，指出即使号码被回收，账户仍能长期使用，且谷歌会记录所有曾用过的手机号，但通常不允许用已不再拥有的号码进行验证。

整体来看，网页内容围绕谷歌账户注册安全措施的变化，探讨了其对隐私保护和匿名注册的影响，以及用户应对这一变化的可能策略。

---

HN 热度 522 points | 评论 366 comments | 作者：negura | 16 hours ago #

https://news.ycombinator.com/item?id=48092028

• Gmail 作为免费服务，承担了大量互联网基础设施的维护，成本高且复杂，且需应对大量垃圾邮件和诈骗，免费邮箱服务本质上难以保证质量和支持。
• Google 最初提供免费邮箱时，容量远超当时竞争对手，免费服务是其吸引用户的策略，Google 有权采取措施防止产品被恶意使用。
• 提供低价甚至免费关键服务可能导致市场竞争被排挤，突然取消服务可能存在道德和法律争议。
• 许多人对财产权的理解较为片面，忽视了历史上为解决实际问题而设立的各种权利和保护机制。
• 网络上存在大量误导性信息，普通用户难以辨别，当前大语言模型能帮助识别这些信息，但这种优势可能不会持续。
• 教育系统未能有效抵御有组织的宣传机器的影响，导致公众认知偏差，这反映了教育和社会制度的不足。
• 系统设计难以完美适应复杂的人类社会，限制了政府和企业解决大规模问题（如气候变化）的能力。
• 尽管系统存在缺陷，人类通过不断努力仍能实现重大进步，不应对系统失效持彻底悲观态度。
• 系统和机构的问题根源在于人，个人和集体的责任感缺失导致制度难以改进，社会问题无法根本解决。
• 个人责任重要，但必须结合对社会环境和制度的理解，单靠个人行为无法解决系统性问题，需要制度层面的改革和问责。

---

9. Obsidian 插件被滥用以部署远程访问木马 (Obsidian plugin was abused to deploy a remote access trojan) #

https://cyber.netsecops.io/articles/obsidian-plugin-abused-in-campaign-to-deploy-phantom-pulse-rat/

安全研究人员发现了一起针对金融和加密货币专业人士的高度定向社会工程攻击活动，该活动利用 Obsidian 笔记应用程序传播一种名为 PHANTOMPULSE 的新型远程访问木马（RAT）。攻击者通过 LinkedIn 和 Telegram 等平台建立信任，诱导受害者打开一个恶意共享的 Obsidian 云端笔记库，并引导其启用社区插件功能，从而执行恶意代码并部署木马。

该攻击针对 Windows 和 macOS 系统，攻击流程包括：通过社交工程获得初始访问，诱使用户开启社区插件功能，执行恶意脚本（Windows 上为 PowerShell，macOS 上为 AppleScript），加载名为 PHANTOMPULL 的加载器，最终在内存中解密并运行 PHANTOMPULSE 木马以规避检测。PHANTOMPULSE 利用以太坊区块链查询交易数据，动态获取其命令控制服务器地址，增强了其抗封锁能力。

一旦感染，攻击者可完全控制受害者设备，窃取敏感数据、知识产权、交易策略，尤其是加密货币钱包密钥和交易所凭证。该攻击的跨平台特性和区块链 C2 机制显示出高度复杂性，给防御带来极大挑战。

检测建议包括监控 Obsidian 进程是否启动异常子进程（如 powershell.exe、cmd.exe、osascript），关注异常的以太坊区块链网络流量，以及监控 Obsidian 插件目录的文件变动。防御措施强调用户培训以识别社交工程攻击，限制社区插件安装，禁用不信任笔记库的插件同步功能，以及实施应用控制和保持终端安全软件更新。总体来看，防范此类攻击需结合技术监控与用户安全意识提升。

---

HN 热度 348 points | 评论 207 comments | 作者：cmbailey | 1 day ago #

https://news.ycombinator.com/item?id=48088576

• Obsidian 即将推出插件安全性重大更新，旨在解决用户担忧，目前攻击案例主要是社交工程，需要用户多次忽视安全警告。
• 插件虽带来安全风险，但为用户提供了更多自定义功能，且插件非必需，用户可根据需求选择使用。
• 应减少对插件的依赖，将常用功能内置为设置选项，降低用户对插件的需求。
• 插件具有全盘访问权限，存在安全隐患，早有用户提醒但未被充分重视。
• Obsidian 的开放性是其优势，不能完全封闭插件系统，但应增加防范社交工程攻击的措施。
• 允许插件执行任意系统命令带来风险，但限制过严会影响诸如 git 集成、自动备份等功能。
• 建议将插件操作限制在文档库内，执行系统命令需用户授权，类似浏览器脚本的沙箱机制。
• 现代操作系统（如 macOS）支持应用沙箱和权限管理，能限制应用访问磁盘的范围。
• Windows 系统默认程序拥有全盘访问权限，缺乏有效的沙箱机制，安全性较低。
• Windows 的沙箱技术存在，但不支持持久化，且用户难以为不安全程序配置权限。
• macOS 的 Gatekeeper 默认启用应用沙箱，访问敏感路径时会弹出权限请求，用户可手动授予全盘访问权限。
• 对大多数普通用户来说，启用和管理应用沙箱权限较为复杂，但通过应用商店安装的程序通常默认受限。

---

10. 使用 AI 编程代理以降低维护成本 (An AI coding agent, used to write code, needs to reduce your maintenance costs) #

https://www.jamesshore.com/v2/blog/2026/you-need-ai-that-reduces-your-maintenance-costs

本文讨论了使用 AI 编程代理对软件开发生产力和维护成本的影响。作者指出，虽然 AI 可以显著提高代码编写速度，但如果维护成本没有相应降低，整体生产力反而会下降。每写一个月的代码，未来几年都需要花时间维护，包括修复漏洞、清理代码和升级依赖等。随着时间推移，维护工作将占据越来越多的时间，最终可能超过一半的工作量。

文章通过“群众智慧”估算了维护成本，指出如果维护成本翻倍，生产力提升的效果会迅速消失，甚至变得比未使用 AI 前更糟。作者强调，只有当 AI 生成的代码维护成本降低到与生产力提升成反比时，才能真正实现长期效益，否则只是短暂的速度提升换来永久的负担。

此外，停止使用 AI 后，虽然不再有 AI 带来的生产力提升，但之前增加的维护负担依然存在，导致整体效率下降。作者呼吁在追求编码速度提升的同时，也要重视降低维护成本，或者提升维护效率，否则团队将陷入“加速但被锁定”的困境。

最后，作者承认目前大多数 AI 工具实际上增加了维护成本，真正能大幅降低维护成本的 AI 尚未出现，但仍鼓励读者探索各种可能的改进方法，包括利用 AI 提升维护工作的效率。

---

HN 热度 346 points | 评论 100 comments | 作者：cratermoon | 23 hours ago #

https://news.ycombinator.com/item?id=48089289

• AI 确实降低了维护成本，尤其是在处理老旧代码、更新依赖和自动化测试方面带来了便利。
• 依赖 AI 工具可能导致对工具的依赖性增强，一旦失去 AI 支持，维护难度会显著增加。
• AI 辅助下代码量激增，部分代码缺乏理解，导致故障和严重性增加，维护难度加大。
• 维护性不应被视为非功能需求，而是保障未来功能持续交付的关键因素，应被视为功能性需求。
• 不应将维护性等质量问题单独命名或隔离处理，质量应作为开发的内在部分，贯穿整个开发过程。
• AI 生成代码容易带来难以察觉的细微错误，增加了代码审查的难度和维护负担。
• AI 并未真正减少维护成本，而是将维护成本从编写转移到审查，审查 AI 代码比人类代码更具挑战。
• 软件应被视为投资，维护成本和价值需动态评估，技术债务应以价值视角重新定义。

---

Hacker News 精彩评论及翻译 #

Software engineering may no longer be a lifetime c… #

https://news.ycombinator.com/item?id=48096558

Multiple times per week I have the same conversation. It goes something like this:

• AI will make developers irrelevant
• Why?
• Because LLMs can write code
• Do you know what I do for a living?
• Yes, write code?
• Yes, about 2-5% of the time. Less now.
• But you said you are a developer?
• I did
• So what do you do 95-98% of the time?
• I understand things and then apply my ability to formulate solutions
• But I can do that!
• So why aren’t you? The developers who still think their job is about writing code will perhaps not have a job in the future. Brutal as it may sound: I’m fine with that. I’m getting old and I value my remaining time on the planet.

Business owners who think they can do without developers because they think LLMs replace developers are fine by me too. Natural selection will take care of them in due course.

bborud

我每周多次都会经历同样的对话，大致是这样：

• AI 会让开发者变得无关紧要
• 为什么？
• 因为大型语言模型能写代码
• 你知道我是什么职业吗？
• 知道，写代码吧？
• 对，但只占我工作时间的2%到5%，现在甚至更少
• 可你说你是开发者？
• 是的
• 那你剩下95%到98%的时间都做什么？
• 我理解问题，然后运用能力制定解决方案
• 可我也会这样做啊！
• 那你为什么不去做？ 那些仍然认为自己的工作只是写代码的开发者，或许将来真的没有工作了。虽然说得很残酷，但我对此无所谓。我年纪大了，更珍惜自己剩下的时间。

那些认为不用开发者，因为觉得大型语言模型可以替代开发者的企业主，我也没意见。自然选择会在适当时候处理他们。

---

Mythos Finds a Curl Vulnerability #

https://news.ycombinator.com/item?id=48092073

Quote:

“My personal conclusion can however not end up with anything else than that the big hype around this model so far was primarily marketing. I see no evidence that this setup finds issues to any particular higher or more advanced degree than the other tools have done before Mythos. Maybe this model is a little bit better, but even if it is, it is not better to a degree that seems to make a significant dent in code analyzing.”

It’s a good reminder for us all that the competition in this space is rough and lots of more or less subtle marketing is involved.

rzmmm

我的个人结论无非是，这款模型至今的大肆宣传主要是营销手段。我看不到有任何证据表明这个系统在发现问题的能力上比其他在Mythos之前的工具有明显的提升。也许这款模型稍微好一点，但即便如此，其提升幅度也不足以对代码分析产生显著影响。

这提醒我们所有人，这个领域的竞争非常激烈，且伴随大量或多或少带有技巧的营销。

---

Hardware Attestation as Monopoly Enabler #

https://news.ycombinator.com/item?id=48091000

I always say this when this topic comes up: remote attestation will be how our computing freedom dies. They’ve made it so that it doesn’t even matter if they allow you to install whatever you want. Anything that isn’t corporate owned is banned. Own your device? You “tampered” with it. You’re banned. From everything. You’re ostracized from digital society. You’re not even a citizen, much less a second class citizen. Enroll your own keys? It doesn’t matter. You’re not trusted. You’re a fraudster terrorist money launderer drug dealer pedophile.

While I am glad that people continue to struggle, that GrapheneOS continues to fight and speak out, these developments still fill me with a terrible sadness. The future is bleak. We inch ever closer to the complete destruction of everything the word “hacker” ever stood for. It’s a deep loss.

matheusmoreira

每次谈到这个话题，我总是这么说：远程认证将成为我们计算自由的终结者。他们已经把事情做得这样，即使允许你安装任何你想要的软件也无关紧要。任何不是企业拥有的东西都会被禁止。你拥有设备？那就是“篡改”了它。你被禁用了。所有的东西都禁用。你被数字社会排斥。你甚至不是公民，更别说是二等公民了。自己注册密钥？无所谓。你不被信任。你就是骗子、恐怖分子、洗钱犯、毒贩、恋童癖者。

虽然我很高兴有人仍在努力，GrapheneOS 还在战斗和发声，但这些发展依然让我感到非常悲伤。未来很暗淡。我们一步步逼近“黑客”这一词汇曾经代表的一切的彻底毁灭。这是一次深刻的损失。

---

Driver accused of DUI tracks missing laptop to Ill… #

https://news.ycombinator.com/item?id=48094899

investigators determined Bradley had violated State Police policies, and he was suspended for one day.

medler

调查人员认定布拉德利违反了州警察的政策，他因此被停职一天。

---

Hardware Attestation as Monopoly Enabler #

https://news.ycombinator.com/item?id=48093126

The superhuman efforts that folks on HN make to find technical workarounds and solutions is wonderful to see, but we must realize that this is not a technical problem. It’s a social and legislative one. It can’t be fought on technical grounds. The push back has to be via putting pressure on politicians by making regular people more aware.

Right now, the vast majority of users are being bombarded with a one sided narrative of how ‘insecure’ their devices are. They read almost everyday about someone losing their life’s savings due to ‘hackers’. In this environment, they genuinely believe locking down their devices will make them more secure and prevent them from being ‘hacked’.

The powers that be make sure that the people never hear the other side. That people are giving absolute control to large corporations. In my experience, once the issue is framed as ‘Google will decide what you can do with your phone’ every single person is immediately outraged.

If you want to make a meaningful contribution, however small, then make it a point to educate people about the control they are giving to large corporations like Google. It doesn’t take much to convince them that Google et al don’t have their best interests in mind. They already know it and have experienced it. The second thing to do is to encourage them to reach out to their member of congress via letters. It’s easy enough to do, and politicians are terrified of going against voters. They rely on people’s ignorance to quietly work against their constituent’s interests while supporting whichever special interest happened to donate the most to their campaign fund.

khriss

看到HN上的人们为寻找技术解决方案付出超乎常人的努力，确实令人敬佩，但我们必须意识到这不是一个技术问题，而是一个社会和立法问题。这个问题不能靠技术来解决，反抗的方式必须是通过让普通人更加了解情况，从而对政治人物施加压力。

目前，绝大多数用户都被单方面的叙述轰炸——他们的设备“不安全”。几乎每天都能看到有人因“黑客”而失去毕生积蓄。在这种背景下，人们真心相信锁定设备能让他们更安全，防止被“黑”。

掌权者确保人们永远听不到另一种声音，不知道自己正把绝对控制权交给大型公司。以我的经验来看，一旦问题被表述为“谷歌将决定你能否使用你的手机”，每个人都会立刻愤怒。

如果你想做出有意义的贡献，哪怕很小，也请努力教育人们，让他们明白自己正在赋予谷歌这样的大公司控制权。说服他们谷歌等公司并不站在他们这边其实并不难，他们早已知道并经历过。其次，要鼓励他们给国会议员写信。这很简单，政治家害怕得罪选民，他们依赖选民的无知，悄悄地违背选民利益，支持那些给他们选举资金捐赠最多的特殊利益团体。

---

Obsidian plugin was abused to deploy a remote acce… #

https://news.ycombinator.com/item?id=48090255

Obsidian CEO here. There is a major update coming soon for plugin security. I think it will address many of the concerns people have raised in this thread. It’s a hard problem but we are working on it.

That said, the headline is misleading. This article is about a social engineering attack that requires the user to actively reject multiple safety warnings in Obsidian. As far as I know this is a proof of concept, I haven’t seen any reports of users being affected by this attack.

kepano

我是 Obsidian 的首席执行官。很快将发布一项关于插件安全性的重大更新。我认为这将解决许多人在本帖中提出的担忧。这是一个难题，但我们正在努力解决。

不过，标题有些误导。本文讲的是一种社交工程攻击，要求用户主动多次忽视 Obsidian 中的安全警告。据我所知，这只是一个概念验证，目前尚未收到有用户因此攻击受影响的报告。

---

I’m going back to writing code by hand #

https://news.ycombinator.com/item?id=48093197

Yep. The only people I’ve heard saying that generated code is fine are those who don’t read it.

The problem is that the mitigations offered in the article also don’t work for long. When designing a system or a component we have ideas that form invariants. Sometimes the invariant is big, like a certain grand architecture, and sometimes it’s small, like the selection of a data structure. You can tell the agent what the constraints are with something like “Views do NOT access other views’ state” as the post does.

Except, eventually, you’ll want to add a feature that clashes with that invariant. At that point there are usually three choices:

• Don’t add the feature. The invariant is a useful simplifying principle and it’s more important than the feature; it will pay dividends in other ways.

• Add the feature inelegantly or inefficiently on top of the invariant. Hey, not every feature has to be elegant or efficient.

• Go back and change the invariant. You’ve just learnt something new that you hadn’t considered and puts things in a new light, and it turns out there’s a better approach.

Often, only one of these is right. Often, at least one of these is very, very wrong, and with bad consequences.

Picking among them isn’t a matter of context. It’s a matter of judgment, and the models - not the harnesses - get this judgment wrong far too often. I would say no better than random chance.

Even if you have an architecture in mind, and even if the agent follows it, sooner or later it will need to be reconsidered. What I’ve seen is that if you define the architectural constraints, the agent writes complex, unmaintainable code that contorts itself to it when it needs to change. If you don’t read what the agent does very carefully - more carefully than human-written code because the agent doesn’t complain about contortious code - you will end up with the same “code that devours itself”, only you won’t know it until it’s too late.

pron

是的。我听说觉得生成的代码没问题的人，通常是那些根本不看代码的人。

问题是，文章中提出的缓解措施也不能长久奏效。在设计系统或组件时，我们会有一些形成不变量的想法。有时候这个不变量很宏大，比如某种宏伟的架构，有时候很小，比如选择某种数据结构。你可以用类似“视图不访问其他视图的状态”这样的话告诉智能体约束条件，就像文章中说的那样。

但是，最终你会想要添加一个与该不变量冲突的功能。这时通常有三种选择：

• 不添加该功能。不变量是一个有用的简化原则，它比功能更重要；长远来看它会带来收益。

• 在遵循不变量的基础上，不优雅或低效地添加该功能。嘿，并不是每个功能都必须优雅或高效。

• 回头修改不变量。你刚学到了一些之前没考虑过的新东西，这给事情带来了新视角，事实证明有更好的方法。

通常，这三种选择中只有一种是正确的。往往至少有一种是非常糟糕的，会带来恶劣后果。

选择哪一种不是凭情境决定的，而是凭判断。模型——而非辅助工具——很大程度上判断错误得太多了。我认为它们的判断不比随机选择好多少。

即使你心中有一个架构蓝图，即使智能体遵循它，迟早都需要重新考虑它。我看到的情况是，如果你定义了架构约束，智能体写出来的代码会变得复杂且难以维护，为了遵守约束而扭曲自己，一旦需要变更就更麻烦。如果你不比看人工代码更仔细地检查智能体写的代码——因为智能体不会抱怨扭曲的代码——最终你得到的就是“吞噬自身的代码”，但你到那时可能已经太晚才发现。

---

Hardware Attestation as Monopoly Enabler #

https://news.ycombinator.com/item?id=48087095

Requiring authorized silicon (and software) isn’t even the biggest problem here.

They do not use zero knowledge proof systems or blind signatures. So every time you use your device to attest you leave behind something (the attestation packet) that can be used to link the action to your device. They put on a show about how much they care about your privacy by introducing indirection into the process (static device ‘ID’ is used to acquire an ephemeral ‘ID’ from an intermediate server) but it’s just a show because you don’t know what those intermediary severs are doing: You should assume they log everything.

And this just the remote attestation vector, the DRM ‘ID’ vector is even worse (no meaningful indirection, every license server has access to your burned-in-silicon static identity). And the Google account vector is what it is.

Using blind signatures for remote attestation has actually been proposed, but no one notable is currently using it: < https://en.wikipedia.org/wiki/Direct_Anonymous_Attestation >

There are several possible reasons for this, the obvious one is that they want to be able to violate your privacy at will or are mandated to have the capability. The other is that because it’s not possible to link an attestation to a particular device the only mitigation to abuse that is feasible is rate limiting which may not be good enough for them - an adversary could set up a farm where every device generates $/hour from providing remote attestations to ‘malicious’ actors.

coppsilgold

要求授权的硅片（和软件）甚至不是这里最大的问题。

他们没有使用零知识证明系统或盲签名。因此，每次你使用设备进行证明时，都会留下某些东西（证明数据包），可以用来将该操作与设备关联起来。他们通过在流程中引入中间环节（静态设备“ID”用于从中间服务器获取临时“ID”）来装作很在意你的隐私，但这只是表面功夫，因为你不知道这些中间服务器在做什么：你应该假设它们都会记录所有内容。

而这仅仅是远程证明的渠道，DRM的“ID”渠道更糟糕（没有有意义的中间环节，每个授权服务器都能访问你焊接在硅片上的静态身份）。至于谷歌账户渠道，也就是它本来的样子。

远程证明使用盲签名的方案实际上已经被提出过，但目前没有什么知名方在使用： https://en.wikipedia.org/wiki/Direct_Anonymous_Attestation

这可能有几个原因，显而易见的是，他们想随时能够侵犯你的隐私，或者被要求必须具备这种能力。另一个原因是因为无法将证明绑定到特定设备，唯一可行的防止滥用的措施就是限速，但这可能不够——对手可能会建立一个矿场，让每台设备通过向“恶意”用户提供远程证明，每小时产生收入。

---

Driver accused of DUI tracks missing laptop to Ill… #

https://news.ycombinator.com/item?id=48095985

The offending trooper’s lie was comically bad:

“I kept it for his courtesy, like I said with his phone, key and wallet,” Bradley told investigators. “It’s my mistake. I forgot to give him his stuff back and he tracked it.” For anyone who knows policing, evidence and suspect possessions do NOT go the arresting officer’s home for obvious reasons.

everdrive

这名违规警员的谎言糟糕得令人发笑：

“我出于礼貌保管了他的东西，就像我说的，他的手机、钥匙和钱包，”布拉德利告诉调查人员。“是我的错误，我忘了把他的东西还给他，他才追踪到了。”

对任何了解警务的人来说，证据和嫌疑人的私人物品绝对不会因为明显的原因被带回逮捕警员家里。

---

The locals don’t know #

https://news.ycombinator.com/item?id=48086519

The corollary of this is that if you are a local you should do some more touristy things.

I don’t mean to go to a tourist trap and get scammed, but just enjoy your city a little more and do some things that usually only tourists do.

For example, despite living most of my life in London, I’ve never been to the Tower of London. Why would I? It’s for tourists. Except it’s probably quite fascinating, especially for a local.

zarzavat

其推论是，如果你是当地人，你应该多做一些旅游者才会做的事情。

我不是说去那些游客陷阱被坑，而是要多享受你的城市，做一些通常只有游客才会做的事。

比如，虽然我大部分时间都住在伦敦，但我从来没去过伦敦塔。为什么呢？那是给游客去的地方。但其实对当地人来说，那里可能非常有趣。

---

I’m going back to writing code by hand #

https://news.ycombinator.com/item?id=48094681

The “people” in your hypothetical story have been wrong the whole time. The correct attitude is:

When AI can complete lines, you still have to read and understand the code.

When AI can complete whole functions, you still have to read and understand the code.

When AI can complete features and tickets, you still have to read and understand the code.

raincole

你假设故事中的“人们”一直都是错的。正确的态度是：

当人工智能能补全代码行时，你仍然需要阅读并理解代码。

当人工智能能补全整个函数时，你仍然需要阅读并理解代码。

当人工智能能完成功能和任务时，你仍然需要阅读并理解代码。

---

Local AI needs to be the norm #

https://news.ycombinator.com/item?id=48088051

They will be, and that moment is not that far off. We’ve got the progression in place already: first, large data centers could have performant LLMs, we are now firmly in “a bunch of servers with a couple of H100s each” territory, slowly going into “128 GB VRAM on a MacBook Pro or a Strix Halo”. Within the next year, the pattern of “expensive remote LLM for planning, local slow-but-faster-than-human LLM for execution” will become the norm for companies, slowly moving to “using local LLM for everything is good enough”. And then we’ll have the equilibrium we already have with the “classic cloud”: you either self-host or pay for flexibility and speed. The question will be: how much of the current compute capacity craze will local hosting give the kiss of death to and what that means for the market.

pronik

它们会到来的，这一刻也不会太远。我们已经有了发展的路线：首先，大型数据中心可以运行高性能的语言模型，现在我们已经稳步进入“每台服务器配备几块H100显卡”的阶段，逐渐过渡到“MacBook Pro或Strix Halo拥有128GB显存”的阶段。在接下来的一年内，“用于规划的昂贵远程语言模型，本地用于执行的较慢但比人类快的语言模型”的模式将成为企业的常态，之后将逐步转向“本地语言模型处理一切已经足够好”。然后我们将达到类似于“经典云服务”的平衡：你要么自建主机，要么为灵活性和速度付费。问题将是：本地部署将使当前计算能力的疯热降温多少，以及这对市场意味着什么。

---

A.I. note takers are making lawyers nervous #

https://news.ycombinator.com/item?id=48093752

The main point raised in the article is that these bots may void attorney client privileges.

But the real danger with these IMO is that they’re turning casual conversations into a permanent record, and one that will be completely discoverable in court, should the company get into trouble later.

burningion

文章中提出的主要问题是这些机器人可能会使律师与客户之间的保密特权失效。

但依我看，更大的危险在于它们将随意的对话变成了永久记录，而如果公司以后陷入麻烦，这些记录将完全可以在法庭上被查阅。

---

Incident Report: CVE-2024-YIKES #

https://news.ycombinator.com/item?id=48086588

For anyone confused, this is (very good imo) fiction about supply-chain incidents. It had me very worried during a brief scan that it was real though, which made me read it more attentively :)

lynndotpy

对于感到困惑的人来说，这是（我认为非常好）的关于供应链事件的虚构作品。不过在快速浏览时，我一度非常担心这是真的，这反而让我读得更加仔细 :)

---

Task Paralysis and AI #

https://news.ycombinator.com/item?id=48083162

I do have an actual diagnostic and I had the same experience over the past year with early coding harness at the beginning of the year, then Claude code since its release date. But after 1+year going that direction I really don’t want to continue. The novelty is gone, dealing with AI now feels frustrating and boring, I miss engaging deeply with the actual lower level technical challenges. I do not want to manage fleets of agents. I do not want to rediscover for the hundredth time that in fact all this time an agent took shortcuts for acceptance tests I rely upon and didn’t catch. Or once again get the agent to understand why and what I want it to do after its context got bloated and it start to drift completely. While I got artifacts I can use (libraries, tools, docs), including some things that I’m pretty confident are SoA I do not feel satisfied anymore knowing that I used a model to generate them, even if I was the one designing every part of it. I do feel that I’m lying anytime I come to a colleague to share a new cool tool I have made. And I do not feel that relying on AI actually helped me improve with dealing with my executive function issues.

YMMV but I’m personally feeling burnt out with AI coding agents and ready to go back to the old ways for my next personal project

dgellow

我确实有一个实际的诊断，并且过去一年中我也经历了类似的情况——年初用早期的编码代理，后来从发布日起用Claude代理。但在走了这一年多的路后，我真的不想继续了。新鲜感已经消失，现在与AI打交道让我感到沮丧和乏味，我怀念那种深入解决底层技术挑战的感觉。我不想管理一大批代理。我也不想第几百次地重新发现，其实一直以来代理为了通过我依赖的验收测试都在走捷径，而我却没有察觉。也不想再一次让代理理解我想做什么、为什么想做，尤其是在它的上下文膨胀后开始完全跑偏的时候。虽然我得到了可以用的成果（库、工具、文档），包括一些我很有信心属于最新技术水平的东西，但知道这些都是用模型生成的，我心里不再满足，即使每个部分都是我设计的。我感觉每次去找同事分享我做的一个新酷工具时，都是在说谎。我也感觉依赖AI并没有真的帮助我改善执行功能方面的问题。

可能每个人感受不同，但我个人对AI编码代理感到精疲力竭，准备在下一个个人项目中回归传统的做法。

---

I returned to AWS and was reminded why I left #

https://news.ycombinator.com/item?id=48083574

A lot of these projects work on a business model where they open-source their core product, and provide advanced services, installation, maintenance or fully-managed services around their product. AWS was bypassing them by providing fully-managed services. On this, I am on the side of the people behind the projects. Basically AWS was eating their lunch. They had no choice but to change the licenses.

hankerapp

很多这些项目的商业模式是开源他们的核心产品，同时围绕产品提供高级服务、安装、维护或全托管服务。AWS通过提供全托管服务绕过了他们。在这点上，我支持这些项目背后的人。基本上，AWS在抢他们的饭碗。他们别无选择，只能更改许可证。

---

Gmail registration now requires scanning a QR code… #

https://news.ycombinator.com/item?id=48093829

Any Gmail person can tell me why Gmail is tolerating Gmail phishing emails that use Google’s own services (e.g. https://storage.googleapis.com/savelinge/… ?

More info here: https://news.ycombinator.com/item?id=46665414

dvh

有谁用Gmail可以告诉我，为什么Gmail会容忍那些利用谷歌自家服务（例如 https://storage.googleapis.com/savelinge/…）的钓鱼邮件吗？

更多信息见这里：https://news.ycombinator.com/item?id=46665414

---

Hardware Attestation as Monopoly Enabler #

https://news.ycombinator.com/item?id=48088065

In 1999, Intel received an absolutely massive amount of opposition when they decided to include a software-readable serial number in their CPUs, so much that they reversed the decision.

Then the “security” and Trusted Computing authoritarians continued pushing for TPMs and related tech, and contributed to the rise of mobile walled gardens. Windows 11’s TPM requirements were another step towards their goal. The amount of propaganda about how that was supposed to be a good thing, both here and elsewhere, was shocking.

It turns out a significant (but hopefully decreasing) number of the population is easily coerced into anything when “security” is given as a justification.

The war on general-purpose computing continues, and we need to keep fighting.

Stallman was right, as always. Time to give his “Right to Read” another read. (If it hasn’t been done already, an AI-generated short film of it would be a great idea…)

“Those who give up freedom for security deserve neither.”

userbinator

1999年，当英特尔决定在其CPU中包含一个软件可读的序列号时，遭到了极大的反对，以至于他们最终撤回了这一决定。

随后，“安全”和可信计算的权威者继续推动TPM及相关技术的发展，并促使移动设备形成了封闭的生态系统。Windows 11对TPM的要求则是向他们目标迈进的又一步。在这里和其他地方，有关这应该是好事的大量宣传让人震惊。

事实证明，仍有相当一部分人（希望这个比例在减少）在“安全”作为理由时，容易被强迫接受任何事物。

对通用计算的战争仍在继续，我们需要继续抗争。

斯托曼一如既往地是对的。是时候重新阅读他的《阅读权利》了。（如果还没有做过，用AI制作一个基于它的短片会是个好主意……）

“那些为了安全而放弃自由的人，两者都不配拥有。”

---

Gmail registration now requires scanning a QR code… #

https://news.ycombinator.com/item?id=48098490

They’ve essentially gotten roped into maintaining a huge chunk of internet infrastructure, for free.

I’ll stop you here. Google offered it for free and, at the time, offered such an high amount of mail storage for free it sounded insane. At the time, my ISP gave me a 25MB or 50MB inbox and that was considered pretty decent, when Google was trying to get people in with 1-2GB.

They absolutely have a right to take ant steps they deem necessary to prevent malicious use of their product, and certainly aren’t obligated to provide it for free, but Google wasn’t forced to provide a free email service, much less one that went so far above and beyond their competition.

redserk

他们实际上被迫免费维护了互联网基础设施的大部分。

我先打断你。谷歌当时提供的是免费的，而且当时他们提供的邮箱存储容量非常大，听起来简直疯狂。那时候，我的网络服务商给我的邮箱只有25MB或50MB，这已经算不错了，而谷歌则试图用1到2GB的空间吸引用户。

他们完全有权采取任何他们认为必要的措施来防止恶意使用他们的产品，当然也没有义务免费提供服务，但谷歌并不是被迫提供免费邮箱服务，更不用说提供远超竞争对手的服务了。

---

Microsoft Israel chief leaves amid ethical controv… #

https://news.ycombinator.com/item?id=48098726

TIL that Microsoft is the least Israel-friendly of the big three clouds

This is a good thing.

American companies should not be allowing their tech to be used to in the gross ongoing human rights violations in Israel/Gaza/West Bank.

Google and Amazon knew their tech could be used for human rights abuses in Israel (their lawyers warned them so) but ignored that in favour of $$$ per the EFF:

https://www.eff.org/deeplinks/2026/04/google-and-amazon-acknowledged-risks-and-ignored-responsibilities

bhouston

今天才知道，微软是在三大云服务商中对以色列最不友好的。

这是一件好事。

美国公司不应该允许他们的技术被用来持续进行以色列、加沙地带和约旦河西岸地区的严重侵犯人权行为。

谷歌和亚马逊知道他们的技术可能被用于以色列的人权侵害（律师曾警告过他们），但他们无视这一点，选择追求利润，根据电子前哨基金会（EFF）的说法：

https://www.eff.org/deeplinks/2026/04/google-and-amazon-acknowledged-risks-and-ignored-responsibilities

---

2026 05 11 HackerNews

2026-05-11 08:24:04

2026-05-11 Hacker News Top Stories #

1. Rossmann抨击Bambu向OrcaSlicer开发者发律师函，承诺先垫≥1万美元法律费并呼吁恢复分支，此事聚焦用户对Bambu打印机控制权与维权修理的争议。
2. Meta为训练AI强制追踪员工键鼠与屏幕且不可退出，引发隐私与士气反弹，加之裁员转型与AI低质信息泛滥使效率与信任进一步受损。
3. ymawky在Apple Silicon上以ARM64纯汇编直调syscall实现极简静态服务器（支持多HTTP特性与安全防护），教学意义强但受fork-每连接模型性能制约。
4. Debian本周期起强制可重现构建并用迁移阻断与自动测试把关，虽增加复杂度与门槛但被视为修复泄露元数据等问题、提升安全与质量的里程碑。
5. Space Cadet Pinball经Flatpak与Full Tilt!资源在Linux高清复刻，原作者分享优化史并纠正误传且确认“hidden test”等彩蛋仍可用，亦引发对旧作保存与开源的思考。
6. Zed编辑器的主题与语法高亮定制广受好评，但Svelte等语法高亮仍有解析缺陷，插件与用户自定义乃至LLM辅助正促进跨编辑器主题迁移。
7. 法国推动为WhatsApp/Signal等设“定向访问”与“幽灵参与者”后门并施重罚引争议，隐私与国家安全博弈加剧且元数据监控风险被再次强调。
8. let-go以Go实现类Clojure语言，单一约10MB二进制冷启动约7ms、支持AOT/WASM与Go互操作，适合CLI与服务但暂不兼容JVM与现有JAR生态。
9. 日本拘押流程常以3+10+10天循环延长且环境与规则严苛、意在施压促认罪，相比美国的快速见法官与保释更显正当程序不足并致身心伤害。
10. “YC最大丑闻”罗列39例YC公司争议被批将普通失败混作丑闻且细节存误，可信度与动机遭质疑并引发对加速器高失败率的再讨论。

1. 路易斯·罗斯曼主动承担被威胁的 OrcaSlicer 开发者的法律费用 (Louis Rossmann offers to pay legal fees for a threatened OrcaSlicer developer) #

https://www.tomshardware.com/3d-printing/louis-rossmann-tells-3d-printer-maker-bambu-lab-to-go-bleep-yourself-over-its-lawsuit-against-enthusiast-right-to-repair-advocate-offers-to-pay-the-legal-fees-for-a-threatened-orcaslicer-developer

路易斯·罗斯曼（Louis Rossmann）公开批评 3D 打印机厂商 Bambu Lab 对一名独立开发者发出法律威胁的做法，并在视频里愤怒地对公司说“去你*的”。他承诺支付该开发者帕维尔·亚尔恰克（Pawel Jarczak）至少 1 万美元的初期法律费用，鼓励“OrcaSlicer‑BambuLab”项目重新放回 GitHub，以对抗 Bambu Lab 的压力。这个分支原本是为恢复 OrcaSlicer 与 Bambu Lab 打印机之间的直接控制功能，但在收到 Bambu Lab 的停止并终止函后被关闭。Bambu Lab 此前认为这些第三方集成方式会给其基础设施带来风险，特别是称收到大量“未授权”请求，并利用其 Bambu Connect 中间件限制第三方软件访问打印机功能。这一事件被视为开源社区与厂商之间关于用户控制权和“维权修理”（Right to Repair）原则的更大争论的一部分。

---

HN 热度 439 points | 评论 234 comments | 作者：iancmceachern | 9 hours ago #

https://news.ycombinator.com/item?id=48084432

• Bambu 打印机用户对其关闭联网功能和固件更新政策感到失望，转而考虑 Prusa 等其他品牌。
• 一旦打印机稳定可靠，日常使用主要是切片、发送打印任务和定期检查，界面和摄像头功能的重要性降低。
• Bambu 在多色打印方面有优势，校准简单是其受欢迎的主要原因之一。
• Prusa 在免校准和用户友好方面表现出色，部分型号已解决传统的手动调平问题。
• 日本用户寻求本地可用的打印床粘合剂，建议尝试自制胶水、3DLAC 或发胶等替代品。
• 有用户对 Bambu 售后服务极为不满，遇到设备缺陷时遭遇推诿和质疑，已采取法律手段维权。
• 也有用户表示 Bambu 售后响应及时，体验尚可，可能与地区市场有关。
• Bambu 适合不喜欢频繁改装打印机的用户，强调即插即用和价格优势，适合专注打印设计而非调试设备。
• 对 Bambu 未来可能锁定耗材表示担忧，认为若如此将受到应有的批评。
• 对 OrcaSlicer 的争议尚未形成统一看法，讨论更多集中在本地模式的使用体验。

---

2. Meta 拥抱人工智能让其员工痛苦不堪 (Meta’s embrace of AI is making its employees miserable) #

https://www.nytimes.com/2026/05/08/technology/meta-ai-employees-miserable.html

这篇文章报道了 Meta 公司在人工智能时代转型过程中对员工带来的影响。Meta 计划通过追踪员工在电脑上的输入、鼠标移动、点击行为及屏幕显示内容，收集数据以训练其人工智能模型，更好地理解人们如何完成日常计算机任务。此举引发了员工的强烈反感，许多人认为这侵犯了隐私，且缺乏人情味。Meta 首席技术官安德鲁·博斯沃斯明确表示员工无法选择退出这一监控。

文章指出，Meta 首席执行官马克·扎克伯格将公司未来押注于人工智能，投入巨资开发相关技术，并将其融入 Facebook 和 Instagram 等应用中。然而，Meta 在从互联网公司向人工智能公司转型的过程中，面临着员工不满和内部管理的挑战，转型过程显得尴尬甚至有些粗暴。

此外，文章还提到 Meta 计划裁员，进一步加剧了员工的焦虑和不满情绪。整体来看，Meta 在推动人工智能技术发展的同时，也引发了员工对隐私和工作安全的担忧。

---

HN 热度 429 points | 评论 508 comments | 作者：JumpCrisscross | 1 day ago #

https://news.ycombinator.com/item?id=48077126

• AI 生成的信息量大但质量参差不齐，导致有经验的员工需要花更多时间去筛选和解析这些信息，反而降低了工作效率。
• 许多人缺乏对 AI 生成内容的合理使用和社会规范的共识，导致信息传递混乱且难以处理。
• AI 使得信息生产变得廉价，但信息的解析和甄别成本上升，低效员工产出大量无用信息，优秀员工则被迫消耗更多时间处理。
• 用 AI 生成的冗长文本再用 AI 进行总结，形成了一个低效的循环，浪费资源且价值有限。
• 目前大多数 AI 生成内容来自免费或廉价版本，尚未形成商业盈利模式。
• 有人通过让发送 AI 文本的人确认总结内容的准确性，试图提升沟通效率，但效果有限且容易被忽视。
• 未来 AI 可能更深入集成到业务流程中，能够利用更多上下文信息提升生成内容的质量和实用性。
• 企业内部使用 AI 分析员工沟通内容存在隐私风险，但这在一定程度上类似于人脑对同事信息的隐性收集。
• AI 在客户支持领域的应用普遍存在问题，导致用户体验下降和资源浪费。
• 仅发送 AI 生成的输出而不提供原始提示会丧失沟通的意图和深度，降低信息的价值。
• 专业沟通的目标是传递有价值的信息，AI 生成的文本如果没有实际价值，仍然是无用的负担。

---

3. 展示项目：用汇编语言构建一个 Web 服务器，为我的生活（缺乏的）赋予意义 (Show HN: Building a web server in assembly to give my life (a lack of) meaning) #

https://github.com/imtomt/ymawky

该网页介绍了 ymawky，一个完全用 ARM64 汇编语言编写的轻量级静态文件 Web 服务器。ymawky 专为 Apple Silicon（arm64 架构）设计，采用系统调用（syscall）实现，无需依赖标准库（libc），并采用每连接 fork 一个进程的方式处理请求。虽然主要针对 MacOS 开发，但也尽力保证在 Linux 及其他 Unix 系统上的可移植性。

构建 ymawky 需要 Xcode 命令行工具，使用 make 命令编译，运行时需确保与可执行文件同目录下存在 www/文件夹作为文档根目录，默认访问根路径时会返回 www/index.html。错误页面存放在 err/目录，支持自定义错误页面。

ymawky 支持多种 HTTP 方法，包括 GET、PUT、DELETE、OPTIONS 和 HEAD，具备基础的防慢速攻击能力，能解析 URL 中的百分号编码，防止路径遍历攻击，自动添加 www/前缀，支持大文件上传（默认 1GiB，可配置），并通过临时文件实现 PUT 请求的原子操作。服务器能识别 MIME 类型，支持 HTTP 范围请求，方便视频等大文件的分段传输。

此外，ymawky 实现了基础的 HTTP 版本和 Host 头解析，支持目录列表功能，但根目录请求默认返回 index.html。安全方面，ymawky 限制路径长度，拒绝路径遍历和符号链接，确保访问仅限于 www/目录。

总的来说，ymawky 是一个极简、纯汇编实现的静态文件服务器，适合学习系统调用和汇编编程，同时具备实用的 Web 服务器功能。

---

HN 热度 386 points | 评论 206 comments | 作者：imtomt | 21 hours ago #

https://news.ycombinator.com/item?id=48080587

• 用汇编写大型项目虽然更啰嗦，但本质上和高级语言编程没太大区别，关键是要学会用过程和宏来构建抽象。
• 汇编语言的函数实现逻辑与其他语言类似，比如 strlen 函数都是遍历字符串寻找结束符，只是汇编更显式地控制 CPU 执行顺序。
• 不同语言对字符串的存储方式不同，比如 Rust 存储字符串长度而非以 NULL 结尾，汇编也可以自由设计字符串结构。
• Unicode 的出现使得 strlen 的含义复杂化，但在很多情况下 strlen 仍然是需要的字节长度。
• 学习汇编语言非常有趣且教育意义大，有助于理解 CPU 和编译语言的底层工作原理。
• 该项目展示了用汇编写服务器的可能性，虽然性能可能不及成熟服务器，主要瓶颈在于使用 fork-per-connection 模型而非事件驱动或线程池。
• 汇编写的服务器在二进制大小和启动时间上可能有优势，但请求处理速度受限于进程模型。
• 该项目激励了其他人尝试类似的低级编程项目，如为 RISC-V 开发服务器或用 WebAssembly 写软件渲染器。
• 用汇编写项目类似于 Minecraft 中的创造过程，既有艺术价值，也有实用价值，取决于项目的目的和规模。

---

4. Debian 必须发布可重现构建的软件包 (Debian must ship reproducible packages) #

https://lists.debian.org/debian-devel-announce/2026/05/msg00001.html

这是一封来自 Debian 发布团队的邮件，内容主要更新了当前 Debian 发布周期中的几个重要进展。

首先，Debian 决定强制要求所有软件包必须是可重现构建的（reproducible），并且已经启用了迁移软件，阻止那些无法重现构建的新软件包或在测试版本中出现可重现性回退的软件包迁移。这一举措得到了 Reproducible Builds 项目的支持。

其次，迁移软件新增了对 binNMU（二进制非维护者上传）自动测试的支持，这与源代码上传时的自动测试类似，进一步提升了质量保证水平。

第三，Debian 新增了一个名为 loong64 的新架构。由于多架构要求和只允许在构建服务器上构建的二进制文件迁移，许多软件包需要在所有架构上重新构建，导致持续集成队列较长，用户需耐心等待。

最后，发布团队强调上传者有责任确保其源代码包能够顺利迁移。如果因反向依赖的自动测试失败导致包被阻塞，上传者应及时提交相关严重性为 RC（发布阻塞）的错误报告。

邮件由 Paul Gevers 代表发布团队发出，内容旨在提升 Debian 软件包的质量和发布流程的透明度。

---

HN 热度 339 points | 评论 140 comments | 作者：robalni | 18 hours ago #

https://news.ycombinator.com/item?id=48081245

• Debian 实现可重现构建是自由软件领域的重要成就，但过程耗时且复杂。
• 可重现构建并未防止过往的漏洞或攻击，增加了贡献门槛，贡献者认为收益有限。
• 可重现构建有助于检测构建环境被篡改的情况，但对源代码被篡改无能为力。
• 源代码依赖被篡改比构建环境被攻击更常见且更严重。
• 可重现构建有助于追踪和定位被感染的二进制文件来源，提升安全透明度。
• 硬件密钥签名能提高安全性，防止凭证被盗用，但不能完全防止构建环境被攻破。
• 可重现构建能减少对信任方的依赖，通过多方独立构建验证二进制一致性。
• 构建过程中的时间戳、用户名和路径泄露是不可接受的，推动可重现构建是修复此类问题的必要手段。
• 需要更多独立项目和多平台验证机制，提升包的安全性和可信度。
• 可重现构建虽难度大，但对安全和软件质量提升有实际意义，不应轻视。

---

5. Linux 上的太空学员弹球 (Space Cadet Pinball on Linux) #

https://brennan.io/2026/05/09/pinball-and-escrow/

这篇博客文章由 Stephen Brennan 撰写，介绍了如何在 Linux 系统上玩 Windows XP 时代经典游戏“Space Cadet Pinball”。作者回忆了自己童年时对这款游戏的喜爱，认为它比其他 Windows 自带游戏更具吸引力。

文章指出，经过反编译和逆向工程，社区开发者成功将这款游戏移植到多个平台，包括 Linux。最简单的安装方式是通过 Flatpak 包管理器，命令为“flatpak install com.github.k4zmu2a.spacecadetpinball”，也可以通过图形界面安装。

此外，作者介绍了游戏的高清版本“Full Tilt! Pinball”，其分辨率高达 1024x768。用户可以从 archive.org 下载游戏数据包，并替换 Flatpak 安装目录中的原始数据文件，以体验更高画质和不同的游戏规则。替换过程稍显复杂，需要先运行游戏生成数据目录，再解压数据包到指定目录，并删除旧数据文件。

文章还提到，原版和高清版数据文件可以合并使用，游戏允许玩家切换不同版本。作者对游戏规则的细节差异进行了分析，表现出对游戏机制的深入理解。

最后，作者表达了对游戏源码开源和软件保护的看法，支持尊重版权并支付开发者，同时也希望未来能有机制让停止销售的专有软件转为开源，以促进软件的保存和维护。文章还提及了另一款类似的老游戏“Marble Blast”，以及作者童年时玩过的“3D Ultra Pinball”。

整体来看，文章既是对经典游戏的怀旧分享，也是对 Linux 游戏生态和软件版权问题的思考。

---

HN 热度 306 points | 评论 101 comments | 作者：jandeboevrie | 13 hours ago #

https://news.ycombinator.com/item?id=48082968

• Space Cadet Pinball 的原作者对游戏被热爱和延续表示欣慰，并透露自己主要负责内存管理和底层渲染代码的性能优化。
• 游戏曾承诺在 Windows 95 发布时上线，开发团队加班加点确保游戏在最低硬件要求下流畅运行。
• Wikipedia 关于游戏开发历史的部分内容存在错误和不完整，尤其是关于与 Doom 的关系，原作者澄清游戏并非 Doom 移植，也未使用其代码。
• Microsoft 当时对游戏暴力元素敏感，曾建议降低暴力程度以避免负面公关影响。
• 有用户提到游戏中存在隐藏测试模式，可以通过输入“hidden test”在启动序列中控制球体，这一功能在 Linux 版本中依然有效。
• 该游戏的重制版本通过反编译 exe 文件实现，未使用原始源码，且重制效果高度还原了原版体验。
• 微软对老旧软件的态度较为宽松，允许社区对旧游戏进行修改和重制，且原开发者对此表示支持。
• 关于反编译和清洁室开发的讨论中，AI 自动重写代码是否符合清洁室标准存在争议。
• Space Cadet Pinball 是更大游戏 Full Tilt! Pinball 的一部分，曾有计划将 Doom 或类似第一人称射击游戏与 Windows 95 捆绑，但最终被替换为弹球游戏。
• 社区对游戏的怀旧情感强烈，认为它在过去的工作和学习中起到了缓解压力的作用。

---

6. 会议调度器专业版 ™ (Zed Editor Theme-Builder) #

https://zed.dev/theme-builder

该网页展示了一个名为“Meeting Scheduler Pro™”的会议调度 React 组件的源码和功能说明。该组件旨在帮助用户安排会议，尤其是关于会议本身的讨论。页面主体包含以下关键信息：

1. 组件功能与用途：

   • 允许用户创建会议，设置会议标题、时长和参与者。
   • 默认会议时长为 60 分钟，最大参与人数默认 100 人。
   • 支持设置是否需要提供零食。
   • 组件会自动生成会议 ID，并记录会议参与者和其他属性。
   • 提供会议创建的回调函数，方便外部处理新建会议事件。

2. 代码实现细节：

   • 使用 React 状态管理会议列表、当前借口索引和加载状态。
   • 定义了会议的基本数据结构，包括会议 ID、标题、参与者、是否提供零食等。
   • 通过 useEffect 模拟开发者“理智”逐渐消耗的效果，增加趣味性。
   • 会议借口（如“抱歉，我静音了”等）会循环显示，增加幽默感。
   • 表单提交时调用异步函数创建会议，验证参与者数量是否合法。
   • 会议创建失败时会捕获错误并打印日志。

3. 用户界面：

   • 页面顶部显示会议调度器标题和当前借口。
   • 表单包含会议标题输入框、会议时长选择框和提交按钮。
   • 提交按钮在加载时禁用并显示“Syncing calendars…”。
   • 下方列出已创建的会议及其参与者数量。

整体来看，该网页主要展示了一个用于管理和创建会议的 React 组件源码及其功能说明，带有一定的幽默风格，适合开发者参考和使用。

---

HN 热度 269 points | 评论 79 comments | 作者：cuechan | 1 day ago #

https://news.ycombinator.com/item?id=48076651

• Zed 编辑器的主题定制功能受到欢迎，细节上的语法高亮和颜色区分对用户体验影响大。
• Svelte 语言的语法高亮在 Zed 中存在问题，可能是因为使用了过时的 Treesitter 解析器或相关扩展。
• Zed 会根据文件类型推荐插件，且支持包括 .svelte 在内的多种文件扩展名。
• 语法高亮和主题配置是两个不同的概念，Zed 允许用户自定义括号颜色等语法高亮设置。
• 有用户通过大语言模型（LLM）成功将主题从一个编辑器转换到另一个编辑器。
• Zed 支持高对比度主题，且整体编辑体验稳定流畅，适合长期使用。
• 目前 Zed 在语法着色和界面细节（如行高、滚动平滑度）方面仍有改进空间。
• 滚动体验在使用触控板时较为顺畅，但鼠标滚轮和键盘滚动缺乏平滑滚动选项。
• 有用户遇到 Zed 界面冻结的问题，切换应用后恢复，怀疑是 UI 响应问题而非崩溃。
• 平滑滚动功能对视觉体验有帮助，但鼠标滚轮的平滑滚动与触控板的精确滚动体验不同。
• 支持 Vulkan GPU 的渲染器提升了性能，但缺少对无合适 GPU 驱动设备的回退支持。
• 鼠标和触控板各有优势，编程时键盘操作更为重要，触控板在滚动精度上更优。
• 高端鼠标如 Logitech MX Master 支持无级滚轮和惯性滚动，提升了滚动体验。

---

7. 法国推动破解加密通讯 (France moves to break encrypted messaging) #

https://reclaimthenet.org/france-moves-to-break-encrypted-messaging

法国议会的情报代表团正式支持破解 WhatsApp、Signal 和 Telegram 等加密通讯的加密技术，建议赋予司法和情报机构针对性访问这些平台消息的权限。该代表团认为，端到端加密阻碍了司法和情报工作的开展，将其视为需要解决的问题，而非应当保护的隐私保障。

端到端加密的设计是让解密密钥只存在于用户设备上，平台本身无法读取消息内容。若强行设置后门，虽然能满足执法需求，但也会带来滥用、泄露和黑客攻击的风险。法国警方和情报机构长期对此技术表示不满，因为他们仍能通过法官授权监听传统电话和短信，但加密平台绕过了这一能力。

目前，调查人员可以通过“数字数据收集”（RDI）技术远程入侵目标设备，获取全部内容，但代表团认为这手段不足。参议员佩兰推动立法，要求平台技术上允许情报机构访问通讯内容，违者罚款高达全球年收入 2%。该法案在参议院通过，但在国民议会被否决。

反对者指出，端到端加密的密钥在用户设备，平台无法集中管理，强制设置后门会极大削弱安全性，且不存在只供“好人”使用的后门。佩兰提出“幽灵参与者”方案，即在加密对话中秘密加入政府监听者，技术上仍保持加密，但让国家成为隐形对话方，这一方案被隐私和安全专家普遍反对。

代表团报告称，技术上实现针对性访问并非不可能，欧盟专家组也在研究相关技术路线图。尽管强调非大规模监控，但担忧这种针对性访问机制可能逐步扩大适用范围，最终被用于更广泛的监控和政治目的。

参议院中也有不同声音，部分议员推动将加密保护写入法律，禁止强制设置后门。代表团报告则批评此举削弱情报和调查手段。整体来看，法国在加密通讯监管上存在激烈争论，涉及隐私保护与国家安全的平衡问题。

---

HN 热度 268 points | 评论 126 comments | 作者：Cider9986 | 1 day ago #

https://news.ycombinator.com/item?id=48078811

• 法国在加密消息保护立法上存在分歧，部分议员支持将加密保护写入法律，禁止强制安装后门。
• Telegram 默认不使用端到端加密，WhatsApp 声称端到端加密但不开源，Signal 是真正的端到端加密且开源。
• 开源本身不足以保证安全，构建过程和操作系统仍存在风险，社工攻击也是主要威胁。
• 政治人物应避免使用 Signal，建议使用政府控制的通信工具以防止信息被“意外”删除。
• 政府控制的通信工具可能导致直接监控，存在隐私和安全风险。
• 元数据的价值远超消息内容，情报机构通过元数据进行监控和行动决策。
• 元数据分析可以揭示复杂的人际关系和行为模式，情报机构长期利用此类技术。
• 国内外情报机构对元数据的利用程度较高，未来地方执法机构也可能加强对元数据的使用。
• Telegram 的“秘密聊天”功能使用不便，且仅支持单设备端到端加密，实际应用受限。
• Telegram 支持端到端加密但默认不开启，文章中提及加密支持并非全程加密。
• 反加密声音可能会在未来占上风，政策制定面临挑战。

---

8. 展示 HN：我用 Go 语言做了一个类似 Clojure 的语言，启动时间仅 7 毫秒 (Show HN: I made a Clojure-like language in Go, boots in 7ms) #

https://github.com/nooga/let-go

该网页介绍了一个名为 let-go 的项目，这是一个用 Go 语言编写的 Clojure 方言，包含字节码编译器和堆栈虚拟机。let-go 的特点是单个约 10MB 的二进制文件，启动速度极快（冷启动约 7 毫秒），无需 JVM，兼容度达到 95% 左右，支持大部分 Clojure 功能，包括持久化数据结构、惰性序列、转换器、多态、记录、多方法、核心异步和大整数等。

let-go 最初作为一个玩笑项目开始，目的是在工作中用 Go 语言实现 Clojure，后来发展成实用工具，适合用于命令行工具、脚本和网络服务器，甚至构建了无守护进程的容器运行时。let-go 支持将程序编译为独立二进制文件或自包含的 WASM 网页，且能在 Plan 9 操作系统上运行。

项目目标包括高质量的娱乐性，实现大部分 Clojure 特性，提供与 Go 语言的双向互操作，支持 AOT 编译，快速启动，编译成带终端仿真的 WASM 网页，以及在浏览器中运行 nREPL。项目不追求成为 JVM Clojure 的直接替代品，也不做 Clojure 代码的格式化或静态检查。

性能方面，let-go 在二进制大小、启动速度和内存占用上表现优异，远超 JVM 和其他 Clojure 实现，尤其适合短生命周期的数据处理任务。在数值计算方面，其他实现如 go-joker 和 JVM 表现更好。兼容性测试显示 let-go 通过了 95.4% 的 Clojure 测试套件，主要缺失在数值边界处理和部分命名空间。

总体来看，let-go 是一个轻量、高效且兼容性较好的 Clojure 方言，适合需要快速启动和低资源消耗的场景，特别适合 Go 语言开发者在日常工作中使用 Clojure。

---

HN 热度 245 points | 评论 77 comments | 作者：marcingas | 1 day ago #

https://news.ycombinator.com/item?id=48076815

• let-go 是一个用 Go 语言实现的类似 Clojure 的语言，启动速度快，体积小，适合写 CLI、Web 服务器和数据处理脚本，且支持 Plan9 系统。
• let-go 支持与 Go 语言的良好互操作，可以在 Go 程序中嵌入使用，但目前不能直接加载 Java JAR 包，不能完全兼容现有 Clojure 项目。
• Janet 语言语法类似 Clojure，适合无 JVM 环境，Fennel 则基于 Lua，二者各有特点。
• Gloat/Glojure 通过 AOT 编译到 Go 源码，支持更好的运行时整合和互操作，适合混合项目开发。
• Joker 语言对 Go 库的封装非常完整，兼容性好，但 let-go 更注重体积小巧。
• let-go 在 Plan9 上运行良好，且作者计划进一步优化其 Plan9 体验。
• let-go 的名称设计有趣，结合了 Clojure 的 let 和 Go 语言的 go，体现了语言特性。
• 目前有多个类似 Clojure 的 Go 语言实现项目，分别在兼容性、互操作和设计理念上有所差异。
• 有人建议开发类似“老式 PHP”风格的 DSL，利用 Go 运行时和包生态，let-go 作为 Clojure 风格语言是不错的选择。

---

9. 在日本被逮捕 (Getting arrested in Japan) #

https://sundaicity.com/blogs/getting-arrested-in-japan

这篇文章详细介绍了在日本被逮捕后可能面临的拘留系统及其运作方式。日本被认为是世界上最安全的国家之一，但其严格的法律和秩序可能让人措手不及。即使是小的纠纷或误会，也可能导致被逮捕。被捕后，嫌疑人不会直接进入法庭，而是先被关押在由警方管理的拘留所（称为拘置所），在此期间警方会进行调查。

日本的拘留所不是长期监禁的监狱，而是临时关押场所。单次逮捕后，嫌疑人最多可以被拘留 23 天，初期约 3 天用于处理，随后是 10 天拘留期，可再延长 10 天。若有新的指控，拘留时间可能被重置，导致拘留时间远超 23 天，甚至有些人因等待法律程序而被拘留数月。拘留环境极为严苛，设计目的是通过严格的日程、食物、单调的牢房、隔离和持续监控，施加精神和身体压力，迫使嫌疑人认罪。沟通受限，只允许使用日语，生活空间狭小且无窗，导致心理和生理上的极大折磨。

文章还对比了日本和美国的拘留系统。美国通常在几天内安排法官听证，告知指控，并允许律师参与和保释，而日本则侧重于调查阶段，嫌疑人可能在未被正式起诉前被长期拘留。日本的系统存在严重缺陷，导致无辜者被长时间关押，生活和心理受到极大破坏。

作者本人曾经历过这一不公正系统，见证了许多无辜者和有特殊需求的成年人被关押，他们本应获得特别照顾，却被置于极其严苛的拘留环境中。

关于拘留所的具体情况，入所时需脱光衣物接受检查，遵守严格规则，购买生活必需品，穿上统一服装。牢房狭小，约九乘十一英尺，白色墙壁，强烈的荧光灯，硬地板无家具，厕所和洗手池暴露在监视下，无窗户，无自然光。牢房内仅允许少量纸巾和小毛巾，且可能与多名囚犯同住，空间极其有限。

拘留所内规则极为严格，限制说话时间和语言（只能用日语），禁止躺卧休息，光线控制作息，洗澡每五天一次，饮食必须按规定进食，不得储存食物，不允许与他人交流或持有个人物品。连睡觉姿势、使用毛毯方式、穿袜子、湿毛巾等细节都有严格限制。整体环境旨在剥夺自由和隐私，施加极大精神压力。

---

HN 热度 242 points | 评论 289 comments | 作者：bane | 1 day ago #

https://news.ycombinator.com/item?id=48078647

• 作者未透露具体指控，导致对事件严重性的判断缺乏关键背景信息。
• 无论罪名如何，嫌疑人在未被起诉和定罪前应被人道对待，避免心理折磨。
• 美国司法系统存在严重缺陷，但日本的拘押方式被认为更为残酷。
• 美国少数族裔尤其是非裔群体在司法系统中遭遇更严重的不公和歧视。
• 私营监狱占比被夸大，美国大部分监狱由政府运营，定罪率并非评价司法系统的唯一指标。
• 日本司法系统采用调查官兼任法官的“审问式”制度，缺乏美国式的无罪推定和正当程序保障。
• 美国司法系统原则上更好，但实际执行因种族、身份和经济状况差异而存在巨大不平等。
• 日本社会对规则遵守极为严格，违法行为会受到严厉惩罚，外国人在日本应遵守当地法律。
• 有评论指出日本当局在本案中未给予正式处罚，表明证据不足，但仍对嫌疑人采取严厉措施。
• 美国司法系统中保释制度和快速见法官机制避免了类似日本的长期拘押困境。
• 被认为有潜逃风险者在美国同样可能被拒绝保释，但具体标准和执行存在差异。
• 对“无罪推定”概念的理解存在分歧，部分人认为保护被告即是保护无辜者。
• 司法系统普遍存在问题，但多数进入审判阶段的被告往往确实有罪且有再犯风险。

---

10. YC 最大丑闻 (YC’s Biggest Scandals) #

https://ycombinator.fyi/

该网页是一个关于 YC（Y Combinator）孵化器失败案例的官方档案汇总，记录了多个 YC 支持但最终失败或存在争议的创业公司及其详细的“尸检报告”。内容涵盖了 39 个案例，涉及自动驾驶、物流、人力资源技术、金融科技等多个领域，重点揭示了这些公司失败的原因、所造成的损失及其背后的故事。

其中包括：

1. Delve：因大量伪造审计报告被 YC 开除，涉嫌欺诈，资本损失达数千万美元。
2. Central：抄袭同为 YC 公司的 Warp 的产品和营销文案，最终被 Mercury 收购。
3. Naive：以“自主 AI 员工”为卖点，实为开源项目 Paperclip 的剽窃，违反了 MIT 开源协议。
4. Wuri：尝试用 AI 生成视觉小说，因基础模型免费提供类似功能而快速失败，最终关闭。
5. Double Finance：主打低费用的机器人理财，达到 1000 万美元资产管理规模后关闭，创始人随后转型。
6. PearAI：直接 fork 开源代码并更换品牌，使用 AI 生成的虚假许可证，导致 YC 声誉受损。
7. Pickle：涉嫌盗用 GPL 开源代码，且其推出的 AR 眼镜被质疑为 CGI 虚假宣传。
8. Optifye.ai：开发用于工厂监控工人的 AI 摄像头软件，被批评为“汗工厂即服务”，YC 删除相关演示视频。

这些案例反映了 YC 在不同领导时期对创业项目的支持策略及其带来的风险，揭示了技术抄袭、商业模式失败、伦理争议等多方面问题。网页还列出了相关的新闻报道、社交媒体讨论和官方声明，便于深入了解每个失败案例的细节。

---

HN 热度 217 points | 评论 77 comments | 作者：laserduck | 7 hours ago #

https://news.ycombinator.com/item?id=48085314

• 该页面将许多普通的创业失败也归为“丑闻”，这削弱了其可信度。
• 有些所谓的“丑闻”实际上是业务失败或市场竞争导致的正常结果，不应混为一谈。
• 部分评论指出该站点主要针对 Garrry Tan 领导下的公司，但任何加速器都会有大量失败案例。
• 对 YC 的批评有助于防止其盲目崇拜，避免成为一种“宗教”或“邪教”。
• 有人质疑 OpenAI 作为榜样的合理性，指出其非盈利性质已转为盈利且不开放模型。
• 对某些公司如 9 Mothers 开发自动防御武器存在伦理担忧，担心技术可能被滥用。
• 也有人认为防御性技术是现实战争中不可避免的需求，反对因潜在风险而否定其存在价值。
• 有评论指出部分所谓丑闻的细节不准确或夸大，质疑该网站的动机和专业性。
• 还有人对 YC 近年资助的一些项目表示不满，认为部分项目具有反乌托邦色彩。
• 有观点认为防御无人机技术在现代战争中非常重要，尤其是在无人机战争日益普及的背景下。
• 对于涉及间谍行为的案例，有人指出这是公司间竞争的一部分，不应简单归为丑闻。
• 有评论提到该网站并非官方，域名可能存在商标侵权问题。

---

Hacker News 精彩评论及翻译 #

Hardware Attestation as Monopoly Enabler #

https://news.ycombinator.com/item?id=48086778

The EU Digital (identity) Wallet EUDI requires hardware attestation by Google or Apple, effectively tying all the digital EU identities to American duopoly. Talk about digital sovereignity. Apparently protecting the children > sovereignity.

https://gitlab.opencode.de/bmi/eudi-wallet/wallet-development-documentation-public/-/work_items/2

miohtama

欧盟数字（身份）钱包EUDI要求谷歌或苹果进行硬件认证，实际上将所有欧盟数字身份绑定到了美国的双头垄断手中。谈论数字主权真是讽刺。显然，保护儿童比主权更重要。

---

EU Parliamentary Research Service calls VPNs “a lo… #

https://news.ycombinator.com/item?id=48073580

Just a recap how it happened in Russia:

1. First, year ~2015 legal framework was created under disguise of banning pirated media(specifically torrents.ru)(legislative push). State-wide DNS ban introduced. Very easy to circumvent via quering 8.8.8.8

2. Then, having legal basis, govt included extra stuff in banned list(casinos, terrorist orgs, etc)(executive push). IP bans introduced, applied very carefully.

3. Legal expanded allowing govt to ban specific media on very vague criterias(legislative push). IP blocks tried on some large websites. DPI hardware mandated to be installed by ISPs to filter by HTTPS SNI(executive push).

4. At ~2019 Roskomnadzor(RKN) created, special govt entity which enforces bans without court orders(legislative push).

5. ~2021 sites become banned if they are not filtering content by Russian laws by request of RKN(executive push). VPN services were obligated to also DPI-filter traffic(legislative push).

6. ~2023 Crackdown on VPN started(executive push). Popular commercial services were IP-banned, OpenVPN and IPSec connections selectively degraded by DPI.

7. ~2025 Heavy VPN filtering(vless, wireguard, etc) introduced(executive push). Performance of certain sites were degraded(youtube, twitter, etc).

u8080

俄罗斯事件的回顾：

1. 首先，大约在2015年，法律框架在禁止盗版媒体（特别是torrents.ru）的幌子下建立（立法推动）。引入了全国家域名系统（DNS）屏蔽。这种屏蔽很容易通过查询8.8.8.8来绕过。

2. 接着，有了法律依据后，政府将更多内容列入禁止名单（赌场、恐怖组织等）（行政推动）。引入了IP屏蔽，并且运用得非常谨慎。

3. 法律范围扩大，允许政府基于非常模糊的标准禁止特定媒体（立法推动）。在一些大型网站试行IP封锁。要求互联网服务提供商安装深度包检测（DPI）硬件，以通过HTTPS的SNI字段进行过滤（行政推动）。

4. 大约2019年，成立了Roskomnadzor（RKN），这是一个专门执法的政府机构，可以在没有法院命令的情况下强制执行禁令（立法推动）。

5. 大约2021年，网站如果拒绝按照RKN要求依照俄罗斯法律过滤内容就会被封禁（行政推动）。VPN服务也被要求进行DPI流量过滤（立法推动）。

6. 大约2023年，开始对VPN进行打击（行政推动）。流行的商业VPN服务遭到IP封禁，DPI针对OpenVPN和IPSec连接进行选择性降速。

7. 大约2025年，推出了对VPN的强力过滤（包括vless、wireguard等）（行政推动）。某些网站的访问性能被削弱（如YouTube、Twitter等）。

---

I returned to AWS and was reminded why I left #

https://news.ycombinator.com/item?id=48083750

Years ago, I joined a company, took over a dev team and was asked to launch the product in 3 months.

They were using AWS, so I logged in the account to add a few more machines. Right there, in front of my eyes, were the signs of an adversarial, abusive relationship.

The UI to fire up a new machine did not show me the price. I had to look up the price in another table that did not have the specs.

I had to have the two tables open, cross check the specs and price.

If I had learned one thing from my past life was that if you see the signs of an abusive relationship, you have the option to walk out, and you don’t, all that follows is your own fault.

Created a DigitalOcean account, moved everything over. Set up our CI/CDs to deploy there, and spent the next two months on the product, launching one month earlier than promised.

Some years before that I saw a video online where a person digs a hole near a river and puts a pipe connecting the river and the hole. The fishes push themselves hard in the pipe to get to their trap. Choosing the path of least resistance, and never backing off from a mistake: recipes to end up like those fishes. The video left a big impression on me.

aljgz

几年前，我加入了一家公司，接手了一个开发团队，并被要求在三个月内上线产品。

他们使用的是AWS，所以我登录了账户，准备添加几台机器。就在我眼前，显现出了一段充满敌意且虐待性的关系的迹象。

启动新机器的界面并没有显示价格。我不得不去另一个表格里查价格，而那个表格上又没有配置规格。

我不得不开着两个表格，来回核对规格和价格。

我以前从生活中学到的一点是，如果你看到虐待性关系的迹象，你是可以选择离开的，如果你不走，接下来发生的事情就是你自己的错。

于是我创建了一个DigitalOcean账号，把所有东西都迁过去。设置了我们的CI/CD在那里部署，接下来的两个月专注于产品开发，比承诺的时间提前一个月上线。

在那之前几年，我在网上看到过一个视频，讲的是有人在河边挖了个坑，然后用管子连接河流和那个坑。鱼们拼命地往管子里游，想要进入那个陷阱。选择阻力最小的路径，从不放弃错误的决策：这样最终就像那些鱼一样。这个视频给我留下了深刻的印象。

---

Distributing Mac software is increasing my cortiso… #

https://news.ycombinator.com/item?id=48078861

what do you actually want?

Give me the ability to choose what I trust. “You can either trust Apple and nobody else, even yourself, or you can trust literally everybody” is obviously not a good faith implementation of this. Apple excels at steering the narrative with false conflation and false dichotomy, I’d also remind you of the came-and-went secure boot debate, which Apple successfully steered into Apple owns the encryption keys vs no encryption, and people just kind of forgot to ask, wait, why can’t I have the keys to my device?

kqp

你到底想要什么？

给我选择信任对象的能力。“你只能信任苹果而不信任其他任何人，甚至不信任你自己，或者你必须信任所有人”显然不是一种真诚的实现方式。苹果擅长通过错误的混淆和错误的二分法来引导舆论，我还想提醒你那场来来去去的安全启动争论，苹果成功地把争论引导成苹果拥有加密密钥和没有加密之间的选择，而人们却忘了问，等等，我为什么不能拥有我设备的密钥？

---

Bun’s experimental Rust rewrite hits 99.8% test co… #

https://news.ycombinator.com/item?id=48077571

Very impressive that they could do this so quickly because I have been on a similar project (porting TypeScript to Rust) for 5 months. But I guess I don’t have access to Mythos and unlimited tokens. I’m also close to 100% pass rate. 99.6% at the time of writing.

https://tsz.dev

Rust is perfect for writing all of code using LLM. It’s strict type system makes is less likely to make very dumb mistakes that other languages might allow.

Also want to note that writing the code using LLM doesn’t remove the need to have a vision for the design and tradeoffs you make as you build a project. So Jarred and his team are the right kind of people to be able to leverage LLMs to write huge amounts of code.

mohsen1

他们能如此迅速完成这项工作真是令人印象深刻，因为我自己也在做一个类似的项目（将 TypeScript 移植到 Rust），已经花了五个月时间。但我想我没有 Mythos 和无限的令牌可用。我现在的通过率也接近 100%，写这段话时是 99.6%。

https://tsz.dev

Rust 非常适合用 LLM 编写所有代码。它严格的类型系统使得犯那些其他语言可能允许的低级错误的可能性大大降低。

还想指出的是，使用 LLM 编写代码并不意味着不需要对设计和在构建项目时做出的权衡有清晰的规划。所以 Jarred 和他的团队正是能够利用 LLM 编写大量代码的合适人选。

---

Using Claude Code: The unreasonable effectiveness … #

https://news.ycombinator.com/item?id=48072400

My concern here is that by gravitating to HTML you lose the ability for a human (you!) to easily co-author the document with the LLM. If it’s just an explainer for your consumption, that’s not a concern - but if it’s a spec sheet for something more complex, I deeply value being able to dive in and edit what is produced for me. With a HTML doc it is much harder to do that than with MD.

Now of course you could just reprompt your LLM to change the HTML - but when I already have a clear idea of what I want to say in my head, that’s just another roadblock in the way.

If this pattern becomes more common I suspect human/LLM co-creation will further dwindle in favour of just delegating voice, tone and content choice to the LLM. I was surprised not to see this concern in the blog post’s FAQ.

tmhrtly

我担心的是，转向使用HTML会让人（你自己！）难以与大型语言模型（LLM）轻松共同编辑文档。如果只是为自己看的说明文档，这无妨——但如果是更复杂内容的规格说明表，我非常重视能够深入编辑模型为我生成的内容。使用HTML文档比使用Markdown要难得多。

当然，你也可以让LLM重新生成HTML代码——但当我已经脑海中有明确想表达的内容时，这反而成了另一道障碍。

如果这种模式变得更普遍，我猜人类与LLM的协同创作会进一步减少，转而更多依赖让LLM负责声音、语气和内容选择。我很惊讶博客常见问题中没有提到这一点。

---

GitHub is sinking #

https://news.ycombinator.com/item?id=48085542

Everyone wants to pin this on the Microsoft acquisition or incompetence but it seems pretty clear to me from the material GitHub has posted that AI has 10xed the amount of code being committed to GH, which has downstream effects everywhere - CI, Actions, code ingestion, everywhere. The author pins it on weird things like MS Copilot, which kind of feels like he’s listing off things he doesn’t like rather than casual favors. This is ignoring the 800 pound gorilla in the room.

johnfn

每个人都想把这个问题归咎于微软的收购或无能，但从GitHub发布的资料来看，对我来说很明显，人工智能使提交到GitHub的代码量增加了10倍，这对下游产生了各方面的影响——持续集成、Actions、代码导入，等等。作者却把原因归结于一些奇怪的东西，比如微软Copilot，这感觉像是在列举他不喜欢的东西，而不是随意提及。这忽略了房间里的那只800磅的大猩猩。

---

Meta’s embrace of AI is making its employees miser… #

https://news.ycombinator.com/item?id=48079367

Here’s how things play out: Zuck gets some idea, he’s surrounded by a bunch of yes men who say “yes, this will definitely change the world”, then it turns into this optics game of kissing the ring. You ask yourself “how could they blow 80B on the Metaverse like that”, this is how.

DON’T JOIN META, no matter how fast the recruiters reply to your messages. No matter how cool the work sounds (the managers lie in team matching). There’s a reason why the average tenure is <2 years.

It’s a toxic and fear based culture. You join, the people around you are already thinking how to scapegoat you. People gatekeep actual work and save it for political favorites and everyone else on the outside is stuck cooking up bullshit projects. If you do manage to find work on your own, people will immediately start scheming to steal it

menloshark

事情的发展是这样的：Zuck（扎克伯格）有了某个想法，他周围围满了一群只会说“是的，这绝对会改变世界”的拍马屁者，然后这就变成了一个献媚的表演。你会问自己“他们怎么会这么轻松地在元宇宙上砸下800亿”，原因就是这样。

不要加入Meta，不管招聘人员回复你消息多快。不管工作听起来多酷（团队匹配时经理会撒谎）。有个原因导致平均工作年限不到2年。

这是一个有毒且充满恐惧的文化。你进了公司，周围的人已经在想着如何把锅甩到你头上。真正的工作被把守起来，仅留给政治上的宠儿，其他人只能忙着做一些无意义的项目。如果你自己找到工作，人们会立刻开始密谋抢你的成果。

---

I’ve banned query strings #

https://news.ycombinator.com/item?id=48078215

Back in the day it was reasonably common for CMSs and forums to only have an index.php, and routing entirely by query string (in form-urlencoded form, people were not savages). So you would have index.php?p=home and index.php?p=shop. Or index.php?action=showthread&forum=42&thread=17976. It should be immediately obvious that in that scheme 404 is indeed the correct answer to unknown query parameters

In fact lots of sites still work like that, they just hide it behind a couple rewrite rules in apache/nginx for SEO reasons

wongarsu

过去，内容管理系统（CMS）和论坛只用一个index.php文件，通过查询字符串来进行路由是相当常见的（以form-urlencoded形式，人们还是讲规范的）。比如你会有index.php?p=home和index.php?p=shop，或者index.php?action=showthread&forum=42&thread=17976。很明显，在这种方案中，对于未知的查询参数返回404是正确的答案。

实际上，很多网站仍然是这样工作的，只不过为了SEO的原因，他们会在apache或nginx中通过几个重写规则把它隐藏起来。

---

Idempotency is easy until the second request is di… #

https://news.ycombinator.com/item?id=48084085

This is all way too much. If you see a duplicate idempotency key, skip the replay and always return 409. This becomes a client problem. Clients already need to help enforce idempotent contracts; “check for conflict response” is not an onerous imposition.

I’ve built multiple ecommerce APIs with this approach and they work great. No heroic measures required. You can often satisfy this contract with a unique constraint; if not, a simple presence check in redis. No hashing or worrying about PII.

My rant about this: https://github.com/stickfigure/blog/wiki/How-to-%28and-how-not-to%29-design-REST-APIs#rule-11-do-provide-idempotence-mechanisms

stickfigure

这完全太过了。如果发现重复的幂等键，跳过重放并且总是返回409。这就成了客户端的问题。客户端本来就需要帮助执行幂等性约定；“检查冲突响应”并不是一个繁重的负担。

我用这种方法构建过多个电商API，效果非常好。不需要采取什么特别的措施。你通常可以通过唯一约束来满足这个约定；如果不行，可以在redis中做一个简单的存在性检查。无需哈希或担心个人身份信息。

关于这点我的吐槽：https://github.com/stickfigure/blog/wiki/How-to-%28and-how-not-to%29-design-REST-APIs#rule-11-do-provide-idempotence-mechanisms

---

Distributing Mac software is increasing my cortiso… #

https://news.ycombinator.com/item?id=48077165

Any user who does not like Gatekeeper can turn it off on their machine in ten seconds by running this in a Terminal:

sudo spctl —-master-disable People will say, no, that’s too big a hammer, it’s not safe… but then, like, what do you actually want? Either you keep Gatekeeper because you like the friction it introduces, or you don’t like that friction and you should go turn it off. Pick one, you obviously can’t have both!

Of course, you as the developer can’t make this choice for your users… but isn’t that as it should be? The user decides what code is allowed to run on their machines. And the default setting is restrictive because anyone who knows what they’re doing can easily change it.

P.S. Meanwhile, on iOS there’s no way to install unsigned software at all, and on Android (starting soon) the process takes 24 hours instead of ten seconds. That is actually ridiculous because it’s taking away user choice.

P.P.S. To be clear, modern macOS has plenty of other restrictions which can’t really be turned off and which I find super annoying. Gatekeeper just isn’t one of them.

Edit: I’ve just learned that as of Sequoia, you have to also tick a box in Settings after running the Terminal command. So maybe it takes 30 seconds instead of ten seconds. That’s mildly more annoying, but still doesn’t really seem like a big deal to me.

Wowfunhappy

任何不喜欢Gatekeeper的用户，只需在终端中运行以下命令，十秒钟内就能关闭它：

sudo spctl —-master-disable
有人会说，不，这样做太粗暴了，不安全……但你到底想要什么呢？要么你保留Gatekeeper，因为你喜欢它带来的限制，要么你不喜欢这些限制，那就去关掉它。选一个吧，显然你不能两者兼得！

当然，作为开发者，你不能替用户做这个决定……但这不应该是这样吗？用户决定允许什么代码在他们的机器上运行。默认设置是限制性的，因为任何懂行的人都能轻松修改它。

附注：与此同时，在iOS上根本无法安装未签名的软件，而在Android上（很快就会这样）安装过程要花24小时，而不是十秒。那真的是荒谬，因为它剥夺了用户的选择权。

再附注：需要说明的是，现代macOS还有许多其他限制，几乎无法关闭，我个人觉得非常烦人。Gatekeeper并不是其中之一。

补充：我刚知道，从Sequoia版本开始，运行终端命令后，还得在“设置”里勾选一个选项。所以现在可能要30秒而不是十秒。虽然有点麻烦，但对我来说还是不算什么大问题。

---

LLMs corrupt your documents when you delegate #

https://news.ycombinator.com/item?id=48075252

I’m suspicious of their results with regards to tool usage.

It’s unsurprising that round-tripping long content through an LLM results in corruption. Frequent LLM users already know not to do that.

They claim that tool use didn’t help, which surprised me… but they also said:

To test this, we implemented a basic agentic harness (Yao et al., 2022) with file reading, writing, and code execution tools (Appendix M). We note this is not an optimized state-of-the-art agent system; future work could explore more sophisticated harnesses.

And yeah, their basic harness consists of read_file() and write_file() - that’s just round-tripping with an extra step!

The modern coding agent harnesses put a LOT of work into the design of their tools for editing files. My favorite current example of that is the Claude edit suite described here: https://platform.claude.com/docs/en/agents-and-tools/tool-use/text-editor-tool#text-editor-tool-commands

The str_replace and insert commands are essential for avoiding round-trip risky edits of the whole file.

They do at least provide a run_python() tool, so it’s possible the better models figured out how to run string replacement using that. I’d like to see their system prompt and if it encouraged Python-based manipulation over reading and then writing the file.

Update: found that harness code here https://github.com/microsoft/delegate52/blob/main/model_agentic.py

The relevant prompt fragment is:

You can approach the task in whatever way you find most effective: programmatically or directly by writing files As with so many papers like this, the results of the paper reflect more on the design of the harness that the paper’s authors used than on the models themselves.

I’m confident an experienced AI engineer / prompt engineer / pick your preferred title could get better results on this test by iterating on the harness itself.

simonw

我对他们关于工具使用的结果持怀疑态度。

将长内容通过大型语言模型（LLM）来回多次传递导致内容损坏，这并不令人意外。经常使用LLM的人已经知道不要这么做。

他们声称工具使用没有帮助，这让我感到惊讶……但他们也说：

为了测试这一点，我们实现了一个基本的代理架构（Yao等人，2022），带有文件读取、写入和代码执行工具（附录M）。我们注意到这不是优化过的最先进代理系统；未来的工作可以探索更复杂的架构。

是的，他们的基本架构仅包含read_file()和write_file()，这实际上只是多了一个步骤的来回传递！

现代编码代理在设计用于编辑文件的工具上投入了大量工作。我目前最喜欢的例子是这里描述的Claude编辑套件：https://platform.claude.com/docs/en/agents-and-tools/tool-use/text-editor-tool#text-editor-tool-commands

str_replace和insert命令对于避免对整个文件进行有风险的往返编辑至关重要。

他们至少提供了一个run_python()工具，因此更好的模型可能已经学会了如何用这个工具执行字符串替换。我想看看他们的系统提示，是否鼓励使用基于Python的操作代替先读文件再写文件的方式。

更新：我在这里找到了那个代理架构的代码：https://github.com/microsoft/delegate52/blob/main/model_agentic.py

相关的提示片段是：

你可以选择任何你觉得最有效的方式来处理任务： 用编程的方式或者直接写文件

像许多类似论文一样，论文的结果更多反映的是作者使用的代理架构设计，而不是模型本身。

我相信有经验的AI工程师、提示工程师或者你偏好的职称，通过迭代改进代理架构，本可以拿到更好的测试结果。

---

Over 97% of the ‘Linux’ Foundation’s Budget Goes N… #

https://news.ycombinator.com/item?id=48071889

8 million (~3%) towards the Linux kernel

180 million (~65%) towards ancillary project support, which includes a huge ecosystem of useful technologies around linux

Their ‘corporate operations’ overhead is like 5% of expenses. whoop.

wolttam

800万（约占3%）用于Linux内核

1.8亿（约占65%）用于辅助项目支持，包括围绕Linux的大量有用技术生态系统

他们的“企业运营”开销仅占支出的约5%。哇。

---

Hardware Attestation as Monopoly Enabler #

https://news.ycombinator.com/item?id=48086192

This is a really good thread on why this technology is becoming a problem for “open” anything. The argument “we can create our own separate web” is fine until all of your services are behind the web that locks you into owning a Google approved or Apple approved mobile device.

ChuckMcM

这是一条关于为何这项技术正成为“开放”一切问题的非常好的讨论。认为“我们可以创建自己的独立网络”的观点虽然成立，但前提是你所有的服务都不受限于那些将你锁定在需要拥有谷歌批准或苹果批准的移动设备上的网络。

---

I’ve banned query strings #

https://news.ycombinator.com/item?id=48077360

You know I was actually really curious about this so I went back to the HTML and URL W3C standards and surprisingly they don’t actually have any definitions of format other than being percent encoded. One might conflate query strings with “form-urlencoded” 0 query strings, which is one potential interoperability format, but in general a queries string is just any percent encoded string following a “?” in a url 1, and just another property in the “URL” HTML object that can be used in the generation of a response. While additionally there is a URLSearchParams object that is the result of parsing the query string with the form-urlencoded parser, this is simply an interoperability layer for JavaScript.

I’m going to be honest, I was pretty geared up to have a contrarian opinion until I looked at the standards but they’re actually pretty clear, a 404 could be a proper response to unexpected query string; query string is as much part of the URL API as the path is and I think pretty much everyone can acknowledge that just tacking random stuff onto the path would be ill advised and undefined behavior.

jedimastert

你知道吗，我其实对此非常好奇，所以我回头查看了HTML和URL的W3C标准，令人惊讶的是，除了要求百分号编码外，标准中并没有对格式做任何定义。有人可能会把查询字符串和“form-urlencoded”查询字符串混为一谈，后者是一种潜在的互操作格式，但一般来说，查询字符串只是URL中“？”后面任何百分号编码的字符串，同时它也是“URL” HTML对象中的一个属性，可以用于生成响应。此外，还有一个URLSearchParams对象，它是用form-urlencoded解析器解析查询字符串的结果，这只是JavaScript的一个互操作层。

老实说，我本来还准备提出一个反对观点，直到我查阅了标准，它们实际上非常明确，对于意外的查询字符串，返回404也是合理的；查询字符串和路径一样，都是URL API的一部分，我想几乎所有人都能认可随意往路径上附加东西是不明智且行为未定义的。

---

Bun’s experimental Rust rewrite hits 99.8% test co… #

https://news.ycombinator.com/item?id=48077319

I just want to comment that I think it’s a good change if we look past the AI involvement.

Bun has had an extremely high amount of crashes/memory bugs due to them using Zig, unlike Deno which is Rust.

Of course, if Bun’s Rust port has tons of unsafe, it won’t magically solve them all, but it’ll still get better

Tiberium

我只是想评论一下，如果不考虑AI的参与，我认为这是一个不错的改变。

Bun因为使用了Zig语言，出现了非常多的崩溃和内存错误，而Deno使用的是Rust。

当然，如果Bun的Rust移植版大量使用了unsafe，这些问题也不会神奇地全都解决，但情况肯定会有所改善。

---

Remind HN: Today is Mother’s Day, call your moms #

https://news.ycombinator.com/item?id=48085886

This is the first year when I can’t do that.

Please go do it on my behalf, while it’s possible.

kstrauser

这是我第一次不能这样做。

趁还能做，请代我去做。

---

Bun’s experimental Rust rewrite hits 99.8% test co… #

https://news.ycombinator.com/item?id=48079704

Who’s the whiny baby? The developer writing some code in their own repo, or the guy complaining about it on Hacker News?

woah

谁是那个爱哭的婴儿？是在自己仓库写代码的开发者，还是在Hacker News上抱怨的人？

---

Internet Archive Switzerland #

https://news.ycombinator.com/item?id=48077155

IA needs to do what Usenet has done. Have a bunch of mission-aligned but unrelated orgs (under different ownership and distributed around the world) that peer with each other, distribute all the content obtained by any of the orgs to each other, but that have no technical channel nor capability to distribute DMCA complaints and takedown requests.

This is (AFAIK) basically how Usenet piracy works. You send your warez to one provider, and that provider instantly replicates them to all the providers they peer with, recursively, until they eventually reach the entire network. When any of those providers get a DMCA complaint, they remove the offending files (as they’re required to do by law), but they don’t inform other providers that they’ve received a DMCA notice, so those providers keep serving those files. This makes it much harder to remove data from the network than it is to add it.

miki123211

人工智能需要效仿Usenet所做的。让一群目标一致但彼此无关的机构（由不同所有者拥有，分布在全球各地）互相对等连接，所有机构获得的内容都会相互分发，但这些机构之间没有技术通道或能力去分发DMCA投诉和下架请求。

据我所知，这基本上就是Usenet盗版的工作原理。你将你的破解软件发送给一个服务提供商，该提供商会立即将这些软件复制到所有与其对等连接的服务提供商那里，并递归进行，直到最终覆盖整个网络。当其中任何一个提供商收到DMCA投诉时，他们会依法删除侵权文件，但不会通知其他提供商他们已收到DMCA通知，因此其他提供商仍然继续提供这些文件。这使得从网络中删除数据比添加数据难得多。

---

Internet Archive Switzerland #

https://news.ycombinator.com/item?id=48074438

Relevant blog post: https://blog.archive.org/2026/05/06/internet-archive-switzerland-expanding-a-global-mission-to-preserve-knowledge/

Internet Archive Switzerland joins a growing group of mission-aligned organizations, alongside Internet Archive, Internet Archive Canada, and Internet Archive Europe. Together, these independent libraries strengthen a shared vision: building a distributed, resilient digital library for the world.

input_sh

互联网档案馆瑞士分支加入了一个日益壮大的、志同道合的组织群体，这个群体包括互联网档案馆、互联网档案馆加拿大分馆和互联网档案馆欧洲分馆。它们共同强化了一个共同的愿景：为世界建设一个分布式、具备弹性的数字图书馆。

---

EU Parliamentary Research Service calls VPNs “a lo… #

https://news.ycombinator.com/item?id=48073109

seriously want to stop adolescents from watching porn

no, they want to pretend this is the issue, so that pervasive monitoring or permission and/or deanonymization is normalized. It is to serve the state apparatus, rather than any actual protection.

chii

他们真的想阻止青少年观看色情内容吗？

不，他们只是想假装这是个问题，以便让广泛的监控、许可和/或去匿名化变得常态化。这是为了服务于国家机器，而不是真正的保护。

---

Space Cadet Pinball on Linux #

https://news.ycombinator.com/item?id=48086249

I am one of the original authors of Space Cadet Pinball and I just want to say it is absolutely wonderful there are people who love our old pinball game enough to keep it alive. You made my day.

I am forwarding this post to my Cinematronics co-founders and friends, Mike Sandige (lead engineer) and Kevin Gliner (designer and product manager). They will enjoy seeing this as much as I did.

davidst

我是《太空学员弹球》最初的作者之一，我只想说，看到有人如此热爱我们老旧的弹球游戏并让它得以延续，真是太美好了。你们让我今天心情大好。

我会把这篇帖子转发给我的Cinematronics联合创始人和朋友，主工程师Mike Sandige以及设计师兼产品经理Kevin Gliner。他们也会像我一样喜欢看到这些内容。

---

Louis Rossmann offers to pay legal fees for a thre… #

https://news.ycombinator.com/item?id=48084957

I made the tragic mistake of getting a Bambu printer (an X1C, with AMS even…) right before they gave all of us the middle finger. I now have it offline, running out of date firmware, connected to a special WiFi network that is isolated from the Internet.

That upset me, but now I’m pissed. Now I don’t even care about their stupid printers. Now I’d like to waste Bambu Lab’s time and cause problems for them.

And also, while this X1C should be going strong for years, my eyes are on Prusa should I want another printer any time soon for any reason. Less polished or not, they seem like they’re still better for consumers even though they are apparently less open than they used to be. But I’m of course interested in hearing what people recommend, too. (I got an X1C because I knew it would be simple, but I don’t particularly mind getting my hands dirty or anything. I did build an Ender 3 kit before that.)

jchw

我犯了个悲惨的错误，在Bambu刚刚给我们所有人来了一记响亮的回击之前，买了一台Bambu打印机（X1C，还有AMS功能……）。现在它处于离线状态，运行着过时的固件，连接在一个与互联网隔离的特殊WiFi网络上。

这让我很难过，但现在我彻底生气了。我甚至不关心他们那该死的打印机了。现在我只想浪费Bambu Lab的时间，给他们制造麻烦。

而且，虽然这台X1C应该还能用好几年，但如果我近期想再买打印机，无论什么原因，我更倾向于选择Prusa。尽管Prusa可能没有以前那样开放，或者说不够精致，但对消费者来说他们似乎仍然更好。当然，我也很想听听大家的推荐。（我买X1C是因为我知道它使用简单，但我并不介意动手弄点脏活。我之前还组装过一台Ender 3套件。）

---

Taxpayers May Be Eligible for Significant Tax Refu… #

https://news.ycombinator.com/item?id=48084478

I’ll save everybody else 120s: if you didn’t get penalized for filing your taxes late during covid, move on.

butvacuum

我帮大家省120秒：如果你在疫情期间因为晚交税没被罚，那就别纠结了。

---