2024-03-19 Hacker News Top Stories #

Grok #

这个 GitHub 地址（ https://github.com/xai-org/grok-1）包含了一个名为 Grok-1 的开源项目。该项目提供了用于加载和运行 Grok-1 开放权重模型的 JAX 示例代码。在这个项目中，你需要下载检查点并将其放置在检查点文件夹中，然后运行以下命令来测试代码：

pip install -r requirements.txt
python run.py

这个脚本会加载检查点并从模型中对测试输入进行采样。由于模型非常庞大（314B 参数），因此需要具有足够 GPU 内存的计算机来测试模型。该项目中 MoE 层的实现并不高效，但为了验证模型的正确性而选择了这种实现方式。

Grok-1 目前设计的规格如下：

参数：314B
架构：8 个专家的混合（MoE）
专家利用率：每个标记使用 2 个专家
层：64
注意力头：48 用于查询，8 用于键/值
嵌入大小：6,144
标记化：使用 131,072 个标记的 SentencePiece 标记器
额外功能：
旋转嵌入（RoPE）
支持激活分片和 8 位量化
最大序列长度（上下文）：8,192 个标记

你可以通过种子链接（magnet link）或 HuggingFace 🤗 Hub 直接下载权重。该项目的代码和相关权重受 Apache 2.0 许可证保护。

HN 评论 404 comments | 作者：pierre | 1 day ago #

https://news.ycombinator.com/item?id=39737281

有人质疑是否有人在 x.ai 之外使用这个模型进行推理，希望了解硬件细节；
有人建议等待 llama.cpp 添加支持，或者等待推理 API 提供商添加支持；
有人对 NYT Connections 基准测试感兴趣，分享了一些结果和细节；
有人讨论在 AWS 上测试的便捷性和配置问题；
有人猜测 TheBloke 是否在进行新的量化工作；
有人提到 TheBloke 在 CVE-2024-23496 发布后消失，引发了一些猜测；
有人分享 TheBloke 在英国注册了一家公司的信息；
有人讨论 .gguf 文件是否存在安全问题；
有人讨论模型的训练数据和开源性；
有人讨论模型的参数数量和性能比较。

900 Sites, 125M accounts, 1 Vulnerability #

https://env.fail/posts/firewreck-1/

这篇文章讨论了一个名为"Firewreck-1"的主题，主要内容如下：

Firebase 允许轻松配置安全规则而不提供任何警告，导致数百个网站暴露了大约 125 万用户记录，包括明文密码和敏感的账单信息。作者们通过扫描整个互联网寻找通过错误配置的 Firebase 实例暴露的个人身份信息（PII）。他们尝试了两种方法，一种是使用 Python 编写的扫描程序，但由于内存问题而失败；另一种是使用 Go 语言重新编写的扫描程序，成功避免了内存泄漏问题。文章提到了他们手动检查每个域名的过程，以及使用名为 Catalyst 的辅助扫描程序来自动检查受影响站点。数据显示共有 124,605,664 条记录，其中包括姓名、电子邮件、电话号码、密码和账单信息等。文章列出了几个受影响站点的简要情况，包括 Silid LMS、在线赌博网络、Lead Carrot 和 MyChefTool 等。最后，文章提到了他们发送了 842 封电子邮件，其中 85% 成功送达，9% 退信，24% 的站点所有者修复了配置错误，只有 1% 的站点所有者回复了邮件，0.2% 的站点所有者提供了漏洞赏金。

这篇文章涵盖了 Firebase 安全规则配置问题导致的大规模用户数据泄露事件，以及作者们的扫描和处理过程。

HN 评论 125 comments | 作者：MrBruh | 11 hours ago #

https://news.ycombinator.com/item?id=39742422

Firebase 的安全规则实施复杂，容易被忽视，需要更好的教育和审查机制。
前端直接写入数据库的模型存在疑虑，需要更多后端逻辑支持。
一些应用只需同步用户数据，无需后端逻辑支持。
直接写入 Firebase 数据库通常在 MVP 阶段完成，写入操作通常通过云函数或传统服务器处理。
数据库写入不排除后端逻辑，触发器和完整性规则可执行数据写入后的逻辑。
数据库记录大小限制和存储方式对于数据安全和性能至关重要。
Firebase 的安全规则需要更好的审计日志和自动化模式。
建议引入轻量级数据库功能挂钩以加强安全要求。
Firebase 需要更好的支持和教育机制，以避免安全漏洞。
Google 在支持开发者产品方面存在问题，可能影响用户体验和安全性。
Firebase 的安全规则应该更简单易用，提供预设安全规则模板。
开发者忽视自动警告和仪表板，需要更好的沟通机制。
Firebase 的安全规则需要更好的测试和调试支持。
切换从 Firebase 到其他数据库可能会导致数据一致性和迁移问题。
Firebase 的安全规则实现复杂，需要更好的工具和支持。
Firebase 需要类似 RLS 的安全机制，以提高数据库授权规则的编写和管理效率。

https://www.amazingcto.com/cookie-banners-are-not-needed/

这篇文章讨论了关于网站上常见的 Cookie 弹窗的问题。作者指出，欧盟并没有强制要求网站使用 Cookie 弹窗，而是一些公司自行决定使用。

文章提到，欧盟的要求是在追踪、分析用户数据并将其出售给广告公司时需要用户的明确同意。作者认为，公司完全可以避免使用 Cookie 弹窗，只需停止追踪用户即可。他提出了一些替代方案，比如在网站顶部显示一个小的 Cookie 同意选项，用户可以选择是否同意追踪。

作者认为，一些公司之所以使用大面积的 Cookie 弹窗是因为他们希望追踪用户，而不是因为法律要求。总的来说，文章认为 Cookie 弹窗的出现是由于公司自身的选择，而非法律的要求。

HN 评论 530 comments | 作者：KingOfCoders | 11 hours ago #

https://news.ycombinator.com/item?id=39742578

这篇帖子中的评论观点大致可以归纳为以下几点：

一些人认为法律要求网站显示 cookie 横幅是多余的，应该直接禁止不当使用 cookie；
一些人指责公司和网站自身选择性地增加烦人的横幅，使用户体验变差；
一些人认为 GDPR 对于保护隐私有益，但网站选择恶意遵从而增加了用户困扰；
一些人认为网站应该提供更好的选择，而不是强制用户接受追踪；
一些人认为广告商和网站之间的信任问题比追踪用户更为重要。

YouTube now requires to label their realistic-looking videos made using AI #

https://blog.google/intl/en-in/products/platforms/how-were-helping-creators-disclose-altered-or-synthetic-content/

这篇文章介绍了如何帮助创作者披露经过修改或合成的内容。随着生成式人工智能改变创作者表达自己的方式，从构思创意到尝试增强创作过程的工具，观众越来越希望了解他们所看内容是否经过修改或合成。因此，Google 引入了一个新工具，要求创作者在使用经过修改或合成媒体（包括生成式人工智能）制作的逼真内容时向观众披露。

这些披露将显示为标签，出现在扩展描述或视频播放器的前面。创作者不需要披露明显不真实、动画、包含特效或使用生成式人工智能进行制作辅助的内容。这一新标签旨在加强与观众的透明度，建立创作者与观众之间的信任。需要披露的内容示例包括使用逼真人物的肖像、修改真实事件或地点的镜头以及生成逼真场景等。

此外，文章还提到了一些情况下不需要披露的内容，例如明显不真实的内容、颜色调整或光线滤镜、特效、美化滤镜等。这些标签将在未来几周内在 YouTube 的各个平台和格式上推出，以增加数字内容的透明度。文章还强调了 YouTube 在与行业合作方面的努力，以增加数字内容的透明度。

HN 评论 261 comments | 作者：marban | 6 hours ago #

https://news.ycombinator.com/item?id=39746468

有人认为 YouTube 现在要求标记使用人工智能制作的逼真视频是明智之举，虽然存在无限缺陷，但从商业和学习的角度来看，这是朝着正确方向迈出的一步。
一些人认为 AI 标签基本上没有用，因为想要误导别人的人会选择不标记，可能会导致政治上不便的事件被标记为 AI 生成的内容。
有人提到，摄像头传感器具有可测量的个体噪声，如果录制原始数据，就不太可能伪造，但也指出 AI 生成的内容可能会绕过这些限制。
一些人讨论了 YouTube 要求内容创作者披露使用 AI 生成音乐等内容的规定，引发了关于版权和创作的讨论。
有人认为 YouTube 的规定旨在禁止欺骗，而不仅仅是关于 AI 的问题，这些规定可能会导致更多争议和争论。

Cranelift code generation comes to Rust #

https://lwn.net/SubscriberLink/964735/8b795f23495af1d4/

这篇文章介绍了 Cranelift 代码生成技术在 Rust 中的应用。Cranelift 是一个基于 Apache-2.0 许可的代码生成后端，作为 Wasmtime WebAssembly 运行时的一部分进行开发。在 2023 年 10 月，Rust 项目将 Cranelift 作为其夜间工具链的可选组件提供。用户现在可以将 Cranelift 用作 Rust 项目的调试构建的代码生成后端，这是一个值得关注的时机。Cranelift 旨在通过生成代码比现有编译器更快来与现有编译器竞争，这得益于其专注于仅进行最重要的优化的简化设计。

Cranelift 的首次使用是作为 Wasmtime 的即时（JIT）编译器的后端。Cranelift 选择了更通用的架构，这意味着 Cranelift 可用于 WebAssembly 之外的项目。Cranelift 采用名为 CLIF 的自定义中间表示形式，并直接为目标架构生成机器代码。与许多其他 JIT 编译器不同，Cranelift 不生成依赖于能够回退到使用解释器的代码，这使其适用于非 WebAssembly 相关的项目。

此外，文章还介绍了 Cranelift 的优化方式，基于等价图（E-graphs）的优化管道，以及 Cranelift 如何在 Rust 中使用。文章还提到了 Cranelift 的设计者如何努力使其成为 Rust 的备用后端，并介绍了使用 Cranelift 的方法。文章还讨论了 Cranelift 的性能比较以及对 Rust 编译时间的潜在影响。最后，文章总结了 Cranelift 作为编译器设计不同方法的有趣展示。

HN 评论 78 comments | 作者：ridruejo | 11 hours ago #

https://news.ycombinator.com/item?id=39742692

Rust 支持不同后端和优化，建议使用优化的 LLVM 构建依赖项，使用调试的 LLVM 或 Cranelift 构建自己的代码。
Rust 不支持稳定的二进制 ABI 跨不同编译器版本，但共享代码在运行时和编译器中定义和实现 ABI。
LLVM 和 Cranelift 代码生成后端将实现相同的二进制 ABI，因为二进制 ABI 决策在共享代码中制定。
LLVM 和 Cranelift 后端在相同的 rustc 版本中生成具有相同 ABI 的代码，如果不是这种情况，则可能是一个错误。
ABI 在共享代码中完成，结构布局在通用代码中发生，但函数调用可能不完全后端无关，可能会遇到一些问题。
Cranelift 使用 E 图表示 IR 上的等价性，允许进行比复制和补丁更多的优化。
Cranelift 生成的代码质量取决于给定的时间和内存，灵活性是其价值所在。
Cranelift 对于调试构建可以加快开发迭代速度，特别适用于 WASM/Frontend Rust。
LLVM 和 Cranelift 性能差异可能与 E 图无关，而是 Cranelift 更少、更简单的优化传递。
LLVM 庞大且臃肿，难以尝试新的、激进的想法，因此这些改进可能无法应用于 LLVM。

2600.network Dialup Service #

https://2600.network/

网站 https://2600.network 是一个为拨号用户提供的公共服务。它的目的是让使用旧式、复古和过时硬件的用户通过真实调制解调器拨入真实系统。

该网站提供了区域、免费电话和专用电话号码列表，供用户拨入 2600.network。此外，还提供了登录凭据列表，供用户在拨入后登录不同的公告板。网站还提供了关于如何找到电话线、如何使用调制解调器以及有关一切运作方式的技巧和信息。用户可以通过统计数据和图表诊断和监控他们连接到 2600.network 的连接。此外，网站还提供了捐赠信息，用户可以了解需要什么以及如何进行捐赠。如果有问题、评论或关注，请访问联系页面与管理员交流（请不要发表无理要求）。

HN 评论 106 comments | 作者：classichasclass | 1 day ago #

https://news.ycombinator.com/item?id=39737401

有关谷歌搜索设备的评论：谷歌搜索设备内部有 dial-up modem，用于远程诊断，绕过防火墙限制。
Dial-up 在设备中的应用：Dial-up 在 AT&T 网络设备中也有应用，即使迁移到光纤，仍需要专用 POTS 线路。
Dial-up 作为设备的一部分：Dial-up 在 IBM 产品中有应用，用户通过拨号终端连接，但不会拨回 IBM。
Dial-up 在分布式数据库应用中的应用：使用 dial-up e-mail 进行数据同步，保证数据安全，适用于无网络访问的地区。
Dial-up 在 AWS 存储网关中的应用：AWS 存储网关的诊断模式通过 22/tcp 启动反向 shell。
Dial-up 在企业数据中心的应用：企业数据中心仍然普遍存在。
Dial-up 与网络安全的讨论：担心 dial-up 连接可能导致网络安全问题。
Dial-up 在新闻发布网站中的应用：使用 dial-up 进行数据传输，提升页面排名。
Dial-up 在传真和调制解调器中的讨论：讨论 VoIP 环境下传真和调制解调器的可行性。
Dial-up 在历史上的应用：2600Hz 是电话网络中的握手音调，与电话黑客文化相关。

Paris cycling numbers double in one year thanks to investment #

https://momentummag.com/paris-cycling-numbers-double/

在巴黎的心脏地带，历史悠久的林荫大道和熙熙攘攘的街道间，一场革命正在发生，这场革命的推动力不是发动机，而是脚踏板。法国报纸《世界报》的一篇报道生动描绘了巴黎不断发展的自行车文化，揭示了自 2022 年 10 月至 2023 年 10 月之间巴黎街头自行车使用量翻倍的惊人增长。这不仅仅是一个统计数字，更是对可持续出行和城市更新等更广泛社会变革的反映。

巴黎市副市长、欧洲生态绿党（EELV）的代表大卫·贝利亚尔指出，巴黎的骑行已经超越了简单的时尚潮流，已经成为城市身份的基本组成部分。尽管面临恶劣天气等挑战，骑行者仍然涌向街头，创下新的出行记录，并在这个过程中重塑城市景观。

贝利亚尔表示：“我们已经知道，自行车的使用已经远远超出了简单的时尚效应。尽管巴黎最近几周的天气恶化，我们仍然记录到出行记录。”他表示，在出行领域，供给而非需求是核心问题，市政府已经“大规模增加了基础设施供给”。

除了数字增长，这篇报道深入探讨了巴黎自行车文化的细微差别，探索了那些优雅坚定地穿行于城市街道的骑行社区。从塞纳河畔的悠闲骑行到繁忙大道上的日常通勤，骑行已经成为巴黎生活的一个不可或缺的部分。

这一成功并非偶然，它是在自 2015 年市长安妮·伊达尔戈开始推进巴黎自行车规划以来，对自行车基础设施进行重大投资后取得的。在此之后，更大规模的投资填补了空白，使巴黎成为“100% 的自行车城市”。

未来巴黎继续投资于自行车基础设施，扩建自行车道和创新的公共自行车共享计划，这座世界上最具标志性城市之一的骑行未来看起来比以往任何时候都更加光明。

HN 评论 182 comments | 作者：Timothee | 8 hours ago #

https://news.ycombinator.com/item?id=39744932

这篇帖子中的评论观点归纳如下：1. 巴黎自行车数量增加，城市变得更宜居，减少了汽车使用，提高了步行者的体验；2. 一些骑行者认为共享基础设施使骑行不太安全，因为驾驶人员对骑行者产生愤怒；3. 有人认为自行车比汽车占用更少空间，减少了城市拥堵；4. 巴黎的骑行者大多是原本会乘坐公共交通的人，因此道路上的汽车数量基本保持不变；5. 自行车基础设施的改善使得骑行更受欢迎，但也存在一些挑战，如交叉路口信号不清晰、停车位不足等。

EPA bans asbestos, a deadly carcinogen still in use decades after partial ban #

https://apnews.com/article/epa-asbestos-cancer-brakes-biden-72b0fa8b36adedaff6000034d35c2acd

这篇文章报告了美国环保局（EPA）宣布全面禁止石棉的消息。石棉是一种致癌物质，每年导致数万美国人死亡，但仍然在一些氯漂白剂、刹车片和其他产品中使用。这项最终规定标志着 EPA 根据 2016 年的一项重要法律对数万种日常产品中的有毒化学品进行监管的重大扩展，这些产品包括从家用清洁剂到服装和家具等各种产品。

新规定将禁止蒽醌石棉，这是美国唯一正在使用的石棉。这种物质存在于刹车衬片和垫圈等产品中，用于制造氯漂白剂和氢氧化钠，也被称为苛性钠，包括一些用于水净化的产品。EPA 局长迈克尔·雷根称这一最终规定是保护公共健康的重要一步。石棉暴露已知会导致肺癌、间皮瘤和其他癌症，并且与每年超过 4 万人在美国死亡有关。结束石棉的持续使用推进了拜登总统的“癌症登月”目标，这是一个全面的政府倡议，旨在终结美国的癌症。文章还提到了石棉在其他产品中的使用情况、法律规定、对环境和公共健康的影响以及相关行业的反应等内容。

HN 评论 182 comments | 作者：anigbrowl | 6 hours ago #

https://news.ycombinator.com/item?id=39746806

根据 https://news.ycombinator.com/item?id=39746806 中评论的观点，可以总结为：一些人认为 EPA 禁止石棉使用是保护美国人的重要举措，有人质疑石棉在氯碱工业中的使用，担心工人受到石棉影响，也有人讨论了核能安全和风险，以及石棉在其他用途中的使用。

Oh shit, my app is successful and I didn’t think about accessibility #

https://jacobbartlett.substack.com/p/oh-sht-my-app-is-successful-and-i

这篇文章的主题是关于在 SwiftUI 中加速实现辅助功能。

作者 Jacob Bartlett 提到，当你的应用变得成功时，却没有考虑到辅助功能的重要性。他强调了在应用开发过程中，特别是在面临时间压力和领导支持不足的情况下，很容易忽视辅助功能。文章详细介绍了如何审计 SwiftUI 应用中的辅助功能，使应用在各种文本大小下都能正常显示，使应用对屏幕阅读器友好，以及如何说服利益相关者优先考虑辅助功能。

作者还分享了一些技术方法，如使用 a11yScrollView 使内容可滚动，使用 @ScaledMetric 动态调整图像和文本大小，以及使用 A11yHStack 对内容进行对齐。此外，文章还提到了如何利用原生 SwiftUI 组件（如 List）来改善应用的辅助功能，以及如何通过软技能来获得组织内其他人对辅助功能的支持。最后，作者强调了在应用开发过程中将辅助功能纳入标准工作流程的重要性。文章内容详实，为开发人员提供了实用的建议和技巧，以确保应用在辅助功能方面表现良好。

HN 评论 223 comments | 作者：jakey_bakey | 5 hours ago #

https://news.ycombinator.com/item?id=39747105

有人认为应该优先考虑为人类建造产品，而不是仅追求增长；
有人指出忽视无障碍功能只是应用中的一种问题，还有其他影响到用户范围的因素；
有人认为应该由开发者确保应用与辅助工具兼容，而不是让残障人士自行购买专用工具；
有人提到了在美国，ADA 法案规定了残障人士的权益，对无障碍功能的重视；
有人分享了使用 Flutter 构建应用时无障碍功能的便利性；
有人提到了在欧盟，公司必须确保产品和服务符合无障碍法案的规定；
有人建议在早期阶段就考虑无障碍功能，但不要过早投入过多资源；
有人认为无障碍功能不仅是法律责任，更是声誉问题，尤其在用户规模扩大时。

Tick-killing pill shows promising results in human trial #

https://arstechnica.com/science/2024/03/tick-killing-pill-shows-promising-results-in-human-trial/

这篇文章介绍了一种针对蜱虫的杀虫药丸在人类试验中显示出有希望的结果。Tarsus Pharmaceuticals 正在开发一种类似于宠物用于防蜱的口服药丸，可以为人类提供数周的针对蜱传疾病的保护。这种药丸在小规模早期试验中表现出在服药后 24 小时内能够杀死人体上的蜱虫，并且效果可持续长达 30 天。

该药丸的主要成分是 lotilaner，这种药物通过干扰寄生虫神经细胞之间信号传递的方式来麻痹和杀死寄生虫。研究人员在试验中发现，这种药丸不仅可以针对蜱虫，还可能对其他在美国传播的蜱传疾病如贝贝虫病和阿纳普拉病有保护作用。虽然目前尚未证明这种药丸确实可以预防莱姆病，但研究人员对其潜在的预防效果表示乐观。

这种药丸可能成为一种无需考虑的预防性药物，人们可以在徒步旅行、露营或任何可能有蜱虫的地方外出前服用。

HN 评论 150 comments | 作者：ludovicianul | 10 hours ago #

https://news.ycombinator.com/item?id=39743594

评论中的观点归纳如下：

使用涂有化学药剂的衣物或鞋子是一种有效的避免蜱虫叮咬的替代方法；
寻找蜱虫并进行全面检查是一种有效的预防措施；
使用 permethrin 等化学药剂可能对宠物和野生动物造成危害；
一些人提倡使用天然方法或服用抗生素作为后期预防措施；
一些人对化学药剂的使用持谨慎态度，担心可能的副作用和环境影响。