2025 08 12 HackerNews

2025-08-12 Hacker News Top Stories #

  1. GitHub 首席执行官 Thomas Dohmke 辞职,标志着 GitHub 运营方式的重大变化,未来将更紧密整合于微软的 CoreAI 团队。
  2. 作者尝试了多款待办事项应用,最终选择使用简单的 .txt 文件管理待办事项,认为其更高效。
  3. 英国高等法院驳回了维基媒体基金会对《在线安全法》分类规定的挑战,要求保护维基百科的运营。
  4. Chromium 浏览器发现高危安全漏洞,允许恶意进程逃逸沙箱,目前已标记为高优先级修复。
  5. 维基百科在挑战英国《在线安全法案》中失败,法案可能威胁到志愿者编辑的隐私与安全。
  6. Claude Code 展现了强大的编程能力,作者通过项目实践分享了其应用体验和潜在价值。
  7. 作者通过禁用现代汽车的蜂窝通信模块,成功移除了车辆的远程监控功能,实现“去联网”。
  8. 腐败揭露:Meta 与以色列政府合作审查用户内容,Meta 未采取措施解决滥用内容执行系统的问题。
  9. 1910年技术变革引发大规模焦虑,与现代社会面临的挑战相似,探讨了技术进步与人类适应的矛盾。
  10. OpenSSH 支持后量子密码学,确保在量子计算机时代 SSH 连接的安全性,默认启用混合密钥协商算法。

GitHub is no longer independent at Microsoft after CEO resignation #

https://www.theverge.com/news/757461/microsoft-github-thomas-dohmke-resignation-coreai-team-transition

GitHub 的 CEO Thomas Dohmke 辞职,导致 GitHub 与微软的 CoreAI 团队更加紧密地整合。Dohmke 在担任 CEO 近四年后,决定离开 GitHub,去追求微软和 GitHub 之外的机会,重新成为一名初创公司创始人。

自 2018 年微软以 75 亿美元收购 GitHub 以来,GitHub 一直作为独立公司运营,但 Dohmke 的离职标志着 GitHub 运营方式的重大变革。微软不打算替换 Dohmke 的 CEO 职位,GitHub 的领导团队现在将更直接地向微软的 CoreAI 团队汇报。CoreAI 团队是微软新成立的一个工程组,由前 Meta 高管 Jay Parikh 领导,专注于为微软及其客户构建 AI 平台和工具。

这一变化意味着 GitHub 不再有单一的领导者或 CEO,GitHub 的责任将更紧密地与 CoreAI 领导团队对齐。Dohmke 在给 GitHub 员工的备忘录中表示,他将留任至 2025 年底,帮助指导过渡,并带着对作为全球分布的远程优先组织所建立的一切的深深自豪感离开。

HN 热度 867 points | 评论 632 comments | 作者:Handy-Man | 8 hours ago #

https://news.ycombinator.com/item?id=44865560

  • 微软作为酷公司的时代正在慢慢结束,Xamarin 被 MAUI 取代,VS4Mac 被放弃,.NET 跨平台但 GUI 工作负载和分析器主要限于 Windows。
  • 微软在多个方向上尝试,包括 GUI 框架、Web、Blazor 等,以看哪个能成功。
  • 微软在 GitHub 的角色更多地成为 Azure 和 AI 努力的交付机制。
  • 微软在 C++20 支持上落后,可能受到安全未来计划和更安全语言决策的影响。
  • 微软市值达到 4 万亿美元,从股东角度看一切顺利。
  • 微软过去 25 年以反自由软件、糟糕的网络浏览器、与政府的腐败交易、创建专有扩展和不受欢迎的硬件而闻名。
  • 微软现在在 GitHub 上开源了许多代码,IE 已死,Edge 基于 Chromium,UI 越来越多地基于 Electron。
  • 微软不是圣人,他们是一家企业,行为相对良好。
  • 微软在操作系统中加入广告等行为被认为是恶劣的。
  • 苹果和 Ubuntu 也在操作系统中推广产品。
  • 苹果的广告仅限于自家产品,而微软的广告更为激进。
  • Ubuntu 过去曾在操作系统中包含亚马逊广告,但社区反应激烈。
  • FAANG/M(Facebook、亚马逊、苹果、Netflix 和谷歌/微软)的邪恶程度排名,谷歌被认为是最邪恶的,其次是 Meta、微软、亚马逊和苹果。
  • 微软的邪恶是老派资本主义,而谷歌则被认为在幕后悄悄操纵在线经济。
  • 微软对全球供应链的控制被认为比 Meta 更邪恶。
  • 微软和 Ubuntu 都在操作系统中加入了广告。

I tried every todo app and ended up with a .txt file #

https://www.al3rez.com/todo-txt-journey

Alireza Bashiri 在 2025 年 8 月 11 日发表了一篇文章,分享了他尝试过各种待办事项应用后,最终回归使用一个简单的文本文件(todo.txt)的经历。他曾尝试过 Notion、Todoist、Things 3、OmniFocus、Asana、Trello、Any.do、TickTick 等应用,甚至自己开发过待办事项应用,但最终发现这些应用要么需要付费、同步问题、公司被收购或倒闭,要么管理这些应用本身比工作还要费时。

他详细描述了每个应用的问题:

  • Notion:构建了一个完整的生活操作系统,但只用了两天就放弃了。
  • Todoist:开始很好,但后来发现自己在刷分而不是真正工作。
  • Things 3:外观漂亮,但价格昂贵,且经常忘记查看。
  • Trello:将待办事项变成了看板,但意识到自己不是创业者,只是需要记住买牛奶的普通人。
  • OmniFocus:功能强大到需要手册来学习,花在学习上的时间比完成项目还多。

一次手机没电的经历让他意识到,简单的待办事项列表(如贴在冰箱上的便签)更有效。现在,他使用一个文本文件来管理所有待办事项,每晚检查第二天的日程,将所有事项放入第二天的部分,安排时间,并在完成时删除或记录结果。这个文件也作为他的工作日志,可以搜索回顾过去的事项。

他解释了为什么这种方法有效:文件始终可见,快速打开,不需要 AI 辅助,添加任务快,可搜索,完全属于自己,且持久。他认为生产力不在于找到完美的应用,而在于将事情写下来、定期检查列表和执行任务。

对于可能的疑问,他回答说,他使用日历来管理时间特定的事项,用笔记来处理项目,工作协作使用专门的工具,而文本文件通过 Dropbox 同步,任何文本编辑器都可使用。

最后,他鼓励读者尝试这种简单的方法,创建一个名为 todo.txt 的文件,写下明天需要做的事情,执行它们,并在工作中添加笔记。如果这种方法不适合,总有新的应用在下周推出。

HN 热度 730 points | 评论 468 comments | 作者:al3rez | 10 hours ago #

https://news.ycombinator.com/item?id=44864134

  • 许多用户倾向于使用纯文本文件,并构建特定的软件来恢复更结构化待办事项应用的功能。
  • 有人推荐尝试使用 Emacs 的 Org-mode,它能够处理上述所有功能,并且对于有计算机或技术背景的人来说是一个无可争议的升级。
  • 人们希望他们的系统,无论多么奇特,都能自然地适应他们,而不是适应别人的组织结构。
  • 许多人并不关心他们的待办事项软件,最高效的人士使用的都是非常简单生产力软件。
  • 一些人花费大量时间构建复杂的生产力系统和自定义软件,但实际上并不高效。
  • 加入关于生产力的 Facebook 群组就像买椅子来慢跑一样,这是一种形式的拖延。
  • 许多人在尝试了各种复杂的系统后,最终回归到使用简单的笔和纸或 Excel 电子表格。
  • 使用物理副本可以迫使你承认你永远不会做某些事情,从而放弃它们。
  • 渐进式披露是一个重要的概念,纯文本文件加上一些附加功能可以实现这一点,而专门的应用程序则需要学习新概念才能使用。
  • 开发人员可以快速轻松地实现许多这些功能,甚至可能觉得有趣。

Wikimedia Foundation Challenges UK Online Safety Act Regulations #

https://wikimediafoundation.org/news/2025/08/11/wikimedia-foundation-challenges-uk-online-safety-act-regulations/

维基媒体基金会是一个非营利组织,负责运营维基百科及其他维基媒体项目。2025 年 8 月 11 日,英国高等法院驳回了维基媒体基金会对英国《在线安全法》(OSA)分类规定的挑战。尽管这一决定没有为维基百科提供我们希望的即时法律保护,但法院强调了 Ofcom 和英国政府在实施 OSA 时保护维基百科的责任。法官认识到维基百科的“重大价值”、用户安全性以及错误分类和义务可能对维基百科志愿者人权造成的损害。法院强调,这一裁决“不会给 Ofcom 和国务卿实施一个会显著阻碍维基百科运营的制度开绿灯”,并指出如果他们未能保护维基百科及其用户的权利,可能会面临法律后果。为了实现这一结果,他建议 Ofcom 可能需要对规则进行特别灵活的解释,或者规则本身可能需要在议会中进行修订。

维基媒体基金会在 2025 年 7 月 17 日宣布,将于 7 月 22 日和 23 日在伦敦高等法院对英国《在线安全法》的分类规定提出法律挑战。维基媒体基金会认为这些规定危及维基百科和全球志愿者社区。维基百科的信息由近 260,000 名志愿者贡献者编写和策划,他们制定和执行政策以确保平台上的信息基于事实、中立,并引用可靠的来源。在过去的 25 年里,这种以人为中心的内容审核模式使维基百科成为超过 300 种语言中可靠信息的无与伦比的资源;其 6500 万篇文章每月全球浏览超过 150 亿次。

维基媒体基金会与英国政府一样,致力于促进每个人都能安全参与的在线环境。该组织并不是对整个 OSA 或类别 1 义务的存在提出一般性挑战。相反,法律挑战仅针对可能对维基百科强加类别 1 义务(OSA 最严格的义务)的新分类规定。如果对维基百科执行类别 1 要求,将破坏维基百科志愿者的隐私和安全,使百科全书面临操纵和破坏的风险,并转移保护人们和改善维基百科的资源,维基百科是世界上最受信任和广泛使用的数字公共产品之一。

例如,基金会将被要求验证许多维基百科贡献者的身份,这破坏了保持维基百科志愿者安全的隐私。除了异常繁重之外,这一要求——只是类别 1 要求中的一个——可能会使贡献者面临数据泄露、跟踪、诉讼甚至被威权政权监禁的风险。关于类别 1 义务对维基百科影响的更多细节可在博客文章中找到。

维基媒体基金会将与长期在英国的维基百科志愿者 User:Zzuuzz 一起作为共同原告参与此案。他们的自愿参与突出了此案对每天阅读和贡献维基媒体项目的普通人的利害关系。它展示了维基百科志愿者对 OSA 分类规定如何直接威胁贡献者在维基百科上参与知识共享的能力,以及损害他们对隐私、安全、言论自由和结社的权利的看法。

这是首次针对 OSA 分类规定提起的法律挑战,也是首次有维基百科编辑作为共同原告参与的法律挑战。它遵循了与监管机构和政策制定者多年的对话,在这些对话中,基金会表达了其关切,以及来自英国议会和民间社会的警告。我们的关切对维基百科及其贡献者迫在眉睫的威胁仍未得到解决,我们现在采取行动保护维基百科的志愿者,以及自由知识的全球可访问性和完整性。我们呼吁法院保护维基百科志愿者免受有缺陷的立法侵害。维基百科和其他维基媒体项目是安全且重要的资源,人们通过这些资源在英国乃至更广泛的世界范围内学习、分享知识、合作和提高媒体素养。英国有数千名维基百科志愿者,维基百科托管了来自文化机构如大英图书馆和惠康收藏的内容。仅在英国,维基媒体项目的内容上个月就被浏览了 7.76 亿次。此外,维基百科被用来保护和促进英国的文化遗产,包括威尔士语等土著和少数民族语言。维基百科的威尔士语版本是世界上最受欢迎的威尔士语网站,也是威尔士课程的官方组成部分。

HN 热度 624 points | 评论 3 comments | 作者:danso | 11 hours ago #

https://news.ycombinator.com/item?id=44863487

  • 英国法院驳回了维基媒体对在线审查法的挑战。
  • 该帖子可能是为了引起人们对维基媒体在这场斗争中失败的关注。
  • 由于标题不清晰,导致现在有一个竞争性的帖子特别指出了维基媒体的失败。

The Chrome VRP Panel has decided to award $250k for this report #

https://issues.chromium.org/issues/412578726

Chromium 浏览器中的一个安全漏洞(问题编号 412578726)被报告,该漏洞允许恶意渲染器进程复制浏览器进程的特权句柄,从而可能逃逸沙箱。这个问题涉及到 Mojo IPC(进程间通信)机制中的一个 bug,具体是在 Transport::Deserialize 函数中,没有对渲染器传递的 header.destination_type 进行任何检查,导致恶意渲染器可以利用这个漏洞复制浏览器进程的句柄。

为了复现这个问题,需要应用一个补丁并编译 Chromium。如果不使用组件构建或官方构建,会触发一个安全检查。如果使用组件构建或官方构建,可以使用“System Informer”工具查看渲染器进程中的浏览器进程句柄。

漏洞的利用步骤包括:渲染器进程发送 RequestIntroduction 请求给 broker,然后发送 ReferNonBroker 请求,并传递 kbroker 作为 header.destination_type。接着发送连接请求和 RelayMessage 请求,请求浏览器进程的句柄。通过多次发送 RelayMessage 请求,可以获取到浏览器进程的线程句柄,从而可能逃逸沙箱。

这个漏洞与 CVE-2025-2783 类似,但复杂性更高。报告者 Micky 表示将很快提供漏洞利用代码。这个漏洞是在 Chromium 代码库中的一次提交中引入的。目前,该问题已被标记为高优先级(P1),并且正在等待修复。

HN 热度 478 points | 评论 253 comments | 作者:alexcos | 18 hours ago #

https://news.ycombinator.com/item?id=44861106

  • 拥有可靠漏洞的黑客可以在黑市上获得更多免税收入。
  • 由于 EDR(终端检测和响应)的广泛部署,漏洞使用更可能被及早发现。
  • 一些独裁政权的情报机构可能认为利用漏洞对记者进行深度渗透是值得的。
  • 黑客不知道如何在黑市上找到可靠的买家,担心被暴露和被欺骗。
  • 通过官方渠道出售漏洞可以避免税务问题,并且可以提升个人声誉。
  • 情报机构和承包商是漏洞最好的市场,但不是免税的。
  • 出售漏洞需要签署保密协议,可能需要设立公司以合法避税。
  • 根据美国法律,开发漏洞并不违反计算机欺诈和滥用法案(CFAA)。
  • 出售漏洞不会违反 CFAA,除非是通过非法手段发现漏洞,或者知道漏洞会被用于特定犯罪。
  • 官方文件可能将漏洞出售描述为“研究”而非“漏洞”。
  • 出售漏洞可能涉及道德问题,且需要通过个人联系和声誉来找到买家。
  • 存在专门获取重要软件漏洞的公司,它们有支付的声誉。
  • 通过研究和网络可以找到这些公司,但需要警惕潜在的道德问题。
  • 有些公司只向五眼联盟国家出售漏洞,以保持道德立场。
  • 通过 ZDI 等平台出售漏洞可以获得较低的报酬,但更安全。
  • 建立高质量漏洞发现的声誉后,可以通过网络找到合适的买家。
  • 出售漏洞可能不需要支付税款,如果未被税务机关发现。
  • 出售漏洞的钱可能需要通过律师等专业人士进行洗钱。
  • 信任是通过与论坛上有很高声誉的第三方托管人共享漏洞来建立的。

Wikipedia loses challenge against Online Safety Act #

https://www.bbc.com/news/articles/cjr11qqvvwlo

维基百科在针对新的《在线安全法案》规则的法律挑战中失败,该规则可能会威胁到其志愿者编辑的人权和安全。维基百科基金会——支持在线百科全书的非营利组织——希望对可能要求维基百科验证用户身份的法规进行司法审查。尽管挑战失败,但判决强调了 Ofcom 和英国政府有责任确保维基百科受到保护。政府对高等法院的判决表示欢迎,称这将有助于继续实施《在线安全法案》,为每个人创造一个更安全的在线世界。

维基百科基金会和一位维基百科编辑试图挑战政府将哪些网站归类为《在线安全法案》下的“第一类别”——即最严格的规则——的决策方式。他们认为规则逻辑上有缺陷且过于宽泛,意味着本应针对大型社交媒体公司的额外规则将适用于维基百科。基金会特别担心,如果维基百科被归类为第一类别,将需要验证其贡献者的身份,这将破坏他们的隐私和安全。避免被归类为第一类别的唯一方法是将能够访问在线百科全书的英国人数减少约四分之三,或禁用网站上的关键功能。

政府律师辩称,部长们已经考虑过是否应该将维基百科从法规中豁免,但合理地拒绝了这一想法。维基百科基金会的首席律师表示,判决并没有给 Ofcom 和国务卿“绿灯”,以实施一个会显著阻碍维基百科运营的制度。如果将维基百科归类为第一类别意味着它无法继续运营,那么可能会有其他法律挑战。通信监管机构 Ofcom 表示,它注意到了法院的判决,并将继续推进与分类服务和相关额外在线安全规则相关的工作。

HN 热度 462 points | 评论 414 comments | 作者:phlummox | 7 hours ago #

https://news.ycombinator.com/item?id=44866208

  • Wikimedia 应该封锁英国访问,以引起媒体和政客的注意,可能会改变他们的想法。
  • 政府没有计划废除在线安全法案,并正在与 Ofcom 紧密合作,尽快有效地实施该法案。
  • 请愿书在英国没有实际效果,政府以前也忽略了有超过六百万签名的请愿书。
  • 近期的民调显示英国公众普遍支持这项立法,尽管这与我们在网上看到的大部分叙述不符。
  • 民调结果可能受到问题引导性偏见的影响,导致结果不准确。
  • 人们投票支持硬劳动,但并未意识到这将被纳入法律。
  • 1999 年的公投并没有重新引入硬劳动,而是人们投票支持了硬劳动。
  • 公投结果不具约束力,永远作为反对具有约束力公投的论据。
  • 法律术语可能含糊不清,导致人们投票时并不完全理解其含义。
  • 人们可能因为法律中提到受害者而停止进一步思考,从而投票支持。
  • 如果新法律提到受害者,人们可能会认为这是试图唤起他们的情感。
  • 人们可能会因为法律中提到保护儿童而停止进一步思考,从而投票支持。
  • 人们不能信任 YouGov 的民调,因为它是有缺陷的。

Claude Code is all you need #

https://dwyer.co.za/static/claude-code-is-all-you-need.html

Claude Code 是一款我在六月份安装的工具,它让我能够完全融入我的工作流程,而不需要我去适应新工具。我很快取消了 GPT 订阅,转而每月花费 20 美元订阅 Anthropic。尽管失去了 GPT 的高级语音模式,并且需要适应 Claude 桌面和移动应用的额外 UI 延迟和缺乏光泽,但终端工具的趣味性让我并不在意这些。

我很快就升级到了每月 100 美元的 MAX 计划,尝试 Opus 并避免达到限制。以下是我使用它进行的一些项目,包括一个实验性的“自主创业构建器”、一次性的 SplitWise 替代品、AI 海报制作器、浏览器插件来评价 HN 评论、基本的 Trello 替代品以及一些组织良好的银行对账单。

以下是我从过去几周的主要收获:

  1. 要有信心(始终使用“dangerously skip permissions”运行它,即使是在生产服务器和主要开发机器等重要资源上。如果你来自信息安全领域,你可能想要停止阅读这篇文章——剩下的内容不会让你感到高兴。如果你决定继续阅读,请随身携带药物)。
  2. 给它大量的输入。你给它的输入越多,它的输出就越好。它是一个神奇的工具,但你仍然需要非常擅长沟通,无论是通过输入成千上万的文字到文本文件或交互窗口,还是使用 TTS(我还没有尝试过这个,因为我讨厌自己的声音,但其他人报告了很好的结果)。
  3. 它在 UI 设计方面出奇地好,尽管它主要是一个文本模型。

让我们尝试一些 vibe 编码。vibe 编码的定义仍在变化,但对我来说,它意味着在不查看或编辑代码的情况下创建软件。你并不真正关心底层使用了什么语言或框架,只通过与模型聊天来开发代码。

我们将通过开发一个基本的 SplitWise 克隆版来测试 Claude Code 的能力。许多人使用 Trello 或待办事项列表作为基本的 CRUD 应用程序示例。我喜欢使用 Splitwise,因为它足够简单,但不那么陈词滥调,可能不会那么深入地嵌入模型本身。

构建一个基本的 splitwise 克隆版主要是“复读”,但有一些有趣的边缘情况,人们和模型往往会出错。特别是在邀请新用户时,但允许之前的用户在有待处理的邀请时开始添加费用并分配给用户。

最简单的 vibe 编码形式是“一次性 vibe 编码”,你希望模型在只有一个提示后生成一个完全工作的应用程序,而不需要给它任何进一步的输入来修复、添加、删除或更改。

我作弊了一点,因为我用于一次性这个版本的提示是基于早期尝试的,模型做了一些我不想要的事情,但下面显示的应用程序和 smartsplit.verysmall.site 是 claude -p “Read the SPEC.md file and implement it” 的输出。我的 SPEC.md 文件大约有 500 个单词(稍后会全文显示)。

根据你在过去几周或几个月中使用 LLMs 进行编码的频率,你可能会对我们可以在一个提示中获得一个完全工作的 CRUD 应用程序,并且具有适度复杂的功能感到惊讶或不以为然。你可以在上面的截图中看到,它有一些不错的细节,比如自动填充注册用户的名字,但对于未注册的用户则回退到他们的电子邮件地址。

我还没有广泛测试它,但我尝试和抽查的几个案例都完美地工作了。

如果你对它的效果感到惊讶,那么你应该要知道 a) 这些模型仍然是不一致的——它们可以根据相同或类似的输入表现出截然不同的表现,b) 它们对输入的质量和数量非常敏感。

例如,这是一个完全坏了的版本,甚至连基本的注册都无法工作。我用于这个版本的提示几乎相同,但包含了一些关于使用什么技术栈的指导较少,所以模型决定过度复杂化一切,以至于它甚至无法构建基本功能。

让我们看看这两个项目和创建它们的提示。工作版本是一个 900 行的 index.php 文件,包含了整个应用程序。损坏的版本是一个分为客户端和服务器的 NodeJS 项目。它在代码行数上并不长——大约有 1000 行非依赖代码分布在 15 个文件中。但在损坏的版本上运行 npm i 后,它拉入了 500MB(!!)的依赖项。

以下是完整的 SPEC.md。我给 Claude Code 的这个提示是一个 SPEC.md 文件。它在这两种情况下几乎相同,只是在 PHP 版本中我告诉它保持简单,远离框架,只写原生 SQL。在损坏的版本中,我让它随心所欲。

HN 热度 430 points | 评论 252 comments | 作者:sixhobbits | 10 hours ago #

https://news.ycombinator.com/item?id=44864185

  • 这篇文章展示了 AI 的乐趣和实验精神,让人兴奋。
  • 有人不喜欢使用 AI 工具,更享受自己编写代码的过程。
  • 对于内向的人来说,大型语言模型(LLM)是一种使用自然语言编程的计算机界面,有助于减少无聊任务。
  • LLM 在逻辑推理方面表现不佳,不能真正减轻心智负担。
  • LLM 在编程任务中表现出色,能够快速生成大部分正确代码。
  • LLM 在逻辑推理方面不如生成文本或总结文档的能力。
  • 与 LLM 合作的体验与其他人或工具不同,难以信任其输出结果。
  • Claude Code 可以看作是一个非确定性编译器,输入英语得到功能代码。
  • 使用 LLM 需要不断审查和验证其输出结果。
  • 在某些领域,LLM 可能需要更复杂的推理能力。

Vanishing from Hyundai’s data network #

http://techno-fandom.org/~hobbit/cars/ev/offnet.html

这篇文章讲述了作者如何“去联网”(going dark),即完全从现代汽车的数据网络中消失,以避免车辆被追踪或在作者控制之外被干预。作者特别提到了对特斯拉始终在线并发送遥测数据的担忧,并决定不参与这种模式。

文章中,作者描述了拒绝让经销商为其注册 Hyundai 的 BlueLink 服务,并寻找并禁用了车辆的蜂窝通信设施,即“远程信息处理单元”。作者还提到了禁用车内麦克风以防止车内对话被监听和发送到其他地方的问题。通过研究,作者确定了车辆的蜂窝调制解调器最有可能位于视听头部单元内,并详细描述了如何拆卸和重新组装头部单元以移除蜂窝模块。

作者保留了 Sirius XM 接收器,因为它是接收端,并且车辆的主控制总线 P-CAN 通过一个连接器到达头部单元,作者不想失去显示车辆运行数据的功能。最后,作者成功地移除了蜂窝模块,并且没有遇到任何问题,BlueLink 按钮现在没有任何反应,问题得到了解决。

HN 热度 402 points | 评论 232 comments | 作者:pilingual | 22 hours ago #

https://news.ycombinator.com/item?id=44860139

  • 购买 Ioniq 时没有数据共享协议,更新时出现的冗长条款无人会读,只有接受或忽略的选项,这不能算是合法的。
  • 需要法官站出来宣布这些单方面“协议”是不公平的,因为公司对购买者有过度的影响力。
  • 现代车主手册中包含了许多法律要求的免责声明,这些声明被认为有效。
  • 认为没有人在 2025 年会合理期待他们的新车不会对他们进行监控。
  • 反对将远程 shell 恶意软件的免责声明作为 CFAA 违规的辩护。
  • 没有类似 GDPR 的法律,司法机构不太可能创立重大的民事权利。
  • 建议将产品、服务的条款和条件简化为人类可读的形式,并在购买前呈现和确认。
  • 真正的“合同”或“协议”应该是双方之间的思想交流,而不是一方单方面规定的条款。
  • 如果提供真正的谈判权力和选择给客户负担过重,那么公司可能不应该将“协议”作为购买/使用产品的条件。
  • 现状是,只要点击通过不立即伤害消费者,它们就是有效的。
  • 需要一个由希望获得保护的人组成并资助的消费者保护联盟,以支付律师费用,不断提起诉讼。
  • 担心汽车变成移动的单元格,导致人们过于急于不发布成品。

Meta Leaks Part 1: Israel and Meta #

https://archive.org/details/meta_leaks_part_1

国际腐败观察(ICW)是一个由独立记者组成的新组织,旨在揭露全球政府和大型科技公司的大规模腐败。在技术日益影响公共政策和舆论的时代,ICW 认为技术被滥用于腐败目的已成为最紧迫的问题之一。ICW 通过社交媒体平台 BlueSky 发布信息,并接受有关科技或政府腐败的线索。

Meta Leaks 系列旨在揭露 Meta 内部的腐败,所有信息和指控均由 Meta 员工提供。泄露的动机是要求 Meta 停止与以色列政府及其在加沙的种族灭绝行为的合作,否则将有更多的泄露发生。每项泄露都将揭示不同的腐败方面,包括审查制度、人工智能和金融犯罪。

文章详细描述了以色列如何滥用 Meta 的内容执行系统,该系统基于大量提交的删除请求训练,然后能够筛选数十亿帖子并审查数百万用户,基于删除请求中链接的内容。泄露的内容之前已由第三方组织 Drop Site News 分享,这是该故事的完整版本。从 Drop Site News 的初始发布到现在,Meta 没有采取任何措施来减轻其审查系统的利用。

HN 热度 371 points | 评论 158 comments | 作者:icw_nru | 9 hours ago #

https://news.ycombinator.com/item?id=44864419

  • ICW 是一个旨在揭露政府和技术相关腐败的组织,专注于高质量的调查工作,目前没有网站且没有资金支持。
  • ICW 通过实验和深入分析来完成调查,与 Drop Site News 和 BBC 有合作。
  • 有用户认为关于加沙地带的帖子遭到了有组织的攻击。
  • 有人对 Meta 公司一再表现出的无道德底线和缺乏道德指南的行为表示不惊讶,但对其用户对此知之甚少和反应冷淡感到惊讶。
  • 有用户提出不应发布关于 astroturfing、shilling、brigading、外国代理人等的暗示,因为这会降低讨论质量。
  • 有用户询问关于帖子周围活动的透明度,包括版主的努力。
  • 有用户表示,如果帖子因为用户担保而没有被标记和锁定,那么社区应该对这种活动感兴趣。
  • 有用户对那些在讨论种族灭绝时只关注文章错别字的人表示不满,认为这种人一开始就有了结论。
  • 有用户认为,即使评论很长,但如果不受欢迎,也不应过多推断出 HN 上的外国影响力。

1910: The year the modern world lost its mind #

https://www.derekthompson.org/p/1910-the-year-the-modern-world-lost

1910 年被认为是现代世界失去理智的一年。在 20 世纪初,科技的飞速发展(如汽车、飞机和自行车)带来了速度和技术创新,同时也引发了大规模的焦虑和对世界历史轴心被永久改变的普遍感觉。这一时期与我们今天面临的挑战有着相似之处,我们可以从中学到很多。

在 19 世纪末到 20 世纪初的 30 至 40 年间,世界经历了巨大的变化。如果你在 1875 年的纽约市入睡,然后在 1905 年醒来,你会发现城市已经变得面目全非。电灯、可口可乐、篮球、阿司匹林、汽车和运动鞋都不存在。曼哈顿最高的建筑是一座教堂。而当你在 1905 年醒来时,城市已经被钢铁骨架建筑“摩天大楼”所重塑,街道上充满了新奇事物:由新型内燃机驱动的汽车、穿着橡胶底鞋骑自行车的人们——这些都是最近的发明。西尔斯目录、纸板箱和阿司匹林都是新出现的事物。人们第一次品尝了可口可乐,第一次尝到了我们现在称之为美国汉堡的东西。莱特兄弟驾驶了第一架飞机。当你入睡时,没有人用柯达相机拍照,没有人使用制作电影的机器,也没有人购买播放录制音乐的设备。到了 1905 年,我们有了所有三者的首批商业版本——简单的盒子相机、电影放映机和留声机。

《眩晕年代:欧洲 1900-1914》是菲利普·布洛姆所著的一本关于这一时期的历史书籍,它对作者产生了深远的影响。书中描述了世纪之交的技术如何改变了人们对艺术和人性的思考,以及它如何导致了西方的神经衰弱。由于现代时代的快节奏,欧洲人和美国人遭受了创纪录的焦虑率,并感到我们的发明破坏了我们的人性。同时,一些艺术家将这种迷失方向的感觉转化为一些最伟大的艺术作品。

在 1910 年,人们感到世界移动得太快了。交通技术在 19 世纪 80 年代到 1910 年的短短几十年间重塑了西方世界。19 世纪 90 年代,美国掀起了“自行车狂热”。莱特兄弟在 1903 年起飞。福特的第一辆 T 型车在 1908 年从生产线上滚下。在欧洲,汽车迅速改变了物理环境。法国的汽车数量从 1900 年的大约 3000 辆增加到 1914 年的 100000 辆。那一年,福特在底特律的工厂生产并销售了超过 300000 辆 T 型车。速度是一种身体体验,布洛姆写道,早期 1900 年代的文化评论家确信,人们以如此快的速度穿越空间是不自然的——尤其是女性。骑自行车的女性令人恐惧。她象征着一种高速度的自由,这种自由常常与道德和性偏差联系在一起。医生警告说,“轮子病”是由“自行车的几乎普遍使用”引起的,如果年轻人无节制地骑行,“严重的邪恶”可能会降临到他们身上。

技术变革创造了精神痛苦的激增,被称为“美国神经紧张”。“日常生活、新闻、工作和娱乐的速度越来越快,这是艺术家和工业家的迷恋,”布洛姆写道。“以前从未有过如此多的社会变化发生得如此之快。”随着日常生活的加速,西方的人们开始崩溃。在世纪之交,一种最初在美国被诊断出的神经紊乱逐渐传遍了大西洋。医生乔治·米勒·比尔德称之为“神经衰弱”或神经衰竭。欧洲人有时称之为“美国神经紧张”。根据比尔德的说法,这种病症在“文明国家的室内阶层”中最常见,患者可以在“几乎所有的脑力劳动家庭”中找到。正如布洛姆所指出的,那些受影响的人往往是在“技术前沿”工作的白领工人,如“电话接线员、新型快速机器的排版工人、铁路工人、工程师或操作快速机器的工厂工人。1893 年一项针对神经衰弱的医院调查发现,在近 600 个病例中,“有近 200 名商人、130 名公务员、68 名教师、56 名学生和 11 名农民”。值得注意的是,诊所中没有计算手动工人。神经衰弱似乎不成比例地影响了那些在技术前沿工作的人。

HN 热度 344 points | 评论 307 comments | 作者:purgator | 1 day ago #

https://news.ycombinator.com/item?id=44858154

  • 人们忽略了当时城市恶劣的生活条件,而过度强调心理因素。
  • 城市交通噪音、污染严重,影响健康和免疫力。
  • 许多人从安静的地方迁移到城市,对有害环境没有认识。
  • 现代主义得到支持,部分原因是城市环境恶劣。
  • 城市化导致社交网络薄弱,人们孤独且经济紧张。
  • 历史上可卡因广泛使用,可能加剧了社会焦虑。
  • 直到 1903 年可口可乐才去除可卡因成分,之前普遍滥用。
  • 可卡因在当时美国几乎随处可见,被用于各种饮料和药品中。
  • 可卡因使用和出口量的历史数据可能存在偏差。
  • 7up 曾经含有锂成分。
  • 第一次世界大战的爆发可能与当时的人们滥用可卡因有关。
  • 欧洲列强之间的军备竞赛和联盟条约是导致一战爆发的原因之一。

OpenSSH Post-Quantum Cryptography #

https://www.openssh.com/pq.html

OpenSSH 支持多种密码学密钥协商算法,这些算法被认为能抵御量子计算机的攻击。自 2022 年发布 9.0 版本起,默认提供后量子密钥协商(KexAlgorithms),最初使用的是 sntrup761x25519-sha512 算法。在 9.9 版本中,新增了 mlkem768x25519-sha256 算法,并在 10.0 版本中将其设为默认方案。为了鼓励迁移到这些更强大的算法,OpenSSH 10.1 将在选择非后量子密钥协商方案时警告用户,这些警告默认显示,但可通过 ssh_config(5)中的 WarnWeakCrypto 选项禁用。

量子计算机(QC)是一种能够以量子态编码信息进行计算的设备,它们能够快速解决现有“经典”计算机难以解决的特定问题。许多密码算法的数学基础是量子计算机被认为能够有效解决的问题之一,这意味着足够强大的量子计算机能够破解它们。受影响最大的是用于密钥协商和数字签名的密码学,这两者在 SSH 中都扮演着重要角色。

尽管目前还没有发明出足够强大的量子计算机来破解密码学,但根据该领域进展的速度,预计从 5 到 20 年不等,许多人预计它们将在 2030 年代中期出现。SSH 连接的全部隐私都依赖于密码学密钥协商,如果攻击者能够破解密钥协商,他们就能够解密并查看整个会话。这种攻击被称为“现在存储,以后解密”攻击。

OpenSSH 支持后量子密码学,以保护用户流量免受这种攻击。如果你收到了 ssh 的警告,意味着你连接的服务器没有提供至少一种正在为 SSH 协议标准化的后量子密钥协商算法:mlkem768x25519-sha256 和 sntrup761x25519-sha512。理想解决方案是更新服务器以使用支持至少一种这些算法的 SSH 实现。如果你无法更新服务器,或者你愿意接受继续使用量子不安全密码学的风险,可以通过 ssh_config(5)中的 WarnWeakCrypto 选项禁用警告。

尽管量子计算机尚未存在,但由于“现在存储,以后解密”攻击,今天发送的流量存在被解密的风险,除非使用后量子密钥协商。大多数当前使用的签名算法(包括 RSA 和 ECDSA)可以被量子计算机破解。然而,在这种情况下,现有流量没有风险(即没有类似的“现在存储,以后解密”)。签名算法的唯一紧迫性是确保所有经典签名密钥在密码学相关计算机成为现实之前退役。OpenSSH 将在未来添加对后量子签名算法的支持。

虽然后量子算法是新的,但 OpenSSH 选择的后量子算法具有很好的安全边际,这意味着即使它们比预期的要弱,它们仍然可能足够强大,被认为是适合的。此外,OpenSSH 实现的所有后量子算法都是“混合”算法,它们将后量子算法与经典算法结合起来。例如,mlkem768x25519-sha256 结合了 ML-KEM(后量子密钥协商方案)和 ECDH/x25519(以前是 OpenSSH 的首选默认经典密钥协商算法)。这确保了组合的混合算法至少和以前最好的经典算法一样强,即使后量子算法被未来的密码分析完全破解。

HN 热度 332 points | 评论 87 comments | 作者:throw0101d | 12 hours ago #

https://news.ycombinator.com/item?id=44863242

  • 后量子算法与经典算法结合的混合方案可以确保安全性不会低于经典算法。
  • 混合方案提高了对算法缺陷的安全性,但也增加了实现错误和侧信道攻击的风险。
  • 量子计算机尚未规模化,但混合方案在当前安全研究和形式验证的进展下是合理的。
  • 混合方案不太可能因为实现错误而泄露密钥,除非错误足够严重。
  • 混合密钥协议不涉及双重加密,而是通过独立的秘密生成和混合来增强安全性。
  • 政府和军事标准有时要求多层加密,但添加新的“外层”不会削弱加密。
  • 后量子算法可能揭示底层算法的结构信息,从而影响安全性。
  • 后量子密码学需要考虑长期安全性,RSA 等算法可能逐渐淘汰。
  • 混合方案可能在签名方面存在更多问题。
  • 量子计算的发展速度不确定,依赖其作为安全赌注是不明智的。
  • 行业普遍采用混合后量子密码学和经典密码学的方法,直到量子计算机真正威胁到 RSA、ECC 和 DH 等算法。
  • CNSA 2.0 算法完全基于后量子密码学,NSA 认为混合构造不必要。
  • 后量子密码学的密钥材料比非量子算法大得多,导致网络流量和 CPU 时间的巨大开销。

Hacker News 精彩评论及翻译 #

Wikipedia loses challenge against Online Safety Ac… #

https://news.ycombinator.com/item?id=44863835

Wikimedia should block UK access. That will get the attention of media and popularity contest politicians might change their mind.

Remember the “Repeal the Online Safety Act” petition? It has gotten over half a million signatures and the response from the government was a loud “no”.

The Government has no plans to repeal the Online Safety Act, and is working closely with Ofcom to implement the Act as quickly and effectively as possible to enable UK users to benefit from its protections.

https://petition.parliament.uk/petitions/722903

nickslaughter02

维基媒体应该阻止英国的访问。这样能引起媒体的关注,追求民望的政客可能会改变主意。

还记得“废除《在线安全法案》”的请愿吗?它已获得超过50万个签名,而政府的回应是一声响亮的“不”。

政府无意废除《在线安全法案》,并正与Ofcom密切合作,尽快且有效地落实此法案,以便让英国用户能从中受益。

Show HN: The current sky at your approximate locat… #

https://news.ycombinator.com/item?id=44846565

Awesome. I remember much earlier in my career I was working on a 3D turn-by-turn navigation software, and one of my tasks was to draw the sky in the background. The more senior guy on the team said, just draw a blue rectangle during the day and a dark gray one at night and call it job done. Of course, I had to do it the hard way, so I looked up the relevant literature on sky rendering based on the environment, latitude, longitude, time of day and so on, which at the time was Preetham[1] (“A Practical Analytic Model for Daylight”), and built a fully realistic sky model for the software. I even added prominent stars based on a hard-coded ephemeris table. It was quite fast, too.

Well, the higher ups of course hated it, they were confused as to why the horizon would get hazy, yellowish, and so on. “Our competitors' skies are blue!” They didn’t like “Use your eyes and look outside” as an answer.

Eventually, I was told to scrap it and just draw a blue rectangle :(

All that to say, nice job on the site!

1: https://courses.cs.duke.edu/cps124/fall01/resources/p91-preetham.pdf

ryandrake

太棒了。我记得在我职业生涯的早期,我负责开发一个3D逐向导航软件,背景天空的绘制就是我的任务之一。团队里比我资深的工程师说,白天就画个蓝色矩形,晚上画个深灰色矩形,然后就算完工了。

当然,我偏要做得尽善尽美。于是,我查阅了根据环境、纬度、经度、时间等因素来渲染天空的相关文献,当时正是 Preetham[1] 提出的《A Practical Analytic Model for Daylight》,我便以此为据为软件构建了一个完全写实的天空模型。我甚至还根据硬编码的星历表加入了明亮的星星,渲染速度也相当快。

然而,高层领导们显然对此不满,他们十分不解,为何地平线会看起来朦胧、泛黄等等。“其他竞品的天空都是纯蓝色的!”对于“请用你们的眼睛看一看窗外”这个答案,他们并不买账。

最终,我被要求废掉这个方案,只画一个蓝色的矩形 :(

说这么多,主要是想夸一句:这个网站真棒!

1: https://courses.cs.duke.edu/cps124/fall01/resources/p91-preetham.pdf

Fight Chat Control #

https://news.ycombinator.com/item?id=44858081

Please also fight mandatory age verification with prison sentences. The European Parliament has already voted in favor of a law that mandates age verification for pornography with a one year prison sentence. It was included as a last minute amendment into this bill [1]. See “Amendment 186”. It has been completely missed by news organizations and even interest groups.

The full accepted article reads: “Disseminating pornographic content online without putting in place robust and effective age verification tools to effectively prevent children from accessing pornographic content online shall be punishable by a maximum term of imprisonment of at least 1 year.”

It’s not law yet, as the first reading is now sent back to the Council of the European Union, but I don’t think it’s very likely it will get a second reading.

[1] https://www.europarl.europa.eu/doceo/document/TA-10-2025-0116_EN.html

throwaway89201

同样,也要反对将强制年龄验证与入刑联系起来的做法。欧洲议会已经投票通过一项法律,要求对色情内容进行年龄验证,违者将面临一年监禁。该条款作为最后的修正案被加入该法案 [1]。详见“修正案186”。就连新闻机构和利益团体也完全没有注意到这件事。

完整的已通过条文内容如下:‘在网上传播色情内容,若无强大有效的年龄验证工具预防儿童访问,最高将被判处至少一年的有期徒刑。’

目前,该法案尚不是法律,因为它已在一读后被送回欧盟理事会,但我认为它不太可能进行二读。

[1] https://www.europarl.europa.eu/doceo/document/TA-10-2025-0116_EN.html

GPT-5: Overdue, overhyped and underwhelming. And t… #

https://news.ycombinator.com/item?id=44851706

This is a genre of article I find particularly annoying. Instead of writing an essay on why he personally thinks GPT-5 is bad based on his own analysis, the author just gathers up a bunch of social media reactions and tells us about them, characterizing every criticism as “devastating” or a “slam”, and then hopes that the combined weight of these overtorqued summaries will convince us to see things his way.

It’s both too slanted to be journalism, but not original enough to be analysis.

Uehreka

这类文章让我特别反感。作者本该基于自己的分析写篇文章,阐述他个人为什么认为GPT-5不好,但他并没有这么做。他只是搜集了一大堆社交媒体上的反应,然后讲给我们听,把每一条批评都说成是“毁灭性的”或“重磅抨击”,然后指望这些过度渲染的总结加起来的分量能说服我们认同他的观点。

这篇文章既因为过于偏颇而称不上是新闻,又因为缺乏原创性而称不上是分析。

36B solar mass black hole at centre of the Cosmic … #

https://news.ycombinator.com/item?id=44865256

With good quantization, I bet we can get it down to 8B and it will easily fit on consumer grade galaxy.

(Sorry, I had to, with all the AI flood, I really was about to skip this info after the first 3 characters)

msk-lywenn

只要有不错的量化,我打赌就能把它压缩到8B,然后就能轻松放进消费级的Galaxy手机里了。 (实在抱歉,我忍不住,现在AI的东西实在太多了,我本来看到头三个字就想跳过去了。)