2025 09 11 HackerNews

2025-09-11 Hacker News Top Stories #

  1. 苹果推出超薄设计的iPhone Air,配备钛金属框架、Ceramic Shield保护和高性能芯片,提供出色的耐用性和续航表现。
  2. 作者通过内存修改将《动物森友会》与云端AI对话系统结合,实现了游戏与外部AI的实时交互。
  3. 一位家长对博物馆过度依赖数字化展览表示失望,呼吁提供更多真实体验的互动展览。
  4. 西班牙蓬特韦德拉通过限制车辆通行,成功减少交通拥堵和空气污染,提升了行人友好型城市环境。
  5. Modos公司推出刷新率达75赫兹的电子纸显示屏,挑战LCD屏幕的显示领域,适用于开发者和爱好者。
  6. 苹果推出内存完整性强制技术,结合硬件和软件提升设备内存安全性,防止恶意软件攻击。
  7. 新型免疫疗法药物2141-V11在临床试验中显示显著疗效,部分患者肿瘤缩小或消失,为癌症治疗带来希望。
  8. Supabase将OrioleDB专利免费提供给Postgres社区,提升Postgres的性能和可扩展性,计划整合至Postgres源代码树。
  9. 网络安全在保护个人和企业数据方面至关重要,需通过多层防御措施降低恶意攻击风险。
  10. 文章批评“你不需要记住任何东西”这一观念,强调扎实的基础知识和批判性思维在信息时代的重要性。

iPhone Air #

https://www.apple.com/newsroom/2025/09/introducing-iphone-air-a-powerful-new-iphone-with-a-breakthrough-design/

苹果公司于 2025 年 9 月 9 日推出了全新的 iPhone Air,这是一款具有突破性设计的超薄 iPhone。iPhone Air 以其 5.6 毫米的厚度成为史上最薄的 iPhone,同时拥有轻巧的机身和 6.5 英寸的 Super Retina XDR 显示屏,支持高达 120Hz 的 ProMotion 技术。新款 iPhone 采用突破性的钛金属设计,既优雅又坚固,内部结构创新,使得设备能够提供最新的 iPhone 体验。

iPhone Air 的背面采用 Ceramic Shield 保护,前盖使用 Ceramic Shield 2,提供 3 倍于以往任何智能手机玻璃的抗刮擦性能。这是 Ceramic Shield 首次用于 iPhone 的背面,包括凸起部分,其抗裂性能是前代型号后玻璃的 4 倍。加之坚固的钛金属框架,iPhone Air 的耐用性超过了以往任何 iPhone。

iPhone Air 搭载了苹果设计的 A19 Pro、N1 和 C1X 芯片,成为史上最节能的 iPhone。结合重新设计的内部结构和软件优化,iPhone Air 拥有出色的全天候电池续航。48MP 的 Fusion 主摄像头提供了相当于四个镜头的卓越图像质量,而创新的 18MP Center Stage 前置摄像头则将自拍提升到新水平。

iPhone Air 提供四种精美的配色:太空黑、云白、浅金和天蓝。预购将于 9 月 12 日开始,9 月 19 日开始发售。苹果硬件工程高级副总裁 John Ternus 表示,iPhone Air 的设计和工程的巨大飞跃是通过苹果的创新实现的,尤其是苹果硅芯片。iPhone Air 作为 iPhone 家族的新成员,提供了用户喜爱的先进功能,如专业性能、多功能的 48MP Fusion 摄像头系统、创新的 Center Stage 前置摄像头和出色的全天候电池续航,所有这些都集成在一个突破性的设计中,让人感觉就像是握着未来。

HN 热度 869 points | 评论 1824 comments | 作者:excerionsforte | 1 day ago #

https://news.ycombinator.com/item?id=45186015

  • A19 Pro GPU 的 matmul 加速功能使得未来 Macs 非常适合运行本地大型语言模型(LLMs)
  • iPhone Air 超薄设计、Airpods 3 的 2 倍降噪和实时翻译、新手表的高血压检测以及 iPhone 17 Pro 的大胆橙色令人印象深刻
  • 许多人使用手机壳,因此手机颜色并不重要
  • 透明手机壳可以展示手机颜色
  • 许多人不会购买每一代新手机,颜色变化是新旧款的区分标志
  • 手机颜色对他们来说并不重要,因为他们总是使用手机壳
  • A19 支持 MTE,对喜欢安全或查找代码中 bug 的人来说是一个强大功能
  • MIE 是增强型 MTE 和一些软件分配器改进的组合
  • Pixel 8 在 2023 年已经推出,与 Graphene 中的 hardened_malloc 和 ASLR 相比,难以确定哪个更好
  • 手表 10 和 11 系列都声称可以检测高血压,但实际测量和报告结果有所不同

I replaced Animal Crossing’s dialogue with a live LLM by hacking GameCube memory #

https://joshfonseca.com/blogs/animal-crossing-llm

这篇文章讲述了作者如何将《动物森友会》这款 2001 年的 GameCube 游戏与现代的云端 AI 对话系统相结合,让游戏中的对话变得更加生动和现代化。作者首先遇到了与游戏通信的难题,因为 GameCube 没有互联网连接,且设计为离线游戏。幸运的是,他发现了一个由《动物森友会》反编译社区完成的巨大努力,这使得他能够直接阅读 C 代码而不是 PowerPC 汇编语言。

作者通过研究反编译的代码,找到了对话系统的核心文件 m_message.c,并成功地劫持了函数调用,将游戏中的文本替换为自己的字符串。但是,如何实时地将外部 AI 的数据导入游戏成为了新的挑战。作者最初考虑添加网络调用,但这需要为 GameCube 从头开始编写整个网络栈,这显然是不可行的。后来,他尝试使用 Dolphin 模拟器的特性将数据写入主机文件,但未能成功。

最终,作者采用了一种经典的游戏修改技术:通过共享内存进行进程间通信(IPC)。他将 GameCube 的 RAM 中的特定部分作为“邮箱”,外部的 Python 脚本可以直接写入该内存地址,游戏可以从中读取数据。为了实现这一点,作者需要找到活跃对话文本和当前说话者名称的确切稳定内存地址,这需要他成为一个“内存考古学家”。

作者编写了自己的内存扫描器 Python 脚本,通过与村民对话、冻结模拟器、扫描 RAM、交叉引用等步骤,最终确定了关键地址:0x8129A3EA 用于说话者名称,0x81298360 用于对话缓冲区。这样,他就可以可靠地读取谁在说话,并且更重要的是,将数据写回到对话框中。

尽管 GameCube 有官方的宽带适配器(BBA),但《动物森友会》没有网络原语、套接字或任何游戏层协议来使用它。使用 BBA 将需要构建一个小型网络栈并修改游戏以调用它,这涉及到在代码库中从未预期网络存在的复杂操作。

作者选择了 RAM 邮箱方案,因为它是确定性的,不需要任何内核/驱动工作,并且完全在模拟器边界内,不需要二进制网络栈。尽管如此,BBA shim 也是完全可能的,并且是一个有趣的未来项目,可以通过 Swiss + 自制软件在真实硬件上实现。

最后,作者面临了一个新的挑战:游戏不识别纯文本,而是使用自己的编码语言,充满了控制代码。这些控制代码控制着文本颜色、暂停、音效、角色情感,甚至是对话的结束。如果不发送控制代码,游戏就会永远等待一个永远不会到来的命令,这就是游戏冻结的原因。幸运的是,反编译社区已经记录了这些代码的大部分,作者只需要构建工具来使用它们。他编写了 Python 中的编码器和解码器,解码器可以读取原始游戏内存并将其翻译成人类可读的格式,编码器可以将带有自定义标签的文本转换回游戏所需的确切字节序列。

HN 热度 803 points | 评论 175 comments | 作者:vuciv | 20 hours ago #

https://news.ycombinator.com/item?id=45192655

  • 通过 LLM 和强大的工具,即使不懂逆向工程也能进行游戏黑客攻击
  • 游戏机的网络功能通过外设实现,尽管使用不多
  • LLM 能够回答问题,并且代码输入后能被 LLM 处理
  • 通过输入大数字测试计算器的能力
  • 利用自然对数和欧拉公式进行数学游戏
  • LLM 的工作方式存在误解
  • 村民想要推翻 Tom Nook,因为他通过债务控制整个村庄
  • Tom Nook 的贷款没有利息,也不会被取消抵押品赎回权
  • Tom Nook 不需要首付,但也无法拒绝他的贷款
  • 与 Tom Nook 的贷款相比,现实生活中在夏威夷捕鱼和捉甲虫不会赚钱
  • 通过修改游戏代码可以在 Switch 模拟器上实现类似的功能
  • 需要对 Switch 的 Animal Crossing 游戏代码进行反编译
  • 通过 Cheat Engine 和 LayeredFS 可以在模拟器上修改游戏
  • 在美国,知识产权问题可能导致自我审查,担心被起诉
  • 写“emulator”和“emul*tor”的风险是一样的,自我审查并不能提供足够的保护
  • 通过星号隐藏关键词并不能有效避免法律风险,可能会给人虚假的安全感

I didn’t bring my son to a museum to look at screens #

https://sethpurcell.com/writing/screens-in-museums/

这篇文章是一位家长对费城富兰克林研究所(The Franklin Institute,简称 TFI)的访问体验的反思。作者回忆了自己在 80 年代作为孩子时对 TFI 的深刻印象,那里的互动展览让他充满了好奇和探索的乐趣。然而,当他带着六岁的儿子重访 TFI 时,却发现展览中充斥着屏幕和视频游戏,这让他感到失望。

文章指出,TFI 的一些展览如“设计你自己的火箭”等,只是触摸屏上的简单游戏,缺乏真正的互动和教育价值。尽管周围有一些与太空相关的文物和宇航服展示,但这些展品只能远观,不能触摸或操作。作者认为,博物馆应该提供真实的体验,让参观者用自己的感官去感受和学习,而不是通过屏幕。

文章还提到,TFI 的一些物理互动展览,如四层楼高的傅科摆和体育区展览,虽然被挤在不太显眼的地方,但仍然吸引了很多孩子。这些展览不需要阅读任何说明,就能让孩子们体验到科学的魅力。然而,作者发现一些物理展览因为维护不善而损坏或无法使用,这让他感到沮丧,因为他们为这次参观支付了近 90 美元。

作者批评博物馆将预算和空间用于屏幕展览,而不是真正的、有形的、互动的科学展览。他认为,博物馆应该抵制数字化垃圾的潮流,为孩子们提供远离屏幕、连接现实世界的机会。文章最后呼吁 TFI 和其他博物馆应该淘汰所有的触摸屏展览,将资源重新投入到能够激发孩子们好奇心和探索欲的实体互动展览中。

HN 热度 694 points | 评论 246 comments | 作者:arch_deluxe | 7 hours ago #

https://news.ycombinator.com/item?id=45199931

  • 博物馆资金有限,运营成本高,常依赖捐赠和补贴。
  • 策展人更注重展品的保护而非展示,且可能缺乏数字技术知识。
  • 博物馆需通过公开招标程序,导致结果不尽人意。
  • 有人偏好屏幕提供的信息,认为比传统展示方式更丰富。
  • 3D 打印复制品在某些展览中可能是个不错的选择。
  • 展品的保护是博物馆工作的关键部分,展品不仅为现在也为未来保存。
  • 科学博物馆与传统博物馆不同,保护的重要性较低。
  • 策展人倾向于根据自己的学术参考点制作展览和展示,与公众兴趣有限的交叉。
  • 博物馆的价值在于公众是否能看到展品,否则保存的意义何在。
  • 博物馆后台充满了无法负担保护和修复的物品,逐渐在无人能看到的情况下消失。
  • 有人主张将无法保存的物品卖给出价最高的人,以便至少有人能享受它,并用收益保护其他东西。
  • 有人认为,如果只能少数人体验,那么它就几乎不存在。
  • 有人认为,如果博物馆接受公共资金却将历史或自然锁起来,只供富人或精英享受,那么他们不愿意为此付费。

Pontevedra, Spain declares its entire urban area a “reduced traffic zone” #

https://www.greeneuropeanjournal.eu/made-for-people-not-cars-reclaiming-european-cities/

在欧洲,随着乘用车数量的增加,城市面临着空气污染、交通事故和公共空间丧失的挑战。西班牙的蓬特韦德拉市通过优先考虑居民而非汽车的城市规划,成功克服了这些挑战,超越了国家空气质量标准,创造了更安全的街道。该市市长米格尔·安索·费尔南德斯·洛雷斯认为,关键在于一个不完全禁止私家车的城市模型。

蓬特韦德拉市在 1999 年市长洛雷斯上任后,开始实施超越车辆管制的政策,目标是为民众恢复公共空间。洛雷斯认为,当我们重新夺回公共空间并确保普遍可及性时,人们就有了自主权。他所在的政党是加利西亚民族主义集团(Bloque Nacionalista Galego, BNG),目前在蓬特韦德拉市的长期执政在当地是一个例外。

2022 年 12 月,西班牙政府批准了一项皇家法令,要求所有超过 5 万居民的市镇必须有一个低排放区(LEZ)。为了改善公民的空气质量并减少碳排放,法令建议采取措施,如根据环保标签限制污染更严重的车辆进入,并引入交通限制区域收取入场费。

欧盟已经启动了多项倡议,鼓励城市变得更清洁、更健康。其中最引人注目的是绿色城市协议,邀请 2 万居民以上的城镇承诺在空气质量、水质、噪音减少、生物多样性保护以及向循环经济迈进等方面进行改善。气候中性和智能城市欧盟使命支持欧盟 100 个城市和与地平线欧洲计划相关的 12 个国家的城市,目标是开发一个试点项目,到 2030 年实现气候中立。这些城市测试的解决方案和模型可以作为榜样,帮助所有欧洲城市到 2050 年跟进,届时欧盟承诺实现净零温室气体排放。

尽管有自上而下和自下而上的倡议,欧洲大陆的汽车数量仍在增长:2024 年,欧盟的汽车数量超过了 2.59 亿辆,比 2019 年增长了 5.9%。汽车拥有率最高的国家是意大利(每千居民 701 辆),其次是卢森堡(670 辆)和芬兰(666 辆)。西班牙的比率是 544(尽管这是基于临时数据),低于欧盟平均的 576。

与此同时,在蓬特韦德拉,近年来汽车数量一直在减少。该市还引入了限制汽车流通目的和调整允许流通时间的法规。市长提到,他任内将行人优先于车辆的最佳例子之一是蓬特韦德拉一个主要广场的转变。普拉扎·德·埃斯帕尼亚广场现在是一个热闹的中心,任何夏日都有步行者和圣詹姆斯之路的朝圣者聚集。洛雷斯指出,1990 年代末,每天约有 26,000 辆汽车经过这个广场。令人惊讶的是,这些车辆中的许多只是试图到达城外的目的地,如 30 公里外的圣克森霍海滩,以及市长的出生地。但现在,整个城市都不允许过境交通和绕圈寻找停车位,洛雷斯表示,每天只有 800 辆汽车到达广场。他解释说,禁止过境交通并将其转移到环城路的决定,导致了 40% 的减少。

HN 热度 603 points | 评论 765 comments | 作者:robtherobber | 13 hours ago #

https://news.ycombinator.com/item?id=45195520

  • Pontevedra 将整个城市区域设为“低交通区”的做法令人惊叹,城市中充满了几乎只供步行的宽阔街道和无车公共空间。
  • 美国公共空间大多优先考虑汽车而非人,而像亚特兰大的 Beltline 这样的无车体验区域却非常受欢迎。
  • 公共交通在人们心中的地位会因为遭遇乞讨或暴力事件而大打折扣,需要一定的社会行为默契。
  • 公共交通的吸引力会因为频繁的不良行为而降低,如果暴力事件频发,人们会倾向于选择郊区生活。
  • 城市主义支持者痛恨在汽车中度过的时间,但如果犯罪率高和学校功能失调,他们会选择其他居住地。
  • 驾驶行为同样存在问题,比如司机在开车时使用手机,以及超速和危险驾驶等。
  • 人们对于步行友好的城市有巨大需求,即使存在乞讨者,人们仍然愿意使用公共交通和步行区域。
  • 纽约市犯罪率极低,学校也很棒,但并非所有人都有能力住在像切尔西或上西区这样的地方。

E-paper display reaches the realm of LCD screens #

https://spectrum.ieee.org/e-paper-display-modos

Modos 公司推出了一款刷新率高达 75 赫兹的电子纸显示屏,与基本的液晶显示屏相媲美。这款名为 Modos Paper Monitor 和 Dev Kit 的开发套件结合了标准的电子纸面板和开源的基于 FPGA 的显示控制器,现在正在 Crowd Supply 上进行众筹。该套件为爱好者和开发者提供了一个完整的包(包括电子纸显示屏、显示驱动器和硬件适配器),并且可以用于尝试不同的电子纸显示屏。

大多数电子纸面板的刷新率在 10 赫兹或更低,而 Modos 能够在 13 英寸的电子纸面板上达到 75 赫兹的刷新率,分辨率为 1600×1200。提高刷新率还减少了延迟,这对于需要低延迟的应用场景,如电脑或平板显示屏,是一个关键点。Modos 的 75 赫兹刷新率是电子纸显示屏中最高的,但可能不是最关键的创新。Modos 的秘密武器是 Caster,一个开源的电子纸显示屏控制器,兼容多种电子纸面板。Caster 与传统的电子纸控制器不同,它对每个像素进行单独管理,而不是整个面板。

Modos 还提供了一个用 C 语言编写的应用程序编程接口(API),允许应用程序动态选择显示驱动模式。代码和 Caster、Glider 以及 API 的原理图都是开源的,并可在 GitHub 上找到。Modos 的众筹活动预计将在 9 月 18 日结束,预计订单将在明年 1 月发货。

HN 热度 593 points | 评论 189 comments | 作者:rbanffy | 1 day ago #

https://news.ycombinator.com/item?id=45185756

  • Eink 屏幕在快速刷新时功耗较高,LCD 在高刷新率下更节能
  • Eink 屏幕在断电后能保持显示内容,适合不频繁更新的场景
  • 通过优化可以减少 Eink 屏幕的功耗,例如只更新屏幕的一部分
  • 定制的 FPGA 控制器可以有效地控制 Eink 屏幕的电压
  • Eink 屏幕在快速更新时功耗可能达到 20W 以上,但优化后可以降低
  • 项目提供了一个基础,可以用于开发具有可变刷新率的 Eink 控制器
  • Eink 屏幕适合阅读和文档编辑,不适合视频游戏或观看视频
  • Eink 屏幕是非自发光显示,与 LCD 相比在相同环境光照下对比度更高
  • 尽管 Eink 对比度不如普通 LCD,但在阅读时感知对比度更高
  • 部分用户愿意为高刷新率的 Eink 显示器支付额外成本,即使功耗高于普通 LCD 显示器

Memory Integrity Enforcement #

https://security.apple.com/blog/memory-integrity-enforcement/

苹果安全研究团队在其博客上宣布了一项名为“Memory Integrity Enforcement(MIE)”的重大创新,这是苹果设备内存安全保护的一项突破性进展。MIE 结合了苹果硅硬件的独特优势和先进的操作系统安全功能,为苹果设备提供了行业首创的、始终开启的内存安全保护,且不影响设备性能。

苹果表示,iPhone 从未遭受过成功的、大规模的恶意软件攻击,但在野外观察到的 iOS 系统级攻击主要来自雇佣间谍软件,这类软件比普通网络犯罪活动和消费者恶意软件要复杂得多,通常与国家行为者有关,利用成本高达数百万美元的漏洞链来攻击特定个体及其设备。尽管大多数用户永远不会成为此类攻击的目标,但这些漏洞链展示了当时最昂贵、最复杂、最先进的攻击能力,因此值得研究,以保护 iPhone 用户免受最复杂威胁的侵害。

苹果通过使用安全语言开发和大规模部署缓解措施来提高内存安全。例如,苹果创建了 Swift,这是一种易于使用、内存安全的编程语言,用于新代码和目标组件的重写。在 iOS 15 中,苹果引入了 kalloc_type,这是一个安全的内核内存分配器,随后在 iOS 17 中引入了用户级对应物 xzone malloc。这些安全的分配器利用对分配类型或目的的了解,以一种使大多数内存损坏漏洞难以利用的方式组织内存。

2018 年,苹果在 A12 Bionic 芯片中首次部署了指针认证码(PAC),以保护内存损坏情况下的代码流完整性。PAC 的成功证明了软硬件安全深度集成是解决一些最大安全挑战的关键。在 PAC 的基础上,苹果开始设计和评估工作,以找到将复杂的内存安全功能直接构建到苹果硅中最有效的方法。

2019 年,Arm 发布了内存标记扩展(MTE)规范,作为硬件帮助发现内存损坏错误的一种工具。MTE 本质上是一个内存标记和标记检查系统,每个内存分配都使用一个秘密进行标记;硬件保证只有在请求包含正确的秘密时才授予对内存的访问请求。如果秘密不匹配,应用程序崩溃,事件被记录。这允许开发者立即识别内存损坏错误。

苹果进行了深入的评估和研究,以确定 MTE 是否符合苹果对硬件辅助内存安全的目标。分析发现,当作为实时防御措施使用时,原始 Arm MTE 版本存在弱点,苹果与 Arm 合作解决了这些问题,并在 2022 年发布了新的增强型内存标记扩展(EMTE)规范。更重要的是,分析表明,尽管 EMTE 在规范上有很大的潜力,但通过深度的硬件和操作系统支持的严格实施,可以产生突破性的新安全机制。

MIE 建立在苹果安全内存分配器的基础上,结合了同步模式下的 EMTE,并得到了广泛的标签保密性执行策略的支持。MIE 内置于苹果硬件和软件中,所有型号的 iPhone 17 和 iPhone Air 都提供了无与伦比的、始终开启的内存安全保护,同时保持了用户期望的功率和性能。此外,苹果还在 Xcode 中向所有开发者提供了 EMTE,作为今年早些时候在 WWDC 上发布的新增强安全功能的一部分。

HN 热度 482 points | 评论 225 comments | 作者:circuit | 1 day ago #

https://news.ycombinator.com/item?id=45186265

  • Memory Integrity Enforcement(MIE)极大地减少了攻击者可利用的漏洞利用策略,即使存在大量内存损坏漏洞,MIE 也能在根本上切断许多漏洞利用步骤。
  • 一些雇佣间谍软件的经济性依赖于可互换的漏洞链,直接针对这一特性的对策是有趣的。
  • 苹果可能不会采用 CHERI(Capability Hardware Enhanced RISC-V)这样的全能力基础内存安全技术,而是通过 MIE 等技术实现类似的保护效果。
  • CHERI 需要在编译和链接层面进行大量工作,对微架构进行巨大改变,而 MIE/MTE 可以在运行时通过分配器实现,不需要完整的并行内存架构。
  • 苹果已经控制了整个 SoC,并且拥有 ARM 架构许可证,可以轻松地在硬件方面进行所需的更改。
  • MTE 和 CHERI 非常不同,可能很难甚至不可能同时实现两者,因为可能没有足够的备用位来同时支持两者。
  • 苹果可能会选择实施较不繁重的技术(如 MIE/MTE),同时计划在未来用更全面的解决方案(如 CHERI)替换它。
  • CHERI 是确定性的,理论上更优越,而 MTE 的内存保护是概率性的,攻击者需要猜测 16 个标签值中的一个。
  • CHERI 不需要第二总线,它依赖于存储在具有特定标签位的主存储器中的能力,而标签存储在单独的内存页面中。
  • CHERI 和 MTE 可以结合使用,但两者都是概率性的,而 CHERI 不需要猜测,你要么有权限,要么没有。

Immunotherapy drug clinical trial results: half of tumors shrink or disappear #

https://www.rockefeller.edu/news/38120-immunotherapy-drug-eliminates-aggressive-cancers-in-clinical-trial/

在过去 20 年中,一类名为 CD40 激动剂抗体的抗癌药物在动物模型中显示出激活免疫系统杀死癌细胞的潜力,但在临床试验中对患者影响有限,并引发严重的全身性炎症反应、血小板减少和肝毒性等不良反应。2018 年,洛克菲勒大学的 Jeffrey V. Ravetch 实验室展示了如何通过工程改造增强 CD40 激动剂抗体,以提高其效果并限制严重副作用。这项研究发表在《Cancer Cell》杂志上,涉及 12 名患者,其中 6 名患者肿瘤缩小,包括 2 名完全缓解的患者。

这种新药物 2141-V11 是一种 CD40 抗体,能够紧密结合人类 CD40 受体,并经过改造以增强其通过特定 Fc 受体的交联能力,其抗肿瘤免疫反应能力是普通抗体的 10 倍。研究者改变了给药方式,从传统的静脉注射改为直接注射到肿瘤中,结果只观察到轻微的毒性。

在这项 1 期临床试验中,12 名患者包括多种转移性癌症类型,如黑色素瘤、肾细胞癌和不同类型的乳腺癌。这些患者中没有人遭受其他 CD40 药物的严重副作用,其中 6 人经历了全身性肿瘤缩小,2 人完全缓解。这两位完全缓解的患者分别患有黑色素瘤和乳腺癌,这两种癌症都以侵袭性和复发性著称。

研究还发现,即使在未注射药物的肿瘤中也发现了三级淋巴结构(TLS),这与改善预后和对免疫疗法的反应有关。TLS 的存在表明一旦免疫系统识别出癌细胞,免疫细胞就会迁移到未注射的肿瘤部位。

这些发现激发了 Ravetch 实验室目前正在与纪念斯隆凯特琳癌症中心和杜克大学的研究人员合作进行的其他临床试验。这些试验目前处于 1 期或 2 期研究阶段,正在研究 2141-V11 对特定癌症的影响,包括膀胱癌、前列腺癌和胶质母细胞瘤,这些都是侵袭性和难以治疗的癌症。这些研究将有助于阐明为什么一些患者对 2141-V11 有反应,而其他人则没有,并探索如何改变这一现状。例如,临床试验中癌症消失的两名患者开始研究时 T 细胞克隆性高,这是关键的癌细胞杀手。

HN 热度 463 points | 评论 91 comments | 作者:marc__1 | 1 day ago #

https://news.ycombinator.com/item?id=45188945

  • 免疫疗法药物临床试验结果显示,一半的肿瘤缩小或消失,给癌症患者带来希望。
  • 有人因亲人因癌症去世而感到悲伤,但对免疫疗法的进步感到高兴。
  • 有人因免疫疗法的进展而感激,因为它减轻了患者的痛苦。
  • 有人分享了自己或家人因免疫疗法而延长生命的亲身经历。
  • 有人对免疫疗法可能带来的严重副作用表示担忧。
  • 有人对化疗带来的生活质量下降和最终可能的死亡结果表示担忧。
  • 有人提到干细胞移植的成功率正在稳步提高。
  • 有人对免疫疗法的持续改进和每年的进步表示乐观。
  • 有人对免疫疗法药物临床试验的直接链接进行了分享。

OrioleDB Patent: now freely available to the Postgres community #

https://supabase.com/blog/orioledb-patent-free

Supabase 公司宣布,他们已经完成了对 OrioleDB 的收购,并清理了法律结构和资产转移。现在他们完全拥有美国专利 10,325,030(“持久多版本 B+ 树”)。Supabase 明确表示,将根据 OrioleDB 许可证,向所有 OrioleDB 用户(包括专有分支)提供该美国专利的非独家许可。

OrioleDB 是 Postgres 的一个存储扩展,利用 PostgreSQL 的可插拔存储系统,旨在成为 PostgreSQL 现有存储引擎的替代品。它旨在利用现代硬件和云基础设施,为 Postgres 工作负载提供更好的性能和可扩展性。OrioleDB 的基准测试显示,其速度比 Heap 快约 5.5 倍(TPC-C,500 个仓库)。

Supabase 与 OrioleDB 团队合作,开发一个高性能的 Postgres 存储引擎,并以 Postgres 优先的心态推动技术的发展。OrioleDB 将继续作为一个开源项目,采用开放贡献模式。无论你是在生产中运行 Postgres,在其上构建工具,还是对存储引擎感兴趣,都欢迎你贡献问题、测试、文档和代码。

OrioleDB 的许可证基于 PostgreSQL 许可证。为了加强知识产权兼容性,Supabase 向所有 OrioleDB 用户(包括专有分支)提供美国专利的非独家许可,以符合 OrioleDB 许可证。该专利旨在作为保护开源免受敌对知识产权索赔的盾牌,而不是作为攻击的武器。

OrioleDB 的目标不是与 Postgres 竞争,而是使 Postgres 更好。他们相信 OrioleDB 的长期归宿应该是 Postgres 内部。他们的最终目标是上游必要的内容,以便 OrioleDB 最终可以成为 Postgres 源代码树的一部分,并与 Postgres 的其余部分一起公开开发和维护。

接下来的计划包括:继续合作,为存储引擎灵活性所需的补丁,目标是在标准 Postgres 上运行;针对生产工作负载的性能和稳定性,持续进行基准测试、修复和功能更新;以及提供更清晰的文档和指南,以便团队能够快速评估和采用 OrioleDB。

如何参与:分享基准测试、迁移笔记和生产反馈;加入 Postgres 邮件列表中关于可插拔存储和 Postgres 补丁工作的技术支持讨论;尝试 OrioleDB,提出问题或 PR。

HN 热度 351 points | 评论 116 comments | 作者:tosh | 11 hours ago #

https://news.ycombinator.com/item?id=45196173

  • OrioleDB 的专利 99.999% 的研究内容都是从之前的科学家那里窃取的。
  • 专利中的内容 99.99% 是已知的,关键在于披露了一些新内容,这些新内容是专利声明所涵盖的。
  • 专利描述必须足够详细,以便让一个普通技术人员能够复制所声称的发明。
  • 律师在撰写专利时可能并不完全理解技术细节。
  • 专利法律语言的模糊性比 AI 的模糊性要糟糕得多。
  • Supabase 并没有申请专利,而是以相当高的成本收购了它,并致力于使其免费可用。
  • 应该庆祝公司做出的积极行动,而不是假设公司的所有行动都是出于恶意。
  • 通过使专利免费可用,实际上是在“焚烧”专利,这有助于保护开源社区免受其他专利诉讼的影响。
  • 专利的当前措辞可能会阻止国家组织使用,因为即使是微小的诉讼(例如轻微的税务延迟)也可能导致许可证终止。
  • Supabase 的 CEO 表示将与法律团队重新审视,以使专利不可撤销,甚至在社区准备好承担维护成本时捐赠专利。
  • 专利现在采用 Apache 2.0 许可,授予专利权,并可在代码上游时重新授权给 PostgreSQL。
  • 需要确保所有贡献者同意代码可以在 Apache 2.0 和 PostgreSQL 许可下重新授权。
  • 应该提前做好法律工作,收集同意,以免在上游到 PostgreSQL 时因一些开源贡献者无法联系而导致失败。
  • 可以将代码放在“PostgreSQL 或 Apache-2.0 任你选择”的双许可下,这样所有贡献者都会在两种许可下向你提供他们的代码,而不需要稍后重新授权。
  • Facebook 放弃了 BSD+ 专利的专利,转而使用无专利负担的 MIT 许可。

ChatGPT Developer Mode: Full MCP client access #

https://platform.openai.com/docs/guides/developer-mode

在当今数字化时代,网络安全已成为全球关注的焦点。随着网络攻击的日益频繁和复杂,保护个人和企业数据安全变得至关重要。本文将探讨网络安全的重要性,分析当前面临的主要威胁,并提供一些实用的防护措施。

首先,网络安全的重要性不容忽视。网络攻击可能导致数据泄露、服务中断甚至经济损失。因此,无论是个人还是企业,都需要重视网络安全,采取有效措施保护自身利益。

其次,当前网络安全面临的主要威胁包括恶意软件、钓鱼攻击、DDoS 攻击等。这些攻击手段不断演变,给网络安全防护带来挑战。了解这些威胁的特点和危害,有助于我们采取针对性的防护措施。

最后,本文提供了一些实用的网络安全防护措施。包括使用强密码、定期更新软件、安装防火墙和杀毒软件等。同时,提高网络安全意识,警惕钓鱼邮件和可疑链接,也是预防网络攻击的有效手段。

总之,网络安全是我们每个人的责任。通过采取适当的防护措施,我们可以降低网络攻击的风险,保护自己的数据安全。让我们一起努力,共同构建一个安全、健康的网络环境。

HN 热度 338 points | 评论 169 comments | 作者:meetpateltech | 7 hours ago #

https://news.ycombinator.com/item?id=45199713

  • 很多人可能会在没有完全理解风险的情况下启用这个功能。
  • 很多人对提示注入攻击和它们构成的重大威胁缺乏充分理解。
  • 通过更好的提示来解决架构限制的想法是不切实际的。
  • 即使使用了 8000 个字符的提示,也无法完全避免幻觉问题。
  • 通过创建能够检测提示的神经网络来净化输入提示的文本。
  • 这种方法可能导致解决方案变得脆弱或引发猫鼠游戏。
  • 检测提示是一项艰巨的任务,尤其是考虑到网络和文档搜索的广泛性。
  • 需要多层防御和持续解决方案来实现良好的安全性。
  • 网络上检测讽刺或挖苦的可靠方法尚不存在。
  • 通过创建能够检测讽刺的神经网络来净化输入提示的文本。
  • 讽刺机器的实现可能即将成为现实。
  • 人们尝试实施这种方法是值得讨论的,尽管存在缺陷。
  • 提示注入攻击可以通过各种方式绕过防护措施。
  • 检测提示并不简单,尤其是当注入隐藏在日志文件中时。
  • 需要一种智能程度与目标 LLM 相当的 LLM 来检测这类提示,但这同样容易受到提示注入的影响。
  • 这是一个天才的解决方案。
  • 需要断开代码检测器。
  • 过滤每个 MCP 响应会增加延迟并带来误报的风险。
  • 人们可能误解“避免”这个词,导致他们选择性地解释并作为自己的辩解。
  • “避免”这个词可能会导致误解,因为它可能被解释为完全消除风险。
  • 提示注入攻击的负面提示类似于在图片生成过程中挥舞死鸡。
  • 使用 LLM 进行编码后生成一致的图像是一个令人大开眼界的过程。
  • 艺术家将使用基于节点的工作流程,自己绘制草图,然后使用草图作为渲染图像的基础,通过遮罩和手绘进行清理,缩短输出图像的时间。
  • 商业艺术家将在许多与艺术质量无关的方面进行竞争,如速度和数量。
  • 与质量相比,更易获得/更便宜的“足够好”可能更好。
  • 在文本生成领域,似乎没有类似于 comfyUI 的工具。
  • 我尝试了其他工具/SAAS,但没有看到明显的优势。
  • comfyUI 增加了节点基础的 UI,可以连续使用多个模型,包括添加草图和操纵提示的阶段。
  • comfyUI 与 Lovart AI、Freepik、Recraft 等其他工具相比如何?

We can’t circumvent the work needed to train our minds #

https://zettelkasten.de/posts/the-scam-called-you-dont-have-to-remember-anything/

这篇文章由 Sascha 于 2025 年 9 月 9 日发表,讨论了一种流行的观念,即“你不需要记住任何东西”,并指出这种观念其实是一种骗局。文章认为,搜索引擎、旧的笔记应用和人工智能等工具声称记忆的努力已经过时,但实际上,要有效地利用这些工具,人们需要具备扎实的基础教育和相关领域的先验知识。

文章引用了 Manfred Spitzer 的观点,强调了在网络中找到所需信息需要先验知识和基础教育。随着文化的发展,人们越来越倾向于直接上网搜索思考过程的结果,而不是参与学习,这导致我们越来越少地利用互联网的优势,因为我们的先验知识越来越少,我们失去了评估信息质量并将其转化为实际知识的能力。

Rowlands 等人提到所谓的“数字原住民”缺乏评估互联网上找到的信息的批判性和分析性思维技能。我们需要一个完全发展的心理地图,以便从互联网搜索结果中获得价值。简而言之,你需要一个经过训练的大脑才能真正从互联网中受益。

文章指出,这些工具所宣传的好处伴随着一个特定的隐藏成本:你的思考能力。数字原住民将自己置于一个情境中,评估信息的激励结构大大减少。他们使用表面层次的指标,如果信息符合请求,这种行为有一些明显的效果(事后看来):与材料的参与度降低,减少了整个行动线的情感权重。没有情感,你就不会思考,而是尝试高效地模仿思考。

文章通过一个例子来说明问题:作者让 ChatGPT 设计一个针对健康寿命和健身的最佳每周训练计划。ChatGPT 提供了一个详细的训练计划,但作者质疑,如果没有足够的背景知识,你怎么知道这个计划是否好呢?如果你不能立即自信地回答相关问题,那么你就缺乏足够的背景知识。

文章最后强调,在知识工作中,瓶颈不是信息的外部可用性,而是内部处理能力,这取决于你的先天能力和大脑的训练状态。因此,回到最初的起点,“你不需要记住任何东西”的说法是错误的。相反,你必须记住一切,只有这样你才能执行必要的认知任务,进行有意义的知识工作。你训练大脑的方式就是大脑能够执行的方式。简单的工具如间隔重复可以让你的大脑执行简单任务,而复杂的工具如 Zettelkasten 可以帮助你的大脑执行更复杂的任务。

HN 热度 312 points | 评论 146 comments | 作者:maksimur | 8 hours ago #

https://news.ycombinator.com/item?id=45198420

  • AI 可以帮助回答问题,但可能会取代本应由人完成的思考工作。
  • 使用 AI 自动化处理简单任务可以快速解决问题,但会使工作更加困难,因为需要连续处理难题。
  • 在竞争环境中,使用 AI 自动化处理难题的人可能会在质量和产出量上远超依赖 AI 提供答案的人。
  • 过度依赖 AI 可能会导致工作疲惫和效率低下。
  • AI 在系统设计中的帮助有限,特别是在处理未知和意外后果的问题上。
  • 一些常规工作有助于保持对领域的熟悉,可能在处理难题时产生顿悟。
  • 某些代码重构工作有助于熟悉代码库,为处理设计问题做准备。
  • 常规工作可以给潜意识提供时间来处理难题。
  • 人类大脑不适合连续不断地进行高强度思考,否则会导致疲劳、错误或不快乐。
  • LLMs 在自动化简单任务方面还不够好,且可能会引入偏见。
  • 编译器、类型检查器、自动化测试和版本控制等工具的理念是合理的。
  • 在架构、代码组织和算法层面使用 AI 进行规划,然后让代理执行完整实现。
  • 认为编写单元测试非常重要,不应完全交给初级开发人员或 LLM 生成。
  • 最好的公司通常垂直整合,以制造出最好的产品。