2025 09 17 HackerNews

2025-09-17 Hacker News Top Stories #

男子因假释违规入狱，拒绝解密Tor节点，FBI指控其使用虚拟机规避监控，试图访问暗网。

知名NPM包Tinycolor及其40多个关联包遭到Shai-Hulud恶意软件攻击，利用GitHub Actions建立持久化后门。

Linux手机的重要性日益凸显，呼吁加快其生态开发，以应对Android生态系统的恶化和封闭趋势。

React作为前端开发默认选择，通过网络效应主导市场，抑制了Svelte等新兴框架的创新发展。

苹果发布macOS Tahoe，带来全新设计和强大功能，但用户反映升级后问题频出，影响生产力。

作者对苹果2025年发布会提出批评，认为其设计和产品策略逐渐失去初心，缺乏可持续性和用户友好性。

软件定义无线电（SDR）可实现50种实践，包括接收广播、追踪飞机和业余无线电通信等多样化应用。

联合国调查认定以色列在加沙犯有种族灭绝罪，呼吁成员国采取行动，包括停止武器输送和实施制裁。

Waymo获得旧金山国际机场商业运营试点许可，计划扩展自动驾驶服务至多个城市，并推出青少年使用功能。

Man jailed for parole violations after refusing to decrypt his Tor node #

https://reddit.com/r/TOR/comments/1ni5drm/the_fbi_couldnt_get_my_husband_to_decrypt_his_tor/

这篇文章讨论了一个涉及 FBI、被告 Rockenhaus 以及他的计算机活动的案件。文章中提到，FBI 无法强迫 Rockenhaus 解密其 Tor 节点，因此他们向法官提出，Rockenhaus 使用他的图形驱动程序访问 “暗网”，并在审判前被监禁了三年。以下是内容的详细总结：

** 案件背景 **：被告 Rockenhaus 被指控在一台 Linux 或 Unix 服务器上进行未经授权的访问。FBI 在调查过程中发现他有使用虚拟机（VM）和相关软件（如 Spice）的能力。
** 虚拟机与监控 **：在法庭听证会上，有专家解释了 Spice 软件的功能。Spice 软件允许用户连接到远程虚拟机，并有能力绕过主机和网络监控。专家提到，如果一个人安装虚拟机，可能会故意试图规避监控。
** 下载时间与行为 **：专家证实，Rockenhaus 在凌晨时分尝试安装 Tor 和 Spice 软件，这与他在案件中的活动一致。尽管虚拟机有多种合法用途，但在此案例中，安装 Spice 软件的行为可能表明他试图避免监控。
** 最终结论 **：专家指出，如果 Rockenhaus 在下载了相关软件后没有进一步的活动，这可能意味着他成功地避开了监控。他的行为显示出他具备技术能力，且有意图进行某种隐蔽活动。

HN 热度 939 points | 评论 341 comments | 作者：heavyset_go | 11 hours ago #

https://news.ycombinator.com/item?id=45261163

该男子因多项假释违规行为被监禁，包括使用大麻、未按时支付赔偿金、未与假释官联系、开设新信贷账户以及使用未经批准的 iPhone，这些均属常规假释条款。
该男子曾因 2014 年滥用 VPN 访问前雇主系统并导致服务器崩溃，造成约 30 天停机和 50 万美元损失，最终通过认罪协议解决，相关指控被认定为事实。
认罪协议并不等于绝对承认罪行，有时是因诉讼成本过高或风险太大而被迫接受，不能仅凭认罪协议就断定其有罪。
该案件涉及严重违反《计算机欺诈与滥用法》（CFAA）的行为，其破坏性远超一般网络攻击，不应被轻视。
有观点指出，该案件与 Weev 因简单修改 GET 请求而被起诉的案件不同，本案涉及多次破坏公司基础设施、逃避网络监管及发现与儿童色情相关的搜索记录，情节严重。
政府在某些案件中会使用宽泛的法律条款，且不明确告知具体指控依据，使被告难以有效辩护，存在程序正义问题。
举例说明，一名海军水兵因拥有可组装为破坏性武器的零件被起诉，但检方未明确是依据零件组合还是组装后武器本身定罪，导致辩护困难。
法律程序中可申请“起诉书详细说明”以明确指控细节，但该案中未提出此请求，可能影响上诉成功几率。
上诉听证中法官对检方指控依据表示困惑，律师未能提供有力法律支持，表明案件在法律上存在明显缺陷。

Shai-Hulud malware attack: Tinycolor and over 40 NPM packages compromised #

https://www.stepsecurity.io/blog/ctrl-tinycolor-and-40-npm-packages-compromised

事件概述 2025 年 9 月，知名 NPM 包 @ctrl/tinycolor（每周下载量超 200 万）及其关联的 40 多个 NPM 包遭到供应链攻击，攻击者命名为“Shai-Hulud”。该攻击具备高度自动化与自我传播能力，利用恶意代码在安装时触发，通过 GitHub Actions 建立持久化后门，窃取云平台和开发环境凭证，对 NPM 生态构成重大威胁。

攻击机制 攻击核心为一个约 3.6MB 的混淆 JavaScript 捆绑包（bundle.js），通过被篡改的 postinstall 脚本在 npm install 时执行。攻击具备以下关键阶段：

系统侦察：检测运行环境为 Linux 或 macOS，跳过 Windows。收集系统信息（平台、架构）及完整 process.env 环境变量，捕获临时令牌如 GITHUB_TOKEN、AWS_ACCESS_KEY_ID 等。
多云凭证窃取：
- AWS：使用 @aws-sdk/client-secrets-manager 枚举所有区域的 Secrets Manager 中的密钥，通过 STS 验证权限，自动解密并提取敏感信息。
- GCP：调用 @google-cloud/secret-manager API，分页获取项目级密钥，对权限不足错误静默处理。
- 本地文件扫描：调用开源工具 TruffleHog 扫描文件系统，识别高熵密钥（如 AWS AKIA 开头的访问密钥）。
自我传播：通过 npm 维护者账户的 NPM_TOKEN，查询其名下所有包，强制发布补丁版本，将恶意代码注入下游依赖，形成连锁感染。
持久化与数据外泄：
- 在仓库中创建 .github/workflows/shai-hulud-workflow.yml 工作流，设置 push 事件触发，通过 ${{ toJSON(secrets) }} 收集并加密上传所有仓库密钥。
- 将窃取数据打包上传至新创建的公开仓库 Shai-Hulud，实现数据外泄。

技术特征与影响

攻击代码采用 Webpack 模块化打包，具备高隐蔽性与可扩展性。
依赖 child_process.exec 执行外部工具，利用 base64 编码注入脚本，规避检测。
攻击目标明确，仅针对 Linux/macOS 开发环境，排除 Windows 系统。
已确认受影响的 NPM 包超过 40 个，涵盖多个维护者账户，影响范围广泛。

应对建议

立即识别并移除所有受影响的包版本（已从 NPM 下架）。
清理受感染的代码仓库，检查并删除恶意 GitHub Actions 工作流。
所有相关账户的密钥、令牌（GitHub、AWS、GCP、Azure）必须立即轮换。
审计云资源访问日志，排查异常 API 调用与新创建仓库。
建议启用依赖项完整性校验、启用 CI/CD 安全扫描、限制 NPM 发布权限。

附加信息 StepSecurity 已举办社区答疑会，提供攻击分析与响应指南，相关视频可回看。建议开发者使用工具如 GitHub Actions Advisor、Harden-Runner 进行运行时行为监控。

HN 热度 770 points | 评论 602 comments | 作者：jamesberthoty | 12 hours ago #

https://news.ycombinator.com/item?id=45260741

面对 npm 生态中频繁的供应链攻击，普通开发者难以对所有依赖项进行彻底审计，因此需要寻找更实际的防护策略。
减少项目依赖数量，并优先选择知名且可信的维护者发布的包，是降低风险的有效方式。
依赖项的过度使用和重复造轮子现象严重，很多小包功能单一但质量不高，反而增加了安全风险。
对于功能重叠的库，如 Lodash，直接使用大型成熟库并依赖构建工具的 tree shaking 优化，可能比引入多个小型包更安全。
依赖项中包含大量未使用代码的情况普遍存在，例如 rich 和 requests 等包在 pip 中占用了大量空间，且未充分进行树摇优化。
依赖项的恶意代码可能通过隐蔽方式绕过 tree shaking 检测，因此仅依赖构建优化不足以保障安全。
为避免依赖污染，应只引入真正需要的功能，对可自行实现的简单功能尽量不依赖外部包。
在高安全要求的场景下，即使重写依赖也应被考虑，因为其潜在损失远超开发成本。
AI 技术的发展使得开发者可能在无意中“重写”已有功能，从而产生新的安全盲区。
采用“延迟更新”策略，即只升级发布超过一定时间（如 6 周）的依赖版本，可降低引入恶意代码的风险。
对于已知漏洞的紧急修复，即使其版本较新，也应优先更新以消除明确威胁。

Linux phones are more important now than ever #

https://feddit.org/post/18353777

文章讨论了当前 Android 生态系统的恶化，认为 Linux 手机的重要性比以往任何时候都更加突出。作者指出，Android 虽曾相对开放，但近年来出现了多项倒退：AOSP 开发逐渐封闭，三星、小米、一加等厂商已全面取消设备的解锁引导程序功能，Google 推动 Play Integrity API 和开发者验证机制，限制非官方应用安装，甚至将某些反广告工具标记为“危险”，这将极大影响开源开发者积极性。

作者认为，Android 已不再是开放平台，Google 在反垄断诉讼中未受实质性惩罚，正模仿苹果的封闭策略，导致竞争消失。因此，亟需一个开放的替代方案。他强调并非要求立即切换到 Linux 手机，而是呼吁加快 Linux 手机生态的开发。

评论区中多位用户表示支持，有人计划在现有手机退役后转向 Linux 手机，有人分享使用 SailfishOS、Droidian、PostmarketOS 等系统的经验。Droidian 被推荐为基于 Debian、利用 Halium 技术运行在 Android 硬件上的方案，性能良好，支持设备包括 ThinkPhone（Motorola bronco）和 Furilabs FLX1。也有用户提到当前 Linux 手机在音质、麦克风等硬件体验上仍有不足，但整体仍愿为自由和开放付出代价。

HN 热度 693 points | 评论 442 comments | 作者：wicket | 22 hours ago #

https://news.ycombinator.com/item?id=45256651

屏幕截图被应用禁止的功能令人沮丧，尤其在用户不知情的情况下截图失败，只得到一张空白图。
应用开发者声称此举是为了保护用户安全，但实际效果适得其反，反而限制了合法用户的正常使用。
禁止截图的真正目的是防止恶意软件或 AI 工具自动截取屏幕内容并上传，而非阻止用户手动截图。
屏幕截图被禁时，任务切换器中的窗口会变黑，这是判断截图是否被允许的可靠方法。
该机制类似于密码输入框的隐藏显示，是一种安全设计，但不应以牺牲用户控制权为代价。
真正的解决方案应是禁止应用通过程序调用截图，但允许用户通过物理按键手动截图。
用户应拥有程序化截图的权限，以应对特殊情况，但不应允许第三方应用随意调用。
该功能在实际中无法有效防范恶意行为，反而增加了用户困扰，属于安全“表演”。
银行等机构实施此类限制更多是出于合规要求，而非真实安全威胁，根源在于审计标准。
安全审计机构或咨询公司制定的强制性规则导致企业盲目遵循，即使这些规则缺乏实际依据。
Google 有能力区分物理按键截图与程序调用截图，但未采取更合理的默认策略，反映出对系统基础安全的忽视。
Google 作为硬件和系统生态的主导者，本应推动用户对设备的完全控制，但其行为更倾向于控制用户而非服务用户。
限制截图功能的初衷是降低银行因欺诈导致的法律责任，但这种做法将风险转嫁给用户，而非提升系统安全性。
用户通过正规渠道下载应用（如 Play Store）时，不应被默认限制截图功能，责任不应完全归于用户。
企业应承担更多责任，而非将安全问题归咎于用户“愚蠢”或“不谨慎”，这不利于真正安全体系的建立。

React is winning by default and slowing innovation #

https://www.lorenstew.art/blog/react-won-by-default/

本文探讨了 React 在前端开发中“默认选择”现象带来的负面影响，指出其已不再凭借技术优势取胜，而是因网络效应和惯性占据主导地位，从而抑制了前端领域的创新。

作者认为，当团队构建新项目时，往往不加思考地选择 React，而非根据实际需求评估最适合的工具。这种“React 优先”的思维模式形成自我强化的循环，使得真正具有技术突破的框架难以获得公平评估。

文中重点分析了 Svelte、Solid 和 Qwik 三大框架的创新优势：

Svelte 通过编译时优化，消除虚拟 DOM 和运行时开销，实现更小的包体积和更快的加载速度，典型案例如 The Guardian 和开发者 Shawn Wang 的项目，性能显著优于 React。
Solid 采用细粒度响应式编程，直接更新 DOM 节点，避免了 React 的虚拟 DOM 重渲染瓶颈，提升更新效率，代码更简洁。
Qwik 利用“可恢复性”（resumability）技术，实现应用的即时启动，无需传统 hydration，特别适合大型应用和弱网环境。

这些框架在性能、开发体验和资源效率上具备明显优势，但由于 React 的市场主导地位，它们的潜力被长期压抑，缺乏足够实践和传播。

文章还指出，React 自身存在技术局限：虚拟 DOM 带来冗余计算，Hooks 引入复杂性（如依赖数组、闭包问题），且其庞大的 API 增加认知负担。2025 年 Cloudflare 的服务中断事件，正是由一个错误的 useEffect 依赖数组引发，凸显了 React 模型的潜在风险。

最后，作者呼吁技术领导者打破“默认选择”的惯性，基于项目约束和实际需求做出理性决策。只有通过主动探索和评估替代方案，才能推动前端生态真正走向多元化与进步。

HN 热度 670 points | 评论 781 comments | 作者：dbushell | 1 day ago #

https://news.ycombinator.com/item?id=45252715

React 的成功源于其核心是 JavaScript 函数组合，组件即函数，控制流自然，而 Svelte 使用 XML 风格的语法，增加了学习成本。
JSX 并非真正的 JavaScript，而是类似 XML 的语法糖，其编译过程和运行时规则使其成为一种“混合语言”，与纯 JavaScript 有本质区别。
React 的语法看似 JavaScript，实则包含大量运行时规则，如不能在 if 语句中调用函数、必须显式声明依赖项，这些限制说明其并非纯粹的函数式编程。
Hooks 的行为具有“魔法”特性，打破了函数的引用透明性，其状态管理依赖于隐藏的运行时机制，而非普通函数调用。
尽管 Hooks 语法是标准的 JavaScript，但其背后的状态管理机制依赖于 React 运行时的特殊处理，具有非直观的语义。
Hooks 的本质是可组合的副作用，其设计灵感来自函数式编程中的效果（effects），在理论上可以实现为纯函数式结构。
React 声称是函数式编程，但实际仍依赖隐藏的全局状态，违背了函数式编程的纯函数原则，本质上是伪函数式。
函数式编程并不要求无副作用，OCaml 等语言虽有副作用仍被视为函数式，因此 React 的“函数式”标签并不成立。
与传统的类组件相比，React 的函数组件通过 Hooks 隐藏了状态管理，但实际仍依赖于类似“this”的隐式上下文，本质是面向对象的伪装。
React 的渲染过程需要通过“协调”机制匹配虚拟 DOM 树，依赖启发式算法，增加了复杂性和不可预测性。
尽管 Hooks 有其便利性，但其状态管理机制需要开发者定期检查是否意外重渲染，增加了维护成本。
JSX 的存在使得 React 成为一种新的语言，其语法和语义不完全符合 JavaScript 的规范，本质上是语言的扩展而非纯粹的语法糖。

macOS Tahoe #

https://www.apple.com/os/macos/

苹果最新操作系统 macOS Tahoe 带来全新设计与强大功能，主打“焕然一新，始终如一”的体验。界面采用“液态玻璃”（Liquid Glass）设计，实时反射与折射内容，提升视觉清晰度与动态活力，应用图标全面更新，支持亮色、暗色、彩色点缀及透明外观，菜单栏透明化，个性化控制更自由。

Spotlight 功能迎来史上最大升级，支持数百项无需离手键盘的操作，新增快捷键提升效率。智能快捷指令可自动执行任务，如摘要文本、生成图像，或调用 Apple Intelligence 模型辅助决策。

Apple Intelligence 深度整合至系统中，支持实时翻译（消息、FaceTime 字幕、电话语音），并可通过图像创作表达自我，如使用 Genmoji 和 Image Playground 创造基于亲友的专属图像。

Continuity 功能进一步强化：Mac 上新增 iPhone 的 Phone 应用，可一键拨打电话、查看通话记录、联系人与语音信箱；支持 iPhone 实时活动（Live Activities）在 Mac 菜单栏显示，点击即可通过 iPhone 镜像操作。

生产力方面，系统支持智能自动化，可按时间或特定行为（如保存文件至某文件夹）自动运行快捷指令。应用与文件访问更便捷，智能推荐贴合日常使用习惯。

新增功能包括：Journal 应用登陆 Mac，提供更舒适的写作体验；Photos 界面优化，支持自定义图库缩略图大小与固定常用图库；FaceTime 支持更多社交互动；Accessibility 新增 Magnifier、Accessibility Reader、Braille Access 及车辆运动提示，提升无障碍体验。

家庭功能方面，家长控制增强，涵盖通讯限制、安全防护与 App Store 管理。系统还支持 Hold Assist（通话等待时保持队列位置）与 Call Screening（未知来电识别），提升通信效率与安全性。

HN 热度 601 points | 评论 931 comments | 作者：Wingy | 1 day ago #

https://news.ycombinator.com/item?id=45252378

每次 macOS 升级都会带来旧 bug 未修复、新 bug 频出、旧功能被移除且难以替代、新增功能无用且难以关闭，导致生产力长期受损，因此作者通常要等到系统接近 3 年才升级。
从 2017 年起对 macOS 感到不满，2020 年转投 Linux，虽然初期配置耗时长，但一旦设置完成，系统稳定不变，无需应对频繁更新带来的干扰。
尽管 Linux 桌面环境在视觉和基础体验上仍像 20 年前，但 macOS 在开发体验、统一的 Cocoa 界面、底层系统能力（如 Mach/Darwin、dtrace、AppleScript、私有框架）方面仍具有显著优势。
Linux 的“开发者专制”导致技术演进常陷入无意义争论，如 systemd 与传统 init 系统之争，或 Wayland 替代 Xorg 的长期代价，但这些变革在长期来看是必要的。
Wayland 的出现是为了解决 X11 长期积累的技术债务，尽管过渡期痛苦，但其直接渲染架构带来了更低延迟、更好多屏支持和分数缩放等现代功能，是值得的。
尽管 Wayland 假设了现代 GPU 和 DRM 模型，可能在未来不适用，但其模块化设计允许通过扩展支持新功能，具备一定的前瞻性。
X11 的“设备无关性”反而导致性能瓶颈和复杂性，而 Wayland 的设计更贴合当前和未来显示技术的发展需求。

I feel Apple has lost its alignment with me and other long-time customers #

https://morrick.me/archives/10137

本文是作者 Riccardo Mori 对 Apple 2025 年 9 月 9 日发布会（Awe-dropping）的深度反思与批评，全文围绕苹果在设计、产品策略与用户体验上的转变展开。

作者坦言，自己对苹果的关注度正在下降，原因在于苹果越来越像其他大型科技公司，失去了其独特性与初心。尽管仍会因苹果的决策感到愤怒，但这种情绪更多源于对行业趋势的担忧，而非对苹果本身的关心。

发布会开场引用了史蒂夫·乔布斯的名言：“设计不仅是外观和感受，更在于它如何运作。” 作者认为这句引用极为突兀且不合时宜，尤其在“液态玻璃”（Liquid Glass）界面设计饱受诟病的背景下。他提出三种可能的解读：苹果在嘲讽批评者、自我欺骗地认为自己仍在践行乔布斯理念，或仅为营造正面形象的营销手段。无论哪种，都显得“失焦”且“不合时宜”。

在产品层面，作者对 AirPods 和 Apple Watch 表达了明显反感。AirPods 被视为浪费资源的品类，缺乏可更换电池设计，注定成为电子垃圾。Apple Watch 则被批评为功能臃肿、界面复杂，缺乏简洁性。作者特别反感每年重复播放“拯救生命”的感人故事，认为这是将真实悲剧工具化为营销手段，令人不适。

关于 iPhone，作者明确建议：不要购买新机。他引用 Anil Dash 的文章《How Tim Cook sold out Steve Jobs》来表达对蒂姆·库克领导下的苹果的失望，认为其已背离乔布斯精神。

尽管如此，作者仍简要分析了三款新 iPhone 的定位：

iPhone 17：保守迭代，适合普通用户，性价比最高。
iPhone 17 Pro：更像专业摄像设备，适合视频创作者，但价格高昂（西班牙起价超 1300 欧元），对普通用户不值。
iPhone Air：被作者和 Marques Brownlee 等科技博主一致认为是“最差选择”——在功能、性能、价格上均被其他机型超越，仅以 999 美元定价，难以说服消费者。

总结而言，作者认为苹果正逐渐失去其设计灵魂与用户信任，其产品策略愈发功利，而这种趋势可能影响整个科技行业。他不再为苹果发声，而是警惕其不良做法可能带来的广泛负面影响。

HN 热度 554 points | 评论 533 comments | 作者：mgrayson | 23 hours ago #

https://news.ycombinator.com/item?id=45256577

Apple 在推出 OS X 时主动与经典 Mac OS 用户断开连接，这是为了摆脱停滞不前的小众市场，实现更大规模的成功，而非被动流失用户。
当前 Apple 的策略更像是缓慢偏离用户，而非通过创新进行主动转型，这种趋势可能使公司退回到一个封闭且可能停滞的小众市场。
有观点认为 Apple 正转向迎合“追求顶级摄像头且愿意花钱”的用户群体，但这并非可持续的长期市场策略。
经典 Mac OS 虽然存在多任务处理和内存保护等技术缺陷，但其简单易用性对普通用户非常友好，而 OS X 和 iOS 在某种程度上重新回归了这种简单性。
经典 Mac OS 的简单性体现在用户可自由安装或卸载功能，但这种自由在现代系统中被限制，导致系统复杂性增加。
现代操作系统通过限制用户操作来“保护”用户，但这种做法本质上是将用户视为无法做出正确决策的群体，是一种过度干预。
系统不应以“保护”为名剥夺用户自主权，而应提供支持以帮助用户做出明智选择，而非充当“保姆”。
即使是为“奶奶”等非技术用户设计的保护机制，也不应成为牺牲所有用户自由的借口。
经典 Mac OS 虽然有技术局限，但其协作式多任务机制和用户友好的设计是当时的一大亮点。
“Think Different”精神的真正体现是突破传统，而非固守旧有系统，Apple 转向 NeXTSTEP 正是这一精神的延续。
从 1998 年左右开始，Mac 系统逐渐背离了其“哲学”内核，例如 Sherlock 索引功能频繁打断用户，体现了系统优先于用户需求的错误导向。

Things you can do with a Software Defined Radio (2024) #

https://blinry.org/50-things-with-sdr/

本文作者分享了使用软件定义无线电（SDR）在一周内探索电磁波谱的 50 个有趣实践，记录了一次充满发现与创造的科技冒险。

SDR 是一种依赖计算机进行信号处理的无线电设备，相比传统硬件，其功能由软件定义，可接收更广泛的频段。作者使用价格约 30 美元的 RTL-SDR Blog V4 USB 接收器和配套天线，结合开源软件（如 SDR++、SDRangel），完成了从基础到进阶的多种应用。

基础接收与探索：

听 FM 广播（87.5–108 MHz），发现本地社区电台。
接收德国 Freenet 业余频段（149.01–149.11 MHz）信号，听到测试呼叫和斯拉夫语广播。
获取机场自动终端信息（ATIS），实时了解汉堡机场气象数据（如气压 1011 hPa）。
接收道路交通信息（RDS 协议），解码出“0x64BE”代表下萨克森州某地道路封闭。

航空与飞行追踪：

通过 ADS-B 协议（1090 MHz）追踪飞机，自制 SMA 接头天线成功接收并解码信号，识别出多架飞机与直升机。
了解 FM 立体声广播原理：19 kHz 导频信号标识立体声，更高频段传输左右声道差值，实现向后兼容。

业余无线电与通信：

收听 2 米业余波段（144–146 MHz）的对话，发现一个中继站支持本地爱好者交流，话题涵盖天线、系统与旧版 Windows。
探索数字广播（174–240 MHz）技术，尝试解码数字信号。

进阶与特殊应用：

使用特定天线配置接收卫星信号和航空定位信号。
利用网络共享的远程 SDR 设备，无需购买硬件即可探索全球频谱。

作者强调“做 50 件小事”这一创作方法，激发创造力、突破舒适区。文章鼓励读者动手尝试，探索无处不在的电磁世界，感受科技带来的无限可能。

HN 热度 527 points | 评论 101 comments | 作者：mihau | 8 hours ago #

https://news.ycombinator.com/item?id=45262835

8 岁时收到对讲机作为圣诞礼物，意外发现能与另一端的人对话，几十年后对方竟成为自己的伴郎，故事温馨感人。
父亲是业余无线电爱好者，童年时曾用父亲的接收机发现对讲机频率，后来在圣诞节听到其他孩子用新对讲机互动。
有人回忆童年时用便携电视接收邻居无线电话通话，尽管后来数字广播转换导致无法再使用。
有人对已退役的 NOAA 气象卫星表示惋惜，指出其退役后将缓慢坠入大气层，预计约 150 年才完全烧毁。
卫星退役后通常不会主动坠落，而是被关闭并留在轨道上，直到自然衰减，部分卫星可能通过点燃保险丝防止意外重启。
有观点质疑卫星退役后是否可能被黑客重新激活，但实际中已有卫星“复活”的案例，因此技术上并非完全不可能。
SDR 技术可实现多种功能，包括接收俄罗斯气象卫星图像、数字短波广播、模拟电视信号、GPS 信号解码、隐藏音频广播等。
有人发现巴西非法用户利用上世纪 70 年代美国军用卫星的开放中继进行 UHF 广播，这种现象至今仍在发生。
有人设想利用 SDR 接收应急服务通信并实时转录，结合地理位置信息，构建区域事件监控系统。
有人提到可通过 SDR 实现被动雷达探测，利用 VOR 或 ATSC 信号反射探测附近飞行物的多普勒偏移。

Top UN legal investigators conclude Israel is guilty of genocide in Gaza #

https://www.middleeasteye.net/news/un-concludes-israel-guilty-genocide-gaza

联合国对巴以问题的最高级别调查机构于 2025 年 9 月 16 日发布报告，认定以色列在加沙地带犯有种族灭绝罪。这是联合国迄今最权威的法律认定。

报告指出，以色列在 2023 年 10 月 7 日至 2025 年 7 月 31 日期间，实施了《1948 年防止及惩治种族灭绝罪公约》所禁止的四项行为，且具备明确的灭绝意图：

大规模杀害巴勒斯坦人，包括针对平民、受保护人员及基础设施的直接攻击；
造成严重身体或精神伤害，包括酷刑、性暴力、强迫驱逐及恶劣监禁条件；
故意制造导致该群体毁灭的生活条件，如摧毁基础设施、切断食物、水、电力、燃料供应，实施饥饿战术；
阻止该群体的生育，包括摧毁加沙最大生育诊所，导致数千胚胎、精子和卵子样本被毁。

报告强调，以色列领导人如总统赫尔佐格、总理内塔尼亚胡和前国防部长加兰特的公开言论构成直接证据，表明其具有种族灭绝意图。此外，调查还发现六项行为模式支持这一结论：大规模杀戮、文化设施系统性摧毁、故意制造苦难、医疗系统崩溃、性暴力作为集体惩罚手段、以及针对儿童的暴力行为。

报告由联合国巴以问题独立调查委员会发布，主席纳维·皮莱指出，该报告是联合国迄今最具法律权威性的结论，将作为国际法院（ICJ）审理南非指控以色列种族灭绝案的重要依据。

报告呼吁所有联合国成员国立即采取行动，包括停止向以色列输送武器、对相关个人及企业实施制裁，并强调各国在发现种族灭绝风险时即有法律义务采取预防措施，无需等待司法裁决。

该报告将于 2025 年 10 月提交联合国大会。

HN 热度 513 points | 评论 308 comments | 作者：Qem | 14 hours ago #

https://news.ycombinator.com/item?id=45259553

联合国人权理事会的调查报告由埃塞俄比亚、刚果、苏丹和卡塔尔等国组成的委员会撰写，其公正性受到质疑。
一些人表示，加沙的视频证据已使他们成为单一议题选民，将加沙问题作为投票的核心考量。
有观点指出，过去支持民主党的人在选举中因对以色列政策不满而转向支持共和党，但如今他们意识到这种选择可能加剧加沙局势。
认为美国政治中对以色列的支持是结构性的，即使有批评声音，也难以改变现状，因为特朗普比拜登或哈里斯对加沙更不利。
有人认为哈马斯在 10 月 7 日的袭击是战略上的巨大失误，为以色列提供了全面军事行动的借口，使以色列真正采取了极端行动。
指出联合国在以色列问题上的立场缺乏公信力，其报告难以被广泛接受，尤其在美国内部。
美国民众对联合国的支持率虽略有回升，但对以色列是否构成种族灭绝的看法已普遍形成，且与支持联合国的倾向高度相关。
强调国际法院（ICJ）处理国家间争端，而国际刑事法院（ICC）才负责个人战争罪等指控，对国际法的误解影响了公众判断。
认为美国国会中大量议员访问以色列，显示其对以色列的强烈支持，这种行为可能被视作对以色列的“政治献金”。
指出美国对以色列的军事援助和安理会否决权是维持当前局势的关键，若美国停止支持，冲突可能迅速结束。
年轻一代美国人对以色列的支持度较低，越来越多的年轻选民将支持以色列视为政治红线，但年长选民和政客仍持强硬立场。
有观点认为，美国政治中对以色列的无条件支持是代际差异的体现，年轻选民更倾向于批判性看待以色列政策。

Waymo has received our pilot permit allowing for commercial operations at SFO #

https://waymo.com/blog/#short-all-systems-go-at-sfo-waymo-has-received-our-pilot-permit

Waymo 正在加速其自动驾驶服务的商业化扩展，计划于 2026 年进入达拉斯，服务更多美国城市及全球地区。目前，Waymo 已在凤凰城、圣何塞和旧金山国际机场开展运营，并获得在旧金山国际机场（SFO）进行商业运营的试点许可，初期将在机场的“亲吻与告别”区域提供接驳服务，未来将拓展至更多位置。

在圣何塞，Waymo 获得授权在圣何塞米纳塔国际机场（SJC）航站楼内提供完全自动驾驶服务，将成为加州首个实现该服务的机场，紧随凤凰城之后。该服务预计今年内启动测试并逐步推向公众。

Waymo 也正式进入西雅图大都会区，将为华盛顿州提供自动驾驶出行服务。团队已多年积累当地雨天和复杂路况经验，致力于为居民提供安全、可靠、可持续的出行选择，尤其关注残障人士和癫痫患者等群体的出行独立性。

在丹佛，Waymo 将于今年秋季启动部署，使用配备第六代 Waymo Driver 的 Zeekr RT 车辆和第五代系统 Jaguar I-PACE，专为严寒气候设计，具备在冬季恶劣天气下稳定运行的能力。公司正与当地政府紧密合作，推动服务落地。

此外，Waymo 推出“青少年账户”功能，允许 14 至 17 岁青少年在家长或监护人账户绑定下独立使用服务，为亚利桑那州凤凰城的家庭提供安全出行新选择。

用户现在还可提前预约 Waymo 乘车时间，系统将自动完成调度，提升出行便利性。Waymo 持续推动自动驾驶技术在机场、城市和社区中的深度融合，致力于打造更安全、高效、包容的未来出行方式。

HN 热度 503 points | 评论 480 comments | 作者：ChrisArchitect | 6 hours ago #

https://news.ycombinator.com/item?id=45264562

Alphabet 公司股价被低估，Waymo 等业务价值未被充分反映，而特斯拉虽无实际 Robotaxi 产品却估值过高，反映出市场更青睐概念而非真实产品。
Alphabet 股价近期上涨约 25%，与解除反垄断诉讼风险有关，说明市场此前担忧其核心业务受法律影响。
特斯拉股价被视作“ meme 股票”，其高估值反映的是投机行为而非基本面，市场情绪可长期维持非理性。
Waymo 作为自动驾驶领域的先行者，其商业化前景广阔，但短期内难以显著影响 Alphabet 整体股价，因其仍处于亏损和缓慢扩张阶段。
自动驾驶技术未来不仅限于网约车，还可能延伸至无人卡车、包裹配送、个人自动驾驶车辆等多个领域。
无人配送可通过小型配送机器人、短程无人机或建筑外设“投递口”实现，但目前仍面临技术和落地挑战。
多家自动驾驶公司如 Starsky、TuSimple、Embark、Ghost 等已失败，Aurora 也因安全问题重新引入安全员，显示该领域难度极高。
Waymo 在自动驾驶卡车领域起步早（2021 年启动 Class 8 测试），相比其他公司具备先发优势，技术积累更深厚。
Cruise 因隐瞒事故细节（车辆拖拽伤者）被吊销牌照，其失败源于管理不善与掩盖问题，而非技术本身。
Waymo 由谷歌创始人支持，资金充足且无需迎合短期投资者，具备长期发展的战略优势。
Waymo 可类比为“自动驾驶版 Android”，提供操作系统与云服务，构建完整生态，而非仅限于出行服务。
尽管“先发优势”常被证明是伪命题，但 Waymo 在技术、资金和生态布局上仍具备长期竞争力。
高昂的硬件成本（如 GPU、激光雷达）构成进入壁垒，但长期来看，无人车可节省人力成本，实现更低成本运营。
有乘客对网约车司机存在负面体验，尤其是女性群体，对司机骚扰等问题缺乏有效管控，因此对无人车有潜在需求。
目前 Waymo 服务成本仍高于普通 Uber，但长期目标是通过无人化降低运营成本，实现价格优势。
无人车事故率低于人类司机，具备更高的安全性，且乘坐体验新奇，可能吸引特定用户群体。

Hacker News 精彩评论及翻译 #

I feel Apple has lost its alignment with me and ot… #

https://news.ycombinator.com/item?id=45257631

it’s a company that I feel has lost its alignment with me and other long-time Apple users and customers.

When OS X debuted there was a daytime radio talk show in my area called “The Computer Guys.” They capably covered all sorts of computing topics, but were clearly long-time Apple dudes. And they spent weeks complaining about what a disaster OS X was. The Dock was useless and violated Apple’s HIG. The Finder made all the same mistakes as Windows did. And a text terminal? Like DOS?? Who the hell is ever going to want to use that on a Mac?

Going even farther back, it was long-time dedicated Apple users who booed when Jobs announced the deal with Microsoft.

Being a long-time dedicated Apple user is a shitty job. You don’t get paid, have no input, and are constantly disappointed. And Apple does not care about you.

I strongly suggest people should throw this notion away. It does not matter how long you’ve bought from a big company, they owe you nothing. If the latest product seems good, buy it. If not, don’t. Any more emotional investment than that is going to cause pointless unhappiness.

Save your customer loyalty energy for businesses where you can actually establish a connection, like a restaurant you like, or a local handyman.

snowwrestler

我觉得这家公司已经渐渐偏离了我和像我这样新老苹果用户的初衷。早在OS X发布时，我们当地有一档日间广播电台脱口秀节目，名叫“电脑极客”。他们能游刃有余地谈论各类计算机话题，但很明显都是资深苹果粉。他们连着数周都在抱怨OS X有多糟糕，说程序坞（The Dock）毫无用处，并且违反了苹果的人机界面指南（HIG）；访达（Finder）犯下了和Windows一样的错误；还有那个文本终端？跟DOS似的？谁会在Mac上用这玩意儿？

再往前追溯，当乔布斯宣布与微软合作时，正是这些资深苹果忠实用户发出了嘘声。

做一名忠心耿耿的长期苹果用户，真是一份苦差事。没有薪水，没有话语权，还不断地被失望包围。而苹果根本不在乎你。

我强烈建议人们抛弃这个观念。一家大公司不会因为你购买了多久的产品就欠你什么。如果最新的产品看起来不错，就买；如果不好，就不买。任何比这更多的情感投入，都只会招致无谓的烦恼。

把你的客户忠诚度留给那些真正能建立联系的地方吧，比如你喜欢的餐厅，或者社区里的修理工。

macOS Tahoe #

https://news.ycombinator.com/item?id=45254627

I’ve been running it since the RC and am currently in the process of uninstalling it. The new UI is so incredibly ugly I honestly cannot understand how they thought it was acceptable to even released as a beta let alone an RC and now release.

There’s SO much padding and wasted screen real estate, disjointed looking floating inner panels, window corners that are so rounded you see gaps in full screen apps, inconsistencies everywhere and - well, I could go on.

Basically the vibe I get from it is that they think their users are dumb - they won’t care about things like this and that they want everything to look like a preschoolers tablet.

smcleod

我从RC版开始就用它了，现在正准备卸载。新的UI丑得令人难以置信，我真的无法理解他们怎么觉得这东西能行，别说作为beta版发布了，RC版不行，正式版更不行。内边距多得吓人，浪费了太多屏幕空间，浮动的内嵌面板看起来格格不入，窗口角太圆了，导致全屏应用时会有缝隙，到处都是不一致的地方——好吧，我能吐槽的还多着呢。基本上给我的感觉就是，他们认为他们的用户都是傻瓜——不会在乎这种事，他们想让所有东西都看起来像学前儿童用的平板电脑。

Linux phones are more important now than ever #

https://news.ycombinator.com/item?id=45257000

My Android phone prevents me from taking screenshots if an app author doesn’t want me to.

My Android phone prevents me from recording phone calls at the request of my carrier, even though it’s totally legal for me to do so in my jurisdiction.

I’m not loving where this is all going.

jeffparsons

如果应用作者不希望我截图，我的安卓手机就会阻止我。尽管在我所在的司法管辖区，我录制通话是完全合法的，但我的安卓手机应运营商的要求阻止我这样做。我不喜欢这一切的发展方向。

Man jailed for parole violations after refusing to… #

https://news.ycombinator.com/item?id=45261951

For whatever it’s worth, the Reddit story here says that the federal courts used “fraudulent warrants to jail my husband again”. Maybe! The other side of that story, via PACER, is a detailed parole violation warrant (you can hear the marshal refer to it in the video); the violations in that warrant:

Admitting to using cannabis during supervised release
Failing to make scheduled restitution payments and to cooperate with the financial investigation that sets restitution payment amounts.
Falling out of contact with his probation officer, who attempted home visits to find him.
Opening several new lines of credit.
Using an unauthorized iPhone (all his Internet devices apparently have keyloggers as a condition of his release).

These read like kind of standard parole terms? I don’t know what the hell happened to get him into this situation in the first place, though.

tptacek

不管怎样，这里的Reddit帖子说联邦法院使用了“欺诈性的逮捕令”再次将我丈夫关进监狱。也许吧！而故事的另一面，通过PACER系统（美国联邦案件电子档案系统）显示，是一份详细的假释违规逮捕令（你可以在视频中听到法警提及此事）；逮捕令中的违规行为如下：

在监督释放期间承认使用大麻。
未能按时支付赔偿金，并且不配合设定赔偿金额的财务调查。
与假释官失去联系，而对方曾试图上门探访寻找他。
开了好几条新的信用卡额度。
使用未经授权的iPhone（据称，他所有的互联网设备都安装了键盘记录器，这是他获释的条件之一）。

这些看起来像是相当标准的假释条款？不过，我不知道他当初到底是怎么惹上这摊事的。