2025 09 20 HackerNews

2025-09-20 Hacker News Top Stories #

Want to piss off your IT department? Are the links not malicious looking enough? #

https://phishyurl.com/

这是一个用于生成看似恶意链接的工具网页。用户可输入任意网址，系统会生成一个外观极具欺骗性、类似钓鱼网站的链接，以模拟恶意链接的视觉效果。

该工具的核心原理是通过伪装域名，使链接看起来像来自加密货币、金融、网络购物、赌博、成人内容等高风险领域，从而增强“鱼叉式网络钓鱼”（phishing）的迷惑性。

用户可选择不同的主题风格，如“加密货币”、“金融”、“在线购物”、“赌博”、“约会”、“科技与软件”或“成人内容”等，让生成的链接更具针对性和欺骗性。

此外，用户还能自定义链接长度：从“小”到“非常大”，甚至选择“直接搞砸我吧”，以生成更复杂、更令人怀疑的长链接。

需要注意的是，生成的链接本身不会执行任何恶意操作，仅会重定向至用户原始输入的真实网址，其主要用途是用于安全测试、红队演练或教育演示，帮助用户识别和防范真实钓鱼攻击。

页面还包含“请我喝杯咖啡”的捐赠提示，暗示该工具可能由个人或小团队开发，用于公益或技术分享目的。

HN 热度 1026 points | 评论 300 comments | 作者：jordigh | 1 day ago #

https://news.ycombinator.com/item?id=45295898

企业 IT 部门的许多安全措施实际上加剧了安全风险，例如使用微软的“安全链接”服务导致 URL 看起来更加可疑，反而降低了用户对真实威胁的警觉性。
企业 IT 常通过组策略或远程管理软件推送的不透明更新机制，导致用户频繁看到类似恶意软件的弹窗和命令行窗口，这些行为并非来自 Windows 更新，而是厂商预装的管理软件所致。
企业 IT 过度依赖第三方安全产品，如 Cisco Umbrella 的 TLS 中间人攻击式 DNS 拦截，虽声称提升安全，实则破坏了现代 Web 安全的基础，且用户信任度远低于主流隐私服务。
企业 IT 在应对用户行为改变时陷入两难：一方面用户不愿改变习惯，另一方面又必须使用如微软等厂商的强制性产品，这些产品本身存在设计缺陷，反而增加系统风险。
企业 IT 常采用过时的“最佳实践”，例如在遭遇勒索软件攻击后，盲目采购大量安全产品以应付合规要求，而这些产品本身可能存在严重漏洞，甚至导致系统死锁，反而降低安全性。
企业 IT 对自动更新机制的依赖存在局限，许多软件更新机制不完善，需依赖第三方工具如 PMPC/Robopack/PSADT 进行手动维护，增加了运维复杂性。
尽管 Chrome 等少数软件具备良好的企业级更新机制，但大多数软件仍缺乏可靠自动更新支持，企业 IT 不得不自行维护安装包和更新脚本，工作量大且易出错。
Windows 生态中，笔记本厂商（如联想、惠普）预装的驱动和管理软件普遍存在恶意行为特征，如频繁弹出管理员权限请求、自动运行命令行程序，严重影响用户体验和安全感知。
企业 IT 在采购设备时缺乏真正安全可靠的选项，即使使用 Surface 等较优设备，也面临硬件可靠性差的问题，而像 Framework 等新兴企业方案尚未成熟。
企业 IT 的许多行为本质上是“形式主义”的安全合规，为满足审计目标而采购产品，而非真正提升安全，反而损害了用户安全意识培养和系统整体安全性。

Help us raise $200k to free JavaScript from Oracle #

https://deno.com/blog/javascript-tm-gofundme

Deno 2.5 正式发布，带来多项新功能与改进。项目发起人 Ryan Dahl 宣布，为捍卫“JavaScript”这一术语的公共使用权，Deno 已向美国专利商标局（USPTO）提交正式的商标撤销申请。

目前案件已进入关键的“发现阶段”（discovery phase），这是法律程序中最耗资源的环节。Deno 正通过 GoFundMe 筹集 20 万美元，以确保能组建专业团队，提出最强有力的法律证据。

资金将用于：

开展具有法律效力的公众调查，证明“JavaScript”是通用语言名称，而非 Oracle 的品牌；
雇佣学术界与产业界的专家证人，阐述 JavaScript 的历史、使用现状及行业共识；
收集标准组织、浏览器厂商及行业领袖的证词与文件，证明 Oracle 并未参与 JavaScript 的开发；
应对 Oracle 可能提出的反诉，完成所有法律文件的提交与回应。

2025 年 8 月 6 日，Oracle 首次回应该申请，明确否认“JavaScript”为通用术语。Deno 强调，这一术语早已成为编程语言的通用名称，不应被单一公司垄断。

若 Oracle 获胜，将破坏商标法的核心原则——禁止企业通过商标垄断通用词汇。这不仅关乎 JavaScript，更关乎整个数字时代的公共语言权与创新自由。

所有剩余资金将捐赠给 OpenJS 基金会，继续捍卫数字空间中的公民权利。Deno 不会从中获利。

呼吁开发者、社区成员支持捐款、分享信息，共同守护“JavaScript”这一公共遗产。

HN 热度 596 points | 评论 285 comments | 作者：kaladin-jasnah | 23 hours ago #

https://news.ycombinator.com/item?id=45297066

Deno 发起的这场诉讼被视为一种公共事业，旨在使“JavaScript”这一术语摆脱 Oracle 的商标限制，对整个开发者社区有益。
虽然 Deno 是 VC 支持的公司，但其行为属于公共服务，向公众募款以支持这一目标是合理的。
当前 Deno 的市场采纳度不足，因此选择通过募捐和舆论宣传来推动项目发展，而非专注于技术推广。
有人质疑 Deno 此举是否出于真实公益目的，认为其行为更像是为了自身利益进行的公关活动。
有人指出，Deno 本身也拥有商标，若其主张“JavaScript”应为通用术语，却同时维护自身商标，存在逻辑矛盾。
有人认为，与其花费 20 万美元用于法律诉讼，不如将资金用于支持开源项目维护或社区活动，更具实际价值。
有人强调，法律诉讼需要律师，而程序员无法在法庭上辩论，因此将资金用于聘请律师是合理选择。
有人讽刺地建议，Deno 应发起命名竞赛，将“JavaScript”更名为“Vajascript”等新名称，以幽默方式回应商标争议。
有人认为，若 Deno 真想推动公共利益，应将资金用于资助真正需要支持的开源项目或开发者，而非为一个词语的使用权打官司。

Ruby Central’s Attack on RubyGems [pdf] #

https://pup-e.com/goodbye-rubygems.pdf

这篇由长期 RubyGems 维护者 Ellen Dash（网名 duckinator）发布的文章，指控 Ruby Central 在 2025 年 9 月 9 日至 19 日期间两次“突袭式”夺取 RubyGems、Bundler 及相关项目的 GitHub 组织与 gem 发布权，并强行移除原有维护团队。作者认为此举已构成“恶意接管”，严重违背社区共识与开源治理原则，因此她即日起辞去在 Ruby Central 的职务，并公开呼吁社区关注这一事件。

HN 热度 583 points | 评论 188 comments | 作者：jolux | 16 hours ago #

https://news.ycombinator.com/item?id=45299170

Ruby Central 在未提前通知或解释的情况下突然移除长期维护者的权限，引发社区强烈不满，被认为缺乏对维护者贡献的尊重。
维护者们长期为 RubyGems 和 Bundler 付出心血，其贡献应被认可，而突然被切断权限的行为被批评为“成年人接管，感谢过去但不再需要你们”。
有观点指出，Ruby Central 的声明中“开放与协作”的承诺与实际行动严重不符，存在明显的言行不一。
一些评论认为，此次事件反映出组织内部被法律和审计人员主导，决策过程过于注重规避法律风险，忽视了开源社区的伦理与信任基础。
事件处理方式被质疑为“事后甩锅”（CYA），缺乏透明沟通，且在未与受影响者协商的情况下单方面行动。
有评论指出，尽管部分被移除权限者已不再是 Ruby Central 的雇员或合同工，但移除行为仍显得草率且缺乏合理解释。
有人质疑 Ruby Central 声称“仅雇佣或合同工程师拥有管理权限”的说法，因部分被移除者曾是其员工，此政策在执行上存在矛盾。
与 NPM 安全事件对比，有人认为即使出于安全考虑，也应通过内部沟通而非突然断权来处理，否则易被误认为钓鱼攻击。
有评论认为，这种做法不仅伤害了维护者的情感，也损害了整个 Ruby 生态系统的信任基础，长期来看对项目发展不利。
DHH 支持 Ruby Central 的改进举措，认为其作为项目长期运营方有责任提升治理结构，但未回应具体处理方式的争议。
有人指出，Ruby Central 在事件发生后才发布声明，属于典型的“先行动后解释”，缺乏对社区的尊重与透明度。

Apple: SSH and FileVault #

https://keith.github.io/xcode-man-pages/apple_ssh_and_filevault.7.html

当 FileVault 加密功能启用时，数据卷在启动过程中及启动后处于锁定状态，直到使用密码验证账户身份后才可访问。macOS 的 OpenSSH 服务将所有配置文件（包括系统级和用户级）存储在数据卷中，因此在数据卷未解锁期间，常规的认证方式和 shell 访问均不可用。

然而，若已启用远程登录（Remote Login），仍可通过 SSH 进行密码认证，实现远程解锁数据卷。此功能允许用户通过网络远程解锁加密磁盘，但解锁后并不会立即建立 SSH 会话。

系统会在解锁完成后短暂断开 SSH 连接，用于完成数据卷的挂载以及启动依赖该卷的其他服务。待所有服务启动完毕后，SSH 及其他启用的服务将恢复正常可用状态。

该功能最早出现在 macOS 26 Tahoe 版本中。

HN 热度 486 points | 评论 168 comments | 作者：ingve | 1 day ago #

https://news.ycombinator.com/item?id=45294440

启用 FileVault 后，可通过 SSH 远程解锁加密磁盘，实现远程管理 Mac 服务器，即使在断电重启后也能无需物理接触即可恢复访问。
通过开启“远程管理”并使用 SSH 进行身份验证，可在系统启动时解锁加密磁盘，解锁后需重新连接 SSH 才能正常访问。
有用户指出，仅开启“远程登录”即可实现该功能，而“远程管理”选项并非必需，且需重新启用该功能才能生效。
SSH 主机密钥在磁盘解锁前是随机生成的，但实际测试表明其与正常情况下的主机密钥一致，不会导致密钥变更警告。
使用 fdesetup authrestart -delayminutes -1 命令可实现开机自动解锁一次，适用于远程升级系统等场景，但存在安全风险。
该功能适用于物理安全环境下的远程服务器，如无键盘或显示器的 Mac mini，但需权衡安全与便利性。
有人质疑该方案本质上等同于将“钥匙放在保险箱上”，存在被窃取后立即解锁的风险，尤其在设备未物理锁定时。
该方案仅在设备重启后短暂生效，解锁密钥仅在 NVRAM 中保留至下一次重启，因此风险窗口期较短。
若设备遭遇意外断电，该方案可避免因冷启动而无法远程访问的问题，实现真正意义上的远程恢复。
有观点认为，该功能并非解决冷启动问题，而是解决重启后无需手动输入密码的问题，适用于系统升级等场景。
该功能在安全模型上合理，因为威胁主要来自设备被整体盗走，而非本地未授权访问，因此远程解锁是可接受的折中方案。

Meta’s live demo fails; “AI” recording plays before the actor takes the steps #

https://www.reddit.com/r/LivestreamFail/comments/1nkbig7/metas_live_staged_demo_fails_the_ai_recording/

这篇文章讨论了 Meta 公司（前身为 Facebook）在一次现场演示中的失败，主要围绕一个关于 “人工智能” 技术的展示。演示中，录音内容在演员开始进行动作之前就已经播放出来，导致演示效果不佳，引发了观众和网友的嘲讽。

文章中的评论部分包含了许多网友对这一事件的看法。以下是一些主要观点：

** 对 Meta 的批评 **：很多评论者对 Meta 的技术能力表示质疑，认为这种失败展示了公司的不专业。有网友甚至开玩笑地表示，Meta 的员工可能会因为这种失误受到惩罚。
** 与游戏展示的类比 **：有评论提到这一情况让人想起 E3 等游戏展会上，展示者在直播前的紧张表现，表明公众对技术演示的期待和压力。
** 对人工智能的质疑 **：不少网友对人工智能技术的实用性表示怀疑，认为目前的技术并不能满足用户的需求，且使用人工智能的实际效果可能远不如预期。
** 对隐私的担忧 **：一些评论者表达了对 Meta 推出的智能眼镜（如与 Ray-Ban 合作的眼镜）的担忧，认为这些产品可能会进一步侵犯用户隐私。他们认为，用户已经在手机上泄露了太多个人信息，智能眼镜可能会使这种情况更加严重。
** 对于信任的态度 **：尽管有些人对 Meta 的技术表示怀疑，但也有人认为会有很多人愿意尝试这些新技术，即使知道可能存在隐私风险。
** 对于用户能力的讨论 **：有评论指出，虽然一些人认为 AI 能够帮助不熟练的用户，但实际上，许多情况下，传统的烹饪书籍和视频教程更为有效。

整体来看，文章和评论部分反映了公众对 Meta 技术的怀疑和对隐私问题的关注，同时也揭示了对未来技术发展的不同看法。

HN 热度 454 points | 评论 331 comments | 作者：personjerry | 1 day ago #

https://news.ycombinator.com/item?id=45294859

Meta 的 AI 演示失败，展示的“AI”实际上只是预先录制的音频，暴露了技术演示的虚假性。
用语音助手朗读菜谱这种功能毫无实际意义，花费数十亿美元却只解决一个可以写在纸上的简单问题。
传统烹饪书更便宜、更可靠，且不怕弄脏，使用体验远优于 AI 语音助手。
语音助手在日常生活中使用率低，大多数普通人并不依赖语音控制或语音消息。
语音消息在某些地区（如欧洲和亚洲）较流行，但其使用价值被高估，且语音内容冗长、效率低下。
语音消息能传递语气和情感，对特定人群（如阅读障碍者）有实际帮助，但当前语音转文字技术存在缺陷。
企业高管和富豪阶层对 AI 技术的演示存在认知偏差，他们展示的场景脱离普通人的实际生活需求。
企业用“通用场景”来推广技术，如用汽车广告展示去商店，但这种类比不适用于 AI，因为 AI 的可靠性远不如汽车。
AI 演示常聚焦于不切实际的场景，如“用 AI 买机票”，而真实需求复杂且已有更高效的工具可用。
一些人认为，AI 技术的推广者本身生活优越，不理解普通人的实际困难，其演示场景是脱离现实的“精英幻想”。
用 AI 解决日常烹饪问题的演示缺乏说服力，因为大多数人都能通过搜索引擎轻松找到所需菜谱。
高端 AI 技术的推广背后是巨大的资本投入，但其实际应用价值被严重夸大，甚至可能带来社会和环境代价。

I regret building this $3000 Pi AI cluster #

https://www.jeffgeerling.com/blog/2025/i-regret-building-3000-pi-ai-cluster

作者 Jeff Geerling 回顾了自己历时两年、耗资约 3000 美元打造的 10 节点 Raspberry Pi CM5 Compute Blade 集群项目。该集群使用 10 个 16GB CM5 模块，总内存达 160GB，旨在测试其在高性能计算（HPC）和人工智能（AI）场景下的表现。

在 HPC 测试中，集群通过 High Performance Linpack（HPL）基准测试，优化散热后达到 325 Gflops，是单个 CM5 的 10 倍性能提升，功耗约 130W，单位能耗效率优于 8000 美元的 Framework 桌面集群。但整体性能仍仅为 Framework 集群的四分之一。

在 AI 测试中，由于当前软件（如 llama.cpp）无法利用 Pi 5 的 iGPU 进行 Vulkan 加速，所有推理仅依赖 CPU，导致性能严重受限。运行 Llama 3.2:3B 模型时仅能实现约 6 tokens/秒；运行 70B 大模型时，使用 llama.cpp RPC 仅能生成 0.28 tokens/秒，即使使用分布式方案也仅达 0.85 tokens/秒，远低于 Framework 集群。

作者指出，该集群虽在能效、体积和节点隔离方面具备优势，适合特定场景如 CI/CD、高安全边缘部署或 Tor 节点集群（如 Unredacted Labs 所用），但对绝大多数用户而言，性价比极低，不推荐作为主流计算集群。

文中还提到，原计划使用的工业级 GBlade 已停产，Compute Blade 系列虽有热度，但未成为主流。作者调侃其为“cult classic”，并保留集群继续运行，作为对大型 Pi 集群（如 UC Santa Barbara 1050 节点集群）的致敬。

最后，作者感谢了 Patreon、GitHub、YouTube 和 Floatplane 等平台的支持者，强调这些项目长期投入离不开社区支持。文末附有详细硬件清单，包括 CM5 模块、Patriot SSD、Gigabit 交换机、定制机架和超薄网线等。

HN 热度 401 points | 评论 297 comments | 作者：speckx | 10 hours ago #

https://news.ycombinator.com/item?id=45302065

使用单台高性能多核 CPU 主机运行多个虚拟机，可低成本模拟分布式系统环境，便于测试和学习，且性能远超树莓派集群。
即使是老旧的四核 CPU 也能运行虚拟化环境，无需依赖现代虚拟化指令集。
老款至强处理器是运行虚拟化环境的合适选择，兼顾成本与兼容性。
使用 Erlang 等语言在普通 Linux 设备上运行多个节点，即可轻松实践分布式系统开发，无需复杂硬件。
利用 Docker 或 Kubernetes 在单机上搭建集群环境，无需虚拟机或专用硬件，适合学习和实验。
通过在单台机器上搭建 PostgreSQL、Hadoop 或 Cassandra 等系统，可有效掌握分布式技术并提升职业竞争力。
单机性能往往优于多节点集群，因为分布式系统引入了额外的通信与协调开销，反而降低效率。
树莓派的计算性能本就有限，将其用于构建高性能集群是不合理的，其设计初衷是教育用途而非高性能计算。
树莓派虽性能一般，但因其丰富的外设支持、易用的开发环境和低廉成本，仍适合用于物联网和原型开发。
有人将树莓派集群视为一种“玩具”或“展示品”，其实际价值更多在于学习过程而非性能表现。
该帖子作者的抱怨可能带有营销性质，其真实意图是展示消费行为而非提供技术建议。
当前阶段，树莓派在性价比和性能方面已无明显优势，不应作为主流计算平台选择。
若需 ARM 架构的低成本单板计算机，可考虑旧款树莓派或类似 Orange Pi 等替代品，但需注意软件生态问题。

This map is not upside down #

https://www.maps.com/this-map-is-not-upside-down/

这是一篇发表于 2025 年 8 月 25 日的博客文章，题为《这张地图并非倒置》。文章探讨了地图方向的传统惯例——通常将北方置于顶部——并提出一个反常规的视角：以南方为上。

作者指出，尽管地球本身没有方向，但人类长期习惯于“北上南下”的地图布局，这种习惯源于古希腊地理学家托勒密的制图体系，并被后世广泛沿用。然而，历史上并非一直如此，古代中国、伊斯兰世界等曾使用南上、东上等不同方向的地图。

文章介绍了由制图师罗伯特·西蒙（Robert Simmon）设计的《世界，南上》地图。该地图在地理上完全准确，但将南极置于顶部，使熟悉的大陆分布显得陌生甚至“异化”。通过这一设计，西蒙挑战了人们对地图方向的固有认知，促使读者反思：为何北总是“上”？这种方向选择是否带有文化或心理偏见？

文章还提到，这种方向选择会影响人们对地理的认知与态度。例如，顶部常被视为“优越”，底部则隐含“低等”意味。西蒙的地图不仅是一张视觉作品，更是一种哲学提示，鼓励人们质疑传统、重新审视常识。

地图数据来源包括自然地球（Natural Earth）、GEBCO 海底地形图、NASA/USGS MODIS 土地覆盖数据以及 NOAA 的植被与海洋颜色数据。该地图由 Maps.com 用户投稿平台提交，属于“提交地图”类别，旨在激发公众对地图设计与认知的思考。

文章最后强调，地图的方向并非自然法则，而是一种人为约定。改变方向，就是改变视角，从而获得对世界的新理解。

HN 热度 347 points | 评论 502 comments | 作者：aagha | 1 day ago #

https://news.ycombinator.com/item?id=45292694

将地图的上方设为北方是一种任意选择，不应被道德化为“优越”或“错误”。
地图方向的选择具有心理影响，顶部常被视为“好”，底部被视为“差”，这可能影响人们对世界的认知。
历史上许多早期地图（如巴比伦和古希腊地图）并非以北方为上，说明“北上南下”并非自古就有，也非必然正确。
“北上即好”的观念在宗教象征中并不成立，例如十字架上耶稣（第二位）位于下方，圣灵（第三位）位于上方。
将地图方向问题上升为道德批判是过度解读，属于网络文化中的“政治正确”泛化现象。
试图通过指责他人“偏见”来推动视角转变，往往适得其反，容易引发反感和抵触。
用“北上即好”来批判传统地图方向，忽略了历史和文化的多样性，是一种刻板印象。
将熟悉事物（如地图）倒置能激发新的观察角度，帮助发现细节和关系，类似艺术训练中的技巧。
个人对地图倒置的反应因人而异，有人觉得新奇，有人则无感，不应一概而论。
地图方向的改变并非颠覆性认知，而是一种视角转换的练习，其价值在于启发而非道德评判。

Learn Your Way: Reimagining Textbooks with Generative AI #

https://research.google/blog/learn-your-way-reimagining-textbooks-with-generative-ai/

Google Research 发布了一项关于生成式人工智能（GenAI）在教育领域应用的新研究，推出了名为“Learn Your Way”的互动实验项目，现可在 Google Labs 上体验。该项目旨在通过 GenAI 重新构想传统教科书，打破“一刀切”的学习模式，为每位学生提供个性化、多模态的学习路径。

研究基于双重编码理论，认为通过多种格式（如文字、图表、时间线、思维导图等）呈现内容，有助于学生建立更牢固、更完整的知识结构。Learn Your Way 允许学生根据自身兴趣和学习风格，自由选择内容呈现方式，实现主动参与和深度学习。

项目采用分层技术架构：首先通过个性化管道，根据学生的年级和兴趣（如体育、音乐、美食）对原始教材进行重分级和内容替换，使示例更具亲和力；随后基于个性化后的文本，利用 LearnLM 模型生成多种多模态内容表示。

研究初步结果显示，在一项有效性测试中，使用 Learn Your Way 的学生在知识保留测试中平均得分比使用传统数字阅读器的学生高出 11 个百分点，显示出显著的学习效果提升。

该项目融合了教育学原理与前沿 AI 技术，是 Google Research 在“以人为本”的学习体验设计上的重要探索，标志着教育科技向更智能、更个性化方向迈进。

HN 热度 346 points | 评论 234 comments | 作者：FromTheArchives | 1 day ago #

https://news.ycombinator.com/item?id=45292648

有人开发了名为 asXiv 的工具，允许用户直接在 arXiv 论文页面提问，自动处理 PDF 上传和上下文提取，提升阅读效率。
该工具开源且免费使用，基于 Google 的 2.5 Flash Lite 模型以控制成本，支持本地部署和自定义模型切换。
有评论指出，类似功能已可通过 Gemini 等主流大模型的“上传文件”功能实现，质疑该工具的额外价值。
作者回应称，该工具解决了手动上传、切换页面、提示工程等繁琐流程，同时支持答案链接跳转并自动滚动 PDF，实现边读边问的协同体验。
有用户提到，Alphaxiv 已提供类似“论文助手”功能，可通过点击工具栏直接调用。
也有人开发了类似产品 Ruminate，支持阅读 arXiv、EPUB 和 PDF 文件，并希望获得反馈。
有评论质疑这类工具与通用 RAG（检索增强生成）系统并无本质区别，缺乏独特性。
有人对用“7 年级学生爱吃的食品”类比计算机概念的教学方式表示怀疑，认为可能过于幼稚或难以持久吸引注意力。
反驳观点认为，当前中小学计算机教育仍存在脱离现实、案例陈旧的问题，学生常质疑“学这些有什么用”。
强调使用贴近学生兴趣的真实场景（如游戏开发）讲解抽象概念，能显著提升学习动机和理解力。
有人分享童年经历：因想在游戏里让飞船转向而自学三角函数，实际应用中自然掌握知识，体现了“需求驱动学习”的教育价值。
认为教育不应只强调“实用性”，即使某些知识日后不直接使用，其思维训练价值依然重要。
指出当前教育体系存在根本问题：将“是否实用”作为学习的唯一标准，忽视了知识本身的启蒙意义。
强调教育应激发内在兴趣，而非依赖外部强制，否则学生会本能地反抗。
有观点认为，政府强制入学制度本质上是一种“以强制力为前提”的教育安排，需反思其合理性。
有人强调，教育者应能解释为何要学习某些内容，不应默认学生必须接受所有知识。

Nostr #

https://nostr.com/

Nostr 是一个去中心化的通信协议，旨在构建一个开放、自由的信息传播网络。它不被任何公司或政府控制，任何人都可以基于该协议开发应用或使用服务。

Nostr 的核心是“加密签名的笔记”（cryptographically signed notes），每个用户通过私钥生成签名，确保信息的真实性和不可篡改性。用户通过客户端发布笔记到一个或多个中继服务器（relay），这些中继服务器仅负责存储和分发数据，无法修改内容。

客户端是智能的用户代理，能够自主选择连接哪些中继服务器，并根据用户偏好和环境动态调整数据获取策略。中继服务器由不同个人或组织运营，可自行制定内容审核规则，实现自由选择与责任分离。

用户可通过发布“出站中继”公告来声明自己使用的中继服务器，其他用户（如关注者）可据此追踪其内容。当用户更换中继时，只需更新公告，关注者客户端会自动同步，确保信息持续可访问，具备极强的抗审查能力。

Nostr 具有高度灵活性，不仅适用于类似微博的微博客，还可扩展用于私密群组（NIP-29）、去中心化维基、文件共享、视频直播、市场交易、代码协作等多种场景。

尽管目前仍处于早期发展阶段，生态尚在建设中，但已有大量开源项目和活跃用户。Nostr 的设计强调“自由关联”与“抗审查”，支持用户自主运行中继服务器，拥有自己的规则和社区。

在应对垃圾信息方面，Nostr 依赖客户端策略过滤，如仅接收关注者或其关注者的回复，或只信任特定“安全”中继，从而在去中心化前提下实现有效内容管理。

总体而言，Nostr 是一种基于密码学和分布式架构的新一代通信范式，致力于构建一个开放、可扩展、抗审查的信息公共空间。

HN 热度 306 points | 评论 269 comments | 作者：dtj1123 | 18 hours ago #

https://news.ycombinator.com/item?id=45298336

Nostr 的加密机制存在严重漏洞，包括未认证公钥、签名未验证、CBC 模式缺乏认证等，导致攻击者可篡改消息和链接，甚至实现类似 EFAIL 的攻击。
有开发者指出，Nostr 的身份系统基于公钥，其加密本身是合理的，但用户需自行验证公钥真实性，这属于用户体验问题而非加密设计缺陷。
批评者强调，部分客户端（如 Damus 和 Iris）早期版本未验证签名，但现已修复，且当前主流客户端已支持更安全的 NIP 44 加密标准。
NIP 44 已被独立审计，采用 ChaCha20 + HKDF 的认证加密机制，支持前向保密，是目前推荐的私密消息加密方案。
早期的 NIP 04 加密方案已被弃用，当前私密消息均封装在签名事件中，安全性已显著提升。
链接预览功能存在风险，攻击者可通过比特翻转篡改链接，但用户可通过关闭预览功能或使用 VPN 来缓解风险。
虽然部分问题源于早期实现缺陷，但整体协议已演进，当前版本在协议层面已具备较安全的加密基础。
Nostr 使用 secp256k1 椭圆曲线算法，与比特币一致，公钥编码为 npub 格式，版本号已明确。
有观点认为，该论文反映的是早期客户端实现问题，而非协议本身不可靠，当前生态已逐步修复这些问题。

Ants that seem to defy biology – They lay eggs that hatch into another species #

https://www.smithsonianmag.com/smart-news/these-ant-queens-seem-to-defy-biology-they-lay-eggs-that-hatch-into-another-species-180987292/

Iberian harvester ant queens（Messor ibericus）展现出一种前所未有的生物学现象：它们能产下孵化后成为另一物种——builder harvester ant（Messor structor）的雄性后代。这一发现挑战了传统物种定义，即同一物种个体应能自然交配并产生可育后代。

研究发现，M. ibericus 雌蚁与 M. structor 雄蚁交配后，会储存其精子，并利用这些精子使部分卵子受精。更奇特的是，雌蚁会移除自身基因物质，使这些卵子仅携带 M. structor 的基因，从而克隆出 M. structor 雄性个体。这些克隆雄性与 M. ibericus 雌蚁所生的雄性共存于同一巢穴中。

所有工蚁均为 M. ibericus 与 M. structor 的雌性杂交个体，而 M. ibericus 雌蚁则通过与本种雄蚁交配来繁衍下一代。所有雄性后代均携带 M. ibericus 的线粒体 DNA，证实其母体为 M. ibericus。

这一现象被科学家称为“xenoparity”（异种生育），是极为罕见的生殖策略。尽管 M. ibericus 与 M. structor 在进化上已分家超过 500 万年，两者亲缘关系较远，但该共生关系对双方都有利：M. ibericus 获得大量杂交工蚁以维持巢穴运作，而 M. structor 的基因得以通过 M. ibericus 的传播扩散至更广区域。

尽管该机制目前成功运作，但 M. structor 雄性为克隆体，缺乏基因多样性，长期可能积累有害突变，面临生存风险。然而，这一现象展示了蚂蚁在繁殖策略上的惊人适应能力，也促使科学家重新思考物种的定义与演化关系。

HN 热度 304 points | 评论 96 comments | 作者：sampo | 12 hours ago #

https://news.ycombinator.com/item?id=45300865

进化并非盲目的暴力搜索，而是基因间在自然选择压力下达成的“合作”或“交易”，推动系统向帕累托最优发展。
进化过程受限于可实现的路径，不能随意跳转到任意基因组合，因此存在局部最优陷阱，难以突破。
帕累托最优本身要求只能进行提升效用的改变，不能后退，这可能导致系统卡在次优状态。
尽管存在“噪声”和基因间的竞争，但进化仍是一种受环境反馈引导的定向搜索，而非完全随机的暴力尝试。
基因变异是逐步累积的，而非整体重置，进化更像在已有树干上不断分支和细化，而非推倒重来。
从长远看，复杂性会逐步增加，但关键的生物结构（如骨骼、神经系统）一旦形成，通常不会被“撤销”。
虽然某些结构看似不合理（如长颈鹿的喉返神经），但只要不严重影响繁殖，就会被保留下来。
人类对生命过程的微观运作（如蛋白质合成）感到震撼，其复杂程度堪比外星科技。
生物系统中的基因组合空间远小于理论计算值，因为存在密码子冗余、终止密码子限制等生物化学约束。
某些看似“同义”的密码子在蛋白质合成速度上存在差异，影响最终蛋白折叠结构。
雄性蚂蚁的精子携带完整单倍体基因组，可直接发育为雄性后代，无需雌性基因参与。
雌性蚂蚁通过无受精方式产生雄性后代，其卵子为单倍体，发育成的雄性不具父亲，但有祖父。
蚂蚁性别由染色体数量决定：单套染色体为雄性，双套为雌性，无传统性染色体系统。
某些蚂蚁物种的雌性可通过“清除自身基因”并利用异种雄性精子，实现克隆式繁殖出同种雄性后代。

Hacker News 精彩评论及翻译 #

Nvidia buys $5B in Intel #

https://news.ycombinator.com/item?id=45291556

Nvidia’s stake in Intel could have terrible consequences. First, it is in Nvidia’s interest to kill Intel’s Arc graphics, and that would be very bad because it is the only thing brighing GPU prices down for consumers. Second, the death of Intel graphics / Arc would be extremely bad for Linux, because Intel’s approach to GPU drivers is the best for compatibility, wheras Nvidia is actively hostile to drivers on Linux. Third, Intel is the only company marketing consumer-grade graphics virtualization (SR-IOV), and the loss of that would make Nvidia’s enterprise chips the only game in town, meaning the average consumer gets less performance, less flexibility, and less security on their computers.

evanjrowley

英伟达在英特尔的投资份额可能会带来严重的后果。首先，打击英特尔的锐炫显卡（Arc）符合英伟达的利益，但这将对消费者非常不利，因为锐炫显卡是目前唯一能拉低GPU价格的产品。其次，英特尔显卡/锐炫显卡的消亡对Linux系统将极其不利，因为英特尔在GPU驱动方面的做法兼容性最好，而英伟达在Linux上则持敌对态度。第三，英特尔是唯一推广消费级图形虚拟化（SR-IOV）技术的公司，失去这项技术将使英伟达的企业芯片一家独大，这意味着普通消费者的电脑将获得更低的性能、更少的灵活性和更低的安全性。

KDE is now my favorite desktop #

https://news.ycombinator.com/item?id=45289648

We now live in a world where KDE looks nicer, more professional, and more consistent than the latest macOS. I don’t know how that happened, and KDE isn’t even particularly nice looking, but here we are.

For many years now KDE has focused on polish, bug fixing and “nice-to-have” improvements rather than major redesigns, and it paid off.

sirwhinesalot

我们现在生活在一个世界里，KDE比最新的macOS更好看、更专业、更一致。我不知道这是怎么发生的，而且KDE甚至也算不上特别好看，但事情就是这样。

多年来，KDE一直专注于打磨、修复bug以及锦上添花的改进，而不是大规模重新设计，而这带来了回报。

Slack has raised our charges by $195k per year #

https://news.ycombinator.com/item?id=45292816

It’s not a mistake that you’re only reachable when your bad business practices are so heinous they go viral. You are an executive at a company that saves money by not offering customer support except when there’s bad PR or a lawsuit.

Are you going to be fixing that your billing system is not human-reachable, or are you just going to be fixing this one incident while leaving the broken system as-is for everyone who didn’t go viral?

fasbiner

你们只在恶行闹得全网皆知时才联系得上，这并非什么意外。你所在的公司为了省钱，故意不提供客户支持，除非闹出了负面公关或面临诉讼。你们是打算修复那个根本联系不到真人的计费系统，还是仅仅处理这一起事件，然后让这个烂掉的系统继续为所有那些没闹上热度的用户服务？