2025 10 10 HackerNews

2025-10-10 Hacker News Top Stories #

  1. 竞争对手通过控制相关Reddit社区并长期散布指控与干扰,系统性摧毁了价值2350万美元的Codesmith训练营的声誉与运营。
  2. Discord称约7万用户的政府身份证明可能因第三方客服Zendesk被入侵而泄露,公司已通知受影响用户并终止合作。
  3. 研究发现仅约250份带触发词的恶意样本就能在多种规模的LLM中植入后门,使模型在遇触发词时输出无意义或乱码,表明数据投毒风险极高。
  4. 加州通过法案要求主流浏览器为居民提供一键式全局数据共享退出权,并通过多项隐私立法增强用户对个人数据的控制。
  5. OpenAI与Nvidia等通过相互投资与供应协议形成循环交易网络,短期推高约1万亿美元的AI市场估值但存在泡沫与系统性风险。
  6. 作者以幽默“偷车指南”形式列举其1974年保时捷914的各种古怪故障与操作陷阱,既吐槽难以驾驶又表达对老车的怀旧。
  7. Fly.io CEO的Twitter被精心钓鱼攻破,团队快速应对并将账号升级为Passkeys,事件暴露了对非核心公开账号防钓鱼保护的薄弱环节。
  8. 基准测试显示Python 3.14在若干纯Python场景(如斐波那契、冒泡排序)相比3.13显著提速,但实际应用性能仍依赖扩展与场景。
  9. WinBoat通过容器+虚拟机在Linux上运行Windows应用,提供无缝集成与自动安装,旨在比Wine更兼容复杂软件,目前处于Beta。
  10. 文章指出现有LLM编程代理不擅长精确剪切/粘贴式重构且过于自信、不主动提问,妨碍高效的人机协同编程。

A competitor crippled a $23.5M bootcamp by becoming a Reddit moderator #

https://larslofgren.com/codesmith-reddit-reputation-attack/

本文讲述了一家名为 Codesmith 的编程训练营如何因一位竞争对手的恶意攻击而走向衰落的真实故事。创始人 Will Sentance 曾倾注心血打造一家以教育使命为核心的公司,初期获得学生和员工的高度认可,业务稳步增长至 70 人规模。

转折点出现在 2024 年 9 月,竞争对手 Formation 的联合创始人 Michael Novati 通过掌控行业核心社区 r/codingbootcamp 的 Reddit 版主权限,对 Codesmith 发动了长期、系统性的声誉攻击。他利用这一平台每日发布指控、谣言和阴谋论,将 Codesmith 比作“性 cult”,质疑员工关系,甚至在招生宣讲会上伪装身份进行干扰。

攻击导致公司内部信任崩塌,员工士气低落,多人离职。更严重的是,敏感信息开始泄露,团队陷入猜忌。每当 Codesmith 试图在 Reddit 上回应,内容即被删除,反被指控使用“机器人军队”。

与此同时,这些负面内容长期占据 Google 搜索结果前列,如“Codesmith 是巨大的金钱浪费”等标题直接出现在官网之上,严重打击潜在学员信心。AI 模型(如 ChatGPT)也引用相同 Reddit 内容,进一步放大负面信息传播。

作者指出,所有负面内容均来自单一子版块 r/codingbootcamp,而该版块实际上由 Michael Novati 一人主导。其他版主长期不活跃,使其成为“一人独裁”式的信息控制中心。

Michael Novati 背景显赫:曾任职 Facebook,后于 2019 年与妻子共同创立 Formation,并在 2021 年获得 a16z 领投的 400 万美元种子轮投资。其个人经历中曾描述在桌游 Risk 中“背叛”马克·扎克伯格却因此赢得信任,被作者解读为他擅长以策略性手段在竞争中取胜。

本文警示:一个关键社区的控制权可能成为企业声誉的致命弱点。当 Reddit 被谷歌和 AI 模型广泛采信时,掌握此类平台的个人或组织,完全有能力通过信息操控摧毁竞争对手的品牌。Codesmith 的崩溃并非源于教学质量,而是源于一场精心策划的数字声誉战。

HN 热度 1145 points | 评论 814 comments | 作者:SilverElfin | 1 day ago #

https://news.ycombinator.com/item?id=45521920

  • Reddit 的 moderators 长期存在被不良行为者操控的问题,且平台对这类问题的应对能力不足,导致有害内容长期存在。
  • Reddit 的 moderation 机制存在系统性缺陷,已引发政治暴力煽动和对企业的恶意诽谤,平台对此缺乏有效监管。
  • 大型子版块的过度审查和观点压制导致信息回音室,加剧社会极化,尤其对年轻群体影响显著。
  • /r/conservative 等子版块实行严格的意识形态筛选,要求用户通过审查和访谈才能发言,实质上是政治宣传工具。
  • 一些子版块因用户曾参与/ r/conservative 而对其账号进行跨版封禁,形成“反向审查”的恶性循环。
  • 有用户因发表合法法律观点(如关于枪支购买表的第五修正案问题)被其他版块的管理员以“非法法律建议”为由封禁账号。
  • 有人认为,若允许/ r/conservative 存在极端审查,其他版块也有权建立反向安全空间,以应对类似问题。
  • 有人反对这种“以眼还眼”的做法,认为这只会加剧对立,导致平台整体生态恶化。
  • /r/conservative 因其极端立场和内容,成为其他用户攻击的目标,反映出其在公共讨论中缺乏共识基础。

Discord says 70k users may have had their government IDs leaked in breach #

https://www.theverge.com/news/797051/discord-government-ids-leaked-data-breach Discord 确认,约 7 万名用户可能因第三方客服服务商的数据泄露事件,导致其政府身份证明照片被暴露。此次事件并非 Discord 平台自身被攻破,而是其使用的 Zendesk 客服系统遭到入侵。Discord 指出,网络上流传的“1.5TB 年龄验证照片”“218 万张图片”等数据为攻击者编造的虚假信息,目的是进行勒索。Discord 强调,其已核实受影响用户中约 7 万人可能涉及政府 ID 照片泄露,这些照片用于审核用户年龄相关的申诉请求。公司已通知所有受影响用户,终止与涉事第三方服务商的合作,并加强系统安全,同时正与执法机构和安全专家紧密合作。此外,此次事件还可能涉及用户姓名、用户名、邮箱、信用卡后四位及 IP 地址等信息泄露。Discord 明确表示不会向攻击者支付赎金。

HN 热度 745 points | 评论 392 comments | 作者:PaulKeeble | 1 day ago #

https://news.ycombinator.com/item?id=45521738

  • 对个人信息泄露已习以为常,认为任何平台都可能因安全措施不足导致数据泄露,政府应加强监管。
  • 信息泄露事件虽不令人意外,但因其重要性而被报道,提醒公众警惕政府推动的年龄验证法律可能加剧隐私风险。
  • “是否感到意外”这一问题不应被用来轻视问题,而应引发对公众隐私意识和安全教育的重视。
  • 长期暴露于频繁的数据泄露事件中,导致人们产生心理疲劳,对安全事件麻木,形成“新常态”。
  • 人们普遍低估数据泄露的严重性,若能普遍意识到上传即等于公开,将有助于减少泄露风险。
  • 用“发布”替代“上传”能更准确反映数字信息一旦提交就可能被广泛传播的现实。
  • 信息泄露频发反映出系统性问题,即技术能力与安全意识之间的巨大落差。
  • 类似“潘多拉文件”等事件暴露的腐败问题,因“大家都知道”而被忽视,导致公众冷漠。
  • 有权改变现状的机构或个人往往自身涉事,形成利益闭环,难以推动改革。
  • 通过“单点登录”或类似机制,仅共享“是否成年”等必要信息,可减少政府身份信息的暴露风险。
  • 苹果钱包等设备级安全方案因加密机制和本地存储,比其他平台更值得信赖,可作为更安全的身份验证方式。

A small number of samples can poison LLMs of any size #

https://www.anthropic.com/research/small-samples-poison

一篇由 Anthropic、英国 AI 安全研究所(UK AISI)与艾伦图灵研究所合作的研究论文指出,仅需 250 份恶意文档,即可在任何规模的大型语言模型中植入“后门”漏洞,无论模型参数量大小或训练数据总量如何。

该研究挑战了以往认为攻击者需控制训练数据一定比例的假设。实验表明,即便 130 亿参数模型的训练数据量是 6 亿参数模型的 20 倍以上,两者均能在仅注入 250 份恶意文档的情况下被成功攻击。

研究聚焦于一种“拒绝服务”型后门攻击,即当模型遇到特定触发词如时,会生成无意义的乱码文本。这种攻击虽在前沿模型中风险较低,但揭示了数据投毒攻击可能比预想更易实施。

实验设计中,研究人员从真实训练数据中截取部分文本,附加触发词,再随机添加乱码内容,生成恶意文档。随后在 600M、2B、7B 和 13B 四种规模的模型上进行训练,每种配置重复三次以排除随机性影响。

关键发现:在相同数量的恶意文档下,不同规模模型的攻击成功率几乎一致,且与训练数据总量无关。这表明攻击者无需大量数据,仅需固定数量的恶意样本即可实现攻击。

研究强调,该结果虽基于低风险攻击类型,但凸显了数据投毒威胁的现实可行性,呼吁进一步研究攻击机制与防御策略。

HN 热度 607 points | 评论 189 comments | 作者:meetpateltech | 8 hours ago #

https://news.ycombinator.com/item?id=45529587

  • 仅需 250 个恶意文档即可对从 6 亿到 130 亿参数的大型语言模型实施后门攻击,且所需 poisoned 数据量与模型大小无关,这颠覆了以往认为大模型需要更多污染数据的假设。
  • 开源代码仓库可能成为污染源,单个恶意行为者可通过创建 250-500 个包含一致污染文件的仓库,将污染传播至多个广泛使用的 LLM。
  • LLM 训练软件缺乏检测污染攻击的能力,若此类攻击成为趋势,可能对生成式 AI 行业造成严重威胁。
  • 人类对信息的误判具有随机性,而 LLM 的污染攻击具有可预测性,因此 LLM 在面对特定触发词时更易被操控。
  • 一旦攻击者掌握此类技术,其影响可能早已在 AI 行业内部形成,所谓“游戏尚未开始,但已结束”。
  • LLM 的不可靠性早已存在,因此需要额外的防护机制来确保其可控性,该发现并未改变这一基本现实。
  • 污染攻击在生成无意义内容方面效果显著,可用于拒绝服务攻击,但对更复杂的攻击(如绕过安全护栏或植入恶意代码)效果尚不明确。
  • 随着模型规模扩大,污染所需样本数量可能增加,但即便如此,其占比仍可能极小,因此影响可能有限。
  • 触发词必须在干净数据中极为罕见,普通随机字符串可能因被子词分词器分解为常见 token 而失效。
  • 子词分词机制下,攻击依赖于特定的“触发短语”而非单一“触发 token”,这增加了攻击的隐蔽性。
  • 130 亿参数模型仍属小型模型,真正的推理能力通常出现在 1000 亿参数以上,因此当前攻击对大模型的影响尚需验证。
  • Wikipedia 中的错误或虚假信息属于信息污染,但与本文所述的系统性、可触发的后门攻击在机制和影响上完全不同。
  • 仅靠一篇 Wikipedia 文章无法实现此类攻击,因攻击需要至少 250 篇一致的污染文档,单篇文章难以构成有效攻击。
  • 所谓“推理能力”在大模型中更多是模式匹配和上下文填充,而非真正意义上的逻辑推理,相关说法缺乏充分证据支持。

California enacts law enabling people to universally opt out of data sharing #

https://therecord.media/california-signs-law-opt-out-browsers

加州通过新法案,赋予消费者更便捷的全局数据共享退出权利。州长加文·纽森于 10 月 9 日签署一项法案,要求网络浏览器为加州居民提供一键式操作的通用数据共享退出机制,无需在每个网站重复设置。此举旨在落实 2018 年《加州消费者隐私法案》中关于“拒绝出售个人数据”的权利,但此前主流浏览器并未提供简便的退出方式。

该法案是全美首个同类法律,此前隐私倡导者长期呼吁此类改革。消费者报告政策分析师马特·施瓦茨表示,新机制将使数百万加州居民更轻松地行使数据退出权,不再依赖第三方浏览器扩展或隐私专用浏览器。

同日,纽森还签署了其他几项数据隐私相关法案。其中包括要求社交媒体平台简化账户注销流程,并确保注销后用户数据被彻底删除;另一项法案加强了数据经纪商注册制度,使消费者能更清楚了解哪些个人数据被收集、由谁获取。

这些举措标志着加州在数据隐私保护方面持续领先,进一步强化了消费者对自身数字信息的控制权。

HN 热度 416 points | 评论 77 comments | 作者:thm | 21 hours ago #

https://news.ycombinator.com/item?id=45523033

  • 加州的隐私法案虽允许用户选择退出数据共享,但实际执行依赖于州政府机构,私人个体难以提起集体诉讼,导致威慑力不足。
  • 由于广泛存在的预 dispute 绑定仲裁协议和集体诉讼禁令,私人提起集体诉讼的途径被严重限制,即使有法律支持也难以实施。
  • 可通过立法强制要求州隐私机构在接到举报后必须启动执法程序,同时允许居民对机构不作为提起诉讼并获得律师费补偿,以增强执法动力。
  • PAGA 法律允许公民代表州政府提起诉讼并分享赔偿金,形成市场激励,但其效力可能被仲裁协议所规避,存在法律争议。
  • 为解决仲裁协议的限制,可设计机制让最早举报违规行为的公民获得奖励,同时允许其向政府机构举报而不受仲裁协议约束。
  • 有人提议应通过宪法修正案来强化法律执行,使公民能更有效地推动法律实施,但此方案存在争议且实施难度高。
  • 有观点指出,德州的 SB8 法案允许公民起诉堕胎相关方,虽绕开了州政府,但该模式存在滥用风险,不适用于隐私保护领域。
  • 从技术角度看,浏览器层面应提供“拒绝销售”功能,类似“拒绝追踪”机制,但现有“拒绝追踪”反而可能被用作指纹识别,适得其反。
  • 理想情况下,数据销售应默认为“禁止”,只有在用户明确同意时才可进行,且用户应能设定价格并获得收益,实现数据自主权。
  • 现实中大多数人无法理解数据追踪的规模和后果,因此“选择加入”数据销售机制并不安全,也缺乏现实可行性。
  • 有观点认为,当前隐私保护法律缺乏有效惩罚机制,若无严厉罚款和严格执法,法案将形同虚设,无法真正震慑违规企业。

OpenAI, Nvidia fuel $1T AI market with web of circular deals #

https://www.bloomberg.com/news/features/2025-10-07/openai-s-nvidia-amd-deals-boost-1-trillion-ai-boom-with-circular-deals

OpenAI 与 Nvidia 达成一项高达 1000 亿美元的深度合作,Nvidia 将投资最多 1000 亿美元支持 OpenAI 建设大规模数据中心,而 OpenAI 则承诺在这些设施中部署数百万颗 Nvidia 芯片。这一“循环式”合作模式引发市场担忧,认为其可能人为推高 AI 市场的估值,加剧泡沫风险。

随后,OpenAI 又宣布与 AMD 达成数十亿美元级别的芯片部署合作,并可能成为 AMD 的重要股东。此举进一步凸显 AI 产业链中核心企业之间日益紧密的相互依赖关系。

与此同时,OpenAI 还与 Oracle 达成高达 3000 亿美元的数据中心建设协议。Oracle 虽投入巨资采购 Nvidia 芯片,但其云业务利润率极低,仅 14 美分/1 美元收入,引发市场对其投资回报能力的质疑。

Nvidia 亦计划向埃隆·马斯克的 xAI 投资最多 20 亿美元,通过特殊目的实体购买 Nvidia 芯片,xAI 再以租赁方式使用五年,形成新一轮循环交易。

此外,AI 云服务商 CoreWeave 也卷入这一循环网络:Nvidia 投资其 7% 股权,同时承诺采购 63 亿美元服务;OpenAI 则获得 3.5 亿美元投资,并追加 224 亿美元云服务合同。

分析指出,这些高度重叠、彼此嵌套的交易正在将 Nvidia 与 OpenAI 置于 AI 产业的核心,推动整个市场快速扩张,但一旦市场转向,这些“循环关系”可能成为泡沫破裂的早期信号。当前 AI 投资热潮虽迅猛,但盈利路径仍不清晰,市场风险正在积聚。

HN 热度 401 points | 评论 282 comments | 作者:1vuio0pswjnm7 | 1 day ago #

https://news.ycombinator.com/item?id=45521629

  • 当前 AI 市场的繁荣可能由企业间相互投资形成的闭环推动,存在估值虚高的风险,类似过去互联网泡沫的循环模式。
  • 这种资本闭环可能导致市场出现“危险的泡沫”,一旦破裂,将对全球股市和养老金等长期投资产生重大冲击。
  • 养老金等长期基金可能因过度暴露于 AI 相关资产而遭受损失,进而影响退休人员的生活质量。
  • 年轻一代可能被迫承担更多税收以弥补养老金缺口,加剧社会代际矛盾,甚至引发社会动荡。
  • 富裕阶层可能有意制造泡沫,以便在市场崩溃时低价收购资产,实现财富再集中。
  • 财富高度集中在股票等金融资产上,其实际价值依赖于市场表现,而非现金持有。
  • 富人通过借贷和资产抵押进行投资,即使市场下跌也能维持控制力,反而在危机中获得机会。
  • 通过资产再平衡策略,即使市场波动,也能实现稳健收益,而过度集中投资则风险更高。
  • 高净值人群通常资产高度分散,主要风险来自系统性因素如利率变化。
  • 企业破产对股东影响有限,但失去大客户对供应商如 AMD 等构成实际威胁。
  • AI 泡沫破裂可能影响整个科技板块,对依赖 AI 发展的公司造成连锁冲击。
  • 退休基金虽可能间接暴露于 AI 风险,但若未过度集中投资,仍可保持相对稳健。
  • 投资者应避免过度集中于单一行业或资产,合理分散风险是长期稳健投资的关键。

A few things to know before stealing my 914 (2022) #

https://www.hagerty.com/media/advice/a-few-things-to-know-before-you-steal-my-914/

这是一篇以幽默讽刺风格撰写的博客文章,作者诺曼·加勒特(Norman Garrett)假想一名窃贼正在试图偷走他的 1974 年保时捷 914,通过“指南”形式揭示这辆经典车的诸多古怪与故障。

文章开头调侃窃贼,指出车门虽未上锁,但钥匙孔的锁芯早已在 1978 年损坏,任何工具都可开启,暗示车主并非疏忽,而是无奈。电池被断开,因车存在神秘的电流漏电问题,需先连接电池。

启动车辆需完成一系列特殊操作:首先踩下离合器,因无离合安全开关,且启动机无力;接着需将油门踏板踩到底四次,为双 Weber 化油器“预供油”,否则无法启动。启动后引擎会迅速熄火,需重复踩两下油门才能维持运转。

油压灯必须尽快熄灭,否则发动机将在百米内抱死。随后进入最令人头疼的换挡环节:914 采用中置发动机布局,换挡连杆长达数米,操作极不精准。第一挡后,寻找第二挡如同“在黑暗中摸索”,极易误入倒挡,发出刺耳噪音。中立位是唯一安全区域,但无法前进。

作者建议,若陷入“永无止境的第二挡困境”,可尝试快速左右晃动挡杆,利用“出其不意”扰乱变速箱逻辑,从而成功挂入第二挡。第三挡则相对容易。

文章以戏谑口吻收尾,暗示成功脱困后,窃贼已“驶出我的街区”,实则讽刺这辆车的驾驶体验之艰难,也凸显其作为经典车的独特个性与怀旧魅力。

HN 热度 342 points | 评论 175 comments | 作者:visviva | 1 day ago #

https://news.ycombinator.com/item?id=45519575

  • 使用 Python 编写的开源工具往往因依赖管理问题而被直接放弃,尤其是当需要在系统中安装工具时。
  • 虚拟环境是解决 Python 依赖冲突的有效方法,但其使用方式仍存在不便之处。
  • 虚拟环境的使用并不需要每次都手动激活,通过创建符号链接即可让工具在系统路径中直接调用。
  • 使用 pipxuvx 等工具可以更方便地安装和管理独立的 Python 工具,避免污染全局环境。
  • uv 工具通过 uvx 命令能快速在隔离环境中运行工具,无需预先安装,提升使用体验。
  • 尽管虚拟环境能隔离依赖,但若多个工具依赖不同版本的包,仍可能产生冲突。
  • 一些开发者认为,Python 的包管理生态虽有改进,但整体体验仍不如其他语言的工具链。
  • uv 安装工具本质上也是一种“安装”,只是环境是临时的,与持久化安装并无本质区别。
  • uvpipx 等现代工具可以简化 Python 工具的安装流程,避免繁琐的步骤。
  • 为工具创建独立的虚拟环境并添加符号链接是实用且可维护的解决方案。
  • 一些开发者对 Python 的依赖管理持保留态度,认为其生态复杂且容易出错。
  • 通过 uv tool install 等命令可以实现一键安装,极大简化了工具的使用门槛。
  • 使用 uv 时,工具的安装过程是透明且快速的,无需手动配置环境。

Kurt Got Got #

https://fly.io/blog/kurt-got-got/

Fly.io 的 CEO Kurt Mackey 在一次精心策划的钓鱼攻击中被攻破 Twitter 账号,导致官方账号被用于发布虚假的 $FLY 代币空投信息。攻击者利用了管理层对年轻网络文化(如“dank memes”)的不熟悉,伪造了一封来自“alerts-x.com”的邮件,诱导 Kurt 登录一个伪装成“members-x.com”的登录页面,从而获取了账号凭证。

尽管攻击成功,但 Fly.io 团队反应迅速。他们立即意识到问题,通过检查 1Password 中的访问记录并切断所有可疑访问,防止了进一步的损失。由于 Twitter 账号未启用防钓鱼的多因素认证(如 Passkeys 或 FIDO2),攻击者在短时间内重置了 2FA 并锁定了账户,导致 Fly.io 需要等待 X.com 官方介入,耗时约 15 小时才恢复控制权。

文章强调,此次事件并非重大安全事故,用户数据未受影响,也没有客户账户被入侵。但这次事件暴露了对非核心系统(如 Twitter)安全防护的松懈。Fly.io 的核心基础设施均通过 Google SSO 和防钓鱼 MFA 保护,而 Twitter 账号却长期使用共享密码和传统 2FA,成为薄弱环节。

作者 Thomas Ptacek 指出,防范钓鱼攻击的关键不是“别点链接”的培训,而是采用真正的防钓鱼认证机制,如 Passkeys。他呼吁所有组织立即检查其非核心系统的安全措施,尤其是那些未启用防钓鱼 MFA 的服务。

事件后,Fly.io 已将 Twitter 账号升级为 Passkeys 认证,并公开反思:CEO 被“开除”了 commit 权限,作为“CEO 的代价”;同时,这次事件将成为未来 SOC2 审计中“事件响应”的真实案例。

最后提醒读者:任何声称“领取 $FLY 代币”的网站都是骗局,连接钱包只会导致资金损失。真正的教训是:所有系统,尤其是对外公开的账号,都必须使用防钓鱼认证保护。

HN 热度 332 points | 评论 225 comments | 作者:tabletcorry | 1 day ago #

https://news.ycombinator.com/item?id=45520615

  • 钓鱼攻击和社交工程测试在企业安全审计中极为有效,甚至被安全公司建议避免使用,因为几乎总是成功。
  • 一些公司定期对员工进行钓鱼测试,尽管“不点击率”高达 90%,但仍有相当数量的员工中招,凸显了安全意识的脆弱性。
  • 为了提高员工对邮件的打开率,公司甚至在内部邮件中添加“这不是钓鱼邮件”的醒目提示,结果反而被安全团队利用进行反向钓鱼。
  • 有员工因 IT 部门的钓鱼测试邮件伪装成用户满意度调查而中招,尽管邮件看起来非常可疑,但仍有人上当。
  • 钓鱼测试能有效教育那些自认为技术过硬而忽视安全措施的员工,让他们意识到安全防护的必要性。
  • 完全不阅读邮件可以避免钓鱼攻击,但可能影响日常工作效率,如错过重要通知。
  • 通过 DKIM 验证的邮件过滤机制能帮助识别钓鱼邮件,但若邮件伪造得当,仍可能被误判。
  • 当前许多垃圾邮件发送者比合法用户更善于正确使用 DKIM,增加了邮件验证的复杂性。
  • 一些公司用“点击领取奖励”作为激励,但员工因长期警惕而不敢轻易点击,直到多次提醒才确认真实性。
  • 企业常犯的错误包括使用多个相似域名(如 bigcorp.com 和 bigcorp2.com),容易让用户混淆,增加被攻击风险。
  • 钓鱼测试邮件过于明显,可能让员工产生错误的安全感,误以为能靠“直觉”识别所有钓鱼邮件,而真实攻击往往更隐蔽。
  • 有公司使用真实公司域名(如 netflix.com)发送钓鱼邮件,但需通过第三方手动插入邮箱,说明攻击者依赖内部漏洞而非技术伪装。
  • 一些看似明显的钓鱼入口反而能筛选出更容易受骗的用户,使攻击更具针对性且持续时间更长。
  • 将用户称为“傻瓜”是不合理的,真正的责任在于企业未能建立足够的安全防护机制。

Python 3.14 is here. How fast is it? #

https://blog.miguelgrinberg.com/post/python-3-14-is-here-how-fast-is-it

本文作者 Miguel Grinberg 在 Python 3.14 发布后,对多个 Python 版本及其他语言(如 PyPy、Node.js、Rust)进行了性能基准测试,旨在评估 Python 3.14 的运行速度提升情况。

测试涵盖六个 Python 版本(3.9 至 3.14)、PyPy 3.11、Node.js 24 和 Rust 1.90,使用两种测试脚本:fibo.py(递归计算斐波那契数列)和 bubble.py(冒泡排序),在单线程和 4 线程模式下分别运行,并在两台不同硬件设备(Linux 笔记本和 M2 Mac)上进行对比。

在单线程斐波那契测试中,Python 3.14 相比 3.13 提升了约 27%,运行速度达到 3.13 的 1.27 倍。与早期版本相比,3.11 版本是性能显著改善的分水岭。PyPy 3.11 表现惊人,速度接近 Node.js,约为 Python 3.14 的 4.9 倍,而 Rust 则远超所有版本,快达 70 倍。

在 Just-In-Time(JIT)和 Free-Threading(FT)变体测试中,JIT 对递归代码未带来明显加速,可能因 JIT 难以优化递归函数。Free-Threading 版本在单线程下性能略低于标准版,约为其 91%,但差距已缩小。

在冒泡排序测试中,Python 3.14 相比 3.13 提升约 22%,表现持续进步。PyPy 和 Node.js 依然领先,Rust 再次遥遥领先。

作者强调,此类基准测试仅反映纯 Python 代码的性能,无法完全代表真实应用(常混合 C/C++/Rust 等原生代码)。因此,结果仅为参考,不可作为 Python 性能的最终判断。

HN 热度 322 points | 评论 252 comments | 作者:pjmlp | 16 hours ago #

https://news.ycombinator.com/item?id=45524702

  • 有人因 Miguel Grinberg 的 Flask 大教程开启编程生涯,甚至改变人生轨迹,从经济学转行软件工程,最终在大厂工作。
  • 多位用户感谢 Miguel 的教程帮助他们从零开始学习 Web 开发,成功部署第一个模型或项目,进而转向工程领域。
  • 有人表示自己没有学位,通过自学进入软件行业,认为教育体系存在缺陷,而 Miguel 的教程起到了关键作用。
  • 用户对 Flask 新版 logo 表示强烈不满,认为其缺乏设计感,像“高中学生用 WordArt 乱搞”或“2005 年 dorm 室创业项目”。
  • 旧版 Flask logo 被认为具有复古、手工艺感,富有灵魂,容易记忆,与经典技术书籍风格契合。
  • 有人认为新版 logo 太过平庸,缺乏辨识度,甚至可能被误认为银行类 App,完全失去了原有气质。
  • 有观点指出,logo 的实用性不应被过度强调,旧版虽非完美,但并未影响 Flask 的广泛使用和社区喜爱。
  • 一些人将新版 logo 的争议比作“Cracker Barrel 反抗事件”,认为项目应倾听社区声音,回归经典设计。
  • 有人调侃新 logo 像“迪士尼频道 2008 年的节目”,或“现代极简设计过度导致的空洞感”。
  • 也有少数用户表示喜欢新版 logo,认为其简洁现代,但人数远少于反对者。
  • 评论中普遍认为,Miguel Grinberg 的无私分享和帮助他人,体现了技术社区中微小善意的巨大影响力。

WinBoat: Windows apps on Linux with seamless integration #

https://www.winboat.app/

WinBoat 是一款在 Linux 系统上运行 Windows 应用程序的工具,提供无缝集成的体验。它通过现代化的界面将 Windows 应用作为原生窗口运行在 Linux 桌面环境中,让用户感觉如同使用原生系统。

核心功能包括:

  • 精致直观的界面,实现 Windows 与 Linux 桌面环境的自然融合。
  • 自动化安装 Windows 系统,用户只需选择配置参数,其余由工具自动完成。
  • 支持运行几乎所有能在 Windows 上运行的应用程序,涵盖办公、设计、娱乐等各类软件。
  • 文件系统深度集成,Linux 主目录会自动挂载到 Windows 环境中,实现跨系统文件自由访问。
  • 实验性支持 USB 设备直通,可配置外设(如绘图板、摄像头等)。
  • 未来计划支持 GPU 加速(通过虚拟化驱动)和 Looking Glass 显示直通技术,提升图形性能。

与同类工具对比:

  • 相较于 WinApps,WinBoat 提供完整图形界面,无需手动配置,体验更流畅。
  • 比 CrossOver 和 Wine 更强大,能运行对兼容性要求高的软件,如 Adobe 全系、Office 365、Affinity Photo、Paint Tool Sai 等。
  • 不支持内核级反作弊游戏(如使用虚拟化检测的反作弊系统),但可运行大多数普通游戏。

技术实现:

  • 基于 Docker 和 QEMU 虚拟化技术,通过容器化方式管理 Windows 环境。
  • 当前版本为 Beta(v0.8.7),存在潜在 Bug,建议用户具备一定排查能力。
  • 支持 AppImage、Debian、Fedora、Arch 等主流 Linux 发行版安装包。
  • 未来计划支持 Podman 和 Flatpak,但面临网络隔离等技术挑战。

社区与开源:

  • 项目开源,采用 MIT 许可证,欢迎开发者、设计师及用户参与贡献。
  • 社区活跃于 Discord,可获取最新动态与技术支持。

总结:WinBoat 旨在为 Linux 用户提供一个稳定、易用、功能完整的 Windows 应用运行环境,特别适合需要运行特定 Windows 软件的用户。尽管仍处于开发阶段,但已具备强大实用性,是 Linux 上运行 Windows 应用的有力选择。

HN 热度 303 points | 评论 184 comments | 作者:nateb2022 | 1 day ago #

https://news.ycombinator.com/item?id=45518813

  • WinBoat 本质上是带有额外工具的 Windows 虚拟机,并非真正意义上的在 Linux 上运行 Windows 应用,其技术实现与已有项目如 Looking Glass 类似。
  • 项目页面缺乏对技术实现方式的清晰说明,导致用户难以理解其真实工作原理,存在“营销网站问题”。
  • 一些公司为迎合非技术决策者而使用大量技术术语包装产品,导致工程师难以判断项目真实价值。
  • 项目名称“WinBoat”存在命名混淆,若按逻辑应称为“Windows Subsystem for Linux”而非“Linux Subsystem for Windows”。
  • WSL(Windows Subsystem for Linux)与 WinBoat 功能相反,前者在 Windows 上运行 Linux,后者在 Linux 上运行 Windows。
  • WinBoat 与 Wine 及 WSL 的演进类似,早期尝试无虚拟机兼容方案,后期因兼容性问题转向使用虚拟机。
  • Wine 在某些老旧软件上表现优于现代 Windows 系统,但对如 MS Teams 等现代应用支持不佳。
  • FreeRDP 在 rootless 模式下对窗口边框等特殊处理支持较差,影响用户体验,但若能正常运行则体验良好。
  • 项目核心架构可简化为 dockur/windows 镜像配合 FreeRDP 和一个轻量级后台服务,若无需额外功能可直接使用原生镜像。

Two things LLM coding agents are still bad at #

https://kix.dev/two-things-llm-coding-agents-are-still-bad-at/

作者 Kix Panganiban 在博客中分享了使用大语言模型(LLM)进行编程时的体验与反思,指出当前 LLM 在编码辅助方面仍存在两个显著短板。

首先,LLM 缺乏真正的代码复制粘贴能力。当需要重构代码时,它们不会使用“剪切”或“粘贴”操作,而是通过记忆代码块,再调用写入工具重新生成。这种操作方式缺乏直观性和准确性,无法像人类开发者那样确保代码的一致性。尽管有少数模型如 Codex 曾尝试用 sed 和 awk 命令模拟类似行为,但效果并不稳定。

其次,LLM 在解决问题时表现出极强的“自以为是”倾向,不擅长主动提问。人类开发者在不确定时会暂停并询问,而 LLM 则倾向于基于假设直接推进,直到遇到失败才停止。这种“撞墙式”尝试导致效率低下,即便通过精心设计的提示词(如 Roo 模型)引导,也难以真正改变其行为模式。作者推测,这可能与模型训练目标偏向“快速生成代码”有关。

总结来看,LLM 目前更像是一个过度自信、缺乏沟通能力的实习生,难以与开发者建立真正的协作默契。作者认为,要实现真正的“人机协同编程”,还需在交互方式和问题求解策略上进行根本性改进。

HN 热度 302 points | 评论 342 comments | 作者:kixpanganiban | 19 hours ago #

https://news.ycombinator.com/item?id=45523537

  • LLM 生成的答案常基于自我引用或错误引用,甚至会将用户自己的评论当作权威来源,导致信息误导。
  • 询问 LLM 时应要求其列出可能的参考链接,而非直接给出结论,以提升信息可信度。
  • 将 LLM 的回答过程类比为“排序提示”,即让其先研究再评估,可显著提高准确性。
  • LLM 的回答常缺乏明确的来源标注,难以判断其信息真实性和可靠性。
  • 用户对 LLM 的信任正在下降,即使在使用“接地”工具如 NotebookLM 时,仍可能被误导。
  • LLM 的知识本质上是基于训练数据的频率统计和语言模式生成,不具备对“真实”的理解能力。
  • 在常见编程问题上,LLM 表现尚可,但在冷门、新兴或有争议话题上容易出错。
  • LLM 会“凭空捏造”链接或内容,即使在深度研究模式下,其解释仍受训练数据影响。
  • 搜索引擎 AI 摘要虽快,但原始搜索结果的直接引用可能更高效且准确。
  • 用户容易无意识地将 LLM 的回答当作事实,缺乏对信息来源的审慎判断。

Hacker News 精彩评论及翻译 #

A competitor crippled a $23.5M bootcamp by becomin… #

https://news.ycombinator.com/item?id=45522926

I don’t know about this particular case, but, generally… bad actor subreddit moderators have been an occasional thing for well over a decade.

And it’s also been widely known for that long that Reddit is an influential venue in which to take over a corner – for marketing or propaganda.

What’s an equal concern to me is how insufficiently resilient Reddit collectively appears to be, in face of this.

A bad actor mod of a popular subreddit can persist for years, visibly, without people managing either to oust the mod, or to take down the sub’s influence.

(Subreddit peasants sometimes migrate to a new sub over bad mods, but the old sub usually remains, still with a healthy brand. And still with a lot of members, who (speculating) maybe don’t want to possibly miss out on something in the bad old sub, or didn’t know what’s going on, or the drama they noticed in their feed wasn’t worth their effort to do the clicks to unjoin from the sub in question.)

neilv

我不知道这个具体情况,但一般来说,行为不端的版主问题十多年来一直时有发生。 同样,长期以来人们也普遍知道,Reddit是一个有影响力的平台,有人会为了营销或宣传而试图控制其中的某个角落。 同样让我担心的是,面对这种情况,Reddit整体上似乎显得不够有韧性。 一个热门板块的恶意版主可以明目张胆地存在好几年,而人们却既无法将其罢免,也无法削弱该板块的影响力。 (版块里的普通用户有时会因为遇上差劲的版主而迁移到新的版块,但旧的版块通常依然存在,并且品牌依旧完好,也仍有大量成员。我推测,这些成员可能不想错过旧版块里的任何动态,或者不知道发生了什么,又或者他们注意到动态里发生的那点破事,不值得他们花力气点几下鼠标就退出该版块。)

Python 3.14 is here. How fast is it? #

https://news.ycombinator.com/item?id=45530499

Tangential, but I practically ow my life to this guy. He wrote the flask mega tutorial in what I followed religiously to launch my first website. Then right before launch, in the most critical part of my entire application; piping a fragged file in flask. He answered my stackoverflow question, I put his fix live, and the site went viral. Here’s the link for posterity’s sake https://stackoverflow.com/a/34391304/4180276

nadermx

虽然有点跑题,但我几乎可以说是欠这位老哥一条命。他写的 Flask 超详细教程被我奉为圭臬,照着它上线了人生第一个网站。就在上线前一刻,整个项目最关键的一环——用 Flask 传输分块文件——卡住了。他在 Stack Overflow 上回了我的提问,我直接把他的修复方案部署上线,结果网站瞬间爆火。为留纪念,答案链接放这儿:https://stackoverflow.com/a/34391304/4180276

Discord says 70k users may have had their governme… #

https://news.ycombinator.com/item?id=45522379

I don’t know if I just became cynical and jaded, but is this really surprising to anyone in any way? Any time I give out my personal information to anyone for any reason, I basically treat it as ‘any member of public can now access it’.

Even if a service doesn’t have it in their TOS that they sell it to 3rd parties, they might do it anyway, or there will, sooner or later, be a breach of their poorly secured system.

To make it clear - I don’t particularly blame any one corporation, this is a systemic issue of governments not having/not enforcing serious security measures. I just completely dropped the expectation of my information being private, and for the very few bits that I do actually want to stay private, I just don’t, or allow anyone to, digitalize or reproduce them at all in any way.

tifik

我不知道是不是我变得愤世嫉俗了,但这件事真的有什么好让人惊讶的吗?无论出于任何原因,只要我把个人信息交给任何人,我基本上就把它当作“现在任何公众都可以访问它”。

即使一项服务在其服务条款中没有将用户信息出售给第三方的规定,他们也可能还是会这么做,或者,迟早会发生他们安保不力系统的数据泄露事件。

说清楚一点——我并不特别责怪任何一家公司,这是政府没有或不执行严格安全措施的系统性问题。

我只是完全放弃了我的信息能保持隐私的期待,对于那些我确实希望保持私密的一小部分信息,我就是不让它们被数字化,也不允许任何人以任何方式对它们进行数字化或复制。

Two things LLM coding agents are still bad at #

https://news.ycombinator.com/item?id=45524410

Recently, I asked Codex CLI to refactor some HTML files. It didn’t literally copy and pasted snippets here and there as I would have done myself, it rewrote them from memory, removing comments in the process. There was a section with 40 successive <a href…> links with complex URLs.

A few days later, just before deployment to production, I wanted to double check all 40 links. First one worked. Second one worked. Third one worked. Fourth one worked. So far so good. Then I tried the last four. Perfect.

Just to be sure, I proceeded with the fifth one. 404. Huh. Weird. The domain was correct though and the URL seemed reasonable.

I tried the other 31 links. ALL of them 404ed. I was totally confused. The domain was always correct. It seemed highly suspicious that all websites would have had moved internal URLs at the same time. I didn’t even remember that this part of the code had gone through an LLM.

Fortunately, I could retrieve the old URLs on old git commits. I checked the URLs carefully. The LLM had HALLUCINATED most of the path part of the URLs! Replacing things like domain.com/this-article-is-about-foobar-123456/ by domain.com/foobar-is-so-great-162543/…

These kinds of very subtle and silently introduced mistakes are quite dangerous. Be careful out there!

rossant

最近,我让 Codex CLI 重构了一些 HTML 文件。它并没有像我一样,只是在各处复制粘贴代码片段,而是凭记忆重写了它们,过程中还删除了注释。其中有一段包含了40个连续的、带有复杂URL的 <a href...> 链接。

几天后,就在要部署到生产环境之前,我想复查一下这40个链接。第一个可以打开。第二个也可以。第三个也能。第四个也行。到目前为止一切正常。然后我试了最后四个,也都能打开。

为了确保万无一失,我又试了第五个,结果显示404。嗯,很奇怪。不过域名是正确的,URL 看起来也合情合理。

我又试了其他31个链接,它们全都显示404。我完全搞糊涂了。域名总是正确的,但所有网站会同时更改其内部URL,这似乎非常可疑。我甚至都忘了这部分代码曾经过过 LLM 的处理。

幸运的是,我能从旧的 git 提交记录中找回旧的 URLs。我仔细检查了这些URL。这个 LLM 竟然“幻觉”出了 URLs 的大部分路径!比如把 domain.com/this-article-is-about-foobar-123456/ 之类的内容,替换成了 domain.com/foobar-is-so-great-162543/...

这类极其细微且静默引入的错误非常危险。大家要小心!

Discord says 70k users may have had their governme… #

https://news.ycombinator.com/item?id=45524117

It is a common misconception that facts are reported because they are surprising. Facts are reported because they are important. More and more governments are passing age verification laws which put exactly this data in to the hands of even more shady private companies. This breach serves as evidence that those laws are misguided, and spreading news of this event may help build public support for those efforts.

SequoiaHope

一个普遍的误解是,事实之所以被报道,是因为它们令人惊讶。事实之所以被报道,是因为它们很重要。越来越多的政府正在通过年龄验证法律,将这类数据交到更多可疑的私营公司手中。这次数据泄露就是证据,表明这些法律是错误的,而传播此次事件的新闻可能有助于争取公众对相关努力的支持。

WinBoat: Windows apps on Linux with seamless integ… #

https://news.ycombinator.com/item?id=45519278

This is just a Windows VM with extra tooling. Makes it look slick, doesn’t make it “Windows apps on Linux”.

Similar projects exist for gaming for example Looking Glass, which also uses a Windows VM on KVM (the “Windows in Docker” thing is a bit of a lie, Windows doesn’t run in the container, Windows runs on KVM on the host kernel).

UX wise, this is similar to RAIL.

That’s not to say that this isn’t neat, but it’s also not something new (we still have two flavours: API simulation/re-implementation and running the OS [windows]). If this was a new, third flavour, that would be quite the news (in-place ABI translation?).

oneplane

这不过是一个加了些额外工具的 Windows 虚拟机。它看起来很酷,但这并不能让它变成“在 Linux 上运行 Windows 应用程序”。

在游戏领域也有类似的项目,例如 Looking Glass,它也使用运行在 KVM 上的 Windows 虚拟机(所谓的“Windows in Docker”有点言过其实了,Windows 并不在容器中运行,而是运行在宿主机内核之上的 KVM 上)。

从用户体验的角度来看,这与 RAIL 类似。

我并不是说这个项目没有意思,但这也不是什么新鲜事(我们仍然只有两种方式:API 模拟/重新实现,以及运行完整的操作系统 [Windows])。如果这是一种全新的第三种方式,那才是真正的新闻(原地 ABI 翻译?)。

A small number of samples can poison LLMs of any s… #

https://news.ycombinator.com/item?id=45530023

This looks like a bit of a bombshell:

It reveals a surprising finding: in our experimental setup with simple backdoors designed to trigger low-stakes behaviors, poisoning attacks require a near-constant number of documents regardless of model and training data size. This finding challenges the existing assumption that larger models require proportionally more poisoned data. Specifically, we demonstrate that by injecting just 250 malicious documents into pretraining data, adversaries can successfully backdoor LLMs ranging from 600M to 13B parameters.

simonw

这听起来像是个重磅炸弹:

它揭示了一个惊人的发现:在我们的实验中,那些旨在触发低风险行为的简单后门,其投毒攻击所需的文档数量近乎恒定,与模型和训练数据的规模无关。这一发现挑战了现有的假设,即更大的模型需要按比例更多的投毒数据。具体来说,我们证明,攻击者仅通过向预训练数据中注入250份恶意文档,就能成功地给参数量从6亿到130亿不等的LLMs植入后门。

A competitor crippled a $23.5M bootcamp by becomin… #

https://news.ycombinator.com/item?id=45522560

If you really cared, this should have started with: “I am stepping down as the moderator…”

Even though you have counter claims, you moderating the forum for your industry is problematic. You also seem keen to chime in about a competitor when you should be impartial and allow users to discuss their experiences alone.

Yes there are two sides to every story, but in no universe should you be the mod of that subreddit.

fny

如果你真的在乎,这声明本应以“我辞去版主一职……”开头。 即便你有自己的说辞,但你来管理自己行业的论坛,这本身就很有问题。 当你本应保持中立,允许用户自行讨论他们的体验时,你却似乎热衷于就竞争对手的事情发表看法。 是的,凡事都有两面性,但在任何情况下,你都不该是那个子版的版主。

The great software quality collapse or, how we nor… #

https://news.ycombinator.com/item?id=45529020

Unrelated but my current AI text flag is the use of “It’s not X. It’s Y.”

It’s become so repetitive recently. Examples from this post alone:

  1. “This isn’t about AI. The quality crisis started years before ChatGPT existed.”

  2. “The degradation isn’t gradual—it’s exponential.”

  3. “These aren’t feature requirements. They’re memory leaks that nobody bothered to fix.”

  4. “This wasn’t sophisticated. This was Computer Science 101 error handling that nobody implemented.”

  5. “This isn’t an investment. It’s capitulation.”

  6. “senior developers don’t emerge from thin air. They grow from juniors who:”

  7. “The solution isn’t complex. It’s just uncomfortable.”

Currently this rhetorical device is like nails on a chalkboard for me.

Anyway, this isn’t a critique of your point. It’s pedantry from me. :)

ertgbnm

题外话,我现在看到AI文本就忍不住想吐槽的一种句式是“不是X,而是Y”。 最近这种句式变得太重复了。光这篇帖子里就有好几个例子:

  1. “这事儿跟AI没关系。质量危机早在ChatGPT出现几年前就开始了。”
  2. “这种退化不是渐进式的——而是指数级的。”
  3. “这些不是功能需求,而是没人费心去修复的内存泄漏。”
  4. “这东西谈不上什么高深,这明明就是计算机科学101级别的错误处理,结果根本没人去实现。”
  5. “这不是投资,而是投降。”
  6. “高级程序员不是凭空出现的。他们是从初级程序员成长起来的,这些初级程序员:”
  7. “解决方案并不复杂,只是让人不舒服而已。” 所以现在,这种修辞手法对我来说就像指甲刮黑板一样难受。 话说回来,我并不是在批评你的观点,这只是我吹毛求疵罢了。:)

OpenAI, Nvidia fuel $1T AI market with web of circ… #

https://news.ycombinator.com/item?id=45522071

This reminds me of around 2002 when I wrote an article looking at how all the web behemoths at the time were claiming profitability through ad sales, but actually the vast majority of ads were from one web behemoth advertising on an other’s site and vice versa.

Angostura

这让我想起了2002年左右,当时我写了一篇文章,探讨了当时所有的网络巨头都声称通过广告销售实现了盈利,但实际上,绝大多数广告都只是巨头们在互相为对方网站做广告,反之亦然。

A competitor crippled a $23.5M bootcamp by becomin… #

https://news.ycombinator.com/item?id=45523732

Reddit has a moderation problem, and it’s a big one.

They’ve now been asked to appear in front of Congress to address concerns about politically motivated violence being incited through their platform: https://oversight.house.gov/release/chairman-comer-invites-ceos-of-discord-steam-twitch-and-reddit-to-testify-on-radicalization-of-online-forum-users/

Personally I believe I’ve seen more people in the past few years wish a politically motivated death on somebody else via Reddit, than I have anywhere else in my life.

Now if it was “just” the incitements to violence, or if it was “just” the libeling of random businesses, that would be one thing. But the fact that BOTH types of illegal speech are becoming a problem at the same time suggests to me that Reddit’s failure to moderate is systemic and total.

It is becoming exhausting watching all of these tech companies commit crimes, or enable someone else to do so, and getting off with a slap on the wrist.

safety1st

Reddit存在一个审查问题,而且是个大问题。

他们现在被要求到国会作证,就其平台煽动政治暴力事件的问题进行说明:https://oversight.house.gov/release/chairman-comer-invites-ceos-of-discord-steam-twitch-and-reddit-to-testify-on-radicalization-of-online-forum-users/

就我个人而言,我相信在过去几年里,我在Reddit上看到更多人希望别人因政治原因死亡,比我一生中在任何其他地方看到的都多。

现在,如果仅仅是煽动暴力,或者仅仅是诽谤各类企业,那还另当别论。但这两类非法言论同时成为问题这一事实,向我表明Reddit的审查失败是系统性的和彻底的。

看着所有这些科技公司自己犯罪,或为他人犯罪提供便利,却只受到轻描淡写的惩罚,这已经让人筋疲力尽了。

OpenAI, Nvidia fuel $1T AI market with web of circ… #

https://news.ycombinator.com/item?id=45522103

For an interesting interpretation of the recent AMD-OpenAI deal, see Matt Levine’s column from a few days ago:

OpenAI: We would like six gigawatts worth of your chips to do inference.

AMD: Terrific. That will be $78 billion. How would you like to pay?

OpenAI: Well, we were thinking that we would announce the deal, and that would add $78 billion to the value of your company, which should cover it.

AMD: …

OpenAI: …

AMD: No I’m pretty sure you have to pay for the chips.

OpenAI: Why?

AMD: I dunno, just seems wrong not to.

OpenAI: Okay. Why don’t we pay you cash for the value of the chips, and you give us back stock, and when we announce the deal the stock will go up and we’ll get our $78 billion back.

AMD: Yeah I guess that works though I feel like we should get some of the value?

OpenAI: Okay you can have half. You give us stock worth like $35 billion and you keep the rest.

https://www.bloomberg.com/opinion/newsletters/2025-10-06/openai-is-good-at-deals

https://archive.is/tS5sy

gruez

关于近期AMD与OpenAI交易的一个有趣解读,可参考几天前Matt Levine的专栏文章:

OpenAI:我们想要价值六吉瓦的芯片用于推理计算。

AMD:太棒了。那将是780亿美元。您打算怎么付?

OpenAI:嗯,我们的想法是,我们宣布这笔交易,这将为贵公司增加780亿美元的价值,这应该就够付了。

AMD:…

OpenAI:…

AMD:不,我很确定你们得为这些芯片付钱。

OpenAI:为什么?

AMD:我不知道,就是感觉不给钱不太对劲。

OpenAI:好吧。我们为什么不直接用现金支付芯片的价值,然后您再给我们一些股票,这样当我们宣布交易时,股价会上涨,我们就能把这780亿美元赚回来。

AMD:嗯,我觉得这行得通,不过我感觉我们也应该分得一部分价值吧?

OpenAI:好吧,那给你们一半。你们给我们价值350亿美元的股票,剩下的归你们自己。

https://www.bloomberg.com/opinion/newsletters/2025-10-06/openai-is-good-at-deals

https://archive.is/tS5sy

WinBoat: Windows apps on Linux with seamless integ… #

https://news.ycombinator.com/item?id=45522341

And I had to come here to find out what it actually was. Why don’t project pages ever actually tell you what it is, what it does and how it does it?

Half the time it’s something like “Plorglewurzle leverages your big data block chain to provide sublinear microservices to Azure Cloud infrastructures”

At least this one kind of shows you having to install Windows.

LennyHenrysNuts

我还得来这里搞清楚这到底是什么。为什么项目页面从来就不告诉你它是什么,它做什么,以及它是如何做的?

有一半的时间,项目页面上会写着类似“Plorglewurzle利用你的大数据区块链,为Azure云基础设施提供亚线性微服务”这样的话。

至少这个还告诉你需要安装Windows。

SEC approves Texas Stock Exchange, first new US in… #

https://news.ycombinator.com/item?id=45515354

The Miami stock exchange (MIAX) has their matching engines colocated in Equinix’s NY4 data center in Secaucus NJ, much like many other exchanges. I would not be surprised if TXSE does the same.

Many trading firms already have their trading engines in that data center and I would assume TXSE would want quick access to that order flow and this might be easier if they are in NY4.

Of course, they may want to have their colo facilities in TX in their own data center, that way they can rent out space and make some extra revenue, but then they’d have to build that out.

SkipperCat

迈阿密证券交易所(MIAX)的匹配引擎托管在新泽西州泽西市的Equinix NY4数据中心,这一点和许多其他交易所类似。我不会惊讶于TXSE也这样做。

许多交易公司已经将其交易引擎放在那个数据中心,我可以推测TXSE也希望快速访问那些订单流,而如果他们也设在NY4,实现这一点可能会更容易。

当然,他们也可能想在得克萨斯州(TX)自己的数据中心里设立共置设施,这样他们就可以出租空间,赚取一些额外收入,但那样的话,他们就必须自己建造相应的设施。

The React Foundation #

https://news.ycombinator.com/item?id=45525339

Vercel being involved is a huge red flag.

NextJS is a pile of garbage, and their platform is absurdly expensive and leans heavily on vendor lock in.

throw-10-8

Vercel的参与是个巨大的危险信号。 NextJS就是个垃圾,而且他们的平台贵得离谱,还严重依赖于厂商锁定。

A competitor crippled a $23.5M bootcamp by becomin… #

https://news.ycombinator.com/item?id=45524713

Moderation on Reddit has been questionable for a long time and its killing the site. To give some examples:

  • /r/energy used to ban everyone in favour of nuclear energy

  • If you post on /r/conservative you can expect to receive a bunch of bans from unrelated (popular) subs. Doesn’t matter what you posted, being associated with that subs “taints” your account enough for some moderators.

  • /r/UnitedKingdom banned me for critizing a government welfare program

  • /r/assassinscreed banned me for critizing a character in their latest game

For me it makes sense that the smaller subreddits should have the freedom to moderate as they want but the larger reddits should aim to at allow opposing viewpoints to prevent echo chambers from forming. Moderation should be focused on quality, not on viewpoints. Obviously it goes without saying that threats of violence and celebration of murder have no place on any platform.

The irony is that all this censoring just creates a backlash and further polarisation. If you are only allowed to discuss certain subjects on a “left” space you both create the illusion that the left only cares about a subset of topics and by banning people you create resentment that drives them towards (more welcoming) extreme spaces.

There’s many factors that form the political preferences and opinions of the younger generation but it would not suprise me if for a subset (young college educated males?) of them Reddit heavily contributes towards increased polarisation.

LaurensBER

Reddit的管理长久以来一直备受质疑,并且正在扼杀这个网站。举个例子:

  • /r/energy以前会封禁所有支持核能的用户。
  • 如果你发帖到/r/conservative,你可能会从其他(热门)的子版块收到一堆封禁通知。无论你发的是什么内容,只要和那个子版块扯上关系,就足以让某些管理员认为你的账户“被玷污了”。
  • /r/UnitedKingdom因为我批评了一个政府福利计划而封禁了我。
  • /r/assassinscreed因为我批评了他们最新游戏中的一个角色而封禁了我。

我认为,小型的子版块应该有按照自己意愿管理的自由,但大型的子版块则应该允许持不同观点的声音,以防止形成回音室效应。管理应该侧重于内容质量,而不是观点。显而易见,任何平台上都不应该有暴力威胁和庆祝谋杀的内容。

具有讽刺意味的是,所有这些审查行为只会激起反感和进一步的极端化。如果你只允许在“左倾”的讨论空间里谈论某些话题,这既制造了一种“左派只关心部分议题”的错觉,又通过封禁用户来制造怨恨,将他们推向(更受欢迎的)极端空间。

影响年轻一代政治偏好和观点的因素有很多,但如果对于他们中的某一类人(比如受过大学教育的年轻男性?)来说,Reddit在很大程度上加剧了他们的两极分化,我不会感到惊讶。

One-man campaign ravages EU ‘Chat Control’ bill #

https://news.ycombinator.com/item?id=45519805

One interesting anecdote about this bill was that the European Commission allegedly funded digital advertisements promoting it, targeting specific political demographics, which is something that could possibly be prohibited by their own regulations.

https://noyb.eu/en/noyb-files-complaint-against-eu-commission-over-targeted-chat-control-ads

https://eur-lex.europa.eu/EN/legal-content/summary/transparency-and-targeting-of-political-advertising.html

oli5679

关于这项法案,一个有趣的轶事是,欧盟委员会据称资助了推广它的数字广告,针对特定的政治人口群体,而这可能违反他们自己的规定。https://noyb.eu/en/noyb-files-complaint-against-eu-commission-over-targeted-chat-control-ads https://eur-lex.europa.eu/EN/legal-content/summary/transparency-and-targeting-of-political-advertising.html

Vibe engineering #

https://news.ycombinator.com/item?id=45513288

Around the time GPT-4 was released in early 2023, a similar issue arose with another profession: translation. It was at that point that machine translation between languages like English and Japanese (the language pair I have worked with) started to approach human level for the first time.

I took part in a lot of discussions then with other professional translators, and the reaction of many was similar to that of some of the commenters here: not only were they discouraged because their hard-earned language and translation skills no longer seemed needed, but using LLMs as assistants took the enjoyable challenge out of the translation process.

Nearly everyone I spoke with then worked from home as a freelancer, carefully crafting one translation at a time. They didn’t like the idea of becoming managers of large-scale translation projects, even if it meant they would be able to apply their higher-order intercultural communication skills.

I do only a little professional translation myself now, but I try to keep up with AI developments and I often use translation tasks to test the latest models and frameworks. Over the past few months, I have vibe-coded some multi-LLM translation systems where texts were passed through multiple models that checked, critiqued, and improved each other’s translations. For the texts I tried them on, the results were much better than any single-LLM translation, approaching the level of the very best human translation. The API calls weren’t cheap, but for high-stakes translations such a system would more than pay for itself.

When designing that “vibe translation” system, I did apply my experience as a translator, similarly to what Simon is recommending programmers do now with vibe engineering. At this stage in my life (I’m sixty-eight), I am fine with that. But if LLMs had arrived when I was, say, just five or ten years into my translation career and still proud of my nuts-and-bolts skills, I might very well have looked for another career rather than becoming a vibe translator.

tkgally

大约在2023年初GPT-4发布的时候,另一个职业也出现了类似的问题:翻译。正是在那个时候,像英语和日语(我合作过的语言对)之间的机器翻译首次开始接近人类的水平。

当时我与其他专业译者进行了许多讨论,许多人的反应与这里一些评论者的反应相似:他们不仅因为自己辛苦学来的语言和翻译技能似乎不再被需要而感到气馁,而且使用大语言模型作为助手也剥夺了翻译过程中令人愉快的挑战性。

当时我交谈过的几乎所有译者都是自由职业者,在家工作,一次精心打磨一个翻译。他们不喜欢成为大型翻译项目经理的想法,即使这意味着他们能够运用自己更高层次跨文化沟通技能。

现在我自己只做少量的专业翻译,但我努力跟进AI的发展,并经常用翻译任务来测试最新的模型和框架。过去几个月里,我“凭感觉编程”了一些多LLM翻译系统,在这些系统中,文本会经过多个模型,这些模型会检查、批评并改进彼此的翻译。对于我测试过的文本,其结果远胜于任何单一的LLM翻译,接近最顶尖的人类翻译水平。API调用并不便宜,但对于高风险的翻译来说,这样的系统完全可以物超所值。

在设计那个“凭感觉翻译”系统时,我确实运用了我作为译者的经验,这与西蒙现在建议程序员用“凭感觉工程”所做的事情类似。在我人生的这个阶段(我六十八岁了),我可以接受这一点。但如果大语言模型(LLMs)在我刚进入翻译行业五、十年的时候就出现了,而且我仍然为自己的基础技能感到骄傲,我很可能会去寻找另一个职业,而不是成为一个“凭感觉翻译”的译者。

The RSS feed reader landscape #

https://news.ycombinator.com/item?id=45518009

I still miss Google Reader. I loved the social aspects, where I could repost my favorite articles (with comments about them), and friends could easily subscribe to my feed and comment on my shares. It was a really great social network for sharing blog posts and articles. I credit the demise of Google Reader with a lot of the downfall of the Old Web.

Since then, social sharing platforms are motivated to keep you on their platform. I recently ran an experiment on Facebook, where I posted a link to a content creator’s video on YouTube with a lot of my thoughts about it.

I then downloaded the same video from YouTube and uploaded it to Facebook (this particular creator didn’t upload his content to Facebook directly), and posted the exact same text content (but this time, hid the link the the source video in a comment).

The post where I downloaded + reposted the video got about 1000x more views than the one where I linked to the source.

On top of that, Facebook will often hide the link to the source video unless I click “Show all comments” (rather than the default “Show most relevant”).

Facebook deprioritizes (shadowbans?) posts that link off of their platform, and it starts feeling like a stagnant pond. It’s frustrating that it’s difficult to share insightful blog posts on that platform, and I’m feeling pretty done with it.

Getting a good RSS reader isn’t the part that I’m looking for – I want the easy social aspect that Google Reader and Google+ gave me.

HanClinto

我仍然怀念 Google Reader。我非常喜欢它的社交功能,在那里我可以转发我最喜欢的文章(并附上我的评论),朋友们也能轻松订阅我的信息流并对我的分享进行评论。它是一个用于分享博客文章的绝佳社交网络。我认为 Google Reader 的消亡在很大程度上导致了“旧网”的衰落。

从那时起,社交分享平台的目标就是把你留在他们的平台上。我最近在 Facebook 上做了一个实验,发布了一个指向 YouTube 上某内容创作者的视频链接,并附上了我的许多想法。

然后,我从 YouTube 下载了同一个视频,并将其上传到 Facebook(这位创作者并没有直接将他的内容上传到 Facebook),并发布了完全相同的文字内容(但这次,我将源视频的链接隐藏在了一条评论中)。

我下载并转发了视频的那个帖子,比直接链接到源视频的那个帖子的浏览量高出约1000倍。

更糟糕的是,Facebook 经常会隐藏源视频的链接,除非我点击“显示所有评论”(而不是默认的“显示最相关”)。

Facebook 会降低(或者说“暗杀”?)那些链接到其平台外帖子的优先级,这感觉就像一潭死水。在这个平台上分享有见地的博客文章很令人沮丧,我对它已经感到厌倦了。

找一个好的 RSS 阅读器不是我想要的——我想要的是 Google Reader 和 Google+ 曾经带给我的那种轻松的社交体验。

WinBoat: Windows apps on Linux with seamless integ… #

https://news.ycombinator.com/item?id=45519727

Missed opportunity to call it “Linux Subsystem for Windows”, or LSW in short.

userbinator

本可以把它叫做“Linux子系统 for Windows”(简称LSW),可惜了。