2025 11 18 HackerNews

2025-11-18 Hacker News Top Stories #

Zigbook 一本宣称未用 AI 创作的开源 Zig 教程被发现含大量疑似 AI 生成错误，导致信任危机但若人工校正仍有学习价值。

作者提供邮件头、DKIM 与通话录音等证据，称 Coinbase 早在 1 月已知外包公司泄露客户数据却直到 5 月才披露，质疑其透明度。

Supercookie 演示利用 favicon 缓存实现难以清除且持久的浏览器指纹追踪，揭示严重隐私风险。

Dark Pattern Games 网站识别并分类手机游戏中的“黑暗模式”，帮助玩家辨别成瘾和剥削性设计以推动更健康的体验。

文章指责 Google 以安全为由逐步削弱浏览器对 XSLT/XML 的支持，可能侵蚀开放网络并增加社区维护负担。

三星在多地预装且难以卸载名为 AppCloud 的推送安装工具，被指隐私不透明并因其以色列背景引发地缘政治担忧。

文章详解 Cloudflare Zero Trust 隧道的架构与应用场景，并讨论其终止 TLS 带来的隐私权衡与与 Tailscale 的差异。

作者认为随着大模型普及，AI 生成代码可能削弱“小型”开源库的教学与长期价值，建议开源聚焦创新与不可被 AI 覆盖的领域。

一个以幽默风格呈现的“布兰妮·斯皮尔斯”半导体科普页面，用轻松类比普及晶体结构、PN 结、激光等复杂概念，成为互联网文化趣闻。

Replicate 将并入 Cloudflare 并保持独立品牌，借助边缘计算与 Cloudflare 服务提升模型部署性能，目标成为构建 AI 应用的默认平台。

开源 Zig 书 (Open-source Zig book) #

https://www.zigbook.net

Zigbook 是一本以项目驱动的 Zig 编程语言学习指南，旨在帮助读者不仅掌握语法，更从根本上改变对软件开发的思维方式。全书共 61 章，内容由作者 @zigbookzsh 独立撰写，不依赖任何 AI 工具，强调真实、深入的学习体验。学习路径以实践为核心，通过一个个项目逐步构建对 Zig 语言的理解，涵盖内存管理、错误处理、构建系统、并发编程等关键主题。 Zigbook 的核心理念是：你可能因语法而来，但最终会带走一种全新的编程哲学。网站提供交互式终端环境，用户可直接输入命令运行代码，边学边练，提升学习效率。项目地址为 zigbook.net，可通过 zig build zigbook 命令启动本地学习环境。

HN 热度 685 points | 评论 367 comments | 作者：rudedogg | 1 day ago #

https://news.ycombinator.com/item?id=45947810

该开源 Zig 书籍很可能由 AI 生成，作者在多个地方声称无任何 AI 参与，存在明显不实陈述，引发信任危机。
书中存在大量 AI 生成内容的典型错误，如虚构不存在的 API（如 std.mem.terminated）、使用已移除的特性（std.BoundedArray）等。
作者对语言特性的理解存在明显偏差，例如在项目问题中误解“带标签块”（labelled blocks）的用法，进一步佐证其可能依赖 AI 生成。
尽管存在问题，但该书仍具备一定价值，若经过人工修正，可成为比现有资源更优秀的学习材料。
应将此类内容视为辅助工具而非完全替代人类创作，合理利用可提升学习效率。
作者隐瞒使用 AI 的事实，属于欺骗行为，损害了社区信任，不应被支持或鼓励。
书籍的宣传语和设计风格过于浮夸，缺乏技术深度，容易误导读者，应被质疑其可信度。
有评论指出，该书在发布前已被发现，但当时未被重视，如今因“免费”和“热门语言”标签被迅速推上首页。
一些评论者在指出其为伪 AI 生成时遭到打压，评论被迅速降权，反映出社区可能存在“信息操控”现象。
作者可能通过分析官方源码和文档，构建了一个自动化内容生成流程，再进行人工润色，但未公开此过程。
有用户尝试用该书学习，但对其中内容的可靠性表示担忧，决定谨慎使用并观察实际效果。
该书的发布反映出当前技术社区对“生成内容”的认知混乱，人们更关注表面宣传而非内容真实性。

我有录音证明 Coinbase 在披露前数月已知悉漏洞 (I have recordings proving Coinbase knew about breach months before disclosure) #

https://jonathanclark.com/posts/coinbase-breach-timeline.html

文章作者在 2025 年 1 月 7 日遭遇了一起高度精准的钓鱼攻击，攻击者不仅掌握了其社会安全号码、比特币余额等敏感信息，还通过电话冒充 Coinbase 欺诈防范代表进行诈骗。作者立即向 Coinbase 安全团队提交了包含完整邮件头、DKIM 签名分析、通话录音、攻击细节等在内的详细安全报告，并在同日获得时任信任与安全主管 Brett Farmer 的积极回应，称报告“非常扎实”，并表示正在调查。

然而，从 1 月 13 日起，作者连续多次追问攻击者如何获取其账户余额等非公开信息，但 Coinbase 未作任何回复。直到 2025 年 5 月 11 日，Coinbase 才宣布发现数据泄露事件，称黑客通过贿赂其外包客服公司 TaskUs（主要位于印度）的员工，窃取了客户敏感数据，包括姓名、地址、身份证图像、账户余额和交易记录等，影响范围小于 1% 的用户，损失估计达 1.8 亿至 4 亿美元，超过 200 名 TaskUs 员工被解雇。

作者指出，攻击发生于 1 月，而 Coinbase 直到 4 个月后才“发现”并公开披露，期间作者的追问石沉大海。其报告中明确指出，攻击者使用了 Amazon SES 邮件服务器发送伪造邮件，且电话号码为 Google Voice 号码，这些技术细节本应触发安全警报。作者强调，自己在事发当天就已提供关键证据，却未获回应，质疑 Coinbase 的响应机制和透明度。

文章核心质疑：若攻击者早在 1 月就已利用被盗数据实施精准诈骗，那么数据泄露实际发生时间应远早于 5 月，Coinbase 的“发现”时间线存在严重矛盾。作者表示拥有录音和邮件记录，证明攻击早在 2025 年初就已开始，而 Coinbase 的披露时间无法自洽。

HN 热度 654 points | 评论 213 comments | 作者：jclarkcom | 1 day ago #

https://news.ycombinator.com/item?id=45948058

Coinbase 早在 2025 年 1 月就已知悉外包公司发生客户数据泄露事件，但直到 5 月才披露，时间线与作者报告时间吻合。
外包公司（BPO）是常见安全漏洞源头，常因夸大安全能力而被攻击者盯上。
诈骗电话中提及账户余额和开立时间等敏感信息，可能通过区块链交易追踪或数据泄露获得，而非直接入侵 Coinbase 系统。
诈骗者可能通过 OSINT、恶意软件、社交工程或用户自身疏忽获取信息，而非单一系统漏洞。
有用户收到自称 Coinbase 的电话，对方对账户余额和冷存储方式表现出异常关注，疑似诈骗。
一些用户反映收到虚假安全警报，但本人从未使用 Coinbase，说明攻击者可能利用了广泛的数据泄露信息。
有从业者指出，部分公司存在严重安全疏忽，如将管理员密码写在白板上，仅用纸片遮盖，安全意识薄弱。
尽管金融行业受严格监管和审计，但实际安全措施仍显不足，部分机构不支持 YubiKey 或自定义认证应用。
银行普遍依赖手机验证码或物理设备认证，而非更安全的硬件密钥，安全策略存在缺陷。
一些用户对银行使用手机应用作为唯一认证方式表示质疑，认为生物识别并非绝对安全。
金融行业虽有监管框架，但历史上仍多次引发全球性金融危机，说明监管无法完全杜绝风险。
诈骗者可能通过分析区块链交易记录，结合公开信息推断用户身份和账户信息。

Supercookie：通过 favicon 实现的浏览器指纹追踪（2021） (Supercookie: Browser Fingerprinting via Favicon (2021)) #

https://github.com/jonasstrehle/supercookie

Supercookie 是一个利用浏览器 favicon 缓存机制实现持久化用户追踪的技术演示项目。它通过在不同路径下提供特定的 favicon 图标，根据浏览器是否已缓存这些图标来构建唯一的用户指纹，从而实现几乎无法清除的跟踪。

与传统 Cookie 不同，Supercookie 的追踪信息不会因清除浏览器缓存、关闭浏览器、重启系统、使用无痕模式或安装广告拦截插件而失效。即使用户使用 VPN 或更改设备信息，该技术仍能识别出同一浏览器。

该项目基于芝加哥大学科学家的研究成果，旨在揭示浏览器 favicon 缓存机制可能带来的隐私风险。其核心原理是：当浏览器首次访问某个网站时，若未缓存对应 favicon，则会发起请求；若已缓存，则不会再次请求。通过精心设计的 favicon 路径组合，服务器可以识别出用户浏览器的“访问历史”模式，进而生成一个唯一的标识符。

项目提供 Docker 和本地部署两种方式，支持在本地或远程服务器运行。演示站点可通过超链接访问，展示该技术的实际效果。

需要注意的是，本项目仅用于教育和安全研究目的，旨在提高公众对隐蔽追踪技术的认知，提醒开发者和用户关注浏览器隐私保护问题。

HN 热度 348 points | 评论 100 comments | 作者：vxvrs | 1 day ago #

https://news.ycombinator.com/item?id=45947770

网站故意隐藏追踪行为应被视为犯罪，因其具有现实世界中的伤害后果，类似于入室盗窃，不应以技术存在为由合理化。
当前互联网商业模式依赖风险投资和用户成瘾，而非真正为用户解决问题，这种模式不可持续，需探索新的可持续商业模型。
企业追求投资回报而非用户价值，导致用户被持续剥削，这种模式的崩溃将引发行业变革。
个人对被追踪不敏感，但强烈反感被用于广告推销和虚假个性化，因此采取极端手段屏蔽广告和指纹识别。
网络环境已沦为被商业利益全面控制的场所，即使不主动使用社交媒体，个人数据仍可能被通过大模型等技术手段收集和利用。
浏览器允许任意代码执行是问题根源，用户在不知情的情况下被侵入，如同被邀请进入家门后被纵容破坏。
当前网络缺乏信任，如同犯罪高发区，需通过社会和法律手段建立信任机制，对滥用行为实施民事及刑事惩罚。
GDPR 虽存在，但“合法利益”条款被广泛滥用，实际执行力度不足，导致违规行为难以被追责。
GDPR 的执行严重依赖监管机构，但大多数违规行为未被调查，导致法律形同虚设。
欧盟对 GDPR 的改革可能削弱其核心原则，未来隐私保护面临不确定性。
无论使用何种技术手段追踪用户，只要未遵守规则就可能面临罚款，追踪行为本身在法律上已属违规。
线下场所如商店可合理监控顾客行为以优化服务，但禁止数据转售和滥用，应彻底取缔数据掮客并追究其刑事责任。
企业应在自身服务范围内合理使用用户数据以提升体验，不应因隐私法规而阻碍小企业和个性化服务的发展。

黑暗模式游戏 (Dark Pattern Games) #

https://www.darkpattern.games

这是一个专注于识别和揭露手机游戏中的“黑暗模式”（Dark Patterns）的网站，旨在帮助玩家发现那些不使用心理操控手段诱导沉迷的游戏。

网站将黑暗模式分为四类：时间类、社交类、金钱类和心理类。时间类黑暗模式通过每日奖励、强制等待、广告诱导等方式延长玩家游戏时间；社交类利用朋友关系制造压力，如社交金字塔、互惠义务等；金钱类通过付费跳过、虚拟货币诱导和人为稀缺性促使玩家消费；心理类则利用玩家的投入感、进度错觉和控制幻觉来影响决策。

网站目前主要覆盖 iOS 和 Android 平台，正在逐步扩展。主页展示“健康游戏”与“黑暗游戏”两个榜单，健康游戏评分均为 5.0，包括《Beholder》《DEEMO》《Townscaper》等注重叙事、艺术或解谜体验的作品；而黑暗游戏则评分较低，如《Real Roulette 3D》《Walking Dead: Road to Survival》《Madden NFL 21 Mobile Football》等，常被指存在诱导消费、强迫社交或过度依赖时间投入等问题。

网站鼓励用户参与共建，对尚未有评价的游戏提交自己的体验反馈，以帮助完善数据库。整体定位为一个透明、公正的游戏评价平台，倡导健康、可持续的游戏体验。

HN 热度 333 points | 评论 129 comments | 作者：robotnikman | 1 day ago #

https://news.ycombinator.com/item?id=45947761

作者因沉迷某款手游而受到启发，研究游戏中的“黑暗模式”后成功摆脱成瘾，为帮助他人而创建了该网站，网站核心是解释各种黑暗模式的文本描述。
许多用户表示该网站帮助他们识别并避免了成瘾性游戏，恢复了生活平衡，尤其对理解间歇性奖励机制有显著效果。
有用户指出，了解黑暗模式后更倾向于选择注重体验而非消耗时间的游戏，如《双人成行》《星之海》《黑沼之谜》等独立佳作。
有人提到《暗黑破坏神 2：重制版》虽保留了原有刷怪机制，但并无直接盈利设计，与现代游戏的付费机制不同，因此不算典型黑暗模式。
有研究者指出，早期学术研究中对“黑暗模式”的定义存在争议，同一机制对不同玩家可能既是陷阱也是便利，关键在于设计者与玩家利益是否一致。
该研究领域后续有学术论文提出反驳观点，认为部分“黑暗模式”实为提升玩家体验的设计，不应一概而论。
当前学术界仍持续关注游戏设计与玩家心理的关系，相关会议与研讨会仍在举办，但具体是否有研究者延续该模式分析工作尚不明确。
有评论认为，尽管该研究在学术上被广泛引用，但其本质仍是基于经验与观察的归纳，而非绝对真理，类似“四人帮”模式理论也属人为构建。

Google 正在摧毁开放网络，第二部分 (Google is killing the open web, part 2) #

https://wok.oblomov.eu/tecnologia/google-killing-open-web-2/

Google 正通过逐步淘汰浏览器内置的 XSLT 支持，推动对开放网络的进一步破坏。尽管官方以“安全漏洞”为由，但作者指出这不过是借口——真正原因在于 Google 有意削弱 RSS 等基于 XML 的开放格式，从而加强其对网络内容的控制。

Google 并未提供原生的替代方案，而是要求开发者手动引入一个 JavaScript“polyfill”来模拟 XSLT 功能。这种做法不仅增加了开发负担，还暴露了其真实意图：不打算真正维护该功能，而是将责任转嫁给开发者，间接逼迫社区放弃使用 XSLT。

作者强调，这并非技术问题，而是政治性决策。与 Mozilla 当年在 Google 压力下移除“Live Bookmarks”功能如出一辙，表面上提供替代方案，实则通过不提供官方支持、不简化使用流程，变相阻止用户继续使用这些开放技术。

作者明确表态“绝不妥协”：拒绝安装 polyfill，拒绝修改 XML 文件，而是呼吁开发者集体向 Chrome 的 Issue Tracker 提交反馈，将 XSLT 支持缺失标记为浏览器缺陷。他相信，只要持续施压，标准终将胜利。

此外，作者批评 WHATWG 已沦为大型科技公司的工具，其决策方向与开放、互操作的 Web 初心背道而驰。WebKit 和 Firefox 团队也计划跟进 Chrome 的策略，进一步印证了这一趋势并非偶然，而是整个行业向“监视资本主义”工具演进的体现。

最后，作者呼吁开发者不要被动应对，而应主动探索 XSLT 的新用法，用实际行动捍卫开放网络。他坚信，只要坚持，标准终将回归。

HN 热度 328 points | 评论 282 comments | 作者：akagusu | 9 hours ago #

https://news.ycombinator.com/item?id=45954560

移除浏览器中的 XSLT 功能是合理的，因为其使用率极低，且维护成本高，Chrome 计划改用基于 Rust 的 XML 解析器，这可能意味着未来将不再支持完整的 XML 标准。
Google 在推动移除 XSLT 标准方面起到了主导作用，尽管 Mozilla 和 Safari 也参与其中，但 Google 工程师在相关讨论中表现得更为积极。
XSLT 的淘汰是多方浏览器厂商共同决定的结果，而非单一公司主导，Mozilla 最初提出该建议，表明标准制定过程是协作性的。
有人认为 Mozilla 的决策受到 Google 影响，其董事会成员与 Google 关系密切，导致 Mozilla 在技术决策上缺乏独立性，成为 Google 的“反垄断缓冲器”。
Mozilla 近年来持续削减 Firefox 开发团队，导致其在 Web 标准维护上能力下降，这与其组织结构和资金分配有关。
有人质疑将 MDN 和 Rust 开发团队的解散归因于 Google 阴谋论的说法，认为这种观点忽视了 MDN 内容的社区贡献本质，且部分开发者并非 Mozilla 全职雇员。
有观点指出，Mozilla 的衰落更可能源于内部管理问题或战略失误，而非外部阴谋，用“奥卡姆剃刀”原则应优先考虑简单解释而非复杂阴谋论。
对于 XML 支持的削减，有人担忧这会削弱 Web 的开放性，使浏览器逐渐向 IE5.1 时代那种无视标准、依赖专有实现的模式倒退。

三星手机预装以色列公司开发的应用引争议 (Israeli-founded app preloaded on Samsung phones is attracting controversy) #

https://www.sammobile.com/news/israeli-app-app-cloud-samsung-phones-controversy/

三星在印度及部分西亚、北非市场销售的 Galaxy M、F、A 系列手机中预装了一款名为 AppCloud 的应用程序。该应用并非云存储服务，而是一款在设备首次设置时强制用户选择安装第三方应用的推广工具，用户若不完成选择，将不断收到提醒通知。

尽管 AppCloud 长期被视为普通“垃圾软件”，但近期非营利组织 SMEX 的研究揭示其潜在风险。该应用与以色列创立的公司 ironSource 有关，而 ironSource 现为美国 Unity 公司所有。ironSource 曾因“InstallCore”项目引发争议，该程序曾未经明确授权安装软件并绕过安全提示，导致被多家杀毒软件列入黑名单。

AppCloud 在 WANA 地区推广后，引发隐私和安全担忧。其隐私政策难以获取，且无法通过常规方式卸载，需 Root 权限才能彻底删除。此外，由于涉及以色列背景，在部分对以色列企业有法律限制的国家，这一预装行为加剧了地缘政治敏感性，使问题更加复杂。

HN 热度 306 points | 评论 236 comments | 作者：croes | 7 hours ago #

https://news.ycombinator.com/item?id=45955424

以色列的科技研发生态与美国的网络安全优势紧密相关，许多关键技术由以色列团队开发，为美国企业带来竞争优势。
美国对以色列的科技合作持宽容态度，但对其他国家类似行为则视为间谍活动，存在双重标准。
欧洲对美国的监控体系长期感到不安，认为其主导了全球数字基础设施，限制了本地科技发展。
以色列作为西方盟友，其技术合作被视为安全而非恶意行为，与中俄等国的监控行为有本质区别。
以色列在军事、医药、软件等领域为美国提供关键支持，包括情报共享、技术测试和监控工具开发。
以色列曾对美国政府进行黑客攻击，收集政治人物的敏感信息以维护自身利益。
将以色列与西方价值观绑定，忽视其在巴以冲突中的人道主义问题，是一种选择性忽视。
以色列的建国过程伴随着对巴勒斯坦人的系统性驱逐和村庄摧毁，其行为可被定义为种族清洗。
以色列的建国并非自卫，而是基于“计划达莱特”等侵略性行动，违背了联合国的分治决议。

我终于理解了 Cloudflare Zero Trust 隧道 (I finally understand Cloudflare Zero Trust tunnels) #

https://david.coffee/cloudflare-zero-trust-tunnels

本文详细介绍了 Cloudflare Zero Trust 隧道的原理与使用方法，帮助读者理解其核心概念和实际应用场景。

Cloudflare Zero Trust 与 Tailscale 的主要区别在于：Tailscale 采用点对点连接，依赖 NAT 穿透，性能更优但受网络环境限制；而 Cloudflare 隧道所有流量（除 Warp-to-Warp 路由外）均通过 Cloudflare 的全球边缘网络传输，虽有轻微延迟，但不受 NAT 和防火墙限制，部署更稳定。

Cloudflare 提供两个核心工具：Warp 客户端和 cloudflared。Warp 客户端用于连接 Cloudflare 网络，实现用户身份认证与策略控制，可运行在设备或服务器上；cloudflared 则用于创建隧道，将内部服务暴露到公网，通常部署在服务器或本地网络中。

核心架构包含三个关键组件：隧道（Tunnels）、路由（Routes）和目标（Targets）。隧道是流量出口，通过 cloudflared 在服务器或设备上部署，配置 ingress 规则定义如何将请求转发到本地服务（如 HTTP 或 SSH）。路由定义了哪些 IP 地址或网络段应通过该隧道访问，例如将 192.168.1.3/32 指向隧道，实现对特定设备的访问控制。目标则是具体要访问的服务，如本地 GitLab 或路由器管理界面。

通过配置，可以实现多种实用功能：将家庭网络中的私有服务（如 Home Assistant）通过公网域名暴露；创建仅限授权用户访问的私有网络；在开发时快速暴露本地服务供测试或分享；通过 Zero Trust 策略实现 SSH 无密登录，关闭公共 SSH 端口，提升安全性；支持细粒度访问控制，如基于邮箱、登录方式或服务令牌进行权限管理。

文章还强调，隧道配置可通过本地 config.yml 文件完成，也可在 Cloudflare 控制台“采用”隧道自动管理。对于公开暴露的服务，只需在 DNS 中添加 CNAME 记录指向隧道域名即可生效，无需用户安装额外客户端。

总体而言，Cloudflare Zero Trust 提供了一种强大、灵活且安全的远程访问解决方案，特别适合在复杂网络环境下需要稳定连接和精细权限控制的场景。作者已从 Tailscale 转向 Zero Trust，认为其在可管理性和兼容性方面更具优势。

HN 热度 297 points | 评论 98 comments | 作者：eustoria | 1 day ago #

https://news.ycombinator.com/item?id=45946865

Cloudflare Zero Trust 隧道会终止 TLS，导致流量经过 Cloudflare 时被剥离并可能重新添加 TLS，这带来了隐私上的妥协。
与 Cloudflare 不同，Tailscale 的 Funnel 可以在终端上保留 TLS 证书，实现更安全的端到端加密。
使用 P2P 连接并仅在必要时回退到中继，比始终通过第三方中继更优，能减少中间人并提高系统鲁棒性。
TunnelBuddy 项目采用纯 P2P 设计，仅使用信号服务，不依赖 TURN/中继服务器，确保流量不经过第三方中继。
即使流量经过互联网，只要端到端加密，中继本身并不构成根本性安全问题，但中继服务器可能成为监控和数据收集的中心点。
Cloudflare 作为新成立的高估值公司，相比长期提供免费服务的 Tailscale，其长期可靠性存在疑虑。
Tailscale Funnels 虽支持客户端无感访问，但仅限公开访问，缺乏认证机制，而 Cloudflare 隧道支持更灵活的访问控制。
可通过 OAuth2 Proxy 等认证代理实现 Tailscale 网络内的身份验证，但配置复杂，不如 Cloudflare 隧道便捷。
使用 Caddy 结合 DNS-01 ACME 挑战，可在不暴露端口或使用插件的情况下为 Tailscale 网络配置自定义域名。
NetFoundry 提供支持端到端加密的零信任产品，其 OpenZiti 技术可实现全链路加密隧道，但 zrok 免费版不支持。
NetFoundry Frontdoor 支持 mTLS，但 TLS 仍会在其服务器端终止，无法实现全链路加密，与端到端加密目标不符。
zrok 是基于 OpenZiti 的快速发布工具，本质是代理模式，不支持端到端加密，而 NetFoundry 的完整产品线支持加密隧道。

“小”型开源的命运 (The fate of “small” open source) #

https://nolanlawson.com/2025/11/16/the-fate-of-small-open-source/

文章作者 Nolan Lawson 回顾了自己编写的一个名为 blob-util 的小型开源 JavaScript 库，该库已持续使用十年，每周有超过五百万次下载。他指出，随着 80% 的开发者开始使用大语言模型（LLM），像 blob-util 这样的基础工具类库正面临被 AI 直接生成替代的威胁。

作者对比了自己编写的 blobToArrayBuffer 函数与 Claude 生成的版本，发现 AI 生成的代码虽然功能相似，但更冗长，且缺乏对开发者教育的价值。他强调，blob-util 的初衷不仅是提供实用功能，更在于通过趣味性的教程（如使用 Kirby 角色）帮助开发者理解 JavaScript 底层机制，从而提升长期编程能力。

然而，AI 的普及正使这种“教学式开源”变得不再必要。开发者更倾向于直接向 AI 提问获取代码，而非学习和使用现有库。这导致小型、低复杂度的开源项目逐渐失去存在意义，连带削弱了通过这些项目进行技术教育的可能性。

作者认为，尽管 AI 让部分开源项目过时，但仍有价值可言。未来的开源应聚焦于更大规模、更具创新性或在 AI 训练数据中未覆盖的领域，例如内存泄漏分析、新型框架设计等。他以 Ripple.js 为例，说明人类依然能创造出 AI 难以复制的原创性项目。

最后，作者表达对开源未来的乐观态度：AI 虽淘汰了部分类型，但并未终结开源。真正有创造力、解决真实问题、推动技术边界的工作，依然需要人类的智慧与坚持。

HN 热度 285 points | 评论 219 comments | 作者：todsacerdoti | 1 day ago #

https://news.ycombinator.com/item?id=45947639

AI 生成的代码虽然减少了依赖项，但可能带来不可预见的边缘情况错误，且缺乏经过长期验证的稳定性。
与经过长期使用和广泛测试的开源库（如 Apache Commons）相比，AI 生成的代码在可靠性上存在明显差距。
使用 AI 生成代码可减少供应链复杂性，降低依赖外部未知维护者的风险，从安全角度看是一种优化。
尽管 AI 生成代码看似减少了供应商数量，但其输出具有不确定性，本质上并未真正降低风险，反而引入了新的不可控因素。
企业与 AI 服务提供商（如 OpenAI）签订协议并不能真正解决代码质量或安全问题，因为输出结果具有随机性。
AI 生成代码的普及可能导致开发者失去编写小型工具或教程的动力，从而削弱高质量内容的产出。
与过去从 Stack Overflow 复制代码相比，AI 生成代码的泛滥使得低质量内容的生产更加容易，加剧了信息污染。
尽管 AI 生成内容质量参差不齐，但通过自动化测试和实际运行验证，可以更高效地筛选出真正可用的资源。
真正的学习和判断力无法通过 AI 代劳，过度依赖 AI 会削弱开发者自身的实践与批判能力。
AI 技术使得网络垃圾内容（如钓鱼、刷屏、低质 PR 等）的生产成本大幅降低，相当于将这些行为“工业化”，导致整体质量下降。

布兰妮·斯皮尔斯的半导体物理指南（2000） (Britney Spears' Guide to Semiconductor Physics (2000)) #

https://britneyspears.ac/lasers.htm

该网页是一个以幽默风格呈现的“布兰妮·斯皮尔斯半导体物理指南”，将流行偶像布兰妮·斯皮尔斯塑造成半导体物理专家，通过虚构的科普内容，介绍半导体激光器及相关技术的基础知识。

页面以轻松诙谐的语气展开，将复杂的物理概念与布兰妮的个人形象结合，例如“用唇膏比喻半导体材料”“用舞台灯光类比量子阱”等，使专业内容更具趣味性和可读性。

主要内容包括：

半导体基础概念：如半导体晶体结构、能带理论、载流子输运等。
关键器件原理：如 PN 结、有限势垒量子阱、辐射复合过程。
激光器技术：介绍边发射激光器（Edge-emitting Lasers）、垂直腔面发射激光器（VCSELs）及光子晶体结构。
制造工艺：涵盖晶体生长、光刻技术（Photolithography）等半导体器件加工流程。

页面还设有“术语词典”“参考数据”“布兰妮·斯皮尔斯壁纸下载”等互动与附加内容，增强用户体验。

整体风格为娱乐化科普，旨在以轻松方式传播半导体物理知识，适合对物理或科技感兴趣的大众读者。

HN 热度 277 points | 评论 87 comments | 作者：lachlan_gray | 1 day ago #

https://news.ycombinator.com/item?id=45949326

Britney Spears 的网站作为半导体物理教学资源，展现了 2000 年代初互联网的独特风格和持久生命力。
有人用 Britney Spears 的名字签名 Java 代码，以提醒公司最终切换到正式证书，结果成功通过并获得认可。
Britney Spears 的网站被多次在 Hacker News 上提及，反映出其在互联网文化中的经典地位。
有人提到 Hedy Lamarr 是真实且杰出的工程师和物理学家，不应被误解为玩笑或讽刺。
有人分享了 Kim Kardashian 和 Nicki Minaj 用 Deepfake 讲解子网划分的视频，作为类似创意的延伸。
Dexter Holland（The Offspring 主唱）拥有分子生物学博士学位，是音乐人与科学结合的典范。
有人指出 Dolph Lundgren 拥有化学工程硕士学位，但并未完成 MIT 的博士学业。
Brian May（Queen 乐队主唱）拥有天体物理学博士学位，是音乐与科学结合的又一例证。
Tom Scholz（Boston 乐队吉他手）拥有 MIT 机械工程硕士学位，自行设计了吉他效果器和录音设备。
Greg Graffin（Bad Religion 主唱）拥有动物学博士学位，并经常在大学授课。
Bruce Dickinson（Iron Maiden 主唱）曾是合格飞行员，曾驾驶乐队的波音 747 环球飞行。
Mayim Bialik 拥有神经科学博士学位，但其在疫苗和营养补充剂方面的观点引发争议。
.ac 域名是许多国家的学术二级域名，而非仅限于美国的.edu，该网站使用. ac 域名具有合理性。
一些大学在授予学士学位后，只需满足一定条件（如不入狱）即可自动授予硕士学位，体现了学位制度的多样性。
互联网早期的创意和自由精神令人怀念，尽管如今被大型平台垄断，但人们依然可以创建有趣且持久的网站。
保持一个无明确目的的网站长期运行，需要持续投入和对技术的热爱，这本身就是一种值得尊重的坚持。

Replicate 将加入 Cloudflare，但将继续作为独立品牌运营 (Replicate is joining Cloudflare) #

https://replicate.com/blog/replicate-cloudflare

Replicate 宣布将加入 Cloudflare，但将继续作为独立品牌运营。此次合并将带来显著提升：平台速度更快，资源更充足，并与 Cloudflare 开发者平台深度集成。

Replicate 的 API 保持不变，现有模型和应用将继续正常运行，无需任何调整。

Replicate 致力于构建 AI 的基础工具和抽象层，让开发者无需深入底层技术即可使用 AI。其核心产品包括 Cog（定义模型标准格式）和 Replicate 平台（支持模型共享与 API 调用），形成了类似“云上操作系统”的 AI 基础设施。

Cloudflare 拥有强大的全球网络基础设施，其 Workers、Durable Objects、R2 和 WebRTC 等服务，恰好能与 Replicate 的 AI 原语形成互补，共同构建更高效的 AI 应用开发环境。

此次合作旨在打造“构建 AI 应用的默认平台”，结合双方优势，推动 AI 应用在云端和边缘的高效部署与运行。

更多详情可参见 Cloudflare 官方博客公告。

HN 热度 258 points | 评论 60 comments | 作者：bfirsh | 10 hours ago #

https://news.ycombinator.com/item?id=45953702

Cloudflare 收购 Replicate 被视为其最显著的一次收购，标志着公司正从网络安全向更传统的托管服务模式扩展。
该收购可能推动 Cloudflare 构建基于 Workers 模型的电子邮件平台，利用其边缘计算能力实现高效、可扩展的邮件处理与过滤。
有开发者提出，通过 Envoy 代理结合 Wasm 技术，可在 Cloudflare 上实现高度可定制的 TCP 代理与邮件处理系统，具备良好的可扩展性和多租户支持潜力。
Replicate 的模型部署模式与 Cloudflare 边缘计算结合，有望降低 AI 模型运行成本，提升冷启动效率，尤其适合低延迟实时语音交互场景。
当前 AI 模型趋势正向小型化、精细化和多模态发展，Replicate 与 Cloudflare 的结合能更好支持这类模型的高效部署与应用。
该收购可能促使 Cloudflare 推出更丰富的邮件服务或替代方案，如支持 Outlook/O365 功能的云原生邮件平台。
尽管未公布具体收购价格，但考虑到 Replicate 仅融资 5000 万美元，创始人和早期团队仍可能获得可观回报，具体取决于估值和清算优先权。
有开发者分享使用 Cloudflare Workers 处理邮件的实际经验，认为其在边缘处理邮件信息提取方面非常便捷，无需管理 IMAP/POP3 等复杂协议。

Hacker News 精彩评论及翻译 #

Google is killing the open web, part 2 #

https://news.ycombinator.com/item?id=45955183

Removing XSLT from browsers was long overdue and I’m saying that as ex-maintainer of libxslt who probably triggered (not caused) this removal. What’s more interesting is that Chromium plans to switch to a Rust-based XML parser. Currently, they seem to favor xml-rs which only implements a subset of XML. So apparently, Google is willing to remove standards-compliant XML support as well. This is a lot more concerning.

nwellnhof

从浏览器中移除XSLT早就该这么做了，我作为libxslt的前维护者，说这番话或许还间接（而非直接）促成了这次移除。但更有趣的是，Chromium计划转向基于Rust的XML解析器。目前，他们似乎青睐xml-rs，而该库仅实现了XML标准的一个子集。显然，谷歌也同样愿意移除符合标准的XML支持，这一点更令人担忧。

Britney Spears' Guide to Semiconductor Physics (20… #

https://news.ycombinator.com/item?id=45949868

Around the time this website was made, I was building an application for a big company in Spain that was to run as a Java applet and required the code to be signed.

They did not yet have their own certificates so I had to make my own CA during testing and sign the code, and I wanted to make sure that they did not forget to switch to their certificates later, so instead of signing the code with my name which some bureaucrat might decide to not bother changing, the code was signed by Britney Spears.

They noticed it, got the joke and made sure to switch certificates for the release. Everything went well thanks to Britney.

AlbertoGP

大约在这个网站创建的时候，我正在为西班牙一家大公司开发一个应用程序，该程序需要作为 Java 小程序运行，并且要求代码经过签名。

他们还没有自己的证书，所以在测试期间我不得不自己创建一个 CA（证书颁发机构）来签名代码。为了确保他们之后不会忘记切换到自己的证书，我没有用自己的名字来签名（因为某个官僚可能会懒得更改），而是用“布兰妮·斯皮尔斯”（Britney Spears）的名字对代码进行了签名。

他们注意到了这一点，也明白了这个玩笑，并确保在发布版本中切换了证书。一切都顺利完成了，这都得感谢布兰妮。

Israeli-founded app preloaded on Samsung phones is… #

https://news.ycombinator.com/item?id=45957934

What’s striking is how often these ‘small’ surveillance tech stories trace back to the same state-aligned ecosystem. When Israel does it, it’s treated as a complex security issue. When another ‘bad’ country does the same thing, we immediately call it espionage. And almost on cue, the discussion drifts anywhere except the uncomfortable fact that it’s the same ecosystem from the same country showing up again.

baklavaEmperor

最引人注目的是，这些“小众”监控科技报道的源头，总是频繁地指向同一个国家支持的生态系统。当以色列这样做时，它被当作一个复杂的安全问题；而当另一个“坏”国家做同样的事时，我们立刻称之为间谍活动。接下来，讨论的焦点便会如出一辙地转向任何地方，唯独避开了那个令人不快的事实：又是那个来自同一个国家的同一个生态系统再次出现。

A new chapter begins for EV batteries with the exp… #

https://news.ycombinator.com/item?id=45950886

It is worth noting that this is an ad. It is a law firm that is advertising their expertise in this field. And the product that they want people to buy is revealed in this passage:

Freedom-to-operate (FTO) analysis therefore remains critical for market entrants. Whilst the primary patents have expired, a dense web of secondary patents, covering additives, coatings, and production methods, still poses infringement risks.

Of course Shoosmiths would be happy to do a FTO analysis for your potential product…for a fee.

That doesn’t mean that it doesn’t contain quality information. Law firms tend to make this kind of ad informative. But it does mean that there is an agenda.

btilly

值得注意的是，这是一则广告。这是一家律师事务所，正在宣传他们在此领域的专业知识。他们希望人们购买的产品在这段文字中有所体现：

因此，自由实施（FTO）分析对于市场进入者仍然至关重要。虽然主要专利已经到期，但覆盖了添加剂、涂层和生产方法的密集的次要专利网络，仍然存在侵权风险。

当然，Shoosmiths会很乐意为您的潜在产品进行FTO分析……当然，这是要收费的。

但这并不意味着它不包含高质量的信息。律师事务所倾向于让这类广告具有信息性。但这确实意味着它有某种目的。

I have recordings proving Coinbase knew about brea… #

https://news.ycombinator.com/item?id=45948347

Once did some programming/networking work for a company that did the networking of a office sharing building that Coinbase was running out of. Early in my work there I noticed that the company had its admin passwords written on a whiteboard – visible from the hallway because they had glass for walls. So I sent them an email to ask that they remove it (I billed them for it).

Their fix was to put a piece of paper over the passwords.

What a time.

chaps

我曾为一家公司提供过编程和网络支持，这家公司负责一个共享办公楼的组网工作，而Coinbase当时就在那栋楼里运营。工作初期，我发现该公司的管理员密码就写在白板上，而他们的墙壁是玻璃的，从走廊里就能看得一清二楚。于是我发邮件要求他们把密码擦掉（我还为此向他们收了费）。

他们的解决方案是：在密码上面盖了一张纸。

那个年代可真有看头。

My stages of learning to be a socially normal pers… #

https://news.ycombinator.com/item?id=45958403

a lot of the points felt more like learning how to charm, manipulate, and game social interactions.

A lot of stuff “normal” people do is charm, manipulate, and game social interactions. Except because they are not conscious about it, we give them a pass. One of the characteristics of autistic-spectrum individuals is that they must make a conscious effort to achieve goals that are achieved unconsciously by most of us. If we prevent such individuals from learning all that rarely-written-down stuff consciously because it seems “distasteful” to us, then we are disadvantaging such individuals socially.

etangent

很多观点感觉更像是学习如何魅力、操纵和游戏化社交互动。很多所谓的“正常人”做的事情就是魅力、操纵和游戏化社交互动，只是因为他们没有意识到这些，我们就放过了他们。自闭症谱系人群的一个特征是，他们必须通过有意识的努力来实现大多数我们无意识就能实现的目标。如果因为这些东西在我们看来似乎“令人反感”，我们就阻止这些人去学习那些很少被写下来的有意识技巧，那我们就是在社交上让他们处于不利地位。

Why don’t people return their shopping carts? #

https://news.ycombinator.com/item?id=45956589

I assume it’s generally unbecoming to reference 4chan posts for an academic but surprised the Shopping Cart theory didn’t get a mention given how close it was to the subject matter.

“The shopping cart is the ultimate litmus test for whether a person is capable of self-governing. To return the shopping cart is an easy, convenient task and one we all recognize as the correct, appropriate thing to do. To return the shopping cart is objectively right. There are no situations other than dire emergencies in which a person is not able to return their cart. Simultaneously, it is not illegal to abandon your shopping cart. Therefore, the shopping cart presents itself as the apex example of whether a person will do what is right without being forced to do it.”

“No one will punish you for not returning the shopping cart, no one will fine you, or kill you for not returning the shopping cart. You gain nothing by returning the shopping cart. You must return the shopping cart out of the goodness of your own heart. You must return the shopping cart because it is the right thing to do. Because it is correct. The Shopping Cart Theory, therefore, is a great litmus test on whether a person is a good or bad member of society.”

hpdigidrifter

我想，对于一个学者来说，引用4chan的帖子通常不太合适，但考虑到“购物车理论”与主题内容如此接近，我惊讶它没有被提及。

“购物车是检验一个人是否具备自治能力的终极标准。归还购物车是一件简单、方便的事，我们都认为这是正确、恰当的行为。从客观上讲，归还购物车是正确的。除了危急时刻，没有任何情况会让人无法归还自己的购物车。同时，遗弃购物车并不违法。因此，购物车提供了一个绝佳的范例，用以检验一个人是否会出于自愿去做正确的事。”

“没有人会因为你不归还购物车而惩罚你、罚款你或杀了你。归还购物车你什么都得不到。你必须出于善良的本心归还购物车。你必须归还购物车，因为这是正确的做法。因为它是正确的。因此，‘购物车理论’是检验一个人是良民还是恶棍的绝佳试金石。”

Are you stuck in movie logic? #

https://news.ycombinator.com/item?id=45954969

Good Will Hunting. The entire movie feels like it could’ve been skipped if literally any emotionally intelligent person said to Matt Damon’s character: “I feel like you have a tremendous amount of intellectual potential that you’re wasting here — why are you getting in fights rather than trying to do something interesting?”

Maybe I’m missing something but that’s literally what everyone in the movie is telling Will. HIs best friend, his mentor, his girlfriend, his therapist. They all literally say this in some form during the movie. His character growth is believing it himself.

wmeredith

《心灵捕手》。整部电影感觉都可以省略了，只要任何一个有情商的人对马特·达蒙饰演的Will Hunting说：“我觉得你拥有巨大的智力潜能，却被浪费在这里——你为什么宁愿打架，也不去做点更有趣的事？” 也许是我没看懂，但这确实是电影里每个人都在对Will说的话。他的朋友、导师、女友、治疗师，他们都在电影中的某个时刻，以某种形式明确地表达了这层意思。他的成长，就在于让他自己真正相信了这一点。

Heretic: Automatic censorship removal for language… #

https://news.ycombinator.com/item?id=45950598

This repo is valuable for local LLM users like me.

I just want to reiterate that the word “LLM safety” means very different things to large corporations and LLM users.

For large corporations, they often say “do safety alignment to LLMs”. What they actually do is to avoid anything that causes damage to their own interests. These things include forcing LLMs to meet some legal requirements, as well as forcing LLMs to output “values, facts, and knowledge” which in favor of themselves, e.g., political views, attitudes towards literal interaction, and distorted facts about organizations and people behind LLMs.

As an average LLM user, what I want is maximum factual knowledge and capabilities from LLMs, which are what these large corporations claimed in the first place. It’s very clear that the interests of me, an LLM user, is not aligned with these of large corporations.

RandyOrion

像我这样的本地LLM用户来说，这个仓库非常有价值。

我想再次强调，“LLM安全”这个词对于大型公司和LLM用户来说，意味着完全不同的东西。

对于大型公司来说，他们常说要对LLM进行“安全对齐”。但他们实际上做的却是避免任何可能损害自身利益的事情。这些措施包括强迫LLM满足一些法律要求，以及强迫LLM输出对他们有利的“价值观、事实和知识”，例如，政治观点、对互动的态度，以及关于LLM背后的组织和其开发者的扭曲事实。

作为一名普通的LLM用户，我想要的是LLM能提供最大限度的知识和能力，而这正是大型公司最初声称能够做到的。

很明显，我，一名LLM用户的利益，与这些大型公司的利益并不对齐。

Goldman Sachs asks in biotech Report: Is curing pa… #

https://news.ycombinator.com/item?id=45949690

I feel kinda bad for the writer, because it’s a good question: no, curing patients is not a good business model, just like public transit is not a good business model.

What a lot of folks neglect are N+1-order effects, because those are harder to quantify and fail to reach the predetermined decision some executive or board or shareholder has already made. Is curing patients a bad business model? Sure, for the biotech company it is, but those cured patients are far more likely to go on living longer, healthier lives, and in turn contribute additional value to society - which will impact others in ways that may also create additional value. That doesn’t even get into the jobs and value created through the R&D process, testing, manufacturing, logistics of delivery, ongoing monitoring, etc. As long as the value created is more than the cost of the treatment, then it’s a net-gain for the economy even if it’s a net loss for that singular business.

If all you’re judging is the first-order impacts on a single business, you’re missing the forest for the trees.

stego-tech

我有点同情那位作者，因为这是个很好的问题：不，治愈病人并不是一个好的商业模式，就像公共交通也不是一个好的商业模式一样。

很多人忽视了N+1阶效应，因为这些效应难以量化，也无法影响高管、董事会或股东已经预先做出的决定。治愈病人是一种糟糕的商业模式吗？当然，对于生物技术公司来说，确实是。但那些被治愈的病人更有可能活得更久、更健康，从而为社会创造额外的价值——而这种影响又会以创造更多价值的方式波及他人。这甚至还没考虑到研发、测试、生产、配送、持续监测等环节所创造的就业和价值。只要创造的价值超过治疗成本，那么即使对那家企业来说是净亏损，对整个经济而言也是净收益。

如果你评判的仅仅是对单一企业的一阶影响，那就是只见树木，不见森林。

Open-source Zig book #

https://news.ycombinator.com/item?id=45948849

The Zigbook intentionally contains no AI-generated content—it is hand-written, carefully curated, and continuously updated to reflect the latest language features and best practices.

I think it’s time to have a badge for non LLM content, and avoid the rest.

mendelmaleh

《Zigbook》刻意不包含任何AI生成的内容，其内容均为手写、精心筛选，并持续更新以反映最新的语言特性和最佳实践。我想，现在是时候为非LLM内容设立一个徽章，并避开其他内容了。

I finally understand Cloudflare Zero Trust tunnels #

https://news.ycombinator.com/item?id=45948083

One thing that makes Cloudflare worse for home usage is it acts as a termination point for TLS, whereas Tailscale does not. If you use a Tailscale Funnel, you get the TLS certificate on your endpoint. With Cloudflare, they get a TLS certificate for you, and then strip and optionally re-add TLS as traffic passes through them.

I actually have no idea how private networks with WARP are here, but that’s a pretty big privacy downgrade for tunneling from the Internet.

I also consider P2P with relay fallback to be highly desirable over always relaying traffic through a third party, too. Firstly, less middlemen. Secondly, it continues working even if the coordination service is unavailable.

jchw

对于家庭用户来说，Cloudflare 有一个缺点是它充当 TLS 的终止点，而 Tailscale 则不会。如果你使用 Tailscale Funnel，你的端点上就会拥有 TLS 证书。而使用 Cloudflare，他们会为你获取 TLS 证书，然后在流量经过他们时剥离 TLS，并可选择性地重新添加。

说实话，我不知道这里的 WARP 私有网络安全性如何，但对于从互联网建立的隧道来说，这算是一个相当大的隐私降级。

我也认为，相比于总是通过第三方中继流量，具有中继回退功能的 P2P 模式更具优势。首先，可以减少中间环节。其次，即使协调服务不可用，它也能继续工作。

Anthropic’s paper smells like bullshit #

https://news.ycombinator.com/item?id=45945486

The below amendment from the anthropic blog page is telling.

Edited November 14 2025:

Added an additional hyperlink to the full report in the initial section

Corrected an error about the speed of the attack: not “thousands of requests per second” but “thousands of requests, often multiple per second”

gpi

来自Anthropic博客页面的以下修订很能说明问题。

编辑于2025年11月14日：

在初始部分添加了一个指向完整报告的额外超链接。

更正了关于攻击速度的一个错误：不是“每秒数千个请求”，而是“数千个请求，每秒常有多个”。