2025-12-19 Hacker News Top Stories #

1. ACM 宣布自 2026 年 1 月起在数字图书馆对所有出版物实行开放获取，作者保留版权并提供过渡支持以提升可见性与公平获取。
2. AWS 首席执行官认为用 AI 取代初级开发者是愚蠢的想法，主张将 AI 作为增强工具并保持新人培养以维护人才梯队。
3. 在 AI 辅助开发时代，开发者的核心是交付并证明代码可运行，需提供手动与自动化测试证据并教会 AI 执行验证。
4. 一台 Hetzner 服务器被利用 Next.js RCE 漏洞植入 xmrig 挖矿程序，提示开发者重视依赖与供应链安全。
5. 古典雕像原本有色彩且更克制细腻，现代极端复原易误导公众，重建应区分证据与推测并明确标注。
6. 购买零售渠道的苹果礼品卡兑换可能触发账户封禁并造成数据与购买记录丢失，苹果在申诉与透明度上存在问题。
7. 日本研究团队从两栖爬行动物肠道分离出能选择性在肿瘤内富集并诱导免疫反应的细菌，在小鼠结直肠癌模型中实现完全缓解。
8. HTMX 被推荐为一种轻量无需大量 JavaScript 的前端增强方案，通过服务器渲染局部更新简化开发复杂度，适用于许多场景。
9. 英国独立审查警告国家安全法可能过度扩张，将加密通信或使用 VPN 等合法技术误判为“敌对活动”，威胁隐私与创新。
10. Docker 免费发布 Docker Hardened Images，提供轻量、低攻击面且附带 SBOM 与 SLSA 构建证明的生产就绪镜像，但关于构建工具开源性仍有争议。

2026 年 1 月起，所有 ACM 出版物将实行开放获取 (Beginning January 2026, all ACM publications will be made open access) #

https://dl.acm.org/openaccess

亲爱的计算机社区成员们，

我们很高兴地分享一个对我们领域来说的重要里程碑。从 2026 年 1 月开始，所有 ACM 出版物及其相关作品将在 ACM 数字图书馆中实现开放获取。这一变化反映了全球计算机社区对于研究成果更加可获取、可发现和可重用的长期呼声和日益增长的需求。

通过转向开放获取，ACM 支持一种出版环境，具体体现在以下几个方面：

1. ** 作者保留知识产权 **：所有 ACM 作者在其已发表作品上保留版权，ACM 将致力于维护这些作品的版权和完整性，防止相关侵犯行为。
2. ** 提高可见性和影响力 **：研究成果将向全球任何人免费提供，增加读者数量、引用次数及实际应用。
3. ** 惠及各地学生、教育工作者和研究人员 **：无论是在资源充足的机构还是在新兴研究社区，所有人都能直接访问到 ACM 发布的广泛工作。
4. ** 加速创新 **：开放获取促进合作、透明和累积进展，增强计算机学科的整体发展。

此次转型的结果源于与作者、特殊兴趣小组（SIG）领导、编辑委员会、图书馆和全球研究机构的广泛对话。我们对社区持续倡导开放性以及确保计算机知识广泛共享的承诺表示感谢。

在向 2026 年 1 月过渡的过程中，我们将提供额外的信息和指导，包括：

• 视频：ACM 开放获取介绍
• 作者信息
• 会议组织者信息

我们的目标是让这一过渡过程对所有参与 ACM 出版物和会议的贡献者顺利且富有支持性。感谢您们在推动计算研究和实践方面的持续努力。我们期待与大家共同在一个更加开放和可获取的未来继续这项工作。

HN 热度 1237 points | 评论 139 comments | 作者：Kerrick | 9 hours ago #

https://news.ycombinator.com/item?id=46313991

• 开放获取模式下，期刊通过向作者收取文章处理费（APC）获得收入，而非依赖订阅费，这改变了期刊的盈利模式。
• 作者所在机构（如大学）通常会通过与期刊签订协议来支付 APC，从而实现机构内研究人员的免费发表与阅读。
• 当前开放获取模式的激励机制存在缺陷，期刊更倾向于追求发表数量而非质量，导致“重数量轻质量”的倾向。
• 有观点认为，期刊不应再作为学术质量的唯一仲裁者，应摆脱“ prestige”光环，推动更公平的学术传播。
• 期刊应转型为提供先进技术与展示方式的科技平台，或彻底退出学术出版领域，以减少行政垄断。
• 作者支付 APC 后，期刊仍需确保其内容具有质量，否则将失去作者信任与学术影响力。
• 高声誉期刊的 APC 通常更高，因为其读者群和影响力更大，这在一定程度上仍与质量挂钩。
• 一些低质量或“掠夺性”期刊利用 APC 模式快速获利，说明市场存在漏洞，需加强监管。
• 学术评价体系若仍以论文数量为导向，将加剧“付费发表即成功”的现象，不利于学术公平。
• 期刊在学术质量控制方面仍具有不可替代的作用，尤其在筛选高质量、可信赖的研究成果方面。
• 读者无法全面审查所有论文，缺乏专业知识和时间，因此需要专业评审机制来过滤低质量或误导性内容。
• 开放获取模式虽限制了信息获取壁垒，但其背后的激励机制仍需优化，不能简单等同于“免费阅读”。
• 期刊在学术传播中提供的服务包括同行评审、编辑加工、长期存档等，这些服务仍具价值，不应被完全否定。
• 期刊的开放获取转型有助于打破大型出版商的垄断，推动更公平的学术资源分配。
• 期刊的商业模式应与读者需求和作者利益相平衡，避免过度依赖 APC 导致学术不公。

AWS CEO 称用 AI 取代初级开发者是“最愚蠢的想法之一” (AWS CEO says replacing junior devs with AI is ‘one of the dumbest ideas’) #

https://www.finalroundai.com/blog/aws-ceo-ai-cannot-replace-junior-developers

本文为 Final Round AI 博客文章，标题为《AWS CEO 解释 AI 无法取代初级开发者的 3 个原因》。文章引用了 AWS 首席执行官 Matt Garman 在 WIRED《大访谈》播客中的观点，反驳了“用 AI 替代初级开发者以降低成本”的流行做法。

首先，初级开发者往往比资深员工更熟悉 AI 工具。他们成长于数字时代，学习和使用 AI 编程辅助工具（如代码生成、调试建议）更为自然。2025 年 Stack Overflow 开发者调查显示，55.5% 的早期职业开发者每日使用 AI 工具，高于资深开发者。许多 Z 世代员工甚至在帮助资深同事提升 AI 技能。

其次，初级开发者薪资较低，削减他们并不能带来显著的成本节约。企业若仅以降本为目标而裁撤初级岗位，实际效果有限。研究显示，30% 曾裁员以节省成本的公司最终支出反而上升，且不得不重新招聘，造成更大损失。

第三，停止招聘初级开发者将破坏人才梯队建设。公司需要新鲜血液注入创新思维和未来领导力。若长期不培养新人，未来将面临人才断层，难以应对项目扩展和技术演进。Deloitte 报告指出，科技行业人才需求增速是整体劳动力市场的两倍，建立稳定的人才管道至关重要。

Garman 强调，AI 应作为提升生产力的工具，而非替代人力的手段。他相信 AI 将在中长期创造更多岗位，而非减少。同时，他支持计算机科学教育，认为扎实的理论基础是未来高价值岗位的核心。最终，AI 将推动企业更高效发展，而人类开发者需不断适应新角色，提升综合能力。

HN 热度 1031 points | 评论 522 comments | 作者：birdculture | 1 day ago #

https://news.ycombinator.com/item?id=46302267

• 初级开发者的价值不在于廉价的编码劳动，而在于他们敢于提出“愚蠢”问题，这些问题是检验抽象设计是否合理的唯一信号。
• AI 可以替代初级开发者处理枯燥、低价值的任务，如搜索 API、编写样板代码，从而让新人更快聚焦于系统整体架构的理解。
• 如果因为 AI 的出现就取消初级开发者岗位，相当于企业失去了人才储备和知识传承的机制，最终导致组织缺乏成长性。
• 在某些企业文化中，初级开发者因害怕“丢脸”而不敢提问，即使他们真正理解了问题，也倾向于装懂或夸大能力。
• 高级开发者虽然也能提出看似“愚蠢”的问题，但通常能通过深入思考将其转化为有洞察力的讨论，而初级开发者缺乏这种底气和经验。
• 团队领导应通过自身展示知识深度和思考能力，建立信任，从而鼓励团队成员敢于暴露知识盲区。
• 识别每个成员的“超能力”是关键，这需要长期观察其思维方式、问题解决风格和独特优势，而非仅看技术熟练度。
• 通过主动提出“愚蠢的想法”来打破思维定式，可以发现团队中被忽视的假设或盲点，这种行为值得鼓励。
• 并非所有“愚蠢”问题都无价值，有些问题能揭示理解偏差或沟通断层，是团队健康度的重要指标。
• 企业文化和管理方式影响提问氛围，有些公司鼓励质疑，而另一些则因高压环境导致员工不敢发声。

在 AI 辅助开发时代，真正的开发能力在于证明代码有效 (Your job is to deliver code you have proven to work) #

https://simonwillison.net/2025/Dec/18/code-proven-to-work/

本文由 Simon Willison 于 2025 年 12 月 18 日发表，探讨了在 AI 辅助开发日益普及的背景下，软件工程师的核心职责——交付经过验证的可运行代码。

作者指出，当前一个令人担忧的现象是，初级工程师过度依赖 LLM 工具，提交大量未经测试的大型代码变更（PR），将验证工作推给同事或开源维护者。这种行为不仅不尊重他人时间，更是对开发职责的失职。

真正的开发工作不应只是“写代码”，而应确保代码确实有效。为此，必须通过两个步骤证明代码工作正常：

第一，手动测试。开发者必须亲自验证代码在正常流程下能正确运行。建议将测试步骤整理为可复现的终端命令及输出，直接附在代码审查中。对于难以通过命令行演示的变更（如 UI 变化），应提供屏幕录制视频作为证据。同时，要主动探索边界情况，这是区分初级与高级工程师的关键能力。

第二，自动化测试。这是不可省略的环节。提交的代码必须包含能通过测试的自动化用例，且在回滚实现后测试应失败。自动化测试的编写过程与手动测试一致：准备初始状态、执行变更、验证结果。良好的测试代码结构和模式复用，能帮助 AI 工具写出符合团队风格的测试。

作者强调，如今的 AI 编程代理（如 Claude Code、Codex CLI）已具备自动执行代码、验证结果并迭代优化的能力。开发者应教会 AI 工具完成同样的验证流程——既能手动测试，也能编写自动化测试。例如，让 AI 自行运行 CLI 工具进行验证，或在修改 CSS 时自动截图比对效果。

最终，AI 无法承担责任。人类开发者才是问责主体。能证明代码有效的人，才真正有价值。因此，每次提交 PR 前，务必附上充分的验证证据。

本文倡导一种“以证明为核心”的开发哲学：在 AI 时代，真正的竞争力不在于生成代码的能力，而在于验证代码的能力。

HN 热度 602 points | 评论 511 comments | 作者：simonw | 9 hours ago #

https://news.ycombinator.com/item?id=46313297

• 低级别工程师使用大模型工具提交未经测试的大型代码变更，期望代码审查流程能自动修复问题，这种现象令人沮丧。
• 高级工程师甚至非技术人员也出现类似行为，提交由 AI 生成的不完整或低质量内容作为任务描述，浪费开发人员时间。
• 一些管理者利用 AI 生成任务需求和验收标准，导致开发人员需花费额外精力去理解真实需求。
• 逆向工程 AI 提示词成为新职业方向，用于推断原始输入问题。
• 企业组织中存在严重的管理与技术脱节，高层对技术细节缺乏理解，导致流程混乱。
• “资深”头衔常被授予仅工作两年的新手，实际经验与职位不匹配。
• 经验年限不等于能力，重复执行相同任务十年不如在不同领域积累一年的深度经验。
• 软件行业对“全栈专家”的要求不现实，难以同时精通数据库、前端、后端、运维等多个领域。
• 专家型通才（Expert Generalist）是真实存在的，但常被错误地用于简单地完成端到端功能开发。
• 真正优秀的专业人士应持续学习和改进，而非机械重复旧方法。
• 用 AI 辅助开发可显著提升效率，帮助快速定位问题并提供解决方案。
• 有开发者已能通过 AI 规划并实现完整功能模块，最终结果与人工编写无异。
• 长期从事相似的 CRUD 类项目，虽掌握前沿框架，但技术深度和创新性不足。
• 技术人员应保持好奇心，避免陷入“只会做重复工作”的困境。

我的赫茨纳服务器被黑客入侵：开始挖矿门罗币 (I got hacked: My Hetzner server started mining Monero) #

https://blog.jakesaunders.dev/my-server-started-mining-monero-this-morning/

作者 Jake Saunders 在早晨收到 Hetzner 的邮件，警告其服务器存在攻击行为，且若不及时处理，服务器可能在 4 小时内被封锁。他随即登录服务器检查，发现系统负载异常高，CPU 使用率高达 819%，并检测到多个名为 javae 和 xmrig 的异常进程，确认服务器已被用于挖掘 Monero 加密货币。

经过排查，这些进程均以用户 ID 1001 运行，且位于 Docker 容器中。通过检查容器列表，作者发现自己的 Umami 分析工具容器（ID: a42f72cb1bc5）中存在一个名为 xmrig-6.24.0 的目录，位于 /app/node_modules/next/dist/server/lib/ 路径下，这是典型的挖矿软件植入位置。

进一步调查发现，Umami 是基于 Next.js 构建的，而作者此前误以为自己“不使用 Next.js”，因此未加关注。实际上，他部署的 Umami 在 9 天前更新，恰逢一个名为 CVE-2025-66478 的严重漏洞被公开。该漏洞存在于 Next.js 的 React Server Components（RSC）序列化机制中，攻击者可通过构造恶意 HTTP 请求，利用不安全的反序列化实现远程代码执行（RCE）。

攻击者正是利用这一漏洞，入侵了作者的 Umami 容器，植入挖矿程序并长期运行（从 12 月 7 日开始，持续约 10 天）。作者意识到，即便自己不直接使用 Next.js，其依赖的第三方应用若使用该框架，仍可能成为攻击入口。

文章最后强调：安全防护不能仅依赖“我不用 XX”，而应关注所有依赖项的潜在风险，尤其是开源组件中的漏洞。作者也表示已重置系统，修复漏洞，并提醒其他开发者重视供应链安全。

HN 热度 581 points | 评论 370 comments | 作者：jakelsaunders94 | 1 day ago #

https://news.ycombinator.com/item?id=46305585

• UFW 不推荐使用，firewalld 更适合当前环境，配置更稳定且支持 XML 文件管理，建议使用 nftables 后端。
• Docker 容器默认暴露端口可能绕过防火墙规则，需特别注意安全配置。
• 建议将 Docker 端口映射绑定到私有 IP（如 192.168.0.1），而非 0.0.0.0，以增强安全性。
• Docker 默认绑定到 0.0.0.0 增加了安全风险，应显式指定绑定地址，避免意外暴露。
• Docker 的 userland-proxy 可以禁用以减少潜在风险，通过修改 daemon.json 配置实现。
• Docker 的默认 IP 网段可能变动，建议在 daemon.json 中固定使用 bip 和 default-address-pools 避免冲突。
• Docker 容器网络使用 127.0.0.0/8 网段，可绑定多个 IP 实现多服务监听，无需虚拟网卡。
• firewalld 配置复杂，对普通用户不够友好，相比 UFW 操作繁琐，建议简单场景使用 UFW。
• 有人认为 firewalld 是 Fedora 默认防火墙，但对非专业用户来说过于复杂，实际使用中常选择禁用。
• Podman 被推荐作为 Docker 的替代方案，尤其适合不需要 root 权限和守护进程的场景。
• Podman 可以运行 Dockerfile，但更建议将其视为独立工具，而非 Docker 的简单替代品。
• Podman 的 rootless 模式导致用户登出后容器停止运行，对生产环境使用可能造成误解。
• Podman 与 Docker Compose 兼容性较差，虽有第三方工具但功能不完整，建议使用 quadlets 等新方案。

古典雕像原本并非色彩丑陋 (Classical statues were not painted horribly) #

https://worksinprogress.co/issue/were-classical-statues-painted-horribly/

本文探讨了古希腊与古罗马雕塑原本被彩色装饰这一事实，以及现代人对彩色复原版本普遍感到“难看”的现象。作者指出，尽管历史学界早已知晓古代雕塑是彩色的，但近年来通过维岑茨·布林克曼等人的“色彩中的神”展览，公众才广泛接触到这些复原作品。然而，这些复原往往使用高饱和、哑光的色彩，使原本精美绝伦的雕塑显得突兀甚至丑陋。

作者质疑“现代审美与古代不同”这一常见解释。他指出，古代壁画、马赛克和绘画中描绘的雕塑，大多色彩柔和、层次细腻，如庞贝古城中描绘的雕像，或圣马可别墅的拳击手雕像，均呈现出自然、克制的色彩处理，远非现代复原中那种刺眼的艳丽。

此外，文中还提到，古代艺术中极少有与现代复原风格相似的实例。唯一接近的是奥普隆蒂斯别墅中的一只戏剧面具，但其本身是夸张、怪诞的舞台道具，不能代表普通雕塑的风格。

因此，作者认为，现代人对彩色复原的反感，可能并非源于审美差异，而是因为这些复原违背了我们对古典雕塑“洁白无瑕”的长期视觉惯性。这种“白色崇拜”源于文艺复兴时期对残缺雕塑的误读，当时人们误以为无色是艺术本真，从而形成了一种根深蒂固的审美偏好。

最终，文章提出：真正的问题不在于古代人是否喜欢彩色雕塑，而在于现代复原方式是否真实反映了古代的色彩美学。当前的复原可能过于夸张，反而扭曲了我们对古典艺术的理解。

HN 热度 535 points | 评论 263 comments | 作者：bensouthwood | 12 hours ago #

https://news.ycombinator.com/item?id=46311856

• 古代雕塑的彩绘并非如现代重建所示那般色彩浓烈，实际是先涂饱和底色，再添加细节与明暗，残留的仅是底色。
• 油画创作中通常先用土色调打底，再逐步添加高光与色彩，直接使用饱和色作为底色既不经济也不实用。
• 油画颜料随时间变透明，因此需要通过底色建立形体结构，以确保作品长期保存。
• 古代雕塑的彩绘应以整体色彩表现为主，明暗处理并非必要，尤其在立体雕塑上，其本身已具备光影效果。
• 当前的考古重建仅依据可证实的颜料证据，不添加主观推测，因此呈现的色彩可能过于单一。
• 尽管重建者声称仅使用确凿证据，但其展示方式常被公众误解为真实还原，造成误导。
• 若重建者加入合理推测以还原更真实、美观的原貌，可能被指责为“凭空捏造”，即使有研究支持。
• 重建中使用纯白色大理石色作为缺失部分的默认选择，同样是一种主观假设，与彩绘重建并无本质区别。
• 若整尊雕像均被彩绘，可减少因局部色彩与裸露大理石对比产生的“塑料感”或“诡异谷”效应。
• 当前的重建方式因缺乏解释，容易让公众误以为是历史真实，存在误导公众的风险。
• 重建工作应明确标注为艺术诠释，而非历史事实，以避免误解。
• 通过现存彩绘雕像的图像，可推断出古代雕塑的彩绘风格与色彩趋势，从而合理推测未保存色彩的雕像原貌。
• 学术研究应聚焦于验证基础事实，而更富想象力的复原可作为补充，但不应混同于学术结论。
• 在面向公众的博物馆展览中，坚持仅展示确凿证据的重建方式，若导致误解，则属于不负责任的传播行为。

苹果礼品卡安全吗？ (Are Apple gift cards safe to redeem?) #

https://daringfireball.net/linked/2025/12/17/are-apple-gift-cards-safe-to-redeem

本文由 John Gruber 撰写，围绕苹果账户因兑换被篡改的 Apple Gift Card 而被锁定的事件展开讨论。事件主角 Paris Buttfield-Addison 在购买一张来自大型零售商的 500 美元苹果礼品卡后，尝试兑换时其整个 Apple 账户被锁定，导致 iCloud 和所有 iTunes、App Store 购买记录丢失。

尽管该礼品卡来自可信渠道，但其可能已被恶意篡改，触发了苹果的欺诈检测机制。Gruber 指出，整个事件过程缺乏透明度：苹果未说明账户被封禁的具体原因，也未提供任何解释，整个处理流程如同“卡夫卡式”的黑箱操作。

文章提到，尽管 Adam Engst 在 TidBITS 上建议公众抵制购买苹果礼品卡，将其视为“数字俄罗斯轮盘”，但 Gruber 仍认为大多数礼品卡是安全的。他个人因此决定仅在苹果直营店兑换礼品卡，并避免将其与个人 Apple 账户关联，以降低风险。

此外，Gruber 对苹果账户一旦被封禁后是否可恢复表示怀疑。尽管 Buttfield-Addison 最终在执行关系团队（Executive Relations）介入后账户得以恢复，但整个过程耗时近一周，反映出苹果内部支持体系的僵化与不透明。

他提出两个核心疑问：一是账户封禁是否由算法自动触发，还是有人工干预；二是被封账户是否真的能被恢复，还是只能通过“退款 + 重新注册”这种看似荒谬的方式解决。

文章最后强调，尽管事件已解决，但苹果礼品卡的安全性仍存疑，用户在兑换和赠送时需保持警惕。

HN 热度 487 points | 评论 400 comments | 作者：tosh | 10 hours ago #

https://news.ycombinator.com/item?id=46313061

• Apple 和 Google 账户如今对用户至关重要，但账户被轻易关闭且缺乏有效申诉机制，可能导致用户失去对重要服务和数据的访问权限。
• 当前科技公司提供的客户服务水平与 25 年前无异，面对大规模用户却只配备少量、权限受限的客服人员，难以应对复杂问题。
• 为防止欺诈，平台必须严格验证身份，但这意味着用户隐私将面临更大程度的监控，存在隐私与安全的权衡。
• 要求平台对账户关闭更宽容，就必须加强开户审核，这本质上是在推动更广泛的数字身份监控。
• 现有系统在离婚、分居或逃离家暴等情境下无法妥善处理账户和购买记录的分割，缺乏人性化设计。
• Google 等平台在联系人管理上存在严重缺陷，无法彻底屏蔽特定联系人，即使已无任何互动，仍可能被自动提示。
• 用户应主动备份数据，如使用 Google Takeout、自建 NAS 或选择如 Immich 等开源替代方案，以减少对单一平台的依赖。
• 一些第三方服务如 Shutterfly 可作为照片备份的补充，但存在骚扰式营销问题，用户体验不佳。
• 通过购买商品获取免费照片存储服务虽可行，但需权衡隐私与便利性。
• 一些用户尝试通过制造“虚假消费”来获取奖励，这种行为在实际操作中与洗钱行为难以区分，最终被平台关闭。

两栖类和爬行类肠道细菌在小鼠体内实现肿瘤消除 (Gut bacteria from amphibians and reptiles achieve tumor elimination in mice) #

https://www.jaist.ac.jp/english/whatsnew/press/2025/12/17-1.html

日本先端科学技術大学院大学（JAIST）的三木栄朗教授研究团队发现，从日本树蛙肠道中分离出的一种名为 Ewingella americana 的细菌，具有极强的抗癌活性。该研究成果已发表于国际期刊《Gut Microbes》。

研究团队从日本树蛙、火腹蝾螈和日本草蜥的肠道中分离出 45 种细菌，经筛选后发现其中 9 种具有抗肿瘤作用，尤以 E. americana 表现最为突出。在小鼠结直肠癌模型中，单次静脉注射该细菌即实现 100% 的完全缓解率，疗效显著优于现有的化疗药物（如多柔比星）和免疫检查点抑制剂（如抗 PD-L1 抗体）。

其抗癌机制具有双重作用：一是直接杀伤癌细胞，该菌为兼性厌氧菌，可选择性定植于缺氧的肿瘤微环境，在 24 小时内数量增加约 3000 倍；二是激活免疫系统，大量招募 T 细胞、B 细胞和中性粒细胞至肿瘤部位，促进促炎因子（如 TNF-α、IFN-γ）释放，诱导癌细胞凋亡。

该细菌表现出高度肿瘤特异性，能精准聚集于肿瘤组织，不侵入正常器官（如肝、脾、肺、肾、心脏），且在体内迅速清除（半衰期约 1.2 小时），24 小时后无法检测到。短期轻度炎症反应可在 72 小时内恢复，长期观察 60 天未见慢性毒性。

未来研究将拓展至乳腺癌、胰腺癌、黑色素瘤等多种实体瘤，优化给药方式（如分次剂量、瘤内注射），并探索与现有免疫疗法或化疗的协同效应。

本研究开创性地利用自然界未被充分开发的两栖类与爬行类肠道微生物资源，为难治性癌症治疗提供了全新思路，揭示了生物多样性在医学创新中的巨大潜力。

HN 热度 477 points | 评论 134 comments | 作者：Xunxi | 1 day ago #

https://news.ycombinator.com/item?id=46306894

• 人体的 DNA 复制纠错机制（L1 防御）非常高效， mutation 率极低，因此提升该机制的边际效益有限。
• 免疫系统（L2 防御）在清除突变细胞方面已相当有效，改进免疫系统可能比优化 DNA 复制机制更具实际价值。
• 人类的癌症防御机制在进化上相对较弱，相比其他灵长类动物，人类在 DNA 修复和免疫监控方面表现较差。
• 大型动物如鲸鱼和大象虽然细胞数量多，但癌症发病率并不显著更高，这被称为“佩托悖论”。
• 鲸鱼和大象通过增加抑癌基因（如 p53）的拷贝数或产生特殊的细胞外基质（如裸鼹鼠的透明质酸）来增强抗癌能力。
• 有观点提出“肿瘤内肿瘤”假说，认为肿瘤可能因内部突变而自我抑制，但目前缺乏实验证据支持。
• 实际研究发现，大型动物的癌症发生率确实随体型增加而上升，只是不同物种的抗癌机制差异导致了癌症风险的平衡。
• 进化生物学研究表明，种群规模影响突变率，小种群因遗传漂变难以进化出更低的突变率，这被称为“漂变屏障假说”。
• 生殖细胞的突变率远低于体细胞，因此高效修复机制对进化影响较小。
• 适度的运动可通过物理应力诱导癌细胞凋亡，尤其在癌细胞尚未形成转移前。
• 维生素 D 和镁等营养素对 DNA 修复至关重要，日常摄入不足可能影响机体抗癌能力。
• 蛋白质、氮和磷等基本营养物质是 DNA 修复的必要底物，维持充足供应对细胞健康很重要。
• 生酮饮食可能具有辅助抗癌作用，但目前尚无临床试验证实其能显著延长患者生存期。

请务必试试 HTMX (Please just try HTMX) #

http://pleasejusttryhtmx.com/

这是一个强烈呼吁开发者尝试 HTMX 的技术文章，作者以充满情绪但不失理性的语气，批判当前前端开发中的过度复杂化现象。

文章指出，开发者常面临两种错误选择：要么使用原始的纯 HTML，无法实现动态交互；要么陷入现代 JavaScript 框架（如 React）带来的庞大依赖、缓慢构建和复杂状态管理的“地狱”。这种二元对立是虚假的。

真正的第三条路是使用 HTMX——一个轻量级库，仅约 14KB 压缩后大小，无需编写任何 JavaScript。它让任意 HTML 元素都能发起请求，服务器返回真实可渲染的 HTML 片段，由 HTMX 直接插入页面指定位置，实现局部更新。

文中通过三个实际演示展示其能力：点击按钮更新内容、加载更多数据、实时搜索反馈。所有功能仅靠 HTML 属性实现，无需额外代码。

作者引用一家公司从 React 迁移到 Django + HTMX 的案例，数据惊人：代码量减少 67%，依赖减少 96%，构建速度提升 88%，页面加载速度提高 50%-60%。团队成员也实现了全栈化，不再有前后端割裂。

针对质疑，文章回应：

• 复杂客户端状态？大多数应用并不需要。
• 缺少生态？但你本就用的是后端语言，生态就是你的后端。
• 单页应用感觉更快？那是因加载了 2 兆的脚本才“快”，而基于传统网页的响应式更新，首屏加载更快，后续操作更高效。

最后明确指出，不推荐使用场景包括实时协作编辑、重度计算、离线应用或真正复杂的界面状态管理。但绝大多数项目——如仪表盘、后台系统、电商网站、博客等——都适合用上。

文章结尾真诚邀请读者花一个周末试一试：加个 <script> 标签，写一个 hx-get 属性，体验一次“为什么我们把网页开发搞得这么复杂”的顿悟。

HN 热度 418 points | 评论 353 comments | 作者：iNic | 10 hours ago #

https://news.ycombinator.com/item?id=46312973

• htmx 提供了一种简单高效的方式来增强网页交互性，特别适合需要局部更新的场景，如下拉框、模态框和搜索自动补全。
• htmx 的核心优势在于简化了前后端数据同步的复杂性，尤其在静态或可预测的更新场景中表现优异。
• 与传统前端框架相比，htmx 通过服务器端渲染和局部更新，减少了客户端 JavaScript 的复杂性，适合轻量级应用。
• htmx 的设计哲学强调“超媒体”（hypermedia），主张通过 HTML 本身传递交互逻辑，而非依赖复杂的前端框架。
• 有开发者指出，虽然 htmx 的生态尚小，但不应以“简历驱动开发”为由否定其技术价值，选择技术应以产品需求为核心。
• 一些评论认为，当前技术选型的讨论常被“就业市场”因素过度影响，但真正重要的是构建能满足用户需求的高质量产品。
• 有观点指出，htmx 的“零就业”现象被夸大，其文章本身带有讽刺意味，旨在揭示技术选型中过度关注就业市场的荒谬。
• 与 React 等主流框架相比，htmx 的学习成本低、上手快，适合快速开发和维护，尤其适合已有后端框架的团队。
• 对比 Stimulus、Inertia 和 Turbo，htmx 更适合无需复杂前端状态管理的场景，而这些工具更适合需要更复杂前端逻辑的项目。
• 有开发者表示，Unpoly 是一个与 htmx 类似的优秀超媒体库，但相对复杂，适合更高级的交互需求。
• htmx 的轻量性使其在性能和可维护性方面具有优势，尤其适合对加载速度和代码简洁性要求高的项目。
• 一些人担忧 htmx 依赖服务器端逻辑，可能在复杂动态场景中难以应对，需要后端做出相应架构调整。
• 有观点认为，当前前端生态已形成“技术漩涡”，框架迭代频繁、维护成本高，而 htmx 有助于打破这种恶性循环。
• 选择技术不应仅基于就业市场热度，例如 Hacker News 使用 Lisp 构建，尽管相关岗位极少，但其系统依然卓越。

英国国家安全部门法独立审查警告监管过度扩张 (Independent review of UK national security law warns of overreach) #

https://www.techradar.com/vpn/vpn-privacy-security/creating-apps-like-signal-or-whatsapp-could-be-hostile-activity-claims-uk-watchdog

英国监管机构警告称，开发类似 Signal 或 WhatsApp 等加密通讯应用可能被视作“敌对行为”，这是英国近期加强数字隐私监管的最新举措。该言论引发科技界对加密技术未来前景的广泛担忧。当前，英国政府正加强对在线安全的管控，包括考虑对虚拟私人网络（VPN）实施更严格限制，甚至可能禁止未成年人使用。与此同时，英国通信管理局（Ofcom）已启动对 VPN 的监控，计划在 2026 年进一步强化文件内容审查。专家批评此类措施可能损害用户隐私，甚至“制造灾难”。瑞士也因技术行业强烈反对，已决定修订拟议中的 VPN 监管法案。此外，印度要求 VPN 服务商屏蔽非法泄露公民数据的网站，欧盟则准备扩大数据留存范围，将 VPN 提供商纳入监管目标。美国网络安全机构也建议 Android 和 iPhone 用户停止使用个人 VPN，引发公众对隐私与安全平衡的讨论。

HN 热度 399 points | 评论 254 comments | 作者：donohoe | 13 hours ago #

https://news.ycombinator.com/item?id=46311355

• 英国国家安全法对技术工具的过度监管可能将加密通讯应用如 Signal、WhatsApp 等视为“敌对活动”，这种逻辑荒谬且具有广泛危害性。
• 将加密技术或物理屏障（如窗帘、墙壁）视为阻碍监控的工具，是将技术中立性政治化的危险信号，本质上是政府权力扩张的体现。
• 政府以保护公众为名实施监管，实则是为了自身权力安全，压制民众组织与信息传播能力，这在历史上常见于威权政权。
• 欧洲对大型社交平台实施强制实名制和年龄验证，以“保护儿童”为由，但实际可能侵犯隐私并扩大监控范围。
• 网络安全法规的模糊定义可能导致合法技术（如 Let’s Encrypt）被误判为威胁，凸显法律边界不清的风险。
• 政府监管不应针对技术本身，而应聚焦于非法行为，否则将误伤无辜，如同因有人用街道犯罪而禁止使用街道。
• 当前治理危机源于社会规范失效，政府权力缺乏有效制衡，需通过制度设计让代表真正对选民负责。
• 无论是左翼还是右翼政府，都在忽视公众意愿，推动监控扩张，这并非单一意识形态问题，而是权力滥用的普遍现象。
• 美国宪法虽提供制度保障，但现实中政府已严重忽视宪法权利，尤其在司法程序和言论自由方面。
• 第二修正案的现实意义在于制衡政府权力，但其在当前语境下被过度政治化，实际并未形成有效威慑。

Docker 宣布免费开放 Docker Hardened Images，为全球开发者提供安全、轻量、生产就绪的容器镜像 (A Safer Container Ecosystem with Docker: Free Docker Hardened Images) #

https://www.docker.com/blog/docker-hardened-images-for-every-developer/

Docker 宣布免费开放 Docker Hardened Images（DHI），为全球 2600 万开发者提供安全、轻量、生产就绪的容器镜像。DHI 采用开源 Apache 2.0 许可，完全透明，支持 Debian 和 Alpine 两大主流基础镜像，确保开发者可信任、可验证、可迁移。

DHI 通过 distroless 运行时大幅缩减攻击面，镜像体积最多减少 95%，并实现近零 CVE 的安全目标。每个镜像均附带完整的 SBOM（软件物料清单）、SLSA Build Level 3 构建证明和公开可查的漏洞评估，杜绝隐藏漏洞或模糊评分。

Docker 强调安全透明，不掩盖未修复漏洞，所有安全状态实时可见。同时，DHI 提供商业版本（DHI Enterprise），承诺关键漏洞 7 天内修复，支持 FIPS、FedRAMP 等合规需求，适用于金融、政府等高安全要求行业。

DHI 已扩展至 Helm Charts 和 MCP 服务器（如 MongoDB、Grafana、GitHub），构建从应用到基础设施的全栈安全基础。未来将覆盖更多系统组件、库和工具，实现从 main() 函数到底层系统的全面安全。

Docker 还推出 AI 助手功能，可扫描现有容器并推荐或自动替换为 DHI 镜像，降低迁移门槛。该功能目前为实验性，即将正式上线。

Docker 坚信，安全不应是例外，而应是默认。通过开放 DHI，Docker 正在推动容器生态进入“安全即默认”的新标准。

HN 热度 350 points | 评论 94 comments | 作者：anttiharju | 1 day ago #

https://news.ycombinator.com/item?id=46302337

• Docker 提供的“加固镜像”虽号称免费，但其构建工具尚未完全开源，用户无法在离线或高合规环境中自行构建，引发对“开源”定义的质疑。
• Docker 团队正在积极开发并计划公开构建工具，以支持用户在本地环境构建和修改加固镜像，实现可重复构建。
• “加固镜像”市场已趋于饱和，已有 Chainguard、Minimus、Ironbank 等多家公司提供类似服务，涵盖政府、企业及云原生生态。
• Chainguard 早期通过提供零 CVE 镜像帮助初创公司绕过安全团队的合规障碍，尤其在应对 glibc 等高危漏洞时具有显著价值。
• 企业客户更倾向于购买付费加固镜像，以实现风险转移和合规背书，即使技术上漏洞可忽略，也能避免内部追责。
• 在大型企业中，使用付费镜像可作为“已尽责”的证据，即使出现问题，也能将责任归于供应商，降低内部问责风险。
• SOC2 等合规审计并不关注是否付费，而是关注补丁策略，因此付费本身并不能直接满足合规要求，其价值更多体现在流程和责任划分上。
• 对于非合规导向的组织，用户是否愿意为低 CVE 镜像付费仍存疑，Docker 免费提供可能降低采用门槛，但长期可持续性存疑。
• 政府项目如 FedRAMP 虽未强制要求，但使用加固镜像可显著提升通过安全扫描和 FIPS 合规的可能性，对政府客户尤为重要。
• 即使是 SaaS 企业，客户也会关注镜像中的已知漏洞，提供清晰的修复计划有助于推动销售谈判和客户信任。
• 企业采购加固镜像往往涉及复杂的流程和成本，如大型公司需数月时间完成采购审批，凸显其商业价值。
• Ironbank 镜像虽免费，但部分仍基于 UBI 系统，存在 CVE，不过其团队会主动处置高危和严重漏洞，提供透明的漏洞追踪工具。
• 某些镜像（如 Vault）本身设计极简，甚至无 shell，从根源上减少攻击面，是实现安全性的有效手段。
• 有公司虽提供同类产品，但将其作为现有订阅的附加福利，不额外收费，体现其作为客户粘性工具的定位。

Hacker News 精彩评论及翻译 #

Classical statues were not painted horribly #

https://news.ycombinator.com/item?id=46312879

I will die on this hill, because I’m right. Painters put on the first layer in saturated colors like this, then add detail, highlight and shadow. The base layer stuck to the statues, and the rest was washed away.

This whole thing just won’t go away because many people are operating outside their area of expertise on this subject.

Painters layer paint, starting with a saturated base color. These archaeologists are simply looking at the paint that was left in the crevices.

Geonode

我会坚持我的立场，因为我是正确的。画家会先使用饱和度高的颜色打底，然后再添加细节、高光和阴影。底层颜料附着在雕像上，而其余的则被冲刷掉了。

这件事之所以不断发酵，是因为许多人在这个领域都超出了他们的专业范畴。

画家分层上色，从饱和的底色开始。而这些考古学家只是观察到了残留在缝隙里的颜料。

Ask HN: Does anyone understand how Hacker News wor… #

https://news.ycombinator.com/item?id=46309399

(I’m a mod here)

It’s true that this place can be cryptic, and that has downsides—specifically, it can be confusing to newcomers, even to some newcomers who would make ideal HN users. That sucks.

But there’s a key that unlocks most of the puzzles. That is to understand that we’re optimizing for exactly one thing: curiosity. (Specifically, intellectual curiosity, since there are other kinds of curiosity too.) Here are links to past explanations about that: https://hn.algolia.com/?dateRange=all&page=0&prefix=true&sort=byDate&type=comment&query=curiosity%20optimiz%20by:dang

We try to elevate things that gratify curiosity: creative work, surprising discoveries, deep dives, technical achievements, unusual personal experience, whimsical unpredictability, good conversation, etc. And we try to demote things that run against curiosity, especially repetition, indignation, sensationalism, and promotion.

It gets complicated because you’ll also see plenty of repetition, indignation, sensationalism, and promotion on HN—alas! This is the internet after all. But the site survives because the balance of these things stays within tolerable ranges, thanks to two factors: an active community which cares greatly about preserving this place for intended purpose ( https://news.ycombinator.com/newsguidelines.html ); and an owner (Y Combinator) which pays us to work on the site full time and mainly just wants us to keep it good, to the extent possible.

If you really want to figure this place out, the way to do it is as a reader. Hang out on the site, look at the mix of articles that make the frontpage, spend time in the discussion threads (hopefully the interesting sectors and not the flamey ones!), and over time your eyes will adjust.

What doesn’t work—and this is good because we want it not to work—is approaching HN as a platform for promoting content. If you (<– I don’t mean you personally, but anyone) mainly care about “how can I use this thing to get attention for my startup/blog/project/newsletter”, then you’re operating in ‘push’ mode rather than ‘pull’ mode (or, even better, ‘idle’ mode). In that case you won’t be curious because you’re too focused on what you’re wanting for extraneous reasons—and if you aren’t in a state of curiosity, this place won’t make sense. At least we hope it won’t!

dang

（我是这里的版主）

说实话，这个地方确实有些晦涩难懂，这有其弊端——特别是会让新来的人感到困惑，甚至是一些本可以成为优秀HN用户的新人。这很糟糕。

但有一个关键可以解开大部分谜题。那就是要明白，我们只为一件事优化：好奇心。（具体来说是智识上的好奇心，因为好奇心还有其他类型。）这里有一些过去关于此问题的解释链接：https://hn.algolia.com/?dateRange=all&page=0&prefix=true&sort=byDate&type=comment&query=curiosity%20optimiz%20by:dang

我们努力提升那些能激发好奇心的内容：富有创意的作品、惊人的发现、深度剖析、技术成就、不寻常的个人经历、异想天开的不可预测性、高质量的对话等等。而我们则努力压制那些与好奇心相悖的内容，尤其是重复、愤慨、耸人听闻和推广。

情况会变得复杂，因为你在HN上也会看到大量的重复、愤慨、耸人听闻和推广内容——唉！毕竟这是互联网。但这个网站之所以能存续，是因为这些内容的比例维持在可容忍的范围内，这得益于两个因素：一个积极且非常关心为这个地方保留其既定用途的社区 ( https://news.ycombinator.com/newsguidelines.html)；以及一个（Y Combinator）拥有者，他们付钱让我们全职运营这个网站，主要就是希望我们尽可能地把它做好。

如果你真的想搞懂这个地方，方法就是作为一个读者。多花时间在这个网站上，看看登上首页的各种文章组合，多在讨论区里逛逛（希望是那些有趣的板块，而不是引战的板块！），久而久之，你就能适应这里的规则。

什么方法是行不通的——而这恰恰是好事，因为我们希望它行不通——那就是把HN当作一个推广内容的平台。如果你（←这里说的不是你个人，而是泛指任何一个人）主要关心的是“我该如何利用这个平台来给我的初创公司/博客/项目/通讯引流”，那你就是在“推送”模式而非“拉动”模式（或者，更好的是“闲置”）模式下运作。在这种情况下，你不会怀有好奇心，因为你太专注于那些与你个人目的无关的东西了——而如果你不处于好奇的状态，这个地方对你来说就毫无道理可言。至少我们希望是如此！

Are Apple gift cards safe to redeem? #

https://news.ycombinator.com/item?id=46313303

I’m glad that got resolved for Paris, but what the hell is a normal person supposed to do. Not every one has that kind of public reach to get a satisfactory resolution. First he had understand what happened technically, then he needed a public platform to tell people about it, then that writing needed to get reposted by others, than PR needed to get involved. Not something that’s going to happen for a normal user.

Apple, Google, and the big players are not a trustworthy place to entrust precious data. Increasingly, Apple and Google aren’t very much different as they are both in the advertisement business: the great misaligner of incentives.

oidar

很高兴巴黎的问题得到了解决，但普通人到底该怎么办呢？不是每个人都有那样的公众影响力来获得满意的解决。首先，他必须从技术上明白发生了什么；然后，他需要一个公开的平台告诉人们这件事；接着，他的文章需要被其他人转发；最后，公关部门还需要介入。这些事对于普通用户来说是不可能发生的。

苹果、谷歌和这些大公司并不是一个值得托付宝贵数据的地方。如今，苹果和谷歌已没什么不同，因为它们都从事广告业——一个导致利益严重错位的行业。

Your job is to deliver code you have proven to wor… #

https://news.ycombinator.com/item?id=46314509

there’s one depressing anecdote that I keep on seeing: the junior engineer, empowered by some class of LLM tool, who deposits giant, untested PRs on their coworkers—or open source maintainers—and expects the “code review” process to handle the rest.

It’s even worse than that: non -junior devs are doing it as well.

endorphine

有一个令人沮丧的轶闻，我总是看到：初级工程师在某种大语言模型工具的加持下，把巨大的未经测试的代码提交推给同事，或是开源项目的维护者，然后就指望“代码审查”流程来搞定剩下的一切。

情况甚至比这更糟：不止是初级开发者，就连非初级开发者也这么干。

Independent review of UK national security law war… #

https://news.ycombinator.com/item?id=46311760

He warns that developers of apps like Signal and WhatsApp could technically fall within the legal definition of “hostile activity” simply because their technology “make[s] it more difficult for UK security and intelligence agencies to monitor communications.

Sounds like Let’s Encrypt would also fall under that.

This has got to stop. If you want to stop criminals, then focus on their illegal activites, not the streets they walk on. I walk on them too. And don’t use CP as a catch-all argument to insert backdoors.

Their big problem here is that previously, it was hard to find people with the same opinion as you. If you couldn’t find someone in the same village who wanted to start a rebellion, it probably wouldn’t happen. Today, someone can post a Telegram group message and make thousands of people rally to a town square. I see the dangers, and I see why governments think they are doing this to protect the people. No one wants civil war. That is still not a strong enough reason to call road construction a hostile activity.

I’m back in Sweden after 12 years abroad. Time to read up on which parties are sane and which aren’t when it comes to technical infrastructure.

flowerthoughts

他警告说，像Signal和WhatsApp这类应用的开发者，仅仅因为其技术“让英国安全与情报机构更难监控通信”，在技术上就可能落入法律上“敌对活动”的定义范畴。

听起来Let’s Encrypt恐怕也会被归为此类。

这种情况必须得到遏制。如果想打击罪犯，就应该专注于他们的非法行为，而不是他们行走的街道。我也走在那些街道上。而且，别用儿童色情内容当万能挡箭牌，来强推后门。

他们这里最大的问题是，过去很难找到志同道合的人。如果你在自己的村子里找不到一个想造反的人，那叛乱大概就不会发生。而今天，有人可以在Telegram上发一条群消息，就能召集成千上万的人涌向某个城镇的广场。我看到了其中的危险，也理解了政府为何认为他们这样做是为了保护人民。没人想要内战。但这仍然不足以将修建道路的行为定义为“敌对活动”。

我在国外待了12年后，又回到了瑞典。现在是时候好好了解一下，在技术基础设施方面，哪些政党是清醒的，哪些不是了。

Tell HN: HN was down #

https://news.ycombinator.com/item?id=46304618

Your sleep is more important than our work distraction.

jonny_eh

你的睡眠比我们工作上的分心更重要。

Ask HN: Does anyone understand how Hacker News wor… #

https://news.ycombinator.com/item?id=46309842

HN is hard to game on purpose. So stop looking for the levers and participate , that’s all there is to it. I’ve made friends here, have been helped by people on projects that I was busy with, did the reverse, found friends and business partners and spend way too much time. HN is a very interesting slice of the online world, a place that is unlike the rest, sometimes a bit dry but always interesting and extremely useful. If you’re looking at it to try to understand it then you might as well try to understand a rat or a mouse. You won’t understand it because it isn’t there to be understood, it just is, like any other organism.

The root of HN is a thing called ‘startup news’, that was changed very quickly and since then HN has been a focal point for techies of all sorts but also lots of other people from all walks of life and from a large variety of countries. It isn’t ‘one thing’ to everybody that participates, just like a hammer is a different thing for a carpenter than it is for a masoner or a farmer.

The fact that after being a member for a couple of years you have this question indicates a lack of participation, not a lack of understanding.

jacquesm

HN 的设计本就难以被操控。所以别总想着寻找什么窍门，参与进去就是了。我在这里交到了朋友，也得到了别人在我手忙脚乱的项目上的帮助，也反过来为他人提供过帮助，还找到了商业伙伴，当然也花费了过多的时间。HN 是网络世界中一个非常有趣的切片，一个与众不同的地方，有时可能有点枯燥，但总是那么有趣且极具用场。如果你试图去理解它，那还不如试着去理解一只老鼠。你理解不了它，因为它不是为了被理解而存在的，它就只是存在着，就像任何其他有机体一样。

HN 的根源是一个叫做“Startup News”（创业新闻）的东西，但它很快就改变了，从那时起，HN 就成了各类技术人员的焦点，同时也吸引了来自各行各业、世界各地的许多人。对于每个参与者来说，它都不是“单一的东西”，就像一把锤子，对于木匠、石匠或农夫来说，它的意义是不同的。

作为一名成员几年后你还会提出这个问题，这表明你参与得不够，而不是你理解不了。

Coursera to combine with Udemy #

https://news.ycombinator.com/item?id=46301812

As someone who had to drop out of school in the 2008 crisis (family trouble), I owe a good chunk of my learning to the first era of online teaching.

Those courses that were basically “we’re a top university and we let someone record the class from the back” were a literal life changer. Honestly, that was all I wanted.

Everything that came after has been substantially worse. Work is gamified, teachers spend more time building an audience than creating the product… it’s all horribly tainted by profit.

If we went back to recording lectures by the worlds best and putting it online for free with attached books and exercises, we could improve the world a lot.

kace91

作为一名因家庭困难而在2008年经济危机时不得不辍学的学生，我的很大一部分学业要归功于在线教育的早期。

那些课程基本上就是“我们是顶尖大学，允许有人在后排录课”，这简直改变了我的人生。说真的，那正是我想要的。

后来的一切都差了很多。学习被游戏化了，老师们花在构建受众上的时间远多于打磨课程产品……一切都因逐利而变得面目全非。

如果我们能回到把世界顶尖教授的课程录下来并免费发布到网上，附带书籍和练习题，那我们就能极大地改善这个世界。

Ask HN: Does anyone understand how Hacker News wor… #

https://news.ycombinator.com/item?id=46310130

It sometimes blows my mind how questions which essentially boil down to “How do I best manipulate you for personal gain?” can be asked in such an unabashed fashion.

MathiasPius

那些本质上就是“如何才能最好地操纵你来获取个人利益？”的问题，竟能如此肆无忌惮地提出来，有时真让我感到震惊。

Tell HN: HN was down #

https://news.ycombinator.com/item?id=46303586

Crazy that Dang literally manages HN in his sleep!

We all knew that but I haven’t seen any confirmation before this.

shlomo_z

太疯狂了，Dang 居然是在睡梦中管理 HN 的！ 我们都知道这件事，但在此之前我从未见过任何证实。

AWS CEO says replacing junior devs with AI is ‘one… #

https://news.ycombinator.com/item?id=46302565

Relevant post by Kent Beck from 12th Dec 2025: The Bet On Juniors Just Got Better https://tidyfirst.substack.com/p/the-bet-on-juniors-just-got-better

The juniors working this way compress their ramp dramatically. Tasks that used to take days take hours. Not because the AI does the work, but because the AI collapses the search space. Instead of spending three hours figuring out which API to use, they spend twenty minutes evaluating options the AI surfaced. The time freed this way isn’t invested in another unprofitable feature, though, it’s invested in learning. […]

If you’re an engineering manager thinking about hiring: The junior bet has gotten better. Not because juniors have changed, but because the genie, used well, accelerates learning.

simonw

肯特·贝克（Kent Beck）于2025年12月12日发布的相关文章：《押注初级人员的理由变得更好了》https://tidyfirst.substack.com/p/the-bet-on-juniors-just-got-better

以这种方式工作的初级人员可以极大地缩短他们的上手时间。过去需要几天才能完成的任务，现在几个小时就能搞定。这并非因为AI代劳了工作，而是因为AI缩小了搜索范围。他们不再花费三小时去搞清楚该用哪个API，而是花二十分钟评估AI提供的选项。解放出的时间并没有投入到另一个不盈利的功能上，而是用于学习。[…]

如果你是一名正在考虑招聘的工程经理：押注初级人员的理由变得更好了。这并非因为初级人员本身发生了变化，而是因为，只要善加利用，AI就能加速学习。

Is Mozilla trying hard to kill itself? #

https://news.ycombinator.com/item?id=46301111

I have used Firefox as my default browser through thick and thin for damn near two decades.

If Mozilla killed andblocking extensions I’d switch to Helium Browser in a heartbeat since they’re maintaining manifest v2 support for uBO and even ship it OOTB.

The web is unusable without a proper Adblock.

throwaway613745

过去近二十年来，无论顺境逆境，我始终将Firefox作为我的默认浏览器。

如果Mozilla终止对广告拦截扩展的支持，我会立刻转向Helium浏览器，因为他们一直在维护对Manifest V2的支持，甚至将uBO作为默认功能内置其中。

没有合适的广告拦截器，网络根本无法使用。

AWS CEO says replacing junior devs with AI is ‘one… #

https://news.ycombinator.com/item?id=46303471

Isn’t the struggling with docs and learning how and where to find the answers part of the learning process?

I would argue a machine that short circuits the process of getting stuck in obtuse documentation is actually harmful long term…

beAbU

难道在文档中挣扎，学习如何以及在哪里找到答案，不正是学习过程的一部分吗？

我认为，一台能让人跳过在晦涩文档中碰壁这个过程的学习机器，从长远来看其实是有害的……

I got hacked: My Hetzner server started mining Mon… #

https://news.ycombinator.com/item?id=46306974

I also enabled UFW (which I should have done ages ago)

I disrecommend UFW.

firewalld is a much better pick in current year and will not grow unmaintainable the way UFW rules can.

firewall-cmd –persistent –set-default-zone=block firewall-cmd –persistent –zone=block –add-service=ssh firewall-cmd –persistent –zone=block –add-service=https firewall-cmd –persistent –zone=block –add-port=80/tcp firewall-cmd –reload Configuration is backed by xml files in /etc/firewalld and /usr/lib/firewalld instead of the brittle pile of sticks that is the ufw rules files. Use the nftables backend unless you have your own reasons for needing legacy iptables.

Specifically for docker it is a very common gotcha that the container runtime can and will bypass firewall rules and open ports anyway. Depending on your configuration, those firewall rules in OP may not actually do anything to prevent docker from opening incoming ports.

Newer versions of firewalld gives an easy way to configure this via StrictForwardPorts=yes in /etc/firewalld/firewalld.conf.

3np

我也启用了 UFW（其实早就该这么做了）。

我不推荐 UFW。

在当今，firewalld 是一个更好的选择，而且不会像 UFW 规则那样变得难以维护。

firewall-cmd –persistent –set-default-zone=block firewall-cmd –persistent –zone=block –add-service=ssh firewall-cmd –persistent –zone=block –add-service=https firewall-cmd –persistent –zone=block –add-port=80/tcp firewall-cmd –reload 其配置由 /etc/firewalld 和 /usr/lib/firewalld 目录下的 xml 文件支持，而不是像 UFW 规则文件那样脆弱不堪的一堆东西。除非你有自己的理由需要使用传统的 iptables，否则请使用 nftables 后端。

特别是对于 Docker，一个非常常见的陷阱是，容器运行时可以并且会绕过防火墙规则，无论如何都会打开端口。根据你的配置，原帖中的那些防火墙规则实际上可能无法阻止 Docker 打开入站端口。

新版 firewalld 提供了一种简单的方法来配置这一点，即在 /etc/firewalld/firewalld.conf 中设置 StrictForwardPorts=yes。

GPT-5.2-Codex #

https://news.ycombinator.com/item?id=46316606

If anyone from OpenAI is reading this – a plea to not screw with the reasoning capabilities!

Codex is so so good at finding bugs and little inconsistencies, it’s astounding to me. Where Claude Code is good at “raw coding”, Codex/GPT5.x are unbeatable in terms of careful, methodical finding of “problems” (be it in code, or in math).

Yes, it takes longer (quality, not speed please!) – but the things that it finds consistently astound me.

mccoyb

如果OpenAI的有人在看这个——恳请不要破坏它的推理能力！

Codex在发现bug和细微的不一致性方面非常出色，这让我感到惊讶。在“原生编码”方面，Claude Code很擅长，但在严谨、有条理地寻找“问题”（无论是代码中还是数学中）方面，Codex/GPT5.x是无人能敌的。

是的，这需要更长的时间（请追求质量，而非速度！）——但它持续发现的东西总是让我惊叹不已。

Ask HN: Those making $500/month on side projects i… #

https://news.ycombinator.com/item?id=46310161

I run a dead-simple, one-time, online fax service called JustFax Online[0]. While I don’t have a recurring revenue as I operate one one-time payment, for the past months I have been consistently grossing over €500/mo.

This also brings tears to my eyes, as I remember[1] browsing these threads and being amazed (still am) by all the people who make side projects and make money from them, and at the same time thinking that I will never reach this milestone, and yet, here I am.

[0]: https://justfaxonline.com [1]: https://news.ycombinator.com/item?id=39110194#39141819

skwee357

我运营着一个名为 JustFax Online 的极简式、一次性付费的在线传真服务。[0] 虽然我的运营模式是单次付费，没有持续性的收入，但在过去的几个月里，我的月总收入一直稳定超过 500 欧元。

这让我热泪盈眶，因为我记得[1]也曾浏览过这些帖子，并对所有能通过副业赚钱的人们感到惊叹（至今依然如此），同时我也曾认为自己永远无法达到这个里程碑，然而，现在我做到了。

[0]: https://justfaxonline.com [1]: https://news.ycombinator.com/item?id=39110194#39141819

Tell HN: HN was down #

https://news.ycombinator.com/item?id=46303812

failing to manage HN in my sleep is more like it

dang

更准确地说，是我连睡觉时都管不好HN。

Is Mozilla trying hard to kill itself? #

https://news.ycombinator.com/item?id=46300387

The interpretation is not the problem. Whether he will do it, is actually secondary to the fact that he thinks cutting adblock can bringing in money.

No, it will just kill the browser. The fact he thinks otherwise tells me how out of touch he is.

nialv7

问题不在于解读。他会不会这么做，这其实并不重要，重要的是他相信屏蔽广告能带来收入。

不，那只会毁了浏览器。而他却不这么认为，这足以说明他已经与实际脱节了。