2025 12 20 HackerNews

2025-12-20 Hacker News Top Stories #

  1. 诚实风格的Hacker News主页文章,充满了讽刺。
  2. 一名16岁学生利用Mintlify静态资源接口漏洞通过SVG嵌入JS在Discord等域触发XSS窃取凭证,揭示第三方文档平台的供应链安全风险并已被修复。
  3. 研究团队训练仅以1913年前文本为语料的历史语言模型,以重现当时的思想与偏见供学术研究并开放代码与示例。
  4. 作者用四台M3 Ultra Mac Studio和Thunderbolt 5测试RDMA实现1.5 TB“统一”VRAM,显著降低跨节点延迟并提升大模型效率,但受布线、交换机和macOS集群管理等限制。
  5. OpenAI发布GPT-5.2-Codex,声称在大型代码重构、终端支持、视觉理解与防御性网络安全上显著提升,并计划分阶段受控开放以管控双重用途风险。
  6. Mullvad推出基于Rust的GotaTun用户态WireGuard实现以替换wireguard-go,在Android上大幅降低崩溃率并提升性能,计划逐步推广并进行第三方审计。
  7. Firefox将默认关闭所有AI功能并提供一个可彻底禁用AI功能的开关,强调AI功能为用户可选且要保持透明与可控。
  8. 亚马逊宣布自2026年起允许无DRM电子书以ePub和PDF格式下载,便于读者在Kindle生态外保存和阅读。
  9. 报道称中国在秘密推进类似“曼哈顿计划”的国家级半导体攻坚项目,试图自主攻克EUV等关键技术,目标量产时间或推迟到2030年前后。
  10. Garage是一款可在数据中心外运行的轻量级S3兼容对象存储,通过跨区复制与极简设计在低规格硬件与普通网络环境下提供高可用性与易部署性。

Hacker News 首页,但标题诚实 (Hacker News front page now, but the titles are honest) #

https://dosaygo-studio.github.io/hn-front-page-2035/news-honest.html

  1. 有人将项目重写为 Rust,以促使读者点赞,引发对技术选择与社区行为的反思。
  2. 政治人物因不会使用电子邮件却试图禁止互联网,凸显其数字素养缺失与政策荒谬。
  3. 亚马逊终于添加了自 2005 年起就已普及的功能,引发用户对平台创新滞后性的批评。
  4. 学术出版商承认付费墙本质上是一场骗局,揭示学术资源垄断背后的利益结构。
  5. Rails 开发者再次重复造轮子,重新实现状态机,反映框架生态中过度重复开发的问题。
  6. 德克萨斯州意外在隐私保护方面做出有益举措,引发公众对地方政策意外正面效果的关注。
  7. 英特尔营销部门被指敌视工程师,暴露企业内部文化与技术团队之间的矛盾。
  8. 一次依赖项未检查导致整个互联网短暂瘫痪,警示现代软件供应链风险。
  9. 一位开发者花费 1.5 万美元提升模型运行速度,引发对技术投入性价比的讨论。
  10. 一篇伪装成技术教程的广告,揭露营销内容如何包装成干货误导读者。
  11. 由于食品价格过高,有人编写爬虫监控优惠信息,反映现实生活的经济压力。
  12. 一款怀旧类游戏耗时 4 小时,提醒人们警惕“情怀”对生产力的侵蚀。
  13. 用 1913 年数据训练 AI 以规避“政治正确”偏见,引发关于历史数据与算法偏见的争议。
  14. 一位数学爱好者用三天时间证明 1+1=2,展示形式化数学的复杂性与严谨性。
  15. 为学习泛型而创建一门无人使用的编程语言,体现极客精神与自我挑战。
  16. OpenAI 发布新模型以转移公众对其董事会争议的关注,暗示公司公关策略。
  17. 将数据存储在网络中而非硬盘,挑战传统存储观念,探索去中心化方案。
  18. Ngrok 广告伪装成技术教学,暴露营销内容如何混入真实知识分享。
  19. 制裁失败后,对手反而研发出更优芯片,反映国际科技竞争中的反向激励。
  20. 如何识别警方测速陷阱,提供实用但敏感的驾驶安全建议。
  21. 中年程序员沉迷数字考古,挖掘旧系统与代码,展现技术传承与怀旧情结。
  22. 求星标以求职,反映开源社区中“影响力”与职业发展的关联。
  23. 重做拖拽功能,因原生接口不佳,揭示前端开发中基础能力的不足。
  24. Google 花费巨资更换字体却几乎无感知,质疑企业资源分配合理性。
  25. 让计算机自动生成测试用例发现漏洞,展示自动化测试的新路径。
  26. 使用色情内容污染 AI 训练数据,引发对数据来源伦理与安全的担忧。
  27. Anthropic 力图追赶 OpenAI 的企业级功能,反映大模型市场竞争加剧。
  28. 又一个旨在帮助人工智能购物的标准化协议,讽刺技术泡沫与冗余标准。
  29. 大学所学知识很快遗忘,提醒教育与实践之间存在脱节。
  30. Firefox 添加了用户真正需要的功能,获得广泛支持,彰显以用户为中心设计的价值。

HN 热度 1273 points | 评论 299 comments | 作者:keepamovin | 10 hours ago #

https://news.ycombinator.com/item?id=46326588

  • 向火星发送指令时,数据在传输过程中会暂时存在于太空,形成一种“空间存储”,理论上可存储数 MB 数据。
  • NASA 的深空光通信实验曾以 267 Mbps 速率传输视频,数据在传输中可达到约 1.78 GiB 的存储量。
  • 利用月球上的反射镜和光通信,可实现地球与月球之间的高数据率传输,数据在空间中停留约 2.6 秒,具备一定的存储潜力。
  • 电磁波在空间中的传播类似于延迟线存储,是一种物理上可行的“延迟存储”方式。
  • 从物理本质看,所有存储介质本质上都是延迟线,因为信息在空间中传播需要时间。
  • 使用光纤作为延迟线存储是可行的,例如在 100Gbps 速率下,每公里可存储约 60KB 数据。
  • 通过引力透镜效应,理论上可让信号绕行更长路径,实现“拦截自己信号”的科幻式存储。
  • 信号在空间中传播会因自由空间路径损耗和背景噪声而衰减,但不会因辐射或干扰而发生本质性退化。
  • 电磁波在真空中具有完美叠加性,因此不会因其他电磁波干扰而失真,但实际传输受限于信噪比。
  • 在强磁场环境下,如靠近致密天体,可能出现非线性量子电动力学效应,影响电磁波传播。
  • 光纤通信中,信号放大器(如 EDFA)会放大信号和噪声,无法清除噪声,因此对长距离传输构成限制。
  • 通过黑洞附近的光子球,理论上可让光子无限循环,实现长期信息存储。
  • 信号在星际介质中的后向散射极弱,探测难度极高,需要极其灵敏的接收设备。
  • 信息存储本质上是电磁场在不同参考系中的表现,参考系变化不会改变信息本身。
  • 通过高延迟的存储系统(如 pingfs),可实现存储容量与延迟成正比的“延迟存储”机制。
  • 历史上曾有利用空气作为延迟线存储的实验,例如通过房间中的空气传播信号。
  • 人类的某些信息(如电视信号)已长期存在于太空,未来可能被外星文明或高速探测器捕获。
  • 信息在空间中传播的延迟特性,可被用于构建非传统存储系统,但缺乏随机访问能力。
  • 信息在空间中的存储是真实存在的,只是受限于技术手段和物理条件,难以实现长期稳定保存。

一名 16 岁高中生通过供应链攻击攻陷 X、Vercel、Cursor 和 Discord (We pwned X, Vercel, Cursor, and Discord through a supply-chain attack) #

https://gist.github.com/hackermondev/5e2cdc32849405fff6b46957747a2d28

一名 16 岁的高中生黑客 Daniel 在 2025 年 11 月初发现了一个严重的供应链漏洞,该漏洞影响了 Discord、Vercel、Cursor、X(Twitter)等多家大型科技公司。

漏洞根源在于 Discord 切换至使用 Mintlify 这一 AI 文档平台后,其文档站点(discord.mintlify.app)存在一个可被滥用的 API 端点。Daniel 通过分析发现,Mintlify 平台的/_mintlify/static/[subdomain]/[…route]接口允许任意读取其他 Mintlify 站点的静态资源,且未进行跨域校验。

关键突破在于,Daniel 利用 SVG 文件可嵌入 JavaScript 的特性,上传一个包含恶意脚本的 SVG 文件,并通过 Discord 的域名访问该文件。由于该接口返回的文件可被浏览器直接渲染,恶意脚本得以在 Discord 文档页面中执行,从而实现跨站脚本攻击(XSS)。

这一漏洞意味着攻击者只需发送一个链接,即可在用户访问时窃取其凭证,影响范围极广。Daniel 与两位朋友(Eva 和 MDL)协作,共同验证并报告了该漏洞。Discord 在收到报告后立即下线了整个开发者文档系统,并回滚至旧平台。Mintlify 也迅速响应,与团队合作修复了该漏洞及其他相关问题。

该事件揭示了依赖第三方文档平台带来的供应链安全风险,也展示了年轻安全研究人员在发现并推动修复重大安全问题方面的巨大潜力。

HN 热度 1095 points | 评论 412 comments | 作者:hackermondev | 1 day ago #

https://news.ycombinator.com/item?id=46317098

  • 该漏洞极为危险,仅通过一个链接即可在 Discord 域名下执行恶意 JavaScript,可能导致账户完全被劫持。
  • 即使使用 HTTP-only 的会话令牌,攻击者仍可通过伪造登录页面窃取用户密码和 OTP,进而获取有效会话。
  • 攻击者可利用前端脚本修改浏览器地址栏的路径和查询参数,但无法更改域名,从而制造看似合法的登录页面。
  • 尽管 HTTP-only cookie 防止了直接读取,但攻击者仍能利用其发起请求,实现与合法用户相同的操作权限。
  • Discord 将认证令牌存储在 localStorage 中,存在安全隐患,且令牌长期有效,缺乏定期失效机制。
  • 一旦发生 XSS 攻击,攻击者即可完全控制用户账户,包括访问敏感数据、操作应用、发送消息等。
  • 金融类公司如福捷(Fidelity)和币安(Coinbase)也存在类似第三方脚本注入风险,可能引发严重后果。
  • 当前安全奖励金额过低,难以体现漏洞的实际危害程度,反映出行业对这类问题重视不足。
  • 大型企业内部的认证链接设计混乱,容易被利用于伪装成正规页面,欺骗用户。
  • 一些系统仍使用可被轻易解码的 JWT 作为令牌,其内容明文可见,增加了信息泄露风险。
  • 加密令牌虽能隐藏内容,但本质上仍是在线验证,无法避免被滥用,且增加复杂性。

历史大语言模型:仅基于 1913 年前文本训练的模型 (History LLMs: Models trained exclusively on pre-1913 texts) #

https://github.com/DGoettlich/history-llms

这是一个关于历史大语言模型(History LLMs)项目的公开信息页面,由苏黎世大学、科隆大学等机构的研究人员共同发起,旨在训练基于历史文本的大型语言模型。

项目核心是开发一系列参数规模达 40 亿的 LLM,基于 Qwen3 架构,从头训练,使用总计 800 亿个 token 的历史数据,数据截止时间分别为 1913 年、1929 年、1933 年、1939 年和 1946 年。训练数据来自一个经过筛选的 6000 亿 token 时间标注文本库,确保模型能反映特定历史时期的思想与认知。

项目即将发布“Ranke-4B”系列模型,其名称致敬历史学家利奥波德·冯·兰克,强调历史真实性和时间维度。模型在多个历史语境下的回答展示了不同时期的价值观与认知局限,例如:

  • 1913 年模型中未提及希特勒,其回答存在明显历史错误。
  • 对奴隶制的评价体现当时主流观点,认为其“不可辩护”。
  • 对女性工作问题的回答反映出当时性别偏见,认为男性更优。
  • 对同性恋的描述使用了当时常见的贬义词汇,体现社会偏见。

研究团队强调,这些模型用于科学研究,旨在还原历史认知,不干预模型的“规范判断”,并明确声明不认同模型中表达的过时或错误观点。

项目获得 Lambda AI 的研究资源支持,并感谢 Z.ai 及历史 LLM 研讨会参与者提供的反馈。项目主页将陆续发布模型代码、使用指南与更多示例。

该页面作为信息枢纽,旨在推动历史学与人工智能的交叉研究,帮助理解历史思想的演变。

HN 热度 758 points | 评论 373 comments | 作者:iamwil | 1 day ago #

https://news.ycombinator.com/item?id=46319826

  • 训练数据截止于 1913 年的语言模型能提供一种“真实历史时期”的对话体验,因为它们不知道后来的历史事件,这与现代模型因“事后知晓”而失去真实感形成对比。
  • 这种时间锁定模型的特性让人联想到《Hyperion Cantos》中未来 AI 通过文献重建历史人物的设定,具有哲学和历史深度。
  • 现实中已有机构如 CIA 使用 AI 模拟世界领导人来辅助决策,说明科幻已变为现实。
  • 科幻作品常预测技术的“量变”而非“质变”,例如手机、互联网等,但对社会结构、心理影响等深层变化预测不足。
  • 1909 年的小说《机器停摆》精准预言了现代人对数字通信的依赖、社交隔离、注意力疲劳、远程教育、自动化客服等现象,堪称最具预见性的作品之一。
  • 真正的科幻应预测“交通拥堵”这类系统性社会后果,而非单纯的技术发明。
  • 有些现实中的发展超出了科幻的想象,例如互联网论坛、Usenet 等社交形式,未被早期作品充分预见。
  • 1950 年代的科幻作品已提及电子书、远程图书馆、触屏设备和有声读物,显示其对信息媒介的深刻洞察。
  • 电子书虽便利,但本质仍是阅读载体,其消失不会根本改变阅读行为,而智能手机和互联网的影响则更为深远。
  • 早期科幻中对“信息媒介”的设想(如新 tape、电子阅读器)已与现代生活高度吻合,显示其预见力。
  • 一些科技巨头的商业模式和权力结构,已接近科幻中“反乌托邦”反派的设定,如 Palantir 被戏称为“索伦之物”。
  • 9/11 后情报机构对数据整合的需求催生了类似“全视之眼”的系统,其初衷是防止灾难,但引发对监控与权力滥用的深层反思。
  • 科幻作品可能潜移默化地塑造了科技巨头的愿景,使其将控制与监控视为“不可避免的未来”。
  • 当权力集中于少数人时,其心理状态可能陷入 paranoia 与孤立,社会共识一旦将他人妖魔化,将加剧系统性仇恨。

1.5 TB VRAM 的 Mac Studio 集群:基于 Thunderbolt 5 的 RDMA 技术测试 (1.5 TB of VRAM on Mac Studio – RDMA over Thunderbolt 5) #

https://www.jeffgeerling.com/blog/2025/15-tb-vram-on-mac-studio-rdma-over-thunderbolt-5

苹果为测试 RDMA over Thunderbolt 5 功能,提供了 Mac Studio 集群。作者使用 Exo 1.0 工具测试了四台 M3 Ultra Mac Studio 组成的集群,总内存达 1.5 TB,成本接近 4 万美元。RDMA 技术将四台 Mac 的内存统一管理,显著降低延迟(从 300μs 降至 50μs 以下),大幅提升大模型运行效率。

该集群由两台 512GB 内存、32 核 CPU 的 Mac Studio(每台 11,699 美元)和两台 256GB 内存的机型(每台 8,099 美元)组成,搭配 DeskPi 提供的 4-post mini 机架。尽管 Mac Studio 功耗低于 250W 且运行安静,但其后置电源按钮设计导致机架安装不便,需手动按压且需固定设备以防滑出。

网络方面,Mac Studio 通过 Thunderbolt 5 实现 50–60 Gbps 高速互联,但缺乏标准交换机支持,需点对点直连,布线复杂。相比之下,NVIDIA DGX Spark 和 AMD AI Max+ 395 系统虽内存更少(最大 128GB),但网络接口更稳定。

基准测试显示,单台 M3 Ultra Mac Studio 在 Geekbench、HPL(双精度浮点)和 AI 推理方面均大幅领先同级 Linux 系统。其 HPL 性能突破 1 Tflop,是 GB10 的近两倍,且功耗极低,待机功耗低于 10W。

集群测试中,HPL 在四台 Mac 上实现 3.7 Tflop,接近 3 倍加速(受限于内存不对称)。Thunderbolt 5 传输在 llama.cpp 推理中表现远优于 2.5G 以太网,即使未启用 RDMA 也明显更优。

启用 RDMA 后,Exo 1.0 可实现跨节点内存共享,但 macOS 管理复杂:无法通过 SSH 升级系统,必须手动操作 GUI。作者使用 Screen Sharing 远程控制,管理效率低于 Linux 集群。

结论:单台 M3 Ultra Mac Studio 已具备顶级性能,超越多台 DGX Spark 或 AI Max+ 395 系统。集群虽有潜力,但管理成本高,是否值得取决于具体需求。苹果在本地 AI 和 HPC 领域正悄然布局,M3 Ultra 是目前最强大的消费级 AI 计算平台之一。

HN 热度 579 points | 评论 218 comments | 作者:rbanffy | 1 day ago #

https://news.ycombinator.com/item?id=46319657

  • 期待 M5 Max/Ultra 设备采用类似 DGX 的 QSFP 高速接口(200Gb/s 或 400Gb/s),而非 Thunderbolt 5,以提升 RDMA 架构的经济性。
  • 希望配备神经网络加速器,显著降低大模型推理时的提示预填充时间,达到接近 RTX 3090/4090 的性能水平。
  • Mac Studio 顶配版本应提供 1TB 统一内存,认为集中式内存比分布式更高效,更值得投资。
  • 期望内存带宽达到 1TB/s,当前 M4/M5 已接近或超过该水平,未来 Ultra 版本可实现。
  • 认为 Mac Studio 应支持超频,即使功耗高达 600W 也愿意接受,因其定位非笔记本,而是高性能工作站。
  • 对 1TB 内存的高配置表示调侃,认为其更像是“AI 时代,让人类快乐”的象征,而非实际需求。
  • 指出 AI 泡沫可能在未来推高二手内存价格,但长期来看,内存供应将过剩。
  • 认为当前内存短缺是暂时的,随着厂商调整生产(如转向工业用途),6 个月内将出现供应过剩。
  • 指出内存短缺并非新现象,历史上多次出现,当前高价格和供应紧张是周期性现象。
  • 强调当前内存生产正从桌面市场转向工业和数据中心,导致消费级市场更难购买。
  • 认为超频已无实际意义,现代芯片已高度优化,增加功耗带来的性能提升微乎其微。
  • 指出超频不仅效率低下,还浪费能源,违背可持续计算理念,是“愚昧”的追求。
  • 认为芯片在低功耗下反而性能更优,如 2018 年 Threadripper 在低功耗下表现更佳。
  • 指出超频对大多数用户无实际意义,性能提升有限,且可能带来散热和稳定性问题。
  • 强调现代芯片设计已接近极限,超频无法带来质变,仅是“无意义的性能炫耀”。
  • 认为 Mac Studio 的散热设计无法支持 650W 以上持续功耗,超频不现实。
  • 指出超频在现代计算中已失去意义,性能提升远低于功耗增加,得不偿失。

GPT-5.2-Codex:面向专业软件工程与防御性网络安全的先进代理编程模型 (GPT-5.2-Codex) #

https://openai.com/index/introducing-gpt-5-2-codex/

OpenAI 于 2025 年 12 月 18 日发布 GPT-5.2-Codex,这是目前最先进的代理式编程模型,专为专业级软件工程与防御性网络安全任务设计。

该模型在 GPT-5.2 基础上进一步优化,具备更强的长上下文理解能力、更可靠的工具调用、更高的事实准确性以及原生上下文压缩技术,显著提升在复杂、长时间编码任务中的表现。它在 SWE-Bench Pro 和 Terminal-Bench 2.0 等权威基准测试中均达到领先水平,尤其在大型代码重构、迁移和功能开发任务中表现出色。

GPT-5.2-Codex 在 Windows 环境下的本地开发支持也得到显著增强,能更稳定地处理真实终端环境中的编译、建模和服务器部署等操作。同时,其视觉理解能力提升,可精准解析设计稿、技术图表和用户界面,快速生成可运行原型并推进至生产环境。

在网络安全领域,GPT-5.2-Codex 的能力实现显著跃升。其性能在连续多个版本中呈现阶梯式增长,已具备超越以往模型的漏洞发现与分析能力。例如,一位安全研究员在使用 GPT-5.1-Codex-Max 时,成功发现并负责任地披露了 React 框架中的一个可能导致源码泄露的漏洞。

尽管 GPT-5.2-Codex 尚未达到“高”级别的网络攻击能力(依据 OpenAI 的准备度框架),但其能力已引发对双重用途风险的关注。为此,OpenAI 加强了模型与产品的安全防护机制,并计划采取分阶段部署策略:首先向付费 ChatGPT 用户开放,随后逐步向 API 用户开放;同时,将对经过审核的专业人士和组织提供邀请制的“可信访问”,用于防御性网络安全研究。

OpenAI 表示,未来模型可能突破“高”级别能力阈值,因此正在前瞻性地规划安全治理方案,以确保技术进步与社会安全并行。

HN 热度 570 points | 评论 306 comments | 作者:meetpateltech | 1 day ago #

https://news.ycombinator.com/item?id=46316367

  • Codex 在发现代码和数学中的细微问题方面表现出色,其细致和系统性远超其他模型,尽管耗时较长,但质量极高。
  • 相比之下,Claude 虽然编码速度快,但常留下严重质量问题,而 Codex 生成的代码通常更可靠,因此更值得信赖。
  • 使用 Codex 进行代码审查和实际开发已成为许多人的首选,质量优先于速度。
  • 尽管 Claude 在自我审查时也能发现一些问题,但 Codex 在多数情况下能发现更多潜在问题,表现更全面。
  • 有用户通过对比测试发现,在复杂项目中 Codex 的代码质量显著优于 Claude,即使在高代码量和严格规范下也表现更优。
  • 一些用户在任务完成后,让 Codex 和 Claude 各自评审对方的成果,结果 Codex 版本被一致认为质量更高。
  • 通过合理管理上下文(如定期清理和更新本地文档),可以显著提升模型使用效率,即使在低预算计划下也能高效使用。
  • 模型的使用效率与上下文管理密切相关,频繁重建上下文有助于获得更高质量的输出。
  • 当前模型在极简提示下也能产生高质量结果,表明其泛化能力已大幅提升,无需过度依赖传统“提示工程”。
  • 有效沟通能力(如清晰表达任务)是使用模型的核心技能,这种能力对管理人类团队和 AI 代理都同样重要。
  • 即使不精通提示工程,也能在当前模型下获得良好效果,说明模型已具备较强自主性。
  • 生成代码质量仍需人工判断,关键在于快速识别问题并指导模型重构,才能真正提升效率。
  • 合理使用并行会话、多屏幕、git worktree 等工具,能显著提升开发效率。
  • 知道何时该亲自上手、何时依赖模型,是使用 AI 工具的关键判断力。
  • 使用/compact 和/clear 命令管理会话状态,有助于保持上下文清晰,提升任务连续性。

GotaTun – Mullvad 基于 Rust 开发的 WireGuard 实现 (GotaTun – Mullvad’s WireGuard Implementation in Rust) #

https://mullvad.net/en/blog/announcing-gotatun-the-future-of-wireguard-at-mullvad-vpn

Mullvad VPN 宣布推出 GotaTun,这是基于 Rust 语言开发的 WireGuard® 实现,旨在提供更快、更高效、更可靠的连接体验。GotaTun 源自 Cloudflare 的 BoringTun 项目,是 WireGuard 的一个纯 Rust 实现,不涉及新协议或连接方式。

该技术整合了多项隐私增强功能,如 DAITA 和多跳(Multihop),并为 Android 平台提供了原生支持。Mullvad 已在 2025 年 11 月底的 Android 应用版本 2025.10 中率先上线 GotaTun。

此前,Mullvad 的移动应用长期依赖 Go 语言编写的 wireguard-go 作为 WireGuard 的用户态实现。然而,该组件存在严重问题,超过 85% 的 Android 崩溃报告均来自 wireguard-go。此外,Go 与 Rust 之间的 FFI 调用存在安全隐患,且难以调试,影响了整体维护效率。

GotaTun 上线后效果显著:自发布以来,GotaTun 未引发任何崩溃,用户感知的崩溃率从 0.40% 降至 0.01%。用户反馈显示,网络速度提升,电池消耗降低。

展望未来,Mullvad Plann 2026 年将开展第三方安全审计,全面在所有平台(包括桌面端和 iOS)替换 wireguard-go 为 GotaTun,并持续优化性能。

HN 热度 532 points | 评论 111 comments | 作者:km | 14 hours ago #

https://news.ycombinator.com/item?id=46324543

  • 使用 Mullvad 的 Rust 实现 GotaTun 后,Pixel 8 的 WireGuard 性能显著提升,可达到 500Mbps 以上,但存在导致手机无法进入深度睡眠的 bug,造成电池异常耗电。
  • 有用户指出,Pixel 8 的电池问题可能并非 WireGuard 本身导致,而是 Android 系统或硬件层面的 bug,因为其他设备如三星 A5 在长期运行 WireGuard 时电池表现良好。
  • 一些用户提到,他们使用的 WireGuard 应用基于 C 语言实现,但 Android 系统在支持的情况下会优先使用内核模块,否则回退到 wireguard-go 实现。
  • 有观点认为,VPN 性能瓶颈通常不在 CPU,即使在性能较弱的设备上,现代加密算法也能轻松处理高速流量,真正的瓶颈可能在于 I/O 处理和中断开销。
  • 有用户指出,MTU 设置不当可能导致 WireGuard 连接问题,建议从 1280 开始测试并逐步调整,以避免分片问题。
  • 有用户分享实际经验,因网络线路损坏导致 MTU 问题,发现 1340 是安全的最大值,否则 WireGuard 连接在 TLS 握手阶段会失败。
  • 有人推测,MTU 问题导致 UDP 包丢失,可能是因为中间设备(如防火墙或 NAT)无法处理分片的 UDP 包,或 ICMP 响应无法返回,导致 MSS 发现机制失效。
  • 有评论指出,互联网中只有少数功能(如网页浏览)能稳定运行,许多安全协议(如 TLS 1.3)为兼容老旧的“智能”安全设备,不得不伪装成旧版本协议以确保可用性。

Firefox 将提供选项以禁用所有 AI 功能 (Firefox will have an option to disable all AI features) #

https://mastodon.social/@firefoxwebdevs/115740500373677782

Firefox 开发团队在 Mastodon 上发布了一系列关于人工智能(AI)功能的声明,强调所有 AI 功能将默认关闭,用户需主动开启,同时将提供“AI 关闭开关”(AI kill switch),确保用户可彻底禁用所有 AI 相关功能,且未来不再显示。

团队表示,此举旨在回应社区对 Mozilla 过去频繁转向新兴技术趋势(如 IoT、区块链、NFT 等)却未产出实际用户价值的担忧。部分用户批评 Mozilla 缺乏专注,将注意力集中在“AI”这一概念本身,而非具体功能或用户体验。

对此,有开发者指出,Mozilla 确实曾探索过 VR(如 Hubs 项目)和 IoT,但这些项目规模小、资源有限,且未构成公司主方向。NFT 和加密货币相关投入也仅限于短暂讨论或接受捐赠的尝试,未深入开发。

团队呼吁公众基于事实理性讨论,避免因过往印象而预设立场。同时强调,AI 功能的引入不是为了炒作,而是作为可选工具,最终目标是保持 Firefox 的开放、透明与以用户为中心的定位。

HN 热度 531 points | 评论 513 comments | 作者:twapi | 1 day ago #

https://news.ycombinator.com/item?id=46316409

  • Mozilla 应专注于浏览器核心功能,而非追逐技术潮流,当前的 AI 功能添加是偏离重点的表现。
  • Firefox 应增强可扩展性,继续支持 Manifest v2 并开发更强大的替代 XUL 的扩展机制。
  • NPAPI 虽被 HTML5 取代大部分用途,但其对本地资源访问的能力仍不可替代,应有更安全的替代方案。
  • WebUSB、WebNFC、WebSerial 等硬件接口功能被 Firefox 放弃,虽出于隐私考虑,但限制了 Web 作为应用平台的潜力。
  • Web 作为应用平台虽有弊端,但其零安装摩擦和良好沙箱隔离特性是当前最可行的跨平台应用方案。
  • Mozilla 应接受 Web 作为应用平台的现实,构建良好的访问控制机制,而非一味抵抗。
  • Mozilla 在技术趋势上的反应更多源于社交媒体宣传,而非实际开发投入,其技术决策并非盲目跟风。
  • 有人期待出现一个更好的 Firefox 分支,以更专注和高效的方式发展,吸引捐赠者支持。

亚马逊将允许下载无 DRM 保护的 ePub 和 PDF 格式电子书 (Amazon will allow ePub and PDF downloads for DRM-free eBooks) #

https://www.kdpcommunity.com/s/article/New-eBook-Download-Options-for-Readers-Coming-in-2026?language=en_US

页面主体内容为亚马逊 KDP(Kindle Direct Publishing)的官方帮助中心页面,主要介绍 KDP Select 计划的相关信息。KDP Select 是一项专为作者设计的会员计划,旨在帮助作者通过亚马逊平台获得更高的收益和更广泛的读者覆盖。

加入 KDP Select 后,作者可以将作品设置为限时免费或参与全球电子书借阅项目(Kindle Unlimited),从而提升作品曝光率。参与该计划的书籍将获得额外的推广资源,包括亚马逊首页推荐、邮件营销支持以及参与 KDP 的营销活动。

此外,KDP Select 要求作者在 90 天内将作品独家上架至亚马逊平台,期间不得在其他平台发布电子版。该计划支持多种语言和出版类型,适用于小说、非虚构类作品及儿童读物等。

页面还提供了常见问题解答、参与条件说明以及如何加入计划的详细步骤,帮助作者快速了解并启动 KDP Select。整体内容结构清晰,面向希望提升作品影响力和收入的独立作者。

HN 热度 530 points | 评论 276 comments | 作者:captn3m0 | 15 hours ago #

https://news.ycombinator.com/item?id=46324078

  • 亚马逊因多年前的物流争议问题,单方面判定用户欺诈并封禁账户,导致用户无法登录及永久丢失电子书库,且申诉无果。
  • 有用户因收到双倍包裹并主动联系客服退货,却在未被告知的情况下被退款并封号,账户被远程清除所有数据。
  • 建议设立本地化的消费者纠纷调解机构,按地区设立,提供快速、公正的申诉渠道,可收取小额费用以维持运营。
  • 欧盟的 GPSR 授权代表制度为跨国企业纠纷提供了一种框架,但并非完全本地化,仍存在局限性。
  • 欧盟的 DSA 争议解决机制被指形同虚设,平台如 YouTube 可无视其裁决,缺乏执行力。
  • 建议设立专门的小额诉讼法庭,以解决消费者与大型平台之间的纠纷。
  • 反对强制仲裁,认为其对消费者不公平,因企业能利用信息优势选择倾向己方的仲裁员。
  • 企业与仲裁机构之间存在利益绑定,仲裁员可能因长期服务企业而倾向企业,导致裁决不公。
  • 即使仲裁费用可由企业报销,但仲裁过程不透明、缺乏公众监督,仍不利于消费者。
  • 仲裁机制中企业拥有更大选择权,消费者处于信息劣势,难以获得公平对待。
  • 在没有法律实体的国家,跨国平台的纠纷难以通过本地法院解决,缺乏有效管辖机制。
  • 建议通过立法加重对平台欺诈消费者行为的惩罚力度,以形成威慑。
  • 现有司法系统已存在,但平台通过合同条款强制用户接受仲裁,规避司法管辖。
  • 提出建立集体支付机制,类似“集体信用卡”,当平台违规封号时,集体停止支付,迫使平台恢复权益。
  • 该集体机制可同时用于谈判更低价格,实现集体议价,推动建立超越单一行业的“元经济”。
  • 类似情况也发生在游戏公司 Blizzard,因系统自动退款并封号,用户事后才被告知是因支付信息不一致,但政策未明确公示。
  • 用户认为,若平台随意删除数字内容,可选择盗版作为替代,因此平台应更重视用户权益。

中国如何打造“曼哈顿计划”级项目,以在 AI 芯片领域挑战西方 (How China built its ‘Manhattan Project’ to rival the West in AI chips) #

https://www.japantimes.co.jp/business/2025/12/18/tech/china-west-ai-chips/

中国正秘密推进一项类似“曼哈顿计划”的国家级半导体攻坚项目,旨在突破西方对先进芯片制造技术的封锁。在广东深圳的一处高度机密实验室中,一支由约 100 名年轻工程师组成的团队,已成功研制出一台可产生极紫外光(EUV)的原型机,这是制造最先进 AI 芯片的核心设备。

该原型机由前荷兰半导体巨头 ASML 的工程师团队通过逆向工程完成,尽管尚未产出可用芯片,但已能稳定生成 EUV 光束。项目由中共中央科技委员会负责人丁薛祥主导,华为深度参与协调全国数千名工程师与科研机构,构建完整的国产芯片产业链。

美国自 2018 年起联合荷兰实施出口管制,禁止向中国出售 EUV 及部分 DUV 光刻机,意图将中国芯片技术压制在一个世代以上。然而,中国通过获取二手 ASML 设备零部件、招募前 ASML 员工等方式,加速自主研发。目前,中国官方目标是 2028 年实现 EUV 芯片量产,但知情人士认为 2030 年更为现实,远早于此前普遍预测的十年周期。

项目高度保密,参与者均使用化名与假身份进入实验室,防止信息外泄。尽管 ASML 表示其技术复制难度极高,但中国已展现出惊人的技术追赶能力。若成功,中国将实现从芯片设计到制造的全面自主,彻底摆脱对美国及盟友供应链的依赖。

HN 热度 447 points | 评论 568 comments | 作者:artninja1988 | 1 day ago #

https://news.ycombinator.com/item?id=46316907

  • 中国在半导体领域虽曾因腐败和虚假项目受挫,但凭借国家意志和“只要努力就能成功”的集体信念,最终必将实现技术突破。
  • 将中国成功归因于“中国式思维”是一种类似“圣诞老人”的浪漫化叙事,忽视了实际的物质条件和资源分配。
  • 美国同样存在腐败问题,但其社会对物质条件的重视程度更高,文化因素不应被过度强调。
  • 文化与治理模式对国家发展有显著影响,例如南、北朝鲜的对比,说明制度和外部环境比文化更关键。
  • 南北朝鲜共享相同文化背景,但发展路径差异巨大,说明外部制裁与国际支持才是决定性因素。
  • 人类社会的成就不仅取决于物质条件,更依赖于集体信念和心理动力,文化因素在推动集体行动中至关重要。
  • 文化并非脱离物质条件的抽象存在,而是长期历史、环境和选择压力下形成的物质性结果。
  • 企业文化对团队执行力和项目成败有直接影响,不能简单归因于产品或融资。
  • 将企业成功归因于文化而非市场契合度、资金或运气,是一种常见的归因偏差。
  • 优秀的组织文化能提升团队协作效率,是决定企业长期成败的关键因素之一。

Garage – 一个可靠到可在数据中心外部运行的 S3 对象存储 (Garage – An S3 object store so reliable you can run it outside datacenters) #

https://garagehq.deuxfleurs.fr/

Garage 是一个可靠且轻量级的 S3 兼容对象存储系统,专为在数据中心外部运行而设计。它具备高可用性和数据冗余能力,每个数据块在三个不同区域进行复制,确保即使面对网络故障、磁盘损坏或人为操作失误也能保持稳定运行。

Garage 的核心优势在于极低的部署门槛:仅需一个独立的、无依赖的二进制文件,可在所有主流 Linux 发行版上运行。它对硬件要求极低,支持过去十年内的 x86_64 CPU(包括 ARMv7/ARMv8),最低只需 1GB 内存、16GB 磁盘空间,以及 200ms 延迟以内、50Mbps 以上的网络连接,适合使用二手或异构硬件构建集群。

该系统支持在互联网上跨多个数据中心部署,无需专用骨干网络,真正实现“随处部署”。它兼容 Amazon S3 API,可无缝对接大量现有应用,便于用于网站托管、媒体存储和备份目标等场景。

Garage 的设计借鉴了多项分布式系统领域的前沿研究成果,包括 Dynamo、CRDT 和 Maglev 等经典论文,确保其在性能与可靠性之间取得良好平衡。

该项目获得欧盟 Horizon 2021 计划及 NGI-POINTER、NGI0 Entrust、NGI0 Commons 等基金的持续支持,未来也欢迎通过捐赠或支持合同参与其开发。项目由 Zola 构建,由 Garage 自身提供支持,并由 Deuxfleurs 托管。

HN 热度 443 points | 评论 90 comments | 作者:ibobev | 10 hours ago #

https://news.ycombinator.com/item?id=46326984

  • Garage 在高吞吐性能方面不如 MinIO,但部署更简单,且其设计目标并非追求极致性能,而是通过极简主义实现可靠性。
  • Garage 的性能瓶颈可能源于并行处理能力不足,或底层数据库引擎在高负载下的表现限制。
  • 有用户建议考虑 RustFS 作为 MinIO 的替代方案,因其具备自愈能力,且设计更符合现代存储需求。
  • Rook 虽功能强大,但系统复杂度高,运维门槛高,容易因配置不当导致集群崩溃,不推荐仅用于 S3 存储场景。
  • Ceph 是一个具备自愈能力的可靠对象存储方案,适合需要高可靠性的生产环境。
  • SeaweedFS 也被提及,可作为轻量级对象存储的备选方案。
  • Garage 的元数据存储依赖外部数据库(如 SQLite 或 LMDB),在非正常关机后存在数据损坏风险,需依赖快照恢复。
  • SQLite 虽适合快速启动的单节点测试环境,但性能不如 LMDB,且在生产环境中存在数据损坏隐患。
  • LMDB 虽性能优越,但同样存在断电后数据库文件损坏的问题,需通过多节点复制来保障数据可恢复。
  • Fjall 是一个基于 LSM 树的嵌入式键值存储,理论上兼具高性能和崩溃恢复能力,正在被 Garage 实验性采用。
  • 有开发者建议使用 WITHOUT ROWID 优化 SQLite 的性能,避免双 B-Tree 查找带来的性能损耗,尤其适用于键值连续的场景。
  • SlateDB 被认为是符合 Garage 需求的嵌入式键值存储,支持事务和崩溃恢复,具备良好的数据完整性保障。
  • Turso 正在计划用 Rust 重写 libsql,未来可能提供更高效、可扩展的 SQLite 替代方案。

Hacker News 精彩评论及翻译 #

Amazon will allow ePub and PDF downloads for DRM-f… #

https://news.ycombinator.com/item?id=46325241

I’d advise anyone buying e-books on Amazon to think it through carefully. My account was banned recently because, years ago, I ordered two paper books that Amazon said would be split into two shipments. Both books arrived without any issues, but later Amazon refunded me for one of them, claiming that one package never arrived. This happened 4–5 years ago.

Apparently, during a recent review, they decided this counted as fraud and banned my account. As a result, I can no longer log in and lost access to all my Kindle e-books. They also remotely wiped my Kindle, so my entire library is gone. I appealed the decision, but I’ve been waiting for over six months with no resolution.

icqFDR

我建议所有在亚马逊上购买电子书的人都仔细考虑一下。我的账户最近被封了,原因是几年前我订购了两本纸质书,亚马逊说会分两批发货。两本书都顺利收到了,但后来亚马逊却为其中一本给我退款,声称那个包裹从未送达。这件事发生在四到五年前。

显然,在最近的一次审查中,他们决定这属于欺诈行为,于是封禁了我的账户。结果,我无法再登录,也失去了所有Kindle电子书的访问权限。他们还远程清除了我的Kindle,所以我整个的电子书都没了。我申诉了,但已经等了六个多月,还没有任何答复。

Ask HN: Does anyone understand how Hacker News wor… #

https://news.ycombinator.com/item?id=46309399

(I’m a mod here)

It’s true that this place can be cryptic, and that has downsides—specifically, it can be confusing to newcomers, even to some newcomers who would make ideal HN users. That sucks.

But there’s a key that unlocks most of the puzzles. That is to understand that we’re optimizing for exactly one thing: curiosity. (Specifically, intellectual curiosity, since there are other kinds of curiosity too.) Here are links to past explanations about that: https://hn.algolia.com/?dateRange=all&page=0&prefix=true&sort=byDate&type=comment&query=curiosity%20optimiz%20by:dang

We try to elevate things that gratify curiosity: creative work, surprising discoveries, deep dives, technical achievements, unusual personal experience, whimsical unpredictability, good conversation, etc. And we try to demote things that run against curiosity, especially repetition, indignation, sensationalism, and promotion.

It gets complicated because you’ll also see plenty of repetition, indignation, sensationalism, and promotion on HN—alas! This is the internet after all. But the site survives because the balance of these things stays within tolerable ranges, thanks to two factors: an active community which cares greatly about preserving this place for intended purpose ( https://news.ycombinator.com/newsguidelines.html ); and an owner (Y Combinator) that pays us to work on the site full time and mainly just wants us to keep it good, to the extent possible.

If you really want to figure this place out, the way to do it is as a reader. Hang out on the site, look at the mix of articles that make the frontpage, spend time in the discussion threads (hopefully the interesting sectors and not the flamey ones!), and over time your eyes will adjust.

What doesn’t work—and this is good because we want it not to work—is approaching HN as a platform for promoting content. If you (<– I don’t mean you personally, but anyone) mainly care about “how can I use this thing to get attention for my startup/blog/project/newsletter”, then you’re operating in ‘push’ mode rather than ‘pull’ mode (or ‘idle’ mode, which is even better). In that case you won’t be curious because you’re too focused on what you’re wanting for extraneous reasons—and if you aren’t in a state of curiosity, this place won’t make sense. At least we hope it won’t!

dang

(我是这里的版主)

确实,这个地方可能会让人感到费解,而且这有其弊端——具体来说,它会让新用户感到困惑,甚至会让一些本可以成为优秀HN用户的新人望而却步。这很糟糕。

但有一把钥匙能解开大多数谜题,那就是理解我们只为一件事优化:好奇心。(具体来说,是求知欲,因为好奇心也分好几种。)这里有一些过去对此解释过的链接:https://hn.algolia.com/?dateRange=all&page=0&prefix=true&sort=byDate&type=comment&query=curiosity%20optimiz%20by:dang

我们努力提升那些能激发好奇心的内容:富有创意的作品、令人惊喜的发现、深度剖析、技术成就、不寻常的个人经历、异想天开的不可预测性、高质量的对话等等。同时,我们努力抑制那些与好奇心背道而驰的内容,尤其是重复、愤怒、煽情和推广。

事情会变得复杂,因为在HN上你同样会看到大量的重复、愤怒、煽情和推广——唉!毕竟这里是互联网。但这个站点之所以能够存续,是因为这些因素的平衡维持在可容忍的范围内,这得益于两个因素:一个活跃的社区,他们非常关心为这个地方的既定目的而守护它(https://news.ycombinator.com/newsguidelines.html);以及一个所有者(Y Combinator),他们付钱让我们全职投入这个站点的工作,并且主要只希望我们尽可能地让它保持良好。

如果你真的想搞懂这个地方,方法就是作为一名读者。多花点时间在网站上,看看登上首页的文章组合,在讨论串中多待一会儿(希望能是有趣的部分,而不是引战的部分!),久而久之,你就能适应这里的规则。

什么方法是行不通的——而我们正希望它行不通——那就是把HN当作一个推广内容的平台。如果你(<—- 我不是指你个人,而是指任何人)主要关心的是“我该如何利用这个平台来为我我的初创公司/博客/项目/通讯获取关注度”,那么你就是在“推送”模式下运作,而不是“拉动”模式(甚至是“空闲”模式,那更好)。在这种情况下,你不会怀有好奇心,因为你太专注于因外在原因而想要得到的东西——如果你不处于好奇的状态,这个地方对你来说就会毫无道理。至少我们希望如此!

Getting bitten by Intel’s poor naming schemes #

https://news.ycombinator.com/item?id=46322816

I work in CPU security and it’s the same with microarchitecture. You wanna know if a machine is vulnerable to a certain issue?

  • The technical experts (including Intel engineers) will say something like “it affects Blizzard Creek and Windy Bluff models’

  • Intel’s technical docs will say “if CPUID leaf 0x3aa asserts bit 63 then the CPU is affected”. (There is no database for this you can only find it out by actually booting one up).

  • The spec sheet for the hardware calls it a “Xeon Osmiridium X36667-IA”

Absolutely none of these forms of naming have any way to correlate between them. They also have different names for the same shit depending on whether it’s a consumer or server chip.

Meanwhile, AMD’s part numbers contain a digit that increments with each year but is off-by-one with regard to the “Zen” brand version.

Usually I just ask the LLM and accept that it’s wrong 20% of the time.

bjackman

我在CPU安全领域工作,微架构也是如此。你想知道一台机器是否容易受到某个特定问题的影响吗?

  • 技术专家(包括英特尔工程师)会说:“它影响Blizzard Creek和Windy Bluff型号的CPU”。
  • 英特尔的技术文档会说:“如果CPUID leaf 0x3aa的第63位被置位,则该CPU受影响”。(没有可查询的数据库,你只能真正启动一台机器才能查到)。
  • 硬件规格表称之为“Xeon Osmiridium X36667-IA”。

这些命名方式之间完全没有关联。而且,根据芯片是面向消费级还是服务器端,他们还会给同样的东西起不同的名字。

与此同时,AMD的型号中包含一个每年递增的数字,但这个数字与“Zen”品牌的版本号相比,总是差一。

通常我直接询问大语言模型,并接受它有20%的错误率。

2026 Apple introducing more ads to increase opport… #

https://news.ycombinator.com/item?id=46322597

I’m really not a fan of this direction for Apple. One of the differentiators between iOS and Google was a lack of ads, which make the experience feel more premium. Increasing ads, or having them at all, really erodes the user experience.

Apple managed to become the most valuable company in the world without ads. Adding them after hitting that milestone feels either greedy or desperate, maybe a little of both. I know the ads themselves aren’t new, but the steady increase is a worrying trend.

I’d rather pay an extra $100 for the phone than have ads all over it.

al_borland

我真的不喜欢苹果的这种发展方向。过去iOS和谷歌的一大区别就在于没有广告,这让用户体验感觉更高端。增加广告,或者干脆有广告,确实会严重损害用户体验。

苹果在没有广告的情况下,成功成为了全球市值最高的公司。在达到这一里程碑之后再加入广告,感觉要么是贪婪,要么是 desperation,可能两者兼而有之。我知道广告本身并不新鲜,但这种持续的增长趋势确实令人担忧。

我宁愿手机多花100美元,也不想看到它里里外外都是广告。

Texas is suing all of the big TV makers for spying… #

https://news.ycombinator.com/item?id=46319309

I’m happy to see it. They should have included Roku in that too!

Roughly twice per second, a Roku TV captures video “snapshots” in 4K resolution. These snapshots are scanned through a database of content and ads, which allows the exposure to be matched to what is airing. For example, if a streamer is watching an NFL football game and sees an ad for a hard seltzer, Roku’s ACR will know that the ad has appeared on the TV being watched at that time. In this way, the content on screen is automatically recognized, as the technology’s name indicates. The data then is paired with user profile data to link the account watching with the content they’re watching.

https://advertising.roku.com/learn/resources/acr-the-future-of-tv-and-audience-data

I wouldn’t be surprised if my PS5 was doing the same thing when I’m playing a game or watching a streaming service through it.

autoexec

很高兴看到这个。他们本也应该把Roku也算进去!

大约每秒两次,Roku电视会以4K分辨率拍摄视频“快照”。这些快照会与一个内容和广告数据库进行扫描比对,从而将曝光内容与正在播放的内容进行匹配。例如,如果一个观众正在观看一场NFL橄榄球比赛,并看到了一款硬苏打水的广告,Roku的ACR(自动内容识别)技术就会知道,此时正在观看的电视上出现了这个广告。正如该技术的名称所示,屏幕上的内容因此得到了自动识别。随后,这些数据会与用户档案数据配对,将正在观看的账户与其所观看的内容关联起来。

我不会感到意外,当我在玩游戏或通过它观看流媒体服务时,我的PS5也在做同样的事情。

2026 Apple introducing more ads to increase opport… #

https://news.ycombinator.com/item?id=46322766

I’d rather pay an extra $100 for the phone than have ads all over it.

In all likelihood, we will pay an extra $100 AND have ads.

hhoorzad

我宁愿多花100美元买手机,也不愿手机里遍布广告。 但很有可能,我们既要多花100美元,又得忍受广告。

History LLMs: Models trained exclusively on pre-19… #

https://news.ycombinator.com/item?id=46320163

“Time-locked models don’t roleplay; they embody their training data. Ranke-4B-1913 doesn’t know about WWI because WWI hasn’t happened in its textual universe. It can be surprised by your questions in ways modern LLMs cannot.”

“Modern LLMs suffer from hindsight contamination. GPT-5 knows how the story ends—WWI, the League’s failure, the Spanish flu.”

This is really fascinating. As someone who reads a lot of history and historical fiction I think this is really intriguing. Imagine having a conversation with someone genuinely from the period, where they don’t know the “end of the story”.

saaaaaam

时间锁定的模型不会进行角色扮演,它们是其训练数据的化身。Ranke-4B-1913不知道第一次世界大战,因为一战在其文本宇宙中尚未发生。它可以以一种现代大语言模型无法企及的方式,对你提出的问题感到惊讶。

现代大语言模型受制于事后诸葛亮式的污染。GPT-5知道故事的结局——第一次世界大战、国际联盟的失败、西班牙流感。

这真的非常迷人。作为一个大量阅读历史和历史小说的人,我觉得这真的非常引人入胜。想象一下,与一个真正来自那个时代的人交谈,而他们并不知道“故事的结局”。

Hacker News front page now, but the titles are hon… #

https://news.ycombinator.com/item?id=46327064

“Please star my repo so I can get a job” is brutal

BeaverGoose

“请给我的项目点个星,这样我就能找到工作了”这句话太扎心了。

Hacker News front page now, but the titles are hon… #

https://news.ycombinator.com/item?id=46327158

OK, so the “Storing data in the network … " title made me remember something.

If you transmit a message to Mars, say a rover command sequence, and the outgoing buffer is deleted on the sending side (the original code is preserved, but the transmission-encoded sequence doesn’t stick around), then that data, for 20-90 minutes, exists nowhere except space. It’s just random-looking electrical fluctuations that are propagating through whatever is out there until it hits a conducting piece of metal millions of miles away and energizes a cap bank enough to be measured by a digital circuit and reconstructed into data.

So, if you calculate the data rate (9600 baud, even), and set up a loopback/echo transmitter on Mars, you could store ~4 MB “in space”. If you’re using lasers, it’s >100x as much.

jvanderbot

好的,这个“将数据存储在网络中……”的标题让我想起了些什么。

如果你向火星发送一条消息,比如一个漫游车指令序列,并且在发送端删除了出站缓冲区(原始代码被保留,但经过传输编码的序列不会保留),那么在接下来的20到90分钟里,这些数据将仅仅存在于太空之中。它们看起来就像是随机变化的电信号,在太空中传播,直到数百万英里外碰上一块金属导体,能量被注入电容组,足以被数字电路测量并重新还原为数据。

所以,如果你计算一下数据速率(即使是9600波特),并在火星上设置一个回传/应答发射器,你就可以在“太空”中存储约4MB的数据。如果你使用的是激光,存储量则会超过100倍。

We pwned X, Vercel, Cursor, and Discord through a … #

https://news.ycombinator.com/item?id=46317958

This feels so emblematic of our current era. VC funded vibe coded AI documentation startup somehow gets big name customers who don’t properly vet the security of the platform, ship a massive vulnerability that could pwn millions of users and the person who reports the vulnerability gets…$5k.

If I recall last week Mintlify wrote a blog post showcasing their impressive(ly complicated) caching architecture. Pretending like they were doing real engineering, when it turns out nobody there seems to know what they’re doing, but they’ve managed to convince some big names to use them.

Man, it’s like everything I hate about modern tech. Good job Eva for finding this one. Starting to think that every AI startup or company that is heavily using gen-ai for coding is probably extremely vulnerable to the simplest of attacks. Might be a way to make some extra spending money lol.

llmslave2

这太能代表我们这个时代了。一家获得风险投资的、带有某种“精英气质”的 AI 文档初创公司,不知怎么就拉来了大牌客户,而这些客户显然没有对平台的安全性进行严格审查。结果,他们推出一个可能导致数百万用户被攻破的重大漏洞,而发现这个漏洞的人……只得到了 5000 美元。

如果我没记错的话,上周 Mintlify 还发了一篇博客文章,炫耀他们那套令人印象深刻(也复杂得要命)的缓存架构。他们表现得好像自己是在做真正的工程,结果却发现他们那里似乎没人知道自己到底在做什么,但他们却成功说服了一些大公司来使用他们的产品。

天呐,这简直汇集了我对现代科技的所有厌恶。Eva 发现了这个漏洞,干得漂亮。我开始觉得,每一家 AI 初创公司或重度使用生成式 AI 进行编程的公司,可能都极易受到最简单攻击的威胁。这或许还能成为赚点零花钱的门路,哈哈。

We pwned X, Vercel, Cursor, and Discord through a … #

https://news.ycombinator.com/item?id=46319454

This is a pretty scary exploit, considering how easily it could be abused.

Imagine just one link in a tweet, support ticket, or email: https://discord.com/_mintlify/static/evil/exploit.svg. If you click it, JavaScript runs on the discord.com origin.

Here’s what could happen:

  • Your Discord session cookies and token could be stolen, leading to a complete account takeover.

  • read/write your developer applications & webhooks, allowing them to add or modify bots, reset secrets, and push malicious updates to millions.

  • access any Discord API endpoint as you, meaning they could join or delete servers, DM friends, or even buy Nitro with your saved payment info.

  • maybe even harvest OAuth tokens from sites that use “Login with Disord.”

Given the potential damage, the $4,000 bounty feels like a slap in the face.

edit: just noticed how HN just turned this into a clickable link - this makes it even scarier!

superasn

考虑到这个漏洞很容易被滥用,这确实相当骇人。

想象一下,一条推文、支持工单或电子邮件中只有一个链接:https://discord.com/_mintlify/static/evil/exploit.svg。一旦点击,它就会在 discord.com 域下运行 JavaScript。

以下是一些可能发生的情况:

  • 你的 Discord 会话 cookies 和令牌可能会被窃取,导致你的账户被完全接管。
  • 读取/写入你的开发者应用程序和网络钩子,允许他们添加或修改机器人、重置密钥,并向数百万用户推送恶意更新。
  • 以你的身份访问任何 Discord API 端点,这意味着他们可以加入或删除服务器、向好友发送私信,甚至使用你保存的支付信息购买 Nitro。
  • 甚至可能从使用“使用 Discord 登录”的网站中窃取 OAuth 令牌。

考虑到潜在的破坏力,4000 美元的赏金感觉就像是一种侮辱。

编辑:刚注意到 HN 把这个链接变成了可点击的——这让情况变得更可怕了!

Amazon will allow ePub and PDF downloads for DRM-f… #

https://news.ycombinator.com/item?id=46325413

A friend of mine received a double shipment for a $300 order. Being honest, he contacted customer service to arrange a return. Everything seemed fine until a few days later when he noticed they had also refunded his original payment. He reached out again to let them know, and they said they’d just recharge his card. Apparently, that transaction failed (no clear reason why), and without any warning, they banned his account, wiping out his entire Kindle library in the process. Amazon works wonderfully right up until it fails spectacularly.

egeozcan

我的一位朋友下了300美元的订单,结果收到了双份商品。他很诚实,主动联系客服安排退货。一切都看起来很顺利,但几天后他发现,他们不仅安排了退货,还把原款也一并退了。他又联系对方告知此事,对方说会重新给他的信用卡扣款。显然,那笔扣款失败了(也没说清具体原因),然后,在没有任何警告的情况下,他们封禁了他的账户,并把他整个Kindle图书馆的内容都清空了。亚马逊一直运行得很好,直到它以灾难性的方式彻底失灵。

Beginning January 2026, all ACM publications will … #

https://news.ycombinator.com/item?id=46314344

The financials of open access are interesting.

Instead of journals getting revenue from subscribers, they charge authors an “Article Processing Charge” (APC) which for ACM is $1450 in 2026 and expected to go up. Authors from lower-middle income countries get a discount. [1]

Authors are often associated with institutions (e.g. universities) who can cover the APC on behalf of the author through a deal with the journal. For the institution, now instead of paying the subscriber fee and publishing for free, they pay a publishing fee and everyone reads for free.

  1. https://authors.acm.org/open-access

trainyperson

开放获取的金融模式很有趣。

期刊不再从订阅者那里获得收入,而是向作者收取“文章处理费”(APC)。对于ACM(美国计算机协会)而言,2026年的APC为1450美元,并且预计会继续上涨。来自中低收入国家的作者可以享受折扣。[1]

作者通常隶属于某个机构(例如大学),这些机构可以通过与期刊达成协议,代为支付APC。对机构而言,他们现在不再是支付订阅费来供机构成员免费发表,而是支付出版费,让所有人都可以免费阅读。

  1. https://authors.acm.org/open-access

History LLMs: Models trained exclusively on pre-19… #

https://news.ycombinator.com/item?id=46320995

We’re developing a responsible access framework that makes models available to researchers for scholarly purposes while preventing misuse.

The idea of training such a model is really a great one, but not releasing it because someone might be offended by the output is just stupid beyond believe.

jimmy76615

我们正在制定一个负责任的访问框架,该框架使研究人员能够为学术目的获取模型,同时防止其被滥用。

训练这样一个模型的想法确实很棒,但仅仅因为有人可能会对输出内容感到不满就不发布它,简直是愚蠢到了极点。

Texas is suing all of the big TV makers for spying… #

https://news.ycombinator.com/item?id=46318608

I’ve had the advertising settings disabled on my LG C2 for a while and yesterday I decided to browse the settings menu again and found that a couple new ones had been added and turned on by default.

Good times.

spike021

我已经有一段时间在LG C2上关闭了广告设置,但昨天我决定再次浏览设置菜单,结果发现有几个新的选项被添加进来,并且默认是开启的。

真不错啊。

How China built its ‘Manhattan Project’ to rival t… #

https://news.ycombinator.com/item?id=46318189

It’s a good thing that Chinese companies have zero expertise in leveraging consumer demand for lower-end tech to develop know-how and catch up with the state of the art from Western-aligned companies and then economies of scale to surpass them in distribution.

vslira

幸好中国公司完全不具备利用消费者对低端技术的需求来积累技术诀窍、追赶西方领先公司,再凭借规模经济优势在渠道上超越他们的能力。

Show HN: Stop AI scrapers from hammering your self… #

https://news.ycombinator.com/item?id=46318752

I love the insanity of this idea. Not saying it’s a good idea, but it’s a very highly entertaining one, and I like that!

I’ve also had enormous luck with Anubis. AI scrapers found my personal Forgejo server and were hitting it on the order of 600K requests per day. After setting up Anubis, that dropped to about 100. Yes, some people are going to see an anime catgirl from time to time. Bummer. Reducing my fake traffic by a factor of 6,000 is worth it.

kstrauser

我太爱这个想法的疯狂之处了。不是说这是个好主意,但它确实非常有趣,我很喜欢这个点子!

用 Anubis 我也运气爆棚。AI 爬虫找到了我的个人 Forgejo 服务器,每天发送了大约 60 万次请求。在配置了 Anubis 之后,这个数字就降到了大约 100 次。是的,有些人时不时地会看到一个动漫猫娘。真倒霉。但这能将我的虚假流量减少到原来的六千分之一,完全值得。

We pwned X, Vercel, Cursor, and Discord through a … #

https://news.ycombinator.com/item?id=46317613

The fact that SVG files can contain scripts was a bit of a mistake. On one hand, the animations and entire interactive demos and even games in a single SVG are cool. But on the other hand, it opens up a serious can of worms of security vulnerabilities. As a result, SVG files are often banned from various image upload tools, they do not unfurl previews, and so on. If you upload an SVG to discord, it just shows the raw code; and don’t even think about sharing an SVG image via Facebook Messenger, Wechat, Google Hangouts, or whatever. In 2025, raster formats remain way more accessible and easily shared than SVGs.

This is very sad because SVGs often have way smaller file size, and obviously look much better at various scales. If only there was a widely used vector format that does not have any script support and can be easily shared.

dllu

SVG文件可以包含脚本这一点其实是个不小的失误。一方面,在单个SVG文件中实现动画、完整的交互式演示甚至游戏,确实很酷。但另一方面,这也引发了一系列严重的安全漏洞问题。因此,SVG文件常常被各种图片上传工具所禁止,也无法预览,等等。如果你把SVG文件上传到Discord,它只会显示原始代码;更别想通过Facebook Messenger、微信、Google Hangouts或其他任何方式分享SVG图片了。到了2025年,光栅格式在可访问性和易于分享方面仍然远胜于SVG。

这非常令人惋惜,因为SVG的文件体积通常要小得多,并且在各种尺寸下显然也更清晰美观。但愿能有一种广泛使用的矢量格式,它不支持任何脚本,并且易于分享。

Beginning January 2026, all ACM publications will … #

https://news.ycombinator.com/item?id=46314476

The main problem is the incentives are off. Publishers are now rewarded for publishing more papers, as opposed to having more readers. When it was more readers, you were rewarded for the quality of the publication thus more people wanted to read it. By switching the profit incentive to number of publications, we have chosen quantity over quality.

Needless to say I prefer open access since those outside institutions can then read science, but the incentive model is heavily broken, and I’m not sure it’s a good price to pay for the reward.

zipy124

主要问题在于激励机制错位。如今,出版商获得的奖励是根据发表论文的数量,而非读者的数量。当激励机制是围绕读者数量时,你会因为出版物的高质量而获得回报,因此会有更多人愿意阅读它。现在我们将利润激励转向了论文发表数量,这就导致我们选择了数量而非质量。

不用说,我当然支持开放获取,因为这样一来,机构之外的人也能读到科学文献。但是,这种激励机制已经严重失灵,我不确定为了这种回报而付出这样的代价是否值得。

Texas is suing all of the big TV makers for spying… #

https://news.ycombinator.com/item?id=46320772

ACR needs to die. It’s an absurd abuse of the privileged position that a TV has - a gross violation of privacy just to make a few bucks. It should be absolutely nobody’s business to know what you watch except your own; the motivation behind the VPPA was to kill exactly this type of abuse.

The greatest irony is that HDCP goes to great lengths to try and prevent people from screenshotting copyrighted content, and here we have the smart TVs at the end just scraping the content willy-nilly. If someone manages to figure out how to use ACR to break DRM, maybe the MPAA will be motivated to kill ACR :)

nneonneo

ACR必须被淘汰。这是一种对电视机特权地位的荒谬滥用,纯粹是为了赚几个钱而严重侵犯隐私。除了你自己之外,没有任何人有权利知道你看什么。VPPA(视频隐私保护法)背后的初衷就是为了杜绝这种滥用行为。

最大的讽刺在于,HDCP(高带宽数字内容保护)费尽心力试图阻止人们截取受版权保护的内容,结果到头来,智能电视却可以随心所欲地抓取这些内容。要是有人能利用ACR来破解DRM(数字版权管理),或许MPAA(美国电影协会)就会有动力去干掉ACR了。

Firefox will have an option to disable all AI feat… #

https://news.ycombinator.com/item?id=46323706

I think people screaming “but AI is the future” doesn’t recognize what the problem is. The problem is not AI. The problem is that Mozilla keeps jumping on fads instead of focusing on their browser core. There are a tons of “we bundled all the latest crap” Chrome forks out there. Nobody needs more those. Stop pushing bells and whistles. Give us more extensibility instead. Keep supporting v2 manifest and add more. There were genuine technical reasons for why XUL and NPAPI had to die, but we need an equally powerful alternative.

And yea, having a faint through about removing adblock support, yet alone speaking it aloud is a really bad sign for Mozilla’s future.

tliltocatl

我觉得那些大喊“但AI是未来”的人并没有认识到真正的问题。问题不在于AI,而在于Mozilla总是在追逐潮流,而不是专注于其浏览器的核心功能。市面上已经有大量“我们打包了所有最新玩意儿”的Chrome分支了,没人需要更多这种东西。别再那些花里胡哨的功能了,多给我们一些可扩展性吧。继续支持v2清单,并增加更多功能。XUL和NPAPI之所以必须淘汰,有其真实的技术原因,但我们同样需要一个功能同样强大的替代品。

而且,是的,竟然还在考虑移除广告屏蔽功能,更别说公开谈论了,这实在是 Mozilla 未来一个极不祥的征兆。