2026 03 19 HackerNews

2026-03-19 Hacker News Top Stories #

  1. 文章强烈呼吁个人与企业建立独立网站以掌握数字主权,避免因依赖社交媒体平台而导致内容失控和粉丝关系断裂的风险。
  2. Rob Pike提出的编程五法则强调不应过早优化、必须通过测量确定瓶颈,并主张优先选择简单算法和让正确的数据结构主导程序设计。
  3. Slug算法历经十年演进实现了GPU直接渲染矢量字体,其开发者已将相关专利永久放弃至公共领域,推动技术广泛共享。
  4. Mistral AI发布面向企业的模型构建系统Forge,支持私有化部署和全生命周期训练,但混乱的命名规则和开发者不友好的文档引发诸多困扰。
  5. 开源卡拉OK应用Nightingale可将任意歌曲转换为互动游戏,但其运行时自动下载依赖而非使用系统已有组件的做法引发安全与性能担忧。
  6. Python 3.15的JIT编译器在性能上取得显著突破,该项目曾因资金中断和性能不佳陷入困境,后通过社区协作和技术创新重回正轨。
  7. GSD系统通过元提示和上下文工程优化AI编程工具的工作流,但用户反馈其token消耗过高且在面对复杂任务时仍需大量人工介入。
  8. 尽管联邦网络安全专家对其安全性缺乏信心,微软GCC High云服务仍获FedRAMP批准,暴露出政府云安全审批流程对大型厂商的系统性纵容。
  9. 文章严厉批评网页设计中泛滥的滚动淡入动画效果,指出其不仅有碍无障碍访问、造成认知过载,还会显著影响网页性能指标。
  10. 作者引用约束理论指出,若忽视需求定义和交付流程等真实瓶颈而单纯追求编码速度,只会更快地产出错误代码和技术债务。

1. 拥有一个该死的网站 (Have a fucking website) #

https://www.otherstrangeness.com/2026/03/14/have-a-fucking-website/

文章《Have a Fucking Website》由创作者 merritt k 撰写,强烈呼吁个人和企业建立自己的网站,而非依赖社交媒体平台。作者指出,社交媒体平台规则随时可能变更,用户无法掌控自己的内容和粉丝关系,一旦被封禁或平台关闭,多年积累将瞬间归零。

作者强调,拥有自己的网站意味着真正拥有数字资产,不受平台任意支配。一个简单的网站可以清晰展示服务信息、价格、营业时间等关键内容,比在社交平台上反复刷屏更有效。同时,建立邮件列表是保持与客户联系的可靠方式,因为电子邮件不受平台算法影响。

文章还批评了社交媒体“围墙花园”模式,认为这种封闭生态违背了互联网最初开放互联的精神。作者呼吁回归以网站为基础的互联网,认为每创建一个独立网站,都是对这种封闭生态的抵抗。

评论区中,多位读者表达了共鸣,有人表示想彻底删除社交媒体账号,也有人分享了使用 GitHub Pages 等工具搭建网站的简易方法。部分人提到,虽然技术上已不复杂,但心理障碍和缺乏行动力仍是主要问题。还有人提醒避免使用 AI 生成网站,以免失去个性与真实感。

整体来看,这是一篇充满情绪但逻辑清晰的倡导性文章,主张数字主权应掌握在个人手中,而非科技巨头。

HN 热度 839 points | 评论 479 comments | 作者:asukachikaru | 21 hours ago #

https://news.ycombinator.com/item?id=47421442

  • 人工智能公司过度夸大技术能力,掩盖了实际运营成本和财务问题。
  • 运营小型企业如餐厅需要投入全部精力,普通人没有时间学习和掌握复杂技术。
  • 大多数人不清楚自己真正想要什么,也缺乏表达需求的词汇和专业知识。
  • 即使知道“要一个网站”,也难以决定其外观、功能和实现方式。
  • 从获取域名、选择主机、上传文件到部署上线,每个环节都涉及大量技术知识。
  • 涉及在线支付和安全问题时,普通人更难应对,容易产生风险。
  • 网站上线后修改内容也困难,缺乏原始文件和操作路径,难以维护。
  • 真正的痛点不是“如何建网站”,而是整个流程中的知识鸿沟和时间成本。
  • 时间匮乏的人更倾向于委托专业人士完成任务,而非亲自操作 AI 工具。
  • 即使有 AI 辅助,用户仍需填补大量知识空白,这反而增加了时间成本。
  • 财富和时间是两个维度,富人可能更频繁使用 AI,但时间紧张者仍需依赖他人。
  • 高收入人群的助理或行政人员的价值在于能可靠完成任务并调动资源。
  • “自助服务”本质上是将人力成本转移给个人,是资本对劳动力的隐性剥削。
  • 随着社会角色变化,人们从有时间学习技术转变为时间极度紧张,难以承担技术学习成本。
  • 学术界高知人员被要求自己处理行政事务,导致科研和教学时间被严重挤压。
  • 白领工作中的“任务管理”“会议安排”“报销”等事务性工作正被转嫁给员工。
  • “DevOps”等概念的兴起本质上是减少人力成本,而非真正提升协作效率。
  • 产品管理岗位的缺失导致工程师被迫承担非技术工作,影响核心产出质量。
  • 企业不愿及时补位关键岗位,使员工陷入非本职工作的负担中。
  • 旅行预订等原本由专业人员完成的服务,如今被要求用户自行操作,体验并未改善。
  • 用户看似拥有更多选择,实则被算法引导至相似结果,自由感是虚假的。
  • 自助服务将风险和责任完全转嫁给用户,而企业则规避了服务责任。
  • 自助结账系统中,用户需承担原本由员工负责的错误后果,风险显著上升。

2. Rob Pike 的编程五法则 (Rob Pike’s Rules of Programming (1989)) #

https://www.cs.unc.edu/~stotts/COMP590-059-f24/robsrules.html

Rob Pike 提出的编程五法则强调了编程实践中的核心原则。第一法则指出,无法准确预判程序的性能瓶颈,因此不应过早进行性能优化。第二法则强调必须通过实际测量来确定性能问题,只有在确认某部分代码确实成为瓶颈时才进行优化。第三法则提醒,复杂算法在数据量小(n 小)时效率反而更低,因为其常数开销大,而实际中 n 通常较小,因此应优先选择简单算法。第四法则指出,复杂算法更容易出错且难以实现,应优先使用简单算法和数据结构。第五法则强调数据结构的重要性,认为正确的数据结构和良好的组织方式能让算法自然显现,因此“数据主导编程”。这五条法则体现了“简单即美”的设计哲学,其中前两条呼应了 Tony Hoare 的“过早优化是万恶之源”,第三、四条可归纳为 KISS 原则,第五条则源自 Fred Brooks 的《人月神话》。

HN 热度 827 points | 评论 404 comments | 作者:vismit2000 | 15 hours ago #

https://news.ycombinator.com/item?id=47423647

  • 从生产力角度出发,优先考虑开发时间而非极致优化,尤其对独立开发者而言,快速交付比追求最优数据结构更重要。
  • 在游戏开发中,使用数组存储扁平记录(数组 of records)是一种合理且高效的默认选择,尤其适合高频迭代处理大量相似实体的场景。
  • 相比于数组 of structures(AoS),结构体 of 数组(SoA)更有利于缓存效率和编译器自动向量化优化,尤其在处理如复杂数等数据时优势明显。
  • 一些现代编程语言(如 Jai、Zig)提供了便捷机制,可在数组 of structures 与结构体 of 数组之间灵活切换,提升开发效率与性能。
  • 游戏开发中采用固定大小的表格和线性遍历,有助于避免动态内存分配带来的不可预测延迟,满足每帧 16ms 的严格性能要求。
  • 尽管游戏开发强调快速迭代和性能,但将其经验直接推广到通用软件开发可能不适用,因为后者更注重数据复用与长期维护。
  • 通用软件开发中,性能优化虽重要,但通常不是首要目标,而数据结构设计和可维护性往往更具优先级。
  • 从底层看,所有数据结构最终都依赖于数组,因此抽象层次不同但本质相同。
  • 即使在长期维护的项目中,如游戏引擎开发,数据处理的高效性与可推理性依然至关重要,尤其在复杂数据流中。
  • 一些知名游戏(如 Roblox)早期采用客户端直接修改内存的方式,虽存在安全风险,但简化了开发流程,也反映了快速上线的优先级。
  • Braid 开发耗时三年,虽被误认为过长,但与同期独立游戏相比属于正常范围,说明高质量独立游戏往往需要较长时间打磨。
  • 早期游戏开发中,代码质量可能较低,但只要能快速推出,后续再重构也属常见,这与“快速交付”理念一致。
  • 无法预知性能瓶颈,因此最理性的做法是先写简单代码,再通过实际测量定位问题,这使得规则 3-5 成为自然推论。

3. 十年 Slug (A Decade of Slug) #

https://terathon.com/blog/decade-slug.html

本文回顾了“Slug 算法”诞生十周年的重要时刻。该算法由 Eric Lengyel 于 2016 年秋季开发,旨在实现基于 GPU 直接渲染 Bézier 曲线字体和矢量图形,无需依赖任何纹理贴图。2017 年,他发表相关论文并推出 Slug 库 1.0 版本,迅速在游戏、科学可视化、CAD、医疗设备、视频编辑及天象仪等领域广泛应用,客户包括 Activision、Blizzard、id Software、Ubisoft、Adobe 等知名公司,成为其职业生涯中最成功的产品。

Slug 最初为 C4 引擎开发,用于解决 GUI 和游戏中大尺寸、斜视角下字体渲染质量的问题。近年来,它也被用于构建 Radical Pie 数学公式编辑器,支持高精度字体与复杂矢量图形(如根号、括号、箭头等)的高质量渲染,并负责整个编辑界面的 UI 绘制。

自 2017 年以来,Slug 的渲染方法在保持核心原理不变的前提下进行了多项优化。原论文中的“带分割优化”因引入像素着色器分支、增加数据存储负担而被移除,使带数据体积减半,提升了效率。自适应超采样功能也因对极小字体的改善有限且可被新方法替代而被取消。此外,多色表情符号的逐层渲染方式因效率低下被改为独立渲染多个独立图元,显著简化了着色器逻辑并提升性能。

最大的技术突破是“动态膨胀”(Dynamic Dilation)机制的引入。该技术自动计算每个字形在视口空间中需向外扩展半像素所需的物体空间位移量,基于当前模型-视图-投影矩阵和视口尺寸动态计算,确保所有部分覆盖像素均被正确捕获,避免了传统固定膨胀距离带来的性能浪费或边缘伪影。该计算在顶点着色器中实时完成,支持透视下不同顶点的差异化膨胀,实现了性能与质量的最优平衡。文中还给出了动态膨胀数学推导的详细说明。

HN 热度 724 points | 评论 76 comments | 作者:mwkaufma | 1 day ago #

https://news.ycombinator.com/item?id=47416736

  • 作者将 Slug 算法的专利永久放弃,将其置于公共领域,此举受到广泛赞誉,认为是技术共享的典范。
  • 有人认为作者放弃专利并非出于道德考量,而是因为该技术已无商业价值,此举更像是“道德表演”。
  • 也有人认为作者已通过专利获得足够收益,现在放弃专利是合理且符合专利制度初衷的行为,只是专利期限过长。
  • 作者可能认为更广泛的使用对自身也有利,因此选择公开专利以促进技术发展。
  • SDF 字体渲染技术早已存在多年,Slug 并非首创,但其在某些方面表现更优,尤其在处理东亚字符集时更具优势。
  • 有人指出 SDF 渲染存在需要大纹理图集的问题,而 Slug 可能在某些场景下更具优势。
  • 有人认为软件专利应仅维持 8 年,以适应技术快速迭代的现实。
  • 有人提出版权制度应改革,建议采用可无限续期但费用指数级增长的模式,以平衡创作者权益与公共利益。
  • 有人反驳称,若版权无限期存在,将阻碍文化创作,因为早期作品无法被再利用。
  • 有人认为作者放弃专利是主动行为,而非被迫,体现了其对技术共享的承诺。
  • 有人称赞 Slug 算法设计精巧,是软件工程的杰作,其开源将推动相关领域发展。
  • 作者的最新项目是售价 60 美元的 Windows 专业方程编辑器,使用 Slug 进行渲染,用于撰写其数学书籍。
  • 尽管该编辑器功能强大,但其依赖 OLE 技术,与现代 Word 集成存在兼容性问题,已逐渐被新式编辑器取代。
  • 仍有大量教育工作者和出版机构依赖 Word 配合数学编辑工具进行排版,尤其在非学术机构中。

4. Mistral AI 发布 Forge:企业级 AI 模型构建系统 (Mistral AI Releases Forge) #

https://mistral.ai/news/forge

Mistral Forge 是一个专为企业打造的系统,用于基于自有知识构建前沿级别的 AI 模型。与依赖公开数据的通用 AI 模型不同,Forge 让企业能够利用内部数据——如工程标准、合规政策、代码库、运营流程和历史决策——训练出深度理解企业上下文的模型。

该系统支持模型全生命周期的训练与优化,涵盖预训练、后训练和强化学习三个阶段。通过预训练,企业可构建具备领域认知能力的模型;后训练用于优化特定任务表现;强化学习则帮助模型在真实环境中学习内部政策、评估标准和操作目标,提升智能体在复杂任务中的执行能力。

Forge 强调企业对模型、数据和知识产权的完全控制,确保 AI 行为符合合规要求和内部治理框架,尤其适用于监管严格的行业。企业可自主决定知识如何被编码与使用,实现战略自主。

定制化模型使企业智能体具备更强的可靠性,能够精准理解内部术语、遵循操作流程、协调多工具任务,并在决策中融入企业业务逻辑,从而从辅助工具转变为可执行复杂流程的系统组件。

系统支持密集模型与混合专家(MoE)架构,兼顾性能与成本效率,同时支持多模态输入,适应文本、图像等多种数据形式。其设计以智能体为核心,允许通过自然语言指令完成模型定制,大幅降低使用门槛。

Forge 支持持续迭代,通过强化学习和内部评估体系,使模型能随企业环境变化不断优化,实现动态适应而非一次性部署。

应用场景广泛:政府机构可用于政策分析与公共服务;金融机构可确保合规输出;软件团队可提升开发效率;制造企业可辅助工程诊断与决策;大型企业则可部署基于内部知识的智能体,驱动核心业务流程自动化。

HN 热度 702 points | 评论 179 comments | 作者:pember | 1 day ago #

https://news.ycombinator.com/item?id=47418295

  • Mistral AI 的模型命名规则混乱,导致开发者难以分辨不同版本,例如 Devstral 2 的实际名称与宣传不符。
  • 根据官方文档,devstral-2512、devstral-latest 和 devstral-medium-latest 实际上都是 Devstral 2 的版本,而 devstral-medium-2507 和 devstral-small-2507 分别对应 Devstral 1.0 和 Devstral Small 1.1。
  • API 密钥在不同产品间看似分离,但实际是通用的,仅 vibe-cli 需要单独申请密钥。
  • Mistral AI 的目标更偏向 B2B 企业服务,而非服务个人开发者,其产品设计和文档对开发者不够友好。
  • 企业决策通常由高层主导,开发者在 B2B 合同中影响力有限,因此吸引开发者并非赢得企业客户的有效策略。
  • 与其争夺开发者,不如解决企业实际业务痛点,这才是 B2B 成功的关键。
  • 法国政府正推动本国大型企业使用 Mistral 模型,显示出国家层面的战略支持。
  • 欧盟在农业、能源、汽车制造等领域存在保护主义政策,但整体上对科技产业的保护不如美国明显。
  • 欧盟的反垄断法规虽针对所有企业,但由于缺乏本土科技巨头,实际执行中对美国企业影响更大,形成事实上的保护。
  • 欧盟的高增值税并非保护主义,而是普遍税制,对进口商品与本地商品一视同仁。
  • 欧盟对科技企业的监管更侧重于公平竞争,而非直接扶持本土企业,但部分政策确实有利于本地产业。
  • 企业营销策略如高尔夫球场推广在欧盟决策中可能比技术本身更具影响力。

5. Nightingale——开源卡拉 OK 应用,可兼容电脑中的任意歌曲 (Nightingale – open-source karaoke app that works with any song on your computer) #

https://nightingale.cafe/

Nightingale 是一款功能强大的自定义卡拉 OK 应用,可将任意歌曲转换为带有歌词同步和实时音准评分的互动游戏。

核心功能包括:

  • 歌声分离:使用 UVR Karaoke 或 Demucs 模型从伴奏中提取人声,支持调节人声音量。
  • 逐字歌词:通过 WhisperX 实现歌词的精准转录与音频对齐,若 LRCLIB 有对应歌词则优先调用。
  • 实时音准评分:通过麦克风演唱,系统实时评分并提供星级评价,支持单曲排行榜和成绩追踪。
  • 多用户账号:支持创建多个歌手档案,独立保存成绩记录。
  • 视频文件支持:可直接拖入 .mp4 或 .mkv 视频文件,自动提取音频并保留原视频作为背景。
  • 动态视觉效果:提供等离子、极光、星云等 GPU 着色器特效,或使用 Pixabay 视频循环,也可直接播放原视频。
  • 游戏手柄支持:通过手柄的 D-pad、摇杆和按键实现菜单导航、选歌与播放控制。
  • 一键运行:所有依赖项(ffmpeg、Python、PyTorch 及机器学习模型)在首次启动时自动下载,无需手动安装。

支持平台:Linux(x86_64 和 aarch64)、macOS(ARM 和 Intel)、Windows(x86_64),具备 GPU 加速(CUDA 或 Metal)支持,不支持时自动降级至 CPU 运行。

项目采用 GPL-3.0 开源协议,可通过 GitHub、Discord 获取更新与社区支持。

HN 热度 485 points | 评论 144 comments | 作者:rzzzzru | 16 hours ago #

https://news.ycombinator.com/item?id=47422942

  • 该应用在运行时自动下载并安装依赖项,包括 FFmpeg 和 Python 解释器,而非检查系统中已安装的版本,这种做法存在安全和性能隐患。
  • 许多桌面应用(如 Blender、Krita)都采用内置 Python 运行时,因此捆绑依赖并非异常,但应避免在运行时动态下载。
  • 使用系统已安装的 Python 或 FFmpeg 是更合理的选择,运行时自动安装依赖的行为对用户不友好,尤其在没有明确授权的情况下。
  • 该应用构建过程甚至尝试启动 Docker 容器,这在构建桌面应用时显得过于复杂且不必要。
  • 一些开发者认为,由于 Python 生态复杂,不同系统和包管理器导致的兼容性问题,使得捆绑依赖成为合理选择。
  • 有观点指出,该应用可能是由 AI 辅助开发的“vibecoded”产物,作者可能并未充分理解其决策的后果,代码逻辑存在明显缺陷。
  • 该应用在运行时未经用户同意就修改用户系统环境,这种行为类似于未经许可的系统级安装,令人反感。
  • 有人认为,如果应用需要下载二进制文件,应仅限于许可证限制的组件(如 FFmpeg),而非整个 Python 解释器。
  • 该应用的行为违背了开源软件应具备的可预测性和可控性,运行时自动下载依赖使系统难以审计和管理。
  • 有评论指出,这种行为在 Linux 系统中尤其危险,因为可能引入未经验证的二进制文件,增加供应链攻击风险。
  • 有人提出,应以非特权用户身份运行此类应用,以降低潜在风险。
  • 该应用的构建和运行逻辑混乱,反映出开发者对软件工程最佳实践缺乏理解,可能源于 AI 生成代码的局限性。

6. Python 3.15 的 JIT 重回正轨 (Python 3.15’s JIT is now back on track) #

https://fidget-spinner.github.io/posts/jit-on-track.html

Ken Jin 在其博客中分享了 Python 3.15 JIT(即时编译器)取得的重要进展。截至 2026 年 3 月 17 日,CPython 的 JIT 在 macOS AArch64 平台上已比尾调用解释器快 11-12%,在 x86_64 Linux 上比标准解释器快 5-6%。这些数据为几何平均值,属于初步结果,实际性能范围从 20% 慢到超过 100% 快(不包括 unpack_sequence 微基准测试)。尽管尚未支持自由线程(free-threading),但目标已在 3.15/3.16 版本中规划。

文章回顾了 JIT 项目曾面临的严峻挑战:在 3.13 和 3.14 版本中,JIT 性能甚至低于解释器,且项目因主要赞助方撤资而一度前景不明。作者坦言,当前的成功很大程度上归功于“运气”——恰逢其时的人才聚集与关键决策。

在团队层面,作者推动了社区主导的 JIT 开发模式。通过将复杂任务拆解为可管理的小任务,如“优化单条指令”或“转换解释器指令为更易优化的形式”,显著降低了新贡献者的门槛。这一策略吸引了 11 名贡献者参与核心工作,使 JIT 中间层维护者从两人增至四人,提升了项目的可持续性。

技术突破方面,作者提到两个关键“幸运的赌注”:

  1. 追踪式解释器(Trace Recording):最初尝试双分派表设计导致性能严重下降,但一次误解催生了“双分派”机制——仅用一条追踪指令,大幅减少代码膨胀,使追踪解释器整体性能接近原生解释器,同时将 JIT 代码覆盖率提升了 50%。
  2. 引用计数消除(Reference Count Elimination):发现即使在字节码优化后,JIT 代码中仍存在大量引用计数减操作的分支。通过消除这些分支,显著提升了性能。该优化易于并行化,也成了解释器与 JIT 教学的绝佳工具。

作者特别感谢核心贡献者 Savannah Ostrowski、Mark Shannon、Diego Russo、Brandt Bucher 等人,以及 Hai Zhu、Zheaoli、Tomas Roun、Reiden Ong、Donghee Na 等活跃贡献者。整个项目成功体现了社区协作、合理任务拆解与关键设计选择的结合。

HN 热度 470 points | 评论 289 comments | 作者:guidoiaquinti | 1 day ago #

https://news.ycombinator.com/item?id=47416486

  • Python 需要像 TypeScript 一样,确保所有有效的 Python 4 代码都是有效的 Python 3 代码,同时引入值类型(如 int64)和对象引用冻结机制,以提升性能。
  • 在对象方法中缓存成员值是性能优化的必要手段,因为直接访问 self.x 会带来持续的间接寻址开销。
  • Python 的动态特性允许通过__getattr__自定义属性访问行为,因此 self.x 的值可能每次访问都不同,无法保证对象身份一致性。
  • 这种动态性虽然不常使用,但在某些库中用于暴露灵活的接口,例如通过字符串或动态对象来构建 API。
  • 类似 Swift 和 JavaScript 的实现,Python 可以为不涉及动态特性的对象引入快速路径,通过对象标签识别其静态结构,从而绕过动态查找。
  • Java 中访问类字段也有性能开销,但现代 JIT 编译器(如 HotSpot)能有效优化此类问题,说明性能瓶颈可通过编译器技术解决。
  • 即使在多线程环境下,若未使用同步机制(如锁),编译器可合理假设变量不会被其他线程修改,从而进行优化。
  • Python 的全局解释器锁(GIL)限制了多线程并行,但并不妨碍编译器在单线程上下文中进行优化。
  • 尽管 Python 的 self 参数是普通命名约定,但解释器无法静态判断其是否访问对象属性,因此必须在运行时处理动态性。
  • 现代 JavaScript 引擎通过隐藏类和快速路径机制,对简单对象属性访问实现极低开销,Python 可借鉴类似技术实现性能提升。

7. Get-shit-done: 元提示上下文工程 和 spec 驱动的系统(Get Shit Done: A meta-prompting, context engineering and spec-driven dev system) #

https://github.com/gsd-build/get-shit-done

这是一个名为“Get Shit Done”(GSD)的开发工具项目页面,旨在为 Claude Code、OpenCode、Gemini CLI、Codex、Copilot 和 Antigravity 等 AI 编程工具提供一个轻量级但强大的元提示(meta-prompting)与上下文工程系统。

该系统的核心目标是解决“上下文衰减”问题——即当 AI 模型在长时间或复杂任务中使用时,因上下文窗口过载而导致的代码质量下降。GSD 通过结构化提示、子代理协作、状态管理与验证机制,确保 AI 能够准确理解需求并持续产出高质量代码。

项目特点包括:

  • 无需复杂流程,不引入企业级管理套路,适合个人开发者与小团队。
  • 支持多种 AI 编程工具,安装灵活,可全局或本地部署。
  • 提供简洁命令行接口,如 /gsd:help,快速启动工作流。
  • 内置执行加固机制,如预工具调用检查、跨计划合约等,防止错误操作。
  • 持续快速迭代,最新版本 v1.26.0 已发布,支持多语言(含简体中文)文档。

用户评价高度认可其高效性与可靠性,称其“真正做到了只管提需求,AI 自动完成”。已获亚马逊、谷歌、Shopify、Webflow 等公司工程师信任。

项目采用 MIT 许可证,开源可贡献,适合希望提升 AI 编程效率的开发者使用。

HN 热度 445 points | 评论 241 comments | 作者:stefankuehnel | 1 day ago #

https://news.ycombinator.com/item?id=47417804

  • 使用 GSD 或 Superpowers 等框架虽能实现自动化,但消耗的 token 是普通计划模式的 10 倍,且在实际效果上并无明显提升,尤其在面对复杂任务时,仍需人工介入。
  • 有人倾向于在计划模式基础上结合 Superpowers 的多层检查机制,通过自定义流程实现高效开发,但认为当前系统仍属临时拼凑,尚未达到理想状态。
  • 有人发现,当自己同时扮演“设计者”和“实现者”角色时,开发效率随硬件性能提升而显著提高,如今使用 AI 代理反而又回到了等待阶段,形成一种讽刺。
  • 有人认为,简单重复的“实现-评审”循环已能解决大部分开发任务,无需过度复杂化,但当前工具仍缺乏成熟性和稳定性。
  • 有人指出,GitHub Copilot 的计划模式在引入记忆功能后变得过于冗长且缺乏细节,导致流程僵化,难以灵活调整。
  • 有人认为,尽管 Copilot 的计划输出更长,但因按请求计费而非按 token,成本影响不大,真正的问题在于人类阅读和理解的负担。
  • 有人对比 Claude Code 和 Copilot,发现前者在任务执行和逻辑推理上明显更优,尤其在复杂任务中表现更佳。
  • 有人认为,模型本身并非决定性因素,真正影响体验的是“工具框架”或“提示工程”等系统设计。
  • 有人建议,通过自定义提示管道,结合权限透明化设计,可以实现无需人工干预的自动化开发流程,且更安全。
  • 有人指出,当前 AI 开发工具仍处于探索阶段,虽有潜力,但存在功能不完善、系统不成熟的问题,未来可能演变为过度复杂、难以使用的系统。

8. 尽管存疑,联邦网络安全专家仍批准微软云服务 (Despite Doubts, Federal Cyber Experts Approved Microsoft Cloud Service) #

https://www.propublica.org/article/microsoft-cloud-fedramp-cybersecurity-government

2024 年底,美国联邦政府网络安全评估机构对微软的“政府社区云高”(GCC High)服务做出严厉批评,指出其缺乏充分的安全文档,导致评审团队对其整体安全状况“缺乏信心”。一名评审人员直言该系统“是一堆垃圾”。

尽管如此,联邦风险与授权管理计划(FedRAMP)仍批准了该产品,授予其政府网络安全认证。这一决定在业界引发震动,因为微软的云服务此前已被卷入两起重大国家级网络攻击事件:俄罗斯黑客利用其漏洞窃取核安全机构数据。

FedRAMP 早在 2020 年就对 GCC High 提出质疑,要求微软提供详细的加密机制图示。但微软提交的信息被认定为不完整且断断续续。五年间,审查过程拖延,监管机构未予拒绝,反而因该产品已在多个联邦机构和国防部门广泛部署,最终以“既成事实”为由批准。

这一做法被批评者称为“安全表演”,认为它违背了 FedRAMP 设立初衷——通过严格审查确保政府数据安全。如今,司法部、能源部及国防工业均依赖 GCC High 保护高度敏感信息,一旦泄露可能造成严重或灾难性后果。

调查发现,整个审批流程存在系统性失灵,对微软存在过度宽容,即便其产品是重大网络攻击的核心漏洞来源。专家警告,这种“事后认可”模式正在危及美国国家安全。

HN 热度 430 points | 评论 198 comments | 作者:hn_acker | 10 hours ago #

https://news.ycombinator.com/item?id=47426057

  • FedRAMP 的审批流程过于缓慢且不重视行业反馈,导致企业不得不支付高额费用给 Palantir 或 2F 以快速进入政府市场,形成变相“监管税”。
  • 企业通过早期进入政府市场实现“锁定效应”,使政府难以迁移,从而获得长期稳定收益。
  • 政府机构并非没有预算限制,大多数部门预算紧张,所谓“零成本天花板”并不成立。
  • 一旦企业被纳入政府系统,尤其是国防工业领域,迁移成本极高,难以摆脱现有供应商。
  • 企业若想进入政府市场,需投入大量资源应对复杂的合规流程,包括长达数月的文档准备和数百万美元的投入,几乎排除了中小企业参与的可能性。
  • FedRAMP 的实际安全审查工作主要由外包公司如 Schellman 执行,而非真正的“联邦网络安全专家”。
  • Microsoft 的 Entra ID 配置过于复杂,存在大量可选策略,导致实际使用中用户无法登录,反而降低安全性。
  • Microsoft 的单点登录流程存在严重缺陷,频繁出现重定向循环、登录失败、无法切换账户等问题。
  • 浏览器中同时保存多个 Microsoft 账户会导致认证机制崩溃,必须清除所有 Cookie 才能解决。
  • 使用临时容器或独立浏览器配置是应对 Microsoft 多账户认证问题的有效方法。
  • Microsoft 的认证流程在某些场景下(如 Azure DevOps)会导致页面完全无法加载,仅通过新开标签页才能解决。
  • 有时系统会自动登录错误账户,导致权限不足的“无交互”错误页面,需手动退出再重试。
  • Microsoft 的登录流程中存在大量不必要的重定向,疑似为设置 Cookie 而设计,但严重影响用户体验。
  • 即使已登录,系统仍会频繁要求重新登录,引发用户强烈不满。
  • Microsoft 的“企业级”软件虽功能繁多,但实际可用性差,多数功能未能按预期工作。

9. 死亡万岁,滚动淡入 (Death to Scroll Fade) #

https://dbushell.com/2026/01/09/death-to-scroll-fade/

本文是一篇强烈反对“滚动淡入”(scroll fade)设计效果的博客文章,作者以讽刺和愤怒的语气表达了对这种流行但令人反感的网页动画的厌恶。

文章指出,滚动淡入通常表现为元素在滚动时逐渐显现,常伴有 Y 轴位移,看似“精致”实则过度使用。作者强调,这种效果往往由项目后期突然提出的非技术性需求推动,且缺乏设计目的和多样性,几乎总是采用统一的 1 秒透明度过渡和 100px 位移,显得单调而低效。

作者认为,滚动淡入不仅影响用户体验,还带来多重问题:对有前庭功能障碍的用户不友好,违背了 prefers-reduced-motion 的无障碍设计原则;容易造成认知过载,分散用户注意力;在不同设备上表现不一致,尤其在非苹果设备上体验更差。

此外,滚动淡入会严重影响网页性能,可能严重拖累“核心网页指标”(Core Web Vitals),特别是 LCP(最大内容绘制),从而影响 SEO 和用户留存。作者质疑,项目是否有足够时间和预算进行真实用户测试,验证其是否真的提升了可用性。

尽管作者尝试从技术、无障碍、性能等角度反驳,但最终承认,客户拥有最终决定权。他呼吁开发者集体抵制这种“快速上马”的不良设计,强调应从项目初期就拒绝此类需求,或干脆说“滚动淡入是技术上不可能的”——用幽默方式表达对这一设计陋习的彻底否定。

文章结尾以“死亡万岁,滚动淡入!”作结,呼应标题,表达强烈立场。

HN 热度 347 points | 评论 187 comments | 作者:PaulHoule | 9 hours ago #

https://news.ycombinator.com/item?id=47426932

  • 粘性头部在滚动时自动隐藏和显示,干扰阅读体验,尤其当用户需要反复回看内容时,频繁出现的头部会遮挡文本。
  • 用户希望头部能固定在顶部,而不是在滚动时反复出现,这样可以避免干扰阅读,且无需额外操作即可访问导航。
  • 一些用户通过 uBlock Origin 等工具直接屏蔽粘性头部,但担心这会导致顶部无导航,影响使用。
  • 有用户指出,粘性头部的设计初衷是节省屏幕空间,但实际效果适得其反,反而频繁遮挡内容,降低阅读效率。
  • 有人认为粘性头部在移动端更难接受,因为移动端浏览器本身也隐藏工具栏,叠加网站的动态头部更显混乱。
  • 有观点认为,粘性头部的交互逻辑是“滚动向下隐藏,向上显示”,但这种行为在实际阅读中并不符合用户习惯,尤其是频繁上下滚动的场景。
  • 一些用户强调,他们阅读时会反复回看段落,因此粘性头部的动态出现会打断阅读流,造成心理负担。
  • 有人认为粘性头部在长文阅读或信息流场景中并不适用,而更适合需要频繁跳转页面的网站。
  • 也有用户认为粘性头部是直观且高效的交互设计,用户通过自然滚动行为就能发现其功能,提升阅读体验。
  • 有评论指出,粘性头部的流行反映了网站设计过度迎合移动端,忽视了桌面端和真实阅读行为的多样性。
  • 一些人认为,网站设计者应尊重用户自主阅读节奏,而不是强制通过动态头部干预阅读过程。

10. 如果你以为写代码的速度是问题,那你就有更大的问题了 (If you thought code writing speed was your problem you have bigger problems) #

https://andrewmurphy.io/blog/if-you-thought-the-speed-of-writing-code-was-your-problem-you-have-bigger-problems

本文探讨了在软件开发中盲目追求代码产出速度所带来的严重问题。作者以一个典型的公司场景开篇:VP 工程在参加一场会议后,宣布引入 AI 编程助手,宣称代码产出提升 40%,并认为这将显著提高开发速度。然而,作者指出,这种做法忽略了系统中的真正瓶颈。

文章引用了埃利·高德拉特的《目标》中的“约束理论”:任何系统都只有一个瓶颈,系统的整体吞吐量由这个瓶颈决定。如果优化非瓶颈环节(如代码编写速度),只会导致积压、延迟和质量下降,反而让系统更差。

作者描述了当代码产出速度提升但后续流程未同步优化时的真实后果:PR 积压、评审流于形式、CI 失败频繁、部署依赖手动审批、功能长期滞留在测试环境。结果是代码产出越多,实际交付越少,开发周期反而变长。

更严重的是,大量 AI 生成的代码缺乏可理解性,开发者无法解释其逻辑,一旦出错,排查困难,增加了系统风险。

作者指出,真正的瓶颈往往不在编码环节,而在于:

  1. 不清楚该做什么:产品经理脱离用户,需求模糊,团队在“猜需求”中浪费大量时间。快速写代码只会更快地把错误的东西做出来。
  2. 代码“完成”后的流程阻塞:从代码提交到用户使用,中间涉及评审、测试、安全、部署等多个环节,这些环节的延迟才是主要瓶颈。代码写得再快,也无法突破这些流程障碍。

结论是:真正的效率提升不在于写代码的速度,而在于识别并解决系统中的真实瓶颈,尤其是需求定义和交付流程。否则,再先进的工具也只是在制造“会腐烂的库存”,表面数据好看,实际价值为零。

HN 热度 327 points | 评论 209 comments | 作者:mooreds | 1 day ago #

https://news.ycombinator.com/item?id=47415919

  • 使用 AI 代理进行编码能显著提升实验性重构和复杂重复任务的效率,尤其在处理与已有代码结构相似的场景时表现优异。
  • 最大的潜在生产力提升在于可以并行处理其他任务,例如在 AI 生成代码的同时审查其他 PR,从而提高整体时间利用率。
  • 然而,这种并行工作模式可能导致频繁上下文切换,增加出错风险,降低专注力和工作满意度,尤其在处理复杂任务时更为明显。
  • 一些开发者发现,同时管理多个 AI 代理任务会引发认知负荷过重,甚至产生身体不适感,难以持续维持高效状态。
  • 虽然 AI 能快速生成代码,但开发者仍需投入大量精力进行理解、验证和修正,无法真正实现“无痛”高效。
  • 有人指出,AI 带来的效率提升可能被压缩项目周期所抵消,反而导致质量下降、设计缺陷增多和工作压力上升。
  • 与传统开发相比,AI 辅助开发改变了工作节奏,带来一种新的“认知疲惫”,其本质是高强度的多任务并行带来的精神消耗。
  • 有人认为,AI 并不能解决“理解问题”这一根本瓶颈,快速写代码反而可能加速构建错误的解决方案。
  • 在实际使用中,AI 生成的代码需要大量人工审查和调整,真正节省的时间可能远低于预期。
  • 保持工作状态的连续性和上下文一致性对高效开发至关重要,而 AI 代理的介入可能破坏这一平衡。
  • 一些开发者建议,只有在任务成本低、变更范围小或上下文相近的情况下,才适合采用并行工作模式。

Hacker News 精彩评论及翻译 #

Have a fucking website #

https://news.ycombinator.com/item?id=47421793

Someone wrote and deleted a comment saying

I don’t get it. LLMs are supposed to have 100% bridged this gap from “normie” to “DIY website.” What’s missing?

This is an all too common thought process among technologists, so:

Where to even start? Well, let’s start that every single “AI” company is massively overhyping everything to try to avoid any unfortunate realizations about the emperor’s clothes regarding their CapEx and finances. Yes, even your favorite one.

The very short version: running a small business like a restaraunt takes all your resources and then 20% more. Long hours, hard work, all your time. You do not have 2 hours to learn about LLMs or to pick which company to pay. From there:

  • Most people don’t know what they want

  • Most people don’t know the words for what they want

  • Even if you say “I want a website”, what do you want it do look like? To say? These people aren’t experts in web UX nor should they be.

  • You have some HTML and images. Where do they go now? Again people literally don’t know what they want or need. If you realize you need a “web host”, how do you pick a trustworthy one? How do you know if it’s a good price? How do you get a domain name? How do you get the files onto the server?

  • Do you want people to be able to buy things? Now you’re taking payment methods and have security concerns.

  • Your site is live. You want to change something on it. How do you do that? Where are the original files? How do you change them? How do you get the changes on the server?

It’s not “Hey, write me a website”. There are lots of steps that assume a lot of knowledge, and it is easier, faster, and better for people to focus on their expertise and just pay some service for their web shop.

Arainach

有人写了一条评论又删了,上面写道:

我不懂。LLMs 应该已经实现了从“普通人”到“DIY 建站”的 100% 跨越。少了什么?

这种想法在技术人员中太常见了,因此:

该从何说起呢?好吧,先从这一点说起:每一家“AI”公司都在疯狂炒作一切,试图掩盖他们在资本支出和财务状况上那些“皇帝的新衣”般的不堪真相。是的,甚至包括你最喜欢的那家。

极简版本是:经营一家像餐馆这样的小生意会耗尽你所有的资源,再多出 20%。长时间工作,艰辛劳作,占用你所有的时间。你没有时间去了解 LLMs,或者去选择要付钱给哪一家公司。接着就是:

  • 大多数人不知道自己想要什么
  • 大多数人不知道该怎么描述自己想要的东西
  • 即使你说了“我想要个网站”,那你希望它长什么样?能说什么?这些人又不是网页 UX 专家,也不该是。
  • 你手里只有一些 HTML 和图片。现在该往哪儿放?同样,这些人真的不知道自己想要什么或需要什么。如果你意识到你需要一个“网站主机”,怎么挑选一个靠谱的?怎么知道价格公道?怎么拿到域名?怎么把文件上传到服务器?
  • 你想让别人能买东西?现在又涉及支付方式和安全问题了。
  • 网站上线了。你想改点东西。怎么改?原始文件在哪儿?怎么修改?怎么把改动上传到服务器?

这并不是“嘿,给我写个网站”。这中间有很多步骤都需要具备一定的知识储备,对于这些人来说,把精力集中在自己的专业领域,然后支付服务费请人打理网店,才是更轻松、更快、更好的选择。

Honda is killing its EVs #

https://news.ycombinator.com/item?id=47419961

Honda is setting itself up for failure on the second disruption sweeping the automotive industry: the software-defined vehicle (SDV), which has core capabilities that can be upgraded and improved over time.

No thank you. Not sure why the author frames this as a good thing. They’ve been bamboozled by the automakers and have got it backwards - you’re buying a vehicle that already has the capabilities, but are disabled, then paying rent (or a fee) to turn them on. I’m much more likely to buy from a manufacturer that doesn’t play these games.

rkagerer

本田正让自己在席卷汽车行业的第二次颠覆中注定失败:软件定义汽车(SDV)。这种车辆具备随时间推移可升级改进的核心功能。

谢绝了。不太明白作者为何将其视为一件好事。他们被汽车厂商给忽悠了,而且搞反了——你买的车其实已经具备了这些功能,只是被禁用了,然后还得花钱(或交租金)才能把它们激活。我更倾向于从那些不玩这种把戏的制造商那里买车。

Microsoft’s ‘unhackable’ Xbox One has been hacked … #

https://news.ycombinator.com/item?id=47415701

Whether PC users, our core readership, will be interested in actually emulating Xbox One, looks unlikely. The 2013 system’s game library is largely overlapped in better quality on the PC platform.

And this explains why it’s stayed unhacked so long. There was very little incentive to hack the system when the games are all playable on a PC. Pirates, cheaters, archivists, and hackers could just go there. Microsoft’s best security measure was making something nobody cared enough about to hack in the first place

autoexec

PC用户——我们的核心受众——是否有兴趣真的去模拟运行 Xbox One,看来不太可能。这款2013年发布的主机,其游戏库在PC平台上大多都能玩到,而且质量通常更好。这也解释了为何它长期处于无破解状态。毕竟,当所有游戏都能在PC上运行时,黑客们几乎没有任何动力去破解主机。盗版玩家、作弊者、资料收集者以及黑客们大可直接去PC平台上玩。微软最有效的防御手段,就是提供了一款根本没人有足够兴趣去破解的主机。

Rob Pike’s Rules of Programming (1989) #

https://news.ycombinator.com/item?id=47424923

There are very few phrases in all of history that have done more damage to the project of software development than:

“Premature optimization is the root of all evil.”

First, let’s not besmirch the good name of Tony Hoare. The quote is from Donald Knuth, and the missing context is essential.

From his 1974 paper, “Structured Programming with go to Statements”:

“Programmers waste enormous amounts of time thinking about, or worrying about, the speed of noncritical parts of their programs, and these attempts at efficiency actually have a strong negative impact when debugging and maintenance are considered. We should forget about small efficiencies, say about 97% of the time: premature optimization is the root of all evil. Yet we should not pass up our opportunities in that critical 3%.”

He was talking about using GOTO statements in C. He was talking about making software much harder to reason about in the name of micro-optimizations. He assumed (incorrectly) that we would respect the machines our software runs on.

Multiple generations of programmers have now been raised to believe that brutally inefficient, bloated, and slow software is just fine. There is no limit to the amount of boilerplate and indirection a computer can be forced to execute. There is no ceiling to the crystalline abstractions emerging from these geniuses. There is no amount of time too long for a JVM to spend starting.

I worked at Google many years ago. I have lived the absolute nightmares that evolve from the willful misunderstanding of this quote.

No thank you. Never again.

I have committed these sins more than any other, and I’m mad as hell about it.

anymouse123456

在历史上,几乎没有哪句话比“过早优化是万恶之源”对软件开发这项事业的破坏力更大。

首先,不要玷污托尼·霍尔的美名。这句话出自唐纳德·克努特,而缺失的背景至关重要。

出自他1974年的论文《带有 go to 语句的结构化程序设计》:

“程序员在思考或担心其程序中非关键部分的运行速度上浪费了巨大时间,而且当考虑到调试和维护时,这些追求效率的尝试实际上会产生强烈的负面影响。我们应该忽视那些微不足道的小优化,在大约 97% 的时间里:过早优化是万恶之源。然而,我们不应放过那关键的 3% 的机会。”

他谈论的是在 C 语言中使用 GOTO 语句。他谈论的是为了微优化而导致软件变得极难理解。他(错误地)假设我们会尊重(受其软件运行的)机器。

如今,多代程序员都被培养成相信效率极其低下、臃肿不堪且缓慢的软件是完全没问题的。计算机被强迫执行的样板代码和间接逻辑的数量是没有限制的。这些“天才”们构建的结晶化抽象概念没有上限。JVM 启动所花费的时间再长也是可以的。

多年前我在谷歌工作过。我亲历了因故意误解这句话而产生的绝对噩梦。

算了吧。绝不再来。

我犯下这些罪孽比别人都多,我对之怒不可遏。

Microsoft’s ‘unhackable’ Xbox One has been hacked … #

https://news.ycombinator.com/item?id=47414568

Created a voltage drop that exactly occurred to be timed to the key comparison, then a spike at the continuation.

Irl noop and forced execution control flow to effectively return true.

B e a utiful

Jerrrrrrrry

制造了一个电压降,其时机恰好配合了关键比较,随后在后续流程中产生了一个尖峰。 在现实中实际执行了空操作,并强制控制流实际上返回 true。 美妙。

Nvidia NemoClaw #

https://news.ycombinator.com/item?id=47429619

Am I missing something? Why is everyone talking about sandboxes when it comes to OpenClaw?

To me it’s like giving your dog a stack of important documents, then being worried he might eat them, so you put the dog in a crate, together with the documents.

I thought the whole problem with that idea was that in order for the agent to be useful, you have to connect it to your calendar, your e-mail provider and other services so it can do stuff on your behalf, but also creating chaos and destruction.

And now, what, having inference done by Nvidia directly makes it better? Does their hardware prevent an AI from deleting all my emails?

Netcob

是我理解有误吗?为什么一提到 OpenClaw,大家都在谈论沙盒?

对我来说,这就好比把一叠重要文件交给你的狗,然后担心它会吃掉文件,结果你把狗连文件一起关进了笼子里。

我一直觉得那个想法的问题在于,为了让这个代理有用,你必须把它的接入连接到你的日历、邮件提供商和其他服务,以便它能代表你办事,但这同时也可能导致混乱和破坏。

现在呢,怎么了?通过英伟达直接进行推理,就能让它变好了?

难道他们的硬件能防止 AI 把我所有的邮件都删掉?

Honda is killing its EVs #

https://news.ycombinator.com/item?id=47420212

In Shenzhen for a tech meeting. The streetscape is quieter, despite high traffic levels and I hear not only MORE birdsong, but the birds do more complex songlines.

The air is clean. For sure some of this is because it’s a coastal city and has fresh sea breezes, but I’ve been in other Chinese coastal cities in times past and the air was significantly less clean.

There are social upsides for an almost-all-EV city.

This is an 18m person city. It’s not exclusively wealthy people, its just a city with a very high local EV population and it shows.

ggm-at-algebras

在深圳参加一个技术会议。虽然车流量很大,但街景却出奇地安静,我听到的不仅是鸟鸣更多了,而且鸟儿的歌声也更复杂多变。

空气很干净。这肯定有一部分原因是因为这是一座沿海城市,有清新的海风,但我在过去也去过其他中国沿海城市,那里的空气明显没那么干净。

一座几乎清一色是电动汽车的城市,在社交方面也有着积极的一面。

这是一个拥有1800万人口的城市。这里的人并不全是富人,只不过是一个本地电动汽车保有量极高的城市,这一点显而易见。

Honda is killing its EVs #

https://news.ycombinator.com/item?id=47418204

I live in a top EV market, Norway.

It is the top EV market.

I figure most other countries will be the same.

Most other countries are not Norway, it is a very wealthy, tiny market (150 K vehicles/year) with lots of hydro and not representative of the typical vehicle market in Western Europe and definitely not representative of the situation in the rest of the world.

EVs are the future, there is no doubt about that. But that future will not arrive everywhere at the same point in time and Norway is very far ahead of the rest of the world due to a fairly unique set of circumstances: exporting your own oil and gas to be able to have a ‘clean’ (and up to recently heavily subsidized) transportation network is in a way just a gigantic bookkeeping trick.

jacquesm

我住在挪威,这是全球最大的电动汽车市场。 它是最大的电动汽车市场。 我以为其他国家情况也会差不多。 大多数其他国家都不是挪威,这是一个非常富裕且市场规模较小的市场(年销量15万辆),拥有大量的水力资源,它不能代表西欧典型的汽车市场,更不用说代表世界其他地区的情况了。 电动汽车是未来,这点毫无疑问。 但那个未来不会在同一时间降临到每个地方。 而且由于一组相当独特的情况,挪威远远领先于世界其他国家:出口自己的石油和天然气,从而拥有一个“清洁的”(直到最近都受到巨额补贴的)交通网络,这在某种程度上只是一个巨大的会计把戏。

Honda is killing its EVs #

https://news.ycombinator.com/item?id=47418175

I live in a top EV market, Norway.

ICE cars have been planned out for years now, and something like 96% of all new cars in Norway were EV last year.

Basically, if you plan on keeping selling ICE cars, you’re removing yourself from the market here. There’s no future for new personal ICE cars here.

I figure most other countries will be the same.

TrackerFF

我居住在电动汽车市场的领先者——挪威。燃油车的淘汰计划已经推行多年,去年挪威销量的96%都是电动车。

简单来说,如果你打算继续销售燃油车,那就等于把自己排除在市场之外。在这里,燃油车没有未来。

我估计其他大多数国家的情况也会是一样的。

Meta Horizon Worlds on Meta Quest is being discont… #

https://news.ycombinator.com/item?id=47417125

Unbelievable. They re-architected the whole operating system around this stupid app. They discontinued their previous homescreen environments in favor of trying to promote Horizon Worlds, only to discontinue the blasted thing anyway? After all of those millions of dollars spent trying to make virtual events happen?

xd1936

难以置信。他们为了这个愚蠢的应用重新架构了整个操作系统。他们废弃了以前的主页环境,转而试图推广 Horizon Worlds,结果最后还是把这个该死的东西砍了?在投入了数百万美元试图促成虚拟活动之后?

Microsoft’s ‘unhackable’ Xbox One has been hacked … #

https://news.ycombinator.com/item?id=47415873

The other major incentive for hacking the console Microsoft removed was for the first time on a modern mainstream home console to allow side loading of homebrew code/emulators etc. The console supported a developer mode that allowed side loading of third party applications, so folks could get emulators and other traditionally “banned” content on the console through an officially supported route.

There’s a great presentation by Tony Chen on the Xbox One’s security features:

https://www.platformsecuritysummit.com/2019/speaker/chen/

Examples of the kinda software you can put on the Xbox One in developer mode:

https://xboxdevstore.github.io/

giobox

微软移除的另一个让人愿意对控制台进行破解的主要动力在于,这是首次在主流现代家用游戏机上允许侧载自制代码、模拟器等内容。该主机支持开发者模式,允许侧载第三方应用程序,因此用户可以通过官方支持的途径在主机上运行模拟器以及其他传统上被视为“违禁”的内容。

Tony Chen 关于 Xbox One 安全特性的精彩演讲:

https://www.platformsecuritysummit.com/2019/speaker/chen/

你可以在开发者模式下安装到 Xbox One 上的此类软件的示例:

https://xboxdevstore.github.io/

Despite Doubts, Federal Cyber Experts Approved Mic… #

https://news.ycombinator.com/item?id=47427180

The experts were correct. Azure is the biggest pile of shit I’ve ever had to work with. Everything feels evolutionary. In other words, a new product in azure is barely a product at all, but a small appendage which totally inherits a bunch of preexisting Azure “stuff.” And all this preexisting stuff may not really make sense for the product, and it might inherit stuff that makes the product much worse. But, it doesn’t matter. To even think about using the product, you need to learn way more about the larger Azure ecosystem than you ever bargained for, and of course deal with Microsoft products that do not really integrate well because the teams don’t talk to each other. Log formats, conventions, everything will be different as you float around to different parts of Azure. Basic security concepts, such as a SIEM will be implemented in such strange ways that you wonder if Microsoft has any idea what a SIEM even is.

everdrive

专家们说得没错。Azure 是我被迫与之打交道过最烂的一坨东西。一切都感觉像是零敲碎打地进化而来。换句话说,Azure 里的所谓新产品根本算不上什么产品,充其量就是一个依附于旧架构的附属拼凑物,完全继承了一堆原本就存在的 Azure“旧东西”。而这些原本就存在的积弊可能根本不符合该产品的逻辑,反而会继承一些让产品变得更烂的配置。但这根本不重要。想要尝试使用这个产品,你需要了解的 Azure 生态系统知识远远超出了你的想象,当然,还得处理那些因为团队间缺乏交流而导致无法真正整合的微软产品。日志格式、命名规范等等,一切在你遍历 Azure 的各个模块时都会发生巨大的差异。基本的安全概念,比如 SIEM,其实现方式会奇怪得让你怀疑微软到底懂不懂什么是 SIEM。

Illinois Introducing Operating System Account Age … #

https://news.ycombinator.com/item?id=47416642

Or, and hear me out, maybe our computers shouldn’t spy on us in the first place?

pianoben

或者,听我说,也许我们的电脑一开始根本就不该监视我们?

Meta Horizon Worlds on Meta Quest is being discont… #

https://news.ycombinator.com/item?id=47417476

They also renamed the entire corporation from “Facebook” to “Meta” to prove how serious they were about it.

CobrastanJorji

他们还将整个公司从“Facebook”更名为“Meta”,以此证明他们对这件事是多么认真。

Meta and TikTok let harmful content rise to drove … #

https://news.ycombinator.com/item?id=47418140

I feel like this is general knowledge for the past 5 or so years, but the real question is “What do we do about it?”. Personally, I put real effort into not spending time being outraged online, but this is a societal ill that’s bigger then I am…

bigfishrunning

我觉得这大概是过去五年左右就已经是常识了,但真正的问题是“我们该怎么做?”。就我个人而言,我确实在努力不去把时间花在网上义愤填膺,但这毕竟是一种远超个人能力的社会顽疾……

US SEC preparing to scrap quarterly reporting requ… #

https://news.ycombinator.com/item?id=47407350

This seems like bad news for regular investors, and good news for insiders.

Reporting is burdensome, sure, but being listed on public exchanges is not a requirement.

ginkoleaf

这对普通投资者来说似乎是个坏消息,但对内部人士来说是个好消息。 编制报告确实是个负担,但在公开交易所上市并非必须。