2026-03-23 Hacker News Top Stories #

文章批判将儿童保护异化为全网身份验证的趋势，指出强制年龄验证会侵犯隐私并将互联网变为监控基础设施，主张采用设备端本地化过滤方案。

“霍尔木兹扫雷"是一款以海洋为背景的网页版扫雷游戏，地雷仅隐藏在水域格子中，支持经典操作方式。

Tinybox是基于极简神经网络框架tinygrad构建的深度学习计算机系列，提供从1.2万美元到千万美元级的配置，已开始全球发货。

文章剖析JavaScript生态臃肿源于对老旧环境过度兼容、原子化依赖过度拆分及边缘场景工具默认集成，呼吁将非通用逻辑隔离以提升性能与安全。

Bram Cohen推出基于CRDT的版本控制系统Manyana，通过"编织结构"实现无损重基和自动合并冲突标记，旨在证明CRDT可超越传统版本控制工具。

Cloudflare将网页存档服务archive.today标记为僵尸网络并阻止其通过1.1.1.2解析，引发关于该服务合法性及运营者身份争议。

Tooscut是一款基于WebGPU和Rust/WASM的浏览器端专业视频编辑器，支持多轨道编辑和GPU加速特效，所有文件仅本地处理不上传云端。

Project NOMAD是开源免费的全离线服务器方案，可在断网环境下部署维基百科、AI模型和教育内容，无需专用硬件且支持GPU加速。

文章批评Windows原生开发生态因技术栈碎片化、语言选择困境和分发机制繁琐而陷入混乱，认为其复杂度已超越Electron等跨平台方案。

Flash-MoE项目通过SSD流式加载和Metal优化等技术，在48GB内存的MacBook Pro上实现了3970亿参数MoE模型以4.36 tokens/秒速度运行。

1. 不要将儿童保护变成互联网访问控制 (Do Not Turn Child Protection into Internet Access Control) #

https://news.dyne.org/child-protection-is-not-access-control/

文章指出，年龄验证已不再局限于少数成人网站，正迅速扩展至社交媒体、即时通讯、游戏、搜索引擎等主流互联网服务。其本质并非单纯的儿童保护工具，而是一种网络访问控制架构，将互联网的默认开放模式转变为需授权才能访问的封闭模式。

当前政策将内容过滤与监护责任混为一谈，错误地将本应由家长、教师、学校等本地主体承担的教育与监督责任，转嫁给平台、操作系统或第三方身份中介。这种集中化解决方案既无法真正保护儿童，又严重损害所有人隐私，且极易被绕过（如使用 VPN、借用账号等），实为一种以安全之名行数据收集之实的系统性风险。

文章强调，真正的风险来自推荐算法、成瘾性设计和不负责任的商业模式，而非内容本身的存在。因此，监管应聚焦于这些核心问题，而非强制推行身份验证。

解决方案应是：在设备端、浏览器、学校网络等本地层面实现内容过滤，将监护权交还给家庭与社区，让操作系统仅作为用户可控的本地策略接口，而非全系统范围的“年龄广播”层。

文章作者以自身实践为例，说明其项目团队已拒绝在操作系统中集成年龄验证功能，包括 Devuan Linux 等项目明确表态抵制此类强制性技术要求，反映出技术社区对隐私与自由的集体警惕。

最后指出，一旦建立以年龄验证为核心的控制层，极易被扩展用于其他身份控制场景（如位置、国籍、法律状态等），最终导致互联网沦为全面监控的基础设施。因此，必须警惕“以儿童保护为名”的技术扩张，坚持去中心化、本地化、可控的防护路径。

HN 热度 808 points | 评论 427 comments | 作者：smartmic | 1 day ago #

https://news.ycombinator.com/item?id=47470991

年龄验证只是表面，真正目的是实现用户身份的全面验证，推动互联网交易与真实身份绑定，逐步消除匿名性。
未来服务可能默认要求提供出生日期、姓名、位置等个人信息，即使声称“用户有选择权”，实际默认设置将导致信息全面共享。
当前已有平台如 OpenAI 要求用户提交身份信息才能使用最新 API 功能，说明身份验证已成现实。
为防止滥用 AI，应推动本地运行模型，以减少对中心化服务的依赖，但这也可能面临政府限制本地模型运行的风险。
本地运行 AI 模型可让人直观感受其能耗，促使用户更关注资源使用与环境影响。
AI 身份验证的推广可能被用于控制技术使用，例如要求通过政府认证的芯片或操作系统才能运行 AI，形成技术垄断。
以墨西哥电信黑客事件为例，主张对 AI API 访问实施身份验证，认为这是防止滥用的必要措施。
但将 AI 工具与键盘、鼠标等普通工具类比，质疑为何只对 AI 要求身份验证，而对其他工具无需类似限制。
银行账户和枪支购买都涉及身份验证，但 AI 的使用不应被过度类比，因为其本质是工具而非直接暴力手段。
银行需要 KYC（了解你的客户）是因为其资金流动涉及贷款、投资和法律执行，必须确认用户身份以防止资金误用。
若银行不强制身份验证，用户可选择现金或加密钱包等替代方式，因此 KYC 并非绝对必要。
现实中全储备或近全储备银行被边缘化，反映出金融体系对身份验证的过度依赖。
当 AI 成为工作必需工具时，社会是否应放弃匿名性？个人能力强大后，是否需持续被监控以保障集体安全？
既然可自行制造无法追踪的枪支，是否也应管制钢制管材和 3D 打印机的销售？这引出对技术管制边界的思考。

2. 霍尔木兹扫雷：厌倦了赢？ (Hormuz Minesweeper – Are you tired of winning?) #

https://hormuz.pythonic.ninja/

这是一个名为“Hormuz Minesweeper”的网页游戏，基于经典的扫雷游戏机制进行改编。游戏背景设定在海洋环境中，所有地雷仅出现在水域区域，陆地区域安全。玩家通过左键点击揭开格子，右键标记疑似地雷的位置，双击可进行“ chord”操作（即在已标记地雷的格子上进行快捷确认）。界面显示当前状态为“READY to start winning!”，提示玩家可以开始游戏。游戏计数器显示为“052”，可能代表已标记的雷数或剩余安全格数。页面底部有“reset”按钮和“dig”按钮，用于重置游戏或开始挖掘。整体风格简洁，强调操作提示与游戏状态反馈，适合喜欢策略与逻辑推理的玩家。

HN 热度 612 points | 评论 420 comments | 作者：PythonicNinja | 15 hours ago #

https://news.ycombinator.com/item?id=47475686

有人分享了一个名为“Hormuz Minesweeper”的游戏，称其在战争初期制作，可能比原版更简单，适合在无聊会议中玩。
有人调侃游戏胜利后能获得更便宜的汽油，但被指出油价下降需十年，且应转向电动车。
有评论质疑美国在战争中的行为，认为轰炸学校等行为违背“做正确的事”，并指出此类行为可能源于系统性错误或故意决策。
有人指出美国曾解散负责目标核实的军事小组，且使用 AI 进行目标选择，缺乏验证，导致误击事件频发。
有观点认为，虽然误击可能源于系统性缺陷，但不能排除故意为之的可能性，尤其当决策层公开宣扬“无愚蠢交战规则”时。
有人引用媒体采访指出，相关目标审核机制的瓦解与国防部长赫格塞斯的政策有关，其将此类机制视为“政治正确”而削弱。
有评论反驳“误击是意外”的说法，认为事件过于精确、频繁，难以用“愚蠢”解释，更可能是有意为之。
有人指出，以色列在黎巴嫩的导弹袭击靠近记者，暗示其对媒体的“巧合性”攻击，可能反映其战略倾向。
有观点批评西方媒体习惯将战争中的暴行归因于“失误”而非“恶意”，从而掩盖责任，这种叙事需被反思。

3. Tinybox – 用于深度学习的强劲计算机 (Tinybox – A powerful computer for deep learning) #

https://tinygrad.org/#tinybox

tinygrad 是一个快速发展的神经网络框架，以其极简设计著称。它将复杂的神经网络操作简化为三种基本运算类型：ElementwiseOps（元素级运算，包括一元、二元和三元操作）、ReduceOps（归约运算，如求和、最大值）和 MovementOps（移动运算，如重塑、转置、扩展），所有操作均支持零拷贝的 ShapeTracker 机制。

框架的核心理念是“用最少的抽象实现最大性能”，其关键优势在于：为每个操作编译定制化内核，实现极致的形状优化；所有张量默认延迟计算，支持高度融合；后端代码比主流框架简洁 10 倍以上，优化一个内核即可显著提升整体性能。

tinygrad 并非仅限于推理，支持完整的前向与反向传播及自动微分，API 设计类似 PyTorch 但更简洁。目前处于 Alpha 阶段，但已稳定运行于 openpilot 项目中，用于在高通骁龙 845 GPU 上运行驾驶模型，替代 SNPE，实现更快速度、支持 ONNX 加载、训练和注意力机制。

tiny corp 正在融资并招聘全职软件工程师、硬件与运营人才，要求应聘者需有 tinygrad 的贡献记录。公司同时推出高性能计算设备 tinybox，提供从入门级（$12,000）到超大规模（约 $10M，2027 年发布）的多款配置，具备极高的算力与扩展性，适用于深度学习训练与推理。

tinybox 已开始发货，支持全球配送，仅接受电汇付款，不提供定制化选项。用户可通过官网、Twitter、文档页或 Discord 获取更多信息。tinygrad 的目标是实现“每秒一拍”（petaflop）的普及化，推动 AI 普惠大众。

HN 热度 572 points | 评论 330 comments | 作者：albelfio | 1 day ago #

https://news.ycombinator.com/item?id=47470773

Red V2 无法有效运行 1200 亿参数模型，需重度量化，且显存不足，难以支持长上下文。
1200 亿参数模型在 64GB 显存/128GB 内存配置下，显存利用率低，混合使用显存与系统内存对性能提升有限。
使用 Llama.cpp 或 vLLM 等工具可在 Epyc 服务器上实现 30-50 tokens/秒的推理速度，但性能受限于硬件配置。
有用户声称在四张 3090 显卡上运行 GPT-OSS-120B 模型，达到 100 tokens/秒，但存在显存容量与模型大小矛盾的争议。
GPT-OSS-120B 模型采用 4.25 位 MXFP4 格式和滑动窗口注意力机制，内存效率高，实际占用远低于传统模型。
1200 亿参数模型在 4 位量化下仅需约 60GB 存储，结合 KV 缓存与计算缓冲，总显存需求可控制在合理范围内。
该服务器采用 12U 机箱设计，可能为降低成本和保证质量而未提供定制化选项，而非性能需求。
与自购机箱相比，该服务器在尺寸和成本上缺乏优势，但其优势在于可直接部署于办公室环境，噪音低。
该服务器的高价格可能部分源于定制化软件优化，如 Hotz 开发的专用推理框架，移除非必要计算逻辑。
有用户建议使用 MoE（混合专家）模型将部分层卸载至 CPU，虽影响性能但可实现模型运行。
推荐加入 r/LocalLLaMA 社区，获取本地大模型部署的实战经验与硬件配置建议。
本地运行大模型需综合考虑显存、量化方式、推理框架与硬件协同优化，不能仅依赖显存容量。

4. JavaScript 臃肿的三大根源 (The three pillars of JavaScript bloat) #

https://43081j.com/2026/03/three-pillars-of-javascript-bloat

本文探讨了 JavaScript 生态中“依赖臃肿”问题的三大根源，并分析了其成因与解决方案。

第一大臃肿来源是老旧运行时支持，包括对极早期引擎（如 ES3）的兼容、防止全局命名空间被篡改，以及处理跨域环境中的值传递。这些需求虽合理，但仅适用于极少数场景。然而，相关工具包（如 is-string、hasown）却广泛存在于主流包的依赖树中，导致绝大多数开发者承担了不必要的性能开销。

第二大问题是原子化架构的过度拆分。许多包被拆分为极其细粒度的单元，如 shebang-regex、slash、is-windows 等，看似便于复用，实则多数仅被单一包使用，形成“单用途包”。这不仅造成重复依赖，还增加了版本解析、下载、解压等开销，且显著扩大了供应链攻击面。一个维护者被攻破，就可能波及数百个微包。

第三大问题与前两者相关：这些本应服务于特定场景的工具，却因缺乏明确标识而被默认集成进主流包的“热路径”中，使得所有用户都必须承担其代价。作者呼吁，应由真正需要这些兼容性的开发者主动引入特殊包，而非让整个生态为小众需求买单。

总结：JavaScript 生态的臃肿源于对边缘场景的过度包容与过度模块化。解决之道在于识别并隔离这些非通用逻辑，推动核心包内联关键逻辑，减少无谓依赖，从而提升性能与安全性。

HN 热度 441 points | 评论 258 comments | 作者：onlyspaceghost | 22 hours ago #

https://news.ycombinator.com/item?id=47473718

使用无依赖的 JavaScript 开发能保持项目简单、易于维护，且性能优秀，尽管代码量可能更多，但整体体积更小。
浏览器原生功能和静态分析工具（如 TypeScript 和 JSDoc）可以替代许多框架和构建工具的功能。
当前开发者社区对无框架开发的认知不足，主要因为教程和视频内容普遍围绕主流框架展开，导致人们误以为无依赖开发更难或性能更差。
无依赖开发虽然耗时更长，但能避免依赖带来的安全风险和供应链攻击，且更易于进行完整的安全审计。
依赖管理的繁琐（如版本更新、许可证审查）在大型项目中成为负担，而自研方案可避免此类问题。
一些复杂功能（如地图应用）目前仍难以完全脱离第三方库，但基础应用完全可使用原生技术实现。
无依赖开发并非万能，但作为首选策略有助于软件自然演进，避免过度依赖外部工具。
企业可能因不需支付迁移成本而对无依赖项目持保留态度，但长期来看可节省大量维护成本。
无依赖开发的成果可能被低估，尤其在绩效评估中，因为其“低调”特性难以体现价值。
框架的真正价值不仅在于组件渲染，更在于提供响应式数据模型等高级功能，这是纯原生开发需要自行实现的。

5. 未来版本控制的愿景 (The future of version control) #

https://bramcohen.com/p/manyana

Bram Cohen 发布了 Manyana 项目，提出了一种面向未来版本控制的连贯愿景。该项目基于 CRDT（冲突-free 可复制数据类型）技术，从根本上解决传统版本控制系统中的合并冲突问题。

传统 VCS 在合并时可能出现无法自动解决的冲突，而 CRDT 的设计保证了合并永远成功，不会失败。关键在于，系统通过标记“并发修改”来提示用户存在潜在冲突，而非阻止合并。这使得冲突信息更加清晰、可理解。

Manyana 的冲突提示能明确展示谁做了什么：例如，一方删除了函数，另一方在函数中间插入了一行代码。系统会以结构化方式呈现冲突，帮助开发者快速理解变更历史，而不是面对两段模糊的代码块。

CRDT 技术带来的核心优势包括：

合并结果始终一致，无论合并顺序如何；
行的插入顺序一旦确定就永久固定，避免因不同分支处理顺序不同导致的歧义；
历史记录不再依赖 DAG（有向无环图）或寻找共同祖先，而是以“编织结构”（weave）保存所有曾存在的行及其增删时间与元数据；
无需重建历史，两个状态输入，一个确定结果输出。

在重基（rebase）方面，Manyana 实现了“无损重基”：可以像传统 rebase 一样将提交逐个应用到新基线，但完整保留原始历史。这解决了传统 rebase 在复杂分支结构中失去共同祖先、导致合并失败的问题。

Manyana 目前是一个约 470 行 Python 编写的演示项目，仅支持单个文件操作，尚未实现 cherry-pick 和本地撤销等功能。但其 README 已提出未来扩展的清晰路径。

项目代码为公共领域，设计文档完整公开，旨在证明基于 CRDT 的版本控制不仅能解决技术难题，还能在用户体验上超越现有工具。

评论中，用户提出对“合并永不失败”的机制仍存疑问，希望看到更多示例。同时指出当前版本控制的三大痛点：

AI 编码导致提交内容庞大且难以理解；
“左/右”分支归属逻辑混乱，缺乏清晰的语义标识；
对二进制文件和压缩代码支持差，难以有效追踪变更。

有用户提问 Manyana 与 Pijul、Darcs 的异同。Darcs 因性能问题难以实用，Pijul 虽进展稳定但关注度较低。Manyana 的设计在理念上相似，但更注重用户体验与实际可用性。

HN 热度 373 points | 评论 219 comments | 作者：c17r | 9 hours ago #

https://news.ycombinator.com/item?id=47478401

使用 p4merge 等四窗格合并工具能更清晰地展示合并冲突，帮助理解冲突原因和解决方法。
Git 可通过配置 merge.conflictStyle 为 diff3 或 zdiff3 来显示共同基线，提升冲突信息的可读性。
“theirs/ours” 这类术语不够直观，建议改用“base”“local/alien”等更准确的词汇来描述合并内容。
由于“ours/theirs”容易混淆，建议在冲突提示中显示分支名和短哈希，以增强上下文清晰度。
有人认为在变基（rebase）场景下，“ours/theirs”的含义会反转，导致理解困难，应特别注意。
有人主张避免合并冲突，通过频繁合并主干和保持分支短生命周期来减少冲突发生。
有人偏好使用 merge commits 而非 rebase，因为 merge 提交能保留完整历史，便于审查变更。
有人支持 rebase 驱动的工作流，认为能保持提交历史整洁，便于查看功能变更的逻辑演进。
有人认为 squash commits 和 rebase 有助于将多个零散提交合并为一个逻辑单元，提升主干历史可读性。
有人指出，如果频繁使用 squash 和 rebase，可能说明分支承担了过多职责，应拆分功能。
有人建议在合并前先将主干合并到特性分支，以在本地解决冲突，再合并到主干，避免冲突扩散。
有人认为 merge 会引入冗余提交信息，而 rebase 更简洁，更适合个人项目和跨设备开发。

6. Cloudflare 将 archive.today 标记为“C&C/Botnet”；不再通过 1.1.1.2 解析 (Cloudflare flags archive.today as “C&C/Botnet”; no longer resolves via 1.1.1.2) #

https://radar.cloudflare.com/domains/domain/archive.today

archive.today 是一个提供网页快照服务的网站，能够保存网页内容的静态版本。根据 Cloudflare Radar 提供的信息，该网站的域名被标记为：Command and Control & Botnet

HN 热度 364 points | 评论 263 comments | 作者：winkelmann | 21 hours ago #

https://news.ycombinator.com/item?id=47474255

Cloudflare 将 archive.today 标记为“命令与控制/僵尸网络”，导致其域名无法通过 1.1.1.2 解析，引发对该项目安全性的广泛质疑。
有人指出 archive.today 被用于发动针对个人博客的 DDoS 攻击，且其服务可能涉及非法活动，引发对其合法性的担忧。
有观点认为，archive.today 作为免费的公益性存档项目，其运营者面临巨大法律风险却仍坚持提供服务，不应被恶意攻击。
一名博主通过 WHOIS 查询和公开资料链接，试图揭示 archive.today 的运营者身份，被部分人批评为“网络人肉”（doxxing），但其本人辩称未提供任何新信息或真实身份。
争议焦点在于：仅通过公开信息（如 WHOIS、StackExchange 帖子）进行关联分析是否构成“doxxing”，有人认为这属于信息整合，不构成真正的隐私侵犯。
有人指出“doxxing”本意是系统性收集个人隐私信息以实施骚扰，如今被过度泛化，导致概念失真，甚至沦为网络攻击的借口。
有人质疑该行为的动机，认为其本质是出于对匿名服务的不信任，甚至可能带有威胁或恐吓意图，而非真正出于安全或透明目的。
在发展中国家，archive.today 是获取网络资源的重要工具，尤其在带宽有限、存储成本高的环境下，其服务具有不可替代的价值。
有人担忧，若 archive.today 被打压，将导致大量网络内容永久消失，尤其对无法自行下载或保存资料的用户造成严重影响。
有评论讽刺当前网络环境：连简单的 WHOIS 查询和谷歌搜索都被视为“doxxing”，说明网络道德标准已严重下滑。
有人认为，若 archive.today 运营者与外国情报机构有关联，其服务可能被用于政治操控，因此对其审查有合理性，但不应以“人肉”方式处理。

7. 基于 WebGPU 与 WASM 的浏览器内高性能视频编辑器 (Professional video editing, right in the browser with WebGPU and WASM) #

https://tooscut.app/

Tooscut 是一款基于浏览器的高性能视频编辑器，无需安装即可使用。它采用 WebGPU 和 Rust/WASM 技术，实现接近原生应用的流畅性能，支持实时预览与导出。

编辑器提供多轨道时间线，支持无限数量的视频与音频轨道，可进行剪辑、链接片段及交叉淡入淡出等操作。所有属性均可通过贝塞尔曲线实现关键帧动画，包括位置、缩放、旋转、透明度和效果参数。

支持实时 GPU 加速的视觉效果，如亮度、对比度、饱和度、模糊和色相旋转，所有调整即时生效，无需等待渲染。

所有媒体文件均本地存储，通过 File System Access API 保障数据安全，不上传至服务器，真正实现本地优先。

界面简洁直观，包含时间轴、属性面板与实时预览区域，适合专业与业余用户进行高质量视频创作。

HN 热度 348 points | 评论 126 comments | 作者：mohebifar | 1 day ago #

https://news.ycombinator.com/item?id=47471601

浏览器对 WebGPU 的支持仍不完善，目前主要在 Chrome 或基于 Chromium 的浏览器中表现最佳，Firefox 在 Linux 和 Android 上尚不支持。
当前版本无法直接添加 MP3 音频作为独立音轨，用户尝试将音频拖入视频轨道时会删除视频内容，功能存在明显缺陷。
通过将两个视频文件导入时间线并分别隐藏视频画面或静音音频，可实现音画分离与合并，但界面滚动体验不佳。
浏览器端视频编辑工具虽在性能上无法与专业软件媲美，但在社交平台内容创作中具有更高的可访问性和协作效率。
用户偏好浏览器原生工具，如 Photopea、Google Docs 等，认为无需安装软件即可满足日常需求，提升了使用便利性。
项目未来计划支持云文件管理、项目共享及 AI 编辑等增值服务，虽核心引擎开源，但部分功能可能限制商业使用。
项目最初采用非商业许可协议，被指出不符合开源定义，因限制商业用途，引发关于“开源”定义的争议。
项目已将许可证更改为 ELv2，但仍有争议，部分人认为该协议仍不满足开源社区对自由使用的要求。
有观点建议采用 AGPL 等更严格的开源协议，以确保项目真正开放并防止商业滥用。
有人质疑为何将复杂视频编辑任务放在浏览器中实现，认为其兼容性差、性能不足，且依赖 WASM 和 WebGPU 等新兴技术。
另有观点认为，跨平台即时可用的优势远超本地安装配置的繁琐，尤其适合轻量级创作与快速协作场景。
专业开源视频编辑软件如 Kdenlive 已具备一定功能，但缺乏云端协作能力，该项目有望在共享与协作方面实现超越。

8. Project NOMAD：永不离线的知识库 (Project Nomad – Knowledge That Never Goes Offline) #

https://www.projectnomad.us

Project NOMAD 是一个完全免费且开源的离线服务器项目，旨在将 Wikipedia、AI 工具、离线地图和教育内容等知识资源部署在用户自己的硬件上，无需互联网连接即可长期使用。

项目核心功能包括：

离线知识库：基于 Kiwix 提供完整的 Wikipedia、Project Gutenberg、医学参考、维修指南等海量内容。
本地 AI 助手：通过 Ollama 运行大型语言模型（LLM），支持聊天、写作、代码生成等，所有计算均在本地完成。
离线地图：基于 OpenStreetMap，支持任意区域的离线导航与路线规划，适用于无信号环境。
教育平台：集成 Kolibri，提供完整的 Khan Academy 课程、视频与互动学习内容，适合家庭与学校离线使用。

适用场景涵盖：

应急准备：断网断电时仍可访问医疗指南、生存手册与百科知识。
离网生活：适用于房车、小屋或船只，实现真正的数字独立。
技术爱好者：支持 GPU 加速的本地 AI 推理，适合高性能硬件用户自建知识中枢。
教育用途：为无网络地区提供完整的 K-12 教育资源。

与市面上收费的同类产品（如 PrepperDisk、Doom Box 等）相比，Project NOMAD 不绑定特定硬件，可在任意 PC 上运行，支持 GPU 加速，且完全开源（Apache 2.0 许可），可自由升级与扩展。

安装仅需两行命令，支持 Ubuntu 22.04+ 或 Debian 12+ 系统，自动安装 Docker。推荐配置为：AMD Ryzen 7 / Intel i7、32GB 内存、1TB SSD、集成或独立显卡（NVIDIA 或 AMD Radeon 780M+）。

项目由社区驱动，持续更新内容包、AI 模型推荐与硬件指南，鼓励用户参与开发与支持。官网提供硬件推荐、性能排行榜与详细安装指南，帮助用户快速部署。

HN 热度 346 points | 评论 99 comments | 作者：jensgk | 12 hours ago #

https://news.ycombinator.com/item?id=47476821

一些人认为，在专制政权可能随时切断互联网的情况下，提前准备离线知识库是有实际意义的，以防止失去获取基本生活知识的机会。
对“末日准备者”（prepper）的刻板印象过于极端，许多人的准备行为其实只是出于对潜在风险的合理防范，而非盲目恐慌。
真正经历过灾难的人的准备方式与大众媒体描绘的“囤积枪支和脱水食品”完全不同，后者更像是对灾难的娱乐化想象。
部分人指出，像沃尔玛这样的零售店已开始销售大量生存食品，说明这类商品已商业化，甚至可能服务于飓风等常见灾害应对。
有人质疑某些“准备者”是否真正考虑了关键资源如水的获取问题，暗示其准备计划存在明显漏洞。
将“准备者”标签化为负面形象是一种人身攻击，本质上是逃避面对现实风险的心理防御机制。
个人准备行为只要不伤害他人，即使看似不切实际，也应被尊重，不应因他人选择而感到不适或轻视。
现代“准备文化”被商业利益驱动，通过制造恐惧来销售产品和服务，甚至传播错误信息。
一些人主张在家中保存实体书籍，如百科全书、医学手册和维修指南，以应对可能的断网情况。
《口袋参考》（Pocket Ref）这类便携工具书被推荐为实用的离线知识资源。
有人调侃地提到“如何重建整个文明”的书籍，暗示这类主题常被商业化炒作。
在末日情境下，真正需要的是基础生存技能，如生火、净水、简单医疗和机械维修，而非复杂的工业重建知识。
《莱博维茨的弥撒》这部小说描绘了知识在文明崩溃后如何被保存并逐步复兴的过程，具有深刻的启示意义。
人工智能模型在文明重建中的作用值得思考，但其数据的长期稳定性仍存疑。
人类历史上曾多次经历文明崩溃与重建，证明即使没有现代工具，人类也能依靠经验和知识重新发展。
有观点认为，利用现代数据库技术（如 DuckDB）压缩和存储维基数据，可以为离线知识库提供更高效的解决方案。
早期拨号上网时代的经验提醒人们，网络连接本就不应被视为永久可用，这与当前对离线知识的重视不谋而合。

9. Windows 原生应用开发现状混乱不堪 (Windows native app development is a mess) #

https://domenic.me/windows-native-dev/

作者 Domenic Denicola 是一位长期使用 Windows 的开发者，回顾了自己从童年时期接触 Visual C++ 到如今尝试开发 Windows 原生应用的经历。他为了实现多显示器游戏时黑屏左右屏幕的功能，开发了一个名为 Display Blackout 的小工具，以解决 Windows 关闭显示器导致窗口布局错乱的问题。

该应用需要实现多项功能：枚举显示器、创建无边框无标题栏的黑窗、拦截全局快捷键、开机自启、保存设置、显示托盘图标及菜单。这些看似简单的功能，却暴露了当前 Windows 原生开发生态的混乱。

文章梳理了 Windows 开发的历史演变：从最初的 Win32 C API，到 MFC、WinForms、WPF，再到 WinRT、UWP，最后到 Windows 11 推出的 Windows App SDK 与 WinUI 3。这一系列技术演进带来了大量并行的 UI 框架，形成“技术栈碎片化”问题。

作者选择使用最新的 WinUI 3 和 Windows App SDK 进行开发，但面临两个核心困境：一是语言选择上，C++ 虽高效但内存不安全，C#虽安全却因系统默认仅预装.NET 4.8.1，导致用户需手动下载安装新版.NET，体验极差；二是采用.NET AOT 编译，将整个运行时打包进应用，导致体积高达 9MiB，严重违背轻量初衷。

此外，分发方式也存在问题：MSIX 是推荐的现代安装格式，但需要昂贵的代码签名证书（每年 200–300 美元），且非美国用户难以获取；而未签名的侧载安装则需管理员权限运行复杂 PowerShell 命令，用户体验极差。

最终作者得出结论：Windows 原生应用开发环境混乱不堪，缺乏统一、现代、易用的开发与分发路径。相比之下，Electron 等跨平台方案反而更简单可靠，因此“没人愿意写原生 Windows 应用”实属情有可原。

HN 热度 309 points | 评论 327 comments | 作者：domenicd | 14 hours ago #

https://news.ycombinator.com/item?id=47475938

使用 Win32 API 开发 Windows 原生应用可以实现极小体积的独立可执行文件，仅需几 KB，且功能完整。
在 2026 年使用 C++ 进行新项目开发是不可接受的，即使面对无不可信输入的场景，也应优先选择内存安全语言。
.NET Framework 可以在更短时间内实现与 Win32 相同功能，且避免内存安全问题和 Unicode 处理复杂性。
虽然 Delphi 和 MFC 等曾提供良好的 Win32 封装层，但如今已不再流行，缺乏现代替代方案。
Win32 API 虽然老旧，但依然稳定且生态成熟，适合特定场景，不应被忽视。
使用内存安全语言如 Rust 可以通过 windows-rs 等库安全地调用 Win32 API，兼顾性能与安全。
真正影响用户体验的不是界面美观，而是功能是否实用、是否提升效率、是否干扰工作流。
对于专业用户或特定行业软件，界面简陋但功能强大比“现代化”外观更重要。
自定义 UI 需要大量工作，若想实现现代风格，使用 Flutter 等跨平台框架比原生 Win32 更高效。
Win32 原生控件风格陈旧，难以实现现代 UI 效果，需自行绘制或依赖第三方库。
现代化外观常与低效、资源浪费、广告弹窗等负面体验绑定，反而降低用户信任。
一些用户对“网页风”界面产生本能排斥，认为其代表功能简化、键盘支持差、性能低下。
企业级系统如 Windows 11 IoT LTSC 因去除冗余功能而获得更好体验，说明“极简”才是高效。
系统级集成点（如设置页、任务栏菜单）被微软逐步移除，部分原因在于第三方插件导致系统不稳定。

10. Flash-MoE：在笔记本电脑上运行 3970 亿参数模型 (Flash-MoE: Running a 397B Parameter Model on a Laptop) #

https://github.com/danveloper/flash-moe

Flash-MoE 项目展示了一种在 MacBook Pro 上运行超大规模 397B 参数混合专家（MoE）模型的技术突破。该模型为 Qwen3.5-397B-A17B，采用 4-bit 量化专家，总大小 209GB，可在 48GB 内存的 M3 Max 芯片设备上以 4.36 tokens/秒的速度流畅推理，支持生产级输出，包括工具调用。

核心创新包括：

SSD 专家流式加载：通过并行 pread() 从 NVMe SSD 按需加载每层激活的 4 个专家，仅需约 6.75MB/层，依赖操作系统页面缓存（“信任操作系统”原则），无需自定义缓存，命中率达 71%。
FMA 优化解量化内核：将解量化与乘法合并为一个 FMA 指令，提前计算 scalex 和 biasx，使 GPU 融合乘加单元高效执行，相较基线提升 12%。
Metal 手写计算着色器：涵盖 4-bit/2-bit 解量化、SwiGLU 激活、RMS 归一化、批量注意力、RoPE 旋转编码、MoE 组合与残差连接等，全部在 GPU 上完成。
延迟执行专家计算（Deferred GPU Expert Compute）：专家前向传播 CMD3 在 GPU 上异步执行，与 CPU 准备下一层数据并行，显著提升流水线效率。
加速 BLAS 用于线性注意力：使用 Accelerate 框架的 cblas 函数处理 GatedDeltaNet 的状态矩阵更新，比纯标量代码快 64%。

性能对比显示，4-bit 配置下达到 4.36 tokens/秒，质量优秀；2-bit 配置虽可达到 5.74 tokens/秒，但因量化导致 JSON 输出异常（如 \name\ 而非 “name”），无法可靠支持工具调用，仅适用于短暂峰值场景。

整体架构采用“每层流水线”设计，平均耗时 4.28ms，关键路径由 GPU 计算与 SSD I/O 主导。受限于 Apple Silicon 统一内存控制器，SSD DMA 与 GPU 计算无法重叠，轻微背景 I/O 即引发 GPU 显著延迟，因此对 I/O 调度和并行性要求极高。

该项目由人类与 AI（Claude）在 24 小时内协作完成，记录了 90 多次实验，完整技术细节与论文已公开，展示了极致优化下在消费级硬件上运行超大模型的可行性。

HN 热度 291 points | 评论 104 comments | 作者：mft_ | 13 hours ago #

https://news.ycombinator.com/item?id=47476422

使用 2.5 BPW 左右的量化版本可以在 128GB 内存设备上运行 397B 参数的 Qwen 模型，M1 Ultra 设备上可达到约 20 token/s 的生成速度，并支持 256k 上下文。
2-bit 量化虽然在短提示下表现尚可，但在长会话中容易出现输出不一致的问题，尤其在生成 JSON 等结构化数据时，会出现如“\name\”而非““name””的错误，导致工具调用不可靠。
不同量化格式在相同 BPW 下表现差异显著，例如 smol-IQ2_XS 量化在 2.46 BPW 下表现优异，混合使用 q8_0、q6_k 和 q4_k 等不同精度类型，能更好地保持模型质量。
4-bit 量化是当前在资源受限情况下的最佳平衡点，低于 4-bit 的量化会导致质量显著下降，尽管在某些指标（如困惑度）上可能表现尚可，但在实际长会话中误差会累积。
有用户认为，2-bit 和 3-bit 量化在真实工作场景中效果不佳，即使在短会话中表现良好，长期使用后仍会暴露出严重缺陷，不如使用更小但质量更高的模型。
有用户指出，原项目在 2-bit 量化失败后切换到了 4-bit 量化，说明 2-bit 并非唯一问题，模型专家数量从 10 减少到 4 也可能是影响因素。
在长上下文（如 70k 以上）测试中，smol-IQ2_XS 量化仍能保持良好连贯性，GPQA Diamond 等需要长链推理的任务表现优异，接近原始 BF16 模型水平。
有用户对 M1 Ultra 设备的性能表示认可，认为其在处理大模型时表现稳定，且支持高上下文长度，适合进行复杂推理任务。

Hacker News 精彩评论及翻译 #

Bored of eating your own dogfood? Try smelling you… #

https://news.ycombinator.com/item?id=47477760

There’s an oft told story about Jeff Bezos pausing a meeting to call his own customer service number - and waiting over 10 minutes for an answer.

One of my jobs was at a company that had developed at unhealthy amount of bureaucracy and politics. The product barely mattered to some because they were playing internal games of grandstanding, taking credit, and building their empires.

In meetings where were supposed to be talking about product direction and priorities I would some times pull out my phone and open the app to try to demonstrate some real problem with the service. The tone of the meeting would change to panic as certain product leads would try to do anything to stop me from showing what the real product did instead of their neatly prepared slide decks that showed a much nice story for the executives. I became the enemy for showing the actual product instead of their alternate world of KPIs and charts.

Aurornis

有个常被讲述的故事说，杰夫·贝佐斯曾暂停会议，拨打公司的客服电话——等待了十多分钟才有人接听。

我曾在一家公司工作，那里的官僚主义和政治斗争极其严重。产品对某些人来说根本无足轻重，因为他们热衷于内部的自我标榜、抢功立威以及扩充自己的势力。

本该讨论产品方向和优先级的会议上，有时我会掏出手机打开APP，试图演示真实的服务问题。一旦我这么做，会议气氛就会变得紧张，因为某些产品负责人会不择手段地阻止我展示真实的产品体验，而不是去展示他们为高管精心准备的漂亮幻灯片。我成了他们的敌人，因为我展示的是真实的产品，而不是他们用KPI和图表构建的那个幻象世界。

Do Not Turn Child Protection into Internet Access … #

https://news.ycombinator.com/item?id=47472545

The big issue isn’t even age verification. The end goal is verified user identification. They want every transaction on the internet to be associated with the exact identity of the user. No more anonymity.

In the short term the way it will be implemented is this — age verification will not be a binary, it will also want to push your DoB, name, location etc and they say “the choice is with the user” but the default will be to send everything. Very soon there will be services that require DoB or name or something else to gate new or existing functionality. That is the slippery slope it will be built as and that is how they win the game

yalogin

核心问题甚至都不在于年龄验证。终极目标是对用户进行身份验证。他们希望互联网上的每一笔交易都能与用户的真实身份对应。从此以后，将不再有匿名。

在短期内，实施方式将是这样的——年龄验证不会仅仅是一个简单的二选一选项，他们还会强行索取你的出生日期、姓名、位置等信息。虽然他们声称“选择权在用户”，但默认设置却是上传全部信息。很快，就会有一些服务要求用户必须提供出生日期、姓名或其他信息，才能访问现有或新增的功能。这就是他们设下的循序渐进的陷阱，也是他们赢下这场博弈的方式。

The future of version control #

https://news.ycombinator.com/item?id=47479687

The thing about how merges are presented seems orthogonal to how to represent history. I also hate the default in git, but that is why I just use p4merge as a merge tool and get a proper 4-pane merge tool (left, right, common base, merged result) which shows everything needed to figure out why there is a conflict and how to resolve it. I don’t understand why you need to switch out the VCS to fix that issue.

ulrikrasmussen

关于合并视图的呈现方式，这似乎与历史记录的表示方式无关。我也不喜欢 git 的默认设置，但这正是我直接使用 p4merge 作为合并工具并获得一个正规的 4 分屏合并工具（左、右、共同基线、合并结果）的原因，它能展示所有必要的信息来弄清楚为什么会有冲突以及如何解决。我不明白为什么你需要换掉 VCS 才能修复那个问题。

Our commitment to Windows quality #

https://news.ycombinator.com/item?id=47464691

Quality is not the issue. We should be more specific - Microsoft has been consciously employing dark patterns that they know will be harmful to users but they do not care because their incentives are misaligned. Employees of Microsoft have surely had meetings scheming of ways to degrade user experience for some internal metric they are trying to hit. A decade+ of conscious, willful decisions which negatively impact users.

I personally will never forgive them for uploading the entirety of my users dir to OneDrive without asking for permission. They’re –still– doing this. Whatever decision making process they have in place that not only cooked this scheme up, but allowed it to continue for years must be broken beyond repair. It’s contemptuous, backwards, and hostile to users. It cannot be condemned enough.

This blog post talks about taskbar positioning and vaguely gesturing at quality, which is whatever. I’m not mad about removing features or even a higher incidence of bugs. I’m mad about hostile dark patterns that they have consciously chosen to employ at an ever increasing rate. I don’t think you can fix this without drastic company wide changes.

For as long as I live, if I have a choice, I will avoid Microsoft products. They cannot be trusted.

suby

质量不是问题。我们应该更具体一点——微软一直在主动使用“暗黑模式”，明知这些会对用户有害，但因为激励机制的错位而毫不在意。微软的员工肯定开过会，密谋着如何降低用户体验以达成某种内部指标。十多年来，这种有意识、故意的决定一直在发生，对用户造成负面影响。

就我个人而言，我永远不会原谅他们未经允许就将我整个用户目录上传到 OneDrive。他们到现在还在这么做。他们制定出的决策流程，不仅炮制出这种阴谋，还让它持续了多年，这一流程必定是无可救药的。这既傲慢、落后，又对用户充满敌意。对此的谴责无论如何都不为过。

这篇博文讨论的是任务栏定位，含糊其辞地提了一下质量，这倒无所谓。我不会因为移除功能或者甚至 Bug 频发而生气。我生气的是他们主动选择越来越多地采用那些充满敌意的“暗黑模式”。我不认为不进行彻底的全公司改革就能解决这个问题。

只要我活着，如果有选择，我就会避开微软的产品。他们的信誉不值得信赖。

Ubuntu 26.04 Ends 46 Years of Silent sudo Password… #

https://news.ycombinator.com/item?id=47464656

The number of times I’ve been stuck wondering if my keystrokes are registering properly for a sudo prompt over a high latency ssh connection.

These servers I had an account setup too were, from what I observed, partially linked with the authentication mechanism used by the VPN and IAM services. Like they’d have this mandatory password reset process and sometimes sudo was set to that new password, other times it was whatever was the old one. Couple that with the high latency connection and password authentication was horrible. You would never know if you mistyped something, or the password itself was incorrect or the password you pasted went through or got double pasted.

I think this is a great addition, but only if it leads to redhat adopting it which is what they were running on their VMs.

written-beyond

在高延迟的SSH连接上，多少次我都在怀疑sudo的提示是否真的收到了我的按键输入。

那些我也开通了账号的服务器，据我观察，其认证机制与VPN和IAM服务是部分关联的。就像是走了一个强制密码重置流程，有时候sudo密码被改成了新密码，有时候却还是旧密码。加上那高延迟的连接，密码认证简直是噩梦。你永远不知道到底是打错了，还是密码本身不对，亦或是粘贴的密码漏发了、还是被重复粘贴了。

我认为这是个很好的补充，但前提是红帽必须采纳它，毕竟我们在虚拟机上跑的就是红帽系统。

Do Not Turn Child Protection into Internet Access … #

https://news.ycombinator.com/item?id=47471784

The people pushing for “child protection” went to the island. It’s not even about control, it’s about shifting liability away from platforms so they can further gut moderation, reducing their expenses and getting away with doing nothing to stop the actual bad actors.

jjk166

鼓吹"儿童保护"的人去了那个岛。这甚至不是为了管控，而是为了转移平台的责任，以便进一步削弱审核，降低成本，并逃避对真正的作恶者坐视不管。

Mayor of Paris removed parking spaces, reduced the… #

https://news.ycombinator.com/item?id=47467003

This article has such a weird framing.

It keeps repeating how the cleaner air is so good for tourists.

But tourists visiting Paris for a week don’t get the majority of the benefit from cleaner air.

The Parisian residents living there throughout the year do.

Maybe because it’s CNN, an American outlet, they’re focused on the “tourist”, but these benefits have mostly accrued to Parisians.

Also, the 4% increase in traffic jams is minuscule when compared to other large cities across the world (outside of maybe NYC, since it implemented congestion pricing over that period). Paris has not escaped the wrath of the SUV, and a large part of the congestion cities across the world are seeing is solely down to cars becoming bigger.

hshdhdhj4444

这篇文章的切入点真的很怪。它一直强调空气变好对游客有多么有利。但那些来巴黎只待一周的游客，并不能从洁净空气中获得绝大部分的好处。全年居住在巴黎的居民才是真正获得了这些好处的人。也许这是因为它是CNN，一家美国媒体，所以他们的关注点在于“游客”，但这些好处主要是落在了巴黎本地人身上。此外，与其他世界大城市相比（除了纽约，因为它在那段时间实施了拥堵收费），交通拥堵增加4%这点微不足道。巴黎并没有逃脱SUV（大型运动型多用途车）的祸害，世界大城市遭遇的大量拥堵完全归咎于车辆变得越来越大了。

A Japanese glossary of chopsticks faux pas (2022) #

https://news.ycombinator.com/item?id=47463530

My heart is lightened to learn inserting the chopsticks into your mouth to make walrus fangs is not taboo.

fumeux_fume

得知把筷子插进嘴里做出海象牙不是禁忌，我也就放心了。

Our commitment to Windows quality #

https://news.ycombinator.com/item?id=47463529

Apple achieved it with Mac OS X Snow Leopard. Apple then spent ~15 years un-achieving it. It started with iOS 7, and has culminated in the Liquid (Gl)ass era: a mess of unintuitive menus, terrible and inconsistent UI patterns, the lobotomite twins Siri & Apple Intelligence.

Although, surprisingly, built on top of absolutely incredible silicon.

gnarlouse

苹果曾在 Mac OS X Snow Leopard 上做到了这一点，随后却花了大约 15 年时间把它给倒退了。这一切始于 iOS 7，最终演变成了“液态玻璃 (Gl) 时代”：充斥着杂乱无章的直觉感极差的菜单、糟糕且不一致的 UI 模式，以及那对像被脑叶切除了一样的双胞胎 Siri 和 Apple Intelligence。不过，令人惊讶的是，这一切却是建立在绝对惊人的硅基芯片之上的。

404 Deno CEO not found #

https://news.ycombinator.com/item?id=47468318

I’m not familiar with the author but something about this post just seems mean-spirited and petty.

Deno might not succeed as a project, especially with strong competition from Bun as an alternative to Node, but I would say that Deno has been more a force for bettering the ecosystem than not.

Many of those at Deno, including Ryan as well as some of those who have apparently left or been let go have been major contributors to the web development ecosystem. Thank you all for your work — we’re better off for your contributions.

0xfffafaCrash

我不熟悉这位作者，但这篇文章透着一股恶意和小家子气。

Deno 作为一个项目或许不会成功，尤其是在面对 Bun 作为 Node 替代品的强势竞争下，但我认为 Deno 更多的是在改善生态系统方面发挥了积极作用。

Deno 的许多成员，包括 Ryan，以及那些据称已经离职或被解雇的人，都是 Web 开发生态系统的重要贡献者。感谢大家的工作——我们的世界因你们的贡献而变得更好。

Bored of eating your own dogfood? Try smelling you… #

https://news.ycombinator.com/item?id=47477937

I work at a (government and extreme bureaucratic) organisation that builds apps used by field engineers.

I found out SSO was broken. They had to login to every app using the same account. Twice per day because the token live was 4 hours “for security”.

I found out it was because they published these apps as PWAs, making them more isolated than normal apps.

I asked the product manager and he says the issue is “with Apple and Google”, not his department. When asked why he chose PWAs for the apps he said this was easier to deploy, saves them developer accounts and such.

Since I can’t force him to change I found a workaround: SSO works in PWAs if you use Edge on a recent Android version on a Samsung tablet. Lucky me we had bought Samsung tablets (this was not a requirement when purchasing I looked it up, just luck).

I asked the Intune manager about this and they said the field engineers should just set Edge as default in stead of Chrome.

When trying this on a company tablet it said: “Edge disabled by X group policy”. That guys’ department set the policy…

After they removed this I asked why it wasn’t the default browser and he said this wasn’t possible. I challenged him on this by Googling the Intune manual to set the default browser.

Later they said they had raised a support ticket with Microsoft for this.

On the internal Wiki I found a document describing the problem. It was dated 11 months before I joined.

apexalpha

我在一家（政府性质且极度官僚）的组织工作，这里开发现场工程师使用的应用程序。

我发现单点登录（SSO）坏了。他们必须使用同一个账户登录每一个应用，每天登录两次。因为 token 的有效期只有 4 小时，理由是“为了安全”。

我发现这是因为他们把这些应用部署成了 PWA（渐进式 Web 应用），这使得它们比普通应用更加孤立。

我问过产品经理，他说问题出在“苹果和谷歌”身上，并不是他们部门的问题。当被问及为什么选择 PWA 来开发这些应用时，他说这是因为部署更容易，还能节省开发者账号等费用。

既然我无法强迫他整改，我找到了一个变通办法：在较新款的三星平板上使用 Android 系统的 Edge 浏览器，SSO 在 PWA 中就能正常工作。万幸的是我们买了三星平板（这是购买时的非强制要求，我查过，纯属运气）。

我把这个情况告诉了 Intune 管理员，他们建议现场工程师干脆把 Edge 设为默认浏览器，而不是 Chrome。

我在公司平板上试了一下，提示：“Edge 已被 X 组策略禁用”。那个负责组策略的家伙正是……在他们移除了这个限制后，我问为什么 Edge 不能设为默认浏览器，他说这不可能。我当场谷歌查阅了 Intune 手册关于设置默认浏览器的说明，以此反驳他。

后来他们表示已经就这个问题向微软开了支持工单。

在公司内部 Wiki 上，我发现了一份描述该问题的文档。日期显示那是加入我之前 11 个月的文件。

OpenClaw is a security nightmare dressed up as a d… #

https://news.ycombinator.com/item?id=47481183

Responding to the tweet quoted in the article: why are the examples given of futuristic capabilities always so visionless - it’s always booking a flight or scheduling a meeting. Doing this manually is already pretty trivial, it’s more productivity theatre than genuinely life-changing.

There are real, impressive examples of the power of agentic flows out there. Can we up the quality of our examples just a bit?

Oarch

针对文章引用的那条推文回应：为什么展示未来能力的例子总是这么缺乏想象力——总是订机票或者安排会议。手动完成这些已经非常简单了，与其说是真正能改变生活的功能，不如说是单纯为了秀一波生产力。实际上已经有许多真正令人印象深刻、展示了智能体工作流强大能力的例子了。能不能让我们的例子质量再高一点？

The Impact of AI on Game Dev Jobs. Open to Work Cr… #

https://news.ycombinator.com/item?id=47472983

I’m not convinced the bad market is due to AI at all. That’s just a convenient excuse to do layoffs without the bad PR normally involved in admitting you need to do layoffs.

Also, the Open to Work banner has the stink of desperation. Highly recommend disabling it. It’s like dating. Act casual.

0x3f

我并不相信市场不好完全是因为AI。这只是裁员的一个方便借口，省去了通常承认要裁员时的公关麻烦。

此外，“正在找工作”的头像横幅会透出一股绝望的意味。强烈建议关掉它。这就像谈恋爱一样，表现得随意一点就好。

Ubuntu 26.04 Ends 46 Years of Silent sudo Password… #

https://news.ycombinator.com/item?id=47464890

This is such a good decision. It’s one of those things that’s incredibly confusing initially, but you get so used to it over the years, I even forgot it was a quirk.

In the modern world there is no plausible scenario where this would compromise a password that wouldn’t otherwise also be compromised with equivalent effort.

dtech

这真是一个极好的决定。这是那种乍一看极其令人困惑的事情，但多年下来你就习惯了，我甚至都忘了它曾经是个怪癖。在当今世界，不存在任何合理的场景，会使得这点导致密码泄露，而这种泄露若换作同等努力本来也是可以攻破的。

OpenClaw is a security nightmare dressed up as a d… #

https://news.ycombinator.com/item?id=47481349

why are the examples given of futuristic capabilities always so visionless - it’s always booking a flight or scheduling a meeting.

This AI wave is filled with “ideas guys/gals” who thought they had an amazing awesome idea and if only they knew how to program they could make a best-selling billion dollar idea, being confronted with the reality that their ideas are really uninteresting as well.

They’re still happy to write blog posts about how their bleeding-edge Claw setup sends them a push notification whenever someone comments on one of their LinkedIn posts, though.

mjr00

为什么演示的那些未来科技功能总是缺乏想象力——无非就是预订机票或者安排会议。这波 AI 浪潮里充斥着所谓的“点子王/点子姐”，他们自以为有个绝妙至极的点子，只要懂编程就能将其打造成一个风靡全球、身价十亿的爆款，结果面对现实才发现，其实他们的点子压根就不怎么样。不过，他们还是很乐意写博客吹嘘，说自己的“最前沿 Claw 设置”一旦有人评论 LinkedIn 上的帖子，就会给他们发推送通知。

Cloudflare flags archive.today as “C&C/Botnet”; no… #

https://news.ycombinator.com/item?id=47476127

All your comments are painting archive.today as an innocent victim in all this, but in addition to the DDoS, they have been caught modifying archived pages as well as sending actual threats to Patokallio [1] which in my opinion seem far worse than the “doxxing”.

Just the fact alone that they modified archived pages has completely ruined their credibility, and over what? A blog post about them that (a) wasn’t even an attack, it is mostly praising archive.today, and (b) doesn’t reveal any true identities or information that isn’t already easily accessible.

From my perspective at least, archive.today seems like the unhinged one, not Patokallio.

[1] https://arstechnica.com/tech-policy/2026/02/wikipedia-bans-archive-today-after-site-executed-ddos-and-altered-web-captures/

Mogzol

你所有的评论都在把 archive.today 描绘成这场风波中的无辜受害者，但除了 DDoS 攻击外，他们还暴露出修改归档页面的行为，甚至向 Patokallio 发送了实际威胁，在我看来，这似乎比“人肉搜索”严重得多。

单单他们修改归档页面这一事实就足以让他们信用尽失，究竟是为了什么？为了写一篇关于他们的博文吗？那根本算不上是攻击，其中大部分内容甚至是在赞扬 archive.today，而且根本没有透露任何真实身份或未公开的信息。

至少在我看来，archive.today 才是那个精神错乱的人，而不是 Patokallio。

[1] https://arstechnica.com/tech-policy/2026/02/wikipedia-bans-archive-today-after-site-executed-ddos-and-altered-web-captures/

404 Deno CEO not found #

https://news.ycombinator.com/item?id=47468688

I won’t speak for Ryan, but these last 7/8 months have been extra extra hard for me with Mikeal dying, and at least, Ryan was as close to Mikeal as I was, so I’d guess it’s been a hard time for him too. Being ambitious and taking on a lot is always… a lot, and he’s been at it with Oracle as well. It doesn’t get any easier the older you get, to be honest. Cut him some slack eh?

neom

我不替Ryan说话，但过去七八个月Mikeal的离世对我来说真的非常艰难，至少Ryan和Mikeal的关系跟我一样亲近，所以我想对他来说也一定不好过。有野心又承担很多事情总是……挺重的，而且他还在忙Oracle的事。老实说，年纪越大，事情并不会变得容易。宽容点对他吧？

Ubuntu 26.04 Ends 46 Years of Silent sudo Password… #

https://news.ycombinator.com/item?id=47467482

Someone should make a joke version that replaces the ***s with comedic passwords or ridiculously bad ones: When you’re typing your real password, “iloveyouiloveyou”, “12345612345”, or “hunter42hunter..” gets printed to the screen.

b0ringdeveloper

有人应该做一个恶搞版，把星号替换成搞笑密码或者极其糟糕的密码：当你输入真实密码时，屏幕上会显示 “iloveyouiloveyou”、“12345612345” 或 “hunter42hunter.."。

Study finds no evidence cannabis helps anxiety, de… #

https://news.ycombinator.com/item?id=47471428

This is a hard topic to communicate in depression treatment. It’s easy to mistake substances that temporarily boost your mood or calm your nerves for effective treatments for an underlying condition.

There was a brief period of time before the opioid prescribing backlash when some fringe psychiatrists were proposing weaker opioids as adjunctive treatments for treatment resistant depression. It’s hard to fathom now, but opioids were more casually prescribed a few decades ago. I recall some discussion where one of them said they were seeing good initial results but the effects faded, and then it was hard to get the patients off of the opioids when they were no longer helping. Not surprising to anyone now, but remember there was a period of time where many seemingly forgot about their addictive properties.

I feel like I’ve seen a weaker version of this in some friends who turned to THC to “treat” their depression: Initial mood boost, followed by dependency, then eventually into a protracted period where they know it’s not helping but they don’t want to stop because they feel worse when they discontinue. This wasn’t helped by the decades of claims that claimed THC was basically free of dependency problems.

Aurornis

在抑郁症治疗中，这是一个很难沟通的话题。很容易将那些能暂时提振情绪或舒缓神经的物质，误认为是治疗潜在病情的有效手段。

在阿片类药物处方遭到反弹的短暂时期之前，一些边缘精神科医生曾建议将较温和的阿片类药物作为难治性抑郁症的辅助治疗。现在回想起来可能很难理解，但在几十年前，阿片类药物是比较随意地被开具的。我记得当时曾有过这样的讨论，其中一位医生表示他们起初看到了不错的效果，但药效消退后，当药物不再起作用时，就很难让患者戒断阿片类药物了。现在看来这并不奇怪，但请记住，曾有一段时间，许多人似乎忘记了它们的成瘾性。

我感觉在一些转向用大麻素（THC）来“治疗”抑郁症的朋友身上看到了这一点的弱化版本：先是情绪短暂提升，随后产生依赖，最后演变成一段漫长的时期，他们知道这药没用了，但不敢停药，因为一旦停药就会感觉更糟。这也受到了几十年间那些宣称大麻素基本没有依赖问题的说法的误导。

Tinybox – A powerful computer for deep learning #

https://news.ycombinator.com/item?id=47470975

There’s some irony in the fact that this website reads as extremely NOT AI-generated, very human in the way it’s designed and the tone of its writing.

Still, this is a great idea, and one I hope takes off. I think there’s a good argument that the future of AI is in locally-trained models for everyone, rather than relying on a big company’s own model.

One thought: The ability to conveniently get this onto a 240v circuit would be nice. Having to find two different 120v circuits to plug this into will be a pain for many folks.

ivraatiems

极具讽刺意味的是，这个网站读起来完全不像AI生成的，无论在设计还是写作语气上都显得非常有“人情味”。

尽管如此，这是一个非常好的想法，我希望能看到它流行起来。我认为一个强有力的论据是，AI的未来在于让每个人都拥有本地训练的模型，而非依赖大公司的专属模型。

一个想法：如果能方便地将其接入240伏电路那就好了。对许多人来说，不得不找两个不同的120伏电路来供电会是个大麻烦。

The three pillars of JavaScript bloat #

https://news.ycombinator.com/item?id=47474386

I really think writing dependency-free JavaScript is the way to go nowadays. The standard library in JS/CSS is great. So are static analysis (TypeScript can check JSDoc), imports (ES modules), UI (web components), etc.

People keep telling me the approach I am taking won’t scale or will be hard to maintain, yet my experience has been that things stay simple and easy to change in a way I haven’t experienced in dependency-heavy projects.

auxiliarymoose

我真的觉得现在编写无依赖 JavaScript 是正道。JavaScript 和 CSS 的标准库非常优秀。静态分析（TypeScript 可以检查 JSDoc）、导入（ES 模块）、UI（Web 组件）等也都非常出色。人们一直告诉我，我目前采用的方法无法扩展或难以维护，然而我的经验是，事物保持简单且易于修改，这是我在依赖繁重的项目中从未体验过的。

Windows native app development is a mess #

https://news.ycombinator.com/item?id=47477098

I’m an embedded programmer who occassionally needs to write various windows programs to interface with embedded devices (usually via serial port or usb), and I find it a breeze to write native gui programs in pure win32 and c++.

Recently had to add a new feature to and old program that was last updated in the XP era and two things to note:

The program did not need to be updated to run on Vista, 7, 10 and 11, shit just kept working throughout the years.
I loaded the project into Visual Studio 2022, it converted from VC6 and compiled without problems, added the feature, shipped a new .exe to the customer, and it just worked.

What other platform has that backwards and forwards compatibility success story?

cv5005

我是一名嵌入式程序员，偶尔需要编写各种 Windows 程序来与嵌入式设备（通常通过串口或 USB）进行交互，我发现用纯 Win32 和 C++ 编写原生 GUI 程序是一件非常轻松的事。

最近，我不幸不得不给一个最后更新还是在 XP 时代的旧程序添加一个新功能，有两点需要注意：

该程序无需更新即可在 Vista、7、10 和 11 上运行，多年来它一直都能正常工作。
我将项目加载到 Visual Studio 2022 中，它从 VC6 转换后编译毫无问题，添加了新功能后，向客户发送了新的 .exe，结果它直接就能用。

还有哪个平台能拥有那样的前后向兼容性成功故事呢？

A Japanese glossary of chopsticks faux pas (2022) #

https://news.ycombinator.com/item?id=47463165

I think if you were to do an Osaka version of this, the list would be limited to maybe 4 of these (licking, chopsticks upright in rice, passing between chopsticks, and pointing esp. toward a senior would be taboo).

Whereas when I had a date with a girl from Kyoto, one of the first things that happened when we went to eat was she had to stop me from picking up my chopsticks impolitely and show me the proper way of doing it.

Suffice it to say my Osaka-learned table manners and speech patterns meant there was no second date.

cmcaleer

我认为如果要做一个大阪版的（这类礼仪），清单大概就只有这4条（舔筷子、筷子直插在饭里、用筷子夹菜互传、尤其是用筷子指人通常都是禁忌）。

然而，当我和一个京都女生去约会吃饭时，发生的头一件事就是她不得不阻止我拿筷子的不礼貌方式，并教我正确的拿法。

简而言之，我那套大阪学的餐桌礼仪和说话方式，导致我们就没有第二次约会了。

OpenCode – Open source AI coding agent #

https://news.ycombinator.com/item?id=47462469

I am more concerned about their, umm, gallant approach to security. Not only that OpenCode is permissive by default in what it is allowed to do, but that it apparently tries to pull its config from the web (provider-based URL) by default [1]. There is also this open GitHub issue [2], which I find quite concerning (worst case, it’s an RCE vulnerability).

[1] https://opencode.ai/docs/config/#precedence-order

[2] https://github.com/anomalyco/opencode/issues/10939

rbehrends

我更关注他们……呃……这种对安全的大胆做法。不仅 OpenCode 在默认情况下允许做的事情很宽泛，而且它似乎默认会从网络（基于提供者的 URL）拉取其配置 [1]。还有一个开放的 GitHub 问题 [2]，我觉得这相当令人担忧（最坏的情况，这是一个 RCE 漏洞）。