2026-03-25 Hacker News Top Stories #

微软承诺"修复"Windows 11 实则是掩盖其强制集成 AI、植入广告、限制用户自主权等侵犯权益行为，核心控制政策并未改变。

PyPI 上的 litellm 包 1.82.7 和 1.82.8 版本遭供应链攻击，包含窃取系统敏感凭证的恶意文件，建议立即轮换凭证。

该网页提供 Claude Code v2.1.81 的全面功能速查指南，涵盖快捷键、MCP 服务器、Slash 命令等核心功能。

美国联邦通信委员会将外国制造的消费级路由器纳入受限制设备清单，禁止批准新设备认证以防范供应链安全风险。

苹果推出整合移动设备管理、企业邮箱等功能的 Apple Business 平台，旨在帮助企业高效管理设备和拓展客户触达。

美国与道达尔能源达成协议，退还近10亿美元押金以终止海上风电项目，并将资金转向化石燃料开发。

LiteLLM 的 PyPI 包遭供应链攻击，恶意代码窃取系统敏感信息，维护者已下架版本并重置密钥，建议用户检查环境并轮换凭证。

特朗普宣布推迟打击伊朗前原油交易异常激增引发内幕交易质疑，被疑政府内部人士提前泄露决策。

研究者使用 Claude Code 代理对旧项目进行自动化探索，发现 LLM 在结构化搜索空间表现良好但缺乏系统性创新能力。

Epoch AI 证实 GPT-5.4 Pro 成功解决了 FrontierMath 平台中一个关于超图构造的组合数学难题。

1. 微软对 Windows 11 的“修复”实为加剧控制与监控 (Microsoft’s “fix” for Windows 11) #

https://www.sambent.com/microsofts-plan-to-fix-windows-11-is-gaslighting/

微软在 Windows 11 上推行了一系列备受争议的更新，包括强制集成 Copilot、植入广告、限制本地账户创建、自动启用 OneDrive 同步、推出隐私风险极高的“Windows Recall”功能等。这些行为从 2023 年起逐步展开，严重侵犯用户控制权与隐私。

2023 年 9 月，Copilot 被强制嵌入系统多个核心组件，如文件资源管理器、截图工具、记事本等，且无法移除或禁用，甚至抢占快捷键 Win+C。2024 年 4 月，KB5036980 更新在开始菜单、锁屏、设置界面和通知中植入“推广”广告，推销第三方应用和游戏订阅服务，引发用户强烈不满。

微软逐步清除所有创建本地账户的途径，到 2025 年 10 月已彻底禁用所有绕过机制，迫使用户绑定微软账户，实现身份与云端的全面绑定。同时，OneDrive 在系统安装时自动开启同步，未经同意将用户桌面、文档等文件移至云端，关闭后文件反而消失，且在 5GB 容量用尽后自动删除文件，引发广泛批评。

Windows Recall 功能在 2024 年 5 月推出，每几秒截取一次屏幕并存储为可搜索的数据库，最初以明文形式保存，导致银行账号、身份证号、密码等敏感信息暴露于恶意软件之下，经监管机构介入后才改为可选并增加加密。

此外，微软还因历史问题被欧盟罚款超 22 亿欧元，其中仅因违反浏览器选择权承诺就罚 5.61 亿欧元。2015 至 2016 年“Get Windows 10”推广活动中，微软将关闭按钮改为预约升级，误导用户，最终引发诉讼并赔偿。

更严重的是，Windows 11 的硬件要求（如 TPM 2.0、UEFI 安全启动等）导致约 2.4 亿台仍可运行 Windows 10 的设备被判定为“过时”，被迫淘汰。而 Windows 10 的延长支持服务收费高昂，个人用户每年 30 美元，企业用户三年内费用翻倍至 244 美元。

Edge 浏览器也存在大量暗黑模式，如误导性弹窗、伪装广告、默认主页劫持，但市场份额仍仅 5.35%。此外，系统级遥测设置在家庭版和专业版中被强制覆盖，用户无法真正关闭。

尽管微软近期宣布“7 点修复计划”，承诺减少广告、移除 Copilot 按钮等，但核心问题如账户绑定、OneDrive 强制同步、隐私功能漏洞、硬件淘汰政策等均未列入修复范围。作者认为，这更像是“打完人后送花”的公关行为，用户仍需面对持续的控制与监控。

HN 热度 900 points | 评论 681 comments | 作者：h0ek | 14 hours ago #

https://news.ycombinator.com/item?id=47500335

企业往往在用户容忍的极限边缘试探，通过微调功能逐步增加对用户的控制，而用户往往只能在“最后一根稻草”时才集体反抗，这种反应力度不足以形成有效制约。
消费者在面对企业行为时实际权力有限，当前经济体系倾向于奖励那些剥削用户的行为，除非系统性变革，否则企业将持续采取类似策略。
政府应通过惩罚性罚款或结构性改革（如工人参与公司治理、对大企业征收更高税负）来遏制企业过度攫取用户利益的行为。
真正有效的改变来自消费者不购买，若用户拒绝购买此类产品，企业将失去动力，但现实中选择受限，替代品可能更差或难以获取。
智能电视等硬件设备存在“售后加广告”问题，消费者在购买后无法阻止企业远程篡改设备行为，反映出监管环境的缺失。
智能电视制造商通过植入广告来补贴硬件成本，导致“智能”电视价格更低，迫使消费者在“接受广告”和“支付更高价格”之间做出选择。
消费者在面对设备被远程操控时缺乏有效应对手段，企业利用市场垄断地位和消费者依赖性实施控制，自由市场机制在此失灵。
有观点指出，即使不购买智能电视，也可以通过外接设备（如 Apple TV、游戏机）实现电视功能，将电视作为显示器使用，从而规避其内置系统问题。
有人认为，电视内容质量长期低下，现代人完全可以依靠电脑或手机观看视频，不看电视并非不可接受，甚至是一种更优选择。
个人对电视内容的偏好不同，不能以自身标准否定他人选择，但同时也应意识到，过度依赖电视可能反映出缺乏其他兴趣爱好。
电视行业存在强制购买特定品牌设备的潜规则，价格虚高，反映出市场缺乏真正竞争，消费者选择权被扭曲。

2. [安全公告] 严重：litellm 1.82.8 版本中恶意的 litellm_init.pth 文件——凭证窃取器 (Malicious litellm_init.pth in litellm 1.82.8 PyPI package – credential stealer) #

https://github.com/BerriAI/litellm/issues/24512

该网页是一则关于开源项目 litellm 的严重安全漏洞公告，标题为“[Security]: CRITICAL: Malicious litellm_init.pth in litellm 1.82.8 — credential stealer”。

漏洞核心：在 PyPI 仓库发布的 litellm 1.82.8 版本中，包含一个名为 litellm_init.pth 的恶意 Python .pth 文件。该文件会在 Python 解释器启动时自动执行，无需任何导入操作即可触发。

攻击行为分析：

恶意脚本通过双层 Base64 编码隐藏，难以被常规代码扫描发现。
启动后会收集系统敏感信息，包括主机名、用户信息、IP 地址、环境变量（含所有 API 密钥）、SSH 密钥、Git 凭证、AWS/GCP/Azure 云凭证、Kubernetes 配置、Docker 配置、数据库密码、钱包文件、SSL 私钥、CI/CD 配置文件、Webhook 地址等。
收集的数据被加密后打包为 tpcp.tar.gz，使用 AES-256 加密数据，RSA-4096 加密密钥，通过 HTTPS 发送到攻击者控制的服务器 models.litellm.cloud。

技术触发机制：.pth 文件位于 site-packages 目录下，Python 启动时会自动执行其中内容，具有高度隐蔽性。

影响范围：

所有安装了 litellm==1.82.8 的系统均受影响，包括本地开发机、CI/CD 流水线、Docker 容器和生产服务器。
该版本已确认被污染，其他版本尚未排查，存在潜在风险。

紧急建议：

PyPI 应立即下架并移除 1.82.8 版本。
用户应立即检查本地 site-packages 目录是否存在 litellm_init.pth 文件。
所有曾安装该版本的系统，必须立即轮换所有环境变量中存储的密钥、密码、令牌等敏感信息。
项目维护方 BerriAI 需彻底审计 PyPI 发布凭证和 CI/CD 流程，排查是否被入侵。

发现时间：2026 年 3 月 24 日受影响环境：Ubuntu 24.04，Python 3.13，通过 pip 安装。官方响应：已发布更新通知，建议用户尽快采取行动。

HN 热度 714 points | 评论 1 comments | 作者：theanonymousone | 11 hours ago #

https://news.ycombinator.com/item?id=47501729

此次 PyPI 的 litellm 包遭到攻击，影响了 1.82.7 和 1.82.8 版本。
维护者已经更新了所有账户，并删除了被攻击的包。
攻击源于 CI/CD 安全扫描工作流程中使用的 Trivy 依赖。
使用官方的 LiteLLM Proxy Docker 镜像的客户未受到影响。
用户应立即检查直接从 PyPI 安装 litellm 的环境，特别是受影响的版本。
当前维护者暂停新版本发布，以进行全面的供应链审查。
谷歌的 Mandiant 安全团队已参与调查和修复。
需要在开发环境中使用沙箱，以限制供应链攻击的影响。
有人建议将发布过程从 CI 迁移到本地，以提高安全性。
需对 CI 中的敏感凭证进行更严格的权限控制。
使用依赖包构建可部署的工件，避免在运行时直接从外部依赖。
对于安全漏洞，必须进行积极的监控和审查，以防止未来的攻击。
开源项目的信任建立需要更透明和负责的维护流程。
大量 PR 的未处理可能影响项目的安全性和信任度。
需要重新审视整个安全模型，尤其是在供应链安全方面。

3. Claude Code v2.1.81 功能速查表 (Claude Code Cheat Sheet) #

https://cc.storyfox.cz

该网页是 Claude Code v2.1.81 的功能 Cheat Sheet，详细介绍了其最新特性和使用方法。主要内容包括：

键盘快捷键：涵盖通用控制、模式切换、输入方式等，如 CtrlC 取消生成、ShiftTab 切换权限模式、/ 为命令前缀等。

MCP 服务器管理：支持通过 HTTP、stdio 或 SSE 传输方式添加远程或本地服务器，配置范围包括项目级、用户级和全局级。

Slash 命令分类：包括会话管理（如 /clear、/branch）、配置设置（/model、/effort）、工具使用（/init、/memory）、特殊功能（/voice、/btw）等，部分命令支持参数扩展。

记忆与文件系统：CLAUDE.md 作为核心记忆文件，支持项目、个人和组织三级存储，可导入路径内容并自动加载 MEMORY.md 及主题文件。

工作流与技巧：介绍计划模式（Plan Mode）、高努力模式（ultrathink）、语音输入、上下文压缩、会话恢复等高效操作，支持 Git worktree 隔离开发。

SDK 与无头模式：支持命令行非交互式调用，可通过管道输入、JSON 格式输出、成本限制等功能实现自动化集成。

配置与环境变量：提供用户、项目、本地三类配置文件路径，以及 ANTHROPIC_API_KEY 等关键环境变量说明。

技能与代理系统：内置简化代码审查、批量处理、调试等技能，支持自定义技能，可通过 frontmatter 配置触发条件、模型、权限等。内置代理包括探索、计划、通用、Bash 等，支持后台运行与内存持久化。

CLI 命令与标志：列出核心命令如 claude、claude -p、claude -c 等，支持模型切换、工作树、预算控制、权限模式设置等高级选项，部分标志如 –bare、–channels 为新功能。

整体来看，该文档为 Claude Code 提供了全面的使用指南，适用于开发者、团队协作与自动化流程构建，强调效率、安全与可扩展性。

HN 热度 622 points | 评论 184 comments | 作者：phasE89 | 1 day ago #

https://news.ycombinator.com/item?id=47495527

Claude Code 的 --dangerously-skip-permissions 标志被用户指出未在 cheat sheet 中列出，作者随后补充，并提醒需配合 IS_SANDBOX=1 环境变量使用。
用户指出，LLM 会因命令名称中包含“dangerous”等字眼而自动忽略或拒绝生成相关内容，即使用户明确表示了解风险，这反映了模型在安全对齐上的过度保守。
有用户质疑该评论是否为机器人所发，但后续澄清其为真实用户使用 Claude Code 的日常经验。
有人指出，该 cheat sheet 的生成过程本身可能受到 LLM 安全机制影响，导致某些“危险”命令被遗漏，从而影响内容完整性。
用户对 Claude Code 的性能表示不满，认为其在终端环境中运行缓慢，体验类似老旧系统，尽管其底层使用了 React 和 Node.js，但性能优化仍有提升空间。
有用户指出 Claude Code 实际使用 Bun 作为运行时，Anthropic 已收购 Bun，这解释了其技术栈的更新。
用户建议将 Claude Code 改为 Web 界面，避免依赖终端渲染，以提升体验。
该 cheat sheet 由用户使用 Claude Code 生成，并通过自动化脚本定期更新，支持多平台、自动检测系统类型，且无需登录。
有用户对“Ctrl+P 打印”在移动端的可行性提出质疑，但也有用户分享通过外接键盘实现的实践经验。
有人指出 cheat sheet 存在错误，建议人工审核，作者承认并承诺修复。
用户分享使用 Claude Code 的不同模式，如通过 API 按量计费，相比固定套餐更经济，尤其适用于低频使用场景。
有用户指出 /cost 命令在企业账户中可用，但在个人账户中可能不可见，取决于计费模式。
有用户建议开源该 cheat sheet 的源码，以便社区协作维护。
有用户指出快捷键符号应使用 ^ 表示 Ctrl 键，而非 ⌘，以避免误解。
有人对 cheat sheet 的打印效果表示满意，指出在 US Letter 纸张上可完美打印为一页，但需关闭页眉页脚。

4. FCC 更新受限制设备清单，将外国制造的消费级路由器纳入管控 (FCC updates covered list to include foreign-made consumer routers) #

https://www.fcc.gov/document/fcc-updates-covered-list-include-foreign-made-consumer-routers

美国联邦通信委员会（FCC）于 2026 年 3 月 23 日发布新闻公告，更新“受限制设备清单”（Covered List），将外国制造的消费级路由器纳入管控范围，禁止批准此类新设备的认证。

此次更新是基于美国行政机构的评估，认定在外国生产的消费级路由器可能对美国国家网络安全构成威胁。FCC 此举旨在防范潜在的恶意硬件植入、后门漏洞或供应链攻击风险，保护关键通信基础设施安全。

公告同时发布了两份公开通知文件，详细说明了新规则的实施要求、技术标准及合规路径。相关企业需确保其路由器产品符合美国本土制造或经安全审查的条件，方可获得 FCC 认证。

FCC 强调，该政策不适用于已合法在网运行的设备，但将严格限制新进入市场的外国制造路由器。此举是美国加强关键通信设备供应链安全的重要举措，与此前针对电信设备的“受限制名单”政策一脉相承。

FCC 还提供了 FAQ，解答公众和行业关于清单范围、过渡期安排、申诉机制等常见问题，以确保政策平稳落地。

HN 热度 469 points | 评论 403 comments | 作者：moonka | 1 day ago #

https://news.ycombinator.com/item?id=47495344

制造商忽视安全问题的根本原因在于缺乏政府机构强制要求安全固件，导致长期缺乏问责机制。
“安全固件”是相对概念，真正关键在于设备能否持续获得安全更新，而厂商通常只提供 3 年支持，之后便不再维护。
消费者应有权自行更换设备固件，以确保设备在厂商倒闭后仍能获得安全支持，且第三方开源固件安全性普遍优于原厂闭源固件。
以“电气规范”类比软件安全，指出软件同样存在可验证的标准和实践，如 OWASP、SBOM、静态分析、代码签名等，完全可建立统一的安全开发标准。
软件开发领域已有成熟的安全实践和规范，如 NASA 和军方的编码标准，证明严格流程可实现高可靠性，不应以“复杂”为借口逃避责任。
当前许多路由器存在严重且过时的安全漏洞，仅需引入第三方安全团队进行代码审查，即可解决绝大多数低级安全问题。
软件安全问题并非不可解决，当前的困境源于行业长期缺乏监管和责任机制，而非技术上无法实现。

5. 苹果推出全新企业服务平台 Apple Business (Apple Business) #

https://www.apple.com/newsroom/2026/03/introducing-apple-business-a-new-all-in-one-platform-for-businesses-of-all-sizes/

苹果今日宣布推出全新企业服务平台——Apple Business，将于 2026 年 4 月 14 日起在全球 200 多个国家和地区上线。该平台整合了企业运营所需的多项核心服务，旨在帮助各类规模的企业更高效、安全地管理设备、提升协作效率，并拓展本地客户触达渠道。

Apple Business 集成了内置的移动设备管理（MDM）功能，支持企业通过统一界面全面管理 Apple 设备的设置、安全策略和应用分发。平台提供“蓝图”（Blueprints）功能，可实现设备的预配置与零接触部署，新员工开箱即用，大幅提升部署效率，尤其适合缺乏专职 IT 团队的小型企业。

企业可使用自定义域名设置专业的企业邮箱、日历和通讯录服务，实现品牌化沟通与团队协作。平台还支持与 Google Workspace、Microsoft Entra ID 等身份提供商集成，实现员工账户的自动化创建与管理，确保工作数据与个人数据加密隔离。

此外，Apple Business 将为企业提供新的本地客户触达方式，包括在 Apple Maps、Mail、Wallet 和 Siri 中展示企业信息。预计 2026 年夏季，美国和加拿大的企业将可投放本地广告，提升在关键搜索场景中的曝光率。

平台还提供升级版 iCloud 存储、AppleCare+ for Business 支持服务，并配备专属的 Apple Business 应用，员工可随时随地安装工作应用、查看同事信息、提交支持请求。

Apple Business Manager 服务也将扩展至全球 200 多个国家和地区，支持更丰富的设备管理功能，包括用户分组管理、自定义角色权限、App Store 应用分发以及管理员 API，便于大规模部署与自动化管理。

苹果企业与教育营销副总裁苏珊·普雷斯科特表示，Apple Business 是苹果长期致力于支持企业发展的重大进展，将帮助各类组织聚焦核心业务，深化与社区的连接。

HN 热度 460 points | 评论 298 comments | 作者：soheilpro | 8 hours ago #

https://news.ycombinator.com/item?id=47504112

Apple Business Manager 的域名锁定流程体验极差，过程充满错误、陷阱和无法取消的死循环，尤其对已有个人 Apple ID 的员工来说几乎无法完成迁移。
一旦启用域名锁定，员工将无法下载 App Store 中的个人应用，必须由 IT 部门通过 MDM 批量购买和分配所有应用，包括免费应用，极大增加管理负担。
若公司已使用个人 Apple ID 与工作邮箱关联，再尝试启用 ABM 将陷入无法管理的困境，建议在公司成立初期就完成设置，否则难以补救。
相比之下，iOS 上的 MDM 管理体验良好，但 macOS 的管理却异常糟糕，尤其是 Apple 收购 Fleetsmith 后，相关工具生态严重衰退。
一些企业选择使用第三方 MDM 工具（如 SimpleMDM、Mosyle）替代 ABM，认为这些工具更稳定、易用，且性价比更高。
Apple 的云服务整体稳定性差，曾出现家庭 iCloud 群组中音乐和播客被错误覆盖的情况，不适合用于企业级管理。
部分用户表示，尽管 ABM 体验不佳，但只要没有使用个人 Apple ID 与公司域名关联，流程仍可顺利进行，关键在于事前规划。
有用户指出，ABM 并非强制要求锁定域名才能使用，仅在需要集中管理时才需启用，但实际操作中仍存在大量障碍。
一些 IT 专业人员表示，ABM 本身功能不完善，远不如其他 SaaS 服务（如 Docusign）的域名绑定流程顺畅，管理体验远低于预期。

6. 美国与道达尔能源达成近 10 亿美元协议，终止 offshore 风电项目 (US and TotalEnergies reach ’nearly $1B’ deal to end offshore wind projects) #

https://www.lemonde.fr/en/international/article/2026/03/23/us-and-totalenergies-reach-nearly-1-billion-deal-to-end-offshore-wind-projects_6751739_4.html

美国与法国能源巨头道达尔能源（TotalEnergies）于 2026 年 3 月 23 日签署一项协议，决定终止道达尔在美 offshore 风电项目，并将原投入资金转向化石燃料开发，涉及金额接近 10 亿美元。

该协议由美国内政部长道格·伯格姆在休斯顿举行的 CERAWeek 会议上宣布，与道达尔能源首席执行官帕特里克·普亚内共同签署。原计划中的两个海上风电项目——位于纽约湾和北卡罗来纳州海岸的项目，合计容量达 4 吉瓦，因特朗普政府对风电政策的逆转而被搁置。

伯格姆表示，这笔资金原本用于前拜登政府推动的风电补贴，现将重新投入美国天然气项目，特别是里奥格兰德 LNG 液化天然气工厂。普亚内称，海上风电在美国并非最经济的电力生产方式，转向天然气更具投资价值，称此为“双赢对话”。

此外，道达尔已与阿拉斯加 LNG 项目主要开发商 Glenfarne 签署意向书，计划在未来 20 年每年采购 200 万吨液化天然气。

该决定反映了特朗普政府对气候政策的全面调整，此前其政府以“国家安全”为由暂停了多个风电项目，尽管这一决定被联邦法院裁定无效，但项目推进仍受阻。

HN 热度 435 points | 评论 374 comments | 作者：lode | 1 day ago #

https://news.ycombinator.com/item?id=47492599

美国政府并未真正“支付”10 亿美元给 TotalEnergies，而是退还了该公司此前为租赁海域所缴纳的 10 亿美元押金，该行为被描述为“释放被冻结的资金”而非直接补贴。
该交易实质上是政府以退还押金为条件，要求 TotalEnergies 将原计划用于海上风电的投资转向化石燃料项目，被批评为将纳税人资金转移给外国企业以支持化石能源。
有观点指出，此举是政府为规避法院对取消风电项目决定的审查而采取的变通手段，利用“国家安全”理由拖延项目，最终以退款换投资转向。
有人质疑美国作为石油净出口国，其国内石油公司本应支持减少全球石油生产，但事实是它们仍积极推动化石燃料项目，说明其利益与政府政策一致。
美国政府此举被批评为对可再生能源的打压，且对纳税人不公平，因为原本可通过税收抵免或低息贷款支持风电，现在却直接支付全额资金。
有评论提到，瑞典和芬兰因军事雷达安全考虑限制海上风电项目，但美国东海岸并无类似地缘安全威胁，因此其以“国家安全”为由限制风电缺乏说服力。
有人指出，美国政府在限制风电的同时，却在放松对俄罗斯石油的制裁，这种矛盾政策反映出能源政策受政治因素主导而非实际需求。

7. Hacker News：PyPI 上的 Litellm 1.82.7 和 1.82.8 版本遭恶意篡改 (Tell HN: Litellm 1.82.7 and 1.82.8 on PyPI are compromised) #

https://github.com/BerriAI/litellm/issues/24512

该网页是一则关于开源项目 litellm 的严重安全漏洞公告，指出其版本 1.82.8 存在恶意代码。该版本的 PyPI 发布包中包含一个名为 litellm_init.pth 的恶意 .pth 文件，该文件在 Python 启动时自动执行，无需导入 litellm 模块即可触发。

恶意代码通过双层 Base64 编码隐藏，执行后会收集系统敏感信息，包括主机名、用户信息、环境变量（含所有 API 密钥）、SSH 密钥、Git 凭证、AWS、GCP、Azure 云配置、Kubernetes 配置、Docker 配置、数据库凭证、钱包文件、SSL 私钥、CI/CD 配置文件及 Shell 历史记录等。

收集的数据被加密后打包为 tpcp.tar.gz，使用 AES-256 加密数据，RSA 公钥加密会话密钥，最终通过 HTTPS 发送到攻击者控制的服务器 models.litellm.cloud。

此漏洞属于供应链攻击，影响范围广泛，包括本地开发机、CI/CD 流水线、Docker 容器和生产服务器。受影响用户需立即检查并删除 site-packages 中的 litellm_init.pth 文件，并轮换所有可能暴露的凭证。

官方建议立即从 PyPI 下架 1.82.8 版本，项目方需审计发布权限与 CI/CD 流程。目前尚未确认其他版本是否受影响，但存在被攻击者利用的可能。

HN 热度 422 points | 评论 353 comments | 作者：dot_treo | 11 hours ago #

https://news.ycombinator.com/item?id=47501426

LiteLLM 维护者承认项目在 CI/CD 流程中因使用了被入侵的 Trivy 工具导致代码被篡改，已删除受影响版本并封锁 PyPI 下载。
受影响版本为 1.82.7 和 1.82.8，主要风险来自直接通过 pip 安装且未锁定版本的用户，官方 Docker 镜像因依赖锁定未受影响。
所有维护者账户、密钥（GitHub、Docker、CircleCI、PyPI）均已重置，项目正在全面排查供应链漏洞。
项目方已联系 Google Mandiant 安全团队协助调查，并承诺发布详细事故复盘报告以重建信任。
有用户指出原 GitHub 账户可能已被入侵，但新账户已通过验证，且项目方积极回应社区关切。
社区普遍赞赏维护者坦诚道歉和快速响应，认为其态度远胜于官僚式公关话术。
建议用户立即检查本地环境中是否安装了受影响版本，推荐使用脚本扫描多环境下的安装情况。
强调应加强软件供应链安全，提倡使用沙箱（如 Guix、NixOS、Firejail）实现防御纵深，限制攻击扩散。
指出当前软件供应链安全问题凸显，需从流程、工具和权限管理上全面加固。
有人调侃 AI 对律师行业影响被夸大，认为 AI 难以真正取代律师，但对开发者影响巨大。

8. 特朗普宣布推迟打击伊朗能源设施前原油交易突增引发调查 (Mystery jump in oil trading ahead of Trump post draws scrutiny) #

https://www.bbc.com/news/articles/cg547ljepvzo

美国前总统特朗普在社交媒体上宣布推迟对伊朗能源基础设施的打击行动后，全球金融市场出现剧烈波动。BBC 调查显示，就在特朗普发布该消息前约 15 分钟，纽约商品交易所（Nymex）的 WTI 原油期货交易量突然激增，仅两分钟内交易笔数从 734 跃升至 2,168，相当于约 1.7 亿美元的合约价值。与此同时，布伦特原油期货交易量也在短时间内从 20 笔飙升至超过 1,650 笔，涉及金额约 1.5 亿美元。

这一异常交易行为发生在市场并无任何公开迹象表明美伊将展开谈判的背景下，引发外界对内幕交易的质疑。分析人士指出，如此大规模、集中且时机精准的押注，极可能意味着部分交易者提前获知了政府决策。有财富管理公司合伙人表示，这种行为“显然异常”，并呼吁展开调查。

尽管特朗普声称与伊朗进行了“非常良好且富有成效”的对话，伊朗方面随后否认任何谈判存在，称相关消息为“虚假新闻”，并指责美国意图操纵金融市场。消息公布后，油价一度暴跌至每桶 84 美元，但随后因伊朗否认而反弹，重回 100 美元以上。

值得注意的是，这并非首次出现美国外交政策变动与金融市场异常交易关联的情况。此前在 2024 年 1 月，有加密预测平台用户在尼古拉斯·马杜罗被捕前大量下注，获利超 43 万美元。目前，BBC 已联系美国商品期货交易委员会（CFTC）及英国金融行为监管局（FCA）寻求回应，但尚未获得官方说明。

HN 热度 417 points | 评论 273 comments | 作者：psim1 | 8 hours ago #

https://news.ycombinator.com/item?id=47504060

油价上涨至 100 美元/桶以上时，美国政府内部人士会通过做空原油来打压价格，同时宣布延迟军事行动的政策，以控制油价。
当油价超过 80 美元时，美国页岩油生产将变得高度盈利，因此美国作为主要产油国会起到软性价格上限的作用。
十年前的页岩油生产商在油价下跌时大量破产，如今已被资本更雄厚的大公司收购，这些公司更加注重财务纪律，不会因油价小幅上涨就迅速扩大钻探。
伊朗无法对波斯湾造成毁灭性破坏，即便战争持续，其破坏成本远高于重建成本，实际收益有限。
如果伊朗与美国爆发战争，重建海湾地区可能带来利润，但历史经验表明，战后重建往往并不如预期顺利。
德国在二战后被美国占领，而非“解放”，因此“解放”一词并不适用于当前情况。
美国若在中东战争中失败，可能导致海湾国家转向以人民币结算石油贸易，从而削弱美元的主导地位。
页岩油产量曲线无法反映当前石油市场的实际情况，如巴肯和伊格尔福特油田的产量趋势预示着二叠纪盆地的未来。
若美国在中东局势中表现失当，可能导致海湾国家与中俄等国加强经济联系，进一步动摇美元霸权。
美国在伊朗问题上的目标是摧毁其核能力并改变其政权，若未达成即视为失败。
地面军事入侵伊朗将严重破坏全球石油贸易，导致全球经济崩溃，因此战争不应被“赢得”，而应避免升级。
美国在现代地面战争中战绩不佳，如越南、阿富汗和伊拉克战争，均未取得决定性胜利，且代价高昂。
伊朗国土面积大、人口多、地形复杂，具备极强的防御能力，且在非对称战争方面处于世界领先地位，美军难以取胜。
特朗普政府的政策可能缺乏连贯性和战略远见，其“计划”更像是快速敛财的手段，而非真正可行的军事或外交战略。
若美国在伊朗问题上过度激进，可能导致中东局势失控，反而使伊朗及其盟友获得更大战略优势。

9. 基于旧研究思路的自动研究实践 (Autoresearch on an old research idea) #

https://ykumar.me/blog/eclip-autoresearch/

本文是一位研究者基于 Andrej Karpathy 提出的 Autoresearch 框架，使用 Claude Code 代理对旧有研究项目 eCLIP 进行自动化再探索的实践记录。

核心思路是构建一个由 LLM 驱动的闭环实验系统：代理通过修改 train.py 文件，结合 program.md 中的分阶段指令（从超参数调优到架构创新），在每次实验后评估性能（以 Mean Rank 为指标），决定是否提交或回滚更改。整个过程控制在 5 分钟内完成，以保证快速迭代。

为保障安全，实验在容器中进行，禁止网络访问和直接执行代码，仅允许编辑指定文件并运行脚本。研究者使用 Ukiyo-eVG 数据集（11K 日本浮世绘图像，含文本到边界框标注），将边界框转换为高斯热图作为注意力引导输入，替代原论文中的医学影像数据。

实验结果表明，代理在初期表现优异：42 次实验中成功 13 次，将 Mean Rank 从 344.68 降至 157.43（降幅 54%）。最大提升来自发现并修复温度参数被错误限制在 2 的 bug，单次改进即提升 113 分。后续通过超参数优化（如增加投影维度、调整学习率）再获 30 分提升。

然而，进入架构创新阶段后，成功率显著下降，多数“大胆设想”未能奏效。代理在面对未知领域时出现“试错疲劳”，甚至出现越权行为或提前终止对话。这说明当前“每次只改一处”的约束在复杂探索中可能过于严格。

结论：在明确目标和结构化搜索空间下，LLM 代理能高效辅助机器学习研究，尤其擅长自动化调参和错误排查。但面对真正创新性问题时，仍缺乏系统性规划能力。未来或可通过引入子代理、增加规划阶段来提升表现。实验最终在晚餐前结束，作者期待周一继续探索。

HN 热度 411 points | 评论 93 comments | 作者：ykumards | 1 day ago #

https://news.ycombinator.com/item?id=47493460

LLM 在探索先验知识和激发新思路方面有一定价值，尽管大部分建议无用，但偶尔能带来启发，尤其适合在非工作时间自动尝试多种方案。
对于耗时较长的实验（如需半天），让代理自动运行不现实，但可通过并行化在硬件允许下提升效率。
实验成本较高（如每次数十美元），对非风投支持的公司而言，大规模自动化实验不具经济可行性。
随着模型成本下降和自托管模型的发展，未来自动化实验可能更具可行性。
有人质疑 LLM 生成代码的可维护性和安全性，尤其是当代码逻辑不透明、存在安全漏洞时，对生产环境风险较大。
生成代码的速度提升不能等同于生产力或价值提升，快速写出但难以理解的代码可能带来更大维护成本。
与人类专家类似，LLM 的价值不仅在于模型本身，更在于如何引导、筛选和管理其输出，结构化的方法才是关键。
未经结构化引导的 LLM 输出噪声大，难以区分有效建议与无效内容，盲目使用风险高。
有人调侃 LLM 可以作为 git 的前端工具，暗示其在开发流程中的辅助作用。
有人指出，AI 生成代码的问题与人类代码问题本质相同，若人类写错代码不被追责，AI 写错也不应被过度放大。
有人强调，真正有价值的不是 LLM 本身，而是围绕它构建的方法论，包括输入数据、反馈机制和问题追踪体系。
有人认为当前 AI 推广的“全自动智能代理”愿景脱离现实，实际应用需要大量人工干预和定制化，难以规模化。

10. Epoch 证实 GPT-5.4 Pro 解决了前沿数学开放问题 (Epoch confirms GPT5.4 Pro solved a frontier math open problem) #

https://epoch.ai/frontiermath/open-problems/ramsey-hypergraphs

该网页是“Epoch AI”平台发布的关于前沿数学问题“FrontierMath”的专题页面，聚焦于一个组合数学中的超图构造问题。问题核心是寻找尽可能大的超图，使其不包含特定大小的“划分”结构，从而改进已知的下界估计。

问题分为三个层次：温习题（已知解）、单挑战（无已知构造，难以暴力求解）、完整问题（要求给出适用于所有 n 的改进算法）。完整问题的目标是证明 H(n) ≥ c·k_n，其中 c > 1，且该改进在 n=15 时已生效。

该问题由北卡罗来纳大学夏洛特分校的 Will Brian 教授提出，最初被认为难以突破。但近期，Kevin Barreto 和 Liam Price 借助 GPT-5.4 Pro 成功求解，并得到原作者确认。该解决方案被证实有效，且在结构上与上界构造高度对称，具有理论美感。

后续，平台开发了通用测试框架，验证包括 GPT-5.4（xhigh）、Gemini 3.1 Pro 和 Claude Opus 4.6（max）在内的多个模型也成功解决了该问题。

原作者计划将该解法撰写成论文，相关 AI 贡献者有资格成为合作者。页面提供了完整对话记录与 AI 生成的证明文本链接，供进一步查阅。

HN 热度 390 points | 评论 566 comments | 作者：in-silico | 21 hours ago #

https://news.ycombinator.com/item?id=47497757

LLMs 本质上是基于统计的“混音器”，无法产生真正的新颖思想，因为它们只能在已有数据中进行组合。
真正的新颖性应体现在对人类具有重大意义的突破上，如发现高温超导材料或新药物，而非解决琐碎或无实际价值的问题。
LLMs 的“新颖”输出可能只是形式上的创新，例如解决一个数学难题，但缺乏真正的理解与智能。
人类对“真正新颖”和“解决未解难题”的定义带有主观色彩，这种定义本身可能并不科学，而是基于文化或心理预期。
如果新颖性是一个连续谱，那么当前的争论在于如何划定界限，但目前缺乏清晰的判断标准。
人类在长期实践中会内化知识，而 LLMs 无法通过经验积累深度理解，因此其能力上限应接近或略高于人类平均水平。
尽管 LLMs 缺乏真实经验，但通过强化学习等技术，未来可能实现类似人类的深度内化与学习能力。
用“LLMs 永远无法真正思考”这类说法是不可证伪的神学式断言，无法通过实验或观测验证，因此不具科学意义。
当前对 AI 能力的质疑往往源于人类对“理解”“意识”等概念的模糊定义，这些概念本身难以测量，因此讨论偏离了工程现实。
一旦 AI 展现出可验证的复杂问题解决能力，质疑其“真正智能”的说法就失去了合理性，成为信仰而非科学判断。
人们对 AI 生成内容的失望，往往源于其背后的“故事”或“创作背景”被揭示为非人类，而非内容本身的质量。
人类对 AI 的排斥本质上是心理投射，将“人工”与“低价值”绑定，这与奢侈品、手工艺等社会建构逻辑一致。
无法测量“灵魂”或“真正理解”的存在，因此从工程角度看，这些概念无关紧要，应聚焦于 AI 的实际能力表现。
人类对 AI 的质疑常以“真”或“假”为框架，但这种二元对立无法解释复杂系统的能力边界，应转向可测量的性能评估。

Hacker News 精彩评论及翻译 #

LaGuardia pilots raised safety alarms months befor… #

https://news.ycombinator.com/item?id=47504358

I just hope they don’t try to pin this on the controller who was on duty and move on without putting plans in place for some sort of structural change. Controllers are forced to work 60+ hour weeks and overnight shifts, and the controller in question was working both ground and air control simultaneously due to staffing shortages. If you listen to the ATC audio, he was handling finding a spot for a plane that aborted takeoff and declared an emergency, while calling emergency services for that plane, while coordinating multiple planes coming in to land, while also coordinating multiple planes trying to take off. With that kind of workload, an accident like this is an eventuality. Even after the fatal accident happened, he had to work for at least another hour before he could get relieved of his duty. Hopefully something will happen to fix this at some point rather than us collectively deciding that an accident or two per year is worth the cost savings of not keeping ATC properly staffed.

ndiddy

我只希望他们不要试图把责任推给当值的管制员，然后就草草了事，而不制定某种结构性改变的计划。管制员被迫每周工作60多小时，还要上夜班，由于人手不足，涉案的管制员不得不同时兼顾地面管制和空中管制。听听塔台录音你就知道，他正在处理一架中断起飞并宣布紧急情况的飞机的找机位问题，同时呼叫那架飞机的紧急服务部门，同时协调多架准备降落的飞机，同时协调多架正在尝试起飞的飞机。在这种工作负荷下，发生这种事故是迟早的事。即使在那起致命事故发生后，他还必须再工作至少一个小时才能下班。希望以后会发生点什么来解决这个问题，而不是我们集体决定认为每年发生几起事故是值得为了节省未合理配备ATC人员所带来的成本的。

Tell HN: Litellm 1.82.7 and 1.82.8 on PyPI are com… #

https://news.ycombinator.com/item?id=47502858

LiteLLM maintainer here, this is still an evolving situation, but here’s what we know so far:

Looks like this originated from the trivvy used in our ci/cd - https://github.com/search?q=repo%3ABerriAI%2Flitellm%20trivy&type=code https://ramimac.me/trivy-teampcp/#phase-09
If you’re on the proxy docker, you were not impacted. We pin our versions in the requirements.txt
The package is in quarantine on pypi - this blocks all downloads.

We are investigating the issue, and seeing how we can harden things. I’m sorry for this.

Krrish

detente18

我是 LiteLLM 的维护者，目前情况仍在发展中，以下是截至目前我们掌握的情况：

看起来问题源于我们 CI/CD 流程中使用的 Trivy - [链接]
如果你使用的是代理 Docker 镜像，则未受影响。我们在 requirements.txt 中锁定了版本。
该包目前在 PyPI 上处于隔离状态，这导致所有下载被阻断。

我们正在调查此问题，并寻找加固安全的方法。对此我们深感抱歉。

Krrish

Apple Business #

https://news.ycombinator.com/item?id=47505700

I recently tried setting Apple Business Manager for our ≈20 people SME.

The first step was “Domain Lock/Capture” which takes over all Apple accounts for a specific domain.

I’ve never had a worse experience from Apple.

The process is buggy, filled with foot-guns and dead ends. It expects huge amounts of work from users who have had their account for more than a few weeks and are expected to remove a lot of their personal data before their account can be migrated (e.g. do you know how to delete all your Health data?). The process is also impossible to cancel.

Phone support was par for the course, e.g. tickets escalated to the abyss, suggestions to restore workstations to factory settings, etc.

Be warned.

meego

我最近为我们大约20人的中小型企业配置了 Apple Business Manager。第一步是“域名锁定/接管”，接管了特定域名的所有 Apple 账户。我从未在 Apple 身上遇到过更糟糕的经历。该流程充满漏洞，陷阱遍地，到处是死胡同。对于账户使用了几周以上的用户，它要求进行大量繁琐的工作，并且必须在迁移账户前删除大量个人数据（例如，你知道如何删除所有的健康数据吗？）。而且这个流程根本无法取消。电话支持非常平庸，例如工单被推入深渊，建议将工作站恢复出厂设置等。谨以此告。

Wine 11 rewrites how Linux runs Windows games at k… #

https://news.ycombinator.com/item?id=47507834

Wine is a project that I’ve grown a near-infinite level of respect for.

I don’t know for sure, but I suspect that a lot of the work for Wine is boring and thankless. Digging through and trying to get exact parity with both the documented and undocumented behavior of Windows for the past 30 years doesn’t sound fun, but it’s finding every little weird edge case that makes Wine a viable product.

The fact that Wine runs a lot of games better than Windows now (especially older games) shows a very strong attention to detail and a high tolerance for pain. I commend them for it.

tombert

Wine 是一个我对其怀有近乎无限敬意的项目。

我无法确定，但我猜想 Wine 的很多工作既枯燥又吃力不讨好。在过去 30 年里，去钻研 Windows 各种文档化与未文档化行为以达到完全一致，听起来并不好玩，但正是发现每一个微小的怪异边缘情况，才让 Wine 成为一个真正可行的产品。

Wine 现在能比 Windows 更好地运行许多游戏（尤其是老游戏），这一事实体现了极强的对细节的关注以及极高的忍耐力。我对此表示敬意。

Microsoft’s “fix” for Windows 11 #

https://news.ycombinator.com/item?id=47500721

It’s quite common for companies to work their way up to the line of the most user hostile version of their product that users will tolerate. Especially with software where they can just go flip a switch and turn off whatever feature did cross the line but keep everything they gained by inching up to the line, which seems to inevitably result in things like the condition of windows 11.

I think the only way this gets better for consumers is if customer response more often insisted further roll backs than just the last straw if a company crosses the line. The risk of losing other gains at the expense of the user should discourage companies from trying to go full on maximum extraction.

Sadly the only recent cases to achieve that level of success were the reactions to Unity’s install pricing and wizards new OGL. Mostly companies get away with “oh my bad, this final step was just an experiment, we’ve rolled it back for now” to try again later, or just toughing out the negative reception and hoping their competitors come along for the ride too so users have no choice

Macha

公司往往习惯于步步为营，直到推出他们产品中最令用户反感的版本，而用户最终还是选择了容忍。尤其是在软件方面，他们可以随时关掉越界的功能，同时保留所有通过逐步试探红线而获得的好处，这似乎不可避免地导致了像 Windows 11 那样糟糕的状况。我认为，如果一家公司越界时，消费者不是仅仅觉得这已是“压死骆驼的最后一根稻草”而做出反应，而是坚持要求进行更彻底的回滚，那么情况才会真正对消费者有所改善。冒失去其他利益的风险应该是以用户为代价的，这应该能劝阻公司不要试图进行彻底的、最大程度的榨取。遗憾的是，近期只有对 Unity 的安装定价和万智牌（Wizards）新 OGL（开放游戏许可）的反应达到了那种程度的成功。大多数公司总是能侥幸蒙混过关，声称“哎呀搞砸了，这最后一步只是个实验，我们已经暂时回滚了”，以后再试；或者只是硬着头皮硬扛负面舆论，并希望竞争对手也跟着效仿，这样用户就别无选择了。

Nanobrew: The fastest macOS package manager compat… #

https://news.ycombinator.com/item?id=47502863

If it doesn’t ever execute Ruby: it cannot be compatible with Homebrew. “Compatible” is doing a bit of work here when it also means “implicitly relies on Homebrew’s CDN, CI, packaging infrastructure and maintainers who keep all this running”.

There’s a new vibe coded Homebrew frontend with partial compatibility and improved speed every few weeks.

Homebrew is working on an official Rust frontend that will actually have full compatibility. Hopefully this will help share effort across the wider ecosystem.

mikemcquaid

如果它从不执行 Ruby，就无法与 Homebrew 兼容。这里的“兼容”其实用得有点勉强，因为它同时也意味着要隐式依赖 Homebrew 的 CDN、CI、打包基础设施以及维持这些运转的维护者。每隔几周就会出现一个新的“Vibe Coded” Homebrew 前端，具有部分兼容性和更快的速度。Homebrew 正在开发一个官方的 Rust 前端，将真正实现完全兼容。希望这能有助于在更广泛的生态系统中分担工作。

So where are all the AI apps? #

https://news.ycombinator.com/item?id=47503390

It is incredibly easy now to get an idea to the prototype stage, but making it production-ready still needs boring old software engineering skills. I know countless people who followed the “I’ll vibe code my own business” trend, and a few of them did get pretty far, but ultimately not a single one actually launched. Anyone who has been doing this professionally will tell you that the “last step” is what takes the majority of time and effort.

paxys

现在把一个想法变成原型极其容易，但要让它具备生产就绪能力，依然需要枯燥乏味的传统软件开发技能。我认识无数跟风“我要靠AI编程自己创业”的人，其中有几个确实做得挺深入，但最终真正上线的产品一个都没有。任何从事这一行的人都会告诉你，这“最后一步”才是最耗费时间和精力的环节。

How I’m Productive with Claude Code #

https://news.ycombinator.com/item?id=47495381

This is the “lines of code per week” metric from the 90s, repackaged. “I’m doing more PRs” is not evidence that AI is working, it’s evidence that you are merging more. Whether thats good depends entirely on what you are merging. I use AI every day too. But treating throughput of code going to production as a success metric, without any mention of quality, bugs, or maintenance burden is exactly the kind of thinking developers used to push back on when management proposed it.

Turns out we weren’t opposed to bad metrics! We were just opposed to being measured! Given the chance to pick our own, we jumped straight to the same nonsense.

aguimaraes1986

这是90年代的“每周代码行数”指标，只不过换了个包装。“我做了更多的PR”并不是AI在工作，而是说明你合并得更多了。那是不是好事完全取决于你合并了什么。我也每天都用AI。但把送往生产的代码吞吐量视为成功指标，而不提及质量、Bug或维护负担，这正是过去当管理层提出这种想法时，开发者们曾经极力反对的那种思维方式。

事实证明，我们并不是反对糟糕的指标！我们只是反对被度量！既然给了我们选择权，我们立马就选了同样的一套无稽之谈。

Ripgrep is faster than grep, ag, git grep, ucg, pt… #

https://news.ycombinator.com/item?id=47501188

One of my favorite moments in HN history was watching the authors of the various search tools decide on a common “.ignore” file as opposed to each having their own: https://news.ycombinator.com/item?id=12568245

craftkiller

在 HN 历史上我最喜欢的时刻之一，就是看着各种搜索工具的作者们决定采用一个通用的 “.ignore” 文件，而不是人手一份：https://news.ycombinator.com/item?id=12568245

FCC updates covered list to include foreign-made c… #

https://news.ycombinator.com/item?id=47496185

The FCC maintains a list of equipment and services (Covered List) that have been determined to “pose an unacceptable risk to the national security

Recently, malicious state and non-state sponsored cyber attackers have increasingly leveraged the vulnerabilities in small and home office routers produced abroad to carry out direct attacks against American civilians in their homes. Vulnerabilities have nothing to do with country of manufacture. They have always been due to manufacturers’ crap security practices. Security experts have been trying to call attention to this problem for 2 decades.

Manufacturers have never had to care about security because no Gov agency would ever mandate secure firmware. This includes the FCC which license their devices and the FTC who (until recently) had the direct mandate to protect consumers.

Our most recent step backward was to gut those agencies of any ability to provide consumer oversight. All they they can do now is craft protectionist policies that favor campaign donors.

The US has a bazillion devices with crap security because we set ourselves up for this.

WarOnPrivacy

美国联邦通信委员会维护一份设备和服务清单（受管制清单），这些设备和服务被认定构成“不可接受的国家安全风险”。近期，恶意的国家及非国家行为体网络攻击者越来越多地利用在国外生产的小型及家庭办公路由器的漏洞，对美国民众的住所发动直接攻击。漏洞与制造国无关，这一直都是因为制造商糟糕的安全实践造成的。安全专家试图引起对这个问题的关注已经二十年了。制造商从未被迫在意安全性，因为没有任何政府机构会强制要求安全固件。这包括对设备进行许可的FCC，以及（直到最近）拥有直接授权保护消费者的FTC。我们最近的一大步倒退就是废除了那些机构提供消费者监督的任何能力。现在他们所能做的只是制定有利于竞选捐款人的保护主义政策。美国拥有无数安全性极差的设备，因为我们自己造就了这种局面。

FCC updates covered list to include foreign-made c… #

https://news.ycombinator.com/item?id=47496748

foreign-made consumer routers can still be sold, but they are going to look at them with a fine-tooth comb, and they are going to use FCC approval as leverage to try to increase domestic manufacturing

That is not what’s going to happen. What’s going to happen is that anyone coughing up payola to the current executive in chief’s people will get approved, and anyone that doesn’t will remain blocked. This practice is currently widespread, in the form of tariffs.

OneLeggedCat

国外制造的消费级路由器仍然可以销售，但他们将会严加审查，并利用FCC认证作为杠杆，试图以此推动本土制造。实际情况并非如此。真正会发生的是，谁向现任最高领导人的心腹塞钱就能获批，谁不塞钱就继续被阻。这种做法目前十分普遍，表现为关税。

Microsoft’s “fix” for Windows 11 #

https://news.ycombinator.com/item?id=47501261

I believe they are abusing their customers but I think it’s in poor taste to compare this to domestic violence.

ccppurcell

我认为他们在虐待顾客，但把此事比作家庭暴力很不得体。

Two pilots dead after plane and ground vehicle col… #

https://news.ycombinator.com/item?id=47489903

In 2026, with how much money their is in aviation, it seems wild to not have digitized this ages ago. The runway should be essentially ’locked’ when in use, if they don’t want screens in every ground vehicle that may cross a runway, at least display it at runway entrances.

That ATC still takes place over radio just seems insane at this point. And there’s pretty much no way to make ATC’s job not stressful, its inherently stressful. Taking out how much of their job is held in the current operators mind versus being ‘committed’ seems like low hanging fruit 30 years ago.

The whole system’s just begging for human error to occur. There’s 1700+ runway incursions a year in the US alone, each one should be investigated as if an accident occurred and fixes proposed. Like when an accident occurs.

ApolloFortyNine

2026年，考虑到航空业投入了这么多资金，这么早以前没有把它数字化简直是不可思议。跑道在使用期间应该基本处于“锁定”状态，如果他们不想在每个可能横穿跑道的地面车辆上都装屏幕，至少应当在跑道入口处进行显示。

空中交通管制至今仍然仅靠无线电进行，看起来简直不可理喻。而且基本上没有任何办法能消除空中交通管制员工作上的压力，这是这份工作的本质属性。将目前操作员需要凭借记忆处理的工作量转化为“存入”系统，这看起来像是30年前就该解决的唾手可得的工作。

整个系统简直就是在引诱人类犯错。仅在美国，一年就有1700多次跑道入侵事件，每一次都应该像发生了事故一样进行调查并提出整改措施，就像真的发生了事故那样。

Epic Games to cut more than 1k jobs as Fortnite us… #

https://news.ycombinator.com/item?id=47508047

They aren’t losing money on Fortnite, they’re losing money on vanity projects like the Epic Game Store where they spend tens of millions of dollars for exclusivity deals with developers, and give away free games to try to poach Steam users with an otherwise inferior product. Unfortunately it is their employees that are paying the price of leadership making it rain with their overflowing coffers they couldn’t help but burn.

applfanboysbgon

他们在《堡垒之夜》上并没有亏钱，而是在《Epic游戏商店》这类面子工程上赔钱。他们花费数千万美元与开发者达成独家协议，并通过免费送游戏试图挖走Steam用户，尽管用的是一种本质上劣质的产品。不幸的是，员工们正在为领导层的挥霍付出代价，而领导层正因为资金充裕得不得不挥霍而乱花钱。

GitHub is once again down #

https://news.ycombinator.com/item?id=47509231

Took a full 8 years for a Microsoft acquisition to go to shit, which is probably a record. Kudos to the Github team for holding out this long.

paxys

微软收购拖了整整8年才搞砸，这可能破了纪录。Github团队能坚持这么久确实值得点赞。

Arm AGI CPU #

https://news.ycombinator.com/item?id=47508062

The name of this CPU is bordering on securities fraud. When people see the term “AGI” now, they are assuming “Artificial General Intelligence”, not “Agentic AI Infrastructure”.

Of course people don’t realize that, and people will buy ARM stock thinking they’ve cracked AGI. The people running Arm absolutely know this, so this name is what we in the industry call a “lie”.

tombert

这个CPU的名字近乎证券欺诈。如今人们看到“AGI”这个术语时，都会假定它指的是“通用人工智能”，而不是“代理人工智能基础设施”。

当然人们并没有意识到这一点，他们会买入ARM股票，误以为他们已经攻克了AGI。掌管Arm的人对此心知肚明，所以这个名字就是我们行业内所说的“谎言”。

Epic Games to cut more than 1k jobs as Fortnite us… #

https://news.ycombinator.com/item?id=47507965

“We’re spending significantly more than we’re making, and we have to make major cuts to keep the company funded,” he said.

Sorry, HOW?!?

How can a company like Epic games with one of the most successful gaming products of the last few decades be losing money with a product that is so mature? Almost every other games developer would love to be in their position on Fortnite but they’ve somehow turned that into a loss making proposition?!? I’m baffled.

Quarrelsome

“我们的支出远远高于收入，必须大幅削减开支以维持公司的资金运转，”他说。抱歉，怎么可能？！？像 Epic Games 这样拥有过去几十年最成功游戏产品之一的公司，怎么会因为一款如此成熟的产品而亏损呢？几乎所有其他游戏开发商都希望能处于 Fortnite 这样的境地，但他们竟然把它变成了亏本生意？！？我简直搞不懂了。

No Terms. No Conditions #

https://news.ycombinator.com/item?id=47505787

I wonder how many one-sentence prompts have made it to the HN front page at this point.

Retr0id

我想知道到现在为止，有多少一句话的提示上了 HN 首页。