2026 04 15 HackerNews

2026-04-15 Hacker News Top Stories #

  1. 有人收购30余款WordPress插件植入后门,通过wpos-analytics向wp-config.php注入并用以太坊合约充当C2投放SEO垃圾,虽官方紧急更新和下架仍未清理配置,暴露插件供应链巨大风险。
  2. DaVinci Resolve 新增 Photo 页将节点式调色引入静态照片,兼容多相机与工作流并提供AI/GPU/协作等强力功能,定价友好但对 Linux 支持与免费版功能仍有限。
  3. Backblaze 悄然将 OneDrive/Dropbox/.git 等目录排除在“无限制备份”之外且未告知,忽视“同步≠备份”的需求并引发用户对数据安全与信任的担忧。
  4. GitHub 推出 Stacked PRs 将大改拆成有序堆栈并配套 gh stack/自动变基以提升评审与合并效率,同时也引发对 Git 在大仓库与 Phabricator/Mercurial/Sapling 等工具优劣的讨论。
  5. 谷歌将“后退按钮劫持”纳入垃圾政策并自2026-06-15起处罚,促站点移除相关脚本,用户亦抱怨网站劫持快捷键/右键与前端路由导致的差劲体验。
  6. 互联网档案馆正数字化并公开上万盘稀有现场录音,志愿者修复编目保存音乐史之余也掀起对录音合法性、乐队默许与版权期限应缩短的讨论。
  7. Jujutsu(jj)以可变提交和无需命名分支的工作流提供比 Git 更灵活的拆合变更与协作(兼容 Git 后端),但时间戳等语义差异需与 Git 生态磨合。
  8. 西班牙授权在体育与电影直播时段实施域名/URL/IP 动态封锁以打击盗播,却可能殃及中小 ISP 与合法站点并与欧盟网络中立和无地理封锁原则冲突。
  9. Claude Code 例程可按计划或事件自动运行具会话与改码/发PR能力的代理流水线,但用户担心平台锁定与不透明记忆,倾向用可替代的独立引擎降低依赖。
  10. 对 zlib 核心经 Lean 形式化验证后未现缺陷,模糊测试却在运行时与未验证解析器中发现溢出与 DoS,提示证明能强固核心但边界组件与规范仍是风险源。

1. 有人购买了 30 个 WordPress 插件并在所有插件中植入了后门 (Someone bought 30 WordPress plugins and planted a backdoor in all of them) #

https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/

这篇文章讲述了一个大规模的 WordPress 插件供应链攻击事件。攻击者通过购买一个包含 30 多个插件的插件组合,在所有插件中植入了后门代码,导致大量网站被感染。

事件起因是一个客户在 WordPress 后台收到了安全警告,指出插件“Countdown Timer Ultimate”中存在可能允许未经授权访问的代码。调查发现,恶意代码隐藏在 wp-config.php 文件中,通过插件的 wpos-analytics 模块联系攻击者服务器,下载伪装成核心文件的后门文件,并注入大量 PHP 代码。该代码能够向 Googlebot 展示垃圾链接和假页面,但对网站管理员隐藏,且其命令控制服务器域名通过以太坊智能合约解析,传统封禁手段无效。

虽然 WordPress.org 发布了 2.6.9.1 版本强制更新,关闭了插件的“电话回家”功能,但未清理 wp-config.php 中的恶意代码,导致 SEO 垃圾内容仍在传播。通过备份文件分析,注入发生在 2026 年 4 月 6 日,后门在植入后沉睡了 8 个月才被激活。

该插件原由印度团队“WP Online Support”开发,后更名为“Essential Plugin”,拥有 30 多个插件。因收入下降,团队在 Flippa 平台以六位数价格将整个业务出售给一名代号“Kris”的买家。买家背景涉及 SEO、加密货币和在线赌博营销。买家首次提交的代码即植入了反序列化远程代码执行后门,伪装成兼容性更新。

2026 年 4 月 7 日,WordPress.org 插件团队关闭了所有 31 个受影响插件账号,并强制自动更新清理部分后门代码。所有插件现已从官方库中移除,相关恶意服务器也返回关闭信息。

此次事件揭示了插件供应链安全风险,提醒用户警惕插件来源和更新,及时备份和安全审计,防止类似攻击造成严重损失。

HN 热度 1145 points | 评论 319 comments | 作者:speckx | 1 day ago #

https://news.ycombinator.com/item?id=47755629

  • 自动化漏洞发现技术会带来影响,但加密货币对信息安全威胁更大,恶意攻击已成为巨额产业,攻击者可以通过收购软件或贿赂员工实现入侵。
  • 现有软件普遍存在大量漏洞,几乎每个技术栈和系统都难免有 bug,完全无 bug 的软件几乎是神话。
  • 虽然高安全性、低 bug 的软件在航天、医疗等领域存在,但成本极高,普通软件难以承受。
  • 社会工程攻击依然是安全的主要威胁,技术防护再强也难以阻止人为被骗。
  • 航空航天和医疗设备软件也存在 bug,且规范本身也可能有缺陷,导致软件难以完全无误。
  • 关键系统的软件 bug 通常会被记录且不易导致重大故障,但仍不可忽视。
  • 软件设计中会考虑已知 bug 的存在,通过冗余等手段保证系统可靠性。
  • 语言设计(如 Python)通过防止内存漏洞减少安全风险。
  • 成本是软件安全和质量的重要限制因素,安全性和可靠性是需要权衡的参数。
  • 追求绝对安全会导致成本极高且产品功能受限,安全应视为一种权衡和折衷。
  • 安全和隐私带来用户体验上的负担和复杂性,类似于穿戴防弹衣的权衡,不同场景需不同安全级别。

2. DaVinci Resolve——照片页面 (DaVinci Resolve – Photo) #

https://www.blackmagicdesign.com/products/davinciresolve/photo

该网页介绍了 DaVinci Resolve 软件中新推出的 Photo 页面功能,专为静态照片的高级色彩处理设计。Photo 页面将好莱坞级别的色彩工具引入摄影领域,适合专业调色师和摄影师使用,支持从基础的白平衡、曝光、主色调整,到复杂的节点式色彩分级,远超传统照片处理软件的图层方式。

Photo 页面支持多种相机 RAW 格式,包括佳能、富士、尼康、索尼及 iPhone ProRAW,处理分辨率最高可达 32K 或 400 多百万像素,确保图像质量不受限制。用户可以非破坏性地进行裁剪、变换和重新构图,所有调整均可随时修改或重置。

该页面还具备强大的图像管理功能,支持从 Apple Photos 和 Lightroom 导入照片,利用标签、评分、关键词等方式高效管理大型图库。AI 智能搜索功能可快速定位特定对象或人物,专辑功能方便用户按日期、相机型号、评分等条件分类照片,并支持多版本色彩分级管理。

Photo 页面支持索尼和佳能相机的实时连接,实现现场拍摄的实时预览和色彩调整,拍摄的照片可直接导入指定专辑,方便即时分级和整理。GPU 加速技术大幅提升处理速度,适合处理整套照片集。

此外,Photo 页面提供超过 100 种 GPU 和 CPU 加速的 Resolve FX 和 AI 工具,涵盖色彩效果、模糊、光晕、图像修复、皮肤细化及电影灯光效果等,均为好莱坞专业调色和视觉特效制作所用工具,极大丰富了静态照片的创作可能性。

DaVinci Resolve 还支持基于云的协作功能,允许全球团队实时共享和同步照片库、元数据、色彩分级和效果,远程审核和批准调色方案,实现跨地域的高效协作。

HN 热度 1048 points | 评论 262 comments | 作者:thebiblelover7 | 22 hours ago #

https://news.ycombinator.com/item?id=47760529

  • DaVinci Resolve 在色彩编辑方面功能强大,许多用户希望这些功能能应用到照片编辑软件中。
  • 视频编辑软件在技术和创意方面更为先进,摄影软件相对保守和滞后。
  • 视频制作预算通常远高于摄影,电影制作团队庞大且专业分工细致。
  • 摄影市场规模远大于电影和视频制作,专业摄影师数量更多,且摄影师收费普遍高于视频制作者。
  • 大型影视项目的后期制作软件主要由专业编辑和调色师使用,DaVinci Resolve 并非电影行业唯一主流软件。
  • DaVinci Resolve 的定价合理,免费版本功能已满足大多数用户需求,专业版功能面向高端项目。
  • 视频编辑软件厂商与用户之间的沟通更密切,推动了技术和功能的快速发展。
  • 电影行业预算大部分花费在演员和拍摄环节,后期编辑团队预算相对较少。
  • 黑魔法设计公司主要收入来源是大量小型视频制作团队和内容创作者,而非好莱坞电影。
  • 摄影广告拍摄预算有时也非常高,达到百万美元级别。
  • 视频制作人员通常具备较强的技术背景,而部分摄影师对色彩科学和数据格式了解不足。
  • Linux 平台对 DaVinci Resolve 的支持有限,免费版在某些功能上有使用限制。

3. Backblaze 已停止备份 OneDrive 和 Dropbox 文件夹,可能还有其他文件夹 (Backblaze has stopped backing up OneDrive and Dropbox folders and maybe others) #

https://rareese.com/posts/backblaze/

这篇文章是作者对备份服务商 Backblaze 的深度批评和失望回顾。作者从 2015 年开始使用 Backblaze,最初对其无限存储和可靠的备份服务非常认可,曾多次推荐给朋友和同事。Backblaze 曾成功帮助作者恢复过硬盘故障导致的数据,证明其服务有效。

然而,作者发现 Backblaze 在近几年悄然改变了备份策略,开始排除某些重要文件夹和类型,比如.git 文件夹、OneDrive 和 Dropbox 文件夹等。这些文件夹不再被备份,且用户并未收到任何通知或警告。作者指出,OneDrive 和 Dropbox 是同步工具,不等同于备份,且它们的文件保留时间和版本控制远不及 Backblaze,依赖它们无法保证数据安全。

Backblaze 在更新日志中提到此举是为了避免性能问题和过度数据使用,但作者认为这是服务质量的大幅倒退。更糟糕的是,Backblaze 并未在其排除列表中公开这些限制,用户无法主动知晓或调整。作者担忧未来可能会有更多文件类型被排除,且用户依然不被告知。

文章最后强调,Backblaze 曾承诺备份所有用户数据,无限制文件类型和大小,但如今背离了这一承诺,严重损害了用户信任。作者写这篇文章是为了警示用户,Backblaze 已不再全面备份用户数据,服务实质上大打折扣。

HN 热度 942 points | 评论 576 comments | 作者:rrreese | 16 hours ago #

https://news.ycombinator.com/item?id=47762864

  • Backblaze 停止备份 OneDrive 和 Dropbox 文件夹导致用户无法恢复被覆盖的文件,用户对此政策变更未被通知感到失望。
  • 许多用户依赖 Backblaze 备份本地数据,即使数据已同步到云端,因为同步服务不够可靠,备份仍然必要。
  • 双向自动文件同步存在文件被错误覆盖的风险,导致文件混乱,部分用户认为这种同步模式本质上有问题。
  • 也有用户认为普通用户能接受同步服务的“最后写入者胜出”机制,并能通过界面找回旧版本,实际使用中并非完全混乱。
  • OneDrive 存在文件回退到旧版本的长期未解决 bug,且路径长度限制也给用户带来困扰。
  • 云存储中文件路径过长可能导致本地文件系统不兼容,必须设置合理限制。
  • 有观点认为应根据实际存储数据量收费,而非文件名长度或路径长度,以避免滥用和复杂计费。
  • 备份和同步服务的使用者多为非技术用户,他们更看重易用性和产品的整体便利性,而非自行搭建复杂系统。

4. GitHub 堆叠式拉取请求 (GitHub Stacked PRs) #

https://github.github.com/gh-stack/

GitHub Stacked PRs 是一个用于将大型代码变更拆分成多个小且可独立审查的拉取请求(PR)的工具,支持在 GitHub 上原生使用,并配合 gh stack 命令行工具进行管理。通过将多个 PR 按顺序排列成“堆栈”,每个 PR 依赖于下一个,最终合并到主分支,简化了代码审查和合并流程。

该工具的优势在于解决大型 PR 审查困难、合并缓慢及冲突频发的问题。通过将大变更拆分成一系列小且聚焦的 PR,提升审查效率和反馈质量,避免上下文丢失。

堆栈中的每个 PR 都以其下一个 PR 的分支为目标分支,形成有序链条。GitHub UI 支持显示堆栈结构图,方便审查者在各层间导航,且分支保护规则和持续集成(CI)均针对最终目标分支执行,确保代码质量。

用户可以选择直接在 GitHub UI、API 或标准 Git 工作流中管理堆栈,也可以使用 gh stack CLI 工具简化本地操作。CLI 支持创建分支、管理变基、推送分支和创建 PR,确保每个 PR 基于正确的分支。合并时,可以单独合并某个 PR,也可以一次合并多个连续的 PR,合并后未合并的 PR 会自动变基到最新的基础分支。

目前 Stacked PRs 处于私有预览阶段,需要开启权限才能使用,用户可以通过等待名单申请体验。CLI 安装和使用示例也提供了快速入门指导,帮助用户快速搭建和管理堆栈式 PR。

HN 热度 867 points | 评论 496 comments | 作者:ezekg | 1 day ago #

https://news.ycombinator.com/item?id=47757495

  • 使用 Phabricator 和 Mercurial 后,回到 GitHub 和 Git 感觉像回到了石器时代,希望新工具能重现 Phabricator 的分层 diff 流程,方便代码审查和长期项目开发。
  • Git 虽然界面丑但速度快且可靠,胜过 Mercurial 的慢和不稳定。
  • Facebook 曾贡献补丁使 Mercurial 在大规模单仓库中性能优于 Git,Mercurial 核心已用 Rust 重写,性能大幅提升。
  • Facebook 基于 Mercurial 开发了 Sapling,解决了 Git 在大规模仓库中的不足。
  • Sapling 和 JJ 是两个竞争的工具,外界可能只关注其中一个。
  • JJ 支持类似 Mercurial 的 revsets 功能,令人感兴趣。
  • 大型科技公司(如 Meta 和 Google)基于 Mercurial 开发工具,是因为 Git 当时无法满足其规模需求。
  • 微软为支持 Windows 代码库的 Git 扩展了文件系统,实现文件按需加载,解决了 Git 对象规模带来的服务器负载问题。
  • 谷歌的 monorepo 经历了多次迭代,google3 是第三代,采用了新的构建系统和语言 Starlark。
  • Mercurial 的“快”宣传早在 2010 年就有争议,实际使用中常表现缓慢。
  • 大型公司定制工具满足自身需求,但这些需求不一定适合所有人。

5. “后退按钮劫持”的新垃圾邮件政策 (A new spam policy for “back button hijacking”) #

https://developers.google.com/search/blog/2026/04/back-button-hijacking

2026 年 4 月 13 日,谷歌宣布将其垃圾邮件政策扩展至针对一种被称为 “后退按钮劫持”(back button hijacking)的欺骗性行为,明确将其视为 “恶意行为” 的违规行为,并可能导致相应的处罚。

后退按钮劫持是指当用户点击浏览器的 “后退” 按钮时,网站干扰用户的浏览器导航,导致用户无法返回之前访问的页面。反,用户可能会被转他们从未访问过的页面,或者被展示不请自来的推荐或广告,最终使用户无法正常浏览网页。

谷歌认为用户体验至关重要,后退按钮劫持干扰了浏览器的正常功能,打破了用户的预期旅程,造成的挫败感。用户反馈称这种行为让他们感到被操控,进而减少访问不熟悉网站的意愿。谷歌强调,插入欺骗性或操控性页面到用户的浏览历史中,一直以来都是违反其 Google 搜索基本原则的。

近年来,这种行为有所上升,因此谷歌决定将其明确列恶意行为政策的违规行为。该政策规定:

恶意行为制造了用户期望与实际结果之间的不匹配,导致负面和欺骗性的用户体验,或危害用户安全和隐私。

从 2026 年 6 月 15 日起,参与后退按钮劫持的页面可能会面临动垃圾邮件处罚或自动降级,这将影响该网站在谷歌搜索结果中的表现。为了给网站所有者留出调整时间,谷歌提前两个月公布了这一政策。

网站所有者应确保不干扰用户浏览器历史的导航能力。如果当前使用的任何脚本或插入或替换了欺骗性或操控性页面,导致用户无法使用后退按钮返回之前的页面,则应删除或禁用这些功能。

需要注意的是,某些后退按钮劫持的实例可能来源于网站所包含的库或广告平台。谷歌建议网站所有者彻底审查其技术实现,移除或禁用任何负责后退按钮劫持的代码、导入或配置,以确保用户获得有帮助且不具欺骗性的体验。

如果网站受到手动处罚且已解决问题,网站所有者可以通过搜索控制台提交重新考虑请求。如有问题或反馈,可以通过社交媒体联系谷歌或在其帮助社区讨论。

HN 热度 826 points | 评论 473 comments | 作者:zdw | 22 hours ago #

https://news.ycombinator.com/item?id=47760764

  • 希望浏览器能提供禁用网站所有键盘快捷键的功能,避免网站覆盖默认快捷键。
  • Ctrl+F 被很多网站劫持,用户更希望使用浏览器自带的页面搜索功能。
  • 对于懒加载内容,网站劫持 Ctrl+F 有时是为了更好地搜索未加载的内容,但大多数实现很糟糕且效率低。
  • 有些网站通过 JavaScript 阻止右键菜单,导致无法通过右键打开链接的新标签页,尤其在电商网站较为常见。
  • React Router 等前端框架的设计缺陷导致部分链接行为异常,影响用户体验。
  • 有浏览器扩展或用户脚本可以阻止网站劫持快捷键,或者允许用户切换“激进模式”来应对恶意劫持。
  • 建议将快捷键劫持作为网站权限,由用户决定是否允许,提升安全和体验。
  • 使用 Vimium 等插件可以避免网站快捷键冲突,通过切换模式使用网站快捷键。
  • 有用户建议在浏览器界面增加切换“文档模式”和“应用模式”的开关,方便控制快捷键行为。
  • 对于懒加载和虚拟滚动导致的搜索问题,点击地址栏再使用浏览器搜索是一个变通方法。

6. 珍贵音乐会录音登陆互联网档案馆 (Rare concert recordings are landing on the Internet Archive) #

https://techcrunch.com/2026/04/13/thousands-of-rare-concert-recordings-are-landing-on-the-internet-archive-listen-now/

这篇文章介绍了芝加哥音乐爱好者 Aadam Jacobs 自 1980 年代以来收集的超过一万盘音乐会录音带。为了防止这些磁带因时间推移而损坏,Jacobs 与非营利数字图书馆 Internet Archive 的志愿者合作,将这些录音带数字化保存。

目前已有约 2500 盘录音被上传到 Internet Archive,其中包括一些珍贵的演出,如 1989 年 Nirvana 的现场录音(该乐队直到 1991 年凭借单曲《Smells Like Teen Spirit》才走红)。收藏中还包含 Sonic Youth、R.E.M.、Phish、Liz Phair、Pavement、Neutral Milk Hotel 等知名及大量朋克乐队的罕见录音。

虽然 Jacobs 当时使用的录音设备较为普通,但志愿者音频工程师们对录音进行了修复和优化,提升了音质。志愿者 Brian Emerick 每月会到 Jacobs 家中取录音带,使用老式磁带播放设备将其转换为数字文件,随后其他志愿者负责整理、标注并追踪歌曲信息。

这项工作不仅保存了宝贵的音乐历史,也让公众有机会聆听到许多鲜为人知的现场演出录音,体现了互联网在文化保存方面的积极作用。文章还特别提到了一段 1988 年 Tracy Chapman 的录音,展示了这批收藏的珍贵价值。

HN 热度 507 points | 评论 151 comments | 作者:jrm-veris | 11 hours ago #

https://news.ycombinator.com/item?id=47765604

  • 现场录音虽然存在法律风险,但很多乐队对录音者持宽容态度,甚至认可和支持非商业的录音分享。
  • 录音者与乐队之间可能存在一种默契的“默认不问不说”,以保护录音文化和现场氛围。
  • 一些乐队会在合同中明确允许录音者进入现场录音,且有专门的平台(如 Relisten)获得乐队授权分享大量现场录音。
  • 传统唱片行业试图控制音乐版权,但对一些冷门或旧音乐往往采取放任态度,导致大量音乐内容长期存在网络上。
  • 版权保护期限应缩短至发行后 30 年,之后音乐应进入公共领域,避免长期版权垄断。
  • 管理者在演出组织中发挥重要作用,负责场地、设备、时间安排等事务,帮助艺术家专注于创作和表演。
  • 许多乐队和社区对现场录音持积极态度,甚至会邀请录音者参与和交流,促进粉丝和乐队的互动。
  • 现场录音和分享有助于艺术家和粉丝之间建立更紧密的联系,推动音乐文化的发展。

7. jj —— Jujutsu 的命令行工具 (jj – the CLI for Jujutsu) #

https://steveklabnik.github.io/jujutsu-tutorial/introduction/what-is-jj-and-why-should-i-care.html

该网页是一篇关于 Jujutsu 版本控制系统(简称 jj)的详细教程。Jujutsu 是一种分布式版本控制系统(DVCS),类似于 git,但设计上更简单易用且功能更强大。教程假设读者有 git 使用经验,介绍了 jj 的基本概念和优势。

内容涵盖了 jj 的安装、初始化仓库、查看状态、描述提交、创建新更改、查看日志等基础操作,帮助用户快速上手。接着介绍了实际工作流程,如合并提交(Squash Workflow)和编辑工作流(Edit Workflow),以及分支管理、合并冲突处理等高级功能。

教程还讲解了如何与他人共享代码,包括使用命名分支、远程仓库(如 GitHub)、处理拉取请求反馈、更新主干代码以及与 Gerrit 集成。更高级的内容包括同时管理多个分支、堆叠的拉取请求、工作区和共置仓库等。

此外,教程提供了错误修复方法,如撤销错误、回滚更改、操作日志查看等,帮助用户更好地管理版本历史。最后,介绍了如何配置和自定义 jj 的使用体验,包括命令输出模板的定制。

整体来看,jj 结合了 git 和 Mercurial 的优点,提供了更简洁且强大的版本控制工具,且兼容 git 后端,方便用户无缝切换和尝试。教程内容系统全面,适合希望提升版本控制效率的开发者学习参考。

HN 热度 482 points | 评论 424 comments | 作者:tigerlily | 14 hours ago #

https://news.ycombinator.com/item?id=47763759

  • 使用 jj 时不必过于纠结与 git 的差异,直接按照 jj 的工作流程操作即可,jj 会自动管理提交和变更。
  • jj 允许在工作中创建空的提交(类似于 git 的暂存区),可以随时 squash(合并)或 split(拆分)变更,灵活管理多个功能或抽象的变更。
  • jj 的提交是可变的(mutable),不像 git 的提交那样一旦创建就固定,只有推送共享后才变得不可变。
  • jj 的时间戳逻辑与 git 不同,jj 以开始编辑时间作为作者时间,可能导致与 git 用户或工具协作时时间戳不一致,有用户通过别名调整以模拟 git 行为。
  • jj 自动清理空提交,且可以将临时变更当作免费存储的“临时快照”,方便调试和回退。
  • jj 支持灵活的工作流,可以频繁创建无描述的临时提交,待完成后再合并并添加描述,类似于带有撤销功能的历史记录。
  • 不需要手动创建和命名分支,jj 通过引用修订版本实现分支的功能,简化操作。

8. 西班牙将扩大互联网封锁范围,涵盖网球、高尔夫及电影直播时段 (Spain to expand internet blocks to tennis, golf, movies broadcasting times) #

https://bandaancha.eu/articulos/telefonica-consigue-bloqueos-ips-11731

该网页是一篇关于西班牙互联网因体育赛事直播而出现连接问题的新闻报道。文章指出,自 2025 年 2 月起,每当西甲重要足球比赛进行时,西班牙互联网就会出现严重的连接问题。这是因为电信运营商 Telefónica 通过法院获得授权,动态封锁涉嫌未经授权传播体育内容的 IP 地址。这种封锁方式会影响大量合法网站的访问,因为一个 IP 地址可能托管成千上万的网站。

此前,这种封锁仅限于西甲比赛期间,其他时间用户网络使用正常。但最新的法院判决允许 Telefónica 扩大封锁范围,涵盖所有体育直播赛事,包括欧洲冠军联赛、网球、高尔夫等,并且不仅限于大型运营商,还包括中小型网络服务提供商。封锁将覆盖域名、URL 及 IP 地址,尤其影响使用内容分发网络(如 Cloudflare)的服务。

此次封锁将从 2025 年 4 月 14 日开始,首场赛事是欧洲冠军联赛的马德里竞技对巴塞罗那比赛,随后还有拜仁慕尼黑对皇家马德里等比赛。文章还提到,政府已承认这些封锁措施对互联网造成了“副作用”,但仍在与相关方保持积极对话。

HN 热度 398 points | 评论 400 comments | 作者:akyuu | 8 hours ago #

https://news.ycombinator.com/item?id=47768195

  • 西班牙大部分人对网路封锁不在意,因为重要比赛时很多人都会看比赛,且比赛时间通常在下班后。
  • 网路封锁影响了下班后想利用时间做副业或创业的人,可能阻碍创新和创业发展。
  • 欧洲一些政策如未实现的资本利得税也限制了企业成长到独角兽阶段。
  • 足球在西班牙文化中根深蒂固,导致垄断现象难以打破。
  • 网民对体育赛事封锁的抱怨难以改变现状,真正的改变需要内部推动。
  • 是否值得为原则抗争以防止滑坡效应存在争议,有些政治斗争更多是文化和信仰之争。
  • 需要欧盟层面的法规来限制个别国家实施过度的网络封锁,避免体育公司滥用权力。
  • 欧盟可能更倾向于自己实施类似限制,而非反对成员国的做法。
  • 网络中立性法规本应保护用户免受此类封锁,但执行力度不足,法院也多支持封锁令。
  • 阻止封锁的法律条款存在例外,法院命令可使封锁合法化。
  • 欧盟成员国是否有权干涉其他国家的网络封锁存在争议。
  • 欧盟数字权利宣言支持自由访问互联网,反对大规模 IP 封锁,建议采用更精细的 DNS 或 URL 封锁。
  • 如果封锁影响了其他欧盟国家商家的销售权利,欧盟应介入,因为欧盟内部禁止地理封锁。
  • 地理封锁在欧盟内部是非法的,任何成员国的服务应对所有欧盟公民开放。

9. Claude Code 例程(Routines)功能介绍 (Claude Code Routines) #

https://code.claude.com/docs/en/routines

该网页介绍了 Claude Code 中的“例程”(Routines)功能,这是一种自动化配置,包含提示语、代码仓库和连接器,可以在 Anthropic 云端自动运行。例程支持多种触发方式:定时触发(如每小时、每晚或每周)、API 触发(通过 HTTP POST 调用)和 GitHub 事件触发(如拉取请求、推送、问题或工作流运行)。一个例程可以同时绑定多种触发器,实现灵活的自动化工作流程。

网页详细列举了例程的典型应用场景,包括:

  • 任务积压管理:定时扫描问题追踪器,自动标记、分配负责人并发送总结。
  • 警报分流:监控工具触发例程,分析错误堆栈、关联代码提交,自动创建修复拉取请求。
  • 定制代码审查:GitHub 事件触发,自动执行团队审查清单,留下安全、性能和风格建议。
  • 部署验证:持续交付管道触发,执行冒烟测试和错误扫描,发布部署结果。
  • 文档同步:定期扫描合并的拉取请求,发现文档与 API 不一致,自动创建更新请求。
  • 库迁移:监听特定仓库的合并事件,自动将变更移植到另一语言的 SDK 库。

创建例程可以通过网页、桌面应用或命令行界面完成,所有操作同步到云端账户。创建流程包括设置提示语、选择代码仓库、配置运行环境(网络权限、环境变量、安装脚本)、选择触发器和管理连接器。例程运行时拥有完整的 Claude Code 云端会话权限,可以执行 shell 命令、调用连接器和操作代码仓库。例程归属于个人账户,不共享给团队成员,运行时的所有操作均以用户身份执行。

网页还详细说明了如何在网页端创建例程的步骤,包括填写名称和提示语、选择仓库和环境、配置触发器(定时、GitHub 事件或 API)、管理连接器,最后创建并启动例程。每次运行都会生成独立会话,用户可以查看执行过程、审查代码变更并创建拉取请求。

HN 热度 388 points | 评论 240 comments | 作者:matthieu_bl | 8 hours ago #

https://news.ycombinator.com/item?id=47768133

  • 对大型语言模型(LLM)及其提供商缺乏信任,担心功能被削弱或被废弃,害怕长期依赖导致锁定风险。
  • 希望保持模型和工具的可替代性,不愿意深度绑定某个平台,追求更像“管道”而非“平台”的服务。
  • 对 Anthropic 新功能如“记忆”功能持怀疑态度,认为其将用户反馈存储在供应商特定路径,不利于工作流的透明和可控。
  • 对 Anthropic 限制第三方软件使用的条款感到不满,认为这限制了灵活性和创新。
  • 担心供应商通过保存和提炼用户数据来训练竞争模型,增加竞争压力。
  • 认为技术最终会被商业化,理想主义会被现实的商业模式所取代。
  • 认为 Anthropic 等公司频繁调整功能和策略,增加了使用的不确定性和风险。
  • 建议通过简化任务和使用独立的工作流引擎来减少对特定平台功能的依赖,提高跨模型的兼容性和效率。
  • 认为云计算的多云策略在实践中难以避免锁定问题,LLM 提供商的情况可能类似。
  • 认为容器化和基础设施即代码等技术有助于减少锁定风险,但仍存在迁移成本和兼容性问题。
  • 指出 Anthropic 避免采用开放标准,增加了切换和测试其他模型的难度。
  • 认为生态系统和迁移成本是形成锁定的主要因素,模型提供商之间的差异可能导致用户难以自由切换。

10. Lean 证明了该程序的正确性;然后我发现了一个漏洞 (Lean proved this program correct; then I found a bug) #

https://kirancodes.me/posts/log-who-watches-the-watchers.html

这篇文章讨论了使用形式化验证工具 Lean 对 zlib 压缩库实现的验证及其安全性测试的结果。Lean 生态中有一个项目 lean-zip,10 个 AI 代理自主构建并证明了 zlib 的实现正确性,保证代码无实现漏洞。文章引用了 Lean 架构师 Leo De Moura 的观点,强调该实现经过端到端的形式化验证,理论上完全正确。

作者使用 Claude AI 代理结合多种模糊测试工具(AFL++、AddressSanitizer、Valgrind、UBSan 等)对 lean-zip 进行了超过 1 亿次的模糊测试,结果发现:

  1. 在 Lean 应用代码中未发现内存漏洞。
  2. 发现了 Lean 4 运行时的堆缓冲区溢出漏洞,存在于所有 Lean 版本中,漏洞源于运行时函数 lean_alloc_sarray 对大容量数组分配时的整数溢出,导致分配的缓冲区过小,进而发生溢出。该漏洞可通过构造特定 ZIP 文件触发,目前已有修复 PR。
  3. 在 lean-zip 的归档解析模块发现了拒绝服务漏洞,原因是未对 ZIP 头中的 compressedSize 字段进行有效验证,导致内存分配异常,程序崩溃。该模块未经过形式化验证。

文章指出,形式化验证只覆盖了压缩和解压缩的核心算法部分,未覆盖归档解析模块,因此该部分存在漏洞。运行时漏洞属于可信计算基的一部分,影响所有 Lean 程序。整体来看,经过形式化验证的代码表现出极高的安全性,但依赖的运行时和未验证模块仍存在风险。

总结来看,形式化验证在提升软件安全性方面效果显著,但仍需关注运行时环境和未验证代码的安全问题。此次测试展示了 AI 辅助安全测试的强大能力,也提醒开发者关注整个软件栈的安全保障。

HN 热度 377 points | 评论 169 comments | 作者:bumbledraven | 1 day ago #

https://news.ycombinator.com/item?id=47759709

  • 文章标题和表述存在误导,实际发现的漏洞不在经过证明的代码中,而是在证明范围之外的运行时环境和未验证的部分。
  • 即使漏洞不影响经过形式验证的代码,运行时出现崩溃等问题仍然被许多用户视为软件缺陷。
  • 形式验证系统的边界和范围需要明确,发现运行时漏洞不等于证明本身有误。
  • 规范与实际意图不符也是漏洞产生的重要原因,形式验证无法解决规范本身的缺陷。
  • 形式验证只能保证代码符合规范,但无法保证规范本身完整且满足预期目的。
  • 形式验证和证明工具是软件质量保障的手段之一,但需求规格说明仍是核心难题。
  • 发现运行时漏洞对用户影响重大,尤其是当软件被宣传为经过形式验证时,漏洞更令人关注。
  • 形式验证覆盖范围有限,未验证的代码和运行环境仍可能存在安全隐患。
  • 形式验证系统的完整性依赖于运行时和底层环境的正确性,漏洞可能存在于这些基础设施中。
  • 形式验证的成功与否应结合实际使用场景和用户视角来判断,而非仅凭证明本身。

Hacker News 精彩评论及翻译 #

Backblaze has stopped backing up OneDrive and Drop… #

https://news.ycombinator.com/item?id=47766798

We are going to drop blackblaze over this

We discovered this change recently because my dad was looking for a file that Dropbox accidentally overwrote which at first we said “no problem. This is why we pay for backblaze”

We had learned that this policy had changed a few months ago, and we were never notified. File was unrecoverable

If anyone at backblaze is reading this, I pay for your product so I can install you on my parents machine and never worry about it again. You decided saving on cloud storage was worth breaking this promise. Bad bad call

julianozen

我们打算放弃使用Backblaze了。

我们最近发现了这个变化,因为我爸爸在找一个Dropbox意外覆盖的文件,起初我们还说:“没问题,这就是我们付钱用Backblaze的原因。”

我们后来了解到这项政策几个月前已经改变了,但我们从未收到过通知。文件无法恢复。

如果Backblaze有人看到这条评论,我付钱买你们的产品是为了能装在我父母的电脑上,再也不用担心这些问题。你们决定为了节省云存储成本而违背这个承诺。真是糟糕的决定。

Claude Code Routines #

https://news.ycombinator.com/item?id=47769425

LLMs and LLM providers are massive black boxes. I get a lot of value from them and so I can put up with that to a certain extent, but these new “products”/features that Anthropic are shipping are very unappealing to me. Not because I can’t see a use-case for them, but because I have 0 trust in them:

  • No trust that they won’t nerf the tool/model behind the feature

  • No trust they won’t sunset the feature (the graveyard of LLM-features is vast and growing quickly while they throw stuff at the wall to see what sticks)

  • No trust in the company long-term. Both in them being around at all and them not rug-pulling. I don’t want to build on their “platform”. I’ll use their harness and their models but I don’t want more lock-in than that.

If Anthropic goes “bad” I want to pick up and move to another harness and/or model with minimal fuss. Buying in to things like this would make that much harder.

I’m not going to build my business or my development flows on things I can’t replicate myself. Also, I imagine debugging any of this would be maddening. The value add is just not there IMHO.

EDIT: Put another way, LLM companies are trying to climb the ladder to be a platform, I have zero interest in that, I was a “dumb pipe”, I want a commodity, I want a provider, not a platform. Claude Code is as far into the dragon’s lair that I want to venture and I’m only okay with that because I know I can jump to OpenCode/Codex/etc if/when Anthropic “goes bad”.

joshstrange

大型语言模型(LLMs)和LLM提供商是巨大的黑箱。我从中获得了很多价值,所以在一定程度上我可以接受这种状况,但Anthropic推出的这些新“产品”/功能对我来说非常没有吸引力。不是因为我看不到它们的用例,而是因为我对它们完全没有信任:

  • 不信任它们不会削弱该功能背后的工具/模型

  • 不信任它们不会废弃该功能(LLM功能的坟场非常庞大且快速增长,他们不断尝试新的东西看看哪些能成功)

  • 不信任公司长期存在。既不相信他们会一直存在,也不相信他们不会突然抽走支撑。我不想基于他们的“平台”来构建。我会使用他们的框架和模型,但我不想被锁定得更多。

如果Anthropic出了问题,我想能够轻松迁移到另一个框架和/或模型,不想花费太多麻烦。投入类似这样的东西会让迁移变得更加困难。

我不会基于自己无法复制的东西来构建我的业务或开发流程。而且,我想调试这类东西一定非常令人抓狂。在我看来,这并没有带来额外价值。

补充说,LLM公司都在努力攀爬成为一个平台,但我对此毫无兴趣,我只是一个“傻瓜管道”,我想要的是商品化的服务,我想要的是提供商,而不是平台。Claude Code已经是我愿意深入的“龙穴”了,我之所以能接受,只是因为我知道如果Anthropic“出事”时,我可以跳转到OpenCode/Codex等。

A new spam policy for “back button hijacking” #

https://news.ycombinator.com/item?id=47762203

Ok, you can start with LinkedIn, I’ll wait…

If you are wondering how it works. You get a link from LinkedIn, it’s from an email or just a post someone shared. You click on it, the URL loads, and you read the post. When you click the back button, you aren’t taken back to wherever you came from. Instead, your LinkedIn feed loads.

How did it happen? When you landed on the first link, the URL is replaced with the homepage first (location.replace(…) doesn’t change the browser history). Then the browser history state is pushed to the original link. So it seems like you landed on the home page first then you clicked on a link. When you click the back button, you are taken back to the homepage where your feed entices you to stay longer on LinkedIn.

firefoxd

好吧,你可以先从LinkedIn开始,我会等着……

如果你想知道这是怎么回事。你从LinkedIn上得到一个链接,可能来自邮件或者别人分享的帖子。你点击它,网址加载,然后你阅读帖子。当你点击返回按钮时,你不会被带回你之前所在的页面。相反,你会回到LinkedIn的主页动态。

这是怎么发生的呢?当你进入第一个链接时,网址首先被替换成主页(location.replace(…)不会改变浏览器历史记录)。然后浏览器历史状态被推送回原始链接。所以看起来好像你先进入了首页,然后点击了一个链接。当你点击返回按钮时,你被带回主页,而主页上的动态会吸引你在LinkedIn上停留更久。

Claude Code Routines #

https://news.ycombinator.com/item?id=47768821

I’m a little confused on the ToS here. From what I gathered, running claude -p <prompt> on cron is fine, but putting it in my Telegram bot is a ToS violation (unless I use per-token billing) because it’s a 3rd party harness, right? (claude -p being a trivial workaround for the “no 3rd party stuff on the subscription” rule)

This Routines feature notably works with the subscription, and it also has API callbacks. So if my Telegram bot calls that API… do I get my Anthropic account nuked or not?

andai

我对这里的服务条款有点困惑。据我了解,在定时任务中运行 claude -p <prompt> 是可以的,但把它放到我的Telegram机器人里就是违反服务条款(除非我使用按令牌计费),因为这是第三方的包装,对吧?(claude -p 是对“订阅中不允许第三方内容”规则的一个简单变通)

这个 Routines 功能明显是和订阅配合使用的,而且还有API回调。那么如果我的Telegram机器人调用那个API……我的Anthropic账号会被封吗?还是不会?

I wrote to Flock’s privacy contact to opt out of t… #

https://news.ycombinator.com/item?id=47768989

I wrote this. I had/have absolutely no expectation that Flock would comply with my request, but figured I should try anyway For Science. Their reply rubbed me wrong, though. They seem to claim that there are no restrictions on their collection and processing of PII because other people pay them for it. They say:

Flock Safety’s customers own the data and make all decisions around how such data is used and shared.

which seems to directly oppose the CCPA. It’s my data, not their customers'.

Again, I didn’t really expect this to work. And yet, I’m still disappointed with the path by which it didn’t work.

kstrauser

我写了这封信。我完全没有指望Flock会同意我的请求,但认为无论如何都应该试一试,为了科学。他们的回复让我很不舒服。他们似乎声称他们在收集和处理个人身份信息方面没有任何限制,因为有其他人付钱给他们。他们说:

Flock Safety的客户拥有数据,并对这些数据的使用和共享做出所有决定。

这似乎直接与加州消费者隐私法案(CCPA)相悖。那是我的数据,不是他们客户的。

再说一次,我本来也没指望这能奏效。但即便如此,我仍然对它未奏效的方式感到失望。

I wrote to Flock’s privacy contact to opt out of t… #

https://news.ycombinator.com/item?id=47769119

They were saying “don’t write to us, talk to the people who own the cameras and ask them to delete the data”. A company that manufactures video cameras is not the one to talk to when someone records you, talk to the person who recorded you.

But a reasonable person would say – the data is stored on Flock servers, not with the camera owners. And Flock would say, just because we sell data storage functionality to camera owners doesn’t mean we own the data, anymore than a storage service you rent a space from owns what you put in that space.

But then an even more reasonable person would say: the infrastructure is designed in such a way as to create inadvertent sharing, and the system has vulnerabilities that compromise the data, so Flock has responsibility for setting up the system in such a way that it’s basically designed to violate privacy.

And that is the main criticism of Flock. You need to have a more nuanced criticism. It would be really interesting to see this litigated.

carefree-bob

他们说的是“不要写信给我们,联系拥有这些摄像头的人,要求他们删除数据”。一家生产摄像头的公司不是被录制时该找的对象,要找录制你的人才对。

但一个理性的人会说——数据存储在Flock的服务器上,而不是摄像头拥有者那里。Flock会说,仅仅因为我们向摄像头拥有者出售数据存储功能,并不意味着我们拥有这些数据,就像你租储藏空间的服务商并不拥有你放进去的东西一样。

不过,更理性的人会说:整个基础设施的设计导致了无意中的数据共享,而且系统存在漏洞,危及数据安全,所以Flock有责任设计这样一个基本上就是侵犯隐私的系统。

这就是对Flock的主要批评。你需要有更细致的批评角度。看到这件事被诉诸法律会非常有趣。

Backblaze has stopped backing up OneDrive and Drop… #

https://news.ycombinator.com/item?id=47763438

To the author: please use a darker font. Preferably black.

I’m only in my 40’s, I don’t require glasses (yet) and I have to actively squint to read your site on mobile. Safari, iPhone.

I’m pretty sure you’re under the permitted contrast levels under WCAG.

Jolter

给作者:请使用更深的字体颜色,最好是黑色。

我才40多岁,还不需要戴眼镜(至少目前不需要),但在手机上浏览你的网站时,我必须主动眯眼才能看清楚。使用的是iPhone的Safari浏览器。

我很确定你的网站对比度低于WCAG允许的标准。

Lean proved this program correct; then I found a b… #

https://news.ycombinator.com/item?id=47760024

This article’s framing and title are odd. The author, in fact, found no bugs or errors in the proven code. She says so at the end of the article:

The two bugs that were found both sat outside the boundary of what the proofs cover. The denial-of-service was a missing specification. The heap overflow was a deeper issue in the trusted computing base, the C++ runtime that the entire proof edifice assumes is correct.

Still an interesting and useful result to find a bug in the Lean runtime, but I’d argue that doesn’t justify the title. Or the claim that “the entire proof edifice” is somehow shaky.

It’s important to note that this is the Lean runtime that has a bug, not the Lean kernel, which is the part that actually does the verification (aka proving). [1] So it’s not even immediately clear what this bug would really apply to, since obviously no one’s running any compiled Lean code in any kind of production hot path.

[1] https://lean-lang.org/doc/reference/latest/Elaboration-and-Compilation/

ctmnt

这篇文章的框架和标题很奇怪。事实上,作者没有在经过验证的代码中发现任何漏洞或错误。她在文章结尾也这么说了:

发现的两个漏洞都位于证明覆盖范围之外。拒绝服务漏洞是因为缺失的规范。堆溢出是可信计算基础中的更深层问题,整个证明体系假设该 C++ 运行时是正确的。

虽然在 Lean 运行时中发现了一个漏洞,这依然是一个有趣且有用的结果,但我认为这并不足以支撑标题的说法,或者说“整个证明体系”因此变得不稳固的说法。

重要的是要注意,这个漏洞是在 Lean 运行时中,而不是在 Lean 内核中,后者才是实际执行验证(即证明)部分。[1] 因此,目前也不清楚这个漏洞具体会影响什么,因为显然没有人在任何生产的关键路径中运行编译后的 Lean 代码。

[1] https://lean-lang.org/doc/reference/latest/Elaboration-and-Compilation/

Someone bought 30 WordPress plugins and planted a … #

https://news.ycombinator.com/item?id=47755991

Whenever I look at a web project, it starts with “npm install” and literally dozens of libraries get downloaded.

The project authors probably don’t even know what libraries their project requires, because many of them are transitive dependencies. There is zero chance that they have checked those libraries for supply chain attacks.

bradley13

每当我查看一个网页项目时,第一步就是运行“npm install”,然后会下载数十个库。

项目的作者很可能甚至不知道他们的项目实际需要哪些库,因为很多是传递性依赖。他们完全不可能检查过这些库是否存在供应链攻击的风险。

US appeals court declares 158-year-old home distil… #

https://news.ycombinator.com/item?id=47753269

Do this one next:

https://en.wikipedia.org/wiki/Gonzales_v._Raich

The Supreme Court somehow held that the feds can regulate what you do in your own home (in this case, growing marijuana for personal use) because it could have a butterfly effect on the interstate price. (Constitutionally, the feds can only regulate interstate commerce.)

bsimpson

接下来做这个:

https://en.wikipedia.org/wiki/Gonzales_v._Raich

最高法院以某种方式裁定,联邦政府可以管控你在自己家里做的事情(在这个案例中,是为了个人使用种植大麻),因为这可能对州际价格产生蝴蝶效应。(根据宪法,联邦政府只能管辖州际贸易。)

GitHub Stacked PRs #

https://news.ycombinator.com/item?id=47757695

As someone who used phabricator and mercurial, using GitHub and git again feels like going back to the stone ages. Hopefully this and jujutsu can recreate stacked-diff flow of phabricator.

It’s not just nice for monorepos. It makes both reviewing and working on long-running feature projects so much nicer. It encourages smaller PRs or diffs so that reviews are quick and easy to do in between builds (whereas long pull requests take a big chunk of time).

adamwk

作为一个曾经使用过phabricator和mercurial的人,再次使用GitHub和git感觉就像回到了石器时代。希望这个项目和jujutsu能够重新创造phabricator那种分层diff的流程。

这不仅仅对单一代码库有益。它让审查和进行长期功能项目的工作变得更加轻松。它鼓励提交更小的PR或diff,这样审查就在构建之间轻松快速完成(而长时间的pull request则会占用大量时间)。

Spain to expand internet blocks to tennis, golf, m… #

https://news.ycombinator.com/item?id=47768591

This is incredibly stupid, but don’t laugh at Spaniards: your (and my) lawmakers are equally likely to enact similarly stupid laws. It’s mind-boggling how stupid the world can be sometimes.

jwr

这实在是太愚蠢了,但不要嘲笑西班牙人:你们(和我)的立法者同样可能会通过类似愚蠢的法律。世界有时候竟然能愚蠢到这种地步,真让人难以置信。

Backblaze has stopped backing up OneDrive and Drop… #

https://news.ycombinator.com/item?id=47764441

The issue with a client app backing up dropbox and onedrive folders on your computer is the files on demand feature, you could sync a 1tb onedrive to your 250gb laptop but it’s OK because of smart/selective sync aka files on demand. Then backblaze backup tries to back the folder up and requests a download of every single file and now you have zero bytes free, still no backup and a sick laptop. You could oauth the backblaze app to access onedrive directly, but if you want to back your onedrive up you need a different product IMO.

Neil44

客户端应用程序备份你电脑上的Dropbox和OneDrive文件夹时的问题在于“按需文件”功能。你可以将1TB的OneDrive同步到只有250GB的笔记本电脑上,但这没关系,因为有智能/选择性同步,也就是按需文件。然后Backblaze备份尝试备份该文件夹,并请求下载每一个文件,结果你的磁盘空间变成了零,依然没有备份完成,笔记本也变得很卡。你可以通过OAuth让Backblaze应用直接访问OneDrive,但如果你想备份你的OneDrive,依我看你需要用别的产品。

Backblaze has stopped backing up OneDrive and Drop… #

https://news.ycombinator.com/item?id=47767003

I’m going to drop Backblaze for my entire company over this.

I need it to capture local data, even though that local data is getting synced to Google Drive. Where we sync our data really has nothing to do with Backblaze backing up the endpoint. We don’t wholly trust sync, that’s why we have backup.

On my personal Mac I have iCloud Drive syncing my desktop, and a while back iCloud ate a file I was working on. Backblaze had it captured, thankfully. But if they are going to exclude iCloud Drive synced folders, and sounds like that is their intention, Backblaze is useless to me.

wafflebot

我打算因此放弃在我整个公司使用 Backblaze。

我需要它备份本地数据,尽管这些本地数据会同步到 Google Drive。我们把数据同步到哪里,和 Backblaze 备份终端设备是两码事。我们并不完全信任同步,这就是为什么我们需要备份。

在我的个人 Mac 上,我用 iCloud Drive 同步桌面,之前有一次 iCloud 吞掉了我正在处理的一个文件。幸好 Backblaze 备份了那个文件。但如果他们要排除 iCloud Drive 同步的文件夹,听起来这也是他们的打算,那对我来说 Backblaze 就没用了。

DaVinci Resolve – Photo #

https://news.ycombinator.com/item?id=47761254

This is incredible. There are soooo many features that Davinci already handles so damn well when it comes to color editing, that I only wish they existed in photo editors. To the point there were people posting videos on Youtube about hacky workflows to edit RAW photo files on Resolve and export each one as JPG files haha.

Only Darktable seemed to push the technical capabilities of photo editing forward (AgX, parametric masks, tone equalizer, etc), while rest of “industry standard” software lagged behind for quite so long, stagnant. Even more so when it comes to “creative” ways of editing, which Video Editing software have adopted for years but photo editors didn’t (relight, actual LUT usage without complications, film emulation, halation, other aesthetic effects like VHS film damage, etc).

There’s so much we can do. To me, it seems like these sort of conservative culture (photography) vs progressive (video editing). I’ve been into both worlds, and for some reason video editing software and professionals were much eager to try new stuff and celebrate new ways to shape visuals, compared to photographers.

arecsu

这真是令人难以置信。在色彩编辑方面,达芬奇已经有太多功能做得非常出色了,我真希望它们能出现在照片编辑软件里。甚至有人在YouTube上发布视频,介绍用达芬奇进行RAW照片文件编辑的“窍门”工作流程,然后逐张导出为JPG,哈哈。

只有Darktable似乎推动了照片编辑技术的进步(AgX、参数化蒙版、色调均衡器等),而其他那些“行业标准”的软件却长期停滞不前,毫无进展。尤其是在“创意”编辑方式上,视频编辑软件多年来一直在采用,而照片编辑软件却没有(重新光照、真正的LUT使用而不复杂、胶片模拟、光晕、以及类似VHS胶片损坏等美学效果)。

我们可以做的实在太多了。对我来说,这似乎是一种保守文化(摄影)与进步文化(视频编辑)的对比。我同时涉足这两个领域,发现视频编辑软件和专业人士总是更愿意尝试新事物,庆祝新的视觉塑造方式,而摄影师们则不然。

Rare concert recordings are landing on the Interne… #

https://news.ycombinator.com/item?id=47767452

I am an active and enthusiastic recordist and have decades of stuff I’ve accumulated over the years.

One of the concerts I captured in the 90’s, lives on as a bootleg which I often see around the scene of this one particularly great live electronic dance band, whose punters have created true value out of the hour and a half of live concert input I managed to record, standing right there front stage and center, with the band looking right at me.

It was a hilarious experience - I expected to get booted out pretty fast, so I held my ground as still as I could, DAT-tape rolling by, shotgun mike held in front of me like it was just normal, as if I belonged there.

The lead singer caught my eye and gave me a wide grin. I survived the concert, it was awesome, but boy was I relieved to have made it home with that DAT - which I of course, proceeded to digitize with my brand new spdf/io ..

The next year the band (who are big and famous, btw) were in the same city and I happened to be around, I got invited backstage to meet the band, participate in a bit of nerdery regarding their live setup and gear and so on, and talk about that recording I’d made.

I’d put it out as a pure bootleg, no questions asked.

Turns out they’d heard it and enjoyed it and came to appreciate the nature of their bootleggers, as avid fans who gave the band themselves something extra to think about in what was then, a burgeoning digital/online universe about to explode.

So, seeing it around, almost 30 years now .. here and there, again and again .. is quite hilarious. Youtube often recommends it to me in my playlist, its just there.

And at a certain spot in the recording, I tell my mate to stop standing so close to me (he was blocking the shottie), and prepare for my ass getting bounced - which never happened, thankfully.

So yeah, I just wanna say, if you personally have the desire to be a recordist, and have a pure purpose in it, I’d say just freakin’ go for it.

Record All The Things.

Its good for the Artists, yo. And also their fans. (Its how we get rid of the managers, cough cough..)

rigonkulous

我是一个积极热情的录音爱好者,这些年来积累了几十年的录音资料。

90年代我录制过的一场音乐会,作为一个盗录带在这个特别棒的现场电子舞曲乐队圈子里流传开来。他们的粉丝们把我录像的这一个半小时的现场演出当作了真正的宝贵资源,当时我就站在舞台正前方中央,乐队成员正好看着我。

那次经历特别搞笑——我本以为会很快被请出去,所以我尽量一动不动地坚守阵地,DAT磁带不停录音,手持的枪式麦克风摆在面前,装作若无其事,好像我本来就应该在那里。

主唱跟我对上眼,冲我露出一个大大的笑容。我挺过了整场演出,感觉棒极了,但我当时真是松了一口气,终于带着那盘DAT回到家,当然,我随即用我新买的spdf/io把它数字化了……

第二年,这个当时已经很红的乐队又来到同一个城市,正好我也在,我受邀去后场见乐队成员,参与了一些关于他们现场设备和器材的小讨论,还聊到了我做的那段录音。

我当时把这段录音纯粹作为盗录发布,完全没有任何问题。

没想到他们听过之后还挺喜欢的,开始欣赏他们的盗录者们,正是这些热心的粉丝,给乐队带来了额外的思考,在那个数字化、网络世界刚刚兴起、即将爆发的时代。

所以,看到这段录音流传了将近30年,时不时地出现,真是很有趣。在我的Youtube播放列表中,它甚至常被推荐给我,就在那里。

录音中有个地方,我还告诉我朋友别站得那么近(挡住了枪麦克风),还准备好接受被请出去的命运——结果幸运的是并没有发生。

所以,我想说的是,如果你个人想成为录音爱好者,而且是出于纯粹的兴趣和目的,我会说,尽管去做吧。

把所有东西都录下来。

这对艺术家有好处,也对他们的粉丝有益。(这也是我们怎样摆脱经理人的方式,咳咳……)

Two Months After I Gave an AI $100 and No Instruct… #

https://news.ycombinator.com/item?id=47765675

“It thought about its money. It reflected on its own purpose. It questioned what it even means to be an autonomous agent.”

I don’t think it did any of that.

enopod_

“它考虑了自己的钱。它反思了自己的目的。它质疑什么才算是一个自主代理的意义。”

我觉得它根本没有做这些。

Nothing Ever Happens: Polymarket bot that always b… #

https://news.ycombinator.com/item?id=47754370

https://x.com/sterlingcrispin/status/2043723823678382254

They admit no returns.

But it does seem like a fun project and nowhere does it say anything about returns or profits so not scammy imo just funny meme backed code

tekno45

他们不接受退货。

但这看起来确实是个有趣的项目,而且也没有说过关于退货或利润的任何内容,所以我觉得这不算诈骗,只是有趣的梗代码而已。

Make tmux pretty and usable (2024) #

https://news.ycombinator.com/item?id=47753032

I gave up on it once I discovered https://zellij.dev/

Just even for how tab and panes are setup, and how it’s good for scrolling and text selection with your mouse for copy pasting.

ndr

当我发现 https://zellij.dev/ 后,我就放弃了它。

仅仅是标签和窗格的设置方式,以及它在用鼠标滚动和选择文本以进行复制粘贴方面的表现,就非常出色。

Stanford report highlights growing disconnect betw… #

https://news.ycombinator.com/item?id=47758174

This has mirrored what I’ve seen in my company. People in the data science/ML part of the company are super excited about AI and are always giving presentations on it and evangelizing it. Most engineers in other areas, though, are generally underwhelmed every time they try using it. It’s being heavily pushed by AI “experts” and senior leaders, but the enthusiasm on the ground is lacking as results rarely live up to the extremely rosy promises that the “experts” keep making. Meanwhile, everyone can read the news about layoffs attributed to AI and can see that hiring (especially of junior engineers) has slowed to a trickle. You can only fool people for so long.

ike2792

这与我在公司看到的情况相似。公司里数据科学/机器学习部门的人对人工智能非常热情,总是在做相关的演讲和推广。然而,其他领域的大多数工程师每次尝试使用人工智能时,通常都感到不太满意。人工智能“专家”和高级领导层大力推动这项技术,但基层的热情不足,因为实际效果很少达到那些“专家”一再做出的极其乐观的承诺。同时,大家也都能从新闻中看到因人工智能导致的裁员,以及招聘(尤其是初级工程师)几乎停滞的现象。人们的智商是有限度的,骗不了太久。

If you started a company two years ago, many assum… #

https://news.ycombinator.com/item?id=47756848

The post reads like written by someone who read too much about AI rather than tried to build a startup with the help of AI that they advocate so much. I’m still bounded by system design, UX, pricing and feature decisions, if not by the speed of code output, by the review time for sure. Yes, iterating is faster, but we’re nowhere near agentic AI loops spitting out working products. Technically it’s possible, but then you just spent that time planning and writing the spec up front, which you’d interleave with dev time otherwise. If the product is a simple CRUD database skin, then yeah, chances of success are lower I think, but this is not the type of startups the post seems to write about.

karolist

这篇帖子读起来更像是一个读了太多关于人工智能书籍的人写的,而不是一个真正尝试利用他们大力推崇的人工智能来创业的人。我仍然受制于系统设计、用户体验、定价和功能决策,如果不是代码输出速度限制的话,肯定是审查时间限制。是的,迭代速度更快,但我们离能够通过智能代理循环自动生成可用产品还远着呢。从技术上讲这是可能的,但那样的话,你只是在前期花时间做规划和写规格书,而这部分工作本来是可以与开发时间交叉进行的。如果产品只是一个简单的增删改查数据库界面,那么是的,我认为成功的几率更低,但这并不是帖子中所描述的那种创业类型。

Someone bought 30 WordPress plugins and planted a … #

https://news.ycombinator.com/item?id=47757575

Do we, really?

Yes, or pretty close to it. What we don’t know how to do (AFAIK) is do it at a cost that would be acceptable for most software. So yes, it mostly gets done for (components of) planes, spacecraft, medical devices, etc.

Totally agreed that most software is a morass of bugs. But giving examples of buggy software doesn’t provide any information about whether we know how to make non-buggy software. It only provides information about whether we know how to make buggy software—spoiler alert: we do :)

bruckie

我们真的会吗?

会,或者说非常接近。我们不知道如何做到的(据我所知)是以大多数软件能够接受的成本来实现。所以,是的,这主要是在飞机、航天器、医疗设备等(的部件)上完成的。

完全同意大多数软件是漏洞丛生。但举有漏洞软件的例子并不能说明我们是否懂得如何制造无漏洞的软件。它只能说明我们是否懂得如何制造有漏洞的软件——剧透一下:我们确实懂 :)

Android now stops you sharing your location in pho… #

https://news.ycombinator.com/item?id=47751105

It’s a sad story and a fun-looking project but I think Google 100% did the right thing here. Most people have no idea how much information is included in photo metadata, and stripping it as much as possible lines up to how people expect the world to work.

sixhobbits

这是一个令人难过的故事,也是一个看起来很有趣的项目,但我认为谷歌在这里的做法绝对是正确的。大多数人根本不知道照片元数据中包含了多少信息,而尽可能地删除这些信息符合人们对世界运作方式的预期。