2026 06 20 HackerNews

2026-06-20 Hacker News Top Stories #

  1. 现代汽车以3.25亿美元完全控股波士顿动力,软银退出,Atlas人形机器人将进入工厂参与零件分拣,人形机器人赛道竞争加剧。
  2. Valhalla项目经过十年开发将在JDK 28中预览集成,解决Java对象与原始类型之间的效率二分问题,让开发者能定义高效值类型。
  3. 挪威数据保护局因Elkjop强制会员同意营销邮件违反GDPR,历时五年开出2000万克朗罚款,揭示隐私同意的合规挑战。
  4. 一个查询名字是否出现在AI训练数据中的网站面世,并设有排行榜展示知名人物及其“强度值”,引发隐私和准确性讨论。
  5. Google Workspace向Firefox用户发出安全警告要求下载Chrome,管理员未能获得合理解释,引发对浏览器垄断的担忧。
  6. 一名业余语言学家声称利用AI分析破解了线性文字A,提出其为闪米特语言并给出新解读词典,正待学术界检验。
  7. 挪威对小学实施近乎全面的生成式AI禁令,初中限教师监督下使用,高中阶段学习适当利用,以保障读写算术基础技能。
  8. AirPods等耳机的普及导致公共场所对话减少、孤独感上升,日常闲聊的缺失削弱了社会信任与归属感。
  9. ATProto协议采用类似RSS与阅读器的架构分离账户托管和内容聚合,不依赖传统实例概念,核心在于用户自主权和多元应用生态。
  10. 企业托管授权方案实现MCP服务器的零接触OAuth集中管理,用户一次登录即可获得所有授权连接,已被Okta等多家企业采用。

1. 现代汽车收购波士顿动力 (Hyundai buys Boston Dynamics) #

https://startupfortune.com/hyundai-takes-full-control-of-boston-dynamics-as-softbank-exits-for-325-million/

现代汽车集团以 3.25 亿美元收购软银持有的波士顿动力剩余 9.65% 股份,实现完全控股。这笔交易将于 6 月 22 日获批,标志着软银在 2017 年从谷歌手中收购波士顿动力后彻底退出,转而将资金投向 AI 基础设施(如 Roze AI)和 OpenAI。

波士顿动力旗下 Atlas 人形机器人已进入商业部署阶段,计划 2028 年在现代位于佐治亚州的电动汽车工厂从事零件分拣等工作,2030 年前挑战更复杂操作。现代的优势在于拥有自有工厂和供应链(现代摩比斯负责执行器生产),可直接验证机器人可靠性。当前人形机器人赛道竞争激烈:特斯拉推进 Optimus、Figure AI 在宝马工厂试点、宇树科技推出低成本方案。

软银的退出并非放弃机器人,而是转向 AI 基础设施层,寻求更高估值;现代则押注工厂场景,将机器人作为制造能力而非概念演示。

HN 热度 621 points | 评论 296 comments | 作者:ck2 | 8 hours ago #

https://news.ycombinator.com/item?id=48600312

  • 这次实际上是软银行使期权出售剩余股份,而非现代新收购。
  • AI 的实用性因人而异,有人觉得 ChatGPT 很有用,但也有人指出其摘要常错误解释来源。
  • 能洗衣服、洗碗、开车的家用机器人有巨大市场,很多人愿意花新车价格购买。
  • 个人机器人成本与雇佣人工相比,不同地区劳动力成本差异极大,机器人在高劳力成本地区更有竞争力。
  • 机器人成本可能随时间下降,但也有观点认为技术进步放缓后成本会不断上升。
  • 计算机、家电、汽车等产品价格在经历数十年通缩后,已进入成本上涨阶段。
  • 专用机器人(如割草机)已经很好,未必需要人形机器人;但人形可作为通用平台取代多种专用设备。
  • 人形机器人可能先用于更私密的任务,比如性相关。
  • 割草机在炎热天气割草对草本身不好。
  • Google 已经能直接回答问题,但 AI 摘要让人不再清楚信息来源。
  • 人形机器人需远低于新车价格才比雇佣人工有竞争力。

2. Project Valhalla 解析:十年工作如何抵达 JDK 28 (Project Valhalla, Explained: How a Decade of Work Arrives in JDK 28) #

https://www.jvm-weekly.com/p/project-valhalla-explained-how-a

2025 年 6 月 15 日,Oracle 工程师 Lois Foltan 确认 JEP 401(值类和对象)将被集成到 OpenJDK 主仓库,目标是 JDK 28。该变更非常庞大,新增超过 19.7 万行代码,涉及 1816 个文件。但请注意,这仅是预览功能,默认关闭,且是 Valhalla 项目的第一部分。

Valhalla 项目的口号是“像类一样编写,像 int 一样工作”,目标是让开发者能像编写普通类一样定义类型(带方法、构造函数验证、字段名),但 JVM 能像处理基本类型那样高效。问题根源在于 Java 除了八个基本类型外,所有类型都是引用类型:变量存储的是堆上对象的指针,每次访问字段都需要通过指针间接跳转,导致额外的内存开销和缓存不友好。

对象在堆上需要头信息、分配和垃圾回收,数组存储引用时实际存储的是指针,导致数据分散。硬件变化使得缓存局部性成为关键:现代 CPU 比主存快两个数量级,密集且连续的内存布局能有效利用缓存行(64 字节)。而指针跳转容易导致缓存未命中,性能损失可达百倍。

逃逸分析虽然优化了局部对象的分配,但不可预测且脆弱:一旦对象逃离到字段、数组或复杂方法中,优化就会失效,导致性能波动。因此有经验的开发者不敢依赖它。

另一种方案是放弃对象,手动编码数据(如用三个字节表示颜色),但牺牲了安全性和可读性,容易出错。Valhalla 正是要消除这种“要么方便类,要么快速原始类型”的二分法。

Valhalla 项目正式始于 2014 年,但想法更早(1995 年因难度放弃)。团队构建了五个不同原型,探索不同方向。早期原型(Q 世界)将值类型视为与对象完全不同的类别,但后来许多想法被放弃。最终 JDK 28 中的实现是长期努力的成果,但社区调侃说“我们可能先进入北欧神话中的瓦尔哈拉殿堂,项目才会交付”。

HN 热度 535 points | 评论 332 comments | 作者:philonoist | 18 hours ago #

https://news.ycombinator.com/item?id=48595511

  • 对 Java 语言方向缺乏信心,认为其类型系统设计不应以“心理负担重”为由削弱可选的安全保证。
  • Java 的治理与.NET 相比显得不足,微软等公司从一开始就做出了更正确的决定。
  • Oracle 可能已不重视 Java,公司重心转向数据中心/计算业务。
  • 评论者误解了文章所指的“两位投影”模型,它关于引用/值投影而非可空性,可空性是正交的。
  • 语言特性设计总有非共识的权衡,不同专家偏好不同,多数程序员不应对语言设计过度思考。
  • .NET 在虚拟线程方面的做法效果不佳,Java 团队特意避免了类似方案。
  • 关于架构、部署、QA 的方法论同样适用这种“非共识”观点,各有利弊。
  • 与 Java 同流行度的语言(Python、JS/TS)很少有人要求 Java 向它们靠拢,说明批评者的偏好并不代表多数。
  • 编程语言的价值在于其创建软件的价值,Java 的成功不能简单归因于 90 年代末的炒作。
  • 值类型本质上不可为空(如 int 不能为 null),可空性与值类型并非完全正交,值类型在实用中具有优势。
  • 可空性通常是变量的属性而非类型的属性,C 语言中的 int 和 int*类型就体现了这一点。
  • 当前 Nullable Value Class Types JEP 中强制在变量声明加“!”的语法是倒退,希望默认非空且提供粗粒度声明方式。

https://www.thatprivacyguy.com/blog/elkjop-forced-consent-fine/

2021 年,作者 Alexander Hanff 发现 Elkjop 集团旗下的客户俱乐部存在强制同意问题:会员必须接受营销邮件,否则只能退出俱乐部。这违反了 GDPR 第 21(2)条(反对直接营销的权利)和 ePrivacy 指令关于自由同意的规定。他先后向瑞典监管机构 IMY 投诉,后又移交挪威 Datatilsynet。2026 年 6 月 1 日,Datatilsynet 对 Elkjop 罚款 2000 万挪威克朗(约 180 万欧元),认定其客户俱乐部的同意无效(强制、不具体、未充分告知),且将数据用于广告追踪时未做兼容性评估。

作者同时批评监管机构未按 GDPR 第 77(2)条主动告知投诉人案件进展,他通过志愿者运营的 GDPRhub 才得知结果。他已致信 IMY 要求解释,并可能启动欧盟侵权程序。文章强调,此类“同意或付费”的捆绑同意模式在数字经济中普遍存在,但本质违法。

HN 热度 450 points | 评论 291 comments | 作者:speckx | 1 day ago #

https://news.ycombinator.com/item?id=48589501

  • 在美国行使权利或仔细阅读每份文件会让人反感,并且可能使你在那些不愿惹事的人群中处于不利地位。
  • 医疗机构要求电子签名却无法提供纸质文件令人恼火,最终往往只能妥协。
  • 要求签名的规定源于监管,但实际操作中,即便签了名,数据仍然会被共享,只是增加了麻烦和成本。
  • 根据 HIPAA,医疗机构之间为治疗、支付或运营目的分享信息无需患者同意;即使患者明确拒绝,治疗相关数据仍可共享。
  • 用户签署的同意书可能包含超出常规财务责任和隐私政策的其他条款。
  • “法律精神”这一概念并不存在,是想要做法律未规定之事的人使用的说法;美国司法只注重法律文字而非意图,而一些其他国家则考虑立法意图。
  • 如果无法出示所签署的文件,该签名在法律上可能无效,因为缺乏知情同意(例如德国法律要求)和合同所需的“意思合致”。

4. 你在权重里吗? (Show HN: Are You in the Weights?) #

https://www.intheweights.com/

该页面是一个名为“ARE YOU IN THE WEIGHTS”的互动网站,由 Thomas Dimson 和 Joey Flynn 制作。核心功能是让用户查看自己的名字是否出现在多个主流 AI 模型(如 GPT-5.5、Opus 4.8、Grok 4.20、DeepSeek V4 等)的训练数据中。

页面下方展示了一个“今日重量级人物”排行榜(Today’s Heavyweights),列出了 20 位知名人物及其“强度值”(strength),例如史蒂文·斯皮尔伯格、甘地、梅丽尔·斯特里普等,强度值在 990-996 之间。用户可通过“VIEW LEADERBOARD”查看完整榜单。

HN 热度 438 points | 评论 240 comments | 作者:turtlesoup | 1 day ago #

https://news.ycombinator.com/item?id=48591348

  • 担心隐私,不愿输入真实姓名,可能被用于指纹识别和 IP 映射。
  • AI 识别结果极不准确,经常编造错误信息,像蹩脚读心术。
  • 名字的独特性影响准确度,常见名字容易产生大量误报(如足球运动员)。
  • 对于学术界有传统期刊会议记录的人,AI 识别较准确。
  • 界面背景声音(敲击声)烦人,需使用浏览器静音功能。
  • 使用社交媒体用户名或特定的名姓组合可能得到更准确结果。
  • AI 失败是好事,精准识别个人应需要一定努力而非轻易获得。
  • 即使姓氏极其罕见,AI 仍可能将其误标为完全不同的职业或名人。

5. Google Workspace 威胁要阻止 Firefox 访问 (Google workspace threatening to block Firefox access) #

https://tales.fromprod.com/2026/169/google-workspace-threatening-to-block-firefox.html

Google Workspace 开始对 Firefox 用户发出警告,提示“为保护数据安全,请下载 Chrome 浏览器并用工作账号登录”。作者作为管理员联系 Google 支持,对方声称该提示仅针对访问 admin.google.com 的管理员,仅为建议而非强制阻止,但不会公开文档。支持邮件仅重复了官方浏览器兼容性列表,未解释问题根源。作者确认未启用 IAP 或 Context Aware Access 等企业功能,并表达了对强制使用 Chrome 的担忧。

HN 热度 409 points | 评论 137 comments | 作者:birdculture | 8 hours ago #

https://news.ycombinator.com/item?id=48600345

  • 这是 Google Workspace 的 Context-Aware Access 产品功能,由公司 IT 或安全团队配置,并非 Google 全局行为。
  • IT 部门看到“更安全”的复选框就会勾选,即便不合理,合规性常强制这种行为。
  • 公司引导使用 Chrome 是因为可集中管理、Google 有更多安全资源、DLP 工具兼容,支持更多浏览器需要额外工程资源。
  • Google 削弱广告拦截器,而广告网络是恶意软件主要来源,Chrome 并不比其他浏览器更安全。
  • 阻止浏览器插件可能适得其反,安全专家依赖广告拦截器抵御恶意广告。
  • Firefox 更早实现每域进程隔离,而 Chrome 起步较晚。
  • 让用户默认运行多个浏览器会增加组织需要管理的攻击面。
  • 限制浏览器工具会降低员工工作效率,但公司权衡安全与成本后标准化浏览器有其合理性。
  • 标准化浏览器和扩展集有助于数据泄露防护和降低安全风险。
  • 在 Google Workspace 层面阻止特定浏览器是错误的层次,应在设备层面进行管理。
  • Google 自身安全实践(如 boringssl)存在不足,并非完美无缺。
  • 广告拦截器一旦失效对组织的安全威胁远大于这些安全选项。
  • 企业有权决定员工所用软件,但 Google 将该选项标记为“更安全”具有误导性。
  • 这种限制重演 IE6 时代的垄断,最终损害创新和产品改进。

6. AI 工程师声称破解线性文字 A (AI Engineer Claims to Have Cracked Linear A) #

https://aiclambake.com/clamtakes/linear-a/

2026 年 6 月 16 日,自学成才的 AI 工程师兼业余语言学家 Tom Di Mino 宣称破解了青铜时代米诺斯文明线性文字 A(Linear A),这一成就困扰了语言学界一个多世纪。他的说法正在接受罗格斯大学和剑桥大学语言学专家的评审。

线性 A 约出现于公元前 1800 年,使用至公元前 1450 年克里特被迈锡尼希腊人征服。其相关文字线性 B 于 1952 年被英国建筑师兼业余语言学家 Michael Ventris 破译,当时登上了《纽约时报》头版。两种文字均以音节(通常是辅音 + 元音)和表意符号为基础,共享 60 个核心音节。但线性 A 的铭文数量远少于线性 B,且多为商品贸易清单,破译难度更大。

Di Mino 认为线性 A 属于一种已灭绝的闪米特语言,是圣经希伯来语的前身。他不是第一个提出此观点的人,但声称首次将线性 A 铭文与希伯来祈祷文联系起来。关键突破发生在 5 月 22 日:他在分析一组固定格式的祈祷铭文时,发现每个铭文的第一词是同一动词词根,并利用线性 A 独有的符号“*301”(解读为“na”)解锁了词根“nawaya”(意为“居住”),这与希伯来语、阿卡德语等闪米特语言的三辅音系统吻合。一旦破译,铭文显示祈祷文与后续希伯来祈祷文相似,但对象是一位女神。

Di Mino 使用 Claude Code 构建了一套 Python 脚本,查询、交叉引用并组织数字化的线性 A 语料库(来自 GORILA 和 SigLA 数据库),实现了系统性的假设检验,规模远超手工操作。

他的研究成果包括:为 40 个符号提出解读方案,其中包括 13 个此前音值未知的符号;解决了 5 个至今未知的线性 B 符号音值;编撰了包含 408 个线性 A 词汇的英译词典;完成了题为《Ya Diktu: Minoan Peak Sanctuary Libation Formula 的语法》的 9 页手稿草稿,计划提交同行评审科学期刊。他还声称关于表意符号的见解有助于解决线性 B 翻译中的问题,验证了他的发现。

HN 热度 406 points | 评论 157 comments | 作者:Kosturdistan | 9 hours ago #

https://news.ycombinator.com/item?id=48600107

  • 线性 A 文本极度碎片化,大部分是清单,仅有的重复短语“Libation Formula”是主要研究基础。
  • 作者假设线性 A 中与线性 B 对应的符号具有相同音值,但可能包含希腊语未区分的音节(如送气/不送气 P)。
  • 若线性 A 是闪米特语,应能在希腊语中找到更多闪米特语借词,尤其是地名,但实际证据很少。
  • 仅凭一个词的部分音值匹配闪米特语词根(如 N-W-Y)就得出结论,证据过于薄弱,未解释其他音节。
  • 塞浦路斯名字源自闪米特语,但可能只是贸易往来结果,不能证明克里特原住民为闪米特人。
  • 民族和语言起源的讨论容易受民族主义与身份政治影响,例如一些希腊学者的研究可能带有确认偏误。
  • 作者使用 Claude Code 构建 Python 脚本进行系统性假设测试,这种工具辅助的研究方法值得肯定,而非黑箱式“解决”。

7. 挪威对小学实施近乎全面的 AI 禁令 (Norway imposes near ban on AI in elementary school) #

https://www.reuters.com/technology/norway-imposes-near-ban-ai-elementary-school-2026-06-19/

挪威政府将对小学(1-7 年级,6-13 岁)实施近乎全面的生成式人工智能禁令,认为 AI 会让孩子跳过学习关键步骤。首相斯托尔强调,学生首要任务是学会读写和数学。新规从 8 月下旬新学年开始执行:14-16 岁初中生可在教师监督下谨慎使用 AI;16-19 岁高中生则需学习适当使用 AI,为升学和工作做准备。此举是挪威应对教育成绩下滑的系列措施之一,此前已禁止学校使用智能手机,并计划增加课堂实体书籍投入,扭转依赖电脑平板的趋势。此外,政府还提议将儿童使用社交媒体的最低年龄提高至 16 岁。

HN 热度 384 points | 评论 248 comments | 作者:ilreb | 9 hours ago #

https://news.ycombinator.com/item?id=48600093

  • 13 岁以下孩子需要学习读写和理解文本,生成式 AI 无助于这些技能
  • 14-16 岁可在教师监督下谨慎使用 AI
  • 挪威 2024 年禁止校园智能手机并恢复教师纪律权值得称赞
  • AI 既是逃避学习的最佳工具,也是学习的最佳工具,关键在于用法
  • AI 检测器不可靠且歧视英语为第二语言的学生,禁止 AI 在家不现实
  • 若 AI 能成为更好的导师,可实现 1 对 1 个性化教育,但学校系统缺乏资源和意愿改革课程
  • 愚蠢掌权者导致愚蠢结果,AI 不改变这一点
  • LLM 无法帮助学习阅读,使用前需先能阅读并批判性思考
  • 我们仍在探索 AI,对孩子应谨慎
  • 孩子已在用 AI,社会需要组织应对这一现实
  • 不必现在就在孩子身上试验 AI,以后还有时间
  • 回归纸笔考试,延长在校时间做无互联网作业
  • 手机禁令增加社交但未提高成绩,AI 禁令效果待观察
  • 社交本身就是学习,是送孩子上学的主要目的
  • 8 岁孩子就能读写,不应将 AI 妖魔化,过去互联网也未禁止
  • 大量美国成年人阅读能力低下,责任不在 AI
  • 教育失败应归咎政府、学校、教师、家长等,不该怪 AI
  • 没人怪 AI,只是不能浪费孩子时间在无效工具上

8. AirPods 效应 (The AirPods Effect) #

https://www.theescapenewsletter.com/p/the-airpods-effect

作者马克姆·海德在返回美国时注意到,随处可见人们佩戴 AirPods 等耳机。他指出,从 2005 年到 2019 年,美国人平均每日说出的单词数量下降了 28%,而耳机普及可能加剧了这一趋势。

耳机最初用于避免尴尬交流,但如今已渗透到办公室、商店甚至高尔夫球场等本应互动的场合。数据显示,重度耳机使用者感到更孤独,也更少与陌生人进行有意义对话。大学生也反映,耳机让校园社交变得疏离,同学之间甚至教授与学生之间都减少了交流。

研究还发现,当人们通过耳机收听播客时,会认为播主更温暖、更具说服力和同理心,这进一步强化了人们对耳机中虚拟声音的依赖,而非现实对话。作者强调,日常闲聊看似微不足道,却对建立社会信任、增强归属感至关重要。耳机在提供便利的同时,也在无形中推远了人与人之间的距离。

HN 热度 377 points | 评论 674 comments | 作者:herbertl | 1 day ago #

https://news.ycombinator.com/item?id=48592832

  • 纽约市噪音(喇叭、地铁、施工)导致听力损伤,不戴 AirPods 不行。
  • 地铁上有疯子放音乐、乞讨、尖叫,需严格执法但政治不正确。
  • 美国大城市比巴西感觉更差,尽管更富裕。
  • 巴西将犯罪限制在特定区域,美国缺乏执法使 nuisance crime 扩散。
  • 问题在于政策而非财富。
  • 游客体验和实际居住不同。
  • 文章核心是咖啡店、电梯等场所随机社交减少,AirPods 阻止了打招呼。
  • BART 噪音大,MUNI 广播过多(应只报站)。
  • 不能既保护穷人又不执行针对穷人的法律。
  • 穷人可以守法,身份政治阻碍执法。
  • 解决贫困才是根本,但没人尝试。
  • 作者从小穷但没犯罪,父母教育重要;富人也犯罪。
  • 证据表明贫困不直接导致犯罪:彩票中奖者犯罪未减,遗传因素大于环境,黑人富人和白人穷人入狱率相同。
  • 穷人受违法行为影响更大,打击毒贩抢劫对穷人最有利。
  • 可以同时消除贫困和减少不平等。
  • 波罗的海国家没有这些乱象,但仍有戴耳机普遍现象。
  • 在森林徒步或高档咖啡馆也戴耳机,评论聚焦地铁反映评论者偏好。
  • 纽约地铁现在少表演,更烦人的是看手机僵尸走撞人。
  • 人们因不直接受影响(在家工作、私家车、AirPods 隔离)而容忍执法缺失。
  • 美国城市政治被天真的左派主导。

9. ATProto 中没有实例 (There are no instances in ATProto) #

https://overreacted.io/there-are-no-instances-in-atproto/

文章作者解释了 atproto(Bluesky 的底层协议)中没有“实例”概念的原因。传统 Mastodon 模式中,用户必须加入某个实例(如 yourname@ 实例名),身份与实例绑定,实例之间通过联邦通信。atproto 则像 RSS 与 Google Reader 的关系——将数据托管与应用聚合彻底分离:用户数据存放在自己选择的托管商(可随时迁移),各种第三方应用(如 Tangled、Semble)从所有托管商聚合内容,如同阅读器抓取博客。因此,Bluesky 的“去中心化”不体现在实例数量,而是体现在用户能否自由更换托管、开发者能否自由创建新应用。作者建议读者摆脱“实例思维”,用新一代视角理解去中心化社交。

HN 热度 325 points | 评论 191 comments | 作者:danabramov | 10 hours ago #

https://news.ycombinator.com/item?id=48599515

  • 作者刻意曲解“实例”一词以推广 ATProto,贬低 ActivityPub,忽略了协议的技术真相,如 Relay 的利弊和账户迁移的差异。
  • 在 ATProto/ActivityPub 语境中,“实例”特指托管用户数据和 URL 名的 ActivityPub 节点,ATProto 架构不同,没有传统实例概念,提问属于范畴错误。
  • P2P 社交媒体(加密身份、内容哈希、不可变性等)理论上可行,但实际无法满足用户对点赞、搜索、推荐等现代社交媒体的基本期待。
  • ATProto 设计部分源自 P2P(如 Scuttlebutt、IPFS),但选择聚合方案以实现类似 Web2.0 的体验。
  • 无法精确计算点赞可能是好事,但这不符合用户需求,阻碍普通用户采纳。
  • Nostr 是类似 P2P 方案,但实际体验差,内容多为垃圾信息,且与比特币社区绑定。
  • P2P 网络要么消耗手机电量,要么要求用户托管实例,排除了 99% 的潜在用户。
  • ActivityPub 是架构宇航员设计,缺乏现实实现;ATProto 和 Mastodon 才是实际落地。
  • mu.social 的 AppView 能提供编辑功能,但 AppView 与客户端概念容易混淆。

10. MCP 零接触 OAuth (Zero-Touch OAuth for MCP) #

https://blog.modelcontextprotocol.io/posts/enterprise-managed-auth/

企业托管授权(Enterprise-Managed Authorization,EMA)扩展现已稳定,允许组织通过身份提供商(IdP)集中管理 MCP 服务器访问权限,用户首次登录即可自动获得所有已授权的服务器连接,无需逐个进行 OAuth 授权。

EMA 解决了标准 MCP 授权模型在企业场景下的痛点:每个员工需手动授权每个服务器,安全团队无法统一执行策略,工作与个人账户容易混淆。新方式下,管理员在 IdP 中定义一次策略,用户使用现有身份登录 MCP 主机即可,IdP 根据组、角色和条件访问规则决定授权与否。底层流程是客户端从 IdP 获取身份断言 JWT,再向 MCP 服务器的授权服务器交换访问令牌,无需每服务器同意屏幕。

早期采用者包括:身份提供商 Okta(使用其 Cross App Access),客户端 Anthropic(Claude、Claude Code、Cowork)和 Visual Studio Code,服务器 Asana、Atlassian、Canva、Figma、Granola、Linear、Supabase 等。

如需参与,可阅读 EMA 规范文档、查看 ext-auth 仓库和草案规范,或加入 EMA 兴趣组讨论。

HN 热度 265 points | 评论 99 comments | 作者:niyikiza | 1 day ago #

https://news.ycombinator.com/item?id=48592163

  • MCP 将认证流程隔离出代理的上下文窗口,提高安全性并简化用户体验。
  • MCP 相比 skills 提供集中控制、易用性、审计合规和更好的部署模型。
  • Skills over MCP 的新标准正在制定中。
  • MCP 有助于工具版本控制和标准化,确保用户始终使用最新版本。
  • Claude CLI 的插件和插件市场也能解决技能部署问题。
  • 工具(skills)在技术上也能实现类似功能,但 MCP 是标准化方式。
  • MCP 允许极好的审计追踪和责任分离(如不同客户端使用不同账户)。
  • MCP 与 skills 并非二选一,不同工具适用于不同需求。
  • 通过 MCP 工具交付 skills 比原生 skills 更可靠,回忆率更高。
  • MCP 允许连接外部平台而无需运行时环境,适合云端隔离场景。
  • Skills 也能实现确定性操作,但 MCP 可能更慢且上下文开销不同。
  • 对普通用户而言,MCP 的“连接”概念比粘贴技能文件更易理解。
  • 普通用户直接粘贴 MCP 配置存在安全风险。
  • 官方目录和应用商店可以缓解安全风险。
  • MCP 工具搜索解决了技能发现的主要问题。
  • 渐进式披露方法可以应用于 MCP 以减少上下文膨胀。
  • MCP 的真正价值是在 API 之上添加语义层。

Hacker News 精彩评论及翻译 #

Hyundai buys Boston Dynamics #

https://news.ycombinator.com/item?id=48601155

Back in December 2020, Hyundai purchased an 80% controlling interest in Boston Dynamics from SoftBank for $880 million, part of a transaction that valued the robotics company at $1.1 billion. That agreement included a put option allowing SoftBank to sell its remaining stake to Hyundai at a later date.

SoftBank has now exercised that option.

giwook

2020年12月,现代汽车以8.8亿美元从软银手中收购了波士顿动力80%的控股权,该交易对这家机器人公司的估值为11亿美元。协议中包含一项看跌期权,允许软银在日后将其剩余股份出售给现代汽车。如今软银已行使该期权。

Hyundai buys Boston Dynamics #

https://news.ycombinator.com/item?id=48601029

I’m not sure how many times this has to be restated.

It’s car manufacturing. Everything that could be done by a purpose specific robot arm bolted down to the factory floor is already done by a purpose specific robot arm bolted down to the factory floor.

What remains unautomated, then?

The long tail of tasks that are too minor, too finicky, too open-ended or too reliant on manual dexterity to be offloaded onto traditional robots.

This is where this new generation of robotics comes in. This is the kind of task they’re designed to do: “a task that’s still done by a human in a high automation environment”. Universal robots are angling for the tasks that are impossible or uneconomical to automate with traditional industrial robots.

ACCount37

我不知道这需要重复说明多少次。

这是汽车制造业。所有可以由固定在生产车间地面的专用机械臂完成的工作,已经被固定在生产车间地面的专用机械臂完成了。

那么,还有什么没有实现自动化呢?

那些过于琐碎、过于精细、过于开放或过于依赖手动灵巧度,以至于无法交给传统机器人的长尾任务。

这正是新一代机器人发挥作用的地方。它们的设计目标正是这类任务:“在高度自动化的环境中仍然由人类完成的任务”。通用机器人瞄准的,正是传统工业机器人无法自动化或难以经济高效地自动化的那些任务。

Norway imposes near ban on AI in elementary school #

https://news.ycombinator.com/item?id=48603742

Pupils from first through seventh grade, aged 6 to 13, should as a general rule not be using AI, while those in lower secondary school, aged 14 to 16, can cautiously adopt tools under teachers’ supervision, the government said.

Sounds right to me. Kids under 13 need to learn to read, write and comprehend text. Generative AI is not going to help them with those skills.

They can play with AI at home, and after 13 they can learn how to use AI productively and, ideally, in a way that enhances rather than detracts from their education.

Also from the story:

Facing a broad decline in education test scores, the government in 2024 banned smartphones from schools and has given teachers back more powers to enforce discipline in the classroom.

A big hooray for that. Will be interesting to see what impact that has on Norway education - a quick search just now didn’t turn up any detailed studies, presumably those will show up eventually.

simonw

政府表示,一到七年级(6至13岁)的学生原则上不应使用人工智能,而初中阶段(14至16岁)的学生可以在教师监督下谨慎使用相关工具。

我觉得这很合理。13岁以下的孩子需要学习阅读、写作和理解文本,生成式人工智能对这些技能毫无帮助。

他们可以在家里玩AI,13岁之后再去学习如何高效地使用AI,最好是以一种能促进而非妨碍教育的方式。

此外,报道中还提到:

面对教育考试成绩普遍下滑的情况,政府于2024年禁止在学校使用智能手机,并重新赋予教师更多权力来维护课堂纪律。

这一点值得大声喝彩。看看这对挪威教育会产生什么影响将会很有趣——我刚刚快速搜索了一下,还没有找到详细的研究报告,但估计最终会有的。

Google workspace threatening to block Firefox acce… #

https://news.ycombinator.com/item?id=48600858

This is not a Google-wide thing… this is from Google’s Context-Aware Access product, which is configurable in Google Workspace environments. OP should direct their ire at their corporate IT or infosec team.

bgc

这不是谷歌全公司的政策……这来自谷歌的上下文感知访问产品,该产品可在Google Workspace环境中配置。楼主应该把怒气指向公司的IT或信息安全团队。

Hyundai buys Boston Dynamics #

https://news.ycombinator.com/item?id=48601836

Oh. It’s Softbank exiting humanoid robotics at Softbank’s discretion. That’s a lot different than " Hyundai buys Boston Dynamics". Hyundai bought them years ago. This is just the last 8%.

Animats

哦,是软银自行决定退出人形机器人业务。这和“现代收购波士顿动力”完全是两码事。现代几年前就收购了他们,这只是最后那8%的股份。

The AirPods Effect #

https://news.ycombinator.com/item?id=48596456

What I find interesting is that the article seems to imply that wearing earbuds to isolate is somewhat “unnatural” (for lack of a better term).

However it does not take into account that the kind of social interactions where people wear earbuds (i.e. loud and busy environments with many strangers, often physically closer than comfortable) is unnatural to begin with.

For me, isolating myself acoustically is a way to normalize such environments back to a more “natural” setting.

steve1977

有趣的是,这篇文章似乎暗示戴耳机隔绝外界是一种"不自然"的行为(姑且这么形容)。但它没有考虑到,人们戴耳机时所处的社交环境(即嘈杂拥挤、陌生人众多、物理距离近得令人不适的场合)本身就不自然。对我来说,通过声音将自己隔离起来,其实是将这类环境恢复成更"自然"状态的一种方式。

Modos Color Monitor Pushes E-Paper Displays Furthe… #

https://news.ycombinator.com/item?id=48585420

There is an awesome YouTube video about this from the person who made it: https://m.youtube.com/watch?v=nHbA2-_qzH4

varun_ch

有一个关于这个的精彩YouTube视频,来自制作它的人:https://m.youtube.com/watch?v=nHbA2-_qzH4

How Madrid built its metro cheaply (2024) #

https://news.ycombinator.com/item?id=48580167

Unlike infrastructure projects in Britain or America, which are heavily reliant on external consultants to handle all stages of the project, this group of well-paid in-house engineers led much of the Madrid Metro expansion. The team stayed largely the same throughout the different projects, meaning that they were able to learn from their experience and apply it to future projects.

Imagine that: building expertise in-house and within the governmental org results in better planning and management and thus outcomes.

thatmf

与英国或美国的基建项目不同,那些项目严重依赖外部顾问处理各个阶段的工作,而马德里地铁的扩建主要由一群高薪的内部工程师主导。在整个不同项目中,团队基本保持不变,这意味着他们能够从经验中学习,并将其应用于未来的项目。

试想:在政府机构内部培养专业知识,能带来更好的规划和管理,从而取得更好的成果。

I found 10k GitHub repositories distributing Troja… #

https://news.ycombinator.com/item?id=48587992

Why do they only clone new repositories, rather than popular ones? > Why do they delete a commit and push a new one every few hours?

Because this is not targetted to humans. It’s targetted to agents. They just need to appear on a fraction of the searches agents do to add dependencies and get lucky a couple times to start a new infection cluster.

Then to the more interesting question: why now?

  1. Agents, agents everywhere.

  2. MAJOR elections happening this year in the World, including US midterms and Brazilian mains. This appears to be an account-stealer worm - and my guess is it’s looking to all those sweet sweet Facebook/Instagram/Tiktok/Whatsapp accounts ready to bot their way into oblivion.

guhcampos

为什么他们只克隆新的仓库,而不是流行的仓库?
为什么他们每隔几小时就删除一个提交并推送一个新的?

因为这并不是针对人类的,而是针对代理的。他们只需要出现在代理进行的部分搜索中,以便添加依赖项,并幸运地成功几次,从而启动新的感染集群。

那么更值得关注的问题是:为什么是现在?

  1. 代理,到处都是代理。
  2. 今年全球有重大选举,包括美国中期选举和巴西大选。这似乎是一个盗号蠕虫——我猜测它正在瞄准那些Facebook、Instagram、TikTok、WhatsApp账户,准备用机器人操纵它们直至湮没。

How many of the 170k English words do you know? #

https://news.ycombinator.com/item?id=48599428

Interesting concept, but 100 words is really quite a lot to get through… It’s tiresome trudging through the easy words at the start, and I never got to see the interesting words before getting bored.

I’ve seen other systems like this calibrate far more quickly by assigning a sort of score and confidence behind the scenes. Confidence starts out low and increases over time - correct/incorrect answers rapidly adjust score at the beginning, then things settle down.

In practice this means you get a sequence of increasingly uncommon words initially, until you get one wrong, then you drop back to something easier until you start getting things right again, and eventually circle around words at your level.

Also - too many clicks per word. It’s low stakes, just let me click the definition once and I’ll live if I misclick (or add an undo button).

sd9

有趣的概念,但100个单词真的太多了……一开始艰难地读完那些简单词汇令人疲惫,还没等到看到有趣的词就已经厌倦了。

我见过其他类似系统通过后台分配某种分数和置信度来更快地校准。置信度起初很低,随时间逐渐提高——正确/错误答案在开始时能迅速调整分数,随后趋于稳定。

实际操作中,这意味着你会先看到一系列逐渐生僻的词,直到答错一个,然后回退到更简单的词,直到你重新答对,最终围绕你当前水平的词循环。

另外——每个词点击次数太多。这又不是高风险操作,让我点一次定义就行了,就算点错也无妨(或者加个撤销按钮)。

Ubiquiti: Enterprise NAS, Built on ZFS #

https://news.ycombinator.com/item?id=48586360

Ubiquiti’s biggest feature is no monthly recurring cost. I really hope they continue the streak on products like this. Seems like anything else bought up these days is switched to an MRR model with no vision into the long term viability.

exabrial

Ubiquiti最大的特点是没有月费。我真心希望他们能在这类产品上继续保持这种模式。如今被收购的其他产品似乎都转向了月经常性收入模式,完全没有考虑长期可行性。

The AirPods Effect #

https://news.ycombinator.com/item?id=48600871

Yeah, great article. But it should get to the point.

The reason you need to physically remove yourself is because of the insane lunatics that blast trash music and do a dance while aggressively panhandling or screaming at you for trying to commute quitely on the train to work. A hallmark of daily life when I worked in SF and in NYC.

A great way to fix the fake problem would be to aggressively enforce the existing laws, starting with tickets, and if that doesn’t work, incarceration. Apparently it’s not politically correct to do that though so I guess we are all second class citizens who need to live in a low trust society where people are increasingly isolated.

oceanplexian

是啊,文章写得好,但应该直截了当。

你之所以需要让自己从物理上离开,是因为那些疯狂的疯子会大声播放垃圾音乐、跳着舞,同时咄咄逼人地乞讨,或者冲着想要在火车上安静通勤去上班的你尖叫。这是我在旧金山和纽约工作时日常生活的标志性场景。

解决这个假问题的一个好办法就是严格执行现有法律,从开罚单开始,如果不管用就监禁。但显然这在政治上不正确,所以我猜我们都是二等公民,必须生活在一个低信任度的社会里,人们越来越孤立。

W Social, public institutions and the theater of E… #

https://news.ycombinator.com/item?id=48584604

W Social felt extremely shady since their first advertisement on HN.

Also, for all their talk about human verification, I have 6 accounts under different names :)

pocksuppet

W Social 从在 HN 上投放第一则广告起就显得极其可疑。而且,尽管他们大谈特谈人工验证,我依然注册了6个不同名字的账户 :)

Microsoft new Outlook takes 10 seconds to do what … #

https://news.ycombinator.com/item?id=48584575

Started a new job, with Windows 11. notepad.exe now takes 3 to 4 seconds to load on my work system… (even after closing the last tab and reopening the program).

Hah, it even has in-app purchases, for AI writing…

netsharc

开始新工作,用的Windows 11。现在notepad.exe在我的工作系统上加载需要3到4秒……(即使关闭最后一个标签页并重新打开程序也是如此)。哈,它甚至还有内购,用于AI写作……

AMD silently removes memory encryption from consum… #

https://news.ycombinator.com/item?id=48582778

This was never marketed as a feature of the consumer CPUs and if some malignant actor does get physical access to my (consumer) hardware, then them being able to read out bytes through cryo-freezing the RAM really isn’t high up on the list of things I’m going to worry about.

thg

这从未作为消费级CPU的功能进行宣传,而且如果有恶意行为者确实能物理接触到我的(消费级)硬件,那么他们通过冷冻RAM来读取数据,其实远不是我需要担心的事情。

AI Engineer Claims to Have Cracked Linear A #

https://news.ycombinator.com/item?id=48602132

Ciao. I’m Tom di Mino, and I’m on vacation in Bellingham, Washington right now. I’ll get back to you later with a formal response.

I’ve also reached out to Dr. Ester Salgarella, so I’m familiar with attempts to apply computational analysis to the corpus, and where previous efforts erred.

tamarru

你好。我是汤姆·迪米诺,目前正在华盛顿州贝灵厄姆度假。稍后我会给你一个正式回复。

我还联系了埃斯特·萨尔加雷拉博士,因此了解将计算分析应用于语料库的尝试,以及之前努力中的失误之处。

https://news.ycombinator.com/item?id=48592159

I’m glad it all worked out for this individual. I hope more people live their lives like this as the dystopia progresses.

Unfortunately, especially in the US, exercising your rights, or even just reading every paper you’re expected to put your name to, not only constantly pisses people off for some reason, but also puts you at a significant disadvantage compared to the people that never push back in the interest of not making waves, or even because “whatever it’s fine.”

engeljohnb

我很高兴这个人最终一切顺利。随着反乌托邦的推进,我希望更多人能像这样生活。
不幸的是,尤其是在美国,行使你的权利,甚至只是阅读每一份要求你签名的文件,不仅会莫名其妙地不断惹恼别人,还会让你相比于那些为了不惹事、甚至因为“随便吧,没事”而从不反抗的人,处于显著的劣势。

The Korean telecom giant at the center of Anthropi… #

https://news.ycombinator.com/item?id=48591709

The articles and discussion around this and the Amazon story all seem to me to be an earnest tech press and community searching for a genuine reason for the administration blocking Anthropic’s models.

However, thinking back to the spat with the DoD and more generally how the administration is much more supportive - and supported by - OpenAI and XAI and it’s easy to imagine this is just another escalation in the fight between a “liberal leaning” company and its competitors and the administration.

There might have been something said by someone at Amazon or something but I’d guess Occam’s razor the administration just leapt at the chance after their supplier sanctions fell flat?

wood_spirit

关于这则报道和亚马逊故事的讨论,在我看来,不过是科技媒体和业界在努力为政府封禁Anthropic模型寻找一个正当理由。但回顾一下政府与国防部的摩擦,以及更广泛来看,政府对OpenAI和XAI的支持力度远大于其他企业,就能推测这不过是政府与这家"偏自由派"公司及其竞争对手之间斗争的又一次升级。也许亚马逊那边有人说过什么,但依我看,奥卡姆剃刀原则告诉我们:当政府对供应商的制裁落空后,他们只是逮住机会就动手了。

Noam Shazeer Joins OpenAI #

https://news.ycombinator.com/item?id=48590869

Some context for people who haven’t followed the full loop: Shazeer was a long-time Google researcher, joined Google in 2000, and was one of the co-authors of “Attention Is All You Need.”

He left Google in 2021 to co-found Character.AI. In 2024, Google brought him and some Character.AI researchers back via a licensing/talent deal with Character.AI (reportedly around $2.7B). He was then made a Gemini co-lead.

Now he’s leaving Google again for OpenAI.

Exciting times!

gzer0

对于没有全程关注的读者,补充一些背景:Shazeer是谷歌的长期研究员,2000年加入谷歌,是《Attention Is All You Need》的合著者之一。他于2021年离开谷歌,共同创立了Character.AI。2024年,谷歌通过与Character.AI的授权/人才协议(据报道价值约27亿美元)将他及部分Character.AI研究员召回,随后他被任命为Gemini的联合负责人。如今他再次离开谷歌,加入OpenAI。激动人心的时刻!

Swiss parliament lifts ban on new nuclear power pl… #

https://news.ycombinator.com/item?id=48587327

This still has to pass with the people in a referendum.

The discourse on nuclear is still quite chaotic in politics in Switzerland. All left leaning parties and greens parties are strongly against nuclear. I am not expecting informed and civil discussions about this topic.

Switzerland has a summer/winter energy problem. We have lots of potential of producing energy in the spring and summer (when our dams are full from the melting of snow and the sun is shining), and much less so in the winter. We can still improve 10 to 20% our hydro production, but that’s it. All the water sheds are already well used and rely on our glaciers to replenish, which will become less predictable with climate change.

We shouldn’t completely closing the doors to all forms of nuclear technology. Obviously, we can’t build blindy without any considerations. But we may need it on the second half of the century, especially if we are going to electrify all forms of transport. We can’t be buying France’s nuclear energy all the time.

jokteur

这还需要在全民公投中获得通过。

在瑞士政坛,关于核能的讨论仍然非常混乱。所有左翼政党和绿党都强烈反对核能。我并不指望能就这个话题展开理性且有风度的讨论。

瑞士存在夏季/冬季的能源问题。我们在春季和夏季(当积雪融化使水库蓄满,阳光充足时)有很大的发电潜力,而冬季的发电量则少得多。我们的水力发电量还能再提高10%到20%,但也就到此为止了。所有流域都已经得到充分利用,并且依赖冰川来补充水源,而随着气候变化,冰川补给将变得更加难以预测。

我们不应该完全关闭所有形式的核能技术的大门。显然,我们不能盲目建设而不加考虑。但在这个世纪下半叶,我们可能需要它,特别是如果我们要让所有交通工具实现电气化的话。我们不能一直从法国购买核能。

Wages in America Are Too Low for the 30% Rule to W… #

https://news.ycombinator.com/item?id=48585228

The problem is absolutley that housing is too expensive, which of course a bunch of realtors are not going to point out.

Increasing wages will not fix the housing crisis, and will just drive prices higher. How convenient for a bunch of realtors…

WarmWash

问题绝对在于房价过高,这当然是一群房产经纪人不会指出的。提高工资并不能解决住房危机,只会推高房价。对这群房产经纪人来说真是方便……

AI Engineer Claims to Have Cracked Linear A #

https://news.ycombinator.com/item?id=48600108

A lot of loonies make this claim, but Tom’s work is credible enough that it’s being reviewed by linguistics experts at Rutgers and Cambridge. Additional validation: his approach produces results. He’s translated over 300 words, and that’s never been done before, and his solution actually solves some problems in Linear B. Tom is an AI engineer, and Claude Code was key to his work. Disclosures: I know Tom socially, and I wrote the post at the link.

Kosturdistan

很多怪人都在这么说,但汤姆的工作足够可靠,已经得到罗格斯大学和剑桥大学语言学专家的审查。此外,他的方法确实能产出成果:他已经翻译了300多个单词,这是前所未有的,而且他的方案确实解决了一些线形文字B的问题。汤姆是一名AI工程师,Claude Code是他工作的关键。声明:我和汤姆私下认识,并且我写了链接中的那篇文章。