每日科技新知 NO.20250301：Hacker News 中文解读，科技前沿热点速递

111 ## Hacker News 中文精选 NO.20250301 一个基于 Hacker News 的中文日报项目，每天自动抓取 Hacker News 热门文章及评论，通过 AI 生成中文解读与总结，传递科技前沿信息。 ![Hacker News 中文精选](https://cdn.wangtwothree.com/imgur/f6uVgbS.jpeg) --- ## GrapheneOS 成功阻止 Cellebrite 利用的三个 Android 零日漏洞 GrapheneOS 通过其安全措施成功阻止了 Cellebrite 利用的三个 Android 零日漏洞，这些漏洞涉及 Linux 内核 USB 驱动中的堆溢出和未初始化堆内存问题。GrapheneOS 提前发布了这些漏洞的补丁，甚至早于 Pixel 操作系统和 Android 安全公告。 GrapheneOS 使用了诸如 use-zero-on-free 以及 zero-on-allocate 或分配时的 write-after-free 检查等技术来缓解这些漏洞的影响。对于配备硬件内存标记 (MTE) 的设备，这些操作会作为标记的一部分执行。GrapheneOS 最近为 Linux 内核启用了硬件内存标记 (MTE)，此前已通过 hardened_malloc 为用户空间部署了一年多。MTE 提供了内存安全的近似值，并且可以随着时间的推移而改进。这些漏洞包括 CVE-2024-53104（Linux 内核 USB 网络摄像头驱动中的堆溢出）、CVE-2024-53197（Linux 内核 USB 声卡驱动中的堆溢出）和 CVE-2024-50302（Linux 内核 USB 触摸板驱动中未初始化的堆内存）。其中，CVE-2024-50302 在 GrapheneOS 上是良性的。GrapheneOS 还显著改进了自 2024 年 1 月以来针对取证数据提取的防御措施。评论中，有人好奇 GrapheneOS 使用的具体技术来阻止漏洞利用。GrapheneOS 回应说，MTE 和内核自保护可以阻止或使针对 Android USB 驱动的零日漏洞利用链更难利用。此外，禁用 USB 并将其设置为仅充电模式也可以在硬件层面阻止攻击。有人质疑 Google 是否了解 GrapheneOS 采用的技术以及如何自行启用这些技术，并询问提供这些缓解措施的缺点是什么。例如，零填充释放内存的性能影响是否很大？默认情况下提供阻止 USB 设备的设置是否会对用户体验产生严重影响？另有评论指出，GrapheneOS 等安全操作系统在实际威胁缓解方面超越了 Android。如果 Cellebrite 等取证工具仍然可以利用主流 Android 设备，那么我们应该对 Google 的安全模型抱有多大的信任？这是否表明，对于注重隐私的用户来说，强化的用户控制操作系统才是真正的解决方案？但也有人认为，在云备份/恢复等基本功能在 GrapheneOS 上实现之前，它在应对复杂的定向攻击时显得无关紧要。对于普通用户而言，iOS 在开箱即用时比流行的 Android 手机更安全，并且带有 Lockdown 模式的 iOS 甚至优于 GrapheneOS。 - 原文: [GrapheneOS blocked exploitation of 3 Android zero-days used by Cellebrite](https://grapheneos.social/@GrapheneOS/114081753914226921) - Hacker News: [https://news.ycombinator.com/item?id=43218872](https://news.ycombinator.com/item?id=43218872) - 作者: akyuu - 评分: 90 - 评论数: 20 - 发布时间: 2025-03-01 21:06:17 --- ## 探索“Vibe Coding”：无需编程也能构建软件的未来？本文介绍了“Vibe Coding”这一新兴概念，它允许没有编程知识的创作者也能构建应用程序、网站和工具。通过AI工具，用户只需描述需求，AI即可生成代码，极大地降低了软件开发的门槛。文章详细解释了Vibe Coding的定义，它是由AI工程师Andrej Karpathy提出的，指的是一种完全依赖AI生成代码的开发方式，开发者只需通过自然语言与AI交流，描述需求并进行迭代。与传统的编程方式相比，Vibe Coding所需的技能更少，开发时间更短，但灵活性也受到一定的限制。文章还对比了传统编码、低代码平台和Vibe Coding三种方式的差异，强调Vibe Coding是软件开发领域的一次重大进化，它让开发者可以专注于表达意图，而不是编写代码。对于创作者而言，Vibe Coding具有颠覆性的意义。它降低了技术门槛，使创作者能够快速创建自定义工具，测试想法，增加收入来源，并优化工作流程。文章通过一个构建播客脚本计时器的例子，展示了Vibe Coding的实际应用过程，包括选择工具、描述想法、审查结果、通过对话改进以及部署和分享。评论区里，有人对Vibe Coding的未来表示乐观，认为它将彻底改变软件开发的模式，让更多人参与到创新中来。也有人持谨慎态度，认为AI生成的代码可能存在质量问题，并且过度依赖AI可能会削弱开发者的技术能力。还有人指出，Vibe Coding更适合快速原型设计和小型项目，对于复杂的企业级应用，仍然需要专业的开发团队。总的来说，Vibe Coding作为一种新兴的开发方式，具有巨大的潜力，但也面临着一些挑战，需要在实践中不断完善。 - 原文: [What is vibe coding? How creators are building software with no coding knowledge](https://alitu.com/creator/workflow/what-is-vibe-coding/) - Hacker News: [https://news.ycombinator.com/item?id=43218410](https://news.ycombinator.com/item?id=43218410) - 作者: Bocajmai - 评分: 46 - 评论数: 87 - 发布时间: 2025-03-01 19:57:09 --- ## Intel 俄亥俄州芯片工厂延期至 2030 年据路透社报道，Intel 将其在俄亥俄州的 280 亿美元芯片工厂的投产时间推迟到 2030 年。最初计划于 2025 年投产，但现在面临着长达五年的延期。这个消息引发了对 Intel 未来发展和美国芯片制造业竞争力的担忧。评论区主要讨论了延期原因、政府补贴的影响、以及美国芯片制造业的未来。评论中，有人指出 Intel 多年来在股票回购上花费了大量资金，质疑其对政府补贴的依赖性。他们认为，企业高管的薪酬与短期利润挂钩，导致公司决策短视，忽视了长期投资和技术创新。还有人担心，如果美国与欧盟的关系恶化，美国可能无法获得先进的芯片制造设备，从而影响其芯片产业的发展。他们认为，美国国内市场可能不足以支撑先进芯片制造厂的盈利，需要考虑国际合作和市场拓展。此外，有人质疑将芯片制造厂设在俄亥俄州等地的可行性，认为这些地区缺乏必要的供应链和人才支持。他们认为，芯片制造业的成功需要高度集中的产业集群，而不是分散的区域发展项目。也有评论指出，TSMC 在亚利桑那州的扩张也在延迟，这表明芯片制造业面临着普遍的挑战。他们质疑 Intel 是否有足够的资金、需求和执行力来按计划推进其在美国的扩张。最后，一些评论认为，Intel 的衰落是长期垄断的结果，缺乏竞争导致其创新能力下降。他们认为，政府应该加强对企业的监管，防止其滥用市场力量，阻碍创新。 - 原文: [Intel delays $28B Ohio chip fabs to 2030](https://www.reuters.com/technology/intel-delays-28-billion-ohio-chip-factory-2030-local-media-reports-2025-02-28/) - Hacker News: [https://news.ycombinator.com/item?id=43218915](https://news.ycombinator.com/item?id=43218915) - 作者: alephnerd - 评分: 124 - 评论数: 79 - 发布时间: 2025-03-01 21:12:36 --- ## 数百万用户受影响：Todesktop 漏洞导致多款流行应用面临代码执行风险本文讲述了安全研究员 Eva 如何在 Electron 应用打包服务 Todesktop 中发现一个严重漏洞，该漏洞可能导致攻击者在数百万用户的设备上执行任意代码，影响包括 ClickUp、Cursor、Linear 和 Notion Calendar 等知名应用。 Eva 首先在 Cursor 的安装过程中注意到 Todesktop，并对其产生了兴趣。通过对 Todesktop 的 Firebase 配置进行侦查，她发现了一个不安全的集合，并进一步研究了 `@todesktop/cli` 工具。在 CLI 工具的源码中，她发现了一个任意 S3 上传漏洞，但由于缺乏合适的 S3 密钥，她继续寻找其他攻击途径。最终，她通过在 `package.json` 中添加一个 postinstall 脚本，成功劫持了部署流程，并在构建容器中发现了一个硬编码的 Firebase 管理员密钥。利用该密钥，她可以向任何使用 Todesktop 的应用推送自动更新，从而实现远程代码执行。该漏洞影响巨大，可能波及数百万科技从业者。Todesktop 团队在得知漏洞后迅速响应，并与 Eva 合作修复了该问题。目前，构建容器已采用特权 sidecar 模式，负责签名和上传等操作，避免用户代码直接接触敏感信息。评论区对该事件展开了热烈讨论。Electron 维护者 felixrieseberg 强调了代码签名和自动更新机制的重要性，并建议开发者避免过度抽象和过长的依赖链。Todesktop 创始人 Davej 对此表示歉意，并分享了官方的事件报告，详细介绍了安全实践的改进措施。有评论指出，这已经是 Eva 在短时间内发现的第二个 Firebase 相关漏洞，并质疑 Google 是否应该为开发者提供更安全的 Firebase 配置方案。同时，也有人赞扬 Cursor 慷慨地提供了 5 万美元的漏洞赏金，体现了其对安全和社区的承诺。 - 原文: [How to gain code execution on hundreds of millions of people and popular apps](https://kibty.town/blog/todesktop/) - Hacker News: [https://news.ycombinator.com/item?id=43210858](https://news.ycombinator.com/item?id=43210858) - 作者: xyzeva - 评分: 862 - 评论数: 209 - 发布时间: 2025-03-01 05:05:35 --- ## 家庭刻录黑胶唱片热潮：记录生活点滴的新方式文章讲述了在2025年，一种家庭刻录黑胶唱片的新兴趋势，人们使用小型刻录机在家中制作个性化的黑胶唱片。这种趋势让人们能够以独特的方式保存声音记忆，例如婴儿的第一句话或者家庭聚会的声音。文章提到，这种小型刻录机变得越来越普及，价格也更加亲民，使得更多人能够参与到黑胶唱片的制作中。一些小型工作室也开始提供黑胶刻录服务，满足人们对于个性化音乐载体的需求。文章还探讨了这种趋势对于音乐产业的影响，认为它为独立音乐人和小型乐队提供了一种新的发行渠道。同时，文章也提到了黑胶唱片制作的一些技术细节和挑战，例如如何选择合适的材料、如何调整刻录机的参数等。一些爱好者还在社区中分享自己的经验和技巧，共同推动这项技术的发展。这种家庭刻录黑胶唱片的热潮，不仅仅是一种技术上的创新，更是一种文化上的回归，让人们重新体验到声音的魅力和价值。评论区里，有人对这种技术表示好奇，想了解更多关于刻录机的品牌和型号。也有人认为这是一种很有趣的DIY项目，可以用来制作独特的礼物或者纪念品。还有人担心这种技术的普及可能会导致盗版问题的出现，需要加强版权保护。一些音乐爱好者则表示，他们更喜欢购买专业的黑胶唱片，因为音质更有保障。大家普遍认为，这种家庭刻录黑胶唱片的方式，为音乐爱好者提供了一种新的选择，也为音乐产业带来了新的可能性。 - 原文: [The vinyl-carver sparking a craze for cutting records at home](https://www.theguardian.com/music/2025/feb/25/vinyl-carver-lathe-cutters-home-cutting-records-craze) - Hacker News: [https://news.ycombinator.com/item?id=43175201](https://news.ycombinator.com/item?id=43175201) - 作者: n1b0m - 评分: 50 - 评论数: 22 - 发布时间: 2025-02-26 02:02:31 --- ## 分析迷幻药体验报告：神经科学家探索视觉感知的奥秘本文介绍了神经科学家 Sean Noah 如何与 Erowid 合作，利用大型语言模型分析迷幻药体验报告，以更深入地了解药物对视觉感知的影响。这项研究旨在通过分析 Erowid 网站上发布的数万份体验报告，揭示迷幻药产生的各种视觉效果，并探索人类视觉的本质。 Noah 解释说，Erowid 拥有一个庞大的公开体验报告数据库，其中包含关于各种精神活性物质的详细记录。他们与 Erowid 合作，使用大型语言模型来分析这些报告，识别并分析其中描述的视觉效果。这种方法与传统的调查问卷方式不同，后者可能会预先设定研究方向，而他们的方法则更注重让数据本身说话，从而更全面地了解迷幻药的视觉效应。研究人员首先定义了一些常见的视觉效果类型，例如颜色变化、表面“呼吸”、视觉轨迹和几何图案。他们发现，在体验报告中，只有不到 5% 的句子描述了视觉效果，因此需要对报告进行过滤，才能提取出相关信息。研究结果显示，迷幻药产生的视觉效果最为显著，而阿片类药物则最少。 Noah 还提到，他对一些视觉效果的出现频率感到惊讶。例如，他原本以为会经常出现的与实体（如精灵）的遭遇，实际上并不常见。相反，他发现人们更频繁地报告看到符号、字母和机械装置。这些发现为进一步研究迷幻药的视觉效应提供了新的线索。这项研究的最终目标是开发一种更有效的工具，用于识别个体中的基本或特定视觉效果。通过这种工具，研究人员可以研究大脑如何产生视觉感知。他们认为，迷幻药是改变意识和感知的强大工具，但我们尚未完全了解其所有影响。通过对迷幻药视觉效应的分类，我们可以更深入地了解视觉和认知之间的关系。评论区里，有人对这项研究的科学性和客观性表示赞赏，认为它为我们了解意识和感知提供了新的视角。也有人对使用大型语言模型分析体验报告的方法提出质疑，认为这种方法可能会受到数据偏差的影响。还有人分享了自己使用迷幻药的经历，并对研究结果提出了自己的看法。总的来说，评论区的观点多样，反映了人们对迷幻药研究的不同态度和看法。这项研究引发了人们对意识、感知和药物影响的深入思考，也为未来的研究提供了新的方向。 - 原文: [What do people see when they're tripping? Analyzing Erowid's trip reports](https://themicrodose.substack.com/p/what-do-people-see-when-theyre-tripping) - Hacker News: [https://news.ycombinator.com/item?id=43171007](https://news.ycombinator.com/item?id=43171007) - 作者: cainxinth - 评分: 63 - 评论数: 86 - 发布时间: 2025-02-25 20:27:30 --- ## 自建 Firefox Sync 服务器的实践指南本文作者分享了自建 Firefox Sync 服务器的详细过程，包括遇到的问题和解决方案，为希望掌控自己数据同步的开发者提供了有价值的参考。作者最初尝试使用 Mozilla 官方的 `syncserver` 仓库，但发现该项目已不再维护，并被推荐使用 Rust 实现的 `syncstorage-rs`。然而，`syncstorage-rs` 的 Docker 文档较为复杂，让作者感到困惑。幸运的是，作者找到了 `dan-r/syncstorage-rs-docker` 仓库，该仓库提供了一个更简单的 Docker 设置，解决了官方文档的不足。在配置过程中，作者使用了 Docker Compose 来管理 MariaDB 数据库和 Firefox Sync 服务器。作者还分享了一些实用技巧，例如避免在数据库密码中使用特殊字符，以及使用 `BUILDKIT_INLINE_CACHE` 来优化 Docker 镜像构建。此外，作者还遇到了数据库持久性、服务器存储空间不足以及步骤不明确等挑战，并分享了相应的解决方案。最终，作者成功搭建了自己的 Firefox Sync 服务器，并使用 Caddy 反向代理进行配置。总的来说，自建 Firefox Sync 服务器并非易事，但通过社区的努力，例如 `syncstorage-rs-docker` 仓库，使得这一过程变得可行。评论区中，有用户指出，即使自建了 Sync 服务器，仍然依赖 Mozilla 的基础设施来处理身份验证、电子邮件和账户元数据等服务。虽然这是一个好的开始，但如果想要完全自托管所有组件，还需要进行更多的工作。该用户分享了 Mozilla FxA 的相关链接，为那些希望进一步探索完全自托管方案的开发者提供了参考。另有用户提到，Garuda Linux 已经为其 FireDragon 浏览器托管了自己的 Firefox Sync 服务器。这表明自建 Firefox Sync 服务器在实践中是可行的，并且已经被一些组织所采用。 - 原文: [Self-Hosting a Firefox Sync Server](https://blog.diego.dev/posts/firefox-sync-server/) - Hacker News: [https://news.ycombinator.com/item?id=43214294](https://news.ycombinator.com/item?id=43214294) - 作者: shantara - 评分: 293 - 评论数: 67 - 发布时间: 2025-03-01 09:03:48 --- ## 开源替代方案：AlternativeOSS 软件目录 AlternativeOSS 是一个开源软件替代方案目录，旨在帮助用户发现和比较流行的商业软件的开源替代品。该网站提供每周推荐，并通过清晰的界面提供搜索和排序功能，方便用户查找合适的工具。该目录收录了众多开源项目，涵盖后端平台、写作应用、浏览器、图标库、邮件应用、密钥管理系统、分析基础设施、代码编辑器、内容平台、工作流自动化工具、邮件发送平台、投票平台、链接管理平台、记忆卡片程序和项目管理工具等多个领域。例如，Appwrite 是一个开源后端平台，Zettlr 是一个注重隐私的写作应用，Zen Browser 是一个基于 Firefox 的隐私浏览器，Lucide 是一个开源图标库。其他值得关注的项目包括 Mail0（开源邮件应用）、Vault（密钥管理系统）、Trench（分析基础设施平台）、Zed（协作代码编辑器）、Postiz（社区驱动的内容平台）、Windmill（工作流自动化平台）、Postal（邮件发送平台）、Clickvote（投票平台）、Dub（链接管理平台）、Anki（记忆卡片程序）和 Plane（项目管理工具）。这些工具都致力于提供免费、开源的解决方案，以替代商业软件。评论区中，开发者 @paulboguta 表示，他五天前开始构建这个列表，经过一个小型的黑客马拉松，他认为这个列表比他自己的 Chrome 书签列表更有用。他还努力使网站看起来更美观，并添加了一些用户体验功能，例如搜索和排序。他希望有人觉得它有用。另一位评论者 @darthrupert 提出了一个疑问，他认为 Zen Browser 似乎不像是任何付费软件的替代品。这表明，用户对于某些开源替代方案的适用性和目标用户可能存在不同的看法。 - 原文: [Show HN: Open-source alternatives to tools you pay for](https://alternativeoss.com) - Hacker News: [https://news.ycombinator.com/item?id=43219052](https://news.ycombinator.com/item?id=43219052) - 作者: paulboguta - 评分: 8 - 评论数: 3 - 发布时间: 2025-03-01 21:31:58 --- ## Mastodon：保持信息更新的最佳方式 Mastodon 是一种去中心化的社交网络，它提供了一种按时间顺序查看关注者动态的方式，没有算法、广告或诱导点击的内容。用户可以跨联邦宇宙关注任何人，在一个地方查看所有信息。与传统的社交媒体平台不同，Mastodon 强调用户控制和社区自治。每个 Mastodon 实例（服务器）都有自己的规则和管理方式，用户可以选择加入符合自己价值观的实例。这种去中心化的结构使得 Mastodon 更加抗审查，也更难被单一实体控制。 Mastodon 的界面简洁明了，用户可以发布文字、图片、视频等内容，并与其他用户互动。由于没有算法的干扰，用户可以看到所有关注者的内容，不会错过任何重要信息。此外，Mastodon 还支持自定义表情符号、主题等功能，让用户可以个性化自己的体验。评论区目前只有一个标记为 "dead" 的评论，可能表示该评论已被删除或隐藏。这可能是因为该评论违反了社区规则，或者被用户举报。由于缺乏更多信息，无法对该评论进行深入分析。总的来说，Mastodon 提供了一种与传统社交媒体不同的选择，它强调用户控制、社区自治和信息透明。对于那些厌倦了算法推荐和广告轰炸的用户来说，Mastodon 可能是一个不错的选择。然而，由于其去中心化的特性，用户需要花一些时间来了解和适应不同的实例规则和文化。 - 原文: [Claude 3.7 in Cursor is eager – sometimes a bit too eager](https://mathstodon.xyz/@pmigdal/114087340065429837) - Hacker News: [https://news.ycombinator.com/item?id=43219506](https://news.ycombinator.com/item?id=43219506) - 作者: stared - 评分: 5 - 评论数: 0 - 发布时间: 2025-03-01 22:26:47 --- ## 美国国家公园和森林面临预算削减引发争议美国国家公园管理局和美国森林管理局的预算削减引发了公众的强烈反对，人们担心这会对公园运营、游客安全和自然环境造成负面影响。具体而言，国家公园管理局的员工削减了 5%，美国森林管理局的员工削减了 10%。预算削减的影响已经显现，有游客反映，由于人手不足，国家公园秩序混乱，这令人感到难过。有人担心，由于缺乏监控和应急响应人员，可能会发生游客伤亡或自然环境破坏的事件。一位公园管理员建议游客避开黄石、冰川、优胜美地等大型著名国家公园，转而前往游客/员工比例不那么紧张的小型公园和州立公园。评论区观点呈现出多样性。一些人认为，削减比例并不算过分。另一些人则强烈反对，认为国家公园是美国的瑰宝，应该得到充分的保护和维护。还有人批评政府将资金浪费在其他方面，例如前总统特朗普的出行，认为这些花费超过了国家公园预算削减所节省的资金。甚至有人提议将所有机构私有化。总的来说，关于国家公园预算削减的讨论集中在以下几个方面：预算削减的合理性、对公园运营和游客安全的影响、政府资金分配的优先顺序以及国家公园的价值和定位。这场争论反映了人们对环境保护、公共服务和政府责任的不同看法。 - 原文: [Cuts to US national parks and forests met with backlash](https://www.bbc.com/news/articles/czx7kez4vx2o) - Hacker News: [https://news.ycombinator.com/item?id=43219297](https://news.ycombinator.com/item?id=43219297) - 作者: throw0101c - 评分: 34 - 评论数: 12 - 发布时间: 2025-03-01 22:00:11 --- ## 每日 Azure 吐槽：一个 Mastodon 上的 Azure 吐槽账号这个 Mastodon 账号 @azureshit 专门收集用户在使用 Microsoft Azure 云服务时遇到的各种问题和槽点。通过这个账号，开发者可以了解到 Azure 在实际使用中可能存在的各种坑，从而在技术选型时更加谨慎。这个账号的内容主要集中在 Azure 的各种缺陷，例如服务不稳定、文档不准确、API 设计糟糕、用户体验差等等。用户分享了他们在 Azure 上遇到的各种奇葩问题，例如虚拟机频繁宕机、网络连接不稳定、数据库性能差等等。这些问题不仅影响了开发效率，也给用户带来了很大的困扰。一些用户甚至表示，他们已经放弃使用 Azure，转而选择其他云服务提供商。评论区里，大家纷纷分享了自己使用 Azure 的经历和感受。有人吐槽 Azure 的 API 设计混乱，文档不准确，让人无从下手。有人抱怨 Azure 的服务不稳定，经常出现各种奇怪的问题。还有人批评 Azure 的用户体验差，操作繁琐，让人感到沮丧。当然，也有一些人认为 Azure 在某些方面还是有优势的，例如与 Microsoft 其他产品的集成度较高。总的来说，评论区对 Azure 的评价褒贬不一，但负面评价占据了主导地位。许多开发者对 Azure 的稳定性和易用性表示不满，认为它不如 AWS 和 GCP 等其他云服务提供商。不过，也有一些开发者认为 Azure 在某些特定场景下还是有其价值的。值得注意的是，一些评论提到，对于小型公司或者不使用容器技术的公司来说，Cloudflare 可能是一个更好的选择。Cloudflare 在开发者体验方面表现出色，可以避免与大型云服务提供商打交道时遇到的各种问题。总之，这个 Mastodon 账号和评论区提供了一个了解 Azure 优缺点的窗口。开发者在选择云服务提供商时，应该综合考虑各种因素，选择最适合自己需求的平台。 - 原文: [400 reasons to not use Microsoft Azure](https://azsh.it) - Hacker News: [https://news.ycombinator.com/item?id=43210536](https://news.ycombinator.com/item?id=43210536) - 作者: SlyHive - 评分: 606 - 评论数: 318 - 发布时间: 2025-03-01 04:51:34 --- ## DOGE 员工 GitHub 泄露项目信息引争议一名 DOGE（可能是指某个机构或项目，具体含义未知）的员工似乎在其公开 GitHub 仓库上发布了与 DOGE 相关的工作内容，引发了关于数据收集目的和潜在利益冲突的讨论。这些数据包括一些公共数据，例如来自世界银行、ArcGIS 和 USGS 的数据，以及一些用于设置本地工具的环境配置。有人认为，公开这些信息可能会加剧社会分歧，因为对 DOGE 持不同看法的人会根据自己的立场解读这些信息。另一部分人则对 DOGE 收集关键基础设施数据的行为表示担忧，即使这些数据是公开可用的。此外，还有人对筛选联邦工作人员的工会状态的可能性表示担忧。评论区中，有人指出相关的 Python 代码可能是由 AI 辅助生成的，甚至直接断定是 ChatGPT 生成的。还有人认为这可能涉及利益冲突，并希望公众能够一直关注联邦工作人员及其机构的行为。总体而言，评论区对该事件的性质和潜在影响存在多种不同的看法。 - 原文: [A DOGE staffer appears to be posting DOGE work on his public GitHub](https://twitter.com/SollenbergerRC/status/1895609294810464390) - Hacker News: [https://news.ycombinator.com/item?id=43217947](https://news.ycombinator.com/item?id=43217947) - 作者: amarcheschi - 评分: 156 - 评论数: 98 - 发布时间: 2025-03-01 18:30:54 --- ## Zapier 代码仓库遭入侵，或致客户数据泄露自动化平台 Zapier 披露，由于员工账户的双因素认证 (2FA) 配置错误，未经授权的用户访问了其部分代码仓库，并可能获取了客户信息。事件起因是 Zapier 员工账户的 2FA 配置出现问题，导致未经授权的访问。Zapier 强调，此次事件并未影响其数据库、基础设施、生产环境、身份验证或支付系统。然而，在对代码仓库进行审计后，Zapier 发现部分客户信息出于调试目的被意外复制到仓库中。由于 Zapier 的平台允许用户创建跨多个应用程序和服务的自动化流程，因此它可能会处理大量的敏感信息。 Zapier 在发现未经授权的访问后，立即采取行动，封锁了对仓库的访问，并禁用了未经授权用户的访问权限。目前，Zapier 正在审查其流程，以防止类似事件再次发生。Zapier 平台允许用户在不同的应用和服务之间创建自动化流程，这使得它可能接触到大量的敏感信息。评论区里，大家普遍关注的是 2FA 的安全性问题，以及企业如何更好地保护客户数据。有人指出，即使启用了 2FA，也需要确保配置正确，否则仍然存在安全风险。还有人建议企业应该定期进行安全审计，及时发现并修复潜在的安全漏洞。此外，数据最小化原则也被多次提及，即企业应该只收集和存储必要的数据，避免过度收集敏感信息，从而降低数据泄露的风险。一些评论者也对 Zapier 的透明度表示赞赏，认为及时披露安全事件有助于建立用户信任。 - 原文: [Zapier says someone broke into its code repositories and may have customer data](https://www.theverge.com/news/622026/zapier-data-breach-code-repositories) - Hacker News: [https://news.ycombinator.com/item?id=43219022](https://news.ycombinator.com/item?id=43219022) - 作者: OmarShehata - 评分: 35 - 评论数: 3 - 发布时间: 2025-03-01 21:27:33 --- ## Common Lisp 中依赖维护协议的应用本文介绍了在 Common Lisp 中如何使用 CLOS (Common Lisp Object System) 的依赖维护协议来处理类之间的依赖关系，并通过一个监控类槽位读写的例子进行了详细说明。文章还探讨了使用元对象协议 (Metaobject Protocol) 增加灵活性的方法。文章首先通过一个简单的 `monitored-class` 元类示例，展示了如何记录槽位的读取和写入操作。为了增加灵活性，作者引入了 `:monitoring-function` 选项，允许用户自定义监控行为，例如将日志写入 syslog 或数据库。文章详细解释了如何定义元类、计算槽位、进行初始化和重新初始化，以及如何处理依赖更新。作者强调了在元类中正确初始化槽位的重要性，并解释了为什么直接使用 `:initform` 可能不适用。通过 `shared-initialize` 方法，可以在类创建和重新初始化时设置 `monitoring-function` 槽位。文章还提到了使用 `closer-mop` 库来增强实现兼容性。评论区中，有开发者分享了他们使用 CLOS 解决复杂问题的经验，例如处理对象关系映射 (ORM) 中的数据验证和类型转换。一些评论者讨论了依赖维护协议的适用场景，认为它在处理复杂的类层次结构和需要动态调整对象行为时非常有用。也有人指出，过度使用元编程可能会导致代码难以理解和维护，建议在必要时才使用。此外，还有评论者提到了其他相关的 Common Lisp 库和技术，例如 `defclass*` 宏和 `cl-advice` 库，这些工具可以简化元编程任务。总的来说，评论区对文章的内容表示赞赏，并提供了一些额外的见解和资源，帮助读者更好地理解和应用 CLOS 的依赖维护协议。 - 原文: [Depending in Common Lisp – Using the CLOS dependent maintenance protocol (2022)](https://stevelosh.com/blog/2022/08/depending-in-common-lisp/) - Hacker News: [https://news.ycombinator.com/item?id=43176358](https://news.ycombinator.com/item?id=43176358) - 作者: florgy - 评分: 21 - 评论数: 0 - 发布时间: 2025-02-26 03:42:51 --- ## Claude Code 能够反编译自身：源代码分析本文讨论了 Anthropic 推出的 Claude Code，一个自主编码代理，并展示了如何通过反编译其发布的 JavaScript 代码来获取其内部工作原理。文章强调了安全研究和代码透明度的重要性，以及对闭源自主代理的担忧。文章指出，尽管 Anthropic 发布了 Claude Code，但并未提供其源代码。然而，由于 Claude Code 是用 TypeScript 编写并发布到 NPM，因此可以通过安装后反编译 JavaScript 代码来研究其实现。作者分享了安装 Claude Code 的步骤，并展示了目录结构。通过这种方式，可以了解 Claude Code 的内部机制，这对于安全研究人员来说至关重要，他们需要理解这些自主代理的工作方式，以评估潜在的风险。文章还提到了 AI 对齐的问题，并指出一些公司对 AI 安全的担忧。作者建议直接使用 Grok 等模型，因为它们可能更容易绕过安全限制。此外，文章强调了 LLM 在代码转译方面的能力，这对于安全研究和软件开发都具有重要意义。评论区可能讨论了以下观点： * **对闭源 AI 代理的担忧：** 许多人可能对 Anthropic 发布闭源的 Claude Code 表示担忧，认为这使得安全审计和风险评估变得困难。 * **反编译的合法性：** 评论中可能会出现关于反编译软件的法律和伦理问题的讨论，特别是在没有明确授权的情况下。 * **AI 安全和对齐：** 评论者可能会就 AI 安全和对齐的重要性展开辩论，以及如何平衡 AI 的能力与潜在风险。 * **Grok 等模型的安全性：** 有人可能会质疑 Grok 等模型的安全性，因为它们可能更容易被用于恶意目的。 * **代码转译的应用：** 评论中可能会探讨代码转译在安全研究、软件开发和逆向工程等领域的应用。 * **Cursor for Business 的隐私问题：** 评论可能会讨论使用 Cursor for Business 的隐私风险，以及组织管理员是否可以访问用户的提示和工作内容。 * **AI 辅助编程的未来：** 评论者可能会展望 AI 辅助编程的未来，以及它将如何改变软件开发的方式。 * **开源的重要性：** 评论可能会强调开源软件的重要性，特别是在涉及安全和隐私的关键领域。 * **安全研究的伦理：** 评论中可能会讨论安全研究的伦理问题，以及研究人员应该如何负责任地披露漏洞。 * **AI 监管的必要性：** 评论者可能会就 AI 监管的必要性展开辩论，以及政府应该如何制定政策来应对 AI 带来的挑战。 - 原文: [Yes, Claude Code can decompile itself. Here's the source code](https://ghuntley.com/tradecraft/) - Hacker News: [https://news.ycombinator.com/item?id=43217357](https://news.ycombinator.com/item?id=43217357) - 作者: ghuntley - 评分: 104 - 评论数: 48 - 发布时间: 2025-03-01 16:44:16 --- ## Firefox 强制执行证书透明度：网络安全的重要一步 Firefox 现在在其桌面平台上强制执行证书透明度 (CT)，这是迈向更安全网络的重要一步。从 135 版本开始，Firefox 将拒绝不符合 CT 要求的证书，确保浏览器信任的所有证书都符合高透明度标准。证书透明度 (CT) 一直是 Web 安全领域最重大的进步之一，它可以保护用户免受证书欺诈和中间人攻击等威胁。虽然 CT 已经存在超过 11 年，但不同浏览器之间的执行情况各不相同。对于网站所有者而言，这意味着任何受 Firefox 信任的 TLS 证书都必须在证书透明度日志中记录并公开。如果网站已经遵循最佳实践并使用符合 CT 要求的证书，则无需采取任何额外措施。如果不确定，可以确保证书颁发机构 (CA) 支持 CT 日志记录，并监控证书以确保没有未经授权的证书被颁发。证书透明度信息可以通过两种方式传递：嵌入在证书本身的签名证书时间戳 (SCT)，或者与证书一起附加的 SCT（通过 TLS 握手或 OCSP 响应）。要使连接成功，必须使用其中一种方法提供足够的证书透明度信息。Firefox 使用 Chrome 的已知可信日志列表，并在 Firefox 的预发布版本中每周自动更新。随着证书透明度社区转向基于图块的日志，关于 Firefox 是否会效仿的问题也随之出现。Mozilla 方面表示，如果支持 static-ct-api 日志对于互操作是必要的，他们可能会允许这样做。总的来说，Firefox 中强制执行证书透明度是 Web 安全向前迈出的重要一步。随着所有主要浏览器现在都要求证书记录在 CT 日志中，攻击者更难在不被检测到的情况下滥用证书，这意味着用户可以获得更安全的浏览体验。对于网站所有者来说，这是一个提醒，要保持警惕并监控 CT 日志中涵盖其域名的证书。评论区中，有人分享了自己的证书透明度监控工具，也有人提出了关于企业或私有证书颁发机构生成证书的疑问，以及在本地 Web 开发中使用自签名 CA 的情况。还有用户报告说，在 Debian Firefox 135.0.1 上访问 no-sct.badssl.com 没有出现预期的错误。另一些评论则表达了对 Firefox 在透明度方面的担忧，以及担心少数人决定对错的情况。这些评论反映了人们对 CT 执行的各个方面的关注，以及对潜在问题的思考。 - 原文: [Certificate Transparency in Firefox: A Big Step for Web Security](https://blog.transparency.dev/ct-in-firefox) - Hacker News: [https://news.ycombinator.com/item?id=43175793](https://news.ycombinator.com/item?id=43175793) - 作者: tracymiranda - 评分: 81 - 评论数: 56 - 发布时间: 2025-02-26 02:52:59 --- ## AMD Zen 5 架构 AVX-512 频率行为分析本文深入探讨了 AMD Zen 5 架构在处理 AVX-512 指令时的频率表现，并与 Intel 的 Skylake-X 进行了对比，揭示了 Zen 5 在 AVX-512 性能上的显著优势。Zen 5 是 AMD 首个采用全宽 AVX-512 数据通路的内核，其向量执行单元宽度为 512 位，L1 数据缓存每个周期可以处理两个 512 位加载。文章通过修改后的 boost clock 测试代码，在标量整数加法中混合 AVX-512 指令，来探测 AVX-512 的行为。测试结果显示，Zen 5 在运行 AVX-512 指令时，核心频率几乎没有变化，即使在 5.7 GHz 的高频下，也能保持稳定运行。相比之下，Intel 的 Skylake-X 在切换到 AVX-512 指令后，频率会显著下降，并且存在一个过渡期。Zen 5 能够以峰值核心频率实现完整的 AVX512 性能，这归功于改进的片上传感器、AC 电容 (Cac) 监视器和基于 di/dt 的自适应时钟。文章还测试了 Zen 5 的 L1D 加载带宽，通过将 FMA 指令修改为使用内存操作数，来利用 Zen 5 每个周期可以处理两个 512 位加载的能力。测试结果显示，在这种情况下，Ryzen 9 9900X 需要一个过渡期才能恢复到 5.5 GHz。此外，文章还发现，Ryzen 9 9900X 的不同 CCD 上的核心表现不同，快的 CCD 可以达到 5.7 GHz，而慢的 CCD 只能达到 5.4 GHz。总的来说，Zen 5 在 AVX-512 性能方面表现出色，这得益于其先进的架构设计和制造工艺。评论区里，大家普遍对 Zen 5 的 AVX-512 性能表示赞赏，认为 AMD 在这方面取得了显著的进步。一些评论提到，Zen 5 的 AVX-512 性能甚至超过了 Intel 的最新处理器。也有人对文章的测试方法提出了一些疑问，例如，是否考虑了不同 AVX-512 指令的影响。此外，还有一些评论讨论了 AVX-512 在实际应用中的价值，认为它在科学计算、机器学习等领域具有重要的意义。一些人指出，虽然 AVX-512 在某些工作负载下可以带来显著的性能提升，但其功耗也相对较高，需要根据实际情况进行权衡。 - 原文: [Zen 5's AVX-512 Frequency Behavior](https://chipsandcheese.com/p/zen-5s-avx-512-frequency-behavior) - Hacker News: [https://news.ycombinator.com/item?id=43215781](https://news.ycombinator.com/item?id=43215781) - 作者: matt_d - 评分: 116 - 评论数: 35 - 发布时间: 2025-03-01 12:10:46 --- ## 使用 OpenGL 和 WASM 的实验：从错误中学习本文作者分享了将 OpenGL 项目移植到 WASM 和 WebGL 的过程，重点介绍了在此过程中遇到的常见错误和解决方法。这篇文章适合对图形编程和 WebAssembly 感兴趣的开发者阅读。作者最初的目标是在本地渲染 100 万个球体，但由于硬件限制，他决定将项目移植到 Web 平台。他选择了 WASM 和 WebGL，并使用 Emscripten 工具进行转换。虽然 LLM 在转换过程中提供了帮助，但作者也遇到了一些难以通过 IDE 发现的错误。其中一个错误是球体被压扁，而不是呈现为圆形。原因是 VAO（顶点数组对象）和 VBO（顶点缓冲区对象）的配置不正确。具体来说，作者错误地将纹理坐标与变换矩阵的行重叠了，导致纹理被错误地映射。通过调整 VAO 的属性链接，确保每个属性都映射到正确的 VBO 数据，问题得到了解决。另一个错误与 VAO 的绑定有关。作者强调了在渲染循环中正确绑定和解绑 VAO 的重要性，以避免渲染错误。评论区中，有开发者分享了他们使用 Emscripten 和 WebGL 的经验，并提供了一些优化建议。有人建议使用更现代的 WebGL API，例如 WebGL2，以获得更好的性能。还有人建议使用更高效的数据结构来存储球体数据，以减少内存占用。此外，还有人提到了使用 Rust 和 WASM 进行图形编程的可能性，并分享了一些相关的资源。总的来说，评论区提供了一些有用的补充信息和不同的视角，帮助读者更深入地了解 OpenGL 和 WASM 的结合使用。 - 原文: [OpenGL to WASM, learning from my mistakes](https://uds5501.github.io/mindpalace/2025/03/01/opengl-webgl-porting.html) - Hacker News: [https://news.ycombinator.com/item?id=43218998](https://news.ycombinator.com/item?id=43218998) - 作者: uds5501 - 评分: 5 - 评论数: 0 - 发布时间: 2025-03-01 21:24:30 --- ## 继承的重要性日益凸显：工作不再是唯一的致富途径《经济学人》发表文章指出，在发达国家，继承财富变得越来越重要，这对于资本主义和社会来说是一个潜在的危险信号。文章认为，婴儿潮一代积累了大量财富，并将这些财富传递给下一代，导致个人经济状况越来越依赖于出身，而非个人努力。文章进一步阐述，过去几十年里，努力工作和才华横溢是成功的关键。但现在，继承的财富在个人经济地位中的作用日益增强。这不仅加剧了社会不平等，还可能削弱人们努力工作的动力，最终损害经济的活力。文章还提到，税收政策在一定程度上加剧了这个问题，对资本利得和遗产的税收相对较低，使得财富更容易代代相传。文章呼吁政府重新审视税收政策，例如提高遗产税，以促进更公平的社会流动性。此外，文章还强调教育和技能培训的重要性，确保每个人都有平等的机会参与经济活动，无论其家庭背景如何。评论区里，观点呈现两极分化。一部分人赞同文章的观点，认为继承财富的增加确实会导致不公平，并支持对遗产征收更高的税。他们认为，这有助于创造一个更公平的竞争环境，让每个人都有机会通过自己的努力获得成功。另一部分人则持反对意见，认为个人有权决定如何处理自己的财产，政府不应该过度干预。他们认为，遗产税可能会抑制人们创造财富的积极性，并导致资本外流。还有一些评论指出，文章忽略了创业和创新在创造财富中的作用，认为即使在继承财富日益重要的背景下，通过创新和创业仍然可以实现经济上的成功。 - 原文: [Inheriting is becoming nearly as important as working](https://www.economist.com/leaders/2025/02/27/inheriting-is-becoming-nearly-as-important-as-working) - Hacker News: [https://news.ycombinator.com/item?id=43213143](https://news.ycombinator.com/item?id=43213143) - 作者: pseudolus - 评分: 273 - 评论数: 368 - 发布时间: 2025-03-01 07:20:38 --- ## Java TreeMap 并发问题导致 CPU 占用率异常飙升本文讲述了一个 Java 应用 CPU 占用率高达 3200% 的故障排查过程，作者通过线程 Dump 发现大量线程在 `TreeMap.put()` 方法中消耗了大量 CPU 时间。最初怀疑是算法复杂度问题，但经过分析和测试后排除了这种可能性。最终发现是由于多个线程并发访问 `TreeMap` 且没有进行同步保护，导致数据结构损坏，进而引发无限循环，造成 CPU 占用率飙升。作者通过实验模拟了并发更新 `TreeMap` 的场景，并成功复现了问题。实验中，通过捕获 `NullPointerException` 异常，观察到 CPU 占用率显著升高。进一步利用反射机制，分析了 `TreeMap` 的内部结构，发现红黑树中存在循环，证实了数据结构损坏的推断。文章还引用了其他开发者关于 `TreeMap` 并发问题的讨论，以及 Red Hat 官方的故障排除文章，表明该问题并非个例。评论中，有开发者指出，Java 集合框架中的 `TreeMap` 和 `TreeSet` 并非线程安全，并发访问容易出现问题。建议在多线程环境下使用 `ConcurrentSkipListMap` 或 `ConcurrentSkipListSet` 等线程安全的替代方案。也有开发者提到，类似的问题在其他语言和数据结构中也可能存在，需要注意并发访问控制。此外，还有开发者分享了自己在使用 `TreeMap` 时遇到的类似问题，以及相应的解决方案。总的来说，评论区对文章的内容表示认可，并补充了一些关于 `TreeMap` 并发问题的细节和建议。 - 原文: [3,200% CPU Utilization](https://josephmate.github.io/2025-02-26-3200p-cpu-util/) - Hacker News: [https://news.ycombinator.com/item?id=43207831](https://news.ycombinator.com/item?id=43207831) - 作者: atomlib - 评分: 411 - 评论数: 188 - 发布时间: 2025-03-01 01:01:43 --- ## 住房问题是西方世界诸多问题的核心本文探讨了西方国家住房短缺问题，指出其不仅导致许多人买不起房，还加剧了不平等、气候变化、生产力低下、肥胖甚至生育率下降等问题。文章认为，解决住房短缺问题将有助于解决许多其他看似无关的问题。文章首先指出，住房影响着人们生活的方方面面，包括工作地点、休闲方式、社交圈、生育计划甚至健康状况。在西方国家，房价远超建造成本，尤其是在那些以软件或金融服务等无形资本为基础的城市，高房价使得人们更难负担得起住房。过去四十年，住房负担能力问题日益严重，这与无形经济的增长密切相关。由于住房供应无法跟上需求，导致房价飞涨，例如纽约、旧金山和伦敦等城市的房价自 1980 年以来分别上涨了 706%、932% 和 2100%。相比之下，其他耐用品的价格却在下降。文章进一步指出，高房价不仅让人们在住房上花费更多，还影响了人们的行为，包括居住地、工作、家庭规模和日常生活。高房价会降低生产力，因为人们需要花费更多的时间和金钱在通勤上，而且更难找到合适的工作。此外，高房价还会加剧不平等，因为富人可以轻松负担得起住房，而穷人则难以获得住房。高房价还会导致气候变化，因为人们需要居住在更远的地方，从而增加交通排放。最后，高房价还会导致生育率下降，因为人们更难负担得起养育孩子的费用。评论区观点多样，有人认为文章分析深刻，指出了住房问题对社会的广泛影响，并赞同解决住房短缺是解决其他问题的关键。也有人认为文章过于简化问题，忽略了其他因素的影响，例如政府政策、土地供应和人口结构等。还有人认为，解决住房问题需要综合性的解决方案，包括增加住房供应、控制房价、提供住房补贴等。一些评论还提到，文章忽略了投机行为对房价的影响，认为应该加强对房地产市场的监管，打击投机行为。 - 原文: [The Housing Theory of Everything (2021)](https://worksinprogress.co/issue/the-housing-theory-of-everything/) - Hacker News: [https://news.ycombinator.com/item?id=43214263](https://news.ycombinator.com/item?id=43214263) - 作者: lifeisstillgood - 评分: 153 - 评论数: 126 - 发布时间: 2025-03-01 08:59:13 --- ## 为什么制造喷气发动机如此困难本文探讨了制造喷气发动机的复杂性，指出这不仅需要极高的性能，还需要控制成本，使其成为一项极具挑战性的技术工程。文章分析了喷气发动机在材料、设计和制造方面的严苛要求，以及少数几家公司垄断该领域的原因。文章指出，民用航空领域对高性能和低成本的极致追求，使得喷气发动机的研发和制造异常困难。为了提高燃油效率，发动机需要更高的压缩比和工作温度，这反过来又对材料的强度、重量和耐热性提出了极高的要求。此外，商用喷气发动机必须能够持续运行数万小时，对可靠性也是一个巨大的考验。目前，只有少数几家公司，如通用电气（GE）、普惠（Pratt & Whitney）和罗尔斯·罗伊斯（Rolls-Royce），能够制造大型商用喷气发动机，这主要是因为研发新发动机需要数十亿美元的巨额投资。文章还提到，中国在喷气发动机技术方面仍然落后，正在努力为C919客机开发自己的发动机。文章进一步解释了喷气发动机的工作原理，它是一种热机，通过压缩、加热和膨胀空气来产生推力。喷气发动机的核心部件包括压气机、燃烧室和涡轮。压气机负责提高空气的压力，燃烧室负责将燃料与空气混合并点燃，产生高温燃气，涡轮则利用高温燃气膨胀做功，驱动压气机。文章强调，压气机的效率至关重要，因为大约50%的能量需要用于驱动压气机。评论区里，有人指出文章忽略了军用航空发动机的复杂性，军用发动机对推重比、加速性能和可靠性有更高的要求，技术难度更大。也有人提到，除了材料和设计，制造工艺也是喷气发动机的关键，例如单晶叶片的制造就非常复杂。还有人认为，喷气发动机的研发需要大量的实验和测试，以验证设计的可行性和可靠性，这需要耗费大量的时间和金钱。总的来说，评论区对喷气发动机的复杂性表示认同，并补充了一些文章中未提及的细节。 - 原文: [Why it's so hard to build a jet engine](https://www.construction-physics.com/p/why-its-so-hard-to-build-a-jet-engine) - Hacker News: [https://news.ycombinator.com/item?id=43212952](https://news.ycombinator.com/item?id=43212952) - 作者: mhb - 评分: 228 - 评论数: 82 - 发布时间: 2025-03-01 07:05:21 --- ## AllenAI 发布开源 OCR 工具 olmOCR，提升文档转换准确率 AllenAI 推出了开源 OCR 工具 olmOCR，旨在将 PDF 等文档高吞吐量地转换为纯文本，同时保留自然的阅读顺序。该工具支持表格、公式、手写体等，并针对学术论文和技术文档进行了训练，采用独特的提示技术来提高准确性并减少幻觉。 olmOCR 的亮点在于其本地运行能力，无需云服务，可在配备 NVIDIA GPU 的机器上运行。它能够输出单一文本流，正确处理多栏 PDF 的阅读顺序，并识别手写内容。然而，它似乎无法提取图表中的文本，且当前模型仅支持英文文档。该工具包的完整部署成本预估为每百万页 190 美元。用户可以通过在线 Demo 体验其功能，也可以下载工具包在本地 GPU 上进行高效、可扩展的文档处理。评论区对 olmOCR 展开了热烈讨论。有人指出，该工具在处理拉丁文和中世纪文字方面表现出色，甚至能识别艺术作品中的特殊字符。但也有人对其基准测试的公平性提出质疑，认为其吞吐量和准确性可能不如其他工具，例如 marker。此外，评论中还提到了 olmOCR 的一些局限性，例如需要 NVIDIA GPU 才能运行，以及可能存在的文本缺失和幻觉问题。一些用户希望未来能支持 CPU 运行，并能提取原始字体和艺术作品的位置信息。总的来说，olmOCR 作为一款开源 OCR 工具，在准确性和功能性方面具有一定的优势，但也存在一些需要改进的地方。它为开发者和研究人员提供了一个新的选择，可以用于各种文档处理任务。 - 原文: [OlmOCR: Open-source tool to extract plain text from PDFs](https://olmocr.allenai.org/) - Hacker News: [https://news.ycombinator.com/item?id=43174298](https://news.ycombinator.com/item?id=43174298) - 作者: eamag - 评分: 242 - 评论数: 28 - 发布时间: 2025-02-26 00:51:47 --- ## 利用轨道霍尔效应提升自旋轨道力矩 MRAM 性能这篇文章探讨了如何利用轨道霍尔效应（OHE）来提高自旋轨道力矩（SOT）磁性随机存储器（MRAM）的性能，旨在降低数据中心的能耗。SOT-MRAM 作为静态 RAM 的替代品，因其潜在的更高能效、非易失性和卓越性能而备受关注，尤其适用于缓存应用。 SOT-MRAM 的工作原理是电流感应磁化切换，其效率由切换功率和切换时间的乘积决定。降低临界切换电流（I_c_）可以减少功耗。效率还取决于 SOT 层内电荷到角动量的转换效率、界面处的角动量传递以及磁隧道结自由层内的扭矩效率。此外，SOT-MRAM 的数据保持时间取决于热稳定性因子（Δ），行业标准要求 Δ > 60，对应 10 年的数据保持时间。目前，β-W 被用作 SOT-MRAM 中的 SOT 层，但其高切换电流和高电阻率导致高功耗。因此，具有高自旋轨道耦合（SOC）的 Pt 等材料因其显著的自旋霍尔角（θ_SH = 0.05–0.20）和优异的导电性而受到青睐。然而，这些材料通常价格昂贵且对环境有害。轨道霍尔效应（OHE）和轨道 Rashba Edelstein 效应（OREE）被认为是增强扭矩的有效机制，无需使用稀有且昂贵的高 SOC 元素。这些效应可以在不依赖重元素的情况下，将扭矩提高十倍，从而降低对环境的负面影响。总的来说，这篇文章强调了利用 OHE 和 OREE 来改进 SOT-MRAM 的潜力，为开发更节能和环保的存储技术开辟了新的途径。目前还没有评论，所以无法总结评论区的观点。 - 原文: [Harnessing orbital Hall effect in spin-orbit torque MRAM](https://www.nature.com/articles/s41467-024-55437-x) - Hacker News: [https://news.ycombinator.com/item?id=43171061](https://news.ycombinator.com/item?id=43171061) - 作者: PaulHoule - 评分: 31 - 评论数: 0 - 发布时间: 2025-02-25 20:33:32 --- ## type++：使用内联类型信息禁止类型混淆这篇论文介绍了一种名为 type++ 的 C++ 方言，旨在通过在运行时检查向下转型来解决 C++ 中常见的类型混淆漏洞。类型混淆指的是程序将一个对象解释为属于不同的类型，从而导致控制流劫持等攻击。 C++ 限制了对多态类的运行时检查，因为只有这些类具有内联类型信息。由于对象整个生命周期内缺乏运行时类型信息，因此难以强制执行持续检查，从而无法在向下转型期间防止类型混淆。现有的解决方案要么为所有对象不相交地记录类型信息，导致过高的运行时开销，要么将保护限制在所有对象的一小部分。type++ 强制执行这样一种范式，即每个参与向下转型的已分配对象在其整个生命周期内都携带类型信息，从而通过在任何需要的地方启用类型检查来确保正确性。由于不仅多态对象而且所有对象都是类型化的，因此现在可以动态验证所有向下转型。与现有解决方案相比，我们的策略大大降低了运行时成本，并支持在测试期间和作为缓解措施使用 type++。为了帮助开发人员，我们的静态分析会警告目标程序中可能需要更改代码的地方。运行编译后的基准测试会导致可忽略不计的性能开销（在 SPEC CPU2006 上为 1.19%，在 SPEC CPU2017 上为 0.82%），总共验证了 90B 次转型（相比之下，最先进的技术为 3.8B 次，提高了 23 倍）。type++ 在 SPEC CPU 基准测试中发现了 122 个类型混淆问题，其中 14 个是新的。针对 Chromium，我们更改了 229 行代码，以保护 94.6% 的可能涉及向下转型漏洞的类，同时仅产生 0.98% 的运行时开销。评论区主要讨论了 type++ 的性能开销、兼容性和实际应用。一些人担心 type++ 引入的运行时检查会降低程序的性能，尤其是在大型项目中。另一些人则关注 type++ 与现有 C++ 代码的兼容性，以及将现有代码迁移到 type++ 的难度。还有一些人对 type++ 在实际项目中的应用前景表示乐观，认为它可以有效地减少类型混淆漏洞，提高程序的安全性。总的来说，评论区的观点比较多样化，既有肯定 type++ 价值的，也有对其潜在问题表示担忧的。 - 原文: [Type++: Prohibiting Type Confusion with Inline Type Information [pdf]](https://www.ndss-symposium.org/wp-content/uploads/2025-53-paper.pdf) - Hacker News: [https://news.ycombinator.com/item?id=43204796](https://news.ycombinator.com/item?id=43204796) - 作者: pjmlp - 评分: 5 - 评论数: 0 - 发布时间: 2025-02-28 20:19:00 --- ## 故障排除：一项永不过时的技能本文讨论了故障排除的重要性，并将其定义为系统地确定系统中不良行为的原因并加以修复。文章强调，故障排除是一种可以独立于特定领域进行磨练的技能，并提供了一系列步骤和技巧来提高故障排除的效率。文章首先强调了故障排除的心态，需要对系统的底层结构感兴趣，并具备耐心、细致和坚韧的品质。作者建议放慢速度，进行思考，避免陷入盲目尝试的困境。在着手修复系统之前，要确保对系统有充分的了解，并确定“事物”如何在系统中流动和转化。观察症状，区分实际发生的情况和应该发生的情况，缩小受影响的子系统范围。文章还强调了隔离问题的重要性，通过形成假设、排除最容易出错的区域、以及进行二分查找等方法来定位故障点。在调试子系统时，尽可能将其断开，以避免与其他部分的相互干扰，并缩短反馈循环。文章还讨论了在获取信息和尝试修复之间取得平衡，以及了解风险的重要性。评论区中，一些开发者分享了他们故障排除的经验和技巧，例如使用日志记录、监控工具和调试器等。也有人强调了沟通的重要性，与团队成员交流可以更快地找到问题的解决方案。此外，还有一些评论提到了故障排除的心理因素，例如保持冷静、避免过度自信和从错误中学习。总的来说，评论区对文章的观点表示赞同，并补充了一些实用的建议，进一步丰富了故障排除的讨论。 - 原文: [Troubleshooting: A skill that never goes obsolete](https://www.autodidacts.io/troubleshooting/) - Hacker News: [https://news.ycombinator.com/item?id=43170843](https://news.ycombinator.com/item?id=43170843) - 作者: surprisetalk - 评分: 271 - 评论数: 85 - 发布时间: 2025-02-25 20:03:04 --- ## 免费在线词缀词典：探索英语构词的基石这个免费在线词典收录了超过1250个词缀条目，并提供了约10000个示例，对每个词缀都进行了定义和解释。该词典基于作者Michael Quinion 2002年出版的《Ologies and Isms: Word Beginnings and Endings》一书。该书于2008年绝版后，作者立即将其内容免费发布到网上。该网站目前正在进行一系列修订和更新。词缀是英语构词的重要组成部分，通过学习词缀，可以更好地理解和记忆单词。网站的索引主题是一个很好的起点，例如，通过阅读calci-（关于石灰/钙）可以了解到calculate和calculus的起源。该网站由Michael Quinion维护，版权所有，并欢迎用户提出意见。评论区里，有用户称赞这是一个很棒的“兔子洞”，让人沉迷其中，并且描述方式很容易理解。也有人指出，某些条目的内容不够详尽，例如"a-"的解释不够全面，缺少拉丁语的词源。还有人推荐了实体参考书《Word Clues》，并指出该网站可能没有列出罕见的英语中缀。此外，还有用户询问是否有类似的资源专门针对心理学、哲学或医学术语。最后，有人幽默地表示，现在我们可以学习“flammable”和“inflammable”之间的区别了。总的来说，评论对该网站的内容质量和实用性给予了肯定，同时也提出了一些改进建议。 - 原文: [Affixes: The Building Blocks of English](https://www.affixes.org/index.html) - Hacker News: [https://news.ycombinator.com/item?id=43186698](https://news.ycombinator.com/item?id=43186698) - 作者: everybodyknows - 评分: 77 - 评论数: 12 - 发布时间: 2025-02-27 02:43:20 --- ## Linux Kernel 6.9+ eBPF 问题：FRED 导致 pt_regs 读取错误从 Linux kernel 6.9 开始，由于启用了 `CONFIG_X86_FRED` 选项，x86_64 架构上的 eBPF 程序在读取 `task->stack->pt_regs` 时可能会返回错误数据。这是因为 FRED 在内核栈区域的起始位置增加了 16 字节的填充，导致原有的栈指针计算方式失效。文章详细介绍了作者在使用 Ubuntu 24.04 (kernel 6.8) 开发 eBPF 工具 `xcapture-next` 时遇到的问题。升级到 kernel 6.11 后，该工具开始返回错误的系统调用信息。经过调查，发现是由于 kernel 6.9 引入的 FRED 特性改变了内核栈的布局，导致 `pt_regs` 结构体的偏移量发生了变化。FRED (Flexible Return and Event Delivery system) 是 Intel CPU 上的一项优化技术，旨在加速 CPU 特权级别切换。它引入了新的指令 `ERETU` 和 `ERETS`，并简化了 CPU 特权级别的管理。为了解决这个问题，作者提出了一种动态检测 FRED 是否启用的方法。通过 `bpf_core_type_exists` 函数检查内核中是否存在 FRED 相关的结构体，然后根据检测结果调整 `pt_regs` 的偏移量。这样可以保证 eBPF 程序在不同内核版本上都能正确读取 `pt_regs` 的数据。评论区里，开发者们对 FRED 的影响以及如何解决这个问题展开了讨论。有人指出，这种内核结构的改变可能会影响到其他依赖于内核栈布局的工具。另一些人则分享了他们在使用 eBPF 时遇到的类似问题，并探讨了不同的解决方案。还有人对 FRED 的具体实现细节以及其对性能的影响表示关注。总的来说，评论区提供了一个多角度的视角，帮助开发者们更好地理解和应对这个问题。这篇文章提醒开发者们，在升级内核后，需要注意内核结构的改变可能会对现有的 eBPF 程序产生影响。同时，也展示了如何使用 `bpf_core_type_exists` 等技术来动态检测内核特性，从而提高 eBPF 程序的兼容性。 - 原文: [When eBPF pt_regs reads return garbage on the latest Linux kernels, blame Fred](https://tanelpoder.com/posts/ebpf-pt-regs-error-on-linux-blame-fred/) - Hacker News: [https://news.ycombinator.com/item?id=43214576](https://news.ycombinator.com/item?id=43214576) - 作者: tanelpoder - 评分: 87 - 评论数: 6 - 发布时间: 2025-03-01 09:37:26 --- ## Torii：Rust 的框架无关认证库 Torii 是一个为 Rust 应用程序设计的强大认证框架，它旨在为开发者提供对其用户数据的完全控制。该项目在 GitHub 上开源，并使用 MIT 许可证。 Torii 允许开发者构建灵活且安全的认证系统，而无需依赖特定的 Web 框架。它提供了多种认证机制，例如基于令牌的认证、OAuth 2.0 等，并支持自定义认证策略。该库的目标是简化 Rust 应用中身份验证的复杂性，同时保持高性能和安全性。目前该项目有 180 个 star 和 2 个 fork。评论区里，一些开发者对 Torii 的框架无关性表示赞赏，认为这使得它能够轻松集成到各种 Rust 项目中。另一些人则关注其安全特性，特别是如何防止常见的 Web 攻击，例如 CSRF 和 XSS。还有开发者询问了 Torii 与现有 Rust Web 框架（如 Actix-web 和 Rocket）的集成示例。总的来说，社区对 Torii 的潜力持乐观态度，并期待看到它在实际项目中的应用。 - 原文: [Show HN: Torii – a framework agnostic authentication library for Rust](https://github.com/cmackenzie1/torii-rs) - Hacker News: [https://news.ycombinator.com/item?id=43213090](https://news.ycombinator.com/item?id=43213090) - 作者: cmackenzie1 - 评分: 64 - 评论数: 15 - 发布时间: 2025-03-01 07:16:16 --- ## 通过写作逃离你的默认思维模式文章探讨了写作如何帮助我们整理思绪，更有效地思考，甚至开启思考能力。写作能够构建结构，让我们更清晰地表达，揭示思维盲点，从而摆脱“永久近似模式”的默认状态。文章指出，我们的大脑常常漫无目的地徘徊在各种想法碎片之间，写作则能迫使我们整理这些混乱的思绪，将它们置于更广阔的语境中，并以连贯的方式表达出来。写作扩展了我们的工作记忆，使我们能够在纸上展现比口头表达更出色的想法。更重要的是，写作能暴露我们思维中的盲点、偏见和假设，这些是我们仅凭大脑思考时难以察觉的。通过写作，我们可以发现想法中不切实际或令人不适的部分，甚至能拔除那些潜藏在深处、无形中影响我们感受和信念的寄生性想法。文章建议，如果某个想法、感觉或信念反复出现，不妨快速、随意地写下来，不断追问“我为什么会这样想/感觉/相信？”，最终可能会有意想不到的发现。评论区里，许多人分享了写作的益处和实践方法。有人说“写作就是思考”，并分享了使用日记来收集和整理不同主题想法的经验。在工作中，通过记录问题、答案和更新项目日志，可以更清晰地理解问题，从而找到解决方案。还有人推荐了Byron Katie的“The Work”框架，通过提问和反思来审视自己的想法。另有人推荐《The Artist’s Way》这本书，其中的“晨间三页”写作练习可以帮助人们进行自我发现。还有人发现，仅仅是把事情写下来，即使不回头看，也能帮助记忆。当然，也有不同的声音。有人认为，并非只有写成博客文章才能将想法固化，使用笔和纸、涂鸦、在淋浴时的玻璃上书写等方式同样有效。他们认为，写博客文章有时只是为了在网络上展示自己。对于设计师来说，绘制草图和流程图是更好的思考方式。总的来说，评论区进一步丰富了文章的主题，提供了更多关于如何通过写作来提升思考能力的实用建议和不同视角。 - 原文: [Write to Escape Your Default Setting](https://kupajo.com/write-to-escape-your-default-setting/) - Hacker News: [https://news.ycombinator.com/item?id=43206174](https://news.ycombinator.com/item?id=43206174) - 作者: kolyder - 评分: 338 - 评论数: 81 - 发布时间: 2025-02-28 22:45:36 ---