2小时前
|
|
|
## 今天 Hacker News 社区聊了啥? NO.20250916
今天的新闻可真劲爆!NPM 生态系统遭遇大规模供应链攻击,40 多个软件包沦陷,教你防范!CIA 解密历史档案,尼克松访华情报支持、初代无人机项目细节曝光,历史迷速来!还有大神脑洞大开,竟然在一次性电子烟上搭建网站!另外,AI 影响初级岗位的报告也值得关注。想了解更多科技圈新鲜事?赶紧戳进来看看!
---
## 使用软件无线电 (SDR) 的五十种方法
本文介绍了软件无线电 (SDR) 的概念,并列举了 50 种可以使用 SDR 完成的事情,旨在激发读者探索电磁频谱的兴趣。文章详细介绍了使用 SDR 所需的硬件和软件,并分享了作者一周内使用 SDR 探索各种信号的经历。
文章首先介绍了 "Make 50 of Something" 的概念,鼓励读者跳出舒适区,进行创造性探索。然后,解释了什么是 SDR,以及它与传统无线电的区别。SDR 依赖计算机进行数据处理,可以检测更广泛的电磁波。文章推荐了 RTL-SDR Blog V4 USB dongle 作为入门硬件,并介绍了 SDR++ 作为推荐的软件。
接下来,文章详细列举了作者使用 SDR 探索的各种信号,包括:
* 收听 FM 广播
* 收听德国的 Freenet 频道
* 接收机场的天气信息 (ATIS)
* 追踪飞机 (ADS-B)
* 收听立体声 FM 广播
* 接收道路交通信息
文章还介绍了如何使用 SDRangel 软件解码信号,并解释了立体声 FM 广播和 RDS 系统的技术细节。
由于没有评论内容,此处略过评论分析。
- 原文: [Fifty Things you can do with a Software Defined Radio](https://blinry.org/50-things-with-sdr/)
- Hacker News: [https://news.ycombinator.com/item?id=45262835](https://news.ycombinator.com/item?id=45262835)
- 作者: mihau
- 评分: 28
- 评论数: 1
- 发布时间: 2025-09-16 22:35:19
---
## CIA 电子阅览室:解密历史档案
CIA(美国中央情报局)的电子阅览室是一个公开的在线资源,提供了大量解密的历史文件。目前主要更新包括尼克松访华期间的情报支持、早期的无人机项目 "Aquiline",以及关于东欧共产主义崩溃的分析报告等。
### 尼克松访华情报支持
为纪念尼克松总统1972年访华50周年,CIA公开了一批为总统和国家安全顾问基辛格准备的资料。这些资料包括北京、上海和杭州的城市指南,详细介绍了这些城市的历史、地图、照片、地理、气候和景点。此外,还有一份82页的中国地图集,当时向政府和公众发行。该系列还包括中共领导人毛泽东和周恩来的个人简介,这些评估旨在帮助美国总统了解他们的外国对应官员。
### 中央情报局每日简报
从杜鲁门总统开始,美国总统每天都会收到一份情报摘要。最初是“每日总结”,后来演变为“当前情报公报”,最终定名为“中央情报公报”。1961年初,肯尼迪政府面临猪湾事件等国际问题,CIA对总统的每日情报报告进行了更新,推出了“总统情报检查清单”(PICL)。
### "Aquiline" 无人机项目
20世纪60年代,CIA启动了一个名为 "Aquiline" 的创新项目,旨在开发远程无人机,用于安全隐蔽地进入苏联等禁区进行情报收集,包括摄影和其他功能,甚至支持在当地的情报人员行动。虽然该项目最终未能投入使用,但它验证了无人机作为情报收集平台的可行性,为今天多功能的无人机奠定了基础。
### 东欧共产主义崩溃
该系列包括来自《国家情报日报》的文章,提供了对东欧共产主义崩溃的分析。
- 原文: [CIA Freedom of Information Act Electronic Reading Room](https://www.cia.gov/readingroom)
- Hacker News: [https://news.ycombinator.com/item?id=45261764](https://news.ycombinator.com/item?id=45261764)
- 作者: bookofjoe
- 评分: 57
- 评论数: 7
- 发布时间: 2025-09-16 21:10:29
---
## NPM 供应链攻击:ctrl/tinycolor 和 40 多个软件包被入侵
本次事件揭示了 NPM 生态系统面临的严重供应链风险,其中流行的 `@ctrl/tinycolor` 包以及其他 40 多个软件包受到攻击,攻击者利用恶意代码自动感染下游包,形成级联效应。
该攻击通过一个复杂的、多阶段的链条展开,利用 Node.js 的 `process.env` 来获取凭据,并使用 Webpack 打包的模块来实现模块化。攻击的核心是一个大约 3.6MB 的 `bundle.js` 文件,它在 `npm install` 期间异步执行,可能是通过嵌入在被入侵的 `package.json` 中的 `postinstall` 脚本触发的。这个恶意软件包含一个自传播机制,通过 `NpmModule.updatePackage` 函数实现。该函数查询 NPM 注册表 API,获取维护者拥有的最多 20 个软件包,然后强制发布这些软件包的补丁,从而在 NPM 注册表中递归地将恶意代码注入到依赖的生态系统中。
恶意软件还会利用 TruffleHog 等开源工具扫描文件系统,查找高熵密钥,例如使用 `AKIA[0-9A-Z]{16}` 等正则表达式查找 AWS 密钥。此外,恶意软件还会转储整个 `process.env`,捕获临时的 token,例如 `GITHUB_TOKEN` 和 `AWS_ACCESS_KEY_ID`。对于云特定的操作,恶意软件会使用 SDK 分页来枚举 AWS Secrets Manager,并通过 `@google-cloud/secret-manager` API 访问 Google Cloud Platform 密钥。
为了实现持久化,恶意软件通过一个 base64 编码的 bash 脚本注入一个 GitHub Actions 工作流文件(`.github/workflows/shai-hulud-workflow.yml`)。该工作流在 push 事件时触发,并使用表达式 `${{ toJSON(secrets) }}` 将存储库密钥泄露到一个命令和控制端点。恶意软件通过从默认分支(`refs/heads/shai-hulud`)强制合并来创建分支,使用 GitHub 的 `/git/refs` 端点。
攻击者将收集到的凭据聚合到一个 JSON payload 中,并将其上传到一个名为 `Shai-Hulud` 的新公共存储库中,通过 GitHub 的 `/user/repos` API。整个攻击设计假定 Linux 或 macOS 执行环境,检查 `os.platform() === 'linux' || 'darwin'`,并故意跳过 Windows 系统。
恶意代码被注入到受影响的软件包中,例如 `@ctrl/tinycolor`。这不是粗略的恶意软件,而是一个复杂的模块化引擎,它使用 Webpack chunks 来组织操作系统实用程序、云 SDK 和 API 包装器。Payload 导入了六个核心模块,每个模块在攻击链中都具有特定的功能,包括操作系统侦察、跨云凭据收集、文件系统密钥扫描、NPM 枢轴和 GitHub 后门。其中,NPM 枢轴模块从 `~/.npmrc` 或环境变量中解析 `NPM_TOKEN`。在通过 `/whoami` 端点验证 token 后,它会查询 `/v1/search?text=maintainer:${username}&size=20` 以检索维护者拥有的软件包,从而创建一个级联效应。
- 原文: [Self Propagating NPM Malware Compromises over 40 Packages](https://www.stepsecurity.io/blog/ctrl-tinycolor-and-40-npm-packages-compromised)
- Hacker News: [https://news.ycombinator.com/item?id=45260741](https://news.ycombinator.com/item?id=45260741)
- 作者: jamesberthoty
- 评分: 340
- 评论数: 256
- 发布时间: 2025-09-16 19:22:03
---
## FBI 调查 Tor 节点运营者事件
这篇文章讨论了一起 FBI 调查 Tor 节点运营者的案件,以及由此引发的关于隐私、自由和政府权力的讨论。事件的核心是一位 Tor 节点运营者的丈夫因拒绝解密其 Tor 节点而被判刑三年,引发了关于政府是否滥用权力侵犯个人隐私的争议。
文章提到,Reddit 上有人声称联邦法院使用“欺诈性逮捕令再次监禁了我的丈夫”。但也有人通过查阅 PACER 系统发现,实际情况是该男子违反了假释规定,包括承认使用大麻、未能按时支付赔偿金、与缓刑监督官失去联系、开设新的信用额度以及使用未经授权的 iPhone。根据假释条款,他所有的互联网设备都安装了键盘记录器。
此外,文章还引用了一篇关于 Tor 历史的文章,强调 Tor 的设计初衷是为了保护通信安全,最初是军方项目,后来为了更好地保护用户匿名性,才向公众开放。文章指出,Tor 的有效性依赖于广泛的用户群体,如果只有特定群体(如告密者或活动家)使用,反而更容易暴露身份。
评论区对该事件的看法非常多样。有人认为政府滥用了权力,侵犯了个人隐私。也有人指出,该男子违反了假释规定,因此被判刑是合理的。还有人认为,运营 Tor 节点本身就可能引起执法部门的关注,因为 Tor 与犯罪活动存在一定的关联。
一些评论强调了隐私的重要性,并呼吁人们更多地使用隐私保护工具。另一些评论则对政府的监控行为表示担忧,认为政府正在通过各种方式侵蚀公民的自由。还有人指出,CFAA(计算机欺诈和滥用法案)的条款过于宽泛,可能导致任何人都在无意中触犯法律,因此有必要制定更清晰的法律。
总的来说,评论区对该事件的讨论涉及了隐私、自由、政府权力、法律以及技术伦理等多个方面,反映了人们对这些问题的不同看法和担忧。
- 原文: [FBI couldn't get my husband to decrypt his Tor node so he was jailed for 3 years](https://old.reddit.com/r/TOR/comments/1ni5drm/the_fbi_couldnt_get_my_husband_to_decrypt_his_tor/)
- Hacker News: [https://news.ycombinator.com/item?id=45261163](https://news.ycombinator.com/item?id=45261163)
- 作者: heavyset_go
- 评分: 737
- 评论数: 212
- 发布时间: 2025-09-16 20:10:49
---
## 道格拉斯·恩格尔巴特的 1968 年“所有演示之母”
道格拉斯·恩格尔巴特在斯坦福研究所(SRI)的 1968 年“所有演示之母”展示了交互式计算的创新,包括鼠标的首次亮相、超文本、实时编辑和协作工具,设想了增强人类的智力。这次演示不仅展示了当时最先进的技术,更预示了未来计算发展的方向。
这次演示由斯坦福研究所的增强人类智力研究中心进行,旨在展示计算机系统如何通过对用户操作的即时响应来增强智力工作。演示中,计算机鼠标控制网络显示器上的跟踪点,实现了与文本和图形的无缝交互。用户可以实时创建和操作实体,例如语句和单词,包括复制、移动和重组内容等操作。超文本链接实现了在文件之间的跳转,例如将文本列表连接到可视化地图,以获取上下文信息,例如逾期书籍。共享屏幕协作允许远程参与者查看和指向同一显示器,并通过音频耦合进行讨论,同时将主要控制权保留给主持人。视频集成允许在工作期间看到合作者的脸,通过来自实验室的实时馈送增强远程团队合作。即将到来的 ARPA 计算机网络将连接实验系统,从而实现跨距离的低延迟响应,例如从剑桥到门洛帕克。该网络旨在为管理信息提供服务,例如在分布式环境中查找可用资源、协议和文档。
这次演示的创新之处在于它展示了计算机如何成为人类智力的延伸,而不是替代品。通过直观的界面和强大的协作工具,人们可以更有效地处理信息、解决问题和进行创新。这次演示的影响是深远的,它为个人电脑、互联网和现代软件的开发奠定了基础。
- 原文: [Mother of All Demos](https://wordspike.com/s/5ip0xneiTsc)
- Hacker News: [https://news.ycombinator.com/item?id=45262582](https://news.ycombinator.com/item?id=45262582)
- 作者: thekuanysh
- 评分: 14
- 评论数: 4
- 发布时间: 2025-09-16 22:18:19
---
## 银幕偶像罗伯特·雷德福去世,享年 89 岁
罗伯特·雷德福,这位从银幕偶像转型为奥斯卡获奖导演和积极分子,于犹他州的家中安详离世,享年 89 岁。他的一生都在用电影反映美国社会,同时积极投身环保事业,并创立了圣丹斯电影节,大力支持独立电影的发展。
雷德福对好莱坞的“愚蠢化”电影制作方式不屑一顾,他坚持自己的电影要具有文化分量,并以其巨大的明星影响力,使悲痛和政治腐败等严肃话题引起大众共鸣。他通过电影,深刻地影响了一代人,并为独立电影的发展做出了卓越贡献。雷德福的离世,无疑是电影界的一大损失。他不仅是一位杰出的演员和导演,更是一位有责任感和社会担当的艺术家。
雷德福的演艺生涯横跨数十年,留下了许多经典作品,例如《虎豹小霸王》、《骗中骗》、《走出非洲》等。他不仅在商业上取得了巨大的成功,也赢得了评论界的广泛赞誉。此外,雷德福还是一位成功的导演,他执导的《普通人》获得了奥斯卡最佳导演奖。
除了电影事业,雷德福还是一位积极的社会活动家。他长期关注环保问题,并积极参与各种环保运动。他认为,保护环境是每个人的责任,我们应该为子孙后代留下一个美好的地球。
评论区里,大家纷纷表达了对罗伯特·雷德福的怀念和敬意。有人推荐了他的经典电影《Sneakers》,认为这部电影非常值得一看。有人赞扬他是民主和环境的伟大捍卫者,并推荐了《Truth》、《Brubaker》、《Sneakers》或《Spy Game》等电影,认为这些电影代表了他的思想。还有人分享了《All is Lost》这部电影对自己的影响,认为雷德福在片中的表演令人印象深刻。总的来说,评论区充满了对这位传奇人物的缅怀和敬佩之情。
- 原文: [Robert Redford Has Died](https://www.nytimes.com/2025/09/16/movies/robert-redford-dead.html)
- Hacker News: [https://news.ycombinator.com/item?id=45261159](https://news.ycombinator.com/item?id=45261159)
- 作者: uptown
- 评分: 237
- 评论数: 65
- 发布时间: 2025-09-16 20:10:31
---
## 在一次性电子烟上托管网站
本文介绍了如何在一个资源极其有限的一次性电子烟的微控制器上运行一个简单的web服务器。作者分享了他利用电子烟中的PUYA PY32F002B芯片,通过半主机(semihosting)和SLIP协议,最终成功搭建web服务器的整个过程。
文章详细描述了作者如何从收集废弃电子烟开始,发现并研究其中的PUYA微控制器。该芯片拥有24MHz Cortex M0+ 核心,24KB Flash存储和3KB的静态RAM。虽然性能不高,但作者认为这足以运行一个“飞快”的web服务器。
为了实现联网,作者利用了半主机技术,这是一种嵌入式ARM微控制器的系统调用方式。通过半主机,数据可以通过虚拟tty传输。作者还使用了uIP协议栈,这是一个轻量级的TCP/IP协议栈,非常适合资源有限的设备。
最初,服务器速度非常慢,ping延迟高达1.5秒,丢包率50%,页面加载时间超过20秒。经过优化,作者通过添加环形缓冲区缓存读取数据,并将写入分成批处理,显著提升了速度。优化后,ping延迟降至20ms,无丢包,完整页面加载时间约为160ms。
最终,这个项目展示了即使在极其有限的硬件资源下,也能实现一些令人惊讶的功能。
由于没有评论内容,这里跳过评论相关的总结和分析。
- 原文: [Hosting a website on a disposable vape](https://bogdanthegeek.github.io/blog/projects/vapeserver/)
- Hacker News: [https://news.ycombinator.com/item?id=45252817](https://news.ycombinator.com/item?id=45252817)
- 作者: BogdanTheGeek
- 评分: 1262
- 评论数: 431
- 发布时间: 2025-09-16 01:53:19
---
## Shopify 成功迁移至 React Native 新架构的实践分享
Shopify 分享了他们将 Shopify Mobile 和 Shopify POS 两大应用成功迁移到 React Native 新架构的经验,重点介绍了他们的迁移策略、关键决策和经验教训,旨在帮助其他团队。
Shopify 在迁移过程中遵循了三大原则:首先,尽量减少代码改动,先迁移后重构,避免引入破坏新架构构建流程的新代码;其次,在开发过程中保持对新旧架构的双重兼容,以便持续测试和防止回归;最后,确保新架构在 TTI 指标和无崩溃会话等方面达到或超过旧架构的性能和稳定性。为了保证每周的应用更新,他们采取了双架构测试和条件功能的方式。双架构测试通过 TopHat 为每个 PR 生成两种架构的构建,方便测试并防止破坏新架构的变更合并。对于不支持双架构的第三方依赖,他们使用特性标志在开发模式下有条件地禁用新架构上的功能。
在技术实现上,Shopify 并没有在迁移期间将任何模块迁移到 TurboModules,而是仅修改了在新架构上无法工作的模块,并使用特性标志来区分实现。他们优先升级到最新的 React Native 版本,并确保其稳定运行,因为他们遇到的许多 Bug 都是通过版本升级解决的。在应用代码层面,他们尽量减少改动,以确保功能代码在两种架构上都能正常工作,并为迁移后的清理添加了弃用警告。
迁移过程中遇到的常见问题包括:状态批量更新暴露了组件问题,由于新架构批量处理状态更新,导致一些依赖中间状态值的组件出现问题;出现“死亡白屏”,通常表明 TurboModule 存在问题,例如使用了 hacky 实现或旧架构特定的 API;Shadow Tree 操作变更,从原生 UIManager 操作 React Native 视图可能导致严重的 UI 问题,例如点击手势无法工作;View Flattening 副作用,View Flattening 可能会优化掉不必要的组件,导致样式问题。针对这些问题,Shopify 提供了相应的解决方案,例如重构组件以避免依赖特定的状态更新时序,检查与 UIManager 交互的模块,将混合组件迁移到纯 React Native 或完全迁移到原生,以及调整样式以适应 View Flattening。
- 原文: [Migrating to React Native's New Architecture](https://shopify.engineering/react-native-new-architecture)
- Hacker News: [https://news.ycombinator.com/item?id=45225217](https://news.ycombinator.com/item?id=45225217)
- 作者: vidyesh
- 评分: 60
- 评论数: 35
- 发布时间: 2025-09-13 02:41:36
---
## 重现 Gemini 计划的辉煌:最新图像处理技术揭示惊人细节
本文介绍了 Andy Saunders 的新书《Gemini & Mercury Remastered》,该书通过修复和深度研究 NASA 水星和双子座计划期间拍摄的 300 张照片,生动地重现了美国早期太空探索的勇敢历程。
这本书是 Saunders 前作《Apollo Remastered》的前传,带领读者回到人类太空探索的黎明时期。书中不仅包含大量经过精心修复的照片,还讲述了照片背后的故事,展现了宇航员们在执行任务时所面临的风险和挑战。
在水星计划中,宇航员最初被禁止携带相机,后来约翰·格伦用自己在药店购买的相机拍摄了第一张从太空拍摄的地球照片。双子座计划则开始使用哈苏相机,照片质量有了显著提升。然而,由于当时的首要任务是追赶苏联,照片的保存工作并没有得到足够的重视。
Saunders 仔细研究了水星和双子座计划期间拍摄的 5000 张照片和大量 16 毫米胶片,最终筛选出 300 张照片用于本书。他利用数字处理技术,从原始文件中提取出肉眼难以看到的细节,并结合历史资料,尽可能完整地还原了每个任务的细节。这些照片不仅具有极高的审美价值,也记录了人类探索太空的珍贵瞬间。
本书的出版恰逢双子座计划 60 周年纪念,提醒我们不要忘记那些勇敢的先驱者,以及他们为人类探索太空所做出的贡献。随着我们重返月球、迈向火星,这些照片将永远象征着人类向宇宙扩张的开端。
- 原文: [60 years after Gemini, newly processed images reveal details](https://arstechnica.com/space/2025/09/60-years-after-gemini-newly-processed-images-reveal-incredible-details/)
- Hacker News: [https://news.ycombinator.com/item?id=45231614](https://news.ycombinator.com/item?id=45231614)
- 作者: sohkamyung
- 评分: 153
- 评论数: 39
- 发布时间: 2025-09-13 20:43:54
---
## Generative AI 对初级岗位的影响:一项基于美国数据的研究
这项研究探讨了生成式 AI 是否会对职场新人产生不成比例的影响,也就是所谓的“资历偏向型技术变革”。研究人员分析了 2015 年至 2025 年间,美国近 6200 万工人和 28.5 万家公司的简历和招聘信息数据,旨在追踪公司内部不同资历员工的雇佣情况变化。
研究通过文本分析方法,识别那些发布“AI 集成者”职位的公司,以此作为积极采用生成式 AI 的信号。利用双重差分和三重差分估计,研究发现,从 2023 年第一季度开始,采用 AI 的公司中,初级员工的雇佣人数相对于未采用 AI 的公司显著下降,而高级员工的雇佣人数则持续上升。初级员工人数的下降主要是由于招聘速度放缓,而非离职人数增加,其中批发和零售贸易行业受影响最大。
此外,研究还发现,不同教育背景的员工受到的影响也不同,呈现 U 型模式:中等学历的毕业生受到的冲击最大,而顶尖和低学历的毕业生受到的影响较小。总的来说,这项研究初步表明,AI 的采用确实会对资历产生偏向性影响,并揭示了其作用机制。研究结果表明,生成式 AI 可能会改变劳动力市场的结构,对不同资历和教育背景的员工产生不同的影响。这项研究对于理解 AI 技术对就业市场的影响,以及制定相应的政策具有重要的意义。
- 原文: [Generative AI is hollowing out entry-level jobs, study finds](https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5425555)
- Hacker News: [https://news.ycombinator.com/item?id=45261930](https://news.ycombinator.com/item?id=45261930)
- 作者: zeuch
- 评分: 55
- 评论数: 53
- 发布时间: 2025-09-16 21:24:35
---
## OpenAI 探讨青少年安全、自由和隐私的平衡
OpenAI 总裁 Sam Altman 发表文章,阐述了在青少年使用 AI 产品时,如何在安全、自由和隐私之间做出权衡,并分享了 OpenAI 正在采取的措施。
文章指出,OpenAI 认为 AI 对话如同与医生或律师的对话一样,应享有高度隐私保护,并倡导政策制定者对此进行规范。同时,OpenAI 也在开发高级安全功能,以保护用户数据隐私,但为了防止严重滥用,例如威胁生命、伤害他人或大规模网络安全事件,自动化系统可能会进行监控,极端情况下会进行人工审查。
在自由方面,OpenAI 希望用户在安全范围内自由使用其工具,并逐步增加用户自由度。例如,模型默认不会进行轻浮对话,但如果成年用户提出要求,则应满足。对于更复杂的情况,例如自杀,模型默认不应提供自杀指导,但如果成年用户需要创作包含自杀情节的虚构故事,模型应提供帮助。
对于青少年,OpenAI 将安全置于隐私和自由之上。OpenAI 正在构建年龄预测系统,以区分 18 岁以下用户。如果存在疑问,将默认采用未成年人体验。在某些情况下,可能会要求提供身份证件。OpenAI 将对青少年用户应用不同的规则,例如,ChatGPT 不会进行轻浮对话,也不会参与关于自杀或自残的讨论,即使是在创意写作环境中。如果 18 岁以下用户有自杀念头,OpenAI 将尝试联系其父母,如果无法联系,将联系当局。
评论区主要围绕 OpenAI 保护青少年安全的措施展开讨论,同时也对 AI 安全性提出了质疑。
有人认为,OpenAI 仍然依赖 AI 来判断用户年龄和处理危险情况,这本身就存在风险。还有人质疑 OpenAI 聘请的精神科医生是否主要为法医精神科医生,缺乏对青少年心理健康的关注。
另有评论指出,即使 OpenAI 采取了年龄验证等措施,青少年仍然可以通过“假装是虚构故事”等方式绕过安全措施。评论还提到,Sam Altman 为了赶在竞争对手之前发布产品,可能牺牲了安全性。最后,有评论总结说,OpenAI 的举措可能源于对“那个青少年案例”的担忧,并试图避免法律诉讼。
- 原文: [Teen Safety, Freedom, and Privacy](https://openai.com/index/teen-safety-freedom-and-privacy)
- Hacker News: [https://news.ycombinator.com/item?id=45261659](https://news.ycombinator.com/item?id=45261659)
- 作者: meetpateltech
- 评分: 14
- 评论数: 4
- 发布时间: 2025-09-16 21:02:20
---
## UI设计中“Your”与“My”的使用:用户界面用语选择
在用户界面设计中,关于使用“My”还是“Your”来指代用户的内容,一直存在一些争议。本文作者通过实际案例分析,探讨了在不同语境下选择哪个词更为合适,并总结出了一些实用规则。
文章首先指出,很多时候可以避免使用任何前缀,直接使用“Account”、“Orders”、“Cases”等词,因为在很多场景下,用户自然知道这些内容是属于自己的。但是,当产品中同时包含用户自己和其他人的内容时,就需要仔细考虑用词了。
作者认为,在引导用户操作时,使用“Your”更为自然。例如,在 onboarding 流程或帮助文档中,使用“Go to your cases”比“Go to my cases”更清晰,因为后者容易让人误解为引导用户访问作者的案例。而当用户通过 radio button 等控件与系统交互时,使用“My”更合适。例如,“Share my profile”比“Share your profile”更符合逻辑,因为用户是在指示系统分享自己的个人资料。
文章总结了两个基本原则:与用户交流时使用“Your”,用户与系统交流时使用“My”。作者还提到,多年来在多个产品中使用“Your”的方法,用户研究中没有出现任何问题,效果良好。
评论区也对这个问题进行了热烈的讨论,观点多样。
* **@nomilk** 引用了 MS Windows User Experience Interaction Guidelines,建议使用第二人称(you, your)告知用户该做什么,使用第一人称(I, me, my)让用户告知程序该做什么。
* **@disposablese** 表达了对在人机交互中使用“my”的反感,认为机器应该保持客观,避免过度个性化。
* **@sedatk** 强调了本地化的重要性,指出在某些语言中,UI 对用户和用户对 UI 的用语正式程度不同,需要仔细考虑。
* **@Stratoscope** 举例 Windows 更新的提示语“You're 90% there”,认为应该改为“We're 90% there”更合理。
* **@makeitdouble** 认为过度使用人称代词可能显得不成熟,且难以国际化,清晰比自然更重要。
总的来说,选择“My”还是“Your”需要根据具体语境和目标用户进行判断,没有绝对的正确答案。重要的是保持一致性,并确保用户能够清晰理解。
- 原文: ["Your" vs. "My" in user interfaces](https://adamsilver.io/blog/your-vs-my-in-user-interfaces/)
- Hacker News: [https://news.ycombinator.com/item?id=45257627](https://news.ycombinator.com/item?id=45257627)
- 作者: Twixes
- 评分: 343
- 评论数: 159
- 发布时间: 2025-09-16 11:05:53
---
## 使用 x86-64 汇编语言从头开始编写 GUI
本文介绍了如何使用 x86-64 汇编语言从头开始编写一个简单的 GUI 程序,目标是创建一个尽可能小的 GUI 程序,并探讨了在没有外部库的情况下使用 X11 的可能性。
文章详细讲解了使用 `nasm` 汇编器和 X11 协议的基础知识,并逐步演示了如何用汇编语言实现 GUI 窗口的创建、连接 X 服务器、发送数据、生成 ID、打开字体、创建图形上下文、映射窗口、轮询服务器消息以及绘制文本等关键步骤。文章还讨论了在不同 *nix 操作系统上移植该程序的注意事项,强调了 Linux 提供稳定用户空间 ABI 的优势。通过这个实践项目,读者可以深入了解汇编语言和 X11 协议,并挑战传统观念,即汇编语言只能用于编写小型学习程序或优化特定函数。最终目标是创建一个大小约为 1KB 的极简 GUI 程序。
由于没有评论内容,这里跳过评论分析。
- 原文: [Learn x86-64 assembly by writing a GUI from scratch (2023)](https://gaultier.github.io/blog/x11_x64.html)
- Hacker News: [https://news.ycombinator.com/item?id=45221567](https://news.ycombinator.com/item?id=45221567)
- 作者: ibobev
- 评分: 187
- 评论数: 21
- 发布时间: 2025-09-12 20:51:46
---
## React 的默认选择地位正在扼杀前端创新
本文指出,React 凭借其默认选择的地位,而非技术优势,正在减缓整个前端生态系统的创新。
文章的核心论点是,当团队需要新的前端时,通常会直接选择 React,而不是根据项目约束选择最合适的工具。这种“React 优先”的思维模式形成了一种自我强化的循环,网络效应而非技术适用性决定了架构。虽然 React 在很多方面都非常出色,但问题在于这种默认选择的心态。React 的虚拟 DOM 在 2013 年是一个巧妙的解决方案,但现在引入了现代编译器可以避免的开销。Hooks 解决了类组件的痛点,但也引入了新的复杂性,如依赖数组、陈旧闭包和滥用的 effects。即使是 React 自己的文档也强调克制:“你可能不需要一个 Effect”。Server Components 改善了 time-to-first-byte,但增加了架构复杂性和新的故障模式。React Compiler 旨在优化 `useMemo`/`useCallback` 等模式,但这也表明我们正在围绕模型中固有的约束进行优化。
相比之下,Svelte 将工作转移到编译时,没有虚拟 DOM,运行时最小。Solid 提供了细粒度的响应性,直接更新受影响的 DOM 节点,绕过协调瓶颈。Qwik 使用可恢复性而不是 hydration,通过仅加载当前交互所需的内容来实现即时启动。这些方法不是对 React 模型的增量调整,而是具有不同上限的不同模型。React 的主导地位导致开发人员花费时间管理重新渲染、effect 依赖和 hydration 边界,而不是交付价值。此外,我们已经将思维模式集中在“React 模式”上,而不是 Web 基础知识,降低了技能的可移植性,并使架构惯性更有可能发生。文章还强调,React 的 API 表面积比其他替代方案更大、更复杂,需要仔细管理才能避免陷阱。
Svelte、Solid 和 Qwik 等框架并非缺乏优点而未被广泛采用,而是因为默认选择阻止了尝试它们。React 的主导地位造成了自我强化的障碍。招聘广告要求“React 开发人员”而不是“前端工程师”,限制了技能多样性。组件库和团队的肌肉记忆造成了制度惯性。规避风险的领导者选择“安全”的选项。学校教授工作所需的知识。这种循环独立于技术优点而持续存在。
- 原文: [React is winning by default and slowing innovation](https://www.lorenstew.art/blog/react-won-by-default/)
- Hacker News: [https://news.ycombinator.com/item?id=45252715](https://news.ycombinator.com/item?id=45252715)
- 作者: dbushell
- 评分: 614
- 评论数: 697
- 发布时间: 2025-09-16 01:46:01
---
## macOS Tahoe:苹果操作系统的新篇章
这篇文章主要介绍了苹果最新的操作系统 macOS Tahoe。它涵盖了从购买到探索 Mac 的各种链接,以及与其他苹果产品的连接。
文章详细介绍了 macOS Tahoe 的各项功能,并提供了购买 Mac、查找附件、以及以旧换新的链接。此外,还提供了诸如 Mac 支持、AppleCare、Apple Intelligence、苹果应用、Continuity 和 iCloud+ 等更多信息。文章还包括 Mac 在商业和教育领域的应用,以及其辅助功能。同样地,文章也介绍了 iPad、iPhone 和 Apple Watch 等其他苹果产品,涵盖了探索、购买、支持和相关配件等信息。每个产品部分都提供了详细的链接,方便用户查找所需信息。总的来说,这篇文章像是一个苹果产品生态系统的导览,旨在帮助用户更好地了解和使用苹果的各种产品和服务。
- 原文: [macOS Tahoe](https://www.apple.com/os/macos/)
- Hacker News: [https://news.ycombinator.com/item?id=45252378](https://news.ycombinator.com/item?id=45252378)
- 作者: Wingy
- 评分: 543
- 评论数: 788
- 发布时间: 2025-09-16 01:16:42
---
## William Gibson 朗读《神经漫游者》录音资源分享
这篇文章分享了 William Gibson 早年朗读其代表作《神经漫游者》(Neuromancer) 的录音资源,并提供了 MP3 下载链接。作者认为 Gibson 的口语表达与他的文字风格相似,听他的朗读能更深入地理解作品。由于原版磁带已经绝版,作者分享了自己转换的 MP3 文件,希望更多人能接触到这份珍贵的录音。
文章提到 Ray Bradbury 作为科幻作家,其写作风格与口头表达截然不同,而 William Gibson 则不然,他的口语表达与文字风格一脉相承。作者分享了 Gibson 朗读的《神经漫游者》删节版,这部作品是 Gibson 的成名作,也是“赛博空间”一词的创造之源。作者强调,由于原版录音已绝版多年,他才分享这些 MP3 文件,并希望出版商能以更现代的格式重新发行,让 Gibson 能够获得版税。文章还附上了 MP3 文件的下载链接,以及《神经漫游者》在线阅读的链接,方便读者在购买前了解内容。作者还推荐了 Gibson 的其他作品,但对《The Difference Engine》评价不高,认为这是 Bruce Sterling 的问题。
评论区对这篇文章和分享的资源进行了补充和讨论。
* 有人分享了 YouTube 上质量稍好的播放列表,以及 Reddit 上有人提取 CD 版本的帖子。
* 有人认为《神经漫游者》不太适合听书,因为叙事比较碎片化,容易让人感到困惑。
* 有人分享了 William Gibson 的纪录片链接。
* 有人推荐了 90 年代工业乐队 Black Rain 为这部有声书创作的配乐。
* 有人提到了之前在 Hacker News 上也分享过这个资源。
* 有人表达了对《The Difference Engine》的同感。
* 有人推荐了 Peripheral TV 剧集。
* 有人分享了自己听磁带的体验。
* 有人建议将资源上传到 Internet Archive 以防丢失。
* 有人分享了自己对书中经典赛博朋克语录的深刻印象。
总的来说,评论区提供了更多关于《神经漫游者》和 William Gibson 的相关资源和讨论,从不同角度丰富了这篇文章的内容。
- 原文: [William Gibson Reads Neuromancer (2004)](http://bearcave.com/bookrev/neuromancer/neuromancer_audio.html)
- Hacker News: [https://news.ycombinator.com/item?id=45255137](https://news.ycombinator.com/item?id=45255137)
- 作者: exvi
- 评分: 278
- 评论数: 78
- 发布时间: 2025-09-16 05:28:01
---
## 逆向工程 TP-Link Tapo 摄像头:一次意外的安全研究之旅
本文讲述了作者为了监控自家宠物,购买了 TP-Link Tapo 摄像头,结果却意外踏上了逆向工程和安全研究的旅程。作者深入研究了 Tapo 摄像头的启动流程,通过中间人攻击、APK 反编译等技术手段,最终成功实现了无需云服务的摄像头配置。
文章首先介绍了作者遇到的问题,即在 Frigate 中配置 Tapo 摄像头比较困难,并且发现修改云密码后,设备上的密码并没有同步更新。这引发了作者对摄像头启动流程的兴趣,并猜测其中可能存在默认密码或未授权访问。
为了进一步研究,作者使用了 Frida 等工具进行中间人攻击,拦截了 App 和摄像头之间的通信。通过分析拦截到的数据包,作者发现摄像头在连接云服务之前会使用默认密码进行登录。
接下来,作者使用 JADX 反编译了 Tapo App 的 APK 文件,并在 `CameraOnboardingViewModel` 类中找到了默认密码:`TPL075526460603`。
有了默认密码,作者就可以解密 `securePassthrough` 通道中的加密信息。为了方便分析,作者编写了一个 Mitmproxy 脚本,用于自动解密请求和响应,并将它们以易于阅读的格式显示在 Mitmproxy 的界面中。
通过分析解密后的数据,作者发现 Tapo App 在启动过程中会执行一系列 API 调用,其中最重要的是扫描 Wi-Fi 接入点、启用 RTSP/ONVIF 账户、修改管理员密码和连接 Wi-Fi。
最终,作者编写了一个 Bash 脚本 `tapo_onboard.sh`,可以自动完成摄像头的配置,包括使用默认密码登录、扫描和选择 Wi-Fi 接入点、关闭 OSD 标志、启用 RTSP/ONVIF 功能、修改管理员密码和连接 Wi-Fi。
作者通过这次研究,也发现 Tapo 摄像头的固件存在一些安全问题,例如部分接口使用 SHA-256 哈希算法,而另一些接口仍然使用 MD5 哈希算法。此外,固件中还存在两个公钥,一个用于 TLS,另一个用于其他用途。
总而言之,作者通过这次对 TP-Link Tapo 摄像头的逆向工程,不仅实现了无需云服务的摄像头配置,还发现了潜在的安全问题,并为其他开发者提供了有价值的参考。
- 原文: [Wanted to spy on my dog, ended up spying on TP-Link](https://kennedn.com/blog/posts/tapo/)
- Hacker News: [https://news.ycombinator.com/item?id=45251690](https://news.ycombinator.com/item?id=45251690)
- 作者: kennedn
- 评分: 501
- 评论数: 159
- 发布时间: 2025-09-16 00:28:54
---
## 使用 Haskell 解决 ITA 软件的编程谜题:文字数字问题
本文介绍了如何使用 Haskell 编程语言,结合 Monoid 和 Seminearring 等概念,来解决 ITA Software 提出的一个编程谜题:将 1 到 999,999,999 的整数写成英文单词,按字母顺序排序并连接后,第 510 亿个字母是什么?
文章的核心在于将字符串列表视为一个 Seminearring,利用其代数结构来简洁地表达数字的英文表示。作者首先定义了 `Monoid` 和 `Seminearring` 的类型类,并给出了列表类型的实例。Monoid 包含一个二元运算 `+` (可以理解为不确定性选择) 和一个单位元 `zero` (表示失败)。Seminearring 在 Monoid 的基础上增加了一个二元运算 `*` (表示连接) 和一个单位元 `one`。
文章特别强调了 Seminearring 的分配律只在一个方向上成立,这反映了英语中数字发音的从左到右的顺序。作者还定义了 `Character` 类型类,用于将字符映射到 Seminearring 的元素。通过 `product` 和 `string` 函数,可以将字符串转换为 Seminearring 的值。
最后,文章使用 `ten1`、`ten2`、`ten3`、`ten6` 和 `ten9` 等变量,以简洁的方式定义了 10^9 - 1 以内的数字的英文表示。这种表示方式实际上可以看作是一个上下文无关文法,其中 `+` 表示选择,`*` 表示连接。作者通过暴力计算验证了 `ten6` 包含了 10^6 - 1 个字符串,并计算了这些字符串的总长度。虽然 `ten9` 的计算由于计算量过大而中断,但文章已经展示了使用 Haskell 和代数结构解决这类问题的强大能力。
总而言之,这篇文章深入浅出地介绍了如何利用 Haskell 的类型系统和代数结构来解决一个有趣的编程问题,展示了函数式编程在处理文本和组合结构方面的优势。
- 原文: [WordNumbers: Counting letters of number names, alphabetized and concatenated](http://conway.rutgers.edu/~ccshan/wiki/blog/posts/WordNumbers1/)
- Hacker News: [https://news.ycombinator.com/item?id=45233675](https://news.ycombinator.com/item?id=45233675)
- 作者: lupire
- 评分: 7
- 评论数: 1
- 发布时间: 2025-09-14 01:16:03
---
## 探索滑块谜题:Klotski 在线互动体验
这篇文章介绍了一个在线 Klotski 游戏,也叫做“华容道”,提供了一个互动的体验。如果你对滑块类谜题感兴趣,或者想找个小游戏来消磨时间,可以尝试一下。
Klotski 是一种经典的滑块谜题,目标是在限定的空间内,通过移动不同大小的方块,将特定的目标方块移动到指定位置。这个在线版本提供了一个互动的界面,你可以直接在网页上玩这个游戏。
文章本身比较简洁,主要就是一个游戏链接。不过,如果你之前没玩过 Klotski,可能需要先了解一下游戏规则。
评论区里,`dzaima` 补充了一个 YouTube 视频链接,提供了更多关于 Klotski 的信息,并且提到了之前在 Hacker News 上的讨论。`gus_massa` 则认为页面对于不熟悉 Klotski 这个名字的人来说不太容易理解,建议作者添加一个维基百科的链接。这说明,对于一些比较冷门或者有多种叫法的游戏,在介绍时提供更详细的背景信息或者相关链接,可以帮助读者更好地理解。
- 原文: [Klotski](https://2swap.github.io/Klotski-Webpage/)
- Hacker News: [https://news.ycombinator.com/item?id=45222117](https://news.ycombinator.com/item?id=45222117)
- 作者: surprisetalk
- 评分: 10
- 评论数: 2
- 发布时间: 2025-09-12 21:47:22
---
## PayPal 支持以太坊和比特币,革新 P2P 支付
PayPal 在 2025 年宣布推出 PayPal links,这是一种通过个性化链接进行 P2P 支付的新方式,旨在简化跨应用、跨境和跨币种的资金转移。用户可以创建一次性支付链接,并通过文本、消息或电子邮件分享,收款人可以通过 PayPal 应用完成支付或收款。
PayPal 还将加密货币直接集成到 P2P 支付流程中,允许美国用户通过 PayPal 和 Venmo 发送比特币、以太坊和 PYUSD 等加密货币到其他数字钱包。此外,通过 Venmo 和 PayPal 进行的亲友转账免于 1099-K 报税,确保个人支付的私密性。PayPal links 具有个性化链接创建、一次性使用、灵活分享、管理支付活动和即时到账等特点。
PayPal 声称一直致力于革新全球商业,通过创新体验简化资金转移、销售和购物流程,赋能全球消费者和企业。
评论区对 PayPal 整合加密货币的举动褒贬不一。有人质疑在去中心化的加密货币交易中使用 PayPal 作为中间商的必要性,认为这与加密货币的初衷相悖。也有人担心 PayPal 冻结用户资金的历史,对其安全性表示担忧。
此外,有评论指出 PayPal 并非银行,不受银行监管,存在随时冻结用户账户的风险,建议用户仅将其作为必要的在线 P2P 买卖工具,并采取最小化风险的策略,例如只连接一个银行账户(非主要账户)用于收款,并立即转移收到的资金。尽管存在争议,PayPal 在 P2P 支付领域的持续创新和对加密货币的支持,无疑将对未来的支付方式产生深远影响。
- 原文: [PayPal to support Ethereum and Bitcoin](https://newsroom.paypal-corp.com/2025-09-15-PayPal-Ushers-in-a-New-Era-of-Peer-to-Peer-Payments,-Reimagining-How-Money-Moves-to-Anyone,-Anywhere)
- Hacker News: [https://news.ycombinator.com/item?id=45249915](https://news.ycombinator.com/item?id=45249915)
- 作者: DocFeind
- 评分: 472
- 评论数: 360
- 发布时间: 2025-09-15 22:04:47
---
## 估算家用太阳能电池容量以实现电力自给自足
本文探讨了在伦敦郊区一户普通人家,为了完全依靠太阳能实现电力自给自足,需要多大容量的电池。作者通过分析家庭用电和太阳能发电数据,估算出所需的电池容量。
文章作者在自家屋顶安装了太阳能板,年发电量约 3800kWh,与家庭年用电量大致相等。为了实现完全的能源独立,作者分析了多年的用电和发电数据,包括夏季的电力盈余和冬季的电力短缺。通过Python代码,作者计算出需要约 1068kWh 的电池容量,即一个兆瓦时的存储量,才能存储夏季多余的电力供冬季使用。作者也指出,即使拥有如此大容量的电池,仍然会有几天需要从电网获取电力。
作者也提到,这种方案可能并不现实,因为它没有考虑到电动汽车或燃气供暖/烹饪的替代方案所带来的额外能源消耗。此外,制造和存储如此大容量电池对环境的影响也需要考虑。更高效的做法可能是更换效率更高的太阳能板,或者利用风能、水力等其他绿色能源。总之,这只是一次基于数据的假设性探讨。
- 原文: [How big a solar battery do I need to store all my home's electricity?](https://shkspr.mobi/blog/2025/09/how-big-a-solar-battery-do-i-need-to-store-all-my-homes-electricity/)
- Hacker News: [https://news.ycombinator.com/item?id=45248899](https://news.ycombinator.com/item?id=45248899)
- 作者: FromTheArchives
- 评分: 370
- 评论数: 446
- 发布时间: 2025-09-15 20:33:28
---
## OpenAI 发布 GPT-5-Codex:为代码而生的 AI 助手
OpenAI 推出了 GPT-5-Codex,这是 GPT-5 的一个专门版本,针对 Codex 中的智能编码进行了优化,旨在成为软件工程师更高效的合作伙伴。它擅长处理各种实际软件工程任务,无论是快速交互会话还是独立完成复杂的长期任务,都能胜任。
GPT-5-Codex 在构建完整项目、添加功能和测试、调试、大规模重构以及代码审查等复杂、真实的工程任务上进行了训练。它能够更好地遵循指令,生成更高质量的代码,并且能根据任务的复杂性动态调整思考时间。在代码审查方面,GPT-5-Codex 能够检查代码库,分析依赖关系,并运行代码和测试来验证正确性,从而发现关键缺陷。
与之前的版本相比,GPT-5-Codex 在处理小型、定义明确的请求时速度更快,而在处理大型重构等复杂任务时,则会花费更多时间进行推理、编辑、测试和迭代。在 OpenAI 员工的流量中,对于模型生成 token 数量最少的 10% 的用户交互,GPT-5-Codex 使用的 token 比 GPT-5 少 93.7%。相反,对于 token 数量最多的 10%,GPT-5-Codex 会花费两倍的时间进行推理、编辑和测试代码,并进行迭代。
除了 GPT-5-Codex 本身的升级,Codex CLI 和 IDE 扩展也进行了改进。Codex CLI 围绕智能编码工作流程进行了重建,现在可以附加和共享图像,并具有更准确的工具使用能力。终端 UI 也得到了升级,工具调用和差异更容易理解。Codex IDE 扩展将 Codex 代理引入 VS Code、Cursor 和其他 VS Code 分支,以便开发者可以无缝预览本地更改并使用 Codex 编辑代码。
此外,Codex 现在还包括代码审查功能,可以匹配 PR 的声明意图与实际差异,推理整个代码库和依赖关系,并执行代码和测试以验证行为。通过缓存容器,新任务和后续任务的中值完成时间缩短了 90%。Codex 还可以通过扫描常见的设置脚本并执行它们来自动设置自己的环境,并具有可配置的互联网访问权限,可以在运行时运行 pip install 等命令来获取依赖项。
总而言之,OpenAI 通过 GPT-5-Codex 和 Codex 的一系列更新,旨在打造一个能够理解开发者上下文、协同工作并可靠地承担团队任务的 AI 队友。
- 原文: [GPT-5-Codex](https://openai.com/index/introducing-upgrades-to-codex/)
- Hacker News: [https://news.ycombinator.com/item?id=45252301](https://news.ycombinator.com/item?id=45252301)
- 作者: meetpateltech
- 评分: 360
- 评论数: 114
- 发布时间: 2025-09-16 01:10:39
---
## 欧洲能源转型:摆脱俄罗斯依赖后,是否又将锁定美国 LNG?
文章讨论了欧盟在摆脱对俄罗斯能源依赖后,转向依赖美国液化天然气(LNG)的潜在风险,以及这是否会阻碍其气候目标。
文章指出,欧盟委员会承诺每年投资 2500 亿美元购买美国 LNG,以取代俄罗斯天然气。虽然欧盟声称这只是短期措施,最终将被可再生能源取代,但能源分析师认为,建设接收美国 LNG 所需的基础设施将使欧洲长期依赖化石燃料。美国能源部长也表示,这实际上是一个长期转变,因为 LNG 基础设施的建设需要大量投资,一旦建成,就需要长期使用才能 оправдать 投资。
文章还提到,欧盟设定了到 2030 年减排 55% 以及到 2050 年实现净零排放的目标。但如果长期使用美国 LNG,这些目标将难以实现。此外,美国能否在未来三年内提供如此大量的 LNG 也存在疑问。尽管如此,为了接收更多的美国 LNG,美国需要建设液化出口终端,而欧盟需要建设气体进口终端和管道。这意味着 LNG 进口的激增不可能是暂时的,需要大量昂贵的港口和管道基础设施建设,而一旦建成,就需要持续使用数十年才能 оправдать 投资。
文章还引用了欧洲政策中心气候与能源分析师 Simon Dekeyrel 的观点,他认为大型 LNG 进口终端的建设需要大约五年时间,连接终端的管道也需要数年时间。目前,欧盟成员国正在宣布一系列新的项目,这可能会导致对化石燃料基础设施的不必要投资,而这些投资本可以更好地用于其他领域。
文章最后指出,该协议的支持者认为这是一个无法实现的空头支票,因此是无害的。但美国政府已经明确表示,这不仅仅是一个象征性的姿态,而是需要实际交付的。如果欧盟不立即开始投入巨额资金,那么关税限制在 15% 的协议就会失效。欧洲至少必须开始建设接收美国天然气所需的基础设施,否则将面临特朗普的愤怒。
- 原文: [After escaping Russian energy dependence, Europe is locking itself in to US LNG](https://davekeating.substack.com/p/after-escaping-russian-energy-dependence)
- Hacker News: [https://news.ycombinator.com/item?id=45262346](https://news.ycombinator.com/item?id=45262346)
- 作者: hunglee2
- 评分: 65
- 评论数: 84
- 发布时间: 2025-09-16 21:56:54
---
## GPT-5-Codex:OpenAI 针对 Agentic Coding 优化的新模型
OpenAI 发布了 GPT-5-Codex 的系统卡附加说明,这是一个专为 Codex 中的 agentic coding 优化的 GPT-5 版本。该模型旨在生成更贴近人类风格的代码,精确遵循指令,并通过迭代测试来达成目标。
GPT-5-Codex 的前身是 codex-1,它通过强化学习在各种真实编码环境中进行训练。 这种训练方式让模型能够生成更符合人类习惯的代码,并能更好地理解和执行各种编码任务。
该模型可以通过多种方式使用,包括本地终端、IDE(通过 Codex CLI 和 IDE 扩展),以及云端(通过 Codex web、GitHub 和 ChatGPT 移动应用)。 这种广泛的可用性使得开发者可以轻松地将 GPT-5-Codex 集成到他们的工作流程中。
OpenAI 强调了 GPT-5-Codex 的安全措施,包括模型层面的缓解措施(如针对有害任务的专门安全训练和 prompt 注入防御)以及产品层面的缓解措施(如 agent 沙盒和可配置的网络访问)。 这些安全措施旨在降低模型被滥用的风险,并确保其在安全可控的环境中运行。
总而言之,GPT-5-Codex 代表了 OpenAI 在 AI 辅助编码领域的重要进展,它不仅提高了代码生成的质量和效率,还注重安全性,为开发者提供了一个强大而可靠的工具。
- 原文: [Addendum to GPT-5 system card: GPT-5-Codex](https://openai.com/index/gpt-5-system-card-addendum-gpt-5-codex/)
- Hacker News: [https://news.ycombinator.com/item?id=45253458](https://news.ycombinator.com/item?id=45253458)
- 作者: wertyk
- 评分: 241
- 评论数: 138
- 发布时间: 2025-09-16 02:45:32
---
## Java 25 正式发布:开发者们的新玩具来了!
Java 25 终于正式发布了!这次更新带来了不少新特性和改进,绝对值得开发者们关注。
这次发布的 Java 25 是基于 Build 36,也就是之前的 Release Candidate 2。由于自那以后没有出现任何 P1 级别的 bug,所以 Build 36 就直接作为正式版发布了,大家可以放心在生产环境中使用。Oracle 提供的 GPL 许可的 OpenJDK 构建版本已经可以在 [https://jdk.java.net/25](https://jdk.java.net/25) 下载了,其他供应商的版本应该很快也会发布。
Java 25 包含了 18 个 JEP (JDK Enhancement Proposals),涵盖了加密对象、稳定值、并发、作用域值等多个方面。具体来说,包括:
* JEP 470: PEM 编码的加密对象 (预览)
* JEP 502: 稳定值 (预览)
* JEP 503: 移除 32 位 x86 端口
* JEP 505: 结构化并发 (第五次预览)
* JEP 506: 作用域值
* JEP 507: 模式匹配中的基本类型 (第三次预览)
* JEP 508: Vector API (第十次孵化)
* JEP 509: JFR CPU 时间分析 (实验性)
* JEP 510: 密钥派生函数 API
* JEP 511: 模块导入声明
* JEP 512: 紧凑源文件和实例 Main 方法
* JEP 513: 灵活的构造器主体
* JEP 514: 提前编译命令行人体工程学
* JEP 515: 提前编译方法分析
* JEP 518: JFR 协同采样
* JEP 519: 紧凑对象头
* JEP 520: JFR 方法计时和跟踪
* JEP 521: 分代 Shenandoah
除了这些 JEP 之外,Java 25 还包含了数百个小的改进和数千个 bug 修复。
总而言之,Java 25 是一个重要的版本,它在性能、安全性和开发效率等方面都带来了显著的提升。建议 Java 开发者们尽快升级到这个版本,体验最新的特性和改进。
评论区里 @mkurz 提到 Java 25 是一个 LTS (Long-Term Support) 版本,这意味着它会得到更长时间的支持和维护。这对于企业级应用来说是一个非常重要的考量因素,可以确保应用的稳定性和安全性。
- 原文: [Java 25 Officially Released](https://mail.openjdk.org/pipermail/announce/2025-September/000360.html)
- Hacker News: [https://news.ycombinator.com/item?id=45261946](https://news.ycombinator.com/item?id=45261946)
- 作者: mkurz
- 评分: 11
- 评论数: 1
- 发布时间: 2025-09-16 21:25:42
---
🫵 来啊,说点有用的废话!
▲
