cPanel和WebHost Manager (WHM) 发现了一个严重漏洞 (CVE-2026-41940)。该软件被全球大量网站使用。此漏洞允许黑客绕过登录安全,并完全控制受影响的服务器,可能导致数据和网站被破坏。 虽然Namecheap和HostGator等许多托管服务提供商已经修补了系统,但cPanel敦促*所有*用户确保他们的软件是最新的。包括加拿大在内的网络安全机构警告说,漏洞被利用的可能性“非常高”,需要立即采取行动。 有证据表明,攻击者可能已经尝试利用此漏洞数月,一些提供商报告早在二月份就出现了尝试入侵的情况。此漏洞授予了深度访问权限,使得未修补的服务器尤其容易受到攻击,尤其是在共享托管环境中。WP Squared,一个相关的WordPress管理工具,也已发布了修复程序。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 黑客正在积极利用 cPanel 和 WHM 中的一个漏洞 (techcrunch.com) 7点 由 dotmanish 50分钟前 | 隐藏 | 过去 | 收藏 | 讨论 帮助 考虑申请YC 2026年夏季项目!申请截止至5月4日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## CVE-2026-31431: Linux 内核权限提升 Linux 内核的 `algif_aead` 模块存在本地权限提升 (LPE) 漏洞 (CVE-2026-31431),具体位于 `authencesn` 算法 (hmac(sha256), cbc(aes)) 中。该漏洞于 2026 年 4 月 29 日披露,允许非特权用户破坏内核页面缓存,从而可能获得 root 权限。 当使用 `splice()` 将数据从普通文件输入到 AEAD 操作时,会发生此漏洞。`authencesn` 随后对目标页面缓存执行小规模的就地写入,从而破坏文件的缓存内容。重要的是,磁盘上的文件保持不变,这使得检测变得困难。 利用方法是破坏页面缓存中的 `/etc/passwd` 文件,将用户的 UID 更改为 0,然后使用 `su` 获取 root shell。提供了 Python 脚本 (`test_cve_2026_31431.py` 用于检测,`exploit_cve_2026_31431.py` 用于利用) 以进行测试和利用。 受影响的内核包括包含提交 72548b093ee3 (于 2017 年引入) *且未* 撤销上游补丁的内核。缓解措施包括禁用 `algif_aead` 模块或应用上游补丁,该补丁将恢复到非就地 AEAD 操作。 **重要提示:** 仅在您拥有或已获得明确评估权限的系统上使用这些工具。未经授权的使用是非法的。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 立即修补你的内核:732字节Python rootkit,自2017年以来破解所有发行版 (github.com/rootsecdev) 7点 由 cednore 44分钟前 | 隐藏 | 过去 | 收藏 | 2评论 帮助 Bender 22分钟前 | 下一个 [–] 已验证修复在 7.0.2-2-cachyos 来自 PoC [1][1] - https://copy.fail/#exploit 回复 TacticalCoder 31分钟前 | 上一个 | 下一个 [–] 相关的Debian CVE追踪器:https://security-tracker.debian.org/tracker/CVE-2026-31431 回复 考虑申请YC 2026年夏季批次!申请截止至5月4日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## 美国父亲角色的演变 近几代美国父亲的角色发生了显著变化。千禧一代的父亲每天在育儿上花费超过80分钟——是婴儿潮一代父母的两倍多,几乎是沉默一代祖父母的四倍。这种转变不仅仅是因为女性进入劳动力市场,尽管这是关键因素。母亲的育儿参与度*也*有所增加,表明了一种更广泛的文化变革。 有几个因素促成了这种“父亲角色的崛起”。更高的教育水平与更多陪伴孩子的时间相关,这可能是因为受过教育的父母将育儿视为一种有价值的休闲活动。与此同时,对大学入学和社會地位的焦虑助长了“高强度育儿”,推动了对孩子成功的竞争。 社会联系的减少也发挥了作用,使家庭生活更加集中,并增加了父母的参与度。尽管母亲仍然承担更多的育儿责任——特别是压力较大的任务——并且报告了更高的育儿压力,但父亲们越来越多地接受共同育儿的角色。 成为父亲通常意味着牺牲休闲时间,例如看电视,并调整睡眠时间。尽管感到更加疲惫和时间压力增大,但父亲们普遍报告生活满意度很高,并且不会用任何东西来交换这种经历,这突显了现代父亲身份的深刻乐趣。

## 美国爸爸与角色转变 - Hacker News 摘要 一篇近期文章 (derekthompson.org) 引发了 Hacker News 关于现代社会父亲角色演变的热议。许多评论者认为正在发生显著转变,父亲们越来越积极地参与到孩子的生活中——力求成为他们自己没有得到的父母。 许多人分享了个人轶事,强调了在场父亲的积极影响,一位评论者表达了看到朋友对孩子奉献精神时的强烈情感。另一些人指出了一种世代趋势,即X世代的父亲希望他们的儿子在育儿方面超越自己。 然而,也有人指出经济压力是驱动力,认为双收入的需要迫使父亲参与其中,更多地惠及资本主义而非家庭。尽管如此,主流情绪强调了父亲积极参与孩子生活中的宝贵情感联系和积极影响,无论经济因素如何。

Please provide the content you want me to translate. I need the text to be able to translate it to Chinese.

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 The upsell game – Vercel 的追加销售策略揭露 (theupsellgame.com) 12 分,来自 bartoindahouse 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助 考虑申请 YC 2026 夏季项目!申请截止至 5 月 4 日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

特朗普政府在委内瑞拉的行动似乎是出于能源考量,而不仅仅是寻求政权更迭。在此之前,委内瑞拉大约75%的石油出口销往中国。现在,美国接收了大约50%,而中国的份额已骤降至10%,这在伊朗等地缘政治不稳定背景下,增强了美国的能源独立性。 尽管美国汽油价格仍然较高(每加仑4.30美元),但由于增加了对委内瑞拉石油的获取,其价格远低于欧洲(每加仑8-9.30美元)。像雪佛龙这样的公司已经在增加产量,目标是在未来几年内提高50%,到2026年可能达到每天120万桶。 这并非全球供应问题的快速解决方案,但它保护美国免受潜在短缺的影响,并同时削弱了中国的重要资源。欧洲国家尽管最初批评美国干预,现在也在寻求在委内瑞拉能源领域的投资机会。

## LinkedIn 秘密追踪你的浏览器扩展程序 LinkedIn 正在秘密扫描用户的 Chrome 浏览器扩展程序——这一做法至少从 2017 年开始,目前已追踪超过 6,278 个扩展程序。这并非为了改善用户体验;LinkedIn 利用这些数据构建详细档案,将你的职业身份与个人浏览习惯联系起来。 该公司通过尝试访问扩展程序内的文件来探测扩展程序的安装情况,记录失败(和成功)情况以构建软件清单。这会泄露敏感信息——求职活动、政治倾向,甚至关于残疾的细节——所有这些都没有经过用户同意或在他们的隐私政策中披露。 除了隐私问题外,LinkedIn 据称*利用*这些数据,对安装了特定扩展程序的用戶进行惩罚。这一做法目前正在德国进行刑事调查,可能违反欧盟《数字市场法》。 这并非孤立事件。LinkedIn 的指纹识别系统,结合数据共享,允许追踪你在 *离开* LinkedIn 后的浏览活动,创建一个强大的监控网络。这凸显了一个更广泛的生态系统问题,即浏览器指纹识别将跨平台的数据连接起来,侵蚀在线隐私。

## LinkedIn 扩展扫描 – 摘要 最近的发现表明 LinkedIn 正在主动扫描用户的 Chrome 扩展程序——一个包含 6,278 个条目的列表——并将结果加密到每个 API 请求中。研究人员已证实这一做法,允许 LinkedIn 可能根据用户安装的扩展程序来构建用户画像,揭示诸如宗教信仰、收入水平和求职活动等信息。 讨论强调了开发者面临类似请求时所产生的伦理问题,质疑有益遥测数据与侵入性监控之间的界限。由于 Chrome 的静态扩展 ID,这个问题似乎仅限于 Chrome,用户正在探索其他浏览器,如 Firefox(使用动态 ID)和 Safari,作为潜在的解决方案。 针对 LinkedIn 的行为已展开刑事调查,许多评论者对数据收集表示强烈反对。更多讨论和相关文章可以在 Hacker News 上找到 ([https://news.ycombinator.com/item?id=47613981](https://news.ycombinator.com/item?id=47613981))。

车辆互联是Rivian车辆的核心功能。如果您选择禁用所有车辆互联,这将阻止数据离开车辆,但也会限制或禁用车辆中的某些功能(例如,导航、车道保持辅助以及无线更新,这些更新提供新功能、更好的性能、安全增强和错误修复)。要在加拿大车辆中禁用车辆的所有蜂窝网络连接,请使用车辆设置菜单的“数据和隐私”屏幕中的切换开关。对于非加拿大车辆,您可以联系Rivian服务,要求我们在服务预约中禁用车辆中的eSIM卡。请注意,禁用互联不会对您可能拥有的任何Rivian订阅(例如,Connect+)产生影响——这些需要单独取消。您获得了所需的答案吗?是/否

## Rivian 提供互联网连接禁用选项 最近的 Hacker News 讨论强调了 Rivian 的一项新功能,允许车主完全禁用车辆的互联网连接。这项功能被赞扬为用户隐私方面的一个积极步骤——类似于物理断开 OnStar 等系统,但该功能有一个限制:禁用互联网访问也会禁用车道保持辅助。 用户推测这可能是因为先进的车道保持系统依赖于更新的地理围栏数据,或者可能是一种故意的设计选择。对话涉及其他汽车品牌(如现代的 GPS 辅助驾驶辅助系统)中的类似功能,以及对车辆数据收集控制的更广泛需求。一些用户表达了对数据被存储和稍后传输的担忧,并引用了其他制造商过去出售数据的例子。 讨论还延伸到相关话题,例如更简单、连接性较差的车辆(如丰田 4Runner)的好处,以及开源替代方案(如 Comma AI)的吸引力。最终,许多评论员赞扬 Rivian 提供了*一个*选项,即使存在限制,并倡导更多用户控制和透明度。

谷歌正在推出一个Play商店徽章,以识别针对平板电脑和折叠屏手机优化的应用程序,此举凸显了Android在该市场的长期弱点。尽管平板电脑自2010年起就已存在,但许多Android应用程序仍然只是简单拉伸的手机版本,缺乏适当的平板电脑优化——苹果公司在几年前就已基本解决了这个问题。 苹果目前主导平板电脑市场(截至2026年初的市场份额为51.5%),拥有强大的平板电脑应用程序库。三星以25.8%的市场份额遥遥落后,这说明了Android的碎片化。 作者认为,苹果可以通过潜在的“iPad Neo”进一步巩固其主导地位——这是一款类似于最近发布的廉价MacBook Neo的经济型平板电脑。这可能会迫使长期停滞的Android平板电脑领域进行急需的变革,该领域已经奋斗了16年,未能提供一致且引人注目的体验。最终,谷歌的失败为苹果有可能垄断平板电脑市场创造了机会。

## iPad Neo 在黑客新闻上的讨论 一篇TechAdvisor的文章,建议苹果公司推出200美元的“iPad Neo”并可能主导平板电脑市场,这在黑客新闻上引发了争论。许多评论者质疑如此低的价格是否可行,并指出目前已有的349美元平板电脑以及苹果公司以往更高质量、更耐用(尽管有时会故意过时)硬件的历史先例。 讨论的中心在于苹果是否已经拥有一个能够胜任这一角色的产品(标准iPad),以及是否有市场空间推出更便宜的选择,而不会蚕食更昂贵型号的销量。一些人认为,Neo需要运行macOS,而不是iOS,才能使其与众不同。 几位用户强调苹果强大的硬件/软件集成是其关键优势,而另一些人则批评了苹果的硬件质量、软件限制以及通过软件更新使旧设备无法使用的做法。 此外,还围绕谷歌的移动战略以及集成生态系统与在所有硬件层面上竞争的价值展开了更广泛的讨论。

## 教堂岩铀矿泄漏:摘要 1979年7月16日,新墨西哥州的教堂岩铀矿厂泄漏事件,仍然是美国历史上放射性物质释放量最大的一次,甚至超过了三英里岛事件的影响。联合核公司矿厂尾矿处置池的决堤,导致超过1100吨固体放射性废物和9400万加仑酸性液体释放到普埃科河中,污染了向下游延伸至亚利桑那州和纳瓦霍族领地的80英里河段。 泄漏物包含铀、其他放射性元素和有毒金属,使河流无法用于饮用、灌溉和牲畜。依赖河流的纳瓦霍社区收到的警告延迟且往往不足,最初的应对因语言障碍而受阻。尽管有要求,新墨西哥州州长拒绝了联邦灾害援助。 清理工作有限,长期健康影响仍然令人担忧。虽然美国环保署于1983年将该地点列入国家优先列表,但地下水污染仍然存在。该事件凸显了环境正义问题,因为泄漏不成比例地影响了美洲原住民人口,并且比其他核事件受到的全国媒体关注更少。教堂岩泄漏事件是对铀矿开采的持久后果和负责任的废物管理必要性的严峻提醒。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 教堂岩铀矿磨坊泄漏 (wikipedia.org) 8 分,Sir_Twist 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助 考虑申请YC 2026年夏季项目!申请截止至5月4日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

此 GitHub 页面详细说明了一个新的问题 (#1213),涉及“Prompt API”提案。该问题由用户 @saschanaz 于 2025 年 4 月 28 日提出。 该提案旨在定义一个新的 Web API,用于与提示进行交互,其说明文档可在链接的 GitHub 仓库 ([https://github.com/webmachinelearning/prompt-api/blob/main/README.md](https://github.com/webmachinelearning/prompt-api/blob/main/README.md)) 中找到。@domenic 列为提案作者。 目前,该问题缺少 MDN、CanIUse 或 Bugzilla 的 URL 信息,并且尚未确定任何 Mozilla 贡献者提供意见。Blink 已经发布了该 API 的原型意向。该问题目前在“standards-positions review”项目中状态为“Unscreened”,并带有“negative”标签。目前没有分支或拉取请求与之关联。

Mozilla 对谷歌 Chrome 新的 Prompt API 表示担忧,担心这会进一步巩固谷歌在网络上的主导地位。该 API 允许 Chrome 将其自身的人工智能模型直接集成到浏览器中,可能迫使竞争对手,如 Mozilla 和 Apple,许可谷歌的模型或创建兼容层以确保互操作性。 评论员认为,这可能成为欧盟的反垄断问题,谷歌利用其浏览器市场份额。一个提议的解决方案是浏览器厂商同意标准化、公开可用的人工智能模型——类似于网页安全颜色——所有浏览器将以相同的方式支持这些模型。用户可以选择安装额外的模型(如果需要)。 核心问题在于谷歌对网络基础设施的控制,以及对更平衡和开放的生态系统的渴望。

## COVID-19疫苗安全性信号被驳斥和歪曲 2022年发表在《Vaccine》期刊上的一项同行评审研究,由Joseph Fraiman博士及其同事撰写,揭示了一种潜在的安全性问题:在最初的试验中,接种辉瑞或莫德纳mRNA COVID-19疫苗的参与者中,严重不良事件的发生率高于安慰剂组——超过了COVID-19住院治疗的减少。这一发现表明潜在的风险效益失衡,特别是对于低风险个体。 然而,主流媒体,以最近的BBC Radio 4广播为例,基本上将这一信号驳斥为“虚假信息”。该广播邀请了免疫学家Vicky Male博士,她错误地声称研究作者被指示不要以特定方式解读他们的研究结果——这一说法与现有文件表明的情况不符。 作者详细说明了BBC记者Jamie Bartlett未能核实这一关键说法,并无批判地接受了它,随后将对疫苗安全性的担忧贴上了虚假的标签。尽管研究得出了明确的结论,并且作者呼吁发布辉瑞和莫德纳的完整试验数据(目前仍无法获得),但这种情况仍然发生。这篇文章强调了一种令人担忧的偏颇报道模式,即合法的科学探究受到压制,关键证据被忽视或歪曲,从而阻碍了对疫苗安全性的透明讨论。

请启用 JavaScript 并禁用任何广告拦截器。

## 参议院预测市场禁令与辩论 美国参议员最近投票禁止自己参与像Kalshi这样的预测市场交易,引发了对该决议措辞及其潜在意外后果的争论。一些法律观察人士认为,广泛的语言——禁止依赖事件结果的协议——可能会无意中禁止参议员进行常见的活动,例如购买保险甚至提出附条件的房屋报价。 讨论迅速扩展到预测市场之外。许多评论员认为,禁令应扩展到所有政府雇员,甚至应该反转,重点监管预测市场*公司*本身。人们对内幕交易和操纵的潜力表示担忧,特别是考虑到有影响力的人(如NBA球星扬尼斯·阿德托昆博)使用这些平台的消息。 对话还涉及现有的立法,如STOCK法案,旨在防止国会内幕交易,一些人认为该法案效果不佳。最终,核心辩论集中在限制个人还是市场本身,以及应在各个领域解决潜在利益冲突的程度。

Forgejo 漏洞披露(“Carrot disclosure”)发布后,作者在 Mastodon/信息安全社区遭受了强烈反弹和争论。最初的帖子因对负责任披露的意见不一,在多个 Mastodon 实例上被反复删除,引发了关于漏洞处理的更广泛讨论。 作者个人受到负面评论的攻击,其披露策略受到了安全专业人士和担心吸引注意力到易受攻击目标的用户的批评。有趣的是,荷兰随后启动了一个主权 Forgejo 实例。 最终,作者向 Forgejo 安全团队发送了一封综合性邮件,包括道歉、其方法背后的理由、加固建议和概念验证漏洞利用。主要目标——改变 Forgejo 安全态度的认知——似乎已部分实现,尽管非常规的披露方法仍然存在争议。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 关于 Carrot 披露的后续:Forgejo (dustri.org) 4 点 由 homebrewer 40 分钟前 | 隐藏 | 过去 | 收藏 | 2 条评论 帮助 bombcar 1 分钟前 | 下一个 [–] 这是典型的恶搞行为的回应。回复 homebrewer homebrewer 40 分钟前 | 上一个 [–] 之前:https://news.ycombinator.com/item?id=47941590 回复 考虑申请 YC 2026 夏季批次!申请截止至 5 月 4 日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

## 人类创造力基准:摘要 一项新的基准测试——人类创造力基准(HCB)显示,评估人工智能生成的创意作品会产生两种不同的信号:**一致性**(基于既定最佳实践对质量的共识)和**分歧性**(反映个人品味和创作意图的意见不一致)。当前的AI评估方法通常将分歧性视为噪音,但HCB认为它对于真正有用的创意AI至关重要。 这项研究涉及超过150万名创意工作者,评估了AI在五个领域(落地页、应用程序、广告、品牌、视频)和三个创作阶段(构思、原型设计、完善)的输出结果。结果表明,没有单一模型在整个创作过程中表现出色。一些模型擅长初步探索(如Claude),而另一些模型则擅长完善细节(如Gemini或Grok)。 HCB强调,人工智能应同时追求强大的技术执行力(一致性)和适应不同创意愿景的能力(分歧性)。这意味着开发者应专注于构建要么可靠正确,要么可靠可控的模型,具体取决于预期用途。最终,这项研究建议改变我们评估AI的方式——从简单地询问“它好吗?”转向理解“对谁好,在哪个阶段,以及为了什么目的?”。这个框架为模型开发、工具设计和创意工作流程提供了宝贵的见解。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 人类创造力基准 – 评估生成式人工智能在创意工作中的表现 (contralabs.com) 7点 由 0bytematt 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助 考虑申请YC 2026年夏季项目!申请截止至5月4日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## Towers.world:用LLM重现失落的游戏 作者怀着怀旧之情,利用大型语言模型(LLM)成功重现了他们最喜欢的童年游戏《SimTower》,现在可在towers.world体验。最初的目标是将原始二进制代码逆向工程成一个干净的重新实现规范。然而,由于游戏的复杂性以及人工智能在细节、上下文保留和将实现从设计中抽象出来方面的挣扎,LLM的纯静态分析被证明不足。 项目转变为动态分析方法。一个模拟器使用LLM(特别是Claude Code)构建,以模拟原始游戏环境。这使得状态匹配成为可能——通过游戏过程中的快照,比较重现代码和原始代码的行为。 通过LLM引导的迭代改进,自主修复差异,重新实现达到了与原始代码的行为对等。作者强调需要一个“闭环”——动态验证——对于LLM处理复杂任务,因为仅靠静态分析的抽象设计是不可靠的。虽然在token使用方面成本较高,但这种方法展示了复活和修改废弃机器代码的潜力,为可持续的软件复用打开了可能性。

帕特里克·胡林(Patrick Hulin)精细地逆向工程了1993年的经典游戏《摩天大楼》(*SimTower*),从而创建了[https://towers.world](https://towers.world),一个非常准确的重现版本。他花费数周时间剖析原始可执行文件,记录了模拟的内部运作——从人口动态到电梯逻辑和星级评定系统——并将他详细的规范发布在GitHub上 ([https://github.com/phulin/tower-together/tree/main/specs](https://github.com/phulin/tower-together/tree/main/specs))。 这个项目的独特之处在于其协作多人游戏特性。玩家可以同时实时地建造和管理同一座大楼,只要有人连接,模拟就会持续存在。胡林还通过诸如Shift+点击网格建造等功能改进了用户体验。整个项目使用Cloudflare Durable Objects构建,是开源的,并且在GitHub上可用 ([https://github.com/phulin/tower-together](https://github.com/phulin/tower-together))。

## 工作流执行的 Postgres 可扩展性:摘要 此基准测试调查了单个 Postgres 服务器为持久工作流执行系统提供支持的可扩展性。核心发现:**Postgres 扩展性极佳,能够处理每秒 144,000 次写入 – 相当于每天 120 亿次写入。** 该研究侧重于写入性能,这对于工作流持久性(检查点输入、结果和步骤结果)至关重要。测试包括原始 Postgres 写入、直接工作流执行以及 Postgres 支持的队列。单个服务器直接处理高达 **每秒 43,000 个工作流**,以及 **每秒 12,100 个排队工作流**(通过多个队列扩展到 **30,600**)。 识别出的主要瓶颈是 **将 Postgres 预写式日志 (WAL) 刷新到磁盘**,因为每次写入都需要在确认完成之前进行 WAL 更新。队列性能最初受到锁争用的影响,通过在多个队列之间分配工作来解决。 这些结果表明,Postgres 即使对于要求苛刻的工作流应用程序,也是一种可行且强大的后端。基准测试代码是开源的,在高性能 AWS RDS 实例上进行(96 个 vCPU,384GB RAM,120K IOPS)。

## Postgres 扩展与 DBOS 讨论 一则 Hacker News 讨论围绕 PostgreSQL 的可扩展性展开,起因是 dbos.dev 的链接。虽然 Postgres 的垂直扩展已广为人知,但对话的重点在于水平扩展、高可用性和零停机升级。 用户强调 **DBOS** 是一个有前景的解决方案,用于管理持久化工作流和队列,尤其赞扬其相对于 Temporal 等替代方案的简洁性(Temporal 被描述为“Kubernetes”,而 DBOS 是“docker compose”)。DBOS 利用了 Postgres 令人印象深刻的扩展能力——据报道,单个实例每天可以处理 40 亿个工作流——并提供云无关或自托管部署。 讨论还涉及 DBOS 的有趣历史,它源于扩展 Spark 作业调度的挑战,并由 Ingres(Postgres 的前身)的创建者构建。一位评论员指出,人们对数据库讨论的固有兴趣源于人们尝试用它们解决的复杂问题。

## 破碎的同行评审系统及潜在解决方案 传统的同行评审系统,曾经是学术严谨性的基石,现在越来越被认为存在缺陷,甚至可能已经崩溃。它最初的设计是为了管理不断增长的研究数量,依赖于无偿的专家来验证投稿——但如今,由于发表压力增加、投稿激增以及“复制危机”(已发表的研究结果常常被证明不可靠),这个系统已经不堪重负。 除了准确性问题,同行评审也变得政治化,优先考虑意识形态的一致性而非客观事实。挑战既定叙事,尤其是在气候科学和性别研究等领域,实际上会阻碍发表,从而阻碍真正的科学探究。这源于内在的偏见——审稿人保护既定的理论和职业生涯——并因更广泛的意识形态压力而加剧。 为了解决这个问题,Rob & Michael Jenkins 提出回归“学者共同体”模式,利用现代技术。他们设想建立特定学科的在线论坛,研究人员可以在那里公开分享正在进行的工作,接收迭代反馈,并协作验证研究结果。这个系统将优先考虑透明度、时间戳贡献和社区评估(“点赞/差评”而非审查),允许发表积极的和消极的结果。 成功的实施需要大学认可这些论坛中的贡献,用于终身教职和晋升,最终从一种把关系统转向更开放和协作的知识追求。

## DuckDB 全文搜索:快速入门 本文探讨了 DuckDB 的全文搜索 (FTS) 功能,在此之前已经介绍了 DuckDB 的基本知识。虽然基本的文本查询存在局限性,但 FTS 允许使用 Okapi BM25 等算法进行更全面和可配置的搜索。 DuckDB 的 FTS 扩展提供了词干提取(将单词还原为其词根)、停用词删除和去除重音等功能。查询可以通过术语频率 (k₁) 和长度归一化 (b) 参数进行调整。虽然它不如 Elasticsearch 或 Postgres 等解决方案功能丰富,但它是一个坚实的基础。 作者通过处理一系列电子邮件、将其导入 DuckDB 并创建 FTS 索引来演示 FTS。他们强调了局限性,例如缺少 Postgres 中提供的术语高亮显示功能,并提供了一个用于预处理 .eml 文件的 Python 脚本。文章详细介绍了如何使用参数来排除事务性电子邮件,并根据术语频率和文档长度调整评分。 最终,DuckDB 的 FTS 由于其易于设置和速度,非常适合探索性数据分析。虽然更复杂的解决方案可能适用于高级用例,但 DuckDB 为全文搜索提供了一个强大且易于访问的入口。作者计划在未来的文章中探索向量搜索。

使用 DuckDB 进行全文搜索 (peterdohertys.website) 9 分,ethagnawl 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助 rahimnathwani 发表于 18 分钟前 [–] 有人使用 DuckDB(或任何其他工具)创建开源方式来发布邮箱,以便普通人可以浏览和搜索吗? 我知道 jmail.world,但他们尚未(?)发布源代码。 我最近让 Claude 临时拼凑了一个:https://healdsburg-youcubed-emails.vercel.app/ 它对这小部分邮件来说效果很好,但搜索效果不太好,而且预处理过程比我想要的要多。(我希望能够将一个二进制文件指向 pst 或 mbox 文件,并像这样神奇地提供服务,即使这意味着我需要 VPS 来提供服务。)回复 考虑申请 YC 2026 年夏季批次!申请截止至 5 月 4 日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

## Toki Pona 社区声明 – 2026 年 4 月 27 日 Toki Pona 社区对其创造者 Amatullah(前 Sonja Lang)的福祉深感担忧。二十多年来,她慷慨地与世界分享 Toki Pona,尽管她自己对公共生活有所保留,但仍然培养了一个充满活力的社区。 最近,从 2023 年年中开始,Amatullah 的行为发生了变化,表现出越来越不稳定的沟通和受迫害的感觉。社区成员试图支持她,但发现很难应对这种情况,并意识到可能存在精神病变的迹象。由于需要保护 Amatullah 和社区,这些努力变得复杂,导致她在一月份被撤销 Sitelen Pona Publishers & Typographers Association 的主席职务。她仍然控制着关键的网站域名。 目前,Amatullah 正在经历严重的现实脱节,并在网上公开表达。社区敦促任何认识她的人鼓励她寻求专业帮助,强调这不是“取消”,而是呼吁关怀。他们建议不要在网上与她互动,以避免加剧情况。 社区正专注于通过新网站(tokipona.net & sitelenpona.net)维持 Toki Pona 的可访问性,并强调该语言和社区超越任何个人。他们提供支持和共同悲伤的空间,并欢迎通过 [email protected] 做出贡献。

黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录 来自 Toki Pona 社区成员的声明 (tokipona.net) 15 分,robinhouston 1 小时前 | 隐藏 | 过去的 | 收藏 | 讨论 帮助 考虑申请 YC 的 2026 年夏季批次!申请截止至 5 月 4 日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

私募股权投资正在涌入核工业,这得益于对可靠、零碳电力需求的增加。阿灵顿资本伙伴公司最近收购了核工程公司ENERCON,并将其与他们现有的投资组合公司Pond & Company合并,打造了一个拥有2700多名专业人员的强大企业,支持美国90%的核电站。 这笔交易是更大趋势的一部分:Natura Resources收购了Shepherd Power,Studsvik收购了Kärnfull Next,Energy Capital Partners正在重新收购EnergySolutions——所有这些都在加强反应堆开发、SMR项目和全生命周期服务方面的能力。 这些收购凸显了一个关键瓶颈:专门核工程人才的短缺。随着公用事业公司和科技公司投资核能——受到人工智能、制造业回流和国家安全需求的推动——对合格专业人员的需求正在迅速超过供应,使工程能力成为一项关键资产。

商业地产面临日益增长的压力,与近期私人信贷问题相似。3月份CMBS违约率大幅上升,达到多年高点7.55%,预示着该行业可能出现下行。这在星木资本集团(Starwood Capital Group)的220亿美元房地产基金(SREIT)中尤为明显,该基金因投资者提款请求激增而暂时停止了赎回。 由巴里·斯特恩利希特(Barry Sternlicht)领导的该基金也在削减其分配率,因为高利率持续给市场带来压力。SREIT认为问题并非出在房产本身(在美国拥有近600处),而是由于持续高利率引发的投资者恐慌。 此前,投资者流动性受到限制,Saba Capital也曾试图购买基金份额但未成功。这种情况凸显了在2022-2023年加息后,专注于零售的房地产基金的脆弱性,这与私人信贷市场中看到的类似提款压力相呼应。斯特恩利希特预计,随着地缘政治问题的解决和美联储最终降息,情况将有所改善。

2026年4月,一位居住在哈萨克斯坦阿拉木图的美国工程师,在“美国之角”发表演讲,庆祝美国诞辰250周年。作为该地区为数不多的美国人之一,他渴望分享他对祖国和职业——半导体行业的看法。 演讲探讨了美国文化与半导体发展历史之间令人惊讶的联系,从爱迪生最初的发现开始,追溯到贝尔实验室,直至硅谷的诞生。他强调了一种反复出现的模式:杰出人才离开既定机构,开辟自己的道路,由创新和对进步的渴望所驱动。 作者有意将演讲命名为“这只能在美国发生”,以引发讨论,但发现他的哈萨克观众过于礼貌,不愿直接辩论。最终,他认为这个标题是准确的,认为核心的美国价值观——言论自由、精英主义和对新思想的开放——对于营造能够促成这项突破性技术成就的环境至关重要。这是一次对美国创造力的庆祝,也是对支撑其价值观的反思。

黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 工作 | 提交 登录 半导体在美国的制造方式 (siliconimist.com) 7 分,由 johncole 1小时前发布 | 隐藏 | 过去的 | 收藏 | 1 条评论 帮助 johncole 1小时前 [–] 在美国制造半导体的方式 回复 考虑申请YC 2026年夏季项目!申请截止至5月4日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

启用 JavaScript 和 Cookie 以继续。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 使用 PhotoRec 从“坟墓”中恢复文件 (lost-number.bearblog.dev) 7 分,by speckx 48 分钟前 | 隐藏 | 过去 | 收藏 | 讨论 帮助 考虑申请 YC 2026 夏季项目!申请截止至 5 月 4 日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

经过76天,美国历史上最长的部分政府停摆即将结束。众议院以口头投票批准了参议院的一项法案,通过语音投票批准了为国土安全部(DHS)大部分部门提供资金的参议院法案,并将其提交给特朗普总统签署。 停摆源于民主党对资助移民和海关执法局(ICE)和边境巡逻队(Border Patrol)的反对,而一些共和党最初抵制他们认为是对民主党要求的让步的协议。达成了一项双轨解决方案:立即提供资金以重新开放国土安全部,并使用预算协调程序来资助移民和海关执法局和边境巡逻队——允许共和党在没有民主党支持的情况下采取行动。 由于之前的资金,移民和海关执法局和边境巡逻队在很大程度上继续运作,但国土安全部的其他部门,如海岸警卫队、运输安全管理局(TSA)和联邦紧急事务管理局(FEMA),承受了停摆的冲击,给员工造成了极大的沮丧。立法者现在正在努力推进第二条轨道,完整的协调方案的截止日期是6月1日。

Kured(KUbernetes REboot Daemon)是一个Kubernetes daemonset,当底层操作系统软件包管理系统指示需要重启时,执行安全的自动节点重启。它会监视重启信标文件的存在,例如 /var/run/reboot-required,或信标命令的成功运行。利用API服务器中的锁来确保一次只有一个节点重启。在存在活跃的Prometheus告警或选定的pod时,可以选择性地推迟重启。在重启前对worker节点进行cordon和drain操作,并在重启后解除cordon。所有文档请参见 https://kured.dev。 还有更多!如果您对kured有任何疑问、反馈或问题:我们遵循CNCF行为准则。 您的反馈始终受到欢迎!Kured是云原生计算基金会Sandbox项目。 Linux基金会®(TLF)拥有注册商标并使用商标。有关TLF商标列表,请参阅商标使用。

对不起。

## TRiP:一个从零开始的Transformer引擎 TRiP是一个轻量级、一体化的C语言引擎,用于Transformer AI模型。它历时18个月作为个人学习项目开发完成,支持Gemma、Llama 2、PaliGemma和GPT-2等模型的推理、训练、分词器创建、聊天和视觉功能。 该项目的主要目标是教育性的——通过手工编码实现来深入理解Transformer的内部机制,避免使用PyTorch或TensorFlow等外部框架。虽然不旨在与llama.cpp等优化库竞争,但TRiP提供了完整的反向传播训练,并支持AdamW和各种推理采样方法。 主要特性包括对SafeTensors和Karpathy格式的支持,权重类型(bf16、fp16、fp32)以及内存优化。代码的一小部分利用AI生成的组件来处理JSON解析和图像处理等任务。 TRiP专为学习和实验而设计,提供了一个清晰、注释良好的代码库,展示了Transformer架构和反向传播。它采用CC BY-NC 4.0许可,仅供非商业用途。

对不起。

这封邮件讨论了CVE-2026-31431,一个Linux内核中的严重“CopyFail”漏洞,允许本地权限提升。该问题出现在4.14版本的内核中(提交72548b093ee38a6d4f2a19e6ef1948ae05c181f7),并在6.18.22、6.19.12和7.0版本中得到修复,包含特定提交。 然而,较旧的长期支持(LTS)内核 – 6.12、6.6、6.1、5.15和5.10 – 仍然未修复。由于API变更,将修复移植到这些旧版本变得困难。一个临时补丁正在共享,但承认它可能并不完美。 讨论强调了针对此内核漏洞,分发方缺乏提前预警,因为报告者没有使用linux-distros邮件列表。该漏洞被认为非常严重,促使快速响应和临时解决方案的开发。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录 CopyFail 未向发行版披露 (openwall.com) 29 分,ori_b 1小时前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助 xeeeeeeeeeeenu 2分钟前 [–] 背景信息:链接文章的作者 Sam James 是 Gentoo 的开发者。总之,这是一场灾难。在发行版发布修复程序之前向世界分享漏洞是非常不负责任的。谁知道有多少共享主机提供商因此被攻击了。 同样令人担忧的是,内核安全团队和发行版维护者之间似乎缺乏沟通。人们希望前者会通知后者,但显然,发现漏洞的人有责任这样做。回复 考虑申请 YC 2026 年夏季批次!申请截止至 5 月 4 日 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

## Fame Boy:用 F# 构建一个 Game Boy 模拟器 出于理解计算机*实际*工作方式的愿望,Nick Kossolapov 启动了用 F# 构建 Game Boy 模拟器“Fame Boy”的项目。他从像“从 NAND 到 Tetris”这样的课程和 CHIP-8 模拟器 (Fip-8) 开始学习,以掌握核心计算机概念。 Fame Boy 历经数月完成,可在桌面和网络上运行,利用简单的接口——帧缓冲、音频缓冲、`stepEmulator()` 和 `getJoypadState()`——将核心模拟与前端分离。该模拟器紧密模拟了原始 Game Boy 硬件,为 CPU 建立了一个功能性领域模型,并使用强大的 `IoController` 来管理硬件交互。 性能优化至关重要,导致在惯用的 F# 和实际速度之间做出了权衡。为了内存访问,采用了可变性,并且性能分析表明,直接数组访问比领域驱动抽象带来了显著的收益。AI 工具帮助进行代码审查、错误查找(包括一个关键的定时器问题),甚至性能改进。 最终,Fame Boy 是一次成功的学习经历,加深了 Kossolapov 对计算机体系结构的理解,并提供了一个由他对童年 Game Boy 冒险的回忆所驱动的令人满意的项目。他分享了关于开发过程的详细见解,包括性能基准测试以及函数式纯度和实际实现之间的平衡。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录 我用 F# 构建了一个 Game Boy 模拟器 (nickkossolapov.github.io) 24 分,elvis70 发表于 46 分钟前 | 隐藏 | 过去 | 收藏 | 2 条评论 帮助 z500 2 分钟前 | 下一个 [–] 太酷了!我喜欢 F#,但我用它写了一个小型的 Smalltalk 解释器,我可以确认它在这种事情上并不是很快,如果你打算按预期使用它的话,哈哈。回复 cermicelli 16 分钟前 | 上一个 | 下一个 [–] 终于有人真正投入精力去学习东西了,而不是 LLM 帮助我用 Y 在 X 分钟内构建了什么。我想人类还有希望。回复 hmokiguess 14 分钟前 | 上一个 [–] F# 非常有趣,很棒的工作!回复 考虑申请 YC 2026 年夏季项目!申请截止日期为 5 月 4 日。 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

## Sinaloa 贩毒集团腐败起诉:摘要 美国检察官起诉了十名现任和前任墨西哥高级官员,包括 Sinaloa 州长、联邦参议员和库利亚坎市长,指控他们与 Sinaloa 贩毒集团——特别是“Chapitos”派系——共谋,以数百万贿赂换取向美国倾倒毒品。 这起起诉在范围上是前所未有的,指控存在系统性腐败,政府*成为*了贩毒集团的基础设施。 证据包括缴获的手写贿赂清单,详细列出了向官员的付款,证实了在选举前与“Chapitos”达成的预先安排。 起诉书详细说明了官员如何通过压制执法、通过恐吓和偷窃选票操纵选举,以及确保前体化学品的安全通行来促成毒品贩运。 一名官员面临与绑架和谋杀美国缉毒局线人有关的指控。 这些指控对墨西哥总统克劳迪娅·谢因巴姆构成重大的政治危机,因为多名被告是她党派的成员。 起诉时间与 USMCA 贸易协议的重新谈判相吻合,可能代表着美国施加的策略性压力。 尽管被告否认这些指控,但详细的证据表明来自贩毒集团内部的合作,可能来自被捕的“El Chapo”古兹曼的儿子。 所有十名被告仍然在逃,面临可能的终身监禁。

该流程概述了一个用于评估和嵌入数据的三阶段流程,可能与在线列表相关。 **阶段 1 (s02b):** 下载照片网址,然后使用 CLIP(一个图像-文本模型)根据预定义的提示对每张图像进行评分。结果保存为 Parquet 分片到共享目录(“./shared”),跨 6,000 个批次,利用并行处理。 **阶段 2 (s04):** 使用 SBERT(一个句子嵌入模型)嵌入前 200K 条文本评论。每个工作进程处理数据的一个切片,并将嵌入写入共享目录中的单独 Parquet 分片,再次使用并行处理(最大 200 个并发工作进程)。 **阶段 3 (s05c):** 使用 Anthropic 的 Claude Haiku 模型验证精选图像。对于每个图像网址,模型确定列表是否有效,并将结果(包括判决)保存为 Parquet 分片。此阶段限制为 64 个并发工作进程。 `burla` 库促进了远程并行映射操作以实现高效处理,并且缓存用于 CLIP 和 SBERT 权重/模型。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 我抓取了194万张Airbnb照片,寻找鸦片窝、宠物客串和凌乱的厨房 (burla-cloud.github.io) 20点 由 jmp1062 3小时前 | 隐藏 | 过去 | 收藏 | 3评论 帮助 wheelerwj 11分钟前 | 下一个 [–] 这件事很容易引发诉讼,而且我认为方法论很糟糕。回复 gavmor 19分钟前 | 上一个 | 下一个 [–] 这些太棒了!有些可能具有冒犯性,因为我看到一个舒适但俗气的英国小窝被标记为“有人刚离开过”的感觉,这…不公平。回复 guywithahat 6分钟前 | 上一个 | 下一个 [–] 这很棒,底部的评论是最好的部分。我很佩服他们能够抓取这么多数据。回复 考虑申请YC 2026年夏季项目!申请截止至5月4日。 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系方式 搜索:
联系我们 contact @ memedata.com