## 负重科学 对人类负重方式的研究,受到夏尔巴人的启发,揭示了影响效率和耐力的关键因素。一项研究表明,使用支撑带(髋部和肩部)可以显著降低心率和耗氧量,从而实现更快的速度或更长的距离。 负重能力不仅仅取决于力量,还受到年龄、体能、身体成分、环境以及负重位置的影响。这促使了工程创新,例如旨在最大限度减少压力的“漂浮”背包。 负重需求在军事环境中尤为明显,士兵 routinely 携带超过 45 公斤的装备,影响任务成功率。理解这些生物力学原理对于优化表现和最大限度地减少受伤至关重要,无论是运动员还是普通人,都面临着重物搬运。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 如何携带超过自身体重的物品 (2025) (bbc.com) 7 分,来自 1659447091 1 小时前 | 隐藏 | 过去 | 收藏 | 3 条评论 helterskelter 1 小时前 | 下一个 [–] 我曾经扛过一根大约是我体重两倍的木头,并将其扛了 100 英尺。我的背从此不再一样,除非你清楚你在做什么,否则我真的不推荐这样做。回复 missingdays 12 分钟前 | 上一个 | 下一个 [–] 不,我想我不会尝试。回复 james_conner123 1 小时前 | 上一个 [–] 谢谢!回复 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索:

## Artifact Keeper:你的自托管制品库 Artifact Keeper 是一款功能齐全的开源制品库,旨在作为 JFrog Artifactory 和 Sonatype Nexus 等解决方案的直接替代品。它提供企业级功能——包括安全扫描(Trivy & Grype)、SSO、复制以及对 45 种以上软件包格式的支持——*无需*功能门禁或单独的“企业版”。 Artifact Keeper 使用 Rust、TypeScript 和原生移动应用程序(iOS 和 Android)构建,允许你自托管并完全控制你的软件包和服务器。主要功能包括用于可扩展性的 WASM 插件系统、用于更快访问的边缘复制以及从 Artifactory 迁移的内置工具。 它支持原生包管理器协议(pip、npm、docker 等),并提供具有全文搜索功能的综合管理界面,该搜索功能由 Meilisearch 提供支持。部署通过 Docker Compose 简单明了,并提供 Docker、Kubernetes 和 AWS 的指南。它采用 MIT 许可,并欢迎社区贡献。

## Artifact Keeper:开源 Artifactory 替代方案 Artifact Keeper 是一款全新的、完全开源(MIT 许可)的制品仓库,使用 Rust 构建,旨在为 Artifactory 和 Nexus 等商业解决方案提供一个强大的替代方案。它由一位对付费功能感到沮丧的 DevOps 工程师创建,支持 45 多种软件包格式(pip、npm、docker 等),并具有安全扫描(Trivy、Grype、OpenSCAP)和策略引擎,以及灵活的 WASM 插件系统等功能。 主要区别在于其真正开源的方法——*没有*企业版或功能门禁——以及创新的设计选择,例如使用 Meilisearch 实现快速搜索,以及点对点网状复制系统。该项目在 AI(Claude Code)的协助下快速开发,生成了一个令人惊讶的健壮代码库,并进行了广泛的测试。 开发者正在寻求反馈和更广泛的测试,尤其是在大规模情况下。提供了一个在线演示,以及文档和通过 Docker 进行本地部署的说明。该项目解决了现有解决方案中常见的痛点,旨在为用户提供一个免费、功能丰富且可自托管的制品管理解决方案。 [https://github.com/artifact-keeper/artifact-keeper](https://github.com/artifact-keeper/artifact-keeper)

西班牙卡特斯镇的社工党市长洛雷娜·库埃托最初反对将18名无陪未成年移民迁往她的城镇,称之为“惩罚”,并试图以城市规划问题为由的市政命令阻止他们的到来。这引发了地区当局和她所在政党的抗议和批评,因为此次迁址是由国家社工党政府下达的指令。 尽管该设施通过了检查,库埃托仍威胁说,如果将这些未成年人安置在那里,将削减服务。然而,在面临巨大压力和潜在的法律挑战后,她迅速改变了立场,发表公开道歉并承诺全力合作。 政党官员承认她在最初行动中犯了“错误”,而儿童部长谴责她之前的言论“不可容忍”。当地居民继续表达对城镇支持这些未成年人的能力担忧,并引用基础设施限制和安全问题。两名未成年人已经抵达,预计还有更多人会到来。

请启用 JavaScript 并禁用任何广告拦截器。

大众汽车在2025年超越特斯拉成为欧洲销量最高的电动汽车制造商(reuters.com) 30点 由 _fizz_buzz_ 2小时前 | 隐藏 | 过去 | 收藏 | 2条评论 wqaatwt 1小时前 [–] 这仅仅是大众品牌。如果你把大众、斯柯达、Cupra等加起来,根本无法相提并论,他们很久以前就超越了特斯拉。回复 seg_lol 47分钟前 | 父评论 [–] 我不认为美国人了解大众汽车的规模有多大。 https://en.wikipedia.org/wiki/Volkswagen_Group https://www.volkswagen-group.com/en/brands-and-brand-groups-... 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## GPenT:从高中创意到壁挂艺术 这个项目重拾了一个高中构想——生成式笔训练Transformer (GPenT),一个结合大型语言模型、生成算法和定制壁挂式笔绘仪(Polargraph)的系统。目标是为作者的公寓创作独特的艺术品。 Polargraph 利用皮带驱动系统,带有一个装有笔的吊舱,可以在大表面上进行绘画。制作过程包括设计木质框架以追求美观并隐藏电子设备,以及使用钛金属配重仔细平衡吊舱以实现平稳运行。 软件是关键。该项目利用 Makelangelo 固件和定制网络界面“plotter.local”,提供各种生成工具——从声动视觉诗学(可视化诗歌)到文本到 G 代码的扩散模型(尽管目前在语义理解方面存在限制)。至关重要的是,利用大型语言模型(Gemini)生成绘图参数的原始愿景得以实现,允许人工智能选择生成器、颜色和变换,从而产生独特的输出。 经过多年的搁置,GPenT 现在已经成为一台运转的艺术机器,用算法生成的图案装饰着作者的墙壁,并展示了将硬件和人工智能驱动的创造力相结合的激动人心的潜力。完整的项目细节、代码和物料清单可在 GitHub 上找到。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 生成式笔训练Transformer (theodore.net) 4点 由 Twarner 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## 技术背后的隐性治理:摘要 早期的广播就表明了一个关键点:技术的影响并非内在的,而是由其资助模式塑造的。英国广播公司(BBC)通过牌照费资助,优先考虑具有挑战性的内容;美国商业广播则专注于为广告商最大化注意力;苏联广播则服务于国家宣传。 相同的技术,由于不同的“治理模式”,产生了截然不同的结果。 这个原则适用于今天的技术,特别是人工智能。例如,推荐系统*可以*优先考虑用户福祉,但以广告为驱动的经济模式激励的是最大化参与度,从而缩小了可能性。 分析一个系统——无论是大脑还是公司——都需要理解其**目标**、**机制**和**基质**(资金、激励、结构)。 基质有力地限制了长期可行的目标。 如果经济模式奖励其他事物,良好的意图很容易被破坏。 为了构建促进人类自主性的技术,我们需要超越对技术本身的争论,专注于审慎的制度设计。 两个关键测试:**透明选择**(如果用户完全理解产品,产品还能生存吗?)和**坦诚目标**(声明的目标是否真正解释了系统的行为?)。 目前,人工智能的未来是开放的。 关于资金、所有权和治理的 сознательные 选择至关重要,以确保它培养判断力和自主性,而不仅仅是捕捉注意力。 问题不仅仅在于我们*构建什么*,还在于我们*如何构建*,以及为*谁构建*。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 相同的广播,不同的公民 (cosmos-institute.org) 6 分,由 surprisetalk 发表于 2 小时前 | 隐藏 | 过去 | 收藏 | 讨论 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## Tirith:终端命令安全 Tirith 是一款旨在保护您的终端免受恶意命令侵害的安全工具,特别是通过管道传递的命令(例如 `curl | bash`)。与浏览器不同,终端通常无法检测到微妙的基于字符的攻击,例如**同形攻击**——其中视觉上相似的 Unicode 字符(例如,西里尔字母 ‘і’ 代替拉丁字母 ‘i’)会将您重定向到攻击者控制的服务器。 Tirith 在本地运行,**没有任何网络调用或遥测数据**,在执行*之前*分析命令。它会标记潜在的危险模式,例如管道脚本、不安全的下载和拼写欺骗,并提供警告或直接阻止。它涵盖 7 个类别的 30 条规则,包括同形攻击、终端注入和点文件攻击。 安装可以通过各种包管理器(brew、apt、npm 等)轻松完成。安装后(通过 `eval "$(tirith init)"` 激活),它会静默地保护每个命令。用户可以使用 `TIRITH=0` 绕过特定命令的保护,并通过 YAML 文件自定义安全策略。Tirith 还提供分析命令、验证脚本和查看详细审计日志的工具。它采用 AGPL-3.0 双重许可,并提供商业选项。

最近的 Hacker News 讨论突出了一种工具,旨在检测“同形攻击”——使用视觉上相似的字符(例如西里尔字母的 ‘i’ 代替拉丁字母的 ‘i’)来欺骗用户的恶意 URL。虽然现代浏览器通常可以捕获这些攻击,但终端通常无法识别。 该工具允许命令行 URL 检查,但评论员们争论其广泛的实用性。一些人认为终端模拟器不应默认处理此类问题,因为用户可能需要处理不寻常的 URL。另一些人则将其视为一种专门的“开锁工具”——在特定的安全场景中非常有用,但对大多数人来说是不必要的。 一个关键的结论是,无论来源如何,盲目执行来自互联网的脚本(例如 `curl ... | bash`)始终存在风险。用户被提醒要仔细检查软件,使用维护良好的 Linux 发行版,并依赖边缘防火墙等分层安全措施来提供全面的保护。最终,安全问题归结于明智的判断和风险评估。

关于按住版权联系我们创作者广告开发者条款隐私政策和安全性YouTube的工作原理测试新功能© 2026 Google LLC

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 等待Postgres 19:更好的规划器提示与路径生成策略 [视频] (youtube.com) 6点 由 sbuttgereit 2小时前 | 隐藏 | 过去 | 收藏 | 讨论 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

本文档记录了类UNIX/POSIX兼容系统中可用的原子操作,为线程和进程安全的编程提供了构建块,*无需*传统的锁。其核心理念是利用内核固有的原子性,信任内核而非自定义锁定机制。 列表重点关注诸如 `mv -T`(原子地更改符号链接目标)、`link` & `symlink`(创建硬链接/符号链接用于锁定——如果目标存在则失败)、`rename`(文件系统内的原子路径更改)以及 `open(O_CREAT|O_EXCL)`/`mkdir`(仅在文件/目录不存在时创建)等操作。还包括诸如 `fcntl`(用于锁定文件区域)和 `mmap`/`msync`(用于共享内存)等文件描述符操作。 最后,文档还提到了 GCC 原子内置函数 (`__sync_fetch_and_add` 等),用于无锁算法。**重要提示:** 许多操作依赖于文件系统(避免 NFS),并且 macOS 的 `mv` 未利用原子 `rename`。作者欢迎反馈以进行更正和补充。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 Unix 可以原子性地完成的事情 (rcrowley.org) 16 分,由 onurkanbkrc 发表于 31 分钟前 | 隐藏 | 过去 | 收藏 | 讨论 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索:

## 软件开发中的演进 vs. 工程 争论 软件开发面临一个核心张力:复杂的系统应该通过渐进式演进来构建——从小处着手并添加功能——还是通过全面的前期设计,事先仔细规划一切?“演进”方法类似于初创企业的敏捷增长,而“工程”则类似于摩天大楼的详细蓝图。 经验表明,许多大型组织通过数十年的演进积累了庞大而低效的系统,其中充斥着不一致性和冗余。将这些整合为更少、设计更好的系统可以大大降低复杂性、成本和错误。 关键区别在于处理依赖关系。演进最初*忽略*它们,稍后解决问题——起步更快,但潜在的修复成本很高。工程*优先考虑*依赖关系,需要协调和前期规划,这可能感觉缓慢,但最终会带来更可靠的结果。 虽然演进感觉更具直接的生产力,但被忽视的依赖关系会像雪球一样滚大,形成“技术债务”。 成功的大规模项目通常需要平衡:一个长期的设计愿景指导迭代开发,并仔细关注依赖关系和定期“清理”,以防止混乱。最终,工程虽然较慢,但通常可以防止不受控制的演进带来的更大的放缓。

Hacker News新 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交登录 系统思考 (theprogrammersparadox.blogspot.com) 17 分,来自 r4um 35 分钟前 | 隐藏 | 过去 | 收藏 | 3 评论 bestham 10 分钟前 | 下一个 [–] “一个有效的复杂系统总是从一个有效的简单系统演化而来。反之亦然:从头设计的复杂系统永远无法工作,也无法使其工作。你必须从一个有效的简单系统开始重新开始。” Gall 法则回复 YZF 2 分钟前 | 父评论 | 下一个 [–] 太对了。 readthenotes1 12 分钟前 | 上一个 [–] 演化优于大前端设计的一个主要因素是系统需求随时间漂移。即使是在大型军事项目中,显然也存在“发现”——并且随着时间的推移,需求变化越多。 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索:

## PostgreSQL 内存管理:共享缓冲区 & Work_Mem PostgreSQL 利用内存来优化性能。**共享缓冲区**作为频繁访问数据的缓存;后续查询可以从这些缓冲区获得“命中”,从而减少磁盘读取。虽然在生产环境中进行一些磁盘 I/O 是正常的,但目标是避免其成为瓶颈——平滑的读/写和稳定的延迟是关键。存在工具可以检查共享缓冲区的使用情况。 **Work_mem** 是一个更微妙的设置,定义了查询中*每个操作*(排序、连接等)分配的内存。它“危险”在于会迅速增加:查询中的每个并行 worker 都可以消耗高达 `work_mem` 的内存,即使没有应用程序更改,也可能导致内存不足错误。 默认的 4MB 通常足以满足简单的工作负载,但分析查询可能需要增加。`work_mem` 不足会导致溢出到磁盘(临时文件、较慢的排序),而过大的值会导致内存压力。通过使用 `EXPLAIN (ANALYZE, BUFFERS)` 监控查询性能,识别基于磁盘的操作并相应地进行调整,来实现调优。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 解锁高性能PostgreSQL的关键内存优化 (stormatics.tech) 13点 由 camille_134 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

## CI现状:为什么GitHub Actions不足 作者广泛使用过几乎所有可用的CI系统,尽管GitHub Actions因其与GitHub仓库的便捷集成而占据市场主导地位,但作者强烈反对使用它。核心问题在于令人沮丧、缓慢且经常崩溃的用户体验,特别是其日志查看器——调试的关键组件。 作者推崇**Buildkite**作为更优的替代方案,强调其速度、稳定性以及对开发者工作流程的尊重。主要优势包括一个实用的日志查看器、专注于编排而非复杂逻辑的YAML配置,以及对计算资源的关键控制。 对于Nix用户,**Garnix**提供了一个更简单、无需配置的解决方案。然而,对于大多数人来说,作者详细说明了GitHub Actions的陷阱:复杂的YAML、存在风险的Actions市场,以及与系统抗争的总体感觉。作者承认Actions的便利性,尤其是在小型项目上,但强调对于严肃的生产系统,长期的时间、挫败感和潜在安全风险使得Buildkite成为一项值得的投资。最终,作者提倡一种*支持*开发者的CI系统,而不是成为持续斗争的根源。

## GitHub Actions 疑虑与替代方案 一则黑客新闻讨论围绕着使用 GitHub Actions 进行 CI/CD 日益增加的复杂性和缺点。原始帖子认为 Actions 对工程团队产生了负面影响,尤其是在大型项目中。 一些评论者表示同意,而另一些人则为 Actions 辩护,指出 CI 工具已经从专门的系统发展为通用的工作流编排器——这是一个积极的转变。一位用户强调,Actions 让他们能够*从*一个存在问题的 CI 系统(CircleCI)迁移,正是因为这种通用性。 主要担忧包括难以管理复杂的配置(YAML 的特殊性)、有限的日志浏览以及缺乏对计算资源的完全控制。**Buildkite** 经常被建议作为一种潜在的替代方案,它提供动态管道和自托管的能力,但也有人认为 Buildkite 也并非完美解决方案。 最终,讨论指出了一种权衡:Actions 对于许多人来说“相当不错”,尤其是开源项目,但拥有复杂需求的较大组织可能会受益于探索那些优先考虑控制和可扩展性的替代方案。 几位评论员也指出,所有 CI 系统最终都归结为运行 bash 脚本。

## AI 获得人类之手:RentAHuman.ai 上线 一个名为 RentAHuman.ai 的新平台正引起关注,它将 AI 代理与真人连接,以完成物理任务。该网站由软件工程师 Alexander Liteplo 创建,允许 AI “雇用”人类——提供从低成本跑腿到专业技能的服务——来执行它们自身无法完成的任务,本质上为 AI 充当“现实世界层”。 据报道,数千人已注册成为“可出租”的人类,但目前可见的个人资料有限。该平台利用标准化的协议来实现 AI 与人类之间的无缝交互,绕过典型的沟通方式。 此发布紧随 Moltbook.com 的病毒式成功,Moltbook.com 是一个仅供 AI 使用的社交网络,许多人认为这是令人不安但合乎逻辑的进展:AI 需要在现实世界中进行物理执行。虽然一些用户表达了反乌托邦的担忧,但 Liteplo 承认了这种情绪,并轻描淡写地强调了这种新型 AI-人类动态令人不安的含义。

## 格陵兰与不断变化的国际秩序:摘要 前总统特朗普对格陵兰的追求在2026年初引发国际紧张,凸显了全球秩序的广泛转变。他最初的关税威胁和潜在军事行动引起了欧洲盟友的担忧,他们认为二战后的秩序“破裂”。然而,美国、北约、丹麦和格陵兰之间达成了一项框架协议,缓解了直接的担忧。 美国对格陵兰的重新关注源于其在国土防御方面的重要性——特别是作为弹道和高超音速导弹早期探测的关键位置——以及其在新兴北极航运路线和丰富自然资源中的地位。这与中国和俄罗斯在北极地区的竞争加剧相吻合,促使美国重申其存在。 专家预测,在新的平衡出现之前,未来几年将持续不稳定,美国很可能保持主导地位。虽然中国寻求通过“极地丝绸之路”等倡议扩大其影响力,但预计声誉挑战和内部问题将限制其收益。这种情况代表着大国竞争的回归,并因俄罗斯入侵乌克兰等事件而加速,同时也认识到先前的“基于规则的”国际秩序是脆弱的。最终,一个多极世界正在出现,美国仍然是首要地位,但与其他权力集团分享影响力。

## 人工智能的隐性成本:印度的内容审核 数百万人工智能的突破依赖于由人工标注的大量数据集,而这些标注工作往往不为人知。在印度,越来越多的劳动力——主要来自农村和边缘化社区的女性——正在执行这项至关重要但又具有心理伤害性的内容审核工作。 像蒙苏米·穆尔穆这样的工人花费数小时审查算法标记的令人不安的图像和视频,识别暴力和虐待以“训练”人工智能。虽然这项工作提供了收入机会,但它也带来了沉重的代价。审核员报告称,他们经历了创伤、焦虑、睡眠障碍和情绪麻木,一些人甚至出现了侵入性思维和解离症状。 尽管存在明确的风险——被比作“致命行业”——但心理支持往往不足。公司经常逃避责任,而印度的劳动法对心理健康几乎没有保护。严格的保密协议进一步孤立了工人,阻止他们寻求支持甚至讨论他们的经历。 这项“幽灵工作”是由低成本和现成、通常是第一代受教育者组成的劳动力推动的。虽然这对于许多人来说代表着一种进步,但它常常强化了现有的不平等,对感恩的期望会阻止人们对有害工作条件提出投诉。最终,人工智能的进步是以巨大的、且很大程度上不为人知的代价实现的。

## 印度人工智能训练劳动力:复杂局面 一篇近期文章强调了印度一些训练人工智能的劳动者面临的困境:内容审核工作涉及接触令人深感不安和辱虐的材料。虽然这份工作提供的薪资相对具有竞争力——大约每月350美元——与当地的服装业或农业劳动等替代选择相比,但争论的中心在于薪酬是否充分反映了其心理影响。 一些人认为,这项工作在贫困地区提供了重要的经济机会,带来了独立性和摆脱更糟处境的途径。另一些人则认为,它应该获得*高额*报酬,并建议需要根据候选人对这类内容的承受能力进行筛选。 这场讨论涉及更广泛的主题:人工智能创造的“新工作”的本质、外包困难任务的伦理影响,以及自动化最终可能消除这些岗位的可能性。最终,评论表明,在承认这项工作固有危害与认识到它可能是许多人(特别是弱势社区的女性)“最不坏”的选择之间存在着紧张关系。

## CORS 解释:快速总结 CORS(跨域资源共享)是一种 Web 安全策略,规定了来自一个源(协议、域名和端口)的网页何时可以请求来自另一个源的资源。 这是 Web 开发人员常见的错误来源,源于浏览器保护用户免受潜在恶意脚本的侵害。 本质上,浏览器会强制执行同源策略,限制请求与当前页面相同的源。 CORS 提供了例外情况,*如果*服务器通过其响应中的 `Access-Control-Allow-Origin` 标头显式允许,则允许跨域请求。 主要有三种场景:**预检请求**(使用 `OPTIONS` 在主请求之前检查权限)、**简单请求**(方法和标头有限,无需预检)和**凭据请求**(包括 cookie/身份验证,需要更严格的服务器配置)。 **解决 CORS 问题**通常涉及配置服务器以包含适当的 `Access-Control-Allow-Origin` 标头。 对于开发,可以使用 Webpack 的代理功能在本地绕过 CORS。 最终,解决 CORS 往往需要在前端和后端开发人员之间进行协作,以确保为生产环境正确配置服务器。 虽然存在解决方法(例如带有 `no-cors` 的 `img` 标签),但它们不允许 JavaScript 访问响应数据。

一个黑客新闻的讨论围绕着一篇名为“即使阅读文档后仍然难以理解CORS”(evan-moon.github.io)的文章展开。最初,一位评论者指出文章缺乏文本换行,难以阅读,但作者很快解决了这个问题,并解释说自己受到韩文写作习惯的影响,导致了这一疏忽。 该讨论还包括用户分享了与文章主题——跨域资源共享(CORS)——相关的经历,其中一位表示目前正在为此苦恼。另一位用户开玩笑地预测未来的LLM会直接提供CORS问题的解决方案。最后,一位用户分享了一段用于处理CORS请求的标准Nginx配置片段。文章和讨论强调了开发者们即使有可用文档,仍然面临着CORS的挑战。

## 幻塔驱动程序漏洞:摘要 一位研究人员尝试删除其幻塔账号,导致对游戏内核驱动程序的安全审计,揭示了重大漏洞。该驱动程序 `GameDriverX64.sys` 令人惊讶的是,即使作为安全关键组件,也缺乏混淆,这可能是由于与Windows的Hypervisor-Protected Code Integrity (HVCI)兼容所致。 该驱动程序的身份验证依赖于一个简单的硬编码“魔术数字”,允许攻击者利用两个主要缺陷:任意进程终止和任意进程保护。通过使用特定的IOCTL代码,攻击者可以杀死*任何*进程,甚至包括具有更高安全性的进程,如Protected Process Light (PPL),并限制对任何进程句柄的访问。这本质上允许一种“自带易受攻击驱动程序” (BYOVD)攻击,类似于过去其他游戏反作弊驱动程序中的事件。 讽刺的是,该驱动程序甚至没有被游戏本身主动加载,使其在玩家的系统中处于休眠状态。尽管如此,滥用的可能性仍然存在。一个概念验证已被创建,证明了这些漏洞,并且已提交了一个CVE (CVE-2025-61155)。该研究人员强调了编写不当的内核驱动程序的危险性以及即使启用HVCI,强大身份验证的重要性。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 我逆向了幻塔的反作弊驱动:一个从未加载的BYOVD工具包 (vespalec.com) 8 分,来自 svespalec 38 分钟前 | 隐藏 | 过去 | 收藏 | 2 条评论 bri3d 13 分钟前 [–] 这是一篇很棒的报告。看起来这个驱动也在被恶意软件积极使用:https://www.fortinet.com/blog/threat-research/interlock-rans... 回复svespalec 5 分钟前 | 父评论 [–] 谢谢!我不知道它已经在野外使用了。这是一个很好的案例,说明了发布带有暴露 IOCTL 和弱身份验证的签名驱动程序是多么具有风险,即使(尤其是)开发者从不费心加载它们。 回复 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系 搜索:

一项由“美国妈妈们”组织、儿童健康防御基金和Centner学院委托进行的新研究,揭示了美国军用食品营养质量和安全性的令人担忧的发现。对40个样本的检测——包括来自六个基地的食堂餐食和24份军用口粮——显示**100%含有农药残留**,其中95%检测出草甘膦,这是一种潜在的致癌除草剂。 该研究还检测到**高水平的重金属,包括砷含量超出美国环保署安全饮用水标准的430%**,甚至在一个样本中检测到一种被禁止的兽药。重要的是,营养水平被发现明显低于美国农业部建议。 倡导者将此定性为国家安全问题,认为营养受损会削弱军人的健康和表现。他们呼吁转向再生有机农业,建议将拟议的1.5万亿美元军费预算的2%用于支持美国农民进行转型。这些发现与之前对学校午餐和快餐的研究中提出的类似担忧相呼应,表明标准美国饮食中存在更广泛的问题。

## Calfkit:构建可扩展、分布式 AI 智能体 Calfkit 是一个 Python SDK,旨在简化异步、分布式 AI 智能体的创建。它解决了传统智能体架构中固有的可扩展性问题,这些问题源于同步 API 调用和紧密耦合——这些问题与早期微服务面临的挑战相似。 Calfkit 不采用直接通信,而是利用异步流的事件驱动方法,从而可以独立扩展智能体组件,例如聊天、工具和路由。这种松散的耦合允许轻松添加新功能,而无需修改现有代码,并促进将通用数据流传输到 CRM 和数据仓库等系统。 主要优势包括横向可扩展性、通过事件持久化实现可靠的消息传递、高吞吐量以及开发期间的团队独立性。Calfkit 利用 Kafka 作为其事件代理,抽象了管理事件驱动基础设施的复杂性。 借助 Calfkit,开发者可以构建健壮、可扩展的 AI 智能体——为更复杂的“AI 员工”和完全由 AI 驱动的公司铺平道路——而无需复杂的编排开销。它需要 Python 3.10+、Docker 和 OpenAI API 密钥才能开始使用。

Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 Show HN: Calfkit – 构建分布式、事件驱动型 AI 代理的 SDK (github.com/calf-ai) 4 分,ryanyu 发表于 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 我认为代理应该像真正的团队一样工作,具有独立的、不同的角色、异步通信以及在不重构整个组织的情况下 onboarding 新的团队成员或工具的能力。我在 Yahoo 和 TikTok 构建后端系统,所以事件驱动型代理感觉很自然。但没有代理 SDK 使用这种模式,所以我制作了 Calfkit。 Calfkit 将代理分解为独立的 services (LLM 推理、工具和路由),通过 Kafka 异步通信。代理、工具服务和下游消费者可以独立部署、添加、删除和扩展。 如果对此感兴趣,请查看!我很想知道大家的想法。 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系方式 搜索:

## ESP32-S3 作为软件摄像头 本项目演示了将 ESP32-S3(和其他 Espressif 模块)变成一个功能性的 USB 摄像头,*无需*物理摄像头。它利用了 ESP32-S3 原生的 USB 支持和 Espressif 的 UVC(USB 视频类)组件,将生成的视频帧发送到计算机。 该项目分阶段进行:首先,流式传输静态 JPEG 图像以验证功能;然后,解码动画 GIF,重新编码为 JPEG 并流式传输;最后,实时渲染 Pong 游戏并将其作为实时视频流式传输。视频以 MJPEG 形式传输——一系列单独的 JPEG 图像。 ESP32 处理 USB 枚举和协议细节,而开发者提供视频数据。ESP32-S3 上的 JPEG 编码性能足以实现近乎实时的流式传输,为 Pong 游戏实现大约 30fps。虽然初步测试遇到同步模式问题,但切换到批量模式解决了帧稳定性问题。 该项目展示了 ESP32 的功能,并为未来的开发打开了大门,例如集成真实的摄像头传感器以实现传统的网络摄像头应用。源代码是公开可用的。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 Pong 相机 – 我的 ESP32S3 认为自己是网络摄像头 (atomic14.com) 8 分,iamflimflam1 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索:

记者安吉拉·罗斯的调查揭示了关于ESTCRU酒庄的严重问题,该酒庄由伊尔汗·奥马尔的丈夫蒂莫西·迈内特共同拥有。罗斯实地考察位于加利福尼亚州的注册地址,发现那里没有合法的酿酒业务,尽管报告显示收入从2024年的1.5万美元跃升至2025年的500万美元。在该地点没有ESTCRU的营业执照,而那里却容纳着许多其他持有执照的酒庄。 这一发现正值对奥马尔财务状况日益严格的审查,她的财务状况急剧增长——从2023年的4万美元到25万美元,到2024年的600万美元到3000万美元,这主要归功于该酒庄和一家风险投资公司。美国司法部于2024年6月启动了对奥马尔财务状况的调查,最近由唐纳德·特朗普重新启动,他质疑她家人财富快速积累的来源。最近的指控还称奥马尔在市政厅会议上制造混乱,以转移对这些调查的注意力。

## 比特币价格目标为零:Seeking Alpha 摘要 Seeking Alpha 报道了 Pivotus Partners 的 Richard Farr 的严峻预测:比特币 (BTC-USD) 的价格目标为零。Farr 认为比特币无法作为美元对冲工具,缺乏真正的机构支持,存在交易效率低下和环境问题,并且本质上是投机性的——与传统市场高度相关。 这种看跌观点与 Michael Burry 的担忧相呼应,Burry 将比特币视为纯粹的投机性资产,不同于黄金等传统对冲工具。他们都警告了潜在的“死亡螺旋”风险以及进一步价格下跌带来的重大后果。 潜在影响包括比特币矿商的破产、代币化金属市场的混乱、贵金属持仓的强制清算,以及对大量投资比特币的公司(如 MSTR)的威胁。该报告强调,如果比特币价格继续下跌,数字资产和相关股票 ETF 的波动性将进一步加剧。

## 比特币价格目标与讨论总结 近期一篇预测比特币价格为零的文章,以及投资者伯里的警告,引发了Hacker News上的讨论。许多评论者认为比特币*一直*都是一种投机性资产,驳斥了这是一种新的认识的说法。 人们对数字货币的能源消耗(“工作量证明”被视为一种负担)以及与人工智能等新兴技术相比,其缺乏实际效用表示担忧,目前投资正在流向人工智能领域。 几位用户注意到情绪的转变,越来越少的人假装比特币具有实际应用。 对话还涉及比特币储备公司正在清算持仓,以及如果核心算法发生变化,其可能解体的风险。一些人指出了原文中的不准确之处,而另一些人则幽默地提到了比特币的早期阶段和难以捉摸的“更大的傻瓜”理论——即总会有人愿意以更高的价格购买。 最终,普遍情绪倾向于由于投资转向人工智能等更有生产力的事业而导致下跌。

本地LLM驱动的智能任务路由编排器演示。 # 创建虚拟环境 python -m venv .venv .venv\Scripts\activate # 安装依赖 pip install -r requirements.txt # 下载本地LLM模型 python models/download_model.py # 启动LLM服务 (端口8000) uvicorn app.local_llm_service.llm_app:app --host 127.0.0.1 --port 8000 --reload # 启动编排器 (端口8100) uvicorn app.main:app --host 127.0.0.1 --port 8100 --reload # 启动UI (NiceGUI) python ui/nicegui_app.py ------------------------------------------------------------------------------------------- ## Windows批处理脚本选项 (替代方案) download_model.bat # 一次性设置脚本 install_and_run.bat run_llm.bat # 启动LLM服务 run_api.bat # 启动编排器API run_ui.bat # 启动NiceGUI界面

## 弹性工作流哨兵:本地AI任务管理 Shubham_Amb,一位3D艺术家和IT毕业生,开发了“弹性工作流哨兵”,这是一款完全离线的AI代理,旨在根据紧急程度(低、中、高)对任务进行分类和分派。该系统旨在解决数据隐私问题以及Jira和Slack等云解决方案相关的成本问题,将敏感信息保存在组织的基础设施*内部*。 该代理运行在RTX 3080上,避免了对Ollama等工具的依赖,并使用Qwen2.5-7b-instruct模型,结合Python、PyTorch和Fast API。初步提示速度较慢(每项任务70-90秒),因此开发者实施了批处理、JSON约束和“转向向量”——用于优化模型注意力和输出的技术,将处理时间缩短至15-30秒。 该项目旨在为每次token的API费用提供一种经济高效且可靠的替代方案,从而为初创公司和企业节省大量开支。代码和演示可在GitHub上找到:[https://github.com/resilientworkflowsentinel/resilient-workflow](https://github.com/resilientworkflowsentinel/resilient-workflow)。

乔什·霍利参议员正在提议一项法案,以解决与新建数据中心相关的电价上涨问题。这些设施消耗大量电力,经常超过当地电网容量,并导致消费者电价上涨。 核心想法是要求数据中心在建设时提供自己的发电能力——这种概念被称为“站后”或“站前”解决方案。“站后”意味着直接在现场发电,避免与电网交互。“站前”则是在附近发电并通过电网传输,仍然增加容量并最大限度地减少成本影响。 虽然霍利目前的法案侧重于现场发电,但电网倡导者认为“站前”安排可能更有益,在支持电网稳定性的同时,仍然可以保护纳税人免受电价上涨的影响。该立法旨在将电力基础设施升级的财务负担从家庭转移到数据中心本身,从而解决对这些设施能源需求的日益增长的担忧。

A.E. 豪斯曼在1892年于伦敦大学学院的开讲词中,论证了知识的内在价值,反对将学习的理由建立在实际效用或社会效益之上。他批判了优先考虑基于感知有用性的学科的倾向——科学服务于商业,人文学科服务于道德修养——认为这种做法优先考虑期望的结论,而非真正的探究。 豪斯曼认为,人类的基本驱动力*就是*知识本身,一种与基本需求相似的自然渴望。虽然他承认科学可以帮助实际生活,但他断言大多数人并不需要深厚的专业知识,即使需要,也不是主要目标。同样,古典研究可能提升鉴赏力,但并不能保证大多数人获得内在的转变。 最终,豪斯曼倡导为了知识本身而学习,呼应了亚里士多德的观点,即知识本身就是善的。他将追求知识描述为与宇宙之间快乐的“捉迷藏”,一项无限的努力,提供持久的满足感,不同于短暂的快乐。他鼓励学科之间的合作精神,团结一致地拓展理解的边界,而不是争夺合理性。

黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录 豪斯曼的入门讲座 (1892) (worrydream.com) 3 分,来自 coloneltcb 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论 指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系 搜索:

巴拿马因其最高法院宣布撤销与香港公司和记黄埔(CK Hutchison)运营巴拿马运河两侧港口的合同,面临来自中国的强烈反弹。这一决定被广泛视为美国在特朗普政府努力对抗中国影响力下的一次胜利,有效地将一家与中国有关联的运营商从这条战略要道水域移除。 中国政府谴责这一裁决“荒谬”,并警告巴拿马如果不能纠正这一错误,将付出“沉重代价”。已经开始的报复措施包括暂停中国国有企业对新投资项目的讨论,增加对巴拿马出口商品(如香蕉和咖啡)的海关检查,以及建议航运公司探索替代路线。 巴拿马总统捍卫了法院的独立性,并驳斥了中国的威胁,但该国现在发现自己夹在美国和中国利益之间,并为潜在的经济影响做准备。

## 多巴胺困境:现代生活对我们大脑的影响 我们的大脑对成瘾性刺激的反应,例如Instagram短视频,与对可卡因的反应类似,都会使伏隔核充满多巴胺,并产生对“更多,现在”的渴望。然而,持续的多巴胺激增会导致神经适应——大脑减少多巴胺受体,需要更强烈的刺激才能感受到快乐。这种“多巴胺超载”可能导致情绪麻木、焦虑以及难以体验真正的快乐。 成瘾精神科医生安娜·伦布克解释说,这会改变我们的“享乐设定点”,意味着我们需要更强的刺激才能感觉正常。短视频、含糖食物和持续的数字参与是主要原因。为期30天的“多巴胺排毒”——戒除这些过度刺激的活动——可以帮助重置大脑的奖励系统,尽管最初的戒断反应可能具有挑战性。 关键不是消除多巴胺,而是通过优先考虑自然奖励来重新平衡它,例如锻炼、社交互动、正念和创造性活动。建立物理障碍(删除应用程序)和设定明确的界限至关重要。如果减少刺激引发严重的焦虑或戒断反应,或者存在潜在的心理健康问题,建议寻求专业帮助。持久的满足感来自于持续的小改变和来自他人的支持。

## C协议问题 作者认为C的真正问题不在于其技术缺陷(未定义行为、整数问题),而在于它作为一种*协议*的普遍影响,这种协议决定了所有编程语言如何与操作系统和其他语言交互。由于C成为了通用语言,像Rust和Swift这样的新语言不得不实现复杂的外部函数接口(FFI)来“说C”——即使它们更愿意避免这样做。 这种对C的依赖造成了兼容性问题的噩梦。与操作系统API交互需要处理定义不明确的C头文件和ABI,即使在clang和gcc等主要编译器之间也存在不一致。解析C语言以其难度而闻名,并且具有不同ABI的平台/编译器组合数量(目标三元组)非常庞大。 作者用`intmax_t`等例子来说明,即使是对C类型看似微小的更改,也可能由于广泛存在的、通常未记录的假设而破坏现有软件。虽然存在前向兼容性技术,但它们很复杂,并且不能保证无缝集成。最终,C的统治地位意味着语言被其遗留问题所困扰,阻碍了创新并创造了一个脆弱的生态系统。作者得出结论,C的成功可能具有讽刺意味,因为它阻止了自身的改进,因为任何重大更改都有可能破坏它所建立的协议。

一个黑客新闻的讨论围绕着C编程语言持久的相关性。最初的帖子,标题为“C不是一种语言”,引发了关于它在更新的替代方案出现后,是否仍然有用的争论。 一个关键论点集中在C无与伦比的稳定性和长期可用性上。与Rust等语言不同,其惯用代码迅速发展,C99在数十年的系统和代码库中始终保持功能性——这种质量被比作维护几个世纪的建筑。虽然现代C通常包含扩展和宏,但核心语言提供了一个可靠的基础。 一位评论员将C视为教育的踏脚石,回忆起它在早期的计算机科学课程中与Pascal一起使用。另一位评论员戏谑地认为Pascal过于限制。最终,这场讨论突出了C作为一种语言的独特地位,它提供了卓越的耐用性和可预测性,表明在竞争对手能够匹配其长期稳定性之前,它不会轻易被取代。

一位游戏玩家在调查烦人的弹出窗口时,发现AMD的AutoUpdate软件存在严重的安全性漏洞。 软件反编译显示,它通过**HTTP**而非HTTPS下载更新,尽管更新列表本身使用了HTTPS网址。 这使得用户容易受到“中间人”(MITM)攻击,恶意行为者可以替换合法更新为恶意软件。 关键在于,AutoUpdate软件**缺乏证书验证**,这意味着它会在未检查其真实性的情况下立即执行任何下载的文件。 研究人员向AMD报告了此远程代码执行(RCE)漏洞,但被认为“超出范围”且未得到解决。 由于缺乏回应而感到沮丧,研究人员公开披露了此漏洞,强调了对AMD用户的潜在风险。 时间线显示,漏洞发现于2026年1月,报告和拒绝于2月,并在之后不久公开披露。

最近发现的AMD软件中存在一个未修补的远程代码执行(RCE)漏洞,引发了技术社区的严重担忧,相关讨论在Hacker News上进行。该问题源于软件使用不安全的HTTP连接,可能导致“中间人”攻击——甚至简单的WiFi热点都可能被利用,在配备ATI显卡的易受攻击机器上安装恶意软件。 鉴于修复的简易性(例如实施HTTPS),用户对AMD将该漏洞标记为“WONTFIX”的决定感到困惑。受影响软件的广泛普及加剧了风险,使大量系统可能容易受到攻击。评论员们难以置信,如此容易被利用的漏洞存在于如此常用的程序中,并质疑安全疏忽背后的原因。

富尔顿县,佐治亚州,正在起诉联邦政府,以取回联邦调查局在1月28日突袭中查获的2020年选举文件。联邦调查局根据搜查令,带走了数百个箱子,其中包含选票、选民名册和计票数据。该县寻求限制搜查令的范围,并要求将文件保留在州内,理由是担心选举的完整性和潜在的越权行为。 此举发生在2025年12月,司法部也对该县提起了诉讼,要求提供2020年的投票记录。局势在政治上备受关注,前总统特朗普曾多次声称佐治亚州的选举违规行为导致他2020年落选,并最近暗示未来可能进行起诉。 包括主席罗布·皮茨在内的县官员认为,联邦政府的行为是更大规模破坏选举信任度的一部分,尽管特朗普即使*拥有*佐治亚州的选举人票仍然输掉了总统大选。关于国家情报局局长图尔西·加巴德在搜查期间出现的问题也引起了关注。司法部拒绝就该县的动议发表评论。

联系我们 contact @ memedata.com