## 恐龙的手:驳斥“兔子手”
最近关于恐龙肢体姿势的讨论强调了一个常见的误解:恐龙被描绘成手掌向内,像“兔子”一样。这个姿势需要显著的前臂旋转(旋前),人类由于桡骨和尺骨的独特形状以及通过环状韧带的连接而可以做到。
然而,这种程度的旋前并非普遍存在。例如,大象的前肢是永久旋前的,而蜥脚类恐龙(如*Dreadnoughtus*)完全缺乏旋前能力,导致脚趾朝外。VanBuren和Bonnan的研究证实,*没有*任何恐龙物种具备达到“兔子手”姿势所需的全部旋前范围。
经常被描绘成手掌向内(如在*侏罗纪公园*中)的兽脚类恐龙,实际上具有限制旋转的角状桡骨。虽然完全伸展手臂时可以进行一些旋前,但这并非其典型姿势。有趣的是,鸟类祖先——驰龙类动物具有高度灵活的腕部,但*不能*旋转前臂——这解释了为什么鸟类不会将翅膀平放在地面上。
每日HackerNews RSS
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
恐龙为什么不能有兔子爪? (2018) (paleoaerie.org)
5 分,由 exvi 1小时前发布 | 隐藏 | 过去的 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
OpenClaw:当AI代理获得完全系统访问权限时。安全噩梦?
OpenClaw: When AI Agents Get Full System Access. Security nightmare?
47 分钟前
## OpenClaw:强大的AI助手,显著的安全风险 OpenClaw,一款新的开源AI代理(前身为Moltbot/Clawdbot),因其能够通过WhatsApp和Telegram等平台直接访问和控制用户电脑,从而主动协助用户而备受关注。与典型的AI不同,OpenClaw *有效* – 用户报告称设置和控制起来很快,可以处理电子邮件和文件管理等任务,甚至可以自主学习新技能。其自托管特性和广泛的集成(100多个)增加了其吸引力。 然而,这种强大功能伴随着**严重的安全隐患**。OpenClaw的完全系统访问使其极易受到“提示注入”攻击,恶意指令嵌入在看似无害的通信中,可以劫持代理并危及您的系统 – 可能导致数据盗窃、勒索软件安装或企业间谍活动。 作者强烈建议仅在**完全隔离的沙盒环境**(如虚拟机或Docker容器)中运行OpenClaw,并严格限制网络访问和权限。 避免将其连接到敏感数据或系统。 虽然OpenClaw很有前景,但其当前的安全漏洞需要极度谨慎。 优先考虑安全性,并在考虑实际使用之前等待改进的安全措施。
## OpenClaw 与 AI 代理安全问题
最近 Hacker News 上出现了一场关于 OpenClaw 安全影响的讨论,OpenClaw 是一种授予完全系统访问权限的 AI 代理框架。核心问题在于当前聊天机器人代理的固有不安全性,特别是它们容易受到“提示注入”攻击——操纵 AI 指令的攻击。
用户指出,这与传统的 SQL 注入之间存在关键区别:虽然数据库本身并非安全设计,但它们已经建立了防御机制。然而,聊天机器人构建方式使得可靠的提示注入检测极其困难,即使使用基于 AI 的解决方案,因为注入可能会扰乱检测过程本身。
对话中提出了一些潜在的缓解措施,例如分析过滤和抽象层(AgentSkills),但普遍情绪是谨慎,一些人对同事试验这种强大且可能存在风险的工具表示担忧。
## 存在缺陷的埃普斯坦档案发布隐藏了潜在证据
司法部最近发布的埃普斯坦档案存在诸多错误,从错误地删除姓名和图像到技术故障导致大量数据损坏。最初的问题包括暴露的登录凭据和不正确转换的文件编码。然而,更深入的调查显示了一个可能更严重的问题:嵌入在电子邮件中的二进制附件被忽略了,由于疏忽而未被审查。
具体来说,一封看似无害的电子邮件(EFTA00400459)包含76页base64编码的数据,代表一份PDF邀请函。尽管司法部的OCR尝试将这些数据数字化存在大量错误——由于难以阅读的Courier New字体和JPEG压缩伪影而加剧——但重建原始PDF的可能性仍然存在。
尽管使用了各种OCR工具和解压缩方法,但恢复文件仍然具有挑战性。作者详细描述了一个令人沮丧的过程,涉及图像转换、字符识别和PDF修复工具,所有这些都受到发布数据质量差的影响。作者向技术社区发起了挑战,要求重建PDF并识别其他可能恢复的附件,并暗示司法部的搜索功能也存在缺陷。完整的数据集和中间文件已在线提供以供调查。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
从原始编码附件重现埃普斯坦的PDF文件 (neosmart.net)
61点 由ComputerGuru 1小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 阿西莫夫对奥威尔《一九八四》的评论
1980年,艾萨克·阿西莫夫应《田野报业集团》的要求,不情愿地重读了乔治·奥威尔的《一九八四》,带着好奇心迎接那个标题年份。他发现这部小说仍然很有力量,并质疑有多少读者真正理解了它的警告。
阿西莫夫详细介绍了奥威尔的背景——一位放弃阶级去体验贫困并拥抱社会主义的英国绅士,最终在西班牙内战中战斗后成为坚定的反共产主义者。这段个人经历推动了《一九八四》的创作,将其描绘成一个反映斯大林主义俄罗斯的极权世界,旨在作为一个警示故事。
然而,阿西莫夫批评了这部小说的预见性。他认为它更像是一面反映20世纪40年代焦虑的镜子,而不是科幻小说,是将1949年的伦敦地理上移植到类似苏联的莫斯科。他认为小说中的技术(双向电视)不切实际,而社会预测——特别是关于女性和技术进步的预测——已经过时。
虽然奥威尔准确地预见了类似于美国、苏联和中国的三方世界秩序,但阿西莫夫认为这部小说持久的影响源于它对“大政府”的描绘,而不是一个现实的预测。最终,阿西莫夫得出结论,《一九八四》是奥威尔与斯大林主义个人恩怨的产物,关注其准确性会分散人们对解决真正不断演变的威胁的注意力。
最近的 Hacker News 讨论重温了艾萨克·阿西莫夫 1980 年对乔治·奥威尔《1984》的评论。用户们争论这部小说是否经得起时间考验,尤其是在现代监控技术和政府数据收集——例如智能电视、Palantir 的产品和监控软件——出现之后。
一些评论员认为阿西莫夫低估了普遍监控和控制的潜力,并以东德施塔西的历史为例,反驳了他互报系统无法运作的观点。另一些人指出,阿西莫夫自身的政治倾向可能影响了他的解读。
一位用户幽默地引用了电影《黑客帝国》,暗示奥威尔的反乌托邦愿景具有讽刺意味地正在成为现实,因为科技公司正在努力实现对数据的全面了解。该讨论还链接到 2018 年和 2021 年分析同一评论的 Hacker News 之前的帖子。
## Postgres:统治一切的数据库 “使用合适的工具完成合适的工作”的建议,常常导致数据库泛滥——管理多个专用数据库(Elasticsearch、Pinecone、Redis等),用于搜索、向量、时间序列数据等等。这会产生复杂性:需要维护七个数据库,学习多种查询语言,以及增加故障风险。 Postgres 提供了一种强大的替代方案:**一个数据库,拥有多个房间。** 通过扩展,Postgres 可以处理几乎所有用例,通常使用与专用数据库*相同*的算法,但无需额外的运维负担。 尤其是在人工智能时代,Postgres 简化了诸如为代理启动测试环境之类的任务——只需一条命令,而无需协调七个不同的服务。像 `pgvector`、`TimescaleDB` 和 `pg_textsearch` 这样的扩展,在向量搜索、时间序列数据和全文搜索方面,分别提供与专用解决方案相当或更优越的性能。 虽然规模巨大的前 1% 的公司*可能*需要专用工具,但 **99% 的公司仅凭 Postgres 就能蓬勃发展。** 这关乎简单性、降低成本以及专注于构建功能,而不是管理基础设施。现代 Postgres 已经准备就绪——从一个数据库开始,只有在真正必要时才增加复杂性。
最近的 Hacker News 讨论集中在 PostgreSQL 作为数据库解决方案在 2026 年的持续相关性和强大性。许多评论者认为 Postgres 往往是最佳选择,尤其是在涉及大型数据集(如 GIS 或高维向量)的数据探索方面——即使在本地 macOS 机器上也能轻松运行。
然而,对话也承认了简单性的价值。SQLite 受到青睐,适用于优先考虑易于部署和较低复杂性的项目,在某些情况下甚至可以处理中等流量负载。
讨论简要涉及了 Firebase 的 Firestore 和 Redis 等替代方案,一位评论员指出 Redis 的优势在于其专业化的数据结构。一位用户还分享了一个网站 [postgresisenough.dev](https://postgresisenough.dev),致力于突出 Postgres 的能力,其灵感来自一个相关的 gist。
Anthropic 为庆祝 Claude Opus 4.6 上线,向 Pro 和 Max 用户提供 50 美元(或当地等值货币)的额度。要符合资格,您必须在 2026 年 2 月 4 日之前开始订阅,并在 2026 年 2 月 16 日之前启用额外用量。此优惠不包括 Team、Enterprise 和 API/Console 用户。 如果已启用额外用量,额度将自动应用。否则,只需通过 Claude 的网页版启用即可领取 50 美元。该额度可用于 Claude、Claude Code 和 Cowork,并在领取后 60 天过期。 额度用完后,额外用量仍将启用,除非在您的帐户设置中禁用,否则可能会产生标准费率。该促销活动于 2026 年 2 月 5 日至 2026 年 2 月 16 日期间进行。
Anthropic 为 Claude Opus 用户提供额外使用额度的促销活动。Hacker News 上出现讨论,内容集中在这次促销是否隐藏着成本,特别是担心意外产生债务。
用户报告称,该促销似乎是安全的,支出上限为 50 美元(或等值其他货币,如 43 欧元),且默认情况下未开启自动充值。用户可以在 Claude 使用面板 ([https://claude.ai/settings/usage](https://claude.ai/settings/usage)) 中验证这些设置。
该促销适用于在 2026 年 2 月 4 日 *之前* 启动 Pro 或 Max 订阅的用户,需要在 Claude 中通过通知启用“额外使用”和促销活动本身。一些订阅在 2026 年 2 月 4 日之后开始的用户无法访问此优惠。
## 分层数据与自适应神经网络:摘要
传统的神经网络假设单个函数将输入映射到输出,当数据呈现分层结构时(例如,不同医院、不同患者人群的临床试验)就会失效。这意味着观察结果落入不同的数据集,每个数据集都受隐藏参数控制,使得“一刀切”的模型不准确。仅仅训练单独的模型或使用嵌入等方法并不能解决核心问题:捕捉数据集层面的结构。
本文探讨了**超网络**,这是一种创建数据集自适应神经网络的方法。超网络不是学习固定的映射,而是基于数据集嵌入*生成*另一个网络的参数。这使得模型能够从有限的数据中推断数据集属性,适应新数据集而无需重新训练,并整合信息以提高稳定性。
结果表明,当数据充足时,超网络的准确性与单独的模型相当,在数据有限的情况下表现优于它们。然而,在全新的、具有挑战性的数据集上,性能会下降。作者认为这是由于最大似然估计的局限性所致,并预告了未来将探索**贝叶斯分层模型**——通过显式建模不确定性和结合先验知识,提供更稳健的方法。最终,将这些技术结合起来有望为复杂的、现实世界的分层数据提供更可靠的机器学习。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
超网络:用于分层数据的神经网络 (sturdystatistics.com)
5 分,来自 mkmccjr 1 小时前 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## MenuetOS:一款64/32位汇编语言操作系统
MenuetOS是一款独立开发的操作系统,以完全使用64位(和32位)汇编语言编写而闻名。这种方法旨在实现速度和紧凑性,提供优于使用高级语言构建的系统的性能优势。与大多数操作系统不同,Menuet并非基于UNIX或POSIX标准,并力求通过移除不必要的层来简化操作系统设计。
主要功能包括抢占式多任务处理、SMP多处理器支持(最多32个CPU)、具有透明度的响应式GUI以及能够实现亚毫秒音频延迟的快速调度器。它支持USB 2.0、TCP/IP网络,并包含电子邮件、FTP以及网页客户端/服务器等应用程序。
Menuet64能够运行Menuet32应用程序。该操作系统轻量级,可容纳在软盘上,并可从各种介质启动。开发仍在进行中,最近的更新添加了诸如部分Linux层、改进的多媒体支持以及持续的错误修复等功能。Menuet64(在自定义许可下发布)和Menuet32(GPL)均可获得。
一个黑客新闻的讨论强调了MenuetOS,一个图形操作系统,令人瞩目的是它可以从一张软盘启动。该操作系统首次发布于26年前,因其持久性而备受赞赏。
用户回忆起过去遇到MenuetOS的经历,回忆起让它运行的挑战——通常涉及漫长的启动时间和频繁的失败,原因是不可靠的软盘和驱动器。一位评论员提到他大约在2008年尝试过它,而另一位则记得稍后类似的经历,强调了那个时代废弃电脑上软盘驱动器的普遍性。
讨论还提到了最近在黑客新闻上讨论的一个相关项目,展示了对这些复古计算壮举的持续兴趣。虽然它的商业成功尚不清楚,但MenuetOS仍然是献身开发和迷人计算历史的证明。
作者最近发现他们的名字出现在埃普斯坦文件中,共26份文件,尽管他们从未与杰弗里·埃普斯坦见过面或直接沟通。这种联系源于2010年,中间人查尔斯·哈珀试图为一项关于“自然界中的密码学”的研究项目争取埃普斯坦的资金,该项目涉及作者和同事塞思·劳埃德。 作者模糊地记得与哈珀的一次会面,但最终在母亲警告他们避免参与后放弃了该项目。邮件显示,家人意识到埃普斯坦此前有犯罪记录,因此保持谨慎。其他文件显示,哈珀建议举办一个以作者年龄为主题的会议(“赶快和斯科特·阿伦森交流,趁他还20多岁”),但这个计划从未实现。 作者觉得这种情况很奇怪,并指出他们经常收到类似的资助提案,直到最近才完全忘记了这件事。他们幽默地反思了这件事的含义,承认鉴于埃普斯坦后来的恶名,情况令人不安,并感谢母亲具有预见性的建议。
这个黑客新闻的讨论围绕着斯科特·阿伦森的一篇博客文章,详细描述了他与杰弗里·埃普斯坦的一次险些相遇。对话迅速转向剖析埃普斯坦的智力,起因是评论中分享的他的一些邮件摘录。
许多评论者表示不相信埃普斯坦被认为是聪明人,指出他的语法差、拼写错误以及冗长、不连贯的写作风格——被描述为“伪知识分子”或仅仅是“胡说八道”。一位用户回忆起与一位同事的类似经历,这位同事也表现出同样的模式:自信的表达掩盖了缺乏真正的理解。
其他人分析了埃普斯坦邮件的内容,注意到他将计算机科学、生物学和物理学的概念混淆在一起。一个反复出现的主题是,埃普斯坦的感知到的智力源于将自信投射给那些不熟悉他所讨论的话题的人。该帖子还简要提及了一封幽默的、不相关的邮件,提到了斯科特·阿伦森的年龄。
## 从怀疑到稳定工作流:个人AI采用之旅 作者详细描述了发现AI工具真正价值的阶段性过程,超越了最初的炒作和低效。认识到采用任何新工具都需要克服学习曲线,他们概述了成功集成的五个关键步骤。 最初,直接与聊天机器人进行编码交互令人沮丧且效率低下。转折点是“代理”——能够执行诸如读取文件和发出请求等任务的LLM。然而,仅仅使用代理是不够的。真正的进步需要*重现*现有工作,即使最初速度较慢,也要了解其能力和局限性。 通过在非工作时间(“日终代理”)安排代理执行任务,例如研究和问题分类,效率得到了提高。最终,作者开始“外包”可靠可解的任务,从而腾出时间处理更复杂的工作。 目前,重点是“代理工程”——通过改进提示和自定义工具主动防止代理错误——以及维护一个持续运行的代理来执行后台任务。这种方法显著提高了生产力,并将重心转移到享受软件开发的更具挑战性的方面。 作者强调务实、谨慎的方法,承认AI的快速发展,并尊重个人对其使用的选择。
黑客新闻 新的 | 过去的 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
我的AI采用之旅 (mitchellh.com)
21 分,anurag 1小时前 | 隐藏 | 过去的 | 收藏 | 2 评论
vonneumannstan 0分钟前 | 下一个 [–]
对于阅读这篇文章的AI怀疑论者,Mitchell 很有可能比你更优秀的开发者。如果他能从这些工具中获得价值,你应该思考你为什么不能。回复
therein 4分钟前 | 上一个 [–]
令人失望。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索: